MPLS VPN を理解する前に、まず MPLS を理解する必要があります。
MPLS を理解する前に、MAC アドレスベースのスイッチングと IP アドレスベースのルーティングと転送について確認してみましょう。
(前回は主にMACアドレスによるスイッチング、IPアドレスによるルーティングとフォワーディング、MPLSの詳細説明を紹介しました)
(次の記事では、主にネットワーク構造、構成原理、アクセス方法、MPLS VPN を使用する理由、MPLS VPN の利点と適用シナリオについて説明します)
1. 従来の MAC アドレスベースのスイッチングと IP アドレスベースのルーティングおよび転送
1.1. MACアドレスによる切り替え(レイヤー2)
スイッチング層は、arp の発行に基づいて mac アドレスを学習し、mac アドレスとインターフェイスの比較テーブルを作成し、mac アドレス テーブルに基づいてホップごとにスイッチングします。
1.2. IP アドレスに基づくルーティングと転送 (レイヤー 3)
1. ルーターがデータパケットを受信すると、まずカプセル化を解除してデータフレームに戻しますが、このとき、ルーターはデータパケットヘッダーの MAC アドレスの宛先アドレスを確認します。データを受信した場合はカプセル化解除を続行しますが、そうでない場合は破棄します。
2. ルーターは送信元 IP と宛先 IP のカプセル化を解除し続けますが、宛先 IP が自身のインターフェイスの IP ではないと分析した場合、ルーターは宛先 IP を自身のルーティング テーブルに取り込み、最長一致の原則を使用します。一致しない場合は破棄します。
3. ルーティング テーブルが一致する場合、ルーティング テーブルに従って対応するインターフェイスに送信されます。このとき、第 3 層のデータ パケットは、送信する前に第 2 層のフレーム ヘッダーに圧縮する必要があります。イーサネットの場合は、次のステップが必要です。宛先 MAC はジャンプしていますが、驚くような宛先 MAC はありません。ARP リクエストを宛先 MAC に送信し、それをカプセル化し、次のルータに転送する必要があります。
従来の IP ルーティングもホップバイホップ転送です。
1.3. レイヤ 3 フォワーディングとレイヤ 2 スイッチングの違いは何ですか?
レイヤ 3 は転送と呼ばれ、転送はレイヤ 3 ヘッダー (IP) を通じて関連するテーブル エントリを検索することによって実行されます。
2 番目の層は交換と呼ばれ、2 番目の層ヘッダー (mac) 内の関連テーブル エントリの検索に基づいています。
1.4. レイヤ 2 スイッチングとレイヤ 3 転送はどちらが高速ですか?
スイッチは 0101 をフレームに直接転送するため、スイッチングは高速である必要があり、カプセル化を解除せずに 1 ステップで切り替えるだけで済みます。
ルータがカプセル化を解除すると、最初にフレームに分解し、宛先 MAC と比較し、次に IP に分解し、ルーティング テーブルを検索し、最後にテーブル エントリに従って転送し、レイヤ 2 MAC をカプセル化します。そして最後にそれを転送しますが、これは比較的リソースを大量に消費します。
つまり、2 階の方が 3 階よりも速いのです。
2. MPLSの詳しい説明
2.1. MPLS の正式名は、マルチプロトコル ラベル スイッチングです。
マルチプロトコル: IPv4、IPv6、IPX などの 3 層プロトコルのサポートを指します。
ラベルスイッチング: 伝送されるパケットの前にラベルスタックを追加し、ラベルに基づいて転送します。
2.2. MPLS カプセル化構造
MPLS データ IP ヘッダーと MAC ヘッダーの間には、データ層 2.5 プロトコルがあります。
2.3. MPLS の概要
MPLS は新しい転送メカニズムであり、MPLS ネットワーク内のラベル情報を使用してデータが転送されます。
MPLS ラベルは、IP ルーティングと CEF スイッチングに基づいています。
2.4. MPLS 原理の概要
1. ルータは IGP ルーティング プロトコルを実行し、RIB テーブルと CEF テーブルを維持します。すべてのルータは OSPF ルーティングを実行し、図のネットワーク セグメント 30.0.0.0/24 のみを参照します。
2. ルータはラベル配布プロトコル LCD を実行し、LIB テーブルを維持します。LDP は独自の近隣関係を維持し、ローカル ラベルをすべてのルーティング プレフィックスにバインドします。
図に示されているように、R3 は、ローカル ルート プレフィックス 30.0.0.0/24 をラベル 30 にバインドし、それをLDP ネイバー R2 にアドバタイズします。
