ROAパブリックキャッシュサーバの利用方法
2014年9月29日
対応機種情報
ROAパブリックキャッシュサーバは、 RPKI対応のBGPルータに設定をすることで利用できます。
はじめに、 JPNICにてRPKI関連の設定を投入可能であった機種を以下に示します。 ご利用にあたりましては、 各社の機能セットとソフトウェアバージョンをご確認ください。
Cisco*1 | ASR9000 | IOS-XR 4.2.1 |
---|---|---|
CSR1000V | IOS-XE 3.10.0S | |
ASR1000 | IOS-XE 3.11.0S | |
7200 | IOS 15.2(4)S | |
Juniper*2 | M7i | JUNOS 12.3R9 |
MX5 | JUNOS 12.3R9 | |
quagga | quagga 0.99.22 + rtrlib-v0.2.3 | |
*1 Cisco社製品の対応状況を確認できる資料にはCisco
Feature Navigatorと呼ばれるWebサイトなどがあります。
Feature名として「BGP - Origin AS
validation」を指定することで対応機種を探すことができます。
*2 Juniper社製品の対応状況を確認できる資料にはFeature
Explorerと呼ばれるWebサイトなどがあります。
Feature名として「Origin Validation for
BGP」を指定することで対応機種を探すことができます。
* "Router Configuration" - RIPE NCCにおいても動作情報が一覧されています。
|
※当センターでは動作確認を行っておりません。 また上記機種での動作を保障するものではありません。
JPNICのROAパブリックキャッシュサーバのIPアドレスは以下の通りです。
JPNIC ROAパブリックキャッシュサーバ IPアドレス 192.41.192.218
以降では、 BGPルータでROAパブリックキャッシュを利用するための設定例を示します。 下記は、RIPE NCCの情報を元に作成したものです。 詳しくは下記をご覧ください(英語)。
BGPルータの設定に関する詳しい情報があります。 以下のページをご参照ください。
Cisco社製BGPルータの設定例
ROAキャッシュサーバに接続するための設定例を示します。
cisco#show running-config | begin bgp
router bgp 64500
bgp log-neighbor-changes
bgp rpki server tcp <IPアドレス> port 323 refresh 150
AS番号64500のBGPルータでROAキャッシュサーバに接続する設定です。 <IPアドレス>はアクセスするROAキャッシュサーバのIPアドレスを指定します。 ポート番号は323番、リフレッシュ間隔は150秒です。
Origin Validationの結果の扱いに関する設定例を示します。
!
route-map rpki-lo-pref permit 10
match rpki invalid
set local-preference 90
!
route-map rpki-lo-pref permit 20
match rpki not-found
set local-preference 100
!
route-map rpki-lo-pref permit 30
match rpki valid
set local-preference 110
ROAを使ったOrigin Validationの結果に対して、 ローカル・プリファレンス値を設定しています。 上記の例では、ROAの内容と経路情報が異なる場合(Invalid)には90を、 経路情報をカバーするROAが見つからない場合(Not Found)には100を、 経路情報と一致するROAがある場合(Valid)には110を設定しています。
BGPネイバーに対してOrigin Validationの結果の扱い方を適用する設定例です。
cisco#show running-config | begin bgp
router bgp 64500
bgp log-neighbor-changes
bgp rpki server tcp <IPアドレス> port 323 refresh 150
network 192.0.2.0
neighbor 10.1.1.2 remote-as 64510
neighbor 10.1.1.2 route-map rpki-lo-pref in
!
AS番号64510であるBGPネイバーの10.1.1.2からの経路情報に対して、 rpki-lo-prefのroute-mapを適用しています。
設定が反映されているかどうかを確認するために役立つコマンドを以下に示します。
- cisco>show ip bgp rpki server
- ROAキャッシュサーバへの接続状態を表示します。 ROAを通じて取得できたprefix数などの統計も表示されます。
- cisco>show ip bgp rpki table
- ROAを通じて得られたprefixとOrigin ASなどの表を表示します。
- cisco>show ip bgp <prefix>
- 経路情報のエントリを表示します。 Origin Validationの検証結果や適用されているlocal-preference値などが表示されます。
Juniper社製BGPルータの設定例
ROAキャッシュサーバに接続するための設定例を示します。
routing-options {
autonomous-system 64500;
validation {
group rpki-validator {
session <IPアドレス> {
refresh-time 150;
hold-time 300;
port 323;
local-address 10.1.1.5;
}
}
}
}
AS番号64500のBGPルータでROAキャッシュサーバに接続する設定です。 <IPアドレス>はアクセスするROAキャッシュサーバのIPアドレスを指定します。 ポート番号は323番、リフレッシュ間隔は150秒です。 hold-timeはやりとりがなくてもセッションを保持する時間の指定です。 300秒を指定しています。
Origin Validationの結果の扱いに関する設定例を示します。
policy-options {
policy-statement validation {
term valid {
from {
protocol bgp;
validation-database valid;
}
then {
validation-state valid;
community add origin-validation-state-valid;
next policy;
}
}
term invalid {
from {
protocol bgp;
validation-database invalid;
}
then {
validation-state invalid;
community add origin-validation-state-invalid;
next policy;
}
}
term unknown {
from protocol bgp;
then {
validation-state unknown;
community add origin-validation-state-unknown;
next policy;
}
}
}
}
検証結果に応じたルーティングポリシーを設定します。
BGPネイバーに対してOrigin Validationの結果の扱い方を適用する設定例です。
protocols {
bgp {
group mypeers {
import route-validation;
peer-as 64510;
neighbor 10.1.1.2;
}
}
}
AS番号64510であるBGPネイバーの10.1.1.2からの経路情報に対して、 ルーティングポリシーroute-validationを適用しています。
設定が反映されているかどうかを確認するために役立つコマンドを以下に示します。
- junos> show validation session detail
- ROAキャッシュサーバへの接続状態を表示します。
- junos> show validation statistics
- ROAを通じて取得できたprefix数などの統計も表示されます。
- junos> show validation database
- Origin Validationの結果の表を表示します。
- junos> show route protocol bgp validation-state valid|invalid|unknown
- BGP経路情報を指定されたROAの検証結果ごとに表示します。
- junos> show route protocol bgp validation-state unverified
- ROAから得られたprefixのうち、検証前のものを表示します。