入門書には載っていないルーティング Tips

Slide 1

Slide 1 text

ೖ໳ॻʹ͸ࡌ͍ͬͯͳ͍ ϧʔςΟϯά Tips ϧʔςΟϯάνϡʔτϦΞϧ খౡ৻ଠ࿠!DPEFPVU +"/0(

Slide 2

Slide 2 text

小島慎太郎 DPEFPVU http://about.me/codeout ! w *41೥ OUUOFU"4 w *9೥ +1/"1

Slide 3

Slide 3 text

Agenda ೖ໳ॻʹࡌͬͯͳ͍ɼӡ༻ܦݧʹ΋ͱ ͮ͘Tips ʹ͍ͭͯ࿩͠·͢ ! w BGP とは? w BGP の設計を考えよう w BGP の運用を考えよう w セキュリティ w ルーティングエコシステム

Slide 4

Slide 4 text

BGP とは?

Slide 5

Slide 5 text

BGP とは? &(1ͷҰछҟͳΔ"4ؒͰSPVUJOH৘ใΛަ׵͢Δ ! ! ! ! ! ! ! routing policyを伝える AS1 AS2 AS3 AS4 ͬͪ͜ʹྲྀͯ͠΄͍͠ ͬͪ͜ʹ ྲྀ͞ͳ͍Ͱ΄͍͠ 0,

Slide 6

Slide 6 text

IGP との関係 w #(1ͰղܾͰ͖Δͷ͸ɼInternet上のある目的地に達するために, 自AS内のどの出口から出ればいいか? ͷΈ ! w その出口にはどうやったら到達できるか?  ͸*(1པΈ ! w *(1ͷओͳ༻్͸ɼ#(1ͷQSPUPDPMOFYUIPQΛղܾ͢Δ͜ͱ w Ή΍Έʹ#(1ܦ࿏Λ*(1ʹ஫ೖ͠ͳ͍΄͏͕͍͍

Slide 7

Slide 7 text

A Border Gateway Protocol 4 (BGP-4) w RFC1654 +VMZ w RFC1771 .BSDI w RFC4271 (January 2006) w ΋ͪΖΜͨ͘͞Μ֦ு͞Ε͍ͯΔ w RFC1997 #(1$PNNVOJUJFT"UUSJCVUF w RFC2385 1SPUFDUJPOPG#(14FTTJPOTWJBUIF5$1.%4JHOBUVSF w RFC3065 "4$POGFEFSBUJPOTGPS#(1 w RFC4451 #(1.&%$POTJEFSBUJPOT w RFC4456 #(13PVUF3FGMFDUJPO w RFC4360 #(1&YUFOEFE$PNNVOJUJFT"UUSJCVUF w RFC5004 "WPJE#(1#FTU1BUI5SBOTJUJPOTGSPN0OF&YUFSOBMUP "OPUIFS w RFC5668 0DUFU"44QFDJGJD#(1&YUFOEFE$PNNVOJUZ w

Slide 8

Slide 8 text

BGP の経路選択 ࠷΋ߴ͍WEIGHTΛ࣋ͭύε͕༏ઌ͞Ε·͢Ұ෦ϝʔΧʔͷΈ 最も高い LOCAL_PREF を持つパスが優先されます OFUXPSL·ͨ͸BHHSFHBUF#(1αϒίϚϯυʹΑͬͯ ͋Δ͍͸*(1͔Βͷ࠶഑෍Λ௨ ͯ͡ ϩʔΧϧͰൃ৴͞Εͨύε͕༏ઌ͞Ε·͢ 最短の AS_PATH を持つパスが優先されます ࠷খͷΦϦδϯλΠϓΛ࣋ͭύε͕༏ઌ͞Ε·͢ 最小の Multi-Exit Discriminator (MED) を持つパスが優先されます  MED͸SFNPUF"4͕ಉ͡৔߹ͷΈධՁ͞ΕΔ J#(1ύεΑΓ΋F#(1ύεͷํ͕༏ઌ͞Ε·͢ BGP ネクストホップへの最小の IGP メトリックを持つパスが優先されます ྆ํͷύε͕֎෦ͷͱ͖͸ ઌʹड৴ͨ͠ύε ࠷΋ݹ͍ύε ͕༏ઌ͞Ε·͢ ࠷খͷϧʔλ*%Λ࣋ͭ#(1ϧʔλ͔ΒૹΒΕͨϧʔτ͕༏ઌ͞Ε·͢ ൃ৴ݩ*%·ͨ͸ϧʔλ*%͕ෳ਺ͷύεͰಉ͡৔߹͸ ࠷খͷΫϥελϦετ௕Λ࣋ͭύε ͕༏ઌ͞Ε·͢ ࠷খͷྡ઀ϧʔλΞυϨε͔ΒૹΒΕͨύε͕༏ઌ͞Ε·͢ ! http://www.cisco.com/cisco/web/support/JP/100/1008/1008556_25-j.html

Slide 9

Slide 9 text

今日話すこと w BGPの設計時に考えるべきことʹ͍ͭͯ࿩͠·͢ ! w l#(1TFTTJPOͷઌʹ͍Δ"4 ސ٬QFFSJOHύʔτφʔ USBOTJUఏڙऀ ʹ΋ݸผͷSPVUJOHQPMJDZ͕͋Δzͱ͍͏؀ڥ Ͱ どうやって自分の思うようにtraffic controlするか? Λཧղ͢ΔͨΊʹ w ࢲ͕࢖͍ͬͯΔख๏ͷ঺հ w ͦͷղઆ ΋͠·͢

Slide 10

Slide 10 text

BGP の設計を考えよう

Slide 11

Slide 11 text

• eBGP policy / 設計 • 経路広告 • 経路受信 • iBGP policy / 設計

Slide 12

Slide 12 text

eBGP policy (جຊ)

Slide 13

Slide 13 text

eBGP Policy を考えるポイント w どんな経路 Λ w どんなeBGP session ͔Β΋Β͏͔ w どんなeBGP session ΁޿ࠂ͢Δ͔ w ܦ࿏ͷ֤QBUIBUUSJCVUF͸୭ͷ΋ͷ͔ w 'VMM3PVUF࣋ͯͳ͍Μ͚ͩͲͲ͏͠Α͏

Slide 14

Slide 14 text

どんな経路を • 顧客の経路 w #(1ސ٬ w TUBUJDސ٬ ࣮ࡍ͸1"ʹू໿ • 自ASの経路 w 1"1*ܦ࿏ • peering パートナーの経路 • transit 事業者の経路 • 不要な経路 ߴ ௿ AS1 AS2 Ϗδωε্ͷ؍఺͔Βɼجຊతʹ͸্هͷॱʹ༏ઌ͢Δ ༏ઌͳΔ΂ͦ͘ͷܦ࿏ʹैͬͯQBDLFUΛྲྀ͍ͨ͠ ྲྀͯ͠΄͍͠ ίϨ

Slide 15

Slide 15 text

どんなeBGP sessionへ • 顧客 • peer w QBJEQFFS ऩӹΛಘ͍ͯΔ w QSJWBUFQFFS w QVCMJDQFFS *9 w QBJEQFFS අ༻Λ෷͍ͬͯΔ • transit ಉ༷ʹɼجຊతʹ͸্هͷॱʹ༏ઌ͢Δ ༏ઌͳΔ΂ͦ͘ͷ઀ଓճઢʹQBDLFUΛྲྀ͍ͨ͠ ߴ ௿ AS1 AS2 ίϨ

Slide 16

Slide 16 text

ࣗ"4 eBGP Policy の基本 ड৴޿ࠂ1PMJDZ͸ԿʹӨڹ͢Δ ܦ࿏ड৴ ܦ࿏޿ࠂ packet ﬂow packet ﬂow 受信Policy AS内ͰͲͷΑ͏ʹ SPVUJOHͤ͞Δ 広告Policy AS外ͰͲͷΑ͏ʹ SPVUJOHͤ͞Δ R R R R ֎෦ AS 1 ֎෦ AS 2 ֎෦ AS 3

Slide 17

Slide 17 text

eBGP 経路受信 (ちょっと細かく)

