11月末にInternet Week 2016 というイベントで，「BGP Community の基本設計」について発表してきた．内容については 発表スライド をご覧いただければ良いかな と思うが，壇上から挙手アンケートを取ってみてびっくりした．

「顧客から受信したBGP Community を消さずに透過しているかた，どのくらいいますか？」の結果が 1%ほどだった．

該当するけど手を上げられなかった方もいると思うし，母数として全員がAS 運用者じゃなかったかもしれない．が，「えっ！ 少なすぎる！」と思った．世の中そんなもんなのかな，と思ってざっと調査した内容を書いておく．

結果から書いておくと「割合的にはまあそんなもん」だった．

BGP Community は API なんですよ

BGP Community は「便利なタグ」だったり「他社ネットワーク内での自社経路のふるまいを定義できるノブ」だったりする．たとえば

• 経路がネットワークに入ってきたのはどの国か，顧客に伝えるタグ
• 他社ネットワーク内でLocal Preference を下げるためのノブ

のように，BGP プロトコルの範囲のなかで付加価値をつけることができる．「HTTP(S) でやれば？」という考えも頭をよぎるが，IP レイヤーの操作をさらに上のレイヤーに依存するのは危険かもしれないし，レイヤーをまたぎすぎている感がある．「HTTP(S) でもできる」が理想だけれど，IP ならではの柔軟性と拡張性を得るためにもBGP プロトコルでやりたいところ．

上のように AS65000 がBGP Community に乗せて便利情報を提供してくれている場合，AS65001 の立場からすると「自社に不利益がある」「AS65000 の利用規約に反する」ような場合を除いてAS65002 に透過しない理由はないはず．逆もしかりで，AS65002 が「AS65000 内での経路のふるまいを制御したい」と考えているとしてAS65001 がそれを遮断する理由はないように思う．

が，アンケート結果では「でも止めてる」だし，観測範囲内でも止めてる事業者がほとんどに見える．

特にAS65002 がAS65001 の顧客だった場合，情報を透過するほうがAS65001 サービスの付加価値につながりそうだし，ぜんぶ透過しなくても工夫してやればいいのに…と思う．

「将来，トランジット事業者(上の絵でいえばAS65000) を変えるかもしれない」という懸念はあるが，トランジット事業者が似たAPI を提供してさえすればAS65001 で変換するのがよさそう．他社のサービスや製品を組み合わせてうまいこと抽象化することは，サービスを作る側の手腕の見せ所かな と思う．

調査結果

AS間の関係を transit / peer / customer / unknown に分類し「X から受信したBGP Community をY に透過する事業者数」を数えた．調査の方法はあとで．

たとえば transit からcustomer に向かう矢印は93 だが，「transit から受信したBGP Community をcustomer に透過するAS は93 個あった」という意味．4バイトAS は除外してカウントしている．

BGPlay コレクターの配置的にすべてのAS をカバーしていないかもしれないが，フルルートの1/11 ほどのサンプル数．

• customer から受信した経路を透過する事業者が比較的多そう
  • 送信先によって透過 / 不透過を区別してそう
  • 特にtransit 方向にはフィルターしてそう
• 実際に使われている2バイトAS 約6万個に対して，透過しているAS はおよそ1% 程度しかない

ということがわかる．unknown が多いのは，参照したAS間の関係データベースが良くなかったかもしれない．

調査方法

BGPlay と The CAIDA UCSD as-relationships - 20161201 のデータを使った．

2バイトAS のすべてについて

1. そのAS がoriginate している適当な1 prefix を選ぶ
2. BGPlay でBGP Community が透過しているかどうか調べ，AS_PATH 上の各AS について transit / peer / customer のどれからどれに送信する際に透過するかをマークする
3. AS 間の関係についてはCAIDA のas-relationships を参照する

