<p>こちらは  <a href="https://qiita.com/advent-calendar/2023/microsoft-azure-tech" target="_blank" rel="nofollow noopener noreferrer">Microsoft Azure Tech Advent Calendar 2023 9日目</a> の記事です。</p>
<h1 id="asn-%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#asn-%E3%81%A8%E3%81%AF" aria-hidden="true"></a> ASN とは</h1>
<p>Autonomous System (自律システム) 番号は、ネットワークの集まりである AS に割り当てられる番号です。例えば マイクロソフト の ネットワーク には AS 8075 や AS 12076 といった番号が割り当てられています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__fadf511839d9e" src="https://embed.zenn.studio/card#zenn-embedded__fadf511839d9e" data-content="https%3A%2F%2Fbgp.tools%2Fsearch%3Fq%3DMicrosoft%2BCorporation" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://bgp.tools/search?q=Microsoft+Corporation" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://bgp.tools/search?q=Microsoft+Corporation</a></p>
<p>さて、Autonomous System (自律システム) 番号 には、パブリック ASN とプライベート ASN があります。<br>
パブリック ASN は、インターネット上で一意に識別される AS で、当初 2 バイト(0 ～ 65535)でしたが、インターネットの拡大に伴い 4 バイト(0 ～ 4294967295)に拡張されました。<br>
パブリック ASN が組織間を接続するために用いられるのに対し、プライベート ASN は、主に組織の内部で利用するためのものです。2 バイト の プライベート ASN の範囲として 64512～65534 が、4 バイト の プライベート ASN は 4200000000～4294967294 の範囲が予約されています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__f4f4f536fd506" src="https://embed.zenn.studio/card#zenn-embedded__f4f4f536fd506" data-content="https%3A%2F%2Fwww.nic.ad.jp%2Fdoc%2Fjpnic-01244.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.nic.ad.jp/doc/jpnic-01244.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.nic.ad.jp/doc/jpnic-01244.html</a></p>
<h1 id="expressroute-%E3%82%84-azure-%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%8C%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B-asn-%E3%81%A3%E3%81%A6%EF%BC%9F">
<a class="header-anchor-link" href="#expressroute-%E3%82%84-azure-%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%8C%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B-asn-%E3%81%A3%E3%81%A6%EF%BC%9F" aria-hidden="true"></a> ExpressRoute や Azure サービスが利用する ASN って？</h1>
<p>ExpressRoute では、AS 12076 が利用されています。これは パブリック ASN です。<br>
また、Azure では、AS 65515 ～ 65520 が内部使用のために予約されています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__7b2af8ea02b7d" src="https://embed.zenn.studio/card#zenn-embedded__7b2af8ea02b7d" data-content="https%3A%2F%2Flearn.microsoft.com%2Fja-jp%2Fazure%2Fexpressroute%2Fexpressroute-routing%23autonomous-system-numbers-asn" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-routing#autonomous-system-numbers-asn" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-routing#autonomous-system-numbers-asn</a></p>
<p>なるほど。図で書いてみるとこんな感じですか。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--JJh7LHkR--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/9d6c62f6664ac547284a0b7b.png%3Fsha%3Df8c84fef573b335ad41797e152b93520ca00652c" loading="lazy" class="md-img"></p>
<p>オンプレミス環境を ExpressRoute で Azure と接続するには、オンプレミス側にも ASN を用意する必要があります。企業として取得済みの パブリック ASN が無ければ、プライベート ASN を利用することになるでしょう。この図では、Azure と重複しない ASN として 65150 を付与しています。</p>
<p>更に発展させて、Azure Route Server や NVA (Quagga) も立ててみました。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--w-sI9wSF--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/be221f544459f63a46ed61cc.png%3Fsha%3Da6086464f135705865dcf33e83cff5a5d87e3819" loading="lazy" class="md-img"></p>
<p>Azure Route Server が使用する ASN も <a href="https://learn.microsoft.com/ja-jp/azure/route-server/troubleshoot-route-server#why-does-my-nva-not-receive-routes-from-azure-route-server-even-though-the-bgp-peering-is-up" target="_blank" rel="nofollow noopener noreferrer">AS 65515</a> です。<br>
今回は図にありませんが、もし VPN Gateway を立てて経路情報を交換するのであれば、<a href="https://learn.microsoft.com/ja-jp/azure/route-server/route-server-faq#what-are-the-requirements-for-an-azure-vpn-gateway-to-work-with-azure-route-server" target="_blank" rel="nofollow noopener noreferrer">それも AS 65515 である必要</a>があります。<br>
NVA (Quagga) は、AS 65001 を利用することとし、オンプレミス側とも重複しないようにしています。</p>
<h1 id="expressroute-%E5%9B%9E%E7%B7%9A%E3%81%AE%E5%90%91%E3%81%93%E3%81%86%E5%81%B4%E3%81%8B%E3%82%89%E8%81%9E%E3%81%93%E3%81%88%E3%81%A6%E3%81%8F%E3%82%8B-asn-%E3%81%AF%EF%BC%9F">
<a class="header-anchor-link" href="#expressroute-%E5%9B%9E%E7%B7%9A%E3%81%AE%E5%90%91%E3%81%93%E3%81%86%E5%81%B4%E3%81%8B%E3%82%89%E8%81%9E%E3%81%93%E3%81%88%E3%81%A6%E3%81%8F%E3%82%8B-asn-%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> ExpressRoute 回線の向こう側から聞こえてくる ASN は？</h1>
<p>さて、それぞれルートテーブルを確認してみて、どういった AS Path で経路情報が流れているのかを確認してみましょう。ちなみに AS Path (BGP の AS-PATH 属性) は、経由する AS を示す属性で、AS1 の向こう側に AS2 があり、その先に AS3 があり…といった、目的のネットワークまでに経由する AS を示すものです。最適経路の判断や、経路がループしていないか？の判定に利用されます。</p>
<h2 id="expressroute-circuit-%E3%81%AE-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB-%E3%81%A7%E8%A6%8B%E3%81%A6%E3%81%BF%E3%81%9F">
<a class="header-anchor-link" href="#expressroute-circuit-%E3%81%AE-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB-%E3%81%A7%E8%A6%8B%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> ExpressRoute Circuit の ルートテーブル で見てみた</h2>
<p>まずは、ExpressRoute Circuit の ルートテーブル を確認してみます。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s---qg5l8RE--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/115f291302e46c0eb84c50fd.png%3Fsha%3Db55bbf5429dff4bb6e7f26c5857e09e603ec4343" loading="lazy" class="md-img"></p>
<p>ExpressRoute Circuit で確認した結果としては、確かに NVA が広報する 10.30.0.0/16 のネットワークが、AS 65515 (Azure Route Server) の先の、AS 65001 (NVA) に存在すると認識できていますね。また、Azure 側にある VNet 10.10.0.0/16 も見えています。</p>
<h2 id="%E3%82%AA%E3%83%B3%E3%83%97%E3%83%AC%E3%83%9F%E3%82%B9%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81-%E3%81%AE-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB-%E3%81%A7%E8%A6%8B%E3%81%A6%E3%81%BF%E3%81%9F">
<a class="header-anchor-link" href="#%E3%82%AA%E3%83%B3%E3%83%97%E3%83%AC%E3%83%9F%E3%82%B9%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81-%E3%81%AE-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB-%E3%81%A7%E8%A6%8B%E3%81%A6%E3%81%BF%E3%81%9F" aria-hidden="true"></a> オンプレミスネットワークスイッチ の ルートテーブル で見てみた</h2>
<p>では、オンプレミス側のスイッチでも確認してみましょう。<br>
ん…？<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--zVKFAXhX--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/abc89ba68aef0932ebfffbe3.png%3Fsha%3D8dc5df2319f42c9774748fe50278c104d9dc0ce7" loading="lazy" class="md-img"></p>
<p>NVA で広報している 10.30.0.0/16 や、接続されている VNet 10.10.0.0/16 を受信していますが、AS Path は 12076 のみですね。てっきり AS 12076 - AS 65515 - AS 65001 という形で 10.30.0.0/16 が見えるかと思いましたが…。<br>
いったい 65515 や 65001 はどこに？</p>
<h1 id="%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88-asn-%E3%81%AF%E6%B6%88%E3%81%88%E3%82%8B">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88-asn-%E3%81%AF%E6%B6%88%E3%81%88%E3%82%8B" aria-hidden="true"></a> プライベート ASN は消える</h1>
<p>ここでパブリック ASN とプライベート ASN の違いが思い出されます。<br>
プライベート ASN は一意でない可能性があるため、グローバルなネットワークへルートを伝搬させる前に、ASパスから プライベート ASN は削除する必要があります。<br>
そして確認する限り、プライベート ASN は削除されているようです。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--38rkG6MR--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/fb2a703a048807c26ee77e37.png%3Fsha%3D19013240b150744b3982f00d77564827dc084b07" loading="lazy" class="md-img"></p>
