Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

閉域網接続の技術入門

7,288 views

Published on

Published in: Engineering
  • Be the first to comment

閉域網接続の技術入門

  1. 1. 閉域網接続の技術入門 2016/04/01 Masayuki Kobayashi
  2. 2. 通信事業者各社が提供している拠点間VPNや クラウドへの直接接続の基盤になっている 閉域網について 一般的に利用される技術の基礎を理解するための資料 主にMPLS-VPNとMP-BGPについて扱います ※ルータのconfigなどは扱いません。意味が無いので。
  3. 3. 諸注意 • この資料は社内勉強会の資料を公開用に改変したものです。 • 諸事情で公開できないスライドを多数削除しているため、一 部つながりが不自然な部分があります。 • この資料の内容を鵜呑みにしないでください。不明点があれ ば自分で調べてください。 • できるだけわかりやすく伝えることを目的としているため、表 現として不適切な部分があるかもしれません。 • 内容が雑なのと文字が多くて見辛いのは我慢してください。
  4. 4. はじめに • この資料では主にMPLSについて扱っていますが、 MPLSは今日の発展に至るまで、トラフィック制御や VPNのためのラベルパスを用いるIPベースのアプロー チの他に、ATMのVC/VPをラベルに対応させるレガ シー系のアプローチがあります。 この資料では閉域網接続について扱うため、現在主流 のIPベースのMPLSのみ対象としています。また資料の 構成上、重要な技術や概念でも一部説明を省いている 箇所があります。疑問点や不明な箇所がある場合には 各自で調べて補完してください。短時間で作った資料な ので内容がすべて正しいとは限りません。ご了承くださ い。
  5. 5. 閉域網接続の技術を完全に理解するのは大変 • 通信事業者が提供しているMPLSを用いた閉域網サービスは 主に以下に代表される技術(プロトコル)の組み合わせで成り 立っており、すべてを理解して初めて点と点が一つにつながる ようなもの OSPF BGP VRFs MPLS-VPN MP-BGP LDP Address Family
  6. 6. 閉域網とは? • “通信事業者が加入者にIPアドレスを割り振り、独自に 構築したコンピューターネットワーク。インターネットなど の他ネットワークから分離しているため、外部から直接 アクセスすることはできない。閉域IP網。” デジタル大辞泉より引用
  7. 7. 閉域網とは 通信事業者が提供する拠点間VPNのための網
  8. 8. 拠点間VPNの種類 • インターネットVPN 共有ネットワークにインターネットを用いる方式。安価に利用可能だが、 輻輳や遅延の影響を受けやすい • 広域イーサネット 共有ネットワークに通信事業者が提供するL2の閉域網を用いる方式。 顧客ごとにVLANが割り当てられる。一般的な技術にPBB(IEEE802.1ah) やMPLSを用いたVPLSなどがある。 • IP-VPN 共有ネットワークに通信事業者が提供するL3の閉域網を用いる方式。 MPLSでIPパケットをカプセル化して伝送する。経路の伝達にBGPを用 いる。
  9. 9. 拠点1 ルーティング設計を誰がやるか 共有NW オーバレイモデルVPN ピアモデルVPN 拠点2 拠点3 ユーザ自身ですべての拠点に対するルーティン グを設計しなければならない。 インターネットVPNなどがこれに該当 拠点1,2向けの ルーティング 拠点2,3向けの ルーティング 拠点1,3向けの ルーティング 拠点1 共有NW 拠点2 拠点3 拠点1,2向けの ルーティング 拠点2,3向けの ルーティング 拠点1,3向けの ルーティング ルーティングを通信事業者に任せる。 ユーザは事業者の網に接続するだけでいい。 IP-VPN(MPLS-VPN)はこちらに該当
  10. 10. MPLSの基礎 おさらい
  11. 11. Multi Protocol Label Switching • 32bitの固定長のラベルを使用したパケット転送技術 • ラベルでカプセル化することによって、複数のプロトコル をMPLSという統一されたアーキテクチャ上で動作させ る事ができる。伝送媒体に依存しない。 • ラベルを複数スタックして付与することで階層構造の概 念を作り、顧客ごとに分離したVPNサービスなどが実現 可能 ラベル IPv4 ラベル Ethernet ラベル ラベル IPv6
