---------------------------------------------------------------------- Title: IRR 〜World Wide Status & Current Practice〜 Coordinator: 近藤 邦昭 (JPNIC IRR Planningチーム/IIJ) Presenter: 吉田 友哉 (JPNIC IRR Planningチーム/NTT Communications) George Michaelson (APNIC Technical Services Manager) ---------- IRR 〜World Wide Status & Current Practice〜 近藤 邦昭 (JPNIC IRR Planningチーム/IIJ) ■IRRとは Interner Routing Registory RPSLなどを使って経路情報・優先性情報などをDBに蓄積 RADBに代表されるように、誰でもアクセスできる。 ルータからreferenceとして参照されることもある。 ルータに入っている経路情報を検証したり、経路フィルタに使っている。 ■何がおきているか? 1999年半ば MeritがIRRdの配布開始 IRRd: お手軽にIRRサーバを立ち上げられるソフトウェア 1999年11月 RADBの有料化 250$/年 お金を払いたくない人は自分で構築して運用すればよい。 個別のISPがIRRサーバを立ち上げはじめ、IRRが乱立している状態に。 経路のreferenceができるのに、DBが同期してないと意味がない。 IRRの存在意義がわからなくなってきた。 ■何をすべきか? IRRの本質を再度確認する必要がある。 JPNIC IRR研究会 2000年はじめ頃発足、APRICOTやNANOGでプレゼンテーション インターネットにとって有効なデータベースのあり方を提案 今回はその魂を伝えたい! IRRを取り巻く環境がよくなることを信じて、このセッションを 行なうことにした。 -------------------------------------------------- ※Georgeのマシントラブルにより発表順番変更 -------------------------------------------------- IRR Current Practice 吉田 友哉 (JPNIC IRR Planningチーム/NTT Communications) ■発表内容 実際に現在のIRRの状況はどうなっているのか、 どういった利用方法があるのか - IRRの状況 - 利用目的 - 実際のフィルタリング Objectの説明 ツールの紹介 - 課題と今後の取り組み ■JPNIC IRR Planning Team 「JPNIC IRR企画策定チーム」 IRR研究会で検討を進めてきて、JPNICの依頼で結成された検討チーム。 (現在6人で活動) IRRの理想的モデルの提案 (APNIC/APRICOT/NANOG ...) IRRの紹介や登録促進活動 (JPIX meeting/JANOG9 ...) ■IRRとは何か? Internet Routing Registry インターネットにおいては取り扱う経路に関するPrefix情報が重要。 IRRは、どのASがどの経路を持っているか、どこからどういう情報を もらうのか、などを登録するデータベースのこと。 ■世界の状況 IRRが分散しているため、ミラーしていかないと情報が集まらない。 ミラーパスの増加→スケーラビリティの問題 フルメッシュではない。 正しい情報が得られない。 各IRRの登録状況(2002/1/24時点) かつて5極体制といわれたところ(RADB, RIPEなど)はたくさんデータを 持っているが、1桁(中には0)しかデータを持たないIRRも結構存在する。 ■IRRの利用目的 BGPの経路情報の信憑性確認(本当に正しいのか) フィルタリング 経路に関するコンタクトポイントの検索←障害時の連絡先取得 トポロジ情報を把握して最適経路をみつける など ■経路フィルタの方法 - 外部から内部へ peer ISP間での利用 - 内部からか外部へ AS内部の経路を外部へ広告 - 自ISPから顧客へ C&WやVerioはやっている ■これらのミラー状況 UUNet : prefix(must send e-mail) Sprint : prefix(must send e-mail) C&W : prefix from IRR(automatically) VERIO : prefix from IRR(automatically) ATT : ? GC Level3 上記のほかは /xx の prefix filterを実施 AS-Macroはoptional ■アジアのISPのフィルタリング はっきりいってつかわれてない。 AS-Pathベースのフィルタをマニュアルでやってるぐらい。 ■日本のISP/IXでのフィルタリング OCN : as-path or prefix (not from IRR) IIJ : as-path and prefix 過去IRRからのFilterを試みたが失敗。難しい。(近藤さん) NSPIXP: as-path based filter(by e-mail) JPIX : 同じ JPNAP : 同じ このまま本気で手でフィルタ書き続けていくのか? IRRから自動化できないのか? ■Obejctの説明 Maintainer Object 必ずはじめに登録されなければならない auth(認証方法)は4種類 - NONE(認証なし) - MAIL-FROM(メールのFROM認証) - CRYPT-PW(UNIXのCrypt認証) - PGP(PGP認証) Route Object Prefixのこと AS Object ASを表すObjectで、ルーティングポリシを明記する どのASからどの経路をもらっているか、など AS-Set Object ASある単位にまとめる。そのASのメンバを記述。 Person Object 個人の情報を記載。あまり使われていない? Role Object 個人をひとつの管理単位にまとめたもの オペレータチームをあらわす ■IRRへの情報Update促進 登録は必須 自分が得たい情報は自分で登録しよう! BGPオペレータの義務 削除も必須 経路がなくなったら削除も忘れずに! 登録はするけど消さない人が多い ■RAToolSet IRRのDBからconfigを生成したり policyを生成するツール ISIからダウンロード可能 peerでのBGP-filterや静的経路を簡単に生成できる 代表的なツール RtConfig Cisco やJuniper ベースのフィルタ, Static Route (config) を 簡単に生成できる peval あるASが管理している経路を簡単に抽出できる (使用例) > peval as-ocn xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ...... (経路情報がばーっと出る) > peval "as-ocn and as-iij" xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ...... (経路情報がばーっと出る) 後者はすなわちOCNとIIJをANDのマルチホーム ■経路生成のメリットとデメリット メリット(ちゃんと登録しておけば) Filterの生成を自動処理でき、かつ正確である Peer ISP間において経路変更時の連絡が不要 cronなどによりリアルタイムなアップデートが可能 顧客が自分のfilterを自分で確認できる デメリット 登録漏れがあると、経路が開かない IRRサーバの運用の問題 サーバ間ミラーのタイムラグにより情報不一致がおきる サーバ負荷が高いとfilterの更新に時間がかかる ■課題 登録してない人はどこにとうろくすればいいのか? RADB? 