入門書には載っていないルーティング Tips

ೖ໳ॻʹ͸ࡌ͍ͬͯͳ͍ ϧʔςΟϯά Tips ϧʔςΟϯάνϡʔτϦΞϧ খౡ৻ଠ࿠!DPEFPVU +"/0(

小島慎太郎 DPEFPVU http://about.me/codeout ! w *41೥ OUUOFU"4
w *9೥ +1/"1

Agenda ೖ໳ॻʹࡌͬͯͳ͍ɼӡ༻ܦݧʹ΋ͱ ͮ͘Tips ʹ͍ͭͯ࿩͠·͢ ! w BGP とは? w BGP
の設計を考えよう w BGP の運用を考えよう w セキュリティ w ルーティングエコシステム

BGP とは?

BGP とは? &(1ͷҰछҟͳΔ"4ؒͰSPVUJOH৘ใΛަ׵͢Δ ! ! ! ! ! ! !
routing policyを伝える AS1 AS2 AS3 AS4 ͬͪ͜ʹྲྀͯ͠΄͍͠ ͬͪ͜ʹ ྲྀ͞ͳ͍Ͱ΄͍͠ 0,

IGP との関係 w #(1ͰղܾͰ͖Δͷ͸ɼInternet上のある目的地に達するために, 自AS内のどの出口から出ればいいか? ͷΈ ! w
その出口にはどうやったら到達できるか?  ͸*(1པΈ ! w *(1ͷओͳ༻్͸ɼ#(1ͷQSPUPDPMOFYUIPQΛղܾ͢Δ͜ͱ w Ή΍Έʹ#(1ܦ࿏Λ*(1ʹ஫ೖ͠ͳ͍΄͏͕͍͍

A Border Gateway Protocol 4 (BGP-4) w RFC1654 +VMZ
w RFC1771 .BSDI w RFC4271 (January 2006) w ΋ͪΖΜͨ͘͞Μ֦ு͞Ε͍ͯΔ w RFC1997 #(1$PNNVOJUJFT"UUSJCVUF w RFC2385 1SPUFDUJPOPG#(14FTTJPOTWJBUIF5$1.%4JHOBUVSF w RFC3065 "4$POGFEFSBUJPOTGPS#(1 w RFC4451 #(1.&%$POTJEFSBUJPOT w RFC4456 #(13PVUF3FGMFDUJPO w RFC4360 #(1&YUFOEFE$PNNVOJUJFT"UUSJCVUF w RFC5004 "WPJE#(1#FTU1BUI5SBOTJUJPOTGSPN0OF&YUFSOBMUP "OPUIFS w RFC5668 0DUFU"44QFDJGJD#(1&YUFOEFE$PNNVOJUZ w

BGP の経路選択 ࠷΋ߴ͍WEIGHTΛ࣋ͭύε͕༏ઌ͞Ε·͢Ұ෦ϝʔΧʔͷΈ 最も高い LOCAL_PREF を持つパスが優先されます OFUXPSL·ͨ͸BHHSFHBUF#(1αϒίϚϯυʹΑͬͯ
͋Δ͍͸*(1͔Βͷ࠶഑෍Λ௨ ͯ͡ ϩʔΧϧͰൃ৴͞Εͨύε͕༏ઌ͞Ε·͢ 最短の AS_PATH を持つパスが優先されます ࠷খͷΦϦδϯλΠϓΛ࣋ͭύε͕༏ઌ͞Ε·͢ 最小の Multi-Exit Discriminator (MED) を持つパスが優先されます  MED͸SFNPUF"4͕ಉ͡৔߹ͷΈධՁ͞ΕΔ J#(1ύεΑΓ΋F#(1ύεͷํ͕༏ઌ͞Ε·͢ BGP ネクストホップへの最小の IGP メトリックを持つパスが優先されます ྆ํͷύε͕֎෦ͷͱ͖͸ ઌʹड৴ͨ͠ύε ࠷΋ݹ͍ύε ͕༏ઌ͞Ε·͢ ࠷খͷϧʔλ*%Λ࣋ͭ#(1ϧʔλ͔ΒૹΒΕͨϧʔτ͕༏ઌ͞Ε·͢ ൃ৴ݩ*%·ͨ͸ϧʔλ*%͕ෳ਺ͷύεͰಉ͡৔߹͸ ࠷খͷΫϥελϦετ௕Λ࣋ͭύε ͕༏ઌ͞Ε·͢ ࠷খͷྡ઀ϧʔλΞυϨε͔ΒૹΒΕͨύε͕༏ઌ͞Ε·͢ ! http://www.cisco.com/cisco/web/support/JP/100/1008/1008556_25-j.html

今日話すこと w BGPの設計時に考えるべきことʹ͍ͭͯ࿩͠·͢ ! w l#(1TFTTJPOͷઌʹ͍Δ"4 ސ٬QFFSJOHύʔτφʔ USBOTJUఏڙऀ ʹ΋ݸผͷSPVUJOHQPMJDZ͕͋Δzͱ͍͏؀ڥ Ͱ
どうやって自分の思うようにtraffic controlするか? Λཧղ͢ΔͨΊʹ w ࢲ͕࢖͍ͬͯΔख๏ͷ঺հ w ͦͷղઆ ΋͠·͢

BGP の設計を考えよう

• eBGP policy / 設計 • 経路広告 • 経路受信 •
iBGP policy / 設計

eBGP policy (جຊ)

eBGP Policy を考えるポイント w どんな経路 Λ w どんなeBGP session ͔Β΋Β͏͔
w どんなeBGP session ΁޿ࠂ͢Δ͔ w ܦ࿏ͷ֤QBUIBUUSJCVUF͸୭ͷ΋ͷ͔ w 'VMM3PVUF࣋ͯͳ͍Μ͚ͩͲͲ͏͠Α͏

どんな経路を • 顧客の経路 w #(1ސ٬ w TUBUJDސ٬ ࣮ࡍ͸1"ʹू໿ •
自ASの経路 w 1"1*ܦ࿏ • peering パートナーの経路 • transit 事業者の経路 • 不要な経路 ߴ ௿ AS1 AS2 Ϗδωε্ͷ؍఺͔Βɼجຊతʹ͸্هͷॱʹ༏ઌ͢Δ ༏ઌͳΔ΂ͦ͘ͷܦ࿏ʹैͬͯQBDLFUΛྲྀ͍ͨ͠ ྲྀͯ͠΄͍͠ ίϨ

どんなeBGP sessionへ • 顧客 • peer w QBJEQFFS ऩӹΛಘ͍ͯΔ
w QSJWBUFQFFS w QVCMJDQFFS *9 w QBJEQFFS අ༻Λ෷͍ͬͯΔ • transit ಉ༷ʹɼجຊతʹ͸্هͷॱʹ༏ઌ͢Δ ༏ઌͳΔ΂ͦ͘ͷ઀ଓճઢʹQBDLFUΛྲྀ͍ͨ͠ ߴ ௿ AS1 AS2 ίϨ

ࣗ"4 eBGP Policy の基本 ड৴޿ࠂ1PMJDZ͸ԿʹӨڹ͢Δ ܦ࿏ड৴ ܦ࿏޿ࠂ packet ﬂow packet
ﬂow 受信Policy AS内ͰͲͷΑ͏ʹ SPVUJOHͤ͞Δ 広告Policy AS外ͰͲͷΑ͏ʹ SPVUJOHͤ͞Δ R R R R ֎෦ AS 1 ֎෦ AS 2 ֎෦ AS 3

eBGP 経路受信 (ちょっと細かく)

eBGP Policy の基本 (受信) すべて受信 • transit A の顧客 •
transit A 自身 • transit A のpeer • transit A のtransit 自身の経路を除き，すべて受信 (経路filterあり) • 顧客A の顧客 • 顧客A 自身 • 顧客A のpeer (通常流れてこない) • 顧客A のtransit (通常流れてこない bogon filter はすべてに必要すべて受信 (経路filterあり) • peer A の顧客 • peer A 自身 • peer A のpeer (通常流れてこない) • peer A のtransit (通常流れてこない) My AS ސ٬ͷ USBOTJU ސ٬ͷ QFFS ސ٬ͷ ސ٬ ސ٬ QFFSͷ USBOTJU QFFSͷ QFFS QFFSͷ ސ٬ QFFS USBOTJUͷ USBOTJU USBOTJUͷ QFFS USBOTJUͷ ސ٬ USBOTJU

