2018年05月01日

昨今のDDoS攻撃の増大により、特にトラフィック量の多い通信キャリアやISP、MSSP、データセンターなど大規模回線を収容する企業では、確実かつ高精度、そして効率的なDDoS対策が必須となっています。 既存のインラインでの脅威検出とミティゲーションの構成（図1）では、ネットワークの入口（根本）に割り込ませる形での処理となり、限られたアップリンクでの対策となってしまうだけでなく、L7攻撃も網羅する必要があり、アップリンクのトラフィック量増大に柔軟に対応することが困難になっています。

図1：一般的なネットワーク監視・管理手法

すでに存在するネットワークへ追加しようとすると、当然ながらその構成に直接手を入れることとなり、トポロジの変更も必要となり、大規模な改修作業が発生します。 また、一般的なネットワークの監視手法は、PINGやHTTPレスポンスなどの死活監視、SyslogやSNMPトラップでのイベント監視、機器の性能監視とトラフィック総量監視などにより問題や事象の発見を行うことが主目的です。

DDoS攻撃等の脅威からネットワークを守るためには、

・どこからどこへのトラフィックなのか？
・誰が帯域を占有しているのか？
・どのようなアプリを使用しているか？

といった、誰が・いつ・どこで・何をしたかという「ふるまい」を検知することが必要となってきます。
こうした課題を解決するのが、ネットワークフロー分析です。

大規模回線では、ボリューム攻撃を防ぐことを優先し、多くのアップリンクと帯域を網羅する必要があるため、FlowベースでのDDoS検出と、アウトオブパスによるミティゲーションが非常に有効です。(図2）

図2：Flowmonを利用したネットワーク解析イメージ

Flowmonのプラグイン“DDoS Defender”とは

Flowmonでは、負荷が大きく精度の下がるパケットキャプチャとは異なり、送信元・送信先のIPアドレス、ポート番号、プロトコル番号の属性からパケットグループを認識し、分析することでフロー情報を生成します。このため、データ量はパケットキャプチャと比較して1/500となり、分析に必要な時間を短縮できます。プライバシーに配慮しつつ効率的で高速な分析が可能です。 このFlowmonのプラグインであるDDoS Defenderは、フロー情報に対し、 ・ルータ連携によるDDoS攻撃からの防御 ・ミティゲーションツールとの連携 ・各種装置のフローをもとに動作 ・サンプリングされたパケットでもDDoSの検出が可能 といった機能を有することで、現在のネットワーク構成を変更せずとも、ミティゲーションツールと連携することでアウトオブパス構成を実現できます。 また、PBR (Policy Based Routing)、BGP Flowspecをサポートし、BGP RTBHプロトコル（ブラックホール）も使用可能です。

A10ネットワークス社製、Thunder TPSシリーズ（以下、TPS）との連携で効率的なDDoS対策も可能

これら大規模回線の脅威対策として非常に有効なフロー分析+アウトオブパス構成は、当社のFlowmon DDos Defenderと、A10ネットワークス社のTPS連携で実現可能です。 すでに大トラフィック下での検証も終え、その有効性が認められています。 DDoS防御を行う場合、BGP Flowspecを用いて攻撃者に近いところで攻撃を止めることが望ましいですが、BGP Flowspec対応機器は高価なものが多くすべてをリプレースすることは現実的ではありません。そこで、TPSのようなミティゲーションツールを用いてDDoSトラフィックを緩和する手段や、既存のネットワーク機器でRTBH(ブラックホール)を用いてDDoSトラフィックを緩和する方法が考えられます。これらすべての手法に対しDDoS Defenderは有効であり、DDoS Defenderを使用することで、これまで管理者がDos攻撃の検知を行っていたところも自動的に攻撃を検知し、不正なトラフィックを除去することが可能となります。少ない投資と構成追加により自動化させることが可能となるため、多くのISPはすでにBGPによるルーティングの仕組みを採用しています。

