Cisco VPN Solutions Center: MPLS Solution プロビジョニング ガイド
Cisco MPLS VPN テクノロジーの概要
Cisco MPLS VPN テクノロジーの概要
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco MPLS VPN テクノロジーの概要

テクノロジーの概要

カスタマーおよびプロバイダーから見たネットワーク

利点

MPLS VPN について

イントラネットとエクストラネット

MPLS VPN のセキュリティ要件

アドレス空間およびルーティングの分離

アドレス空間の分離

ルーティングの分離

MPLS コア構造の隠蔽

攻撃に対する対抗策

ルーティング プロトコルの保護

ラベル スプーフィング

MPLS コアの保護

信頼できるデバイス

PE-CE インターフェイス

ルーティング認証

CE-PE リンクの分離

LDP 認証

VPN 間の接続性

MP-BGP のセキュリティ機能

IP アドレス解決によるセキュリティ

VPN 分離の保証

VPN ルーティング/転送テーブル(VRF)

VRF の実装に関する考慮事項

VRF インスタンスの作成

ルート区分(RD)とルート ターゲット(RT)

ルート ターゲット コミュニティ

CE ルーティング コミュニティ(CERC)

マルチ VRF CE について

MPLS VPN ケーブル機能の概要

ケーブル MPLS VPN の利点

ケーブル MPLS VPN ネットワーク

ケーブル ネットワーク内の管理 VPN

VPNSC テンプレートを使用するコンフィギュレーション ファイルのカスタマイズ

テンプレート作成機能の用途

Event Subscription Service

Event Gateway サーバ

Cisco MPLS VPN テクノロジーの概要

テクノロジーの概要

Cisco VPN Solutions Center: MPLS Solution は、ネットワークおよびサービス管理アプリケーションのモジュラ スイートであり、サービス プロバイダー向けの Virtual Private Network(VPN; バーチャル プライベート ネットワーク)サービスの定義および監視を行うネットワーク管理システムです。VPN Solutions Center を使用すると、サービス プロバイダーはイントラネット VPN とエクストラネット VPN をプロビジョニングし、管理できます。

この製品は、IP ベースの MPLS VPN 環境のフロースルー プロビジョニング、サービス監査、および Service Level Agreement(SLA; サービス レベル契約)測定に対応する、運用管理面の機能性を提供します。Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は、タグ スイッチングをベースとした新たな業界標準です。

VPN Solutions Center は、プロバイダー向けのスケーラブルな VPN テクノロジーです。このテクノロジーを使用すると、サービス プロバイダーはカスタマーの SLA に基づいた IP VPN サービスの計画、プロビジョニング、および管理を行うことができます。この製品は、プロビジョニング、サービス保証、および課金プロセスの簡略化により、シスコの MPLS ベースの VPN ソリューションを補完し、その結果 VPN サービスの展開および運用コストを削減します。

VPN Solutions Center には課金アプリケーションが含まれていませんが、課金エンジンによる処理が可能なサービスの利用データを提供することにより、課金処理が実行できます。

VPN Solutions Center は、プロバイダーのネットワークを通るカスタマー ルータ間のリンクのプロビジョニング、モニタリング、および監視に重点を置いています。VPNSC は、プロバイダーのエッジ ルータおよびカスタマーのエッジ ルータだけを取り扱います。

図 1-1 サービス プロバイダー ネットワークでの VPN Solutions Center: MPLS Solution

 

図 1-1 に示すように、カスタマー エッジ ルータ(CE)は、カスタマーのトラフィックがカプセル化されて、ユーザが意識することなく他の CE に転送される方法、つまり VPN を構築する方法で、プロバイダー エッジ ルータ(PE)に接続されます。CE は、そのサイトにあるすべての装置に VPN へのルートをアドバタイズします。VPN Solutions Center のプロビジョニング エンジンは、CE と PE の両方のコンフィギュレーション ファイルにアクセスし、PE-CE リンク上でのサービスのサポートに必須であるこれらのファイルに対して必要な変更を計算します。

VPN Solutions Center(VPNSC)ソフトウェアを使用すると、サービス プロバイダーは次を実行できます。

IP ベースの MPLS VPN サービスのプロビジョニング

サービス要求の監査レポートの生成

SLA パフォーマンスを測定するためのデータ収集の実行

各 VPN のサービス使用状況の評価

MPLS VPN は、MPLS プロバイダーのコア ネットワークを使用して相互接続されているサイトのセットで構成されています。各サイトには 1 つまたはそれ以上の CE が設置され、これらは 1 つまたはそれ以上の PE に接続されます。PE は Border Gateway Protocol-Multiprotocol(MP-BGP; マルチプロトコル ボーダー ゲートウェイ プロトコル)を使用して、ダイナミックに相互通信を実現します。

PE は拡張コミュニティ アトリビュートを備えた MP-BGP を使用して、IPv4 アドレスを IPv4 の VPN エンティティに変換するため、2 つの VPN 間で使用される IPv4 アドレス セットはいずれも互いに排他的である必要はありません。

ただし、VPN で使用される IP アドレス セットは、プロバイダー ネットワーク内で使用されるアドレス セットに対して排他的である必要があります。すべての CE は、直接の接続先である PE をアドレス指定できる必要があります。したがって、PE の IP アドレスは、どの VPN でも重複しないようにします。

カスタマーおよびプロバイダーから見たネットワーク

カスタマーからは、内部ルータが CE を使用し、サービス プロバイダーが管理する VPN を経由して、あるサイトから別のサイトへ通信しているように見えます(図 1-2 を参照)。

図 1-2 カスタマーから見たネットワーク

 

このシンプルに見えるカスタマー ネットワークが、VPN を使用する上での利点です。つまり、カスタマーのトラフィックがパブリック ネットワーク インフラストラクチャを経由し、他の企業とそのインフラストラクチャを共有している場合でも、カスタマーは専用のプライベート ネットワークを所有しているかのように、サイト間で直接的に通信を行うことができます。

もちろんサービス プロバイダーの視点から見たネットワークは、図 1-3 に示すように大きく異なります。この図では、それぞれ 1 つの VPN を所有している、異なる 2 つのカスタマーを示しています。ただし、一方のカスタマーは複数の VPN を持つことができます。

図 1-3 サービス プロバイダーから見たネットワーク

 

PE について

プロバイダー ネットワークのエッジには PE があります。プロバイダー ネットワーク内には、必要に応じて別のプロバイダー ルータ(P ルータとして指定される場合が多い)があり、これらは MP-BGP を経由して相互に通信したり、PE との通信を行ったりします。このモデルでは、サービス プロバイダーは PE と CE 間のリンクだけをプロビジョニングする必要があります。

PE は、VPN ルーティング/転送テーブル(VRF)と呼ばれる個別のルーティング テーブルを保持します。VRF には、直接接続されている VPN サイトのルートだけが含まれます(VRF の詳細については、「VPN ルーティング/転送テーブル(VRF)」を参照してください)。PE は、MP-iBGP セッションを通して VPN-IPv4 のアップデートを交換します。これらのアップデートには、VPN-IPv4 アドレスおよびラベルが含まれています。ルートを発信する PE が、そのルートのネクスト ホップです。PE アドレスは、コア内部ゲートウェイ プロトコルへのホスト ルートと呼ばれます。

利点

MPLS ベースの VPN には、次の利点があります。

追加の付加価値 IP サービスを迅速に展開できるプラットフォーム。サービスには、イントラネット、エクストラネット、音声、マルチメディア、ネットワーク商取引が含まれます。

レイヤ 2 VPN と同等のプライバシーとセキュリティ。VPN のルートの配布をその VPN のメンバーであるルータだけに制限すること、および転送に MPLS を使用することによって実現します。

カスタマーのイントラネットとのシームレスな統合。

スケーラビリティの増大。各 VPN に数千のサイト、および各サービス プロバイダーに数十万の VPN に対応します。

VPN 間の優先順位と同様に、VPN 内の複数のサービス クラスをサポートする IP サービス クラス(CoS)。

VPN メンバーシップの容易な管理および新規 VPN の迅速な展開。

拡張イントラネットおよび複数の企業を含むエクストラネットに対応する、スケーラブルな any-to-any 接続。

MPLS VPN について

最も単純な VPN は、同じルーティング テーブルを共有するサイトの集まりです。VPN は、複数サイトへのカスタマーの接続が、プライベート ネットワークと同じ管理ポリシーを持つ共有インフラストラクチャ上で展開されているネットワークでもあります。VPN 内の 2 つのシステム間のパス、およびそのパスの特長もポリシーによって(全体または部分的に)決定される場合があります。特定の VPN 内のシステムが同じ VPN 内にないシステムと通信することを許可するかどうかも、ポリシーによって選択されます。

MPLS VPN では、一般に、VPN は MPLS プロバイダーのコア ネットワークを使用して相互接続されたサイトのセットで構成されますが、同じサイトに存在する異なるシステムに対して異なるポリシーを適用することも可能です。ポリシーはダイヤルインするシステムにも適用でき、ダイヤルイン認証プロセスに基づいて選択されます。

所定のシステム セットは、1 つまたはそれ以上の VPN 内に配置できます。VPN は、同じ企業(イントラネット)または異なる企業(エクストラネット)のサイト(またはシステム)で構成できます。つまり、同じサービス プロバイダーのバックボーンまたは異なるサービス プロバイダーのバックボーンに接続されているサイト(またはシステム)で構成できます。

図 1-4 サイトを共有する VPN

 

