JPNIC Blog JPNIC

「RPKIのROVをいじって考える野良BoF」開催レポート

event_team  JPNICからのお知らせ JPNICのイベント インターネットの技術

 2022年7月に開催されたJANOG50 Meeting in Hakodateで、RPKI/ROVに関する野良BoFを開催しました。タイトルは「RPKIのROVをいじって考える野良BoF」です。本稿ではその様子を紹介します。

 また、8月末に野良BoFをキャッチアップするRPKI・ROVのハンズオンセミナーをオンラインで無料開催します。詳細は末尾に記載していますので、RPKI・ROVに興味のある方は、ぜひご参加ください!!

野良BoFの様子。現地とオンラインのハイブリッドで開催しました。オンラインで登壇するJPNIC木村と会場の様子(左)
現地登壇するJPNIC塩沢とBBIX芦田さん。ROVの効果をご覧いただくために、仮想環境も用意しました(右)

RPKIのROVを見てみる、いじってみる

JPNICより分配されたIPアドレスに対するRPKIのROA(Route Origin Authorization)カバー率は、IPv4では47.1%、IPv6では62%です(2022年6月現在)。BGPルータにおいてROAを使ったBGP経路の検証(Route Origin Validation – ROV)は、AWS、Google、CloudFlare他、国際的な通信事業者で導入されていますが、国内ではあまり進んでいません。

そこで、このBoFではBBIX株式会社の芦田さん、当センターの木村・塩沢の3名が登壇し、仮想環境で実際に不正な経路を流してみてROVを行いながら、BGPルータの挙動を見たり、参加者も交えてROVの導入に関して議論しました。

BoFのアジェンダは以下の通りです。

1.ROVで経路をCHANGE -10分くらいで魅せるROVの効果  – JPNIC 塩沢 啓

2.1にまつわるエトセトラ – JPNIC 木村 泰司

まずは、JPNICの模擬環境でROVの効果をご覧いただきました。その後、ハンズオン形式でJPNICのハンズオン環境にログインし、ROVの設定や経路表を見ました。

3.経路探訪 -珠玉のROV- BBIX 芦田 宏之さん

フルルート生成用の仮想ルータとROAキャッシュサーバがあるデモ環境を用意し、あえてミスオリジンな経路を流してみたり、ROVの設定をいれた仮想ルータの挙動をご覧いただいたりしました。

4.ディスカッション

ROVを有効にしたBGPルータの挙動をみながら、ROV導入に向けて参加者とディスカッションをしました。

ROV導入に関する疑問や検討すべきポイントは?

ディスカッションタイムでは、参加者も交えてROVの導入に関する疑問や検討すべきポイントについて話し合いました。ディスカッションで出た話題を簡単に紹介したいと思います。

  • リスタートすると、ルーティングできるようになるまでに時間がかかるのでは?
    …今回のBoFでの模擬環境(80万に近い経路数)でリスタートしてみたところ、通常のBGP機能のリスタートと大きく変わらなかった。
  • ROVを導入しても効果がないことがある。どこでROVをするといいのか。
    …まずは自ASでの観測は必要である。その上でCDNやDNSなど利用されるサービスを踏まえてトポロジーをみていく必要もある。
    …ROVが行われるといい場所は、必ずしも自ASではない可能性もある。 
  • ROAキャッシュサーバへの経路が不正経路の影響を受けてしまうことが考えられる。
    …キャッシュサーバは自社の環境にあったほうが安心ではある。
    …セットアップ自体は Docker 利用などで簡略化が可能。ただし、冗長構成や監視を踏まえると実験運用も検討する必要がある。
  • Invalid 経路の考え方について、dropすると綺麗に落とすことができるが、中身を見ずにdropしてもいいのか?
    …以下のような段階的な対応が考えられるので、サービスに応じて検討するといいのではないか。
     ①Invalid 経路をみるだけ
     ②Local Preferenceを下げる(ベストパスになる可能性を残す)
     ③Communityの値をセットする(周辺情報などからdrop)
     ④Invalid 経路をすべてdrop  

会場からは、ROVをすでに導入している参加者からInvalid経路の考え方や、導入の判断などについてもコメントをいただきました。現地会場では約30名、オンラインでも約30名と多くの方にご参加いただき、ROVの導入についても参加者も交えながらディスカッションすることができました。

なお、一部の資料はJANOG50のWebサイトでも公開しています。

また、JPNICの模擬環境で行ったROVの効果はYouTubeでも公開しています。不正な経路を流して偽のWebサイトに誘導しているような環境で、BGPルータにROVを導入し不正な経路がdropされる様子をご覧いただけます。ROVの設定やその効果などの概略を知ることができますので、ぜひご覧ください。

 

野良BoFをキャッチアップするRPKIハンズオンセミナーを開催します

野良BoFでのROV体験をご希望するお声をいただきましたので、この度、JPNICであらためて8月末にオンラインのキャッチアップセミナーを開催することになりました。JPNICの用意した模擬環境でルータを操作しながら、ROVを体験していただきます。
参加費は無料ですので、RPKI/ROVを体験したい方はぜひご参加ください!

  • タイトル RPKIハンズオン ~ROVを体験/JANOG50野良BoFキャッチアップ~
  • 開催日時 2022年8月31日(水) 16:00~17:30
  • 開催形態 オンライン(Zoom Webinar)
  • 参加登録 https://us06web.zoom.us/webinar/register/5716605315583/WN_VCbiMtp5RFKJKa584pP1_Q
    • 定員は14名です
    • 一社から複数名でのご参加が可能です。その際には一名様のみ登録され、ご参加URLをご共有いただくことでご参加いただけます。
  • ご用意いただきたい環境
    • 本ハンズオン受講用のPC 
    • SSHクライアント(TeraTerm、Putty等)が利用可能であること
    • TCP 22022ポートでの通信が可能であること (ハンズオンサーバにSSHでログインし操作していただきます)

この記事を評価してください

この記事は役に立ちましたか?
記事の改善点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。