関連ページ

■製品紹介
Flowmon DDoS Defender（プラグイン/オプション）

Flowmon製品に関する
お問い合わせはこちらからどうぞ

フローを使ったネットワークログ分析ではここまでできる！

フロー分析技術を活用したファイルサーバのレスポンス悪化の原因調査

インターネットの利用状況調査

フロー分析技術（NetFlow）を活用した定期分析レポート

標的型攻撃および情報漏洩対策

関連ページ

■製品紹介
Flowmon コレクタ

Flowmon製品に関する
お問い合わせはこちらからどうぞ

Flowmonによるフローセキュリティのススメ

ここでは、見落としがちな不正アクセス対策のポイントと、フローセキュリティによる振る舞い検知を活用した、
セキュリティリスクの解消方法について解説いたします。

日本は不正アクセス天国？

昨今、日本では、企業のサイトやサービスを狙った不正アクセス・情報漏洩などといったセキュリティ事件の発生が後を絶ちません。
また、こうしたセキュリティ事件の被害を受けたといわれる企業名のリストを眺めてみますと、
そこには日本を代表するような組織や団体が数多く含まれており、今やどんな企業であっても、
「うちは大丈夫！」と胸を張って言えるところは少ないのではないかとさえ思えます。
実際のところ、ほとんどの企業では、頻発する他社のセキュリティ事件に戦々恐々としては、
「明日は我が身」とばかりに、不正アクセスや情報漏洩対策に躍起となっているのではないでしょうか。

セキュリティ事故の発生要因

このタイプの攻撃は、巧妙すぎるために、ユーザが攻撃を受けていることに全く気がつかなかったり、ファイアウォールやアンチウイルスソフト、IPS/IDSなどといったセキュリティ製品では検知できなかったりするのです。（※1）

信じる者は救われる？ 過信は禁物？

では、こうした従来のセキュリティ製品は、現在におけるセキュリティ対策として、まったく意味のない
ものになってしてしまったのでしょうか？
いいえ、そうではありません。ファイアウォールやIPS/IDS、アンチウイルスは今でも大変有効であり、
現在においても第一に導入すべき対策です。
しかし、それらの機能にもう一つの要素を加えることで、格段にセキュリティレベルを押し上げることが出来るようになります。
それが、防犯カメラ的セキュリティ要素です。
実は日本のネットワークシステムのセキュリティ対策は、この防犯カメラ的セキュリティ要素の部分が
すっぽり抜け落ちてしまって、不完全な状態となってしまっている残念なケースが大変多いのです。

以下のネットワークセキュリティ対策における３大要素では、ファイアウォールやIPS/IDSを、外部からの攻撃を水際で防ぐ「境界セキュリティ」としてとらえ、アンチウイルス対策やアプリケーションの脆弱性
対策をサーバ/クライアント側の「エンドポイントセキュリティ」としてとらえています。
その上で、ネットワーク全体のセキュリティを強化するために、さらにもう一つの防犯カメラ的要素である「LANの可視化（フローセキュリティ）」をも加えることを提唱しています。

フローセキュリティによる振る舞い検知

ネットワークにおける防犯カメラはなぜ有効か？
防犯カメラの犯罪抑止効果は良く知られていますが、同様の効果がLANの可視化で得られます。
NetFlowなどのフロー統計技術を活用したフロー解析を行うことで、ネットワーク上で、
誰が・いつ・どこで・何をしたかを監視することが可能になり、ユーザの不用意な行動（不審なサイト、
外部IPアドレスへのアクセスやP2P通信、ファイル共有、違反行為）を抑制できます。
また、ファイアウォールやIPS/IDSの内側から発信される攻撃やワームの発見、望ましくないユーザの
振る舞い、ネットワーク障害などといったことを簡単に検知できるため、内部乗っ取りによる攻撃にも
効果を発揮します。
さらに、情報漏洩の予兆的な動きを検知することで、操られた不審ホストを特定し、そのホストが重要な
情報にたどり着きセキュリティ事故が発生する前に（※2）、そのホストをネットワークから切り離すこともできます（検疫状態）。
さらには、フローによる通信ログを残すことで、情報漏洩や不正アクセス事故発生時の証跡確認・照合にも利用でき、痕跡を残さないタイプの不正アクセスがあった際にも、被害範囲の特定や手口の分析にも活用
することができます。

