アカウント名:
パスワード:
誰か教えてください。
関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。
福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。
それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。
AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。
つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。(AS 番号を変えない後者の方法を punching hole と呼びます)BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。
ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。
おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。とても大変だったと思います……。
なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。
さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。
中国とパレスチナからだと、上海や香港からの東シナ海の海底ケーブル伝わってくるわけで、パレスチナからなら、インド洋アラビア海紅海経由かしら。
そんな出口のところでなんとかするんじゃなくて、中国とパレスチナからのパケット処理するルーターでエニーキャストしてやればいいと思うナリね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
AS番号を取得すると何がどーなるの? (スコア:0)
誰か教えてください。
Re:AS番号を取得すると何がどーなるの? (スコア:2, 興味深い)
関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。
福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。
それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。
しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。
それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。
確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。
AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。
つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。
(AS 番号を変えない後者の方法を punching hole と呼びます)
BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。
ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。
また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。
このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。
ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。
しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。
このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。
おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。
前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。
とても大変だったと思います……。
なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。
さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。
どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。
Re:AS番号を取得すると何がどーなるの? (スコア:2)
中国とパレスチナからだと、上海や香港からの東シナ海の海底ケーブル伝わってくるわけで、
パレスチナからなら、インド洋アラビア海紅海経由かしら。
そんな出口のところでなんとかするんじゃなくて、
中国とパレスチナからのパケット処理するルーターでエニーキャストしてやればいいと思うナリね。