AT&Tのパブリックルートモニターを活用する

# AT&Tのパブリックルートモニターを活用する AT&T の Route Monitor（_route-server.ip.att.net_）は、Junos コアルーターからグローバル BGP テーブルのライブ読み取り専用ビューを直接提供し、エンジニアが到達可能性、ポリシー、またはルートセキュリティのトラブルシューティングを行う際に、外部からの視点から状況を把握できるようにします。多くの Route Monitor は Web フォームの背後に隠れていますが、このノードはインタラクティブな CLI アクセスを提供します。TCP 23 への通常の Telnet セッション、または TCP 22 への SSH セッションを開くことができます。どちらの場合も、パブリック認証情報 `rviews / rviews` でログインすると、制限付きの Juniper シェルが表示されます。Telnet はアドホックチェックに便利ですが、SSH の暗号化トランスポートは、ミドルボックスのアイドルタイムアウトによるリセットを回避し、共有ネットワークにおける認証情報のスヌーピングを防ぎます。 Telnet クイックテスト: ```bash telnet route-server.ip.att.net 23 # ログイン: rviews # パスワード: rviews ``` ホストキーチェックを無効にした SSH (サーバーは定期的にキーをローテーションします): ```bash ssh -o StrictHostKeyChecking=no [email protected] ``` 接続すると、アトランタ、ダラス、ロサンゼルスなどの都市にある複数のIPv4およびIPv6ピアがバナーに列挙され、すべてのコマンドがスナップショットではなくAT&TのライブeBGPエッジに対して実行されることが強調されます。プラットフォームは10年以上前にCisco IOSからJunosに移行したため、「show ip bgp」などのIOSコマンドは解析されません。代わりに、「show route」や「show bgp summary」などのJunos構文を使用します。簡単なサニティチェックは、次のコマンドで完全なテーブルを表示することです。 ```bash show route terse protocol bgp ``` 現在、IPv4プレフィックスは約90万個あると予想されています。Junosは各プレフィックスのネクストホップ、優先度、および経過時間を報告します。プレフィックス固有の分析を行うには、例えば「show route 8.8.8.0/24 detail」を実行してください。詳細ビューには、受信したASパス、MED、ローカル優先度、およびBGPコミュニティが表示され、新しいプリペンドまたはブラックホールコミュニティが意図したとおりに伝播していることを即座に確認できます。同じコマンドはIPv6でも機能するため、「2001:4860:4860::8888/128」をコンテキストを切り替えることなく検査できます。 ```bash [email protected]> show route 8.8.8.0/24 detail inet.0: 984264 destinations, 15746317 routes (984263 active, 0 holddown, 1 hidden) 8.8.8.0/24 (16 entries, 1 announced) *BGP Preference: 170/-101 Next hop type: Indirect, Next hop index: 0 Address: 0x9628c9c Next-hop reference count: 984138 Kernel Table Id: 0 Source: 12.122.83.238 Protocol next hop: 12.122.83.238 Indirect next hop: 0x2 no-forward INH Session ID: 0 State: <Active Ext> Local AS: 65000 Peer AS: 7018 Age: 5w6d 16:02:29 Metric2: 0 Validation State: valid Task: BGP_7018.12.122.83.238 Announcement bits (1): 3-Resolve tree 1 AS path: 7018 15169 I Communities: 7018:2500 7018:36244 Accepted Localpref: 100 Router ID: 12.122.83.238 Thread: junos-main BGP Preference: 170/-101 Next hop type: Indirect, Next hop index: 0 Address: 0x28c713dc Next-hop reference count: 984138 Kernel Table Id: 0 Source: 12.122.120.7 Protocol next hop: 12.122.120.7 Indirect next hop: 0x2 no-forward INH Session ID: 0 State: <NotBest Ext> Inactive reason: Not Best in its group - Router ID Local AS: 65000 Peer AS: 7018 Age: 11w4d 6:24:27 Metric2: 0 Validation State: valid Task: BGP_7018.12.122.120.7 AS path: 7018 15169 I Communities: 7018:2500 7018:39220 Accepted Localpref: 100 Router ID: 12.122.120.7 Thread: junos-main BGP Preference: 170/-101 Next hop type: Indirect, Next hop index: 0 Address: 0x2bf6cc9c Next-hop reference count: 984138 Kernel Table Id: 0 Source: 12.122.124.12 Protocol next hop: 12.122.124.12 Indirect next hop: 0x2 no-forward INH Session ID: 0 State: <NotBest Ext> Inactive reason: Not Best in its group - Router ID Local AS: 65000 Peer AS: 7018 Age: 11w4d 6:24:24 Metric2: 0 Validation State: valid Task: BGP_7018.12.122.124.12 AS path: 7018 15169 I Communities: 7018:2500 7018:39343 Accepted Localpref: 100 Router ID: 12.122.124.12 Thread: junos-main ---(more)--- ``` 基本的なナビゲーションに慣れると、いくつかの非常に効果的なワークフローが実現します。DDoS ブラックホールを起動すると、影響を受けるプレフィックスを照会すると、AT&T がネクストホップを書き換えてトラフィックを破棄したこと、および正しいブラックホールコミュニティ (たとえば `65535:666`) が属性に表示されていることがすぐに確認できます。AS 7018 を対象とするプリペンドを微調整すると、AS パスが意図的に長くなった「65000 65000 65000 3356」から 1 ホップに縮小されるのを確認でき、変更を他のアップストリームにプッシュする前に伝播を確認できます。戻りトラフィックが非対称に見える場合は、`show route <your-prefix> multipath` を調べてローカルプレフィックスの値を比較し、AT&T の決定プロセスが予想と異なるかどうかを確認します。バックボーンの不安定性が疑われる場合、「show bgp summary」を繰り返し実行することで、プレフィックス数が減少しているピア（フラップダンプニングやメンテナンスの兆候）をハイライト表示できます。設定変更のリスクは一切ありません。新しいROAを発行した後、「`show route validation-database origin-as <your-asn>`」を実行すると、AT&TのRTRキャッシュがルートを「有効」とマークしたことが確認され、RPKI導入のループが閉じられます。モニターは読み取り専用なので、出力をパイプまたはフィルタリング（`| match`、`| count`）したり、`expect` によるスクリプト操作でバッチチェックを行ったりできます。セッションは約5分間操作がないとタイムアウトするため、速やかに出力をキャプチャしてください。`exit` でログアウトすると、VTY 回線が他のユーザーに解放されます。本番環境における決定を行う前に、必ず少なくとも1つの別のツールで結果を検証してください。