  12. 12. MPLSの構成要素 Edge Core Core Core Core Core Core Edge Edge Edge Edge Edge MPLSドメイン
  13. 13. MPLSの構成要素 • MPLSドメイン エッジルータ(LER) で囲まれた、ラベルの使用方法などが事業者のポリ シーで決まっている範囲(BGPでいうASに近い) • コアルータ エッジルータで付与されたラベルのみを解釈してフォワーディングする (Label Swap) LSR(Label Switch Router)と呼ばれる • エッジルータ MPLSドメインの境界に位置し、MPLSドメイン外から来たパケットをFEC でクラス分けを行い、ラベルを付与してコアルータへ渡す(Label Push) MPLSドメイン外へパケットを送るときはラベルを除去する(Label Pop) LER(Label Edge Router)と呼ばれる
  14. 14. MPLSの構成要素 LER LSR LSR LSR LSR LSR LSR LER LER LER LER LER MPLSドメイン Ingress LER MPLSドメイン入口のLER Egress LER MPLSドメイン出口のLER LSP(Label Switched Path) 送信元から宛先までの片方向のパス 双方向の通信には2つのLSPが必要
  15. 15. SHIMヘッダ • Label:ラベル値が格納される • Exp:トラフィッククラスフィールドと呼ばれる。DiffservのCoS用に予約されている • S: Bottom of Stackフィールドと呼ばれる。ラベルを複数スタックする場合に、最下層ラベル であることを表す。 • TTL:転送ホップの上限数を規定している ExpLabel Value TTLS ラベル L3ヘッダ + データL2ヘッダ 20bit 3bit 1bit 8bit MPLSヘッダフォーマット 32bit
  16. 16. ラベル配布の方法 • DU(Downstream Unsolicited)モード ラベル要求がなくても自分が保持している経路情報を元に下流 (Downstream)の終点LSRから無条件にFECに対してラベルを付与し LSPを作成していく。事前にIGPがコンバージェンスしていることが前提。 LDP(Label Distribution Protocol)がこれに該当。 • DoD(Downstream-on-Demand)モード 下流のLSRからのラベル配布要求を受けてから個々にラベルを配布し LSPを作成していく。End-to-Endでラベルを割り当てる。 RSVP-TEがこれに該当。 この資料ではTEやQoSについては扱わないため、DoDモードの詳細な動作の説明や、 RSVP-TE, Explicit Routing, Fast Rerouteなどについても扱いません。
  17. 17. FEC 192.168.200.0/24 FEC 192.168.100.0/24 Downstream Unsolicited 192.168.100.0/24 Label 9 192.168.100.0/24 Label 21 終点側 192.168.200.0/24 Label 16 192.168.200.0/24 Label 29 始点側 宛先となる経路(FEC)を保持している終点側のルータ からラベルを通知していくことでLSPを形成する トラフィックフロー
  18. 18. MPLS通信の流れ LER LSR LSR LSR LSR LSR LSR LER LER LER LER LER MPLSドメイン Push(Insert) IPパケットにラベルを付与 Untag ラベルを完全除去してIPパケットを転送 Pop(Remove) 先頭ラベルを除去してIPパケットを転送 ラベルをスタックしている場合など Swap 先頭ラベルを付け替えてフォワーディング Swap 先頭ラベルを付け替えてフォワーディング
