November 29, 2016 BGP COMMUNITY の世界動向 吉村知夏 NTT America Internet Week 2016 / Tokyo 1

Similar documents
ISPのトラフィック制御とBGPコミュニティの使い方

網設計のためのBGP入門

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

NTT Communications PowerPoint Template(38pt)

ネットワークのおべんきょしませんか? 究める BGP サンプル COMMUNITY アトリビュートここまで解説してきた WEIGHT LOCAL_PREFERENCE MED AS_PATH アトリビュートはベストパス決定で利用します ですが COMMUNITY アトリビュートはベストパスの決定とは

橡3-MPLS-VPN.PDF

_IRS26_withdraw選手権_西塚事後.pptx

Microsoft PowerPoint irs14-rtbh.ppt

橡C14.PDF

PowerPoint プレゼンテーション

プロジェクトのモチベーション IPv4 ユーザ向けのお試し IPv6 環境づくり 手始めに実装が普及している 6to4に着目 個別の技術にはこだわらず Teredo や ISATAP 等についても検討 IPv4/IPv6 共存技術の普及 設定 運用ノウハウの共有 設定や負荷状況等を積極的に情報を公開

ルーティングの国際動向とRPKIの将来

NFC ucode タグのメモリフォーマット規定

Microsoft PowerPoint - janog20-bgp-public-last.ppt

MPLS Japan 2015 キャリアサービスへの EVPN 適 用の検討と課題 横 山博基 NTT コミュニケーションズ株式会社 ネットワークサービス部 Copyright NTT Communications Corporation. All right reserved.

JANOG 38 - Root DNS Anycast Performance_aka2

_IPv6summit_nishizuka.pptx

DDoS時代の対外接続

2030 年頃の社会とインターネット 社会的課題の解決や新たな価値創造を通じ 様々な産業や社会システム のデジタルトランスフォーメーション (DX) が加速 企業は事業者 / 産業の垣根を越えてつながり あらゆるデータがやり取りされる時代 以前はオフライン主流のニュース / 動画 / 音楽 / 放送

untitled

経路奉行・RPKIの最新動向

初めてのBFD

_JANOG44_LINE_tsuchiya

BGP/MPLS-VPN とは ルータによる 多様な IF による提供が可能 (ATM~ HSD などの非対称構成も可能 ) 暗号に頼らないセキュリティの確保が可能 (FR などと同等の機能を IP ネットワークで実現 ) お客様側への特別な装置が不要 (a)ipsec-vpn 方式 暗号化装置 (

IPアドレス・ドメイン名資源管理の基礎知識

RPKIとインターネットルーティングセキュリティ

HGWとかアダプタとか

ループ防止技術を使用して OSPFv3 を PE-CE プロトコルとして設定する

_Janog37.pptx

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

RENAT - NW検証自動化

アマチュア無線のデジタル通信

本日のお話 運用 / 運用システムの現状 ネットワーク運用の自動化のススメ 1) ネットワーク管理の自動化 2) ネットワーク工事 ( 設定 ) の自動化 3) ネットワーク運用時 ( 障害時 ) の自動化 Copyright 2012 NTT Communications Corporation.

JANOG30 Meeting IPv6 時代の IPv4 を考える ~ 第二章 ~ 464XLAT 事前公開資料 2012 年 6 月 26 日 NEC アクセステクニカ株式会社開発本部商品開発部 川島正伸

高速ソフトウェアルータ Kamuee

untitled

BGP属性に関するインシデント事例紹介 Bogonフィルタ未更新問題について

TFTP serverの実装

祝?APNICとRPKIでつながりました!

