Blog

J55 English123

Janog53 NETCONに参加された方々はお気づきになったかもしれませんが、今回の英語問題は過去問の翻訳でした。

ホスト名だけ少し変えているので日本語の解説ページを貼ります。

English 1 (300点)：https://izuminmin.com/network/post-1155/

English1：J55ホスト名変更＋トポロジー図

SV1 –> SV-01

SV2 –> SV-02

ACCESS1 –> RT-01

ACCESS2 –> RT-02

CORE1 –> RT-51

CORE2 –> RT-52

English 2(100点）：https://zenn.dev/gifu/articles/ab41fb99ef922c

English2：J55ホスト名変更＋トポロジー図

PC1–>SV-53

R1–>RT-01

R2–>RT-02

SV–>SV-01

SV2–>SV-02

English 3(100点)：https://www.infrastudy.com/?p=1447

English3：J55ホスト名変更＋トポロジー図

user –> RT-01

otheras –> RT-02

myas –> RT-03

target –> RT-04

2025年1月26日
J55 Level3-5
問題文

あなたはL3ネットワークの運用担当です。

L2NW網内で障害発生後、SV-56からSV-55宛のPingが届かなくなり、通信を至急復旧させないといけない。

暫定措置でもよいので、冗長構成を維持する必要はない。

SV-56からデフォルトGW（172.16.56.200）宛の疎通はまだある模様。

RT-01,RT-02,RT-03に対してはフル権限があり、好きに設定変更等できる。

達成条件
- SV-56からSV-55までのPingが成功すること。
SV-56:~# ping -c 3 172.16.55.1
PING 172.16.55.1 (172.16.55.1) 56(84) bytes of data.
64 bytes from 172.16.55.1: icmp_seq=1 ttl=62 time=2.31 ms
64 bytes from 172.16.55.1: icmp_seq=2 ttl=62 time=1.46 ms
64 bytes from 172.16.55.1: icmp_seq=3 ttl=62 time=1.31 ms
— 172.16.55.1 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 1.313/1.693/2.309/0.439 ms

制約

L2NWを構成する装置へのアクセスはできない。

解説

障害サマリー

SV-56からSV-55の上り通信は問題ないが、下り通信（172.16.56.0/24向け）がブラックホールされている。

RT-02およびRT-03はそれぞれ172.16.56.0/24をGi0/0/0/2のConnected経路からnetworkコマンドで網内BGPに伝搬している。

今回L2NW網内の障害よりRT-03 Gi0/0/0/2＜ー＞SV-56の間のどこかで切れている想定だがRT-03のGi0/0/0/2にてLinkDownは発生していない。

隣接セグメントの先区間にて障害がある想定。回線キャリア装置でリンクダウン転送、LPT(Link Pass Through）等を使わない限り、EthernetのLinkDownは隣接セグメントの障害でしか発生しないため。

結果、RT-03は172.15.56.0/24のConnected経路を保持し続け、RT-02と共にBGP網内で経路が広告し続ける。

SV-55から172.16.56.1宛の下り通信がRT-02かRT-03に流れるかはBGP Best Path選定の結果次第だが、特にBGP Attributeの属性で差分がないので、IGPによって左右される。

RT-01から見て、RT-03に直接接続するリンクを経由したOSPF累積コスト値が一番低いので、下り通信はまずRT-03に届いてGi0/0/0/2から到達不能な経路に向かう。

対処は複数あるだろうと思うので、制限を設けていない。

経路調査（上り）

SV-56からデフォルトGWを確認すると、RT-02,RT-03のVIP 172.16.56.200であり、GWに向かう172.16.56.0/24経路はeth1(172.16.56.1)から出る。

SV-56:~# ip route
default via 172.16.56.200 dev eth1
172.16.56.0/24 dev eth1 proto kernel scope link src 172.16.56.1
172.20.20.0/24 dev eth0 proto kernel scope link src 172.20.20.3

RT-02,RE-03のVIPと物理IPに対してPing打つとVIP(172.16.56.200)とRT-02 Gi0/0/0/2の物理IP（172.16.56.201）までは到達可能だが、RT-03 Gi0/0/0/2（172.16.56.202）は到達NG。

SV-56からPing確認

SV-56:~# arp
? (172.16.56.200) at 00:00:0c:07:ac:37 [ether] on eth1
? (172.16.56.201) at aa:c1:ab:ee:1d:f1 [ether] on eth1
? (172.16.56.202) at <incomplete> on eth1
SV-56:~# ping 172.16.56.200
PING 172.16.56.200 (172.16.56.200) 56(84) bytes of data.
64 bytes from 172.16.56.200: icmp_seq=1 ttl=255 time=0.823 ms
64 bytes from 172.16.56.200: icmp_seq=2 ttl=255 time=0.513 ms
64 bytes from 172.16.56.200: icmp_seq=3 ttl=255 time=0.504 ms
^C
— 172.16.56.200 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2043ms
rtt min/avg/max/mdev = 0.504/0.613/0.823/0.148 ms
SV-56:~# ping 172.16.56.201
PING 172.16.56.201 (172.16.56.201) 56(84) bytes of data.
64 bytes from 172.16.56.201: icmp_seq=1 ttl=255 time=1.04 ms
64 bytes from 172.16.56.201: icmp_seq=2 ttl=255 time=0.761 ms
64 bytes from 172.16.56.201: icmp_seq=3 ttl=255 time=0.817 ms
^C
— 172.16.56.201 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2058ms
rtt min/avg/max/mdev = 0.761/0.873/1.041/0.120 ms
SV-56:~# ping 172.16.56.202
PING 172.16.56.202 (172.16.56.202) 56(84) bytes of data.
From 172.16.56.1 icmp_seq=1 Destination Host Unreachable
From 172.16.56.1 icmp_seq=2 Destination Host Unreachable
From 172.16.56.1 icmp_seq=3 Destination Host Unreachable
From 172.16.56.1 icmp_seq=4 Destination Host Unreachable
^C
— 172.16.56.202 ping statistics —
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3053ms
pipe 4

