1. ROVの設定例
公開 2024年11月13日
目次
1.1 Arista EOS
AS番号を指定して設定を開始します。
arista-eos-xx# configure terminal
arista-eos-xx(config)# router bgp <AS番号>
1. ROAキャッシュサーバを指定し、VRPを受信できることを確認します。
ここでは接続先のROAキャッシュサーバを二つ設定します。 一つ目のROAキャッシュサーバをroa-server1と呼び、 二つ目のROAキャッシュサーバをroa-server2と呼びます。
arista-eos-xx(config-router-bgp)# rpki cache roa-server1
arista-eos-xx(config-rpki-cache-roa-server1)# host <ROAキャッシュサーバのIPアドレス> port <ROAキャッシュサーバのポート番号>
arista-eos-xx(config-router-bgp)# rpki cache roa-server2
arista-eos-xx(config-rpki-cache-roa-server2)# host <ROAキャッシュサーバのIPアドレス> port <ROAキャッシュサーバのポート番号>
設定を確認します。
arista-eos-xx# show running-config
arista-eos-xx# show bgp rpki cache | include Host
arista-eos-xx# show bgp rpki cache
(RPKIキャッシュサーバに接続していれば情報が表示されます。)
VRPを受信できていることを確認します。
VRPを表示します(IPv4)。
arista-eos-xx# show bgp rpki roa ipv4
:
VRPを表示します(IPv6)。
arista-eos-xx# show bgp rpki roa ipv6
:
サマリーを表示します。
arista-eos-xx# show bgp rpki roa summary
特定のVRPは得られているかを確認します。
(192.0.2.0/24の VRPが得られているかを確認します。)
arista-eos-xx# show bgp rpki roa ipv4 | include 192.0.2.0/24
2. ROVの判定結果に従って経路情報を扱うルールを設定します。
ROVを有効にした後にroute-mapを設定します。 以下はInvalidと判定された経路情報を採用しないケースです。 Validと判定された経路情報のlocal-preference値を100に、 Not Foundと判定された経路情報のlocal-preference値を50に設定しています。 続いて、IPv4のneighborに対してroute-mapを適用します。 例では203.0.113.1と203.0.113.2です。
arista-eos-xx(config-router-bgp)# rpki origin-validation
arista-eos-xx(config-rpki-origin-validation)# ebgp local
arista-eos-xx(config)# route-map ROUTES-IN deny 10
arista-eos-xx(config-route-map-ROUTES-IN)# match origin-as validity invalid
arista-eos-xx(config-route-map)# exit
arista-eos-xx(config)# route-map ROUTES-IN permit 20
arista-eos-xx(config-route-map-ROUTES-IN)# match origin-as validity valid
arista-eos-xx(config-route-map-ROUTES-IN)# set local-preference 100
arista-eos-xx(config-route-map)# exit
arista-eos-xx(config)# route-map ROUTES-IN permit 30
arista-eos-xx(config-route-map-ROUTES-IN)# match origin-as validity not-found
arista-eos-xx(config-route-map-ROUTES-IN)# set local-preference 50
arista-eos-xx(config-route-map)#exit
arista-eos-xx(config)# router bgp <AS番号>
arista-eos-xx(config-router-bgp)# address-family ipv4
arista-eos-xx(config-router-bgp-af)#neighbor <BGPネイバー> route-map ROUTES-IN in
arista-eos-xx(config-router-bgp-af)#neighbor <BGPネイバー> route-map ROUTES-IN in
Invalidと判定された経路情報が経路表に入っていないことを確認します。 ここでは例として198.51.100.0/24としています。 国際的に明示的にInvalidとなる経路情報については2.2.7節をご覧ください。
arista-eos-xx# show ip route | include 198.51.100.0/24
表示なし → ドロップされています。
BGP経路の受信はされています。
arista-eos-xx# show ip bgp neighbors <neighborのIPアドレス> received-routes | include 198.51.100.0/24
