 |
||
|
|
ホワイト ペーパー
レイヤ2トンネリング プロトコル バージョン3による
IPネットワークでのレイヤ2サービス
世界中でインターネットが勢いづいた1990年代以降、サービス プロバイダーが競争に勝ち残るための環境は大きく変わりました。目新しさや競争に取り残される不安から、新規にIPベースのサービスを契約する企業はもう見当たりません。サービス プロバイダーが目下必要に迫られていることは、支出に対してより慎重な環境の中で自分たちの顧客の基盤とサービスによる収益を拡大し、ビジネスを成長させることです。多くの企業はネットワークへの投資に対し、より保守的なアプローチをとっています。新しいIPベースのサービスは、企業に生産性と競争力を改善する機会を提供し、さらに既存のネットワークにかかる経費も削減します。このようなサービスやコストの削減を提供するサービス プロバイダーが、顧客の基盤とサービスによる収益を拡大させることができます。別々に分かれていた従来のネットワークの維持費を削減するために、既存のネットワークをネイティブIPネットワーク コアに統合し、さらにIPベースのサービスを企業顧客に提供する — この資料は、そういった機会を持つことに焦点を合わせています。
はじめに
世界中の企業や政府の多くは、現在もなお、従来のレイヤ2接続のサービスを使用しています。ATMやフレーム リレー、専用線のようなサービスは、プライベート ネットワークが構築されるポイントツーポイントの接続を提供します。
今日の企業のネットワーク管理者は、企業でイントラネットを実践し運用する場合に、多くの問題や選択肢について考慮しなければなりません。こういったことは内部で扱うべきでしょうか、またはサービス プロバイダーに外部委託すべきでしょうか。アプリケーションに特定したサービス レベルを考慮すべきでしょうか。どのレベルのネットワーク セキュリティが必要でしょうか。少ない予算でサポートできる機能は何でしょうか。
企業顧客の多くはAsynchronous Transfer Mode(ATM;非同期転送モード)、イーサネット、フレーム リレー、および専用線のようなレイヤ2サービスを使用し、サービス プロバイダーによって会社のイントラネットを相互に接続しています。サービス プロバイダー コアで共通のパケット ベースのインフラストラクチャが使用されれば、現在、末端に存在しているレイヤ2のフレームを、パケット スイッチ形式のネットワークでトンネリングさせることができます。
Cisco IOS®ソフトウェアは、Internet Engineering Task Force(IETF)標準トラック プロトコルのLayer 2 Tunneling Protocol Version 3(L2TPv3;レイヤ2トンネリング プロトコル バージョン3)を提供することでこれを実現します。また、L2TPv3により、サービス プロバイダーはIPインフラストラクチャから従来のレイヤ2サービスを提供することができます。これにより、サービス プロバイダーで次のような点が強化されます。
フレーム リレーなど、従来からのレイヤ2サービスを、IPネットワーク インフラストラクチャを使って提供することは、同じサービスを専用のレイヤ2ネットワークを使用して提供するより、コストを抑えることができます。IPネットワーク インフラストラクチャは、複数のサービス タイプをサポートします。そのため、マルチサービス ネットワークにより、ネットワークの投資や運営コストをより幅広く、さまざまな顧客基盤にまで広げることができます。また、L2TPv3を使用することで、サービス プロバイダーは、レイヤ2ネットワークが存在しない地域まで従来のレイヤ2サービスを拡大することができます。既存のレイヤ2サービスを、IPネットワークと同じ範囲で提供することができます。
L2TPv3を使用することで、サービス プロバイダーは、管理されたインターネット、イントラネット、およびエクストラネット サービスを容易に、しかも低コストで1つにまとめることができ、製品を向上させることができます。顧客が行ってきた設備投資は、既存のインフラストラクチャを通じてサービス プロバイダーへ接続するので守られます。
シスコシステムズは、インターネットワーキング技術において長い間、革新者としてあり続けてきています。Cisco IOSソフトウェアが動作する最先端のハードウェア プラットフォームは、効率良く利益を上げるネットワークにとって重要な構成要素です。シスコは顧客と協力して、設備やプロトコル、顧客が必要とするサポートを、顧客が選んだ技術を使って、開発するために尽力します。
