未来をささえる、Your Innovative Partner

IDCフロンティアとVyatta
株式会社IDCフロンテゖゕ
プラットフォームサービス部
佐久間 充
IDC Frontier Inc. All rights reserved.
自己紹介
• 佐久間

充

• IDCフロンテゖゕにてクラウドのネットワークを
主に担当しています。
• Vyattaはじめ仮想NWゕプラ゗ゕンスの問い合わ
せに日々奔走。
• 有償の仮想NWゕプラ゗ゕンスの導入に苦労して
おります。
IDC...
社内でのVyattaの位置づけ
• 無償テンプレートにて提供!

• ということもあり、基本サポートはなし。
• ただご安心ください!

• 裏ではしっかり調べてますので!!!
その結果、ご満足のいく回答で
なかったとしても、ご容赦ください。。...
仮想ルータ(Vyatta)の魅力

• 無料版がある!

取っつきやすい

• 自分でいろいろ試せる!
– Vyatta同士だけでなく
他機種とのVPN接続も

SSG550M
YAMAHA RTX1200
Cisco7301 / Cisco ...
仮想ルータ(Vyatta)の魅力

• 無料版がある!

ただ、提供側としては
サポートが大変・・・

取っつきやすい

• 自分でいろいろ試せる!
– Vyatta同士だけでなく
他機種とのVPN接続も

SSG550M
YAMAHA RTX...
あるお客様からのお問い合わせ(例)

「VPNしてプラ゗ベート網作っても、
ネットワークを追加するたびに
設定を変えなきゃいけないのは
面倒なんですけど・・・」

IDC Frontier Inc. All rights reserved.

...
あるお客様からのお問い合わせ(例)
192.168.1.0/24
Vyatta A

IPsec
VPN

Vyatta B
192.168.2.0/24

192.168.3.0/24
192.168.4.0/24

tunnel 1 {
l...
あるお客様からのお問い合わせ(例)
192.168.1.0/24
Vyatta A

IPsec
VPN

Vyatta B
192.168.2.0/24

192.168.3.0/24
192.168.4.0/24

tunnel 1 {
l...
あるお客様からのお問い合わせ(例)
tunnel 1 {
local {
tunnel 1 subnet 192.168.1.0/24
} {
local remote {
{
subnet 192.168.2.0/24
subnet 192....
先ほどの問い合わせに対して
もっとスマートな解決法ないだろうか・・・

BGP/OSPFを張って動的に経路広報
させてやれば出来るような気が・・・

本当に出来るの? VPN上で? どうやって?

ということでやってみました。
IDC Fron...
BGP/OSPF Over GRE Over IPsec
192.168.1.0/24
Vyatta(セルフ)
1.1.1.1

AS:64522
Vyatta(マネージド)
2.2.2.2
192.168.2.0/24

AS:64511

...
やり方
①

IPsec VPN を張ります

②

GREトンネルを作ります

③

BGP / OSPFを流します

④

以上

実に簡単!

IDC Frontier Inc. All rights reserved.

11
Config - ① IPsec VPN
peer 2.2.2.2 {
authentication {
id @self-managed
mode pre-shared-secret
pre-shared-secret my_shared_s...
Config - ② GRE
interfaces {
tunnel tun1 {
address 192.168.100.1/24
encapsulation gre
ip {
ospf {
cost 20
dead-interval 40
...
Config - ② GRE
interfaces {
tunnel tun1 {
address 192.168.100.1/24
encapsulation gre
ip {
ospf {
cost 20
dead-interval 40
...
Config - ③ eBGP / OSPF
bgp 64515 {
neighbor 192.168.101.2 {
password password
remote-as 64516
soft-reconfiguration {
inbou...
Config - ③ eBGP / OSPF
bgp 64515 {
neighbor 192.168.101.2 {
password password
remote-as 64516
soft-reconfiguration {
inbou...
Config - ③ eBGP / OSPF
bgp 64515 {
neighbor 192.168.100.2 {
OSPFでネゴシエーション
password password
するネットワーク
remote-as 64516
soft-...
軽くデモ
• ちゃんと切り替わるの?

• 経路追加したときにちゃんと広報するの?

IDC Frontier Inc. All rights reserved.

18
はまったところ

唯一、非NAT環境だから?