3. ケースごとの手順 ― ROV設定前後のCPUやメモリの消費状況をみる。
使用メモリや負荷を確認します。
arista-veoseos-xx(config-router-bgp)# show processes top
4. ケースごとの手順 ― ROVの設定を解除して元に戻す。
設定を解除する一つ目のROAキャッシュサーバをroa-server1と呼び、 二つ目のROAキャッシュサーバをroa-server2と呼びます。
arista-eos-xx(config-router-bgp)# address-family ipv4
arista-eos-xx(config-router-bgp-af)# no neighbor <BGPネイバー> route-map ROUTES-IN in
arista-eos-xx(config-router-bgp-af)# no neighbor <BGPネイバー> route-map ROUTES-IN in
arista-eos-xx(config)# no route-map ROUTES-IN
arista-eos-xx(config-router-bgp)# no rpki origin-validation
arista-eos-xx(config-router-bgp)# no rpki cache roa-server1
arista-eos-xx(config-router-bgp)# no rpki cache roa-server2
arista-eos-xx(config-router-bgp)# show bgp rpki cache | include Host
(RPKIキャッシュサーバに接続されていれば情報が表示されます)
セッション情報が残っている場合は手動でクリアできます。
arista-eos-xx(config-router-bgp)# clear bgp rpki cache all
5. ケースごとの手順 ― ルータを再起動させたときの動作を確認する。
ROVを設定しておきます。
arista-eos-xx# write memory
arista-eos-xx#reload
Proceed with reload? [confirm] (Enter)
ROAキャッシュサーバとの再接続とVRPの復旧を確認します。
arista-eos-xx# show bgp rpki cache
arista-eos-xx# show bgp rpki roa ipv4
(復旧時間を記録します。)
6. ケースごとの手順 ― ROAキャッシュサーバへの再接続時間を確認する。
ROAキャッシュサーバに接続した状態にしておきます。
ROAキャッシュサーバをダウンもしくは接続性をなくして、ROAキャッシュサーバとの接続解除を確認します。
arista-eos-xx(config-router-bgp)# show bgp rpki cache
arista-eos-xx(config-router-bgp)# show bgp rpki roa ipv4
ROAキャッシュサーバをアップもしくは接続性があるようにして、再接続とVRPの復旧までの時間を確認します。
arista-eos-xx(config-router-bgp)# show bgp rpki cache
arista-eos-xx(config-router-bgp)# show bgp rpki roa ipv4
7. ケースごとの手順 ― 意図しないInvalidに対処する。
arista-eos-xx(config)# ip prefix-list ALLOW-INVALID seq 10 permit 198.51.100.0/24
arista-eos-xx(config)# route-map ROUTES-IN permit 5
arista-eos-xx(config-route-map-ROUTES-IN)# match ip address prefix-list ALLOW-INVALID
1.2 Cisco IOS-XE
AS番号を指定して設定を開始します。
cisco-c8k-XX# configure terminal
cisco-c8k-XX(config)# router bgp <AS番号>
1. ROAキャッシュサーバを指定し、VRPを受信できることを確認します。
ここでは接続先のROAキャッシュサーバを二つ設定します。 リフレッシュタイムを秒数で指定します。(例:600)
1台目:
cisco-c8k-XX (config-router) # bgp rpki server tcp <ROAキャッシュサーバのIPアドレス> port <ROAキャッシュサーバのポート番号> refresh <リフレッシュタイム>
2台目:
cisco-c8k-XX (config-router) # bgp rpki server tcp <ROAキャッシュサーバのIPアドレス> port <ROAキャッシュサーバのポート番号> refresh <リフレッシュタイム>
設定を確認します。
cisco-c8k-XX(config-router)# do show run
cisco-c8k-XX(config-router)# do show ip bgp rpki servers | include neighbor
cisco-c8k-XX(config-router)# do show ip bgp rpki servers
(RPKIキャッシュサーバに接続していれば情報が表示されます)
VRPを受信できていることを確認します。
VRPを表示します(IPv4)。
cisco-c8k-XX(config-router)# do show bgp ipv4 unicast rpki table
:
VRPを表示します(IPv6)。
cisco-c8k-XX(config-router)# do show bgp ipv6 unicast rpki table
:
サマリーを表示します。
arista-veos-xxcisco-c8k-XX # show bgp rpki roa summary
特定のVRPは得られているかを確認します。
(192.0.2.0/24の VRPが得られているかを確認します。)
cisco-c8k-XX(config-router)# do show bgp ipv4 unicast rpki table | include 192.0.2.0/24
2. ROVの判定結果に従って経路情報を扱うルールを設定します。
以降の設定例では、 本付録における設定内容を揃えるために「route-map」構文を使用しています。 しかしCisco IOS-XRにおいてはパフォーマンスへの影響から「bestpath origin-as use validity」構文等の使用が示唆されています(***)。 Cisco IOS-XEにおいても「route-map」および「soft-reconfiguration」の利用によってCPU負荷について配慮する必要が指摘されています。 ROVの設定の仕方についてCisco社の情報を確認することをお勧めします。
*** Understand BGP RPKI With XR7 Cisco8000 Whitepaper – Cisco
「Performance Impact of RPKI on XR BGP Routers」の節:
https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/217020-bgp-rpki-with-xr7-cisco8000-whitepaper.html#anc35
ROVを有効にした後にroute-mapを設定します 。以下はInvalidと判定された経路情報を採用しないケースです。 Validと判定された経路情報のlocal-preference値を100に、 Not Foundと判定された経路情報のlocal-preference値を50に設定しています。 続いて、IPv4のneighborに対してroute-mapを適用します。
cisco-c8k-XX(config)# route-map ROUTES-IN deny 10
cisco-c8k-XX(config-route-map)# match rpki invalid
cisco-c8k-XX(config-route-map)# exit
cisco-c8k-XX(config)# route-map ROUTES-IN permit 20
cisco-c8k-XX(config-route-map)#match rpki valid
cisco-c8k-XX(config-route-map)#set local-preference 100
cisco-c8k-XX(config-route-map)#exit
cisco-c8k-XX(config)#route-map ROUTES-IN permit 30
cisco-c8k-XX(config-route-map)#match rpki not-found
cisco-c8k-XX(config-route-map)#set local-preference 50
cisco-c8k-XX(config-route-map)#exit
cisco-c8k-XX# router bgp <AS番号>
cisco-c8k-XX(config-router)# address-family ipv4
cisco-c8k-XX(config-router-af)# neighbor <BGPネイバー> route-map ROUTES-IN in
cisco-c8k-XX(config-router-af)# neighbor <BGPネイバー> route-map ROUTES-IN in
Invalidと判定された経路情報が経路表に入っていないことを確認します。 ここでは例として198.51.100.0/24としています。 国際的に明示的にInvalidとなる経路情報については2.2.7節をご覧ください。
cisco-c8k-XX# show ip bgp neighbors <BGPネイバー> | match 198.51.100.0/24
表示なし → ドロップされています。
BGP経路の受信はされています。
cisco-c8k-XX# show ip bgp neighbors <BGPネイバー> received-routes | include 198.51.100.0/24
3. ケースごとの手順 ― ROV設定前後のCPUやメモリの消費状況をみる。
CPUの負荷や使用メモリを確認します。
cisco-c8k-XX# show processes cpu
:
cisco-c8k-XX# show processes memory
:
cisco-c8k-XX#
4. ケースごとの手順 ― ROVの設定を解除して元に戻す。
設定を解除する例です。
cisco-c8k-XX(config)# router bgp <AS番号>;
cisco-c8k-XX(config-router)# address-family ipv4
cisco-c8k-XX(config-router-af)# no neighbor 203.0.113.1 route-map ROUTES-IN in
cisco-c8k-XX(config-router-af)# no neighbor 203.0.113.2 route-map ROUTES-IN in
cisco-c8k-XX(config-router-af)# end
cisco-c8k-XX#