R2 は、プレフィックス 30.0.0.0/24 にローカル ラベル 20 を追加し、R3 によって 30.0.0.0/24 に割り当てられたラベル 30 を自身の LIB テーブルに記録すると同時に、30.0 に割り当てられたローカル ラベル 20 をアドバタイズします。 R1まで0.0/24;
R1 が 30.0.0.0/24 に割り当てたローカルラベルは 10 で、R2 が R1 に広告したラベル情報が記録されます。
3. ルータは CEF テーブルを更新するときに、LIB テーブルと CEF テーブルで構成される LFIB テーブルも維持します。
2.5. MPLS アーキテクチャ
制御層: レイヤ 3 ルーティング情報 (OSPF/ISIS/BGP など) とラベル (LDP) を交換します。
IGP による RIB テーブルの設定
LDP はプレフィックスのラベルを埋めて LIB テーブルを形成します
制御レベルの重要なポイント:
ルーティングプロトコル
IPルーティングテーブル(RIB)
ラベル交換プロトコル(LDP)
データレベル: タグに基づいたデータの転送
制御レベルの重要なポイント:
IP フォワーディング テーブル (FIB)
ラベル転送テーブル (LFIB)
原理分析: IGP プロトコルは RIB テーブルを生成し、LDP プロトコルは LIB テーブルを生成します。その結果、LDP はルーティング プレフィックスにラベルを追加して LFIB テーブルを形成します (LDP はローカル LIB を生成し、それを近隣にアドバタイズします) LDPを介してLFIBテーブルを形成する)。
2.6. MPLS ネットワークにおけるデバイスの役割
MPLS ネットワークにおけるデバイスの役割は、さまざまなデバイスの役割を区別するためのものであり、主に次の 3 つのタイプに分類されます。
1. インバウンド LSR; (ラベル設定ルーティング)
2. アウトバウンドLSR。
3. リンク内の LSR。
上の図に基づくと、R1 は受信 LSR、R2 はリンク内の LSR、R3 は送信 LSR です。
2.7. MPLS の利点の概要
* MPLS を使用すると、IP ルーティングのホップバイホップ転送を回避し、データ パケットの詳細な分析を軽減し、ラベルの助けを借りてレイヤー 2 高速転送パスを確立できるため、事前に確立されたパスに沿ってデータを迅速に転送できます。パス;
* その後、データ パケットは MPLS ネットワークの入口ルータでレイヤ 3 ルックアップを受け、後続の LSR はレイヤ 3 情報のさらなる分析を行わずに単純なラベル交換アクションのみを実行します。
* 各 LSR は、データ転送前に LIB (Label Information Base) と LFIB (Label Forwarding Information Base) を確立する必要があります。 LSR は、ラベル付きデータ フレームを受信すると、LFIB テーブル内のデータ フレーム内のラベルを検索し、LFIB テーブルに示されている関連アクションに従って、ラベルのプッシュ、ポップ、交換、削除などのアクションを実行します。
3. MPLS VPN の詳細説明
3.1. MPLS VPN ネットワーク構造
P:(プロバイダ)オペレータネットワーク内のPE以外のオペレータネットワーク機器
PE:(プロバイダーエッジ)事業者のネットワークと顧客(ユーザー)のネットワークを接続するエッジネットワークデバイス
CE:(Customer Edge)顧客(ユーザー)ネットワークと事業者のネットワークを接続するエッジネットワークデバイス
演算子は一般的な用語であり、必ずしも 3 つの主要な演算子である必要はありません。
3.2. MPLS VPN アクセス方式
アクセス方式とは主に CE と PE 間の接続方式を指します。
1. ダイレクト リンク アクセス (直接接続) - POS/GE/FE およびその他のインターフェイスが直接接続されます。
2. VLAN TRUNK モードアクセス。
3. レイヤ 2 トンネル アクセス - L2TP/PPPoE など。
4. レイヤ 3 トンネル アクセス - GRE/IPsec など。
アクセスプロトコルはIGPまたはBGPをサポート
IGP は静的ルーティング、RIP、OSPF、ISIS などをサポートします。
BGP は EBGP をサポートします。
IGP と BGP の唯一の違いは、IGP は IPv4 ルートを MP-BGP に再配布する必要があるのに対し、EBGP には再配布機能が直接備わっている (VRF に静的に書き込まれる) ことです。
