クイックヘルプ¶
あなたがこのページを読んでいるということは、「あなたの経路がRPKI ROAによってInvalidになっていますよ。」と他の誰かから言われたのだけれど、自分がその意味を理解できないという状況に陥っているからかもしれません。このページの内容の目的は、あなたにその正しい方向性を示すことと、さらに役に立つ情報を提供することです。このページはエキスパートを対象にしたものではなく、すべての人たちにわかりやすい回答を提供できるように多くの専門用語に目をつぶって説明します。
RPKIやROAとは?¶
RPKIはResource Public Key Infrastructure(リソース公開鍵基盤)の略で、ROAはRoute Origin Authorisationの略です。
RPKIやROAは何をするものですか?¶
RPKIやROAは、経路の生成元にについて、自分たちが正当な生成元でありそれ以外は正しくないことを主張するための手段を提供します。
どのように動作しますか?¶
すべてのIPアドレス空間(v4+v6)はIANAによって割り当てられます。彼らはこのIPアドレス空間をRIR(ARIN、RIPE NCC、APNIC、LANNIC、AFRINIC)のうちのどれかひとつに委任しています。これらのRIRは他の組織に順に割り当てます。各RIRにはIPアドレス空間の所有者がorigin AS番号を主張するポータルがあります。このポータルは経路とorigin AS番号の組み合わせに対応するROAを生成します。そしてこのROAは誰でも見ることのできるようにRIRによって公開されます。
ROAはどのようなものですか?¶
ROAはprefix、maximum prefix length、origin AS番号から構成される署名付き宣言です。
次に起こることは何ですか?¶
どんなオペレーターでもRIRからROAのリストを取得し、ROAに基づいてアクションを実行するために使用することができます。通常、それぞれの経路広報は次の3つのうちのいずれかの状態になります。
- NotFound(別名Unknown)
- 経路広報に対応するROAが作成されていない場合、これがデフォルトの状態となります。すべてのオペレーターが、これらの経路をルーターにインストールするでしょう。
- Valid
- ROAが経路広報と一致する場合の状態を表します。すべてのオペレーターが、これらの経路をルーターにインストールするでしょう。これらの経路を優先する可能性もあります。
- Invalid
- ROAと経路広報が異なる場合の状態を表します。ROAで設定されているorigin AS番号が異なるか、maximum prefix lengthよりもmore specificな経路であるかのいずれかです。オペレーターが厳密にRPKIを使用している場合、この経路広報はルーターにインストールされません。
自分の経路がInvalid状態にある場合どうすればよいですか?¶
ROAに変更を加えることができる唯一の組織は、IPアドレス空間のRIRにリストされた所有者です。IPアドレス空間の所有者は以下のようなメンバーポータルの一部であるRIRのホスト型RPKIのインターフェースでROAを作成した可能性が高いです。
- AFRINIC: https://my.afrinic.net
- APNIC: https://myapnic.net
- ARIN: https://account.arin.net
- LACNIC: https://milacnic.lacnic.net
- RIPE NCC: https://my.ripe.net
最初に気をつけておいてほしいことがあります。RPKI Invalid経路が存在するということは、誰かがすでに上記のポータルのうちのひとつにログインし、問題となっているIPアドレス空間のROAを作成しているということです。ROA作成者自身以外はそのROAを作成することはできません。つまり、そのIPアドレス空間の所有者にリンクされたRIRにアカウントがすでに存在している必要があります。