一旦RT-03にログインして状態確認する。

まずRT-03からSV-56(172.16.56.1)宛のPingはNG。

sh ip route 172.16.56.1でルーティングテーブルを見るとGi0/0/0/2のConnected経路（172.16.56.0/24向け）の経路情報が有効である。

RT-03のGi0/0/0/2はUpでSV-55(172.16.55.1)宛にPingも問題なく到達する。

SV56<->RT-03 Gi0/0/0/2の間にて何かしら障害があるよう。

RT-03 経路確認、Ping確認

RP/0/RP0/CPU0:RT-03#ping 172.16.56.1
Mon Dec 23 04:08:33.908 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.56.1 timeout is 2 seconds:
..^C
Success rate is 0 percent (0/2)

RP/0/RP0/CPU0:RT-03#sh ip route 172.16.56.1
Mon Dec 23 04:03:16.188 UTC
Routing entry for 172.16.56.0/24
Known via “connected”, distance 0, metric 0 (connected)
Installed Dec 23 02:09:12.234 for 01:54:03
Routing Descriptor Blocks
directly connected, via GigabitEthernet0/0/0/2
Route metric is 0
No advertising protos.
RP/0/RP0/CPU0:RT-03#sh ip int GigabitEthernet 0/0/0/2
Mon Dec 23 04:19:31.060 UTC
GigabitEthernet0/0/0/2 is Up, ipv4 protocol is Up
Vrf is default (vrfid 0x60000000)
Internet address is 172.16.56.202/24

RP/0/RP0/CPU0:RT-03#ping 172.16.55.1
Mon Dec 23 04:22:42.030 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.55.1 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

RT-03でHSRPの状態確認をすると、Activeになっており、Priorityがデフォルトより優先高い「110」になっているので、通常こちらがメインだと推定。

ただ、RT-02と疎通がとれていないので、RT-02のActive状態への遷移に悪影響を与えていないはず。

RP/0/RP0/CPU0:RT-03#sh hsrp
Mon Dec 23 03:34:58.207 UTC
IPv4 Groups:
P indicates configured to preempt.
|
Interface Grp Pri P State Active addr Standby addr Group addr
Gi0/0/0/2 55 110 P Active local unknown 172.16.56.200
IPv6 Groups:
P indicates configured to preempt.
|
Interface Grp Pri P State Active addr Standby addr Group addr

RP/0/RP0/CPU0:RT-03#ping 172.16.56.201
Mon Dec 23 04:11:02.352 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.56.201 timeout is 2 seconds:
…^C
Success rate is 0 percent (0/3)

RT-02にログインして確認すると、SV-56(172.16.56.1)宛のPingとSV-55宛のPingが両方通っていることが確認できる。

またRT-02のHSRPもActive状態になっているので上り通信を受けられる状態であると推定。

これより一旦上り通信は確率できているはずだと推定し、下り通信を確認する。

RT-02 Ping確認等

RP/0/RP0/CPU0:RT-02#ping 172.16.56.1
Mon Dec 23 03:47:43.134 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.56.1 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms

RP/0/RP0/CPU0:RT-02#ping 172.16.55.1
Mon Dec 23 03:51:40.431 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.55.1 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms

RP/0/RP0/CPU0:RT-02#sh hsrp
Mon Dec 23 03:43:37.715 UTC
IPv4 Groups:
P indicates configured to preempt.
|
Interface Grp Pri P State Active addr Standby addr Group addr
Gi0/0/0/2 55 100 Active local unknown 172.16.56.200
IPv6 Groups:
P indicates configured to preempt.
|
Interface Grp Pri P State Active addr Standby addr Group addr

経路調査（下り通信）

SV-56（172.16.56.1）の下りルートをRT-01から確認すると172.16.56.0/24のPrefix情報がRouting Tableで利用され、NextHopがRT-03のLo0（3.3.3.3）だと分かる。

RT-03からSV-56への疎通はNGなので、到達不能な経路を元にパケットを転送していることが推定できる。

RP/0/RP0/CPU0:RT-01#sh ip route 172.16.56.1
Mon Dec 23 02:17:58.012 UTC
Routing entry for 172.16.56.0/24
Known via “bgp 55”, distance 200, metric 0, type internal
Installed Dec 23 02:10:26.906 for 00:07:31
Routing Descriptor Blocks
3.3.3.3, from 3.3.3.3
Route metric is 0
No advertising protos.

RT-02からSV-55及びSV-56へのPingは良好だが、下り通信もRT-02を経由しないとトラフィックは救済されない。

172.16.56.0/24の経路情報をBGPテーブルで見ると、RT-03が広告している172.16.56.0/24の経路がRT-02より優先されbest pathになっていることが分かる。

理由はmetric値(RT-01からRT-03のOSPFコスト累積値）がより小さいため。

RP/0/RP0/CPU0:RT-01#sh ip bgp
Tue Dec 24 09:43:24.957 UTC
BGP router identifier 1.1.1.1, local AS number 55
Status codes: s suppressed, d damped, h history, * valid, > best
i – internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
*> 172.16.55.0/24 0.0.0.0 0 32768 i
* i172.16.56.0/24 2.2.2.2 0 100 0 i
*>i 3.3.3.3 0 100 0 i

