はじめに

「IETF発 ! 技術ハッカソンをやってみよう」に参加してきましたので、私が取り組んだ内容について紹介します。 テーマは、講師の方が実際にIETFのハッカソンで取り組まれている内容からタスクを細分化して、いくつか提示してくださいました。 もちろん、持ち込みテーマも歓迎という形でした。

私は、提示いただいたテーマの中から、「Traffic Steering using BGP FlowSpec with SR Policy（draft-ietf-idr-ts-flowspec-srv6-policy-05）をGoBGPに実装する」というテーマに取り組むことにしました。

事前準備

私自身、これまでBGP FlowSpecやGoBGPに触ったことがなかったので、これらに慣れることから始めました。 FlowSpecについては、日本語の解説記事がたくさんあったので理解しやすかったです。 特に、ゆるふわねっとわーく/Flowspecや、BBSakura Networks Blog/BGP Flow Specification を RFC8955 とパケットキャプチャから学習してみたが参考になりました。

FlowSpecについてイメージができた後は、実際に手を動かしてみます。 ということで、tinetを用いてGoBGPのGetting Startedを構築して、FlowSpecを実行してみました。 GoBGPでFlowSpecを使うための基本的な操作方法はドキュメント化されており、非常に助かりました。

postinit:
  - cmds:
    - cmd: docker cp R1.conf R1:/etc/gobgpd.conf
    - cmd: docker cp R2.conf R2:/etc/gobgpd.conf

nodes:
  - name: R1
    image: yykzm/gobgp:dev # GoBGPがinstallされている適当なimageを使用してください
    interfaces:
      - { name: net0, type: direct, args: R2#net0 }
  - name: R2
    image: yykzm/gobgp:dev
    interfaces:
      - { name: net0, type: direct, args: R1#net0 }

node_configs:
  - name: R1
    cmds:
      - cmd: ip addr add 10.0.255.1/24 dev net0
      - cmd: gobgpd -f /etc/gobgpd.conf &
  - name: R2
    cmds:
      - cmd: ip addr add 10.0.255.2/24 dev net0
      - cmd: gobgpd -f /etc/gobgpd.conf &

[global.config]
    as = 65002
    router-id = "1.1.1.1"

[[neighbors]]
    [neighbors.config]
        neighbor-address = "10.0.255.2"
        peer-as = 65002

    [[neighbors.afi-safis]]
        [neighbors.afi-safis.config]
            afi-safi-name = "ipv4-flowspec

[global.config]
    as = 65002
    router-id = "2.2.2.2"

[[neighbors]]
    [neighbors.config]
        neighbor-address = "10.0.255.1"
        peer-as = 65002

    [[neighbors.afi-safis]]
        [neighbors.afi-safis.config]
            afi-safi-name = "ipv4-flowspec"

I-Dの理解

続いて、今回取り組むdraft-ietf-idr-ts-flowspec-srv6-policy-05を読みます。 すごく簡単に私の理解をまとめると、このI-Dでは以下のことが提案されています。

• BGP FlowSpecを用いて配布されるフロー情報を特定のSR Policyへ誘導する方法を提案
  • フロー情報の条件と、SR Policyを識別するための情報を一緒に広告してあげる（SR Policy自体を配布するわけではない）

SR Policyは、どのノードへ送るかを指定する Endpoint、経路を指定する Segment List、属性である Color の 3 つの要素から構成されます（参考）。 このうち、tupple(Endpoint, Color)が一致するSR Policyへ、条件に合うフローを誘導します。 EndpointとColorは次のようにして広告することが提案されています。

• Endpoint: (SRv6の場合、)Flow-spec Redirect to IPv6 Extended Communityを再利用
• Color: Color Extended Communityを再利用

SR Policy自体は別の方法を用いて広告されており、すでにHeadendでインスタンス化されていることが想定されるため、Segment Listは広告する必要はありません。 また、Redirect to IPv6を再利用するということから、本来のリダイレクトアクションとはどう区別するのかと疑問に思いましたが、きちんとドラフトに記載がありました。 単純に、Color Extended Communityの有無で判断するようです。

When the FlowSpec IPv6 extended community exists but the color extended community is missing, the FlowSpec steering falls back to the redirect-IP action.

