routing_tutorial key

Transcription

1 Tips

2 小島慎太郎

3 Agenda Tips BGP とは? BGP の設計を考えよう BGP の運用を考えよう セキュリティ ルーティングエコシステム

4 BGP とは?

5 BGP とは? AS1 AS2 AS3 AS4 routing policy を伝える

6 IGP との関係 Internet 上のある目的地 に達するために, 自 AS 内のどの出口から出 ればいいか? その出口にはどうやったら到達できるか?

7 A Border Gateway Protocol 4 (BGP-4) RFC1654 RFC1771 RFC4271 (January 2006) RFC1997 RFC2385 RFC3065 RFC4451 RFC4456 RFC4360 RFC5004 RFC5668

8 BGP の経路選択 WEIGHT 最も高い LOCAL_PREF を持つパスが優先されます 最短の AS_PATH を持つパスが優先されます 最小の Multi-Exit Discriminator (MED) を持つパスが優先されます MED BGP ネクストホップへの最小の IGP メトリックを持つパスが優先されます

9 今日話すこと BGP の設計時に考えるべきこと どうやって自分の思うように traffic control するか?

10 BGP の設計を 考えよう

11 ebgp policy / 設計 経路広告 経路受信 ibgp policy / 設計

12 ebgp policy ()

13 ebgp Policy を考えるポイント どんな経路 どんな ebgp session どんな ebgp session

14 どんな経路を AS1 顧客の経路 自 AS の経路 peering パートナーの経路 transit 事業者の経路 AS2 不要な経路

15 どんな ebgp session へ 顧客 AS1 peer transit AS2

16 ebgp Policy の基本 受信 Policy AS 内 packet flow R 広告 Policy AS 外 AS 2 AS 1 R R packet flow R AS 3

17 ebgp 経路受信 ( ちょっと細かく )

18 ebgp Policy の基本 ( 受信 ) bogon filter はすべてに必要 すべて受信 ( 経路 filterあり ) peer A の顧客 peer A 自身 peer A の peer ( 通常流れてこない ) peer A の transit ( 通常流れてこない ) すべて受信 transit A の顧客 transit A 自身 transit A のpeer transit A のtransit My AS 自身の経路を除き, すべて受信 ( 経路 filterあり ) 顧客 A の顧客 顧客 A 自身 顧客 A のpeer ( 通常流れてこない ) 顧客 A の transit ( 通常流れてこない

19 受信経路を扱う ときに気にする べきポイント 3 つ

20 1. LP と MED の値 2. 経路 Filter 3. Path Attribute は 本来の用途に使おう

21 1. LPMED

22 解説

23 1. LP と MED の値 2. 経路 Filter 3. Path Attribute は 本来の用途に使おう

24 2. 経路 Filter 顧客経路 IRR ベースが理想的 bogon prefix, 自 AS の prefix は経路 filter で除外

25 IRR ベースって言われても

26 peer 経路 Mis-Origin ( 経路ハイジャック ) の可能性 メンテナンスされなくなるかもしれない

27 peer 経路 maximum-prefix (prefix-limit) filter prefix length による filter

28 bgpq3 / IRR Power Tools config C config R input: IRR / peering DB/ / deploy

29 Maximum-Prefix (Prefix-Limit) Filter transitに設定すると危険な場合がある

30 経路 Filter に関する参考情報

31 1. LP と MED の値 2. 経路 Filter 3. Path Attribute は 本来の用途に使おう

32 3. Path Attribute closest exit R1 R2 MED MED MED R R prefix Next Hop MED IGP > /24 R /24 R prefix Next Hop MED IGP /24 R > /24 R

33 Juniper Cisco

34 3. Path Attribute は 本来の用途に使おう よくあるパターン なんかめんどくさくない? うわ, 壊れた

35 シンプルに わかりやすく

36 受信経路に手を入れる = 経路制御する 方法を決めておく ( 運用設計 )

37 経路制御の選択肢 transit / peer 経路 顧客経路

38 LP / MED などの数値はなるべく弱くなる方に制 御する passive IGP は経路ごとの制御ができない

39 操作 なるべくメンテナンス頻度を下げる

40 Juniper の例 : Cisco の例 : template hack irregular なことは 目立つように / 消しやすく template hack

41 よく使うのは 次の 3 種類 くらい

42 経路制御の選択肢 ( 受信 ) LP 制御 transit prefix MED AS_PATH / AS1 prefix LP MED AS_PATH > / / AS2 My AS peer prefix MED AS_PATH / prefix MED AS_PATH / LP policy

43 経路制御の選択肢 ( 受信 ) MED 制御 R prefix Next Hop MED /32 x.x.x.x 110 > /32 y.y.y.y 100 R My AS AS1 prefix Next Hop MED /32 x.x.x.x /32 y.y.y.y 100 prefix Next Hop MED /32 z.z.z.z 100 加算して大きくする

