2014/07/18 1

Similar documents
頑張れフォールバック

スライド 1

仕様と運用

IIJ Technical WEEK2017 経路制御の課題と対策

JANOG 38 - Root DNS Anycast Performance_aka2

IIJ Technical WEEK IIJのバックボーンネットワーク運用

Microsoft PowerPoint - janog20-bgp-public-last.ppt

Mobile IPの概要

はじめに xsp のルータにおいて設定を推奨するフィルタの項目について の IPv6 版 最低限 設定することが推奨されるフィルタ について まず議論したい 接続形態に変化はないので IPv6 対応をメインに IETF draft RIR でproposal 進行中のものについては今回の検討外とした

IPv6 トラブルシューティング~ ISP編~

ブロッキングに関する技術とネットワーク インターネット上の海賊版対策に関する検討会議資料 ( 一社 ) 日本インターネットプロバイダー協会副会長兼専務理事立石聡明

untitled

Microsoft PowerPoint - janog15-irr.ppt

Microsoft PowerPoint irs14-rtbh.ppt

janog41-bgp-operation-pub

(Microsoft PowerPoint - janog23-server-ipv6-rel-public.ppt [\214\335\212\267\203\202\201[\203h])

15群(○○○)-8編

ネットワークユーティリティ説明書

初めてのBFD

Microsoft Word - トンネル方式(3 UNI仕様書5.1版)_ _1910.doc

ライフサイクル管理 Systemwalker Centric Manager カタログ

アジェンダ はクラウド上でも十分使えます 1. の概要 とは の導入事例 で利用される構成 2. をクラウドで使う クラウドサービスの分類 Amazon Web Services による構成例 2

IPv6 リンクローカル アドレスについて

(Microsoft PowerPoint - 2.\(\220\274\222J\202\263\202\361\)JANOG ppt [\214\335\212\267\203\202\201[\203h])

経路奉行・RPKIの最新動向

技術的条件集別表 26.3 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv6 トンネル方式 )

DNSでのBGP Anycast運用による 影響の計測 a.dns.jpのクエリログから

セキュアなDNS運用のために

R80.10_FireWall_Config_Guide_Rev1

ISPのトラフィック制御とBGPコミュニティの使い方

キャッシュポイズニング攻撃対策

PowerPoint Presentation

IPv6 普及への貢献 1

untitled

技術的条件集別表 35 IP トランスポート仕様

クラスタ構築手順書

プロジェクトのモチベーション IPv4 ユーザ向けのお試し IPv6 環境づくり 手始めに実装が普及している 6to4に着目 個別の技術にはこだわらず Teredo や ISATAP 等についても検討 IPv4/IPv6 共存技術の普及 設定 運用ノウハウの共有 設定や負荷状況等を積極的に情報を公開

ルーティングの国際動向とRPKIの将来

Inter-IX IX/-IX 10/21/2003 JAPAN2003 2

目次 はじめに KDDIのIPv6への取り組み auひかりのipv6 World IPv6 Dayに起きたこと World IPv6 Dayのその後 1

[ 参照規格一覧 ] JIS C5973 (F04 形単心光ファイバコネクタ ) JIS C6835 ( 石英系シングルモード光ファイバ素線 1991) JIS C6832 ( 石英系マルチモード光ファイバ素線 1995) IETF RFC791(Internet Protocol

MIRACLE LoadBalancerを使用したネットワーク構成と注意点

0 NGN における当社利用部門サービスと網機能の対応関係及び各サービスのインタフェース条件等について 平成 2 8 年 1 1 月 3 0 日東日本電信電話株式会社西日本電信電話株式会社

IIJ Technical WEEK 2016 諸外国のネットワーク事情~各国のオペレーターとの交流を通じて

NetworkKogakuin12

事例から学ぶIPv6トラブルシューティング~ISP編~

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

_IRS25_DDoS対策あれこれ.pptx

更新履歴 Document No. Date Comments 次 D JP 2017/05/01 初版 1. 概要 はじめに 情報源 A10 Lightning Application Delivery Service(ADS) 導 構成 動作概要 構築概要 2. 事