• 他社クラウド環境も使ってスクエゕ・フルメッシュ構成にしようと
したが、失敗。
192.168.3.0/24

192.168.1.0/24

Vyatta

Vyatta(セルフ)
1.1.1...
はまったところ

180s

• BGPのHold Timeがデフォルトで
なので、そこを
変えずに切り替え時に通信が長時間途切れてあたふた

• 6.4と6.6を混ぜた状態で当初は構築したところ、
OSPFがネゴシエーション確立しない
⇒ 6...
ここまでやってみて・・・
• せっかく作ったこの環境、
「作ってみました、どうでしょう!」で
終わらせるのはもったいない…。

• 家にあるストレージにIDCFセルフクラウドから
゗ンターネット越しにiSCSI接続して
ベンチマークでもしてみよ...
構成
Vyatta(セルフ) AS:64511
1.1.1.1

AS:64522
Vyatta(マネージド)
2.2.2.2

AS:64533

GRE (tun3)
IPsec VPN

Vyatta(自宅)
3.3.3.3

192.1...
結果(bonnie++)

1GBのフゔ゗ルに対して読み書き
VPN経由ゕクセス

Sequential Output
Sequential Input
Random
Per Char
Block
Rewrite
Per Char
Block
...
接続中に切り替わっても問題ない?
• dd if=/dev/zero of=file count=4096 bs=1024k

• 4Gフゔ゗ルを生成中にtun2をdisableにして経路
切り替え
問題なく動作
ただ、切り替えが遅かったらだめ...
これからやってみたい事
• BGPやってみたけど、この構成だとあまり意味
が無い?

(当初の計画が10台のVyattaを構築して
複雑な構成で試す予定だったのは秘密)

• もっとたくさんのVyatta間でこの構成を

大きくしていったら面白...
これからやってみたい事

続きはブログで?
• BGPやってみたけど、この構成だとあまり意味
http://www.idcf.jp/blog/
が無い?
(当初の計画が10台のVyattaを構築して
複雑な構成で試す予定だったのは秘密)

• ...
事業者から見たVyattaの魅力と今後
• 無料なので新規サービスに使いやすい!

• いろんな構成が試せて、大規模な機能検証も
その代り、VyattaのみでのNW構築は向かない
可能!

(そもそもサーバに48portも普通はのせない)

安...
まとめ
• Vyatta使ってこんなことやってみました!
– BGP/OSPF over GRE over IPsec VPN with Vyatta
– iSCSIベンチマーク

IDC Frontier Inc. All rights re...
未来をささえる、Your Innovative Partner

IDC Frontier Inc. All rights reserved.

29
Upcoming SlideShare
Loading in...5
×

VYATTA USERS MEETING Autumn 2013_idcf

7,545

Published on

2013年10月11日に開催された、「VYATTA USERS MEETING Autumn 2013」“仮想ルータ利用の手引きと期待”セッションのIDCフロンティア発表資料です。

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,545
On Slideshare
0
From Embeds
0
Number of Embeds
14
Actions
Shares
0
Downloads
16
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