受信経路を扱うときに気にするべきポイント3つ

1. LPとMEDの値 2. 経路Filter 3. Path Attribute は本来の用途に使おう

1. LPͱMEDͷ஋ ༏ઌ౓ ܦ࿏छผ -1 .&% ސ٬ d ্ॻ͖͠ͳ͍
ࣗ"4 ͳ͠ QFFS ্ॻ͖ े෼େ͖ͳ஋ USBOTJU ্ॻ͖ Λ·͍ͨͰ਺ஈ֊ EFGBVMU w ෯ʹ༨༟Λ΋ͬͯ਺஋Λઃఆ w -1ͷEFGBVMU஋͕ͷ࣮૷͕ଟ͍ͷͰ   ҆શΛظ͢ͳΒ-1ͷ஋͸

– 解説 – ༏ઌ౓ ܦ࿏छผ -1 .&% ސ٬ d
্ॻ͖͠ͳ͍ ࣗ"4 ͳ͠ QFFS ্ॻ͖ े෼େ͖ͳ஋ USBOTJU ্ॻ͖ Λ·͍ͨͰ਺ஈ֊ EFGBVMU ސ٬ͷ໌֬ͳҙਤ͕ ͳ͍ݶΓ࠷༏ઌ ৗʹ3*#ʹอ࣋ ܦ࿏Λࢦఆͯ͠ଞͷސ ٬΍QFFSʹӌճͤ͞Δ ͜ͱ͕Ͱ͖Δ QFFSͷͱൺֱͯ͠ɼ ඞͣ࣍ͷ"4@1"5)Ͱ ༏ઌ౓͕ܾఆ ސ٬ͷ5&બ୒ࢶΛ ૿΍͢ w "4@1"5)͕ಉ͡ͳΒ *(1ϕʔεͷDMPTFTU FYJUΛڧ੍ w BMXBZTDPNQBSF NFE΍QFFSސ٬"4 ରࡦͰ.&%ΛߴΊʹ w ?rͰ΋͍͍ ͔΋ "4@1"5)͕ಉ͡ͳΒ *(1ϕʔεͷDMPTFTU FYJUΛڧ੍ ҰԠ QSJWBUFQVCMJD QFFSͰஈ֊͋Δ*41 ΋͋Δ

2. 経路Filter 顧客経路 ༏ઌ౓͕ඇৗʹߴ͍ͨΊɼࡉ͔͘νΣοΫ͢Δඞཁ͕͋Δ w IRRベースが理想的 w සൟʹϝϯςφϯεͰ͖ΔͷͰ͋Ε͹ खಈͰ΋໰୊ͳ͍͔΋͠Εͳ
͍ w GJMUFSํ๏ͷީิ w FYBDUNBUDIͳQSFGJYGJMUFS w FYBDUNBUDIͳQSFGJYGJMUFSPSJHJO"4GJMUFS ! w bogon prefix, 自ASのprefixは経路filterで除外 w #(1DPNNVOJUZ͸ಁաతʹѻ͏

IRRベースって言われても… w 3VCZ͔Β࢖͑Δ΍ͭ w 1FSMͰ͍͏/FU*33  ! ! ! ! !
https://github.com/codeout/irrc

peer経路 QFFSJOHUSBOTJUΑΓ੹೚ൣғ͕খ͍͞ গͳ͍৘ใʹج͖ͮɼΏΔ͘GJMUFS͢Δ ! w Mis-Origin (経路ハイジャック) の可能性 w ࡉ͔͍GJMUFSΛઃఆͯ͠͠·͏ͱメンテナンスさ
れなくなるかもしれない w l"4@1"5)ΛϝʔϧͰ఻͑߹͏z͘͠Έ͕ಈ͍͍ͯͨ w ΍͸Γݶք͕͋ΔͷͰɼࣗಈͰಈ͘͜ͱ͕๬·͍͠

peer経路 ଞͷࠃͰ͸ҎԼͷ૊Έ߹Θ͕ͤଟ͍ w maximum-prefix (prefix-limit) filter w ࣮੷ϕʔε ࡢ೔͔Β૿͑ͨΒΞ΢τ ͳͲ
w QFFSJOHECϕʔε w prefix lengthによるfilter w JQWMF w JQWMFͳͲ

bgpq3 / IRR Power Tools w *33ͷల։ DPOGJHੜ੒·Ͱͬ͘͟Γ΍ͬͯ͘ΕΔ w ͔Ώ͍ͱ͜Ζʹख͸ಧ͔ͳ͍͕ɼγϯϓϧ
C input: IRR / peering DB/ ࣮ܦ࿏਺ / ސ٬࿈བྷ config R config ੜ੒ deploy

Maximum-Prefix (Prefix-Limit) Filter transitに設定すると危険な場合がある w OFUXPSL্ͷFWFOUʹΑΓٸʹQSFGJY਺͕૿ ͑Δͱ USBOTJU͕શஅ͢ΔϦεΫ͕͋Δ w JOUFSOFU͔Βःஅ͞ΕΔ͜ͱʹͳΔ

経路Filterに関する参考情報 +"/0($PNNFOU+$_ʹ  େมஸೡʹ·ͱΊΒΕ͍ͯΔ   http://www.janog.gr.jp/doc/janog-comment/

"4 "4 3. Path Attribute ͸ຊདྷͷ༻్ʹ࢖͓͏ – ྫ͑͹ closest exit
– *(1ʹΑΔ੍ޚ .&%͕ҟͳΔܦ࿏Ͱ΋DMPTFTUFYJU͍ͨ͠৔߹͸.&%Λ  ্ॻ͖͢Δඞཁ͕͋Δ MED MED *(1DPTU MED prefix Next Hop MED IGP > 192.0.2.0/24 R1 100 0 192.0.2.0/24 R2 100 50 prefix Next Hop MED IGP 192.0.2.0/24 R1 100 50 > 192.0.2.0/24 R2 100 0 R1 R R2 R

*(1Λ༻͍Δ୅ΘΓʹɼ.&%ΛՃࢉ͢Δ͜ͱͰ΋ҰԠ ࣮ݱͰ͖Δ ! ! ! ×SPVUFSؒͰ.&%Ճࢉͯ͠ճΔඞཁ͕͋Δ lนzʹͳ͍ͬͯΔͱ͍͏਺஋͕े෼͔ Ͳ͏͔͸QFFSQBSUOFSͷ޿ࠂQPMJDZ࣍ୈ !
w ຊདྷͷ.&%ͷ༻్ͱ͸ҟͳΔ Juniper NFUSJDBEE Cisco TFUNFUSJD

よくあるパターン ࣮૷Ͱ͖Δ͔Βͱ͍ͬͯɼຊདྷͷ༻్͔Β͸Έग़Δ  ΍Γ͍ͨ͜ͱʹରͯ͠େֻ͔Γ͗͢ ͓·͡ͳ͍తͳઃఆ΍ ফͤͦ͏͕ͩফͯ͠͸ͳΒͳ͍   ӡ༻ରॲ͕૿͑Δ
lなんかめんどくさくない ?z  lうわ，壊れた !z 3. Path Attribute は本来の用途に使おう

シンプルにわかりやすく http://www.ﬂickr.com/photos/techsavvyed/5926978939/

受信経路に手を入れる = 経路制御する方法を決めておく (運用設計)