網設計のためのBGP入門

PowerPoint プレゼンテーション

SOC Report

2009 (c) INTERNET MULTIFEED CO. JANOG 24 Meeting in Tokyo 規模サーバと複雑なコンテンツの IPv6 対応化実証実験 2009/7/9 インターネットマルチフィード株式会社飯島洋介 株式会社 本経済新聞社 宏

ip nat outside source list コマンドを使用した設定例

技術的条件集別表 26.2 IP 通信網 ISP 接続用ルータ接続インタフェース仕様 (IPv4 トンネル方式 -10GBASE LR インタフェース )

内容 お知らせとご利用方法 ( ポイント ) RPKIとOrigin Validation JPNICのRPKIシステム ~ 試験提供とは~ RPKIシステムの使い方 ROAキャッシュサーバの設置方法 RPKIの技術課題 1

JPRS JANOG13 1. JP DNS Update 2. ENUM (ETJP) 3. JP ( ) 3 1. JP DNS Update

All Rights Reserved. Copyright(c)1997 Internet Initiative Japan Inc. 1

システムインテグレータのIPv6対応

コンテンツセントリックネットワーク技術を用いた ストリームデータ配信システムの設計と実装

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

情報通信の基礎

IPアドレス・ドメイン名資源管理の基礎知識

_IPv6summit_nishizuka.pptx

付録

UDPとCBR

DNSSEC の仕組みと現状 平成 22 年 11 月 DNSSEC ジャパン

<4D F736F F D D4D D F54696E E82C A DA91B18B40945C82C982E682E9838A B E8

パブリック6to4リレールータに おけるトラフィックの概略

FUJITSU Software Systemwalker Centric Manager Lite Edition V13.5 機能紹介資料

amplification attacks とは 送信元を偽装した dns query による攻撃 帯域を埋める smurf attacks に類似 攻撃要素は IP spoofing amp 2006/07/14 Copyright (C) 2006 Internet Initiative Jap

November 29, 2016 BGP COMMUNITY の世界動向 吉村知夏 NTT America Internet Week 2016 / Tokyo 1

スライド 1

2.5 トランスポート層 147

【Cosminexus V9】クラウドサービスプラットフォーム Cosminexus

NGN IPv6 ISP接続<トンネル方式>用 アダプタガイドライン概要

付録 2 システムログ一覧 () 攻撃経路 1. ファイアウォール (FW) ネットワーク型 IPS/IDS Web サーバ AP サーバ DB サーバ プロキシサーバ エラーログ SSL ログ AP ログ ホストログ 非 日時 ファイアウォールホスト名 ファイアウォールルール名及び番号 インバウン

DNS誕生日攻撃再び

第1回 ネットワークとは

TinyVPN とブリッジ接続機能による LAN 統合方法 PU-M TinyVPN とブリッジ接続機能による LAN の統合方法 Version 1.7 シモウサ システムズ (C) Shimousa Systems Corporation. All righ

Microsoft PowerPoint - s2-TatsuyaNakano-iw2012nakano_1105 [互換モード]

アライドテレシス・コアスイッチ AT-x900 シリーズ で実現するエンタープライズ・VRRPネットワーク

製品概要

DDoS時代の対外接続

conf_example_260V2_inet_snat.pdf

IPv6トラブルシューティング/家庭ネットワーク/SOHO編

OP2

スライド タイトルなし

IPv6-Trouble-Shooting-Mini

PowerPoint Presentation

スライド 1

Windows Server 2012 と IPv6 IPv6 勉強会代表 MURA

Ethernet OAM の 効果的な利用形態について

学生実験

IIJ Technical WEEK SEILシリーズ開発動向:IPv6対応の現状と未来

DNSSEC最新動向

【公開】村越健哉_ヤフーのIP CLOSネットワーク

Incapsula を選択する理由 高速かつ高コストパフォーマンスのスケーラビリティを実現するクラウド ベースのロードバランサ アプリケーション パフォーマンスを向上させ サーバ負荷を軽減する最適なトラフィック配分 クライアント クラシフィケーションによるボットの特定および標的のリルート 簡単な D

