KeepaliveとHold Timer
隣接するルータはお互いにKeepaliveを予め決められたインターバルで 定期的に送信。
HoldDown Timer(待機時間)はKeepaliveの3倍が設定されており、
Keepaliveを受信すると0にリセットされる。
設定されたHold Timerを超過すると障害と認定。
隣接ルータ間ではそれぞれの時間が短い方を利用する。
反映にはBGPピアのsoftリセットが必要。
Keepalive
Hold Timer
Keepalive 60秒
0,1,2,3・・・ 0,1,2,3・・・ 0,1,2,3・・・ ・・・180
Keepaliveが到達すると Hold Timerをリセット
Hold Timerのカウンタが超 過するとBGPピアを切断 Keepaliveが到達しないので
Hold Timerはカウントアップ
Keepalive=60 Hold Timer=180 の場合
Keepalive 60秒
対策1: keepalive/Hold Timerのチューニング
router bgp CUSTOMER_BGP_ASN
neighbor NEIGHBOR_IP_ADDRESS timers 10 30
お客様ルータのKeepaliveとHold Timerを短く設定することで、
フェールオーバーを検知する時間を短縮。
以下の例はKeepaliveを10秒、Hold Timerを30秒に設定。
edit protocols bgp group ebgp set hold-time 30
Cisco Juniper
デフォルト値 Keepalive 60秒 Hold Timer 180秒
デフォルト値 Keepalive 30秒 Hold Timer 90秒
対策2: BFD(Bidirectional Forwarding Direction)
経路上の障害を高速に検知し、ルーティングプロトコル(今回はBGP) に通知する機能。
隣接ルータ同士でパケットをミリ秒単位で送受信する。
例は50ミリ秒でBFDパケットを送信、3度受け取れない場合は障害と みなす。
bfd interval 50 min_rx 50 multiplier 3 router bgp CUSTOMER_BGP_ASN
neighbor NEIGHBOR_IP_ADDRESS fall-over bfd
edit interfaces ge-0/0/1 edit bfd-liveness-detection set minimum-inverval 50 set multiplier 3
Cisco Juniper
オンプレミス内部のルーティング
Direct ConnectのBGP接続から受 信したルートをOSPFに再配布
VRRP/HSRPなどでLAN上の ゲートウェイを冗長
コアスイッチ コアスイッチ OSPF
VRRP コアスイッチはOSPFにより AWSへの経路を選択
注意事項
VPC Peering利用時の注意
オンプレミス オンプレミスのネットワーク
を広告できない
VPC Peeringはオンプレミスのルートを広告できないため、VPC をまたいだ通信はできない。
経路集約の必要性
192.168.0.0/24 192.168.1.0/24 192.168.2.0/24
192.168.0.0/24 +
192.168.1.0/24 +
192.168.2.0/24
=192.168.0.0/16
お客様ルータから広告できるネットワーク数は
100
まで。普段から経路集約を意識する設計を!
デフォルトルートの広告も有効な場合もあり。
非対称ルーティング時の注意
非対称ルーティング自体は問題 なく通信可能。
Active/Standbyの場合、
StandbyがVPNを利用している と通信に影響が出る可能性あ り。
ファイアウォール利用時には 非対称ルーティングに対応して いないクラスタを利用すると パケットが破棄されるので注 意。
Direct Connectを利用した ハイブリッド構成の事例
マルチVPC接続
営業支援
会計
BI
文書管理 利用者
保守業者 管理者
AD 監視ソフト
DNS
Direct Connect 接続口
1 VPC
1 VPC
1 VPC
1 VPC
1 VPC
I G W V
G W
V G W
V G W
I G W V
G W
V G W
Router#1
Router#2 Router#1
Router#2
Router#1 Router#2 SSO FW
NTP
既存環境
Oracle WIN
人事
WIN
WIN Oracle
BI DB
WIN Proxy
専用線
専用線また はVPN
3層構造 Webシステム
APPサーバ Webサーバ データベース
データベースアクセス
クローズドWorkSpaces
お客様拠点 プライベートネットワーク
WorksSpaces 接続エンドポイント AWS Cloud
AS65000 AS10124
x.x.x.x/31 or 32
y.y.y.y/30
グローバルIPであること!
お客様準備 もしくは AWS提供
S3
プライベートIPで OK
AS65001
インターネット
外部ネットワーク/DMZ
内部ネットワーク
AWS Cloudとの 通信はルータで
NAT
プライベートAS でもOK
オンプレミス環境のWebサーバオフロード
ロードバランサ
東京/大阪での高可用性Direct Connect接続
Equinix TY2 (東京)
Equinix OS1(大阪)
相互接続ポイント自体を冗長化することが可能
ポート料金、トラフィック料金は東阪どちらも同じ
まとめ
まとめ
•
AWS Direct Connectを利用することで、オンプレミスとAWS間の ネットワークにおいて、帯域のスループット向上、一貫性のある ネットワーク接続、データ転送量コスト削減が実現できる•
APNパートナー様の各種サービスにより、多様なネットワークを構 成することができる•
要件に応じていろいろな冗長構成を選択することが可能AWS専用線アクセス体験ラボ sponsored by Intel
http://aws.amazon.com/jp/dx_labo/
■事前に設定を確認したい
■フェイルオーバー時の動作を確認したい
■スループットがどれだけなのか実際に試してみたい
■自前のルータがDirect Connectに接続できるか確認したい
・・・などなど
お問い合わせは営業・SAまで!
Q&A
Webinar資料の配置場所
•
AWS クラウドサービス活用資料集– http://aws.amazon.com/jp/aws-jp-introduction/