UID S307-NDEF

BGPベストパス選択の実際

スライド 1

パブリック6to4リレールータに おけるトラフィックの概略

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

自己紹介 名前 : 野口絵理 (Eri Noguchi) 所属 :NTT Communications ネットワークサービス部販売推進部門 グローバルネットワークマーケティング担当 経歴 : NTT Com Asia( 香港 ) 現地法人における日系企業 外資企業向けのデータセンタ / クラウドサー

橡2-TrafficEngineering(revise).PDF

2004 IPv6 BGP G01P005-5

スライド 1

PowerPoint プレゼンテーション

untitled

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

PowerPoint Presentation

untitled

◎phpapi.indd

宛先変更のトラブルシューティ ング

Office 365 とのドメイン間フェデレーション

PowerPoint プレゼンテーション

Clos IP Fabrics with QFX5100 Switches

<4D F736F F F696E74202D208E9197BF31322D D BB8CA48B8689EF C835B83938E9197BF284E F E B8CDD8AB B83685D>

PowerPoint プレゼンテーション

The overview of IPv4 over IPv6 technique - ENOG 17

前提情報


FUI 機能付きの OCS サーバ URL リダイレクトの設定例

Transcription:

November 29, 2016 BGP COMMUNITY の世界動向 吉村知夏 <c.yoshimura@ntta.com> NTT America Internet Week 2016 / Tokyo 1

Agenda 自己紹介 BGPコミュニティについて BGPコミュニティを利用した経路制御 BGPコミュニティをめぐるトレンド まとめ November 29, 2016 Internet Week 2016 / Tokyo 2

自己紹介 NTT アメリカ Solution Development Engineer (2016 年 11 より ) ネットワークプロダクトマネジメント全般 SD-WAN の顧客導 案件など 2012 年 9 NTT アメリカ GIN (AS2914) バックボーン NW 運 開発 2003 年 4 NTT コミュニケーションズ OCN (AS4713) サーバ運 OCN (AS4713) バックボーン NW 開発 JANOG 会 (2015 年 9 より ) November 29, 2016 Internet Week 2016 / Tokyo 3

BGP コミュニティ??? Community: 2914:370 2914:490 November 29, 2016 Internet Week 2016 / Tokyo 4

??!?!?!????! November 29, 2016 Internet Week 2016 / Tokyo 5

謎の数字と コロンが付いている November 29, 2016 Internet Week 2016 / Tokyo 6

BGP オペレーターが これを見ると November 29, 2016 Internet Week 2016 / Tokyo 7

NTT の顧客経路で アジアの日本の大阪の経路 NTT 内部での Local Preference は 120 ( 略 BGP 命 November 29, 2016 Internet Week 2016 / Tokyo 8

みたいなことが 0.1 秒で分かる November 29, 2016 Internet Week 2016 / Tokyo 9

のは一部の BGP オタクだけ November 29, 2016 Internet Week 2016 / Tokyo 10

今日は一緒に BGP オタクになりましょう! November 29, 2016 Internet Week 2016 / Tokyo 11

ようこそ BGP コミュニティの 世界へ November 29, 2016 Internet Week 2016 / Tokyo 12

BGP コミュニティ (1) BGPパス属性の つ BGP 経路に任意情報を付与するためのパス属性 RFC1997 BGP Communities Attribute 32 byte attribute (16-bit ASN : 16-bit information) RFC4360 BGP Extended Communities Attribute 64 byte attribute (16-bit ASN : 48-bit information) 某 AS の例 2914:2401 任意の数値 (AS 番号にするのが一般的 ) 任意の数値 ( 基本的に何でも良い 設計センスの見せ所 ) November 29, 2016 Internet Week 2016 / Tokyo 13

BGP コミュニティ (2) 経路に付ける情報タグみたいなものタグの中身は AS 毎に好きに決めて良い November 29, 2016 Internet Week 2016 / Tokyo 14

BGP コミュニティ (3) Optional Transitive 他 AS にも伝播する 消去や上書きが可能 経路に付与したコミュニティが対向 AS に伝わるかは分からない ( 消去や上書きされる場合があるため ) AS ごとに確認が必要 Well-known community no-export (AS 外に経路広告しない ) no-advertise ( 他の BGP ピアに経路広告しない ) blackhole <new!> ( 後述 ) November 29, 2016 Internet Week 2016 / Tokyo 15