cisco-c8k-XX# configure terminal
cisco-c8k-XX(config)# router bgp <AS番号>
cisco-c8k-XX(config-router)# no bgp rpki server tcp <ROAキャッシュサーバのIPアドレス> port <ROAキャッシュサーバのポート番号> refresh <リフレッシュタイム>
cisco-c8k-XX(config-router)# end
5. ケースごとの手順 ― ルータを再起動させたときの動作を確認する。
ROVを設定しておきます。
cisco-c8k-XX# write memory
cisco-c8k-XX# reload
Proceed with reload? [confirm] (Enter)
ROAキャッシュサーバとの再接続とVRPの復旧を確認します。
cisco-c8k-XX# show ip bgp rpki server | include neighbor
cisco-c8k-XX# show ip bgp rpki table
(復旧時間を記録します。)
6. ケースごとの手順 ― ROAキャッシュサーバへの再接続時間を確認する。
ROAキャッシュサーバに接続した状態にしておきます。
ROAキャッシュサーバをダウンもしくは接続性をなくして、ROAキャッシュサーバとの接続解除を確認します。
cisco-c8k-XX(config-router)# do show ip bgp rpki server | include neighbor cisco-c8k-XX(config-router)# do show ip bgp rpki table
ROAキャッシュサーバをアップもしくは接続性があるようにして、再接続とVRPの復旧までの時間を確認します。
cisco-c8k-XX(config-router)# do show ip bgp rpki server | include neighbor
cisco-c8k-XX(config-router)# do show ip bgp rpki table
7. ケースごとの手順 ― 意図しないInvalidに対処する。
特定の経路情報198.51.100.0/24を採用するようにroute-mapの設定をします。
cisco-c8k-XX(config)# router bgp <AS番号>
cisco-c8k-XX(config-router)# address-family ipv4
cisco-c8k-XX(config-router-af)# bgp bestpath prefix-validate allow-invalid
cisco-c8k-XX(config-router-af)# end
cisco-c8k-XX# configure terminal
cisco-c8k-XX(config)# ip prefix-list ALLOW-INVALID seq 10 permit 198.51.100.0/24
cisco-c8k-XX(config)# route-map ROUTES-IN permit 5
cisco-c8k-XX(config-route-map)# match ip address prefix-list ALLOW-INVALID
1.3 Cisco IOS-XR
AS番号を指定して設定を開始します。
cisco-xr-XX# configure terminal
cisco-xr-XX(config)# router bgp <AS番号>
1. ROAキャッシュサーバを指定し、VRPを受信できることを確認します。
ここでは接続先のROAキャッシュサーバを二つ設定します。
1台目:
cisco-xr-XX (config-bgp)# rpki server <ROAキャッシュサーバのIPアドレス>
cisco-xr-XX (config-bgp-rpki-server)# transport tcp port <ROAキャッシュサーバのポート番号>
2台目を設定します。
cisco-xr-XX (config-bgp)# rpki server <ROAキャッシュサーバのIPアドレス>
cisco-xr-XX (config-bgp-rpki-server)# transport tcp port <ROAキャッシュサーバのポート番号>
設定を確認します。
cisco-xr-XX(config-bgp)# do show run
cisco-xr-XX(config-bgp)# do show ip bgp rpki server summary
(RPKIキャッシュサーバに接続していれば情報が表示されます)
VRPを受信できていることを確認します。
VPRs数を確認します
cisco-xr-XX(config-bgp)# do show ip bgp rpki summary
RPKI cache-servers configured: 2
RPKI database
Total IPv4 net/path: 366270/405918
:
VRPを表示します。
cisco-xr-XX(config-router)# do show ip bgp rpki table
:
存在すべきROAのVRPは得られているかを確認します。
(割り当てられいているprefix 192.0.2.0/24の VRPが得られているかを確認します。)
cisco-xr-XX(config-router)# do show ip bgp rpki table | include 192.0.2.0/24
2. ROVの判定結果に従って経路情報を扱うルールを設定します。
