Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

トラブルシューティング

 

実際には、プラン–によっては実行されず、BGP ネットワークは例外ではありません。セキュアなルーティングテーブルを使い始め、ネットワークに RPKI を導入しているときに、アクセスする必要があるネットワークや IP アドレスの一部が到達不能になっているという状況が発生することがあります。

この章では、ルーティングセキュリティの実装によって報告される問題が発生しているかどうかを確認するための手順について説明します。完全な BGP トラブルシューティングのチュートリアルを想定していません。いくつかのヒントと秘訣をご確認いただけます。また、便利な追加情報を見つけるためにいくつかの点についても説明しています。

Note

BGP のトラブルシューティングの出発点として、ジュニパーネットワークス技術図書館があります。https://www.juniper.net/documentation/en_US/junos/topics/task/verification/bgp-configuration-process-summary.html.

宛先がルーティングテーブルに存在するかどうかを確認します。

Junos OS は、ルーティング情報用に2つのデータベース (テーブル) を使用します。

  • ルーティングテーブル: すべてのルーティングプロトコル (リブ) によって学習されたすべてのルーティング情報を格納しています。

  • 転送テーブル: パケット [FIB] の実際の転送に使用されるルートが含まれています。

Junos OS は、ルーティングテーブルから転送テーブルにアクティブなルートをすべてインストールします。アクティブルートとは、宛先にパケットを転送するために使用されるルートのことです。Junos オペレーティングシステムカーネルは、転送テーブルのマスターコピーを保持しています。転送テーブルをパケット転送エンジンにコピーします。これは、転送パケットを受け持つコンポーネントです。

お客様が特定のプレフィックスが到達不可能と思われる場合は、そのプレフィックスへのルートを確認する必要があります。ルートがインストールされていて、宛先にネットワークから到達できることを確認するには、ルーティングと転送テーブルの両方を確認する必要があります。

さまざまなテーブルをチェックするには、以下の3つの方法があります。

  • show route <destination-prefix>: これにより、ルーティングテーブルエントリが表示されます。

  • show route forwarding-table destination <destination-prefix>: これにより、転送テーブル内のルーティングエンジンの宛先プレフィックスのバージョンが表示されます。

  • show pfe route ip prefix <destination-prefix>: これにより、各 PFE に実際にインストールされる転送テーブルエントリが表示されます。

理想的な世界では、宛先プレフィックスは3つのすべてのシナリオで表示され、RPKI を表示する必要があります。 valida-tion-state: valid有効な ROA があり、RPKI 検証に合格した場合

ルートの RPKI 検証の状態を確認します。

ルートが使用されているかどうかを確認するには、RPKI ルート検証が設定されているときにルート検証データベースに関する情報を表示できるようにすることが重要です。特定のプレフィックスに一致するすべてのルート検証レコードを照会するか、または origin-autonomous-system。さらに、特定の RPKI キャッシュセッションで出力をフィルタリングすることもできます。

検証状態は、RFC 6811 で定義されているどの状態でもかまいません。

  • 無効

  • 無効です

  • です

さらに、これに対して“検証がまったく”実行されなかったという状態もあります。

  • 未確認

未検証のものと不明なものとは異なります。未確認ルートは、検証が試行された場合、有効、無効、または不明のいずれかであることがあります。未検証の場合、送信元の検証 (RPKI’) が使用可能’になっていないか、ルーター上で実行されていないことを意味します。

Note

その他のコマンドについては、Juniper テクニカルライブラリをご覧ください。https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-validation-database.html

RPKI バリデーターが到達可能で、データベースが最新であることを確認してください。

検証統計を表示

このコマンドは、検証データベースに関する統計情報を表示します。明らかに RPKI が有効になっていて、バリデーターとの接続が機能している場合は、データベースに以下のエントリーが表示されます。

Tech Library リファレンス:https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-validation-statistics.html.

検証データベースの表示

このコマンドを実行すると、データベースの実際の内容が表示されます。

Tech Library リファレンス:https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/show-validation-database.html.

検証セッションの表示

検証データベースが空の場合、またはバリデーターが起動して実行中であるかどうかを確認するには、 show validation session briefおよび show validation session detailコマンド

この出力の3番目のセッションでは、 connect代わりに up。これは、同じ RPKI グループで3つのセッションすべてを設定した結果である可能性が高いと考えられます。これを行うと、2つのセッションだけが表示され、グループ当たりの検証コントロールの’最大数を変更しなければ、それ以外はすべて停止します。

検証セッションの詳細を表示

検証を再実行します (オプション)。指定されたルートに対してのみ

BGP 送信元の検証が設定されていて、何らかの理由でデータベースが破損した場合、またはその更新が必要な場合は、ルートを手動で要求してください。 validation policy再評価する必要があります。このコマンドを実行すると、依存するルート検証レコードが再評価されます。依存するルート検証レコードは、厳密に一致し、より具体的なレコードになります。

Tech Library リファレンス:https://www.juniper.net/documentation/en_US/junos/topics/reference/command-summary/request-validation-policy.html.