BGP コミュニティでできることとその目的 BGP コミュニティは 経路への情報付加のみを う 付加された情報を てニヤニヤするのが 的 BGP 命 付加情報に応じた経路制御を別途 い トラフィックの流れをできるだけ思い通りに操作することが最終 的 多数の経路に 括して情報を付与することで 多くの経路を効率的に制御できるメリットがある AS 間で連携を取り 情報に応じたきめ細やかな経路制御を う November 29, 2016 Internet Week 2016 / Tokyo 16

制御 =BGP フィルターを書く 経路制御をするためには BGP フィルターを別途書く必要がある 1. コミュニティを設計する @ 机上 ( 例 ) 本の経路には 2914:2401 を付与する 2. コミュニティに応じた任意のアクションを設計する @ 机上 ( 例 ) 2914:2401 が付与されている経路は 全顧客へ広報する 3. アクションを実現するための BGP フィルターを書く @ ルータ 4. コミュニティを経路に付与し広報する @ ルータ 5. 任意のアクションが われる @ ルータ November 29, 2016 Internet Week 2016 / Tokyo 17

BGP コミュニティを利用した制御例 1. 広告経路を制御する 広告先 ASでの扱い を指定 ( 広告範囲 優先度など ) トラフィックの流 元を管理できる 2. 受信経路を制御する 網 ASでの扱い を指定 トラフィックの流出先を管理できる 3. 内部管理 経路数をカウントする 経路宛のパケット数をカウントするなど 可能性は無限大!BGP オタク歓喜! November 29, 2016 Internet Week 2016 / Tokyo 18

主に 2 つの制御がメイン 1. 広告経路を制御する 2. 受信経路を制御する これから話します November 29, 2016 Internet Week 2016 / Tokyo 19

広告経路を制御する 自分が相手に広告した経路を 相手にどう扱ってもらうか指定すること 1. 広告範囲を指定 特定 { 地域, 国, ピア, 顧客 } にのみ広報 特定 { 地域, 国, ピア, 顧客 } に広報しない Blackhole する ( ここ数年のトレンド ) 2. 任意の優先度を指定 Local Preference を任意の値にする 3. Prepend 付与 ( あんまり人気ない ) 特定 { 地域, 国, ピア, 顧客 } に [1-3] 個 Prepend November 29, 2016 Internet Week 2016 / Tokyo 20

こんな構成があったとき わたし トランジット (AS2914) 海外 November 29, 2016 Internet Week 2016 / Tokyo 21

海外から DDoS が来たら わたし あなた (AS2914) 海外 November 29, 2016 Internet Week 2016 / Tokyo 22

大きく 2 つの打ち手がある 1. トラフィックをフィルターする トランジット事業者 ( 上流 ISP) のBGPコミュニティを利用すれば 自分で実施できる 経路広告を停止する 経路の優先度を下げる 経路広告を維持しつつ next hop を null にする (blackhole) 2. 経路を操作する DDoS 対応サービスを買うという選択肢もあるがここでは割愛 November 29, 2016 Internet Week 2016 / Tokyo 23

BGP コミュニティを使って 経路広告を自分で操作する (blackhole を例に ) (1) トランジット側 : あらかじめ BGP フィルターを設定しておく 2914:666 付きの経路は next hop = null とし トラフィックを discard する わたし トランジット (AS2914) 海外 November 29, 2016 Internet Week 2016 / Tokyo 24

BGP コミュニティを使って経路広告を自分で操作する (blackhole を例に ) (2) わたしの経路に 2914:666 をつけて広告 (3) 2914:666 付きなので next hop=null に変更 (4) AS2914 のルータがトラフィックを捨てる わたし トランジット (AS2914) 海外 (5) トラフィックが到達しない (5) トラフィックこない All happy J November 29, 2016 Internet Week 2016 / Tokyo 25