経路制御の選択肢 • transit / peer 経路 w -1ͷඍௐ੔ w "4@1"5)QSFQFOE
w .&%ඍௐ੔ w QBTTJWF*(1 w ܦ࿏ΛࢭΊΔ ! • 顧客経路 w ސ٬͔Βͷґཔʹجͮ͘৔߹Λআ͖ ૢ࡞͠ͳ͍

• LP / MED などの数値はなるべく弱くなる方に制御する w ϔϯʹUSBGGJDΛٵ͍ࠐΉͷΛ๷͙ w .&%
૿΍͢  -1 ݮΒ͢ ଟ͘ͷ࣮૷ͰEFGBVMU w "4@1"5)QSFQFOE  QSFQFOE͞Εͨܦ࿏͕3*#ʹ࢒ͬͯ͠·͏Մೳੑ͕͋ΔͷͰɼͳΔ ΂͘ආ͚Δ w USBOTJUΛച͍ͬͯΔ৔߹ͳͲ શମͱͯ͠ܦ࿏͕ԕ͘ݟ͑ͯ͠ ·͏ͷ͸ྑ͘ͳ͍ • passive IGPは経路ごとの制御ができない

• -1.&%"4@1"5) 操作 • なるべくメンテナンス頻度を下げる w QFFS"4 w OFYUIPQ w
PSJHJO"4 w "4@1"5) w QSFGJY ͷॱͰૢ࡞ ૈ ࡉ

irregularなことは目立つように /  消しやすく QSPUPDPMT\ CHQ\ OFJHICPSYYYY\ JNQPSU<SFHVMBSJSSFHVMBSpOBMJ[F> ^ ^
^ ! QPMJDZPQUJPOT\ QPMJDZTUBUFNFOUSFHVMBS\ GSPN\^ UIFO\ ௨ৗͷQPMJDZ OFYUQPMJDZ ^ ^ ! SFNPWFNFTPPO QPMJDZTUBUFNFOUJSSFHVMBS\ GSPN\^ UIFO\ JSSFHVMBSͳQPMJDZ OFYUQPMJDZ ^ ^ QPMJDZTUBUFNFOUpOBMJ[F\ UIFOBDDFQU ^ ^ OPSPVUFNBQSPVUFpMUFS SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ ! SFNPWFNFTPPO SPVUFNBQSPVUFpMUFSQFSNJU JSSFHVMBSͳQPMJDZ Juniper の例: Cisco の例: template hack template hack

よく使うのは次の3種類くらい

経路制御の選択肢 (受信) – LP 制御 – prefix MED AS_PATH 192.0.2.1/32
100 1 prefix MED AS_PATH 192.0.2.1/32 50 2 prefix MED AS_PATH 192.0.2.1/32 100 1 Ұ෦ܦ࿏͸QFFSΑΓ ༏ઌ͍ͤͨ͞ prefix LP MED AS_PATH > 192.0.2.1/32 120 1000 1 192.0.2.1/32 110 1000 2 LP policy w USBOTJU w QFFS My AS AS1 AS2 ސ٬ peer transit QFFS͔Βͷܦ࿏ʹ͍ͭͯ -1ΛԼ͛Δ

prefix Next Hop MED 192.0.2.1/32 x.x.x.x 50 192.0.2.1/32 y.y.y.y 100
prefix Next Hop MED 192.0.2.1/32 z.z.z.z 100 ͬͪ͜༏ઌ͍ͨ͠ 経路制御の選択肢 (受信) – MED 制御 – My AS prefix Next Hop MED 192.0.2.1/32 x.x.x.x 110 > 192.0.2.1/32 y.y.y.y 100 AS1 R R Ұํͷ.&%Λେ͖͘͢Δ  େ͖ͳ஋Ληοτ͢ΔPS加算して大きくする ސ٬

prefix Next Hop 192.0.2.1/32 x.x.x.x 192.0.2.1/32 y.y.y.y prefix Next Hop
192.0.2.1/32 z.z.z.z 経路制御の選択肢 (受信) – IGP 制御 – OFJHICPS͝ͱ  ͬͪ͜༏ઌ͍ͨ͠ My AS AS1 R R prefix Next Hop IGP > 192.0.2.1/32 x.x.x.x 10 192.0.2.1/32 y.y.y.y 40 ௨ৗͩͱ .:"4͔ΒݟͯYYYY ZZZZ΁ͷ*(1 DPTU͸྆ํ͕ͩ Ұํ͚ͩʹ͢Δ ސ٬

ところで, 考えてみてください

経路の各path attributeは誰のもの? w ҎԼͷΑ͏ͳػೳΛఏڙ͍ͯ͠Δ*41΋  IUUQPOFTDOFUDPNNVOJUJFT w ސ٬ܦ࿏ͷMEDを上書きしない w ࣗ"4಺Ͱͷlocal
preference(LP)を制御するBGP communityΛސ٬޲͚ʹఏڙ͢Δ 経路受信 MED Community ࣗ"4 LP MED MEDを上書きしない R ސ٬ R R R LPを制御させる 7521:110 = LP110

ここまで経路受信の話

eBGP 経路広告

eBGP Policy の基本 (広告) 顧客経路 + 自分の経路のみ広告 w 顧客から受信した経路
すべて w 自身の経路顧客経路 + 自分の経路のみ広告 w 顧客から受信した経路すべて w 自身の経路すべての経路を広告 w 自身の経路 w peer から受信した経路すべて w transit から受信した経路すべて My AS ސ٬ͷ USBOTJU ސ٬ͷ QFFS ސ٬ͷ ސ٬ ސ٬ QFFSͷ USBOTJU QFFSͷ QFFS QFFSͷ ސ٬ QFFS USBOTJUͷ USBOTJU USBOTJUͷ QFFS USBOTJUͷ ސ٬ USBOTJU bogon filter はすべてに必要

広告経路を扱うときに気にするべきポイント3つ

1. MEDをちゃんと付ける 2. 経路Filter 3. ASPATH prepend  ってちょっと強い

"4 "4 1.MEDをちゃんと付ける MED *(1DPTU MED MED
IGP cost : 100 AS2 が AS1 のMEDを評価した場合の packet flow ͬͪ͜ͷ΄͏͕͍ۙ ͬͪ͜Λ༏ઌͯ͠ʂ R R R R R ސ٬

w NFUSJDPVUJHQ͕ศར w *(1DPTUΛ޿ࠂ࣌ͷ.&%ͱͯ͠ར༻ ! ! ! ! ! !
! ֎෦"4͕ৗʹ.&%ΛධՁͯ͘͠ΕΔͱ͸ݶΒͳ͍ɽͰ΋ w μϝ΋ͱͰ΋޿ࠂ͓ͯ͘͠Ձ஋͋Γ w ධՁͯ͠΋Β͍͍ͨͳΒ ަব QSPUPDPMT\ CHQ\ HSPVQFCHQ\ NFUSJDPVUJHQ OFJHICPSYYYY\^ ^ ^ ^ SPVUFSCHQYYYY OFJHICPSZZZZSPVUFNBQFCHQ SPVUFNBQFCHQ TFUNFUSJDUZQFJOUFSOBM Juniper の例: Cisco の例:

2. 経路Filter • 内部の細かい経路は広告しない w DPOOFDUFE EJSFDU ܦ࿏͸#(1ʹSFEJTUSJCVUF͠ͳ ͍ͳͲ w
͢Δͱ͖ʹ͸OPFYQPSUDPNNVOJUZΛ෇͚͓ͯ͘ • bogonその他，internetに流すべきでない経路が含まれないかを再確認 w remove-privateしておく(private ASは削って広告)