仮定として

• BGPlay コレクターはcustomer 相当と考える
• BGP Community のGlobal Administrator がAS_PATH 上に現れるもののみをカウント
  • 現れない場合，BGP Community がどこでつけられたか判別できない
  • そのBGP Community は，AS_PATH 上のGlobal Administrator より右でつけられたものと考える

たとえば

• AS_PATH: 65000 65001 65002 65003
• BGP Community: 65002:100

の場合

• Community は65002 か65003 でつけられたと仮定
  • → 65001 はCommunity を透過する
• 65001 から見て65002 は transit で，65000 は customer
  • → 65001 は transit から受信したBGP Community を customer に透過する
• 65000 から見て65001 は customer で，BGPlay コレクターも customer
  • → 65000 は customer から受信したBGP Community をcustomer に透過する

経路数でいえばフルルート68万経路に対して6万経路分，1/11 サンプルを調査した．BGPlay コレクターの配置から「透過しているんだけど観測できない」AS があることにも注意．

なお，今回は割合を概算したかったので 4バイトAS は除外してカウントしている．

Internet Week 2016 発表スライド

発表スライドをリンクしておきます．

• AS 運用者向け
• BGP Community 設計のコツ
• API と思って設計しよう

のような内容です．よければご覧ください．

https://speakerdeck.com/codeout/bgp-communityfalse-ji-ben-she-ji

BGP には，無駄な経路計算を減らすためのMRAI Minimum Route Avertisement Interval) というしくみがあります．BGP Update を送信する前に一定時間待ち，経路変化をバッファリングできる機能です．バッファ中にさらに経路変化があった場合，BGP Update を二度送信しなくてすみます．

(MRAI の概要については前のエントリーをご覧ください)

codeout.hatenablog.com

一方で，MRAI の実装によりリスクも存在します．経路変化を下手にバッファすることで，たとえばルーティングループが発生し，パケットロスする可能性があります．本エントリーでは どのような場合にパケットロスが発生しうるか，さらにそれを緩和するために何ができるかについて考えてみます．

十分に検討できてないかもですし，いろいろご意見いただるとうれしいです．

目次

• 経路を加えるBGP Update と経路を消すBGP Update
• BGP Withdrawn に注目するのはなぜか
• MRAI + BGP Withdrawn の危険性
• 実際のインターネットで起こりうるか
• パケットロスを緩和するために
• まとめ

経路を加えるBGP Update と経路を消すBGP Update

タイトルには便宜的にBGP Withdrawn と書いてしまいましたが，「経路を消すためのBGP Update メッセージ」の意味で使っています．経路を加える場合も消す場合もBGP Update メッセージをつかいますが，ここでは次のように呼び分けることにします．

• BGP Update
  • 経路の増加や変更を伝えるためにつかう．NLRI フィールドやPath Attributes フィールドをつけて送る
• BGP Withdrawn
  • 経路の削除を伝えるためにつかう．Withdrawn Routes Length フィールドやWithdrawn Routes フィールドをつけて送る

対称的な2 つのUpdate メッセージですが，BGP Withdrawn については注意して送信しないとマズい場合があります．

BGP Withdrawn に注目するのはなぜか

BGP Withdrawn はループの原因になりえるから

BGP での経路コンバージェンスを考えるとき，BGP Withdrawn はBGP Update より弱い側面があります．BGP のしくみ上，BGP Withdrawn をトリガーにルーティングループが起こる可能性があるからです．

なるべくシンプルな例で説明しますが，たとえば 4x ルーターが次のように接続されていて BGP ピアが張られているとします．

初期状態:

• 右のほうで10.0.0.0/20 がオリジネートされていて
• 左のほうで10.0.0.0/24 がオリジネートされている

10.0.0.0/24(左) の経路が消えるとどうなるか．

1. 左からBGP Withdrawn が伝搬し，10.0.0.1 のNextHop が右向きに切り替わる (page 3)
2. さらにBGP Withdrawn が伝搬し，次のルーターでもNextHop 右向きに切り替わる (page 4)

page 3 でNextHop が互いに向かい合っている = パケットはループ(ピンポン) する ことに注意してください．BGP のしくみ上これを避けることが難しいため，なるべくこの期間を短くして

