Suche senden
Hochladen
JANOG35_RPKIやってみませんか? 20150120
•
0 gefällt mir
•
312 views
Osamu Kurokochi
Folgen
RPKIやってみませんか?
Weniger lesen
Mehr lesen
Internet
Melden
Teilen
Melden
Teilen
1 von 28
Jetzt herunterladen
Downloaden Sie, um offline zu lesen
Empfohlen
ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208
Osamu Kurokochi
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
Osamu Kurokochi
Application performance gree_20140908
Application performance gree_20140908
Osamu Kurokochi
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Osamu Kurokochi
RPKIやってみませんか?
RPKIやってみませんか?
gree_tech
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
v6app
show コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudy
akira6592
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方
akira6592
Empfohlen
ハイブリッドクラウド活用セミナー 20141208
ハイブリッドクラウド活用セミナー 20141208
Osamu Kurokochi
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
JANOG35_RouteReflector構成でのRPKI動作検証 20150120
Osamu Kurokochi
Application performance gree_20140908
Application performance gree_20140908
Osamu Kurokochi
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルプラットフォーム開発設計秘話nw編_20131114
Osamu Kurokochi
RPKIやってみませんか?
RPKIやってみませんか?
gree_tech
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
v6app
show コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudy
akira6592
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方
akira6592
#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと
recotech
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
v6app
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
Akira Nakagawa
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
recotech
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart Gateway
Atomu Hidaka
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
シスコシステムズ合同会社
Jeopardy
Jeopardy
worldofcasterboarding
Amarnath Resume 12-10-16
Amarnath Resume 12-10-16
Amarnath Thangavel T
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
beatrizarnal
Ketan
Ketan
ashish7777794
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001
Tulsi99
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editor
VLabTasks
SHELL 2011 slides
SHELL 2011 slides
Fuminori Nakamura
Biclce6 2015 presentation
Biclce6 2015 presentation
Fuminori Nakamura
ejemplo
ejemplo
sistemasinstituto20
Suresh resume
Suresh resume
Kr Suresh
Thank You Veterans
Thank You Veterans
cag40oz
Olympics 2028 2
Olympics 2028 2
Zaynab Lasshab
Pradeep.ii
Pradeep.ii
Pradeep Jaswani
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)
Goa App
UV ray spectrophotometer
UV ray spectrophotometer
Goa App
161218 cybozu SRE
161218 cybozu SRE
tomonori-saito-cybozu
Weitere ähnliche Inhalte
Was ist angesagt?
#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと
recotech
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
v6app
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
Akira Nakagawa
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
recotech
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart Gateway
Atomu Hidaka
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
シスコシステムズ合同会社
Was ist angesagt?
(6)
#recotech_レガシーなシステムから立て直すためにしたこと
#recotech_レガシーなシステムから立て直すためにしたこと
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
Lightweight Language Diverプレゼン資料:アプリケーションのIPv6対応のススメ(LL編)
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
IPv6移行の現状 〜 宅内端末から見た IPv6 と IPv4〜
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
#reco_tech OracleからAuroraへ feat. 開発しかやってこなかったエンジニア
EnOcean Over IP and EnOcean Smart Gateway
EnOcean Over IP and EnOcean Smart Gateway
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
【Interop Tokyo 2015】 L 02: シスコ技術者認定 ~CCNP Routing and Switching セルフラーニングラボ ~
Andere mochten auch
Jeopardy
Jeopardy
worldofcasterboarding
Amarnath Resume 12-10-16
Amarnath Resume 12-10-16
Amarnath Thangavel T
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
beatrizarnal
Ketan
Ketan
ashish7777794
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001
Tulsi99
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editor
VLabTasks
SHELL 2011 slides
SHELL 2011 slides
Fuminori Nakamura
Biclce6 2015 presentation
Biclce6 2015 presentation
Fuminori Nakamura
ejemplo