FlowSpec IPv6拡張コミュニティは存在するが、カラー拡張コミュニティが見つからない場合、FlowSpecステアリングはredirect-IPアクションにフォールバックする。

本手法をSRv6へ適用する例が2つ紹介されています。

• Option 1: フィルタルール（条件）、リダイレクト（Endpoint）、 カラー、SRv6 SID（Service_id_x）をHeadendに通知する
  • TailendでVPN等が実行されている場合に、そのサービスを通知できる
• Option 1: フィルタルール（条件）、リダイレクト（Endpoint）、 カラーをHeadendに通知する
  • SR PolicyのSegment Listの最後のSIDがUSDフレーバーである場合、明示的なサービスの通知は不要

実装

続いて、実装に取り掛かります。 まずは、GoBGPをライブラリとして利用し、理想のBGPパケットを構築してみます。 今回作りたいのは、FlowSpecNLRI + Color Extended Community + Flow-spec Redirect to IPv6 Extended Community (+ BGP Prefix-SID)が含まれるBGPパケットです。

GoBGPには、これらそれぞれのAttributeを構築するための実装はすでに存在しています。 そのため、GoBGP自体に実装を追加することなくパケットを構築できました。

package main

import (
        "context"
        "time"

        "github.com/sirupsen/logrus"
        apb "google.golang.org/protobuf/types/known/anypb"

        api "github.com/osrg/gobgp/v3/api"
        "github.com/osrg/gobgp/v3/pkg/log"
        "github.com/osrg/gobgp/v3/pkg/server"
)

func main() {
        log := logrus.New()

        s := server.NewBgpServer(server.LoggerOption(&myLogger{logger: log}))
        go s.Serve()

        // global configuration
        if err := s.StartBgp(context.Background(), &api.StartBgpRequest{
                Global: &api.Global{
                        Asn:        65002,
                        RouterId:   "1.1.1.1",
                        ListenPort: -1,
                },
        }); err != nil {
                log.Fatal(err)
        }

        // monitor the change of the peer state
        if err := s.WatchEvent(context.Background(), &api.WatchEventRequest{Peer: &api.WatchEventRequest_Peer{}}, func(r *api.WatchEventResponse) {
                if p := r.GetPeer(); p != nil && p.Type == api.WatchEventResponse_PeerEvent_STATE {
                        log.Info(p)
                }
        }); err != nil {
                log.Fatal(err)
        }

        // neighbor configuration
        n := &api.Peer{
                Conf: &api.PeerConf{
                        NeighborAddress: "10.0.255.2",
                        PeerAsn:         65002,
                },
                AfiSafis: []*api.AfiSafi{
                        {
                                Config: &api.AfiSafiConfig{
                                        // enable IPv4 flow-spec unicast or VPNv4 flow-spec unicast
                                        Family: &api.Family{
                                                Afi:  api.Family_AFI_IP,
                                                Safi: api.Family_SAFI_FLOW_SPEC_UNICAST,
                                        },
                                        Enabled: true,
                                },
                        },
                },
        }

        if err := s.AddPeer(context.Background(), &api.AddPeerRequest{
                Peer: n,
        }); err != nil {
                log.Fatal(err)
        }

        /*******************************/

        // IPv4 flow-spec rule
        rule := &api.FlowSpecIPPrefix{
                Type:      1, // 1: destination
                PrefixLen: 24,
                Prefix:    "192.168.1.0",
        }
        rules := make([]*apb.Any, 0, 1)
        anyRule, _ := apb.New(rule)
        rules = append(rules, anyRule)
        // IPv4 flow-spec NLRI
        nlri, _ := apb.New(&api.FlowSpecNLRI{
                Rules: rules,
        })