3. AS_PATH prepend w ੍ޚͰ͖Δ͕ ൺֱత੍ޚ͕ڧ͍ w lઃܭzʹؚΊΔͷ͸ ΍Γ͗͢ͳΠϝʔδ w
ͲͪΒ͔ͱ͍͏ͱUSPVCMFTIPPUͳͲͷ࢑ఆର ॲ༻

広告経路に手を入れる = 経路制御する方法を決めておく (運用設計)

経路制御の選択肢 (広告) • transit / peer w "4@1"5)QSFQFOE w .&%ඍௐ੔
w #(1DPNNVOJUZ Ұ෦USBOTJUͷΈ w USBOTJU"4಺ͷ-1Λ੍ޚ w USBOTJU"4 ଞ"4ܦ࿏޿ࠂΛ੍ޚ ޿ࠂ͠ͳ͍QSFQFOE w ܦ࿏޿ࠂΛࢭΊΔ ! • 顧客 w ސ٬͔Βͷґཔʹجͮ͘৔߹Λআ͖ ૢ࡞͠ͳ͍

あまり手がない

経路制御の選択肢 (広告) ޿ࠂܦ࿏ͷ੍ޚ͕ޮ͔ͳ͍৔߹΋ଟʑ͋Δ w ސ٬QFFSJOHύʔτφʔUSBOTJUఏڙऀʹ΋൴ ΒͳΓͷQPMJDZ͕͋ΔͷͰ ΍ΉΛಘͳ͍ w 接続しているtransit /
peer のrouting設計を理解することがすごく重要 w .&%͸ޮ͔͘ w "4@1"5)QSFQFOEՄೳ͔ w CFTUQBUI͸ͲͷQBUIBUUSJCVUFͰܾ·͍ͬͯΔ͔ w ੍ޚܥ#(1DPNNVOJUZ͸͋Δ͔ w そのような設計になっているのはなぜか?

以下の選択肢は高い確率で効果が期待できる ! • BGP Community ! • 経路広告を止める w
ଟ͘ͷ৔߹ ৑௕ੑΛଛͳ͏ w NPSFTQFDJGJDͳܦ࿏ʹ͢Δ Y w ؅ཧ͕൥ࡶʹͳΔ 奥の手 !

ところで, こういうのはどう思いますか?

BGP Community 便利 w ܦ࿏ͷछผʹΑΔzϚʔΫzΛ#(1DPNNVOJUZͱ͠ ͯ෇༩͢Δͱސ٬͸ศརʹ࢖͑Δ w どの地域
ͷܦ࿏ w ͲΜͳܦ࿏͔ transit peer 顧客

prepend community とかどうですか? DPNNVOJUZ AS_PATH DPNNVOJUZ /"
AS_PATH 顧客に ࣗ"4 ֎෦"4΁ͷ޿ࠂ࣌ͷ "4@1"5)Λ੍ޚͤ͞Δ peer ސ٬ My AS

BGP Community = API

BGP Community = API ಛผͳ#(1$PNNVOJUZ Λ෇͚Δͱ Others ސ٬ My AS
ϧʔςΟϯάΛ੍ޚͰ͖Δ

ここまで eBGP 経路広告の話

iBGP policy / 設計

あまりたくさん話しませんが，気に留めておくと良さそうなこと

next-hop self

AS2 next-hop self w ࣗ"4಺ͷUSBGGJDΛࡉ੍͔͘ޚ͍ͨ͠৔߹͸OFYUIPQ TFMG͠ͳ͍΄͏͕͍͍ w 経路制御の選択肢を1つ失う w ͨ͠΄͏͕͍͍৔߹΋͋Δ
ޙड़ J#(1 Prefix NH 192.0.2.0/24 z.z.z.z 198.51.100.0/24 z.z.z.z Prefix NH 192.0.2.0/24 x.x.x.x 198.51.100.0/24 y.y.y.y R R /)TFMG͋Γ AS1 R R

IX AS next-hop self したほうがいい場合 *9ܦ༝Ͱ΋Βͬͨܦ࿏ΛJ#(1ʹྲྀ͢ͱ͖ IUUQXXXKBOPHHSKQEPDKBOPHDPNNFOUKDUYU packet ﬂow Prefix
NH 192.0.2.0/24 x.x.x.x x.x.x.0/24 YYYY /) ʹ౸ୡ͢Δ ͷʹ*(1DPTU͕খ͍͞ ํΛબͿ dst MAC address を知らない可能性がある R R R S S Prefix NH 192.0.2.0/24 x.x.x.x

next-hop selfしないと ! Prefix NH 192.0.2.0/24 x.x.x.x IX F#(1 YYYZ
YYYY next-hop self したほうがいい場合 *9ܦ༝Ͱ΋Βͬͨܦ࿏Λಉ͡*9্ͷผͷF#(1ͷྲྀ͢ͱ͖ IUUQXXXKBOPHHSKQEPDKBOPHDPNNFOUKDUYU packet ﬂow Prefix NH 192.0.2.0/24 x.x.x.x Prefix NH 192.0.2.0/24 x.x.x.y Ͱ͋Δ΂͖ x.x.x.x(NH) に直接転送してしまう R R S S R S Prefix NH 192.0.2.0/24 x.x.x.x

ここまで，設計 = 平常運転時のBGP について話しました ! Questions ?

BGP の運用を考えよう

Traffic Engineering

これから，運用上問題になったケースをいくつか挙げます

みなさんも l自分ならどうするかz 考えてみてください

問題1: 直接peerしているのに  trafficが流れてこない MY AS packet ﬂow transitを買っている peer
peer transitを売っている transitを買っている transitを売っている "4 peerͷத Ͱ͸͜ΕΛ༏ઌ peer "4 "4 "4

問題1: 直接peerしているのに  trafficが流れてこない AS1からではなく，AS3からtrafficが入ってくる w こちらはなんとかなるかも ΋͏Ұํ͸"4ͷऩӹʹӨڹ͢ΔͨΊࠔ೉ "4
"4 MY AS "4 packet ﬂow transitを買っている peer peer transitを売っている transitを買っている transitを売っている "4 peerͷத Ͱ͸͜ΕΛ༏ઌ peer

◦␣ AS1にメールする (またはAS3にメールする) "4΁ͷܦ࿏޿ࠂΛૢ࡞͢Δ USBOTJUશମʹӨڹ͢ΔͷͰɼ  جຊతʹ͸ྑ͘ͳ͍ ◦␣ (もし提供していれば) AS3のBGP
communityを使い，AS1に対して経路を止める ˚"4΁ͷܦ࿏޿ࠂΛNPSFTQFDJGJDʹ w "4 .:"4΁ͷUSBGGJDͳͲɼର৅֎ͷUSBGGJD΋Ҿ͖ࠐΜͰ͠·͏ w OPFYQPSUΛ͚ͭΕ͹0, ΋͠"4͕ఏڙ͍ͯ͠Ε ͹ μϝ΋ͱͰ"4ͷ#(1 DPNNVOJUZΛ෇༩ͯ͠"4 ʹܦ࿏޿ࠂͯ͠ΈΔͷ΋Ұ ख "4 "4 MY AS "4 packet ﬂow transitを買っている peer peer transitを売っている transitを買っている transitを売っている peer 答え: 直接peerしているのに trafficが流れてこない

問題2: transit間で trafficを動かしたい transit 1 MY AS transit 2 গ͠
Ҡ͍ͨ͠ packet ﬂow

◦␣ (特定ASからのtrafficが大きい場合) 直接peerする ◦␣ transit1への経路広告時にAS_PATH prepend w ܦݧతʹ͍ͭ͘΋QSFQFOEͯ͠΋ޮՌ͸ബ͍ w ܦݧతʹ͸ݶք͸
ఔ౓ɽ QSFQFOEͯ͠ޮՌ͕ͳ͚Ε͹ɼ૿ ΍ͯ͠΋ͨͿΜಉ͡ ◦␣ (もし提供していれば) transit1のBGP communityを使い，transit1  内でのLPを下げる ! ˚ஸ౓͍͍WPMVNFͷܦ࿏ʹ͍ͭͯɼ w USBOTJU΁ͷ޿ࠂΛNPSFTQFDJGJDʹ w USBOTJU΁ͷܦ࿏޿ࠂΛࢭΊΔ 答え: transit間で trafficを動かしたい transit 1 MY AS transit 2 packet ﬂow গ͠ Ҡ͍ͨ͠