以降の設定例では、 本付録における設定内容を揃えるために「route-map」および「validation-state is」構文を使用しています。 しかしCisco IOS-XRにおいてはパフォーマンスへの影響から「bestpath origin-as use validity」構文等の使用が示唆されています。 詳しくは下記Webページの「Performance Impact of RPKI on XR BGP Routers」の節をご覧ください。
Understand BGP RPKI With XR7 Cisco8000 Whitepaper - Cisco
https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/217020-bgp-rpki-with-xr7-cisco8000-whitepaper.html#anc35
ROVを有効にした後にroute-mapを設定します。 以下はInvalidと判定された経路情報を採用しないケースです。 Validと判定された経路情報のlocal-preference値を100に、 Not Foundと判定された経路情報のlocal-preference値を50に設定しています。 続いて、IPv4のneighborに対してroute-mapを適用します。
cisco-xr-XX(config)# route-policy ROUTES-IN
cisco-xr-XX(config-route-map)# if validation-state is valid then
cisco-xr-XX(config-route-map)# set local-preference 100
cisco-xr-XX(config-route-map)# elseif validation-state is not-found then
cisco-xr-XX(config-route-map)# set local-preference 50
cisco-xr-XX(config-route-map)# exit
cisco-xr-XX# router bgp <asn>
cisco-xr-XX(config-bgp)# neighbor <BGPネイバーIPアドレス>
cisco-xr-XX(config-bgp-nbr)# address-family ipv4 unicast
cisco-xr-XX(config-bgp-nbr-af)# route-policy ROUTES-IN in
cisco-xr-XX(config-bgp)# neighbor <BGPネイバーIPアドレス>
cisco-xr-XX(config-bgp-nbr)# address-family ipv4 unicast
cisco-xr-XX(config-bgp-nbr-af)# route-policy ROUTES-IN in
Invalidと判定された経路情報が経路表に入っていないことを確認します。 ここでは例として198.51.100.0/24としています。 国際的に明示的にInvalidとなる経路情報については2.2.7節をご覧ください。
cisco-xr-XX# show ip route | include 198.51.100.0/24
表示なし → ドロップされています。
BGP経路の受信はされています。
cisco-xr-XX# show ip bgp neighbors <neighborのIPアドレス> received-routes | include 198.51.100.0/24
3. ケースごとの手順 ― ROV設定前後のCPUやメモリの消費状況をみる。
設定を解除する例です。
route-mapの設定を解除します。
cisco-xr-XX# conf t
cisco-xr-XX(config)# router bgp <asn>
cisco-xr-XX(config-bgp)# neighbor 172.16.100.100
cisco-xr-XX(config-bgp-nbr)# no route-policy ROUTES-IN in
cisco-xr-XX(config-bgp)# neighbor 172.16.100.200
cisco-xr-XX(config-bgp-nbr)# no route-policy ROUTES-IN in
cisco-xr-XX(config-bgp-af)# commit
既存のROAキャッシュサーバの設定を解除します。
cisco-xr-XX# conf t
cisco-xr-XX(config)# router bgp <asn>
cisco-xr-XX(config-router)# no bgp rpki server <ROAキャッシュサーバのIPアドレス>
cisco-xr-XX(config-router)# commit
5. ケースごとの手順 ― ルータを再起動させたときの動作を確認する。
ROVを設定しておきます。
ルータを再起動させます。
cisco-xr-XX# write memory
cisco-xr-XX# reload
Proceed with reload? [confirm] (Enter)
ROAキャッシュサーバとの再接続とVRPの復旧を確認します。
cisco-xr-XX# show ip bgp rpki server summary
cisco-xr-XX# show ip bgp rpki table
(復旧時間を記録します。)
6. ケースごとの手順 ― ROAキャッシュサーバへの再接続時間を確認する。
ROAキャッシュサーバに接続した状態にしておきます。
ROAキャッシュサーバをダウンもしくは接続性をなくして、ROAキャッシュサーバとの接続解除を確認します。
cisco-xr-XX(config-bgp)# do show ip bgp rpki server summary
cisco-xr-XX(config-bgp)# do show ip bgp rpki table