よりきめ細やかな操作 実際には よりきめ細やかな経路操作ができることが多い ( 地域 国 AS ごと 顧客ごと ピアごと ) 操作内容 Blackhole 経路広告停止優先度変更 Prepend 操作できる範囲任意の { 地域, 国 } のみnullにする任意の { 地域, 国, AS} のみ経路を広告しない任意の地域のみLPを下げる特定の { 地域, ピア, 顧客 } のみPrependする トランジット事業者は 世の中のニーズを見ながらコミュニティを設計し ユーザに利用開放している November 29, 2016 Internet Week 2016 / Tokyo 26

トランジット事業者の裏事情 膨大な BGP フィルターを全ルータに設定している 矛盾するコミュニティの扱いについても検討が必要 例えば アジアに経路を出さないコミュニティ + 日本に経路広告するコミュニティ は両立できるか? とても悩みどころ ( 設計している側も度々わからなくなる ) BGP コミュニティをユーザに利用解放しているのは一部事業者 国際トランジット事業者 (Tier1 グローバル展開をしている事業者 ) や北米事業者に多い 日本のトランジット事業者 (Tier2) における解放は今のところ一般的ではない コストとニーズのバランス 日本国内のみで経路を操作するニーズがそれほどない? November 29, 2016 Internet Week 2016 / Tokyo 27

BGP コミュニティを使う側 予備知識がモノを言うことが多い 利用前の確認事項 1. トランジット ISP が BGP コミュニティを解放しているか 2. 解放している場合 コミュニティ一覧と動きを把握する 矛盾するコミュニティを付与した時の動きも把握 3. 経路操作 = トラフィック流入元が変化することを念頭に置き どのように変化するか机上検討する 必要な時にさっと BGP コミュニティを付与できるよう あらかじめ BGP フィルターを準備しておく Blackhole など緊急性を要するものは特に November 29, 2016 Internet Week 2016 / Tokyo 28

トランジット事業者の BGP コミュニティ確認方法 事業者にヒアリングする BGP community を使った経路操作をサポートしてますか? Web サイトを見る AS2914 https://www.us.ntt.net/support/policy/routing.cfm https://onestep.net/communities/ Comcast (AS7922) Zayo Communications (AS6461) COLT (AS8220) XO Communications (AS2828) November 29, 2016 Internet Week 2016 / Tokyo 29

( おまけ ) 受信経路を制御する 相手からもらった経路を 自分がどう扱うか指定すること 1. 広告範囲を指定 特定 { 地域, 国, ピア, 顧客 } にのみ広報 特定 { 地域, 国, ピア, 顧客 } に広報しない 2. 任意の優先度を指定 Local Preference MED 地域 国 ピア 顧客ごとに優先度を変える November 29, 2016 Internet Week 2016 / Tokyo 30

BGP Community をめぐるトレンド 1. DDoS トラフィックをどうにかしたい! 先のページで書いたような 経路の blackhole を実現するための BGP コミュニティが 大規模事業者を中心に提供されつつある Blackhole Community (*:666) が IETF で RFC 化 2. 4-byte AS 対応が必要なんじゃないか? BGP Large Community の Internet Draft が IETF に提出 November 29, 2016 Internet Week 2016 / Tokyo 31

Blackhole Community November 29, 2016 Internet Week 2016 / Tokyo 32

Blackhole Community 2016 年 10 月 RFC 化 (RFC7999) *:666 が付く経路宛のトラフィックは 各 AS で discard して良いことにするという取り決め 実際に discard するかは各 AS に任されている 実際に discard するためには 各 AS で別途 BGP フィルターを書く必要がある 実運用の世界ではこんな感じです AS2914 では お客様から 2914:666 のつく経路を受信した場合 next hop を null に変更することでトラフィックを discard AS によっては 地域や国別の blackhole ができることもある (selective blackhole) November 29, 2016 Internet Week 2016 / Tokyo 33

