[Oracle Cloud] アット東京 ATBeX ServiceLink で FastConnect接続してみてみた

Oracle FastConnect を使用すると、専用のプライベートな高帯域幅接続を介して、Oracle Cloud Infrastructure（OCI）の仮想クラウド・ネットワークに直接接続できます。そうすれば、お客様はデータ量に基づいて適切なポート速度を選択して予測可能な毎月一定の低料金を支払うだけです。 FastConnect パートナー、サードパーティ・プロバイダーを使用して、またはコロケーション環境内から Oracle Cloud に接続します。
ATBeX ServiceLink for Oracle Cloud サービスでは、アット東京の相互接続プラットフォームATBeXを介して、OCI FastConnectへ接続するための論理回線（L2のネットワークリンク）を提供します。

※ATBeXは、アット東京データセンター内での各事業者が提供しているサービスの利用や企業システム間の相互連携など、多様化する接続を提供。データセンター内の相互接続時における効率を向上させるプラットフォームサービスです。
■ 特長
　・ 1つの接続回線でサービス事業者への接続が可能
　・ 大容量のMPLS網内で高品質な帯域確保型の通信が可能
　・ 「必要なとき」に「必要な帯域」への変更が可能
　・ 閉域ネットワークで高いセキュリティを実現

アット東京 Cloud Lab は、1日から利用できるデータセンターサービスです。最高級のデータセンターで、クラウドの接続検証やライブ配信、映像制作などができます。

ということで、アット東京 Cloud Lab をレンタルできたので Oracle FastConnect接続してみてみます。

■ 構成

CPEは Cisco C892FSP を使用し、OCI へファイル転送するための NASストレージSynology DiskStation も繋いでおきます。

OCI 環境は予め図面のように構成し、MacBook から Object Storage へアクセスできるように Private DNS で名前解決もできるようにしておきます。

また、Linux OS が Synology NAS を マウントする方法は次を参考にします。

■ FastConnectの開始

Oracle Cloud Infrastructureドキュメントの手順を参考に アット東京 ATBeX ServiceLink と Fastconnect接続してみてみます。

■ 学習と計画

開始する前に、開始する前に: 学習および計画で計画について確認します。FastConnect冗長性のベスト・プラクティスおよびハードウェアおよびルーティングの要件も参照してください。

■ タスク1: Oracleパートナへの接続の設定

Oracleパートナに接続をオーダーし、それを設定してパートナでテストするプロセスを開始します。パートナによっては、時間がかかる場合があります。
今回、アット東京 Cloud Lab サービスを利用します。

写真・図版の出典: アット東京

■ タスク2: DRGの設定

Oracle Cloud Infrastructure Console を使用して DRG を設定し、それを VCN にアタッチして、DRG にトラフィックを送信するためのルート・ルールを含めるようにVCNのルーティングを更新します。ルート表の更新は忘れがちです。ルート・ルールがない場合、トラフィックは流れません。

● DRG作成

次の手順を使用してDRGを作成

● DRGへのVCNアタッチ

次の手順を使用して作成したDRGをVCNへアタッチ

● VCNルート表のルールの更新

次の手順を使用してVCNルート表のルールを更新してオンプレミスとVCN内インスタンスが通じるようにします。

■ タスク3: 仮想回線の設定

1) OCI コンソール画面
ナビゲーション・メニューを開き、「ネットワーキング」をクリックし、「顧客接続性」項目にある [FastConnect]をクリック

2) FastConnect接続画面
「FastConnectの作成」をクリック

3) 接続の作成: 接続タイプ画面
「FastConnectパートナ」を選択し、リストからパートナを選択し、[次]をクリック

4) 接続の作成: 構成画面
次の項目を入力し、[作成]をクリック

・ 名前: 仮想回線の追跡に役立つわかりやすい名前。値は仮想回線間で一意である必要はなく、後で変更できます。機密情報の入力は避けてください。
・ コンパートメントに作成: そのままにします(現在作業中のコンパートメント)。 
・ 仮想回線タイプ: [プライベート仮想回線]を選択
・ トラフィック: ここでは、[すべてのトラフィック]を選択
・ 動的ルーティング・ゲートウェイ: 事前に作成したDRGを選択
・ プロビジョニングされた帯域幅: 値を選択します。帯域幅を後で増加させる必要がある場合は、別の値を使用するように仮想回線を更新できます
・ BGP IPアドレス
  - 顧客BGP IPv4アドレス: ユーザー・エッジ(CPE)用のBGPピアリングIPアドレスを入力
  - Oracle BGP IPv4アドレス: Oracle エッジ(DRG)に使用するBGPピアリングIPアドレスを入力
・ 顧客BGP ASN: ユーザー・エッジ(CPE)の BGP ASN を入力
  - BGP MD5認証キーを使用します: MD5認証が必要な場合は、このチェック・ボックスを選択し、キーを指定します。Oracleは128ビットのMD5認証までをサポートしています。
  - 双方向転送検出の有効化: 双方向転送検出(BFD)は、2つのデバイス間のリンクの障害および停止検出に使用されます。BFDを使用するOCIデバイスは、300ミリ秒ごとにメッセージを送信し、3倍の乗数を使用します。BFDの詳細は、RFC 5880で参照できます
  - MTU: 1つのパケットで伝送できるバイト数を表す最大転送単位(MTU)を 1500 もしくは 9000 を選択[参考](https://docs.oracle.com/ja-jp/iaas/Content/Network/Troubleshoot/connectionhang.htm#Overview)

