FIC-ConnectionのBGP Filterは何を設定すればいいですか? 設定例を教えてください。
Flexible InterConnect, 仕様, 構築, 運用
2024年7月24日 (2024年8月7日:更新)
Flexible InterConnectでは、BGPにより対向側ルーターと経路交換を行っています。
BGPにより経路制御を行っているため、各ConnectionのBGP Filterの設定はお客さまの要件に合わせて設定してください。
本ページでは、Flexible InterConnectのL3接続におけるBGP Filterの設定例と注意事項、NG設定などについて記載しておりますので、設定時の参考にしてください。
なお、BGP Filter Prefix Listを利用することでより柔軟な設計が可能ですが、ケース1、2ではBGP Filterでの設定方法を記載しておりますので、BGP Filter Prefix Listについてはお客さまにてご検討ください。
また、ケース1、2で本設定例が適用されるクラウドサービスのコネクションは、プライベート接続のコネクションに限ります。
例)AWS (Private VIF/Transit VIF)、Azure (Private Peering)、SDPFクラウド/サーバー、Google Cloud、Oracle (Private Peering)など
本ページで記載する設定例は以下の通りです。
【ケース1】Arcstar Universal one経由でインターネット接続したい場合
【ケース2】クラウドサービス経由でインターネット接続したい場合
【NG設定1】クラウドサービスへの広告経路数が多い場合
【NG設定2】FIC-Routerへの広告経路数が多い場合
【NG設定3】FIC-Routerのデフォルトルートが重複する場合
【ケース1】Arcstar Universal one経由でインターネット接続したい場合
・Arcstar Universal oneとクラウドサービスを接続したい
・クラウドサービスからはArcstar Universal one経由でインターネットと通信したい
前提条件
・Arcstar Universal oneでインターネット接続機能を契約している
・Arcstar Universal one側にデフォルトルートの設定がされている
こちらの要件に対する各ConnectionのBGP Filterの設定例は以下の通りです。
説明
「クラウドサービスはArcstar Universal One経由でインターネットと通信したい」といった要件があるため、Arcstar Universal Oneのデフォルトルートをクラウドサービスに広告する必要があります。
該当設定箇所(Arcstar Universal Oneからクラウドサービスへの経路広告):
Connection(Arcstar Universal One)の設定
「①BGP Filter Egress(接続先 Arcstar Universal One L3):フルルート(デフォルトルート込み)」
「②BGP Filter Ingress:フルルート」
Connection(クラウドサービス)の設定
「④BGP Filter Egress:フルルート(デフォルトルート込み)」
また、Arcstar Universal Oneとクラウドサービスを通信させるため、クラウドサービス側の経路情報をArcstar Universal One側へ広告します。
該当設定箇所(クラウドサービスからArcstar Universal Oneへの経路広告):
Connection(クラウドサービス)の設定
「⑤BGP Filter Ingress:フルルート」
Connection(Arcstar Universal One)の設定
「③BGP Filter Egress(接続元 FIC-Router):フルルート(デフォルトルート除外)」
なお、Arcstar Universal Oneにデフォルトルートを広告するとArcstar Universal One側でデフォルトルートが重複するため、③の設定ではデフォルトルートを除外して経路広告します。
また、上記は一例となり、BGP Filterを他の値にしても要件を満たすことは可能です。
例えば、Arcstar Universal Oneからクラウドサービスへ「デフォルトルート」のみ広告すればよい場合は、①と④の値を「デフォルトルート」とすることでも要件を満たせます。
該当設定箇所:
Connection(Arcstar Universal One)の設定
「①BGP Filter Egress(接続先 Arcstar Universal One L3):デフォルトルート」
「②BGP Filter Ingress:フルルート」
Connection(クラウドサービス)の設定
