コラム

BGP/MPLS VPNの仕組みとMPLSコアネットワークの帯域監視(4/4)

BGP/MPLS VPNの仕組みとMPLSコアネットワークの
帯域監視(4/4)

2014年08月04日

2015年11月20日

今回の講義では、「BGP/MPLS VPNの仕組み」および「MPLSコアネットワークの帯域監視」について紹介します。

データの送受信

(1) データの送信

PEは利用者からデータを受信すると、送信データの宛先IPアドレスおよびマスクよりPrefixを抽出し、RD Mapping Tableを参照します。
RD Mapping TableよりPrefixのVPN LabelおよびBGPの宛先PE （Next Hopアドレス）を識別します。
この宛先PE向けのLSPは「LFIB、表-3を参照」より入手します。
PEは、VPN Label(Bottom Label)、LSPのLabel(Top Label)のシムヘッダーを生成しパケットに挿入し、コアネットワークに渡します。
コアネットワークは、シムヘッダーのTop Labelを参照し、宛先P/PEに転送します。この際、Top Labelは、Outgoing Labelに置き換えられます。
Bottom Labelは、MPLS交換には使用されず、宛先PEがVPNの識別に使用します。

図-7 利用者データの送受信

図-7ではPE(1)の利用者“A”（RD:100:1000）のIP：10.1.1.1から10.2.1.1へ、および
PE(3)利用者“B ”（RD:100:2000）のIP：172.16. 3.1から172.16. 1.1にデータを送信する
ケースについて示しています。
PE(1)は、利用者“A”から宛先アドレス10.2.1.1を受信すると、Prefix：10.2.0.0/16および
RD Mapping TableからVPN番号（1001）および宛先PEルータ（192.168.10.3）を識別します。
また、宛先PEアドレス（192.168.10.3）からLFIBのOutgoing Label（17）を識別し、
これらをシムヘッダーとして利用者データに付加しパケットをNext Hopに転送します。
以降、各コアネットワーク内のルータはLSPに沿ってパケットを転送します。
PE(4)も同様に、Bottom LabelおよびTop Labelを挿入し、パケットを送信します。
この場合は、Top Labelは削除され、Bottom Labelのみのパケットとなります。

(2) データの受信

受信側のPEは、受信したデータのBottom LabelおよびRD Mapping Tableを参照し、RD、VRFおよび利用者を識別します。
また、VRFのルーティング情報により、利用者の送信インタフェースおよび宛先を識別し、データをCEルータに送信します。

1 2 3 4

Flowmon製品に関する
お問い合わせはこちらからどうぞ

お見積依頼、お問い合わせはこちらからどうぞ
03-6205-6082
平日AM9:00～17:30（土日、祝祭日、年末年始、および弊社が定める定休日を除く）

お問い合わせフォーム

BGP/MPLS VPNの仕組みとMPLSコアネットワークの帯域監視(2/4)

BGP/MPLS VPNの仕組みとMPLSコアネットワークの
帯域監視(2/4)

2014年08月04日

2015年11月20日

今回の講義では、「BGP/MPLS VPNの仕組み」および「MPLSコアネットワークの帯域監視」について紹介します。

コアネットワークの動作

(1) 最適経路の構成

コアネットワークのP/PEルータは、まず、通常のルーティングプロトコルによりコアネットワーク内のルータ間（CEルータは関与しません）で経路情報を交換し、この経路情報と他の、STATICルートなどを
配慮し、最適のルーティングテーブル(FIB：Forward Information Base)を構成します。
表-1にPE(1)のルーティングテーブルを示します。利用者は一般的にプライベートアドレスを使用しておりIPアドレスは他の利用者と重複しています。このままでは、VPN上で利用者個々のIPを一意に識別することができません。これを解決するためBGP/MPLSでは、利用者個々に8バイト長の識別子RD（Route Distinguisher）を付与し、利用者の経路が個々に識別できるようにしています。

表-1 PE(1)のルーティングテーブル（FIB）

このルーティングテーブルは、Labelを持たないパケットの交換およびMPLS網の最適経路の選択に使用されます。

(2) MPLS Labelの設定・配布

次に各ルータは、ルーティングテーブルの個々の経路にMPLSのLabelを付与し（これをLocal LabelまたはInput Labelと呼ぶ）、このLabel情報を全隣接ルータにLDPプロトコルにより配布します。
各ルータは、受信したLabel(Output Labelと呼ぶ)により、経路毎にLocal Label、隣接ルータから
送られてきたLabelを集約しLabelテーブル(LIB：Label Information Base)を生成します。
コアネットワークは、新しい経路を検出すると、前述と同様にLabelを新規にアサインし全隣接ルータに
通知します。
表-1にPE(1)のLabelテーブルを示します。

表-2 PE(1)のLabelテーブル(LIB)

