4octet-AS対策

4octet-AS ops
2007.1.21
Tomoya Yoshida
<[email protected]>
背景と目的
• 最近4octet-ASのAS_PATH UPDATEが日本国
内でも流通しはじめた
– 自分が2octetの場合どう対処すべきか?
– 自分が4octetの場合どう対処すべきか?
– Transit ASではどう対処したらよいか
• 標準的な対応方法や注意事項をまとめよう
– 出来上がったらJANOGのwebにUP
• 他、付随する問題があれば明らかにする
2008/1/21
[email protected]
2
ドキュメントの構成
• TBD
• まず今回はポイントを整理してみました。。
2008/1/21
[email protected]
3
4octet-ASの基本
•
•
•
•
•
2octetとの違い
AS_TRANS
追加のattribute
ポリシー
他
2008/1/21
[email protected]
4
登場人物と確認ポイント
• このあたりが網羅出来ているとよさそう
IRR
transit
AS2.0
AS100_OUT
AS100
AS200_IN
AS2.0_OUT
AS100_IN
peer
AS200
2008/1/21
[email protected]
5
割振り動向
http://www.potaroo.net/tools/asn32/
2008/1/21
[email protected]
6
ポリシー動向(JPNIC)
• http://www.nic.ad.jp/ja/ip/asnumber.html
• ~2007年3月6日
– 2バイト空間から割り当てます。
• 2007年3月7日~2008年12月
– 原則として2バイト空間(0 – 65535)から割り当て、特に希望がある場
合には4バイト空間(1.0 - 65535.65535)から割り当てます。
• 2009年1月~2009年12月
– 原則として4バイト空間(1.0 - 65535.65535)割り当て、特に希望がある
場合には2バイト空間(0 – 65535)から割り当てます。
• 2010年1月~
– 2バイト空間、4バイト空間のどちらからも区別なく割り当てます。
2008/1/21
[email protected]
7
4octet ASな人の対応
1.
IRRに登録
– Route
– AS-Set
– AS
隣接AS同士のフィルタ更新
2.
– AS_PATH
– Prefix
3.
2008/1/21
広報経路の確認
[email protected]
8
1. IRRに登録
• AS2.0で登録
– Route、AS-Set、AS
• AS23456でも登録?
– Route、AS-Set
– AS Objectは4octetのみで登録かな?
移行段階では、Transit AS 等がFilterを作成す
際や、一般に経路確認時に両ASで見える必要
がありそう
2008/1/21
[email protected]
9
IRRへの登録状況
• 検討する前にまずは現状を軽くみてみる
2008/1/21
[email protected]
10
IRRへの登録例1
route: 196.1.15.0/24
descr: Afrinic 32bit ASN test c/o Internet Solutions (Pty) Ltd (South Africa)
origin: AS23456
mnt-by: MAINT-AS3741
changed: [email protected] 20070914
source: RADB
route:
196.1.15.0/24
descr:
AFRINIC 4-btye ASN testing prefix
origin:
AS5.1
mnt-by:
AAP-MNT
changed:
[email protected] 20070917
source:
RIPE
2008/1/21
[email protected]
11
IRRへの登録例2
route:
descr:
59.106.254.0/24
SAKURA-D
SAKURA Internet
origin: AS23456
notify: [email protected]
mnt-by: MAINT-AS7684
changed: [email protected] 20071226
source: JPIRR
route:
descr:
59.106.254.0/24
SAKURA-D
SAKURA Internet
origin:
AS23456
notify:
[email protected]
mnt-by:
MAINT-AS7684
changed: [email protected] 20071226
source:
RADB
2008/1/21
[email protected]
12
IRRへの登録例3
aut-num: AS2.3
as-name: NTT-FBNET
descr:
Nippon Telegraph and Telephone Corporation PF Labs.,
descr:
laboratory network
country: JP
import:
from AS4710
accept ANY
import:
from AS4697
accept ANY
export:
to AS4710
announce AS2.3
export:
to AS4697
announce AS2.3
admin-c: TF79-AP
tech-c:
TF79-AP
notify:
[email protected]
mnt-routes: MAINT-JP-NTTECL-JP
mnt-by:
MAINT-JP-NTTECL-JP
changed: [email protected] 20070205
source:
APNIC
2008/1/21
[email protected]
13
IRRへの登録例4
aut-num:
AS23456
as-name:
RESERVED-AS
descr:
assigned by IANA http://www.iana.org/assignments/as-numbers
descr:
see http://www.ietf.org/internet-drafts/draft-ietf-idr-as4bytes-13.txt
org:
ORG-IANA1-RIPE
admin-c:
RFC1918-RIPE
tech-c:
RFC1918-RIPE
mnt-by:
RIPE-NCC-HM-MNT
changed:
[email protected] 20070328
source:
RIPE
2008/1/21
[email protected]
14
AS2.0はどう対応する?