「④BGP Filter Egress:デフォルトルート」
「⑤BGP Filter Ingress:フルルート」
Connection(Arcstar Universal One)の設定
「③BGP Filter Egress(接続元 FIC-Router):フルルート(デフォルトルート除外)」
・⑤で受信する経路情報は、クラウドサービス側で適切に設定されている必要があります。
【ケース2】クラウドサービス経由でインターネット接続したい場合
・Arcstar Universal Oneとクラウドサービスを接続したい
・Arcstar Universal Oneからはクラウドサービスを経由してインターネットを通信したい
前提条件
・クラウドサービスはインターネットと接続する機能を有する
・クラウドサービス側にデフォルトルートの設定がされており、デフォルトルートを含んだ経路をFIC-Routerへ広告する設定としている
※クラウドサービス側の経路広告の設定は、クラウドサービス側でご確認ください。
・Arcstar Universal One側でデフォルトルートの経路情報を保持していない
こちらの要件に対する各ConnectionのBGP Filterの設定例は以下の通りです。
説明
「Arcstar Universal Oneとクラウドサービスを接続したい」かつ「クラウドサービスを経由してインターネットを通信したい」という要件から、クラウドサービス側にデフォルトルートがあることをArcstar Universal One側へ広告する必要があります。
該当設定箇所(クラウドサービスからArcstar Universal Oneへの経路広告):
Connection(クラウドサービス)の設定
「⑤BGP Filter Ingress:フルルート」
Connection(Arcstar Universal One)の設定
「③BGP Filter Egress(接続元 FIC-Router):フルルート(デフォルトルート込み)」
また、デフォルトルートが重複しないように設定する必要があります。
そのため、Arcstar Universal One側からクラウドサービス側へ、デフォルトルートの経路は広告しないように設定します。
該当設定箇所(Arcstar Universal Oneからクラウドサービスへの経路広告:
Connection(Arcstar Universal One)の設定
「①BGP Filter Egress(接続先 Arcstar Universal One L3):フルルート(デフォルトルート除外)」
「②BGP Filter Ingress:フルルート」
Connection(クラウドサービス)の設定
「④BGP Filter Egress:フルルート(デフォルトルート除外)」
また、上記は一例となり、BGP Filterを他の値にしても要件を満たすことが可能です。
今回の要件の場合、Arcstar Universal Oneからクラウドサービスへデフォルトルートは広告してはならないため、Arcstar Universal Oneからの経路広告をデフォルトルートが含まれていない「サマライズ」に変更することも可能です。
(Arcstar Universal Oneからクラウドサービスへサマライズされた経路のみ広告すればよい場合は、広告経路数を削減することができます)
該当設定箇所:
Connection(クラウドサービス)の設定
「⑤BGP Filter Ingress:フルルート」
Connection(Arcstar Universal One)の設定
「③BGP Filter Egress(接続元 FIC-Router):フルルート(デフォルトルート込み)」
「①BGP Filter Egress(接続先 Arcstar Universal One L3):サマライズ」
「②BGP Filter Ingreess:フルルート」
Connection(クラウドサービス)の設定
「④BGP Filter Egress:サマライズ」
なお、サマライズの仕様については「BGP Filter Egressの「サマライズ」について」をご確認ください。
以下、よくある設定誤りについて記載します。
【NG設定1】クラウドサービスへの広告経路数が多い場合
FIC-Connectionでは、クラウドサービス、およびFICで受信可能な経路数の上限があり、経路数がこの制限を超過している場合、正常に通信ができない状態となります。
例えば、クラウドサービス側の最大受信経路数が110であり、FIC-Routerからの広告経路が110を超えた場合は、対象のFIC-ConnectionはBGP Up/Downを繰り返すことになり、通信できなくなります。
