5.1. FIC-Connection 共通仕様¶
5.1.1. サービス概要¶
- お客さま拠点とお客さまが利用されているさまざまなクラウドサービスやFICリソースなどの間を接続するセキュアなインターコネクトサービスを提供します。
5.1.1.1. FIC-Connectionの特長¶
FIC-PortやFIC-RouterなどのFICリソース間を相互に接続することが可能です。
FICとして提供している各種接続先へ接続することが可能です。
- お客さまの利用シーンに合わせた冗長構成を設定できます。Single/Paired構成が選択可能となっております。冗長構成ありの構成でお申し込み
- FIC-Portの場合は、FIC-Connection (Single)を2本お申し込みいただき、物理分散することにより冗長構成が担保されます。
- FIC-Routerの場合は、FIC-Router(Paired)でお申し込みいただくことで冗長構成が担保されます。
冗長構成なしの構成でお申し込み- 冗長構成が担保されていない場合は、故障やメンテナンスにより、通信影響が発生する可能性があります。
5.1.1.2. 用語の定義¶
- テナント:契約に紐づくFICリソースの管理単位
- Flexible InterConnectコンソール(以下FICコンソール)/API:当サービスにて提供する申し込み方法
- F番:各リソースに払い出される13桁のリソースID
- L2接続:接続元(Source)がFIC-Port
- L3接続:接続元(Source)がFIC-Router
- FIC-Connection (Single):FIC-Port、FIC-Routerと各種接続先を1つのFIC-Connectionで接続
- FIC-Connection (Paired):FIC-Port、FIC-Routerと各種接続先をPrimary/Secondaryの2つのFIC-Connectionで接続(FIC推奨接続)
- Routing Group:FIC-Routerに内包される仮想的Router
5.1.2. 利用できる機能¶
本メニューにて利用できる機能は、以下の機能です。各機能を利用するためのFICコンソール/APIを提供致します。
| 項番 | 機能 | 説明 | 操作方法 |
|---|---|---|---|
| 1 | BGP Filter Egress/BGP Filter Ingress 経路制御機能 | BGPの送受信経路種別制御、IP Prefixフィルタ機能(L3接続のみ)を提供します。 IP Prefixフィルタを設定可能なFIC-Connectionは「 FIC-ConnectionごとのIP Prefixフィルタ機能の対応可否 」を参照ください。 | FICコンソール/API |
| 2 | BGPアトリビュート設定機能 | BGPに対してMED、またはAS-PATHを付与する機能を提供します。
※各種接続先により異なります
|
FICコンソール/API |
| 3 | Routing Group設定機能 | Routing Groupを用いてFIC-Connectionをグルーピングすることで通信を制御する機能を提供します。同一Routing Groupに属するFIC-Connection同士で通信が可能となります。属するRouting Groupが異なる場合はFIC-FWを利用する必要があります。 | FICコンソール/API |
5.1.4. FIC-Connection (Single)/FIC-Connection (Paired)について¶
FICサービスではFIC-Connection (SingleおよびPaired)での接続が可能です。
5.1.4.1. FIC-Connection(Single)¶
Singleが可能なFIC-Connectionは、以下のとおりです。
| 接続タイプ | Arcstar Universal One | Super OCN Flexible Connect | AWS(Private VIF/Transit VIF/Public VIF) | Azure(Private Peering/Microsoft Peering) | Azure Peering Service | Google Cloud | SDPF クラウド/サーバー | Oracle(Private Peering) | Oracle(Public Peering) | Wasabiオブジェクトストレージ | Port | Router | XaaS |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| L2 | x | ○ | ○ | x | x | ○ | x | ○ | x | × | ○ | x | ○ |
| L3 | x | x | ○ | x | x | ○ | x | ○ | ○ | x | ○ | x | x |
図 5.1.1 FIC-Connection (Single)のイメージ
5.1.4.2. FIC-Connection (Paired)¶
Pairedが可能なFIC-Connectionは、以下のとおりです。
| 接続タイプ | Arcstar Universal One | Super OCN Flexible Connect | AWS(Private VIF/Transit VIF/Public VIF) | Azure(Private Peering/Microsoft Peering) | Azure Peering Service | Google Cloud | SDPF クラウド/サーバー | Oracle(Private Peering) | Oracle(Public Peering) | Wasabiオブジェクトストレージ | Port | Router | XaaS |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| L2 | x | x | x | ○ | x | x | x | x | x | x | x | x | ○ |
| L3 | ○ | x | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
図 5.1.2 FIC-Connection (Paired)のイメージ
5.1.6. 接続ネットワークアドレス (申し込み時に必要なIPアドレス範囲・数)¶
5.1.6.1. FIC-Conneciton申し込み時に必要となる接続ネットワークアドレス¶
()内は必要なIPアドレス数になります。
| コネクション | FIC-Connection (Single) (L2接続) | FIC-Connection (Single) (L3接続) | FIC-Connection (Paired) (L2接続) | FIC-Connection (Paired) (L3接続) |
|---|---|---|---|---|
| Arcstar Universal One | - | - | - | ○(/29x1) |
| Super OCN Flexible Connect | ○(アドレス不要) | - | - | - |
| AWS(Private VIF/Transit VIF) | ○(アドレス不要) | ○(/30x1) | ○(アドレス不要) | ○(/30x2) |
| AWS(Public VIF) | ○(アドレス不要) | - | ○(アドレス不要) | - |
| Azure(Private Peering) | - | - | ○(/30x2) | ○(/30x2) |
| Azure(Microsoft Peering) | - | - | ○(/30x2) | ○(アドレス不要) |
| Azure Peering Service | - | - | - | ○(アドレス不要) |
| Google Cloud | ○(アドレス不要) | ○(アドレス不要) | ○(アドレス不要) | ○(アドレス不要) |
| SDPF クラウド/サーバー | - | - | - | ○(/30x2) |
| Oracle (Private Peering/Public Peering) | ○(アドレス不要) | Private Peering:○(/30x1)
Public Peering:○(アドレス不要)
|
- | Private Peering:○(/30x2)
Public Peering:○(アドレス不要)
|
| Port | ○(アドレス不要) | ○(/30x1) | ○(アドレス不要) | ○(/30x2) |
| Router | - | - | - | ○(/30x2) |
| XaaS | ○(アドレス不要) | FIC-Router to FIC-Router(XaaS):○(アドレス不要)
FIC-Router to FIC-Port(XaaS):○(/30x1)
|
○(アドレス不要) | FIC-Router to FIC-Router(XaaS):○(アドレス不要)
FIC-Router to FIC-Port(XaaS):○(/30x2)
|
○:申し込み可 -:申し込み不可
5.1.6.2. 準備していただく接続ネットワークアドレス¶
- FIC-Conneciton申し込み時に以下のIPアドレスは接続ネットワークアドレスとして利用できません。
- 以下のIPアドレスに該当しない接続ネットワークアドレスを準備ください。1)接続元FIC-Routerの「網内利用アドレス」と重複したアドレス2)接続元FIC-RouterのFIC-FW/FIC-NATの「接続アドレス」と重複したアドレス3)接続元FIC-Routerに接続されているFIC-Connectionの「接続ネットワークアドレス」と重複したアドレス4)下記の利用不可アドレス
- 0.0.0.0/8(0.0.0.0~0.255.255.255)
- 100.64.0.0/10(100.64.0.0~100.127.255.255)
- 127.0.0.0/8(127.0.0.0~127.255.255.255)
- 169.254.0.0/16(169.254.0.0~169.254.255.255)
- 192.0.0.0/24(192.0.0.0~ 192.0.0.255)
- 192.88.99.0/24(192.88.99.0~192.88.99.255)
- 198.18.0.0/15(198.18.0.0~198.19.255.255)
- 198.51.100.0/24(198.51.100.0~198.51.100.255)
- 203.0.113.0/24(203.0.113.0~ 203.0.113.255)
- 224.0.0.0/4(224.0.0.0~239.255.255.255)
- 240.0.0.0/4(240.0.0.0~255.255.255.255)
5.1.7. 接続ネットワークアドレスの割り当て¶
FICおよび、各種接続先に割り当てられるアドレスは以下のとおりです。
| FIC-Connection | L2接続/L3接続 | FIC-Router側が若番 | 各種接続先側が若番 | アドレス払出し先 | アドレス種別 |
|---|---|---|---|---|---|
| FIC-Connection Arcstar Universal One | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection OCN | L2接続 | 〇 | OCN | グローバルIPアドレス | |
| FIC-Connection AWS(Private VIF) | L2接続/L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection AWS(Transit VIF) | L2接続/L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection AWS(Public VIF) | L2接続/L3接続 | 〇 | お客さま/FIC | グローバルIPアドレス | |
| FIC-Connection Azure(Microsoft Peering) | L2接続(※1)/L3接続 | 〇 | お客さま/FIC | グローバルIPアドレス | |
| FIC-Connection Azure(Private Peering) | L2接続(※1)/L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection Azure Peering Service | L3接続 | 〇 | FIC | リンクローカルアドレス | |
| FIC-Connection Google Cloud | L2接続/L3接続 | 〇 | Google Cloud | リンクローカルアドレス | |
| FIC-Connection SDPF クラウド/サーバー | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection Oracle(Private Peering) | L2接続/L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection Oracle(Public Peering) | L3接続 | 〇 | Oracle | グローバルIPアドレス | |
| FIC-Connection Wasabiオブジェクトストレージ | L3接続 | 〇 | FIC | リンクローカルアドレス | |
| FIC-Connection (FIC-Router-FIC-Port(テナント間接続)) | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection (FIC-Router-FIC-Port(同一テナント内接続)) | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection (FIC-Router-FIC-Router) | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection FIC-Port-FIC-Port(XaaS) | L2接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection FIC-Router-FIC-Port(XaaS) | L3接続 | 〇 | お客さま | プライベートIPアドレス | |
| FIC-Connection FIC-Router-FIC-Router(XaaS) | L3接続 | 〇 | FIC | リンクローカルアドレス |
注釈
- ※1 FIC-Connection Azure(Private Peering)、FIC-Connection Azure(Microsoft Peering)のL2接続については、お客さまルーターとAzureに対してアドレスが割り当てられます。
5.1.7.1. 接続ネットワークアドレスの割当例¶
例:10.0.0.0/29を接続ネットワークアドレスに指定した場合
| 割当先 | FIC-Router側の接続ネットワークアドレスが若番の場合の接続ネットワークアドレス | 各種接続先側の接続ネットワークアドレスが若番の場合の接続ネットワークアドレス |
|---|---|---|
| FICのPE(Primary) | 10.0.0.1/30 | 10.0.0.2/30 |
| 各種接続先のPE(Primary) | 10.0.0.2/30 | 10.0.0.1/30 |
| FICのPE(Secondary) | 10.0.0.5/30 | 10.0.0.6/30 |
| 各種接続先のPE(Secondary) | 10.0.0.6/30 | 10.0.0.5/30 |
5.1.8. FIC-ConnectionごとのIP Prefixフィルタ機能の対応可否¶
IP Prefixフィルタを設定し、それを透過するアドレス(permitフィルタ)、もしくは遮断するアドレス(denyフィルタ)を指定できます。ただし、permitフィルタとdenyフィルタを併用することは出来ません。
設定したIPアドレスに包含されるアドレスを全てフィルタ対象にする(orlonger)か、入力したIPアドレスのみフィルタ対象にする(exact)かを選択いただけます。
- BGP Filter Ingress、Egressはそれぞれで最大10個まで(無償)フィルタルールの設定が可能です。デフォルトの10Prefixで不足の場合、10Prefix単位で追加可能(有償)です。【設定可能なフィルタルールの上限】
- BGP Filter Ingress 200、BGP Filter Egress 200 のコネクション
- FIC-Connection AWS Private VIF
- FIC-Connection AWS Transit VIF
- FIC-Connection Port
- FIC-Connection XaaS
- BGP Filter Ingress 400、BGP Filter Egress 20のコネクション
- FIC-Connection AWS Public VIF
FIC-ConnectionのBGP Filter Egress広告設定にて、フルルート(デフォルトルート込み)に設定した場合は、0.0.0.0/0 exactの設定が自動的に入力されます。これはお客さまにて変更することができず、最大追加可能数10個の1つに含まれます。
IP Prefixフィルタ機能が設定可能なFIC-Connectionは、以下のとおりです。詳細な設定値については、各FIC-Connectionのチュートリアルに記載しております。
5.1.8.1. IP Prefixフィルタ機能が設定可能なFIC-Connection¶
| IP Prefixフィルタ種別 | Arcstar Universal One | Super OCN Flexible Connect | AWS(Public) | AWS(Private) | AWS(Transit) | Azure(Private Peering) | Azure(Microsoft Peering) | Azure Peering Service | Google Cloud | SDPF クラウド/サーバー | Oracle(Private Peering) | Oracle(Public Peering) | Wasabiオブジェクトストレージ | FIC-Router-FIC-port | FIC-Router-FIC-Router | FIC-RouterとPort(XaaS)間 | FIC-RouterとRouter(XaaS)間 | FIC-RouterとVirtual-Port(XaaS) パターンS※ | FIC-RouterとVirtual-Port(XaaS) パターンX |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| BGP Filter Ingress | ◎ | × | 〇(必須) | ◎ | ◎ | 〇 | 〇 | 〇 | × | × | × | × | × | ◎ | × | ◎ | × | ◎ | ◎ |
| BGP Filter Egress | ◎ | × | × | ◎ | ◎ | 〇 | × | × | × | × | × | × | × | ◎ | ◎ | ◎ | × | ◎ | ◎ |
| IP Prefixフィルタ数変更 | ◎ | × | 〇 | ◎ | ◎ | × | × | × | × | × | × | × | × | ◎ | × | ◎ | × | ◎ | ◎ |
| BGP Filter Ingress フィルタ数上限 | 10 | - | 400 | 200 | 200 | - | - | - | - | - | - | - | - | 200 | - | 200 | - | 200 | 200 |
| BGP Filter Egress フィルタ数上限 | 10 | - | 20 | 200 | 200 | - | - | - | - | - | - | - | - | 200 | - | 200 | - | 200 | 200 |
1Connectionに適応可能なフィルタ数上限デフォルト値は、Ingress/Egressそれぞれ10、それ以上は有償にて10個単位で追加可能です。
※パターンSは、公開サービスの名称の末尾がVirtualPort(Pattern AWS(Private VIF)のみ対象
凡例
◎:permitフィルタ/denyフィルタともに可
〇:permitフィルタのみ可
×:設定不可
5.1.9. 経路フィルタとモニタリングによる経路表示について¶
経路フィルタ機能設定時、FICモニタリングでFIC-Connection/FIC-Routerの経路情報/経路数を取得した際の表示ポリシーは以下のとおりです。
| モニタリング取得箇所 | 経路方向 | BGPアトリビュート設定 | IP Prefixフィルタ機能 | モニタリングでの表示
(BGPアトリビュート)
|
モニタリングでの表示
(経路情報)
|
モニタリングでの表示
(経路数)
|
|---|---|---|---|---|---|---|
| FIC-Connection#1 | 下図矢印A | あり(AS-Path/MED) | あり(Ingress Filter) | BGPアトリビュート設定適用前の情報が表示される | IP Prefixフィルタ機能適用前の情報が表示される | IP Prefixフィルタ機能適用前の経路数が表示される |
| FIC-Connection#1 | 下図矢印B | あり(AS-Path/MED) | あり(Egress Filter) | BGPアトリビュート設定適用後の情報が表示される | IP Prefixフィルタ機能適用後の経路情報が表示される | IP Prefixフィルタ機能適用後の経路数が表示される |
| FIC-Connection#2 | 下図矢印C | なし | なし | 接続先ネットワーク(AS■■■■)からのBGPアトリビュート情報が表示される | 接続先ネットワーク(AS■■■■)からの経路情報が表示される | 接続ネットワーク(AS■■■■)からの経路数が表示される |
| FIC-Connection#2 | 下図矢印D | なし | なし | BGPアトリビュート設定適用後の情報が表示される | IP Prefixフィルタ機能適用後の情報が表示される | IP Prefixフィルタ機能適用後の経路数が表示される |
| FIC-Connection#3(Egress Filterあり) | 下図矢印E | あり(AS-Path) | あり(Egress Filter) | BGPアトリビュート設定適用後の情報が表示される | IP Prefixフィルタ機能適用後の経路情報が表示される | IP Prefixフィルタ機能適用後の経路数が表示される |
| FIC-Connection#4(Egress Filterなし) | 下図矢印E | なし | なし | BGPアトリビュート設定適用後の情報が表示される | IP Prefixフィルタ機能適用後の情報が表示される | IP Prefixフィルタ機能適用後の経路数が表示される |
| FIC-Router(エリア#A) | - | - | - | 下図矢印A~EのBGPアトリビュート設定適用後のBGPアトリビュートが表示される | 下図矢印A~EのIP Prefixフィルタ機能適用後の経路情報が表示される | 下図矢印A~EのIP Prefixフィルタ機能適用後の経路数が表示される |
5.1.10. FICから送付するBGP Community値¶
FICから広告する経路にBGP Communityを付与する場合があります。値と利用用途は以下のとおりです。
※FICから送付するBGP Community値の変更・削除はできません。
| Community値 | 利用用途 |
|---|---|
| 37923:10010 | AS-PATHに4byteASを含む経路を2byteAS(AS37923のみ)に置換した際に付与されます。(下図参照) |
| 64990:{{ Global ASN }} | AS-PATHに4byteASを含む経路を2byteAS(AS37923のみ)に置換した際に送信元のGlobalASを識別できるように付与されます。(下図参照) |
| 64991:{{ Private ASN }} | AS-PATHに4byteASを含む経路を2byteAS(AS37923のみ)に置換した際に送信元のPrivateASを識別できるように付与されます。 |
図 5.1.3 BGP Community値付与イメージ
5.1.11. FICへのBGP Community送付による経路制御¶
FICへ広告する経路にBGP Community値を付与することにより、FICの対応側からFIC側で受信するMED値をコントロールできます。値と利用用途は以下のとおりです。
| Community値 | 利用用途 |
|---|---|
| 37923:490 | 経路制御用、MED値10が付与されます。 |
| 37923:480 | 経路制御用、MED値20が付与されます。 |
| 37923:470 | 経路制御用、MED値30が付与されます。 |
| 37923:460 | 経路制御用、MED値40が付与されます。 |
図 5.1.4 BGP Community値付与によるFIC内部のMED値制御イメージ
5.1.12. 注意事項¶
5.1.12.1. ご利用時の注意事項¶
- 本サービス説明書に記載の各種接続先の仕様については、調査時点の参考情報であり、予告なく変更、追加、削除となる場合がございます。最新の情報については、各社Webサイトなどをご参照願います。
お客さまがご利用される接続先事業者のサービスの仕様、利用可能なサービス、設定方法等については、各接続先事業者にご確認ください。
FIC基盤に影響を及ぼす通信が行われていると判断した場合は、通信を止める可能性がございます。あらかじめご了承ください。
- FICのAS番号は「37923」になります。また、各接続先のAS番号については各社にお問い合わせください。
- FICから広告可能な経路のAS-Path長は100未満です。AS-Path長が100以上の経路は破棄されますのでご注意ください。
FICではFIC-Connection(L3接続)により受信する経路(クラウドなどから受信する経路) にNO-EXPORTコミュニティが付与されている場合、当該属性は削除されます。
- FIC-Router宛ての通信は、サービス基盤を守るために流量制限を実施しています。そのためFIC-Router宛のPing監視は実施しないでください。定常的なPing確認を行いたい場合は、FIC外部の端末間にてご確認ください。
FIC-RouterはPingに応答することを保証するものではなく、今後弊社の都合により動作変更となる場合がございます。
FIC-Connectionの接続ネットワークアドレスがリンクローカルアドレスである場合、該当アドレス宛てのPingは応答しません。
FIC-Connection(L3接続)において、FIC-Routerが同じ宛先への経路情報を複数有している場合、接続先へはベストパスのみをBGPにて広告します。
FIC-NATのグローバルIPアドレスを追加購入した場合、FIC-Connectionの経路変更にて追加購入したグローバルIPアドレスを「Advertised Public Prefixes」に追加していただく必要があります。
- FIC-Connectionを新設する際に設定するMD5の設定は以下となります。
- L2接続の場合は、お客さまにてMD5の設定を行います。
- L3接続の場合は、弊社にてMD5の設定を行います。ただし、不正接続防止のため、非開示とさせていただきます。
- FIC-ConnectionのMTUサイズは以下となります。
- L2接続:8,978byte(イーサヘッダ、FCSを除く)
- L3接続:1,500byte ※1 ※2
- Path MTU Discovery(PMTUD)には未対応です。
FIC-Connctionの帯域において、Azure(Private Peering/Microsoft Peering)とGoogle Cloudについては、クラウド側とFIC側の帯域をそれぞれ設定可能なため、双方の帯域がアンマッチにならないようにご留意ください。
FIC-Connection(Paired)のPrimaryからSecondaryへ切り替わりが発生した場合、Primaryが回復した際は、自動的にPrimaryへ切り戻ります。
Hold Timeが9秒未満でネゴシエーションされた場合、BGPはアップ致しません。
5.1.12.2. お申し込み時の注意事項(共通)¶
- 各種接続先のお申し込みについては、NTT Comは関与致しません。各種接続先と契約いただいた部分の課金開始時、課金停止時については、お客さまにてご対応お願い致します。
- サービスお申し込み後処理が完了しない場合は、チケット起票 にてお問い合わせください。原因が各種接続先に起因する場合は、接続先の仕様により時間を要する場合がございます。
申し込み受付完了後、設定が完了するまでの間は他の申し込みを行うことができません。
API権限管理機能 のIAMロールにて、読み取り専用(GETメソッドのみ許可)の権限を割り当てたユーザのお客さまは、申し込みできません。
- 24時間/365日お申し込み可能です。ただし、メンテナンスなどによりお申し込みいただけない場合があります。また、各種接続先にてメンテナンスや故障の場合も、該当するFIC-Connectionのお申し込みを行うことはできません。
5.1.12.3. お申し込み時の注意事項(新設)¶
NATが必要なFIC-Connection(例:Microsoft Peering)を申し込む際に、接続元(Source)のRouting Groupは1-8まで選択可能です。ただし、NATは1-4のどれかのGroupにしか適用できないため、Group5-8のいずれかを選択した場合は申し込みが行えません。
- FIC-Connectionを新設後は、Routing Groupを変更することはできません。Routing Groupの変更を行う場合は、FIC-Connectionを廃止し、再度FIC-Connectionを新設していただく必要があります。
FIC-Connectionを新設する際に、所属するRouting Groupを選択していただく必要があります。
- FIC-Connectionの契約帯域の総和が、収容されるFIC-Portの契約帯域を超過してもお申し込みは可能です。ただし、帯域差分に起因する通信パケットの破棄が発生する場合も想定されるため、推奨いたしません。
- アクティベート手続き前でも対象のFIC-Portを接続元または、接続先とするFIC-Connectionを作成することは可能ですが、FIC-Portを利用した通信を実施する際は、アクティベート手続きが必要です。
5.1.12.6. お申し込み時の注意事項(廃止)¶
- なし