MPLS ベースの VPN はレイヤ 3 で構築され、ピア モデルに基づいているため、従来の VPN よりも拡張が容易になり、構築と管理が簡単になります。さらに、付加価値サービス(アプリケーションとデータ ホスティング、ネットワーク商取引、テレフォニー サービスなど)を、特定の MPLS VPN の対象とし、展開が容易にできます。これは、サービス プロバイダーのバックボーンが、各 MPLS VPN をセキュアなコネクションレス型 IP ネットワークであると認識するためです。

MPLS VPN モデルは、各カスタマーの VPNに一意な VRF を割り当てることでトラフィックの分離を強制する、真(true)のピア VPN モデルです。したがって、特定の VPN 内のユーザは、その VPN の外部のトラフィックを見ることはできません。トラフィック分離は、直接ネットワークに組み込まれるため、トンネリングや暗号化なしで発生します(VRF の詳細については、「VPN ルーティング/転送テーブル(VRF)」を参照してください)。

サービス プロバイダーのバックボーンは、PE とそのプロバイダー ルータで構成されます。MPLS VPN は、特定の VPN のルーティング情報が、その VPN に接続されている PE ルータ上に だけ 存在できるようにする機能を備えています。

MPLS VPN の特徴

MPLS VPN には次の特徴があります。

MP-BGP 拡張を使用して、カスタマーの IPv4 アドレスのプレフィックスを一意の VPN-IPv4 Network Layer Reachability Information(NLRI; ネットワーク レイヤ到着可能性情報)値に符号化します。

NLRI は MP-BGP の宛先アドレスを参照するため、NLRI は「1つのルーティング単位」と判断されます。IPv4 MP-BGP のコンテキストでは、NLRI は BGP4 ルーティング アップデートで伝送されるネットワーク プレフィックス/プレフィックス長のペアを参照します。

拡張 MP-BGP コミュニティ アトリビュートを使用して、カスタマー ルートの配布を制御します。

各カスタマー ルートは、ルートの起点となるプロバイダー エッジ ルータによって割り当てられる MPLS ラベルに関連付けられます。データ パケットの方向を正しい出力 CE へ指定するためにこのラベルが使用されます。

データ パケットがプロバイダーのバックボーンを通して転送される場合、2 つのラベルが使用されます。最初のラベルはパケットの伝送方向を適切な出力 PE に指定し、2 番目のラベルは、その出力 PE がパケットを転送する方法を指示します。

Cisco MPLS CoS および QoS メカニズムは、カスタマーのデータ パケットからサービスを区別できます。

PE ルータと CE ルータ間のリンクには、標準の IP 転送が使用されます。

PE は各 CE を、その CE で利用可能なルートだけを含むサイトごとの転送テーブルと関連付けます。

主要なテクノロジー

MPLS ベースの VPN 構築を可能にする主要なテクノロジーには、次の 4 つがあります。

PE 間の CE ルーティング情報を伝送する MP-BGP

VPN ルート ターゲットの拡張 MP-BGP コミュニティ アトリビュートに基づいたルート フィルタリング

サービス プロバイダーのバックボーンを通じて PE 間のパケットを伝送する MPLS 転送

複数の VRF を保持する各 PE。

イントラネットとエクストラネット

ある VPN 内のすべてのサイトが同じ企業によって所有されている場合、その VPN は「企業イントラネット」です。ある VPN 内の多様なサイトが異なる企業によって所有されている場合、その VPNは「エクストラネット」です。1 つのサイトは複数の VPN 内に配置できます。イントラネットとエクストラネットはどちらも VPN とみなされます。

相互接続の基本単位はサイトですが、MPLS VPN アーキテクチャでは、相互接続の制御をより細かく行うことができます。たとえば、あるサイトでは、指定した特定のシステムだけをほかの特定サイトに接続することが望ましいとします。つまり、あるサイトの特定のシステムをイントラネットのメンバーにすると同時に、1 つまたはそれ以上のエクストラネットのメンバーにもできます。さらに、同じサイトのほかのシステムはイントラネットのメンバーにのみ限定しておくことができます。

1 つの CE ルータを複数の VPN で使用できますが、1 つのサイト内での使用に限られます。1 つの CE ルータが複数の VPN に存在する場合、これらの VPN のうち 1 つがプライマリ VPN とみなされます。一般に、CE ルータのプライマリ VPN は、その CE ルータのサイトを含むイントラネットです。CE ルータが同じ VPN または別の VPN 内にあるかどうかにかかわらず、1 つの PE ルータを任意の数の異なるサイトにある CE ルータに接続できます。ロバストネスを確保するために、1 つの CE ルータを複数の PE ルータに接続することがあります。PE ルータが特定の VPN 内にある CE ルータに隣接しているルータである場合、PE ルータはその VPN に接続されます。

MPLS VPN のセキュリティ要件

この項では、MPLS VPN アーキテクチャのセキュリティ要件について説明します。ここでは、コア ネットワークを「外部(インターネットおよび接続された VPN)」の攻撃から保護することを中心に説明します。ここでは、「内部」攻撃からの保護は取り上げません。「内部」攻撃とは、攻撃者がコア ネットワークに論理的、または物理的にアクセスすることで、内部からアクセスすれば、どのようなネットワークでも攻撃できるためです。

アドレス空間およびルーティングの分離

MPLS VPN サービスの交差していない 2 つの VPN 間では、異なる VPN 間のアドレス空間は完全に独立しているとされます。これは、たとえば、交差していない 2 つの VPN は、どちらも干渉することなく 10/8 ネットワークを使用できる可能性があるということです。ルーティングの観点では、これは 1 つの VPN 内の各エンド システムが一意のアドレスを持ち、このアドレスに向かうルートはすべて同じエンド システムに向かうということです。具体的には次の通りです。

すべての VPN は、ほかのすべての VPN と同じアドレス空間を使用できる必要がある。

すべての VPN は、MPLS コアと同じアドレス空間を使用できる必要がある。

2 つの VPN 間のルーティングは、すべて独立している必要がある。

すべての VPN とコア間のルーティングは、独立している必要がある。

アドレス空間の分離

セキュリティの観点では、基本的な要件は、所定の VPN 内のホスト a.b.c.d を宛先とするパケットが、ほかの VPN またはコア内の同じアドレスを持つホストに到達しないようにすることです。

MPLS では、別々の VPN が同じアドレス空間を使用できます。このアドレス空間は、プライベート アドレス空間にすることもできます。これは、64 ビットの Route Distinguisher(RD; ルート区分)を各 IPv4 ルートに追加し、VPN で一意のアドレスを MPLS コア内でも一意のアドレスにすることで実現します。この「拡張」アドレスは、「VPN-IPv4 アドレス」とも呼ばれます。したがって、MPLS サービスを利用するカスタマーは、ネットワーク内の現在のアドレッシングを変更する必要はありません。

CE ルータと PE ルータ 間でルーティング プロトコルを使用する場合には(スタティック ルーティングではこれは問題となりません)、例外が 1 つあります。CE ルータのピアとなっている PE ルータの IP アドレスです。PE ルータとの通信を可能にするには、CE ルータ上のルーティング プロトコルは、コア内のピア ルータのアドレスを設定する必要があります。このアドレスは、CE ルータから見て一意である必要があります。サービス プロバイダーが CE ルータも顧客宅内機器(CPE)として管理する環境では、このアドレスをカスタマーから不可視にできます。

ルーティングの分離

VPN 間のルーティングの分離も実現できます。すべての PE ルータは、接続されている各 VPN に対して個別の VRF を保持しています。PE ルータ上の各 VRF には、スタティックに構成されたルート、または PE ルータと CE ルータ間で実行されているルーティング プロトコルを通じて 1 つの VPN からのルートが読み込まれます。すべての VPN は結果的に個別の VRF になるため、PE ルータ上の VPN 間に干渉はありません。

ほかの PE ルータへは MPLS コアを通るので、このルーティング分離の保持は、マルチプロトコル BGP で RD などの一意な VPN 識別子を追加することで行われます。VPN ルートは、コアを通る MP-BGP によって排他的に交換されます。このBGP 情報の再配布は、コア ネットワークでは行われず、ほかの PE ルータに対してのみ行われます。この PE ルータで、VPN 固有の VRF 内に情報が再び保持されます。このようにして、MPLS ネットワークを通るルーティングは、VPN ごとに分離されます。

MPLS コア ネットワークを通した所定のアドレッシングとルーティングの分離に関しては、MPLS が ATM やフレーム リレーなどのレイヤ 2 と同等のセキュリティを提供します。特別に構成されていない限り、MPLS コアを通じてほかの VPN に侵入することは不可能です。

MPLS コア構造の隠蔽

MPLS コア ネットワークの内部構造(PE デバイスとプロバイダーのルータ デバイス)は、外部ネットワーク(インターネットや接続されているすべての VPN)から見えないようにします。この要件に違反しても、これ自体がセキュリティ問題に発展することはありませんが、一般的には内部アドレッシングとネットワーク構造は外部から隠しておくほうが都合が良いと言えます。理想は内部ネットワークの情報はすべて外部に公開しないことです。これは、MPLS コアと同様にカスタマー ネットワークにも適用されます。

たとえば、コア ルータに対するサービス拒絶攻撃は、攻撃者が IP アドレスを知っている場合は容易に実行できます。アドレスが不明の場合、アドレスを推測することは可能ですが、MPLS コア構造が隠蔽されていると、攻撃の実行が難しくなります。できれば、レイヤ 2 のインフラストラクチャ(たとえば、フレーム リレーや ATM)と同様に、MPLS コアは外部に対して不可視である必要があります。

