Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

EX シリーズスイッチにおける MPLS ベースのレイヤー2およびレイヤー 3 Vpn の使用について

 

EX8200 および EX4500 スイッチでは、MPLS ベースのレイヤー2およびレイヤー3仮想プライベートネットワーク (Vpn) または MPLS レイヤー2回線を使用して、MPLS ネットワーク全体で地理的に分散したサイトを安全に接続できます。MPLS サービスを使用すると、さまざまなサイトをバックボーンネットワークに接続して、ボイスオーバー IP (VoIP) やその他のビジネスクリティカルな機能などの低遅延アプリケーションのパフォーマンスを高めることができます。

VPN は、インターネットなどの公共の電気通信インフラを使用して、遠隔地のオフィスや個人ユーザーに対して’、組織のネットワークへのセキュアなアクセスを提供します。Vpn は、所有しているかリースされたネットワークと同レベルのパフォーマンスとセキュリティを提供しますが、速度を犠牲にすることはできません。

このトピックでは、以下を説明します。

MPLS ベースのレイヤー 2 Vpn

MPLS ベースのレイヤー 2 VPN では、顧客’の顧客エッジ (CE) スイッチ (ルーター) によってトラフィックがレイヤー2形式でサービス’プロバイダのプロバイダエッジ (PE) スイッチに転送されます。これは、サービスプロバイダ’のネットワーク経由の MPLS によって伝達され、その後、受信するサイトでレイヤー2形式に変換して戻します。

レイヤー 2 VPN では、ルーティングは顧客’のスイッチ上で (通常は CE スイッチで) 発生します。レイヤー 2 VPN 上のサービスプロバイダに接続された CE スイッチは、トラフィックを送信する適切な回線を選択する必要があります。トラフィックを受信する PE スイッチは、それをサービスプロバイダ’のネットワーク上で受信サイトに接続された pe スイッチに送信します。PE スイッチは顧客’のルートを保存したり処理したりすることはありません。スイッチは、適切なトンネルにデータを送信するように設定する必要があります。

レイヤー 2 VPN の場合、すべてのレイヤー3トラフィックを実行するように独自のスイッチを設定する必要があります。サービスプロバイダは、レイヤー 2 VPN が伝送するトラフィック量を検出するだけで十分です。サービスプロバイダ’のスイッチは、レイヤー 2 VPN インターフェイス’を使用して顧客のサイト間のトラフィックを伝送します。VPN トポロジは、PE スイッチに設定されているポリシーによって決定されます。

お客様は、それぞれのサイトに接続する VPN インターフェイスを把握しておく必要があります。図 1は、各サイトが他の顧客サイトにリンクされた VPN インターフェイスを持つフルメッシュレイヤー 2 VPN を示しています。3つのサイトすべてを対象としたフルメッシュトポロジでは、各サイトに2つの論理インターフェイス (1 つは、他の CE ルーターまたはスイッチ) を接続する必要があります。ただし、それぞれの PE スイッチを各 CE ルーターまたはスイッチにつなぐために必要な物理リンクは1つだけです。

図 1: レイヤー 2 VPN と CE スイッチの接続
レイヤー 2 VPN と CE スイッチの接続

レイヤー2回線

レイヤー2回線とは、サービスプロバイダ’のネットワーク上で MPLS または別のトンネリング技術を使用するポイントツーポイントレイヤー2接続です。レイヤー2回路は、サーキットクロスコネクト (CCC) に似ていますが、2つのプロバイダエッジ (PE) スイッチ間で単一のラベルスイッチパス (LSP) トンネルを介して複数のレイヤー2回線を転送できる点が異なります。それとは対照的に、各 CCC には専用の LSP が必要です。

レイヤー2回線の Junos OS 実装では、レイヤー2回線のリモートフォームのみがサポートされています。つまり、ローカルの顧客エッジ (CE) スイッチからリモート CE スイッチへの接続です。

パケットは、リモート PE スイッチによって通知された送信仮想プライベートネットワーク (VPN) ラベルを使って、リモート CE スイッチに送られます。VPN ラベルは、リモート CE スイッチに接続されたリモート PE スイッチとの間で、RSVP または LDP LSP (またはその他のタイプ) のいずれかのトンネルを通過します。LDP は、VPN ラベルの広告に使用されるシグナリングプロトコルです。

