AS間ルーティング。 BGPルーターに保存できますか？

序文として：昨日、地元の管理者の集まりで以下のアイデアを発表しました。 プレゼンテーションの後、ネットワーク機器の製造に従事している会社の代表者が私に近づき、尋ねました。「これをどこかで公開しましたか？ プレゼンテーションを共有し、同僚に紹介します。」実際に公開してみませんか？ 私たちがウクライナで言うように、「i mi、Khimko、人々」。 ベンダーの1つが少しでも興味を持っている場合は、コミュニティ内にアイデアも興味深い人がいるでしょう。 さらに、私自身もこのソリューションを使用する予定です。 100％の完成した結果はないだろうとすぐに言わなければなりませんが、中間の結果があり、これはersatzルーティングといくつかの情報がこの方向で作業を続けるのに十分です。 行こう！



すぐに言わなければならない-記事のタイトルは、BGPプロトコルではなく、ルーターに関するものです。 いいえ、少なくとも現時点では、BGPなしでは生きることはできません。しかし、あなた自身はそれを知っています。 なぜプロトコルが必要なのか、どのように優れているのか、何ができるのか、どのように設定するのか-Habréとサードパーティのリソースの両方でこれについて多くの本や記事が書かれているので、このトピックは省略します。 十分な統計があるか、クリーチャーがアナウンスメントポリシーの変更を要求できる近隣の自律システムで動作している場合、投稿を安全に閉じることができます。この情報は必要ありません。



まだ読んでいるのであれば、この記事はソリューション自体よりもソリューションの設計に関するものなので、デザインから始めましょう。 そのため、私たちは同じアドレスプールを持つISP Aサービスプロバイダーであり、これらのアドレスをネットワークにアナウンスする必要があります。 論理接続の一般的なスキームを図に示します。







ネットワークのエッジにはRTR Aルーターがあり、eBGPセッションによってピアネイバーに接続されています。 プロトコルセッションを通じて、次のホップアドレス（RTR BのIPアドレス）を持つネイバーからFullViewを取得します。これに応じて、RTR Aのネクストホップホップを持つ内部ネットワークに関する情報を提供します。 BGPネイバーフッドを編成するための可能なスキーム：境界に複数のルーターが存在する可能性があり、ネイバー自体も直接接続できないため、複数のFullView、リザーブチャネルなどを取得できます。 ただし、さまざまなピアツーピアの組織スキームの分析を省略し、最も単純なケースについて説明します。これにより本質は変わりませんが、理解は簡単になります。 IGPは自律システム内で動作し、それを通じてISPAネットワークの到達可能性を転送します。 または機能しない-これも可能なオプションの1つにすぎません。



ユーザートラフィックはCoreAのコアであるRTR Aを通過し、さらにネットワークに入ります。 私の理解では、これ（考えられるすべてのバリエーションを含む）は、ネットワークとBGP近隣の境界を整理する古典的な方法です。 次に、このハードウェアソリューションのコストを見てみましょう。



10Gb / sの必要な帯域幅で構築します。 少なくとも、ソリューションには10Gb / sのインターフェイスがあり、さらにアップグレードできる可能性があります。 ジュニパーネットワークスは、ソリューションMX104-40G（またはMX80）を4万ドルで提供しています。 2個（MX80の場合は4個）の10Gb / s「オンボード」インターフェースと40Gb / sのルーティングパフォーマンス（80-MX80の場合）。 シスコは、ベース容量が2.5 Gb / sのCisco ASR 1001-Xデバイスと2つの10 Gb / sオンボードインターフェイスで17,000ドル+ライセンスの価格で応答し、パフォーマンスを向上させ（最大20 Gb / s）、追加のインターフェイススロットをアクティブにします。 デバイスを厳密に比較するタスクを自分で設定したのではないことをすぐに言わなければなりません。最終的には、投稿はそれについてではありませんが、ソリューションのコストを削減することが主なタスクであるため、いくつかの数字が必要です。



