Cisco SCMS SM LEGs ユーザ ガイド Release 3.1.6
MPLS/VPN BGP LEG の概要
MPLS/VPN BGP LEG の概要
発行日;2012/01/13 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

MPLS/VPN BGP LEG の概要

MPLS/VPN の概要

MPLS/VPN BGP LEG の概要

VPN エンティティ

VPN ID(RD または RT)

BGP LEG シナリオ

サブスクライバとしての CE

MPLS/VPN BGP LEG の概要

Service Control Management Suite(SCMS)Subscriber Manager(SM)MPLS/VPN BGP Login Event Generator(LEG; ログイン イベント ジェネレータ)は、(BGP; ボーダ ゲートウェイ プロトコル)を使用した各 VPN の MPLS ラベルを動的に提供するソフトウェア モジュールです。BGP トラフィックのリスニングを行い正しい MPLS ラベルが決定されます。

「MPLS/VPN の概要」

「MPLS/VPN BGP LEG の概要」

MPLS/VPN の概要

共有のインフラストラクチャ上に構成された IP 相互接続による複数サーバの共通ネットワークを有する Internet Service Provider(ISP; インターネット サービス プロバイダー)は、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を使用して安全に接続することができます。VPN は、認証、暗号化、トンネリングなどのテクノロジーを使用することで、共有ネットワーク接続をセキュリティ保護することができます。VPN トラフィックはカプセル化されていて、暗号化によってトラフィックをセキュリティ保護しながらあるサイトから別のサイトに透過的に送信されます。

VPN トポロジを使用して ISP に接続するカスタマーは、トラフィックがパブリック ネットワーク インフラストラクチャを経由し他の事業と同じインフラストラクチャを共有していたとしても、あたかも独自のプライベート ネットワークに接続するように VPN へ直接接続することが可能です。

Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)は、大規模な IP ネットワーク内にある高速ルータにおけるタグ スイッチング テクノロジーを実装するための新たな業界標準です。MPLS は、さまざまなプロトコルの情報をネットワーク上で搬送するように設計されていて、回線交換されたネットワークにある利点のいくつかをスイッチド IP ネットワークにもたらしました。

VPN で MPLS プロトコルを接続する場合、MPLS/VPN トポロジは MPLS プロバイダー コア ネットワークによって相互接続された一連のサイトで構成されます。MPLS エッジ内の各サイトでは、1 つまたは複数の Customer Edge(CE; カスタマー エッジ)ルータが 1 つまたは複数の Provider Edge(PE; プロバイダー エッジ)に接続されています。コア内のプロバイダー(P)ルータはパケットを PE ルータにルーティングします。PE ルータは、BGP を使用して互いに動的に通信します。

図28-1 に、MPLS/VPN トポロジを示します。

図28-1 MPLS/VPN トポロジ

 

MPLS ベースの VPN の利点として、カスタマーのイントラネットとシームレスに統合することと、各 VPN に多数のサイトを配し、また各サービス プロバイダーに多くの VPN を配することでスケーラビリティを増加させることがあります。

MPLS/VPN BGP LEG の概要

MPLS/VPN BGP LEG ソリューションは、次の 2 つのコンポーネントで構成されています。

BGP LEG ― BGP ルートを決定するために BGP プロトコルを実行する UNIX デーモン プロセス。このプロセスは、ルート権限の下で実行されます。

Subcriber Manager(SM) ― SM サーバは、サブスクライバおよび VPN 情報を格納し、Service Control Engine(SCE)を更新します。SM コンポーネントである BGP アダプタは、BGP LEG からのルートを受信して、正規の VPN ログイン/ログアウト操作に対する調整を処理します。

SM と BGP LEG は、同じマシンで動作する別のプロセスです。コンポーネント間の接続は、PRPC プロトコルに基づいています。

図28-2 にMPLS/VPN BGP LEG ソリューションを示します。

図28-2 MPLS/VPN BGP LEG ソリューション

 

BGP LEG では、各 PE ルータから個別に受信する代わりに、Route Reflector(RR; ルート リフレクタ)から BGP 更新を受信することも可能です。BGP LEG は RR および RR が扱っていない PE から更新を同時に受信することができます。

