狠狠撸

狠狠撸Share a Scribd company logo

JANOG35_搁辞耻迟别搁别蹿濒别肠迟辞谤构成での搁笔碍滨动作検証 20150120

Osamu Kurokochi
Osamu Kurokochi

搁辞耻迟别搁别蹿濒别肠迟辞谤构成での搁笔碍滨动作検証

Internet
1 of 24
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Copyright ? GREE, Inc. All Rights Reserved.Copyright ? GREE, Inc. All Rights Reserved. Route ?Re?ector構成での RPKIの動作検証 インフラストラクチャ本部? データセンターチーム? ?黒河内 ?倫倫
Copyright ? GREE, Inc. All Rights Reserved. 現?行行でているRouter/SwitchなどではRPKIを対応していない機器もある RPKIのためにRouterをリプレースすることは難しい場合もあるため、 Route ?Re?ector構成で集中的に管理理できる?方法がないか検討をする なお現状iBGPでRPKI ?Validationができる機種はJuniper製しかないため、 今回はRouter ?Re?ectorをJuniper製の機器で実装した ※JUNOSの実装上eBGPとiBGPを区別していないだけで、特に ? iBGPでのValidationを意識識した実装というわけではないと予想される 背景
Copyright ? GREE, Inc. All Rights Reserved. 基本情報
Copyright ? GREE, Inc. All Rights Reserved. 基本ネットワーク構成 AS65513(Origin ?AS) AS65511 AS65514(Origin ?AS) RouteRe?ecter01(Juniper ?M7i) 192.168.128.50/24 ROA ?Server 192.168.128.1/24 Validation 10.14.0.0/1610.13.0.0/16 Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 RouteRe?ecter01(RR01) ?RR-‐??Clientに返す際に以下のCommunityをつけて送付 ? ?Valid ?65535:3 ? ?Not-‐??found ?65535:2 ? ?Invalid ?65535:1 Router01,02 ?RR01から受け取ったCommunityを元に ?以下の通りLP値を変更更 ? ?Valid ?150 ? ?Not-‐??found ?100 ? ?Invalid ?50 AS65515(Origin ?AS) 10.15.0.0/24 Router05 ?192.168.128.15/24
Copyright ? GREE, Inc. All Rights Reserved. 物理理結線図 VMware ?ESXi ?サーバ RouterRe?ecter2 (CSR1000v) Router02 (CSR1000v) Router05 (CSR1000v) Router03 (CSR1000v) RouteRe?ecter1(Juniper ?M7i) ROA ?Server Router04 (CSR1000v) 192.168.128.0/24 Router01 (CSR1000v) 機材提供:JPNIC様 OS ?Juniper ?M7i ?: ?JUNOS ?12.3R8.7 ?CSR1000v ?: ?IOS-‐??XE ?15.4
Copyright ? GREE, Inc. All Rights Reserved. Prefix MaxLengeth AS-Number 10.12.0.0/16 24 AS65512 10.13.0.0/16 24 AS65513 10.14.0.0/16 24 AS65514 10.15.0.0/16 24 AS65515 ROA情報 IPアドレスの2オクテット目とAS-Numberの下二桁が同じである
Copyright ? GREE, Inc. All Rights Reserved. 検証
Copyright ? GREE, Inc. All Rights Reserved. 検証1(Invalid経路路の送付) AS65512(Mis ?Originated ?AS) AS65511 AS65514(Origin ?AS) Validation 10.14.0.0/16 10.13.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 AS65512で広報する経路路を、誤った経路路に設定しRRでValidationできるか確認する RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24
Copyright ? GREE, Inc. All Rights Reserved. できた! 問題なくRouteReflector01にてValidationができ、 ?Client(Router01,02)側でもLPを変更がされてBestPathを選択できている
Copyright ? GREE, Inc. All Rights Reserved. 検証2(Invalid経路路とBest ?Path ?Selection) AS65512(Mis ?Originated ?AS) AS65511 10.14.0.0/16 10.14.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 Validation AS65512で広報する経路路を、AS65514の経路路に設定しRRでValidationできるか確認する またその際に、Router01で10.14.0.0/16のBest ?PathがAS65514となるか AS65514(Origin ?AS) RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24
Copyright ? GREE, Inc. All Rights Reserved. できた! 問題なくRouteReflector01にてValidationができ、 ?Client(Router01,02)側でもLPを変更がされBestPathを選択できている 10.14.0.0/16のNexthopが192.168.128.14@AS65514になり、 ?期待通りの動作となっている
