More Related Content Similar to 閉域網接続の技術入門 (20) 閉域網接続の技術入門11. Multi Protocol Label Switching
• 32bitの固定長のラベルを使用したパケット転送技術
• ラベルでカプセル化することによって、複数のプロトコル
をMPLSという統一されたアーキテクチャ上で動作させ
る事ができる。伝送媒体に依存しない。
• ラベルを複数スタックして付与することで階層構造の概
念を作り、顧客ごとに分離したVPNサービスなどが実現
可能
ラベル IPv4
ラベル Ethernet
ラベル ラベル IPv6
30. Virtual Routing and Forwarding tables
A社
192.168.100.0/24
B社
192.168.100.0/24
PE
CE
CE MPLS網
VRF A
A社のルーティングテーブル
VRF B
B社のルーティングテーブル
MPLS網の
ルーティング
テーブル
PEルータ内に顧客毎の仮想ルーティングインスタンスを作成する
33. Route Target
• RTでVRFを識別する
送信側PEはVPNv4 prefixにRT値を付与してMP-iBGPの拡張コミュニ
ティで広報(export)、受信側PEでRT値が一致した経路のみ学習(import)
し、どのVRFに経路を挿入するか決定する。RTは1つのVPNv4 prefixに
対して複数設定可能。
PE
A社
192.168.100.0/24
B社
192.168.100.0/24
CE
CE
PE
A社
192.168.100.0/24
B社
192.168.100.0/24
CE
CE
P
RD 65530:1-192.168.100.0/24
RT 65530:1 export
RD 65530:2-192.168.100.0/24
RT 65530:2 export
経路広報
経路広報
RT 65530:1 import VRF A
RT 65530:2 import VRF B
一致したら学習
34. VRFs まとめ
• 異なる複数のVPNで顧客の経路の重複を可能にする
• RDで顧客の経路に、RTでどのローカルVRFに経路を取
り込むのかを決めるための識別子をつける
• RTの情報はMP-iBGPの拡張コミュニティでネイバーの
PEに伝達される
• 受信側のPEはRTのexport値が、ローカルVRFに設定さ
れたRTのimport値と一致する場合に当該経路を学習
する
37. OSPFドメイン
大規模環境でのIGPの課題
バックボーン区間顧客側 CE 顧客側 CE
この区間の経路情報は
顧客にとってはどうでもいい
OSPFなどのリンクステート型IGPは同一エリアのすべてのルータが同じ経路情
報(LSDB)を保持してしまう。顧客の経路毎に”色付け”をした制御や、網内経路
と顧客経路の分離が難しく、スケールしにくい。
エリアを分割しても
メンテナンス性を欠くだけで
根本的解決策にならない
39. 顧客経路の伝達にBGPを利用
バックボーン区間顧客側 CE 顧客側 CE
Route Reflector
OSPF
BGP
iBGP next-hopのIGPリカーシブルックアップを
OSPFで解決することで網内到達性を実現
障害やメンテナンス時にはコスト調整による
迂回を容易に行え、経路収束時間を短縮できる
CEがバックボーン区間の経路を保持することなく
End-Endで到達性のあるネットワークを構築可能
帯域やピア数の増加にはRRを増設して対応することで
比較的高いスケーラビリティを実現
41. BGP接続時の課題
AS65531
OSPF p2p OSPF p2p
iBGP peer
Core RouterEdge Router Edge Router
10.1.1.0/31 10.1.2.0/31192.168.1.0/31 192.168.2.0/31
ping DST:192.168.2.1
Customer Customer
エッジルータは顧客の経路を学習し、iBGP peerを張っている対向のエッジルータに
経路を広報するが、コアルータはその経路を学習していないため、next-hop解決に
失敗し破棄される。コアルータをiBGP peerに参加させるためには、ルートリフレクタ
が必要(iBGPスプリットホライズン)
.1.0.1.0
AS65530 AS65532
eBGP eBGP
43. BGP Free Core Design
OSPF p2p OSPF p2p
AS65531
iBGP peer
Core RouterEdge Router Edge Router
10.1.1.0/31 10.1.2.0/31
192.168.1.0/31 192.168.2.0/31
Customer Customer
.1.0.1.0
AS65532
eBGP eBGP
AS65530
IGPのコンバージェンス後にLDPでLSPを確立する。
iBGP next-hopのリカーシブルックアップをコアルータで不要にすることで、
エッジルータ間が1hopで到達可能になる。
顧客増加に伴う経路数増加の影響をコアルータが受けることなく、スケール
が容易になる。
LSP LSP
iBGP peerが不要
44. 網と顧客の経路を分離しない場合の問題点
OSPF p2p OSPF p2p
AS65531
iBGP peer
lo:172.16.0.1
10.1.1.0/31 10.1.2.0/31
192.168.1.0/31 192.168.2.0/31 .1.0.1.0
AS65532
eBGP eBGP
AS65530
LSP LSP.0 .0.1 .1
lo:172.16.0.2 lo:172.16.0.3
172.16.0.1172.16.100.1
172.16.0.1宛のICMP Echo Request
172.16.0.1からの ICMP Echo Reply
届いていない宛先から応答がある
Where are you from?
