ニュースレターNo.48/2011年7月発行
APNICとの技術的な情報交換
はじめに
APRICOTミーティングは、環太平洋地域のIPアドレスポリシーや技術動向の情報交換、技術者同士の交流を目的とし、毎年2月末から3月初頭にかけて開催されています。また、年に2回開催されるAPNICミーティングと共催となることが毎年の恒例となっています。
余談ですが、今年はアジア太平洋地域の研究・教育ネットワークを取りまとめた組織およびその会議であるAPAN (Asia-Pacific Advanced Network Consortium) とAPRICOTが合同で開催され、APRICOT-APAN 2011カンファレンスとなりました。
本稿では、筆者の参加目的の一つであった、APNICとの情報交換についてお知らせします。
APNIC技術チームとの情報共有
2011年2月22日(火)の午前中、NIR SIGが開催されました。NIR SIGは毎回のAPNICミーティングで開催されており、APNICとAPNIC管理地域下のNIRとの情報共有、意見交換を目的としています。NIR SIGでは、システムに関する話題だけでなくアドレス申請やアドレスポリシーにも関わる内容が含まれますが、本稿では、筆者が特に関係するアドレス申請や、逆引きDNSシステムに関する話題を中心にお届けします。
今回のNIR SIGには、APNICの他にCNNIC、TWNIC、KRNICなどのAPNIC管理下地域の各NIRが参加しており、過去のNIR SIGでは、毎回APNIC技術チームからAPNICがその年に実施する重要なシステム開発計画などが共有され、参加したNIRとの意見交換が行われてきました。
今回のNIR SIGでは特に、APNICが管理する逆引きDNSにおけるDNSSEC対応とリソース証明書に関する対応状況やスケジュールが共有されました。また、この他にも、APNICとの個別相談の形で、JPNICからAPNICの技術担当へ、逆引きDNSに関する問題の状況確認と反映監視について情報を交換しました。
以降でこれら2点について詳細を報告します。
(1)逆引きDNSにおけるAPNICのDNSSEC対応
APNICでは、2008年度から逆引きDNSへのDNSSEC導入の検討を開始し、現在まで試験システムの開発を継続しています。前回のAPNIC北京ミーティングやAPRICOTクアラルンプールミーティングでの報告では、2010年下半期には、導入に向けたテストを開始する予定となっていました。しかしながら、開発の進捗状況や他の組織との連携が必要であり、NIRとの逆引きDNSSECに関するシステム導入テストは、2011年の6月からスタート可能であることが共有されました。
具体的には、APNICメンバーやNIRが利用するAPNIC IPアドレス申請システム「MyAPNIC」において、DNSSEC関連機能の実装と提供が2011年6月頃となり、希望するNIRやメンバーに試験提供されることが明らかとなりました。なお、補足として、NIRやAPNICメンバーの逆引きDNSに関するDNSSEC対応は任意であるとされ、APNICが強制することは、現時点ではないことも併せて明確にされました。
JPNICとしては、逆引きDNSへのDNSSEC対応については、以前から継続して検討中のステータスであり、今後の実装やシステム開発などの対応以前に、そもそも対応するかどうか自体が未定となっていますが、NIRが実施する際に必要な、APNICとNIR間向けのデータ転送システムにおけるDNSSEC対応については、MyAPNICと同様に対応可能であることはわかっています。
APNICのDNSSEC対応に伴うシステム変更は、既存のシステムへ機能を追加する形で進め、既存システムへの影響は軽微であることが何度も説明されました。APNICでは、これまで通り、逆引きDNSに関連するシステムは利用可能であり、特に新規システムへの移行なども発生しないことが分かりました。
JPNICは、JPNICが管理するIPアドレス逆引きについて、1日に数回、逆引きDNSのゾーンデータが正しくネームサーバへ反映されているかを継続してモニタリングしています。最近、APNIC技術チームの対応や改善の成果もあって、直近の半年間はかつて発生していた逆引きに関するトラブルがほとんど発生しなくなりました。DNSSEC機能追加時にも、現在の安定した状況が継続することを期待している旨をAPNIC担当者へ伝えました。今後も継続してAPNICのシステム運営に関する情報を収集し、APNICとも協力し、JPNIC管理下やその他の地域への問題が発生しない状況を維持したいと考えます。
(2)リソース証明書に関するAPNICの情報共有
近年、RIRや一部の技術者で議論が行われているリソース証明書の実装や実験についての検討状況が、APNICから共有されました。RIRであるAPNICとしては、リソース証明書については継続した研究の段階であって、今すぐにNIRやメンバーに実装を提供できる状況ではないとされました。しかしながら、準備段階として、NIRとしてRPKI(リソースPKI)導入時の業務フローや連携のフローの検討を開始してほしいとアドバイスがありました。また、RPKIシステムの実験については、ISC(Internet Systems Consortium)が開発したテストコードをAPNICからNIRへ提供することも可能、ということが発表されました。
これまでAPNICやJPNICなどIPアドレスレジストリは、ルーティング技術者との関係はIRRを提供すること等、間接的な関係であると筆者は認識しておりました。しかしながら、RPKIやROA(Route Origin Authorization)等が実装され、それがISPなどで本格的に利用される場合、これまで以上に、レジストリとしての運営責任が大きくなり、それに備えていかなければならないと感じました。
終わりに
今回新たに感じたことは、APNICはレジストリとして、ルーティング技術者へ積極的にアプローチしようと、試行を繰り返していることです。筆者が面白いと感じたことの一つは、APNICの周知活動の一環として、ルータなどで設定されたBogon FilterなどのACLの更新を促す注意喚起カードが会場において配布されていたことです。こういったことからも、APNICの「ルーティング技術者へリーチしよう」という意気込みを感じました。
JPNICでもJPIRRの運営やリソース証明書の実験などを通し、継続して情報交換・交流を継続し、今後、レジストリがルーティング技術者とどのように連携すればよいかを、考えていかなければならないと思います。
(JPNIC 技術部 岡田雅之)