J55 Level3-5

j55-level3-5_topology

問題文

あなたはL3ネットワークの運用担当です。

L2NW網内で障害発生後、SV-56からSV-55宛のPingが届かなくなり、通信を至急復旧させないといけない。

暫定措置でもよいので、冗長構成を維持する必要はない。

SV-56からデフォルトGW(172.16.56.200)宛の疎通はまだある模様。

RT-01,RT-02,RT-03に対してはフル権限があり、好きに設定変更等できる。

達成条件

  • SV-56からSV-55までのPingが成功すること。

制約

L2NWを構成する装置へのアクセスはできない。

解説

障害サマリー

SV-56からSV-55の上り通信は問題ないが、下り通信(172.16.56.0/24向け)がブラックホールされている。

RT-02およびRT-03はそれぞれ172.16.56.0/24をGi0/0/0/2のConnected経路からnetworkコマンドで網内BGPに伝搬している。

今回L2NW網内の障害よりRT-03 Gi0/0/0/2<ー>SV-56の間のどこかで切れている想定だがRT-03のGi0/0/0/2にてLinkDownは発生していない。

隣接セグメントの先区間にて障害がある想定。回線キャリア装置でリンクダウン転送、LPT(Link Pass Through)等を使わない限り、EthernetのLinkDownは隣接セグメントの障害でしか発生しないため。

結果、RT-03は172.15.56.0/24のConnected経路を保持し続け、RT-02と共にBGP網内で経路が広告し続ける。

SV-55から172.16.56.1宛の下り通信がRT-02かRT-03に流れるかはBGP Best Path選定の結果次第だが、特にBGP Attributeの属性で差分がないので、IGPによって左右される。

RT-01から見て、RT-03に直接接続するリンクを経由したOSPF累積コスト値が一番低いので、下り通信はまずRT-03に届いてGi0/0/0/2から到達不能な経路に向かう。

対処は複数あるだろうと思うので、制限を設けていない。

経路調査(上り)

SV-56からデフォルトGWを確認すると、RT-02,RT-03のVIP 172.16.56.200であり、GWに向かう172.16.56.0/24経路はeth1(172.16.56.1)から出る。

RT-02,RE-03のVIPと物理IPに対してPing打つとVIP(172.16.56.200)とRT-02 Gi0/0/0/2の物理IP(172.16.56.201)までは到達可能だが、RT-03 Gi0/0/0/2(172.16.56.202)は到達NG。

SV-56からPing確認

一旦RT-03にログインして状態確認する。

まずRT-03からSV-56(172.16.56.1)宛のPingはNG。

sh ip route 172.16.56.1でルーティングテーブルを見るとGi0/0/0/2のConnected経路(172.16.56.0/24向け)の経路情報が有効である。

RT-03のGi0/0/0/2はUpでSV-55(172.16.55.1)宛にPingも問題なく到達する。

SV56<->RT-03 Gi0/0/0/2の間にて何かしら障害があるよう。

RT-03 経路確認、Ping確認

RT-03でHSRPの状態確認をすると、Activeになっており、Priorityがデフォルトより優先高い「110」になっているので、通常こちらがメインだと推定。

ただ、RT-02と疎通がとれていないので、RT-02のActive状態への遷移に悪影響を与えていないはず。

RT-02にログインして確認すると、SV-56(172.16.56.1)宛のPingとSV-55宛のPingが両方通っていることが確認できる。

またRT-02のHSRPもActive状態になっているので上り通信を受けられる状態であると推定。

これより一旦上り通信は確率できているはずだと推定し、下り通信を確認する。

RT-02 Ping確認等

経路調査(下り通信)

SV-56(172.16.56.1)の下りルートをRT-01から確認すると172.16.56.0/24のPrefix情報がRouting Tableで利用され、NextHopがRT-03のLo0(3.3.3.3)だと分かる。

RT-03からSV-56への疎通はNGなので、到達不能な経路を元にパケットを転送していることが推定できる。

RT-02からSV-55及びSV-56へのPingは良好だが、下り通信もRT-02を経由しないとトラフィックは救済されない。

172.16.56.0/24の経路情報をBGPテーブルで見ると、RT-03が広告している172.16.56.0/24の経路がRT-02より優先されbest pathになっていることが分かる。

理由はmetric値(RT-01からRT-03のOSPFコスト累積値)がより小さいため。

問題は優先されている経路情報を用いると、到達不能な経路に通信がブラックホールされることなので、何かしらの方法でRT-03から広告される172.16.56.0/24経路を止めたい。

ネタバレ(正解回答例)

例1)RT02 Gi0/0/0/2のIFをShutdownする。

→これが一番シンプル。復旧確認ができないため、リスクはあるがL2NWの障害情報をあとから確認して回復判断できるかも。

例2)OSPFコストを変更して下り通信をRT01に向かわせる。

→単一ユーザーの障害で多重区間の経路切替は通常避けるべき。RT-01<->RT-02のリンク障害があれば、RT-03がまた優先される。

例3)RT-01にRT-02向けのStatic Routeを追加。

※おそらく高級対処としてはBGPを用いた冗長構成にするか、L2NWのキャリアにLinkdown検知できない障害パターンについて確認した上、しっかり再発防止を検討する必要がある。

