JANOG Comment 1005 平尾利崇 日本インターネットエクスチェンジ株式会社 2005/09/09 Generalized Router Configuration in IX - IXに接続する際の標準的な設定について - 1. はじめに  インターネットエクスチェンジ(以下、IXという)はISP間のトラフィック 交換のためのインフラとして運用されてきており今までの運用経験から運用 上の要件/課題も整理されつつある。  一方で、IXに対する社会的な注目度や依存度が増し、より安定的な運用へ の要求が高まっている状況であり、ISPなどの組織がIXに接続するにあたっ ての技術的な要件に対して、共通の理解/認識が必要となってきている。 2. 概要  本文書では、IXの安定した運用を目的として、以下に主眼をおいて接続組 織で行う標準的な設定について述べる。 - IX上のセキュリティの維持・向上 - トラブル発生の可能性となる要因を排除する なお、本文書では、特別に必要な場合を除き、各接続組織がIX上でのピアに 対して広告する経路情報や交換するトラフィックに関する内容については言 及しない。 3. 定義 IX: 独立したISP間のインターネットトラフィックを円滑化するために運用 されるネットワークインフラ。本文書では特に、スイッチネットワークで 拡張された単一のブロードキャストドメインで構成されるIXを指す。 接続組織: IXに接続してお互いにBGP4(+)により経路情報を交換している組織。 通常、ASを取得しているネットワーク組織。 4.設定の詳細 4-1 MACアドレス/イーサタイプ 接続組織がIXに流すイーサネットフレームは以下の通りとする。  1) 発信元MACアドレスはIXの1つのポートに対して一意とする。  2) 以下の例外を除き、宛先MACアドレスは原則としてユニキャストアドレ スとする。 ・ARP(ブロードキャストアドレス) ・IPv6 Neighbor Discovery(マルチキャストアドレス) - ブロードキャストやマルチキャスト、宛先不明アドレスのフレーム は、ループが発生した際に、ブロードキャストストームを引き起こ す危険がある。 3) イーサタイプは以下に限定する ・0x0806 (ARP) ・0x0800 (IPv4) ・0x86DD (IPv6) 4-2 IPアドレス    単一のポート(*1)に対して、IXオペレータから割当てられた単一のIPア ドレス(*2)を設定 *1 通常は1つの物理ポート、Link Aggregationを使用の場合は1つ の論理ポート *2 IPv4/IPv6のデュアルスタックの場合は、各プロトコル毎に単一の アドレス 4-3 インタフェースの設定   1) リンクローカルトラフィックの送出停止 ・ベンダ固有プロトコル(例 CDP, EDP, VTP/DTP, ・・・)   ・IGP(Interior Routing Protocol) ・802.1d Spanning Tree Protocol BPDU   ・マルチキャストルーティングプロトコル(例PIM-SM,PIM-DM,DVMRP) ・BOOTP/DHCP ・DECプロトコル/NetBIOSなど ・上記に限らず - 他の接続組織の機器に影響を与える恐れがあるほか、これらを受 信した場合にエラーフレームとしてカウントアップするケースが ある。   2) ICMP redirects の送出停止   3) IXセグメントのDirected Broardcastアドレス宛パケットの転送禁止 - Smurf攻撃の防止   4) proxy arp の無効設定 - ネットマスクの設定に誤りがあった場合など、他の接続組織向けARP リクエストに応答し、トラフィックを吸い込む 4-4 BGP設定 1) BGPセッションにはMD5認証の使用が推奨される。 2) 不要なBGP Peer設定を投入しない(切断されたPeerの設定は削除する。) - 不必要なARPリクエストがブロードキャストで流れるほか、IXオペレー タがIPアドレスを他の接続組織に再度割当てをした場合、割当てられ た接続組織向けに不正なBGPパケットを送信する。 4-5 ルーティング関連 1) IXセグメントのプリフィックスを隣接ASに広告しない(特にIX上以外)。 また、可能であれば、隣接ASからの広告を受信しないようフィルタを 設定する。 - IXセグメントに対するグローバルな到達性により、悪意のある経路 詐称やTCPの脆弱性をついた攻撃がしかけられる可能性がある。 - また、他のASから、IXセグメントのプリフィックスの経路を受信し た場合、ネクストホップがその経路に引き摺られ、通信障害を起こ す危険性がある。 - トラフィックエンジニアリングやISP内部における到達性確認などを 目的として、IGPに広告する場合には、AS内部に留めるよう設定する。 2) 隣接ASからのルーティング情報をAS内でiBGPに広告する際にNext-Hop- Selfの設定が推奨される。 - 上記1) で述べた他のASからのIXセグメントのプリフィックス広告に よる通信障害を防止するための策として有効である。 - ただし、自ASでIX上に複数のボーダルータを設置している場合の負 荷分散の手段としてIGPのECMPを使用している場合には設定すること ができない。 Next-Hop-Self を設定した場合の負荷分散手段としては、「iBGP MultiPath」を使用することができる。 3) IX上で隣接ASに経路広告する際、Next-Hop-Selfを設定する。 - 通常、ある隣接ASから受信した経路情報が、多重アクセスメディア 上の別のASから受信した経路であった場合、BGP の動作として、ネ クストホップが最適化され、経路を受信したPeer先とは別の宛先に 更新される。IXのインフラには通常多重アクセスメディアが利用さ れており、この動作により、Peerを張っていない接続組織から直接 トラフィックが送信されるという事象が起こりうるため、各接続組 織においてこの設定をすることでネクストホップが更新を防ぐこと が推奨される。 なお、機器の実装によっては、この設定で回避できない場合もある ので、注意が必要である。 5. 謝辞 本文書の作成にあたっては、WIDEプロジェクト 加藤朗先生、インターネッ トマルチフィード株式会社 石井利教氏にご協力いただきました。IRSミーティ ングの参加メンバおよび日本インターネットエクスチェンジ技術部からも貴 重なご意見をいただきました。日本のDIX-IE, オランダのAMS-IX, イギリス のLINXなど世界で主要なIXでは、接続組織向け技術要件を公開しており、こ れらを参考にさせていただきました。最後に、近藤邦昭氏、吉田友哉氏、仲 西亮子氏、ほかIRS事務局の方には本文書を発表する貴重な機会を提供して いただきました。 この場を借りて深くお礼を申し上げます。 6. 参考文献 1. "Allowed Traffic Types on Unicast Peering LANs". AMS-IX(on-line). available from 2. "LINX Memorandum of Understanding" Appendix 1. LINX(online). available from 3. 吉田友哉. "ISPバックボーンネットワークにおける経路制御設計 〜実践編〜". Japan Network Information Center(online). available from 7. 著者   氏 名:平尾利崇   所 属:日本インターネットエクスチェンジ株式会社   連絡先:hirao@jpix.ad.jp 8. 免責 本文書に含まれる情報もしくは内容を利用することで直接・間接的に生じ た損失に関し、著者は一切責任を負わないものとします。 9. 配布条件   本文書の再配布や転載は内容に関して一切の変更を加えないと言う条件で  許可をします。 以上