実際には、いくつかの追加のセキュリティ対策を取る必要があります。ほとんどの場合は「拡張パケット フィルタリング」を追加します。MPLS は、不要な情報を外部だけでなくカスタマーの VPN にも公開しません。コア内のアドレッシングは、プライベート アドレスまたはパブリック アドレスのいずれかを使用して行います。BGP は、VPN へのインターフェイスですが、同様にインターネットへのインターフェイスである可能性もあるため、内部情報はすべて公開する必要はありません。PE と CE 間のルーティング プロトコルの場合、必要な情報は、PE ルータのアドレスだけです。この情報を必要としない場合は、PE と CE 間にスタティック ルーティングを構成できます。この方法を使用すると、MPLS コアを完全に隠蔽できます。

MPLS クラウドを通した到達可能性を保証するには、カスタマーの VPN は、ルートを MPLS コアへの最短ルートとしてアドバタイズする必要があります。このようなアドバタイズはオープンであり過ぎるように見えますが、MPLS コアに通知される情報は、特定のホストに関するものではなくネットワーク(ルート)に関するものであるため、ある程度抽象化されたものとなります。また、VPN 専用の MPLS ネットワーク(つまり、非共有インターネット アクセス)では、これは既存のレイヤ 2 モデルと同等であり、このモデルでは、カスタマーがサービス プロバイダーをある程度まで信頼する必要があります。さらに、フレーム リレーや ATM ネットワークでも、VPN に関するルーティング情報をコア ネットワーク上で見ることができます。

共有インターネット アクセスが可能な VPN サービスでは、通常、サービス プロバイダーが、インターネットを使用してアップストリームまたはピアのプロバイダーへのアクセスを望むカスタマーのルートをアナウンスします。このアナウンスは、カスタマー ネットワークのアドレッシング情報をさらに隠すネットワーク アドレス変換(NAT)機能を使用して行うことができます。この場合、カスタマーが一般的なインターネットに公開する情報は、一般的なインターネット サービスを使用した場合よりも少なくなります。インターネットとのピア接続を保持する PE ルータのピア アドレスを除き、コア情報はまったく公開されません。

要約すると、インターネット アクセスが提供されない純粋な MPLS VPN サービスでは、情報の隠蔽レベルは、フレーム リレーまたは ATM ネットワークと比較しても同等のレベルです。アドレッシング情報はサード パーティやインターネットには公開されません。カスタマーが MPLS コアを経由してインターネットにアクセスすることを選択した場合、カスタマーは、通常のインターネット サービスと同様のアドレッシング構造を公開する必要があります。NAT を使用すると、さらにアドレス隠蔽を行うことができます。

MPLS ネットワークにインターネットへの相互接続がない場合は、フレーム リレーや ATM ネットワークと同じです。MPLS クラウドからのインターネット アクセスでは、サービス プロバイダーは、少なくとも 1 つの IP アドレス(ピア接続する PE ルータの IP アドレス)を次のプロバイダー、つまり外部に公開する必要があります。

攻撃に対する対抗策

ほかの VPN に直接侵入することは不可能です。しかし、MPLS コアを攻撃し、そこからほかの VPN に攻撃を試みることは可能です。MPLS コアが攻撃を受ける場合は、基本的に次の 2 通りの状況があります。

PE ルータが直接攻撃される。

MPLS のシグナリング メカニズム(大半はルーティング)が攻撃される。

攻撃には基本的に次の 2 種類があります。1 つは「サービス拒絶(DoS)攻撃」で、権限のあるユーザがリソースを利用できなくなります。もう 1 つは「侵入攻撃」で、リソースに対して不正にアクセスすることが目的です。

リソースに対して不正アクセスを行う侵入攻撃については、ネットワークを保護するために次の 2 つの基本的な方法があります。

悪用される可能性のあるプロトコルを強化する(たとえば、ルータに対する Telnet)。

ネットワークをできる限りアクセス不能にする。これは、パケット フィルタリングまたはファイアウォール、および MPLS コア内の IP アドレス隠蔽を組み合せて実現します。

サービス拒絶攻撃は、侵入攻撃よりも実行が容易です。最も簡単な方法では、IP アドレスを知るだけでマシンを攻撃できます。この種の攻撃に確実に対抗する唯一の方法は、パケット フィルタリングと IP アドレスの ping を使用して、マシンに到達できないようにすることです。

MPLS ネットワークは、この両方の形態の攻撃に対して、現在のレイヤ 2 ネットワークで提供されている保護と同レベルの保護を備える必要があります。

MPLS ネットワークの要素を攻撃するには、まずこの要素である IP アドレスが必要になります。前述の通り、MPLS コアのアドレッシング構造は外部から隠蔽できます。したがって、攻撃者は、攻撃しようとするコア内のどのルータについても IP アドレスを知ることはできません。攻撃者は、アドレスを推測し、そのアドレスにパケットを送信することはできます。しかし、MPLS のアドレス分離により、着信パケットは、それぞれカスタマーのアドレス空間に属するものとして処理されます。したがって、IP アドレスを推測したとしても、内部ルータに到達することは不可能です。この規定には 1 つだけ例外があります。PE ルータのピア インターフェイスです。

ルーティング プロトコルの保護

VPN と MPLS コア間のルーティングは、次の 2 つの方法で構成できます。

1. スタティック 。この場合、PE ルータは各 CE の背後にあるネットワークへのスタティック ルートを使用して構成され、CE は、VPN のほかの部分にある任意のネットワークの PE ルータにスタティックに向かうように構成されます(通常はデフォルト ルート)。

スタティック ルートは、PE ルータの IP アドレスまたは CE ルータのインターフェイス(たとえば、serial0)に向けることができます。

CE ルータが PE ルータの IP アドレスを知らないが、スタティックの場合でも、CE ルータは何らかの方法で PE ルータに接続しており、PE ルータのアドレスを推測してそのアドレスを使用し、攻撃を試みることはできます。

インターフェイスに向かう CE ルータから PE ルータへのスタティック ルートの場合、CE ルータはコア ネットワークの IP アドレスはもちろん、PE ルータの IP アドレスも知る必要はありません。この方式には、より規模が大きい(スタティック)構成であるという不利もありますが、セキュリティの点では、その他の場合よりも優れています。

2. ダイナミック 。ルーティング プロトコル(たとえば、RIP、OSPF、BGP)を使用して、各ピア ポイントで CEと PE 間のルーティング情報を交換します。

その他のすべての場合、各 CE ルータは、少なくとも MPLS コア内の PE ルータのルータ ID(RID、つまりピア IP アドレス)を知っていることが必要です。したがって、攻撃の対象となる可能性のある宛先を持っていることになります。

実際には、CE-PE インターフェイスを越える PE ルータへのアクセスは、アクセス コントロール リスト(ACL)を使用することにより、必要なルーティング プロトコルに限定できます。これで攻撃ポイントが 1 つのルーティング プロトコル、たとえば BGP に限定されます。考えられる攻撃としては、大量のルートを送信することや、PE ルータをルーティング アップデートでフラッディングさせることがあります。どちらの攻撃も、サービス拒絶攻撃につながることはありますが、侵入攻撃にはなりません。

こうした危険を抑制するには、PE ルータ上のルーティング プロトコルを、できる限り安全に構成する必要があります。これを実現するには、多様な方法があります。

ACL を使用する。CE ルータからのルーティング プロトコルだけを許可し、これ以外の場所からのものはすべて禁止します。さらに、このプロトコル以外は、各 PE インターフェイス上の着信 ACL で、PE ルータへのアクセスを禁止します。

ACL は、アクセス先はルーティング プロトコルのポート(複数可)のみ、アクセス元は CE ルータのみに限定して構成する必要があります。

利用可能であれば、MD-5 認証をルーティング プロトコル用に設定する。

この認証は BGP、OSPF、および RIP2 で利用可能です。この方法を使用すると、CE ルータよりもカスタマー ネットワークのほかの部分からパケットがスプーフィングされる可能性を回避します。この方法では、サービス プロバイダーとカスタマーが、すべての CE ルータと PE ルータ間の共有秘密に関して合意する必要があります。問題は、この合意がすべての VPN カスタマーに対して必要なことです。最高のセキュリティ要件を持つカスタマーと合意するだけでは不十分です。

ルーティング プロトコルでの MD5 認証は、すべての PE-CE ピア上で使用する必要があります。このような潜在的なサービス拒絶攻撃の発信元は容易に追跡できます。

可能であれば、この通信がさらに安全になるようにルーティング プロトコルのパラメータを設定する。

たとえば、BGP では、ルーティング インタラクションの数を制限する「抑制処理」を設定できます。また、可能であれば、VRF あたりのルートの最大受信数を設定する必要があります。

要するに、ある VPN からほかの VPN、またはコアには侵入できません。ただし、ルーティング プロトコルを不正に利用して、PE ルータに対してサービス拒絶攻撃を実行することは理論的に可能です。その結果、ほかの VPN に悪影響を及ぼす可能性があります。これらの理由から、PE ルータの安全確保は、特に CE ルータに向かうインターフェイスに対して、厳重に行う必要があります。

ラベル スプーフィング

攻撃者は、前述のアドレスとルーティングの分離を想定して、自身が所有していないラベルを持つパケットを挿入することで、ほかの VPN へのアクセスを試みる可能性があります。これは、「ラベル スプーフィング」と呼ばれます。この種類の攻撃は、別の CE ルータやインターネットなどの外部から、または MPLS コア内部から実行可能です。後者(コア内部からの攻撃)については、コア ネットワークは安全な方法で提供されていると想定しているため、説明を省略します。ノンセキュアなコアに対する保護が必要な場合、MPLS インフラストラクチャ上で IPsec を実行する必要があります。

MPLS ネットワークでは、宛先 IP アドレスではなく、PE ルータによって先頭に付加されたラベルに基づいて、パケットの転送が行われます。パケットの発信元 IP アドレスまたは宛先 IP アドレスを置き換える IP スプーフィング攻撃と同様に、攻撃者が MPLS パケットのラベルをスプーフィングすることも可能です。

CE ルータとそのピアである PE ルータ間のインターフェイスは IP インターフェイスであり、ラベルが付いていません。CE ルータは宛先ルータだけを認識し、MPLS コアは認識しません。ラベルに関する情報は PE デバイスにあり、その構成に基づいて、PE がラベルを選択してパケットの先頭に付加します。この処理はすべての PE ルータにおいて、アップストリームのサービス プロバイダー方向はもちろん、CE ルータ方向でも行われます。MPLS クラウドへのインターフェイスはすべて、ラベルのない IP パケットを必要とします。

セキュリティ上の理由から、PE ルータは、CE ルータからのラベルの付いたパケットを絶対に受け入れないことが必要です。シスコ ルータの実装では、CE インターフェイスにラベル付きで到着したパケットは廃棄するようになっています。したがって、ラベルが受け入れられないため、擬似ラベルの挿入は不可能です。

MPLS コアに送信中のパケットの IP アドレスがスプーフィングされる可能性は残ります。しかし、PE ルータでは厳密なアドレッシング分離があり、各 VPN が独自の VRF を持っているため、危害が及ぶのはスプーフィングされたパケットの発信元である VPN に対してだけです。つまり、スプーフィングされたパケットを発信した VPN のカスタマーが自分自身を攻撃する可能性があります。この場合、MPLS がセキュリティ リスクを増大させることはありません。

MPLS コアの保護

次に、MPLS ネットワークを安全に構成する際の推奨事項と考慮事項を示します。


) ソリューション全体のセキュリティは、最も弱いリンクのセキュリティによって決ります。この弱いリンクとしては、PE と CE の間の最も弱い単一の相互接続、ノンセキュアなアクセス サーバ、またはノンセキュアな TFTP サーバが考えられます。


信頼できるデバイス

PE デバイスおよび P デバイスに加えて、リモート アクセス サーバや AAA サーバも、信頼できるシステムとして扱う必要があります。これには、物理的な建物のセキュリティを始めとして、アクセス制御、セキュアな構成管理、およびストレージなどの課題を含む強力なセキュリティ管理を必要とします。ネットワーク要素を保護する方法については利用可能な資料が豊富にあるため、ここでは詳細な説明はしません。

CE ルータは一般的にサービス プロバイダーの完全な制御下にないため、「信頼できない」デバイスとして扱う必要があります。

PE-CE インターフェイス

PE ルータと CE ルータ間のインターフェイスは、セキュアな MPLS ネットワークのために重要です。PE ルータはできる限りインターフェイスの近くに構成する必要があります。セキュリティの点から見た最善の選択は、CE ルータへのインターフェイスを番号未指定に、ルートをスタティックに構成することです。

パケット フィルタ(ACL)は、PE ルータのピア インターフェイスへの特定のルーティング プロトコルを 1 つだけ許可し、また CE ルータからのルーティング プロトコルだけを許可するように構成します。ルータおよびサービス プロバイダーの内部ネットワークへ送信されるその他のトラフィックはすべて拒否する必要があります。トラフィックを拒否することにより、対応するアドレス範囲へのパケットがPE ルータによってすべて廃棄されるため、PE ルータ と P ルータが攻撃を受ける可能性が回避されます。唯一の例外は、ルーティング目的の PE ルータ上のピア インターフェイスです。この PE ピア インターフェイスは、別個に保護する必要があります。

プライベート アドレス空間を PE ルータと P ルータ用に使用している場合、パケット フィルタリングに関する規則と同じ規則が適用されます。つまり、この範囲に送信されるパケットをすべてフィルタリングする必要があります。ただし、この範囲のアドレスはインターネットを通してルーティングされないため、隣接ネットワークへの攻撃を抑制します。

ルーティング認証

ルーティング プロトコルはすべて、対応する CE に向かう認証オプション、およびすべてのインターネット接続に向かう認証オプションを使用して構成する必要があります。具体的には、BGP、OSPF、および RIP2 です。ネットワーク内のピア関係はすべて、次の方法で保護する必要があります。

CE-PE リンク:BGP MD-5 認証を使用

PE-P リンク:LDP MD5 認証を使用

P-P

これによって、攻撃者がピア ルータをスプーフィングし、偽のルーティング情報を導入することを防ぐことができます。セキュリティ管理は、コンフィギュレーション ファイルに関しては特に重要です。多くの場合、コンフィギュレーション ファイルには、共有秘密(たとえば、ルーティング プロトコル認証用)がクリア テキストで含まれています。

CE-PE リンクの分離

複数の CE が共通のレイヤ 2 インフラストラクチャを共有して、同じ PE ルータ(たとえば、イーサネット VLAN)にアクセスする場合、CE ルータは、パケットをこの PE ルータにも接続している別の VPN に属するものとしてスプーフィングできます。通常のパケットには影響しないため、ルーティング プロトコルを保護するだけでは不十分です。

この問題を回避するには、CE と PE の間に別々の物理接続を設定することを推奨します。多数の CE ルータと 1 つの PE ルータ間でスイッチを使用することもできますが、各 CE-PE ペアを VLAN に配置して、トラフィック分離を行うことを強く推奨します。VLAN 付きのスイッチはセキュリティを向上させますが、分離はできません。このため、この環境でのスイッチは信頼できるデバイスとして扱い、セキュリティが最大限になるように構成する必要があります。

LDP 認証

Label Distribution Protocol (LDP; ラベル配布プロトコル)も、MPLS クラウド全体で MD-5 認証を使用して保護できます。これによって、LDP に加えることが目的の偽のルータをハッカーが導入することを防ぐことができます。

VPN 間の接続性

MPLS は、VPN サービスに VPN 間のアドレスとルーティングの分離を提供します。ただし、VPN 内のデバイスは、さまざまな環境で VPN 外部の宛先に到達できる必要があります。これは、インターネットへのアクセスの場合もあれば、2 つの VPN の統合(たとえば 2 つの会社の合併にともなう統合)の場合もあります。MPLS は、完全な VPN 分離を提供するだけでなく、VPN の統合とインターネットへのアクセスも可能にします。

これを実現するために、PE ルータは多様なテーブルを保持しています。「ルーティング コンテキスト テーブル」は、CE ルータ固有のもので、この特定の VPN からのルートのみが含まれます。ルートは、ルーティング コンテキスト テーブルから「VRF ルーティング テーブル」に伝搬され、VRF ルーティング テーブルから「VRF 転送テーブル」が計算されます。

分離された VPN 用に、VRF ルーティング テーブルには、1 つのルーティング コンテキストからのルートだけが含まれます。VPN を統合するには、さまざまなルーティング コンテキスト(さまざまな VPN からの)が、1 つの VRF ルーティング テーブルにまとめられます。このようにして、2 つ以上の VPN が 1 つの VPN に統合されます。この場合、統合された VPN はすべて、相互に排他的なアドレッシング空間を持っている必要があります。つまり、アドレス空間全体が、含まれているすべての VPN に対して一意である必要があります。

VPN にインターネットへの接続性を持たせるには、同様の手順が使用されます。インターネットの VRF ルーティング テーブル(デフォルトのルーティング テーブル)のルートは、インターネット アクセスを必要とする VPN の VRF ルーティング テーブルに伝搬されます。すべてのインターネット ルートを伝搬する代わりに、デフォルト ルートを伝搬することもできます。この場合、VPN とインターネットの間のアドレス空間は区別する必要があります。VPN では、その他すべてのアドレスがインターネットで発生する可能性があるため、プライベート アドレス空間を使用する必要があります。

セキュリティの観点からは、統合された VPN は 1 つの論理 VPN と同じように動作し、前述のセキュリティ メカニズムは、この時点で統合された VPN とほかの VPN 間に適用されます。統合された VPN は内部で一意のアドレス空間を持つ必要がありますが、さらに VPN は同じアドレス空間を干渉することなく使用できます。統合された VPN 間で送受信されたパケットは、ほかの VPN にルーティングできません。MPLS の分離機能はすべて、ほかの VPN に関係する統合された VPN にも適用されます。

2 つの VPN をこの方法で統合すると、2 つの VPN が共通の VPN であるかのように、一方のホストが他方のホストに到達できます。標準の MPLS 機能では、統合された VPN 間で、分離、ファイアウォール、またはパケット フィルタリングは行われません。また、VPN が MPLS/BGP VPN メカニズムを通じてインターネット ルートを受信する場合は、MPLS 機能以外に、ファイアウォール機能やパケット フィルタリング機能を導入する必要があります。

MP-BGP のセキュリティ機能

VPN Solutions Center の MPLS ベースのネットワークにおけるセキュリティは、MP-BGP と IP アドレス解決の組み合せを使用して実現されます。さらに、サービス プロバイダーは、VPN が相互に分離されていることを保証できます。

MD - BGP はルーティング情報配布プロトコルで、マルチプロトコル拡張とコミュニティ アトリビュートを使用することで、発信元と宛先の通信を定義します。VPN のメンバーシップは、VPN の入り口の論理ポートに依存しており、ここでは MP-BGP が一意の RD 値を割り当てます(後述の「ルート区分(RD)とルート ターゲット(RT)」を参照)。

RD はエンド ユーザにとっては未知であるため、別のアクセス ポートからネットワークに侵入してフローをスプーフィングすることはできません。事前に割り当てられたポートだけが、VPN に加わることができます。MPLS VPN では、MP-BGP が VPN に関する転送情報ベース(FIB) テーブルを同じ VPN のメンバーのみに配布し、論理 VPN トラフィックの分離を使用して固有のセキュリティを提供します。さらに、IBGP PE ルーティング ピアは、IBGP ピア関係を確立するときに MD5 シグニチャ オプションを使用して TCP セグメント保護を実行できるため、スプーフィングされた TCP セグメントが PE ルータ間の IBGP 接続ストリームに入り込む可能性がさらに低減します(MD5 シグニチャ オプションの詳細については、『RFC 2385』を参照してください)。

VPN をプロビジョニングする際に、カスタマーではなくサービス プロバイダーが特定の VPN を各インターフェイスに関連付けます。ユーザは、正しい物理ポートまたは論理ポートに常駐し、適正な RD を持っている場合にだけ、イントラネットまたはエクストラネットに加わることができます。この設定により、Cisco MPLS VPN に入ることは実質的に不可能になります。

コア内では、OSPF、IS-IS などの標準の Interior Gateway Protocol (IGP; 内部ゲートウェイ プロトコル)がルーティング情報を配布します。プロバイダー エッジ ルータは、LDP を使用して相互間のパスを設定し、ラベル バインディング情報の送受信を行います。MP-BGP マルチプロトコル拡張は、すでに配布されている VPN IP 情報に容易に接続できるため、外部(カスタマー)ルート用のラベル バインディング情報は、LDP の代わりに MP-BGP マルチプロトコル拡張を使用して PE ルータ間に配布されます。

MP-BGP コミュニティ アトリビュートは、到達可能性情報の範囲を制限します。MP-BGP は、サービス プロバイダー ネットワーク内のすべてのエッジ ルータをアップデートする代わりに、特定の VPN だけに属するプロバイダー エッジ ルータに FIB テーブルをマッピングします。

IP アドレス解決によるセキュリティ

MPLS VPN ネットワークは、カスタマーの IP ベースのネットワークと容易に統合できます。MPLS ベースのネットワークにはアプリケーション認識機能が組み込まれているため、ユーザは、イントラネット アプリケーションを変更せずに、プロバイダー サービスにシームレスに相互接続できます。各 VPN には一意の識別子があるため、カスタマーはネットワーク アドレス トランスレータ(NAT)を使用せずに、既存の IP アドレス空間を透過的に使用することもできます。

MPLS VPN は、互いに認識しない状態のままになります。トラフィックは、各 VPN に論理的に識別が可能な転送テーブルと RD を使用して VPN 間で分離されます。着信インターフェイスに基づいて、PE は特定の転送テーブルを選択します。このテーブルには VPN 内の有効な宛先だけがリストされています。エクストラネットを作成するには、プロバイダーは VPN 間の到達可能性を明確に設定します。

PE 用の転送テーブルには、同じ VPN メンバーのアドレス エントリだけが含まれています。PE は、その転送テーブルにリストされていないアドレスに対する要求を拒否します。各 VPN に論理的に別個の転送テーブルを実装することにより、各 VPN 自体が共有インフラストラクチャ上に構築されたコネクションレス型プライベート ネットワークになります。

IP は、パケット ヘッダー内のアドレス サイズを 32 ビットに制限します。VPN IP アドレスでは、ヘッダーの前に 64 ビットを追加し、ルーティング テーブルに、従来の IP では転送できない拡張アドレスを作成します。MPLS では、ラベルを基にトラフィックを転送することで、この問題を解決するため、MPLS を使用して VPN IP ルートをラベル スイッチド パスにバインドできます。PE はパケット ヘッダーの読み取りではなく、ラベルの読み取りを実行します。MPLS は、プロバイダーの MPLS コアを経由する転送を管理します。ラベルは有効な宛先にのみ存在するため、この方法によって、MPLS によりセキュリティとスケーラビリティの両方が提供されることになります。

オーバレイ モデルを使用していて仮想回線が提供されている場合、すべての特定データ パケットの出力インターフェイスは、そのパケットの入力インターフェイスだけに対応する機能になります。パケットの宛先 IP アドレスは、バックボーン ネットワーク内のパケットのパスを決定しません。したがって、VPN の不正な着信または発信は阻止されます。

MPLS VPN では、まずバックボーンで受信されるパケットが特定の VPN に関連付けられます。これは、特定のインターフェイス(またはサブインターフェイス)で受信されるすべてのパケットが、特定の VPN に属していると規定することで行われます。次に、VPN に関連付けられている転送テーブルでIP アドレスが検索されます。その転送テーブル内のルートは、受信パケットの VPN に固有のものです。

このようにして、入力インターフェイスが、使用可能な出力インターフェイス セットを決定し、パケットの宛先 IP アドレスを使用して、セットの中から出力インターフェイスが選択されます。これにより、VPN の不正な着信および発信は阻止されます。

VPN 分離の保証

ある VPN からその他への適切な分離を維持するためには、次の条件が満たされない限り、プロバイダー ルータがどの隣接 PE からもラベル付きパケットを受け入れないことが重要です。

ラベル スタックの先頭にあるラベルが、実質的にプロバイダー ルータによって PE デバイスに配布されたものであること。

スタック内で下位のラベルおよび IP ヘッダーの検査を行う前にそのラベルを使用すると、そのパケットがバックボーンから出ることを、プロバイダー ルータが決定できること。

これらの制約事項は、パケットが自分の属していない VPN に着信しないようにするために必要です。

PE 内の VRF テーブルは、PE デバイスに直接接続されている CE から到着するパケットだけに使用されます。サービス プロバイダー バックボーンに属する他のルータから着信するルーティング パケットには使用されません。結果として、同一のシステムへ複数の異なるルートが存在する場合があります。この場合は、どのサイトからパケットがバックボーンに入ったかによって、所定のパケットが使用したルートが決定されます。このため、エクストラネットからのパケットは、1 つ のパケットが所定の IP ネットワークへのルートを 1 つ持つことができ(ルートはファイアウォールに至る)、イントラネットからのパケットは、同じネットワークへの異なるルートを持つことができます。

VPN ルーティング/転送テーブル(VRF)

VRF は、MPLS VPN テクノロジーにおける重要な要素です。VRF は PE にのみ存在します。VRF はルーティング テーブルのインスタンスであり、1 つの PE 上に複数の VRF が存在できます。1 つの VPN で、1 つの PE 上に 複数の VRF を設定できます。VRF には、特定のサイト セットへのアクセスが可能なルートが含まれます。VRF は CEF テクノロジーを使用するため、VPN は CEF に対応している必要があります。

VRF は次の要素と関連付けられます。

IP ルーティング テーブル

Cisco Express Forwarding(CEF)テクノロジーに基づいた派生転送テーブル

派生転送テーブルを使用するインターフェイス セット

情報を VRF に挿入するルーティング プロトコルとルーティング ピアのセット

各 PE は 1 つまたはそれ以上の VRF を保持します。VPNSC ソフトウェアは、特定のパケットが VRF と関連付けられたインターフェイスを経由して直接着信した場合のみ、適切な VRF 内でそのパケットの宛先 IP アドレスを検索します。いわゆる「カラー」MPLS ラベルは、該当する VPN の VRF をチェックするよう宛先 PE に通知します。これにより、PE が正しい CEと、最終的にはローカル ホスト マシンにパケットを送信できるようになります。

VRF は、サービスを提供する 1 つまたは複数の VPN、およびトポロジ内の CE の役割に基づいて名前が付けられます。VRF の命名方式は次のとおりです。

ハブの VRF 名: ip vrf V x: [ VPN_name ]

x パラメータは、VRF 名を一意にするために割り当てる番号です。

たとえば、Blue という名前の VPN の場合、ハブ CE の VRF 名は次のようになります。

ip vrf V1:blue

Blue VPN 内のスポーク CE の VRF 名は次のようになります。

ip vrf V1:blue-s

Green VPN 内のエクストラネット VPN トポロジの VRF 名は次のようになります。

ip vrf V1:green-etc

このように、VRF の名前から VPN 名とトポロジの形式を直接読み取ることができます。

図 1-5 は、4 つのサイトのうち 2 つのサイトが 2 つの VPN のメンバーであるネットワークを示し、さらにどのルートが各サイトの VRF に含まれるかを示しています。

図 1-5 複数の VPN のサイトの VRF

 

VRF の実装に関する考慮事項

VPN と VRF を実装する場合は、次の事項について考慮してください。

PE 上のローカル VRF インターフェイスは、従来の考え方で直接接続されたインターフェイスとはみなされません。たとえば、ファースト イーサネット インターフェイスを PE 上に構成して特定の VRF/VPN に加える場合に、 show ip route コマンドを発行すると、そのインターフェイスは直接接続されたインターフェイスとして表示されなくなります。そのインターフェイスをルーティング テーブルに表示するには、 show ip route vrf vrf_name コマンドを発行する必要があります。