Flowmon ADS（Anomaly Detection System）によるフローセキュリティとは

NetFlow技術をベースにしたフロー統計情報の定常的な評価および汎用的な振る舞いリストとの
比較により、ネットワーク上の異常や望ましくない動きをいち早く検出し、乗っ取りや不正アクセスの
兆候を知らせます。
そうすることにより、ファイアウォールやIPS/IDSで守られたネットワーク内部のセキュリティをさらに強化することが可能です。

SIEM（セキュリティ情報イベント管理）システムとの連携も

また、Flowmon ADSやコレクタで検知したアラートを、社内のSIEM（セキュリティ情報イベント管理）システムに飛ばすことで、これまで見落としがちだった、各ネットワークの監視モニタ的視点を、セキュリティ監視ポイントの一部として取り込み、より充実したSIEMシステムを構築することも可能です。

ますます巧妙になってくる昨今のサイバー攻撃を100%完璧に防ぐことは難しいかもしれません。
しかし、完璧ではなくても、100%に近づけるように努力することは出来ます。
また、万一事故が発生してしまった際に、被害を最小限にとどめることや、事故後の対応・調査を
スピーディーに行い、信頼をいち早く回復させる道筋を、あらかじめ用意しておくことも可能です。
フローセキュリティは、そうした企業・団体側のセキュリティに対する真剣な取り組みを、強力に
支援することのできる技術なのです。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

～いつ・誰が・どこで・何をしたのか～

ここでは、NetFlowとは何か、また、NetFlow（フロー計測の業界標準フォーマット）を利用した
ネットワーク監視・分析にはどういったメリットがあるのかをご説明いたします。

NetFlow（ネットフロー）によるネットワークトラフィック監視

NetFlowとは、米シスコシステムズ（Cisco Systems,INC.）が開発した、ネットワークのトラフィックの
情報を監視・分析するための技術です。
主にシスコ製のルーターやスイッチに実装されていますが、現在では、フロー計測における業界の標準と
なりつつあり、多くのベンダーのネットワーク機器でサポートされるようになっています。
NetFlowなどのフロー情報を分析することで、操作上またはセキュリティ上の問題を明らかにし、
外部または内部のネットワークセキュリティを強固にします。

ネットワークにおけるフローおよびフロー計測とは

ネットワークトラフィック分析におけるフローとは、ネットワーク上を流れる共通の属性をもった
パケットグループのようなものです。
たとえば、送信元／送信先IPアドレス、送信元／送信先ポート番号、プロトコル番号などの属性が
共通であれば、そのパケットは同一のフローとしてみなされます。
わかりやすい例では、あるユーザがサーバにファイルをアップロードしたとしますと、その場合の処理は
1フローとして見なされます（パケット単位でみると、共通の属性をもった複数のパケットの
あつまりになります）。
このフロー情報を解析することで、ユーザやアプリケーション単位でのトラフィックの監視・分析が
可能となるのです。

従来のトラフィック分析との違い（SNMPとNetFlowとパケットキャプチャ）

従来からあるネットワークトラフィックの分析では、SNMP(Simple Network Management Protocol)によるインターフェース単位のトラフィック総量を計測するのが主流でした。
しかし、近年、ネットワーク使用目的の多様化・複雑化、さらにはセキュリティに対する関心の高まり
から、インターフェース単位のトラフィック総量だけではなく、ユーザやアプリケーション単位での
トラフィックや振る舞いを、監視・分析したいという要望が高まってきました。
NetFlowを利用した解析では、フロー単位でネットワークトラフィックの状況を把握することが
可能なため、ネットワーク内部の振る舞いを可視化できる技術として注目を集めています。
SNMP以外にも、ネットワークのトラフィックを解析する手法として、パケットキャプチャがあります。
パケットキャプチャによる解析は、ネットワーク上に流れるパケットのヘッダ情報だけでなく、
ペイロード（実データ）部分ごと取り込んで（キャプチャして）、トラフィックを解析します。
パケットキャプチャによる解析では、流れるパケットの内容を、すべて把握することができるため、
詳細な分析が可能です。
しかし、データ量があまりにも膨大になるため、大規模・大容量のネットワークトラフィックを
リアルタイムで監視・分析するのには不向きと言われています。
また、分析者が実際のデータ（通信やメールの内容）を参照することになるため、プライバシー上
問題になるケースもあります。
とくにISPやASP事業者では、顧客のプライバシーを侵害する恐れがあり、利用するには十分な注意が
必要です。
その点、NetFlowによるトラフィック分析は、実データを取り込むわけではないので、
大規模・大容量のトラフィックにも対応した効率的で高速なトラフィック解析が可能で、かつ、
顧客のプライバシーにも配慮した理想的な手法といえます。