VYATTA USERS MEETING Autumn 2013_idcf

  1. 1. 未来をささえる、Your Innovative Partner IDCフロンティアとVyatta 株式会社IDCフロンテゖゕ プラットフォームサービス部 佐久間 充 IDC Frontier Inc. All rights reserved.
  2. 2. 自己紹介 • 佐久間 充 • IDCフロンテゖゕにてクラウドのネットワークを 主に担当しています。 • Vyattaはじめ仮想NWゕプラ゗ゕンスの問い合わ せに日々奔走。 • 有償の仮想NWゕプラ゗ゕンスの導入に苦労して おります。 IDC Frontier Inc. All rights reserved. 1
  3. 3. 社内でのVyattaの位置づけ • 無償テンプレートにて提供! • ということもあり、基本サポートはなし。 • ただご安心ください! • 裏ではしっかり調べてますので!!! その結果、ご満足のいく回答で なかったとしても、ご容赦ください。。 IDC Frontier Inc. All rights reserved. 2
  4. 4. 仮想ルータ(Vyatta)の魅力 • 無料版がある! 取っつきやすい • 自分でいろいろ試せる! – Vyatta同士だけでなく 他機種とのVPN接続も SSG550M YAMAHA RTX1200 Cisco7301 / Cisco RVS4000など 弊社としても 検証実績あり! • 何でもできる!・・・ような気がする。 – コミュニテゖも非常に活発な印象 コゕなお問い合わせも多数 IDC Frontier Inc. All rights reserved. 3
  5. 5. 仮想ルータ(Vyatta)の魅力 • 無料版がある! ただ、提供側としては サポートが大変・・・ 取っつきやすい • 自分でいろいろ試せる! – Vyatta同士だけでなく 他機種とのVPN接続も SSG550M YAMAHA RTX1200 Cisco7301 / Cisco RVS4000など 弊社としても 検証実績あり! • 何でもできる!・・・ような気がする。 – コミュニテゖも非常に活発な印象 コゕなお問い合わせも多数 IDC Frontier Inc. All rights reserved. 4
  6. 6. あるお客様からのお問い合わせ(例) 「VPNしてプラ゗ベート網作っても、 ネットワークを追加するたびに 設定を変えなきゃいけないのは 面倒なんですけど・・・」 IDC Frontier Inc. All rights reserved. 5
  7. 7. あるお客様からのお問い合わせ(例) 192.168.1.0/24 Vyatta A IPsec VPN Vyatta B 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/24 } } tunnel 2 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.3.0/24 } } IDC Frontier Inc. All rights reserved. tunnel 3 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.4.0/24 } } 6
  8. 8. あるお客様からのお問い合わせ(例) 192.168.1.0/24 Vyatta A IPsec VPN Vyatta B 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 tunnel 1 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.2.0/24 } } 面倒だなぁ・・・。 tunnel 2 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.3.0/24 } } IDC Frontier Inc. All rights reserved. tunnel 3 { local { subnet 192.168.1.0/24 } remote { subnet 192.168.4.0/24 } } 7
  9. 9. あるお客様からのお問い合わせ(例) tunnel 1 { local { tunnel 1 subnet 192.168.1.0/24 } { local remote { { subnet 192.168.2.0/24 subnet 192.168.1.0/24 } } } 192.168.1.0/24 Vyatta A IPsec VPN Vyatta B 192.168.2.0/24 192.168.3.0/24 192.168.2.0/22 192.168.4.0/24 面倒だなぁ・・・。 tunnel 2 {remote { tunnel 3 { local { local { subnet 192.168.2.0/22 subnet 192.168.1.0/24 subnet 192.168.1.0/24 } } } remote { remote { } subnet 192.168.3.0/24 subnet 192.168.4.0/24 } } } } IDC Frontier Inc. All rights reserved. 8
  10. 10. 先ほどの問い合わせに対して もっとスマートな解決法ないだろうか・・・ BGP/OSPFを張って動的に経路広報 させてやれば出来るような気が・・・ 本当に出来るの? VPN上で? どうやって? ということでやってみました。 IDC Frontier Inc. All rights reserved. 9
  11. 11. BGP/OSPF Over GRE Over IPsec 192.168.1.0/24 Vyatta(セルフ) 1.1.1.1 AS:64522 Vyatta(マネージド) 2.2.2.2 192.168.2.0/24 AS:64511 AS:64533 GRE (tun3) IPsec VPN 192.168.103.0/24 IDC Frontier Inc. All rights reserved. Vyatta(自宅) 3.3.3.3 192.168.3.0/24 10
  12. 12. やり方 ① IPsec VPN を張ります ② GREトンネルを作ります ③ BGP / OSPFを流します ④ 以上 実に簡単! IDC Frontier Inc. All rights reserved. 11