ドメイン ネーム システムの概要

JANOG14-コンバージェンスを重視したMPLSの美味しい使い方

Transcription:

2014/07/18 maz@iij.ad.jp 1

2014/07/18 maz@iij.ad.jp 2

2014/07/18 maz@iij.ad.jp 3

頑張れ IP anycast Matsuzaki maz Yoshinobu <maz@iij.ad.jp> 2014/07/18 maz@iij.ad.jp 4

IP anycast 主にサーバ側で利用する技術 実は単なるunicast 複数箇所に同じIPネットワーク でも ルータは単に宛先に投げてるだけ anycastは状態だと思うのが良いかも ユーザからは anycast のノード数は分からない 1 以上のノードが稼働していればサービスは可能 2014/07/18 maz@iij.ad.jp 5

クライアントとサーバ クライアント クライアント 192.0.2.0/24 2001:db8:2::/64 192.0.2.1 2001:db8:2::1 サーバ 2014/07/18 maz@iij.ad.jp 6

複製したら ほら IP anycast 192.0.2.0/24 2001:db8:2::/64 192.0.2.0/24 2001:db8:2::/64 192.0.2.1 2001:db8:2::1 anycast ノード 192.0.2.1 2001:db8:2::1 anycast ノード 2014/07/18 maz@iij.ad.jp 7

AS 間だと BGP で制御 AS AS BGPで広報 192.0.2.0/24 2001:db8::/32 BGP で広報 192.0.2.0/24 2001:db8::/32 AS AS 192.0.2.1 2001:db8:2::1 192.0.2.1 2001:db8:2::1 2014/07/18 maz@iij.ad.jp 8

AS 内だと適当に制御 AS 192.0.2.0/24 2001:db8:2::/64 192.0.2.0/24 2001:db8:2::/64 192.0.2.1 2001:db8:2::1 192.0.2.1 2001:db8:2::1 2014/07/18 maz@iij.ad.jp 9

AS 内での anycast 制御 unicast の経路制御と同じ手法 矛盾さえ無ければ 何だって使える connected stamc OSPF IS- IS BGPとかとか prefix 長も好きにして良い /32 とか /128 でもいいし /24 とか /64 でも大丈夫 2014/07/18 maz@iij.ad.jp 10

anycast 用アドレスの BGP 経路広報 大きな prefix に含めて広報 PA ブロックとか 専用の prefix だったら そのまま広報 /24 とか /48 とか 2014/07/18 maz@iij.ad.jp 11

普通は管理用の IP アドレスも付けるよ anycast は loopback 運用 別途経路制御が必要 stamc or dynamic 別インタフェースで実装 インタフェースが複数必要 192.0.2.0/24 2001:db8:2::/64 192.0.2.0/24 2001:db8:2::/64 管理用ネットワーク 管理用ネットワーク 2014/07/18 maz@iij.ad.jp 12

IP anycast の嬉しさ 一つの IP アドレスでサーバを地域分散できる 遅延の軽減 負荷分散 攻撃を局所化できる どのノードを利用するかユーザ側で制御できない 他のノードを直接攻撃するのは難しい anycast ノードをそれぞれ独立して運用できる 障害の連鎖とかが少ない 2014/07/18 maz@iij.ad.jp 13

2007/02 root への攻撃時 2014/07/18 maz@iij.ad.jp 14

こんな事にも anycast 使ってました 全ルータの loopback に同じ IP アドレスを追加 connected 経路に見えるので IGPでは広報せず NTPサーバとして参照すると直近ルータが答える tracerouteすると流入点のルータが応答 参照用のNTPサーバを専用に用意して縮退 ユーザの参照用 DNS 直近のノードが応答する ばらまきすぎて効率が悪くなったので縮退 2014/07/18 maz@iij.ad.jp 15

実際の IP anycast 権威 DNS root DNS hyp://www.root- servers.org/ JP DNS hyp://www.dns.jp/ d.dns.jp の事例 hyp://www.iij.ad.jp/company/development/tech/ acmvimes/ddnsjp/ 2014/07/18 maz@iij.ad.jp 16