Copyright ? GREE, Inc. All Rights Reserved. 検証3(Longest ?Match) AS65512(Origin ?AS) AS65511 AS65514(Origin ?AS) 10.14.0.0/1610.12.0.0/16 Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 AS65515(Mis ?Originated ?AS) 10.14.0.0/24 ※MisOriginPre?x Router05 ?192.168.128.15/24 RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24 Validation AS65515で広報する経路路を、AS65514の経路路に設定を?行行い、更更に?小さいサブネットに設定 この場合RR01でValidationできるか、またRouter01でAS65514をBestPathに選択できるか
Copyright ? GREE, Inc. All Rights Reserved. できない 10.14.0.0/16@AS65514がRouteReflector01まで伝搬しない 理由としては、Router02がBestPathを選択してから ?RouteReflector01に経路広告をしている そもそもRouter02内のLongestMatchで正しい経路である ?10.14.0.0/24が負けてしまっているため、この様な事象になっている
Copyright ? GREE, Inc. All Rights Reserved. 検証4(RR2台構成) AS65512(Mis ?Originated ?AS) AS65511 AS65514(Origin ?AS) RouteRe?ecter01 192.168.128.50/24 ROA ?Server 192.168.128.1/24 Validation 10.14.0.0/16 10.13.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 ?片側のRouter ?Re?ectorのみRPKIが動作していている状況で RouteRe?ecter02 192.168.128.16/24
Copyright ? GREE, Inc. All Rights Reserved. できるけど、 ??やめたほうがいい Router01,02の経路情報は、Route Reflector01からの経路は ?ValidationされたCommunityを受け取り、Route Reflector02からは ??通常の経路情報で伝搬されている ただし、そもそも同一AS内でRouteReflectorが2台があった場合は、 ?同じPolicyで運用しないと事故が起きる可能性が高い
Copyright ? GREE, Inc. All Rights Reserved. 考察
Copyright ? GREE, Inc. All Rights Reserved. Route ?Re?ectorでのiBGPでのValidation?自体は可能 ※前提としてはiBGPでValidation可能なJuniperのみ ただしBGPの特性上、同?一AS上の経路路については BestPathのみ広報されるため、?一つのRouterに同?一経路路で複数の Pathがある場合は、Validになるはずの経路路がRouter ?Re?ectorまで 届かない ADD-‐??PathやBGP-‐??Confederationを利利?用すれば、可能かもしれないが 今回は機器や時間の関係上、そこまではできなかった
Copyright ? GREE, Inc. All Rights Reserved. まとめ
Copyright ? GREE, Inc. All Rights Reserved. 現在のところはASBR(eBGP)側でValidationを?行行うことが、 ? 無難な実装?方法であると考える iBGPでの実装も可能ではあるものの、対応機器も限定的であり、 ? かつ内部の構成も複雑化させなければならないケースもある ただし、RPKIの普及促進や経路路の集中管理理を考えた場合、 ? Route ?Re?ectorでの集中管理理ができた?方が良良いこともあると思う 全体として
Copyright ? GREE, Inc. All Rights Reserved. ただし、すべてのEndのASのすべてのASBRで ? ? ? ? Validationを実装することは、おそらく難しいと思われる そのため、TransitやIXなど上位の接続となるキャリアが ? ? ? ? Validationした結果を、接続先のASに伝えることが望ましい IXの場合はRoute ?Serverを利利?用した経路路伝搬をサポートすればよい ※個別のPeeringで実装していくことは難しいだろう 提供?方法としてはValidationした結果を ? ? ? ? BGP-‐??Communityで送付するのが現実的であろう Internet上のどこでValidationすべきか?
Copyright ? GREE, Inc. All Rights Reserved. ?非常に限定的ではあるが、以下の構成を実装することで ? ? Route ?Re?ector構成でもValidationを実装することは可能である 1. ?ASBRにてすべての経路路をRoute ?Re?ectorに送信できる仕組みにする ? ? ext) ?1Routerに1Transitだけを収容し、 ? ? ? ? ? ? ASBRでBest ?Path ?Selectionをさせないなど 2. ?Route ?Re?ectorにはiBGPでValidation可能な ? ? ? ? ? ? ? ? ? ? ? ? ? Juniper製の機器を選定する ? ? ただし今後のJunosの仕様?方針によっては ? ? ? ? iBGPでのValidationができなくなる可能性もある 仮にRoute ?Re?ector構成でValidationを実装する場合
Copyright ? GREE, Inc. All Rights Reserved. 最後に
Copyright ? GREE, Inc. All Rights Reserved. インターネットマルチフィード株式会社?  ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 川上 ?雄也さん ?一般社団法?人?日本ネットワークインフォメーションセンター?  ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 岡?田 ?雅之さん 今回の検証にご協?力力いただいた?方 ご協?力力ありがとうございました
Copyright ? GREE, Inc. All Rights Reserved.
Ad