だから、少なくとも17000ドル。 RTRAルーターは何をしますか？ はい、一般的に、少し-近隣とのBGPセッション（またはいくつか）をねじって、ネットワークにトラフィックを転送します。 それなしで行うことは可能ですか？ 答えとして、次のトポロジを分析します。







物理ルーターを削除し、カーネルデバイスでBGPピアリングを実行しました。 可能ですか？ はい、適切にソートされたL3スイッチはBGPの起動をサポートします。 ただし、この決定には少なくとも2つの弱点があります。 まず、ほとんどのスイッチは完全なルーティング用に設計されていないため、サイズが制限されたルーティングテーブルがあります。 たとえば、Juniper EX4550には14,000のIPv4ユニキャストルートの制限があり、Cisco Nexus3kには16,000の制限があります。2つ目は、BGPを起動するためにライセンスを購入する必要があることです。8（Cisco Nexus3k）または10（Juniper EX4550）1000ドルです。 冗長なスイッチが必要な場合は、指定された数値が2倍になります。 さらに、ネットワークを要約するか、デフォルトルートを取得するために、上位プロバイダーとネゴシエートする必要があります。 それでも、このような設計では、専用ルーターの購入を拒否すると同時に、便利なBGPグッズを使用できます。 このトピックの別の可能なバリエーションを以下に示します。







カーネルデバイスを使用してRTRBおよびiBGPとeBGPセッションをスピンする物理サーバーまたは仮想マシンでBGPプロセスを実行します。 仮想マシンで、Quagga、Vyatta、BIRDなど、BGPを実行するために利用可能なパッケージのいずれかをインストールします。



BGPプロトコルの優れた機能の1つは、更新のアナウンス中にネクストホップを変更する機能です。これは、BGPスピーカーを介してユーザートラフィックを転送する必要がある状況を回避するために使用します。 つまり、ルーティング情報を持つデバイス（仮想マシン）と、自律システム内でトラフィック転送に関与するデバイス（CoreA）を分けます。 したがって、RTRBはCoreAのアドレスをネクストホップとして受信し、その逆も同様です。 このようなコントロールプレーンと転送プレーン。 アイデア自体は新しいものではなく、eBGPセッションを通じてのみ交換ポイントの組織で積極的に使用されています。



これは、プロバイダーを呼び出すことなく、ローカルでルートをフィルタリングおよび要約できるFullViewとそのいくつかの両方を取得できるため、より興味深いシナリオです。 ソリューションのもう1つの興味深い機能は、仮想マシンのカーネルテーブルにBGPを追加する必要さえないことです。 たとえば、Quaggaなどの構成に直面している人は、最初に「ip forwarding」オプションを有効にしてから、デーモンが受信したルートをカーネル（wellまたはホストルーティングテーブル）に転送してトラフィックを正しく転送する必要があることを知っています。 そのため、これはすべて不要です-仮想マシンはBGP情報のアナウンスのみを処理し、トラフィックプロモーションには参加しません。Quagga内のテーブルの入力には、ルートテーブルのボリュームを直接転送するのにかかる時間-10秒かかります。



これはあなたが探しているソリューションに似ていますが、仮想マシンとCoreAはBGPを介して通信するため、問題はライセンスに残ります。 他のオプションはありますか？ ライセンス料なしで行うことは可能ですか？ そして、ここでこの投稿の主要な部分を説明します。 トポロジを見てください。







基本的な考え方は同じです。仮想マシンでeBGPを実行しますが、たとえば図のように、OSPFのような自律システム内ですでにIGPプロトコルを使用します。 eBGPセッションの部分は変更されていないままで、まだ問題はありません。 しかし、IGPを使用すると、結局のところ、それらのいずれも、直接接続されていないネクストホップを送信するように設計されていませんでした。 とりわけ、Nexus3kもOSPFのライセンスを必要としますが、これらは詳細です-私はジュニパーネットワークを所有しており、NexusではRIPを使用できます:)。 何らかの方法で、別のネクストホップを転送する必要があります。そうしないと、ユーザートラフィックが仮想マシンを通過し、そのようなソリューションは機能しません。 したがって、「不可能」を許可する松葉杖が必要です。ルートがアナウンスされたときに、ローカルではなく別のネクストホップを転送することができます。 アイデアを実行するときに、次のオプションを試しました。