Slide 18

Slide 18 text

eBGP Policy の基本 (受信) すべて受信 • transit A の顧客 • transit A 自身 • transit A のpeer • transit A のtransit 自身の経路を除き，すべて受信 (経路filterあり) • 顧客A の顧客 • 顧客A 自身 • 顧客A のpeer (通常流れてこない) • 顧客A のtransit (通常流れてこない bogon filter はすべてに必要すべて受信 (経路filterあり) • peer A の顧客 • peer A 自身 • peer A のpeer (通常流れてこない) • peer A のtransit (通常流れてこない) My AS ސ٬ͷ USBOTJU ސ٬ͷ QFFS ސ٬ͷ ސ٬ ސ٬ QFFSͷ USBOTJU QFFSͷ QFFS QFFSͷ ސ٬ QFFS USBOTJUͷ USBOTJU USBOTJUͷ QFFS USBOTJUͷ ސ٬ USBOTJU

Slide 19

Slide 19 text

受信経路を扱うときに気にするべきポイント3つ

Slide 20

Slide 20 text

1. LPとMEDの値 2. 経路Filter 3. Path Attribute は本来の用途に使おう

Slide 21

Slide 21 text

1. LPͱMEDͷ஋ ༏ઌ౓ ܦ࿏छผ -1 .&% ސ٬ d ্ॻ͖͠ͳ͍ ࣗ"4 ͳ͠ QFFS ্ॻ͖ े෼େ͖ͳ஋ USBOTJU ্ॻ͖ Λ·͍ͨͰ਺ஈ֊ EFGBVMU w ෯ʹ༨༟Λ΋ͬͯ਺஋Λઃఆ w -1ͷEFGBVMU஋͕ͷ࣮૷͕ଟ͍ͷͰ   ҆શΛظ͢ͳΒ-1ͷ஋͸

Slide 22

Slide 22 text

– 解説 – ༏ઌ౓ ܦ࿏छผ -1 .&% ސ٬ d ্ॻ͖͠ͳ͍ ࣗ"4 ͳ͠ QFFS ্ॻ͖ े෼େ͖ͳ஋ USBOTJU ্ॻ͖ Λ·͍ͨͰ਺ஈ֊ EFGBVMU ސ٬ͷ໌֬ͳҙਤ͕ ͳ͍ݶΓ࠷༏ઌ ৗʹ3*#ʹอ࣋ ܦ࿏Λࢦఆͯ͠ଞͷސ ٬΍QFFSʹӌճͤ͞Δ ͜ͱ͕Ͱ͖Δ QFFSͷͱൺֱͯ͠ɼ ඞͣ࣍ͷ"4@1"5)Ͱ ༏ઌ౓͕ܾఆ ސ٬ͷ5&બ୒ࢶΛ ૿΍͢ w "4@1"5)͕ಉ͡ͳΒ *(1ϕʔεͷDMPTFTU FYJUΛڧ੍ w BMXBZTDPNQBSF NFE΍QFFSސ٬"4 ରࡦͰ.&%ΛߴΊʹ w ?rͰ΋͍͍ ͔΋ "4@1"5)͕ಉ͡ͳΒ *(1ϕʔεͷDMPTFTU FYJUΛڧ੍ ҰԠ QSJWBUFQVCMJD QFFSͰஈ֊͋Δ*41 ΋͋Δ

Slide 23

Slide 23 text

1. LPとMEDの値 2. 経路Filter 3. Path Attribute は本来の用途に使おう

Slide 24

Slide 24 text

2. 経路Filter 顧客経路 ༏ઌ౓͕ඇৗʹߴ͍ͨΊɼࡉ͔͘νΣοΫ͢Δඞཁ͕͋Δ w IRRベースが理想的 w සൟʹϝϯςφϯεͰ͖ΔͷͰ͋Ε͹ खಈͰ΋໰୊ͳ͍͔΋͠Εͳ ͍ w GJMUFSํ๏ͷީิ w FYBDUNBUDIͳQSFGJYGJMUFS w FYBDUNBUDIͳQSFGJYGJMUFSPSJHJO"4GJMUFS ! w bogon prefix, 自ASのprefixは経路filterで除外 w #(1DPNNVOJUZ͸ಁաతʹѻ͏

Slide 25

Slide 25 text

IRRベースって言われても… w 3VCZ͔Β࢖͑Δ΍ͭ w 1FSMͰ͍͏/FU*33  ! ! ! ! ! https://github.com/codeout/irrc

Slide 26

Slide 26 text

peer経路 QFFSJOHUSBOTJUΑΓ੹೚ൣғ͕খ͍͞ গͳ͍৘ใʹج͖ͮɼΏΔ͘GJMUFS͢Δ ! w Mis-Origin (経路ハイジャック) の可能性 w ࡉ͔͍GJMUFSΛઃఆͯ͠͠·͏ͱメンテナンスされなくなるかもしれない w l"4@1"5)ΛϝʔϧͰ఻͑߹͏z͘͠Έ͕ಈ͍͍ͯͨ w ΍͸Γݶք͕͋ΔͷͰɼࣗಈͰಈ͘͜ͱ͕๬·͍͠

Slide 27

Slide 27 text

peer経路 ଞͷࠃͰ͸ҎԼͷ૊Έ߹Θ͕ͤଟ͍ w maximum-prefix (prefix-limit) filter w ࣮੷ϕʔε ࡢ೔͔Β૿͑ͨΒΞ΢τ ͳͲ w QFFSJOHECϕʔε w prefix lengthによるfilter w JQWMF w JQWMFͳͲ

Slide 28

Slide 28 text

bgpq3 / IRR Power Tools w *33ͷల։ DPOGJHੜ੒·Ͱͬ͘͟Γ΍ͬͯ͘ΕΔ w ͔Ώ͍ͱ͜Ζʹख͸ಧ͔ͳ͍͕ɼγϯϓϧ C input: IRR / peering DB/ ࣮ܦ࿏਺ / ސ٬࿈བྷ config R config ੜ੒ deploy

Slide 29

Slide 29 text

Maximum-Prefix (Prefix-Limit) Filter transitに設定すると危険な場合がある w OFUXPSL্ͷFWFOUʹΑΓٸʹQSFGJY਺͕૿ ͑Δͱ USBOTJU͕શஅ͢ΔϦεΫ͕͋Δ w JOUFSOFU͔Βःஅ͞ΕΔ͜ͱʹͳΔ

Slide 30

Slide 30 text

経路Filterに関する参考情報 +"/0($PNNFOU+$_ʹ  େมஸೡʹ·ͱΊΒΕ͍ͯΔ   http://www.janog.gr.jp/doc/janog-comment/

Slide 31

Slide 31 text

1. LPとMEDの値 2. 経路Filter 3. Path Attribute は本来の用途に使おう

Slide 32

Slide 32 text

"4 "4 3. Path Attribute ͸ຊདྷͷ༻్ʹ࢖͓͏ – ྫ͑͹ closest exit – *(1ʹΑΔ੍ޚ .&%͕ҟͳΔܦ࿏Ͱ΋DMPTFTUFYJU͍ͨ͠৔߹͸.&%Λ  ্ॻ͖͢Δඞཁ͕͋Δ MED MED *(1DPTU MED prefix Next Hop MED IGP > 192.0.2.0/24 R1 100 0 192.0.2.0/24 R2 100 50 prefix Next Hop MED IGP 192.0.2.0/24 R1 100 50 > 192.0.2.0/24 R2 100 0 R1 R R2 R

Slide 33

Slide 33 text

*(1Λ༻͍Δ୅ΘΓʹɼ.&%ΛՃࢉ͢Δ͜ͱͰ΋ҰԠ ࣮ݱͰ͖Δ ! ! ! ×SPVUFSؒͰ.&%Ճࢉͯ͠ճΔඞཁ͕͋Δ lนzʹͳ͍ͬͯΔͱ͍͏਺஋͕े෼͔ Ͳ͏͔͸QFFSQBSUOFSͷ޿ࠂQPMJDZ࣍ୈ ! w ຊདྷͷ.&%ͷ༻్ͱ͸ҟͳΔ Juniper NFUSJDBEE Cisco TFUNFUSJD

Slide 34

Slide 34 text

よくあるパターン ࣮૷Ͱ͖Δ͔Βͱ͍ͬͯɼຊདྷͷ༻్͔Β͸Έग़Δ  ΍Γ͍ͨ͜ͱʹରͯ͠େֻ͔Γ͗͢ ͓·͡ͳ͍తͳઃఆ΍ ফͤͦ͏͕ͩফͯ͠͸ͳΒͳ͍   ӡ༻ରॲ͕૿͑Δ lなんかめんどくさくない ?z  lうわ，壊れた !z 3. Path Attribute は本来の用途に使おう