RP/0/RP0/CPU0:RT-01#sh ip bgp 172.16.56.0 255.255.255.0 detail
Mon Dec 23 02:19:45.085 UTC
BGP routing table entry for 172.16.56.0/24
Versions:
Process bRIB/RIB SendTblVer
Speaker 7 7
Flags: 0x00001001+0x20010000+0x00000000
Last Modified: Dec 23 02:10:26.806 for 00:09:18
Paths: (2 available, best #2)
Not advertised to any peer
Path #1: Received by speaker 0
Flags: 0x2000000000020005+0x00, import: 0x020
Not advertised to any peer
Local
2.2.2.2 (metric 16) from 2.2.2.2 (2.2.2.2), if-handle 0x00000000
Origin IGP, metric 0, localpref 100, valid, internal
Received Path ID 0, Local Path ID 0, version 0
Path #2: Received by speaker 0
Flags: 0x2000000001060005+0x00, import: 0x020
Not advertised to any peer
Local
3.3.3.3 (metric 11) from 3.3.3.3 (3.3.3.3), if-handle 0x00000000
Origin IGP, metric 0, localpref 100, valid, internal, best, group-best
Received Path ID 0, Local Path ID 1, version 7

問題は優先されている経路情報を用いると、到達不能な経路に通信がブラックホールされることなので、何かしらの方法でRT-03から広告される172.16.56.0/24経路を止めたい。

ネタバレ（正解回答例）

例１）RT02 Gi0/0/0/2のIFをShutdownする。

→これが一番シンプル。復旧確認ができないため、リスクはあるがL2NWの障害情報をあとから確認して回復判断できるかも。

RP/0/RP0/CPU0:RT-03#conf t
RP/0/RP0/CPU0:RT-03(config)#interface GigabitEthernet 0/0/0/2
RP/0/RP0/CPU0:RT-03(config-if)#shutdown
RP/0/RP0/CPU0:RT-03(config-if)#commit

RP/0/RP0/CPU0:RT-01#sh ip bgp
Tue Dec 24 09:48:56.072 UTC
BGP router identifier 1.1.1.1, local AS number 55
BGP generic scan interval 60 secs
Non-stop routing is enabled
BGP table state: Active
Table ID: 0xe0000000 RD version: 10
BGP table nexthop route policy:
BGP main routing table version 10
BGP NSR Initial initsync version 6 (Reached)
BGP NSR/ISSU Sync-Group versions 0/0
BGP scan interval 60 secs
Status codes: s suppressed, d damped, h history, * valid, > best
i – internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
*> 172.16.55.0/24 0.0.0.0 0 32768 i
*>i172.16.56.0/24 2.2.2.2 0 100 0 i
Processed 2 prefixes, 2 paths

RP/0/RP0/CPU0:RT-01#ping 172.16.56.1
Tue Dec 24 09:49:18.997 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.56.1 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/3 ms

例２）OSPFコストを変更して下り通信をRT01に向かわせる。

→単一ユーザーの障害で多重区間の経路切替は通常避けるべき。RT-01<->RT-02のリンク障害があれば、RT-03がまた優先される。

例３）RT-01にRT-02向けのStatic Routeを追加。

※おそらく高級対処としてはBGPを用いた冗長構成にするか、L2NWのキャリアにLinkdown検知できない障害パターンについて確認した上、しっかり再発防止を検討する必要がある。

この問題に対して筆者の思い

以前勤務していたNOCではバックボーン網内とPE-CE間の保守が分離したため、似たような問題で切り分けが難航した件がありました。

この問題ではOSPF等のプロトコルを見ると、バックボーン区間に異常は無いという結果になり、PE-CE間は片系が活きているので最初は「あれ？」ってなります。

キャリア網を介してFHRPでPEの冗長構成を組むのはおそらく普段ないことで、非現実的な部分があったことについてすみません。

実際に類似構成で見てきた件ではCEとPEではBGPで冗長を取っているのが基本だったと思います。ですが、お客様がCERの設定を自由に変えられるサービス形態も多く、オーバレイでCisco教本を参考にCEのWAN IPをTunnelのSRC IPにして突然通信断がおきる事象などがあった。ちょうど片系断のみであれば工事通知を省略しても良いのではという議論がすすみそうになっていた時期に偶然見つけて監視をどうすべきかなど、色々悩まされました。

Config

詳細トポロジー図

RT-01

hostname RT-01
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 1.1.1.1 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-55
ipv4 address 172.16.55.200 255.255.255.0
!
interface GigabitEthernet0/0/0/1
description to-RT-02
ipv4 address 192.168.1.2 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-RT-03
ipv4 address 192.168.2.2 255.255.255.252
!
router static
address-family ipv4 unicast

!
router ospf 55
router-id 1.1.1.1
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/1
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/2
cost 10
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.55.0/24
!
neighbor 2.2.2.2
remote-as 55
description to-RT-02
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-02

hostname RT-02
username clab
group root-lr
group cisco-support
secret 10 $6$8C/kWH.g6.90W…$QbQp.wMbNar7L66qbWh5kRsOJkf.Y4EPaBWYbHMUelyJmlZMOIKAoi3YXIiJmz4A9AKZ1rNh7Yt9kJBmVGLIg0
!
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 2.2.2.2 255.255.255.255
!
interface MgmtEth0/RP0/CPU0/0
ipv4 address 172.20.20.9 255.255.255.0
ipv6 address 3fff:172:20:20::2/64
ipv6 address 3fff:172:20:20::4/64
ipv6 address 3fff:172:20:20::5/64
ipv6 address 3fff:172:20:20::6/64
ipv6 address 3fff:172:20:20::9/64
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-03
ipv4 address 192.168.0.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-01
ipv4 address 172.16.56.201 255.255.255.0
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router ospf 55
router-id 2.2.2.2
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description iBGP-to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-02

hostname RT-02
username clab
group root-lr
group cisco-support
secret 10 XXXXX
!
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 2.2.2.2 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-03
ipv4 address 192.168.0.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-01
ipv4 address 172.16.56.201 255.255.255.0
!
router static
address-family ipv4 unicast
!
!
router ospf 55
router-id 2.2.2.2
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description iBGP-to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-03

hostname RT-03
username clab
group root-lr
group cisco-support
secret 10 XXXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 3.3.3.3 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.2.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-02
ipv4 address 192.168.0.2 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-02
ipv4 address 172.16.56.202 255.255.255.0
!
router static
address-family ipv4 unicast