(まずは、route objectで考えてみる)
IRRが4octet未対応
2octet
の人
①
IRRが4octet対応済
問題:4octetが記述できない
③
AS23456で記述するが、
本当のorigin ASがわからない
2octetの人にAS23456と認識されない
対処案
1. ツールで変換対応
2. description等にAS23456を記述する
3. Route ObjectをAS23456でも作成
対処案
1. description等に4octet-ASを書く
2. attributeを新規に定義する
4octet
の人
②
問題:4octetが記述できない
④
対処案
1. description等に4octet-ASを書く
+ ツールで4octet-ASを参照
2008/1/21
問題:AS23456を記述しない
[email protected]
問題:基本的には無し
対処案
1. ツールが4octet-AS対応済みならOK
15
パターン①(IRR:2、BGP:2)
• 問題
– 4octet_ASがIRRに記述出来ない
• 本質
– AS23456を記述するが、本当のorigin ASがわから
ない
• 対処案
1. description等に4octet-ASを書く
2. attributeを新規に作ってそこに書く
→現実的には1.
2008/1/21
[email protected]
16
パターン②(IRR:2、BGP:4)
• 問題
– 4octet_ASがIRRに記述出来ない
• 対処案
1. description等に4octet-ASを書く。プラスツールで
4octet-ASを参照できるようにする
2008/1/21
[email protected]
17
パターン③(IRR:4、BGP:2)
• 問題
– AS23456を記述しない
• 本質
– 2octet_ASの人にAS23456と認識されない
• 対処案
1. ツールで変換対応
2. description等にAS23456を記述する
3. Route ObjectをAS23456でも作成
2008/1/21
[email protected]
18
パターン④(IRR:4、BGP:4)
• 問題
– 特に無し
– 4octetの人用にツールが対応していればOK
2008/1/21
[email protected]
19
AS2.0の対応方法
IRRが4octet未対応
2octet
の人
①
IRRが4octet対応済
問題:4octetが記述できない
③
AS23456で記述するが、
本当のoriginがわからない
2octetの人にAS23456と認識されない
対処案
1. ツールで変換対応
2. description等にAS23456を記述する
3. Route ObjectをAS23456でも作成
対処案
1. description等に4octet-ASを書く
2. attributeを新規に定義する
4octet
の人
②
問題:4octetが記述できない
④
対処案
1. description等に4octet-ASを書く
+ ツールで4octet-ASを参照
2008/1/21
問題:AS23456を記述しない
[email protected]
問題:基本的には無し
1. ツールが4octet-AS対応済みならOK
20
他IRR関連事項
• \!gas23456
– 不必要に沢山参照してしまう可能性があるので
(可能性があるというか、ミラーで参照できる状態
であれば、確実にひっぱってくる)注意が必要
• 4octet AS対応IRR
– RIPE、APNIC
– JPIRRはコンパイルは通った!近々対応予定?
2008/1/21
[email protected]
21
2. 隣接AS同士のフィルタ更新
• AS_PATH UPDATE
– 自分が4octet AS holderの場合は、以下の2つのイメージでUPDATEを
促す可能性がある(最低限1は必要)。
– 1. ^(AS2.0_)+$
– 2. ^(AS23456_)+$
– 受信側は4octet ASで受信するなら1.で対応、2octetで受信するなら2.
で対応する必要がある
– さらに他に広告する場合には、以下のようなイメージのUPDATEが必
要になってくると想定される(最低限1は必要)。
– 1. ^(AS100_)+(AS2.0_)+$
– 2. ^(AS100_)+(AS23456_)+$
– 受信時に単純にAS23456で管理すると、他の人にAS2.0を伝播できな
くなるので要注意
2008/1/21
[email protected]
22
現状のTransit ASの対応
1. 某AS-A
– ASパスの中の4バイトASの部分につきましてはそのまま"2.0"のように
記述をして頂くようお願いいたします。(23456と書き換えて頂く必要
はございません。)
2. 某AS-B
– 通常のAS番号と同じ表記でお願いいたします。今回の場合、下記の
ように表記していただけますでしょうか。
– ^(100_)+(2.0_)+$
3. 某AS-C
– 弊社では4byteのままでのトランジットが出来ませんのでAS23456とし
て通常のAS-PATH更新依頼と同様の形でご連絡頂きます様よろしくお
願いいたします。 # これまずいんじゃない?
