2021年よりGRE/IPIPトンネルを利用して当団体へ接続している方の一部において、特定の通信が出来ない、パケットロスが断続的に発生するなどの問題が発生しております。CommunitySlackなどでも何度か申告が上がっておりますので、ご覧になった方もいらっしゃるかと思います。これらの問題は当団体の収容ルータのソフトウエア不具合によるものである可能性が高く、以下のことが分かっています。
- フルルートの経路増加に対策でリプレイスを進めている一部のJuniperNetworks製のルータで発生している。
- NetFlow(jFlow)を動かしていることが条件になっているGRE/IPIPトンネルのインタフェースのみで事象発生する。
- EtherIPトンネルや直接接続では発生しない
- 一度発生するとNetFlowやトンネルの設定を削除したりプロセス再起動でも復旧せず復旧させるにはルータの再起動が必要。
- 上記条件を満たしても必ず問題が発生する訳ではなく発生しないケースもある。
- いくつかのソフトウエアバージョンを試したものの修正されているものは無い。
- 一部のTCP通信においてペイロードが破損したパケットが届く、BGPのセッションは確立できる(BGPの制御パケットは正常に届く)が、その他通信が一切できないといった事象が発生している。
当団体では海外からの輸入、ネットオークション、企業の廃棄品などで調達したネットワーク機器が多く、ベンダーのテクニカルサポートを受けらないこともあり、原因の調査と修正は進んでおりませんが、当団体での検証と皆様からの申告により上記の内容が判明しました。NetFlowをはじめとするxFlow系のプロトコルを一切利用しなければこの問題は発生しませんが、昨今発生しているDDoS攻撃対策やピアリング先の検討などにxFlow系の技術を利用することは必須となっております。
このためGRE/IPIPトンネルの方を収容する専用のルータを東京と大阪(POP03とPOP52)に各1台設置することで当面の対応とすることに致しました。対応ルータは既に設置され既に稼働を開始しております。本ルータは問題が発生しているルータとは別機種で、トンネル接続が正常に動作することを確認済です。暫定対応であることや、機材の制限などからこの専用ルータには以下の制限を設けさせていただいております。
-
ルータの性能上の制限によりフルルートには対応していません。BGP接続の場合はデフォルトルートまたはパーシャル経路(ピアリング経路)のみに対応します。
-
東京と大阪に各1台の設置のため、同一エリアでGRE/IP-IPトンネルを利用した冗長構成は利用できません。なお、GRE/IPIPトンネルとEtherIPトンネルやその他方式による冗長構成は可能です。
-
問題が発生していないネットワーク参加者の方もおりますので、既に他のルータでGRE/IPIPトンネルを利用している方の専用ルータへの収容変更はご希望に基づいての対応といたします。
当団体としてはトンネル接続をご利用の場合はEtherIP接続を推奨しております。新規の接続の際はEtherIPトンネルをご検討ください。