実際の IP anycast キャッシュ DNS google public DNS hyps://developers.google.com/speed/public- dns/ OpenDNS hyp://www.opendns.com/ 2014/07/18 maz@iij.ad.jp 17

実際の IP anycast CDN CloudFlare hyps://www.cloudflare.com/ Microso` Azure CDN hyp://azure.microso`.com/ja- jp/services/cdn/ [janog:12473] からのスレッドも参照 2014/07/18 maz@iij.ad.jp 18

ノード障害とブラックホール サービス障害時 経路を迂回させるか 該当経路の広報停止や優先度の変更 2001:db8:2::1 2001:db8:2::1 2014/07/18 maz@iij.ad.jp 19

IP anycast 実装の難しさ 監視 生死 コンテンツ サービスの一貫性 サービスと経路制御の連携 経路制御必須 サービス連携が無ければブラックホール化も ノード間での負荷分散 ノード縮退時の再分散も難しい 入りのトラヒック制御が難しいのと同じ トラブルシュート 2014/07/18 maz@iij.ad.jp 20

IP anycast の制限事項 同じクライアントからの通信でも 異なる anycast ノードにパケットが届くかも 経路変動や mulmpath での負荷分散 双方向通信が継続できないかも 途中ルータからは異なるノードに向かうかも Path MTU Discovery が動かないかも anycast ノード - > クライアント方向で大きなパケットの際 その他 ICMP エラーもきちんと受け取れないかも 2014/07/18 maz@iij.ad.jp 21

IP anycast と fragment 便乗攻撃 応答サイズの調整が必須の場合 ICMP パケットを標的が参照している anycast ノードに届ける必要がある IP anycast されていると これが難しい anycast ノード anycast ノード 吸い込まれちゃう ICMP too big ほんとの通信 攻撃者 毒入れ 標的 2014/07/18 maz@iij.ad.jp 22

障害切り分け anycast ノード ISP-B ISP-A local network このそれぞれに IP anycast 故の複雑さが絡む ノード障害 経路障害 パケットフィルタ 2014/07/18 maz@iij.ad.jp 23

ノード特定 anycast ノード ISP-B ISP-A local network traceroute アプリケーションで応答 id.server (l- root の場合 RFC7108) まだ標準手法はなさそう 2014/07/18 maz@iij.ad.jp 24

障害連絡 ユーザ側ではサービスが IP anycast かどうか分からない URL や対象 IP アドレスで障害申告する anycast ノードとしては一意ではない 障害受付側でも サービスやネットワークに関する知識が必要 手元ではうまく動く場合があり 申告したユーザ固有の問題に見えることも 2014/07/18 maz@iij.ad.jp 25

聞いてみたい IP anycast 利用事例 こんな事に使ってる! IP anycast 運用 & 導入悩み 管理とかどうしてる? 心配事がある? IP anycast 利用者の立場 近い事は良いことだ? 困ったときに困る? 2014/07/18 maz@iij.ad.jp 26

おわり 2014/07/18 maz@iij.ad.jp 27

anycast の恐怖 ノードを追加したけど 経路が広報されてなくて anycast に参加してなかった BGP コミュニティ (no- export) で制御していたら 経路が届いていない AS があった 投入したノードのサービスが anycast アドレスを listen してなかった 運用者が anycast を理解してなくて トラブル発生 トラブルシュートできないおまけ付き 2014/07/18 maz@iij.ad.jp 28

監視の課題 リモートからは どの anycast ノードを監視してるか分からない サービスしてるのは anycast 用アドレス リモートから監視できるのは管理用 IP アドレス anycast ノード自身で監視? プロセス監視 ローカルで接続テスト 2014/07/18 maz@iij.ad.jp 29

予備ノード いざって時のためのバックアップ 正副に加えて予備系での冗長化 経路の優先度を落として 日頃見えない 攻撃者からも見えない 困ったら簡単な設定変更でサービス開始 経路優先度の変更 他ノードの停止 2014/07/18 maz@iij.ad.jp 30

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック