Microsoft PowerPoint - T19_3.ppt

Transcription

1 IP-VPN (BGP MPLS/VPN) InternetWeek 2005 アジアネットコムジャパン株式会社石井秀雄 IP-VPN MPLSで実現できる代表的なサービスとして IPVPNを取り上げます また そのVPNの種類としては L3VPN (Layer3VPN) およびL2VPN(Layer2 VPN) がありますが ここでは 現在普及しているL3VPNを中心に説明します 1

2 IP-VPN Agenda BGP/MPLS-VPNとは BGP/MPLS-VPNの動作概要 BGP/MPLS-VPNのラベルパス決定方法 BGPにおけるVPN 経路情報 VPNにおけるQoSの提供 BGP/MPLS-VPNネットワーク相互接続 BGP/MPLS-VPNユーザ構築事例 BGP/MPLS-VPNまとめ ( 実際と新技術 ) BGP/MPLS-VPN とは RFC2547bis に記された通信事業者としての IP- VPN 実現技術 インターネットVPN = オープンなネットワーク上で IPデータ部を暗号化し 閉域ネットワークを実現 MPLS-VPN = MPLS label( ラベルヘッダをつかってカプセリング ) により 理論的な閉域ネットワークを実現 昨今 MPLSを使ったほかのIP-VPN 技術と区別してBGP/MPLS-VPNと呼ばれる 2

3 BGP/MPLS-VPN とは 多様なインターフェンスタイプでの提供が可 ATM SDH といいた非対称構成も可能 暗号に頼らないセキュリティの確保が可能 Frame-Relay などと同等の機能を IP 網で実現 お客様側への特別な装置が不要 (a)ipsec-vpn 方式 暗号化装置 (b)mpls-vpn 方式 汎用ルータ IP-NW BGP/MPLS-VPN 暗号化によりセキュリティ確保対地間でメッシュにトンネル エッシ にて VPN 毎にラヘ ル付与フラットなネットワーク BGP/MPLS-VPN とは 網内のパケット転送にMPLS(LDP/RSVP) VPN 経路情報交換にBGP(multiprotocol- BGP:RFC2858, RFC3107) を使用 ルーティングプロトコルがエッジで終端されるPeer モデル プロバイダ側ルータで VPNごとに異なるルーティングテーブル持ち ユーザ側ルータとルーティング情報の交換をする Layer3ルーティングをプロバイダにアウトソーシングしているといえる 3

4 BGP/MPLS-VPN の動作概要 BGP/MPLS-VPN 動作概要 MPLS ドメイン内では ラベルによって転送が行われる MPLS-VPN ではラベルは 2 つ使用される PE ルータで VPN を識別し 該当するあて先に対応したラベルを付与して MPLS ドメインにパケットを送信する P ルータ A IP ラベルラベル P ルータ B 出口の PE ルータでは ラベル情報から得られた該当 VPN に対して ラベルが除去して通常の IP パケットとして送信する IP PE ルータ A MPLS ドメイン PE ルータ B PE ルータ C IP MPLS 通信 IP 通信 CE ルータ CE ルータ CE ルータ CE ルータ CE ルータ CE ルータ VPN A 新宿 /24 VPN A 大手町 /24 VPN B 横浜 /24 VPN A 名古屋 /24 VPN B 大阪 /24 VPN A 大阪 /16 4

5 特徴 ( ユーザ側 ) お客様宅客様宅に設置設置されるされるルータルータは通常通常の IP ルータで良い (MPLSやIP-Sec 等の機能機能はいらない ) FRやATM 等のようなのようなパスパスの管理管理が必要必要ない ( 利用して 理論的理論的に 2 つのパスパスを確立確立することもすることも可能 ) IP アドレスはおはお客様客様にてにて任意任意に設定可能設定可能であり IPv4 プライベートアドレスを自由自由に持ちこめるちこめる VPN 同士の通信通信は ルータルータ内及内及び網内網内にてにて完全完全に分離されており FR ATMと同等同等のセキュリティセキュリティが保たれている 特徴 ( プロバイダ側 ) 既存のルータルータによる IP ネットワークをそのままをそのまま使ってIP-VPN サービスを提供提供できるできる 複数のルーティングプロトコルルーティングプロトコルを使っておってお客様客様を収容できるのでできるので柔軟柔軟なサービスサービスが提供提供できるできる 複数の VPNを1 台のルータルータに収容収容できるためできるため効率の良いIP-VPN サービスを提供提供できるできる 異なる VPN 間で同じアドレスアドレスが使えるためえるためサービス性が良い 論理的に分離分離されたされたネットワークネットワークなので QoS などのサービスも実現実現しやすいしやすい 5

6 BGP/MPLS-VPN 構成ルータ PE ルータ :Provider Edge Router( お客様客様を収容するするルータルータ MPLS エッジルータ ) P ルータ :Provider Router(MPLS コアルータ ) CE ルータ :Customer Edge Router(PE ルータにつながるおにつながるお客様客様ルータ ) VPN 収容とラベル付けラベルのみで転送通常の IP ルータ CE PE P P PE CE VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B PE ルータの仕組み 複数の VPN を 1 台の PE ルータに収容するために VPN ごとに異なる VRF (VPN Routing and Forwarding table) をもつ それぞれのCEルータを接続するインターフェイスを該当するVRFに括り付ける 個々のVRFはルータ内部で分離されており またバックボーンでは パケットがラベルでカプセリングされて転送されるので ATM/FRと同等レベルのセキュリティが確保できる 6

7 PE ルータの仕組み VPN ごとに別々のルーティングテーブルを保持 Serial1/0/0 ATM2/0/0.1 Ether3/0/0 Serial1/0/1 VPN-A 用 Routing Table VPN-B 用 Routing Table VPN-C 用 Routing Table ISP 内部用 Global Routing Table IP ラベルラベル Backbone 向けポート PE ルータ BGP/MPLS-VPN ラベル構成 Shim ヘッダ形式 レイヤ 2 ヘッダ 網内転送ラベル VPN 識別ラベル IP ヘッダ + データ PE ルータで挿入され 出口の PE ルータを目指して P ルータをホップするたびにラベルの値は変わっていく (LDP で hop by hop に決定 ) PE ルータで挿入され 出口の PE ルータに到着するまでは コアネットワーク内では参照されず値も変わらない (mpbgp で PE ルータ同士で情報交換 ) 32bit 固定長 MPLS ラベルが 2 つ (MPLS label dual stack) 7

8 BGP/MPLS-VPN 動作概要 VPN 名 A 社 A 社 Route Dist. あて先アドレス VPN 識別ラベル 出口の PE ルータのアドレス 転送用ラベル / / / /32 42 in 転送用ラベル 42 出口の PE ルータのアドレス out 転送用ラベル /32 32 Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 BGP/MPLS-VPN 動作概要 (cont.) パケット転送 : CE からパケットパケット到着 VPNA; 拠点 B: 行きパケット到着 Dst: Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 8

9 BGP/MPLS-VPN 動作概要 (cont.) PE ルータでのでのラベルテーブルルックアップ VPN 名 A 社 A 社 Route Dist. あて先アドレス VPN 識別ラベル 出口の PE ルータのアドレス 転送用ラベル / / / /32 42 Dst: Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 BGP/MPLS-VPN 動作概要 (cont.) PE ルータでのでのパケットパケットへのへのラベルラベル付与 1 出口の PE ルータよりより得た VPNA: /8に相当相当する VPN 識別用ラベル Bを付与付与するする 2(1)VPNA: /8の出口出口の PE ルータを BGP next-hopで知る (2) 該当する BGP next-hopに対応対応したした転送用転送用ラベル Aを付与付与するする Dst: ラベル B(26) ラベル A(42) Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 9

10 BGP/MPLS-VPN 動作概要 (cont.) P ルータでのでのラベルテーブルルックアップ in 転送用ラベル 42 出口の PE ルー out 転送用 タのアドレス ラベル /32 32 Dst: ラベル B(26) ラベル A(42) Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 BGP/MPLS-VPN 動作概要 (cont.) P ルータでのでのラベルスワップ バックボーン内の P ルータではでは 転送用転送用ラベル A だけを参照 値はホップバイホップホップバイホップで変わりますわります Dst: ラベルB(26) ラベル A(32) Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 10

11 BGP/MPLS-VPN 動作概要 (cont.) 最後の P ルータではでは転送用転送用のラベルラベルを取ります (PHP:Penultimate Hop Popping) in 転送用 出口の PE ルー out 転送用 ラベル タのアドレス ラベル /32 - Dst: ラベルB(26) ラベル A(32) Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 BGP/MPLS-VPN 動作概要 (cont.) 最終 PE ルータでのでのラベルテーブルラベルテーブルのルックアップルックアップ 出口の PE ルータではでは ラベル Bの値を頼りに VPNを識別 & 出力インタフェースインタフェースを決定決定し CE ルータへパケットパケットを転送 Dst: ラベル B(26) Lo: /32 CE PE P P PE CE 26 VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 11

12 BGP/MPLS-VPN 動作概要 (cont.) 目的の CE ルータへ到着 ラベルがはずされがはずされ通常通常の IP パケットとして CE ルータに到着到着する Dst: Lo: /32 CE PE P P PE CE VPN-A: 拠点 A MPLS ドメイン VPN-A: 拠点 B /8 BGP/MPLS-VPN 動作概要 PE ルータ間の LSPをVPN 識別用ラベルラベルでカプセル化されたされたパケットパケットが通るイメージ Redistribute(BGP4 以外 ) Static BGP4 RIP OSPF PE mp-bgp IPパケット VPNラベル LSPラベル PEルータLoアドレス間 LSP Redistribute(BGP4 以外 ) P P PE Static BGP4 RIP OSPF CE VPNA: 拠点 A MPLS ドメイン (OSPF など ) CE VPNA: 拠点 B 12

13 BGP/MPLS-VPN ラベル決定方法 PE ルータ P ルータ間で OSPF/ISIS にて経路経路のやり取りをしりをし そのその経路情報経路情報にラベルラベル情報情報を対応 (LDP/RSVP-TE) 特にPE ルータの Loopback アドレスが最終的最終的に VPNの出口出口を示すのですので重要 Lo: Lo: PEルータLoアドレスへLSP 確立 PE P P PE LDP( 転送ラベルラベルの決定 ) MPLS ドメイン (OSPF/ISIS) BGP/MPLS-VPN ラベル決定方法 PE-CE 間のルーティングプロトコルルーティングプロトコルで得た VPN 経路情報をラベルラベルの情報情報とともに PE ルータ間で交換 Rd= /24 ラベル 26 RT=12 NH=PE-B PE-A mp-bgp (VPN サイトラベルの決定 ) P P Redistribute PE-B 例 : Static VPN-A /24 ラベル =26 CE VPNA: 拠点 A MPLS ドメイン CE VPNA: 拠点 B 13

14 BGP/MPLS-VPN ラベル決定方法 個々のVPNを識別識別するためのするためのラベルラベルは mp-bgp を使って PE 間で交換交換されるされる (VPN ( ラベル ) MPLS ドメイン内にあるにある PE-P,P-P 間で使用使用されるラベルラベルは LDP もしくは RSVP-TEでアサインアサインされる ( 転送ラベル ) BGP における VPN 経路情報 14

15 BGP における VPN 経路 RFC2858 Multiprotocol extensions for BGP-4を使用 MP_REACH_NLRI(Type Code 14) MP_UNREACH_NLRI(Type Code 15) AFI=1 & SAFI =128 MPLS-labeled VPN-IPv4 address ラベル情報情報は RFC3107に従って Encoding BGP における VPN 経路 mp-bgp における経路扱経路扱い VPN-IPv4 Address Family 通常の IPv4 アドレスに 8byteの識別子 Route Distinguisher(RD) を付与付与し 12byteのアドレスアドレス空間に拡大 VPN-IPv4 Address(12byte) =RD(8byte)+IPv4(4byte) RD IPv4 アドレス 12byte 15

16 BGP における VPN 経路 mp-bgp における経路扱経路扱い RD(8byte) の Format Type 2byte Value 6byte ISP Value Field Format Extended Community Extended Community Attribute(Type Code 16) が新たにたに定義 その中の一つが Route Target(RT) VRF より BGPにアナウンスアナウンスされるされる経路経路にはには 必ず一つ以上以上の RTを付与付与する (Export Targets) リモート PE からの経路経路をローカル VRFに落としとし込む際の選択選択に使用 (Import Targets) VPN 間通信 AS 間通信の実現 16

