--------------------------------------------------------------------------
                                                             2013年1月28日

               JANOG31 RPKIハッカソンの経過と感想 BoF ログ

                                                 RPKIルーティングを試す会
                                                                 木村泰司
■1. BoF 開催概要

   タイトル： RPKIハッカソンの経過と感想
       日時： 2013年1月25日(金) 18:30-19:45
       場所： 東京ミッドタウンホール
        URL： https://www.janog.gr.jp/meeting/janog31/program/RPKI.html
     参加者： 約15名

         ※RPKIルーティングを試す会（今後の情報交換）ML
         　https://www.janog.gr.jp/mailman/listinfo/rpki-routing-wg

   概要(事前公開)：
        ハッカソンの経過を報告すると共に、そこから見えてきた全体構成や
        ツールについて感じたことなどをディスカッションします。ディスカッ
        ションのために予め用意したいくつかのテーマについて自由討論形式
        で進めます。オペレーターの観点での思いや、今後はどんな形で検討
        していったらいいのかなどについて意見交換します。

   主催者：
        吉田 友哉 (インターネットマルチフィード株式会社)
        木村 泰司 (社団法人日本ネットワークインフォメーションセンター)

■2. ログ (⇒⇒印：ディスカッション)

   ○RPKIハッカソンの経過と感想

     [スライド] 内容
         - RPKIハッカソンの報告
         - 意見交換：RPKIハッカソンと試す活動の今後

     [スライド] RPKIハッカソンの報告
         - ご参加された方：ありがとうございました！

     [スライド] 開催概要
         - 2013年1月23日(水) 15:05-18:55, IIJ 17F大会議室
            - 事務局含めて13名
            - 6つの指定事業者

       ⇒⇒ 実際のアドレスの割り振りに基づいたリソース証明書を出せた。

     [スライド] 結果
         - 最終的に１サーバの設定ができルーターでROAを閲覧するところに辿り
           着いた。WebのGUIに不具合があり途中からROAができなくなった。

     [スライド] やろうとしていたこと
         - 国内における deployment の構造を技術的に探ること。参加者同士で
           リソースCA、RPKI cache、できればルーターの実装を試しに動かし、
           課題点などについてディスカッション。

     [スライド] 振り返ると
         - 全体を体験できておらず議論するところまで至らなかった。 でも仕組
           みはシェアできてきた。

     [スライド] ディスカッション

     [スライド] どんな形でRPKIを試していきましょう？
         - ハッカソンをもう一度
         - 実験サーバで試す

       ⇒⇒ 両方に挙手あり、JPNICの実験サーバを継続しつつ、ハッカソンを
            2/20(2/18～2/20)前後に行うこととなった。

     [スライド] JPNICの実験サーバで動かしてる発行システムを運用してみま
                すか？
         - 現状でよい(JPNICの実験サーバ)
         - 自社サーバでCAをやってみたい

       ⇒⇒ 1/23(水)のRPKIハッカソンでは、JPNICの実験サーバですべてを動
            かして、参加者のWebブラウザで使ってみた。これを参加者のサーバ
            で動かして、Webブラウザでアクセスして使うこともできる。(図)

       ⇒⇒ 両方に挙手あり、現状のJPNICの実験サーバを利用しつつ、希望する
            人は自社のサーバでCAをやってみることとなった。

     [スライド] 実際の利用ではROAを検証するcacheは手元に？

       ⇒⇒ cacheはどこに置くのがよいか、というディスカッション。
            (cacheは、リソース証明書やROAを集めて署名検証し、ルーターに
             結果を伝える役割。RPKI Tools では、rcynic と rtr-origin
             --server を動かすことになる)

       ⇒⇒ JPNICなど一拠点でcacheを動かして、国内の全てのルーターから
            アクセスするような形にしてしまうと、停電などがあったときに
            すべてのルーターに影響してしまう(会場笑)

       ⇒⇒ (質問) cache が ROA やリソース証明書の検証で"無効"となった
            ときに、BGPルーターにどのような影響がでるのか？

            (会場の回答) BGPルーターでは、valid/invalid/not found のフ
            ラグが立ち、config に応じて preference値を下げたりできる。
            valid なものだけを経路表に載せる形にもできると思うが、その
            設定がインターネット上で使えるかどうかは不明。

       ⇒⇒ ひとまず、JPNICの実験サーバで cache は動かしつつ、手元の
            サーバでも cache をできるようにもしよう。

     [スライド] ROAを蓄積するサーバpubdは手元で動かしたい？

       ⇒⇒ Yes (挙手あり)

       ⇒⇒ pubd はJPNICのサーバに集約して、ISPで発行したROAを集めてお
            き、みんながそれを見るように設定することも技術的にはできる。
            ただ、サーバの運用が心配だとすると、手元にあった方がいいか
            もしれない。

       ⇒⇒ pubdからcacheにROA等をコピーして、cacheからcacheに伝達する
            構成も考えられる。伝播していく時間がかかると思われ、Randyさ
            んがシミュレーションなどしている。

     [スライド] 国内のRPKI利用を分かりやすい形にするには？

       ⇒⇒ とりあえず動かしてみる。ハッカソン。

       ⇒⇒ やることを分けて試す案（初心者でも入りやすいため）
            level1 (インストール)
            level2 (cacheを使ってみるなど)
            level3 (CAのツールを自分のサーバで動かす)

       ⇒⇒ 日本語で手順を作る。

       ⇒⇒ (RPKIの国内での) 利用モデル／役割を整理していく。
             - cache は分ける。

       ⇒⇒ ネクタイ禁止。

     [スライド] Many thanks to: Rob Austein, Randy Bush, Maz, Okadams
                and all attendees

--------------------------------------------------------------------------