MPLS VPN テクノロジーを使用して、サービス プロバイダーは共有光同軸ハイブリッド(HFC)ネットワークとインターネット プロトコル(IP)インフラストラクチャを使用してスケーラブルかつ効率的にプライベート ネットワークを作成できます。
ケーブルの MPLS VPN ネットワークは、次の要素で構成されます。
- ケーブルおよび IP バックボーンを介してトラフィックを伝送するためにインターネット サービス プロバイダー(ISP)の VPN を作成し、物理インフラストラクチャを持つマルチプル サービス オペレータ(MSO)またはケーブル会社。
- HFC ネットワークおよび IP インフラストラクチャを使用して、ケーブル カスタマーにインターネット サービスを提供する ISP。
各 ISP は、MSO の物理ネットワーク インフラストラクチャを通じて加入者の PC と ISP のネットワークとの間でトラフィックを転送します。MPLS VPN は、レイヤ 3 で作成され、VPN のルートの振り分けをそのネットワークに属するルータだけに制限することで、プライバシーとセキュリティを提供します。したがって、各 ISP の VPN は同じ MSO インフラストラクチャを使用する他の ISP から絶縁されています。
MPLS VPN は、各 VPN に固有の VPN ルーティングおよび転送(VRF)インスタンスを割り当てます。VRF インスタンスは、1 つの IP ルーティング テーブル、取得された転送テーブル、フォワーディング テーブルを使用する一連のインターフェイス、および転送テーブルの内容を決定する一連のルールとルーティング プロトコルで構成されています。
各 PE ルータは 1 つ以上の VRF テーブルを維持します。適切な VRF テーブルでパケットの IP 宛先アドレスを検索するのは、パケットがそのテーブルに関連付けられたインターフェイスから直接到着した場合だけです。
MPLS VPN は BGP と IP アドレス解決の組み合わせを使用してセキュリティを保証します。「Configuring Multiprotocol Label Switching」を参照してください。
表はケーブル MPLS VPN ネットワークを示しています。ネットワーク内のルータは以下のとおりです。
- プロバイダー(P)ルータ:プロバイダー ネットワークのコア内のルータ。P ルータは MPLS スイッチングを実行し、ルーティングされるパケットに VPN ラベル(PE ルータによって割り当てられた、各ルート内の MPLS ラベル)を付加しません。VPN ラベルは、データ パケットを正しい出力ルータに誘導するために使用されます。
- プロバイダー エッジ(PE)ルータ:着信パケットが受信されるインターフェイスまたはサブインターフェイスに基づいて、着信パケットに VPN ラベルを追加するルータ。PE ルータは、CE ルータに直接接続します。MPLS-VPN 手法では、それぞれの Cisco CMTS ルータが PE ルータとして動作します。
- カスタマー(C)ルータ:ISP または企業ネットワークのルータ。
- カスタマー エッジ(CE)ルータ:MSO のネットワークの PE ルータに接続する ISP のネットワークのエッジ ルータ。CE ルータは、PE ルータとインターフェイスする必要があります。
MPLS ネットワークには固有の VPN があり、この VPN は排他的に MSO デバイスを管理するため、管理 VPN と呼ばれます。その他の VPN がアクセスできるデバイス、およびサーバが含まれます。管理 VPN は、Cisco Network Registrar(CNR)サーバや Time-of-Day(ToD)サーバなどの管理サーバに接続する PE ルータに対して Cisco CMTS ルータを接続します。PE ルータは、管理サーバに接続し、管理 VPN の一部です。属する ISP に関係なく、管理サーバは PC やケーブル モデムから受信する Dynamic Host Configuration Protocol(DHCP)、DNS(ドメイン ネーム システム)、および TOD 要求を処理します。
(注) |
MPLS VPN を設定する場合、管理 VPN の一部として作成された最初のサブインターフェイスを設定する必要があります。
|
ケーブル VPN 設定には、次のものがあります。
- 各企業ネットワークへの直接ピアリングが必要な MSO ドメイン(ISP)、個人用および商用の加入者向けプロビジョニング サーバ、商用ユーザ向けのダイナミック DNS。MSO は、ケーブル インターフェイス IP アドレッシング、Data-over-Cable Service Interface Specifications(DOCSIS)のプロビジョニング、CM ホスト名、ルーティングの修正、特権レベル、およびユーザ名とパスワードを管理します。
- 加入者または在宅勤務者のホスト デバイス用の DHCP サーバ、MSO アドレス空間内のエンタープライズ ゲートウェイ、および在宅勤務者のサブネットに戻るスタティック ルートがある、ISP またはエンタープライズ ドメイン。
(注) |
シスコは、MSO でエンド ユーザ デバイスとゲートウェイ インターフェイスにすべてのアドレスを割り当てることを推奨します。MSO では分割管理を使用して ISP でトンネルとセキュリティを設定できるようにすることもできます。
|
MPLS VPN 設定では、MSO は次を設定する必要があります。
- CMTS
- P ルータ
- PE ルータ
- CE ルータ
- すべてのケーブル モデム顧客について ISP DOCSIS サーバあたり 1 つの VPN。MSO は管理 VPN に DOCSIS サーバを接続し、認識されるようにする必要があります。
MSO は、ISP、およびその ISP に接続するリモート PE ルータを VPN の PE ルータとして機能させるような Cisco CMTS ルータを設定する必要があります。
MSO は、すべてのケーブル モデムのプライマリ IP アドレス範囲を決定する必要があります。
ISP は、加入者 PC のセカンダリ IP アドレス範囲を決定する必要があります。
セキュリティ違反を減らし、VPN または特定の ISP 管理でケーブル モデムからの DHCP 要求を区別するために、MSO は Cisco IOS-XE ソフトウェアの cablehelper-address コマンドを使用できます。MSO は、ISP の VPN でのみアクセスできるようにホスト IP アドレスを指定できます。これにより、ISP はその DHCP サーバを使用して IP アドレスを割り当てることができるようになります。ケーブル モデム IP アドレスは、管理 VPN からアクセスできることが必要です。
個々の ISP またはお客様に対して VPN を作成する MPLS VPN の手法では、サブインターフェイスを仮想バンドル インターフェイスに設定する必要があります。各 ISP には 1 つのサブインターフェイスが必要です。サブインターフェイスは、それぞれの ISP の VPN ルーティングおよび転送(VRF)テーブルに関連付けられます。最初のサブインターフェイスは、管理 VPN にバインドされたケーブル インターフェイス上で作成する必要があります。
CNR からの応答をケーブル モデムにルーティングするには、CNR に接続する PE ルータが管理 VPN への ISP VPN のルートをインポートする必要があります。同様に、管理要求(CNR への DHCP 更新など)をケーブル モデムに転送するには、ISP VPN が適切な管理 VPN ルートをエクスポートおよびインポートする必要があります。
各ルータに必要なサブネットが 1 つだけになるように Cisco CMTS ルータ上のすべてのケーブル インターフェイスを単一バンドルにグループ化できます。ケーブル インターフェイスをグループ化すると、別の IP サブネットまたは個々のケーブル インターフェイスは不要です。このグループ化により、特に多くの加入者のためのサブネットを管理するブリッジング ソリューションを使用する際のパフォーマンス、メモリ、およびセキュリティの問題が回避されます。
サブインターフェイスを使用して、トラフィックを単一の物理インターフェイスで区別し、複数の VPN に割り当てることができます。複数のサブインターフェイスを設定し、各サブインターフェイスに MPLS VPN を関連付けることができます。1 つの物理インターフェイス(ケーブル設備)を複数のサブインターフェイスに分割できます。この場合、各サブインターフェイスは特定の VPN に関連付けられます。各 ISP は、物理インターフェイス上でアクセスすることが必要で、各自のサブインターフェイスが与えられます。管理サブインターフェイスを作成して、ISP からのケーブル モデムの初期化をサポートしてください。
特定の VPN の(および ISP)加入者に関連付けられた各サブインターフェイスを使用して、加入対象のサービスを提供する ISP を反映する論理サブインターフェイスに接続します。適切に設定されると、加入者トラフィックは適切なサブインターフェイスと VPN に入ります。