どのように活用する？

フロー分析を行うことで、ユーザ単位・ネットワーク単位（レンジやサブネット単位）・アプリケーション単位・プロトコル単位で、現在のネットワーク帯域使用の問題点や改善すべき点をピンポイントで把握することができます。そのため、効率的で効果的なネットワークの問題解決およびキャパシティプランニングに活用できます。

また、ネットワークフローの通信ログを残すことで、ネットワーク内部の各フローの振る舞いを完全に把握することができ、情報漏洩（漏えい）や流出時の通信ログの証跡確認にも利用できます。
さらに、誰が・いつ・どこで・何をしたかを把握することができるため、社内ネットワークの規律保持にも活用できます。（Flowmonでは、フローのサンプリング（間引き）設定を行う必要がなく、すべての通信ログを保持することが可能です。）

その他にも、フロー分析技術を活用することで、ネットワーク上で望ましくない振る舞いをしている
ユーザや機器、アプリケーションを特定することができます。
たとえば、特定の送信先に対する大量の接続要求がみられたり、通常使用されないマルチキャスト送信が
頻繁に行われていたりする場合などは、DoS(Denial of Service)攻撃、DDoS(Distributed Denial of Service)攻撃、ポートスキャン攻撃などの不正な行いを疑うことができます。（Flowmonでは、Flowmon ADSプラグインを使用して、こうした振る舞い検知を実現しています。）

関連ページ

■製品紹介
Flowmon コレクタ

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年09月01日

Flowmon ADSを利用するメリット1：脅威の検出

脅威の検出

それでは、ADSを適用していた場合はどうでしょう。
ADSは、52種類の方法により通信フローを分析し、通常と異なる振る舞い、急に大量のデータを
ダウンロードする、P2Pなどの危険なプロトコルを使用するなどの事象を検知すると、
管理者に通知します。
ADSが提供している検出の種類とその内容については、「Flowmon ADSのセキュリティ検出機能」を
ご確認ください。

先日の事件のような、大量の個人情報をダウンロードする、などの日頃と異なったパターンの通信量があると、Flowmon ADSは何らかの脅威の可能性があるとみなし、報告します。
また、サーバへのアクセスの監視をブラックリストにて監視することも可能で、警戒を要する人物からアクセスが有った場合も報告します。

Flowmonによる振る舞いをネットワーク側で監視をしていれば、ダウンロードなど通常と異なる通信パターンを検知し報告することが可能であり、いつも行動が監視されているということは抑止効果としても有効です。
コレクタ/ADSは全ての通信ログを保持しており、誰が、何時、何処にアクセスしたかの全ての通信ログを記録しています。
従って、犯罪が起きた場合、この通信ログを解析することで、犯罪の解決を速やかに行うことが出来ます。

Flowmon ADSを利用するメリット2：事象の分析

詳細な分析機能

セキュリティ管理者に犯罪の恐れが通知されると、管理者はこれを解析しなくてはなりません。
直接通信ログを人手して解析することは、人海戦術でも困難です。

ADSは強力な分析機能を提供しており、その事象が脅威か否かを容易に判断できます。
例えば、通信相手の相関図およびそのデータ量が表示できますので、本来通信相手で無い相手や他のPCとの通信、踏み台の可能性、等の疑わしい通信を簡単に分析することが出来ます。

図3は、疑わしいIPアドレスの通信の相関図を表示する機能で、誰との通信が行われ通信量はどの位かを示しています。
これは、直接の相手だけでなくその先の相手も表示するので、踏み台などの分析が可能です。

