MPLS VPN InterAS オプションに関する情報
MPLS VPN InterAS オプション機能は、異なる MPLS VPN サービスプロバイダー間で VPN を相互接続するさまざまな方法を提供します。これにより、お客様のサイトを複数のキャリアネットワーク(自律システム)に存在させ、サイト間でのシームレスな VPN 接続が可能になります。
自律システムと ASBR
自律システム(AS)とは、共通のシステム管理グループによって管理され、単一の明確に定義されたプロトコルを使用している単一のネットワークまたはネットワークのグループのことです。多くの場合、VPN は異なる地理的領域の異なる AS に拡張されます。一部の VPN は、複数のサービスプロバイダーにまたがって拡張する必要があり、それらはオーバーラッピング VPN と呼ばれます。VPN の複雑さや場所に関係なく、AS 間の接続はお客様に対してシームレスである必要があります。
自律システム境界ルータ(ASBR)は、複数のルーティングプロトコルを使用して設定された AS 内のデバイスであり、外部ルーティングプロトコル(eBGP など)またはスタティックルートを使用するか、あるいは両方を使用して、他の ASBR とルーティング情報を交換します。
異なるサービスプロバイダーからの個別の自律システムは、VPN IP アドレスの形式で情報を交換することによって通信し、次のプロトコルを使用してルーティング情報を共有します。
-
AS 内では、ルーティング情報は iBGP を使用して共有されます。
iBGP は、各 VPN および各 AS 内の IP プレフィックスのネットワーク層情報を配布します。
-
自律システム間では、ルーティング情報は eBGP を使用して共有されます。
eBGP を使用することで、サービスプロバイダーは別の自律システム間でのルーティング情報のループフリー交換を保証するインタードメイン ルーティング システムを設定できます。eBGP の主な機能は、自律システムのルートのリストに関する情報を含む、自律システム間のネットワーク到達可能性情報を交換することです。自律システムは、eBGP ボーダーエッジルータを使用してラベルスイッチング情報を含むルートを配布します。各ボーダー エッジ ルータでは、ネクスト ホップおよび MPLS ラベルが書き換えられます。
MPLS VPN InterAS オプションの設定はサポートされており、プロバイダー間 VPN を含めることができます。これは、異なるボーダーエッジルータで接続されている 2 つ以上の自律システムで構成される MPLS VPN です。自律システムでは eBGP を使用してルートが交換されます。iBGP やルーティング情報は自律システム間で交換されません。
MPLS VPN InterAS オプション
RFC4364 で定義されている次のオプションは、異なる自律システム間の MPLS VPN 接続を提供します。
-
InterAS オプション B:このオプションは、ASBR 間の VPNv4 ルート配布を提供します。
-
InterAS オプション AB:このオプションは、InterAS オプション A ネットワークと InterAS オプション B ネットワークの最良の機能を組み合わせたものです。MPLS VPN サービスプロバイダーは、さまざまな自律システムを相互接続して VPN サービスを提供できます。
InterAS オプション B
ASBR 間で VPNv4 ルートのネクストホップを配布するための 2 つの方法がサポートされています。2 つの ASBR を接続するリンクで LDP または IGP を有効にする必要はありません。ASBR 上の直接接続されたインターフェイス間の MP-eBGP セッションにより、インターフェイスはラベル付きパケットを転送できます。直接接続された BGP ピアに対してこの MPLS 転送を保証するには、ASBR に接続するインターフェイスで mpls bgp forwarding コマンドを設定する必要があります。このコマンドは、直接接続されたインターフェイスの IOS に実装されています。最大 200 の BGP ネイバーを設定できます。
-
ネクストホップセルフ方式:ネクストホップを他の ASBR から学習したすべての VPNv4 ルートのローカル ASBR のネクストホップに変更します。
-
Redistribute Connected Subnet 方式:redistribute connected subnets コマンドを使用して、リモート ASBR のネクストホップアドレスをローカル IGP に再配布します。つまり、VPNv4 ルートがローカル AS に再配布されても、ネクストホップは変更されません。
(注) |
等コストパス(リモート AS への ECMP)が複数ある場合は、ASBR 上のリモートループバックに対する MPLS スタティック ラベル バインディングを設定する必要があります。そのように設定しないと、パケットが損失する場合があります。 |
次に説明するラベルスイッチパス転送の項では、AS200 はネクストホップセルフ方式で設定されており、AS300 は Redistribute Subnet 方式で設定されています。
ネクストホップセルフ方式