5) FastConnect接続画面
OCIDをコピーして別の場所に貼り付けます。次のタスクでそれをパートナ(ここではアット東京)に渡します。

次のタスクを完了してパートナがプロビジョニング作業を行うまで、仮想回線のライフサイクル状態は「プロバイダ保留中」で、BGP状態は「停止中」です。パートナが作業を行った後、ライフサイクル状態は「プロビジョニング済」に切り替わります。BGPセッションが確立されて機能すると、BGP状態は「稼働中」に変わります。

■ タスク4: 仮想回線のパートナ側の完了

パートナに連絡し、作成した各仮想回線のOCIDを、パートナがリクエストしたその他の情報とともに提供します。パートナによっては、パートナのオンライン・ポータル、または電話でこれを行う場合があります。パートナは、接続を完了するために、各仮想回線を終端で構成します。
今回、アット東京から「ATBeXサービス開通ご報告書」受領後、次の手順へ進みます。また、この報告書の項目にある「お客様VLAN-ID」を使用して CPE へ VLAN を設定して ATBeX と接続します。

・ATBeXサービス開通ご報告書のイメージ

Oracle Edge とパートナーEdge がつながり開通すると OCI側 Fastconnect画面では、Connection Status がグリーン色の "プロビショニング済み" になり、メトリック画面では、Connecttion State が "0 (停止中)" から "1 (稼働中)" にステータスが変わります。 また、BGP状態はCPE側で設定がされていないため"停止"状態です。

■ タスク5: エッジの構成

BGPピアリング情報を使用するようにエッジ(CPE)を構成します(一般的な要件を参照)
BGPセッションを正常に構成すると、仮想回線のBGPセッション状態が「稼働中」に変わります。
今回、Cloud Lab の貸し出しルータ Cisco を使用して設定してみてみます。

● ルーターへのコンソール接続

ルーターへ Ciscoケーブルを接続し、MacBook でコンソール接続します。

● Cisco ルーター初期設定

初期状態の Cisco ルーターでは、セットアップ モードが起動するので必要に応じて設定します。

● hostname設定

今回複数台のルーターを使用する検証をするので、hostnameを設定しておきます。

hostname C892FSP-01

● LAN インターフェース (Vlan1)設定

LAN側インターフェースを設定するために ネットワークスイッチ用デフォルトVLAN (VLAN1) を設定します。

interface Vlan1
 description LAN
 ip address 192.168.100.1 255.255.255.0
 ip virtual-reassembly in

● WAN インターフェース (GigabitEthernet8)設定

FastConnectパートナー(ここではアット東京)から指定された VLAN IDを使用して仮想回線インターフェースを構成します。この Sub interface は、単一 VLAN ID を持つDot1Q (単一タグ)の設定をします。
VLAN ID はピアリングごとに一意です。
今回、「ATBeXサービス開通ご報告書」の項目にある「お客様VLAN-ID」に記載されていた [301]を設定します。

! VLAN 301:OCI
vlan 301
!
interface GigabitEthernet8
 no ip address
 no shutdown
!
interface GigabitEthernet8.301
 encapsulation dot1Q 301
 ip address 192.168.254.1 255.255.255.252

● BGP設定

router bgp 65001
 neighbor 192.168.254.2 remote-as 31898
 neighbor 192.168.254.2 timers 20 60
 neighbor 192.168.254.2 soft-reconfiguration inbound
 address-family ipv4
  network 192.168.0.0 mask 255.255.0.0
  network 192.168.100.0 mask 255.255.255.0
  neighbor 192.168.254.2 activate
  neighbor 192.168.254.2 soft-reconfiguration inbound
 exit-address-family

● Config確認

設定した内容を確認

C892FSP-01#show running-config
Building configuration...
・・・

● 設定保存

・ startup-config 保存

C892FSP-01#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]

・ flash 保存

C892FSP-01#copy startup-config flash:20240606conf
Destination filename [20240606conf]?
2925 bytes copied in 0.640 secs (4570 bytes/sec)