ROAキャッシュサーバをアップもしくは接続性があるようにして、再接続とVRPの復旧までの時間を確認します。
cisco-xr-XX(config-bgp)# do show ip bgp rpki server summary
cisco-xr-XX(config-bgp)# do show ip bgp rpki table
7. ケースごとの手順 ― 意図しないInvalidに対処する。
特定の経路情報198.51.100.0/24を採用するように設定をします。
cisco-xr-XX# conf t
cisco-xr-XX(config)# prefix-set Allow-Invalid
cisco-xr-XX(config-pfx)# 198.51.100.0/24
1.4 Juniper Junos
AS番号を指定して設定を開始します。
1. ROAキャッシュサーバを指定し、VRPを受信できることを確認します。
ここでは接続先のROAキャッシュサーバを二つ設定します。
■1台目:
juniper# edit routing-options validation group rpki-validator1 session <ROAキャッシュサーバのIPアドレス>
juniper# set port <ROAキャッシュサーバのポート番号>
juniper# set local-address <ルータ自身のIPアドレス>
juniper# set refresh-time <リフレッシュタイム/例:150>
juniper# set hold-time <リフレッシュタイム/例:300>
juniper# exit
■2台目:
juniper# edit routing-options validation group rpki-validator1 session <ROAキャッシュサーバのIPアドレス>
juniper# set port <ROAキャッシュサーバのポート番号>
juniper# set local-address <ルータ自身のIPアドレス>
juniper# set refresh-time <リフレッシュタイム/例:150>
juniper# set hold-time <リフレッシュタイム/例:300>
juniper# exit
juniper# commit
設定を確認します。
juniper# show routing-options
juniper> show validation session
juniper> show validation session detail
juniper> show validation database
(RPKIキャッシュサーバに接続していれば情報が表示されます)
VRPを受信できていることを確認します。
■VRP数を確認します。
juniper> show validation session
juniper> show validation statistics
■VRPを表示します。
juniper> show validation database
:
2. ROVの判定結果に従って経路情報を扱うルールを設定します。
以下はInvalidと判定された経路情報を採用しないケースです。 Validと判定された経路情報のlocal-preference値を100に、 Not Foundと判定された経路情報のlocal-preference値を50に設定しています。 続いて、IPv4のneighborに対してroute-mapを適用します。
route-mapを設定します。
juniper#(以下、コマンドが連続するためプロンプトを省略)
edit policy-options policy-statement ROUTES-IN
set term valid from protocol bgp
set term valid from validation-database valid
set term valid then validation-state valid
set term valid then local-preference 100
set term invalid from protocol bgp
set term invalid from validation-database invalid
set term invalid then validation-state invalid
set term invalid then reject
set term unknown from protocol bgp
set term unknown from validation-database unknown
set term unknown then validation-state unknown
set term unknown then local-preference 50
juniper#
set protocols bgp group <グループ名> neighbor <BGPネイバー> import ROUTES-IN
set protocols bgp group <グループ名> neighbor <BGPネイバー> import ROUTES-IN
juniper# commit
Invalidと判定された経路情報が経路表に入っていないことを確認します。 ここでは例として198.51.100.0/24としています。 国際的に明示的にInvalidとなる経路情報については2.2.7節をご覧ください。
juniper> show route protocol bgp 198.51.100.0/24
表示なし → ドロップされています。
■BGP経路の受信が行われていることを確認します。
juniper> show route receive-protocol bgp 172.16.100.200 198.51.100.0/24