  19. 19. 現在のMPLSの用途 • ルータの処理性能が飛躍的に向上したことにより、高速転送 を目的としたラベルスイッチングの利用よりも、ラベルを付与す ることで実現可能なVPNサービスやQoS、TEなどのネットワー ク最適化の技術基盤として利用されることが多い。
  20. 20. 閉域網で必要なこと • インターネットからの分離 • 顧客の識別 • 顧客ごとの仮想専用網の構築 • 顧客経路とラベルの交換
  21. 21. 閉域網であるためには • インターネットから見えないこと インターネットに接続されたASに顧客経路と閉域網内部の経路を広報しない インターネットから広報されてくる経路を学習しない • インターネットと閉域網のどちらに抜けるのかは顧客制御 インターネットと閉域網の首振りは顧客側ルータで行う
  22. 22. MPLS-VPN VPNを実現する仕組みについて
  23. 23. B社拠点1 A社拠点2 A社拠点1 MPLS-VPNの構成要素 PE P P P P P P PE PE PE CE CE B社拠点2 CE CE PE PE
  24. 24. 閉域網(MPLS-VPN)の構成要素 • P(Provider)ルータ PEルータで付与された網内転送ラベルを元にフォワーディングを行う LSR • PE(Provider Edge)ルータ MPLSドメインの境界に位置し、CEルータと接続する。入出力パケットに 対してラベルの付与と除去を行うLERで、MP-BGPの経路交換をサポー トする。 • CE(Customer Edge)ルータ PEルータに接続される顧客側の非MPLSルータ。BGPやスタティック ルーティングでPEに接続する。
  25. 25. MPLS ラベルスタック MPLS-VPNは2つのラベルを付与することでVPNを実現する • MPLS網内転送ラベル 出口となる対向のPEの宛先アドレスに関するラベル。MPLSドメイン内 のすべてのルータでLDPによって交換され、入り口のPEで付与、出口 のPEの一つ手前のPで除去される • VPN識別ラベル VRFの経路情報を識別するためのラベル MP-iBGPネイバーのPEルータ同士でのみ交換され、宛先のPEに到達 するまで参照・書き換えは行われない VPN識別ラベル 32bitMPLS転送ラベル 32bit IPヘッダ + データL2ヘッダ
  26. 26. MPLS ラベルスタックの動作 PE A社 192.168.100.0/24 CE PE A社 192.168.100.0/24 CE P P VPNラベル=26転送ラベル=42 DST:192.168.100.1 DST:192.168.100.1 VPNラベル=26転送ラベル=32 DST:192.168.100.1 VPNラベル=26 DST:192.168.100.1 DST:192.168.100.1 Pルータでは外側の転送ラベルのみ参照しswapする 内側のVPNラベルをカプセル化することで、仮想的な VPNトンネルを実現している B社 172.16.100.0/24 CE 入り口のPEでMP-BGPで通知されたVPN識 別ラベルを付与、LDPで通知された転送ラベ ルを付与する B社 172.16.100.0/24 CE PHP(Penultimate Hop Popping) PEの一つ手前のPで転送ラベルを除去する PEの負荷を軽減
  27. 27. 閉域網で使われる主なプロトコル • VRFs:顧客を識別する 顧客がLAN内で使用しているprefixは、他の顧客と重複する可能性がある。 識別子を使いルーティングインスタンスを分ける。 • BGP(MP-BGP):顧客の経路を伝達する 顧客ごとに識別子が付いた経路を宛先のエッジルータに伝達する • OSPF:BGPルータ/MPLSルータの居場所を識別する iBGPのnext-hop解決とLDP neighborの確立はIGPに依存する • MPLS:VPNを識別する/ラベルスイッチングを行う ラベルをスタックして付与することにより、外側のラベルでルーティングを行い、 内側のラベルで顧客ごとに仮想的に分離したVPN通信を実現する
  28. 28. VRFs 設備投資を抑えつつ顧客を識別する技術について
  29. 29. 顧客を識別する A社 192.168.100.0/24 B社 192.168.100.0/24 PE CE CE MPLS網 重複する可能性のある顧客の経路を識別する仕組みが必要 192.168.100.0/24 A社?B社?
