BGP/MPLS IP VPNにおけるMPLSラベルのアンチスプーフィングサポート(AS間オプションB)
サービスプロバイダーは従来、オプションBの代わりにオプションAのVPN導入シナリオを採用してきました。これは、ルート識別(RD)アドバタイズメントが正しくなかったり、MPLSラベルが偽装されたりした場合に、オプションBではプロバイダーネットワークを確実に保護できないためです。
ただし、AS間オプションBは、BGPベースのL3VPNを使用して構築されたVPNサービスを提供できます。オプションAとは対照的に、自律システム間(AS)VPNルートはBGP RIBにのみ保存されるため、オプションAの代替ルートよりも拡張性に優れています。オプションAでは、ASBR(ASBR)によって複数のVRFテーブルが作成され、それぞれにすべてのIPルートが含まれるためです。
AS間オプションBは、RFC 4364、 BGP/MPLS IP仮想プライベートネットワークとしても知られています。
Junos OS リリース 16.1 以降では、オプション B に起因するセキュリティ上の欠点が解消されています。新機能により、ポリシーベースのRDフィルタリング(MPLSラベルスプーフィングに対する保護)が提供され、サービスプロバイダドメイン内で生成されたRDのみが受け入れられるようにする機能があります。同時に、このフィルタリングを使用して、Cisco PE からの PIM Rosen 実装によって生成されたループバック VPN-IPv4 アドレスをフィルタリングできるため、顧客の仮想ルーティングおよび転送(VRF)テーブルにインポートすると、ルーティングの問題やトラフィックの損失が発生する可能性があります。これらの機能は、MPC1、MPC2、MPC3D MPCを使用している場合、M、MX、T Seriesルーターでサポートされます。
AS間オプションBは、BGPを使用してASBR間のVPNラベルをシグナリングします。ベースMPLSトンネルは各ASに対してローカルであり、スタックトンネルは異なるAS VPNルート上のPEルーター間でエンドツーエンドで実行されます。オプション B 実装の Junos OS アンチスプーフィング サポートは、個別の MPLS 転送テーブル コンテキストを作成することで機能します。VPN ASBR ピアのセットごとに個別の mpls.0 テーブルが作成されます。そのため、各MPLS転送テーブルには、AS間オプションBピアのグループにアドバタイズされた関連ラベルのみが含まれます。異なるMPLSラベルで受信したパケットはドロップされます。オプションBピアは、MFI(MPLSスプーフィング保護を必要とするAS間BGPネイバー用に作成された新しいタイプのルーティングインスタンス)の一部として設定されたローカルインターフェイスを介して到達可能であるため、オプションBピアから到着したMPLSパケットは、インスタンス固有のMPLS転送テーブルで解決されます。
MPLSラベルのアンチスプーフィングサポートを有効にするには、すべてのMPLS対応AS間リンク(サポートされているMPCを実行している必要があります)に新しいルーティングインスタンスタイプ mpls-forwarding
の個別のインスタンスを設定します。次に、BGPの下でこのルーティングインスタンスを forwarding-context
として使用するように、各オプションBピアを設定します。これにより、ピアとのトランスポート セッションが形成され、ピアからのトラフィックの転送機能が実行されます。スプーフィング チェックは、異なる mpls-forwarding
MFI を持つピア間で発生します。同じ forwarding-context
を持つピアの場合、ピアは同じ MFI.mpls.0 テーブルを共有するため、スプーフィング チェックは必要ありません。
MPLSラベルのアンチスプーフィングサポートは、混在ネットワーク、つまり、MPLS対応のAS間リンクがサポートされているMPC上にある限り、サポートされているMPCを実行していないジュニパーネットワークデバイスを含むネットワークでもサポートされることに注意してください。 vrf-table-label
などのネットワーク内の既存のLSI(ラベルスイッチインターフェイス)機能は、引き続き通常通り動作します。
AS間オプションBは、グレースフルREスイッチオーバー(GRES)、ノンストップアクティブルーティング(NSR)、およびインサービスソフトウェアアップグレード(統合型ISSU)をサポートします。