Slide 35

Slide 35 text

シンプルにわかりやすく http://www.ﬂickr.com/photos/techsavvyed/5926978939/

Slide 36

Slide 36 text

受信経路に手を入れる = 経路制御する方法を決めておく (運用設計)

Slide 37

Slide 37 text

経路制御の選択肢 • transit / peer 経路 w -1ͷඍௐ੔ w "4@1"5)QSFQFOE w .&%ඍௐ੔ w QBTTJWF*(1 w ܦ࿏ΛࢭΊΔ ! • 顧客経路 w ސ٬͔Βͷґཔʹجͮ͘৔߹Λআ͖ ૢ࡞͠ͳ͍

Slide 38

Slide 38 text

• LP / MED などの数値はなるべく弱くなる方に制御する w ϔϯʹUSBGGJDΛٵ͍ࠐΉͷΛ๷͙ w .&% ૿΍͢  -1 ݮΒ͢ ଟ͘ͷ࣮૷ͰEFGBVMU w "4@1"5)QSFQFOE  QSFQFOE͞Εͨܦ࿏͕3*#ʹ࢒ͬͯ͠·͏Մೳੑ͕͋ΔͷͰɼͳΔ ΂͘ආ͚Δ w USBOTJUΛച͍ͬͯΔ৔߹ͳͲ શମͱͯ͠ܦ࿏͕ԕ͘ݟ͑ͯ͠ ·͏ͷ͸ྑ͘ͳ͍ • passive IGPは経路ごとの制御ができない

Slide 39

Slide 39 text

• -1.&%"4@1"5) 操作 • なるべくメンテナンス頻度を下げる w QFFS"4 w OFYUIPQ w PSJHJO"4 w "4@1"5) w QSFGJY ͷॱͰૢ࡞ ૈ ࡉ

Slide 40

Slide 40 text

irregularなことは目立つように /  消しやすく QSPUPDPMT\ CHQ\ OFJHICPSYYYY\ JNQPSU<SFHVMBSJSSFHVMBSpOBMJ[F> ^ ^ ^ ! QPMJDZPQUJPOT\ QPMJDZTUBUFNFOUSFHVMBS\ GSPN\^ UIFO\ ௨ৗͷQPMJDZ OFYUQPMJDZ ^ ^ ! SFNPWFNFTPPO QPMJDZTUBUFNFOUJSSFHVMBS\ GSPN\^ UIFO\ JSSFHVMBSͳQPMJDZ OFYUQPMJDZ ^ ^ QPMJDZTUBUFNFOUpOBMJ[F\ UIFOBDDFQU ^ ^ OPSPVUFNBQSPVUFpMUFS SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ SPVUFNBQSPVUFpMUFSQFSNJU ௨ৗͷQPMJDZ ! SFNPWFNFTPPO SPVUFNBQSPVUFpMUFSQFSNJU JSSFHVMBSͳQPMJDZ Juniper の例: Cisco の例: template hack template hack

Slide 41

Slide 41 text

よく使うのは次の3種類くらい

Slide 42

Slide 42 text

経路制御の選択肢 (受信) – LP 制御 – prefix MED AS_PATH 192.0.2.1/32 100 1 prefix MED AS_PATH 192.0.2.1/32 50 2 prefix MED AS_PATH 192.0.2.1/32 100 1 Ұ෦ܦ࿏͸QFFSΑΓ ༏ઌ͍ͤͨ͞ prefix LP MED AS_PATH > 192.0.2.1/32 120 1000 1 192.0.2.1/32 110 1000 2 LP policy w USBOTJU w QFFS My AS AS1 AS2 ސ٬ peer transit QFFS͔Βͷܦ࿏ʹ͍ͭͯ -1ΛԼ͛Δ

Slide 43

Slide 43 text

prefix Next Hop MED 192.0.2.1/32 x.x.x.x 50 192.0.2.1/32 y.y.y.y 100 prefix Next Hop MED 192.0.2.1/32 z.z.z.z 100 ͬͪ͜༏ઌ͍ͨ͠ 経路制御の選択肢 (受信) – MED 制御 – My AS prefix Next Hop MED 192.0.2.1/32 x.x.x.x 110 > 192.0.2.1/32 y.y.y.y 100 AS1 R R Ұํͷ.&%Λେ͖͘͢Δ  େ͖ͳ஋Ληοτ͢ΔPS加算して大きくする ސ٬

Slide 44

Slide 44 text

prefix Next Hop 192.0.2.1/32 x.x.x.x 192.0.2.1/32 y.y.y.y prefix Next Hop 192.0.2.1/32 z.z.z.z 経路制御の選択肢 (受信) – IGP 制御 – OFJHICPS͝ͱ  ͬͪ͜༏ઌ͍ͨ͠ My AS AS1 R R prefix Next Hop IGP > 192.0.2.1/32 x.x.x.x 10 192.0.2.1/32 y.y.y.y 40 ௨ৗͩͱ .:"4͔ΒݟͯYYYY ZZZZ΁ͷ*(1 DPTU͸྆ํ͕ͩ Ұํ͚ͩʹ͢Δ ސ٬

Slide 45

Slide 45 text

ところで, 考えてみてください

Slide 46

Slide 46 text

経路の各path attributeは誰のもの? w ҎԼͷΑ͏ͳػೳΛఏڙ͍ͯ͠Δ*41΋  IUUQPOFTDOFUDPNNVOJUJFT w ސ٬ܦ࿏ͷMEDを上書きしない w ࣗ"4಺Ͱͷlocal preference(LP)を制御するBGP communityΛސ٬޲͚ʹఏڙ͢Δ 経路受信 MED Community ࣗ"4 LP MED MEDを上書きしない R ސ٬ R R R LPを制御させる 7521:110 = LP110

Slide 47

Slide 47 text

ここまで経路受信の話

Slide 48

Slide 48 text

eBGP 経路広告

Slide 49

Slide 49 text

eBGP Policy の基本 (広告) 顧客経路 + 自分の経路のみ広告 w 顧客から受信した経路すべて w 自身の経路顧客経路 + 自分の経路のみ広告 w 顧客から受信した経路すべて w 自身の経路すべての経路を広告 w 自身の経路 w peer から受信した経路すべて w transit から受信した経路すべて My AS ސ٬ͷ USBOTJU ސ٬ͷ QFFS ސ٬ͷ ސ٬ ސ٬ QFFSͷ USBOTJU QFFSͷ QFFS QFFSͷ ސ٬ QFFS USBOTJUͷ USBOTJU USBOTJUͷ QFFS USBOTJUͷ ސ٬ USBOTJU bogon filter はすべてに必要

Slide 50

Slide 50 text

広告経路を扱うときに気にするべきポイント3つ

Slide 51

Slide 51 text

1. MEDをちゃんと付ける 2. 経路Filter 3. ASPATH prepend  ってちょっと強い

Slide 52

Slide 52 text

"4 "4 1.MEDをちゃんと付ける MED *(1DPTU MED MED IGP cost : 100 AS2 が AS1 のMEDを評価した場合の packet flow ͬͪ͜ͷ΄͏͕͍ۙ ͬͪ͜Λ༏ઌͯ͠ʂ R R R R R ސ٬

Slide 53

Slide 53 text

w NFUSJDPVUJHQ͕ศར w *(1DPTUΛ޿ࠂ࣌ͷ.&%ͱͯ͠ར༻ ! ! ! ! ! ! ! ֎෦"4͕ৗʹ.&%ΛධՁͯ͘͠ΕΔͱ͸ݶΒͳ͍ɽͰ΋ w μϝ΋ͱͰ΋޿ࠂ͓ͯ͘͠Ձ஋͋Γ w ධՁͯ͠΋Β͍͍ͨͳΒ ަব QSPUPDPMT\ CHQ\ HSPVQFCHQ\ NFUSJDPVUJHQ OFJHICPSYYYY\^ ^ ^ ^ SPVUFSCHQYYYY OFJHICPSZZZZSPVUFNBQFCHQ SPVUFNBQFCHQ TFUNFUSJDUZQFJOUFSOBM Juniper の例: Cisco の例:

Slide 54

Slide 54 text

1. MEDをちゃんと付ける 2. 経路Filter 3. ASPATH prepend  ってちょっと強い

Slide 55

Slide 55 text

2. 経路Filter • 内部の細かい経路は広告しない w DPOOFDUFE EJSFDU ܦ࿏͸#(1ʹSFEJTUSJCVUF͠ͳ ͍ͳͲ w ͢Δͱ͖ʹ͸OPFYQPSUDPNNVOJUZΛ෇͚͓ͯ͘ • bogonその他，internetに流すべきでない経路が含まれないかを再確認 w remove-privateしておく(private ASは削って広告)