!
router ospf 55
router-id 3.3.3.3
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 10
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 2.2.2.2
remote-as 55
description to-RT-02
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
preempt
priority 110
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end
2025年1月26日
J55 Level2-3
問題文

あなたはAS55を運用するNW担当です。

お客様よりSV-01(172.16.0.0.2/24)が属するサーバー群から外部との接続が急になくなったと申告を受けた。

AS92のRT-92はあなたがアクセスできるマネージドルーターであり、172.16.0.0/24のアドレス帯は正式にお客様へ割り当てられているという情報がある。

172.16.0.0/24以外のNWで影響はない。

暫定でも至急なにかしら復旧措置を実施してほしいとのこと。

達成条件（2段階）

RT-01からSV-01(172.16.0.2)までPing到達すること

RP/0/RP0/CPU0:RT-01#ping 172.16.0.2
Mon Dec 23 07:35:12.596 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms
RP/0/RP0/CPU0:RT-01#

SV-01から81.10.0.1にPingが到達すること。

SV-01:~# ping -c3 81.10.0.1
PING 81.10.0.1 (81.10.0.1) 56(84) bytes of data.
64 bytes from 81.10.0.1: icmp_seq=1 ttl=61 time=1.87 ms
64 bytes from 81.10.0.1: icmp_seq=2 ttl=61 time=1.82 ms
64 bytes from 81.10.0.1: icmp_seq=3 ttl=61 time=1.68 ms
— 81.10.0.1 ping statistics —
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 1.678/1.787/1.868/0.080 ms
SV-01:~#

制約

アクセスできる装置：RT-01, RT-02, RT-92, SV-01

解説

障害サマリー

お客様のSV-01へ到達するための経路と競合する経路情報が2Hop先のAS83から広告されている。
SV-01は172.16.0.0/24のアドレス帯に属しているが、172.16.0.0/20の集約経路でAS55に広告している。
AS83から172.16.0.0/21の経路広告がAS55に伝搬され、Longest Matchで172.16.0.2宛の通信で優先されてしまう。
AS55に不正経路が流入しないように抑止は掛けられるが、その際復旧されるのはあくまでもAS55網内からSV-01への疎通になる。
最終的にRT-92へ向かうより優先な経路を追加・伝搬させたらAS55を超えた外部との接続も復旧できる。
RT-02のeBGP route-policyでは/25以上に細かい経路を広告しないように破棄し、受信経路は/22以上に細かいものも破棄している。

経路調査

RT-01からPing確認。

　SV-01(172.16.0.2)宛はNG

RP/0/RP0/CPU0:RT-01#ping 172.16.0.2
Mon Dec 30 06:02:09.935 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2 timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)

SV-02(81.10.0.1)宛はOK

RP/0/RP0/CPU0:RT-01#ping 81.10.0.1
Mon Dec 30 07:21:38.937 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 81.10.0.1 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
RP/0/RP0/CPU0:RT-01#

RT-01の下記ルーティングテーブルを参照すると、172.16.0.2が含まれるBGP prefixが二つあることが分かる。採用されるのはより細かく切られている172.16.0.0/21。

　①172.16.0.0/20 next-hop 2.2.2.2

　②172.16.0.0/21 next-hop 2.2.2.2　（Longest Match）

パケットの転送先はBGP Next Hop（2.2.2.2）を参照し、ルーティングテーブルの再起検索でOSPFでRT-02向けのGi0/0/0/0から送出されることがわかる。

RP/0/RP0/CPU0:RT-01#sh ip route
Mon Dec 23 07:24:14.302 UTC
Codes: C – connected, S – static, R – RIP, B – BGP, (>) – Diversion path
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
Gateway of last resort is 172.20.20.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.20.20.1, 01:09:06, MgmtEth0/RP0/CPU0/0
L 1.1.1.1/32 is directly connected, 01:09:14, Loopback0
O 2.2.2.2/32 [110/2] via 192.168.0.2, 01:08:57, GigabitEthernet0/0/0/0
B 10.1.81.0/30 [200/0] via 2.2.2.2, 01:07:55
B 10.2.92.0/30 [200/0] via 2.2.2.2, 01:07:55
B 10.83.0.0/16 [200/0] via 2.2.2.2, 00:09:55
B 13.12.0.0/20 [200/0] via 2.2.2.2, 00:09:55
B 14.13.0.0/16 [200/0] via 2.2.2.2, 00:09:55
B 15.16.0.0/20 [200/0] via 2.2.2.2, 00:09:55
B 172.16.0.0/20 [200/0] via 2.2.2.2, 00:09:55
B 172.16.0.0/21 [200/0] via 2.2.2.2, 00:09:55
C 172.20.20.0/24 is directly connected, 01:09:06, MgmtEth0/RP0/CPU0/0
L 172.20.20.7/32 is directly connected, 01:09:06, MgmtEth0/RP0/CPU0/0
C 192.168.0.0/30 is directly connected, 01:09:08, GigabitEthernet0/0/0/0
L 192.168.0.1/32 is directly connected, 01:09:08, GigabitEthernet0/0/0/0

RT-02に入って改めてPingすると結果は相変わらずNG。

RP/0/RP0/CPU0:RT-02#ping 172.16.0.2
Mon Dec 30 06:26:41.225 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2 timeout is 2 seconds:
…..
Success rate is 0 percent (0/5)

RT-02でshow ip routeをたたくと、今度は①と②でnext-hopが異なることが分かる。※RT-02からiBGPで広報されたときはLo0(2.2.2.2)だった。

①172.16.0.0/20 next-hop 10.2.92.2
　next-hopは10.2.92.0/30のConnected経路がGi0/0/0/2を向いている。NW図またはIF description見るとRT-92と記載。