3.3. MPLS VPN の構成原理
1. MPLS VPN のネットワーク アーキテクチャは、オペレータによって完成されます。このアーキテクチャでは、オペレーターがユーザーに VPN サービスを提供し、ユーザーはオペレーターのネットワークの存在に気づきません。
2. P デバイスの場合、P デバイスは MPLS 内のデータ送信のみを担当するため、VPN の存在を認識しません。 MPLS プロトコルをサポートしている限り。
3. VPN の構築、接続、ユーザーネットワークの管理はすべて PE 上で実行されます。
4. PE の観点からユーザーのネットワーク (CE) を見てください。CE は実際にはサイトです。CE には複数のサイトを含めることができ、1 つ以上のサイトが VPN を形成します。
5. CE と CE 間の通信は、中間オペレータの PE と PE 間の VPN トンネルを介して完了します。
6. 共通のサイトを持たない 2 つの VPN は、重複するアドレス スペースを使用できます。これらはすべて PE 上の VRF に依存します。
3.4. MPLS VPN における VRF、RD、RT、MP-iBGP、vpnv4 ルーティング、デュアル ラベル (内部層と外部層)
1. VRF: 仮想ルーティング転送は、VPN ルーティングおよび転送の一例であり、独立した VRF ごとに独立したルーティング テーブルがあります。仮想化とは、ルータ上に複数のルーティングテーブルを仮想化し、各テーブルを分離するというもので、実際にはVRFインスタンスをルータとして利用できますが、実ルータ上で仮想化されています。
2. RD: アドレス競合の問題を解決するためのルート識別子 (ルート識別子)。実際には、IPv4 アドレスが PE に入った後もグローバルに一意であることを保証するために、IPv4 に 64 ビット フィールドを追加します。
3. RT: ルート ターゲットは BGP の拡張グループ属性です。エクスポート ターゲットとインポート ターゲットに分かれています。VRF ルーティング テーブルのドアとして理解できます。ルート アウトはエクスポート属性を持ち、ルート インは比較します。インポート属性。
4. MP-iBGP: PE と PE の間でルーティング情報とプライベート ネットワーク ラベルの割り当てが交換され、プライベート ネットワーク ラベルはランダムに生成されます (コントロール プレーンのプライベート ネットワーク ラベル)。
5. vpnv4 ルーティング: RD + IPv4 ルーティング = vpnv4 ルーティング。
6. ダブル ラベル: 内側ラベルと外側ラベルの両方がデータ転送レベルに配置されます。内側ラベルは主にデータ パケットがどの VRF に属するかを区別するために使用されます。外側ラベルは主にドメイン内でデータ パケットを転送するために使用されます(外部ラベルと次ホップ)。出力 PE ルーターのアドレスは密接に関連しています)。
3.5. MPLS VPN の原理 (コントロール プレーンとフォワーディング プレーン)
LDP プロトコル: PE-P と P-P の間で外部ラベルを配布し、入力 PE から出力 PE へのトンネル LSP を確立します。
MP-BGP プロトコル: 入力 PE と出力 PE は VPN ルートを交換し、VPN ラベルを確立するために使用されます。
PE: ユーザ IP パケットの受信、VPN の識別、VPN に対応する VRF テーブルの選択、VPN のネクスト ホップ出口の検索、VPN の内部ラベルの追加、ネクスト ホップ PE の出口の検索、外部ラベルの追加ラベル。
重要: MPLS トンネルには 2 つのラベル層が含まれており、外側のラベルはトンネル LSP ラベル、内側のラベルは VPN ラベルです。
ルーティング アップデート (コントロール プレーン): IGP または EBGP を使用して、CE と PE 間の純粋な IPv4 ルートをアドバタイズできます。 PE vrf がルートを受信すると、IPv4 ルートが vrf ルーティング テーブルに挿入され、IPv4 ルートが MP-BGP に再配布され、RD と RT (エクスポート) が追加されます。バックボーン ネットワーク PE と PE は MP-BGP を介して接続されます。 BGP. IBGP は、ラベルと RT を使用して vpnv4 ルートをアドバタイズします (IPv4 アドレス、ルート識別子 RD、ルート ターゲット RT、VPN ラベル、ネクストホップ PE アドレスを含む)。ピア PE に到達すると、RT (インポート) を通じて認識されます。どの VRF にルートを挿入する必要がありますか? 次に、ピア PE は RD、RT、ラベルなどの属性を削除し、ipv4 ルートをピア CE にアドバタイズします。