  13. 13. Config - ① IPsec VPN peer 2.2.2.2 { authentication { id @self-managed mode pre-shared-secret pre-shared-secret my_shared_secret remote-id @managed-self } connection-type initiate default-esp-group ESP ike-group IKE local-ip 10.1.11.1 tunnel 1 { local { subnet 10.1.11.0/24 } remote { subnet 172.24.22.0/24 } } } peer 3.3.3.3 { authentication { id @self-home mode pre-shared-secret pre-shared-secret my_shared_secret remote-id @home-self } default-esp-group ESP ike-group IKE local-ip 10.1.11.1 tunnel 1 { local { subnet 10.1.11.0/24 } remote { subnet 192.168.33.0/24 } } } このあたりは『VPN 手順書』で検索して出てくる IDCフロンテゖゕの手順書で! IDC Frontier Inc. All rights reserved. 12
  14. 14. Config - ② GRE interfaces { tunnel tun1 { address 192.168.100.1/24 encapsulation gre ip { ospf { cost 20 dead-interval 40 hello-interval 10 priority 1 retransmit-interval 5 transmit-delay 1 } local-ip 10.1.11.1 multicast enable remote-ip 172.24.22.1 } } interfaces { tunnel tun2 { address 192.168.103.1/24 encapsulation gre local-ip 10.1.11.1 multicast enable remote-ip 192.168.33.1 } } ※ デフォルトでMTUは 1472に設定されます IDC Frontier Inc. All rights reserved. 13
  15. 15. Config - ② GRE interfaces { tunnel tun1 { address 192.168.100.1/24 encapsulation gre ip { ospf { cost 20 dead-interval 40 hello-interval 10 priority 1 retransmit-interval 5 transmit-delay 1 } local-ip 10.1.11.1 multicast enable remote-ip 172.24.22.1 } } 基本的にはこれでGREトンネルはOK interfaces { tunnel tun2 { address 192.168.103.1/24 encapsulation gre local-ip 10.1.11.1 OSPFに関する設定 multicast enable デフォルトでコストは20、切り替わり時間は40s remote-ip 192.168.33.1 } } ※ デフォルトでMTUは 1472に設定されます IDC Frontier Inc. All rights reserved. 14
  16. 16. Config - ③ eBGP / OSPF bgp 64515 { neighbor 192.168.101.2 { password password remote-as 64516 soft-reconfiguration { inbound } } ・・・(中略)・・・ network 192.168.1.0/24 { } timers { holdtime 6 keepalive 2 } ospf { area 0.0.0.0 { network 192.168.101.0/24 network 192.168.102.0/24 } parameters { abr-type cisco router-id 1.1.1.1 } redistribute { connected { metric-type 2 } } } } IDC Frontier Inc. All rights reserved. 15
  17. 17. Config - ③ eBGP / OSPF bgp 64515 { neighbor 192.168.101.2 { password password remote-as 64516 soft-reconfiguration { inbound } } ・・・(中略)・・・ network 192.168.1.0/24 { } timers { holdtime 6 keepalive 2 } ospf { area 0.0.0.0 { AS間のネゴシエーション network 192.168.101.0/24 network 192.168.102.0/24 } parameters { BGPで広報したいネットワーク abr-type cisco router-id 1.1.1.1 } redistribute { BGPの切り替わり時間 connected { ※ デフォルト180秒、今回は6秒に設定 metric-type 2 } } } } IDC Frontier Inc. All rights reserved. 16
  18. 18. Config - ③ eBGP / OSPF bgp 64515 { neighbor 192.168.100.2 { OSPFでネゴシエーション password password するネットワーク remote-as 64516 soft-reconfiguration { inbound } } 各種パラメータ設定 ・・・(中略)・・・ network 192.168.10.0/24 { ABRはデフォルトでCisco ※} standardやIBMなども設定可能 timers { holdtime 6 keepalive 2 } ospf { area 0.0.0.0 { network 192.168.101.0/24 network 192.168.102.0/24 } parameters { abr-type cisco router-id 1.1.1.1 } redistribute { connected { metric-type 2 } } } } IDC Frontier Inc. All rights reserved. 17