②172.16.0.0/21 next-hop 10.1.81.2
　next-hopは10.1.81.0/30のConnected経路がGi0/0/0/1を向いている。NW図またはIF description見るとRT-81と記載。

RT-02でルーティングテーブル等を確認

RP/0/RP0/CPU0:RT-02#sh ip route
Mon Dec 30 06:26:57.628 UTC
Codes: C – connected, S – static, R – RIP, B – BGP, (>) – Diversion path
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – ISIS, L1 – IS-IS level-1, L2 – IS-IS level-2
ia – IS-IS inter area, su – IS-IS summary null, * – candidate default
U – per-user static route, o – ODR, L – local, G – DAGR, l – LISP
A – access/subscriber, a – Application route
M – mobile route, r – RPL, t – Traffic Engineering, (!) – FRR Backup path
Gateway of last resort is 172.20.20.1 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 172.20.20.1, 02:45:39, MgmtEth0/RP0/CPU0/0
O 1.1.1.1/32 [110/2] via 192.168.0.1, 02:45:31, GigabitEthernet0/0/0/0
L 2.2.2.2/32 is directly connected, 02:45:47, Loopback0
C 10.1.81.0/30 is directly connected, 02:45:41, GigabitEthernet0/0/0/1
L 10.1.81.1/32 is directly connected, 02:45:41, GigabitEthernet0/0/0/1
C 10.2.92.0/30 is directly connected, 02:45:41, GigabitEthernet0/0/0/2
L 10.2.92.1/32 is directly connected, 02:45:41, GigabitEthernet0/0/0/2
B 10.83.0.0/16 [20/0] via 10.1.81.2, 02:44:26
B 13.12.0.0/20 [20/0] via 10.1.81.2, 02:44:26
B 14.13.0.0/16 [20/0] via 10.1.81.2, 02:44:26
B 15.16.0.0/20 [20/0] via 10.1.81.2, 02:44:26
B 81.10.0.0/16 [20/0] via 10.1.81.2, 02:44:26
B 172.16.0.0/20 [20/0] via 10.2.92.2, 02:44:26
B 172.16.0.0/21 [20/0] via 10.1.81.2, 02:44:26
C 172.20.20.0/24 is directly connected, 02:45:39, MgmtEth0/RP0/CPU0/0
L 172.20.20.6/32 is directly connected, 02:45:39, MgmtEth0/RP0/CPU0/0
C 192.168.0.0/30 is directly connected, 02:45:41, GigabitEthernet0/0/0/0
L 192.168.0.2/32 is directly connected, 02:45:41, GigabitEthernet0/0/0/0
RP/0/RP0/CPU0:RT-02#

RP/0/RP0/CPU0:RT-02#sh int description | include “Gi0/0/0/1|Gi0/0/0/2”
Mon Dec 30 06:41:32.170 UTC
Gi0/0/0/1 up up to-RT-81-external
Gi0/0/0/2 up up to-RT-92-external

RT-02で採択経路の再確認

RP/0/RP0/CPU0:RT-02#sh ip route 172.16.0.2
Mon Dec 30 06:29:47.085 UTC
Routing entry for 172.16.0.0/21
Known via “bgp 55”, distance 20, metric 0
Tag 81, type external
Installed Dec 30 03:42:30.931 for 02:47:16
Routing Descriptor Blocks
10.1.81.2, from 10.1.81.2, BGP external
Route metric is 0
No advertising protos.
RP/0/RP0/CPU0:RT-02#

RP/0/RP0/CPU0:RT-02#sh ip cef 172.16.0.2
Mon Dec 30 06:43:38.030 UTC
172.16.0.0/21, version 23, internal 0x5000001 0x40 (ptr 0x874038e8) [1], 0x0 (0x0), 0x0 (0x0)
Updated Dec 30 03:42:30.934
local adjacency to GigabitEthernet0/0/0/1
Prefix Len 21, traffic index 0, precedence n/a, priority 4
gateway array (0x8828d798) reference count 6, flags 0x2010, source rib (7), 0 backups
[1 type 3 flags 0x48501 (0x88331cf8) ext 0x0 (0x0)]
LW-LDI[type=0, refc=0, ptr=0x0, sh-ldi=0x0]
gateway array update type-time 1 Dec 30 03:42:30.934
LDI Update time Dec 30 03:42:30.934
via 10.1.81.2/32, 2 dependencies, recursive, bgp-ext [flags 0x6020]
path-idx 0 NHID 0x0 [0x8740aa20 0x0]
next hop 10.1.81.2/32 via 10.1.81.2/32
Load distribution: 0 (refcount 1)
Hash OK Interface Address
0 Y GigabitEthernet0/0/0/1 10.1.81.2

RT-02のBGPテーブルを見ると10.1.81.2はAS81、10.2.92.2はAS92のBGP Peerだと分かる。

本来はAS92に向かっているはずの通信がAS81に吸い込まれていることが分かる。

RP/0/RP0/CPU0:RT-02#sh ip bgp summary
Mon Dec 30 06:54:50.664 UTC
BGP router identifier 2.2.2.2, local AS number 55
Neighbor Spk AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down St/PfxRcd
1.1.1.1 0 55 196 199 15 0 0 03:13:20 0
10.1.81.2 0 81 198 196 15 0 0 03:13:27 6
10.2.92.2 0 92 197 198 15 0 0 03:13:27 1

一応RT-92にログインすれば172.16.0.2向けのPingはちゃんと届くことも確認できるので根本原因はやはり経路がLongest MatchでHijackされていることが分かる。

RP/0/RP0/CPU0:RT-92#ping 172.16.0.2
Mon Dec 30 07:05:10.519 UTC
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.0.2 timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/51/188 ms
RP/0/RP0/CPU0:RT-92#sh ip route 172.16.0.2
Mon Dec 30 07:05:19.844 UTC