  30. 30. Virtual Routing and Forwarding tables A社 192.168.100.0/24 B社 192.168.100.0/24 PE CE CE MPLS網 VRF A A社のルーティングテーブル VRF B B社のルーティングテーブル MPLS網の ルーティング テーブル PEルータ内に顧客毎の仮想ルーティングインスタンスを作成する
  31. 31. Route Distinguisher • RDで顧客経路を識別する(ルート識別子) 顧客のIPアドレス情報の重複を避けるために用いる RDはAS番号もしくはIPアドレスと、任意の値の組で経路を識別する RD 64bit IPv4 address 32bit この96bitの組み合わせを VPNv4 Prefix と呼ぶ Type Field 16bit Value Field 48bit Type 0 Type 1 Type 2 ASN 16bit Value 32bit IPv4 address 32bit Value 16bit 4-octet ASN 32bit Value 16bit どの表現形式を使うのか は任意で決められる RDのフォーマット
  32. 32. 経路挿入先のVRFの識別 • RDにはprefixを識別する役割しかない 受信側のPEでは、MP-iBGPで受け取った経路をどのローカルVRFにイ ンストールするべきかRDだけでは判断できない PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE P RD 65530:1-192.168.100.0/24 RD 65530:2-192.168.100.0/24 経路広報 経路広報 65530:2 VRF A? VRF B? 受信側PEルータでどのVRFを選ぶのか決定する仕組みが必要
  33. 33. Route Target • RTでVRFを識別する 送信側PEはVPNv4 prefixにRT値を付与してMP-iBGPの拡張コミュニ ティで広報(export)、受信側PEでRT値が一致した経路のみ学習(import) し、どのVRFに経路を挿入するか決定する。RTは1つのVPNv4 prefixに 対して複数設定可能。 PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE P RD 65530:1-192.168.100.0/24 RT 65530:1 export RD 65530:2-192.168.100.0/24 RT 65530:2 export 経路広報 経路広報 RT 65530:1 import VRF A RT 65530:2 import VRF B 一致したら学習
  34. 34. VRFs まとめ • 異なる複数のVPNで顧客の経路の重複を可能にする • RDで顧客の経路に、RTでどのローカルVRFに経路を取 り込むのかを決めるための識別子をつける • RTの情報はMP-iBGPの拡張コミュニティでネイバーの PEに伝達される • 受信側のPEはRTのexport値が、ローカルVRFに設定さ れたRTのimport値と一致する場合に当該経路を学習 する
  35. 35. BGP/MP-BGP BGPと、その拡張のMP-BGPについて
  36. 36. そもそもなぜBGPを使うのか
  37. 37. OSPFドメイン 大規模環境でのIGPの課題 バックボーン区間顧客側 CE 顧客側 CE この区間の経路情報は 顧客にとってはどうでもいい OSPFなどのリンクステート型IGPは同一エリアのすべてのルータが同じ経路情 報(LSDB)を保持してしまう。顧客の経路毎に”色付け”をした制御や、網内経路 と顧客経路の分離が難しく、スケールしにくい。 エリアを分割しても メンテナンス性を欠くだけで 根本的解決策にならない
  38. 38. 顧客経路の伝達にBGPを利用 バックボーン区間顧客側 CE 顧客側 CE Route Reflector OSPF BGP
  39. 39. 顧客経路の伝達にBGPを利用 バックボーン区間顧客側 CE 顧客側 CE Route Reflector OSPF BGP iBGP next-hopのIGPリカーシブルックアップを OSPFで解決することで網内到達性を実現 障害やメンテナンス時にはコスト調整による 迂回を容易に行え、経路収束時間を短縮できる CEがバックボーン区間の経路を保持することなく End-Endで到達性のあるネットワークを構築可能 帯域やピア数の増加にはRRを増設して対応することで 比較的高いスケーラビリティを実現
  40. 40. BGPの課題と解決策
  41. 41. BGP接続時の課題 AS65531 OSPF p2p OSPF p2p iBGP peer Core RouterEdge Router Edge Router 10.1.1.0/31 10.1.2.0/31192.168.1.0/31 192.168.2.0/31 ping DST:192.168.2.1 Customer Customer エッジルータは顧客の経路を学習し、iBGP peerを張っている対向のエッジルータに 経路を広報するが、コアルータはその経路を学習していないため、next-hop解決に 失敗し破棄される。コアルータをiBGP peerに参加させるためには、ルートリフレクタ が必要(iBGPスプリットホライズン) .1.0.1.0 AS65530 AS65532 eBGP eBGP