44 経路制御の選択肢 ( 受信 ) IGP 制御 R prefix Next Hop IGP > /32 x.x.x.x /32 y.y.y.y 40 R My AS AS1 prefix Next Hop /32 x.x.x.x /32 y.y.y.y prefix Next Hop /32 z.z.z.z

45 ところで, 考えてみて ください

46 経路の各 path attribute は 誰のもの? MED を上書きしない local preference(lp) を制御 する BGP community MED を上書きしない R LP を制御させる 7521:110 = LP110 R LP MED R 経路受信 MED Community R

47 ここまで 経路受信 の話

48 ebgp 経路広告

49 ebgp Policy の基本 ( 広告 ) bogon filter はすべてに必要 顧客経路 + 自分の経路のみ広告 顧客から受信した経路すべて 自身の経路 顧客経路 + 自分の経路のみ広告 顧客から受信した経路 すべて 自身の経路 My AS すべての経路を広告 自身の経路 peer から受信した経路すべて transit から受信した経路すべて

50 広告経路を扱う ときに気にする べきポイント 3 つ

51 1. MED をちゃんと付ける 2. 経路 Filter 3. ASPATH prepend ってちょっと強い

52 1.MED をちゃんと付ける MED IGP cost : 100 R MED R R MED R R AS2 が AS1 の MED を 評価した場合の packet flow

53 Juniper の例 : Cisco の例 :

54 1. MED をちゃんと付ける 2. 経路 Filter 3. ASPATH prepend ってちょっと強い

55 2. 経路 Filter 内部の細かい経路は広告しない bogon その他,internet に流すべきでない経路が含まれ ないかを再確認 remove-private しておく (private AS は削って広告 )

56 1. MED をちゃんと付ける 2. 経路 Filter 3. ASPATH prepend ってちょっと強い

57 3. AS_PATH prepend

58 広告経路に手を入れる = 経路制御する 方法を決めておく ( 運用設計 )

59 経路制御の選択肢 ( 広告 ) transit / peer 顧客

60 あまり 手がない

61 経路制御の選択肢 ( 広告 ) 接続している transit / peer の routing 設計 を理解することがすごく重要 そのような設計になっているのはなぜか?

62 以下の選択肢は 高い確率で効果が期待できる BGP Community 奥の手 経路広告を止める

63 ところで, こういうのは どう思いますか?

64 BGP Community 便利 どの地域 transitpeer 顧客

65 prepend community とかどうですか? 顧客に My AS peer AS_PATH AS_PATH

66 BGP Community = API

67 BGP Community = API My AS Others

68 ここまで ebgp 経路広告 の話

69 ibgp policy / 設計

70 あまりたくさん 話しませんが, 気に留めておくと 良さそうなこと

71 next-hop self

72 next-hop self 経路制御の選択肢を 1 つ失う Prefix NH /24 x.x.x.x /24 y.y.y.y Prefix NH /24 z.z.z.z /24 z.z.z.z R R AS1 R R AS2

73 next-hop self したほうがいい場合 Prefix NH /24 x.x.x.x x.x.x.0/24 AS packet flow R S R R IX S dst MAC address を知らない 可能性がある Prefix NH /24 x.x.x.x

74 next-hop self したほうがいい場合 R S Prefix NH /24 x.x.x.x S R IX packet flow S Prefix NH next-hop selfしないと Prefix NH /24 x.x.x.x R /24 x.x.x.x Prefix NH /24 x.x.x.y x.x.x.x(nh) に直接転送してしまう

75 ここまで, 設計 = 平常運転時の BGP について話しました Questions?

76 BGP の運用を 考えよう

77 Traffic Engineering

78 これから, 運用上問題になった ケースをいくつか挙げます

79 みなさんも 自分ならどうするか 考えてみてください

80 問題 1: 直接 peer しているのに traffic が流れてこない peer peer transit を 売っている transit を 売っている peer transit を 買っている packet flow MY AS peer transit を 買っている

81 問題 1: 直接 peerしているのに trafficが流れてこない AS1 からではなく,AS3 から traffic が入ってくる こちらはなんとかなるかも peer peer transit を 売っている peer transit を 売っている packet flow transit を 買っている MY AS peer transit を 買っている

82 答え : 直接 peer しているのに traffic が流れてこない AS1 にメールする ( または AS3 にメールする ) ( もし提供していれば ) AS3のBGP communityを使い,as1に対して経路を止める peer transit を 売っている peer transit を 売っている packet flow transit を 買っている MY AS peer transit を 買っている