  19. 19. 軽くデモ • ちゃんと切り替わるの? • 経路追加したときにちゃんと広報するの? IDC Frontier Inc. All rights reserved. 18
  20. 20. はまったところ 唯一、非NAT環境だから? • 他社クラウド環境も使ってスクエゕ・フルメッシュ構成にしようと したが、失敗。 192.168.3.0/24 192.168.1.0/24 Vyatta Vyatta(セルフ) 1.1.1.1 AS:64511 IPsec VPN AS:64544 AS:64522 Vyatta(マネージド) 2.2.2.2 192.168.2.0/24 GRE (tun3) IPsec VPN 192.168.103.0/24 AS:64533 Vyatta(自宅) 3.3.3.3 192.168.3.0/24 ⇒ VPNは一応UPするけど怪しいし、OSPFもすぐに切れる ⇒ MTUのせい?と思ってMTUを1200で統一するもダメ…。 IDC Frontier Inc. All rights reserved. 19
  21. 21. はまったところ 180s • BGPのHold Timeがデフォルトで なので、そこを 変えずに切り替え時に通信が長時間途切れてあたふた • 6.4と6.6を混ぜた状態で当初は構築したところ、 OSPFがネゴシエーション確立しない ⇒ 6.5以降にはMTU制限が効かなくなるというのが あるらしく、これが原因? “http://d.hatena.ne.jp/mikeda/20121217/1355762337”など ⇒ 結局よくわからず6.4にて構築し直し…。 • ゗ンストールせずに構築し、忘れて再起動…。 ⇒ 何度繰り返したことか… などなど、設定としては非常に簡単だが、 実際にやってみると意外に苦労しました…。 IDC Frontier Inc. All rights reserved. 20
  22. 22. ここまでやってみて・・・ • せっかく作ったこの環境、 「作ってみました、どうでしょう!」で 終わらせるのはもったいない…。 • 家にあるストレージにIDCFセルフクラウドから ゗ンターネット越しにiSCSI接続して ベンチマークでもしてみよう! IDC Frontier Inc. All rights reserved. 21
  23. 23. 構成 Vyatta(セルフ) AS:64511 1.1.1.1 AS:64522 Vyatta(マネージド) 2.2.2.2 AS:64533 GRE (tun3) IPsec VPN Vyatta(自宅) 3.3.3.3 192.168.103.0/24 IDC Frontier Inc. All rights reserved. 22
  24. 24. 結果(bonnie++) 1GBのフゔ゗ルに対して読み書き VPN経由ゕクセス Sequential Output Sequential Input Random Per Char Block Rewrite Per Char Block Seeks K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU /sec %CPU 299 70 3131 0 1331 0 2105 45 2880 0 190.8 3 2383ms 7326ms 3177ms 58073us 414ms 509ms Read : 2.9MB/s, Write : 3.1MB/s LAN内ゕクセス Sequential Output Sequential Input Random Per Char Block Rewrite Per Char Block Seeks K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU K/sec %CPU /sec %CPU 451 92 9185 3 5416 2 2350 92 13824 3 267.7 18 289ms 5650ms 1221ms 40446us 66107us 160ms Read : 13.8MB/s, Write : 9.2MB/s IDC Frontier Inc. All rights reserved. 23
  25. 25. 接続中に切り替わっても問題ない? • dd if=/dev/zero of=file count=4096 bs=1024k • 4Gフゔ゗ルを生成中にtun2をdisableにして経路 切り替え 問題なく動作 ただ、切り替えが遅かったらだめかも ネットワーク使用量が多すぎて 一体何してるんですかと 注意されてしまいましたが・・・ IDC Frontier Inc. All rights reserved. 24
  26. 26. これからやってみたい事 • BGPやってみたけど、この構成だとあまり意味 が無い? (当初の計画が10台のVyattaを構築して 複雑な構成で試す予定だったのは秘密) • もっとたくさんのVyatta間でこの構成を 大きくしていったら面白いことになるかも!? 繋げてもいいよ!という方を募集!? IDC Frontier Inc. All rights reserved. 25
  27. 27. これからやってみたい事 続きはブログで? • BGPやってみたけど、この構成だとあまり意味 http://www.idcf.jp/blog/ が無い? (当初の計画が10台のVyattaを構築して 複雑な構成で試す予定だったのは秘密) • もっとたくさんのVyatta間でこの構成を 大きくしていったら面白いことになるかも!? 繋げてもいいよ!という方を募集!? IDC Frontier Inc. All rights reserved. 26
  28. 28. 事業者から見たVyattaの魅力と今後 • 無料なので新規サービスに使いやすい! • いろんな構成が試せて、大規模な機能検証も その代り、VyattaのみでのNW構築は向かない 可能! (そもそもサーバに48portも普通はのせない) 安定性よりは機能性! ( MPLS, BFD, VxLAN, TRILL・・・) ※ Ciscoなどの物理SWは安定性が最重要だけれど IDC Frontier Inc. All rights reserved. 27
  29. 29. まとめ • Vyatta使ってこんなことやってみました! – BGP/OSPF over GRE over IPsec VPN with Vyatta – iSCSIベンチマーク IDC Frontier Inc. All rights reserved. 28
  30. 30. 未来をささえる、Your Innovative Partner IDC Frontier Inc. All rights reserved. 29
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×