rpki-test_ver06.pptx

Similar documents
今日のトピック 実験結果の共有 RPKI/Router 周りの基本的な動き 今後の課題と展望 2012/7/6 copyright (c) tomop 2

PowerPoint プレゼンテーション

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

ルーティングの国際動向とRPKIの将来

(I) RPKI の動向 ~ 実装状況と IP アドレス利用や移 転に関する RIPE での議論 ~ 社団法人日本ネットワークインフォメーションセンター木村泰司 社団法人日本ネットワークインフォメーションセンター

RPKI in DNS DAY

Microsoft PowerPoint - janog20-bgp-public-last.ppt

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

橡C14.PDF

パブリック6to4リレールータに おけるトラフィックの概略

koboデスクトップアプリ ユーザーガイド

経路奉行の取り組み

BGP ( ) BGP4 community community community community July 3, 1998 JANOG2: What is BGP Community? 2

Microsoft PowerPoint irs14-rtbh.ppt

経路奉行・RPKIの最新動向

routing_tutorial key

IIJ Technical WEEK IIJのバックボーンネットワーク運用

RENAT - NW検証自動化

IIJ Technical WEEK2017 経路制御の課題と対策

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

_Janog37.pptx

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

ISPのトラフィック制御とBGPコミュニティの使い方

スライド 1

経路制御とセキュリティの最新動向

Microsoft PowerPoint - janog15-irr.ppt

祝?APNICとRPKIでつながりました!

平成28年度第1回高等学校卒業程度認定試験問題(科学と人間生活)

DSP工法.pdf


広報うちなだ2002年6月号

13

1 2

01-02.{.....o.E.N..


2011 NTT Information Sharing Platform Laboratories

untitled

D-3案

Clos IP Fabrics with QFX5100 Switches

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

ネットワークのおべんきょしませんか? 究める BGP サンプル COMMUNITY アトリビュートここまで解説してきた WEIGHT LOCAL_PREFERENCE MED AS_PATH アトリビュートはベストパス決定で利用します ですが COMMUNITY アトリビュートはベストパスの決定とは

JPRS JANOG13 1. JP DNS Update 2. ENUM (ETJP) 3. JP ( ) 3 1. JP DNS Update

Microsoft Word - Hyper-V検証レポート docx

網設計のためのBGP入門

BGPルートがアドバタイズされない場合のトラブルシューティング

untitled

BBIX-BGP-okadams-after-02

ライトニングFAX 仮想環境 動作確認状況

目 次 1. システムの運用 2. システムの使用環境 3. ユーザID パスワードについて 4. 現行 Excelと新システムとの違い 5. 新システムでの注意点 6. マニュアルについて 7. お問い合わせ

Webhard_Users manual

_IRS25_DDoS対策あれこれ.pptx


初めてのBFD

森林航測72号

IPv6 トラブルシューティング~ ISP編~

JUNOSインターネットソフトウェアとIOSのコンフィグレーション変換

MPLS Japan 2015 キャリアサービスへの EVPN 適 用の検討と課題 横 山博基 NTT コミュニケーションズ株式会社 ネットワークサービス部 Copyright NTT Communications Corporation. All right reserved.

Policy

4-octet ASを用いた実験・調査の概要

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

SRX License

研究紀要 第5号

PowerPoint Presentation

お客様からの依頼内容とその現状

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

第1回 ネットワークとは

頑張れフォールバック

BSD Unix IPv6 WIDE Project / ( ) All rights reserved. Copyright(c)2006 WIDE Project 1

実務に役立つサーバー運用管理の基礎 CompTIA Server+ テキスト SK0-004 対応

untitled

スライド 1

スライド 1

発表者 名前 木村泰司 きむらたいじ 所属 一般社団法人日本ネットワークインフォメーショ ンセンター (JPNIC) PKI / RPKI / DNSSEC / セキュリティ情報 調査 (執筆) セミナー 企画 開発 運用 ユーザサポート 業務分野 電子証明書 / RPKI / DNSSEC (DP

Q 23 A Q Q15 76 Q23 77

Microsoft PowerPoint f-InternetOperation04.ppt

機能マニュアル

電子申告の達人とは 法人税の達人 などの 申告書作成ソフト で作成した申告 申請等データを電子申告データに変換し 署名 送信から受信確認までの一連の操作を行うことができます 2

RPKIとインターネットルーティングセキュリティ

Fujitsu Standard Tool

Hitachi Compute Adapter -Hitachi Compute Plug-in for VMware vCenter- サポートマトリックス

第一回 JPIRR BoF JPNIC IRR 企画策定専門家チームCo-Chairs 近藤邦昭 / インテックネットコア吉田友哉 / NTTコミュニケーションズ 2003/7/24

