search

kstm-su / ictsc9_final

勝つぞ
0 stars 0 forks source link

[電子通信網局 経路安定課]プロバイダ業務に自信あります! #5

Open iyselee07 opened 6 years ago

iyselee07 commented 6 years ago

経路安定課ではプロバイダ業務を行っている。

この部署ではAS番号を持たない組織に対して、プロバイダのルータと組織内のルータの間に境界ルータを設置し、プロバイダのルータと境界ルータの間で双方向にStatic Routeを書くことで対応している。

ある組織は複数のIPアドレス(192.168.23.0/24)を持っており、組織内では独自でルーティングしている。 組織内では、割り当てられた中で使ってないIPアドレスがあり、その箇所に対しpingを行うと余計な帯域を食われてしまう問題が発生しているという苦情が届いた。

この問題に対して組織側のネットワークに影響が出ないようこの問題を解決し、原因を報告してほしい。

制約 現在設定されているものは全て消してはならない スタート 参加者PCから使用していないアドレス帯192.168.23.128/25にpingをすると余計な帯域を消費する ゴール 参加者PCから組織ネットワークのアドレス帯のうち使用していないアドレス帯にpingを行った場合に正しい反応が返ってくる 情報 参加者PCを境界ルータである892jのFE3に接続する enable password : q0bC50xE この問題に関係のあるIP及びvrfは192.168.23.XX,192.168.24.XX,vrf23です。それを除く他のIP,vrfは当問題とは関係ありません。

iyselee07 commented 6 years ago

ACL書いて,無駄なの弾くようにすれば良さそう?

iyselee07 commented 6 years ago

クラスレスな192.168.23.128/25の範囲に関して,スタティックなACL書けば良さそう

iyselee07 commented 6 years ago

アクセスリスト適用先がわからない

iyselee07 commented 6 years ago

現状,vrf, FastEthernetで ip access-group number in を書けない

bgpat commented 6 years ago
image

192.168.24.2 が変なの返してる、IPアドレスが使われていないので本当はホストがいないはず ACLじゃない気がするぞ :eyes:

bgpat commented 6 years ago

192.168.24.2 = C1941 でした

bgpat commented 6 years ago

プロバイダのルータと境界ルータの間で双方向にStatic Routeを書くことで対応している

これ RIP か OSPF でできない? たぶん OSPF だと思う

ある組織は複数のIPアドレス(192.168.23.0/24)を持っており

って言ってるんだから /24 で割り当てちゃえばいいようなきがする

https://github.com/kstm-su/ictsc9_final/blob/b56a5b5bf2cfd2c8bbf4049d7800f5e7c21266a3/config/1941.txt#L267-L269

iyselee07 commented 6 years ago 
92J(config)#router ospf 23 vrf vrf23
892J(config-router)#no network 192.168.23.0 0.0.0.63 area 23
892J(config-router)#no network 192.168.23.64 0.0.0.63 area 23
892J(config-router)#network 192.168.23.0 0.0.0.255 area 23
iyselee07 commented 6 years ago

ここも範囲変える必要あるかな?

ip dhcp pool pool23
 vrf vrf23
 network 192.168.23.0 255.255.255.192
 default-router 192.168.23.1
iyselee07 commented 6 years ago

整理したら方針がたってしまった

ip route vrf vrf23 192.168.23.128 255.255.255.128 Null0

Null0は破棄する特殊なインターフェース

iyselee07 commented 6 years ago

192.168.23.0/26, 192.168.23.64/26に対して正常にpingを飛ばせ, 192.168.23.128/25に関して,即座に ping: sendto: No route to host Request timeout for icmp_seq 0 ・・・ と返せるようになった

これから回答作ります

iyselee07 commented 6 years ago

お疲れ様です. team10のkstmです. 問題: プロバイダ業務に自信あります! で起きていたトラブルの原因がわかりましたので,ご報告いたします.

まず,192.168.23.128/25に属するアドレスへpingを行い, 余計な帯域を消費している状況を確認いたしました. すると,以下のようになりました.

Request timeout for icmp_seq 0
36 bytes from 192.168.24.2: Time to live exceeded
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 9747   0 0000  01  01 724a 192.168.23.3  192.168.23.196

この情報から,TTLが切れるまでpingがループしている状態が観測でき, 利用していない192.168.23.128/25への通信を意図的にドロップする必要があると判断いたしました.

cisco製ルータには,nullインターフェースという,常にアップ状態のパケットをドロップさせるときに利用できる,特殊なインターフェースが用意されており,これにスタティックルートを設定します. 具体的な設定は,vrf23に対して以下のように行いました.

ip route vrf vrf23 192.168.23.128 255.255.255.128 Null0

この設定を行った後, 現在利用中の192.168.23.0/26, 192.168.23.64/26のホストへのping, それから,利用されていない192.168.23.128/25へのpingを行いましたところ, 前者に属するホストへのpingは正常に通るまま, 後者に属するアドレスへのpingは即ドロップされ, 余計な帯域を消費する状態を解消できました.

以上,よろしくお願いいたします.

iyselee07 commented 6 years ago

@fono09 回答できたんで,ちょっと確認欲しいです