グローバル ルーティング テーブルと VRF ごとのルーティング テーブルはそれぞれ独立したエンティティです。Cisco IOS コマンドは、グローバル ルーティング テーブルのコンテキストでの IP ルーティングに適用されます。たとえば、 show ip route および その他の EXEC レベルの show コマンド( ping traceroute 、および telnet などのユーティリティと同様に)はすべて、グローバル IP ルーティング テーブルを処理する Cisco IOS ルーチンのサービスを呼び出します。

CE ルータから標準の Telnet コマンドを発行して、CE ルータを PE ルータに接続できます。ただし、PE から CE に接続するには、その PE から次のコマンドを発行する必要があります。

telnet CE_RouterName /vrf vrf_name

同様に、 Traceroute コマンドと Ping コマンドを VRF コンテキストで利用することもできます。

MPLS VPN のバックボーンは、MPLS 用に設定された適切な IGP(たとえば、EIGRP や OSPF など)に依存します。 show ip route コマンドを PE 上で発行すると、IGP 派生ルートが PE を相互接続していることが確認できます。これとは反対に、 show ip route vrf VRF_name コマンドを使用すると、特定の VPN 内でカスタマーのサイトを接続しているルートが表示されます。

VRF インスタンスの作成

VRF インスタンスを作成する設定コマンドは次の通りです。

 

コマンド
説明

ステップ 1

Router# configure terminal

Router(config)#

グローバル設定モードに入ります。

ステップ 2

Router(config)# ip vrf vrf_name

たとえば、 ip vrf CustomerA は、VPN ルーティング テーブルと関連する CustomerA という名前の CEF テーブルを起動します。このコマンドで、VRF に関連付けられた変数を設定する VRF 設定サブモードに入ります。

ステップ 3

Router(config-vrf)# rd RD_value

8 バイトの RD または IP アドレスを入力します。PEは、MPLS VPN のバックボーンにルートを再配布する前に、IPv4 ルートの先頭に RD を付加します。

ステップ 4

Router(config-vrf)# route-target import | export | both community

VRF 用にルート ターゲット情報を入力します。

設定コマンドの詳細については、 付録 B「Cisco VPNSC: MPLS Solution コマンド リファレンス」 を参照してください。

ルート区分(RD)とルート ターゲット(RT)

MPLS ベースの VPN では、PE 間の通信に BGP を採用して、カスタマーのルートの設定を容易にしています。これは、IPv4 アドレス以外のアドレスを伝搬する BGP に拡張子を付けることによって可能になります。この拡張子は、「ルート区分(RD)」と呼ばれます。

RD の目的は、プレフィックス値をバックボーン全体で一意にすることです。同じルート ターゲット(RT)のセット、およびルーティング ポリシーの選択に使用されるその他のルート ターゲットにプレフィックスが関連付けられている場合は、プレフィックスに同じ RD を使用する必要があります。対象となるアソシエーションのコミュニティは、NLRI を使用して配布される RT 拡張コミュニティ アトリビュートに基づいています。この RD 値は、ほかのプレフィックスとの競合を避けるため、グローバルに一意である必要があります。

MPLS ラベルは BGP ルーティング アップデートの一部です。ルーティング アップデートでは、アドレス情報と到達可能性情報も伝送されます。MPLS VPN ネットワーク全体で RD が一意であれば、異なるカスタマーが一意でない IP アドレスを使用している場合でも、正しい接続が確立されます。

RD 用に、全体的な役割が同じ CE すべてに、同じ値の名前、RD、および RT を持つ VRF を使用する必要があります。RD と RT は、BGP を実行している PE 間のルート交換だけに使用されます。つまり、PE が MPLS VPN のタスクを実行するには、通常の IPv4 ルートより多くのフィールドを利用してルーティング情報を交換する必要があり、この追加情報に RD と RT が含まれています(ただし、RD と RT だけに限定されるわけではありません)。

RD 値は、VPN Solutions Center ソフトウェアによって選択されます。

ハブ接続されている CE は、 bgp_AS: value を使用します。

スポーク接続されている CE は、 bgp_AS: value + 1 を使用します。

各スポークは、CE 間で正しくハブ アンド スポーク接続を行うために独自の RD 値を使用するため、VPN Solutions Center ソフトウェアは、プロビジョニングされる各スポークに新しい RD を実装します。

VPN Solutions Center は、デフォルトでルート ターゲット値を選択しますが、最初に CERC を VPN Solutions Center ソフトウェアで定義するとき、必要に応じて自動的に割り当てられた RT 値を無効にできます(「CERC の定義」を参照)。

ルート ターゲット コミュニティ

MPLS VPN が VPN ルーティング情報の配布を制御するメカニズムは、VPN のルート ターゲットの拡張 MP-BGP コミュニティを通して実行されます。拡張 MP-BGP コミュニティは、8 オクテット構造の値です。MPLS VPN では、次のようにルート ターゲット コミュニティを使用します。

VPN ルートが MP-BGP に挿入されるとき、そのルートは VPN ルートターゲット コミュニティのリストに関連付けられます。通常、これはルートが取得される元となる、VRF と関連付けられているコミュニティ値のエクスポート リストを使用して設定されます。

ルート ターゲット コミュニティのインポート リストは、各 VRF と関連付けられます。このリストでは、ルートをこの VRF にインポートする上で適正なルートであるかどうかを判別するために、一致する必要がある値を定義します。

たとえば、特定の VRF のインポート リストが {A, B, C} の場合には、コミュニティ値 A、B、またはC を持つすべての VPN ルートが VRF にインポートされます。

CE ルーティング コミュニティ(CERC)

「CERC」と呼ばれるサブセットの中に 1 つの VPN を構成できます。CERC は、1 つの VPN 内で複数の CE が相互に通信する方法を記述します。したがって、CERC は VPN の論理トポロジを記述することになります。VPN Solutions Center を使用すると、ハブ アンド スポーク、またはフル メッシュの CE ルーティング コミュニティを構築することによって、CE 間の多様な VPN トポロジを形成できます。CERC は、複雑な VPN トポロジと CE 接続の形成が可能なビルディング ブロックです。

最も一般的なタイプの VPN は、「ハブ アンド スポーク」と「フル メッシュ」です。

ハブ アンド スポーク CERC は、1 つまたはいくつかの CE がハブの役割を果たすときの CERC であり、すべてのスポーク CE はハブに対してのみ、またはハブを通じて通信し、直接相互通信を行うことはありません。

フル メッシュ CERC は、すべての CE がほかのすべての CE と接続するときの CERC です。

この 2 つの基本的な VPN タイプ(フル メッシュとハブ アンド スポーク)は、1 つの CERC で表すことができます。

VPN Solutions Center ソフトウェアは、VPNを作成すると、必ずユーザ用にデフォルト CERC を 1 つ作成します。つまり、高度なカスタマー レイアウト方式が必要になるまで、新しい CERC を定義する必要はありません。そのときまでは、CERC が VPN 自体を表していて、CERC と VPN はまったく同一であると考えることにします。何らかの理由でソフトウェアが選択したルート ターゲット値を無効にする必要がある場合、VPN Solutions Center ソフトウェアで CERC を作成するときにだけ値を無効にできます(「CERC の定義」を参照)。

非常に複雑なトポロジを構築するには、CE 間で必要な接続をグループに分割します。各グループはフル メッシュであるか、またはハブ アンド スポーク パターンを持っている必要があります(各グループがこの 2 つの基本パターンのいずれかである限り、1 つの CE を同時に複数のグループ内に配置できる点に注意してください)。VPN 内の各サブグループには、独自の CERC が必要です。1 つのグループ内だけに存在する CE はすべて、対応する CERC に(必要に応じてスポークとして)加入します。CE が 複数のグループに加わっている場合、プロビジョニング中に Advanced Setup を選択して、この CE を 1 つのサービス要求で関連グループすべてに追加できます。この情報が与えられると、プロビジョニング ソフトウェアは、ルート ターゲット値と VRF テーブルを割り当てて、カスタマーの要求どおりの接続を構成する残りの作業を実行します。Topology ツールを使用して、CERC メンバーシップおよび VPN の接続結果をダブルチェックできます。

VPN Solutions Center は、各サイトあたり複数の CE の設定、および複数サイトの同一 PE への接続をサポートします。各 CERC は、一意な RT、RD、および VRF 名を保持しています。CERC をプロビジョニングした後、監査レポートを実行して CERC の展開を確認し、サービス要求によって作成されたトポロジを表示することをお勧めします。この製品は、同じ VPN 内での 2 つ以上の CE ルーティング コミュニティのリンクをサポートします。

図 1-6 に、VPN Solutions Center の CERC が使用できるトポロジの例を示します。

図 1-6 CERC トポロジの例

 

ハブ アンド スポークの考慮事項

ハブ アンド スポーク MPLS VPN 環境では、スポーク ルータは一意の RD を持つ必要があります。このような環境でハブ サイトを接続の中継ポイントとして使用するには、スポーク サイトがそのルートをハブにエクスポートします。スポークはハブとの通信はできますが、ほかのスポークへのルートを持つことはできません。

現在の MPLS VPN 実装により、各スポークの VRF に対して異なる RD を適用する必要があります。MP-BGP 選択プロセスは、同一の VRF にインポートする必要がある全ルートに加え、このような VRF の同じ RD を持つ全ルートに適用されます。選択プロセスが完了すると、最適なルートだけがインポートされます。この場合、最適なルートがインポートされないことがあるため、カスタマーはスポーク VRF ごとに異なる RD を持つ必要があります。