  42. 42. 考えられる解決策 • エッジルータで、BGPの経路をOSPFに再配布する コアルータはパケットを運ぶことに専念するべきであり、不要な経路を 学習すべきでない。OSPFはiBGP網内でnext-hopの解決と通信の迂回 に利用されるべき。最悪の選択肢 • ルートリフレクタを用いてコアルータをiBGP接続する BGPバックボーンでの一般的な選択肢 不要なピアの増加は設定の複雑化を招く。RRによるスケールは根本的 解決にはならない • MPLSを用いてコアルータでのnext-hop解決を排除する LSPを用いることで、PE間でIP prefixベースのルーティング処理を不要 にする。コアルータがiBGPの制約から開放される⇛BGP Free Core
  43. 43. BGP Free Core Design OSPF p2p OSPF p2p AS65531 iBGP peer Core RouterEdge Router Edge Router 10.1.1.0/31 10.1.2.0/31 192.168.1.0/31 192.168.2.0/31 Customer Customer .1.0.1.0 AS65532 eBGP eBGP AS65530 IGPのコンバージェンス後にLDPでLSPを確立する。 iBGP next-hopのリカーシブルックアップをコアルータで不要にすることで、 エッジルータ間が1hopで到達可能になる。 顧客増加に伴う経路数増加の影響をコアルータが受けることなく、スケール が容易になる。 LSP LSP iBGP peerが不要
  44. 44. 網と顧客の経路を分離しない場合の問題点 OSPF p2p OSPF p2p AS65531 iBGP peer lo:172.16.0.1 10.1.1.0/31 10.1.2.0/31 192.168.1.0/31 192.168.2.0/31 .1.0.1.0 AS65532 eBGP eBGP AS65530 LSP LSP.0 .0.1 .1 lo:172.16.0.2 lo:172.16.0.3 172.16.0.1172.16.100.1 172.16.0.1宛のICMP Echo Request 172.16.0.1からの ICMP Echo Reply 届いていない宛先から応答がある Where are you from? ICMP Echo Requestが届いていない 正常に通信ができないトラブル この問題については以下のblogで、検証結果を交えて詳細に書かれています。 http://ttsubo.hatenablog.com/entry/2016/03/26/205028 自宅の検証設備で同様の問題にハマった経験があるので紹介しました。
  45. 45. 網と顧客の経路を分離しない場合の問題点 MP-BGPを用いない場合、PEルータが保持するのはグローバルルーティングテーブル のみで、顧客経路・網内経路の区別はなく、すべての経路が載ってしまう。 一見正常に通信できているように見えても、実はバックボーン設備と通信していた。。 という残念な状態になることも考えられる。 VRFsで顧客のルーティングインスタンスをグローバルルーティングインスタンスから分 離することが重要。 OSPF p2p OSPF p2p AS65531 iBGP peer lo:172.16.0.1 10.1.1.0/31 10.1.2.0/31 192.168.1.0/31 192.168.2.0/31 .1.0.1.0 AS65532 eBGP eBGP AS65530 LSP LSP.0 .0.1 .1 lo:172.16.0.2 lo:172.16.0.3 172.16.0.1172.16.100.1 172.16.0.1からの ICMP Echo Reply 172.16.0.1宛のICMP Echo Request 宛先と同じアドレスをバックボーン 設備が使用していたと仮定
  46. 46. 拠点同士が同一ASの場合 AS65532 拠点A AS65531 MPLS/BGP 網 AS_PATH: 65531_65532 eBGP 10.1.0.0/24 AS65532 拠点B AS_PATHでループを検知 経路を学習しない eBGP ルーティングループを防止しつつ、CE同士が同一のAS番号 を用いて正常に通信できるようにする仕組みが必要
  47. 47. AS Override & SOO(Site Of Origin) AS65532 拠点A AS65531 MPLS/BGP 網 AS_PATH: 65531 eBGP 10.1.0.0/24 AS65532 拠点B AS Override CEのASをバックボーンのASで上書きする 拠点BのCEからは拠点AのASが見えなくなる eBGP CE1 CE2 SOO(Site Of Origin) BGP拡張コミュニティを使い経路が送信元に戻されるのを防ぐ AS65532 10.1.0.0/24 CE1 65532:10 AS65532 10.1.0.0/24 CE2 65532:10 同一ASからのprefixには同じSOO値を付与
