MF RPKI Project

ROAキャッシュ 技術情報

ROAキャッシュサーバ 基本情報

本ROAキャッシュサーバとBGPルータの間でrpki-rtrプロトコルを動かします。それによりBGPルータがROA情報を取得し、BGP Origin Validation機能を動作させることができます。

ホスト基本情報

Host name Host IP address Listen port
roa1.mfeed.ad.jp 210.173.170.254 rpki-rtr (tcp:323)
2001:3a0:e002:1001::101 rpki-rtr (tcp:323)

※ 現在サポートしているトランスポートプロトコルはRFC6810に記述されているrpki-rtrのみです。
※ rpki-rtrでの接続の場合、やりとりされるデータは暗号化されません。ご留意ください。

参照するトラストアンカー (Trust Anchor)

Repository Trust Anchor Locator
repository.afrinic.net afrinic.tal
rpki.apnic.net apnic-rpki-root-iana-origin.tal
repository.lacnic.net lacnic.tal
rpki.ripe.net ripe-ncc-root.tal
rpki-repository.nic.ad.jp jpnic-preliminary-ca-s1.tal

※ 上記Trust AnchorとのROA更新(rsync)間隔はそれぞれ1時間毎です。

ルータ設定例

下記にAS65000のBGPルータがROAキャッシュサーバ(210.173.170.254)にRPKI-RTRプロトコルで接続するための基本的な設定例とコマンド例を示します。

Cisco (Cisco IOS-XE 3.12.0S)

RPKI-RTR基本設定例 
!
router bgp 65000
  bgp rpki server tcp 210.173.170.254 port 323 refresh 60
!

※ 上記設定では'RPKI State'が'valid'または'not found'のBGP経路のみがルーティングテーブルにインストールされます。 invalidのBGP経路も追加したい場合は下記を参考にしてください。



BGP Origin Validation設定例('invalid'と判定された経路もルーティングテーブルにインストールする場合) 
!
router bgp 65000
  address-family ipv4
    bgp bestpath prefix-validate allow-invalid
  exit-address-family
  !
  address-family ipv6
    bgp bestpath prefix-validate allow-invalid
  exit-address-family
!

※ その他のアクションを行いたい場合はroute-mapを書く必要があります。



RPKI-RTRセッション確認コマンド 
Cisco> show ip bgp rpki servers

ROAテーブル確認コマンド(IPv4) 
Cisco> show ip bgp rpki table

ROAテーブル確認コマンド(IPv6) 
Cisco> show ip bgp ipv6 unicast rpki table

ROAキャッシュサーバとのセッションをリセット 
Cisco> clear ip bgp rpki server 210.173.170.254 port 323

ROA情報の再受信を要求(セッションは切れない) 
Cisco> clear ip bgp rpki server 210.173.170.254 port 323 reset-only

Juniper (JUNOS 12.3R7.7)

RPKI-RTR基本設定例 
routing-options {
  validation {
    group RPKI {
      session 210.173.170.254 {
        refresh-time 60;
        port 323;
      }
    }
  }
}

※ 上記設定を投入すると、IPv4, IPv6ともにtcp:2222がListenされます。これは内部でのみ使用されるポートなので、firewall filterで該当のポート(tcp:2222)をdiscardすることを推奨します。

※ 上記設定では、BGP Origin Validationは実行されません。必要な場合は、下記を参考にpolicy-optionsおよびbgpの設定を行ってください。


BGP Origin Validation設定例(policy-optionsセクション) 
policy-options {
  policy-statement AS65253-PEER-IN {
    term valid {
      from {
        protocol bgp;
        validation-database valid;
      }
      then {
        validation-state valid;
        accept;
      }
    }
    term not-found {
      from {
        protocol bgp;
        validation-database unknown;
      }
      then {
        validation-state unknown;
        accept;
      }
    }
    term invalid {
      from {
        protocol bgp;
        validation-database invalid;
      }
      then {
        validation-state invalid;
        reject;
      }
    }
    then reject;
  }
}

BGP Origin Validation設定例(protcolsセクション) 
protocols {
  bgp {
    group AS65253 {
      neighbor 192.168.0.253 {
        import AS65253-PEER-IN;
      }
      neighbor 2001:db8::253 {
        import AS65253-PEER-IN;
      }
    }
  }
}

RPKI-RTRセッション確認コマンド 
Juniper> show validation session

ROAテーブル確認コマンド 
Juniper> show validation database

ROAキャッシュサーバとのセッションをリセット 
Juniper> clear validation session 210.173.170.254

ROA情報の再受信を要求(セッションは切れない) 
Juniper> clear validation database

Alcatel (SROS 12.0R4)

RPKI-RTR基本設定例 
configure router
  origin-validation
    rpki-session 210.173.170.254
      port 323
      no shutdown
    exit
  exit
exit

※ 上記設定では、BGP Origin Validationは実行されません。必要な場合は、下記を参考に設定を行ってください。


BGP Origin Validation設定例 
configure router
  bgp
    best-path-selection
      origin-validation-unusable
    exit
    group "Peer AS"
      enable-origin-validation ipv4 ipv6
    exit
  exit
exit

RPKI-RTRセッション確認コマンド 
Alcatel# show router origin-validation rpki-session

ROAテーブル確認コマンド 
Alcatel# show router origin-validation database

ROAキャッシュサーバとのセッションをリセット 
Alcatel# clear router origin-validation rpki-session 210.173.170.254