Mobile IPの概要

宛先変更のトラブルシューティ ング

PowerPoint プレゼンテーション

PF1000_intro5

The Internet ebgp peering BFD deployment (?) CE (Upstream) stability RIPE-229 fast-external-fallover keepalive/holddown 5sec/15sec BFD

プロジェクトのモチベーション IPv4 ユーザ向けのお試し IPv6 環境づくり 手始めに実装が普及している 6to4に着目 個別の技術にはこだわらず Teredo や ISATAP 等についても検討 IPv4/IPv6 共存技術の普及 設定 運用ノウハウの共有 設定や負荷状況等を積極的に情報を公開

外部ルート向け Cisco IOS と NXOS 間の OSPF ルーティング ループ/最適でないルーティングの設定例

HA8000シリーズ お詫びと訂正

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

Microsoft PowerPoint - s07-nakano tatsuya-iw2011-s7-nakano( ) [互換モード]

untitled

Re-Quest 操作クイックマニュアル < 勤怠管理編 >. 承認方法. タイムシートを検索します 勤怠管理 メニューをクリックして勤怠状況画面を表示します タイムシートのステータスごとの件数が表示されています 該当するステータスをクリックして対象のタイムシートを検索します 日次の承認を行う場合

PowerPoint Presentation

November 29, 2016 BGP COMMUNITY の世界動向 吉村知夏 NTT America Internet Week 2016 / Tokyo 1

Hitachi Storage Adapter -Hitachi Storage Adapter for VMware vCenter- サポートマトリックス

目次 1. e-tax の登録情報の変更 1-1. 暗証番号の変更 ( 参考 ) 複数の利用者の暗証番号をまとめて変更する 1-2. 暗証番号の保存 ( 電子申告の達人のデータベースに保存する ) ( 参考 ) 暗証番号の削除 ( 電子申告の達人のデータベースから削除する ) 2. eltax の登

はじめに 個人番号 ( マイナンバー ) の取扱いには 厳重な安全管理措置を講ずる必要があります データ管理の達人では 個人番号の安全な収集方法や保管 利用 ( 管理 ) 廃棄を行うことができます ただし 達人システムだけですべての安全管理措置が賄えるわけではありませんので 利用する側でも十分安全管

shtsuchi-janog35.5-grnet.pptx

Transcription:

Route Reflector 構成での RPKI の動作検証 インフラストラクチャ本部データセンターチーム 黒河内倫倫

背景 現 行行でている Router/Switch などでは RPKI を対応していない機器もある RPKI のために Router をリプレースすることは難しい場合もあるため Route Reflector 構成で集中的に管理理できる 方法がないか検討をする なお現状 ibgp で RPKI Validation ができる機種は Juniper 製しかないため 今回は Router Reflector を Juniper 製の機器で実装した JUNOS の実装上 ebgp と ibgp を区別していないだけで 特に ibgp での Validation を意識識した実装というわけではないと予想される

基本情報

基本ネットワーク構成 AS65513(Origin AS) AS65514(Origin AS) AS65515(Origin AS) Router03 192.168.128.13/24 10.13.0.0/16 Router01 192.168.128.11/24 Router04 192.168.128.14/24 10.14.0.0/16 Router05 192.168.128.15/24 Router02 192.168.128.12/24 10.15.0.0/24 AS65511 RouteReflecter01(RR01) RR- Client に返す際に以下の Community をつけて送付 Valid 65535:3 Not- found 65535:2 Invalid 65535:1 Validation Router01,02 RR01 から受け取った Community を元に 以下の通り LP 値を変更更 Valid 150 Not- found 100 Invalid 50 RouteReflecter01(Juniper M7i) 192.168.128.50/24 ROA Server 192.168.128.1/24

物理理結線図 192.168.128.0/24 VMware ESXi サーバ Router01 (CSR1000v) Router02 (CSR1000v) Router03 (CSR1000v) ROA Server Router04 (CSR1000v) Router05 (CSR1000v) RouterReflecter2 (CSR1000v) RouteReflecter1(Juniper M7i) OS Juniper M7i : JUNOS 12.3R8.7 CSR1000v : IOS- XE 15.4 機材提供 :JPNIC 様

ROA Prefix MaxLengeth AS-Number 10.12.0.0/16 24 AS65512 10.13.0.0/16 24 AS65513 10.14.0.0/16 24 AS65514 10.15.0.0/16 24 AS65515 IP2AS-Number