VPN エンティティ

VPN エンティティは、VPN サイトのグループです。次のパラメータによって VPN サイトが定義されます。

VPN サイトに接続されている PE ルータ。ループバック インターフェイスの IP アドレスによってルータが識別されます。

VPN Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)テーブルの ID。VRF の Route Distinguisher(RD; ルート識別子)、またはルートのエクスポートやインポートに使用される Route Target(RT; ルート ターゲット)のいずれかです。

PE ルータは各 VPN サイトに対して MPLS ラベルを割り当てます。BGP プロトコルは、MPLS ラベルを使用して VPN ルートを別の PE ルータに発行します。BGP LEG は BGP トラフィックをリッスンして、MPLS ラベルを抽出し、ラベルを SM データベース内にある VPN データに追加します。

VPN ID(RD または RT)

VPN は、RD 属性または RT 属性を使用して識別することができます。どの属性がもっとも VPN パーティショニング反映しているのかを決定して、それに応じて SM を設定することが必要です。設定はすべての VPN でグローバルであることに注意してください。つまり、すべての VPN は同じ属性で特定されなければいけません。

RD は、プロバイダーに接続する各カスタマーの個別 VPN ルートを特定するのに、もっとも一般的に利用されています。したがって、ほとんどのケースで RD がネットワーク内における VPN の良好なパーティションとなります。RD はローカル VRF の識別子であり、ターゲット VRF の識別子ではないので、RD を使用すると、共通の中央エンティティ(セントラル バンク、IRS、Port Authority など)に情報を転送する VPNサイト間を区別することができます。

RT は、宛先 VPN サイトを定義するのに使用されます。宛先ルートに基づいて VPN を直感的に定義できませんが、場合によっては定義が簡単になります。たとえば、セントラル バンクと通信するすべての VPN サイトを単一の VPN として扱う場合、RT を VPN 識別子として使用することを検討してみてください。

この設定がグローバルであることに留意することは重要です。したがって、いずれかの時点で、特定の VPN を RD で定義することが必要になった場合、すべての VPN も 同じように RD で定義する必要があります。これが、最初の構成を設計する際に考慮する点です。

BGP LEG シナリオ

次のシナリオは、MPLS/VPN モードの操作を示したものです。

1. SM を起動します。

2. BGP LEG が SM との PRPC 接続を確立します。

3. 管理者が CSV ファイルを使用して VPN を SM にインポートします。管理者は、各 VPN に対して次のプロパティを指定します。

VPN 名

VPN サイトのリスト。各 VPN サイトは、次のもので定義されます。

VPN ID ― VPN VRF を特定する RD または RT

PE ルータの ループバック インターフェイスの IP アドレス

SM ドメイン

4. 管理者が別の CSV ファイルを使用して、VPN ベースのサブスクライバを SM にインポートします。管理者は、各サブスクライバに対して次のプロパティを指定します。

サブスクライバの名前

構文「IP@VPN」を使用した VPN 内のプライベート IP のリスト(またはサブスクライバとしての CEで説明しているように VPN 内のコミュニティのリスト)

SM ドメイン

アプリケーション プロパティのリスト。たとえば、『 Cisco Service Control Application for Broadband (SCA BB) User Guide 』で説明しているような Service Control Application for Broadband(SCA BB)パッケージ ID。

5. 管理者は、接続されるべき PE ルータを指定することで BGP LEG を設定します。

6. PE ルータがルーティング情報を BGP LEG に配信します。

7. BGP LEG が BGP セッションを分析して、RD/RT、MPLS ラベル、PE ルータのループバック IP などの関連データを抽出します。

8. BGP LEG が追加または削除された MPLS ラベルのある SM 内の VPN を更新します。

9. SM が新規 VPN 情報でデータベースを更新し、ドメイン内のすべての SCE を更新します。

サブスクライバとしての CE

MPLS-VPN ベースのサブスクライバは、特定の CE ルータのトラフィックを処理するように定義できます。BGP コミュニティ フィールドは、プライベート IP ルートを CE ルータと相関させるのに使用されます。サブスクライバは、「community@VPN」の構文を使用して VPN 内のコミュニティ リストで設定されます。

BGP LEG が BGP セッションを分析する際に、コミュニティ フィールドも抽出され、BGP メッセージ内のすべての IP ルートが同じコミュニティ フィールドに含まれているサブスクライバに追加されます。この機能は、「BGP LEG シナリオ」で説明しているように VPN 情報を SM に追加するときに実行されます。