Slide 56

Slide 56 text

1. MEDをちゃんと付ける 2. 経路Filter 3. ASPATH prepend  ってちょっと強い

Slide 57

Slide 57 text

3. AS_PATH prepend w ੍ޚͰ͖Δ͕ ൺֱత੍ޚ͕ڧ͍ w lઃܭzʹؚΊΔͷ͸ ΍Γ͗͢ͳΠϝʔδ w ͲͪΒ͔ͱ͍͏ͱUSPVCMFTIPPUͳͲͷ࢑ఆର ॲ༻

Slide 58

Slide 58 text

広告経路に手を入れる = 経路制御する方法を決めておく (運用設計)

Slide 59

Slide 59 text

経路制御の選択肢 (広告) • transit / peer w "4@1"5)QSFQFOE w .&%ඍௐ੔ w #(1DPNNVOJUZ Ұ෦USBOTJUͷΈ w USBOTJU"4಺ͷ-1Λ੍ޚ w USBOTJU"4 ଞ"4ܦ࿏޿ࠂΛ੍ޚ ޿ࠂ͠ͳ͍QSFQFOE w ܦ࿏޿ࠂΛࢭΊΔ ! • 顧客 w ސ٬͔Βͷґཔʹجͮ͘৔߹Λআ͖ ૢ࡞͠ͳ͍

Slide 60

Slide 60 text

あまり手がない

Slide 61

Slide 61 text

経路制御の選択肢 (広告) ޿ࠂܦ࿏ͷ੍ޚ͕ޮ͔ͳ͍৔߹΋ଟʑ͋Δ w ސ٬QFFSJOHύʔτφʔUSBOTJUఏڙऀʹ΋൴ ΒͳΓͷQPMJDZ͕͋ΔͷͰ ΍ΉΛಘͳ͍ w 接続しているtransit / peer のrouting設計を理解することがすごく重要 w .&%͸ޮ͔͘ w "4@1"5)QSFQFOEՄೳ͔ w CFTUQBUI͸ͲͷQBUIBUUSJCVUFͰܾ·͍ͬͯΔ͔ w ੍ޚܥ#(1DPNNVOJUZ͸͋Δ͔ w そのような設計になっているのはなぜか?

Slide 62

Slide 62 text

以下の選択肢は高い確率で効果が期待できる ! • BGP Community ! • 経路広告を止める w ଟ͘ͷ৔߹ ৑௕ੑΛଛͳ͏ w NPSFTQFDJGJDͳܦ࿏ʹ͢Δ Y w ؅ཧ͕൥ࡶʹͳΔ 奥の手 !

Slide 63

Slide 63 text

ところで, こういうのはどう思いますか?

Slide 64

Slide 64 text

BGP Community 便利 w ܦ࿏ͷछผʹΑΔzϚʔΫzΛ#(1DPNNVOJUZͱ͠ ͯ෇༩͢Δͱސ٬͸ศརʹ࢖͑Δ w どの地域 ͷܦ࿏ w ͲΜͳܦ࿏͔ transit peer 顧客

Slide 65

Slide 65 text

prepend community とかどうですか? DPNNVOJUZ AS_PATH DPNNVOJUZ /" AS_PATH 顧客に ࣗ"4 ֎෦"4΁ͷ޿ࠂ࣌ͷ "4@1"5)Λ੍ޚͤ͞Δ peer ސ٬ My AS

Slide 66

Slide 66 text

BGP Community = API

Slide 67

Slide 67 text

BGP Community = API ಛผͳ#(1$PNNVOJUZ Λ෇͚Δͱ Others ސ٬ My AS ϧʔςΟϯάΛ੍ޚͰ͖Δ

Slide 68

Slide 68 text

ここまで eBGP 経路広告の話

Slide 69

Slide 69 text

iBGP policy / 設計

Slide 70

Slide 70 text

あまりたくさん話しませんが，気に留めておくと良さそうなこと

Slide 71

Slide 71 text

next-hop self

Slide 72

Slide 72 text

AS2 next-hop self w ࣗ"4಺ͷUSBGGJDΛࡉ੍͔͘ޚ͍ͨ͠৔߹͸OFYUIPQ TFMG͠ͳ͍΄͏͕͍͍ w 経路制御の選択肢を1つ失う w ͨ͠΄͏͕͍͍৔߹΋͋Δ ޙड़ J#(1 Prefix NH 192.0.2.0/24 z.z.z.z 198.51.100.0/24 z.z.z.z Prefix NH 192.0.2.0/24 x.x.x.x 198.51.100.0/24 y.y.y.y R R /)TFMG͋Γ AS1 R R

Slide 73

Slide 73 text

IX AS next-hop self したほうがいい場合 *9ܦ༝Ͱ΋Βͬͨܦ࿏ΛJ#(1ʹྲྀ͢ͱ͖ IUUQXXXKBOPHHSKQEPDKBOPHDPNNFOUKDUYU packet ﬂow Prefix NH 192.0.2.0/24 x.x.x.x x.x.x.0/24 YYYY /) ʹ౸ୡ͢Δ ͷʹ*(1DPTU͕খ͍͞ ํΛબͿ dst MAC address を知らない可能性がある R R R S S Prefix NH 192.0.2.0/24 x.x.x.x

Slide 74

Slide 74 text

next-hop selfしないと ! Prefix NH 192.0.2.0/24 x.x.x.x IX F#(1 YYYZ YYYY next-hop self したほうがいい場合 *9ܦ༝Ͱ΋Βͬͨܦ࿏Λಉ͡*9্ͷผͷF#(1ͷྲྀ͢ͱ͖ IUUQXXXKBOPHHSKQEPDKBOPHDPNNFOUKDUYU packet ﬂow Prefix NH 192.0.2.0/24 x.x.x.x Prefix NH 192.0.2.0/24 x.x.x.y Ͱ͋Δ΂͖ x.x.x.x(NH) に直接転送してしまう R R S S R S Prefix NH 192.0.2.0/24 x.x.x.x

Slide 75

Slide 75 text

ここまで，設計 = 平常運転時のBGP について話しました ! Questions ?

Slide 76

Slide 76 text

BGP の運用を考えよう

Slide 77

Slide 77 text

Traffic Engineering

Slide 78

Slide 78 text

これから，運用上問題になったケースをいくつか挙げます

Slide 79

Slide 79 text

みなさんも l自分ならどうするかz 考えてみてください

Slide 80

Slide 80 text

問題1: 直接peerしているのに  trafficが流れてこない MY AS packet ﬂow transitを買っている peer peer transitを売っている transitを買っている transitを売っている "4 peerͷத Ͱ͸͜ΕΛ༏ઌ peer "4 "4 "4

Slide 81

Slide 81 text

問題1: 直接peerしているのに  trafficが流れてこない AS1からではなく，AS3からtrafficが入ってくる w こちらはなんとかなるかも ΋͏Ұํ͸"4ͷऩӹʹӨڹ͢ΔͨΊࠔ೉ "4 "4 MY AS "4 packet ﬂow transitを買っている peer peer transitを売っている transitを買っている transitを売っている "4 peerͷத Ͱ͸͜ΕΛ༏ઌ peer

Slide 82

Slide 82 text

○␣ AS1にメールする (またはAS3にメールする) "4΁ͷܦ࿏޿ࠂΛૢ࡞͢Δ USBOTJUશମʹӨڹ͢ΔͷͰɼ  جຊతʹ͸ྑ͘ͳ͍ ○␣ (もし提供していれば) AS3のBGP communityを使い，AS1に対して経路を止める ˚"4΁ͷܦ࿏޿ࠂΛNPSFTQFDJGJDʹ w "4 .:"4΁ͷUSBGGJDͳͲɼର৅֎ͷUSBGGJD΋Ҿ͖ࠐΜͰ͠·͏ w OPFYQPSUΛ͚ͭΕ͹0, ΋͠"4͕ఏڙ͍ͯ͠Ε ͹ μϝ΋ͱͰ"4ͷ#(1 DPNNVOJUZΛ෇༩ͯ͠"4 ʹܦ࿏޿ࠂͯ͠ΈΔͷ΋Ұ ख "4 "4 MY AS "4 packet ﬂow transitを買っている peer peer transitを売っている transitを買っている transitを売っている peer 答え: 直接peerしているのに trafficが流れてこない