17 Extended Community RT をもとに VPNv4-prefixをどの VPNのRouting Table 突っ込むかをむかを選択 (Import) VPN-A 用 Routing Table ISP 内部用 VPN-B 用 Global Routing Table Routing Table VPN-C 用 Routing Table テーブルにのせる際に付与 (Export) BGP テーブル RD:18084:1(VPN-A) /24 RT:18084:1(Export) /24 RT:18084:1(Export) RD:18084:2(VPN-B) /24 RT:18084:2(Export) /24 RT:18084:2(Export) RD:18084:3(VPN-C) /8 RT:18084:3(Export) AS override 同一 VPN 内で複数複数の拠点拠点で同一同一の AS 番号を用いてPE-CE 間を接続接続するためのするための技術 ユーザ側で AS 番号の管理管理が不要 /24 AS VPN-A 拠点 1 AS BGP-4 VPN-A 拠点 2 BGP-4 ISP 内部では普通どおり /24 AS65000 VPN-A BGP/MPLS-VPN 網 AS 拠点 1 の AS65000 を ISP AS に置き換えて伝える /24 AS65530 BGP-4 AS VPN-A 拠点 3 17

18 SOO (Site of origin) AS Overrideと併用併用されされ冗長構成拠点冗長構成拠点の同一 AS 間のループループを防ぐ RTと同じExtend Communityの一つ /24 CE-A AS65000 CE-B /24 BGP-4 BGP-4 ISP 内部では 同一 SOO を付与 /24 AS65000 From CE-A SOO=65000: /24 AS65000 From CE-B SOO=65000:1 PE VPN-A 拠点 /24 PE 経路の回りこみを防ぐ VPN における QoS の提供 18

19 VPN における QoS の提供 現在 VPN サービスの付加価値付加価値として QoSの提供が進んでいるんでいる Jitterやdelayに敏感敏感な VoIPやテレビテレビ会議会議 画像のリアルタイムリアルタイム転送転送などのなどのアプリケーションアプリケーションを VPNに統合統合したいしたい というという要求 VPN における QoS の提供 MPLS ヘッダーの EXP フィールドを使って Class わけを行い すべての P/PEで優先順位優先順位に基づいてパケットフォワーディングパケットフォワーディングを行う PE/P 優先順位処理 EXP0 EXP3 EXP 6 EXP3 EXP6 EXP6 WRED/WFQ の処理処理によってによって 場合によってはによっては低いプライオリティプライオリティのパケットは廃棄廃棄されるされる WRED:Weighted Random Early Detection WFQ : Weighted Fair Queuing 19

20 VPN における QoS の提供 サービス提供者提供者の管理体制 SNMPの情報情報で Queueの使用率使用率や状況状況を確認 SNMPの情報情報を使ってって Ingress/Egressのポートポートの状況を管理 SNMPの情報情報を使ってって バックボーンバックボーンの回線利用率回線利用率を管理 SAA (Service Assurance Agent) をつかって POP-POP, または END-to-ENDの品質品質を管理 BGP/MPLS-VPN ネットワーク相互接続 20

21 BGP/MPLS-VPN 網間接続 ネットワークの規模を大きくして サービス提供範囲を広げるために VPN 網の相互接続が行われている RFC2547bis(draft-ietf-l3vpn-rfc2547bis-03.txt) において 3 つの IPVPN AS 間の相互接続の方法 ( option ) が記載されている PE MPLS-VPN ISP-A ASBR ASBR MPLS-VPN ISP-B PE CE VPN-A シームレスに一つの VPNを構成 CE VPN-A Option A VRF to VRF RR-A RR-B PE-A1 SP-A PE-ASBR-A 1 logical int per VPN PE-ASBR-B SP-B PE-B1 CE-1 CE-2 PE-A2 Ipv4 VPN routes: IGP/BGP/static CE-3 PE-B2 CE-4 VPN-X VPN-Y Data VPN-X VPN-Y 21

22 Option B ASBR to ASBR PE-A1 RR-A ASBR-A vpv4 SP-A/SP-B: EBGP vpnv4 ASBR-B RR-B PE-B1 SP-A SP-B NH for vpnv4 CE-1 CE-2 PE-A2 ASBRs can: Set next hop self Redistribute connected subnets CE-3 PE-B2 CE-4 VPN-X VPN-Y VPN Label VPN-X VPN-Y Data Option C Route-Reflector to Route-Reflector PE-A vpv4 SP-A/SP-B: EBGP vpnv4 next hop unchanged! RR-B PE-A1 ASBR-A ASBR-B PE-B1 ANC PE-A2 IGP/static + LDP EBGP ipv4 + label Partners PE-B2 CE-2 CE-3 CE-4 VPN-X VPN-Y IGP Label VPN Label VPN-X VPN-Y Data 22

