MPLS レイヤ 3 VPNs の概要
MPLS レイヤ 3 VPN は、MPLS プロバイダー コア ネットワークにより相互接続されている一連のサイトから構成されます。各カスタマー サイトでは、1 つ以上のカスタマー エッジ(CE)ルータまたはレイヤ 2 スイッチが、1 つ以上のプロバイダー エッジ(PE)ルータに接続されます。ここでは次の項目について説明します。
MPLS レイヤ 3 VPN の定義
MPLS レイヤ 3 VPN はピア モデルに基づいており、これにより、サービス プロバイダーおよびカスタマーは、レイヤ 3 のルーティング情報を交換できます。プロバイダーは、カスタマー サイト間でデータをリレーします。このとき、カスタマーが直接何かを行う必要はありません。
新しいサイトが MPLS VPN に追加された場合、更新する必要があるのは、カスタマー サイトにサービスを提供するサービス プロバイダーのエッジ ルータだけです。
MPLS レイヤー 3 VPN には、以下のコンポーネントが含まれています。
-
プロバイダー(P)ルータ:プロバイダー ネットワークのコア内のルータ。P ルータは MPLS スイッチングを実行しますが、ルーティングされるパケットに VPN ラベル(PE ルータによって割り当てられた、各ルート内の MPLS ラベル)を付加しません。P ルーターは、Label Distribution Protocol(LDP)に基づいてパケットを転送します。
-
プロバイダー エッジ(PE)ルータ:着信パケットが受信されるインターフェイスまたはサブインターフェイスに基づいて、着信パケットに VPN ラベルを付加するルータ。PE ルータは、CE ルータに直接接続します。
-
カスタマー エッジ(CE)ルータ:ネットワーク上の PE ルータに接続するプロバイダーのネットワーク上のエッジ ルータ。CE ルータは、PE ルータとインターフェイスする必要があります。
MPLS レイヤ 3 VPN の動作方法
MPLS レイヤ 3 VPN 機能は、MPLS ネットワークのエッジで有効になっています。PE ルータは、次のタスクを実行します。
-
CE ルータとルーティング アップデートを交換する。
-
CE ルーティング情報を VPN ルートに変換する。
-
マルチプロトコル ボーダー ゲートウェイ プロトコル(MP-BGP)を介して、他の PE ルータとレイヤ 3 VPN ルートを交換する。
MPLS レイヤ 3 VPN のコンポーネント
MPLS ベースの VPN ネットワークには、次の 3 つの主要コンポーネントがあります。
-
VPN ルート ターゲット コミュニティ:VPN ルート ターゲット コミュニティは、レイヤ 3 VPN コミュニティのすべてのメンバのリストです。VPN コミュニティ メンバーごとに VPN ルート ターゲットを設定する必要があります。
-
VPN コミュニティ PE ルータのマルチプロトコル BGP ピアリング:マルチプロトコル BGP は、VPN コミュニティのすべてのメンバに VRF の到達可能情報を伝播します。VPN コミュニティ内のすべての PE ルータに マルチプロトコル BGP ピアリングを設定する必要があります。
-
MPLS 転送:MPLS は、VPN エンタープライズまたはサービス プロバイダー ネットワーク上のすべての VPN コミュニティ メンバ間のすべてのトラフィックを転送します。
1 対 1 の関係は、カスタマー サイトと VPNs 間に必ずしも存在する必要はありません。1 つのサイトを複数の VPNs のメンバにできます。ただし、サイトは、1 つの VRF とだけ関連付けることができます。カスタマー サイトの VRF には、そのサイトがメンバとなっている VPNs からサイトへの、利用できるすべてのルートが含まれています。
ハブ アンド スポーク トポロジ
ハブ アンド スポーク トポロジは、スポーク プロバイダー エッジ(PE)ルータでの加入者間のローカル接続を禁止し、加入者がハブ サイトに常に接続されるようにします。同じ PE ルータに接続しているすべてのサイトは、ハブ サイトを使用して、サイト間のトラフィックを転送する必要があります。このトポロジより、スポーク サイトでのルーティングは、常にアクセス側インターフェイスからネットワーク側インターフェイスに対して、またはネットワーク側インターフェイスからアクセス側インターフェイスに対して実行されます。アクセス側インターフェイスからアクセス側インターフェイスへのルーティングは発生しません。ハブ アンド スポーク トポロジにより、サイト間のアクセス制限を維持できます。
