Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

例:BGP の送信元検証の設定

 

この例では、BGP ピア間での送信元の検証を設定する方法を示します。これにより、受信したルートアドバタイズが予期した自律システム (AS by) から送られてくることが保証されます。送信元が検証済みの場合、ポリシーでは、接頭辞が通知されるように指定できます。

要件

この例は、以下のハードウェアとソフトウェアの要件を満たしています。

  • リソース公開鍵インフラストラクチャ (RPKI) キャッシュサーバー、サードパーティー製ソフトウェアを使用して BGP プレフィックスを認証します。

  • TCP 接続を介してキャッシュサーバーと通信するルーティングデバイス上で実行されている Junos OS リリース12.2 以降。

概要

通信事業者のミスによって、ルートが意図せずアドバタイズされることがあります。このセキュリティ上の問題を防止するために、BGP を設定して、送信元を検証することができます。この機能は、キャッシュサーバーを使用してプレフィックスまたはプレフィックス範囲を認証します。

次の構成文により、検証として基準を実現できます。

この例では、検証パラメーターにデフォルトの設定を使用しています。

利用可能な設定文のほとんどはオプションです。必要な設定は以下のとおりです。

[edit routing-options validation static]階層レベルを使用すると、ルーティングデバイスで静的レコードを設定して、rpki キャッシュサーバーから受信したレコードを上書きすることができます。

たとえば、以下のように記述します。

ルートプレフィックスの検証状態に基づいて動作するルーティングポリシーを設定できます。コミュニティー属性を使用して、外部 BGP (EBGP) と内部 BGP (IBGP) の両方のピア間のプレフィックスの検証状態を発表し、受信できます。ルーターによっては、RPKI サーバーとのセッションを構成するよりも、ルーティングポリシーを使用する方が便利な場合があります。この例では、IBGP ピア間で検証状態コミュニティー属性を使用する方法を示しています。

図 1に、トポロジーの例を示します。

図 1: 送信元検証用トポロジ
送信元検証用トポロジ

この例では、デバイス R0 はデバイス R1 への IBGP 接続とデバイス R2 への EBGP 接続を備えています。デバイス R0 は、インターネットドラフトドラフト-ietf-sidr-rpki-rtr-19 で定義されたプロトコルを使用して、キャッシュサーバーからルート検証 (RV) レコードを受信します。 RPKI/ルータープロトコル、RV レコードを送信します。RPKI ルータープロトコルは TCP 上で動作します。RV レコードは、デバイス R0 によってローカル RV データベースを構築するために使用されます。デバイス R1 では、検証状態は検証状態と呼ばれる BGP コミュニティーに基づいて設定されます。これはルートとともに受信されます。

構成

CLI 簡単構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更してから、コマンド[edit]を階層レベルで CLI にコピー & ペーストします。

デバイス R0

デバイス R1

デバイス R2

デバイス R0 の構成

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。CLI のナビゲートの詳細については、『』の「 Using the CLI Editor in Configuration Mode」を参照してくださいCLI ユーザーガイド

デバイス R0 を構成するには、次のようにします。

  1. インターフェイスを構成します。
  2. BGP を構成します。

    send-directエクスポートポリシーを適用して、ルーティングテーブルから BGP にダイレクトルートをエクスポートします。

    validationインポートポリシーを適用して、Device R0’s ebgp ピアからインポート (または受信) されたすべてのルートの検証状態と BGP コミュニティー属性を設定します。

    デバイス R1 を使用して IBGP セッションを構成します。EBGP セッションをデバイス R2 で構成します。

  3. IBGP ピアとループバックインターフェイスを含むインターフェイス上で OSPF (またはその他の内部ゲートウェイプロトコル [IGP]) を構成します。

    IBGP neighborステートメントでループバックインターフェイスアドレスを使用する場合は、ループバックインターフェイス上で IGP を有効にする必要があります。それ以外の場合、IBGP セッションは確立されません。

  4. ルーティングテーブルから BGP に直接ルートをエクスポートするルーティングポリシーを設定します。
  5. 各 BGP ルートの検証状態に基づいて変更される属性を指定するルーティングポリシーを設定します。
  6. RPKI キャッシュサーバーを使用してセッションを構成します。

  7. 自律システム (AS) 番号を設定します。

結果

構成モードからshow interfaces、、、 show protocolsshow policy-options、およびshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

デバイス R1 の構成

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。CLI のナビゲートの詳細については、『』の「 Using the CLI Editor in Configuration Mode」を参照してくださいCLI ユーザーガイド

デバイス R1 を構成するには、次のようになります。

  1. インターフェイスを構成します。
  2. BGP を構成します。

    validation-ibgpインポートポリシーを適用して、デバイス R1’s ibgp ピアから受信したすべてのルートの検証状態と BGP コミュニティー属性を設定します。

    デバイス R0 を使用して IBGP セッションを構成します。

  3. OSPF を構成します。
  4. デバイス R0 から受信した BGP ルートの検証状態 BGP コミュニティー属性に基づいて、変更する属性を指定するルーティングポリシーを構成します。
  5. 自律システム (AS) 番号を設定します。

結果

構成モードからshow interfaces、、、 show protocolsshow policy-options、およびshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

デバイス R2 の構成

ステップごとの手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。CLI のナビゲートの詳細については、『』の「 Using the CLI Editor in Configuration Mode」を参照してくださいCLI ユーザーガイド

デバイス R2 を構成するには、次のようになります。

  1. インターフェイスを構成します。

    複数のアドレスがループバックインターフェイス上で設定され、デモンストレーション目的でのルートとして機能します。

  2. BGP を構成します。
  3. ルーティングポリシーを設定します。
  4. 自律システム (AS) 番号を設定します。

結果

構成モードからshow interfaces、、、 show protocolsshow policy-options、およびshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

変更した属性がルーティングテーブルに表示されていることを確認する

目的

デバイス R0 およびデバイス R1 上の BGP ルートに、予期される検証ステータスと予期されるローカルの基本設定があることを確認します。

アクション

動作モードから、 show routeコマンドを入力します。

user@R0> show route
user@R1> show route

意味

ルートは、RPKI キャッシュサーバーから受け取った情報に基づいて、期待される検証状態とローカル設定値を持ちます。

トレース操作の使用

目的

送信元検証用のトレース操作を構成し、新たに提供されたルートの結果を監視します。

アクション

  • デバイス R0 でトレースを構成します。

  • デバイス R2 上で、ループバックインターフェイス上に別のアドレスを追加して、ルートを追加します。

  • デバイス R0 上で、トレースファイルを確認します。

    user@R0> file show /var/log/rv-tracing

意味

ルートの検証は期待どおりに動作しています。

検証情報の表示

目的

さまざまな検証コマンドを実行します。

アクション