テーマ:BGP(Border Gateway Protocol)におけるBGP Community属性を活用したトラフィックエンジニアリングの極意
概要
BGP(Border Gateway Protocol)は、インターネットのルーティングを支える要のプロトコルです。しかし、標準的なルーティングテーブルの交換だけでは、AS(Autonomous System)間のトラフィックフローを細かく制御することは困難です。ここで重要となるのが「BGP Community属性」です。
BGP Community属性は、ルートに付与する「タグ」のようなものであり、AS間での経路選択ポリシーの伝達や、特定の経路に対する制御を自動化するために不可欠なツールです。本稿では、単なる属性の説明にとどまらず、プロフェッショナルなネットワークエンジニアが実務でどのようにCommunityを利用して、効率的かつ冗長性のあるトラフィックエンジニアリング(TE)を実現しているかについて、深く掘り下げて解説します。
詳細解説:BGP Communityの仕組みとTEへの応用
BGP Communityは、RFC 1997で定義された「推移的(Transitive)」かつ「任意(Optional)」な属性です。32ビットの値を持ち、上位16ビットでAS番号、下位16ビットで任意の値を定義するのが一般的です(Large Communityは96ビットに拡張されています)。
なぜこの属性がTEにおいて強力なのか。それは、アップストリームのISPやピアリング先に対して、「この経路をどのように扱うべきか」という指示を出すことができるからです。
一般的なTEのシナリオとして、マルチホーム構成(複数のISPに接続)における「インバウンドトラフィックの制御」が挙げられます。BGPでは通常、AS Pathの長さが最短のルートが優先されます。しかし、特定のISPからの流入量を増やしたい、あるいは逆に減らしたいといったニーズがある場合、単純な経路広報だけでは制御できません。
ここで、ISPが提供する「Community値」を活用します。例えば、特定のCommunityを付与して経路を広報することで、ISP側で以下の処理を実行させることが可能です。
1. Local Preferenceの変更:ISPネットワーク内での優先度を上げ下げする。
2. AS Path Prepending:特定のルートのAS Pathを長く見せかけ、他社からの選好度を下げる。
3. 特定のピアへの広報抑止:特定の地域やパートナーへの経路広報を停止する。
このように、ISPが公開しているドキュメント(PeeringDBなどで確認可能)に基づき、適切なCommunityをタグ付けすることで、自社ネットワークのインバウンドトラフィックを能動的に制御できるようになります。
サンプルコード:Cisco IOS/IOS-XEにおけるCommunity設定
実務では、ルートマップを用いて特定の経路にCommunityを付与し、ネイバーに対して送信するように設定します。以下は、特定のプレフィックスに対して、ISPが指定する「ローカル優先度を下げるためのCommunity値(例:65000:70)」を付与する設定例です。
! 1. ルートマップの定義
route-map SET_COMMUNITY permit 10
match ip address prefix-list MY_INTERNAL_NETS
set community 65000:70 additive
!
! 2. BGPネイバーへの適用
router bgp 65001
neighbor 203.0.113.1 route-map SET_COMMUNITY out
neighbor 203.0.113.1 send-community
!
! 3. プレフィックスリストの定義
ip prefix-list MY_INTERNAL_NETS permit 192.0.2.0/24
この設定において重要なのは、「send-community」コマンドを忘れないことです。デフォルトではCommunity属性はネイバーに送信されない実装が多いため、この設定が抜けていると、いくらルートマップでCommunityを付与しても相手側には伝わりません。また、「additive」オプションを付与することで、既存のCommunityを消去せずに新しいタグを追加する構成にしています。これは、複数のポリシーを重ねる場合に非常に重要です。
実務アドバイス:大規模環境での運用と設計の注意点
プロフェッショナルな現場では、Communityの管理が煩雑になりがちです。以下の3つの観点を意識した設計が推奨されます。
1. Community体系の標準化
社内で利用するCommunity値は、必ずドキュメント化し、命名規則を統一してください。例えば、下位16ビットのうち、0-999は「トラフィック制御用」、1000-1999は「地理的タグ」、2000-2999は「ルートのソース識別」といった具合に体系化します。これにより、トラブルシューティング時に「どの経路がどこから来て、どのようなポリシーが適用されているか」が即座に判別可能になります。
2. セキュリティとフィルタリング
意図しないCommunity値が外部から流入したり、自社の内部用Communityが外部に漏洩したりすることはリスクです。必ず「inbound/outbound」のポリシーでCommunityのフィルタリングを行ってください。特に、外部から受け取った経路に対しては、一度Communityをクリアする、あるいは信頼できる値のみを許可する設計が基本です。
3. Large Communityの検討
従来の32ビットCommunityは、AS番号が32ビット化した現代のインターネットでは不足しがちです。また、柔軟なポリシー設計を行うには容量が足りません。RFC 8092で定義された「BGP Large Communities」であれば、より詳細なポリシーを記述できるため、新規の設計ではこちらを優先的に採用することを検討してください。
まとめ
BGP Communityは、単なる属性値ではなく、インターネットという巨大なエコシステムの中で自社のネットワークを「意図通りに動かす」ためのプログラマブルなインターフェースです。
ネットワークエンジニアとして、ISPが提供するCommunityを使いこなす能力は、マルチホーム環境での冗長設計や、コスト最適化、トラフィックの負荷分散において決定的な差を生みます。設定の際は「send-community」の確認を怠らず、また運用においてはCommunityの体系的な管理を行うことで、複雑なBGPネットワークを安定的に運用することが可能となります。
BGPは奥が深いプロトコルですが、Communityという「タグ」を使いこなすことで、その制御力は飛躍的に向上します。ぜひ、次回のネットワーク構成変更やISPとのピアリング設計において、本稿のテクニックを実践してみてください。確実な設計と、丁寧な検証の積み重ねが、堅牢なネットワーク構築への唯一の近道です。
コメント