ハブ アンド スポーク トポロジを使用すると、PE ルータが、トラフィックをハブ サイトを介して渡さずに、スポークをローカルに切り替えるという状況が回避されます。このトポロジにより、加入者が互いに直接接続することがなくなります。ハブ アンド スポーク トポロジでは、スポークごとに 1 つの VRF は必要ありません。
図に示すように、ハブ アンド スポーク トポロジは通常、2 つの VRF で設定されたハブ PE で設定されます。
-
専用リンクが設定された VRF 2hub がハブのカスタマー エッジ(CE)に接続されます。
-
VRF 2spoke は、ハブ CE に接続された別の専用リンクを使用します。
内部ゲートウェイ プロトコル(IGP)または外部 BGP(eBGP)セッションは、通常、ハブ PE-CE リンクを介してセットアップされます。VRF 2hub は、すべてのスポーク PE からエクスポートされたすべてのルート ターゲットをインポートします。ハブ CE はスポーク サイトからのすべてのルートを学習し、それらをハブ PE の VRF 2spoke に再アドバタイズして戻します。VRF 2spoke は、これらすべてのルートをスポーク PE にエクスポートします。
ハブ PE とハブ CE の間の eBGP を使用する場合は、通常は禁止されているパスで自律システム(AS)番号を複製できるようにする必要があります。ハブ PE の VRF 2spoke のネイバー、およびすべてのスポーク PE の VPN アドレス ファミリ ネイバーでこの重複 AS 番号を許可するようにルータを設定できます。さらに、ハブ PE の VRF 2spoke でネイバーにルートを配布する場合は、ハブ CE でピア AS 番号チェックを無効にする必要があります。
MPLS VPN のための OSPF 模造リンクのサポート
マルチプロトコル ラベル スイッチング(MPLS)VPN 構成では、Open Shortest Path First(OSPF)プロトコルを使用して、VPN バックボーン内のカスタマー エッジ(CE)デバイスをサービス プロバイダー エッジ(PE)デバイスに接続できます。多くのカスタマーは、OSPF をサイト内ルーティング プロトコルとして実行し、VPN サービスにサブスクライブし、MPLS VPN バックボーンで OSPF を(移行時または常時)使用してサイト間でルーティング情報を交換することを望んでいます。
MPLS VPN の OSPF 模造リンク サポートの利点は次のとおりです。
-
MPLS VPN バックボーン全体でのクライアント サイトの接続:模造リンクによって、バックドア リンクを共有する OSPF クライアント サイトが、MPLS VPN バックボーンを介して通信を行い、VPN サービスに参加するようになります。
-
MPLS VPN 設定での柔軟なルーティング:MPLS VPN 設定で模造リンクに対して設定する OSPF コストを使用して、OSPF クライアント サイトのトラフィックを、バックドア リンク経由にするか、または VPN バックボーン経由にするかを指定できます。
下の図に、OSPF を実行する各 VPN クライアント サイトを、MPLS VPN バックボーンで接続する例を示します。
OSPF を使用して PE デバイスと CE デバイスを接続するには、VPN サイトから学習したすべてのルーティング情報を、着信インターフェイスに関連付けられた VPN ルーティングおよび転送(VRF)インスタンスに格納します。VPN に接続された PE デバイス間では、ボーダー ゲートウェイ プロトコル(BGP)を使用して、VPN ルートが交換されます。CE デバイスはこの VPN 内の他のサイトへのルートを、自分が接続された PE デバイスとのピアリングによって学習します。MPLS VPN スーパーバックボーンは、OSPF を実行する各 VPN サイトを内部接続するための追加のルーティング階層レベルを提供します。
OSPF ルートが MPLS VPN バックボーン全体に伝播されると、プレフィックスに関する追加情報が、BGP 拡張コミュニティ形式(ルート タイプ、ドメイン ID 拡張コミュニティ)で BGP アップデートに付加されます。このコミュニティ情報を使用して、受信した PE デバイスは、BGP ルートを OSPF PE-CE プロセスに再配布するときに生成するリンクステート アドバタイズメント(LSA)のタイプを決定します。このようにして、同じ VPN に属し、VPN バックボーン全体にアドバタイズされる内部 OSPF ルートが、リモート サイト上でエリア内ルートとして認識されます。
フィードバック