83 問題 2: transit 間で traffic を動かしたい transit 1 transit 2 packet flow MY AS

84 ( 特定 AS からの traffic が大きい場合 ) 直接 peer する transit1 への経路広告時に AS_PATH prepend 答え : transit 間で traffic を動かしたい ( もし提供していれば ) transit1 の BGP community を使い,transit1 内での LP を下げる packet flow transit 1 transit 2 MY AS

85 問題 3: peer 間で traffic を 動かしたい peer 1 peer 2 packet flow MY AS

86 答え : peer 間で traffic を 動かしたい peer1 への経路広告時に AS_PATH prepend ( もしpeer1と複数 peerしているなら ) trafficをどけたいpeer1との ebgp sessionでのみ特定の経路広告を止める packet flow peer 1 peer 2 MY AS

87 補足 : peer 間で traffic を 動かしたい 品質が悪いから paid peer だから

88 問題 4: peer 間でよくある traffic 移動 MY AS peer packet flow peer peer

89 答え?: peer 間などでよくある traffic 移動 MY AS peer packet flow peer peer

90 MPLS-TE

91 MPLS-TE AS 内の traffic を自動で制御する技術 MPLS(Multi-Protocol Label Switching) + RSVP(ReSerVation Protocol) IP Packet に label をつけてカプセル化

92 traffic の end-point は変わらず, reroute する link 障害による帯域減 輻輳した

93 MPLS + RSVP のしくみ LSPはLSR(Label Switching Router: MPLSを設定する router) 群で 2x full mesh 分張る LSPを張る前にRSVP signaling egress router transit router packet flow ingress router

94 MPLS-TE network eventにより帯域が縮退 自動で空き帯域を探索してくれるので, 手動による TE 不要 LSPが落ちても即 packet lossではない fast reroute show route /24 inet.0: 57 destinations, 57 routes (57 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both /24 *[BGP/170] 5d 07:12:01, localpref 100, from AS path: I > to via ae1.0, label-switched-path r1-r5-00 koji@test-router> show route inet.3: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both /32 *[RSVP/7] 5d 06:47:49, metric 16 > to via ae1.0, label-switched-path r1-r5-00 [IS-IS/18] 5d 06:47:48, metric 16 > to via ae1.0, label-switched-path r1-r5-00

95 MPLS-TE 利点 欠点 LSP sizeを設定するため, 日々 LSP 毎のtraffic 量をカウントする必要がある

96 なんだか便利そうですよね? JANOG33

97 ここまで, Traffic Engineering について話しました Questions?

98 ルーティング セキュリティ

99 Mis-Origin ( 経路ハイジャック ) DDoS

100 Mis-Origin ()

101 Mis-Origin ( 経路ハイジャック ) の 検知 経路奉行 BGPMon

102 Mis-Origin ( 経路ハイジャック ) の 対策 他 AS が Mis-Origin されている Route Filter 自 AS が Mis-Origin されている more specific な経路を流す

103 RPKI

104 more specific な 経路を流す 素振り重要

105 DDoS

106 DDoS の検知 既存のサービス監視 / リソース監視 トラフィック監視 exaddos

107 DDoS の予防 Anti IP-Spoofing (BCP38) urpf アンプ除去 オープンリゾルバーないですよね?

108 DDoS の対策 Victim 上のサービスを止めてもよい Remote Triggered Blackholing Victim 上のサービスを止めない

109 Remote Triggered Blackholing R R R packet flow

110 ルーティング エコシステム

111 peer

112 IRR: transit provider の filter を制御する JPIRR (jpirr.nic.ad.jp) RADB (whois.radb.net) NTTCOM (rr.ntt.net)

113 IRR

114 peering db 細かいことは peering db を見てください ですむので便利

115 peering db には いろいろ記載できる peering policy

116 Questions?

117 付録 : バッド? ノウハウ集 ( 応募いただいたみなさま, ありがとうございました )

118 cisco のサイトでドキュメントを 探すときに一番効率のいい方法

119 NAT になっとった?

120 トラフィックを頭打たせた - ウチだけ編

121 トラフィックを頭打たせた 国内編

122 普段気をつけている ポイント

123

124 FB の経路数が増えすぎて 受けきれなくなって

125

126

127 無停止で HSRP のグループ ID だけを変更

128 (0) (1) dst: dst:.1 / 0a.1 / 0a S S S S.1 / 0a.10 / x.20 / y.2 / 0a.10 / x.20 / y R R R R HSRP group id: 10 HSRP group id: 10

129 (2) (3) dst: dst:.1 / 0a.1 / 14 S S S S.1/14.2 / 0a.10 / x.20 / y.1 / 14.2 / 0a.10 / x.20 / y R R R R HSRP group id: 10 HSRP group id: 20 HSRP group id: 10 HSRP group id: 20

130

131 static urpf full route full route R R urpf

132 昔やっちまったルーティングミス

133

134

135

136 BGP の MED が勝手についてた