フル メッシュの考慮事項

各 CERC には、ハブ RT とスポーク RT という 2 つの異なる RT があります。フル メッシュ トポロジを構築する場合は、常にハブ RT を使用します。したがって、現在のフル メッシュ トポロジにスポーク サイトを追加する必要が生じた場合に、ハブ サイトを再構成せずに、スポーク サイトを容易に追加できます。この目的のために、既存のスポーク RT を使用できます。これは、ハブ アンド スポーク トポロジからフル メッシュ トポロジへの大幅な再プロビジョニングを回避する方法です。

マルチ VRF CE について

マルチ VRF CE は、Cisco IOS リリース 12.2(4)T で紹介された機能です。マルチ VRF CE 機能は、以前は PE に用意されていた機能の一部を、MPLS VPN の CE ルータ用に拡張したものです。マルチ VRF CE 機能で提供される PE に類似する唯一の機能は、さまざまなルーティングを決定できるように CE ルータに複数の VRF を設定できる機能です。パケットは、IP パケットとして PE 方向に送信されます。

この機能を使用すると、CE は、個別の VRF テーブルを保持して、MPLS VPN のプライバシーとセキュリティを、PE ルータ ノードまでではなく支社まで拡張できます。

マルチ VRF CE は、PE と CE 間でラベルを交換しない、LDP に隣接していない、および PE と CE 間でラベル付きパケットのフローが存在しないという点で CE とは異なります。

CE ルータは、VRF インターフェイスを使用して、カスタマー側に VLAN のような構成を作成します。CE ルータにある各 VRF は、PE ルータの VRF にマッピングされます。CE ルータはマルチ VRF CE 機能を使用して、VRF インターフェイスの設定、および VRF ルーティング テーブルのサポートを行うことができます。

図 1-7 では、マルチ VRF CE を使用できる方法を 1 つ示しています。マルチ VRF CE ルータは、そのインターフェイスに接続されているクライアントを使用して、特定の VRF を関連付け、その情報を PE と交換します。ルートはマルチ VRF CE の VRF にインストールされます。マルチ VRF CE の特定の VRF から、PE 上の対応する VRF にルートを伝搬する、ルーティング プロトコルまたはスタティック ルートを設定しておく必要もあります。

図 1-7 MPLS VPN 環境のマルチ VRF CE

 

マルチ VRF CE 機能では、各クライアントまたは組織を独自の IP アドレス空間に配置することで、LAN をセグメント化できます。これは、CE-1 などの分離されたイーサネット インターフェイス、または複数のサブネット インターフェイス(クライアント 1 およびクライアント 2 用)にセグメント化された 1 つのファースト イーサネット インターフェイスを通して行うこともできます。各クライアントを識別するため、各サブインターフェイスには独自の IP アドレス空間が含まれます。

マルチ VRF CE ルータは、直接接続されているインターフェイスから発信されたカスタマーのデータ パケットを受信すると、そのサイトに関連付けられている VRF でルート ルックアップを実行します。データ パケットの受信時に越えるインターフェイスまたはサブインターフェイスによって、特定の VRF が決定されます。複数の転送テーブルをサポートすることにより、CE ルータでは、ルーティング情報が PE に送信される前に、各 VPN に基づいてルーティング情報を簡単に分離できるようになります。複数のポイントツーポイント サブインターフェイスを備えた T1 回線を使用すると、マルチ VRF CE ルータから PE ルータへのトラフィックを、個別の VRF にセグメント化できます。

マルチ VRF CE が CE ルータ上に構成されている場合、データ パスは、クライアントから PE-1 に対して次のようになります(図 1-7 を参照)。

1. マルチ VRF CE は、マルチ VRF CE に直接接続されているファースト イーサネット インターフェイスのサブインターフェイスからクライアント 1 への VPN Red ルートを取得します。

2. 次に、マルチ VRF CE はそのルートを VRF Red-1(マルチ VRF CE 上の VRF)にインストールします。

3. PE-1 は、マルチ VRF CE 上の VRF Red-1 から、クライアント 1 への VPN Red ルートを取得し、ルートを VRF Red-2(PE-1 上の)にインストールします。

4. クライアント 2 からの VPN Blue ルートは、VPN Red には関連付けられず、VRF Red-1 または VRF Red-2 にはインポートされません。

MPLS VPN ケーブル機能の概要

MPLS VPN テクノロジーを利用すると、サービス プロバイダーは、共有 Hybrid Fiber Coaxial(HFC)ネットワークとインターネット プロトコル(IP)インフラストラクチャを使用して、スケーラブルで効率的なプライベート ネットワークを作成できます。ケーブル MPLS VPN ネットワークは、次の主要な 2 つの要素で構成されています。

Multiple Service Operator(MSO)またはケーブル会社。物理インフラストラクチャを所有し、インターネット サービス プロバイダー(ISP)用に VPN を構築し、ケーブルおよび IP バックボーンを通してトラフィックを伝送します。

ISP。HFC ネットワークおよび IP インフラストラクチャを使用し、インターネット サービスをケーブルの利用者に供給します。

VPN Solutions Center ソフトウェアを使用してケーブル MPLS VPN をプロビジョニングする方法の詳細については、「MPLS VPN ケーブル サービスのプロビジョニング」を参照してください。

ケーブル MPLS VPN の利点

MPLS VPN を使用したケーブル サービスのプロビジョニングには、次のような利点があります。

MPLS VPN により、ケーブル MSO と ISP は、ケーブル プラントへの複数アクセスのサポートを処理しやすくする方法が得られます。

サービス プロバイダーは、ネットワークのコア全体にスケーラブルで効率的な VPN を構築できます。ネットワークでは、MPLS VPN が、ケーブル転送インフラストラクチャと管理のシステム サポートのスケーラビリティを提供します。

各 ISP は、加入者の PC から MSO の物理ケーブル プラントを経由して ISP のネットワークに至るまでのインターネット アクセス サービスをサポートできます。

MPLS VPN を使用すると、MSO は ISP を通じて付加価値サービスを提供できるため、より多くの潜在的なカスタマーに対して接続性を提供できます。

MSO は ISP と提携して、複数の ISP から複数のサービスを提供し、VPN テクノロジーを使用して MSO 自身のネットワークの価値を高めることができます。

加入者は、さまざまなサービス プロバイダーからのサービスを組み合せて選択できます。

Cisco IOS MPLS VPN ケーブルの機能セットは、Cable Modem Termination Server(CMTS)および DOCSIS 1.0 拡張に基づいており、サービスがケーブル プラントを通して高い信頼性、最適な方法で提供されることを保証します。

MPLS VPN は、サポートのドメイン選択システム、加入者ごとの認証、QoS の選択、ポリシー ベース ルーティング、および QoS と課金用のケーブル モデムの背後にある加入者のエンド デバイスに接続する機能を提供し、同時にセッション スプーフィングを防止します。

MPLS VPN テクノロジーは、共有ケーブル インフラストラクチャ全体のセキュアなアクセスおよびサービスの整合性の両方を保証します。

ケーブル MPLS VPN ネットワーク

図 1-8 に示すように、各 ISP は、トラフィックを加入者の PC から MSO の物理ネットワーク インフラストラクチャを経由して ISP のネットワークに伝送します。MPLS VPN は、レイヤ 3 で作成され、VPN のルート配布をそのネットワークに属するルータだけに制限することで、プライバシーとセキュリティを提供します。このようにして、各 ISP の VPN は、同じ MSO インフラストラクチャを使用するほかの ISP から隔離されています。

MPLS ベースのケーブル方式では、VPN は共有ケーブル プラントおよび MPLS コア バックボーン上に構築されたプライベート ネットワークです。パブリック ネットワークは、共有ケーブル プラントまたはバックボーン接続ポイントです。ケーブル プラントは、インターネット アクセス サービスをサポートし、MSO とその加入者のトラフィックを伝送します。また、複数の ISP とその加入者のトラフィックも伝送します。

MPLS VPN は、一意の VRF インスタンスを各 VPN に割り当てます。VRF インスタンスは、IP ルーティング テーブル、派生転送テーブル、転送テーブルを使用するインターフェイス セット、および転送テーブルの内容を決定する規則とルーティング テーブルのセットで構成されます。

各 PE ルータは少なくとも 1 つまたはそれ以上の VRF テーブルを保持しています。特定の VRF に関連付けられたインターフェイスを通じてパケットが直接着信した場合、PE は該当する VRF テーブルでパケットの宛先 IP アドレスを検索します。MPLS VPN は、BGP と IP アドレス解決の組み合せを使用してセキュリティを保証しています。

図 1-8 MPLS VPN ケーブル ネットワークの例

 

ケーブル ネットワーク内のルータには、次のものがあります。

プロバイダー(P) ルータ:サービス プロバイダー ネットワークの MPLS コア内のルータ。P ルータは、MPLS スイッチングを実行しますが、VPN ラベル(PE ルータによって割り当てられた各ルート内の MPLS ラベル)をルーティングされたパケットに付加しません。VPN ラベルは、データ パケットを正しい出力ルータに向けて送ります。

プロバイダー エッジ(PE)ルータ:パケットが受信されたインターフェイスまたはサブインターフェイスに基づいて、VPN ラベルを着信パケットに付加するルータ。PE ルータは直接 CE ルータに接続されています。MPLS-VPN 方式では、Cisco uBR72xx シリーズの各ルータが PE ルータの役割を果します。

カスタマー(C)ルータ:ISP または企業ネットワーク内のルータ。

カスタマー エッジ(CE)ルータ:MSO のネットワーク上の PE ルータに接続される ISP のネットワーク上のエッジ ルータ。CE ルータは PE ルータと接続する必要があります。