上位ISP? 自前←スケーラビリティ的に自分で立てるのは推奨できない 分散して乱立している構造はよろしくない DNS空間と同様の階層構造をとるのがよいのではないか。 IRが管理することによって一意性を保証すべき IRとISPの関係 IRが立てたIRR sourceにみな登録していくのか? - IRが立ち上げたIRRサーバの情報を参照すれば、正しい情報 - ISPが立ち上げたIRRサーバは、ISP間でのプライベートな情報 →publicとprivateな情報の使い分け 正しい情報sourceとISPでのfilterで使用する情報を区別する のがよいのではないか ■今後の活動 JPIRR Server JPNIC会員向けにサービス提供(今年予定) JP/APNIC共同IR構想 理想モデルの提案「IRの階層構造」 アジアでの共同作業 IETF (draft) http://www.janog.gr.jp/doc/irr.txt の更新 etc. ---------- The APNIC Internet Routing Registry George Michaelson (APNIC Technical Services Manager) ■APNICでのIRRに関する活動 (Outline) - Project Original - Goals - status - Future PLan - Refional/global Coordination ■謝辞 JANOG9ありがとう ブリはおいしいよ/カニはちょっと苦手かな ■プロジェクトの動機付け IRRの活動の必要性は以前から認識されていた APNICのメンバからの求め/JPNIC IRRメンバーの意見 IRRソフトウェアの相互運用/ミラーサイトなどのサポート ■プロジェクトの目的 地域内でのレジストリ構築 他のIRRとの連携 APNICでの立ち上げ APNICメンバーにもIRR構築を勧めている コーディネーションの役割も引き受ける APRICOTでは教育の機会: RPSL/IRRのコースを実施 (Andy Linton講師) 究極の目的 IRR全世界に広めていくこと/Global Internetでのroutingに応用 利用者のメリットになるような活動 ■Status #1 (Sources Available) パイロットサービス Source APIRR: 最初に立ち上げた実験IRR Source IIJ: IRRd <-> RIPE v3 のミラーリング実証が可能に 現在の範囲(いずれもAPNICリージョンのミラー) SINET, TELSTRA, KT RIPEのソースが入ったところで問題発生 データ容量が莫大 (RIPE: 600,000objs + APIRR: 200,000objs) ■Status #2 (機械の運用状況) irr.apnic.net で稼動中 (e-mail update: auto-irr@irr.apnic.net ) Robust service: uptime 78 days メモリ容量増強のため、昨日サービス停止 :) Dell 1550R dual CPU, 512Mb(→1G) memory メモリの使用状況 86Mb whoisd (C++) 250MB mysqld (uses mfs backed /tmp) (メモリの大半を食っている) 汎用サービスのためでなくIRR専用機。 ■How many source= at APNIC? (1) whois.apnic.net = Source APNIC 現在APNICで行なわれているサービス RIPE V2 RIPE-181でエンコードしたオブジェクト かなりの期間が経っている (2) rpsl.apnic.net = Source APNIC RPSLオブジェクト, RIPE V2ソースからコピー read only 実験的: 最終的には whois.apnic.net へ移行予定 (3) irr.apnic.net = Source APIRR RIPE V3, RIPE V2ソースからコピー 移行が完了した時点でつかえるようになるもの 完全に移行が完了すると whois.apnic.net と完全に統合される ■APNIC migration to RPSL (1) whois.apnic.net RIPE-181 (2) rpsl.apnic.net RPSL (3) IRR.apnic.net RPSL (2), (3)は(1)がソースになっている。 (3)はIRRのサービスのみ 情報の配信(auto-irr@irr.apnic.net) は irr.apnic.net のみ 最初の段階 (1)(2)を統合して whois.apnic.net (RPSL) ...... その後(3)を停止 ■Stauts #3 NRTM (Near Real Time Mirror) RIPE-181 → RPSL RIPE-181ではオブジェクトを変更するときには、削除、追加という 手続きを踏まなければならない RPSLではmodify可能なので、削除、追加という手順は不要 情報の中にはインポート不能なものもある→マニュアルで ■SOURCE APIRR protection SOURCE APNICにOBJECTをもっていれば、プロテクト可能 APIRRに入る場合は、GPG認証を推奨 ■Other source: ミラーされるSourceに関してはReadOnlyでコピーされる APNICとしてはどんなデータソースでもホスティングは行ないたい →日本の人は長期的に考えれば Srouce: JPNIC? できるだけカバー範囲を多く取れるようにしたい ■Future Plans 移行が終わったら、すべてを統合 ひとつのシステムですべてのサービスを提供できるようにしたい 署名についてはPKIなどで強化する ■Regional/Global Coordination APNICの提案(JPNICからの意見を反映) 全世界(各RIRなど)と連携をとっていく APNICとしては、NIRに対してもミラーリング提供 ML: wg-irr@lists.apnic.net http://www.apnic.net/mailing-lists/wg-irr/index.shtml NANOGプレゼンへぜひ足を運んで欲しい ---------- Q&A 時間の都合でなし ----------------------------------------------------------------------