BGP/MPLS IP VPN의 MPLS 레이블에 대한 스푸핑 방지 지원(Inter-AS 옵션 B)
서비스 프로바이더는 기존에 옵션 B 대신 옵션 A VPN 구축 시나리오를 채택해왔는데, 이는 잘못된 RD(Route Distinguisher) 광고나 스푸핑된 MPLS 레이블이 발생할 경우 옵션 B가 프로바이더 네트워크의 보호를 보장할 수 없기 때문입니다.
그러나 AS 간 옵션 B는 BGP 기반 L3VPN을 사용하여 구축된 VPN 서비스를 제공할 수 있습니다. AS(Inter-Autonomous System) VPN 경로는 BGP RIB에만 저장되기 때문에 옵션 A 대안보다 확장성이 뛰어나며, 옵션 A는 ASBR(AS 경계 라우터)이 각각 모든 IP 경로를 포함하는 여러 VRF 테이블을 생성합니다.
AS 간 옵션 B는 RFC 4364, BGP/MPLS IP 가상 사설망으로도 알려져 있습니다.
Junos OS 릴리스 16.1 이상에서는 옵션 B의 보안 단점을 해결합니다. 새로운 기능은 정책 기반 RD 필터링(MPLS 레이블 스푸핑에 대한 보호)을 제공하여 서비스 프로바이더 도메인 내에서 생성된 RD만 허용되도록 합니다. 동시에 필터링을 사용하여 Cisco PE에서 PIM Rosen 구현에 의해 생성된 루프백 VPN-IPv4 주소를 필터링할 수 있으며, 고객 VRF(Virtual Routing and Forwarding) 테이블로 가져올 경우 라우팅 문제 및 트래픽 손실이 발생할 수 있습니다. 이러한 기능은 MPC1, MPC2 및 MPC3D MPC를 사용할 때 M, MX 및 T 시리즈 라우터에서 지원됩니다.
AS 간 옵션 B는 BGP를 사용하여 ASBR 간에 VPN 레이블을 시그널링합니다. 기본 MPLS 터널은 각 AS에 대해 로컬이며, 스택 터널은 서로 다른 AS VPN 경로의 PE 라우터 간에 엔드 투 엔드로 실행됩니다. 옵션 B 구현을 위한 Junos OS 스푸핑 방지 지원은 고유한 MPLS 포워딩 테이블 컨텍스트를 생성하여 작동합니다. 각 VPN ASBR 피어 집합에 대해 별도의 mpls.0 테이블이 생성됩니다. 따라서 각 MPLS 포워딩 테이블에는 inter AS-Option B 피어 그룹에 보급된 관련 레이블만 포함됩니다. 다른 MPLS 레이블로 수신된 패킷은 삭제됩니다. 옵션 B 피어는 MFI(MPLS 스푸핑 방지가 필요한 AS 간 BGP 인접 라우터를 위해 생성된 새로운 유형의 라우팅 인스턴스)의 일부로 구성된 로컬 인터페이스를 통해 연결할 수 있으므로 옵션 B 피어에서 도착하는 MPLS 패킷은 인스턴스별 MPLS 포워딩 테이블에서 확인됩니다.
MPLS 레이블에 대한 스푸핑 방지 지원을 활성화하려면 MPLS가 활성화된 모든 AS 간 링크(지원되는 MPC를 실행해야 함)에서 새로운 라우팅 인스턴스 유형의 mpls-forwarding
별도의 인스턴스를 구성합니다. 그런 다음 이 라우팅 인스턴스를 BGP 아래에서 사용하도록 각 옵션 B 피어를 forwarding-context
구성합니다. 이는 피어와의 전송 세션을 형성하고 피어의 트래픽에 대한 전달 기능을 수행합니다. 스푸핑 검사는 서로 다른 mpls-forwarding
MFI를 가진 피어 간에 발생합니다. 동일한 forwarding-context
를 가진 피어의 경우 피어가 동일한 MFI.mpls.0 테이블을 공유하므로 스푸핑 검사가 필요하지 않습니다.
MPLS 레이블에 대한 스푸핑 방지 지원은 MPLS 지원 Inter-AS 링크가 지원되는 MPC에 있는 한 혼합 네트워크, 즉 지원되는 MPC를 실행하지 않는 주니퍼 네트워크 디바이스를 포함하는 네트워크에서도 지원됩니다. 네트워크의 기존 LSI(Label-Switched Interface) 기능(예: vrf-table-label
)은 평소와 같이 계속 작동합니다.
AS 간 옵션 B는 GRES(Graceful RE Switchover), NSR(Nonstop Active Routing) 및 통합 ISSU(In Service Software Upgrades)를 지원합니다.