IRRにRouteオブジェクトを登録していますか?
ip_team IPアドレス インターネットの技術以前(と言っても、かなり時間が経ってしまいましたが)、JPIRRの登録方法について解説した記事「JPIRRへの一歩」を投稿しました。
JPNICでは、多くの方にJPIRRに登録をいただこうと、新規にAS番号の割り当てを受けられた組織にJPIRR登録をご案内するといった活動を行ってきました。その成果があってか、はたまた世の中の流れか、AS番号の割り当てを行うと、多くの方がJPIRRのMaintainerオブジェクト登録申請をくださるようになりました。とてもありがたいことです。
しかし、Maintainerオブジェクトの登録だけではIRRの機能を活用しているとは言えません。Maintainerオブジェクトは、オブジェクトの登録・変更・削除を行う際の申請者の認証のために使われるもので、それ自体に経路情報の管理機能が備わっている訳ではありません。他のオブジェクト登録を行っていただくことで、JPIRRをフルに活用することができるわけです。
Routeオブジェクト・Route6オブジェクト
Routeオブジェクトは、実際にインターネット上で経路広告が行われているIPアドレスに関する情報を登録するものです。IPv4アドレスに関するものはRouteオブジェクト、IPv6アドレスに関するものはRoute6オブジェクトと呼ばれます。
Routeオブジェクトは、
- 該当するIPアドレスの信憑性の確認
- 特定の経路広告元を検索して、フィルタリングを行いたい時
- 該当するIPアドレスの管理者に対して、問い合わせを行う時
などで利用されます。
JPIRRには、JPNIC経路奉行を活用した「経路ハイジャックが疑われる状態の通知機能」があります。BGP経路情報を元に、JPIRRへ登録されたRouteオブジェクトと異なるOriginを持つBGPの経路情報を検知した際に、JPIRRのオブジェクト登録者に対して経路ハイジャック情報通知を行うという機能です。
この説明で、伝わったでしょうか。裏を返せば、経路ハイジャックが疑われる状態の通知機能を活用いただくには、通知を受けるメールアドレスを登録いただくだけでなく、Routeオブジェクトを登録しておく必要があるということです!まだRouteオブジェクトの登録ができていない方、ぜひやってみましょう。
経路ハイジャック通知機能にはポイントがあります。
- あるMaintainerオブジェクトで管理している全てのRouteオブジェクトに一括して登録したい!
→Maintainerオブジェクトに” X-Keiro”の項目を設定する - Routeオブジェクトごとに通知の受け取り先を設定したい!
→Routeオブジェクトごとに” X-Keiro”の項目を設定する
なお、MaintainerオブジェクトとRouteオブジェクトそれぞれに” X-Keiro”が設定されている場合、Routeオブジェクトに登録されているメールアドレス宛に通知が送られます。多くの方は、Maintainerオブジェクトに” X-Keiro”の項目を設定いただいていると思いますので、Routeオブジェクトごとに通知の受け取り先を設定したい場合は、登録内容を確認してください。
Maintainerオブジェクトに” X-Keiro”の項目を設定する場合 | |
mntner: | MAINT-AS00000 |
descr: | Japan Internet Routing Registry Inc. |
X-keiro : alert@example.jp ※1 | |
admin-c: | AA000JP |
tech-c: | BB000JP |
upd-to: | admin@example.jp |
notify: | admin@example.jp |
mnt-nfy: | admin@example.jp |
auth: | CRYPT-PW ************* |
mnt-by: | MAINT-AS00000 |
changed: | ★登録者(更新者)のメールアドレス★ ★登録(更新)年月日★ ※2 |
source: | JPIRR |
※1:X-keiroの部分は、行の先頭にスペースを入れるのがポイント(項目の表記がありません)
※2:登録(更新)年月日は、「yyyymmdd」の形式(例えば、20200129)で記載します
Routeオブジェクト・Route6オブジェクトに” X-Keiro”の項目を設定する場合 | |
route6: | 2001:0DB8::/32 ※3 |
descr: | Japan Internet Routing Registry Inc. |
X-keiro : alert@example.jp ※4 | |
origin: | AA000JP |
member-of: | BB000JP |
notify: | admin@example.jp |
mnt-by: | MAINT-AS00000 |
changed: | ★登録者(更新者)のメールアドレス★ ★登録(更新)年月日★ |
source: | JPIRR |
※3:IPv4アドレスの場合は、項目の表記(行の先頭)は「route:」となります
※4:X-keiroの部分は、行の先頭にスペースを入れるのがポイント(項目の表記がありません)
Routeオブジェクトの登録方法
auto-dbm@nic.ad.jp 宛に、オブジェクトのフォームをお送りください。既に登録済みのRouteオブジェクトを更新する場合も同じ手続きです。
詳細は、JPIRRでのオブジェクト登録についてをご確認ください。
なお、自組織でASを運用していない(自組織でMaintainerオブジェクトの登録が難しい)場合は、上流の接続先(トランジット先)へIRRの登録をご相談されてみてください。代行して登録をしてくれると思います。
2020年1月22日~24日に開催されたJANOG45ミーティングで、「IRRの登録漏れでセカイのインターネットから隔離されかけたお話」という発表がありました。
IRRにRouteオブジェクトの登録がなかったことで、経路の到達性が失われるという障害に見舞われたとのことでした。
ネットワークの運用においてIRRの利用が欠かせなくなってきていることや、JPNICが提供しているJPIRRのサービスが、インターネットの安定的な運用に貢献できていることを実感するよい機会になりました。
このような障害が自組織のネットワークで起こると考えると、IRRデータベースにRouteオブジェクトを登録しておくことの重要性をご理解いただけるかと思います。この機会にIRRデータベースにRouteオブジェクトの登録がきちんとできているか見直していただくとともに、JPIRRの活用もご検討いただければ幸いです。