問題3: peer間でtrafficを動かしたい peer 1 MY AS peer 2 গ͠
Ҡ͍ͨ͠ packet ﬂow

答え: peer間でtrafficを動かしたい peer 1 MY AS peer 2 packet
ﬂow গ͠ Ҡ͍ͨ͠ ◦␣ peer1への経路広告時にAS_PATH prepend w ܦݧతʹ͍ͭ͘΋QSFQFOEͯ͠΋ޮՌ͸ബ͍ w ܦݧతʹ͸ݶք͸ ఔ౓ɽ QSFQFOEͯ͠ޮՌ͕ͳ͚Ε͹ɼ ૿΍ͯ͠΋ͨͿΜಉ͡ ◦␣ (もしpeer1と複数peerしているなら) trafficをどけたいpeer1との  eBGP sessionでのみ特定の経路広告を止める ! ˚ஸ౓͍͍WPMVNFͷܦ࿏ʹ͍ͭͯɼ w QFFS΁ͷ޿ࠂΛNPSFTQFDJGJDʹ w QFFS΁ͷܦ࿏޿ࠂΛࢭΊΔ

QFFSؒͰ5&͍ͨ͠ཧ༝ • 品質が悪いから w ࣌ؒଳʹΑΓ᫔᫓͢Δ w MBUFODZ͕େ͖͍ • paid peerだから
補足: peer間でtrafficを動かしたい

問題4: peer間でよくある traffic移動 peer" MY AS peer"ͷ ผͷ peer ސ٬"
packet ﬂow ϝϯςφϯε #(1EPXO USBGGJD͕ ҠΔ ϝϯςφϯε͕ ऴΘͬͯ΋໭Βͳ͍

答え?: peer間などでよくある traffic移動 peer" MY AS peer"ͷ ผͷ peer ސ٬"
w ໭͢ͷ͸ࠔ೉ w F#(1ؒͷCFTUQBUITFMFDUJPO͸SPVUFS*%Ͱ͸ͳ͘ lܦ࿏ͷੜଘظؒzͰܾఆ͢Δ৔߹͕ଟ͍ packet ﬂow

MPLS-TE

MPLS-TE • AS内のtrafficを自動で制御する技術 w ۭ͖ଳҬΛࣗಈͰ୳͠ ͦ͜΁SPVUJOH w 2P4΋Մೳ • MPLS(Multi-Protocol
Label Switching) + RSVP(ReSerVation Protocol) • IP Packetにlabelをつけてカプセル化 w Ծ૝తͳτϯωϧ -41-BCFM4XJUDIJOH1BUI Λͭ͘Δ

ࣗ"4 ࣗ"4 輻輳した ྫ ྫ ࣗಈͰӌճ link障害による帯域減 ࣗಈͰӌճ
trafficのend-pointは変わらず， rerouteする

MPLS + RSVP のしくみ • LSPはLSR(Label Switching Router: MPLSを設定する router)群で
2x full mesh分張る w -41͸ยํ޲௨৴ͷΈ w ௨৴ํ޲͕ҟͳΔͱผͷ-41͕QBDLFUΛӡͿ w 3 3 3 w 3 3 3 ͸ผ෺ • LSPを張る前にRSVP signaling w $41' $POTUSBJOUFE4IPSUFTU1BUI'JSTU w -JOL4UBUFܕͷ*(1ʹґଘ͢Δ w 041' w *4*4 w -41ຖʹ͋Β͔͡Ίઃఆ͞Εͨ  ଳҬ͕֬อͰ͖Δ͔Λௐ΂Δ 3 3 3 3 3 packet ﬂow egress router MBCFMΛ֎͢ transit router MBCFMΛݟͯసૹ ingress router MBCFMΛ͚ͭΔ

MPLS-TE • network eventにより帯域が縮退 3471TJHOBMJOH -41͕ۭ͖ଳҬʹҠΔ • 自動で空き帯域を探索してくれるので,
手動によるTE不要 • LSPが落ちても即packet lossではない w *(1ʹGBMMCBDL͢Δ #(1ͷQSPUPDPMOFYUIPQͷղܾͷͨΊʹ -41 *(1Λ࢖͏  ༏ઌ౓͕-41*(1 • fast reroute w -41͕མͪͨͱ͖ͷ  DPOWFSHFODFΛૣ͘͢Δ  ͨΊʹ ͋Β͔͡Ί  CBDLVQ-41Λ  ு͓ͬͯ͘ koji@test-router> show route 192.0.2.0/24 ! inet.0: 57 destinations, 57 routes (57 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both ! 192.0.2.0/24 *[BGP/170] 5d 07:12:01, localpref 100, from 192.0.2.1 AS path: I > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00 ! ! koji@test-router> show route 192.0.2.1 ! inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both ! 192.0.2.1/32 *[RSVP/7] 5d 06:47:49, metric 16 > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00 [IS-IS/18] 5d 06:47:48, metric 16 > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00

• 利点 w खಈ5&͔Βͷ։์ w ଳҬઃܭ͕ϥΫ w ࠷ѱSFSPVUFͯ͘͠ΕΔ • 欠点
w PWFSMBZNPEFM w MBCFMPWFSIFBE w LSP sizeを設定するため，日々LSP毎のtraffic量をカウントする必要がある w BVUPNBUJDCBOEXJEUIʹظ଴ MPLS-TE

なんだか便利そうですよね? JANOG33 ! w άϩʔόϧΠϯλʔωοτʹ͓͚Δେ༰ྔτϥώοΫ ίϯτϩʔϧͱϦιʔεϚωδϝϯτ  IUUQXXXKBOPHHSKQNFFUJOHKBOPHQSPHSBNHJOIUNM ! w .1-4τϥϑΟοΫΤϯδχΞϦϯάνϡʔτϦΞϧ 
IUUQXXXKBOPHHSKQNFFUJOHKBOPHUVUPSJBMNQMTIUNM

ここまで， Traffic Engineering について話しました ! Questions ?

ルーティングセキュリティ

• Mis-Origin (経路ハイジャック) w Φϖϛε w .*5.  IUUQXXXSFOFTZTDPNNJUNJOUFSOFUIJKBDLJOH ! •
DDoS w Ξϯϓ߈ܸ  IUUQTSJQFSJQFOFUQSFTFOUBUJPOT 3*1&@@$3PTTPX@"NQMJGJDBUJPO@TUSJQQFEQEG ! %/4Ωϟογϡ1PJTPOJOH )FBSU#MFFE 41". 7JSVT .*5#ͳͲ͸zϧʔςΟϯάzͱ͸ҧ͏

Mis-Origin (ܦ࿏ϋΠδϟοΫ)

Mis-Origin (経路ハイジャック) の検知 w 経路奉行  IUUQXXXOJDBEKQKBJQJSSKQJSS@FYQIUNM w ແྉ !
• BGPMon IUUQXXXCHQNPOOFU w QSFGJYΛ௒͑Δͱ༗ྉ w "1* w UXJUUFS w CMPH

Mis-Origin (経路ハイジャック) の対策 w 他AS がMis-Origin されている  .JT0SJHJOܦ࿏Λ໢಺ʹೖΕͳ͍ w
Route Filter w 31,* ! • 自AS がMis-Origin されている ୣΘΕͨ౸ୡੑΛୣ͍ฦ͢ w more specific な経路を流す

