Copyright © NTT Communications Corporation. All rights reserved.
2017年10月6日
NTTコミュニケーションズ株式会社
ネットワークエバンジェリスト
経営企画部IoT推進室室長(本務)・技術開発部担当部長(兼務)
博士(工学) 宮川 晋
ネットワーク最新技術アップデート
2017
Copyright © NTT Communications Corporation. All rights reserved.
Copyright © NTT Communications Corporation. All rights reserved.
高速PCルーティング技術 poptrie
CPUやデジタル素子の高速化もさることながら、スイッチングに用
いられる数学アルゴリズムの改良やOSの抜本的な見直しにより、
市販のx86アーキテクチャによるソフトウェアスイッチングでも
100Gbpsを越える速度を達成できる見通しです
弊社では安価なx86サーバアーキテクチャを用いて
100Gbpsの処理
速度においてフルルート処理可能なルーティング実装を進めるとと
もにベンダ各社にライセンス提供する準備を進めています
• 本技術は、IEEEのトップカンファレンスでも論文採録がみとめ
られ、現時点で世界最高速であると自負しております
•
http://conferences.sigcomm.org/sigcomm/2015/pdf/pap
ers/p57.pdf
Copyright © NTT Communications Corporation. All rights reserved.
ソフトウェアルータ実装 Kamuee
NTTコミュニケーションズでは、世界最高速のバックボーン
ルーティング処理能力を誇るpoptrieを中核にした、実用に耐
える高速なソフトウェアルータ実装の開発を充実することとい
たしました
昨年度から既に一部の展示などでお見せしておりますが、現在
完成度もだいぶ高まってきており、試作機は既に検証環境にて
耐久テストに入っております
近日中に実際にデモンストレーションなどでお見せできること
ができるようになる予定です。ご期待くださいませ。
Copyright © NTT Communications Corporation. All rights reserved.
Copyright © NTT Communications Corporation. All rights reserved.
5
Copyright © NTT Communications Corporation. All rights reserved.
Copyright © NTT Communications Corporation. All rights reserved.
Copyright © NTT Communications Corporation. All rights reserved.
SD-WAN
SDWANとは、主に企業網をターゲットにして、インターネット回
線、MPLS回線、携帯電話回線といった各種通信回線サービスを自
在に組み合わせ、目的と条件に合わせて自動的にそれらを統合的に
運用する技術である、と定義することができます
SDWAN用の終端装置(CPE)やその制御システムが、現在、様々
なベンダから提案・販売されており、弊社でも積極的に多くのベン
ダのソリューションを評価、検討しております
現時点では、ベンダ間での相互運用性などは考慮されておらず、ま
た、それぞれのソリューションごとに異なる特性があって、得失が
複雑です。導入をご検討になる場合には注意が必要ですので、適切
なコンサルテーションをお受けになることをお勧めします
とはいえ、昨年度の状況に比較して、かなり実際に本格的な導入が
可能なレベルに達してまいりましたので、今回、非常にミッション
クリティカルな環境であるフォーミュラ1の環境にて実際にSDx
を投入してトライアルを実施することといたしました
Copyright © NTT Communications Corporation. All rights reserved.
F1日本GPにおけるSDxトライアル
9
SD-Exchange
Internet
SD-WAN
MPLS
Internet
SD-WAN
ProxyNFV基
盤
技術チーム
McLaren Technology Center
(英国)
ProxyNFV基
盤
鈴鹿サーキット
車両デー
タ
PIT内映
像
Webアクセス
鈴鹿とMcLaren本拠地(英国)間にNTT ComのSDx(SD-WAN/NFV/SD-Exchange)導入
✓ SD-WAN(SI)で複数ネットワークの柔軟な組合せを実現
既存MPLS網では帯域逼迫が課題となっており、PIT内映像をSD-Exchangeにオフロードし、
レース戦略の立案に重要なテレメトリーデータの通信にこれまでより多くの帯域を割当て
✓ NFV基盤でF1期間中のみ必要なWANアクセラレータやUTMを即座に提供
✓ SD-Exchangeでグローバルにハイパフォーマンスなネットワークを提供
Copyright © NTT Communications Corporation. All rights reserved.
Copyright © NTT Communications Corporation. All rights reserved.
BGP Route Hijacking とは
不正なBGP経路広告がおこなわれて
トラフィックが捻じ曲げられたり、到達不可能になったりすることです
検出は簡単ではありませんが、可能です
回復も簡単ではありませんが、可能です
頻繁におきてる、というわけではないですが、それなりにおきます
簡単に広がり、大きな影響が出ることもあります
Copyright © NTT Communications Corporation. All rights reserved.
Hijacking ; Case-1
AS20
AS10
10.0.0.0/16
AS30
AS40
10.0.0.0/16
> 10.0.0.0/16
10
> 10.0.0.0/16
10
iBGP
> 10.0.0.0/16
20 10
10.0.0.0/16
10.0.0.0/16
> 10.0.0.0/16
30 20 10
Global Impact
AS10:Customer of AS20
AS40:Customer of AS30
AS20 and AS30 is peering
Copyright © NTT Communications Corporation. All rights reserved.