        // origin attribute
        a1, _ := apb.New(&api.OriginAttribute{
                Origin: 0,
        })

        // next-hop attribute
        a3, _ := apb.New(&api.NextHopAttribute{
                NextHop: "10.0.255.10",
        })

        // IPv6 flowspec redirect extended community
        // $ gobgp global rib -a ipv4-flowspec add match destination 192.168.1.0/24 then redirect 2001:db8::1:100
        // wireshark can't decode this community
        // Sub-Type: 0x800b
        community := &api.RedirectIPv6AddressSpecificExtended{
                Address:    "2001:db8::1",
                LocalAdmin: 100,
        }
        // community := &api.RedirectIPv4AddressSpecificExtended{
        //      Address:    "10.255.255.1",
        //      LocalAdmin: 100,
        // }
        communities := make([]*apb.Any, 0, 1)
        anyComm, _ := apb.New(community)
        communities = append(communities, anyComm)

        color := &api.ColorExtended{
                Color: 99,
        }
        colors := make([]*apb.Any, 0, 1)
        anyColor, _ := apb.New(color)
        colors = append(colors, anyColor)
        // communities = append(communities, anyColor)

        // IPv6 address specific extended communitiy attribute
        a4, _ := apb.New(&api.IP6ExtendedCommunitiesAttribute{
                Communities: communities,
        })
        a5, _ := apb.New(&api.ExtendedCommunitiesAttribute{
                Communities: colors,
                //Communities: communities,
        })

        // BGP Prefix-SID attribute
        a6, _ := apb.New(&api.PrefixSID{})

        attrs := []*apb.Any{a1, a3, a4, a5, a6}

        family := &api.Family{
                Afi:  api.Family_AFI_IP,
                Safi: api.Family_SAFI_FLOW_SPEC_UNICAST,
        }

        paths := []*api.AddPathRequest{
                {
                        Path: &api.Path{
                                Family: family,
                                Nlri:   nlri,
                                Pattrs: attrs,
                        },
                },
        }
        for _, pathReq := range paths {
                if _, err := s.AddPath(context.Background(), pathReq); err != nil {
                        log.Fatal(err)
                }
        }

        s.ListPath(context.Background(), &api.ListPathRequest{Family: family}, func(p *api.Destination) {
                log.Info(p)
        })

        // do something useful here instead of exiting
        time.Sleep(time.Minute * 3)
}

// implement github.com/osrg/gobgp/v3/pkg/log/Logger interface
type myLogger struct {
        logger *logrus.Logger
}

func (l *myLogger) Panic(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Panic(msg)
}

func (l *myLogger) Fatal(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Fatal(msg)
}

func (l *myLogger) Error(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Error(msg)
}

func (l *myLogger) Warn(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Warn(msg)
}

func (l *myLogger) Info(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Info(msg)
}

func (l *myLogger) Debug(msg string, fields log.Fields) {
        l.logger.WithFields(logrus.Fields(fields)).Debug(msg)
}

func (l *myLogger) SetLevel(level log.LogLevel) {
        l.logger.SetLevel(logrus.Level(level))
}

func (l *myLogger) GetLevel() log.LogLevel {
        return log.LogLevel(l.logger.GetLevel())
}

理想のBGPパケットを構築できることが分かったので、cmd/gobgpに新たなサブコマンドを追加して、スタンドアローンで実行できるようにしてみます。 以下のようなコマンドを追加します。（各値に意味はないです。）

// for Option 1 
$ gobgp global rib -a ipv4-flowspec add match destination 192.168.1.0/24 then redirect fd00:1::1:0 color 100 prefix 2001:db8:2:2::/64 locator-node-length 24 function-length 16 behavior END_DT6 
// for Option 2
$ gobgp global rib -a ipv4-flowspec add match destination 192.168.1.0/24 then redirect fd00:1::1:0 color 100

gobgp global ... redirect fd00:1::1:0までは、既存のリダイレクトアクションとして実装が存在しています。 これをそのまま活用しますが、今回はEndpointのことを表しています。 fd00:1::1:0の末尾:0は、アクションをコピーしたトラフィックにのみ適用するかどうかを表すFlagになっています（0または1）。 これは、draft-ietf-idr-flowspec-redirect-ip-03で定義されています。