23 Option の選択 Option A (VRF to VRF) NNI のインターフェイスで MPLS を使う必要がない TCP/IP の ToS ビットなどの書き換えが可能 論理インターフェイス単位でトラフィック情報収集可能 Option B (ASBR to ASBR) PE-ASBR-ASBR-PE で MPLS で統一 論理インターフェイスの管理不要 Option C (RR to RR) 経路情報の増大に対応 Plus Option B の利点 Inter-AS Traffic Engineering VPN 網の相互接続環境において より一層の管理体制や品質確保のため MPLS traffic-engineering の LSP を NNI パートナー網内の PE もしくは網を通過し 出先の自社 PE に構築する手法が議論されている ASBR 間においての FastReRoute 機能の要望 CE PE PE MPLS-VPN ISP-A ASBR ASBR ASBR ASBR MPLS-VPN ISP-B PCE(Path Computation Element) がTEの最適経路最適経路を決定 -IETFのCCAMPやPCE WG などで議論 PE PE PE ISP-A 23

24 BGP/MPLS-VPN ユーザ構築事例 BGP/MPLS-VPN ユーザ構築事例 Static によるネットワーク構築 主に拠点向き CE 側はdefault Routeを利用し 簡素な設定例 Internet / / /0 CE CE / / /24 VPN A 社 / /0 CE / /24 CEで設定する経路 PEで設定する経路 ( 申込経路 ) 24

25 BGP/MPLS-VPN ユーザ構築事例 BGP や OSPF などを利用する 動的ルーティングを生かしたバックアップ構成の実現 大規模な社内網をサポート 例 / / / /0 ISDN BGP /24 VPN A 社 を配信 /24 を配信 Internet / /24 障害時は が消える = ハ ックアッフックアッフ へのへの切替 BGP/MPLS-VPN のまとめ ( 実際と新技術 ) 25

26 BGP/MPLS-VPN 技術の実際 RFC2547bis が Informational RFC から draftietf-l3vpn-rfc2547bis-03.txt にて改定中 現在 IETF の L3VPN-WG において議論されている 複数のメーカが実装 同じ MPLS 技術をつかった VPN として VR(Virtual Router) 方式や ルーティングをアウトソースしない L2VPN(Layer2VPN) VPLS など新しいサービス形態がどんどん現れ IP-VPN を実現するための唯一の解ではなくなっている BGP/MPLS-VPN 技術の実際 ISP 内部の設計に関しては バックボーンは軽くなったが エッジルータは VPN をハンドルするため負荷がかかる傾向 ISP にてルーティングのアウトソーシングを受けるため ISP としては 経路数が莫大に増える可能性 1VPN*1000 経路 200VPN=20 万経路!! InternetのGlobalRouteでも16~17 万経路 リフレクタを分ける PEルータ収容を分ける BGP Peer 構成を分ける等のスケーラビリティ対応要 26

27 BGP/MPLS-VPN 技術の実際 BGP/MPLS-VPN に対して 高い品質を要求されている バックボーンやコアノードの障害時に 短時間で backup へ迂回させる Fast ReRoute 機能を ISP 網内に導入 障害箇所の判別や PE-PE 間のパス 遅延時間などの測定のための LSP-ping/LSP-traceroute や VRF 単位での PING など IP 同様の機能が VPN の網内でもサポートされている BGP/MPLS-VPN 関連の新しい技術 Multicast over MPLS-VPN Multicast PIM-SMをVPNユーザ単位に分けで機能を提供 ユーザは個々に独立したMulticast 網として利用可能 複数のベンダーから いくつかのソリューションが提案されている 限定される設定や機能がまだ多い Multicast Join request PE MPLS-VPN PE Join request CE CE SV SV Remote Client Multicast Sender 27

28 BGP/MPLS-VPN 関連の新しい技術 IPv6 for IPVPN IPv6 を VPN 網で利用したい要求に対して考えられた新しい技術 BGP-MPLS IP VPN extension for IPv6 VPN として draft-ietf-l3vpn-bgp-ipv6-07.txt で規定 IPv4 の VPN 同様に IPv6 にも RD (routedistinguisher) を付与する 6PE は 1 つの Global IPv6 Routing table をもつが VPN の場合は複数の IPv6 VRF routing table をもつ必要あり 28