【図解】MPLS-VPNの概要 ～MP-BGPとVRFの動作,シーケンスやRDとRTの違い, 識別ラベルについて～

mpLS-VpN の基本的な構成と図中のルータの説明を以下に示します。

なお 、mpLS-VpN の重要なコンポーネントである VRF の詳細については、以下記事をご参照下さい。

【図解】VRFの概要と仕組み ～VRF-Liteとの違い,構成例,設定例について～

VRFとは? VRF とは Virtual Routing and Foward…

構成図

CE-A1, CE-A2, CE-B1, CE-B2

CE ルータとは一般に Customer Edge ルータのことを指します。mpLS-VpN サービスを利用する顧客が用意するルータです。

ここ で は CE – a 1 と CE – a 2 を 用意 する の が 『 顧客 a 』 で あり 、 CE – b 1 と CE – b 2 を 用意 する の が 『 顧客 b 』 です 。

pe 1 , pe 2

pE ルータとは一般に provider-Edge ルータのことを指します。mpLS-VpN サービスを提供する事業者 (サービスプロバイダ) が用意するルータです。

pE ルータ上では VRF と呼ばれる仮想ルータが設定・構成され、ルーティングを顧客ごとに個別に管理することができます。

m

maintenance-Router (mルータ) を指します。これは一般的な名称では無いですが、Route-Target の例の説明のために配置しています。

ここでは mpLS ネットワーク全体の保守運用を行なうセグメントがあることを想定します。

p

provider-Router (pルータ) を指します。mpLS 網の中継ルータ。

通常は 2 台以上で各 pE や m との冗長経路を確保するのですが、ここでは図を分かりやすくするために各ルータ 1 経路にしています。

通信の流れについて

まず、CE-A1 から pE1 の顧客 A 用の VRF インスタンスにパケットが入ると、VpN 識別ラベル (図では 30) が取り付けられます。

この VpN 識別ラベルは pE2 から mp-BGp で VpNv4 prefix と一緒に受け取るもので、pE2 側でどの VRF インスタンスに行けばよいかを識別します。(mp-BGp でのルーティング情報交換の際にどの VRF インスタンスに入れれば良いかの識別は Route Target が 行なう ます が 、パケット転送の際はこの VpN 識別ラベルで行ないます。)

mp-BGp の詳細については以下記事をご参照下さい。

【mp-BGp】のType(NLRI, AFI/SAFIやRoute-Target)の仕組みとシーケンス, パケットキャプチャ

mp-BGpとは BGp では伝達できるルート情報は Ipv4 unicast …

VpNv4 prefix とは、Route Distinguisher (RD) と通常のプレフィックスの組合せ [RD:prefix] のことです。

図の場合、CE-A2 に接続されたネットワークを VpNv4 prefix で表すと、[1:10:10.1.2.0/24] になります。

RD (Route Distinguisher) とは、そのルータ内での VRF の識別をするものです。

VRF はあくまでルーティングテーブルを分割するだけで、複数の VRF はルータの 1 プロセスによって管理されます。そのプロセスが、その Ip アドレスはどの VRF に所属するものなのかを識別するために RD が必要となります。

Route Distinguisher (RD) はローカルルータでの取り扱い、Route-Target (RT) は、リモートルータでの取り扱いの話、という違いで考えると分かりやすいかもしれません。

RD は『ローカルルータ内での VRF を識別するため』にそのルータだけで使われる情報であるのに対し、RT は『VpNv4 prefix をリモートルータ上のどの VRF に入れるべきかを識別するため』に mp-BGp で伝搬される情報です。

VpNv4 prefix は [RD]:[Ipv4 address] という形式ですが、mp-BGp で伝搬され、RT により VRF に格納されるタイミングで、RD はリモートのものからローカルのものへ変換されます。

な の で 、 RD is あり は 必ず しも ローカル ルータ と リモート ルータ で 同じ に する 必要 is あり は あり ませ ん 。 ( もちろん 、 運用 管理 上 は 揃える た ほう is 分かり が 分かる 易く て よい です が )

pE1 の VRF インスタンスで VpN 識別ラベルが取り付けられると 同時 に 、 パケット はVRF インスタンスから Global インスタンスに移動します。

Global インスタンスでは、NextHop が 2.2.2.2 となっているため、これに対応した網内転送ラベル (図では 16) を、先程取り付けた VpN 識別ラベルの上にさらに取り付けます (スタック)。この網内転送ラベルは LDp 等により p から伝えられるものです。

p が mpLS パケットを受け取ると、網内転送ラベルだけを見て網内をスイッチングします。この例では p ルータは 1 台だけですが、 間に p ルータが何台あっても、全ての p ルータでは網内転送ラベルだけを見てスイッチングしていきます。

pE2 の直前の p ルータでは、pHp によって網内転送ラベルを削除して pE2 にパケットを送ります

pE2 では自分が BGp で送ったラベルが取り付けられたパケットを認識し、VpN 識別ラベルをはがすと同時に Global インスタンスから対応した VRF インスタンスに移動し、そこで通常のルーティングにより CE-A2 に Ip パケットを転送します。

このラベルの付け剥がしとインスタンスへの移動は、スイッチにおける VLAN タグの付け剥がしと access VLAN への移動に似ています。

Cisco における mpLS-VpN 設定例

Cisco における設定例については以下記事をご参照下さい。

【図解】mpLS-VpNの設定～スーパーバックボーン, sham-link, 拡張コミュニティについて～

Cisco での mpLS-VpN の設定例を紹介します。以下の図の NW を構…