対策について検討

RT-02から不正な経路に向かうので、AS81からの受信経路を詳しく見てみよう。
- 172.16.0.0/21のAS Pathを確認すると、2Hop先から不正経路が広告されている模様。
- 到達性のある81.10.0.1（SV-02）の経路もここで見ると二つそれらしきものがある。
  妙なことにより81.10.0.0/24の経路も受信しているが「>」のbestと示すマークが付いていない。
- また81.10.0.0/16はAS81から広告されている。
  不正経路をRT-02でフィルターしてもAS81配下にある81.10.0.1からは抑止されない
RP/0/RP0/CPU0:RT-02#sh ip bgp neighbor 10.1.81.2 received routes
Mon Dec 30 07:13:03.055 UTC
BGP router identifier 2.2.2.2, local AS number 55
BGP generic scan interval 60 secs
Non-stop routing is enabled
BGP table state: Active
Table ID: 0xe0000000 RD version: 15
BGP table nexthop route policy:
BGP main routing table version 15
BGP NSR Initial initsync version 13 (Reached)
BGP NSR/ISSU Sync-Group versions 0/0
BGP scan interval 60 secs
Status codes: s suppressed, d damped, h history, * valid, > best
i – internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
*> 10.83.0.0/16 10.1.81.2 0 81 83 i
*> 13.12.0.0/20 10.1.81.2 0 0 81 i
*> 14.13.0.0/16 10.1.81.2 0 0 81 i
*> 15.16.0.0/20 10.1.81.2 0 0 81 i
*> 81.10.0.0/16 10.1.81.2 0 0 81 i
* 81.10.0.0/24 10.1.81.2 0 0 81 i
*> 172.16.0.0/21 10.1.81.2 0 81 83 i
Processed 7 prefixes, 7 paths

RT-02でAS92から受けている経路は172.16.0.0/20のただ一つ。172.16.0.0/24を広告に足せばよい？

RP/0/RP0/CPU0:RT-02#sh ip bgp neighbor 10.2.92.2 received routes
Mon Dec 30 07:51:16.321 UTC
BGP router identifier 2.2.2.2, local AS number 55
BGP generic scan interval 60 secs
Non-stop routing is enabled
BGP table state: Active
Table ID: 0xe0000000 RD version: 16
BGP table nexthop route policy:
BGP main routing table version 16
BGP NSR Initial initsync version 13 (Reached)
BGP NSR/ISSU Sync-Group versions 0/0
BGP scan interval 60 secs
Status codes: s suppressed, d damped, h history, * valid, > best
i – internal, r RIB-failure, S stale, N Nexthop-discard
Origin codes: i – IGP, e – EGP, ? – incomplete
Network Next Hop Metric LocPrf Weight Path
*> 172.16.0.0/20 10.2.92.2 0 92 i
Processed 1 prefixes, 1 paths

RT-92のルーティングテーブルを確認すると172.16.0.0/21の範囲では172.16.0.0/24だけが影響されると推定できる。

　172.16.0.0/21でその他細かい経路は/20の集約経路でNull0に向かう。

　172.16.8.0/22または172.16.12.0/22のStatic経路を利用。

RP/0/RP0/CPU0:RT-92#sh ip route | include 172
Mon Dec 30 07:53:12.667 UTC
S* 0.0.0.0/0 [1/0] via 172.20.20.1, 04:11:56, MgmtEth0/RP0/CPU0/0
B 172.16.0.0/20 [200/0] via 0.0.0.0, 04:10:52, Null0
B 172.16.0.0/21 [20/0] via 10.2.92.1, 04:10:45
C 172.16.0.0/24 is directly connected, 04:11:58, GigabitEthernet0/0/0/1
L 172.16.0.1/32 is directly connected, 04:11:58, GigabitEthernet0/0/0/1
S 172.16.8.0/22 [1/0] via 172.16.0.2, 04:11:58, GigabitEthernet0/0/0/1
S 172.16.12.0/22 [1/0] via 172.16.0.2, 04:11:58, GigabitEthernet0/0/0/1
C 172.20.20.0/24 is directly connected, 04:11:56, MgmtEth0/RP0/CPU0/0
L 172.20.20.8/32 is directly connected, 04:11:56, MgmtEth0/RP0/CPU0/0

RT-92はなぜ172.16.0.0/20の経路しか広告していないか探ってみる。

　RT-02（10.2.92.1）に広告している経路情報を見ると、「Local Aggregate」と記載がある。
　経路を集約して細かいものをRT-92側で抑止しているんだと想定。

RP/0/RP0/CPU0:RT-92#sh ip bgp neighbor 10.2.92.1 advertised-routes
Mon Dec 30 07:57:28.915 UTC
Network Next Hop From AS Path
172.16.0.0/20 10.2.92.2 Local Aggregate 92i
Processed 1 prefixes, 1 paths

RT-92のコンフィグを見てみよう。

　aggregate-address 172.16.0.0/20 summary-onlyで細かい経路を抑止している

router bgp 92
address-family ipv4 unicast
aggregate-address 172.16.0.0/20 summary-only

RT-92でsummary-onlyを外せば良いか？

抑止されている経路はBGPテーブルで「s」フラグのものを見るが、172.16.0.2が含まれるより細かい経路がない。

RP/0/RP0/CPU0:RT-92#sh ip bgp | inc 172
Mon Dec 30 08:08:18.671 UTC
*> 172.16.0.0/20 0.0.0.0 32768 i
s> 172.16.0.0/21 10.2.92.1 0 55 81 83 i
s> 172.16.8.0/22 172.16.0.2 0 32768 ?
s> 172.16.12.0/22 172.16.0.2 0 32768 ?