RPKI w 0SJHJO7BMJEBUJPO͸ͲΜͲΜ࣮૷͞Ε͍ͯΔ͕ɽɽɽ w ݱঢ়ɼ·ͩීٴ͍ͯ͠Δͱ͸ݴ͍೉͍ ! w બ୒ࢶ w ࣗ෼Ͱ30"$BDIF4FSWFSΛӡ༻͢Δ 
IUUQXXXKBOPHHSKQXQSQLJSPVUJOHXH  w 30"$BDIF4FSWJDFΛ଴ͭ !

more specific な経路を流す ୣΘΕͨ౸ୡੑΛୣ͍ฦ͢ w ຊ౰ʹྲྀΕΔ͔෼͔Βͳ͍ͷͰɼ素振り重要 w 1FFSJOHύʔτφʔɼτϥϯδοτࣄۀऀ͕ܦ࿏Λ ड͚औͬͯ͘Εͳ͍͔΋͠Εͳ͍

DDoSの検知 w 既存のサービス監視 / リソース監視 w $16.FNPSZ5$1DPOOFDUJPOCBOEXJEUIͷΦʔόʔϑ ϩʔɼϩάͳͲʹΑΔϦΫΤετ਺ͷ؂ࢹ  • トラフィック監視
w ঎༻ΞϓϥΠΞϯεαʔϏε w 044 w GMPXUPPMT w exaddos ! %%P4ͷݕ஌ΑΓରࡦ͕ॏཁɽ  τϥϒϧͷݪҼ͕%%P4ͩͱ෼͔ͬͨ࣌ɼରॲͰ͖ΔΑ͏ʹɽ

DDoSの予防 • Anti IP-Spoofing (BCP38) w uRPF w QBDLFUGJMUFS w
IUUQXXXJFUGPSHSGDSGDUYU  IUUQXXXCDQJOGP ! w アンプ除去  オープンリゾルバーないですよね? w /51େৎ෉ w 4/.1͸

DDoSの対策 • Victim 上のサービスを止めてもよい w τϥϯδοτࣄۀऀ΁ͷΤεΧϨʔγϣϯ w Remote Triggered Blackholing
w (4-#Λ࢖ͬͨ෇Ճ෼ࢄͱ࿈ಈͰ͖Ε͹ཧ૝త  IUUQXXXTMJEFTIBSFOFU"NB[PO8FC4FSWJDFTEEPTSFTJMJFODZXJUI BNB[POXFCTFSWJDFTTFDBXTSFJOWFOU ! • Victim 上のサービスを止めない w αʔόʔ্Ͱͷରࡦ 33-ͳͲ w %%P4.JUJHBUJPOΞϓϥΠΞϯε w %%P4.JUJHBUJPOαʔϏε w ηΩϡϦςΟϓϩόΠμʔ w τϥϯδοτͷ෇ՃαʔϏε

Remote Triggered Blackholing ಛఆͷ#(1$PNNVOJUZ͕෇͍ͨܦ࿏Λड৴͍ͯ͠Δؒ͸ɼ  ֘౰ܦ࿏ѼͯύέοτΛωοτϫʔΫͷશΤοδϧʔλʔͰ CMBDLIPMF͢Δ͘͠Έ 3'$ IUUQUPPMTJFUGPSHIUNMSGD "4 R
R ސ٬ R YYYY DPNNVOJUZ ZZZZ[[[ packet ﬂow

ルーティングエコシステム

%$ࣄۀऀ ϥοΫ ΩϟϦΞ ճઢ ϕϯμʔ ϝʔΧʔ )8 *&5' ඪ४Խ 3*3
/*3 -*3 *$"// ΞυϨε "4/ ૯຿ল ๏ྩ 8$*5 *(' Ψόφϯε Ϋϥ΢υ ࣄۀऀ *BB4 ֤छαʔϏε ࣄۀऀ τϥϯδοτ *9 ֤छαʔϏε ސ٬ peer ωοτϫʔΫ ίϛϡχςΟ ৘ใ USBGGJD

IRR: transit providerのfilterを制御する Ͳ͔͜ͷ*OUFSOFU3PVUJOH3FHJTUSZ *33 ʹొ࿥͢Δඞ ཁ͕͋Δ ! w ೔ຊͰΑ͘࢖ΘΕ͍ͯΔ΋ͷ
• JPIRR (jpirr.nic.ad.jp) w +1/*$؅ཧԼͷΞυϨεอ༗ऀ • RADB (whois.radb.net) w ༗ঈ Z • NTTCOM (rr.ntt.net) w OUUOFUϢʔβʔͷΈ

w IUUQXXXOJDBEKQEPDKQOJDIUNM w ͓ޓ͍ʹNJSSPS͍ͯ͠ΔͨΊɼجຊͲ͔͜Χॴʹ ొ࿥͢Ε͹Α͍ w ৑௕ԽͷͨΊ Χॴొ࿥͢Δͱ҆৺ IRR ͜ͷ*33ͷ৘ใΛ
͍࣋ͬͯΔ͔ +1*33 3"%# /55$0. ͜ͷ *33͕ +1*33 ˓ ˓ º 3"%# ˓ ˓ ˓ /55$0. ˓ ˓ ˓

l細かいことはpeering dbを見てくださいz  ですむので便利 w XXXQFFSJOHECDPN w ৘ใӾཡ͸HVFTUΞΧ΢ϯτͰ0, w ࣗ"4ͷ৘ใΛొ࿥͢Δʹ͸  Ϣʔβʔొ࿥
σʔλϕʔεӡӦऀͷঝೝ͕ඞཁ w NBJMBEESFTTͷEPNBJOΛݟΒΕΔͷͰ "4ͱͷؔ ࿈͕໌Β͔ͳNBJMBEESFTTΛ࢖͏ peering db

w "4ͷجຊ৘ใ w ໊લ w "4/ w छผ *41*$1ͳͲ
w USBGGJDMFWFM w MPPLJOHHMBTTSPVUFTFSWFS63- w JQWNVMUJDBTUJQW w peering policy w PQFOTFMFDUJWFSFTUSJDUJWF/P w ෳ਺ڌ఺ͰͷQFFSΛ৚݅ʹ͢Δ͔ w JOPVUͷUSBGGJDൺ཰Λ৚݅ʹ͢Δ͔ w ࿈བྷઌ w ઀ଓ*9 QVCMJDQFFS༻ w ໊લ w ଳҬ w 101 QSJWBUFQFFS༻ w %$໊ w *OUFSGBDFछผ peering db にはいろいろ記載できる

Questions ?

付録: バッド? ノウハウ集 (応募いただいたみなさま, ありがとうございました)

cisco のサイトでドキュメントを探すときに一番効率のいい方法 IUUQXXXDJTDPDPNDJTDPXFCQTB EFGBVMUIUNM NPEFQSPE ! ͔ͬ͜Β୳͠·͢Ͷɻ ͔͜͜ΒͦΕͧΕͷ04ͷDPOGJHVSBUJPOHVJEF DPNBOOESFGFSFODFʹߦ͘ͷ͕Ұ൪ݻ͍ؾ͕͠·
͢ɻ $JTDP4ZTUFNT౔԰͞Μ

