Project

ROAキャッシュ技術情報

ROAキャッシュサーバ 基本情報

本ROAキャッシュサーバとBGPルータの間でrpki-rtrプロトコルを動かします。それによりBGPルータがROA情報を取得し、BGP Origin Validation機能を動作させることができます。

ホスト基本情報

Host nameHost IP addressListen port
roa1.mfeed.ad.jp210.173.170.254rpki-rtr (tcp:323)
roa1.mfeed.ad.jp2001:3a0:e002:1001::101rpki-rtr (tcp:323)
  • 現在サポートしているトランスポートプロトコルはRFC6810に記述されているrpki-rtrのみです。
  • rpki-rtrでの接続の場合、やりとりされるデータは暗号化されません。ご留意ください。

参照するトラストアンカー (Trust Anchor)

RepositoryTrust Anchor Locator
repository.afrinic.netafrinic.tal
rpki.apnic.netapnic-rpki-root-iana-origin.tal
repository.lacnic.netlacnic.tal
rpki.ripe.netripe-ncc-root.tal
rpki-repository.nic.ad.jpjpnic-preliminary-ca-s1.tal

上記Trust AnchorとのROA更新(rsync)間隔はそれぞれ3時間毎です。

ルータ設定例

下記にAS65000のBGPルータがROAキャッシュサーバ(210.173.170.254)にRPKI-RTRプロトコルで接続するための基本的な設定例とコマンド例を示します。

Cisco (Cisco IOS-XE 3.12.0S)

RPKI-RTR基本設定例

1
2
3
4
!
router bgp 65000
bgp rpki server tcp 210.173.170.254 port 323 refresh 60
!

上記設定では'RPKI State'が'valid'または'not found'のBGP経路のみがルーティングテーブルにインストールされます。 invalidのBGP経路も追加したい場合は下記を参考にしてください。

BGP Origin Validation設定例('invalid'と判定された経路もルーティングテーブルにインストールする場合)

1
2
3
4
5
6
7
8
9
10
!
router bgp 65000
address-family ipv4
bgp bestpath prefix-validate allow-invalid
exit-address-family
!
address-family ipv6
bgp bestpath prefix-validate allow-invalid
exit-address-family
!

その他のアクションを行いたい場合はroute-mapを書く必要があります。

RPKI-RTRセッション確認コマンド

1
Cisco> show ip bgp rpki servers

ROAテーブル確認コマンド(IPv4)

1
Cisco> show ip bgp rpki table

ROAテーブル確認コマンド(IPv6)

1
Cisco> show ip bgp ipv6 unicast rpki table

ROAキャッシュサーバとのセッションをリセット

1
Cisco> clear ip bgp rpki server 210.173.170.254 port 323

ROA情報の再受信を要求(セッションは切れない)

1
Cisco> clear ip bgp rpki server 210.173.170.254 port 323 reset-only

Juniper (JUNOS 12.3R7.7)

RPKI-RTR基本設定例

1
2
3
4
5
6
7
8
9
10
routing-options {
validation {
group RPKI {
session 210.173.170.254 {
refresh-time 60;
port 323;
}
}
}
}
  • 上記設定を投入すると、IPv4, IPv6ともにtcp:2222がListenされます。これは内部でのみ使用されるポートなので、firewall filterで該当のポート(tcp:2222)をdiscardすることを推奨します。
  • 上記設定では、BGP Origin Validationは実行されません。必要な場合は、下記を参考にpolicy-optionsおよびbgpの設定を行ってください。

BGP Origin Validation設定例(policy-optionsセクション)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
policy-options {
policy-statement AS65253-PEER-IN {
term valid {
from {
protocol bgp;
validation-database valid;
}
then {
validation-state valid;
accept;
}
}
term not-found {
from {
protocol bgp;
validation-database unknown;
}
then {
validation-state unknown;
accept;
}
}
term invalid {
from {
protocol bgp;
validation-database invalid;
}
then {
validation-state invalid;
reject;
}
}
then reject;
}
}

BGP Origin Validation設定例(protcolsセクション)

1
2
3
4
5
6
7
8
9
10
11
12
protocols {
bgp {
group AS65253 {
neighbor 192.168.0.253 {
import AS65253-PEER-IN;
}
neighbor 2001:db8::253 {
import AS65253-PEER-IN;
}
}
}
}

RPKI-RTRセッション確認コマンド

1
Juniper> show validation session

ROAテーブル確認コマンド

1
Juniper> show validation database

ROAキャッシュサーバとのセッションをリセット

1
Juniper> clear validation session 210.173.170.254

ROA情報の再受信を要求(セッションは切れない)

1
Juniper> clear validation database

Alcatel (SROS 12.0R4)

RPKI-RTR基本設定例

1
2
3
4
5
6
7
8
configure router
origin-validation
rpki-session 210.173.170.254
port 323
no shutdown
exit
exit
exit

上記設定では、BGP Origin Validationは実行されません。必要な場合は、下記を参考に設定を行ってください。

BGP Origin Validation設定例

1
2
3
4
5
6
7
8
9
10
configure router
bgp
best-path-selection
origin-validation-unusable
exit
group "Peer AS"
enable-origin-validation ipv4 ipv6
exit
exit
exit

RPKI-RTRセッション確認コマンド

1
Alcatel# show router origin-validation rpki-session

ROAテーブル確認コマンド

1
Alcatel# show router origin-validation database

ROAキャッシュサーバとのセッションをリセット

1
Alcatel# clear router origin-validation rpki-session 210.173.170.254