• 一旦パケットロスするが，TCP で再送されるまでにループが解消されている
• あるいは IP TTL が0 になるまでにループが解消されている

ようにすることが理想的です．

一方 BGP Update の場合はこのようなループが発生する可能性が少ないと考えられます．

初期状態:

• 右のほうで10.0.0.0/20 がオリジネートされている

10.0.0.0/24(左) の経路が出現するとどうなるか．

1. 左からBGP Update が伝搬し，10.0.0.1 のNextHop が左向きに切り替わる (page 7)
2. さらにBGP Update が伝搬し，次のルーターでもNextHop 左向きに切り替わる (page 8)

どの状態においてもBGP Withdrawn の時のようなループは発生しません．Best Path (パケット転送に使われる最も強い経路) だけを伝搬させるBGP のしくみ上 このような動きになります．

もちろん，さらに複雑な構成でBGP Update をトリガーとしてループが起こることはありますが，Indirect Nexthop がループしていたり，経路フィルターなど他の要因とのコンボであることがほとんどです．

BGP Withdrawn は伝搬に時間がかかるから

BGP Withdrawn を送信する際には「過渡期 = BGP コンバージェンスタイム を短くする必要がある」という話をしました．しかしながら，BGP Update と比較してかなり長いことが分かっています．

一例として，JANOG38 で@maz_zzz さんがおもしろいデータを紹介していました．

色々なトラヒック制御の利点と欠点

これはRIPE のRIS Routing Beacon を日本のISP で観測したデータですが，BGP Update(左) の伝搬時間に対し，BGP Withdrawn(右) はおよそ3 倍も長くなっています．

BGP 運用者にとって，これは感覚的に納得できるデータです．というのは「BGP Withdrawn ってそんなもん」だからですね．*1

シンプルな例で説明してみます．

• AS65000~AS65005 が上のようにBGP ピアを張っている
• 各AS の関係は ピア / トランジットが入り混じっている
• AS65004(左下) の経路がAS65003(右中) でどのように見えるかを考える

AS = 通信事業者と考えてください．AS 間の関係については@yuyarin さんのスライド(page 21~31 あたり) が分かりやすいです．

AS65004(左下) が持つ経路は，矢印の流れに沿ったBGP Update によって伝搬し，AS65003(右中) では3 Path から聞こえてきます．BGP では複数Path の経路をまとめて1 つとして扱うため，3 Path 中1 つでもBGP Update を受信すれば「伝搬した」と考えることができます．

一方 BGP Withdrawn の場合も同じ矢印の流れに沿って伝搬しますが，

「経路が消える」とは3 Path すべてが消えることを意味するため，BGP Withdrawn の伝搬時間は「最も伝搬時間の遅いPath」に律速されてしまいます．

こうしてみると，BGP Update に比べてWithdrawn の伝搬に時間がかかることが原理的に理解できると思います．

メモ: BGP Update のコンバージェンスタイム

一般に BGP コンバージェンスタイム は「定常状態に落ち着くまでの時間」を指すので，上記のような最短の1 Path のBGP Update 伝搬時間とは異なります．しかしながら最強のPath が最速で伝搬することが少なくないため，やはりBGP コンバージェンスタイムもBGP Withdrawn >> BGP Update になりがちです．

MRAI + BGP Withdrawn の危険性

さて，すでに長くなりましたがBGP Withdrawn に注目する理由について説明しました．

1. BGP Withdrawn トリガーでルーティングループが発生することを，原理上避けられない場合がある
2. 時間にして100s のオーダーになる可能性がある

という2点です．特に2 . について，MRAI は不安定な時間が長くなる原因のひとつなのでは？ と考えています．

前のエントリー で調査した Juniper vSRX / Cisco IOS-XRv / Quagga の例でいえばvSRX パターンのMRAI 実装(out-delay) がまずいです．BGP Withdrawn とのコンボにより「RIB からすでに消えているのに，N 秒間 (= MRAI タイマー値) はBGP Withdrawn を出さない」という動きをするからです．ちょうど「N 秒間は経路オリジネート = discard し続ける」ような動作です．