Recommended

JANOG35_搁笔碍滨やってみませんか? 20150120
JANOG35_搁笔碍滨やってみませんか? 20150120
Osamu Kurokochi
?
ハイフ?リット?クラウト?活用セミナー 20141208
ハイフ?リット?クラウト?活用セミナー 20141208
Osamu Kurokochi
?
show コマンド結果をパースする方法あれこれ #npstudy
show コマンド結果をパースする方法あれこれ #npstudy
akira6592
?
ネットワークコンフィグ分析ツール Batfish との付き合い方
ネットワークコンフィグ分析ツール Batfish との付き合い方
akira6592
?
搁笔碍滨やってみませんか?
搁笔碍滨やってみませんか?
gree_tech
?
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
20150228 OSC2015 Tokyo/Spring サンプルコードで理解するアプリケーションのIPv6対応
v6app
?
私たちは搁贰厂罢颁翱狈贵でネットワーク自动化的に何が嬉しくなるのか考えてみた
私たちは搁贰厂罢颁翱狈贵でネットワーク自动化的に何が嬉しくなるのか考えてみた
akira6592
?
Internet week2013 ソーシャルフ?ラットフォーム開発設計秘話nw編_20131114
Internet week2013 ソーシャルフ?ラットフォーム開発設計秘話nw編_20131114
Osamu Kurokochi
?
BMP活用による SDN時代のオーバレイNW監視手法の提案
BMP活用による SDN時代のオーバレイNW監視手法の提案
Toshiki Tsuboi
?
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
Toshiki Tsuboi
?
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
wind06106
?
自宅ラック勉强会#3
自宅ラック勉强会#3
hikari1019
?
Technical report for IPv6 Routing w/ bgp4+
Technical report for IPv6 Routing w/ bgp4+
Toshiki Tsuboi
?
SDN Lab環境でのRobotFramework実践活用
SDN Lab環境でのRobotFramework実践活用
Toshiki Tsuboi
?
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
npsg
?
2015-ShowNet-RPKI/PTP
2015-ShowNet-RPKI/PTP
Interop Tokyo ShowNet NOC Team
?
AWS Direct Connect フェイルオーバーテストやってみた
AWS Direct Connect フェイルオーバーテストやってみた
Sho Takahashi
?
Technical report for IPv6 Routing w/ bgp4+ (part2)
Technical report for IPv6 Routing w/ bgp4+ (part2)
Toshiki Tsuboi
?
RENAT - ネットワーク検証自動化
RENAT - ネットワーク検証自動化
HuuBachNguyen
?
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
Takashi Sogabe
?
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
Yasuhiro Araki, Ph.D
?
ルーティングチュートリアル - AS間経路制御
ルーティングチュートリアル - AS間経路制御
Shintaro Kojima
?
kibayos ieice 090915
kibayos ieice 090915
Mikio Yoshida
?
RIFT A new routing protocol for IP fabrics
RIFT A new routing protocol for IP fabrics
Masayuki Kobayashi
?
wakamonog6 Routing Tutorial
wakamonog6 Routing Tutorial
Naohide Kamitani
?
Open contrail days 2014 fall
Open contrail days 2014 fall
Daisuke Nakajima
?
自宅ラック勉强会资料
自宅ラック勉强会资料
Razzan Zhang
?

More Related Content

Similar to JANOG35_搁辞耻迟别搁别蹿濒别肠迟辞谤构成での搁笔碍滨动作検証 20150120 (19)