ICMP Echo Requestが届いていない
正常に通信ができないトラブル
この問題については以下のblogで、検証結果を交えて詳細に書かれています。
http://ttsubo.hatenablog.com/entry/2016/03/26/205028
自宅の検証設備で同様の問題にハマった経験があるので紹介しました。
47. AS Override & SOO(Site Of Origin)
AS65532
拠点A
AS65531
MPLS/BGP 網
AS_PATH: 65531
eBGP
10.1.0.0/24
AS65532
拠点B
AS Override
CEのASをバックボーンのASで上書きする
拠点BのCEからは拠点AのASが見えなくなる
eBGP
CE1
CE2
SOO(Site Of Origin)
BGP拡張コミュニティを使い経路が送信元に戻されるのを防ぐ
AS65532 10.1.0.0/24 CE1 65532:10
AS65532 10.1.0.0/24 CE2 65532:10
同一ASからのprefixには同じSOO値を付与
49. Multiprotocol Extensions for BGP-4
RFC2283/RFC4360で新たなBGP Path Attributeを定義
• Multiprotocol Reachable NLRI(Type 14)
Optional non-transitive
[Address Family Information, Next Hop Information, NLRI]で構成
• Multiprotocol Unreachable NLRI (Type 15)
Optional non-transitive
[Address Family Information, Unfeasible Routes Length, Withdrawn Routes]で構成
• Extended Communities(Type 16)
Optional transitive
Route Targetの伝達
• Address Family Information
[AFI, SAFI]で構成. SAFIはAFIで識別されたプロトコルの詳細
AFI(Address Family Identifier) 1 ⇒ IPv4 / 2 ⇒ IPv6
SAFI(Sub-AFI) 1 ⇒ Unicast / 2 ⇒ Multicast
4 ⇒ NLRI with MPLS Labels(ラベル情報の伝達)
128 ⇒ MPLS-labeled VPN address(VPNv4 prefixの伝達)
50. AFI & SAFI combinations
AFIとSAFIの組み合わせで
NLRIで伝達するアドレス情報
の種別と詳細を識別できる
AFI=1, SAFI=1, IPv4 unicast
AFI=1, SAFI=2, IPv4 multicast
AFI=1, SAFI=128, L3VPN IPv4 unicast
AFI=1, SAFI=129, L3VPN IPv4 multicast
AFI=2, SAFI=1, IPv6 unicast
AFI=2, SAFI=2, IPv6 multicast
AFI=25, SAFI=65, BGP-VPLS/BGP-L2VPN
AFI=2, SAFI=128, L3VPN IPv6 unicast
AFI=2, SAFI=129, L3VPN IPv6 multicast
AFI=1, SAFI=132, RT-Constrain
AFI=1, SAFI=133, Flow-spec
AFI=1, SAFI=134, Flow-spec
AFI=3, SAFI=128, CLNS VPN
AFI=1, SAFI=5, NG-MVPN IPv4
AFI=2, SAFI=5, NG-MVPN IPv6
AFI=1, SAFI=66, MDT-SAFI
AFI=1, SAFI=4, labeled IPv4
AFI=2, SAFI=4, labeled IPv6 (6PE)
55. PE & CEのIPv6対応
6VPE
A社
IPv6 only
B社
IPv4/IPv6
CE
CE
6VPE
A社
IPv4/IPv6
B社
IPv4 only
CE
CE
P
IPv6に対応したPE
IPv4 MPLS網
VPNラベル転送ラベル IPv6 パケット
IPv4のMPLSと同様に、IPv6パケットをラベルでカプセル化することで
既存のIPv4 MPLSドメインでIPv6の接続性を提供可能.
Pルータが必ずしもIPv6対応する必要がなく、伝送媒体に依存せず
統一されたアーキテクチャ上で動作するというMPLSのメリットを活かせる.
IPv6非対応
56. 6PE / 6VPE
• 6PE(IPv6 Provider Edge Router)
IPv6対応のLER
• 6VPE(IPv6 VPN Provider Edge Router)
IPv6対応のPE
PEと同様にMP-BGP、VRFs、拡張コミュニティなど加えて、
OSPFv3などのIPv6ルーティングプロトコルにも対応する必要がある
IPv6 address 128bitRD 64bit
この192bitの組み合わせを VPNv6 Prefix と呼ぶ(RFC4659)
62. vCPE
顧客の各拠点
通信事業者網
クラウドに集約配置
ルーティング
ファイアウォール
DHCP
QoS
NAT
etc
宛先リソース
顧客側に設置するのは、ネットワークにア
クセスするだけのシンプルな役割のL2デ
バイスのみ。接続して電源を入れるだけ。
ゼロタッチコンフィグレーション
NFV基盤
vCPEをサーバあたり何台詰め込めるかを
性能とのコストバランスを考えながらサー
ビス設計をする必要がある。
異なるメーカーの製品を束ねることができ
るオーケストレータの存在も重要。
72. 参考
• MPLS: Technology and Applications
Bruce Davie(著), Yakov Rekhter(著)
• インターネットルーティング入門 第3版
友近 剛史 (著), 池尻 雄一 (著), 白崎 泰弘 (著)
• 次世代ネットワークの技術概要~MPLS編~
Interop Tokyo 2009 ソフトバンクテレコム 松嶋 聡
• インターネットルーティングアーキテクチャ
Sam Halabi(著), Danny McPherson(著)