BGP Neighbor ルーターではRIB から消えず，上のようなルーティングループ状態を維持してしまう．運悪くMRAI ルーターが直列する場合，N 秒は積算されます．実際のインターネットでは 5.5万AS が網状に接続されており，周辺パケットを吸い込んで捨てるブラックホールが点々と動き回るように見えるはずです．

実際のインターネットで起こりうるか

単純なモデルではMRAI + BGP Withdrawn がパケットロスの原因になりそうですが，実際のインターネットで起こりうるかについて，いくつかの例で考えてみましょう．

未使用の/24 を一時的に広告し BGPlay などで観測すると良いかもしれません．なにが起こるか推測しやすくなります．

例1: DDoS 対策サービスを使っている

BGP でトラフィックを引き込むタイプのDDoS 対策サービスを使っている場合．

DDoS トラフィックを一旦べつのAS に引き込んでおいて，DDoS だけをフィルターしてオリジンAS に戻します．引き込む際にはBGP で細かい経路が広告されますが，IPv4 の慣例的では インターネットに伝搬する最小サイズ = /24 であるため，DDoS 被害ホストを含む/24 を広告することが多いです．

さて，DDoS 自体が止まって トラフィックを引き込んでいた/24 広告を止めるとどうなるか．

実線の矢印 → (青/赤) はNextHop = パケット転送の向きと思ってください．さらに「どの経路をもとにパケット転送するか」を矢印の色で表現します．矢印(青) は10.0.0.0/24 がBest Path であり，その方向にパケット転送することを示します．

仮にAS65000 にout-delay 的MRAI が設定されているとすると

1. AS65001(DDoS 対策サービスプロバイダー) からBGP Withdrawn が伝搬し，AS65000 RIB から/24 が消える → NextHop が下向きに切り替わる (page 11)
2. ループした状態で N 秒(= MRAI タイマー値) 維持 (page 12)

例2: 経路広告によるトラフィックエンジニアリング

2事業者からトランジットを買っているAS65004 が，トラフィックエンジニアリングのため細かい経路を片方に広告する場合．

重要経路を片寄せしたいとか，エンドユーザーの意向でAS65003 には広告したくない などの想定．仮にAS65001 にout-delay 的MRAI が設定されているとします．

ここから，/24 の経路広告が止まるとどうなるか．

1. AS65004からBGP Withdrawn が伝搬し，AS65002 RIB から/24 が消える → が，NextHop は変化なし (page 22)
2. さらにBGP Withdrawn が伝搬し，AS65003 のみNexthop が上向きに切り替わる (page 23)
3. さらにBGP Withdrawn が伝搬し，AS65001 でNexthop が下向きに切り替わる (page 24)
4. ループした状態で N 秒(= MRAI タイマー値) 維持 (page 25)

AS65002-AS65004 間リンクが切れた場合でも似たような動きになるはずです．

でも，BGP Withdrawn 自体レアなのでは？

はい．正常時あまりBGP Withdrawn を送ることがないかもしれません．日本で観測されるBGP メッセージのうち，Withdrawn は10% に満たない程度です．短期間で経路広告/停止しない場合はさほど気にする必要ないはずです．

いっぽう短期間に経路広告/停止する場合，

• 絶妙な位置にMRAI ルーターがあると，最大数分間通信が止まる
• 遠くにあるMRAI ルーターでも，その周辺の通信を止めている (遠いので影響が見えにくいだけ)