ejemplo
sistemasinstituto20
Suresh resume
Suresh resume
Kr Suresh
Thank You Veterans
Thank You Veterans
cag40oz
Olympics 2028 2
Olympics 2028 2
Zaynab Lasshab
Pradeep.ii
Pradeep.ii
Pradeep Jaswani
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)
Goa App
UV ray spectrophotometer
UV ray spectrophotometer
Goa App
Andere mochten auch
(15)
Jeopardy
Jeopardy
Amarnath Resume 12-10-16
Amarnath Resume 12-10-16
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Activitat1 Aprenentatge d'un idioma amb recursos educatius tecnologics
Ketan
Ketan
Alluru madhuri(07 xqcm6001
Alluru madhuri(07 xqcm6001
ImageSandBox - rich functionality image editor
ImageSandBox - rich functionality image editor
SHELL 2011 slides
SHELL 2011 slides
Biclce6 2015 presentation
Biclce6 2015 presentation
ejemplo
ejemplo
Suresh resume
Suresh resume
Thank You Veterans
Thank You Veterans
Olympics 2028 2
Olympics 2028 2
Pradeep.ii
Pradeep.ii
Atomic Absorption Spectroscopy (www.Redicals.com)
Atomic Absorption Spectroscopy (www.Redicals.com)
UV ray spectrophotometer
UV ray spectrophotometer
Ähnlich wie JANOG35_RPKIやってみませんか? 20150120
161218 cybozu SRE
161218 cybozu SRE
tomonori-saito-cybozu
ログについて改めて考えてみた
ログについて改めて考えてみた
株式会社オプト 仙台ラボラトリ
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Tomoya Hibi
Automation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
softlayerjp
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
真吾 吉田
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM,INC
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Kazuya Sugimoto
Cephベンチマーク kvm
Cephベンチマーク kvm
Toshimi Kawabata
【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化
Developers Summit
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
v6app
Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善
Takashi Honda
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
Developers Summit
災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」
Masaru Hiroki
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT
aitc_jp
楽ちんユーザー認証付Spa
楽ちんユーザー認証付Spa
Takahiro Tsuchiya
Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下
Koyo Takenoshita
おすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップ
Koichiro Sumi
Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介
オラクルエンジニア通信
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
オラクルエンジニア通信
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
Sho Yoshida
Ähnlich wie JANOG35_RPKIやってみませんか? 20150120
(20)
161218 cybozu SRE
161218 cybozu SRE
ログについて改めて考えてみた
ログについて改めて考えてみた
Lagopus Project (Open Source Conference)
Lagopus Project (Open Source Conference)
Automation with SoftLayer and Zabbix
Automation with SoftLayer and Zabbix
AWSによるサーバーレスアーキテクチャ
AWSによるサーバーレスアーキテクチャ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
SORACOM Conference Discovery 2017 ナイトイベント | Discovery ラップアップ
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Java クライント実装におけるAPIスタイル頂上決戦! 野良REST vs GraphQL vs OData vs OpenAPI (Swagger)
Cephベンチマーク kvm
Cephベンチマーク kvm
【15-B-L】Spinnakerで実現するデプロイの自動化
【15-B-L】Spinnakerで実現するデプロイの自動化
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
20141023 IPv6 Summit in FUKUOKA 2014 IPv6対応Webサービスの作り方
Infrastructure as Codeの取り組みと改善
Infrastructure as Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
【20-E-5】実践!Infrastructure as a Codeの取り組みと改善
災害対策セミナー 「検証プロジェクト報告と事例紹介」
災害対策セミナー 「検証プロジェクト報告と事例紹介」
2016年2月4日 空間OSの設計コンセプトと先端IT
2016年2月4日 空間OSの設計コンセプトと先端IT
楽ちんユーザー認証付Spa
楽ちんユーザー認証付Spa
Mbed祭り 2017@春の新横浜 20170225 竹之下
Mbed祭り 2017@春の新横浜 20170225 竹之下
おすすめインフラ! for スタートアップ
おすすめインフラ! for スタートアップ
Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Advanced Security Transparent Data Encryptionのご紹介
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
Oracle Cloud PaaS & IaaS:2019年6月度サービス情報アップデート
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
情熱Smalltalker SmalltalkとAWSでクラウドサービスを実現するための挑戦
JANOG35_RPKIやってみませんか? 20150120
1.
Copyright © GREE,
Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved. RPKIやってみませんか? インフラストラクチャ本部 データセンターチーム マネージャー ⿊黒河内 倫倫
2.
Copyright © GREE,
Inc. All Rights Reserved. ⽒氏名 ⿊黒河内 倫倫(くろこうち おさむ) 所属 グリー株式会社 インフラストラクチャ本部 データセンターチーム マネージャー プロフィール 2002年年 イッツ・コミュニケーションズ株式会社 2006年年 楽天株式会社 ネットワーク構築・運⽤用チーム 2011年年 グリー株式会社 データセンターチーム ⾃自⼰己紹介
3.