BMP活用による SDN時代のオーバレイNW監視手法の提案
BMP活用による SDN時代のオーバレイNW監視手法の提案
Toshiki Tsuboi
?
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
Toshiki Tsuboi
?
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
wind06106
?
自宅ラック勉强会#3
自宅ラック勉强会#3
hikari1019
?
Technical report for IPv6 Routing w/ bgp4+
Technical report for IPv6 Routing w/ bgp4+
Toshiki Tsuboi
?
SDN Lab環境でのRobotFramework実践活用
SDN Lab環境でのRobotFramework実践活用
Toshiki Tsuboi
?
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
npsg
?
2015-ShowNet-RPKI/PTP
2015-ShowNet-RPKI/PTP
Interop Tokyo ShowNet NOC Team
?
AWS Direct Connect フェイルオーバーテストやってみた
AWS Direct Connect フェイルオーバーテストやってみた
Sho Takahashi
?
Technical report for IPv6 Routing w/ bgp4+ (part2)
Technical report for IPv6 Routing w/ bgp4+ (part2)
Toshiki Tsuboi
?
RENAT - ネットワーク検証自動化
RENAT - ネットワーク検証自動化
HuuBachNguyen
?
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
Takashi Sogabe
?
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
Yasuhiro Araki, Ph.D
?
ルーティングチュートリアル - AS間経路制御
ルーティングチュートリアル - AS間経路制御
Shintaro Kojima
?
kibayos ieice 090915
kibayos ieice 090915
Mikio Yoshida
?
RIFT A new routing protocol for IP fabrics
RIFT A new routing protocol for IP fabrics
Masayuki Kobayashi
?
wakamonog6 Routing Tutorial
wakamonog6 Routing Tutorial
Naohide Kamitani
?
Open contrail days 2014 fall
Open contrail days 2014 fall
Daisuke Nakajima
?
自宅ラック勉强会资料
自宅ラック勉强会资料
Razzan Zhang
?
BMP活用による SDN時代のオーバレイNW監視手法の提案
BMP活用による SDN時代のオーバレイNW監視手法の提案
Toshiki Tsuboi
?
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
叠骋笔/惭笔尝厂-痴笔狈のお勉强资料
Toshiki Tsuboi
?
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
厂颁鲍骋闯第19回勉强会:搁础厂骋奥となにかでつないでみた
wind06106
?
自宅ラック勉强会#3
自宅ラック勉强会#3
hikari1019
?
Technical report for IPv6 Routing w/ bgp4+
Technical report for IPv6 Routing w/ bgp4+
Toshiki Tsuboi
?
SDN Lab環境でのRobotFramework実践活用
SDN Lab環境でのRobotFramework実践活用
Toshiki Tsuboi
?
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
WAN SDN 実践入門! ~ OpenDayLightのPCEP/BGPに触れてみる ~
npsg
?
2015-ShowNet-RPKI/PTP
2015-ShowNet-RPKI/PTP
Interop Tokyo ShowNet NOC Team
?
AWS Direct Connect フェイルオーバーテストやってみた
AWS Direct Connect フェイルオーバーテストやってみた
Sho Takahashi
?
Technical report for IPv6 Routing w/ bgp4+ (part2)
Technical report for IPv6 Routing w/ bgp4+ (part2)
Toshiki Tsuboi
?
RENAT - ネットワーク検証自動化
RENAT - ネットワーク検証自動化
HuuBachNguyen
?
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
OpenStack + OpenContrailで実現するマルチテナントIaaSのご紹介
Takashi Sogabe
?
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
ほしいプロトコルはトンネルすればいいじゃない at JAWS DAYS 2014 Tech Deep Dive
Yasuhiro Araki, Ph.D
?
ルーティングチュートリアル - AS間経路制御
ルーティングチュートリアル - AS間経路制御
Shintaro Kojima
?
kibayos ieice 090915
kibayos ieice 090915
Mikio Yoshida
?
RIFT A new routing protocol for IP fabrics
RIFT A new routing protocol for IP fabrics
Masayuki Kobayashi
?
wakamonog6 Routing Tutorial
wakamonog6 Routing Tutorial
Naohide Kamitani
?
Open contrail days 2014 fall
Open contrail days 2014 fall
Daisuke Nakajima
?
自宅ラック勉强会资料
自宅ラック勉强会资料
Razzan Zhang
?

