IRS21 2009/09/14 15:00-18:00 豊洲 ■イントロ IRSのURLがアップデートされました ■BGP malformed AS PATH NTT-com 吉田さん ・8/18に発生 ・特定のpeerに対してnotificationを出していた ・その中のDATA:e01100が原因でpeerリセット ・AS4PATHのlengthが0になっていた  -これが原因? cisco 小川さん ・セキュリティアドバイザリーとして出していて、パッチも出している  -関連は3つ出している  -そのうちの一つが今回のもの ・さっきのDATAを受け取るとnotificationを出し、リセットする。  つながっても再度リセットされる。frap。  -該当事象が起きたときにshow bgp neigber 〜〜を打って、TACへヘキサを送付   cisco側でデコードしどこから出されたかを解析可能   その出し元をフィルタすることで暫定回避可能 アラクサラ 角川さん ・AX7800R、7700R、7800S、5400Sシリーズで発生 ・AS4PATH 対応バージョンに特定の設定をすると発生。修正バージョンリリース済み Brocade 橋本さん ・brocade製品はas0が含まれていても特別な扱いをせず、そのまま流す ・2byte、4byteでも同じ juniper 河野さん ・過去にも同じような問題が何度も出ている。問題は深い。 ・malformedパケットをただ通す人と peer reset する人が混在しているので、remote attackになってしまう ・「malformedパケットを受信してもdirect peerでない場合はpeer resetしないようにする」という draft が WG document になった。 ・9.1以前:AS4に対応前なのでそのまま通過 ・9.1以降:draft-ietf-idr-optional-transitiveを、段階的に実装 質疑応答 Q:cisco、アラクサラの対応方法は?  ⇒アラクサラ:recvは通過させる。sendは出さない   cisco:このアトリビュートについてはrecvではdiscardする。 C:今後も想定されないような問題が出てくると思う Q:今回のアトリビュートは文法的には正しい?  ⇒文法的には正しいが、プロトコル的には RFC では should not となっているので、つけるべきではない。 ■Win7 microsoft 高橋さん ・DirectAccessについて ・オフィスの外でも内と同等の利用環境を提供する。VPNみたいに。 ・VPNの課題  -login必要  -NW切れたら再接続が必要 ・DirectAccessの特徴  -クライアントと社内NWを自動かつ双方向に接続  -IPv6,IPsecを使って実現  -Active Directory からグループポリシーの割当も可能 Q:全てv6で実施?  ⇒yes。   IPv6 over HTTPS over IPv4 も可 Q:日本企業の反応は?  ⇒まだ大きく紹介していないが、欧米ではオフィスのない契約形態もあり、外部からのアクセス需要は大きい。 ■BGPscalability Cisco Robert さん ・経路テーブルの増大の問題の解決について、新しいプロトコルとして "network based" だけが語られる傾向があるが "internal base", "host base"も重要だと考えているので合わせて紹介したい ・scalabilityについてはこれらすべての要素について考える必要がある <route grouth> ・v4は4000経路/月で増加している ・顧客に/20や/24で売却することがおこっていくことを考えると、さらに経路は増大していく ・BGP aggregation-info attributeが新しい技術  -親のASを流すようにする。 ・全てのラインカードが全ての経路を持つ必要はないので、選択式のtable downloadをciscoは採用している  例:IPv6 を使うインタフェースがなければ IPv6 FIB は download しない  -これを使うことで使用メモリの70%を節約できることも考えられる ・virtual aggregation  -後述 ・この方法(mtree 16-8-8 を 16-4-4-4-4 に変更)は遅延があるのでは?  ⇒数msecと考えられるので問題はない ・別のrouterを参照して経路をlookupする方法がある ・LISPはIETFで議論中  -inside -> outsideのトンネリング ・/64で二つに分割する locaterとidentifar。 ・そうするとrouterで/64だけ見てればforwardできる Q:virtual prefixでのaggregationは実装されている?  ⇒今でもconfigrationすることは可能 ■prefix増大とルータのリソース問題 さくら大久保さん ・現在29万経路(v4) ・v6もあるし、FIBリソースの枯渇が懸念される ・溢れそうになったら上位機種へのリプレイスが必要になる ・経路収束の遅延も懸念される ・29万経路のっている状態で、local pref 200 と100でフルルートを持っている場合、  200を切ったら100の経路にのるまで約40秒かかった ・実際のNWはもっと複雑なのでもっとかかる見込み ・29万経路のうち、何処宛てがどれくらいのトラフィックを使っているか?  -1540経路で90%のトラフィックを運んでいる!!10000経路で99%(さくらでは)  -28万経路はほとんど使われていない ・案として、10000経路くらいを自分でもって、残りはdefault routeで上流ISPへ。 C:日本ではフルルートを持っているISPが6割 C:default route の宛先ISPをAS番号下1桁で振り分けるのもあり (参考) http://meetings.apnic.net/__data/assets/pdf_file/0014/14324/default_dfz.pdf http://meetings.apnic.net/28/program/lightning/transcript#randy-bush