L2TPv3の歴史
L2TPv3は、L2TPv2コントロール プレーンの拡張に、最適化された2つのフィールド ヘッダーを合わせたものです。L2TPv3は、ネイティブIPベースのインフラストラクチャを使用して、サービス プロバイダーが顧客にトランスペアレントなLANサービスを提供できるように設計されています(図1)。L2TPv3は、802.1Q VLAN(仮想LAN)、Cisco High-Level Data Link Control(HDLC;ハイレベル データリンク制御)、イーサネット、フレーム リレー、Packet over SONET(POS)、およびPPP(ポイントツーポイント プロトコル)などの複数のレイヤ2カプセル化をサポートしています。この機能により、サービスの加入者はフレーム転送でIPネットワークを使用していることを意識せずに、2つの同種のインターフェイスをバックツーバックで接続することができます。
図1
トランスペアレントなLANサービスの例
L2TPv3のトンネルは伝送手段を提供し、Router 3および4をPOSインターフェイス(Interface 1および4)とバックツーバックで接続させます。POSインターフェイスは、IP伝送ネットワークの存在をまったく意識せずにこの接続を形成します。プロトコルの機能の詳細に関しては、この資料で後述のセクション「レイヤ2トンネリング プロトコル バージョン3の概要」を参照してください。
機能の互換性
L2TPv3のトンネル機能は、送信プロトコルとしてIPのバージョン4を使用しているため、シスコはマルチキャスト、NetFlow、およびIPベースのQuality of Service(QoS;サービス品質)などの一般的な機能を幅広くサポートします。L2TPv3とIP Security(IPSec)を併用することにより、サービス プロバイダーは、ネットワーク セキュリティのサポートを拡大できますし、企業顧客に自身のセキュリティ管理をまかせることもできます。異なるトラフィック定義とプライオリティ用のマルチキャストとQoSサポートを使用している企業に影響はありません。
L2TPv3の概要
L2TPv3には、異なる2つのコンポーネント(メッセージ タイプ)が含まれています。1つはコントロール コネクションといい、エンドポイント間の帯域内で信頼性のあるコネクションとしてセットアップされます。トンネルおよびセッションのセットアップ、解除、管理維持を担当します。これには「制御メッセージ」を使用します。もう1つは転送プレーンで、レイヤ2データのカプセル化を担当します。レイヤ2のデータは「データ メッセージ」によりIPネットワーク上を転送されます。どちらのコンポーネントも単独で実装することができます。
コントロール コネクションがプロバイダーの末端にあるルータのペア間に実装されたものを、L2TP Control Connection Endpoint(LCCE)と呼びます。このコントロール コネクションがセットアップされていれば、セッションIDやその他のレイヤ2転送に必要な回線に関わる要求のネゴシエーションが可能です。これらは接続回線(attachment circuit)と呼ばれます。セッションIDのネゴシエーションが完了すると、送信するレイヤ2のデータグラムに追加されます(図2)。
図2
IPバージョン4ヘッダーにおけるL2TPv3のカプセル化
セッションIDは32ビットのローカルなフィールドで、宛先または出力トンネル エンドポイントでの呼を識別するために使用されます。セッションIDはコントロール コネクション上でネゴシエートされるか、またはL2TPv3のデータ プレーンのみを使用している場合は静的に定義されます。
クッキーは変数長(最大8バイト)で、ワード配列をとるオプション フィールドです。コントロール コネクションは、通常のセッションIDのルックアップに加え、さらに高い信頼性を得るためにクッキーのネゴシエーションを行い、データ メッセージが正しいセッションに送られているか、または最近再利用されたセッションIDが間違って送られていないか確認します。
L2TPv3のコントロール コネクションの運用の詳細は、次のURLでL2TPのIETFドラフトを参照してください。
http://www.ietf.org/html.charters/l2tpext-charter.html
L2TPの仕組み