データ転送(データ レベル):CE ルータが VPN パケットを入力 PE ルータに転送すると、PE ルータは VPN に対応する VRF を検索し、VPN ラベルとネクストホップ出力 PE ルータのアドレスを取得します。 VPN ラベルは次のようになります 内部ラベルは VPN グループに配置されます ネクストホップ出力 PE ルータのアドレスに従って、PE ルータに配置する必要があるドメイン内ルートのラベルを見つけることができますグローバル ルーティング テーブル、つまり外側のラベルの 2 つのラベルでマークされている VPN グループでもあります。バックボーン P ルーターは、外部ラベルに基づいて VPN パケットを転送します。最後の P ルーター (PE ではなく P ルーターであることに注意してください) で、外部ラベルがポップアップし、VPN パケットには内部ラベルのみが残ります (このプロセス)これはサブラスト ポップアップ メカニズムと呼ばれます)、VPN パケットは出口 PE ルーターに送信されます。出力 PE ルータは、内部ラベルに基づいて対応する出口を見つけた後、VPN パケットの内部ラベルを削除し、ラベルのない VPN パケットを正しい CE ルータに転送します。CE ルータは、次の情報に基づいてパケットを正しいルータに転送します。独自のルーティング テーブル、宛先。
主な違い:
1. PE 上の 2 つのルーティング テーブル: VRF ルーティング テーブルとグローバル ルーティング テーブル
VRF ルーティング テーブルとグローバル ルーティング テーブルはそれぞれ PE に格納され、VRF ルーティング テーブルには VPN ルートが格納され、グローバル ルーティング テーブルにはオペレータのドメイン内ルートが格納されます。
2.外ラベル交換
すべての PE ルーターと P ルーターは、バックボーン ネットワーク (OSPF または ISIS など) のドメイン内ルーティングを実行します。生成されたルーティング テーブルは、バックボーン ネットワークでの LSP の確立をトリガーします (トポロジー駆動モード)。LSP はシグナリングを通じて確立されます。ラベル転送テーブルは、VPN パケットの外部ラベルを交換するために使用されます(つまり、データ転送中に、PE が CE からデータ パケットを受信すると、VRF はデータ パケットに内部 VPN ラベルを取得し、ネクスト ホップ出力 PE ルーターのアドレスを取得します。外部ラベルは、このアドレスに基づいて転送されます。したがって、このネクスト ホップ アドレスは、ドメイン内ルーティングと VPN ルーティングの間のリンクです)。
3.6. MPLS VPN 分析
3.6.1. MPLS VPN の実装目標
1. トンネルは PE と PE の間に確立され、ユーザーは独自の VPN トンネルを維持する必要はありません。
2. VPN トンネルの展開とルート公開は動的になります。
3.6.2. MPLS VPN によって解決される問題
1. トンネルを動的に確立する方法を提供します。
2. 異なる VPN が同じアドレス空間を共有する問題を解決します。
3.6.3. BGP を使用して VPN ルートを送信する利点
VPN ルーティング情報は PE 間で直接受け渡すことができ、P ルーターには VPN ルーティング情報が含まれません。
3.7. MPLS VPN アプリケーションのシナリオ
1. 3 つの主要な通信事業者によって構築された IP ベアラー ネットワーク: たとえば、チャイナ ユニコムの A ネットワークと B ネットワークはすべて MPLS VPN アーキテクチャを使用して、大規模な顧客サービス、固定回線伝送サービス、宝石通、ビデオ監視、114/116 ビジネス、セルフを伝送します。・運営事業、インターネット事業等
2. 大規模な OTT およびクラウド ベンダーの WAN はすべて、Alibaba Cloud の WAN などの MPLS VPN アーキテクチャを使用しています。
3. 国有企業などの政府部門は異なる業務システムを有しており、システム間のデータは相互に分離されていると同時に、各業務システム間で相互アクセスする必要があるため、MPLS VPN アーキテクチャ技術を使用してこれを実現します。隔離と相互アクセス。
4. セカンダリ ISP オペレータとセカンダリ IDC オペレータの首都圏ネットワークはすべて MPLS VPN アーキテクチャを採用しています。