リモート CE スイッチからローカル CE スイッチに送信されるトラフィックを受信します。ローカル PE スイッチによって通知した受信 VPN ラベルを使用します。

MPLS ベースのレイヤー 3 Vpn

レイヤー 3 VPN では、ルーティングはサービスプロバイダ’のルーター上で実行されます。そのため、 レイヤー 3 vpn では、サービスプロバイダ’の PE ルーターで顧客’のルートを格納して処理する必要があるため、サービスプロバイダの部分でより多くの設定を行う必要があります。

Junos OS では、レイヤー 3 VPN は RFC 4364、 BGP/MPLS IP 仮想プライベートネットワークをベースにしています。この RFC では、サービスプロバイダが IP バックボーンを使用してレイヤー 3 VPN サービスを顧客に提供するためのメカニズムを定義しています。レイヤー 3 VPN を構成するサイトは、プロバイダ’の既存のパブリックインターネットバックボーンを介して接続されています。

RFC 4364 をベースにした Vpn は、VPN ルーティング情報をプロバイダ’のバックボーンに配信するために BGP を使用し、バックボーンを介して vpn トラフィックをリモート vpn サイトに転送するために MPLS を使用しているため、BGP/MPLS vpn としても知られています。

お客様のネットワークはプライベートなので、プライベート Internets に対するアドレス割り当てである RFC 1918 で定義されているパブリックアドレスまたはプライベートアドレスのいずれかを使用できます。プライベートアドレスを使用する顧客ネットワークがパブリックインターネットインフラストラクチャに接続すると、プライベートアドレスは他のネットワークユーザーが使用していたプライベートアドレスと重複する可能性があります。BGP/MPLS Vpn でこの問題を解決するには、vpn 識別子を特定の VPN サイトからの各アドレスにプレフィックスを付けることで、VPN の内部とパブリックインターネット内の両方においてユニークなアドレスを作成します。

さらに、各 VPN には専用の vpn 専用ルーティングテーブルがあり、そこには VPN 専用のルーティング情報が含まれています。2つの異なる Vpn が重複したアドレスを使用できます。VPN 内の各ルートには MPLS ラベルが割り当てられています (MPLS-ARCH、MPLS BGP、MPLS ENCAPS など)。BGP が VPN ルートを配信すると、そのルートの MPLS ラベルも配布されます。顧客データパケットは、サービスプロバイダ’のバックボーンを通過する前に、パケット’’の宛先に基づいて最適に一致する顧客の VPN 内のルートに対応する MPLS ラベルとともにカプセル化されています。番地. この MPLS パケットは、別の MPLS ラベルまたは IP を使用してさらにカプセル化されているため、バックボーンを介して送信プロバイダエッジ (PE) スイッチにトンネリングできます。したがって、バックボーンコアスイッチは VPN ルートを認識する必要はありません。

MPLS ベースのレイヤーの比較 2VPN と MPLS ベースのレイヤー 3VPN

レイヤー 2 Vpn と Laer 3 VPN の違いをまとめています。 表 1

表 1: MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の比較

レイヤー 2 VPNレイヤー 3 VPN

地理的に分散している場合でも、顧客のサイトは同じ LAN 上にあるように見えます。

サービスプロバイダ’の技術専門知識により、サイト間の効率的なルーティングが可能になります。

サービスプロバイダは、音声、映像、データを含むネットワークコンバージェンスを通じて、付加価値のあるサービスを提供することができます。

サービスプロバイダは、顧客’のネットワークトポロジー、ポリシー、ルーティング情報などに関する情報を必要としません。

お客様は、ポリシーとルーティングを完全に制御できます。

お客様のネットワークトポロジに関する情報を共有する必要があります。

サービスプロバイダは、ポリシーとルーティングを決定します。

CE スイッチは、レイヤー2形式のサービス’プロバイダ s PE スイッチにトラフィックを転送します。

顧客’の CE スイッチは、サービスプロバイダ’s PE スイッチと通信して、ネットワーク全体で IP プレフィックスを送信する BGP または OSPF を使用するように設定する必要があります。その他のプロトコルパケットはサポートされていません。