NATになっとった？ ͋Ε͸·ͩ#(1ҎલͰɺ1#3Ͱ্Γબ୒Λ͍ͯͨ͜͠Ζɺ/55 ܥ͕ചͬͯͨࣸਅཱͯΈ͍ͨͳɺ͋Δແઢϧʔλ഑Լʹɺ͋Δ ্Ґ*41ͷ1"ΞυϨε͔Βάϩʔόϧ*1Λ΄ͲׂΓ౰ͯͯɺ ഑Լͷ୺຤͔ΒUSBDFSPVUFͨ͠ͱ͜Ζɺͳ͔ͥɺผͷ্Ґ*41ʹ ্͍ͬͯ͘ݱ৅ɻ ! ϧʔλʔͷϝʔΧʔʹฉ͍ͯ΋ಾͰɺμϝϞτͰ্Ґ*41ʹ ໰͍߹ΘͤΑ͏ͱͨ͠໼ઌɺࣗ෼ͷݸਓܝࣔ൘ʹΞΫηεͨ͠ ࡍʹදࣔ͞Εͨ*1ΞυϨε͕ɺׂΓ౰ͯͨ΋ͷͱҧ͏ɾɾɾ
! ࣮͸͜ͷແઢ-"/ϧʔλ͸ɺ/"5Λ͍ͯͨ͠ͷͰͨ͠ɻ

トラフィックを頭打たせた－ウチだけ編 1#3͔Β#(1ӡ༻ʹมΘΓɺ౰࣌ߴ͔ͬͨ"5.ճઢͷؒ ͰόϥϯεऔΓΛ͍ͯͨ͠ͱ͖ɺʮ͋ͱͪΐͬͱɺ ෼͚ͩɺ͜͜ͷճઢʹʯͱࢥͬͯɺͦͷճઢͷϧʔλ͔ ΒΛܦ࿏޿ใʹ௥Ճͨ͠ͱ͜Ζɺେྔʹྲྀೖ͢Δτ ϥϑΟοΫʹΑΓɺ಄ଧͪʹͳΓ·ͨ͠ɻ ! ͦͷ͸ɺͦͷճઢ͔Β͔͠ग़͍ͯͳ͔ͬͨͷ͕ݪҼ Ͱ͢
! ޙʹͳͬͯɺʮҙ֎ͱΈΜͳɺͷܦ࿏͸ϑΟϧλ͠ ͳ͍ͷͶʯͱࢥ͍·ͨ͠ɻ

トラフィックを頭打たせた −国内編 #(1ӡ༻΋يಓʹ৐ͬͯ਺೥ɺϧʔλػछΛม͑Δͱ͖ʹɺ৽͍͠ϧʔλ ͷ*9઀ଓ෼DPOGJHͰɺ#(1ͷ֎޲͖SPVUFNBQ͕ೖ͓ͬͯΒͣɺ͍࣋ͬͯ ΔϧʔτશͯΛɺ๭*9ͷ֤ϐΞʹు͍ͯ͠·͏ͱ͍͏ࣄଶ͕ൃੜ͠·ͨ͠ɻ ! ԣͰݟ͍ͯͯɺϙʔτͷ-&%͕ҟৗʹޫΓͬͺͳ͠ʹͳΓɺ΋͠΍ͱࢥͬ ͯαϚϦʔΛ֬ೝͯ͠΋ΒͬͨΒɺ΢νҎ֎ͷϧʔτ΋ు͍͍ͯ·ͨ͠ɻ ! ͦͯ͠ɺଟ͘ͷϐΞઌͷ্Ґτϥϯδοτʹ͏͔ͬΓͳͬͯ͠·ͬͨ
͜ͱͰɺେྔʹྲྀೖɾഉग़͢ΔτϥϑΟοΫʹΑΓɺ಄ଧͪʹͳΓ·ͨ͠ɻ ! ޙʹͳͬͯɺʮҙ֎ͱΈΜͳɺ׬શͳܦ࿏ϑΟϧλ͸ॻ͔ͳ͍ͷͶʯͱࢥ ͍·ͨ͠ɻ

普段気をつけているポイント w ৽نϐΞʗτϥϯδοτ͸ɺTIVUEPXOঢ়ଶͰ े෼֬ೝɺTFOE͢Δܦ࿏਺΋ɻ w ෺ཧϧʔτ΋ؾΛ෇͚ΔɻΩϟϦΞμΠόγςΟ ͔Β౿ΈࠐΜͰɺผ৚ɺҟϧʔτɾɾ w ϑΝΠό઀ଓ࣌͸ɺඞͣΫϦʔφͰॲஔɻ

དྷΔ΂͖*1W࣌୅ʹඋ͑ͯɺ#(1ϧʔλ ͷϝϞϦઃఆΛ*1W*1W྆ରԠͷ഑෼ ʹ͍ͯͨ͠ͱ͜Ζɺ*1Wͷສϧʔτ ࣌୅͕ઌʹདྷͯ͠·ͬͨͱ͍͏͍ۤ࿩͠ ΋͋Δͱ͔ͳ͍ͱ͔ɻ

FB の経路数が増えすぎて受けきれなくなって・・・・ ͓٬༷͔Βͷ໰͍߹ΘͤͰ౸ୡͰ͖ͳ͍ܦ࿏͕ग़͖͍ͯͯΔ͜ ͱ͕Θ͔ͬͯ ͳΜͩΖ͏ͱࢥͬͯௐ΂ͯΈͨΒϑϧϧʔτ͕ ػثͷΩϟύΛ௒͍͑ͯ͑ͯͨ͜ͱ͍͏͜ͱ͕ੲ͋Γ·ͨ͠ ! )JUBDIJ(3͸ΘΓͱ҆Ձʹखʹೖ͍ͬͯͨͷͰΑ͘࢖ͬ ͍ͯͨͷͰ͕͢
ϝϞϦ͕গͳ͘ ҝ͢ज़͕ͳ͘ͳͬͯ͠·ͬ ͨͨΊ ϑϧϧʔτΛఘΊͯEFGBVMUͷܦ࿏ͷΈʹ੾Γସ ͑ͯӡ༻ͨ͠Γͱ͍͏͜ͱΛͨ͜͠ͱ͕͋Γ·͢

·ͨɺ๭'PVOESZ੡඼Ͱ͸ɺ ! ! ! ! ! ͱ͍ͬͨײ͡Ͱมߋ͸ՄೳͳͷͰ͕͢ɺEFGBVMU஋͕খ͗ͯ͢͞ɺ঱ ঢ়͕ग़࢝Ί͔ͯΒ͜Εʹؾ͕෇͖ɺ͔ͱ͍͍͖ͬͯͳΓ.BY·Ͱ͋ ͛ͯ΋େৎ෉ͳ΋ͷͳͷ͔ͳͱϏΫϏΫ͠ͳ͕Β਺஋Λ֦ு͍ͯͬ͠ ͍ͯ·ͨ͠ɻ
! ͜Εɺࠓສܦ࿏͘Β͍ͩͱࢥ͏ͷͰ΋͏͠͹Βͨ͘͠Β.BYͰ΋ ҲΕ·͢Ͷ ?? TIPXEFGBVMUWBMVFT 4ZTUFN1BSBNFUFST%FGBVMU.BYJNVN$VSSFOU JQDBDIF JQSPVUF TOJQ XEFGBVMUWBMVFT

਺೥લͳͷͰ΋͎େৎ෉ͩͱ͓΋͍·͕͢ɺ*1Wͷ QFFS OPUUSBOTJU ͕ݪҼͰϝϞϦ͕଍Γͳ͘ͳͬͨ͜ͱ ͕͋Γ·ͨ͠ɻ ! QFFSઌ͸ɺ͓ͦΒ͘ɺBEESFTTGBJQW͕OPBDUJWBUF ͞Ε͓ͯΒͣɺͪ͜Βͷ૝ఆ͠ͳ͍*1Wͷϑϧϧʔτ͕ *1Wτϥϯεϙʔτܦ༝ͰඈΜͰ͖͍ͯ·ͨ͠ɻ !
ͦΕʹؾͮ͘·ͰɺϑΟϧλΛ͋·Γݫີʹ͔͚͍ͯͳ ͔ͬͨͷͰɺQFFSVQˠίϯόʔδΣϯεͷ࠷தʹϧʔ λ ඇྗ ͕ͼͬ͘Γͯ͠ɺɺɺɺɺ ! ͳΜͯࣄ͕͋Γ·ͨ͠ɻ +1/*$Ԭా͞Μ

