BGP/MPLS IP VPNにおけるMPLSラベルのアンチスプーフィングのサポート(AS間オプションB)

Junos OSリリース16.1以降は、オプションBに起因するセキュリティの欠点を解決します。サービスプロバイダドメイン内で生成されたRDのみを受け入れることを保証する、ポリシーベースのRDフィルタリング(MPLSラベルスプーフィングに対する保護)の新機能が追加されました。同時に、フィルタリングを使用して、Cisco PE から PIM Rosen 実装によって生成されたループバック VPN-IPv4 アドレスをフィルタリングできます。顧客の仮想ルーティングおよび転送(VRF)テーブルにインポートすると、ルーティングの問題やトラフィックロスが発生する可能性があります。これらの機能は、MPC1、MPC2、およびMPC3D MPCを使用する場合、M、MX、およびTシリーズルーターでサポートされています。

AS間オプションBは、BGPを使用してASBR間のVPNラベルをシグナリングします。ベースMPLSトンネルは各ASに対してローカルで、スタックトンネルは異なるAS VPNルート上のPEルーター間のエンドツーエンドで実行されます。オプションB実装に対するJunos OSのアンチスプーフィングサポートは、異なるMPLS転送テーブルコンテキストを作成することで機能します。VPN ASBRピアのセットごとに個別のmpls.0テーブルが作成されます。そのため、各MPLS転送テーブルには、ASオプションBピア間のグループにアドバタイズされた関連ラベルのみが含まれています。異なる MPLS ラベルで受信したパケットは破棄されます。オプションBピアは、MFIの一部として設定されたローカルインターフェイス(MPLSスプーフィング保護を必要とするAS間BGPネイバー向けに作成された新しいタイプのルーティングインスタンス)を介して到達可能であるため、オプションBピアから受信したMPLSパケットは、インスタンス固有のMPLS転送テーブルで解決されます。

MPLSラベルのアンチスプーフィングサポートを有効にするには、すべてのMPLS対応AS間リンク(サポートされているMPCを実行する必要があります)で、 mpls-forwarding新しいルーティングインスタンスタイプの個別のインスタンスを設定します。次に、BGPの下でこのルーティングインスタンスを使用するように各オプションBピアを forwarding-context 設定します。これにより、ピアとのトランスポートセッションが形成され、ピアからのトラフィックの転送機能を実行します。スプーフィング チェックは、異なる mpls-forwarding MF を持つすべてのピア間で発生します。同じピアでは、ピアが同じ forwarding-contextMFI.mpls.0 テーブルを共有するため、スプーフィング チェックは必要ありません。

MPLSラベルに対するアンチスプーフィングのサポートは、サポートされているMPC上にあるMPLS対応のAS間リンクがある限り、サポートされているMPCを実行していないジュニパーネットワークデバイスを含む混合ネットワークでもサポートされていることに注意してください。ネットワーク内の既存のラベルスイッチインターフェイス(LSI)機能(など vrf-table-label)は、通常通りに動作し続けます。

AS間オプションBは、グレースフルREスイッチオーバー(GRES)、ノンストップアクティブルーティング(NSR)、およびサービスソフトウェアアップグレード(統合型ISSU)をサポートします。