ここでの説明は、L2TPv3ベースのサービスの作成に関わるマクロ プロセスに焦点を当てています。図3は基本的なプロトコルの動作を表しています。
図3
プロトコルの動作の概要
1. 最初に、顧客はDS-3のシリアル インターフェイスを介してサービス プロバイダーのエッジ ルータへ接続し、HDLCのカプセル化を設定します。顧客側のエッジ ルータで特に必要となる設定はありません。
2. プロバイダー エッジ ルータ(顧客の入力回線が接続されている)のサービス プロバイダー ネットワーク側に、L2TPv3トンネルおよびこれと対になるプロバイダー エッジ ルータ(顧客の出力回線が接続されている)の宛先IPアドレスが設定されます。これにはXconnect CLI(コマンドライン インターフェイス)を使用します。リモート プロバイダー エッジ ルータで、対応するXConnectを設定する必要があります。
3. この時点で、L2TPv3は、コントロール コネクションが宛先プロバイダー エッジ ルータ間に存在しているかどうかを判断します。存在しない場合、プロバイダー エッジ ルータは接続を開始するためにStart-Control-Connection-Requestメッセージを送信します。トンネルの確立後は、セッションのネゴシエーションがLCCE間のレイヤ2伝送サービスを要求する接続回線に対して行われます。
4. 次に、セッションIDおよびクッキーの値がLCCE間でネゴシエート可能となり、リモート プロバイダーの末端で適切に逆多重化するための固有のIDを各接続回線に付与します。これは双方向プロセスで、セッションIDは、リモート ピアに対してのみ一意となります。L2TPv3の制御接続がない場合、静的なセッションIDが定義されます。
5. セッションIDが正常にネゴシエートされた後、プロバイダー エッジ ルータの入力インターフェイスで受信されたデータは、リモート プロバイダー エッジ ルータのセッションIDを先頭に付加され、外部IPヘッダーの宛先IPアドレスに転送されます。
6. 最後に、パケットは宛先プロバイダー エッジ ルータで受信されます。L2TPv3ヘッダーはセッションIDに基づいて逆多重化され、ネゴシエートされたクッキーの値と照合されます。ヘッダーが有効であれば、ストリップされます。オリジナルのレイヤ2フレームは、関連する物理ポートを通じて顧客側の宛先エッジ ルータに転送されます。
L2TPv3のアプリケーション
仮想専用線
仮想専用線は企業の共通の要求で、混雑していない専用帯域を介してリモート サイトに接続することを目的としています。通常、カプセル化はCisco HDLC、またはPPPが採用されます。図4は、このサービスを提供するL2TPv3の機能を表しています。
図4
仮想専用線
ここでは、2つのDS-3シリアル インターフェイスが顧客側のネットワークに接続されています(Enterprise A)。Interface 2およびInterface 3は、L2TPv3トンネルの入出力ポイントを形成します。サービス プロバイダーは、プロバイダー エッジ ルータ(PE AおよびPE B)間のIP接続を維持します。これには、Intermediate System-to-Intermediate System(IS-IS)プロトコル、またはOpen Shortest Path First(OSPF)プロトコルなどの標準Interior Gateway Protocols(IGP;内部ゲートウェイ プロトコル)が使用されています。これによってレイヤ2 VPNを確立するための構造が形成されます。顧客側のエッジ ルータ(CE A)からDS3上を通過するパケットは、自動的にL2TPv3ヘッダーでカプセル化され、IPネットワークからPE B上の出力インターフェイスに転送、カプセル化が解除されます。そしてオリジナルのHDLCフレーム全体がシリアル インターフェイス(Interface 3)から、顧客側のエッジ ルータCE Bに転送されます。レイヤ2回線のエミュレーションは、このように行われています。次に、XConnect CLIを使用した一般的なコンフィギュレーションを示します。
XConnect CLIの例
ip address 172.18.255.1 255.255.255.255
pseudowire-class L2TPv3_Default
xconnect 172.18.255.3 600 pw-class L2TPv3_Default
ip address 172.18.255.3 255.255.255.255