JANOG35_搁辞耻迟别搁别蹿濒别肠迟辞谤构成での搁笔碍滨动作検証 20150120

  • 1. Copyright ? GREE, Inc. All Rights Reserved.Copyright ? GREE, Inc. All Rights Reserved. Route ?Re?ector構成での RPKIの動作検証 インフラストラクチャ本部? データセンターチーム? ?黒河内 ?倫倫
  • 2. Copyright ? GREE, Inc. All Rights Reserved. 現?行行でているRouter/SwitchなどではRPKIを対応していない機器もある RPKIのためにRouterをリプレースすることは難しい場合もあるため、 Route ?Re?ector構成で集中的に管理理できる?方法がないか検討をする なお現状iBGPでRPKI ?Validationができる機種はJuniper製しかないため、 今回はRouter ?Re?ectorをJuniper製の機器で実装した ※JUNOSの実装上eBGPとiBGPを区別していないだけで、特に ? iBGPでのValidationを意識識した実装というわけではないと予想される 背景
  • 3. Copyright ? GREE, Inc. All Rights Reserved. 基本情報
  • 4. Copyright ? GREE, Inc. All Rights Reserved. 基本ネットワーク構成 AS65513(Origin ?AS) AS65511 AS65514(Origin ?AS) RouteRe?ecter01(Juniper ?M7i) 192.168.128.50/24 ROA ?Server 192.168.128.1/24 Validation 10.14.0.0/1610.13.0.0/16 Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 RouteRe?ecter01(RR01) ?RR-‐??Clientに返す際に以下のCommunityをつけて送付 ? ?Valid ?65535:3 ? ?Not-‐??found ?65535:2 ? ?Invalid ?65535:1 Router01,02 ?RR01から受け取ったCommunityを元に ?以下の通りLP値を変更更 ? ?Valid ?150 ? ?Not-‐??found ?100 ? ?Invalid ?50 AS65515(Origin ?AS) 10.15.0.0/24 Router05 ?192.168.128.15/24
  • 5. Copyright ? GREE, Inc. All Rights Reserved. 物理理結線図 VMware ?ESXi ?サーバ RouterRe?ecter2 (CSR1000v) Router02 (CSR1000v) Router05 (CSR1000v) Router03 (CSR1000v) RouteRe?ecter1(Juniper ?M7i) ROA ?Server Router04 (CSR1000v) 192.168.128.0/24 Router01 (CSR1000v) 機材提供:JPNIC様 OS ?Juniper ?M7i ?: ?JUNOS ?12.3R8.7 ?CSR1000v ?: ?IOS-‐??XE ?15.4
  • 6. Copyright ? GREE, Inc. All Rights Reserved. Prefix MaxLengeth AS-Number 10.12.0.0/16 24 AS65512 10.13.0.0/16 24 AS65513 10.14.0.0/16 24 AS65514 10.15.0.0/16 24 AS65515 ROA情報 IPアドレスの2オクテット目とAS-Numberの下二桁が同じである
  • 7. Copyright ? GREE, Inc. All Rights Reserved. 検証
  • 8. Copyright ? GREE, Inc. All Rights Reserved. 検証1(Invalid経路路の送付) AS65512(Mis ?Originated ?AS) AS65511 AS65514(Origin ?AS) Validation 10.14.0.0/16 10.13.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 AS65512で広報する経路路を、誤った経路路に設定しRRでValidationできるか確認する RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24
  • 9. Copyright ? GREE, Inc. All Rights Reserved. できた! 問題なくRouteReflector01にてValidationができ、 ?Client(Router01,02)側でもLPを変更がされてBestPathを選択できている
  • 10. Copyright ? GREE, Inc. All Rights Reserved. 検証2(Invalid経路路とBest ?Path ?Selection) AS65512(Mis ?Originated ?AS) AS65511 10.14.0.0/16 10.14.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 Validation AS65512で広報する経路路を、AS65514の経路路に設定しRRでValidationできるか確認する またその際に、Router01で10.14.0.0/16のBest ?PathがAS65514となるか AS65514(Origin ?AS) RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24
  • 11. Copyright ? GREE, Inc. All Rights Reserved. できた! 問題なくRouteReflector01にてValidationができ、 ?Client(Router01,02)側でもLPを変更がされBestPathを選択できている 10.14.0.0/16のNexthopが192.168.128.14@AS65514になり、 ?期待通りの動作となっている