Copyright © GREE,
Inc. All Rights Reserved. 会社紹介 従業員数 1,867⼈人(グループ全体・2014年年09⽉月末時点) 事業内容 ソーシャルゲーム事業 ソーシャルメディア事業 プラットフォーム事業 広告・アドネットワーク事業 ライセンス&マーチャンダイジング事業 ベンチャーキャピタル事業
4.
Copyright © GREE,
Inc. All Rights Reserved. 1. グリーとしてのRPKIへのモチベーション 2. モックアップ環境での検証 3. Production環境適⽤用にむけて 4. 課題と感じたところ 5. まとめ ⽬目次
5.
Copyright © GREE,
Inc. All Rights Reserved. 1. グリーのRPKIへの モチベーション
6.
Copyright © GREE,
Inc. All Rights Reserved. Securityというよりは障害検知が目的 弊社は事業上、⽇日本の携帯キャリアへの通信が多い 携帯キャリアだけのPrefix/IPアドレス数だけであれば少ないものの、 NATを利利⽤用しているため、1Prefixあたりのユーザ数は多い そのため1Prefixでも障害が発⽣生した場合、その影響範囲は⼤大きい もし、Mis-‐‑‒Originationされた経路路がBGPで広報されても 何かしらの形で対応できる⼿手段が欲しい RPKIに期待
7.
Copyright © GREE,
Inc. All Rights Reserved. RPKIで守れること 他ASのPrefixがMis-‐‑‒Originationされた際の対応が可能 具体的にはROAサーバの情報とBGPで受診した経路路を⽐比較し その結果を⽤用いて、attributeを書き換えることができる 守れるもの 守れないもの ⾃自ASのPrefixがMis-‐‑‒Originationされた際 → BGPMON/経路路奉⾏行行などで対応可能 ASごとMis-‐‑‒Originationされた際 → 後ほど岡⽥田さんより詳細な説明あり
8.
Copyright © GREE,
Inc. All Rights Reserved. 2. モックアップ環境での検証
9.
Copyright © GREE,
Inc. All Rights Reserved. まずはモックアップ検証 ROAサーバ JPNIC様のROAキャッシュサーバを利利⽤用 更更に弊社(AS55394)のPrefixをROAサーバに登録 ネットワーク検証環境 以下のソフトウェアを⽤用意して検証を⾏行行った VMware ESXi5.1 CISCO CSR1000v Juniper FireFly ※いずれもMakerのSiteからDownload可能
10.
Copyright © GREE,
Inc. All Rights Reserved. CSR1000v OS : IOS-XE 3.10.03.S IPアドレス :192.168.1.48/24 AS番号 : 65000 Firefly OS : JUNOS 12.1X46-D10 IPアドレス :192.168.1.49/24 AS番号 : 65001 ESXiサーバ 検証環境Gateway 192.168.1.0/24 インターネット 192.41.192.218 (JPNIC様 ROAキャッシュサーバ) RPKIプロトコル BGP Peer ダミー経路送信 10.0.0.0/8 116.93.144.0/20 グローバルIPにNAT Origin Validation 検証構成 route-map origin-validation permit 10 match rpki invalid set local-preference 90 route-map origin-validation permit 20 match rpki not-found set local-preference 100 route-map origin-validation permit 30 match rpki valid set local-preference 110
11.
Copyright © GREE,
Inc. All Rights Reserved. 検証結果 イレギュラーパターンで問題は発⽣生したものの ROAサーバへの接続、OriginValidation⾃自体は問題なく動作した csr1000v#show ip bgp Status codes: s suppressed, d damped, h history, * valid, > best, i -‐‑‒ internal, r RIB-‐‑‒failure, S Stale, m multipath, b backup-‐‑‒path, f RT-‐‑‒Filter, x best-‐‑‒external, a additional-‐‑‒path, c RIB-‐‑‒compressed, Origin codes: i -‐‑‒ IGP, e -‐‑‒ EGP, ? -‐‑‒ incomplete RPKI validation codes: V valid, I invalid, N Not found Network Next Hop Metric LocPrf Weight Path I*> 116.93.144.0/20 192.168.1.49 90 0 65001 i N*> 10.0.0.0/8 192.168.1.49 100 0 65001 i csr1000v#show ip bgp rpki table | inc 116.93.144.0 116.93.144.0/20 24 55394 0 192.41.192.218/323 116.93.144.0 ROAサーバ上はAS55394-Originだが受信経路は65001-Originのため”Invalid” → LP90 10.0.0.0 ROAサーバに登録がないため”Not Found” → LP100 JPNIC様のROAサーバから受信されている
12.
