3. VRFs - Multiple Forwarding Tables in PEs (PE 内の複数の転送テーブル)

3. VRFs: Multiple Forwarding Tables in PEs (VRF: PE 内の複数の転送テーブル)

各 PE ルータは、いくつかの独立した転送テーブルを維持します。そのうちの 1 つは「デフォルト転送テーブル」です。その他は「VPN Routing and Forwarding tables (VPN ルーティングおよび転送テーブル)」、つまり「VRF」です。

3.1. VRFs and Attachment Circuits (VRF とアタッチメント回線)

各 PE/CE アタッチメント回線は、構成によって 1 つ以上の VRF に関連付けられています。VRF に関連付けられたアタッチメント回線は、「VRF アタッチメント回線」と呼ばれます。

最も単純で最も一般的なケースでは、PE/CE アタッチメント回線は 1 つの VRF に正確に関連付けられています。特定のアタッチメント回線で IP パケットを受信すると、その宛先 IP アドレスが関連付けられた VRF で検索されます。検索の結果によって、パケットのルーティング方法が決まります。特定のパケットをルーティングするためにパケットの入力 PE が使用する VRF は、パケットの「入力 VRF」と呼ばれます (パケットの出力 PE にあるパケットの「出力 VRF」という概念もあります。これについてはセクション 5 で説明します)。

IP パケットが VRF に関連付けられていないアタッチメント回線を介して到着した場合、パケットの宛先アドレスはデフォルト転送テーブルで検索され、それに応じてパケットがルーティングされます。デフォルト転送テーブルに従って転送されるパケットには、隣接する P または PE ルータからのパケット、および VRF に関連付けられていない顧客向けアタッチメント回線からのパケットが含まれます。

直感的には、デフォルト転送テーブルには「パブリックルート」が含まれ、VRF には「プライベートルート」が含まれていると考えることができます。同様に、VRF アタッチメント回線を「プライベート」、非 VRF アタッチメント回線を「パブリック」と考えることができます。

特定の VRF アタッチメント回線がサイト S を PE ルータに接続している場合、対応する VRF に入力されるルートのセットを制御することにより、S からの接続 (そのアタッチメント回線を介した) を制限できます。その VRF のルートのセットは、S と少なくとも 1 つの共通 VPN を持つサイトへのルートに制限する必要があります。そうすれば、S から VRF アタッチメント回線を介して送信されたパケットは、S' が S と同じ VPN にある場合にのみ、PE によって別のサイト S' にルーティングできます。つまり、(PE ルータを介して) 共通の VPN を持たない任意のペアの VPN サイト間の通信は防止されます。VPN サイトと非 VPN サイト間の通信は、VPN サイトのルートをデフォルト転送テーブルから除外することによって防止されます。

S から 1 つ以上の PE ルータへの複数のアタッチメント回線がある場合、S からのトラフィックをルーティングするために使用できる複数の VRF がある可能性があります。S の接続を正しく制限するには、すべての VRF に同じルートセットが存在する必要があります。あるいは、S の異なるアタッチメント回線を介して異なる接続制限を課すことができます。その場合、S のアタッチメント回線に関連付けられたいくつかの VRF には、他の VRF とは異なるルートセットが含まれます。

単一のアタッチメント回線を単一の VRF ではなく、VRF のセットに関連付けることを許可します。単一の VPN をいくつかの「サブ VPN」に分割し、それぞれに異なる接続制限を持たせ、顧客パケットの特定の特性を使用してサブ VPN 間で選択する場合、これは便利かもしれません。ただし、簡単にするために、通常はアタッチメント回線が単一の VRF に関連付けられていると言います。

3.2. Associating IP Packets with VRFs (IP パケットと VRF の関連付け)

PE ルータが CE デバイスからパケットを受信するとき、パケットが到着したアタッチメント回線を特定する必要があります。これにより、そのパケットを転送するために使用できる VRF (または VRF のセット) が決まります。一般に、パケットが到着したアタッチメント回線を特定するために、PE ルータはパケットが到着した物理インターフェース、および場合によってはパケットのレイヤ 2 ヘッダのいくつかの側面を記録します。たとえば、パケットの入力アタッチメント回線がフレームリレー VC である場合、アタッチメント回線の識別は、パケットが到着した物理フレームリレーインターフェースと、パケットのフレームリレーヘッダ内の Data Link Connection Identifier (データリンク接続識別子, DLCI) フィールドによって決定できます。