2008/1/21
[email protected]
23
2. 隣接AS同士のフィルタ更新
• Prefix UPDATE
– NLRIが異ならない限りは、1つで問題なし
2008/1/21
[email protected]
24
3. 経路確認
• RIPE NCCのRIS - Looking Glass
– http://www.ris.ripe.net/cgi-bin/lg/index.cgi
– 4octet AS対応済み
• その他、2octetなところで確認すると、
AS23456と表示される。
2008/1/21
[email protected]
25
RIPEのLooking Glass例(4octet対応)
BGP routing table entry for 59.106.254.0/24
Paths: (11 available, best #7, table Default-IP-Routing-Table)
Advertised to non peer-group peers:
195.28.164.125 203.119.0.116
3741 2516 9370 2.8
168.209.255.2 from 168.209.255.2 (168.209.255.25)
Origin IGP, localpref 100, valid, external
Last update: Mon Jan 21 01:02:48 2008
4608 1221 4637 2497 9370 2.8
202.12.29.64 from 202.12.29.64 (202.12.29.79)
Origin IGP, localpref 100, valid, external
Last update: Sat Jan 19 00:34:18 2008
2008/1/21
[email protected]
26
Level3のLooking Glass例(4octet未対応)
BGP routing table entry for 59.106.254.0/24
Paths: (2 available, best #1)
2516 9370 23456
AS-path translation: { APNIC-AS-X-BLOCK APNIC-AS-3-BLOCK IANA-ASTRANS }
hsa4.SanJose1 (metric 3729)
Origin IGP, metric 500, localpref 100, valid, internal, best
Community: North_America Lclprf_100 Level3_Customer United_States San_Jose
Originator: hsa4.SanJose1
2516 9370 23456
AS-path translation: { APNIC-AS-X-BLOCK APNIC-AS-3-BLOCK IANA-ASTRANS }
hsa4.SanJose1 (metric 3729)
Origin IGP, metric 500, localpref 100, valid, internal
Community: North_America Lclprf_100 Level3_Customer United_States San_Jose
Originator: hsa4.SanJose1
2008/1/21
[email protected]
27
経路到達性の確認
• 4octetで広報しているPrefixについて
– 到達性のないASは無いか?
– 2octetで広報しているPrefixとAS-PATHの違う経路
がないか?
• Route Viewsなどで、くまなくチェック
2008/1/21
[email protected]
28
伝播イメージ
通常のケース
観測AS
あるAS
あるAS
4octetの経路広報
2008/1/21
2octetの経路広報
[email protected]
29
伝播イメージ
フィルタが入っているケース
2octetの経路と
4octetの経路でAS-PATHが異なる
観測AS
←フィルタ
あるAS
あるAS
4octetの経路広報
2008/1/21
2octetの経路広報
[email protected]
30
伝播イメージ
伝わらないケース
観測AS
2octetの経路は見えるが、
4octetの経路が見えない
フィルタ→
←フィルタ
あるAS
あるAS
4octetの経路広報
2008/1/21
2octetの経路広報
[email protected]
31
実際の例
2octet-ASと4octet-ASで広報している経路が同じAS-PATH
2octet-AS (59.106.0.0/16)
3333 3356 2516 9370
193.0.0.56 from 193.0.0.56 (193.0.0.56)
Origin IGP, localpref 100, valid, external
2828 2516 9370
65.106.7.139 from 65.106.7.139 (66.239.189.139)
Origin IGP, metric 3, localpref 100, valid, external
4octet-AS (59.106.254.0/24)
3333 3356 2516 9370 23456
193.0.0.56 from 193.0.0.56 (193.0.0.56)
Origin IGP, localpref 100, valid, external
2828 2516 9370 23456
65.106.7.139 from 65.106.7.139 (66.239.189.139)
Origin IGP, metric 3, localpref 100, valid, external
2008/1/21
[email protected]
32
実際の例
2octet-ASのみでしか表示されないAS-PATH
2octet-AS (59.106.0.0/16)
3303 15412 9370
164.128.32.11 from 164.128.32.11 (164.128.32.11)
Origin IGP, localpref 100, valid, external
Community: 3303:3008 15412:603 15412:621 15412:803 15412:1301
6079 2516 9370
207.172.6.20 from 207.172.6.20 (207.172.6.20)
Origin IGP, metric 46, localpref 100, valid, external
4octet-AS (59.106.254.0/24)
表示なし
AS3303とAS6079には4octetで広報している経路の到達性がない??
2008/1/21
[email protected]
33
IGP経路制御
• MED制御やmultipath制御に影響あり
AS2000
AS 2.200
AS 2.100
AS1000
2008/1/21
[email protected]
34
2octetの人からみると
AS2000
AS23456
AS23456
AS1000
2008/1/21
[email protected]
35
AS23456が途中フィルタされてる?
• 以前、AS23456を受信した際に、ルータの不
具合、あるいは経路が壊れていた?ために
実際に影響を受けた人がいる
– AS23456をフィルタしている人がいる
• 現状、4octet ASは、隅々まで通らないか、あ
るいは受け取ってくれないかもしれない・・・
– 4octet AS beconで確認可?
– 大久保さんが現在確認中
2008/1/21
[email protected]
36
他
• AS23456でハイジャック
– 2octetからみると、一瞬わからない
– 一瞬どころか、何がなんだかわからない
2008/1/21
[email protected]
37
[email protected]
•
•
•
•
•
•
•
Yoshida@OCN
Kondo@まほろば
Ohkubo@さくら
Maz@IIJ
Toyama@IMF
Kikuchi@高知工科大
Reiko@さくら
2008/1/21
[email protected]
38