既存のリダイレクトアクションでも、with IPv6 address specific RTとしてredirect 2001:db8::1:100というフォーマットが存在しており、この形のパースが実装されています。 ということで、これについても既存の実装を再利用できそうです。

後は、cmd/gobgp/global.goを読み漁ってなんとなくで実装してみました。 BBSakura Networks Blog/GoBGPにBGP Extensions for the Mobile User Plane (MUP) SAFIを実装した話はロードマップとしてとても参考になります。（今回はここまで大規模な実装は不要でしたが..）

実行結果

パケットキャプチャ

Wireshark*1では、Flow-spec Redirect to IPv6 Extended Community（Sub-Type: 0x800b）のパースはできないようですが、きちんとredirect fd00:1::1:0の値が格納されていることが確認できます。

さいごに

ここまで読んでいただき、ありがとうございます。 「IETF発 ! 技術ハッカソンをやってみよう」に参加してきたので、取り組んだ内容を紹介してみました。 1週間という短い期間での取り組みでしたが、I-Dの理解から実装までできたので非常に良かったです。 とはいえ、今回はgobgpdに追加の実装は行っていないので作業量は比較的少なく済んだ気がします。 GoBGPがサポートしている機能の多さに驚きました。 特に、SR関連の新しい機能をサポートしているOSSは非常に貴重だと感じました。

期間中、相談に乗っていただいた講師の三島さん、貴重な機会を提供していただいたたくあんさんをはじめとする運営のみなさん、ありがとうございました！！！

後日談

その後、GoBGP に PR を出し、無事にマージされています。

github.com

はじめに、本記事は私なりの解釈を含んでおり、情報の正確性を保証するものではありません。 もし、間違いや解釈違いを見つけた場合はXアカウント@yy_kzmまでご連絡いただけると大変助かります。

• IPv6-onlyネットワークにおける問題点
• IPv6-mostlyネットワークとは
• IPv6-mostlyネットワークの構築
• 動作確認
• さいごに
• 参考

IPv6-onlyネットワークにおける問題点

NAT64/DNS64によるIPv6-onlyネットワークは比較的うまく動作しますが、次のような問題点があります。

• IPv4リテラルを用いた通信ができない [4][5]

NAT64/DNS6環境では、Pref64とIPv4アドレスの合成はDNS64がしてくれるため、ping 203.0.113.1のように"文字通りの"IPv4アドレスを使った通信ができません。 また、レガシーなソフトウェアはIPv4-onlyソケットを使うこともあるためそのようなソフトウェアはNAT64/DNS6環境では動作しません。

• DNS64はAAAAレコードを偽造しているとも取れる[3]

DNS64はAレコードしか持たない宛先に対してAAAAレコードを偽装するため、DNSSECによる検証ができなくなるらしいです。 詳細は[1]などをご覧ください。

• Dual Stackネットワークからの移行ハードルが高い[2]

ネットワークの運用者は、デバイスやアプリケーションを制御でもできない限りIPv4を完全に削除してIPv6-onlyへ移行することは難しいといえます。 そのため、段階的にIPv6-onlyへ移行するための方法が必要となります。

IPv6-mostlyネットワークとは

IPv6-mostlyネットワークとは、IPv6-onlyで問題なく動作するホスト*1はIPv4を無効にし、そうでないホストには今まで通りIPv4アドレスを配布するようなネットワークのことです。 つまり、IPv4アドレスをオンデマンドで提供するということです。 これにより、単なるDual Stackネットワークよりも使用するIPv4アドレスプールを節約できます。

