https://www.lessismore.asia/tags/linux/ Recent content in Linux on Layered Simplicity Hugo en <a href="https://creativecommons.org/licenses/by-nc/4.0/" target="_blank" rel="noopener">CC BY-NC 4.0</a> Sat, 04 Apr 2026 01:00:00 +0900 https://www.lessismore.asia/posts/2026/04/modern-bgp-operations-dual-stack-rpki-implementation-via-gobgp/ Sat, 04 Apr 2026 01:00:00 +0900 https://www.lessismore.asia/posts/2026/04/modern-bgp-operations-dual-stack-rpki-implementation-via-gobgp/ <p>GoBGPを利用して、自身のAS（AS154486）からIPv4/IPv6両方の経路を広報し、さらにRPKIによる経路検証を導入する手順をまとめます。GoBGPは設定がTOML形式で扱いやすく、systemdとの組み合わせで運用を自動化しやすいのが利点です。</p> <h2 id="1-環境情報パラメーター">1. 環境情報（パラメーター）</h2> <p>構築にあたり、使用する変数および固定値を以下に定義します。実際の運用環境に合わせて適宜書き換えてください。 ※本記事内のIPアドレスやパスワードはドキュメント用のダミー値に置き換えています。</p> <table> <thead> <tr> <th style="text-align: left">項目</th> <th style="text-align: left">設定値（サンプル）</th> <th style="text-align: left">備考</th> </tr> </thead> <tbody> <tr> <td style="text-align: left"><strong>自組織AS番号</strong></td> <td style="text-align: left"><code>154486</code></td> <td style="text-align: left">自身のAS番号</td> </tr> <tr> <td style="text-align: left"><strong>Router ID</strong></td> <td style="text-align: left"><code>192.168.100.1</code></td> <td style="text-align: left">自身の識別子（IPv4形式）</td> </tr> <tr> <td style="text-align: left"><strong>Neighbor IPv4</strong></td> <td style="text-align: left"><code>10.0.0.1</code></td> <td style="text-align: left">接続先（Peer）のIPv4アドレス</td> </tr> <tr> <td style="text-align: left"><strong>Neighbor IPv6</strong></td> <td style="text-align: left"><code>2001:db8::1</code></td> <td style="text-align: left">接続先（Peer）のIPv6アドレス</td> </tr> <tr> <td style="text-align: left"><strong>Peer AS</strong></td> <td style="text-align: left"><code>64515</code></td> <td style="text-align: left">接続先のAS番号</td> </tr> <tr> <td style="text-align: left"><strong>MD5 Password</strong></td> <td style="text-align: left"><code>DUMMY_PASSWORD</code></td> <td style="text-align: left">BGPセッション認証用パスワード</td> </tr> <tr> <td style="text-align: left"><strong>広報IPv4セグメント</strong></td> <td style="text-align: left"><code>192.168.1.0/24</code></td> <td style="text-align: left">外部へ広告する自社IPv4経路</td> </tr> <tr> <td style="text-align: left"><strong>広報IPv6セグメント</strong></td> <td style="text-align: left"><code>2001:db8:1234::/48</code></td> <td style="text-align: left">外部へ広告する自社IPv6経路</td> </tr> </tbody> </table> <hr> <h2 id="2-gobgpのインストール">2. GoBGPのインストール</h2> <p>GoBGPはシングルバイナリで動作するため、GitHubのリリースから取得して配置するだけで完了します。</p> <ul> <li>バイナリのダウンロード（環境に合わせてアーキテクチャを選択）</li> </ul> <pre tabindex="0"><code>wget [https://github.com/osrg/gobgp/releases/download/v3.30.0/gobgp_3.30.0_linux_amd64.tar.gz](https://github.com/osrg/gobgp/releases/download/v3.30.0/gobgp_3.30.0_linux_amd64.tar.gz) tar -zxvf gobgp_3.30.0_linux_amd64.tar.gz </code></pre><ul> <li>パスの通った場所へ移動</li> </ul> <pre tabindex="0"><code>sudo mv gobgp gobgpd /usr/bin/ </code></pre><h2 id="3-設定ファイルの作成-etcgobgpgobgpconf">3. 設定ファイルの作成 (/etc/gobgp/gobgp.conf)</h2> <ul> <li>RPKIサーバー（Cloudflare）との連携、Neighbors設定、および意図しない経路広報（Route Leak）を防ぐためのポリシー定義を記述します。</li> </ul> <pre tabindex="0"><code>[global.config] as = 154486 router-id = &#34;192.168.100.1&#34; # --- RPKIサーバー設定 (Cloudflare) --- [[rpki-servers]] [rpki-servers.config] address = &#34;rtr.rpki.cloudflare.com&#34; port = 8282 [zebra.config] enabled = false # --- Neighbors (IPv4) --- [[neighbors]] [neighbors.config] neighbor-address = &#34;10.0.0.1&#34; peer-as = 64515 auth-password = &#34;DUMMY_PASSWORD&#34; [[neighbors.afi-safis]] [neighbors.afi-safis.config] afi-safi-name = &#34;ipv4-unicast&#34; [neighbors.apply-policy.config] import-policy-list = [&#34;policy-in&#34;] export-policy-list = [&#34;policy-out&#34;] # --- Neighbors (IPv6) --- [[neighbors]] [neighbors.config] neighbor-address = &#34;2001:db8::1&#34; peer-as = 64515 auth-password = &#34;DUMMY_PASSWORD&#34; [[neighbors.afi-safis]] [neighbors.afi-safis.config] afi-safi-name = &#34;ipv6-unicast&#34; [neighbors.apply-policy.config] import-policy-list = [&#34;policy-in&#34;] export-policy-list = [&#34;policy-out&#34;] # --- ポリシー定義 --- # 全ての受信経路を許可 [[policy-definitions]] name = &#34;policy-in&#34; [[policy-definitions.statements]] [policy-definitions.statements.actions] route-disposition = &#34;accept-route&#34; # 自社ネットワークのみを広報し、それ以外を拒否 [[policy-definitions]] name = &#34;policy-out&#34; [[policy-definitions.statements]] [policy-definitions.statements.conditions.match-prefix-set] prefix-set = &#34;my-networks&#34; [policy-definitions.statements.actions] route-disposition = &#34;accept-route&#34; [[policy-definitions.statements]] [policy-definitions.statements.actions] route-disposition = &#34;reject-route&#34; [defined-sets] [[defined-sets.prefix-sets]] prefix-set-name = &#34;my-networks&#34; [[defined-sets.prefix-sets.prefix-list]] ip-prefix = &#34;192.168.1.0/24&#34; [[defined-sets.prefix-sets.prefix-list]] ip-prefix = &#34;2001:db8:1234::/48&#34; </code></pre><h3 id="4-systemdサービスの設定-etcsystemdsystemgobgpdservice">4. systemdサービスの設定 (/etc/systemd/system/gobgpd.service)</h3> <p>OS起動時に自動でデーモンを立ち上げ、自身の経路（RIB）を注入するように設定します。ExecStartPost を使い、注入時に origin igp 属性を明示的に付与するのがポイントです。</p>