  • 12. Copyright ? GREE, Inc. All Rights Reserved. 検証3(Longest ?Match) AS65512(Origin ?AS) AS65511 AS65514(Origin ?AS) 10.14.0.0/1610.12.0.0/16 Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 AS65515(Mis ?Originated ?AS) 10.14.0.0/24 ※MisOriginPre?x Router05 ?192.168.128.15/24 RouteRe?ecter01 ?192.168.128.50/24 ROA ?Server ?192.168.128.1/24 Validation AS65515で広報する経路路を、AS65514の経路路に設定を?行行い、更更に?小さいサブネットに設定 この場合RR01でValidationできるか、またRouter01でAS65514をBestPathに選択できるか
  • 13. Copyright ? GREE, Inc. All Rights Reserved. できない 10.14.0.0/16@AS65514がRouteReflector01まで伝搬しない 理由としては、Router02がBestPathを選択してから ?RouteReflector01に経路広告をしている そもそもRouter02内のLongestMatchで正しい経路である ?10.14.0.0/24が負けてしまっているため、この様な事象になっている
  • 14. Copyright ? GREE, Inc. All Rights Reserved. 検証4(RR2台構成) AS65512(Mis ?Originated ?AS) AS65511 AS65514(Origin ?AS) RouteRe?ecter01 192.168.128.50/24 ROA ?Server 192.168.128.1/24 Validation 10.14.0.0/16 10.13.0.0/16 ※MisOriginPre?x Router03 ?192.168.128.13/24 Router04 ?192.168.128.14/24 Router02 ?192.168.128.12/24 Router01 ?192.168.128.11/24 ?片側のRouter ?Re?ectorのみRPKIが動作していている状況で RouteRe?ecter02 192.168.128.16/24
  • 15. Copyright ? GREE, Inc. All Rights Reserved. できるけど、 ??やめたほうがいい Router01,02の経路情報は、Route Reflector01からの経路は ?ValidationされたCommunityを受け取り、Route Reflector02からは ??通常の経路情報で伝搬されている ただし、そもそも同一AS内でRouteReflectorが2台があった場合は、 ?同じPolicyで運用しないと事故が起きる可能性が高い
  • 16. Copyright ? GREE, Inc. All Rights Reserved. 考察
  • 17. Copyright ? GREE, Inc. All Rights Reserved. Route ?Re?ectorでのiBGPでのValidation?自体は可能 ※前提としてはiBGPでValidation可能なJuniperのみ ただしBGPの特性上、同?一AS上の経路路については BestPathのみ広報されるため、?一つのRouterに同?一経路路で複数の Pathがある場合は、Validになるはずの経路路がRouter ?Re?ectorまで 届かない ADD-‐??PathやBGP-‐??Confederationを利利?用すれば、可能かもしれないが 今回は機器や時間の関係上、そこまではできなかった
  • 18. Copyright ? GREE, Inc. All Rights Reserved. まとめ
  • 19. Copyright ? GREE, Inc. All Rights Reserved. 現在のところはASBR(eBGP)側でValidationを?行行うことが、 ? 無難な実装?方法であると考える iBGPでの実装も可能ではあるものの、対応機器も限定的であり、 ? かつ内部の構成も複雑化させなければならないケースもある ただし、RPKIの普及促進や経路路の集中管理理を考えた場合、 ? Route ?Re?ectorでの集中管理理ができた?方が良良いこともあると思う 全体として
  • 20. Copyright ? GREE, Inc. All Rights Reserved. ただし、すべてのEndのASのすべてのASBRで ? ? ? ? Validationを実装することは、おそらく難しいと思われる そのため、TransitやIXなど上位の接続となるキャリアが ? ? ? ? Validationした結果を、接続先のASに伝えることが望ましい IXの場合はRoute ?Serverを利利?用した経路路伝搬をサポートすればよい ※個別のPeeringで実装していくことは難しいだろう 提供?方法としてはValidationした結果を ? ? ? ? BGP-‐??Communityで送付するのが現実的であろう Internet上のどこでValidationすべきか?
  • 21. Copyright ? GREE, Inc. All Rights Reserved. ?非常に限定的ではあるが、以下の構成を実装することで ? ? Route ?Re?ector構成でもValidationを実装することは可能である 1. ?ASBRにてすべての経路路をRoute ?Re?ectorに送信できる仕組みにする ? ? ext) ?1Routerに1Transitだけを収容し、 ? ? ? ? ? ? ASBRでBest ?Path ?Selectionをさせないなど 2. ?Route ?Re?ectorにはiBGPでValidation可能な ? ? ? ? ? ? ? ? ? ? ? ? ? Juniper製の機器を選定する ? ? ただし今後のJunosの仕様?方針によっては ? ? ? ? iBGPでのValidationができなくなる可能性もある 仮にRoute ?Re?ector構成でValidationを実装する場合
  • 22. Copyright ? GREE, Inc. All Rights Reserved. 最後に
  • 23. Copyright ? GREE, Inc. All Rights Reserved. インターネットマルチフィード株式会社?  ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 川上 ?雄也さん ?一般社団法?人?日本ネットワークインフォメーションセンター?  ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 岡?田 ?雅之さん 今回の検証にご協?力力いただいた?方 ご協?力力ありがとうございました
  • 24. Copyright ? GREE, Inc. All Rights Reserved.
About
? 2025 狠狠撸