Copyright © GREE,
Inc. All Rights Reserved. 3. Production環境適⽤用に向けて
13.
Copyright © GREE,
Inc. All Rights Reserved. グリーで考えている構成案 構成概要 ASR9000を利利⽤用する予定 Route ReflectorでOriginValidationを⾏行行う ※全BGP-‐‑‒RouterがRPKI対応していないため 設計ポリシー Local Preferenceで制御 invalidの場合:Local Preference”-‐‑‒50” not-‐‑‒foundの場合:Pass validの場合:Local Preferenceを”+50” ROAサーバ 未定(考え中)
14.
Copyright © GREE,
Inc. All Rights Reserved. ASR9000でのRoute Reflector構成を検討 ASR9000 (Route Reflector) ASR9000 (Route Reflector) Route ReflectorでValidationを⾏行行い、それをClientに返せるか!? Origin Validation TransitRouter TransitRouter TransitRouter そもそもValidationできませんでした RPKI⾮非対応 RPKI⾮非対応 RPKI⾮非対応
15.
Copyright © GREE,
Inc. All Rights Reserved. RPKIはiBGPでは対応していない RFCにも(明⾔言はされていないが)、 基本的にはExternalの接続を想定されている そのためeBGPのみに適⽤用される 外部接続部分のRouterでValidationを⾏行行う前提に 標準化もRouterOSも実装もされている この様にAS内の⼀一箇所で集中的に Validationする設計はできない
16.
Copyright © GREE,
Inc. All Rights Reserved. 4.課題と感じたところ 環境の都合上、Cisco様の機器をベースに情報を記載をさせて頂きます
17.
Copyright © GREE,
Inc. All Rights Reserved. IPv4とIPv6の指定ができない(不不具合がある訳ではない) IPv4だけのネットワークでも、ROAサーバにIPv6の情報があれば、 IPv4/IPv6すべての情報がSyncされてしまう ROAサーバ側の課題(その1) IPv4/IPv6の指定が出来ない
18.
Copyright © GREE,
Inc. All Rights Reserved. RPKIにはMaxlenという(MaxPrefixLength)という項⽬目があるが、 このようなテーブルを発⾒見見した ROAサーバ側の課題(その2) Maxlenが活かされてない Network Maxlen Origin-AS Source Neighbor 2.0.0.0/16 16 3215 0 210.173.170.254/323 2.0.0.0/12 16 3215 0 210.173.170.254/323 2.1.0.0/16 16 3215 0 210.173.170.254/323 2.2.0.0/16 16 3215 0 210.173.170.254/323 2.3.0.0/16 16 3215 0 210.173.170.254/323 2.4.0.0/16 16 3215 0 210.173.170.254/323 2.5.0.0/16 16 3215 0 210.173.170.254/323 2.6.0.0/16 16 3215 0 210.173.170.254/323 2.8.0.0/16 16 3215 0 210.173.170.254/323 2.9.0.0/16 16 3215 0 210.173.170.254/323 2.10.0.0/16 16 3215 0 210.173.170.254/323 2.11.0.0/16 16 3215 0 210.173.170.254/323 2.12.0.0/16 16 3215 0 210.173.170.254/323 2.13.0.0/16 16 3215 0 210.173.170.254/323 2.14.0.0/16 16 3215 0 210.173.170.254/323 こちらの詳細は、後ほど岡⽥田さんより別途ご説明
19.
Copyright © GREE,
Inc. All Rights Reserved. ネットワーク機器の課題(その1) OriginValidation時の挙動 OriginValidationはRoute[map/Policy]で定義を⾏行行う そのため動作としては、基本的に Ext] communityの添付 Local Preferenceの添付 などattributeを変更更することしか出来ない Invalid = “Mis-‐‑‒Origination”されているという状況であるため、 ここはalert(snmp/syslog)をあげる仕組みが欲しい
20.