  48. 48. BGPの制約 • BGPで広報できる経路はIPv4 unicastのみだった そのままではVPN経路やラベルの交換ができないためVPN通信が不可 IPv6 Multicast VPNv4 MPLS Label 複数のプロトコルの情報を交換できるように BGPを拡張する必要があった
  49. 49. Multiprotocol Extensions for BGP-4 RFC2283/RFC4360で新たなBGP Path Attributeを定義 • Multiprotocol Reachable NLRI(Type 14) Optional non-transitive [Address Family Information, Next Hop Information, NLRI]で構成 • Multiprotocol Unreachable NLRI (Type 15) Optional non-transitive [Address Family Information, Unfeasible Routes Length, Withdrawn Routes]で構成 • Extended Communities(Type 16) Optional transitive Route Targetの伝達 • Address Family Information [AFI, SAFI]で構成. SAFIはAFIで識別されたプロトコルの詳細 AFI(Address Family Identifier) 1 ⇒ IPv4 / 2 ⇒ IPv6 SAFI(Sub-AFI) 1 ⇒ Unicast / 2 ⇒ Multicast 4 ⇒ NLRI with MPLS Labels(ラベル情報の伝達) 128 ⇒ MPLS-labeled VPN address(VPNv4 prefixの伝達)
  50. 50. AFI & SAFI combinations AFIとSAFIの組み合わせで NLRIで伝達するアドレス情報 の種別と詳細を識別できる AFI=1, SAFI=1, IPv4 unicast AFI=1, SAFI=2, IPv4 multicast AFI=1, SAFI=128, L3VPN IPv4 unicast AFI=1, SAFI=129, L3VPN IPv4 multicast AFI=2, SAFI=1, IPv6 unicast AFI=2, SAFI=2, IPv6 multicast AFI=25, SAFI=65, BGP-VPLS/BGP-L2VPN AFI=2, SAFI=128, L3VPN IPv6 unicast AFI=2, SAFI=129, L3VPN IPv6 multicast AFI=1, SAFI=132, RT-Constrain AFI=1, SAFI=133, Flow-spec AFI=1, SAFI=134, Flow-spec AFI=3, SAFI=128, CLNS VPN AFI=1, SAFI=5, NG-MVPN IPv4 AFI=2, SAFI=5, NG-MVPN IPv6 AFI=1, SAFI=66, MDT-SAFI AFI=1, SAFI=4, labeled IPv4 AFI=2, SAFI=4, labeled IPv6 (6PE)
  51. 51. MP-BGP • マルチプロトコル対応のために拡張されたBGP IPv6/multicast/ラベルなどをNLRIに含めて伝達できる PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE PE A社 192.168.100.0/24 B社 192.168.100.0/24 CE CE P 経路情報/ラベル交換 VRF A VRF A VRF B VRF B MP-BGP MP-BGP MPLS-VPN網 VRFからMP-BGPテーブルへ 再配布 MP-iBGP Neighbor
  52. 52. MPLS ラベルスタックの動作 PE A社 192.168.100.0/24 CE PE A社 192.168.100.0/24 CE P P VPNラベル=26転送ラベル=42 DST:192.168.100.1 DST:192.168.100.1 VPNラベル=26転送ラベル=32 DST:192.168.100.1 VPNラベル=26 DST:192.168.100.1 DST:192.168.100.1 Pルータでは外側の転送ラベルのみ参照しswapする 内側のVPNラベルをカプセル化することで、仮想的な VPNトンネルを実現している B社 172.16.100.0/24 CE 入り口のPEでMP-BGPで通知されたVPN識 別ラベルを付与、LDPで通知された転送ラベ ルを付与する B社 172.16.100.0/24 CE PHP(Penultimate Hop Popping) PEの一つ手前のPで転送ラベルを除去する PEの負荷を軽減