青色部分は、(1)のルーティングテーブルの最適な宛先を示します。

(3) LSP（Label Switching Path）の構成

その後、各ルータは表-2のLabel Information Baseおよび表-1で作成したルーティングテーブルを
参照し、経路毎に最適なNext Hopの隣接ルータを選択します。
そのNext HopルータのLabelをOutgoing Labelとして、Label転送テーブル、LFIB（label forwarding information base）を生成します。
表では直接接続は除きます。
表-3にPE(1)のLFIBテーブルを示します。

表-3　PE(1)のLFIBテーブル

(Pop Label)はLDPプロトコルにより通知され、当該経路を自分が保持しているので、
Outgoing Labelの付加が不要であることを指示します。

コアネットワークは受信パケットのTop LabelとLFIBのInput Labelを照合し、合致したNext Hopの宛先に高速にスイッチします。
この時、LabelはOutgoing Labelに付け替えます。
表で「(Pop Label)」の表示がある宛先にはTop Labelを外して送信します。
これは全てのルータ上で行われます。この様に、MPLSを使ってできた仮想的なパスを「LSP」（label switching path：Label交換パス）と呼びます。
コアネットワーク内には、経路毎に仮想的なパス、LSP（Label Switch Path）、が構成され高速な
仮想スイッチ網が形成されます。
LSP(A)およびLSP(B)のパスを表-3および図-3に示します。

図-3　LSPの構成

なお、LSPは片方向のパスなので、送受信を行う為には逆方向のLSP設定が必要です。
従って、LSP(A)、LSP(B)の逆方向のパス、PE(2)⇒PE(1)およびPE(4)⇒PE(1)のLSPも
同様に構成されます。
これによりPE(1)とPE(2)およびPE(1)とPE(3)間の送受信パスが形成されます。

1 2 3 4

Flowmon製品に関する
お問い合わせはこちらからどうぞ

お見積依頼、お問い合わせはこちらからどうぞ
03-6205-6082
平日AM9:00～17:30（土日、祝祭日、年末年始、および弊社が定める定休日を除く）

お問い合わせフォーム

BGP/MPLS VPNの仕組みとMPLSコアネットワークの帯域監視(1/4)

BGP/MPLS VPNの仕組みとMPLSコアネットワークの
帯域監視(1/4)

2014年08月04日

2015年11月20日

今回の講義では、「BGP/MPLS VPNの仕組み」および「MPLSコアネットワークの帯域監視」について紹介します。

BGP/MPLS VPNの構成

現在、国内のキャリア/プロバイダは各種のVPNサービスを提供しています。
VPNサービスにはBGP/MPLS VPN、MPLS VPN、L2TP 、GRE、IPsec、などが使用されておりますが、BGP/MPLSを使用したVPNサービスが主流となって来ています。
今回は、このBGP/MPLS VPNの概要について説明します。

BGP/MPLS VPNには各種のバリエーション、レイヤ2 VPN、QoSなどの帯域制御を配慮した方式、
階層構成のMPLS網を使用した方式、などが有りますが、ここではEthernetネットワーク利用の最も単純で
一般的なレイヤ3 VPNの方式について説明します。

図-1　VPNネットワークの構成

BGP/MPLS VPNは、大きく２つの部分より構成されています。
一つは、基幹部を構成するコアネットワーク（MPLSネットワーク）、図-1の緑の部分、二つ目は、利用者を接続するエッジネットワーク、図-1の黄色の部分です。
コアネットワークは、P（Provider）ルータおよびPE（Provider Edge）ルータより構成されます。
エッジネットワークは、利用者のCE（Customer Edge）およびPEルータの利用者インタフェース部より
構成されます。
尚、PEルータはコアネットワークの機能(Pルータと同等機能）とエッジネットワークの利用者インタフェース機能を合わせ持っています。

コアネットワーク

コアネットワークは、通常のルーティングプロトコル(IS/IS、OSPF、Static、その他)、MPLSプロトコル
およびLabel配布プロトコル（LDP/TDP）で制御されます。
コアネットワークはエッジネットワークのIPアドレス構成、VLAN構成などの環境には依存しない構成と
なっています。
ルーティングプロトコルは、コアネットワーク内のP/PEルータ間で経路情報を交換し、最適なルートを
構成します。

Label配布プロトコルLDP（Label Distribution Protocol）、CR-LDP(constraint-based routing label distribution protocol)、RSVP-TE(RSVP Traffic Engineering)、などは、P/PEルータ相互間でLabel情報の
交換を行うプロトコルです。
ここでは、LDPプロトコルを使用した場合について説明します。

MPLSプロトコルは、Ethernetパケット内に「Label」と呼ばれる20ビットの識別子（実際のLabelの長さは
制御情報が付加され32ビット長）を挿入し、入出力の情報を管理します。
P/PEルータは、ルーティングテーブルでは無くこのMPLS Label情報に基づきパケットを高速に交換します。
Labelは、シムヘッダーと呼ばれMPLS固有のヘッダーの形でパケットの第2層ヘッダー（Ethernet）と
第3層ヘッダー（IP）の間に挿入されます。
シムヘッダーは，多重構造を取ることが出来、これをLabelスタックと呼びます。
複数のLabelは目的に応じて使用されます。