PE が特定のパケットが特定のアタッチメント回線で到着したという結論は、部分的にパケットのレイヤ 2 ヘッダによって決定される場合がありますが、顧客がヘッダフィールドに書き込むことによって、あるアタッチメント回線で受信されたパケットが実際には別のアタッチメント回線で到着したと SP をだますことができないようにする必要があります。上記の例では、アタッチメント回線は部分的にフレームリレーヘッダの DLCI フィールドをチェックすることによって決定されますが、このフィールドは顧客が自由に設定できるものではありません。むしろ、SP が指定した値に設定する必要があります。そうしないと、パケットは PE ルータに到達しません。

場合によっては、特定のサイトが顧客によっていくつかの「仮想サイト」に分割されることがあります。SP は、そのサイトからのパケットをルーティングするために使用する特定の VRF セットを指定し、顧客がパケットの特定の特性を設定して、その特性を使用してセットから特定の VRF を選択することを許可できます。

たとえば、各仮想サイトは VLAN として実装できます。SP と顧客は、特定の CE からのパケットについて、特定の VLAN 値を使用して特定の VRF を識別することに同意できます。もちろん、その CE からのパケットが合意されたセットにない VLAN タグ値を伝送する場合、PE はそれらのパケットを破棄します。これを実現する別の方法は、IP 送信元アドレスを使用することです。その場合、PE は、CE から受信したパケットの IP 送信元アドレスと、パケットを受信したインターフェースを使用して、パケットを特定の VRF に割り当てます。同様に、顧客は、その顧客が使用を許可されている特定の VRF セットからのみ選択できます。

特定のホストを複数の仮想サイトに配置する場合、そのホストは各パケットがどの仮想サイトに関連付けられているかを判断する必要があります。たとえば、異なる VLAN 上で、または異なるネットワークインターフェースを介して、異なる仮想サイトからのパケットを送信することによってこれを行うことができます。

3.3. Populating the VRFs (VRF の入力)

VRF にはどのようなルートセットが入力されますか?

例として、PE1、PE2、PE3 を 3 つの PE ルータ、CE1、CE2、CE3 を 3 つの CE ルータとします。PE1 が CE1 から CE1 サイトで到達可能なルートを学習したとします。PE2 と PE3 がそれぞれ CE2 と CE3 に接続されており、CE1、CE2、CE3 を含む VPN V が存在する場合、PE1 は BGP を使用して、CE1 から学習したルートを PE2 と PE3 に配布します。PE2 と PE3 は、これらのルートを使用して、CE2 サイトと CE3 サイトにそれぞれ関連付けられた VRF を入力します。VPN V にないサイトからのルートはこれらの VRF に表示されません。つまり、CE2 または CE3 からのパケットは、VPN V にないサイトに送信できません。

PE が CE からルートを「学習する」と言うとき、特定の学習手法を前提としません。PE は動的ルーティングアルゴリズムによってルートを学習することもあれば、これらのルート (つまり静的ルート) を構成することによってルートを「学習する」こともあります。(その場合、PE が CE からルートを「学習した」と言うのは、少し詩的な表現かもしれません。)

PE は、特定の VPN に属するルートを他の PE からも学習する必要があります。正しいルートセットで VRF を入力するために使用される手順は、セクション 4 で指定されています。

特定の PE ルータから特定のサイトへの複数のアタッチメント回線がある場合、それらはすべて同じ転送テーブルにマップされる可能性があります。ただし、ポリシーで規定されている場合は、異なる転送テーブルにマップされる可能性があります。たとえば、ポリシーにより、サイトからの特定のアタッチメント回線はイントラネットトラフィックのみに使用し、そのサイトからの別のアタッチメント回線はエクストラネットトラフィックのみに使用する場合があります (たとえば、エクストラネットアタッチメント回線に接続されている CE はファイアウォールであり、イントラネットアタッチメント回線に接続されている CE はそうでない可能性があります)。この場合、2 つのアタッチメント回線は異なる VRF に関連付けられます。

2 つのアタッチメント回線が同じ VRF に関連付けられている場合、PE が一方を介して受信したパケットは、PE が他方を介して受信したパケットとまったく同じ宛先セットに到達できることに注意してください。したがって、各 CE が他の CE とまったく同じ VPN セットに含まれていない限り、2 つのアタッチメント回線を同じ VRF に関連付けることはできません。

アタッチメント回線が複数の VPN にあるサイトに通じている場合、そのアタッチメント回線は依然として単一の VRF に関連付けられている可能性があります。その場合、その VRF には、そのサイトが属するすべての VPN のルートが含まれます。