特定のセグメントのなかに大量の通信を行っているホストやASを継続して可視化したいという場合は、サブネットワークを利用すると便利です。
ホスト毎であればトップトーカーを使うと便利です。
AS毎であればOrigin ASNレポートが便利です。
下記スライドの”SUB-NETWORK TRAFFIC ANALYSIS”を参考にしてください。
タグ別アーカイブ: ISP版のみ
ISPが使うと便利なAS分析の設定について
運用で便利なAS分析レポートの例です。
末尾のスライドにレポート画面例とその設定例があります。
- オリジンAS毎のトラヒック分類
- 自網全体のトラヒックについてのAS分析ができます。
- ピアAS毎のトラヒック分類
- ピアAS毎のトラヒック量が見えます。各ピアの評価に便利です。
- ピアリング評価のためのピアリング分析
- 各ピアにおいて、通過(トランジット)しているトラヒックとピア先と直接交換しているトラヒックの割合について見えます。トランジットの評価に便利です。
- ネイバー毎のオリジンAS分析
- 2.はネイバー毎のトラヒック総量をグラフ化しますが、こちらはその各ネイバーについてのオリジンASのトラヒック分類を行います。特定ASのトラヒックを異なるトランジット先に移動させたい等の計画に便利です。
- ASパス毎のトラヒック分類
- 大きなトラヒックのうち、ASパスが長いものを抽出できます。ピアリングの見直しに役立ちます。
特定のAS-Pathのトラヒックをグラフ化したい
show ip bgp/atm-bgp summary
経路分析用およびDoS防御用のBGPセッションの状態を表示します。
書式
show ip { bgp | atm-bgp } summary [<ipv4-address>]
パラメータ
| キーワード | 説明 |
|---|---|
| bgp | atm-bgp | 経路分析用BGPセッションを表示する場合はbgp,DoS防御用の場合はatm-bgpを指定します。 |
| <ipv4-address> | 対象のエクスポータあるいはリダイレクションルータのIPv4アドレスを指定します。指定しなかった場合は,該当するすべてのBGPセッションの状態を表示します。 |
デフォルト設定
なし
コマンドモード
Enable Mode
説明
- state is inにセッションの状況が表示されます。セッションが確立している状態では,Established Stateとなります。GenieATM,ピアの設定が完了しているにもかかわらず,それ以外のIdle State,Connect State,Active State等が継続する場合は,設定等の問題によりセッションが確立できていません。
- GenieATM上で設定されていないBGPピアを指定した場合は,エラーメッセージが表示されます。
- show ip bgp summary <ipv4-address>コマンドの結果には,current ip prefix numberおよびcurrent ipv6 prefix numberが含まれ,BGPピアより受信した経路数が確認できます。一方,GenieATM側から経路を広告することはないためsend update pkt項目は含まれません。
- show ip atm-bgp summary <ipv4-address>コマンドの結果のsend update pktから,ミチゲーション時に経路を広告した回数が分かります。
注意事項
- show ip bgp summary <ipv4-address>コマンドにおいて指定するのは,エクスポータのIPアドレスです。GUIのルータ設定画面では,接続先BGPルータIPアドレスとしてルータとは異なるIPアドレスを指定することができますが,その場合でもエクスポータのIPアドレスを指定します。(実行例では,エクスポータ192.168.0.200からのフローレコードによる経路分析には,BGPルータ192.168.0.210から受信した経路テーブルを使用しています)
実行例
# show ip bgp summary 192.168.0.200
==================================================
BGP session to Exporter 192.168.0.200
local as: 65001
peer as: 65001
peer ip addr: 192.168.0.210
state is in: Established State
send open pkt: 3
send notification pkt: 0
send keepalive pkt: 2701
receive open pkt: 3
receive update pkt: 6523223
receive notification pkt: 0
receive keepalive pkt: 1297
receive error bgp pkt: 0
holdtime expired count: 0
keepalive expired count: 0
incoming session count: 3
disconnection session count: 217300
current ip prefix number: 472586
current ipv6 prefix number: 5330
==================================================
#
# show ip atm-bgp summary 192.168.0.211
==================================================
BGP session to Peer 192.168.0.211
local as: 65002
peer as: 65001
state is in: Established State
send open pkt: 8072
send update pkt: 8
send notification pkt: 8066
send keepalive pkt: 29393
receive open pkt: 2
receive update pkt: 1
receive notification pkt: 8066
receive keepalive pkt: 14697
receive error bgp pkt: 0
holdtime expired count: 5
keepalive expired count: 0
incoming session count: 8072
disconnection session count: 13510
==================================================
#
デバイス連携のミチゲーションポリシーが発動しない
