---------------------------------------------------------------- xSP のルータにおいて設定を推奨するフィルタの項目について 馬渡 将隆 [ MAWATARI Masataka ] DREAM TRAIN INTERNET, INC. Rev. 1.1 Date. 2005/03/25 ---------------------------------------------------------------- 1. はじめに  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 近年インターネットが公共インフラとして一般的に利用されるように なり、最近では、創世期には想像をしていなかったような、いつも使え て当たり前のサービス品質レベルをインターネットに期待されている事 を感じます。 ここで、インターネットの基本的な構造について目を向けると、特徴 の1つとして、AS(xSP) の相互接続によってインターネットは構成され ていると言う事があげられると思います。 インターネットの構成要素となっている AS は、依然として着実に増 加し続けている現状があるのですが、AS が増加し、AS の相互接続も増 加し続けていく中で、インターネットの安定性を維持をしていく為に、 アクシデントやトラブルの対策として活用をすべき基本技術の1つであ るフィルタを分かりやすくまとめておく事が必要だと考えています。 2. 概要  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 本文書は、インターネットの安定性を保つ為に、xSP の内部および外 部への接続部分において、xSP で運用をしているルータに設定をする事 が推奨されるフィルタをまとめた文書です。 本文書に提示してある、"最低限、設定をする事が推奨されるフィル タ" については、xSP ネットワークの運用において基本的な部分となる ので、文字通り、最低限設定をする必要があると考え、それに加えて併 記してある "(運用者、ルータ) のリソースにより設定を考慮するフィ ルタ" については、運用をしている NOC のメンバー、および、ネット ワーク内で使用をしているルータのパフォーマンスにより設定の可否を 検討する事が必要であると考えます。 この文書に提示してある全てのフィルタの項目は、以下の項目を前提 にして考えられてあり、全ての xSP のネットワークで適用される事を 期待しています。 o エンドユーザの正常な通信には影響を与えない事 (アドレス詐称やアタックなどの対策の1つとしてのフィルタを 考える) o 不必要な経路は出さない/受け取らない事 o 不必要なパケットは出さない/受け取らない事 o 下記に例としてあげてある特定アプリケーションの通信のパケッ トフィルタについてはこの文書では扱わない (例) Outbound Port25 Blocking (迷惑メイル対策用途)、P2P ト ラフィックフィルタ など 3. 言葉の定義  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 1. Prefix フィルタ とは、 Prefix 長の情報を元にしてフィルタリングを行う方法 別名 : Prefix Based フィルタ 2. AS-PATH フィルタ とは、 AS-PATH 属性の情報を元にしてフィルタリングを行う方法 3. 経路フィルタ とは、 "Prefix フィルタ" および "AS-PATH フィルタ" の双方を包括 したフィルタの総称 4. トランジット とは、 フルルートの広告を受ける接続の形態、および、フルルートの 広告を受けている状態の事 5. ピア とは、 xSP 同士において、お互いの内部および顧客の経路交換をする 接続の形態、および、経路交換をしている状態の事 4. この資料のまとめ方  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ この資料は以下のとおりの項目に分類をしてまとめてあります。 1. まず、"フィルタの適用場所単位" で文書(ファイル)を分けてあ ります。 2. さらに、フィルタの適用場所単位で分けてある文書の中で、"フ ィルタを設定する重要度" により分けてあります。 3. 最後に "フィルタの種類" により分けてあります。 1. 大項目 (フィルタの適用場所) o トランジット接続部分 o ピア(パブリック/プライベート)接続部分 /* 上流 (トランジット) とピアで違うところがあるのかどうか? */ o 顧客接続部分 (static route 接続顧客、BGP 接続顧客) o ルータ自身へのアクセス o その他 2. 中項目 (設定をする優先度) o 最低限、設定をする事が推奨されるフィルタ o (運用者、ルータ) のリソースにより設定を考慮するフィルタ 3. 小項目 (フィルタの種類) o パケットフィルタ (Ingress/Egress) o 経路フィルタ (Ingress/Egress) o フィルタの運用を軽減する為に有効な技術 /* 適用場所ごとに有効な技術は違ってくるか? */ ※ 分類図 - 下記の四角で囲んである項目別に別文書になっています。 ┌──────────────┐ │ 親文書 (このファイル) │ └─┬────────────┘ │ │┌───────┐ ├┤ トランジット ├┬ 最低限設定をする事が推奨され ││ 接続部分編 ││ るフィルタ │└───────┘│ │ │ │ ├ パケットフィルタ │ │ ├ 経路フィルタ │ │ └ フィルタの運用を軽減する │ │ 為に有効な技術 │ │ │ └ リソースにより設定を考慮する │ フィルタ │ │ │ ├ パケットフィルタ │ ├ 経路フィルタ │ └ フィルタの運用を軽減する │ 為に有効な技術 │┌───────┐ ├┤ ピア接続 ├─ 同上 ││ 部分編 │ │└───────┘ │┌───────┐ ├┤ 顧客接続 ├─ 同上 ││ 部分編 │ │└───────┘ │┌───────┐ └┤ ルータ自身へ ├┬ 最低限設定をする事が推奨され │ のアクセス編 ││ るフィルタ └───────┘│ │ │ ├ パケットフィルタ │ └ フィルタの運用を軽減する │ 為に有効な技術 │ └ リソースにより設定を考慮する フィルタ │ ├ パケットフィルタ └ フィルタの運用を軽減する 為に有効な技術 5. 著者紹介  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 氏名 : 馬渡 将隆 [MAWATARI Masataka] 所属 : 株式会社ドリーム・トレイン・インターネット 経歴 : 2000年株式会社ドリーム・トレイン・インターネット入社、ネット ワーク運用部に所属。バックボーンの運用に従事し、技術を習得す る。 その他、JANOG11 広報委員長、JANOG15 プログラム委員長など。 ----------------------------------------------------------------