  53. 53. MPLS-VPNまとめ • 顧客や目的ごとに論理的に完全に独立したネットワークを構 築することが可能 • Ingress PEで網内転送ラベルとVPN識別ラベルの2つを付与 する • 網内転送ラベルはLDPで、VPN識別ラベルはMP-iBGPでそれ ぞれ通知される • PE間でMP-iBGPセッションを張りVRF経路を交換 • Pは網内転送ラベルのみを参照して転送(swap)するだけ • PEが最も重要な役割を果たし、同時に負荷も高い
  54. 54. IPv6 over MPLS IPv6 Reachableな閉域網を実現するには
  55. 55. PE & CEのIPv6対応 6VPE A社 IPv6 only B社 IPv4/IPv6 CE CE 6VPE A社 IPv4/IPv6 B社 IPv4 only CE CE P IPv6に対応したPE IPv4 MPLS網 VPNラベル転送ラベル IPv6 パケット IPv4のMPLSと同様に、IPv6パケットをラベルでカプセル化することで 既存のIPv4 MPLSドメインでIPv6の接続性を提供可能. Pルータが必ずしもIPv6対応する必要がなく、伝送媒体に依存せず 統一されたアーキテクチャ上で動作するというMPLSのメリットを活かせる. IPv6非対応
  56. 56. 6PE / 6VPE • 6PE(IPv6 Provider Edge Router) IPv6対応のLER • 6VPE(IPv6 VPN Provider Edge Router) IPv6対応のPE PEと同様にMP-BGP、VRFs、拡張コミュニティなど加えて、 OSPFv3などのIPv6ルーティングプロトコルにも対応する必要がある IPv6 address 128bitRD 64bit この192bitの組み合わせを VPNv6 Prefix と呼ぶ(RFC4659)
  57. 57. キャリア回線/ダークファイバ 設備とサービスの関係(イメージ) MPLS L2VPN MPLS L3VPN IP Routing サービス サービス サービス
  58. 58. 閉域網接続あるあるトラブル • 実はインターネット経由で通信してました 閉域網と接続しているクラウドサービスなどはインターネットからの到達 性もあるので、BGPの経路制御で追従できてないとこうなります prefix-filter要注意 • 閉域網に全然トラフィックが流れない どのアプリケーションを閉域網経由にするのか明確に設計する アプリケーションによっては一部機能の通信だけインターネット使ったりす るので要注意 • 拠点でIPv6対応したらインターネット経由になりました 閉域網側(PE)がIPv6対応していないと、インターネット側から返ってきた AAAAで通信する可能性があります。客側でAAAAをフィルタしてください
  59. 59. これからの閉域網と関連技術 SDN/NFV時代の新たなサービスとインフラ最適化の基盤として
  60. 60. SD-WAN “回線の先はすべてクラウド” を実現するために
  61. 61. 既存のマネージドCPEサービス 顧客の各拠点 通信事業者網 LANに必要な機能  ルーティング  ファイアウォール  DHCP  QoS  NAT  etc 顧客の必要な機能に合わせてCPEを選 定しWANアクセス環境を都度構築して いる。 コストと納期がかかり、障害やEoL対応 などの運用負荷も高い 宛先リソース
  62. 62. vCPE 顧客の各拠点 通信事業者網 クラウドに集約配置  ルーティング  ファイアウォール  DHCP  QoS  NAT  etc 宛先リソース 顧客側に設置するのは、ネットワークにア クセスするだけのシンプルな役割のL2デ バイスのみ。接続して電源を入れるだけ。 ゼロタッチコンフィグレーション NFV基盤 vCPEをサーバあたり何台詰め込めるかを 性能とのコストバランスを考えながらサー ビス設計をする必要がある。 異なるメーカーの製品を束ねることができ るオーケストレータの存在も重要。
  63. 63. 通信事業者網 サービスチェイニング 特定の通信に対して、各拠点のサービスを 順に通過させる経路制御などが可能 通信経路の途中でL4-L7のポリシーを適用 することなどが考えられている vFW IDS/IPS サービス識別タグ データ フローにサービス種別や適用する 順序などを示すタグを付与する 複数拠点のサービスを一つにつなぐ経路制御 vCPE 拠点A 拠点B DC-1 DC-2 vPE vPE
  64. 64. WAN Virtualization VPN MPLSInternetMobile 音声/ビデオ Primary 音声/ビデオ Secondary ファイル転送アプリ Web 複数の回線を一つに束ね、それぞれの帯域・遅延・パケロスを監視し、アプリケーションごとに常 に最適な回線を選択したり、障害時にルーティングコンバージェンスを待たずに高速に切り替える インターネットと閉域網の両方に複製した同じパケットを投げ、先に宛先に到達したほうを採用す る製品もある。SD-WAN技術の代表的な製品(サービス)としてVipteraなどがある。
  65. 65. クラウドエクスチェンジ オンプレや個別に契約しているクラウドサービス、IoTデバイスを 相互接続し、それぞれのトラフィックを相互に交換するためのセ キュアで高品質・広帯域なネットワークの提供 オンプレ East-West Traffic 客拠点
  66. 66. 次回のネタ候補 次回あるの?