ここで言う「IPv6-onlyで問題なく動作するホスト」に関して厳密な定義はありませんが、CLATが実装されているホストのことと思って問題なさそうです。 macOS(13 以降)、iOS、Android最新バージョンなどがこれに該当するそうです[3]。 これらのホストはホスト内でNAT46（CLAT）して、ゲートウェイでNAT64（PLAT）するような464XLAT構成を取ることになります。

• IPv4-onlyホスト: DHCPv4でIPv4アドレスを取得
• Dual Stackホスト（IPv6-onlyは未サポート）: SLAAC/DHCPv6でIPv6アドレスを取得、DHCPv4でIPv4アドレスを取得
• IPv6-onlyサポートホスト: SLAAC/DHCPv6でIPv6アドレスを取得、DHCPv4サーバに対するDiscoverのRequet ListにOption 108 （IPv6-Only Preferred）[6]を含めることでIPv4アドレスの要求を破棄

IPv6-onlyサポートホストがIPv4-onlyな宛先にアクセスする際、CLATを実行することになりますが、そのためにはPref64をホストが把握する必要があります。 そこで、Router Advertisementを用いてPref64を広告する仕組みがあります[7]。 これにより、IPv6-mostlyネットワークではすべてのIPv6-onlyサポートホストがCLATを実装していればDNS64は必要ありません。 IPv6-mostlyネットワークはIPv6-onlyネットワークへ段階的に移行するためのベストプラクティスと言えそうです。

IPv6-mostlyネットワークの構築

続いて、実際にIPv6-mostlyネットワークを構築してみます。 使用する機器とソフトウェアは次の通りです。 各種ソフトウェアのインストール手順は省略します。

• 使用機器: Raspberry pi 4 Model B
• OS: Ubuntu 22.04.4 LTS
• NAT64: Jool 4.1.7.0
• RA: radvd 2.20_rc1
  • リリース版にはRFC8781（Pref64 Option）が入っていないのでソースからビルドする必要があります。
• DHCPv4: kea-dhcp4 2.0.2

ネットワーク構成は以下の通りです。今回構築した環境はアップリンクがIPv4-onlyなのでIPv6インターネットへの到達性はありません。（自宅にIPv6環境がないのでご了承ください...）

今回はiptablesによるNAT44やunboundを用いたDNSを有効にしています*2が、単なるIPv4-onlyのための設定なので省略します。

ということで、まずはkea-dhcp4の設定を行います。 "name": "v6-only-preferred"でRFC8925（IPv6-Only Preferred）を有効にします。 これにより、このオプションをRequest Listに含むDiscoverを受け取った場合はV6ONLY_WAITをセットしてOfferを返します。 このとき、IPv4アドレスプールからアドレスは払い出しません。 クライアントはこのV6ONLY_WAIT秒間IPv4スタックを停止します。

ubuntu@raspi:~$ cat /etc/kea/kea-dhcp4.conf
{
# DHCPv4 configuration starts on the next line
"Dhcp4": {

    "valid-lifetime": 4000,
    "renew-timer": 1000,
    "rebind-timer": 2000,

    "interfaces-config": {
        "interfaces": [ "wlan0" ]
    },

    "lease-database": {
        "type": "memfile",
        "persist": true,
        "name": "/var/lib/kea/dhcp4.leases"
    },

    "subnet4": [
        {
            "subnet": "172.16.100.0/24",
            "pools": [
                {
                    "pool": "172.16.100.1 - 172.16.100.200"
                }
            ],
            "option-data": [
            {
                "name": "routers",
                "data": "172.16.100.1"
            },
            {
                // This will make the v6-only capable devices to disable their
                // v4 stack for half an hour and then try again
                "name": "v6-only-preferred",
                "data": "1800"
            },
            {
                "name": "domain-name-servers",
                "data": "172.16.100.1"
            }
            ]
        }
    ]
    # DHCPv4 configuration ends with the next line
}