次の図に、ネクストホップセルフ方式のラベル転送パスを示します。パケットが AS 200 の PE-200 から AS 300 のPE-300 に到達するときに、ラベルがスタックにプッシュ、スワップ、およびポップされます。ステップ 5 で、ASBR-A300 はラベル付きフレームを受信し、ラベル 164 をラベル 161 に置き換え、IGP ラベル 162 をラベルスタックにプッシュします。
Redistribute Connected Subnet 方式
次の図に、Redistribute Connected Subnet 方式のラベル転送パスを示します。パケットが AS 300 の PE-300 から AS 200 の PE-200 に移動するときに、ラベルがスタックにプッシュ、スワップ、およびポップされます。ステップ 5 で、ASBR-A200 は BGP ラベル 20 のフレームを受信し、ラベル 29 と交換し、ラベル 17 をプッシュします。
InterAS オプション AB
MPLS VPN サービス プロバイダーは、さまざまな自律システムを相互接続して、複数の VPN カスタマーにサービスを提供する必要があります。MPLS VPN InterAS オプション AB 機能を使用すると、グローバル ルーティング テーブル内の単一の MP-BGP セッションを使用してさまざまな自律システムを相互接続し、コントロール プレーン トラフィックを伝送できます。この MP-BGP セッションでは、2 つの ASBR 間で、各 VRF インスタンスの VPN プレフィックスがシグナリングされます。このトラフィックは、IP または MPLS です。
VPN トラフィックは VRF 固有のインターフェイスを経由する IP トラフィックであるため、 2 つの ASBR 間で MPLS BGP 転送または LDP を設定する必要はありません。
InterAS オプション AB 機能には、サービスプロバイダーにとって次の利点があります。
-
ASBR ピア間の IP QoS 機能を維持し、カスタマー SLA を実現できます。
-
データ プレーン トラフィックは、セキュリティ上の目的で VRF ごとに分離されます。
-
SVI にポリシーを付加することで、専用の QoS ポリシーを各 VRF に適用できます。
ルート配布およびパケット転送
次の属性は、上の図に示されているサンプル InterAS オプション AB ネットワークのトポロジを示しています。
-
CE1 と CE3 は VPN 1 に属しています。
-
CE2 と CE4 は VPN 2 に属しています。
-
PE1 では、VPN 1(VRF 1)にルート識別子 1(RD 1)を、VPN 2(VRF 2)に RD 2 を使用しています。
-
PE2 は、VPN 1(VRF 1)に RD 3 を、VPN 2(VRF 2)に RD 4 を使用しています。
-
ASBR1 では、VRF 1 が RD 5 に、VRF 2 が RD 6 にプロビジョニングされています。
-
ASBR2 では、VRF 1 が RD 7 に、VRF 2 が RD 8 にプロビジョニングされています。
-
ASBR1 と ASBR2 との間には 3 つのリンクがあります。
-
VRF 1
-
VRF 2
-
MP-BGP セッション
-
VPN 1 のルート配布
ルート識別子(RD)は、各ルートにどの VPN が属しているかを識別するためにルートに付加される識別子です。各ルーティング インスタンスには、一意な RD 自律システムが関連付けられている必要があります。RD は、VPN の周囲に境界を設置して、異なる VPN で同じ IP アドレス プレフィックスを使用してもこれらの IP アドレス プレフィックスが重複しないようにするために使用されます。RD 文は、インスタンス タイプが VRF である場合は必須です。
次のプロセスは、上記の図の VPN 1 のルート配布プロセスを示しています。このプロセスで使用されているプレフィックス「N」は、VPN の IP アドレスを示しています。
ASBR1
-
CE1 は、プレフィックス N を PE1 にアドバタイズします。
-
PE1 は、VPN プレフィックス RD 1:N を ASBR1 に MP-iBGP 経由でアドバタイズします。
-
ASBR1 は、プレフィックスを VPN 1 にインポートして、プレフィックス RD 5:N を作成します。
-
ASBR1 は、インポートしたプレフィックス RD 5:N を ASBR2 にアドバタイズします。ASBR1 は、自身をプレフィックス RD 5:N のネクスト ホップとして設定し、このプレフィックスとともにシグナリングされるローカル ラベルを割り当てます。
-
ASBR1 は、最初に受信した RT ではなく、VRF に設定されたエクスポート RT を使用してルートをアドバタイズします。デフォルトで、ASBR1 はソース プレフィックス RD 1:N を ASBR2 にアドバタイズしません。このプレフィックスは、オプション AB VRF にインポートされるプレフィックスであるため、アドバタイズされません。
ASBR2
-
ASBR2 は、プレフィックス RD 5:N を受信して、RD 7:N として VPN 1 にインポートします。
-