Slide 83

Slide 83 text

問題2: transit間で trafficを動かしたい transit 1 MY AS transit 2 গ͠ Ҡ͍ͨ͠ packet ﬂow

Slide 84

Slide 84 text

○␣ (特定ASからのtrafficが大きい場合) 直接peerする ○␣ transit1への経路広告時にAS_PATH prepend w ܦݧతʹ͍ͭ͘΋QSFQFOEͯ͠΋ޮՌ͸ബ͍ w ܦݧతʹ͸ݶք͸ఔ౓ɽQSFQFOEͯ͠ޮՌ͕ͳ͚Ε͹ɼ૿ ΍ͯ͠΋ͨͿΜಉ͡ ○␣ (もし提供していれば) transit1のBGP communityを使い，transit1  内でのLPを下げる ! ˚ஸ౓͍͍WPMVNFͷܦ࿏ʹ͍ͭͯɼ w USBOTJU΁ͷ޿ࠂΛNPSFTQFDJGJDʹ w USBOTJU΁ͷܦ࿏޿ࠂΛࢭΊΔ 答え: transit間で trafficを動かしたい transit 1 MY AS transit 2 packet ﬂow গ͠ Ҡ͍ͨ͠

Slide 85

Slide 85 text

問題3: peer間でtrafficを動かしたい peer 1 MY AS peer 2 গ͠ Ҡ͍ͨ͠ packet ﬂow

Slide 86

Slide 86 text

答え: peer間でtrafficを動かしたい peer 1 MY AS peer 2 packet ﬂow গ͠ Ҡ͍ͨ͠ ○␣ peer1への経路広告時にAS_PATH prepend w ܦݧతʹ͍ͭ͘΋QSFQFOEͯ͠΋ޮՌ͸ബ͍ w ܦݧతʹ͸ݶք͸ఔ౓ɽQSFQFOEͯ͠ޮՌ͕ͳ͚Ε͹ɼ ૿΍ͯ͠΋ͨͿΜಉ͡ ○␣ (もしpeer1と複数peerしているなら) trafficをどけたいpeer1との  eBGP sessionでのみ特定の経路広告を止める ! ˚ஸ౓͍͍WPMVNFͷܦ࿏ʹ͍ͭͯɼ w QFFS΁ͷ޿ࠂΛNPSFTQFDJGJDʹ w QFFS΁ͷܦ࿏޿ࠂΛࢭΊΔ

Slide 87

Slide 87 text

QFFSؒͰ5&͍ͨ͠ཧ༝ • 品質が悪いから w ࣌ؒଳʹΑΓ᫔᫓͢Δ w MBUFODZ͕େ͖͍ • paid peerだから補足: peer間でtrafficを動かしたい

Slide 88

Slide 88 text

問題4: peer間でよくある traffic移動 peer" MY AS peer"ͷ ผͷ peer ސ٬" packet ﬂow ϝϯςφϯε #(1EPXO USBGGJD͕ ҠΔ ϝϯςφϯε͕ ऴΘͬͯ΋໭Βͳ͍

Slide 89

Slide 89 text

答え?: peer間などでよくある traffic移動 peer" MY AS peer"ͷ ผͷ peer ސ٬" w ໭͢ͷ͸ࠔ೉ w F#(1ؒͷCFTUQBUITFMFDUJPO͸SPVUFS*%Ͱ͸ͳ͘ lܦ࿏ͷੜଘظؒzͰܾఆ͢Δ৔߹͕ଟ͍ packet ﬂow

Slide 90

Slide 90 text

MPLS-TE

Slide 91

Slide 91 text

MPLS-TE • AS内のtrafficを自動で制御する技術 w ۭ͖ଳҬΛࣗಈͰ୳͠ ͦ͜΁SPVUJOH w 2P4΋Մೳ • MPLS(Multi-Protocol Label Switching) + RSVP(ReSerVation Protocol) • IP Packetにlabelをつけてカプセル化 w Ծ૝తͳτϯωϧ -41-BCFM4XJUDIJOH1BUI Λͭ͘Δ

Slide 92

Slide 92 text

ࣗ"4 ࣗ"4 輻輳した ྫ ྫ ࣗಈͰӌճ link障害による帯域減 ࣗಈͰӌճ trafficのend-pointは変わらず， rerouteする

Slide 93

Slide 93 text

MPLS + RSVP のしくみ • LSPはLSR(Label Switching Router: MPLSを設定する router)群で 2x full mesh分張る w -41͸ยํ޲௨৴ͷΈ w ௨৴ํ޲͕ҟͳΔͱผͷ-41͕QBDLFUΛӡͿ w 3 3 3 w 3 3 3 ͸ผ෺ • LSPを張る前にRSVP signaling w $41' $POTUSBJOUFE4IPSUFTU1BUI'JSTU w -JOL4UBUFܕͷ*(1ʹґଘ͢Δ w 041' w *4*4 w -41ຖʹ͋Β͔͡Ίઃఆ͞Εͨ  ଳҬ͕֬อͰ͖Δ͔Λௐ΂Δ 3 3 3 3 3 packet ﬂow egress router MBCFMΛ֎͢ transit router MBCFMΛݟͯసૹ ingress router MBCFMΛ͚ͭΔ

Slide 94

Slide 94 text

MPLS-TE • network eventにより帯域が縮退 3471TJHOBMJOH -41͕ۭ͖ଳҬʹҠΔ • 自動で空き帯域を探索してくれるので, 手動によるTE不要 • LSPが落ちても即packet lossではない w *(1ʹGBMMCBDL͢Δ #(1ͷQSPUPDPMOFYUIPQͷղܾͷͨΊʹ -41*(1Λ࢖͏  ༏ઌ౓͕-41*(1 • fast reroute w -41͕མͪͨͱ͖ͷ  DPOWFSHFODFΛૣ͘͢Δ  ͨΊʹ ͋Β͔͡Ί  CBDLVQ-41Λ  ு͓ͬͯ͘ koji@test-router> show route 192.0.2.0/24 ! inet.0: 57 destinations, 57 routes (57 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both ! 192.0.2.0/24 *[BGP/170] 5d 07:12:01, localpref 100, from 192.0.2.1 AS path: I > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00 ! ! koji@test-router> show route 192.0.2.1 ! inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both ! 192.0.2.1/32 *[RSVP/7] 5d 06:47:49, metric 16 > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00 [IS-IS/18] 5d 06:47:48, metric 16 > to 198.51.100.1 via ae1.0, label-switched-path r1-r5-00

Slide 95

Slide 95 text

• 利点 w खಈ5&͔Βͷ։์ w ଳҬઃܭ͕ϥΫ w ࠷ѱSFSPVUFͯ͘͠ΕΔ • 欠点 w PWFSMBZNPEFM w MBCFMPWFSIFBE w LSP sizeを設定するため，日々LSP毎のtraffic量をカウントする必要がある w BVUPNBUJDCBOEXJEUIʹظ଴ MPLS-TE

Slide 96

Slide 96 text

なんだか便利そうですよね? JANOG33 ! w άϩʔόϧΠϯλʔωοτʹ͓͚Δେ༰ྔτϥώοΫ ίϯτϩʔϧͱϦιʔεϚωδϝϯτ  IUUQXXXKBOPHHSKQNFFUJOHKBOPHQSPHSBNHJOIUNM ! w .1-4τϥϑΟοΫΤϯδχΞϦϯάνϡʔτϦΞϧ  IUUQXXXKBOPHHSKQNFFUJOHKBOPHUVUPSJBMNQMTIUNM

Slide 97

Slide 97 text

ここまで， Traffic Engineering について話しました ! Questions ?