• BGPでのネクストホップの変更-> OSPF再配布
• OSPFアウトバウンドポリシーのネクストホップ変更
• OSPF駆動ポリシーのネクストホップ変更
• Juniperデバイスの転送テーブルにエクスポートする際のネクストホップを変更します

最後のポイントといえば-転送テーブルへのエクスポート-少なくともジュニパーで、フローごとのBGP ECMPを実行するために使用できます。 誰かが興味を持っているなら、私はあなたが投稿に注意を払ったという事実に感謝して設定を投げることができます。



したがって、残念ながら、上記のすべてが機能しません。 Quggaとジュニパーは静かに私の政治選択を無視し、アナウンスの「next-hop」パラメーターを変更しようとするとBIRDはすぐに呪われました。 それはとても陳腐で、私の考えがメーカー側の誤解の岩の上で壊れていたことをin辱しています。 その過程で、私は問題をグーグルで調べてみましたが、私だけがそれほどcなわけではないことが判明しました。しかし、解決策はありませんでした。ただし、Ciscoは「転送アドレス」機能（ こちらを参照 ）があることを示しましたが、そうではありません。



すでにほとんど絶望的だったので、同僚に助けを求めました。 Andrushko Dmitry、Kovalenko Alexander（@ alk0v）、Simonenko Dmitry、ありがとう-国はその英雄を知っているべきです！ そのため、オプションがあります。



まず、Atruimプロジェクトと呼ばれるソフトウェア定義のネットワーク用の既製のソリューションがあります（ read ）。 さらに、私が正しく聞いた場合、MellanoxはQuagga / BIRDを内蔵したデバイスを製造しています。 実際のところ、SDNはクールなものです。あなたがやりたいことややりたいことをしてください。 しかし、これはSDNと新しい機器であり、私の仕事は既存のもののすべてを解決することです。



さらに、正しく理解した場合（「*」がメインワードで、* NIXに強くないため）、Quaggaのデーモン（たとえばospfd）はiproute2モジュールを介してカーネルと通信し、理論的には、ospfdからの出力でパケットをインターセプトして変更できます彼。 正しく考えているかどうか、これが可能かどうかはわかりませんが、どういうわけか。



最後に、鉄版-Scapyを使用すると、指定されたコンテンツでパッケージを生成できます。 実際、OSPFパッケージの構造は既知であり、変更する値もわかっています。 小さなことはこれを実現することです。 ここで私はその瞬間に立ち止まった。



私が解決策を想像する方法-まず第一に動的でなければなりません。 そうでなければ、なぜこれらすべてがプロトコルで踊るのですか？ あなたの意見では、eBGPピアごとに1つの仮想マシンを上げることさえできます-仮想マシンの価格はごくわずかであり、そのような単純化により、すべての送信OSPFパケットを変更して、ネクストホップを別のものに変更できます。



しかし、そのようなソリューションの実装に到達するまで、私は自分のタスクのために仮想マシンでeBGPを実行し、コア（CoreA）で静的を使用することにしました。 なんとも言えない-はい、しかし、少なくとも最初はルーターを買わなくてもできるようになります。



このようなソリューションは、トランジット自律システムやMPLSなどの追加サービスが必要な場所には適さないことを理解しています。 ジオフィルトレーション、またはむしろ、最適な合計が困難なアドレスの隣接していない特定のピアの優先順位付けに問題がある可能性があります。 また、IGPを介したルーティング情報の比較的遅い送信を考慮する必要があります。 ただし、デッドエンドASおよびより単純なタスクの場合、このソリューションは非常に適しています。



これらはアイデアです。 誰かが彼らを興味深く見つけて、彼らのアプリケーションを見つけることを願っています。