この問題に対して筆者の思い

以前勤務していたNOCではバックボーン網内とPE-CE間の保守が分離したため、似たような問題で切り分けが難航した件がありました。

この問題ではOSPF等のプロトコルを見ると、バックボーン区間に異常は無いという結果になり、PE-CE間は片系が活きているので最初は「あれ?」ってなります。

キャリア網を介してFHRPでPEの冗長構成を組むのはおそらく普段ないことで、非現実的な部分があったことについてすみません。

実際に類似構成で見てきた件ではCEとPEではBGPで冗長を取っているのが基本だったと思います。ですが、お客様がCERの設定を自由に変えられるサービス形態も多く、オーバレイでCisco教本を参考にCEのWAN IPをTunnelのSRC IPにして突然通信断がおきる事象などがあった。ちょうど片系断のみであれば工事通知を省略しても良いのではという議論がすすみそうになっていた時期に偶然見つけて監視をどうすべきかなど、色々悩まされました。

Config

詳細トポロジー図

lvl3-5detailtopology
RT-01

hostname RT-01
username clab
group root-lr
group cisco-support
secret 10 XXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 1.1.1.1 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-55
ipv4 address 172.16.55.200 255.255.255.0
!
interface GigabitEthernet0/0/0/1
description to-RT-02
ipv4 address 192.168.1.2 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-RT-03
ipv4 address 192.168.2.2 255.255.255.252
!
router static
address-family ipv4 unicast

!
router ospf 55
router-id 1.1.1.1
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/1
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/2
cost 10
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.55.0/24
!
neighbor 2.2.2.2
remote-as 55
description to-RT-02
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-02

hostname RT-02
username clab
group root-lr
group cisco-support
secret 10 $6$8C/kWH.g6.90W…$QbQp.wMbNar7L66qbWh5kRsOJkf.Y4EPaBWYbHMUelyJmlZMOIKAoi3YXIiJmz4A9AKZ1rNh7Yt9kJBmVGLIg0
!
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 2.2.2.2 255.255.255.255
!
interface MgmtEth0/RP0/CPU0/0
ipv4 address 172.20.20.9 255.255.255.0
ipv6 address 3fff:172:20:20::2/64
ipv6 address 3fff:172:20:20::4/64
ipv6 address 3fff:172:20:20::5/64
ipv6 address 3fff:172:20:20::6/64
ipv6 address 3fff:172:20:20::9/64
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-03
ipv4 address 192.168.0.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-01
ipv4 address 172.16.56.201 255.255.255.0
!
router static
address-family ipv4 unicast
0.0.0.0/0 MgmtEth0/RP0/CPU0/0 172.20.20.1
!
address-family ipv6 unicast
::/0 MgmtEth0/RP0/CPU0/0 3fff:172:20:20::1
!
!
router ospf 55
router-id 2.2.2.2
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description iBGP-to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-02

hostname RT-02
username clab
group root-lr
group cisco-support
secret 10 XXXXX
!
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 2.2.2.2 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.1.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-03
ipv4 address 192.168.0.1 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-01
ipv4 address 172.16.56.201 255.255.255.0
!
router static
address-family ipv4 unicast
!
!
router ospf 55
router-id 2.2.2.2
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 15
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description iBGP-to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 3.3.3.3
remote-as 55
description iBGP-to-RT-03
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end

RT-03

hostname RT-03
username clab
group root-lr
group cisco-support
secret 10 XXXXX
grpc
port 9339
no-tls
address-family dual
!
line default
transport input ssh
!
netconf-yang agent
ssh
!
interface Loopback0
ipv4 address 3.3.3.3 255.255.255.255
!
interface GigabitEthernet0/0/0/0
description to-RT-01
ipv4 address 192.168.2.1 255.255.255.252
!
interface GigabitEthernet0/0/0/1
description to-RT-02
ipv4 address 192.168.0.2 255.255.255.252
!
interface GigabitEthernet0/0/0/2
description to-SW-02
ipv4 address 172.16.56.202 255.255.255.0
!
router static
address-family ipv4 unicast

!
router ospf 55
router-id 3.3.3.3
area 0
interface Loopback0
!
interface GigabitEthernet0/0/0/0
cost 10
network point-to-point
!
interface GigabitEthernet0/0/0/1
cost 100
network point-to-point
!
!
!
router bgp 55
address-family ipv4 unicast
network 172.16.56.0/24
!
neighbor 1.1.1.1
remote-as 55
description to-RT-01
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
neighbor 2.2.2.2
remote-as 55
description to-RT-02
update-source Loopback0
address-family ipv4 unicast
next-hop-self
!
!
!
router hsrp
interface GigabitEthernet0/0/0/2
address-family ipv4
hsrp 55
authentication janog55
preempt
priority 110
address 172.16.56.200
!
!
!
!
ssh server v2
ssh server netconf vrf default
end

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です