Hijacking ; Case-1
AS20
AS10
10.0.0.0/16
AS30
AS40
10.0.0.0/16
> 10.0.0.0/16
10
> 10.0.0.0/24
30 40
> 10.0.0.0/16
10
> 10.0.0.0/24
30 40
iBGP
> 10.0.0.0/16
20 10
> 10.0.0.0/24
40
10.0.0.0/16
10.0.0.0/16
10.0.0.0/24
10.0.0.0/24
10.0.0.0/24
10.0.0.0/24
> 10.0.0.0/16
30 20 10
> 10.0.0.0/24
i
Global Impact
AS10:Customer of AS20
AS40:Customer of AS30
AS20 and AS30 is peering
Copyright © NTT Communications Corporation. All rights reserved.
Hijacking ; Case-2
AS20
AS10
10.0.0.0/16
AS30
AS40
10.0.0.0/16
> 10.0.0.0/16
10
> 10.0.0.0/8
30 40
> 10.0.0.0/16
10
> 10.0.0.0/8
30 40
iBGP
> 10.0.0.0/16
20 10
> 10.0.0.0/8
40
10.0.0.0/16
10.0.0.0/16
10.0.0.0/8
10.0.0.0/8
10.0.0.0/8
10.0.0.0/8
> 10.0.0.0/16
30 20 10
> 10.0.0.0/8
i
No Impact
Copyright © NTT Communications Corporation. All rights reserved.
Hijacking ; Case-3
AS20
AS10
10.0.0.0/16
AS30
AS40
10.0.0.0/16
> 10.0.0.0/16
10
> 10.0.0.0/16
10
10.0.0.0/16
30 40
iBGP
* 10.0.0.0/16
20 10
10.0.0.0/16
40
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
> 10.0.0.0/16
30 20 10
10.0.0.0/16
i
10.0.0.0/16
30 20 10
> 10.0.0.0/16
i
10.0.0.0/16
20 10
> 10.0.0.0/16
40
Partial Impact
Copyright © NTT Communications Corporation. All rights reserved.
Hijacking ; Case-4
AS20
AS10
10.0.0.0/16
AS30
AS40
10.0.0.0/16
> 10.0.0.0/16
10
10.0.0.0/16
30
* 10.0.0.0/16
10 i
10.0.0.0/16
30 i
iBGP
> 10.0.0.0/16
20 10
10.0.0.0/16
i
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
10.0.0.0/16
> 10.0.0.0/16
30 20 10
> 10.0.0.0/16
30
10.0.0.0/16
20 10
> 10.0.0.0/16
i
> 10.0.0.0/16
10 i
10.0.0.0/16
30 i
10.0.0.0/16
10
> 10.0.0.0/16
30
Partial Impact
Copyright © NTT Communications Corporation. All rights reserved.
経路ハイジャックがおきると
トラフィックがまげられるので
サービスができなくなったり、アプリケーション異常がおきます
たとえばDNSのRoot-serverのアドレスがHJされるととても…
意図的にやるとすれば…
トラフィックをねじまげて、パケットを記録
フィッシングやSPAMの送付
DoSアタックも
他人になりすまして送受信することが出来る
Copyright © NTT Communications Corporation. All rights reserved.
経路HJの原因
ほとんど意図しない設定エラーとおもわれる
• コンフィギュレーションミス
–フィルタのエラー(ローカルあるいはプライベート使用している
アドレスのもれとか…)
–単に書き間違いとか (wrong address/mask)
もしも意図的なものだとすると
• Spam/DDoS/Phishing…などを意図したIPアドレスの不正使用の
可能性
• Cyber Terrorismともいえる
Copyright © NTT Communications Corporation. All rights reserved.
BGP経路ハイジャックへの対抗
Copyright © NTT Communications Corporation. All rights reserved.
検知(Detection) system の例
BGP updateを監視する
BGP Updateメッセージによってやってきたアドレスprefix の
AS_PATH属性の最後のAS番号と、 IRR(Internet Routing Registry)
データベースにorigin AS番号として登録されているものとを比較する
もしも違っていたらハイジャックを疑い、メールやSyslogや、SNMPト
ラップで警告する
あるいは使わないようにしてしまう
BGP
UPDATE
IRR
Configure file
-Prefix
-Origin ASN
-AS-Path
:
:
Alert
Operator
Monitoring
(ex, BMP)
Copyright © NTT Communications Corporation. All rights reserved.
わが社のバックボーンでは
21 類似の攻撃(あるいは事故)としてしられるルートリークに対する
対抗策も含め、
ここでご紹介したようなテクニックに加えて
さまざまな対抗手段を兼ね備えることにより、
不正な経路広告に対して非常にロバストになるようにシステムを構
築しております
このため、コンテンツネットワークなどのほうでのオペレーション
ミスがあったとしても、わが社のトランジットをお使いの場合には、
その影響を最小限あるいは場合によってはミスが無かったことにな
るようにすることも可能です
Copyright © NTT Communications Corporation. All rights reserved.
おわりに
22 今年のプレゼンテーションでは、時間が限られていることもあり、
過去と比べるとより内容を絞ってお話をしてみました
これ以外の様々なネットワーク技術につきましても引き続き世界最
先端の内容で取り組んでおり、お客様にますますよりよいバリュー
をお届けできるよう引き続き努力してまいります。
これからも弊社のネットワーク技術にどうぞ御期待くださいませ
Copyright © NTT Communications Corporation. All rights reserved.