GenieATMはA10 Thunder TPSやRadware DefensePro等のミチゲーションデバイスと連携してDDoS攻撃を防御する機能を持っています。
ブラックホールポリシーと同様のミチゲーションポリシーをあらかじめ定義しておき,特定のホストへの攻撃を検知したときに当該ホストへのトラフィックへの経路をミチゲーションデバイスに向けることで防御を行います。
デバイス連携の自動ミチゲーションを有効にしていたにもかかわらず,防御対象のIPアドレスに対する攻撃が検出されたときに,ポリシーが発動しない場合があります。その場合,すでに発動中のミチゲーションアクションによりポリシーに設定したデバイスの帯域が埋まっている可能性があります。
ミチゲーションデバイス連携ポリシーの設定画面には,下のような帯域設定項目があります。これは,デバイスのキャパシティを超えて異常トラフィックが流れ込まないようにするための機能です。
例えば,帯域を1Gbpsに設定しているデバイスに現在発動中のミチゲーションにより合計1Gbps超のトラフィックがすでに流入している場合,当該デバイスについて新たなミチゲーションは発動されません。ただし,ブラックホールポリシーなどほかのタイプのポリシーが定義されている場合は,そちらが発動します。
関連トピック
2種類のBGP接続の併用
GenieATMでは,2つの目的でBGPピアと接続します。
ひとつは,隣接ネットワークなどAS関連のレポート作成時に参照されるBGP経路テーブルを取得するため,もうひとつは,DDoS攻撃緩和(Mitigation)時に経路変更の通知(Diversion)を行うためです。前者はコレクタモジュール,後者はコントローラモジュールから接続するため,それぞれ個別のBGP接続が必要になります。
GenieATMが1台構成などのケースで1台のルータに対してコントローラと内蔵コレクタからBGP接続が必要なときは,注意が必要です。一組のIPアドレス間に2本のBGPセッションを張ることはできないため,DDoS攻撃緩和用のBGP接続に経路テーブル取得用とは異なるインターフェイス(IPアドレス)を指定します。
GenieATMにはもともと2つのイーサーネットポートが実装されているので,これらを使い分けることで異なるIPアドレスを指定できますが,別の方法として,同じ物理ポートにセカンダリIPアドレスを付与する方法もあります。以下のオペレーションではEthernet 0にセカンダリIPアドレス172.16.2.99を付与しています。このIPアドレスは,BGPピアの定義画面ではインターフェイスeth0:0として表示されています。
ATM_6367 # configure terminal ATM_6367 (config)# interface ethernet 0 ATM_6367 (config-if)# ip address 172.16.2.99 255.255.255.0 secondary ATM_6367 (config-if)# exit ATM_6367 (config)# show running #### show running configure #### ! ! hostname ATM_6367 enable password 7 XXXXXX clock timezone JST 9 password XXXXXX ! interface ethernet 0 ip address 172.16.2.50 255.255.255.0 ip address 172.16.2.99 255.255.255.0 secondary ! interface ethernet 1 ip address 172.16.4.50 255.255.255.0 ! ! (中略) ATM_6367 (config)#
関連トピック
GenieATMのBGPの仕様
このトピックでは,GenieATMのBGPの仕様をご説明します。GenieATM ISP版は,AS経路分析レポート作成時に参照する経路テーブルの取得とDDoS攻撃の緩和(Mitigation)のための経路注入という2つの機能ためにBGPピアを確立しますが,BGPの仕様はほぼ共通です。
ピアの確立
GenieATMは対向ルータからのOPENメッセージを受け付けません。BGPのピアは常にGenieATM側から開始されることになります。
タイマー設定
GenieATMは以下のタイマー設定でBGPピアのネゴシエーションをします。
- Holdtime: 360秒
- Keepalive間隔: 120秒
対向側がより短いタイマー値を提示した場合はプロトコルに従って短い方に合わせます。また,Keepalive間隔は明示的にOPENメッセージには含まれませんが,Holdtimeの3分の1となります。
マルチホップ対応
GenieATMは,iBGP,eBGPに関わらずデフォルトでマルチホップに対応しています。
一般的にはeBGP接続は外部ASとの境界ルータにおいて使用されるためTTLは1に設定されます。しかし,GenieATMが境界ルータの役割を担うことはなく,GenieATMとの接続においてeBGPが選択されるのは,直接BGPピアを張っていないルータと経路情報をやり取りするため(iBGPでは受信した経路はフォワードされない)なので,このような仕様になっています。
設定が有効になるタイミング
AS経路分析用のBGPピアはコレクターから張られるため,GUIで行った設定を有効にするためにディスパッチを行う必要があります。一方,DDoS攻撃の緩和用のBGPピアはコントローラから張られるため,GUI設定直後に有効になります。詳しくは構成のディスパッチとはを参照してください。
関連トピック
Blackholeポリシーが機能しない
DoS攻撃防御のためのブラックホールルーティングにおいてNullルートのIPアドレスに0.0.0.0を設定すると,DoS防御が発動されてもルート変更が有効にならないケースがあります。
これは,ルータが0.0.0.0のアドレスをNext Hopとして採用しないことが原因の場合があります。このときの動作はルータの実装に依りますが,たとえば,vyattaでは以下のようなログが出力されて,失敗します。
Apr 8 05:31:18 vyatta254 bgpd[2322]: 172.16.2.8 rcvd UPDATE w/ attr: nexthop 0.0.0.0, origin i, localpref 255, metric 0, community 1:1,path Apr 8 05:31:18 vyatta254 bgpd[2322]: 172.16.2.8 rcvd UPDATE about 20.1.0.0/24 -- DENIED due to: martian next-hop;
そのため,Nullルートとしては0.0.0.0以外のIPアドレスを設定するようにしてください。