Policy Check Service について


import、および export 属性による経路情報交換ポリシの記述

IRR には AS のルーティングポリシを記述することにより隣接 AS 間での 経路情報交換のルールを相互参照させる機能があります。このルーティング ポリシを記述する機能をうまく利用することで、AS の対外ルータの 設定を自動的に行うことができます。

例えば、AS (甲) と AS (乙) が隣接関係を結ぶ際には双方の AS 管理者が IRR に以下のように記述することが出来ます。

		----------------------------------------------------------------------
		[AS (甲) のポリシ]
		  import:      from AS (乙) accept   (route of 乙)
		  export:      to   AS (乙) announce (route of 甲)
		
		[AS (乙) のポリシ]
		  import:      from AS (甲) accept   (route of 甲)
		  export:      to   AS (甲) announce (route of 乙)
		----------------------------------------------------------------------
			

このような情報を IRR に登録しておき、IRRTools というツールなどを利用 することで、それぞれの AS のルータに必要な設定を生成することが出来ま す。

ところが、現状の IRR でこのような利用がなされている例はそれほど多く ありません。その理由として挙げられるのが、自 AS のポリシだけ登録して も隣接 AS が同様に情報を登録していないと、そのポリシが実質的に意味を なさないからです。また仮に双方が登録していたとしても、そこでやりとり されている経路情報が食い違っていた場合にも同様にこの機能は実質的に意 味をなしません。隣接関係の一方が経路情報を広告するように設定しても多 方がそれと対をなす設定をしないと、実際には経路情報が交換されないこと になります。 このようなポリシ間の不整合が存在するために、実際に IRR にポリシ を登録して利用する例が少ないのだと言えます。

当チームでは、現状で登録されているポリシにどの程度の不整合がある のかを明らかにし、この不整合を減少させるための取り組みを行ってきまし た。

現状の IRR における不整合の割り合い

現在運用されている IRR に経路情報交換のポリシを登録している AS も多数存在します。これらのポリシが上で述べたような不整合をどの程 度含んでいるかを検証しました。検証にあたっては、隣接 AS の情報が他 の IRR に登録されている場合を考慮して、インターネットでパブリック データを公開している IRR データベースを収集し、この情報をもとにして 統一的な IRR データベースを構築しました。これにより世界中の AS の ポリシの整合性を検証することが可能となりました。

検証の結果、IRR にポリシを登録している AS オブジェクトのうち実 に 55.8 % の AS オブジェクトが不整合を含んでいることが判明しまし た。不整合の内訳は以下のようになります。

		  +--+----------------------------------------------------+--------+
		  |  |         不整合の分類                               |  割合  |
		  +--+----------------------------------------------------+--------+
		  | 1| 隣接 as-set が IRR データベースに存在しない        | 0.2 %  |
		  +--+----------------------------------------------------+--------+
		  | 2| 隣接 AS が IRR データベースに存在しない            | 4.0 %  |
		  +--+----------------------------------------------------+--------+
		  | 3| 該当 AS を指定した export 文が存在しない           | 18.7 % |
		  +--+----------------------------------------------------+--------+
		  | 4| 該当 AS を指定した import 文が存在しない           | 17.8 % |
		  +--+----------------------------------------------------+--------+
		  | 5| import している経路を隣接 AS が export していない  | 5.9 %  |
		  +--+----------------------------------------------------+--------+
		  | 6| export している経路を隣接 AS が import していない  | 9.2 %  |
		  +--+----------------------------------------------------+--------+
		  |計|                       合計                         | 55.8 % |
		  +--+----------------------------------------------------+--------+
			
このことから、ポリシを元にルータの設定の自動生成によって正常な 経路情報交換を実現するためには、ポリシを登録している大半の AS は そのポリシの記述内容が、隣接 AS との間で整合性がとれているかを見 直す必要があることがわかりました。

Policy Check Service

このような不整合を減少させるため、当チームでは AS 管理者が、ポリ シーを登録する際に隣接 AS のポリシとの間の整合性を検査するための 機構を構築しました。Policy Checker と呼ばれるこの機構は、Web ブラウ ザを利用した CGI として動作します。ブラウザの画面よりポリシを含ん だ aut-num オブジェクトを入力すると、Policy Checker は該当 AS と隣 接する AS のポリシとの間の整合性を検査し、不整合が検出された場合 は、警告としてその旨を表示します。AS 管理者はこの警告をもとに、必要 に応じてポリシの修正や、隣接 AS との間でポリシの再検討を行うこ とができます。

使用例

ポリシの入力

具体的にこのシステムをどのように利用するのかを以下に説明します。 まず、Policy Check Service のトップページに用意されたテキストエリアに 任意の AS の aut-num オブジェクトを以下の図のように入力します。

本システムは入力された aut-num オブジェクトの import 及び export 属性を対象として 整合性検査を行います。よって、入力する aut-num オブジェクトはこれらの属性が含まれて いるものを使用してください。

また、すでに IRR に登録されているオブジェクトを使用して整合性検査をすることができます。 JPIRR を含む IRR サーバから任意の aut-num オブジェクトを検索するには JPIRR や、 RADB の検索システム などをご利用ください。

結果の出力

aut-num オブジェクトの入力後、submit を押すと数秒後に以下の図のような 整合性検査の結果が表示されます。 ここではまず入力された aut-num オブジェクトの import 及び export 属性が示されます。 (これらの属性が含まれていなかった場合は何も表示されません。) 検査の結果、不整合が検出された文は、その都度、図のような赤い文字で注意が表示されます。 ここで表示される注意文は以下の分類に則って 記述されていますのでこちらを参照してください。

不整合の分類

Policy Checker によって表示される不整合は以下のように分類されています。 注意文が表示されない場合は、不整合がない、あるいは対象となるポリシの記述がないことが 理由として考えられます。

不整合の分類 意味
Peer AS-SET is not found on IRR database 隣接 as-set が IRR データベースに存在しない
Peer AS is not found on IRR database 隣接 AS が IRR データベースに存在しない
Peer AS does not export any routes to the AS 該当 AS を指定した export 文が存在しない
(即ち,隣接 aut-num は入力された aut-num を隣接指定していない)
Peer AS does not export route of 'AS n' to this AS import している経路を隣接 AS が export していない
Peer AS does not import any routes from the AS 該当 AS を指定した import 文が存在しない
(即ち,隣接 aut-num は入力された aut-num を隣接指定していない)
Peer AS does not import route of 'AS n' from this AS export している経路を隣接 AS が import していない


JPIRR DB-Admin