また、事象の通信のプロファイルの表示により、過去の履歴、送受信データの種別・量、アクセスしたホスト履歴・頻度、などの振る舞いが表示され、各図の右下の眼鏡ボタンをクリックすることで更に詳細な分析ができます。図4にプロファイルのサマリーを示します。

某社のケースでは、何時、誰とどの位のデータの遣り取りが有ったか、の確認が重要です。
ADSの事象詳細を利用することにより、直感的に通信相手・データ量を確認することができます。
図5のように、図の通信量のグラフをクリックすることで、該当する通信リストが下部のリストに表示され、通信相手を絞り込むことが可能です。

Flowmon ADSで提供されるツール

Flowmon ADSは、これ以外に以下のドロップダウンリストに示す様な様々なツールがサポートされており、解析を強力にサポートします。

パケットキャプチャ機能

更にFlowmonではパケットキャプチャの機能もサポートしていますので、疑わしい利用者については、
その利用者の送受信パケットを全て記録することが可能で、実際にやり取りしているデータ、
メールの内容、ファイルの内容などを確認することが出来ますので、より的確に犯罪を特定することが
可能です。

まとめ

IBM社の調査によると、盗難に遭ったレコード1 件当たりに支われた平均コストは、日本では$127
（約12,700円）と、かなり高額です
（「2014 年情報漏えいのコストに関する調査：グローバルな分析」より抜粋）
某社の情報漏洩に関わる損失は、1,000億円以上と見積られ、一人の不正な操作から大きなダメージを与えた重大な事件と言えるでしょう。
企業の情報管理において、Flowmonなどの監視・解析の仕組みを導入し、事故を起さない環境を作ることが今後重要です。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年09月01日

某社の情報漏洩は内部の犯罪であり、今回のケースでは、外部との間の境界防衛であるファイアウォール、IPS、IDS等、ウィルス検査も内部の犯罪には役に立ちません。
内部の犯罪の実態は隠ぺいされ公開されていないのが現実ですが、内部犯罪と外部犯罪の比率は、7：3から8：2と非常に多いと言われています。
ファイアウォール、ウィルス対策に加えて、内部の犯罪の防止対策が望まれていますが、内部の犯罪防止策は
ほとんど施されていないことが現状だと言えるでしょう。

「監視」の重要性

一般的にセキュリティを高める上では「分離」「監視」「権限管理」の側面から検討する必要があります。

分離

通信ログ、サーバ、ファイアウォールなどのアクセス監視などを行うことにより、攻撃を速やかに発見することです。

監視

重要なデータを物理的、論理的に分離することで、物理的には指紋認証などを使用し入室できる人を
制限したり、ゲートウェイなどによりアクセスできる利用者を権限を持った人に制限したりすることです。

権限管理

情報へのアクセスを役割に応じて権限を設定し、アクセス出来るレベル、範囲を制限することで、
認証および分離などと連携します。

上記で挙げた中で、内部の犯罪に対処する上では、監視が非常に重要になります。

監視するには一般的にサーバのアクセスログ、通信ログの分析が必要となりますが、アクセスログ、
通信ログなどの情報は大量に出力されることから、人海戦術にてこの情報を監査し事前に不正や脅威をチェックするにはかなりのスキルと時間が必要となります。
また、アクセスログ、通信ログにはセキュリティレベルの高い情報が含まれることから、権限の低い人が
分析することは避けなくてはなりません。
この事が一層監視を難しくしています。

ここで紹介するFlowmon ADS（注）は、NetFlowを利用した通信ログを監視する装置であり、
内部の犯罪監視の有力なツールです。
ADSは、個々の利用者・サーバ毎の通信傾向を学習し、通信相手、通信量、アプリケーションなどを
把握します。
この通信傾向が通常と大きく異なることを察知すると、不正の恐れがあると見做し通知します。
セキュリティ管理者は、これが通常の使用なのか、不正の恐れがあるのかを、ADSのセキュリティ解析
機能を使用することにより判断します。

関連ページ

■製品紹介
Flowmon ADS（プラグイン/オプション)

