2015-ShowNet-RPKI/PTP

Copyright © INTEROP TOKYO 2015 ShowNet NOC Team 1
RPKI
BGP経路のOrigin Validationによる
インターネットルーティングセキュリティ

BGP経路のMis-Origin(経路ハイジャック)
RPKI相互接続実証実験
正しい経路広告
ShowNet
AS a
AS x
x.0.0.0/24
a.0.0.0/16
a.0.0.0/16
トラフィック
Mis-Origin経路広告
ShowNet
AS a
AS x
x.0.0.0/24
a.0.0.0/16
a.0.0.0/16
間違った宛先に
トラフィックが
吸い込まれる
a.0.0.0/24
他のASから強い
経路が誤って
広告されると…
1
2

RPKIによるOrigin Validation
• IPアドレス資源(Resource)の正当な保有者を
公開鍵基盤(PKI)の仕組みで証明する仕組み
• IPアドレスの保有者が、そのアドレスを広告
するOrigin ASを指定できる
 Route Origin Authorization(ROA)
• 受信したBGP経路がROAに適合するかを検証
RIR
(APNIC)
NIR
(JPNIC)
アドレス
保有者
(ShowNet)
署名署名 45.0.0.0/16-24: AS290
45.1.0.0/16-24: AS131154
ROA
署名
Trust Anchor

Origin Validationに基づく経路制御
Mis-Origin経路広告
ShowNet
AS a
AS x
x.0.0.0/24
a.0.0.0/16
a.0.0.0/16
a.0.0.0/24
ShowNet
AS a
AS x
x.0.0.0/24
a.0.0.0/16
a.0.0.0/16a.0.0.0/24
正しく流れる
RPKIで検証して
不正な経路を
Dropすると…
RPKIで経路の正当性を検証！
1
2間違った宛先に
吸い込まれる
他のASから強い
経路が誤って
広告されると…
1
2
ROA
キャッシュ

Cisco
CRS4/S
ShowNetでのRPKI相互接続実証実験
AS131154 AS290
RPKI対応
eBGPルータ
ROA
キャッシュサーバ
正しい宛先
Huawei
NE5000E
Cisco
ASR9900
Juniper
MX480
Mis-Origin経路
広告ルータ
不正な強い経路
v4/24, v6/64
AS18131
Invalidな
経路のDrop
Validな経路の
優先的選択
Communityによる
Validation結果の伝搬
ShowNet JPNIC
MF
ShowNetの全対外接続ルータの全経路でRPKIによるOrigin Validationを実施
正しい経路
v4/16, v6/48

PTP相互接続実証実験
PTP（Precision Time Protocol）

高精度な時刻を得るための手段と課題
• 高精度な時刻を得るための手段
• 高精度な時刻ソース：GNSS（GPS,GLONASSなどの衛星）
• GNSSから時刻を得るための手段
• 専用アンテナをオープンスカイ（見晴らしのよい）な場所に
設置する
• アンテナと機器間は同軸ケーブル（10D-FBなど）で接続する
• 課題
• モバイルLTE-Aの普及により、時刻同期を実施しなければならない
デバイスの数の増加
• 時刻同期のためには、GNSSから直接時刻を得るため専用アンテナ
～同軸ケーブルを敷設する必要がありコスト増加

課題解決手法
• GNSSアンテナ敷設数が多い＝運用、メンテナン
スコスト高
• 敷設数を減らすための技術手法
• 同軸分配器の利用
• 同軸分配器の分配数分の機器収容となるた
め、数に限りがあり柔軟性に欠ける
• IP/イーサネットワーク経由で高精度な時刻を
配信する＝PTPの利用

IP/イーサ上でのマイクロ秒オーダ同期
技術の実現
•IEEE 1588：Precision Time Protocol (PTP)
•IEEE1588-2008(v2)
•NTPと同様パケットベースのプロトコル
•NTPはミリオーダー
•時刻源はGNSSを想定
•同期精度
•マイクロ秒以下のオーダ
•誤差の主要因である伝送遅延の影響を排除
•PTP機器はパケットが物理層を通過した時刻を打刻
•図のPHY部
•NW機器全てがPTP対応(L2/L3スイッチ)を想定
•パケット送受信頻度を上げ統計情報処理精度UP
•STPなどで、ループを除去してあることを想定
ネット
ワーク
PTP
UDP
IP
MAC
PHY
Slave Clock
Grand Master
Clock
PTP
UDP
IP
MAC
PHY
AA
B
A：プロトコルスタックにおける遅延・
ジッター
B：ネットワークにおける遅延・ジッタ
遅延：計測可能なデータ転送の流れ
ジッタ：遅延のばらつき

新しい分野へ適応が期待
される標準化技術
• Cisco Systems : ASR901(B), ME1200(B)
• Extreme Networks : Summit-x670-DC(B)
• Huawei Technologies : NE20E-S2E(B)
• Ixia Communications : Anue3500(A)
• Juniper Networks : ACX500(G) /
ACX2100(B)
• Marubun
• S350(G) / PTP Translator(S) / TCG-02-
G(S) / Sentinel(A) / Paragon-x(A)
• Seiko Solutions : TS-2950(G)
Default Profile
• Cisco Systems : ASR901(B)
• Huawei Technologies : NE20E-S2E(S)
• Ixia Communications : Anue3500(A)
• Juniper Networks
• ACX500(G) / ACX2100(B) / MX480(B)
• Marubun
• TP2700(G) / PTP Translator(S) / TCG-02-
G(S) / Sentinel(A) / Paragon-x(A)
• Seiko Solutions : TS-2910(G)
Telecom Profile
凡例：G:Grand Master Clock, B:Boundary Clock , S:Slave Clock, A:Analyzer
Bitrieve : Exalink Fusion(Low Latency Media Converter)
テレコムに特化した時刻
同期標準化技術

相互接続実験概要
Grand Master Clock
(GMC)
Boundary Clock
(BC)
Slave Clock
(Slave)
Global Positioning
System（GPS)
確認ポイント
GMC-BC-Slaveのプロトコル接続性
→GMC/BC/Slave側で確認
GMCとBCの時刻精度の差分
→Analyzer側で確認
GMCとSlaveの時刻精度の差分
→Analyzer側で確認
同軸ケーブル
Analyzer
PTP EVC
Freq. link
Time/Phase link
今後想定される様々な業界へのPTP適用＝PTP NWのマルチベンダー化
の加速を見据え、複数のGMC / Slave製品と主要なネットワーク製品
(BC) の相互接続を実施
• Default Profileでは、新しい分野での応用のための実験を実施
• Telecom Profileでは、テレコムモバイルでの適応領域の実験を実施

PTPによってもたらされる恩恵
• PTPが様々な業界に適応されていくための
Interoperability実験を実施しています。

2015-ShowNet-RPKI/PTP

More Related Content

What's hot

Viewers also liked

Similar to 2015-ShowNet-RPKI/PTP

More from Interop Tokyo ShowNet NOC Team

2015-ShowNet-RPKI/PTP