}
ubuntu@raspi:~$ sudo keactrl start

続いてJoolによるNAT64の設定を行います。 Pref64としてfd64:ff9b::/96を指定します。

$ sudo jool instance add "example" --netfilter --pool6 fd64:ff9b::/96

続いてradvdの設定を行います。 Pref64としてfd64:ff9b::/96を広告します。 上記でも記述しましたが、nat64prefixはリリース版では使用できないので注意が必要です。

ubuntu@raspi:~$ cat /etc/radvd.conf
interface wlan0 {
  AdvSendAdvert on;
  MinRtrAdvInterval 3;
  MaxRtrAdvInterval 10;
  AdvManagedFlag off;
  AdvOtherConfigFlag off;

  prefix fc00:cafe:dead:beef::/64 {
    AdvOnLink on;
    AdvAutonomous on;
    AdvRouterAddr off;
  };
  RDNSS fc00:cafe:dead:beef::1 {
    AdvRDNSSLifetime 30;
  };
  nat64prefix fd64:ff9b::/96 {
    AdvValidLifetime 1800;
  };
};
$ sudo radvd -C /etc/radvd.conf

動作確認

以上で構築は完了です。さっそくクライアント端末を繋いでみましょう。 IPv6-onlyサポートホストとしてMacbook Air（macOS 13.5.1）を繋いでみます。接続後のインターフェース情報を確認してみます。 clat46と書かれたIPv6アドレスが確認できます。また、192.0.0.2/32というアドレスも確認できます。 このIPv4アドレスはIPv4リテラルと通信するためのダミーアドレスだと思います。

en0: flags=88e3<UP,BROADCAST,SMART,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1500
        options=6463<RXCSUM,TXCSUM,TSO4,TSO6,CHANNEL_IO,PARTIAL_CSUM,ZEROINVERT_CSUM>
        ether c4:35:d9:80:77:d3
        inet6 fe80::1cc1:3b33:5a01:1050%en0 prefixlen 64 secured scopeid 0xd
        inet6 fc00:cafe:dead:beef:cd4:228e:d23b:77b1 prefixlen 64 autoconf secured
        inet 192.0.0.2 netmask 0xffffffff broadcast 192.0.0.2
        inet6 fc00:cafe:dead:beef:402:19d6:9299:559c prefixlen 64 clat46
        nat64 prefix fd64:ff9b:: prefixlen 96
        nd6 options=201<PERFORMNUD,DAD>
        media: autoselect
        status: active

実際にIPv4リテラルを使って通信してみます。pingが通ることが確認できました（感動）。 IPv4リテラルと通信する際にはclat46と書かれたIPv6アドレスがネットワーク上を流れるようになっています。

$ ping -c3 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=54 time=18.284 ms
64 bytes from 8.8.8.8: icmp_seq=1 ttl=54 time=19.731 ms
64 bytes from 8.8.8.8: icmp_seq=2 ttl=54 time=17.255 ms

--- 8.8.8.8 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 17.255/18.423/19.731/1.016 ms

DHCP DiscoverとOfferのやりとりを確認してみると、MacbookからのDiscoverのRequest ListにOption 108（IPv6-Only Preferred）が含まれていることがわかります。 また、それに対するkea-dhcp4からのOfferにも同様のオプションが確認できます。ValueはV6ONLY_WAITと思われます。 Offerの宛先はIPv4アドレスプールのものになっていますが、このOfferに対してRequestを返すこともしてないですし、リースを確認しても払い出しは行われていないようだったので正常な動作なのだと思います（たぶん）。

Router Advertisementも確認してみましょう。Pref64 Optionでfd64:ff9b::/96が広告されているのが確認できます。

問題点として、192.0.0.2/32がネットワークに流出しまっている点が挙げられます。 これは[3]でも言及されていました。

さいごに

IPv6-mostlyネットワークについて調べて実際に構築してみたので記事にしました。 ここまで読んでいただきありがとうございます。 今回は、IPv6-onlyサポートホストでのみ動作確認を行いました。 WindowsやLinuxも接続してみてDual Stackでも問題なく動作するのかも確認していきたいと思います。

