IP-IP トンネルを介した BGP レイヤー 3 VPN の概要

従来の VPN サービスでは、MPLS のラベルベースの転送技術を使用しています。ネットワークによっては、MPLS ネットワークから IP ファブリック コア ネットワークに移行する場合があります。VPNラベルは、IPファブリックコアネットワークではサポートされていません。

私たちは、BGPレイヤー3 VPN OVER IP OVER IP(IP-IP)トンネルのサポートを導入し、エグレスPEでVRFを識別するためにVPNラベルを必要としない新しいトランスポートサービスを作成します。このオファーは、IP-IP ネットワーク上で、RD とルートターゲットで、同じインフラストラクチャと同じ BGP トポロジーを使用して、異なるタイプのトラフィックを伝送します。IP-IP トンネルはサービスレイヤー VRF まで終端するため、サービス ラベルを使用する必要はありません。この機能により、新しい VRF と従来の VRF 間の相互運用性が実現し、両方のタイプのオーバーレイをネットワークに共存させることができます。この機能を使用して、MPLSネットワークからIPファブリックコアネットワークに移行し、分散型サービス拒否(DDoS)攻撃からネットワークを保護することができます。

図1では、PE1は従来のトンネルと新しいタイプのトンネルの両方をサポートするエグレスPEであるため、L3VPNルートでこれらのタイプのトンネルの両方をアドバタイズします。PE2は新しいタイプのトンネルを使用してCE1に到達するイングレスPEであり、PE3は従来のトンネルを使用してCE1に到達するイングレスPEです。トラフィックを転送するために IP-IP トンネルが選択された場合、アプリケーション サービス ラベルは無視され、ファイアウォール フィルターを使用してトラフィックが逆多重化されます。L3VPNトラフィックはカプセル化解除されてからVRFでルート検索を行い、IPv4/IPv6トラフィックはカプセル化解除されてinet.0/inet6.0テーブルでルート検索を行います。

脅威緩和システム プレフィックスは、BGP inetvpn または inet6vpn ユニキャスト アップデートを介して交換されます。これらのBGPアップデートは、トンネルカプセル化属性を伝送します。BGP L3VPNは、脅威緩和プレフィックスをインターネットルートから分離し、インターネットルートの最適なパス選択に影響を与えないため、ルーティングループが形成される確率を最小限に抑えます。Junos OS 20.3R1以降のリリースでは、トンネル属性に基づいて、VPN over MPLSトランスポートを使用するか、IP over IPトンネルに切り替えるかを選択できます。受信側ルーターが Junos OS 20.2 以前のリリースで実行されている場合、パス属性は無視され、従来の MPLS トランスポート サービスが使用されます。

IP-IPトンネルでVPNを使用するには、トンネル属性を設定する必要があります。ルートが VRF テーブルから直接アドバタイズされる場合、BGP または VRF エクスポート ポリシーを使用してトンネル属性をアタッチできます。advertise-from-main-vpn-tablesステートメントが有効になっている場合、またはデバイスがルートリフレクタまたはAS境界ルーターとして機能する場合、BGPでBGPエクスポートポリシーを使用してトンネル属性をアタッチする必要があります。

トンネル属性を使用して動的トンネルをプログラムするように受信機を設定し、信頼できる BGP ピアで トンネル属性を有効にすることができます。ルート リフレクタは、トンネル属性が設定されていない場合でも、トンネル属性を持つルートを反映できます。