pseudowire-class L2TPv3_Default
xconnect 172.18.255.1 600 pw-class L2TPv3_Default
仮想専用線の利点
フレーム リレーおよびインターネット
図5では、サービス プロバイダーがサポートする可能性がある拡張サービスの概要を表しています。顧客は、ハブアンドスポーク方式のネットワークのフレーム リレーを使用している従来からある企業です。サービス プロバイダーは、管理されたファイアウォール サービスを組み込んだインターネット アクセスを提供しようとしています。
図5
フレーム リレーおよびインターネット
企業は、従来のポイントツーポイントのサブインターフェイス フレーム リレーで構成されたシリアル インターフェイスを使い、サービス プロバイダーと接続しています。フレーム リレーでは、会社のイントラネットのサブインターフェイスやインターネット アクセスに使用されるサブインターフェイスが指定されています。この構成は、従来のハブアンドスポーク構成におけるインターネット アクセスの集中化や、ハブ側で必要な帯域幅を軽減します。企業は、固有のルーティング ポリシーを実行したり、拡張ネットワーク セキュリティ要件に対応したIPSecの暗号化を追加することもできます。サービス プロバイダーは、中央集中型のファイアウォール アーキテクチャを提供したり、オンデマンドによるビデオ サービスやビデオ会議のサービスを追加できます。これらのサービスは、Modular QoS CLI(MQC)を通じて割り当てられたCommitted Information Rate(CIR;認定情報速度)を増加させることで提供することができます。
フレーム リレーおよびインターネットの利点
- サービス プロバイダーは、フレーム リレー専用の環境には存在しないIPインフラストラクチャ上で追加のサービスを提供できます。IPインフラストラクチャは、従来のレイヤ2ネットワークに追加の投資をすることなく、ネットワークを拡張するために使用されます。
- 企業は、ファイアウォールおよびインターネット アクセスのコストを外部委託することができ、それに関連するサポート コストを撤廃することで全体のコストが削減されます。
- 企業は、既存のフレーム リレー インフラストラクチャを利用することで、その設備投資を抑制することができます。
- ダイナミックな帯域幅のアップグレードを容易に設定することができ、最新のサービスおよび拡張要求をサポートします。
MPLSトランジット ネットワーク
サービス プロバイダーがIPおよびMultiprotocol Label Switching(MPLS)インフラストラクチャに移行しようとした場合、一度に一部分ずつ変更していくことで、アプローチを段階的に行うことができます。MPLSに対応したサービス プロバイダーは、異なるMPLS間のトランジットとして、ネイティブIPコアのインフラストラクチャが必要になる場合があります。この場合、MPLSを備えたサービス プロバイダーはIPコアを備えたサービス プロバイダーの顧客になります(図6)。
図6
MPLSネットワークのIPコアへの接続
このシナリオでは、顧客はCE-PE AおよびCE-PE Bを経由してIPトランジット プロバイダーに接続しているMPLSサービス プロバイダーです。IPトランジット プロバイダーは、企業顧客がサービスを使用している場合と同様にこの接続を扱います。MPLSサービス プロバイダーはIPサービス プロバイダーのネットワークを使い、MPLSベースのトラフィックを送信することができます。IPネットワークがMPLSサービス プロバイダーにトランスペアレントなため、IPネットワーク プロバイダーはLightweight Directory Protocol(LDP)トラフィックを転送し、POS接続が直接接続されているような、通常のラベル スワッピングを実行します。HDLCフレーム全体がIPネットワークに転送されます。
MPLSトランジット ネットワークの利点
構成例
L2TPv3アプリケーションおよび設定例の詳細に関しては、次のURLを参照してください。
http://www/univercd/cc/td/doc/product/software/ios120/120newft/120limit/120s/120s24/l2tpv3.htm
参考資料
L2TPに関する詳細は、次のURLを参照してください。http://www.ietf.org/home.html