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年08月04日

2015年11月20日

エッジネットワークの動作

PEルータの利用者インタフェース部は、利用者個々のルーティングテーブルの管理、VPNの管理、遠隔地の
利用者情報の管理、遠隔地の利用者間のデータ送受信を行います。
このためPEルータは利用者毎にVRF(VPN routing and forwarding table)を設定し管理します。

RDはタイプフィールド2バイト、Administratorフィールドおよび任意フィールドより構成されており、Administratorフィールドおよび任意フィールド長はタイプの値により決まります。
タイプの値が0ではAdministratorフィールド2バイト、任意フィールドは4バイトで、
AdministratorフィールドにはAS番号（原則グローバルAS番号）、任意フィールドは企業の管理者が
一意になるように値を割り振ります。
タイプの値が1ではAdministratorフィールド4バイト、任意フィールドは2バイトで、Administrator
フィールドにはIPv4アドレス（原則グローバルアドレス）、任意フィールドは企業の管理者が一意に
なるように値を割り振ります。
値が2ではAdministratorフィールド4バイト、任意フィールドは2バイトで、Administratorフィールドには
拡張AS番号(4バイト)、任意フィールドは企業の管理者が一意になるように値を割り振ります。
以下で、エッジネットワークの動作を説明します。

(1) 利用者ネットワークとの接続

PE ルータは、OSPF、RIP、STATICその他、利用者独自のルーティングプロトコルで利用者CEと経路情報（これをPrefixと呼びます）を交換します。
この経路情報は、コアネットワークのルーティングテーブルとは別の、利用者毎のVRF上に保存します。 図-4に利用者VPNの構成を示します。

PEは、受信した利用者の経路にLabelをアサインします。
これをVPN LabelまたはBottom Labelと呼びます。
これは、PEが利用者個々のVPNを識別するのに使用します。
このVPN Labelの値は、一般的にPrefix（経路情報）毎にアサインされます。
VPN LabelおよびコアネットワークTop Labelは、PE内で一意になるように指定されます。（図-5参照）

なお、図-5では判り易くするため、VPN Labelを1000番からアサインしていますが、
実際には、MPLSのTop Labelと区別せずに各ノードが順番にアサインします。

(2) BGPによるVPN Labelの配布

利用者のPrefix（経路情報）はコアネットワークのプロトコルとは独立した、BGPプロトコルを利用してPE間で交換されます。
このためBGPにNLRI(network layer reachability information )フィールドが追加され、RD、VPN Label、Next HopなどのVPN情報が送れるように機能拡張され、RFC2283とし標準化されました。これをMP-BGP（MultiProtcol-BGP）と呼びます。
MP-BGPセッションは、通常、全てのPE間にメッシュ状に接続します。
このため、PEが多くなると多大のセッションが必要となります。
これを避けるため、RR（Reference Router）を使用することにより、PEはRRと一つのセッションで接続することで全PEと通信することができます。

PEルータは、MP-BGPプロトコルのNLRI(network layer reachability information ) を利用して、自分の利用者情報を全PEルータに送信します。
図-4参照。図のMP-BGPは、i-BGP（internal-BGP）による構成となります。

なお、PルータはBGPには関与しません。
また、MP-BGPの通信はLSPを介して行われますので、MP-BGPの通信に先だって、PE間にLSPを設定しておくことが必要です。
これによりPEルータは、全PEの利用者の情報、Prefix、RD、VPN Labelなどを入手しRD Mapping Tableを生成します。表-4にPE(1)のRD Mapping Tableを示します。

また、PEは利用者から新しい経路情報（Prefix）を受信すると、同様にVPN Labelをアサインし、MP-BGPプロトコルにより全PEルータに通知します。

(3) CEへの経路の通知

PEはリモートからMP-BGPのNLRIにより経路情報（Prefix）を受信すると、RD Mapping Tableを更新すると同時に利用者固有のルーティングプロトコルを使用してCEに通知します。CEはリモートの経路情報（Prefix）をルーティングテーブルに反映します。
これにより利用者は、遠隔地の宛先との通信が可能となります。 図-6に経路情報通知の流れを示します。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年08月04日

