La perte de paquets et d’autres problèmes liés à la réseautique perturbent les réseaux depuis des décennies. Les connexions réseau échouent souvent ou ralentissent, ce qui a une incidence sur les expériences des utilisateurs. Pour résoudre ces problèmes, les opérateurs de réseau sont souvent confrontés à la redoutable tâche de résolution de problèmes à l’aide d’outils de supervision conventionnels qui manquent de visibilité. De plus, la résolution des problèmes est souvent effectué à partir d’un seul point d’observation, généralement affecté, ce qui limite davantage la visibilité.
Lorsqu’elles diagnostiquent un problème, les équipes d’exploitation du réseau (NetOps) doivent tenir compte de plusieurs raisons possibles des défaillances potentielles, comme le filtrage, la baisse du trafic en raison de la surutilisation, la fibre optique, et plus encore. En général, ces pannes sont liés à des problèmes dans le plan de données. Cependant, ils surviennent occasionnellement en raison du comportement du plan de commande. Plus précisément, les décisions de routage, ou leur absence, peuvent contribuer de façon importante au piratage.
Aujourd’hui, nous annonçons un nouvel outil pour les opérateurs de réseau : BGP Stuck Route Observatory, qui aide à déterminer l’une des raisons courantes de l’obturation, à savoirles ordinateurs zombies BGP. Les ordinateurs zombies BGP, ou les routes bloquées, sont des routes qui persistent dans les routeurs malgré leur retrait par le système autonome (AS) d’origine.
Tout comme notre populaire carte des pannes Internet, ThousandEyes BGP Stuck Route Observatory est gratuite et accessible à tous.
Routes bloquées? Ordinateurs zombies BGP?
Dans le protocole BGP (Border Gateway Protocol), un système autonome, un réseau sous contrôle administratif unique, annonce un préfixe (un bloc d’adresses IP) qu’il possède à ses systèmes autonomes voisins. Ces systèmes autonomes propagent ensuite l’annonce à leurs voisins, en poursuivant ce processus de manière itérative jusqu’à ce que le préfixe devienne atteignable pour tous les systèmes autonomes sur Internet. Une fois que le système autonome d’origine ne souhaite plus que le préfixe soit atteignable par ce chemin spécifique ou pour des raisons telles que l’appairage en panne, la congestion ou la maintenance, il retire le préfixe de ses voisins. Comme à l’annonce, le retrait se propage à tous les systèmes autonomes et le préfixe est supprimé de la table de routage globale.
Les ordinateurs zombies BGP (routes bloquées) se produisent pendant le processus de retrait lorsqu’un routeur dans un système autonome ne parvient pas à propager le message de retrait. Les systèmes autonomes voisins ne sont pas avisés et continueront à considérer la route comme valide. Tous les voisins suivants feront de même. Ces routes bloquées indiquent à tord qu’un préfixe est toujours atteignable, même si le chemin n’existe pas pour la route associée.
Pourquoi le blocage des routes BGP se produit-il? Quelle est l’incidence?
Le blocage des routes BGP peut être dû à des bogues logiciels, à des problèmes de configuration ou à des failles du protocole BGP qui empêchent les routeurs de supprimer ou de mettre à jour correctement les routes dans leurs tableaux de routage BGP.
Les routes BGP bloquées peuvent entraîner des décisions de routage sous-optimales, l’insécurité du réseau, des boucles de routage et des perturbations dans le flux de trafic. Ces problèmes entraînent des problèmes opérationnels, notamment la dégradation des performances et les pannes.
Pourquoi les routes BGP bloquées sont-elles si difficiles à détecter?
La détection automatisée des ordinateurs zombies BGP dans les réseaux opérationnels est intrinsèquement difficile en raison du manque de données fiables sur le terrain. Sans connaître les intentions de chaque opérateur de réseau, il est difficile de déduire en toute confiance les raisons pour lesquelles un message de retrait a été envoyé à un système autonome. Au-delà de cela, la détection des routes bloquées nécessite une visibilité à partir de plusieurs points d’observation, déployés stratégiquement dans le monde entier, couvrant les niveaux 1, 2 et d’autres réseaux tels que les échanges sur Internet.
Comment fonctionne ThousandEyes BGP Stuck Route Observatory?
Pour relever ces défis, ThousandEyes BGP Stuck Route Observatory utilise des préfixes de balise pour détecter les routes bloquées. Les préfixes Beacon sont des préfixes qui sont périodiquement annoncés et retirés à des moments précis. Le fait de savoir exactement quand un préfixe doit être supprimé de la table de routage augmente globalement la confiance dans l’identification d’une route comme bloquée.
BGP Stuck Route Observatory utilise une nouvelle méthodologie Beacon qui intègre des améliorations importantes aux publicités Beacon, ce qui nous permet de suivre le temps qu’il faut pour retirer un préfixe, si le nombre de routes bloquées augmente ou est à la baisse, et combien de temps il faut aux opérateurs pour l’identifier. (Pour en savoir plus sur cette méthodologie, consultez la série de blogues la série de blogues sur les zombies BGP.)
Cette approche permet à ThousandEyes BGP Stuck Route Observatory de fournir une façon simplifiée de déterminer si votre système autonome est potentiellement touché par certains systèmes autonomes sur le chemin (comme un fournisseur en amont) ou si votre système autonome peut comporter une erreur (en d’autres termes, le problème se passe dans votre réseau). En traitant les données ingérées par des centaines de moniteurs BGP stratégiquement déployés dans le monde, BGP Stuck Route Observatory détecte les routes bloquées en fonction de nos annonces de préfixes de balises.
Lorsque vous saisissez un numéro de système autonome (ASN) dans le champ de recherche de BGP Stuck Route Observatory, vous obtenez des résultats qui indiquent si l’ASN n’est pas affecté, potentiellement affecté (par un autre ASN) ou potentiellement la source du problème (c.-à-d. qu’elle contribue au problème). Les résultats montreront également les différents chemins de système autonome où nous avons observé le problème potentiel.
Si votre ASN est indiqué comme potentiellement affecté ou comme pouvant comporter une erreur, vous pouvez communiquer avec l’équipe de ThousandEyes pour obtenir plus d’observations sur l’étendue du problème détecté par BGP Stuck Route Observatory, ainsi que des conseils pour déterminer où les problèmes se produisent.
Pourquoi la détection des routes BGP bloquées est-elle importante?
Les routes zombies ou bloquées restent courantes sur Internet, malgré les améliorations apportées au protocole BGP (RFC 9687) et au matériel. Comme mentionné, ces routes BGP bloquées peuvent générer des performances ou entraîner des pannes, ce qui entraîne une diminution des expériences numériques de qualité inférieure pour vos utilisateurs. Pour vous protéger contre ces impacts, la détection systématique et l’analyse des causes premières sont essentielles, ce qui vous aide à éliminer plus rapidement les routes bloquées et à localiser ou découvrir les failles qui les causent.
De plus, pour être un membre responsable de la communauté Internet mondiale, il est important de superviser votre participation aux incidents liés aux routes et d’agir en conséquence. Internet est un graphique connecté; le défaut d’un système autonome peut causer des problèmes pour les opérations de tout autre système autonome sur Internet.
Lors du diagnostic de tout problème de réseau, l’identification d’un problème n’est qu’une pièce du casse-tête. Vous devez également déterminer rapidement où le problème se produit. Grâce à ThousandEyesBGP Stuck Route Observatory, les équipes NetOps disposent d’un outil puissant qui permet de répondre aux « si » et de fournir des observations sur les « où » possibles.