Slide 98

Slide 98 text

ルーティングセキュリティ

Slide 99

Slide 99 text

• Mis-Origin (経路ハイジャック) w Φϖϛε w .*5.  IUUQXXXSFOFTZTDPNNJUNJOUFSOFUIJKBDLJOH ! • DDoS w Ξϯϓ߈ܸ  IUUQTSJQFSJQFOFUQSFTFOUBUJPOT 3*1&@@$3PTTPX@"NQMJGJDBUJPO@TUSJQQFEQEG ! %/4Ωϟογϡ1PJTPOJOH )FBSU#MFFE 41". 7JSVT .*5#ͳͲ͸zϧʔςΟϯάzͱ͸ҧ͏

Slide 100

Slide 100 text

Mis-Origin (ܦ࿏ϋΠδϟοΫ)

Slide 101

Slide 101 text

Mis-Origin (経路ハイジャック) の検知 w 経路奉行  IUUQXXXOJDBEKQKBJQJSSKQJSS@FYQIUNM w ແྉ ! • BGPMon IUUQXXXCHQNPOOFU w QSFGJYΛ௒͑Δͱ༗ྉ w "1* w UXJUUFS w CMPH

Slide 102

Slide 102 text

Mis-Origin (経路ハイジャック) の対策 w 他AS がMis-Origin されている  .JT0SJHJOܦ࿏Λ໢಺ʹೖΕͳ͍ w Route Filter w 31,* ! • 自AS がMis-Origin されている ୣΘΕͨ౸ୡੑΛୣ͍ฦ͢ w more specific な経路を流す

Slide 103

Slide 103 text

RPKI w 0SJHJO7BMJEBUJPO͸ͲΜͲΜ࣮૷͞Ε͍ͯΔ͕ɽɽɽ w ݱঢ়ɼ·ͩීٴ͍ͯ͠Δͱ͸ݴ͍೉͍ ! w બ୒ࢶ w ࣗ෼Ͱ30"$BDIF4FSWFSΛӡ༻͢Δ  IUUQXXXKBOPHHSKQXQSQLJSPVUJOHXH  w 30"$BDIF4FSWJDFΛ଴ͭ !

Slide 104

Slide 104 text

more specific な経路を流す ୣΘΕͨ౸ୡੑΛୣ͍ฦ͢ w ຊ౰ʹྲྀΕΔ͔෼͔Βͳ͍ͷͰɼ素振り重要 w 1FFSJOHύʔτφʔɼτϥϯδοτࣄۀऀ͕ܦ࿏Λ ड͚औͬͯ͘Εͳ͍͔΋͠Εͳ͍

Slide 105

Slide 105 text

DDoS

Slide 106

Slide 106 text

DDoSの検知 w 既存のサービス監視 / リソース監視 w $16.FNPSZ5$1DPOOFDUJPOCBOEXJEUIͷΦʔόʔϑ ϩʔɼϩάͳͲʹΑΔϦΫΤετ਺ͷ؂ࢹ  • トラフィック監視 w ঎༻ΞϓϥΠΞϯεαʔϏε w 044 w GMPXUPPMT w exaddos ! %%P4ͷݕ஌ΑΓରࡦ͕ॏཁɽ  τϥϒϧͷݪҼ͕%%P4ͩͱ෼͔ͬͨ࣌ɼରॲͰ͖ΔΑ͏ʹɽ

Slide 107

Slide 107 text

DDoSの予防 • Anti IP-Spoofing (BCP38) w uRPF w QBDLFUGJMUFS w IUUQXXXJFUGPSHSGDSGDUYU  IUUQXXXCDQJOGP ! w アンプ除去  オープンリゾルバーないですよね? w /51େৎ෉ w 4/.1͸

Slide 108

Slide 108 text

DDoSの対策 • Victim 上のサービスを止めてもよい w τϥϯδοτࣄۀऀ΁ͷΤεΧϨʔγϣϯ w Remote Triggered Blackholing w (4-#Λ࢖ͬͨ෇Ճ෼ࢄͱ࿈ಈͰ͖Ε͹ཧ૝త  IUUQXXXTMJEFTIBSFOFU"NB[PO8FC4FSWJDFTEEPTSFTJMJFODZXJUI BNB[POXFCTFSWJDFTTFDBXTSFJOWFOU ! • Victim 上のサービスを止めない w αʔόʔ্Ͱͷରࡦ 33-ͳͲ w %%P4.JUJHBUJPOΞϓϥΠΞϯε w %%P4.JUJHBUJPOαʔϏε w ηΩϡϦςΟϓϩόΠμʔ w τϥϯδοτͷ෇ՃαʔϏε

Slide 109

Slide 109 text

Remote Triggered Blackholing ಛఆͷ#(1$PNNVOJUZ͕෇͍ͨܦ࿏Λड৴͍ͯ͠Δؒ͸ɼ  ֘౰ܦ࿏ѼͯύέοτΛωοτϫʔΫͷશΤοδϧʔλʔͰ CMBDLIPMF͢Δ͘͠Έ 3'$ IUUQUPPMTJFUGPSHIUNMSGD "4 R R ސ٬ R YYYY DPNNVOJUZ ZZZZ[[[ packet ﬂow

Slide 110

Slide 110 text

ルーティングエコシステム

Slide 111

Slide 111 text

%$ࣄۀऀ ϥοΫ ΩϟϦΞ ճઢ ϕϯμʔ ϝʔΧʔ )8 *&5' ඪ४Խ 3*3 /*3 -*3 *$"// ΞυϨε "4/ ૯຿ল ๏ྩ 8$*5 *(' Ψόφϯε Ϋϥ΢υ ࣄۀऀ *BB4 ֤छαʔϏε ࣄۀऀ τϥϯδοτ *9 ֤छαʔϏε ސ٬ peer ωοτϫʔΫ ίϛϡχςΟ ৘ใ USBGGJD

Slide 112

Slide 112 text

IRR: transit providerのfilterを制御する Ͳ͔͜ͷ*OUFSOFU3PVUJOH3FHJTUSZ *33 ʹొ࿥͢Δඞ ཁ͕͋Δ ! w ೔ຊͰΑ͘࢖ΘΕ͍ͯΔ΋ͷ • JPIRR (jpirr.nic.ad.jp) w +1/*$؅ཧԼͷΞυϨεอ༗ऀ • RADB (whois.radb.net) w ༗ঈ Z • NTTCOM (rr.ntt.net) w OUUOFUϢʔβʔͷΈ

Slide 113

Slide 113 text

w IUUQXXXOJDBEKQEPDKQOJDIUNM w ͓ޓ͍ʹNJSSPS͍ͯ͠ΔͨΊɼجຊͲ͔͜Χॴʹ ొ࿥͢Ε͹Α͍ w ৑௕ԽͷͨΊΧॴొ࿥͢Δͱ҆৺ IRR ͜ͷ*33ͷ৘ใΛ ͍࣋ͬͯΔ͔ +1*33 3"%# /55$0. ͜ͷ *33͕ +1*33 ˓ ˓ º 3"%# ˓ ˓ ˓ /55$0. ˓ ˓ ˓

Slide 114

Slide 114 text

l細かいことはpeering dbを見てくださいz  ですむので便利 w XXXQFFSJOHECDPN w ৘ใӾཡ͸HVFTUΞΧ΢ϯτͰ0, w ࣗ"4ͷ৘ใΛొ࿥͢Δʹ͸  Ϣʔβʔొ࿥ σʔλϕʔεӡӦऀͷঝೝ͕ඞཁ w NBJMBEESFTTͷEPNBJOΛݟΒΕΔͷͰ "4ͱͷؔ ࿈͕໌Β͔ͳNBJMBEESFTTΛ࢖͏ peering db

Slide 115

Slide 115 text

w "4ͷجຊ৘ใ w ໊લ w "4/ w छผ *41*$1ͳͲ w USBGGJDMFWFM w MPPLJOHHMBTTSPVUFTFSWFS63- w JQWNVMUJDBTUJQW w peering policy w PQFOTFMFDUJWFSFTUSJDUJWF/P w ෳ਺ڌ఺ͰͷQFFSΛ৚݅ʹ͢Δ͔ w JOPVUͷUSBGGJDൺ཰Λ৚݅ʹ͢Δ͔ w ࿈བྷઌ w ઀ଓ*9 QVCMJDQFFS༻ w ໊લ w ଳҬ w 101 QSJWBUFQFFS༻ w %$໊ w *OUFSGBDFछผ peering db にはいろいろ記載できる

Slide 116

Slide 116 text

Questions ?