2015年11月20日

データの送受信

(1) データの送信

PEは利用者からデータを受信すると、送信データの宛先IPアドレスおよびマスクよりPrefixを抽出し、RD Mapping Tableを参照します。
RD Mapping TableよりPrefixのVPN LabelおよびBGPの宛先PE （Next Hopアドレス）を識別します。
この宛先PE向けのLSPは「LFIB、表-3を参照」より入手します。
PEは、VPN Label(Bottom Label)、LSPのLabel(Top Label)のシムヘッダーを生成しパケットに挿入し、コアネットワークに渡します。
コアネットワークは、シムヘッダーのTop Labelを参照し、宛先P/PEに転送します。この際、Top Labelは、Outgoing Labelに置き換えられます。
Bottom Labelは、MPLS交換には使用されず、宛先PEがVPNの識別に使用します。

図-7ではPE(1)の利用者“A”（RD:100:1000）のIP：10.1.1.1から10.2.1.1へ、および
PE(3)利用者“B ”（RD:100:2000）のIP：172.16. 3.1から172.16. 1.1にデータを送信する
ケースについて示しています。
PE(1)は、利用者“A”から宛先アドレス10.2.1.1を受信すると、Prefix：10.2.0.0/16および
RD Mapping TableからVPN番号（1001）および宛先PEルータ（192.168.10.3）を識別します。
また、宛先PEアドレス（192.168.10.3）からLFIBのOutgoing Label（17）を識別し、
これらをシムヘッダーとして利用者データに付加しパケットをNext Hopに転送します。
以降、各コアネットワーク内のルータはLSPに沿ってパケットを転送します。
PE(4)も同様に、Bottom LabelおよびTop Labelを挿入し、パケットを送信します。
この場合は、Top Labelは削除され、Bottom Labelのみのパケットとなります。

(2) データの受信

受信側のPEは、受信したデータのBottom LabelおよびRD Mapping Tableを参照し、RD、VRFおよび利用者を識別します。
また、VRFのルーティング情報により、利用者の送信インタフェースおよび宛先を識別し、データをCEルータに送信します。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年08月04日

2015年11月20日

コアネットワークの動作

(1) 最適経路の構成

コアネットワークのP/PEルータは、まず、通常のルーティングプロトコルによりコアネットワーク内のルータ間（CEルータは関与しません）で経路情報を交換し、この経路情報と他の、STATICルートなどを
配慮し、最適のルーティングテーブル(FIB：Forward Information Base)を構成します。
表-1にPE(1)のルーティングテーブルを示します。 利用者は一般的にプライベートアドレスを使用しておりIPアドレスは他の利用者と重複しています。このままでは、VPN上で利用者個々のIPを一意に識別することができません。これを解決するためBGP/MPLSでは、利用者個々に8バイト長の識別子RD（Route Distinguisher）を付与し、利用者の経路が個々に識別できるようにしています。

(2) MPLS Labelの設定・配布

次に各ルータは、ルーティングテーブルの個々の経路にMPLSのLabelを付与し（これをLocal LabelまたはInput Labelと呼ぶ）、このLabel情報を全隣接ルータにLDPプロトコルにより配布します。
各ルータは、受信したLabel(Output Labelと呼ぶ)により、経路毎にLocal Label、隣接ルータから
送られてきたLabelを集約しLabelテーブル(LIB：Label Information Base)を生成します。
コアネットワークは、新しい経路を検出すると、前述と同様にLabelを新規にアサインし全隣接ルータに
通知します。
表-1にPE(1)のLabelテーブルを示します。

(3) LSP（Label Switching Path）の構成

その後、各ルータは表-2のLabel Information Baseおよび表-1で作成したルーティングテーブルを
参照し、経路毎に最適なNext Hopの隣接ルータを選択します。
そのNext HopルータのLabelをOutgoing Labelとして、Label転送テーブル、LFIB（label forwarding information base）を生成します。
表では直接接続は除きます。
表-3にPE(1)のLFIBテーブルを示します。