検証

検証 1(Invalid 経路路の送付 ) AS65512 で広報する経路路を 誤った経路路に設定し RR で Validation できるか確認する AS65512(Mis Originated AS) AS65514(Origin AS) 10.13.0.0/16 MisOriginPrefix Router03 192.168.128.13/24 Router04 192.168.128.14/24 10.14.0.0/16 Router01 192.168.128.11/24 Router02 192.168.128.12/24 AS65511 Validation RouteReflecter01 192.168.128.50/24 ROA Server 192.168.128.1/24

RouteReflector01Validation Client(Router01,02)LPBestPath

検証 2(Invalid 経路路と Best Path Selection) AS65512 で広報する経路路を AS65514 の経路路に設定し RR で Validation できるか確認する またその際に Router01 で 10.14.0.0/16 の Best Path が AS65514 となるか AS65512(Mis Originated AS) AS65514(Origin AS) 10.14.0.0/16 MisOriginPrefix Router03 192.168.128.13/24 Router04 192.168.128.14/24 10.14.0.0/16 Router01 192.168.128.11/24 Router02 192.168.128.12/24 AS65511 Validation RouteReflecter01 192.168.128.50/24 ROA Server 192.168.128.1/24

RouteReflector01Validation Client(Router01,02)LPBestPath 10.14.0.0/16Nexthop192.168.128.14@AS65514

検証 3(Longest Match) AS65515 で広報する経路路を AS65514 の経路路に設定を 行行い 更更に 小さいサブネットに設定 この場合 RR01 で Validation できるか また Router01 で AS65514 を BestPath に選択できるか AS65512(Origin AS) AS65514(Origin AS) AS65515(Mis Originated AS) Router03 192.168.128.13/24 10.12.0.0/16 Router04 192.168.128.14/24 10.14.0.0/16 Router05 192.168.128.15/24 10.14.0.0/24 MisOriginPrefix Router01 192.168.128.11/24 Router02 192.168.128.12/24 AS65511 Validation RouteReflecter01 192.168.128.50/24 ROA Server 192.168.128.1/24

10.14.0.0/16@AS65514RouteReflector01 Router02BestPath RouteReflector01 Router02LongestMatch 10.14.0.0/24

検証 4(RR2 台構成 ) 片側の Router Reflector のみ RPKI が動作していている状況で AS65512(Mis Originated AS) AS65514(Origin AS) 10.13.0.0/16 MisOriginPrefix Router03 192.168.128.13/24 Router04 192.168.128.14/24 10.14.0.0/16 Router01 192.168.128.11/24 Router02 192.168.128.12/24 AS65511 Validation RouteReflecter02 192.168.128.16/24 RouteReflecter01 192.168.128.50/24 ROA Server 192.168.128.1/24

Router01,02Route Reflector01 ValidationCommunityRoute Reflector02 ASRouteReflector2 Policy

考察

Route Reflector での ibgp での Validation 自体は可能 前提としては ibgp で Validation 可能な Juniper のみ ただし BGP の特性上 同 一 AS 上の経路路については BestPath のみ広報されるため 一つの Router に同 一経路路で複数の Path がある場合は Valid になるはずの経路路が Router Reflector まで 届かない ADD- Path や BGP- Confederation を利利 用すれば 可能かもしれないが 今回は機器や時間の関係上 そこまではできなかった

まとめ

全体として 現在のところは ASBR(eBGP) 側で Validation を 行行うことが 無難な実装 方法であると考える ibgp での実装も可能ではあるものの 対応機器も限定的であり かつ内部の構成も複雑化させなければならないケースもある ただし RPKI の普及促進や経路路の集中管理理を考えた場合 Route Reflector での集中管理理ができた 方が良良いこともあると思う

Internet 上のどこで Validation すべきか? ただし すべての End の AS のすべての ASBR で Validation を実装することは おそらく難しいと思われる そのため Transit や IX など上位の接続となるキャリアが Validation した結果を 接続先の AS に伝えることが望ましい IX の場合は Route Server を利利 用した経路路伝搬をサポートすればよい 個別の Peering で実装していくことは難しいだろう 提供 方法としては Validation した結果を BGP- Community で送付するのが現実的であろう

仮に Route Reflector 構成で Validation を実装する場合 非常に限定的ではあるが 以下の構成を実装することで Route Reflector 構成でも Validation を実装することは可能である 1. ASBR にてすべての経路路を Route Reflector に送信できる仕組みにする ext) 1Router に 1Transit だけを収容し ASBR で Best Path Selection をさせないなど 2. Route Reflector には ibgp で Validation 可能な Juniper 製の機器を選定する ただし今後の Junos の仕様 方針によっては ibgp での Validation ができなくなる可能性もある

最後に

今回の検証にご協 力力いただいた 方 インターネットマルチフィード株式会社 川上雄也さん 一般社団法 人 日本ネットワークインフォメーションセンター 岡 田雅之さん ご協 力力ありがとうございました

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック