データプレーンセキュリティに関する情報
LISP データ プレーン セキュリティ機能により、LISP VPN からのトラフィックのみが VPN でカプセル化を解除できます。データプレーンセキュリティを理解するには、それがサポートしている次の機能と概念を十分に理解しておく必要があります。
送信元 RLOC カプセル化解除のフィルタリング
次に、共有共通 RLOC コアを介して、LISP EID インスタンス ID(IID)100 および 200 を使用しているカスタマーネットワークをそれぞれ青と黒で示した図を示します。LISP データパケットをカプセル化を解除すると、PxTR は、インスタンス ID 100 を伝送しているパケットの a1、a2、または a3 のカプセル化ヘッダー内に送信元(SRC)RLOC があることを検証します。同様に、インスタンス ID 200 の場合、PxTR は RLOC 送信元が b1、b2、または b3 であることを検証します。
有効な送信元 RLOC を伝送しない LISP カプセル化データパケットはドロップされます。RLOC 空間 URPF の適用と送信元 RLOC ベースのカプセル化解除フィルタリングを組み合わせることで、テナント VPN のメンバーではない送信元が VPN にトラフィックを挿入できないようにします。
EID インスタンスメンバーシップの配布
送信元 RLOC フィルタリング ソリューションを展開するには、マッピングシステムを介して有効な RLOC のリストをカプセル化解除を実行するボックスにプッシュするための自動化されたメカニズムが必要です。この機能は、マップサーバによって実行されます。マップサーバは、Map-Register メッセージで受信したマッピングレコード内の RLOC 情報を使用して、EID インスタンス ID と RLOC のメンバーシップリストを作成します。EID インスタンス ID で識別された VPN のパケットのカプセル化解除が必要なすべての xTR と PxTR に完全なリストがプッシュされます。
この例では、マップサーバがカスタマーごとに個別の VPN(EID インスタンス)メンバーシップリストを作成し、リストの内容をプッシュします。カスタマー A の 2 つの xTR はそれぞれのサイトの RLOC を登録します。各ユーザは、マップサーバから、カスタマー A のすべての xTF の RLOC の完全なリストを受信します。受信したリストは、カプセル化解除トラフィックをフィルタリングし、データプレーンのセキュリティを適用するために使用されます。
PxTR が使用されている場合(VPN へのインターネット接続をVPN に提供するなど)、VPN に参加している xTR は、PxTR によって送信された LISP データパケットを受け入れ、カプセル化を解除する必要があります。PxTR によって使用される RLOC アドレスは、マップサーバによって xTR に伝達される EID インスタンス メンバーシップ リストに含まれている必要があります。PxTR は、マップサーバが PxTR RLOC を検出するために使用できるマップサーバに EID プレフィックスを登録しません。これらの RLOC はマップサーバ上に手動で設定する必要があります。
マップサーバによって構築された EID インスタンスのメンバーシップリストが有効なのは、VPN に参加しているボックスのみです。追加されたセキュリティ対策として、マップサーバは、EID インスタンスのメンバーシップリストの内容を、その VPN のメンバである xTR と PxTR にのみ伝達します。
マップサーバメンバーシップの収集と配布
-
信頼性の高いトランスポートセッションを受け入れるためのマップ登録と設定を使用して、RLOC アドレスのリストを構築する。
-
上記のリストの (P)xTR からの TCP 接続を受け入れる。
-
受信した Map-Register メッセージから EID インスタンス単位で RLOC メンバーシップを収集し、保持する。
-
(P)xTR からの信頼性の高い転送セッションを介して受信した EID インスタンスのメンバーシップ要求に対応し、メンバーシップ情報を配信する。
受信した登録から MS が収集したEID インスタンス単位のメンバーシップリストは、map-server rloc members {add | override} コンフィギュレーション コマンドを使用して拡張したり、完全に上書きすることができます。このコマンドを使用すると、検出した xTR RLOC メンバーシップを PxTR RLOC アドレスを使用して拡張できます。拡張されたメンバーシップリストは、信頼性の高い転送セッションを介して受信したメンバーシップ要求を許可するかどうかを決定するために使用されます。EID インスタンスに登録されている xTR からの要求のみが許可されます。拡張されたメンバーシップリストは、カプセル化解除デバイスにプッシュされてデータプレーンセキュリティ機能が実装された後、有効な xTR と PxTR の両方から送信されたカプセル化されたパケットを受け入れられるようになります。
マップサーバとの TCP 接続を確立しようとする無許可の試行を防ぐため、接続を許可する許可済みのロケータのリストが構築されます。このリストには、登録する xTR の RLOC アドレスとともに、メンバーシップリストの拡張で設定された RLOC のアドレスが含まれています。RLOC アドレスファミリごとに接続を受け入れる単一のリストがあることに注意してください(EID インスタンス固有ではありません)。
-
EID インスタンス 1(VPN A)メンバーシップ:A1、A2、P1
-
EID インスタンス 2(VPN B)メンバーシップ:B1、B2、P2
-
TCP セッションを受け入れるロケーター:A1、A2、P1、B1、B2、P2
マップサーバは、確立された信頼性の高いトランスポートセッションごとに 1 つ以上の EID インスタンスの EID インスタンスメンバーシップ要求を受信する場合があります。PxTR は通常、MS で確立された 1 つのセッションを通じて複数のインスタンスのメンバーシップを要求します。マップサーバは、許可された要求ごとに完全なメンバーシップのリフレッシュと増分更新を提供する必要があります。