3. ケースごとの手順 ― ROV設定前後のCPUやメモリの消費状況をみる。
CPUの負荷や使用メモリを確認します。
juniper> show chassis routing-engine
4. ケースごとの手順 ― ROVの設定を解除して元に戻す。
設定を解除する例です。
■ROVの設定を解除します。
juniper#
delete protocols bgp group <グループ名> neighbor <BGPネイバー> import ROUTES-IN
delete protocols bgp group <グループ名> neighbor <BGPネイバー> import ROUTES-IN
delete policy-options policy-statement ROUTES-IN
■既存のROAキャッシュサーバの設定を解除します。
1台目を利用停止します。
juniper# deactivate routing-options validation group rpki-validator1
2台目を利用停止します。
juniper# deactivate routing-options validation group rpki-validator2
juniper# commit
5. ケースごとの手順 ― ルータを再起動させたときの動作を確認する。
ROVを設定しておきます。
■ルータを再起動します。
juniper> request system reboot
juniper> show validation session
juniper> show validation statistics
(復旧時間を記録します。)
6. ケースごとの手順 ― ROAキャッシュサーバへの再接続時間を確認する。
ROAキャッシュサーバに接続した状態にしておきます。
■ROAキャッシュサーバをダウンもしくは接続性をなくして、ROAキャッシュサーバとの接続解除を確認します。
juniper> show validation session
■ROAキャッシュサーバをアップもしくは接続性があるようにして、再接続とVRPの復旧までの時間を確認します。
juniper> show validation session
7. ケースごとの手順 ― 意図しないInvalidに対処する。
特定の経路情報198.51.100.0/24を採用するように設定をします。
juniper#
set policy-options prefix-list ALLOW-INVALID 198.51.100.0/24
edit policy-options policy-statement ROUTES-IN
set term allow-invalid from prefix-list ALLOW-INVALID
set term allow-invalid then accept
insert term allow-invalid before term valid
1.5 NOKIA SR OS
AS番号を指定して設定を開始します。
1. ROAキャッシュサーバを指定し、VRPを受信できることを確認します。
ここでは接続先のROAキャッシュサーバを二つ設定します。
1台目を設定します。
[gl:/configure router "Base"]
A:admin@nokia-vsr# origin-validation rpki-session <ROAキャッシュサーバのIPアドレス>
A:admin@nokia-vsr# admin-state enable
A:admin@nokia-vsr# port <ROAキャッシュサーバのポート番号>
2台目を設定します。
[gl:/configure router "Base"]
A:admin@nokia-vsr# origin-validation rpki-session <ROAキャッシュサーバのIPアドレス>
A:admin@nokia-vsr# admin-state enable
A:admin@nokia-vsr# port <ROAキャッシュサーバのポート番号>
設定を確認します。
[gl:/configure]
A:admin@nokia-vsr# info flat | match router
:
A:admin@nokia-vsr# show router origin-validation database
:
A:admin@nokia-vsr# show router origin-validation rpki-session
(RPKIキャッシュサーバに接続していれば情報が表示されます)
VRPを受信できていることを確認します。
VRPを表示します。
A:admin@nokia-vsr# show router origin-validation rpki-session | match Records
2. ROVの判定結果に従って経路情報を扱うルールを設定します。
ROVを有効にした後にroute-mapを設定します。 以下はInvalidと判定された経路情報を採用しないケースです。 Validと判定された経路情報のlocal-preference値を100に、 Not Foundと判定された経路情報のlocal-preference値を50に設定しています。 続いて、IPv4のneighborに対してroute-mapを適用します。 例では203.0.113.1と203.0.113.2です。
route-mapを設定します。
[gl:/configure router "Base"]
A:admin@nokia-vsr# policy-options policy-statement "ROA-Lookup"
entry 10 action action-type reject
entry 10 from origin-validation-state invalid
