アカウント名:
パスワード:
誰か教えてください。
現状の福岡大学NTPサーバの問題は、サーバ宛のリクエストは発生し続けているため、サーバを止めたり福岡大学の入口で遮断しても、福岡大学とバックボーンとの間のトラフィックは切迫したまま、という所に対応の難しさがあります。
その対策としてそもそもNTPサーバのIPアドレス宛のリクエストが福岡大学に届かないようにすればいい、ということでNTPサーバだけ別ルーティングにするためにAS番号を取得した、ということかと。
ピアでQoS設定とかできんのけ?
クライアント側からのリクエストで逼迫している状況をQoSでどうにかするのは不可能な気がするんだけど。UDPだとQoSで制御できることもかなり限られるし。
それはなんどもそのツッコミがされているけれど、対向側のルータで「この設定何だったっけ?なんかいらなそうだからはずそう」と外されたときに即死する、ということで却下されている#そんなことあるか?と思うんだけど…
一般的にISPさんはDoS対策などのためのフィルタを設定してくれますが、それはあくまでも一時的な対応ですね。たくさんのBGPルータを管理している立場で、ある顧客に対してだけフィルタを長期間維持することなんか運用的にはかなりやりたくないことだと思います。
そんなことあるからチェスタートンの柵なんて警句が存在するんだろ
AS番号ってのはISP同士のルーティングで使うやつ。問題のNTPサーバのIPアドレスへのルーティング情報をどうにかしてISP同士の間でルーティング不能にしてしまえば、問題となるリクエストはエンドユーザからISPの外向きルータまで到達した時点で配達不能になるのではないかな。単にアクセスを遮断するとリトライが飛んでトラフィックが増大するってのが既に実験で実証済みだけど、それが各ISPの内側で完結するなら各自勝手にどうにか出来るし最悪放置でも良くなる。……ハズ。
問題はただでさえごっちゃごちゃなISP間のルーティングテーブルをさらに圧迫しそうな事。IPv4アドレスの取り引きで増大していく奴だからどさくさにやっても許され…ると良いね。まぁNTPリクエスト飛ばす奴(TP Linkとかな!)が悪いんで苦情はそういう連中へどうぞ、で良いかな……
関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。
福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。
それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。
AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。
つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。(AS 番号を変えない後者の方法を punching hole と呼びます)BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。
ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。
おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。とても大変だったと思います……。
なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。
さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。
中国とパレスチナからだと、上海や香港からの東シナ海の海底ケーブル伝わってくるわけで、パレスチナからなら、インド洋アラビア海紅海経由かしら。
そんな出口のところでなんとかするんじゃなくて、中国とパレスチナからのパケット処理するルーターでエニーキャストしてやればいいと思うナリね。
福岡大学NTPサーバのIPアドレスだけ、福岡大学と切り離して別のルーティングになるんでは?
AS番号を取得するとBGP4プロトコルによってインターネットエクスチェンジで他のネットワークと自律的に接続することができるようになる。この部分のネットワークブロックだけを切り出して世界中に同一反応を返す分散ノードをたやすく設置できるようになる(BGP anycast)。
以前の観測ではTP-LINKのネットワーク機器は中国とブラジルに大量にあるようなので、このノードを中国とブラジルの主要なIXに設置できればだいぶトラフィックが落ち着くようになるはず。
他のBGP anycastの活用事例としてDNSルートサーバが同一IPアドレスで世界各地にあることやプライベートアドレス逆引きのAS112.netなどがある。
2019年3月時点では相変わらず中国と、2位にパレスチナが多いらしい。…パレスチナ?https://togetter.com/li/1327702 [togetter.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
AS番号を取得すると何がどーなるの? (スコア:0)
誰か教えてください。
Re:AS番号を取得すると何がどーなるの? (スコア:4, 参考になる)
現状の福岡大学NTPサーバの問題は、
サーバ宛のリクエストは発生し続けているため、
サーバを止めたり福岡大学の入口で遮断しても、
福岡大学とバックボーンとの間のトラフィックは切迫したまま、
という所に対応の難しさがあります。
その対策としてそもそもNTPサーバのIPアドレス宛のリクエストが福岡大学に届かないようにすればいい、
ということでNTPサーバだけ別ルーティングにするためにAS番号を取得した、ということかと。
Re: (スコア:0)
ピアでQoS設定とかできんのけ?