RT-92のコンフィグをもう少しみると172.16.8.0/22等はstatic経路としてstatic-to-BGPでBGPテーブルに入っているが、172.16.0.0/24はConnected経路なので対象外。

「summary-only」を外して「redistribute connected」を追加すべきか？

　何かしらの方法で172.16.0.0/24を広告させるのは検討するも、いじらないといけないものが多い。

RT-92のルーティングコンフィグ

prefix-set STATIC-to-BGP
172.16.0.0/16 ge 16
end-set
!
route-policy REDIST
if destination in STATIC-to-BGP then
pass
else
drop
endif
end-policy
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
0.0.0.0/1 GigabitEthernet0/0/0/0 10.2.92.1
128.0.0.0/1 GigabitEthernet0/0/0/0 10.2.92.1
172.16.8.0/22 GigabitEthernet0/0/0/1 172.16.0.2
172.16.12.0/22 GigabitEthernet0/0/0/1 172.16.0.2
!
!
router bgp 92
address-family ipv4 unicast
aggregate-address 172.16.0.0/20 summary-only
redistribute static route-policy REDIST

一旦RT-02に戻って状況を改めてみよう。81.10.0.0/24の受信経路がなぜかbest pathに選定されなかったことも気になるのでコンフィグをみる。

RT-02の経路ポリシー

route-policy AS81_INBOUND
if destination in (0.0.0.0/0 ge 22) then
drop
else
pass
endif
end-policy
!
route-policy AS92_INBOUND
if destination in (0.0.0.0/0 ge 22) then
drop
else
pass
endif
end-policy
!
route-policy AS81_OUTBOUND
if destination in (0.0.0.0/0 ge 25) then
drop
else
pass
endif
end-policy
!
route-policy AS92_OUTBOUND
if destination in (0.0.0.0/0 ge 25) then
drop
else
pass
endif
end-policy
!
router bgp 55
address-family ipv4 unicast
network 192.168.0.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 10.1.81.2
remote-as 81
description to-RT-81-external
address-family ipv4 unicast
next-hop-self
route-policy AS81_INBOUND in
route-policy AS81_OUTBOUND out
soft-reconfiguration inbound always
!
!
neighbor 10.2.92.2
remote-as 92
description to-RT-92-external
address-family ipv4 unicast
next-hop-self
route-policy AS92_INBOUND in
route-policy AS92_OUTBOUND out
soft-reconfiguration inbound always
!
!
!

RT-02の経路ポリシーを踏まえて対策検討

RT-02のInbound Policy

　AS81とAS92のeBGPピアで共通。
- RT-81でSV-02向けの81.10.0.0/24経路も抑止されるから、81.10.0.0/16が採択されている。
- RT-92で仮に/24/23/22のより長いPrefix長を広告させられても、RT-02ではそのまま受けられない。
　/22より細かい経路を抑止。/21のHijack経路は通してしまう
- RT-92から同じ/22を広告させたらその他BGP属性の勝負になるが、SV-02が外部にあるので制御不可。
RT-02のOutbound Policy

　ここでは/25以上のPrefixは抑止されるが、/24は広告できるはず。

　戻り通信のためにRT-81に対して広告する経路をみると/24の経路も存在する。

RT-02からRT-81に対する経路広告

RP/0/RP0/CPU0:RT-02#sh ip bgp neighbor 10.1.81.2 advertised-routes
Mon Dec 30 08:39:29.355 UTC
Network Next Hop From AS Path
172.16.0.0/20 10.1.81.1 10.2.92.2 55 92i
192.168.0.0/24 10.1.81.1 Local 55i
Processed 2 prefixes, 2 paths
RP/0/RP0/CPU0:RT-02#

ネタバレ（正解回答例）

正解回答例

複数ありえるが、以下がおそらく一番簡単な方法

１）RT-02で172.16.0.0/24のstatic経路を書くとLongest matchで勝てる。またnetworkコマンドでBGP経路として網内に伝搬し、外部にあるSV-02にも経路を伝搬させる。

RP/0/RP0/CPU0:RT-02(config)#router static
RP/0/RP0/CPU0:RT-02(config-static)#address-family ipv
RP/0/RP0/CPU0:RT-02(config-static)#address-family ipv4 unicast
RP/0/RP0/CPU0:RT-02(config-static-afi)#172.16.0.0/24 GigabitEthernet 0/0/0/2 10.2.92.2
RP/0/RP0/CPU0:RT-02(config-static-afi)#exit
RP/0/RP0/CPU0:RT-02(config-static)#exit
RP/0/RP0/CPU0:RT-02(config)#router bgp 55
RP/0/RP0/CPU0:RT-02(config-bgp)#address-family ipv4 unicast
RP/0/RP0/CPU0:RT-02(config-bgp-af)#network 172.16.0.0/24
RP/0/RP0/CPU0:RT-02(config-bgp-af)#commit
Mon Dec 30 08:44:23.313 UTC
RP/0/RP0/CPU0:RT-02(config-bgp-af)#end

コメント：network上記設定よりAS55網内には伝搬されなくても、RT-01は不正経路を元にRT-02に向かい、RT-02のstatic経路のみでPerHopのルーティング仕様より到達可能。ただし、SV-02から172.16.0.2/24との疎通問題は解消しない。

２）RT-92にログインして経路ポリシー変更し、RT-02でも受信フィルターを緩和。難易度高くなるが可能。

この問題に対して筆者の感想

約10年前にISPのNW設備保守をやっていた際、実は経路ハイジャックの問題があれば基本エスカレして直接対処することがなかったので、勉強のためにどうやるんだっけと思いながら作門しました。

実は今回は最初に手掛けたラバ環境で動かせるノード数が限られていたので、少なくするように心がけていました。

結果、RT-02を不正経路および正常な経路を両方受ける対外ルーターにしてしまい、Static経路等を網内に伝搬させなくてもRT-01からの疎通が復旧できるとに後になって気づいちゃった。そこで「あ〜、失敗した！」と思いながら達成基準２を追加しました。

