ROAの作成と管理の方法
2023年1月25日
概要
JPNICのRPKIシステムを使って、 ROAを登録する方法を説明します。
https://rpki.nic.ad.jp/
- 参考情報
-
-
リソースPKI(RPKI)
https://www.nic.ad.jp/ja/rpki/ -
ROAキャッシュサーバの設置方法
https://www.nic.ad.jp/ja/rpki/howto-setuproacache.html
-
リソースPKI(RPKI)
RPKIシステムにアクセスするには、 IPアドレスの申請に使われる“資源申請者”の電子証明書がWebブラウザ等にインストールされている必要があります。
ROAの登録方法
準備
Web申請システムにアクセスして、 “資源申請者の電子証明書”をWebブラウザにインストールしておきます。 BGPルータの運用を担当している方にインストールしていただくとより柔軟に運用できます。
利用開始
RPKIシステムにアクセスします。
ROAの作成をテストする場合には「国内テスト用のRPKIシステムにアクセス」を、 国際的に参照されるROAを作成するためには「RPKIシステムにアクセス」をクリックします。 その際にIPアドレスの資源申請者の証明書が必要です。
初めてアクセスすると下記の画面が表示されます。
ROAの発行
正常にアクセスできると初期の画面が表示されます。
画面の右側にROAの発行対象となるIPアドレスが表示されます。 「ROAを作成」をクリックします。
そのIPアドレスを経路広告するAS番号をASNの欄に入力します。 経路広告しないことが分かっている場合にはAS番号として「0」を入力します。 これは本来経路広告しないIPアドレスであることを示します。
Max len(最大プリフィクス長)は、 運用上このIPアドレスをどこまで分割して経路広告することがあるのかを指定します。 例えば細かい経路/28を流すことがある場合には「28」と入力します。 この場合、もし他のASによって/32の経路を流されてしまった場合には、 その経路情報が優先されてしまいます。 IPv4の場合「32」、IPv6の場合「128」と入力しても問題はありません。
状態が「発行済」となれば完了です。 最新状態にするには「最新の情報に更新(メイン画面)」をクリックします。
ROAの運用
自社のASが複数あって両方から経路広告する可能性がある場合
各々のAS番号を記入したROAを作成すると、 どちらのASから経路広告を行ってもROAが見つかる状態になります。 作成済のROA右側にある再利用ボタン「このprefixから別のROAを作成」をクリックすると、 AS番号の異なるROAを加えることができます。
クラウドサービスなどの他のASから経路広告する可能性がある場合
既存のROAに加えて、 クラウドサービス事業者のAS番号を記載したROAを作成することができます。 作成済のROA右側にある再利用ボタン「このprefixから別のROAを作成」をクリックすると、 AS番号の異なるROAを加えることができます。
ROAの確認
ROAが使える状態になっているかどうかは下記のWebサイトで確認できます。
- RPKI Validator 日本語版
- http://roa2.nic.ad.jp:8080/bgp-preview
Searchの欄にIPアドレスのプリフィクスを入力すると、 有効なROAと経路情報が一致したときに「VALID」、 経路情報とROAが一致しないときに「INVALID」、 ROAが発行されていないときには「NOT FOUND」と表示されます。