無停止で HSRPのグループIDだけを変更 ϧʔςΟϯάͱ͸ͪΐͬͱҧ͏͚Ͳ౤͛ͪΌ͑ɻ ;ͱࢥ͍෇͍ͯɺ౰࣌͸ศརʹ࢖ͬͯͨແఀࢭ Ͱ)431ͷάϧʔϓ*%͚ͩΛมߋ ͢Δখٕɻ ! <KBOPH>3F<+"/0(νϡʔτϦΞ ϧ>Έͳ͞Μͷϊ΢ϋ΢΋঺հ͍ͤͯͩ͘͞͞ !
**+দ࡚͞Μ

S S R R HSRP group id: 10 .10 /
x .20 / y .1 / 0a dst: .1 / 0a (0) S S R R .10 / x .20 / y .2 / 0a dst: .1 / 0a (1) HSRP group id: 10

S S R R HSRP group id: 20 .10 /
x .20 / y .2 / 0a dst: .1 / 0a (2) (3) .1/14 HSRP group id: 10 S S R R .10 / x .20 / y .2 / 0a dst: .1 / 14 .1 / 14 HSRP group id: 10 HSRP group id: 20

ੲ͋Δͱ͜Ζʹɺྺ࢙తܦҢʹΑΓࣗ໢಺ʹࣗࣾ1*ΞυϨε ͱଞࣾ1"ΞυϨε͕ಉډͨ͠ωοτϫʔΫΛӡ༻͍ͯ͠Δ૊ ৫͕͋Γ·ͯ͠ɺ͜Ε΋ྺ࢙తܦҢʹΑΓ1"ͳTUBUJD઀ଓճ ઢͱ#(1τϥϯδοτ઀ଓճઢΛಉ͡ϧʔλʹऩ༰͍ͯ͠· ͨ͠ɻ1"ͷϗετ͔ΒΠϯλʔωοτʹग़͍ͯ͘௨৴͚ͩ͸ɺ TUBUJDճઢ͕OFYUIPQʹͳΔΑ͏ʹQPMJDZೖΕͯΔײ͡Ͱɻ ! ͋Δ࣌ɺV31'ͱ͍͏ศརͳػೳΛ஌ͬͨωοτϫʔΫ؅ཧ ऀ͸ɺTUBUJDճઢͱτϥϯδοτճઢͷ྆ํͷJOCPVOEʹɺ V31'MPPTFNPEFͷઃఆΛೖΕ·ͨ͠ɻ
! ਺೥ޙɺτϥϯδοτճઢۀऀ͔Βϝϯςφϯεͷ௨஌͕͋ Γ·ͯ͠ɺͰ΋1"ͷωοτϫʔΫ͸Өڹͳ͍ΑͶɺͱࢥͬͯ ͍ͨΒɺͬ͢ͱ͜Ͳ͍ͬ͜ɺτϥϯδοτճઢ੾ΕͨΒ1"ωο τϫʔΫ΋Πϯλʔωοτͱ௨৴͕Ͱ͖ͳ͘ͳͬͯ͠·͍· ͨ͠ɻ

"4 R USBOTJU R USBOTJU USBOTJU static full route full
route uRPF uRPF

昔やっちまったルーティングミス DMFBSJQCHQ ͱଧͬͯ͠·ͬͨͱ͔ɺͰ͢Ͷɻ ! ͋ͱɺϦϞʔτϝϯς͍ͯ͠Δ࣌ʹϧʔλͷϓ ϩϯϓτͷ͋Δը໘Ͱ͏͔ͬΓϖʔετૢ࡞͠ ͪ·ͬͨΒɺશવؔ܎ͳ͍ը໘ͰͲͬ͞Γίϐʔ ͯͨ͠ͷ͕΂ͬͨΓషΒΕͨͱ͔ɻ !
φΠϯϨΠϠʔζ٠஑͞Μ

খωλͳΒزΒ͔͋Γ·͢Ͷʔɻྫ͑ ͹ɺίϐϖͷͱ͖ʹɺΫϦοϓϘʔυ ͕Ԛછ͞Ε͍ͯͨͱ͔ɺGXઃఆͬ͠ ͺ͍ͯ͠ɺܨ͕Βͳ͘ͳͬͨͱ͔X ! !UPNPDIB

ಛघͳωοτϫʔΫ࡞Γ࣌ʹ041'ͷίετ଍͠ࢉΛؒҧ ͑·͢ɻ͓Ζʁͱ͍͏ใࠂʹӌճͪ͠ΌͬͨΓɻࣄલʹ ӌճࢼݧΛͪΌΜͱ΍ͬͯΕ͹ͦ͏͍͏ϛε΋๷͛Δͷ Ͱ͕͢ɻ 7-"/ΠϯλϑΣʔε͖ͬͯΔͱ͜ΖͰΑؒ͘ҧ͑·͢ɻ ! ඪ४ύλʔϯͰ͸͋·Γϛε͸ͳ͍ΜͰ͕͢ .&%Λॻ͖׵͑ͪΌ͍͚ͳ͍1FFSͰॻ͖׵͑ͪΌͬͨΓ ͱ͔ɺ·͊ඪ४ͱ͸ҧ͏ͱ͜ΖͰ͸ؒҧ͍͸ى͖΍͍͢ Ͱ͢Ͷɻ
! ͋ͱେͨ͠Өڹ͸ͳ͍Ͱ͕͢PSJHJO͕ ʹͳͬͨ·· ܦ࿏ग़ͪ͠ΌͬͨΓͱ͔ɻ ! #JHMPCF઒ଜ͞Μ

ϛεͷ෦ྨʹೖΔ͔͸ඍົͰ͕͢ɺϗοτϙςτ ࠾༻͍ͯ͠ΔͷΛؾʹͤͣSFNPUFQFFS͸ͬͯΔ ͱͦͷϧʔλͷதͰ͸SFNPUFQFFS͕ϕετύε ʹͳͬͯ͠·ͬͯԕ͍ํʹ·Θͬͯ͠·ͬͨΓͱ ͔ɻSFNPUFQFFSJOHͬͯ*(1ͷϝτϦοΫ͕࢖͑ ͳ͍ͷͰ͢ΑͶɻ ! Ͱ΋Ұ൪ා͍ͷ͸4UBUJDSPVUFͰ͢Ͷɻ 4UBUJDͪΐʔා͍ɻ͋Εʁӌճ͠ͳ͍ʁ ͱ͔ϙϤοͱมͳܦ࿏͕ු͔ΜͰདྷͨΓ͢Δͱ࢑
ఆରࡦͰೖΕͨͭ΋Γͷ؅ཧ͖͠Εͯͳ͍ݹ͍ TUBUJD͕ͦ͜ʹ͋ͬͨΓ͠·͢ɻ ! #JHMPCF઒ଜ͞Μ

BGPのMEDが勝手についてた .&%Λ͋·Γҙࣝͯ͠ͳͬͯ͘ɺSPVUFNBQͰઃ ఆͯ͠ͳ͔ͬͨΜͰ͕͢ɻɻɻ τϥϑΟοΫ͕ภΔΜͰɺͳΜͰͩΖʁͱࢥͬͨΒ ! উखʹ.&%͕෇͍͍ͯ·ͨ͠ ! ൜ਓΛ૞ͨ͠Βɺ࣮͸041'ͷNFUSJDΛ.&%ʹίϐʔ ͯ͠Δͱ͍͏͜ͱ͕൑໌ DJTDPͷ࢓༷
ͪΌΜͱ.&%Λҙࣝ͠ͳ͍ͱͩΊͩͶ ! ෋࢜௨,$/ࢁޱ͞Μ

入門書には載っていないルーティング Tips

入門書には載っていないルーティング Tips

More Decks by Shintaro Kojima

Other Decks in Technology

Featured

Transcript