コアネットワークは受信パケットのTop LabelとLFIBのInput Labelを照合し、合致したNext Hopの宛先に高速にスイッチします。
この時、LabelはOutgoing Labelに付け替えます。
表で「(Pop Label)」の表示がある宛先にはTop Labelを外して送信します。
これは全てのルータ上で行われます。この様に、MPLSを使ってできた仮想的なパスを「LSP」（label switching path：Label交換パス）と呼びます。
コアネットワーク内には、経路毎に仮想的なパス、LSP（Label Switch Path）、が構成され高速な
仮想スイッチ網が形成されます。
LSP(A)およびLSP(B)のパスを表-3および図-3に示します。

なお、LSPは片方向のパスなので、送受信を行う為には逆方向のLSP設定が必要です。
従って、LSP(A)、LSP(B)の逆方向のパス、PE(2)⇒PE(1)およびPE(4)⇒PE(1)のLSPも
同様に構成されます。
これによりPE(1)とPE(2)およびPE(1)とPE(3)間の送受信パスが形成されます。

Flowmon製品に関する
お問い合わせはこちらからどうぞ

2014年08月04日

2015年11月20日

BGP/MPLS VPNの構成

現在、国内のキャリア/プロバイダは各種のVPNサービスを提供しています。
VPNサービスにはBGP/MPLS VPN、MPLS VPN、L2TP 、GRE、IPsec、などが使用されておりますが、BGP/MPLSを使用したVPNサービスが主流となって来ています。
今回は、このBGP/MPLS VPNの概要について説明します。

BGP/MPLS VPNには各種のバリエーション、レイヤ2 VPN、QoSなどの帯域制御を配慮した方式、
階層構成のMPLS網を使用した方式、などが有りますが、ここではEthernetネットワーク利用の最も単純で
一般的なレイヤ3 VPNの方式について説明します。

BGP/MPLS VPNは、大きく２つの部分より構成されています。
一つは、基幹部を構成するコアネットワーク（MPLSネットワーク）、図-1の緑の部分、二つ目は、利用者を接続するエッジネットワーク、図-1の黄色の部分です。
コアネットワークは、P（Provider）ルータおよびPE（Provider Edge）ルータより構成されます。
エッジネットワークは、利用者のCE（Customer Edge）およびPEルータの利用者インタフェース部より
構成されます。
尚、PEルータはコアネットワークの機能(Pルータと同等機能）とエッジネットワークの利用者インタフェース機能を合わせ持っています。

コアネットワーク

コアネットワークは、通常のルーティングプロトコル(IS/IS、OSPF、Static、その他)、MPLSプロトコル
およびLabel配布プロトコル（LDP/TDP）で制御されます。
コアネットワークはエッジネットワークのIPアドレス構成、VLAN構成などの環境には依存しない構成と
なっています。
ルーティングプロトコルは、コアネットワーク内のP/PEルータ間で経路情報を交換し、最適なルートを
構成します。

Label配布プロトコルLDP（Label Distribution Protocol）、CR-LDP(constraint-based routing label distribution protocol)、RSVP-TE(RSVP Traffic Engineering)、などは、P/PEルータ相互間でLabel情報の
交換を行うプロトコルです。
ここでは、LDPプロトコルを使用した場合について説明します。

MPLSプロトコルは、Ethernetパケット内に「Label」と呼ばれる20ビットの識別子（実際のLabelの長さは
制御情報が付加され32ビット長）を挿入し、入出力の情報を管理します。
P/PEルータは、ルーティングテーブルでは無くこのMPLS Label情報に基づきパケットを高速に交換します。
Labelは、シムヘッダーと呼ばれMPLS固有のヘッダーの形でパケットの第2層ヘッダー（Ethernet）と
第3層ヘッダー（IP）の間に挿入されます。
シムヘッダーは，多重構造を取ることが出来、これをLabelスタックと呼びます。
複数のLabelは目的に応じて使用されます。

BGP/MPLS VPNでは、一番目のLabelをコアネットワークのMPLS交換（これをTop Labelと呼びます）に
使用され、２番目のLabelをエッジネットワークの利用者VPNの識別（これをBottom Labelと呼びます）に
使用します。
図-2 では、MP-BGPのLabelの構成を示します。

次頁で、コアネットワークの動作について説明します。

Flowmon製品に関する
お問い合わせはこちらからどうぞ