ISPによってポリシー等が違うと思うが、網外まで考慮して救済措置をとるのかな？より細かく経路を書く対策も限度があるのでやはりRPKI等の普及が大事だな。

コンフィグ

詳細トポロジー図

RT-01

hostname RT-01
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 1.1.1.1 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-02-internal
ipv4 address 192.168.0.1 255.255.255.252
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router ospf 55
router-id 1.1.1.1
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
!
neighbor 2.2.2.2
remote-as 55
description iBGP-to-RT-02
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-02

hostname RT-02
username clab
group root-lr
group cisco-support
secret 10 XXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 2.2.2.2 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-01-internal
ipv4 address 192.168.0.2 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-81-external
ipv4 address 10.1.81.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-RT-92-external
ipv4 address 10.2.92.1 255.255.255.252
!
route-policy AS81_INBOUND
if destination in (0.0.0.0/0 ge 22) then
drop
else
pass
endif
end-policy
!
route-policy AS92_INBOUND
if destination in (0.0.0.0/0 ge 22) then
drop
else
pass
endif
end-policy
!
route-policy AS81_OUTBOUND
if destination in (0.0.0.0/0 ge 25) then
drop
else
pass
endif
end-policy
!
route-policy AS92_OUTBOUND
if destination in (0.0.0.0/0 ge 25) then
drop
else
pass
endif
end-policy
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
192.168.0.0/24 Null0
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router ospf 55
router-id 2.2.2.2
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 192.168.0.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 10.1.81.2
remote-as 81
description to-RT-81-external
address-family ipv4 unicast
next-hop-self
route-policy AS81_INBOUND in
route-policy AS81_OUTBOUND out
soft-reconfiguration inbound always
!
!
neighbor 10.2.92.2
remote-as 92
description to-RT-92-external
address-family ipv4 unicast
next-hop-self
route-policy AS92_INBOUND in
route-policy AS92_OUTBOUND out
soft-reconfiguration inbound always
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-92

hostname RT-92
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 92.92.92.92 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-02
ipv4 address 10.2.92.2 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-SV-01
ipv4 address 172.16.0.1 255.255.255.0
!
prefix-set STATIC-to-BGP
172.16.0.0/16 ge 16
end-set
!
route-policy REDIST
if destination in STATIC-to-BGP then
pass
else
drop
endif
end-policy
!
route-policy OTHERAS_INBOUND
pass
end-policy
!
route-policy OTHERAS_OUTBOUND
if destination in (172.16.0.0/16 ge 22) then
drop
else
pass
endif
end-policy
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
0.0.0.0/1 GigabitEthernet0/0/0/0 10.2.92.1
128.0.0.0/1 GigabitEthernet0/0/0/0 10.2.92.1
172.16.8.0/22 GigabitEthernet0/0/0/1 172.16.0.2
172.16.12.0/22 GigabitEthernet0/0/0/1 172.16.0.2
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router bgp 92
address-family ipv4 unicast
aggregate-address 172.16.0.0/20 summary-only
redistribute static route-policy REDIST
!
neighbor 10.2.92.1
remote-as 55
description to-RT-02
address-family ipv4 unicast
next-hop-self
route-policy OTHERAS_INBOUND in
route-policy OTHERAS_OUTBOUND out
soft-reconfiguration inbound always
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-81

hostname RT-81
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
access-class ingress SSH-ACL
!
netconf-yang agent
ssh
!
ipv4 access-list SSH-ACL
10 deny ipv4 any any
!
interface Loopback0
ipv4 address 81.81.81.81 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-02
ipv4 address 10.1.81.2 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-83
ipv4 address 10.83.0.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SV-02
ipv4 address 81.10.0.254 255.255.255.0
!
route-policy AS55_INBOUND
pass
end-policy
!
route-policy AS83_INBOUND
pass
end-policy
!
route-policy AS55_OUTBOUND
pass
end-policy
!
route-policy AS83_OUTBOUND
pass
end-policy
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
13.12.0.0/20 Null0
14.13.0.0/16 Null0
15.16.0.0/20 Null0
81.10.0.0/16 Null0
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router bgp 81
address-family ipv4 unicast
network 13.12.0.0/20
network 14.13.0.0/16
network 15.16.0.0/20
network 81.10.0.0/16
network 81.10.0.0/24
!
neighbor 10.1.81.1
remote-as 55
description to-RT-02
address-family ipv4 unicast
next-hop-self
route-policy AS55_INBOUND in
route-policy AS55_OUTBOUND out
!
!
neighbor 10.83.0.2
remote-as 83
description to-RT-83
address-family ipv4 unicast
next-hop-self
route-policy AS83_INBOUND in
route-policy AS83_OUTBOUND out
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-83

hostname RT-83
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
access-class ingress SSH-ACL
!
netconf-yang agent
ssh
!
ipv4 access-list SSH-ACL
10 deny ipv4 any any
!
interface Loopback0
ipv4 address 83.83.83.83 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-81
ipv4 address 10.83.0.2 255.255.255.252
!
route-policy AS81_INBOUND
pass
end-policy
!
route-policy AS81_OUTBOUND
pass
end-policy
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
10.83.0.0/16 Null0
172.16.0.0/21 Null0
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router bgp 83
address-family ipv4 unicast
network 10.83.0.0/16
network 172.16.0.0/21
!
neighbor 10.83.0.1
remote-as 81
description to-RT-81
address-family ipv4 unicast
next-hop-self
route-policy AS81_INBOUND in
route-policy AS81_OUTBOUND out
!
!
!
ssh server v2
ssh server netconf vrf default
end
2025年1月25日

Blog

J55 English123

J55 Level3-5

問題文

達成条件

制約

解説

経路調査（上り）

経路調査（下り通信）

この問題に対して筆者の思い

Config

J55 Level2-3

問題文

達成条件（2段階）

制約

解説

経路調査

対策について検討

RT-02の経路ポリシーを踏まえて対策検討

この問題に対して筆者の感想

コンフィグ