BGP/MPLS VPNでは、一番目のLabelをコアネットワークのMPLS交換（これをTop Labelと呼びます）に
使用され、２番目のLabelをエッジネットワークの利用者VPNの識別（これをBottom Labelと呼びます）に
使用します。
図-2 では、MP-BGPのLabelの構成を示します。

図-2 シムヘッダーの構成

次頁で、コアネットワークの動作について説明します。

1 2 3 4

Flowmon製品に関する
お問い合わせはこちらからどうぞ

お見積依頼、お問い合わせはこちらからどうぞ
03-6205-6082
平日AM9:00～17:30（土日、祝祭日、年末年始、および弊社が定める定休日を除く）

お問い合わせフォーム

SNMPの限界とNetFlowの台頭～ NetFlow技術を知ろう

2014年03月03日

「NetFlow技術を知ろう」というテーマのもと、NetFlowについて最新技術を解説します。

最新の調査によると、将来の注目すべき４つのネットワーク技術として、OpenFlow、NetFlow、
5G Wi-Fi (802.11ac)、Centralized network controls and out-of-band managementが挙げられており、NetFlowは今後の注目すべき技術とされています。

※NetFlowはCisco社標準のプロトコルの名称ですが、
ここではFlow、jFlow、IPFIXなどを含んだフロー技術の一般的な呼称として使用します。

SNMPの限界とNetFlowの台頭

現在、ネットワークの運用・監視にはSNMPベースの管理システムが最も広く利用されています。
しかし、SNMPはポーリングに基づいてデータ収集を行っており、ネットワークの規模が大きくなると、
情報の収集に長時間を要するなどの問題が有ります。
また、時間短縮のためにポーリングの間隔を短くするとネットワークへの負荷が大きくなる問題もあり、
リアルタイムの状況監視には限界があります。
加えて、QoSの監視、アプリケーション毎の帯域、など詳細なトラフィック情報の収集は困難です。

一方、NetFlowはプッシュ型のプロトコルを使用しており、事象を検知した時点で即時に状況を
報告することができますので、リアルタイムのネットワークの監視が可能です。
また、ネットワークへの負荷も少なくて済むことから、大規模ネットワークにも適用できます。
このようにNetFlowは、SNMPには無い優れた機能がサポートされており、海外では一般的になってきて
いますが、日本ではまだ一般に受け入れられていなく、使用は一部のユーザに限られています。
日本では現在主として、トラフィックの表示、トラフィック過負荷の検出、ネットワーク計画・設計などの
用途にのみ使用されています。

NetFlowの最新トレンド

今後ネットワーク利用はより高度化し、UC（Unified Communication）、IPv6、Cloud、IPhoneなどの
モバイル端末、またVoIP、IPTV、ビデオなどのアプリケーションの普及が予想され、今まで以上に高度な
トラフィックの分析、リアルタイムネットワーク監視、セキュリティ向上、が必要となってきます。
NetFlowは将来のこのような要求を満たすための機能拡張を行っており、以下のようなより高度な
トラフィックの分析・監視を実現することが出来ます。

Flexible NetFlowによるフロー情報のカストマイズ（既に実現）

Flexible NetFlowにより、NetFlowレコードのカストマイズが可能となります。
利用者は、用途に応じて必要な項目のみを指定して収集し、送信先を目的に応じて、セキュリティ監視
向け、コアトラフィック監視向け、アプリケーション可視化向け、などの個々の解析システムに振り分けることが出来ます。
これにより、よりきめ細かい解析が実現可能となります。

DPI（Deep Packet Inspection）（既に一部実現）

現在、多くのアプリケーションはポート80番を使用しており、ポート番号のみではアプリケーションを
区分することが出来なくなってきています。
実際使われているアプリケーションを識別するためには、メッセージの中身の解析が必須となります。
これを実現する機能として、Cisco社のNBAR (Network Based Application Recognition)があり
（IPFIXにも同様の機能が有）、ポート番号でなく実際のアプリケーションデータ（L7のデータ）、
HTTPのURL、P2P、Skypeなどの解析が可能となります。

ファイアウォール、IPSでのNetFlowサポート（既に一部実現）

現状では、NetFlowをサポートする装置はルータ、スイッチに限られていますが、
今後はファイアウォール、IPS/IDS、でのサポートが一般的に行われるようになります。
これにより、内部および外部のフローを同時に取得、NATの正確な変換情報、AAAA認証のフロー、
フィルターで拒否されたフロー、双方向のフローが収集できることで、ゼロデイアタックなどの検出が
可能となり、システムのセキュリティ向上が図れます。

パフォーマンス上のトラブル解析向け（既に一部実現）

VoIP、VIDEO、サーバのパフォーマンス上の障害解析は難しく、長時間かかるケースが多々あります。
今後NetFlowは、ジッター情報、SSRC(SIP Synchronization Source Identifier)、パケットロス、TCPの遅延をフロー情報として提供することが可能となり、より速やかに障害の原因究明が可能となります。