という可能性を念頭に置いておくと良いでしょう．

パケットロスを緩和するために

例1: BGP Withdrawn の影響をあらかじめキャンセルする

/24 からトラフィックを抜くのは厳しいので，基本的にはルーティングループを発生させずにBGP Withdrawn を伝搬させる戦略になります．

場合により有効な手段があります．たとえば例1: DDoS 対策サービスを使っている ケースでは

1. トラフィックを引き込んでいる/24 より強い/24 をオリジンAS から広告する (page 15)
2. DDoS 対策サービスを止める → 経路を上書きしているためループは発生しない (page 16)
3. 上書きしていた/24 も止める → オリジンが同じためループは発生しない (page 17~18)

のように，BGP Withdrawn の悪影響をあらかじめキャンセルすることができます．ただし，DDoS 対策サービスが，トラフィックを引き込む/24 をあらかじめ弱めに広告できる ことが前提です．

例2: BGP Withdrawn の影響を局所化する

「このあたりでいつもループする」という事実を把握していない限り，多くの場合は対策が困難です．しかしながらBGP Withdrawn がルーティングループを生んでいると考えられるなら，それを局所化することは可能です．

Withdraw するべき経路のBGP Update を，あらかじめ日本国内 / アジア圏内 / 特定AS内に制限しておけばよい．たとえばオリジンAS が海外拠点を持たない場合は，DDoS 対策やトラフィックエンジニアリング向け経路は日本だけで十分です．

ただし，経路の伝搬範囲を制御するオプションを，トランジットISP が提供している ことが前提です．多くないと思いますが，そのようなISP は国内にもいます．今後増えていくことを期待しています．

まとめ

いくつかのMRAI 実装のうち，JUNOS のout-delay 的な実装とBGP Withdrawn の相性が悪く ルーティングループを生む場合があることを説明しました．経験的には，このようなループは30秒~数分間の通信断の原因になることがあります．

トランジットISP がMRAI を設定する際には 思わぬ悪影響がないかを検討してもらいたいですし，ユーザー側としては「MRAI ルーターがインターネット上にある」前提に立って，ルーティングループを検知し，キャンセルする策について検討しておくとよいでしょう．

flowspec は forwarding に関するルールをルーター間で伝え合うプロトコルで，「他者から受け取ったルールを適用する前にvalidation しなさい」と仕様で決まっている．

では，validation するのはいつだろう？

1. flowspec route を受け取ったとき
2. flowspec route に関連するunicast route に変更があったとき

1 . は当然として，2 . のタイミングでvalidation が走るかどうかで振る舞いが大きく変わりそう．

RFC5575 によれば

A flow specification received from an external autonomous system will need to be validated against unicast routing before being accepted.

と書かれているものの，「いつvalidate するか」については細かく規定されていない．関連I-D にもない．

いつものように実装にまかされてるやつなので，Juniper vSRX, Cisco IOS-XRv で試してみた．

環境

eBGP ピアを2 ルーター間で張り，

1. unicast route を1つずつ広告する
2. destination prefix が同じflowspec route も1つずつ広告する
3. ピアを張ったまま，1 . をwithdraw して2 . の経路をvalidate し直すかを見る

結果

Juniper vSRX, Cisco IOS-XRv とも unicast route の変更時にもvalidation が走る．

妥当な動きというか，直観的でよかった．そうでなければ「validation fail するはずなのに動いてる」「ebgp ピアがflap したらflowspec 動作が変わる」「soft clear したら動作が変わる」「flowspec route を止めて出し直したら動作が変わる」みたいになる．

以下，参考まで．

設定

Juniper vSRX

routing-options {
    static {
        route 10.0.1.0/24 discard;  # deactivate したり activate したりする
    }
    autonomous-system 64600;
    flow {
        route flow1 {
            match destination 10.0.1.0/24;
            then discard;
        }
    }
}
protocols {
    bgp {
        group ebgp {
            family inet {
                unicast;
                flow;
            }
            export redistribute-static;
            peer-as 64601;
            neighbor 192.168.0.74;
        }
    }
}
policy-options {
    policy-statement redistribute-static {
        from protocol static;
        then accept;
    }
}