Re: (スコア:0)
クライアント側からのリクエストで逼迫している状況をQoSでどうにかするのは不可能な気がするんだけど。
UDPだとQoSで制御できることもかなり限られるし。
Re: (スコア:0)
それはなんどもそのツッコミがされているけれど、
対向側のルータで「この設定何だったっけ?なんかいらなそうだからはずそう」と外されたときに即死する、ということで却下されている
#そんなことあるか?と思うんだけど…
Re: (スコア:0)
一般的にISPさんはDoS対策などのためのフィルタを設定してくれますが、それはあくまでも一時的な対応ですね。
たくさんのBGPルータを管理している立場で、ある顧客に対してだけフィルタを長期間維持することなんか運用的にはかなりやりたくないことだと思います。
Re: (スコア:0)
そんなことあるからチェスタートンの柵なんて警句が存在するんだろ
Re: (スコア:0)
AS番号ってのはISP同士のルーティングで使うやつ。
問題のNTPサーバのIPアドレスへのルーティング情報をどうにかしてISP同士の間でルーティング不能にしてしまえば、
問題となるリクエストはエンドユーザからISPの外向きルータまで到達した時点で配達不能になるのではないかな。
単にアクセスを遮断するとリトライが飛んでトラフィックが増大するってのが既に実験で実証済みだけど、
それが各ISPの内側で完結するなら各自勝手にどうにか出来るし最悪放置でも良くなる。
……ハズ。
問題はただでさえごっちゃごちゃなISP間のルーティングテーブルをさらに圧迫しそうな事。
IPv4アドレスの取り引きで増大していく奴だからどさくさにやっても許され…ると良いね。
まぁNTPリクエスト飛ばす奴(TP Linkとかな!)が悪いんで苦情はそういう連中へどうぞ、で良いかな……
Re:AS番号を取得すると何がどーなるの? (スコア:2, 興味深い)
関係者ではない AS オペレーターの想像なので、話半分に聞いて下さいね。
福岡大学のネットワーク (AS18148) にある NTP サーバーに、大量のトラフィックが流れ込んできて困っています。
それなら、 NTP サーバー宛の帯域を絞れば?とか、 DDoS 対策装置を設置すれば?と思われるかもしれません。
しかし、トラフィックがあまりにも多いので、他のネットワーク (トランジットを提供してくれる ISP や、インターネットエクスチェンジで peer してくれる他の AS) との接続点が埋まってしまい、自分のネットワーク内でどうにかできる範囲を超えてしまっているのです。おそらく、今は SINET だけがトランジット ISP となっていて、10 Gbps くらいで接続されていると思われます。
それでは、NTP サーバー宛の通信を別のネットワークに切り出せばよいのでは?と思われるでしょう。
確かに、 NTP サーバー 2 つの IPv4 アドレスを福岡大学のネットワークではない別のネットワーク回線にルーティングすることができればよいでしょう。そのネットワークには太い回線は必要なく、むしろ品質を落とすことで、ここは使ってはいけないのだと実感してもらうのがよいでしょう。
AS をまたいだ、つまり "inter-networking" のルーティング情報をやりとりするには、 BGP というプロトコルが使われています。AS の境界にあるルーターが BGP を喋ってお互いの経路情報を交換することで、具体的には AS18148 から 133.100.0.0/16 を (おそらくポリシー上の理由で実際には /16 よりも細かい単位で経路広告しています) SINET (AS2907) に経路広告し、 SINET がさらに Tier-1 ISP と呼ばれる NTT Com (AS2914) に経路広告することで、インターネットのみんなたちは 133.100.0.0/16 宛のパケットをどこに転送すればよいのか知っているのです。
つまり AS18148 とは別の AS 番号から、または福岡大学本体のネットワークとは別の回線を用意して、そこから AS18148 として NTP サーバー 2 つの IPv4 アドレスを経路広告してしまえばよいのです。
(AS 番号を変えない後者の方法を punching hole と呼びます)
BGP では prefix 長が短い (広いブロック) 経路よりも prefix 長が長い (狭いブロック) 経路が優先されるため、より広いブロックのルーティングはそのままに、より狭いブロックだけ別の AS にルーティングできるのです。
ただし AS 番号を変えない場合には RADB の情報管理や RPKI などで面倒ごとが増えそうに思われます。
また AS 番号を分離することで、たとえば Cloudflare に AS ごと任せてしまうといった芸当が可能になります。
このため新規で AS 番号の割り当てを受けることにしたのではないかと思います。
ここで BGP では、技術的にはどのような IP アドレスブロックでも経路広告することが可能です。
しかし 2021 年現在のインターネットでは、経路広告情報量の爆発を防ぐために、 IPv4 で /24 未満の経路広告はフィルタして受け取らないようにするのがベストプラクティスとなっています。
このため NTP サーバー 2 つの IPv4 アドレスだけを別の経路広告とすることはできず、最小でも /24 のブロックで経路広告する必要があります。
おそらく NTP サーバー 2 つの IPv4 アドレスが属する /24 の IPv4 アドレスブロック 2 つ (133.100.9.0/24 と 133.100.11.0/24 で、 IPv4 アドレス 512 個分) を福岡大学のネットワークとして利用するのを諦め、それら 2 つを AS63785 から経路広告するのではないかと思われます。
前準備として、それらのブロックにある IP アドレスを使っていた場合には、 IP アドレスを変更してやる必要があります。
とても大変だったと思います……。
なお現時点では AS63785 からは何も経路広告されておらず、インターネットには見えていません。
さらに余談として、 2-octet の AS 番号割り当てを受けるのは、 2021 年現在では少々ハードルが高かった記憶があります。
どういう「いんちき」をして AS63785 をせしめたのか、大変気になります。
Re:AS番号を取得すると何がどーなるの? (スコア:2)
中国とパレスチナからだと、上海や香港からの東シナ海の海底ケーブル伝わってくるわけで、
パレスチナからなら、インド洋アラビア海紅海経由かしら。
そんな出口のところでなんとかするんじゃなくて、
中国とパレスチナからのパケット処理するルーターでエニーキャストしてやればいいと思うナリね。
Re: (スコア:0)
福岡大学NTPサーバのIPアドレスだけ、福岡大学と切り離して別のルーティングになるんでは?
Re: (スコア:0)
AS番号を取得するとBGP4プロトコルによってインターネットエクスチェンジで他のネットワークと自律的に接続することができるようになる。
この部分のネットワークブロックだけを切り出して世界中に同一反応を返す分散ノードをたやすく設置できるようになる(BGP anycast)。
以前の観測ではTP-LINKのネットワーク機器は中国とブラジルに大量にあるようなので、
このノードを中国とブラジルの主要なIXに設置できればだいぶトラフィックが落ち着くようになるはず。
他のBGP anycastの活用事例としてDNSルートサーバが同一IPアドレスで世界各地にあることやプライベートアドレス逆引きのAS112.netなどがある。
Re: (スコア:0)
2019年3月時点では相変わらず中国と、2位にパレスチナが多いらしい。…パレスチナ?
https://togetter.com/li/1327702 [togetter.com]