Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

BGP レイヤー 3 VPN over IP-IP トンネルの概要

従来の VPN サービスでは、MPLS のラベルベース転送技術を使用しています。ネットワークによっては、MPLS ネットワークから IP ファブリック コア ネットワークに移行する場合があります。VPNラベルは、IPファブリックコアネットワークではサポートされていません。

BGP レイヤー 3 VPN over IP(IP-IP)トンネルのサポートを導入して、エグレス PE で VRF を識別するための VPN ラベルを必要としない新しいトランスポート サービスを作成します。このサービスでは、IP-IP ネットワーク上で、RD ターゲットとルート ターゲットを使用して、同じインフラストラクチャと同じ BGP トポロジーを使用して、異なるタイプのトラフィックを伝送できます。IP-IP トンネルはサービスレイヤー VRF に終端するため、サービス ラベルを使用する必要はありません。この機能により、新しい VRF と従来の VRF の相互運用性が可能なため、どちらのタイプのオーバーレイもネットワークに共存できます。この機能を使用して、MPLS ネットワークから IP ファブリック コア ネットワークに移行し、分散サービス拒否(DDoS)攻撃からネットワークを保護できます。

図 1:新しい VRF と従来の VRF Sample Network That Shows Coexistence of New and Traditional VRFs の共存を示すサンプル ネットワーク

図 1 では、PE1 は従来のトンネルと新しいタイプの両方のトンネルをサポートするエグレス PE であるため、これらのタイプのトンネルは L3VPN ルートで両方ともアドバタイズされます。PE2 は新しいタイプのトンネルを使用して CE1 に到達するイングレス PE であり、PE3 は従来のトンネルを使用して CE1 に到達するイングレス PE です。トラフィックを転送するために IP-IP トンネルが選択された場合、アプリケーション サービス ラベルは無視され、ファイアウォール フィルターを使用してトラフィックを逆多重化します。L3VPNトラフィックはカプセル化解除され、VRFでルートルックアップを実行し、IPv4/IPv6トラフィックはカプセル化解除され、inet.0/inet6.0テーブルでルート検索を実行します。

脅威緩和システムのプレフィックスは、BGP inetvpn または inet6vpn ユニキャスト更新を介して交換されます。これらの BGP アップデートは、トンネルのカプセル化属性を伝送します。BGP L3VPNは、脅威緩和プレフィックスをインターネットルートから分離し、インターネットルートの最適なパス選択に影響を与えないため、ルーティングループを形成する可能性が最小限に抑えられます。Junos OS 20.3R1以降のリリースでは、トンネル属性に従って、MPLSトランスポート経由でVPNを使用するか、IP over IPトンネルにスイッチを使用することを選択できます。レシーバールーターがJunos OS 20.2以前のリリースで実行されている場合、パス属性は無視され、従来のMPLSトランスポートサービスを使用します。

IP-IP トンネル上で VPN を使用するには、トンネル属性を設定する必要があります。VRFテーブルから直接ルートをアドバタイズする場合、BGPまたはVRFエクスポートポリシーを使用してトンネル属性をアタッチできます。アドバタイズ元-メイン-vpn-tablesステートメントが有効になっている場合、またはデバイスがルートリフレクタまたはAS境界ルーターとして機能する場合、BGPの下でBGPエクスポートポリシーを使用してトンネル属性をアタッチする必要があります。

信頼できる BGP ピアでトンネル属性を有効にするために、トンネル属性を使用して動的トンネルをプログラムするように受信者を設定できます。ルートリフレクタは、これが設定されていない場合でも、トンネル属性を持つルートを反映することができます。