メンバーシップ要求が MS によって受信され、要求を発信しているピア (P)xTR が要求に関連する EID インスタンスのメンバではない場合、MS は要求を拒否し、(P)xTR に Membership-NACK メッセージを返します。このようなイベントは、通常の動作中に発生することがあります。これは、TCP セッションと xTR からのメンバーシップ要求を、対応する Map Register メッセージの前に受信して EID インスタンスメンバーシップに配置することがあるためです。EID インスタンスメンバーシップ要求が MS によって受け入れられた後、登録の有効期限または設定の変更が原因で、要求側 (P)xTR が EID インスタンスメンバーシップから削除された場合、MS は (P) xTR にそのインスタンスのメンバーシップ更新を受信しなくなったことを示す Membership-NACK メッセージを送信します。
-
最初の登録が受信されてから、次のいずれかの条件が満たされた後、少なくとも 1 つの登録期間が経過した(1 分)。 -
accept-more-specific site という EID プレフィックス設定が EID インスタンスに存在せず、設定済みのすべての EID プレフィックスの登録が受信されている。
-
最初の登録が受信された時点から登録の 3 期間が経過しています。
-
登録が受信されておらず、LISP コントロールプレーンが再起動してから 3 回の登録期間が経過しました。
-
EXEC コンフィギュレーション モードで show lisp site rloc members コマンドを使用して、メンバーシップの配布をマップサーバで管理できます。
データプレーンセキュリティの実装方法 に、手順を詳細に示します。
(P)xTR でのカプセル化解除のフィルタリング
送信元 RLOC のカプセル化解除 RLOC フィルタリング機能は、decapsulation filter rloc source コマンドを使用して、(P)xTR 上で有効になります。この機能を有効にすると、(P)xTR はフィルタによって許可された送信元 RLOC を伝送する LISP データパケットのカプセル化解除のみを許可します。この機能を初めて有効にしたときに、フィルタがマップサーバからの EID インスタンスメンバーシップの自動検出に基づいている場合、マップサーバとの信頼性の高い転送接続が確立され、メンバーシップを受信するまで、トラフィックはドロップされます。
(P)xTR メンバーシップの検出
decapsulation filter rloc source members 設定を使用して 1 つ以上の EID インスタンスのメンバーシップ自動検出を使用したデータプレーンの送信元 RLOC フィルタリング用に設定されている (P)xTR は、それらのインスタンスに設定されているマップサーバそれぞれとの信頼性の高い転送セッションを確立しようとします。1 つ以上の EID インスタンスのメンバーシップを伝達する各マップサーバを使用して、信頼性の高い 1 つの転送セッションが開始されます。自動検出されたメンバーシップリストは、decapsulation filter rloc source コマンドの locator-set オプションを使用して送信元 RLOC フィルタを形成するように拡張されています。各マップサーバから検出された EID インスタンスのメンバーシップリストは、設定されているロケータセットの内容とともにまとめてマージされ、データプレーンの送信元 RLOC を定義するために使用されます。マップサーバは、最初に正常に登録した EID プレフィックスを持つ RLOC アドレスからの信頼性の高い着信転送接続のみを受け入れます。xTR は、正常に登録されたことを確認する Map-Notify を受信した後にのみ、接続を確立しようとします。特定のインスタンス ID の EID インスタンスメンバーシップを要求するには、そのインスタンスの 1 つ以上の EID プレフィックスが正常に登録されている必要があります。
マップサーバとの接続が確立されると、(P)xTR は設定内にマップサーバがある各 EID インスタンスの Membership-Request メッセージを送信します。受信した Membership-Add メッセージと Membership-Delete メッセージは、(P)xTR 上の EID インスタンス メンバーシップ データベースを更新します。
EID インスタンス メンバーシップ データベースを再構築するために、(P)xTR は、Membership-ACK メッセージを使用してメンバーシップサービスの提供を希望することをマップサーバが示すとすぐに、Membership-Refresh-Request メッセージを発行します。(P)xTR は、検出された各メンバーシップエントリのエポックを保持します。マップサーバから Membership-Refresh-Start メッセージを受信すると、(P)xTR は、マップサーバと EID インスタンスの組み合わせについて保持するエポックを増分させ、既存のメンバーシップ状態を失効としてフラグ付けします。リフレッシュ時に受信した後続の Membership-Add メッセージは、対応するエントリのエポックを更新します。Membership-Refresh-End メッセージを受信すると、(P)xTR は、リフレッシュ時に更新されていない古いエポックを伝送している、マップサーバから受信した EID インスタンスのメンバーシップエントリを削除します。
転送する通信のフィルタリング
-
RLOC AF および EID インスタンスの粒度ごとにフィルタの有効化状態を伝達する
-
RLOC フィルタのエントリを伝達する
TCP ベースの信頼性の高いトランスポートセッション
-
マップサーバが対応できる xTR の数は、プラットフォームで確立および保持できる TCP セッションの数で制限されます。これにより、マップサーバがホストできる VPN カスタマーの数が決定します。水平スケーリングは、VPN カスタマーを複数の Map Server 間で分割することによって実現されます。
-
同じ VPN に属しているすべての xTR は同じマップサーバに登録する必要があります。マップサーバ TCP セッションのスケール制限よりも多くの xTR を持つ VPN は使用できません。
-
最初の成果物のセッション認証は、RLOC ネットワークの整合性に依存しており、パケットの送信元アドレスを使用して TCP セッションのみをフィルタリングします。
セッションの確立、信頼性の高いトランスポートメッセージ形式、キープアライブメッセージ、エラー通知メッセージなどの TCP ベースの信頼性の高いトランスポートセッションの詳細については、http:// tools.ietf.org /id/draft-kouvelas-lisp-reliable-transport-00.txt を参照してください。