参考

1. Let’s talk about IPv6 DNS64 & DNSSEC
2. IPv6-Mostly Networks: Deployment and Operations Considerations
3. Experimental IPv6-only network at APRICOT 2024
4. FIRST EXPERIENCES WITH DEPLOYING IPV6-MOSTLY
5. Deploying IPv6-mostly access networks
6. RFC8925: IPv6-Only Preferred Option for DHCPv4
7. RFC8781: Discovering PREF64 in Router Advertisements

• Level2-1
  • 問題文
  • 解答・解説
• Level2-5
  • 問題文
  • 解答・解説
• 作問振り返り
  • リンクパススルー(LPT)
  • ループが発生したりしなかったり

Level2-1

問題文

デフォルトゲートウェイを冗長化すべくVRRPを導入したが，MasterのGi0/1に障害が発生した場合に経路が切り替わってくれないようです。この場合でも経路が切り替わるように設定をしてください。

確認方法

• Clientから192.168.2.2にpingを打ち続ける
• MasterのGi0/1をshutdownする
• 経路が切り替わってpingが継続して届いていれば確認完了

解答・解説

オブジェクトトラッキングを設定する問題です。
初期状態はVRRPを有効にし，VIPとPriorityの設定をした状態です。MasterのPriorityを200，BackupのPriorityはデフォルト値(100)に設定しています。
この状態では，ダウンリンク側の障害に対しては経路が切り替わってくれますが，アップリンク側の障害には経路が切り替わってくれません。
そこでオブジェクトトラッキングの設定をしてあげることにより，アップリンク側に障害が発生した場合にダウンリンク側のPriorityを意図的に下げてあげます。これによりアップリンク側に障害が発生した場合でも経路が切り替わってくれます。
設定における注意点として，Backup側のPriorityはデフォルト値(100)でMaster側のPriorityは200なので，オブジェクトトラッキングによるdecrement値は100より大きくする必要があります。

!
hostname Master
!
track 1 interface GigabitEthernet0/1 line-protocol     ## 追加設定(1)
!
interface GigabitEthernet0/0
 ip address 191.168.1.2 255.255.255.0
 vrrp 1 ip 192.168.1.1
 vrrp 1 priority 200
 vrrp 1 track 1 decrement 150     ## 追加設定(2)
 no shutdown
!
interface GigabitEthernet0/1
 ip address 192.168.2.1 255.255.255.0
 no shutdown
!

Level2-5

問題文

iBGPフルメッシュを避けるためにBGPルートレフレクタを導入しました。(RR1，RR2)
しかしながらRouter1，Router2から10.200.1.0/24のネットワークにpingを打つと不安定な現象が見られました。
何が起きているのかを簡単に説明し，iBGPのピアを正しく設定してください。
なお，初期状態ではRouter2，Router3はRR1のクライアントで，Router1，Router4はRR2のクライアントです。また，RR1とRR2はiBGPピアを張っています。

参考:

解答・解説

ルートリフレクタに対するクライアントが不適切なため，Router1 <-> Router2でルーティングループが発生しています。
Router1はRR2とピアを張っているため，10.200.1.0/24への経路として10.100.255.4をBGPから学習しています。

Router1#sh ip route 10.200.1.2
Routing entry for 10.200.1.0/24
  Known via "bgp 100", distance 200, metric 0
  Tag 200, type internal
  Last update from 10.100.255.4 01:00:43 ago
  Routing Descriptor Blocks:
  * 10.100.255.4, from 10.100.255.22, 01:00:43 ago
      Route metric is 0, traffic share count is 1
      AS Hops 1
      Route tag 200
      MPLS label: none

IGPからは10.100.255.4への経路として10.100.5.2と10.100.1.1を学習し，マルチパスとして保持しています。
これはRouter2においても同様です。