Slide 117

Slide 117 text

付録: バッド? ノウハウ集 (応募いただいたみなさま, ありがとうございました)

Slide 118

Slide 118 text

cisco のサイトでドキュメントを探すときに一番効率のいい方法 IUUQXXXDJTDPDPNDJTDPXFCQTB EFGBVMUIUNM NPEFQSPE ! ͔ͬ͜Β୳͠·͢Ͷɻ ͔͜͜ΒͦΕͧΕͷ04ͷDPOGJHVSBUJPOHVJEF DPNBOOESFGFSFODFʹߦ͘ͷ͕Ұ൪ݻ͍ؾ͕͠· ͢ɻ $JTDP4ZTUFNT౔԰͞Μ

Slide 119

Slide 119 text

NATになっとった？ ͋Ε͸·ͩ#(1ҎલͰɺ1#3Ͱ্Γબ୒Λ͍ͯͨ͜͠Ζɺ/55 ܥ͕ചͬͯͨࣸਅཱͯΈ͍ͨͳɺ͋Δແઢϧʔλ഑Լʹɺ͋Δ ্Ґ*41ͷ1"ΞυϨε͔Βάϩʔόϧ*1Λ΄ͲׂΓ౰ͯͯɺ ഑Լͷ୺຤͔ΒUSBDFSPVUFͨ͠ͱ͜Ζɺͳ͔ͥɺผͷ্Ґ*41ʹ ্͍ͬͯ͘ݱ৅ɻ ! ϧʔλʔͷϝʔΧʔʹฉ͍ͯ΋ಾͰɺμϝϞτͰ্Ґ*41ʹ ໰͍߹ΘͤΑ͏ͱͨ͠໼ઌɺࣗ෼ͷݸਓܝࣔ൘ʹΞΫηεͨ͠ ࡍʹදࣔ͞Εͨ*1ΞυϨε͕ɺׂΓ౰ͯͨ΋ͷͱҧ͏ɾɾɾ ! ࣮͸͜ͷແઢ-"/ϧʔλ͸ɺ/"5Λ͍ͯͨ͠ͷͰͨ͠ɻ

Slide 120

Slide 120 text

トラフィックを頭打たせた－ウチだけ編 1#3͔Β#(1ӡ༻ʹมΘΓɺ౰࣌ߴ͔ͬͨ"5.ճઢͷؒ ͰόϥϯεऔΓΛ͍ͯͨ͠ͱ͖ɺʮ͋ͱͪΐͬͱɺ ෼͚ͩɺ͜͜ͷճઢʹʯͱࢥͬͯɺͦͷճઢͷϧʔλ͔ ΒΛܦ࿏޿ใʹ௥Ճͨ͠ͱ͜Ζɺେྔʹྲྀೖ͢Δτ ϥϑΟοΫʹΑΓɺ಄ଧͪʹͳΓ·ͨ͠ɻ ! ͦͷ͸ɺͦͷճઢ͔Β͔͠ग़͍ͯͳ͔ͬͨͷ͕ݪҼ Ͱ͢ ! ޙʹͳͬͯɺʮҙ֎ͱΈΜͳɺͷܦ࿏͸ϑΟϧλ͠ ͳ͍ͷͶʯͱࢥ͍·ͨ͠ɻ

Slide 121

Slide 121 text

トラフィックを頭打たせた −国内編 #(1ӡ༻΋يಓʹ৐ͬͯ਺೥ɺϧʔλػछΛม͑Δͱ͖ʹɺ৽͍͠ϧʔλ ͷ*9઀ଓ෼DPOGJHͰɺ#(1ͷ֎޲͖SPVUFNBQ͕ೖ͓ͬͯΒͣɺ͍࣋ͬͯ ΔϧʔτશͯΛɺ๭*9ͷ֤ϐΞʹు͍ͯ͠·͏ͱ͍͏ࣄଶ͕ൃੜ͠·ͨ͠ɻ ! ԣͰݟ͍ͯͯɺϙʔτͷ-&%͕ҟৗʹޫΓͬͺͳ͠ʹͳΓɺ΋͠΍ͱࢥͬ ͯαϚϦʔΛ֬ೝͯ͠΋ΒͬͨΒɺ΢νҎ֎ͷϧʔτ΋ు͍͍ͯ·ͨ͠ɻ ! ͦͯ͠ɺଟ͘ͷϐΞઌͷ্Ґτϥϯδοτʹ͏͔ͬΓͳͬͯ͠·ͬͨ ͜ͱͰɺେྔʹྲྀೖɾഉग़͢ΔτϥϑΟοΫʹΑΓɺ಄ଧͪʹͳΓ·ͨ͠ɻ ! ޙʹͳͬͯɺʮҙ֎ͱΈΜͳɺ׬શͳܦ࿏ϑΟϧλ͸ॻ͔ͳ͍ͷͶʯͱࢥ ͍·ͨ͠ɻ

Slide 122

Slide 122 text

普段気をつけているポイント w ৽نϐΞʗτϥϯδοτ͸ɺTIVUEPXOঢ়ଶͰ े෼֬ೝɺTFOE͢Δܦ࿏਺΋ɻ w ෺ཧϧʔτ΋ؾΛ෇͚ΔɻΩϟϦΞμΠόγςΟ ͔Β౿ΈࠐΜͰɺผ৚ɺҟϧʔτɾɾ w ϑΝΠό઀ଓ࣌͸ɺඞͣΫϦʔφͰॲஔɻ

Slide 123

Slide 123 text

དྷΔ΂͖*1W࣌୅ʹඋ͑ͯɺ#(1ϧʔλ ͷϝϞϦઃఆΛ*1W*1W྆ରԠͷ഑෼ ʹ͍ͯͨ͠ͱ͜Ζɺ*1Wͷສϧʔτ ࣌୅͕ઌʹདྷͯ͠·ͬͨͱ͍͏͍ۤ࿩͠ ΋͋Δͱ͔ͳ͍ͱ͔ɻ

Slide 124

Slide 124 text

FB の経路数が増えすぎて受けきれなくなって・・・・ ͓٬༷͔Βͷ໰͍߹ΘͤͰ౸ୡͰ͖ͳ͍ܦ࿏͕ग़͖͍ͯͯΔ͜ ͱ͕Θ͔ͬͯ ͳΜͩΖ͏ͱࢥͬͯௐ΂ͯΈͨΒϑϧϧʔτ͕ ػثͷΩϟύΛ௒͍͑ͯ͑ͯͨ͜ͱ͍͏͜ͱ͕ੲ͋Γ·ͨ͠ ! )JUBDIJ(3͸ΘΓͱ҆Ձʹखʹೖ͍ͬͯͨͷͰΑ͘࢖ͬ ͍ͯͨͷͰ͕͢ ϝϞϦ͕গͳ͘ ҝ͢ज़͕ͳ͘ͳͬͯ͠·ͬ ͨͨΊ ϑϧϧʔτΛఘΊͯEFGBVMUͷܦ࿏ͷΈʹ੾Γସ ͑ͯӡ༻ͨ͠Γͱ͍͏͜ͱΛͨ͜͠ͱ͕͋Γ·͢

Slide 125

Slide 125 text

·ͨɺ๭'PVOESZ੡඼Ͱ͸ɺ ! ! ! ! ! ͱ͍ͬͨײ͡Ͱมߋ͸ՄೳͳͷͰ͕͢ɺEFGBVMU஋͕খ͗ͯ͢͞ɺ঱ ঢ়͕ग़࢝Ί͔ͯΒ͜Εʹؾ͕෇͖ɺ͔ͱ͍͍͖ͬͯͳΓ.BY·Ͱ͋ ͛ͯ΋େৎ෉ͳ΋ͷͳͷ͔ͳͱϏΫϏΫ͠ͳ͕Β਺஋Λ֦ு͍ͯͬ͠ ͍ͯ·ͨ͠ɻ ! ͜Εɺࠓສܦ࿏͘Β͍ͩͱࢥ͏ͷͰ΋͏͠͹Βͨ͘͠Β.BYͰ΋ ҲΕ·͢Ͷ ?? TIPXEFGBVMUWBMVFT 4ZTUFN1BSBNFUFST%FGBVMU.BYJNVN$VSSFOU JQDBDIF JQSPVUF TOJQ XEFGBVMUWBMVFT

Slide 126

Slide 126 text

਺೥લͳͷͰ΋͎େৎ෉ͩͱ͓΋͍·͕͢ɺ*1Wͷ QFFS OPUUSBOTJU ͕ݪҼͰϝϞϦ͕଍Γͳ͘ͳͬͨ͜ͱ ͕͋Γ·ͨ͠ɻ ! QFFSઌ͸ɺ͓ͦΒ͘ɺBEESFTTGBJQW͕OPBDUJWBUF ͞Ε͓ͯΒͣɺͪ͜Βͷ૝ఆ͠ͳ͍*1Wͷϑϧϧʔτ͕ *1Wτϥϯεϙʔτܦ༝ͰඈΜͰ͖͍ͯ·ͨ͠ɻ ! ͦΕʹؾͮ͘·ͰɺϑΟϧλΛ͋·Γݫີʹ͔͚͍ͯͳ ͔ͬͨͷͰɺQFFSVQˠίϯόʔδΣϯεͷ࠷தʹϧʔ λ ඇྗ ͕ͼͬ͘Γͯ͠ɺɺɺɺɺ ! ͳΜͯࣄ͕͋Γ·ͨ͠ɻ +1/*$Ԭా͞Μ