ASBR2 は、最初に受信した RT ではなく、VRF に設定されたエクスポート RT を使用してルートをアドバタイズします。
-
プレフィックスのインポート時に、ASBR2 は RD 7:N のネクスト ホップを VRF 1 の ASBR1 インターフェイス IP アドレスに設定します。ネクスト ホップ テーブル ID も VRF 1 に設定されます。RD 7:N 用の MPLS 転送エントリをインストールする場合、デフォルトでは ASBR2 は転送プロセスで発信ラベルをインストールしません。これにより、ASBR 間のトラフィックを IP にすることができます。
-
ASBR2 は、インポートしたプレフィックス RD 7:N を PE2 にアドバタイズします。ASBR2 は、自身をこのプレフィックスのネクストホップとして設定し、このプレフィックスとともにシグナリングされるローカルラベルも割り当てます。デフォルトで、ASBR2 はソース プレフィックス RD 5:N を PE2 にアドバタイズしません。このプレフィックスは、オプション AB VRF にインポートされるプレフィックスであるため、アドバタイズされません。
-
PE2 は、RD 7:N を RD 3:N として VRF 1 にインポートします。
VPN 1 のパケット転送
次のパケット転送プロセスは、オプション A のシナリオと同様に動作します。ASBR は VPN の終端となることによって PE と同様に動作し、トラフィックを標準 IP パケットとして VPN ラベルなしで次の PE に転送します。その後、次の PE で VPN プロセスが繰り返されます。したがって、各 PE デバイスは隣接 PE デバイスを CE デバイスとして扱い、各自律システムでのルート再配布には標準的なレイヤ 3 MPLS VPN メカニズムが使用されます。つまり、各 PE は、外部 BGP(eBGP)を使用して相互にラベルなし IPv4 アドレスを配布します。
-
CE3 は、N 宛てのパケットを PE2 に送信します。
-
PE2 は、ASBR2 によって割り当てられた VPN ラベル、およびパケットを ASBR2 にトンネリングするために必要な内部ゲートウェイ プロトコル(IGP)ラベルでパケットをカプセル化します。
-
パケットは、VPN ラベルが付いた状態で ASBR2 に到達します。ASBR2 は VPN ラベルを削除し、パケットを IP として ASBR1 の VRF 1 インターフェイスに送信します。
-
IP パケットが、ASBR1 の VRF 1 インターフェイスに到達します。ASBR1 は、PE1 によって割り当てられた VPN ラベル、およびパケットを PE1 にトンネリングするために必要な IGP ラベルでパケットをカプセル化します。
-
パケットは、VPN ラベルが付いた状態で PE1 に到達します。PE1 は VPN ラベルを削除して、IP パケットを CE1 に転送します。
VPN 2 のルート配布
次の情報は、上記の図の VPN 2 のルート配布プロセスを示しています。
ASBR1
-
CE2 は、プレフィックス N を PE1 にアドバタイズします。N は VPN IP アドレスです。
-
PE1 は、VPN プレフィックス RD 2:N を ASBR1 に MP-iBGP 経由でアドバタイズします。
-
ASBR1 は、プレフィックスを VPN 2 にインポートして、プレフィックス RD 6:N を作成します。
-
ASBR1 は、インポートしたプレフィックス RD 6:N を ASBR2 にアドバタイズします。ASBR2 は、自身をこのプレフィックスのネクストホップとして設定し、このプレフィックスとともにシグナリングされるローカルラベルも割り当てます。デフォルトで、ASBR1 はソース プレフィックス RD 2:N を ASBR2 にアドバタイズしません。このプレフィックスは、オプション AB VRF にインポートされるプレフィックスであるため、アドバタイズされません。
ASBR2
-
ASBR2 は、プレフィックス RD 6:N を受信して、RD 8:N として VPN 2 にインポートします。
-
プレフィックスのインポート時に、ASBR2 は RD 8:N のネクスト ホップを VRF 2 の ASBR1 インターフェイス アドレスに設定します。ネクスト ホップ テーブル ID も VRF 2 の ID に設定されます。RD 8:N 用の MPLS 転送エントリをインストールする場合、デフォルトでは ASBR2 は転送プロセスで発信ラベルをインストールしません。これにより、ASBR 間のトラフィックを IP にすることができます。
-
ASBR2 は、インポートしたプレフィックス RD 8:N を PE2 にアドバタイズします。ASBR2 は、自身をこのプレフィックスのネクストホップとして設定し、このプレフィックスとともにシグナリングされるローカルラベルも割り当てます。デフォルトで、ASBR2 はソース プレフィックス RD 6:N を PE2 にアドバタイズしません。このプレフィックスは、オプション AB VRF にインポートされるプレフィックスであるため、アドバタイズされません。
-
PE2 は、RD 8:N を RD 4:N として VRF 2 にインポートします。