Router1#sh ip route 10.100.255.4
Routing entry for 10.100.255.4/32
  Known via "ospf 1", distance 110, metric 4, type intra area
  Last update from 10.100.1.1 on GigabitEthernet0/1, 01:01:50 ago
  Routing Descriptor Blocks:
  * 10.100.5.2, from 10.100.255.4, 01:01:50 ago, via GigabitEthernet0/0
      Route metric is 4, traffic share count is 1
    10.100.1.1, from 10.100.255.4, 01:01:50 ago, via GigabitEthernet0/1
      Route metric is 4, traffic share count is 1

Router1で例えば10.200.1.2にpingを実行すると，まず初めに10.100.5.2か10.100.1.2が選択されます。ここで10.100.5.2が選択された場合，同様にRouter2でも10.100.5.1か10.100.2.1が選択されますが，さらにここで10.100.5.1が選択された場合，ルーティングループが発生します。
OSPFのマルチパスによってロードバランシングされているため，ループするパケットとしないパケットが発生しています。

Router1#ping 10.200.1.1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.200.1.1, timeout is 2 seconds:
!!.!.!..!!.!.!..!!.!.!..!!.!.!..!!.!.!..!!.!.!..!!.!.!..!!.!.!..!!.!.!
..!!.!.!..!!.!.!..!!.!.!..!!.!

この現象は，Router1をRR1のクライアント，Router2をRR2のクライアントとすることで解決できます。

# Router1
router bgp 100
 bgp router-id 10.100.255.1
 neighbor 10.100.255.11 remote-as 100
 neighbor 10.100.255.11 update-source Loopback0

# Router2
router bgp 100
 bgp router-id 10.100.255.2
 neighbor 10.100.255.22 remote-as 100
 neighbor 10.100.255.22 update-source Loopback0

# RR1
router bgp 100
 bgp router-id 10.100.255.11
 neighbor 10.100.255.1 remote-as 100
 neighbor 10.100.255.1 update-source Loopback0
 neighbor 10.100.255.3 remote-as 100
 neighbor 10.100.255.3 update-source Loopback0
 neighbor 10.100.255.22 remote-as 100
 neighbor 10.100.255.22 update-source Loopback0
 !
 address-family ipv4
  neighbor 10.100.255.1 activate
  neighbor 10.100.255.1 route-reflector-client
  neighbor 10.100.255.3 activate
  neighbor 10.100.255.3 route-reflector-client
  neighbor 10.100.255.22 activate
 exit-address-family
!

# RR2
router bgp 100
 bgp router-id 10.100.255.22
 neighbor 10.100.255.2 remote-as 100
 neighbor 10.100.255.2 update-source Loopback0
 neighbor 10.100.255.4 remote-as 100
 neighbor 10.100.255.4 update-source Loopback0
 neighbor 10.100.255.11 remote-as 100
 neighbor 10.100.255.11 update-source Loopback0
 !
 address-family ipv4
  neighbor 10.100.255.2 activate
  neighbor 10.100.255.2 route-reflector-client
  neighbor 10.100.255.4 activate
  neighbor 10.100.255.4 route-reflector-client
  neighbor 10.100.255.11 activate
 exit-address-family
!

作問振り返り

リンクパススルー(LPT)

Level2-1作問後のフィードバックで，「物理配線だとMasterのGi0/1をShutdownすると対向であるBackupのGi0/1のLinkもDownするためPingは送くれなくなる」と指摘がありました。
今回は仮想環境でBridgeしているためそうはならないとのことなので，このまま出題しました。

ループが発生したりしなかったり

Level2-5問題を作問するにあたって，初めは安定してループを発生させるために，OSPF Multi-Path Maximumを1にすることで全てのパケットをRouter2へ向かわせようとしていました。
しかしながら，Router1で10.200.255.4へのNexthopとしてGi0/1(Router2側)が選択されてほしかったにも関わらず，Gi0/0(RR1側)が選択されてしまうことがあるという現象に見舞われました。
これは等コストなパスがあったとき，最初に追加されるパスがそのままベストパスになるために発生した現象でした。
フィードバックをいただき，Multi-Pathを2にすることで必ず一定数はRouter2へ向かうようになるため，安定したループを再現することができました。