トラストアンカーは公開鍵基盤(PKI)の署名検証に使われるエントリーポイントです。
RPKI Validatorはトラストアンカーとして予めAFRINIC, APNIC, Lacnic, RIPE NCCが設定されています。ARIN RPKIリポジトリためののトラストアンカーを入手するためには、ARINのRelying Party Agreementに同意する必要があります。トラストアンカーの追加についての詳細や追加方法についてはREADME.txtをご覧ください。
広告元認可(ROA)は、特定のAS番号にプリフィックスの経路広告を行うことを認めるために使われます。それに加えてROAはそのASが経路広告する最大プリフィックス長を指定します。プリフィックスの正しい割り当て先だけが有効なROAを作成できます。
ROAは明示的な認可を示します。ROAにおけるAS番号とプリフィックスの組み合わせは、このプリフィックスの経路広告が他のASによって行われたり、より細かいプリフィックスとして行われたりすることは無効とみなされます。
同一のプリフィックスに対して一つ以上のROAが存在することがありえます。その中の一つでも一致すれば経路広告は有効とみなされます。経路広報の検証ルールはRFC 6483に記述されています。詳しくはルータのセクションで説明します。
ROAによって特定の経路広報が無効となったときでも、運用の立場ではそれを上書きしたくなるかも知れません。RPKI Validatorは特定のプリフィックスに影響するすべてのROAを無視することができます。
このオプションを使うと設定したプリフィックスのROAは存在しないかのようにふるまいます。
経路広告のために、対応するROAがなくてもそれが存在するかのように扱うホワイトリストが実際には必要になるかも知れません。
このオプションを使うと、経路広告のためのROAが存在するかのように扱われます。
RPKI Validatorに接続し検証されたすべての広告元認可(ROA)の一式を受信するようにルータを設定することができます。その一式は、除外リストにあるエントリーが除外され、ホワイトリストにあるエントリーが加えられています。
RPKIとルータの間のプロトコルはRFC 6810で標準化されています。またいくつかのベンダーは、ルータOSでサポート実装しています。
ROAがルータで受信されると、その情報はBGP経路情報における広告元ASによる情報の有効性を検証するために使われます。この検証を行うために、経路情報がROAに適合するかどうかを下記のように照合します。
| 経路情報が | ROAと経路広告元ASが一致する | ROAと経路広告元ASが一致しない |
| ROAのプリフィックスに適合する | VALID | INVALID |
| ROAの指定よりもプリフィックスが長い | INVALID | INVALID |
経路情報が、最終的にVALID・INVALID・UNKNOWNのどれにするかの判断は、関係するすべてのROAに依存します。判断の理由を下記に示します。
| 少なくとも一つは有効 | VALID |
| 有効なものがない、もしくは少なくとも一つは無効 | INVALID |
| 上記の二つ以外 | UNKNOWN |
この情報はルータに提供され、ルータで自動的に経路広告の優先度を変更するために使うことができます。この設定方法は当然のことながらベンダーによって異なります。IETFの標準におけるアドバイスは、UNKNOWNよりもVALIDを優先し、INVALIDよりもVALIDとUNKNOWNを優先するということです。しかしこの情報を使うかどうか、またどのように使うのかはBGPオペレーターであるあなた次第です。
上記の判断プロセスはルータ上で行われます。実際のBGP経路情報を持っているルータだけがこの評価をすることができます。
しかしルータでどのように見えるかの分析をしやすくするため、BGPプレビューのページを作りました。このページでは、RIPE NCCのRIS Route Collectorによって広く(5ピアより多い)で観測された経路情報の出力を用いて、上記の経路情報の検証プロセスを疑似的に行います。
このページは主に二つの理由で提供されています。