entry 20 action action-type accept
entry 20 action local-preference 100
entry 20 from origin-validation-state valid
entry 30 action action-type accept
entry 30 action local-preference 50
entry 30 from origin-validation-state not-found
*[gl:/configure]
A:admin@nokia-vsr# router bgp
A:admin@nokia-vsr# neighbor <BGPネイバー> import policy ROA-Lookup
A:admin@nokia-vsr# neighbor <BGPネイバー> import policy ROA-Lookup
A:admin@nokia-vsr# group <グループ名> origin-validation ipv4 true
Invalidと判定された経路情報が経路表に入っていないことを確認します。 ここでは例として198.51.100.0/24としています。 国際的に明示的にInvalidとなる経路情報については2.2.7節をご覧ください。
A:admin@nokia-vsr4# show router route-table | match 198.51.100.0/24
表示なし → ドロップされています。
BGP経路の受信はされています。
A:admin@nokia-vsr# show router bgp neighbor <BGPネイバー> received-routes| match 198.51.100.0/24
3. ケースごとの手順 ― ROV設定前後のCPUやメモリの消費状況をみる。
CPUの負荷や使用メモリを確認します。
A:admin@nokia-vsr# show system cpu
:
A:admin@nokia-vsr# show system memory-pools
:
4. ケースごとの手順 ― ROVの設定を解除して元に戻す。
設定を解除する例です。
route-mapの設定を解除します。
[gl:/configure]
A:admin@nokia-vsr4#
delete router bgp neighbor <BGPネイバー> import
delete router bgp neighbor <BGPネイバー> import
delete policy-options policy-statement "ROA-Lookup" entry 10
delete policy-options policy-statement "ROA-Lookup" entry 20
delete policy-options policy-statement "ROA-Lookup" entry 30
既存のROAキャッシュサーバの設定を解除します。
1台目を利用停止します。
[gl:/configure router "Base"]
A:admin@nokia-vsr# delete origin-validation rpki-session <ROAキャッシュサーバのIPアドレス>
2台目を利用停止します。
[gl:/configure router "Base"]
A:admin@nokia-vsr# delete origin-validation rpki-session <ROAキャッシュサーバのIPアドレス>
5. ケースごとの手順 ― ルータを再起動させたときの動作を確認する。
ROVを設定しておきます。
BGPルータを再起動させます。
A:admin@nokia-vsr# admin reboot
ROAキャッシュサーバとの再接続とVRPの復旧を確認します。
A:admin@nokia-vsr# show router origin-validation rpki-session
(復旧時間を記録します。)
6. ケースごとの手順 ― ROAキャッシュサーバへの再接続時間を確認する。
ROAキャッシュサーバに接続した状態にしておきます。
ROAキャッシュサーバをダウンもしくは接続性をなくして、ROAキャッシュサーバとの接続解除を確認します。
A:admin@nokia-vsr# show router origin-validation rpki-session
ROAキャッシュサーバをアップもしくは接続性があるようにして、再接続とVRPの復旧までの時間を確認します。
A:admin@nokia-vsr# show router origin-validation rpki-session
7. ケースごとの手順 ― 意図しないInvalidに対処する。
特定の経路情報198.51.100.0/24を採用するように設定をします。
prefix-list "allow-invalid" prefix 198.51.100.0/24 type longer
exit
policy-statement "ROA-Lookup"
entry 5 from prefix-list allow-invalid
entry 5 action action-type accept
entry 10 from origin-validation-state invalid
entry 10 action action-type reject
entry 20 from origin-validation-state valid
entry 20 action action-type accept
entry 30 from origin-validation-state not-found
entry 30 action action-type accept