Cisco IOS-XRv

class-map type traffic match-all flow1
 match destination-address ipv4 10.0.2.0 255.255.255.0  !
 end-class-map
!
policy-map type pbr drop1
 class type traffic flow1
  drop
 !
 class type traffic class-default
 !
 end-policy-map
!
route-policy permit-all
  pass
end-policy
!
router static
 address-family ipv4 unicast
  10.0.2.0/24 Null0   ! no したり入れたりする
 !
!
router bgp 64601
 address-family ipv4 unicast
  redistribute static
 !
 address-family ipv4 flowspec
 !
 neighbor-group ebgp
  remote-as 64600
  address-family ipv4 unicast
   route-policy permit-all in
   route-policy permit-all out
   soft-reconfiguration inbound always
  !
  address-family ipv4 flowspec
   route-policy permit-all in
   route-policy permit-all out
   soft-reconfiguration inbound always
  !
 !
 neighbor 192.168.0.67
  use neighbor-group ebgp
 !
!
flowspec
 address-family ipv4
  service-policy type pbr drop1
 !
!
end

unicast route があるとき

koji@vsrx> show route table inetflow.0 detail

inetflow.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
...
10.0.2/24,*/term:2 (1 entry, 1 announced)
        *BGP    Preference: 170/-101
                Next hop type: Fictitious
                Address: 0x8f3df04
                Next-hop reference count: 2
                State: <Active Ext>
                Local AS: 64600 Peer AS: 64601
                Age: 10:38
                Task: BGP_64601.192.168.0.74+179
                Announcement bits (1): 0-Flow
                AS path: 64601 I
                Communities: traffic-rate:64601:0
                Accepted

                # Accept されている

                Validation state: Accept, Originator: 192.168.0.74
                Via: 10.0.2.0/24, Active
                Localpref: 100
                Router ID: 172.16.0.3

RP/0/0/CPU0:ios#sh bgp ipv4 flowspec Dest:10.0.1.0/24
Thu May 22 10:52:24.962 UTC
BGP routing table entry for Dest:10.0.1.0/24/40
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker                  6           6
Last Modified: May 22 10:46:16.486 for 00:06:08
Paths: (1 available, best #1)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  64600, (received & used)
    0.0.0.0 from 192.168.0.67 (172.16.0.2)

      ! best になっている

      Origin IGP, localpref 100, valid, external, best, group-best
      Received Path ID 0, Local Path ID 1, version 6
      Extended community: FLOWSPEC Traffic-rate:0,0

unicast route がないとき

koji@vsrx> show route table inetflow.0 detail all
...
10.0.2/24,*/term:N/A (1 entry, 0 announced)
         BGP                 /-101
                Next hop type: Fictitious
                Address: 0x8f3df04
                Next-hop reference count: 2
                State: <Hidden Ext>
                Local AS: 64600 Peer AS: 64601
                Age: 17:41
                Task: BGP_64601.192.168.0.74+179
                AS path: 64601 I
                Communities: traffic-rate:64601:0

                # Reject されている

                Validation state: Reject, Originator: 192.168.0.74
                Via: 0.0.0.0/0, Active
                Localpref: 100
                Router ID: 172.16.0.3

RP/0/0/CPU0:ios#sh ip bgp ipv4 flowspec Dest:10.0.1.0/24
Thu May 22 10:58:36.526 UTC
BGP routing table entry for Dest:10.0.1.0/24/40
Versions:
  Process           bRIB/RIB  SendTblVer
  Speaker                  7           7
Last Modified: May 22 10:54:16.486 for 00:04:20
Paths: (1 available, no best path)
  Not advertised to any peer
  Path #1: Received by speaker 0
  Not advertised to any peer
  64600, (received & used)
    0.0.0.0 from 192.168.0.67 (172.16.0.2)

      ! invalid になっている

      Origin IGP, localpref 100, valid, external, invalid flowspec-path
      Received Path ID 0, Local Path ID 0, version 0
      Extended community: FLOWSPEC Traffic-rate:0,0