一例として上記図の【対策】のように④を「「デフォルトルート」や「サマライズ」に変更することで、クラウドサービスへ広告する経路数を削減することができるので、クラウドサービス側の最大受信経路数の制限を超過しないようになり、通信できるようになります。
※「デフォルトルート」、「サマライズ」のどちらを選択するかは要件によって異なりますのでご注意ください。
このように、各クラウドサービス側では最大受信経路数の制限がございますので、FICからの広告経路数が制限を超過しないか考慮の上、設計する必要がございます。
なお、最大受信経路数の仕様は各Connectionの詳細情報をご確認ください。
【NG設定2】FIC-Routerへの広告経路数が多い場合
2-1:プライベート接続の場合
FIC-ConnectionではConnection毎に最大受信経路数が設定されており、クラウドサービスからFIC-Routerへ広告する経路数がこの制限を超過している場合、正常に通信ができない状態となります。
例えば、以下のケースだとクラウドサービス側のFIC-ConnectionにおけるFIC-Router側の最大受信経路数を超過しているので、対象のConnectionはBGP Downとなり、クラウドサービスとの通信はNGとなります。
この状況を改善するには、以下の1または2の方法で改善することが可能です。
1.クラウドサービスの広告経路数を削減する(クラウドサービス側の操作)
2.FIC-Routerが受信する経路をフィルターする
上記1はクラウドサービス側の操作となりますので、詳細はクラウドサービスでご確認ください。
2については、以下のように設定変更をし、FIC-Routerへの広告経路を削減し、BGPセッションクリアすることでこの状態を改善することができます。
(BGPセッションクリアの手順はBGPセッションをクリアするをご確認ください)
上記のように⑤を「フルルート」かつPrefix Listでフィルタリングすることで、FIC-Routerの受信経路数を削減することができます。
また、prefix listの設定ができないFIC-Connectionもございますので、その場合は、クラウドサービス側で広告経路数を削減する必要がございます。
このように、FICではConnection毎に最大受信経路数が設定されておりますので、FIC-Routerの受信経路数が制限を超過しないか考慮の上、設定する必要がございます。
なお、最大受信経路数の仕様は各Connectionの詳細情報をご確認ください。
2-2:パブリック接続の場合
パブリック接続の場合も同様で、クラウドサービス側の広告経路数が制限を超過している場合は、以下の1または2の方法で改善することが可能です。
1.FIC-Routerが受信する経路をフィルターする
2.クラウドサービスの広告経路数を削減する(クラウドサービス側の操作)
※クラウドサービスによっては設定できない可能性がありますので、詳細はクラウドサービス側でご確認ください。
1につきましては、パブリック接続の場合、BGP Filter Ingressでカスタムルートまたはフルルートのprefix Listで設定することになりますので、必要な経路のみ受信するよう設定ください。
【NG設定3】FIC-Routerのデフォルトルートが重複する場合
以下のように複数の接続先からデフォルトルートを含んだ経路をFIC-Routerの同一Routing Groupに広告している場合、FIC-Routerのルーティングテーブルでデフォルトルートが重複した状態となります。
この場合、意図した通信経路とならない可能性がございますので、デフォルトルートが重複しないように設計ください。
例えば、上記図の場合、以下のいずれかの方法で改善することが可能です。
1.クラウドサービス側でデフォルトルートが広告しない設定とする
2.Arcstar Universal One側でデフォルトルートを広告しない設定とする
3.FIC-Routerがクラウドサービス側のデフォルトルートを受信しない設定とする
上記1はクラウドサービス側の設定となりますので、詳細はクラウドサービスでご確認ください。
2の場合、「①BGP Filter Egress(接続先 Arcstar Universal One L3)」にてデフォルトルートを含まない経路広告に設定することで設定可能です。
※「フルルート(デフォルトルート除外)」か「サマライズ」のどちらかが該当します。
3の場合は、「⑤BGP Filter Ingress」にて「フルルート」かつprefix listでデフォルトルートを受信しないようにフィルタリングすることで、設定可能です。
※一部のコネクションではprefix listの設定はできませんのでご注意ください。
なお、FIC-Routerが受信するデフォルトルートについて、どちらの接続先(Arcstar Universal One、クラウドサービス)のものを採用するかはお客さまの設計により異なります。