Slide 127

Slide 127 text

無停止で HSRPのグループIDだけを変更 ϧʔςΟϯάͱ͸ͪΐͬͱҧ͏͚Ͳ౤͛ͪΌ͑ɻ ;ͱࢥ͍෇͍ͯɺ౰࣌͸ศརʹ࢖ͬͯͨແఀࢭ Ͱ)431ͷάϧʔϓ*%͚ͩΛมߋ ͢Δখٕɻ ! 3F<+"/0(νϡʔτϦΞ ϧ>Έͳ͞Μͷϊ΢ϋ΢΋঺հ͍ͤͯͩ͘͞͞ ! **+দ࡚͞Μ

Slide 128

Slide 128 text

S S R R HSRP group id: 10 .10 / x .20 / y .1 / 0a dst: .1 / 0a (0) S S R R .10 / x .20 / y .2 / 0a dst: .1 / 0a (1) HSRP group id: 10

Slide 129

Slide 129 text

S S R R HSRP group id: 20 .10 / x .20 / y .2 / 0a dst: .1 / 0a (2) (3) .1/14 HSRP group id: 10 S S R R .10 / x .20 / y .2 / 0a dst: .1 / 14 .1 / 14 HSRP group id: 10 HSRP group id: 20

Slide 130

Slide 130 text

ੲ͋Δͱ͜Ζʹɺྺ࢙తܦҢʹΑΓࣗ໢಺ʹࣗࣾ1*ΞυϨε ͱଞࣾ1"ΞυϨε͕ಉډͨ͠ωοτϫʔΫΛӡ༻͍ͯ͠Δ૊ ৫͕͋Γ·ͯ͠ɺ͜Ε΋ྺ࢙తܦҢʹΑΓ1"ͳTUBUJD઀ଓճ ઢͱ#(1τϥϯδοτ઀ଓճઢΛಉ͡ϧʔλʹऩ༰͍ͯ͠· ͨ͠ɻ1"ͷϗετ͔ΒΠϯλʔωοτʹग़͍ͯ͘௨৴͚ͩ͸ɺ TUBUJDճઢ͕OFYUIPQʹͳΔΑ͏ʹQPMJDZೖΕͯΔײ͡Ͱɻ ! ͋Δ࣌ɺV31'ͱ͍͏ศརͳػೳΛ஌ͬͨωοτϫʔΫ؅ཧ ऀ͸ɺTUBUJDճઢͱτϥϯδοτճઢͷ྆ํͷJOCPVOEʹɺ V31'MPPTFNPEFͷઃఆΛೖΕ·ͨ͠ɻ ! ਺೥ޙɺτϥϯδοτճઢۀऀ͔Βϝϯςφϯεͷ௨஌͕͋ Γ·ͯ͠ɺͰ΋1"ͷωοτϫʔΫ͸Өڹͳ͍ΑͶɺͱࢥͬͯ ͍ͨΒɺͬ͢ͱ͜Ͳ͍ͬ͜ɺτϥϯδοτճઢ੾ΕͨΒ1"ωο τϫʔΫ΋Πϯλʔωοτͱ௨৴͕Ͱ͖ͳ͘ͳͬͯ͠·͍· ͨ͠ɻ

Slide 131

Slide 131 text

"4 R USBOTJU R USBOTJU USBOTJU static full route full route uRPF uRPF

Slide 132

Slide 132 text

昔やっちまったルーティングミス DMFBSJQCHQ ͱଧͬͯ͠·ͬͨͱ͔ɺͰ͢Ͷɻ ! ͋ͱɺϦϞʔτϝϯς͍ͯ͠Δ࣌ʹϧʔλͷϓ ϩϯϓτͷ͋Δը໘Ͱ͏͔ͬΓϖʔετૢ࡞͠ ͪ·ͬͨΒɺશવؔ܎ͳ͍ը໘ͰͲͬ͞Γίϐʔ ͯͨ͠ͷ͕΂ͬͨΓషΒΕͨͱ͔ɻ ! φΠϯϨΠϠʔζ٠஑͞Μ

Slide 133

Slide 133 text

খωλͳΒزΒ͔͋Γ·͢Ͷʔɻྫ͑ ͹ɺίϐϖͷͱ͖ʹɺΫϦοϓϘʔυ ͕Ԛછ͞Ε͍ͯͨͱ͔ɺGXઃఆͬ͠ ͺ͍ͯ͠ɺܨ͕Βͳ͘ͳͬͨͱ͔X ! !UPNPDIB

Slide 134

Slide 134 text

ಛघͳωοτϫʔΫ࡞Γ࣌ʹ041'ͷίετ଍͠ࢉΛؒҧ ͑·͢ɻ͓Ζʁͱ͍͏ใࠂʹӌճͪ͠ΌͬͨΓɻࣄલʹ ӌճࢼݧΛͪΌΜͱ΍ͬͯΕ͹ͦ͏͍͏ϛε΋๷͛Δͷ Ͱ͕͢ɻ 7-"/ΠϯλϑΣʔε͖ͬͯΔͱ͜ΖͰΑؒ͘ҧ͑·͢ɻ ! ඪ४ύλʔϯͰ͸͋·Γϛε͸ͳ͍ΜͰ͕͢ .&%Λॻ͖׵͑ͪΌ͍͚ͳ͍1FFSͰॻ͖׵͑ͪΌͬͨΓ ͱ͔ɺ·͊ඪ४ͱ͸ҧ͏ͱ͜ΖͰ͸ؒҧ͍͸ى͖΍͍͢ Ͱ͢Ͷɻ ! ͋ͱେͨ͠Өڹ͸ͳ͍Ͱ͕͢PSJHJO͕ ʹͳͬͨ·· ܦ࿏ग़ͪ͠ΌͬͨΓͱ͔ɻ ! #JHMPCF઒ଜ͞Μ

Slide 135

Slide 135 text

ϛεͷ෦ྨʹೖΔ͔͸ඍົͰ͕͢ɺϗοτϙςτ ࠾༻͍ͯ͠ΔͷΛؾʹͤͣSFNPUFQFFS͸ͬͯΔ ͱͦͷϧʔλͷதͰ͸SFNPUFQFFS͕ϕετύε ʹͳͬͯ͠·ͬͯԕ͍ํʹ·Θͬͯ͠·ͬͨΓͱ ͔ɻSFNPUFQFFSJOHͬͯ*(1ͷϝτϦοΫ͕࢖͑ ͳ͍ͷͰ͢ΑͶɻ ! Ͱ΋Ұ൪ා͍ͷ͸4UBUJDSPVUFͰ͢Ͷɻ 4UBUJDͪΐʔා͍ɻ͋Εʁӌճ͠ͳ͍ʁ ͱ͔ϙϤοͱมͳܦ࿏͕ු͔ΜͰདྷͨΓ͢Δͱ࢑ ఆରࡦͰೖΕͨͭ΋Γͷ؅ཧ͖͠Εͯͳ͍ݹ͍ TUBUJD͕ͦ͜ʹ͋ͬͨΓ͠·͢ɻ ! #JHMPCF઒ଜ͞Μ

Slide 136

Slide 136 text

BGPのMEDが勝手についてた .&%Λ͋·Γҙࣝͯ͠ͳͬͯ͘ɺSPVUFNBQͰઃ ఆͯ͠ͳ͔ͬͨΜͰ͕͢ɻɻɻ τϥϑΟοΫ͕ภΔΜͰɺͳΜͰͩΖʁͱࢥͬͨΒ ! উखʹ.&%͕෇͍͍ͯ·ͨ͠ ! ൜ਓΛ૞ͨ͠Βɺ࣮͸041'ͷNFUSJDΛ.&%ʹίϐʔ ͯ͠Δͱ͍͏͜ͱ͕൑໌ DJTDPͷ࢓༷ ͪΌΜͱ.&%Λҙࣝ͠ͳ͍ͱͩΊͩͶ ! ෋࢜௨,$/ࢁޱ͞Μ