C892FSP-01#show flash:
-#- --length-- -----date/time------ path
1     83017724 Sep 23 2016 17:48:04 +00:00 c800-universalk9-mz.SPA.154-3.M5.bin
2            0 Sep 23 2016 18:03:58 +00:00 managed
3            0 Sep 23 2016 18:03:58 +00:00 managed/odm
・・・
15        2925 Jun 7 2024 04:28:34 +00:00 20240606conf

173301760 bytes available (83206144 bytes used)

■ タスク6: 光源レベルの確認

光源レベルがパートナへの各物理ネットワーク接続に適していることを確認します。
今回, アット東京 Cloud Lab では レンタルスペース(イノベーションスペース)内に 1000Base-T ローぜットが用意されており、 RJ45ケーブルでルーターと接続します。

■ タスク7: インタフェースが稼働していることの確認

パートナへの接続用のインタフェースの側が稼働していることを確認します。そうなるまで先に進まないでください。

・CPE側インターフェース稼働確認
次のようなコマンドでインターフェースが UP していることを確認

C892FSP-01#show interfaces GigabitEthernet8.301
  GigabitEthernet8.301 is up, line protocol is up
  ・・・

■ タスク9a: Oracle BGP IPアドレスのPing

仮想回線ごとに、仮想回線に割り当てられているOracle BGP IPアドレスをpingします。エラー・カウンタを確認し、削除されたパケットを探します。エラーなしでこのIPアドレスを正常にpingできるようになるまで、先に進まないでください。

・ ルーターBGP IP 疎通確認

C892FSP-01#ping 192.168.254.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.254.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

・ OCI BGP IP 疎通確認

C892FSP-01#ping 192.168.254.2
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 192.168.254.2, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

・ OCI インスタンス 疎通確認
この時点でOCIインスタンスへ接続できるので確認しときます。

C892FSP-01#ping 10.0.0.11 source 192.168.100.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.0.0.11, timeout is 2 seconds:
    Packet sent with a source address of 192.168.100.1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

■ タスク9b: BGPセッションが確立されていることの確認

仮想回線ごとに、BGPセッションが確立された状態であることを確認します。その状態である場合、接続はテストする準備ができています(タスク11: 接続のテストを参照)。

● CPE側ルーター確認

次のようなコマンドでBGPセッション確立を確認

show ip bgp summary : 接続ステータスを表示
show ip bgp neighbors <Oracle BGP IP> : ネイバーへの BGP および TCP 接続に関する情報を表示
show ip bgp neighbors <Oracle BGP IP> advertised-routes : ネイバーにアドバタイズされたすべてのルートを表示
show ip bgp neighbors <Oracle BGP IP> received-routes : 指定したネイバーから受信されたすべてのルート（許可と拒否の両方）を表示

・ BGP 接続ステータス確認
BGP ネイバー(OCI)に接続されていることを確認

C892FSP-01#show ip bgp summary
    BGP router identifier 192.168.100.1, local AS number 65001
    BGP table version is 51, main routing table version 51
    4 network entries using 576 bytes of memory
    4 path entries using 320 bytes of memory
    2/2 BGP path/bestpath attribute entries using 320 bytes of memory
    1 BGP AS-PATH entries using 24 bytes of memory
    0 BGP route-map cache entries using 0 bytes of memory
    0 BGP filter-list cache entries using 0 bytes of memory
    BGP using 1240 total bytes of memory
    BGP activity 27/23 prefixes, 27/23 paths, scan interval 60 secs

    Neighbor        V           AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
    192.168.254.2   4        31898      89      85       51    0    0 00:25:29        3

・ アドバタイズ(送信)されたルートを確認
BGP ネイバー(OCI)にアドバタイズされたすべてのルートを確認

C892FSP-01#show ip bgp neighbors 192.168.254.2 advertised-routes
  BGP table version is 51, local router ID is 192.168.100.1
  Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
                x best-external, a additional-path, c RIB-compressed,
  Origin codes: i - IGP, e - EGP, ? - incomplete
  RPKI validation codes: V valid, I invalid, N Not found

      Network          Next Hop            Metric LocPrf Weight Path
  *>  192.168.100.0    0.0.0.0                  0         32768 i

  Total number of prefixes 1

・ 受信されたルートを確認
BGP ネイバー(OCI)から受信されたすべてのルート（許可と拒否の両方）を表示
ここでは、OCI VCN(10.0.0.0/24) と OCI Object Storage(134.70.80.0/23, 134.70.82.0/23)の Rute情報を受信していることを確認

C892FSP-01#show ip bgp neighbors 192.168.254.2 received-routes
  BGP table version is 51, local router ID is 192.168.100.1
  Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
                r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
                x best-external, a additional-path, c RIB-compressed,
  Origin codes: i - IGP, e - EGP, ? - incomplete
  RPKI validation codes: V valid, I invalid, N Not found