ケーブル CE:ケーブル CE は、VPN Solutions Center だけを備えているオブジェクトです。VPN Solutions Center ソフトウェアでは、ケーブル CE は特定サイトのケーブル モデムおよびその関連ホストを表します。

管理 CE(MCE) ルータ:MCE はCE の役割を「エミュレート」しますが、MCE はプロバイダー空間内にあり、ネットワーク オペレーション センター ゲートウェイ ルータの役割を果たします。ネットワーク管理サブネットは MCE に接続されています。MCE は、VPN Solutions Center ソフトウェアで定義されているように、管理サイトの一部です。

管理 PE(MPE) ルータ:MPE はプロバイダー コア ネットワーク内で PE の役割を「エミュレート」します。MPE は MCE をプロバイダー コア ネットワークに接続します。MPE は、PE および MPE のどちらの役割も果たします。

共有ケーブル プラントは、ISP A からその加入者へのインターネット接続と、ISP B からその加入者へのインターネット接続をサポートします。

ケーブル ネットワーク内の管理 VPN

MPLS ネットワークには固有の VPN があり、この VPN は排他的に MSO デバイスを管理するため、「管理 VPN」と呼ばれます。管理 VPN には、他の VPN がアクセスできるサーバとデバイスが含まれます。管理 VPN は、MCE ルータと管理サブネットを MSO PE ルータ(uBr72xx ルータまたはこれと同等のもの)に接続します。VPN Solutions Center および管理サーバ、たとえば Dynamic Host Configuration Protocol(DHCP)、Cisco Network Registrar (CNR) Time of Day (ToD)は、管理サブネットの一部であり、ISP 接続用の管理 VPN 内にあります。

図 1-8 に示すように、管理 VPN は、ネットワーク管理サブネット(VPN Solutions Center のワークステーションが常駐している)で構成されます。このサブネットは MCE に直接接続されています。管理 VPN は、MCE とケーブル VPN ゲートウェイ間の特別な VPN です。通常、ケーブル VPN ゲートウェイは、通常の PE としても管理 PE としても機能する Cisco uBR 72xx ルータです。MCE と MPE の間には、パラレル IPv4 リンクもあることに注意してください。

VPNSC テンプレートを使用するコンフィギュレーション ファイルのカスタマイズ

VPN Solutions Center ソフトウェアの Template Manager は、高速で柔軟かつスケーラブルな Cisco IOS コマンド生成機能を提供するプロビジョニング システムです。Template Manager は、一般的な IPv4、QoS、および VPN プロビジョニングなど共通のプロビジョニング タスク用の Cisco IOS コンフィギュレーションを生成する標準テンプレートを定義します。詳細については、「VPN Solutions Center Template Manager によるプロビジョニング」を参照してください。

「テンプレート ファイル」は、Template Manager によって作成されるファイルで、VPN Solutions Center のテンプレート定義が格納されています。

「テンプレート データ ファイル」は、テキスト ファイルで、テンプレート ファイルを生成するための変数値が格納されています。有効なデータ ファイルには、テンプレートで定義されている変数すべての名前と値のペアが含まれます。各テンプレート ファイルは、複数のデータ ファイルに関連付けることができますが、各データ ファイルを関連付けられるテンプレートは 1 つだけであることに注意してください。テンプレートの生成に使用するデータ ファイルは選択できます。データ ファイルのファイル名拡張子は、 dat です。

「テンプレート コンフィギュレーション ファイル」は、IOS コンフィギュレーション ファイルであり、Template Manager により作成された Cisco IOS コマンドを格納しています。テンプレート コンフィギュレーション ファイルは、部分的または完全なコンフィギュレーション ファイルとして作成できます。特定のデータ ファイルを使用してテンプレート コンフィギュレーション ファイルを生成する場合、テンプレート コンフィギュレーション ファイルの名前は、使用するデータ ファイルの名前と同じになります。

テンプレート データ ファイルは、対応するテンプレートと密にリンクしています。データ ファイルとそれに関連付けられているテンプレートを使用して、テンプレート コンフィギュレーション ファイルを作成できます。テンプレート コンフィギュレーション ファイルは VPNSC コンフィグレットにマージ(アペンドまたはプリペンド)されます。VPN Solutions Center は結合されたコンフィグレットをエッジ デバイス ルータにダウンロードします。

同じテンプレートを複数のデバイスに適用できます。それには、各デバイスに適切なテンプレート データ ファイルを割り当てます。各テンプレート データ ファイルには、デバイスに関する詳細なデータ(たとえば、管理 IP アドレスまたは各デバイスのホスト名)が含まれています。

テンプレート ファイルおよびデータ ファイルは XML 形式となっています。テンプレート ファイル、そのデータ ファイル、およびすべてのテンプレート コンフィギュレーション ファイルは、1 つのディレクトリにマッピングされます。

VPN Solutions Center が、初期 VPNSC コンフィグレットを作成します。Template Manager を使用して、テンプレート コンフィギュレーション ファイルを作成します。その後で、テンプレート コンフィギュレーション ファイルをサービス要求に関連付けます。この関連付けにより、実際には VPNSC コンフィグレットとテンプレート コンフィギュレーション ファイルがマージされます。このプロセスの詳細については、「Templates」を参照してください。その後、このマージされた VPNSC コンフィグレットを、ターゲット ルータ(複数可)にダウンロードできます。

テンプレート コンフィギュレーション ファイルを作成し、それを直接ルータにダウンロードすることも可能です。これについては、「テンプレート コンフィギュレーション ファイルを直接ルータにプロビジョニングする」で説明します。

テンプレート作成機能の用途

サービス プロバイダーは Template Manager を使用して、VPN Solutions Center の機能を拡張できます。Telnet Gateway Server (TGS)を利用すると VPN Solutions Center ターゲットにコンソールからアクセスできるため、Template Manager を使用して、初期コンフィギュレーションを任意のサービス プロバイダーのコア デバイス、またはエッジ デバイスに対して提供できます。

Template Manager をスタンドアロン ツールとして使用して、完全なコンフィギュレーション ファイルを生成できます。このコンフィギュレーション ファイルは、あらゆる VPN Solutions Center ターゲットにダウンロードできます。

テンプレート作成機能のその他の用途は、次のとおりです。

IOS ファイアウォールのプロビジョニング。

VPN Solutions Center がサービス要求に含めていないコマンド セットの追加。たとえば、ATM CoS (Class of Service)のプロビジョニング。

IP 接続を使用してサービス クラスを適用する。

VPN Solutions Center サービス要求および Cisco IOS コンフィギュレーション ファイルのダウンロードを、コンソールを介して 1 回のダウンロード操作で行う。このエッジ デバイスのステージング方式は、テンプレートの作成とサービス要求の適用を 1 ステップで行います。

Event Subscription Service

Cisco VPN Solutions Center の Event Subscription Service(ESS)は、イベント通知サービス(クライアント アプリケーション開発者向け)で、アプリケーションやカスタマーが関心を持つ特定のイベントを追跡できます。ESS を使用すると、クライアント アプリケーション開発者は次の機能をサポートできます。

システム イベントに対するリアルタイム応答

システム データのローカル キャッシング

プロセス フローを作成するための複数タスクの同期

次の時点で Cisco VPN Solutions Center ソフトウェアが実行中にイベントを発行します。

4 つの VPN Solutions Center リポジトリのいずれかで、要素が作成、修正、または破棄されるとき

スケジューリングされたタスクにより実行が開始または終了されるとき

Watch Dog イベントによって VPN Solutions Center サーバのいずれかで実行ステータスが変化したという信号が出されるとき

各イベントには、イベント タイプに適切に対応する識別情報が含まれています。ESS をサポートしているものを次に示します。

Event Gateway サーバ

Cisco Event Gateway Callback インターフェイス(CiscoEventGateway.idl ファイル内)

TIB®/Rendezvous™ ソフトウェア

この機能の詳細については、『 Cisco VPN Solutions Center: MPLS Solution API Programmer Reference 』の「Part 5, Using the Event Subscription Service」を参照してください。

Event Gateway サーバ

Event Gateway サーバは、VPN Solutions Center で使用される TIB/Rendezvous ソフトウェアの CORBA ラッパーです。Event Gateway サーバは TIBCO が提供するクライアント向けの SDK を使用して、TIB/Rendezvous ソフトウェアとの相互対話を定義します。Cisco Event Gateway Callback インターフェイスは、 CiscoEventGateway.idl ファイル内で定義されており、Event Gateway サーバとの対話に使用できるクライアント開発機能を備えています。

Event Gateway サーバがサポートできるクライアントの数には、実際的な制限はありません。各クライアントの範囲内で、Event Gateway サーバは、対象課題(VPN Solutions Center ソフトウェアの実行中に生成されるイベント)の通知を送信する Event Gateway Callback オブジェクトをサポートできます。

Event Gateway サーバは、サード パーティ製のソフトウェアによる VPNSC データへのアクセスを可能にするために VPN Solutions Center が提供している API を補完します。TIB/Rendezvous ソフトウェアは、VPNSC が VPNSC 内での重大なイベント(たとえば、タスクの開始と終了、データ処理の完了など)が発生したという信号を出す手段です。使用しているサード パーティ製のソフトウェアに、VPNSC ソフトウェア内のイベントのリアルタイム通知など特別な要件がある場合には、Event Subscriptin Service を使用して、イベントの通知を送信することができます。