IP-VPNの仕組み ～MPLS-VPN～

IP-VPNのネットワークはPEルータとPルータで構成

通信キャリアのIP-VPNのネットワークは、ユーザ側からみると巨大なルータです。その巨大なルータは、PE(Provider Edge)ルータおよびP(Provider)ルータで構築されています。

PEルータ

PEルータはIP-VPNを考える上でとても重要なルータで、IP-VPNの契約ユーザのCEルータを収容するルータです。1台のPEルータには1つの契約ユーザのCEルータだけではなく、いくつもの契約ユーザのCEルータがつながることになります。IP-VPNを巨大なルータと見立てた場合のインタフェースに相当するのがPEルータです。

Pルータ

PルータはIP-VPNの契約ユーザとは直接接続していないルータです。IP – VPN 内 で ユーザ の データ を 転送 する ため の ルータ です 。

CEルータ

CE(Customer Edge)ルータは、IP-VPNに接続するユーザ側のルータです。CEルータは、ユーザ側のルータなので、ユーザが設定と管理をしなければいけません。

MP-BGPとMPLS

PEルータとPルータで、IP-VPNのユーザから見ると、まるで巨大なルータであるかのように振る舞います。そのために、MPLSとMP-BGPを利用します。MP-BGPはIP-VPNの契約ユーザのルート情報を管理するために利用し、MPLSはIP-VPN上でユーザのデータを転送するために利用しています。MPLSを利用していることからIP-VPNはMPLS-VPNと表現することもよくあります。

MPLSはPEルータとPルータで利用しています。一方、MP-BGPは基本的にPEルータのみです。

図 IP-VPNのネットワーク構成

MP-BGPの概要

MP-BGP(Multi Protocol-BGP)はBGPv4を拡張したルーティングプロトコルです。MPLS-VPNでは、通常のIPv4のルート情報の代わりにVPNv4ルート情報を扱えるようにMP-BGPを利用します。

IP-VPNでは、PEルータは契約ユーザのルート情報をすべて管理します。ただ、契約ユーザのIPアドレスは重複する可能性があります。社内のネットワークはプライベートアドレスを使ってアドレッシングするのが一般的です。ある契約ユーザと別の契約ユーザで同じプライベートアドレス範囲を利用している可能性があります。

IPアドレスの重複を回避するために、32ビットのIPv4アドレスを96ビットのVPNv4アドレスへ拡張して、契約ユーザごとのルート情報を管理するようにしています。VPNv4アドレスとは、32ビットのIPv4アドレスの前に64ビットのRD(Route Distinguisher)を付け加えた96ビットのアドレスです。RDで契約ユーザを識別できるようにしています。

図 VPNv4ルート

図 で は RD を 簡略 化 し て い ます 。 RD is 数値 は 64 ビット の 数値 です 。

そして 、pe ルータ 間 で vpnv 4 アドレス を アドバタイズ する ため に 、 pe ルータ 間 で MP – bgp を 利用 し て い ます 。また 、 MP – BGP is 扱う は mpls の ラベル 情報 is 扱う も 扱う こと が でき ます 。 最終 的 にPEルータは、収容している契約ユーザの拠点のルート情報をすべて契約ユーザごとのルーティングテーブルに保持します。

図 pe ルータ 契約 ユーザ ごと の ルーティング テーブル

MPLSの概要

MPLS( Multi Protocol Label Switching )は、もともとIPパケットの転送(IPルーティング)を高速化する目的で開発されていた技術です。通常のIPルーティングは、IPヘッダの宛先IPアドレスに一致するルーティングテーブルのルート情報を最長一致検索で検索しています。最長一致検索では、32ビットのIPアドレスのどのビットまでを参照するかがルート情報ごとに異なり、また、ルート情報をすべてチェックしなければいけません。

一方、MPLSでは、IPパケットにMPLSラベルを付加して、固定長のラベルを参照することで効率よく転送先を判断して、高速なルーティングを可能にしています。このような目的でMPLSを利用するときには、IPヘッダにMPLSヘッダでカプセル化して、さらにイーサネットなどのレイヤ2プロトコルのヘッドをカプセル化します。レイヤ3のIPヘッダとレイヤ2のヘッダの間にMPLSヘッダを付加するので、レイヤ2.5などと呼ばれることもありました。

図 MPLSのカプセル化(ルーティングの高速化)

MPLS-VPNでユーザのIPパケットの転送

MPLS-VPNで、契約ユーザのIPパケットを転送するときにはMPLSヘッダ(ラベル)を多重化して付加します。契約 ユーザ から の IP パケット を pe ルータ で 受信 する と 、 2 つ の ラベル を 付加 し ます 。

内側のラベル:契約ユーザのルートを識別するためのラベル
外側のラベル:出口となるPEルータまで転送するためのラベル

p ルータ は 外側 の ラベル のみ を 参照 し て 、 出口 に なる pe ルータ まで 転送 し ます 。そして 、出口のPEルータは内側のラベルから契約ユーザの転送するべきCEルータを識別します。ラベル is 転送 は すべて 取る 除く 元 の IP パケット に し て 適切 な CE ルータ へ 転送 し ます 。

図 MPLS-VPNでのパケットの転送

IP – VPN の 仕組み の ポイント

IP – VPN の 仕組み の ポイント

• IP-VPNのネットワークは、PEルータとPルータで構成されている
• PEルータは契約ユーザのCEルータを収容するルータで、契約ユーザのルート情報をすべて保持する
• PルータはCEルータとは直接接続せず、MPLSでユーザのデータを転送する
• PEルータおよびPルータでMPLSを利用し、PEルータ間でMP-BGPを利用する
• 契約ユーザのルート情報はRDを付加したVPNv4ルートとしてPEルータで保持する
• ユーザのIPパケットにMPLSヘッダ(ラベル)を2つ付加して転送する

ネットワーク 技術 解説 記事 の アップデート や 新規 記事 を Twitter で お 知らせ し て い ます 。

「ネットワークのおべんきょしませんか？」内の記事を検索