Copyright © GREE,
Inc. All Rights Reserved. ネットワーク機器の課題(その2) Reboot時の挙動 機器にRebootなどが発⽣生すると、 起動後のRoute(map/Policy)がすべてNotFoundの扱いとなってしまう 原因は起動時の動作が以下の通りとなるからである 1. RouterのOS起動 ↓ 2. BGP-Neighborが張られる ↓ 3. ただしこの時点ではROAサーバとのPeerが貼れていない そのためROA情報がないため、Route[map/Policy]が 全部Not-found扱いでFIBが作成される ↓ 4. その後RPKIサーバに問い合わせる、 しかしFIBは完成しているため、FIB情報は上書きされない エビデンス:clear ip bgp (soft)でFIBに書きかわる 対処⽅方法:設定で回避可能であるか確認中(eemであれば対応可能)
21.
Copyright © GREE,
Inc. All Rights Reserved. ネットワーク機器の課題(その3) 情報が少ない 弊社の環境上、Cisco機器(ASR9000/CSR1000v)での実装だった 特にASR9000(IOS-‐‑‒XR)については⾮非常に苦労した 今回、Production環境の実装に向けては、 Cisco様に多⼤大なご協⼒力力を頂いたが、Cisco様の中でも情報が少なかった RPKIは2年年以上前に実装されているにも関わらず、 現状利利⽤用Userが殆どいないことがわかった
22.
Copyright © GREE,
Inc. All Rights Reserved. ROAキャッシュサーバの課題 配置方法PublicなROAサーバはインターネットのどこに配置すべきか? EndUser Validationされた経路路がほしいユーザもいれば ⾃自社でValidationしたいユーザもいる ユーザとしては2つの提供パターンが欲しいがTransit/IXには負担がかかる Transit ValidationしたPrefixを提供するサービス ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス IX(Internet Exchange) Route SeverでValidationを⾏行行い、Prefixを提供するサービス ROAサーバを提供して、提供ユーザ側でValidationしてもらうサービス
23.
Copyright © GREE,
Inc. All Rights Reserved. 5.まとめ
24.
Copyright © GREE,
Inc. All Rights Reserved. 現状のRPKIを取り巻く状況 ROAキャッシュサーバ RIRの⾜足並みが揃っていないと感じる + 国際移転アドレスがAPNICのROAサーバに登録できなかった + 登録⽅方法がRIRごとによってまちまちに⾒見見えた ここはうまく連携をしてほしい RPKI⾃自体の信頼性が無くなるようなことには、なって欲しくない Routerの実装 RPKIに対応しているMakerも少ない またMakerでも情報や導⼊入実績が少ない 実装⾯面でも強化が必要 まだまだこれからのプロトコル
25.
Copyright © GREE,
Inc. All Rights Reserved. 今後のRPKI 本当の最終ゴールは”BGPSEC”としたい BGPSEC=”Origin Validation”+”Path Validation” ただ”Origin Validation”できなければ、 ”BGPSEC”は実現できないと考える 幸い、RPKIは検証は簡単にできる まずは⼀一緒にRPKIを使い倒してみませんか?
26.
Copyright © GREE,
Inc. All Rights Reserved. あるべき姿 まだこの辺り 1.インターネット上でのマスク⻑⾧長勝負がなくなる ※吸い込まれたら吸い込み返す世界はNo!!! 2.Secureでないネットワークが インターネットに繋がっても、他の事業者に影響しない 3.間違ったPrefixが広報されても、Routingされない まず最初の⼀一歩を踏み出そう!
27.
Copyright © GREE,
Inc. All Rights Reserved. 参考資料 RPKI https://www.nic.ad.jp/ja/rpki/ BGPSEC https://www.ipa.go.jp/security/fy23/reports/tech1-‐‑‒tg/b_̲07.html JANOG http://www.janog.gr.jp/meeting/janog30/program/rpk.html http://www.janog.gr.jp/meeting/janog31/program/rpki.html http://www.janog.gr.jp/meeting/janog32/program/rpki.html Nanog https://www.nanog.org/meetings/nanog52/presentations/Sunday/110612.nanog-‐‑‒origin-‐‑‒validation.pdf https://www.nanog.org/meetings/nanog49/presentations/Tuesday/bgp-‐‑‒origin-‐‑‒validation-‐‑‒FINAL.pdf
28.
Copyright © GREE,
Inc. All Rights Reserved.Copyright © GREE, Inc. All Rights Reserved.
Jetzt herunterladen