  67. 67. MPLSの関連技術と将来展望 • MPLS-TE ネットワークエンジニアを名乗るならTEできないとダサいよね • MPLS-TP と GMPLS(MPλS) QoSとか光波長ルーティングとかのお話。これ難しい・・・ • EVPN over VXLAN / PBB-EVPN 2015年現在、最も業界でアツい? 今年のShowNetもたぶんこれやるの で一緒に勉強しましょうか。DCIとかかっこいい。今時VPLSはちょっと… • サービスチェイニング 各社実装に入りましたね。どの方式が標準になるんでしょうね
  68. 68. ルーティングセキュリティ • BGP Flowspec BGP拡張コミュニティでACLモドキ(rate-limit)を伝達する仕組みについて RTBHで犠牲になる通信をできるだけ救ってあげましょうか • RPKI(Resource PKI) ROAとか証明書とか知ってますか? その経路本当に正しいですか? invalidな経路はLP下げちゃうぞ! • BCP38 送信元検証はISPの基本だね.MANRSに認定されるには必須です • DDoS Mitigation Services 各社どんなサービスを提供してるんでしょうかね。 トラフィック捻じ曲げたり、吸い込んだり、綺麗にして戻したり…etc 技術的観点からその威力と、運用上の課題を比較してみましょうか。
  69. 69. SDN/NFV/仮想化基盤技術 • 仮想ルータってどうなの? 性能は?どうやってテストするの?どこで使うの?各社何が違うの? CSR1000V/XRv9000/vMX/vSRX/vRouter/VyOS/vEOS このあたりの製品が気になります! • Intel DPDK / SR-IOV 仮想ルータで10Gワイヤーレート欲しいですよね。データプレーンを分 離して割り当てるコアとPCIe NICにお金をかけましょう。 • 運用自動化ってどうやる? ネットワークインフラの運用自動化や構成管理ってどうやるのがいいん でしょう。正解はないけど、みんなが楽して儲かる基盤を作りたいです よね。
  70. 70. ルーティングハンズオン • イケてるインターネットバックボーン作りますか? IHANet的なやつをやる?仮想ルータを並べれば簡単だね。GoBGPで経 路生成しちゃうとか。 フルルートなんてものは対外ASとのpeerと、トランジット収容してるエッ ジだけが持つのが理想だよね。経路増加との不毛な戦いはやめよう。 NETCONF/RESTCONF/REST-API/JUNOScript ... etc APIやコードによるネットワーク機器の制御などをやってみましょうか。 Ansible2.1とか触ってみたいですよね。 Software Defined Backbone?的なやつ作ってみたい。
  71. 71. おしまい (-_-)zzz 応用編に続く…
  72. 72. 参考 • MPLS: Technology and Applications Bruce Davie(著), Yakov Rekhter(著) • インターネットルーティング入門 第3版 友近 剛史 (著), 池尻 雄一 (著), 白崎 泰弘 (著) • 次世代ネットワークの技術概要~MPLS編~ Interop Tokyo 2009 ソフトバンクテレコム 松嶋 聡 • インターネットルーティングアーキテクチャ Sam Halabi(著), Danny McPherson(著)

×