      Network          Next Hop            Metric LocPrf Weight Path
  *>  10.0.0.0/24      192.168.254.2                          0 31898 i
  *>  134.70.80.0/23   192.168.254.2                          0 31898 i
  *>  134.70.82.0/23   192.168.254.2                          0 31898 i

  Total number of prefixes 3

・ ルーターのRoute情報を確認

C892FSP-01#show ip route
  Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2
        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
        ia - IS-IS inter area, * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
        a - application route
        + - replicated route, % - next hop override

  Gateway of last resort is not set

        10.0.0.0/24 is subnetted, 1 subnets
  B        10.0.0.0 [20/0] via 192.168.254.2, 00:24:47
        134.70.0.0/23 is subnetted, 2 subnets
  B        134.70.80.0 [20/0] via 192.168.254.2, 00:24:47
  B        134.70.82.0 [20/0] via 192.168.254.2, 00:24:47
        192.168.100.0/24 is variably subnetted, 2 subnets, 2 masks
  C        192.168.100.0/24 is directly connected, Vlan1
  L        192.168.100.1/32 is directly connected, Vlan1
        192.168.254.0/24 is variably subnetted, 2 subnets, 2 masks
  C        192.168.254.0/30 is directly connected, GigabitEthernet8.301
  L        192.168.254.1/32 is directly connected, GigabitEthernet8.301

■ OCI側 確認

● FastConnect ステータス確認

OCI Consoleで Fastconnect画面にある BGP Status がグリーンであることを確認
メトリックは Sent/Recievedが動作していることを確認

● DRG 送受信ルート・ルール確認

DRG ルート表画面から[Get all route rules]をクリックし送受信するルート・ルールを確認

■ 接続確認

● ルーター --> OCI インスタンス

・ ping 確認

C892FSP-01#ping 10.0.0.11 source 192.168.100.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.0.0.11, timeout is 2 seconds:
    Packet sent with a source address of 192.168.100.1
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/3 ms

● オンプレミス・インスタンス --> OCI インスタンス

・ traceroute 確認

shirok@macbook ~ % traceroute 10.0.0.11
        traceroute to 10.0.0.11 (10.0.0.11), 64 hops max, 40 byte packets
        1  192.168.100.1 (192.168.100.1)  4.415 ms  0.974 ms  0.732 ms
        2  192.168.254.2 (192.168.254.2)  3.950 ms  1.934 ms  1.920 ms
        3  * * *
        4  basedb23ai.publicsubnet.vcn10000.oraclevcn.com (10.0.0.11)  15.513 ms !Z  2.602 ms !Z  2.539 ms !Z

・ SSH 確認

shirok@macbook ~ % ssh -i id_rsa opc@10.0.0.11 hostname
    basedb23ai

● オンプレミス・インスタンス --> OCI Object Storage

・ traceroute 確認

shirok@macbook ~ % traceroute objectstorage.ap-tokyo-1.oraclecloud.com
        traceroute to objectstorage.ap-tokyo-1.oci.oraclecloud.com (134.70.80.3), 64 hops max, 40 byte packets
        1  192.168.100.1 (192.168.100.1)  6.056 ms  0.897 ms  0.784 ms
        2  192.168.254.2 (192.168.254.2)  3.839 ms  2.177 ms  1.836 ms
        3  * * *
        4  * * *
        5  134.70.80.3 (134.70.80.3)  2.754 ms  3.133 ms  8.648 ms

■トラブルシューティング

FastConnectのトラブルシューティング, VCNおよび接続のトラブルシューティングを参照して、Layer1 から Layer2, Layer3 と Layer4 各項目を順番に設定コマンド出力、パケット・キャプチャしてエビデンス(証拠)をとって肉眼で確認しトラブルシュート(切り分け)していきます。
よくあるのは、OCI側、オンプレミス側の コンフィグミス, ファイアウォール, Path MTU Discovery(PMTUD: ICMPタイプ3,コード4の許可)など

■ 参考

・アット東京
　- アット東京 Cloud Lab
　- ATBeX ServiceLink for Oracle Cloud
　- Oracle Cloud Infrastructure FastConnect
　- クラウド接続手順書
　- Oracle Cloudのつなぎ方ATBeX開通手順書

・OCI Documents
　- FastConnect: Oracleパートナの使用
　- FastConnectの要件
　- FastConnectのメトリック
　- オブジェクト・ストレージのIPアドレス
　- MTUの概要
　- FastConnectのトラブルシューティング

・Cisco Documents
　- BGP コマンド リファレンス
　- VLAN の設定
　- Cisco C892FSP サービス統合型ルータ

・Synology
　- DiskStation DS223j
　- Linux コンピュータから Synology NAS のファイルにアクセスする方法
　- Mac コンピュータから Synology NAS の共有フォルダにアクセスする方法