<p>ちなみに、オンプレミス側で付与した プライベート ASN は、削除されることなく Azure 側へ伝搬されます。今回の検証では、オンプレミス側で付与した ASN 65150 を NVA でも受信できています。良くあるケースとしては、複数の ExpressRoute 回線を利用している際の経路制御（<a href="https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-optimize-routing#solution-use-as-path-prepending" target="_blank" rel="nofollow noopener noreferrer">AS-path prepend</a>）かたちで利用されます。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>本記事は Private peering を想定して記載しています。<br>
Microsoft Peering の場合には、AS PATH はパブリック ASN である必要があります。</p>
</div></aside>
<h1 id="%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF-asn-%E3%81%AF%E6%B6%88%E3%81%88%E3%81%AA%E3%81%84-(azure-vmware-solution-%E3%81%A7%E8%A9%A6%E3%81%99!!)">
<a class="header-anchor-link" href="#%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF-asn-%E3%81%AF%E6%B6%88%E3%81%88%E3%81%AA%E3%81%84-(azure-vmware-solution-%E3%81%A7%E8%A9%A6%E3%81%99!!)" aria-hidden="true"></a> パブリック ASN は消えない (Azure VMware Solution で試す!!)</h1>
<p>パブリック ASN は消えないことも確認してみます。<br>
Azure VMware Solution (AVS) は、<a href="https://learn.microsoft.com/ja-jp/azure/azure-vmware/faq#azure-vmware-solution---4--------------------asn---------------" target="_blank" rel="nofollow noopener noreferrer">パブリックASN を利用している</a> サービスですので、今回の環境と接続して、確認してみます。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--Gzu4ih18--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/b18f9627182b0789ef4ba410.png%3Fsha%3D3a2433a4e472e0527ccf8bfeca3fe75523a40ca0" loading="lazy" class="md-img"></p>
<p>それでは、オンプレミス側のスイッチで確認してみましょう。<br>
<img src="https://res.cloudinary.com/zenn/image/fetch/s--dzs1nBtz--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/3cddbe1364103b65c7ebd7a0.png%3Fsha%3D1852120a06857b579a639aeb1116acdc18a70865" loading="lazy" class="md-img"></p>
<p>今回 AVS で利用しているアドレス空間 10.30.0.0/22 が、AS 12076 の先に AS 398657 として見えています。やはりパブリック <a href="https://ipinfo.io/AS398657" target="_blank" rel="nofollow noopener noreferrer">ASN 398657</a> であれば消えませんね！</p>
<h1 id="%E5%8F%82%E8%80%83url">
<a class="header-anchor-link" href="#%E5%8F%82%E8%80%83url" aria-hidden="true"></a> 参考URL</h1>
<ul>
<li><a href="https://www.nic.ad.jp/doc/jpnic-01244.html" target="_blank" rel="nofollow noopener noreferrer">JPNIC</a></li>
<li><a href="https://bgp.tools/search?q=Microsoft+Corporation" target="_blank" rel="nofollow noopener noreferrer">BGP tools</a></li>
<li><a href="https://docs.microsoft.com/ja-jp/azure/expressroute/expressroute-routing" target="_blank" rel="nofollow noopener noreferrer">Azure ExpressRoute の BGP ルーティングについて</a></li>
<li><a href="https://learn.microsoft.com/ja-jp/azure/azure-vmware/faq#azure-vmware-solution---4--------------------asn---------------" target="_blank" rel="nofollow noopener noreferrer">Azure VMware Solution についてよく寄せられる質問</a></li>
<li><a href="https://zenn.dev/microsoft/articles/expressroute-ars-quagga" target="_blank">ARS + NVA(Quagga) で Azure ExpressRoute を経由したオンプレミス拠点間の通信</a></li>
<li><a href="https://zenn.dev/microsoft/articles/expressroute-getstart" target="_blank">ExpressRoute 導入の流れを確認してみる</a></li>
<li><a href="https://learn.microsoft.com/ja-jp/azure/expressroute/expressroute-optimize-routing" target="_blank" rel="nofollow noopener noreferrer">ExpressRoute ルーティングの最適化</a></li>
</ul>


ExpressRoute の向こう側から プライベート ASN は聞こえてこない？

ExpressRoute や Azure サービスが利用する ASN って？

ExpressRoute Circuit の ルートテーブル で見てみた

オンプレミスネットワークスイッチ の ルートテーブル で見てみた

ExpressRoute の向こう側からプライベート ASN は聞こえてこない？

Discussion