BGP Large Community November 29, 2016 Internet Week 2016 / Tokyo 34

BGP Large Community http://largebgpcommunities.net/ 大きな BGP コミュニティ 96 byte attribute (32-bit ASN:32-bit value:32-bit value) これまでは 32 or 64 bytes RFC1998 を踏襲したスタイル IETF に Internet Draft 提出済 11/14 現在第 8 版 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Global Administrator Autonomous System Number (Me) +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Local Data Part 1 Operator-Defined Value (Action) +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Local Data Part 2 Operator-Defined Value (You) +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ November 29, 2016 Internet Week 2016 / Tokyo 35

標準化のモチベーション 既存の BGP Community は 16bit AS 対応を前提に設計されている 16-bit-ASN:value 32bit AS 番号でも使える BGP コミュニティを作りたい 32-bit-ASN:value:value 2001 年 - 32-bit ASN の標準化活動スタート 2007 年 5 月 RFC 4893 2012 年 12 月 RFC 6793 2007 年 - 32-bit ASN が RIR から払い出され始める 32bit ASN はグローバルに利用されている 32bit ASN のオペレーターは 16bit のプライベート ASN を利用したりしながら現状をしのいでいる ( らしい ) 32-bit ASNs in a 16-bit Field November 29, 2016 Internet Week 2016 / Tokyo 36

Large BGP Community の例 RFC 1997 (Current) Large BGP Communities Action 65400:peer-as 2914:65400:peeras Do not Advertise to peer-as in North America (NTT) 0:peer-as 6667:0:peer-as Do not Announce to Route Server peer-as (AMS-IX) 65520:nnn 2914:65520:nnn Lower Local Preference in Country nnn (NTT) 2914:410 2914:400:10 Route Received From a Peering Partner (NTT) 2914:420 2914:400:20 Route Received From a Customer (NTT) 32-bit ( 私が ) : 32-bit ( どういうアクションを ) : 32-bit ( 誰 / どこなど 何をターゲットに行う ) という書き方をする November 29, 2016 Internet Week 2016 / Tokyo 37

デザインのゴール できるだけシンプルに 複雑な機能追加はしない RFC1997 をベースに拡張 自分の ASN や target 情報の欠落なしにアクションを記載できるように できるだけ実装しやすく Transitive にする 柔軟な設計に耐えられるように ネットワークオペレーターがコミュニティを設計しやすいように すべての 16-bit and 32-bit ASNs が使えるように プライベート ASN を使わなくても良いように ASN の重複が起こらないように 覚えやすく 電話でもうまく伝わるくらい簡単に 私 : アクション : ターゲットという表記 異言語環境でもうまく話が通じるように November 29, 2016 Internet Week 2016 / Tokyo 38

やらないこと well-known community は設定しない RFC1997 の well-known community は問題なく使えるため TLV や header は利用しない BGP Path Attributes code 30 (0x1E) を利用 November 29, 2016 Internet Week 2016 / Tokyo 39

実装状況 (11/20 現在 ) November 29, 2016 Internet Week 2016 / Tokyo 40

まとめ 世の中にはBGPコミュニティというものがある BGPコミュニティは経路制御に利用できる 自分の経路を相手にどう見せるか 相手から受信した経路を自分でどう扱うか 最終的には トラフィック制御を行うことが目的 ユーザやピア向けに BGPコミュニティを利用解放している事業者もある 一部の国際 北米大規模事業者がメイン 事業者側はニーズを見ながら設計 利用解放 利用解放有無については各トランジット事業者に問い合わせを BGPコミュニティをめぐって2つの動きがある Blackhole Community のRFC 化および運用推進 (DDoS 対応 ) BGP Large Community のInternet Draft 化 (32bit ASN 対応 ) November 29, 2016 Internet Week 2016 / Tokyo 41

November 29, 2016 QUESTIONS? Internet Week 2016 / Tokyo 42

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック