仮想ループバックトンネルインターフェイスを使用したVRFテーブル検索の促進
VRF テーブル ルックアップ用の仮想ループバック トンネルの設定
エグレス フィルタリングを有効にするには、IP ヘッダーに基づいてフィルタリングを設定するか、トンネル PIC を搭載したルーターで仮想ループバック トンネルを設定します。 表 1 に、各方法を示します。
方式 |
インターフェイスタイプ |
設定ガイドライン |
コメント |
|---|---|---|---|
IPヘッダーに基づいてトラフィックをフィルタリングする |
非チャネル化ポイントツーポイントプロトコル/ハイレベルデータリンク制御(PPP/HDLC)コアに面するSONET/SDHインターフェイス |
詳しくは、 ルーティングデバイス用 Junos OS VPN ライブラリを参照してください。 |
カスタマーエッジ(CE)ルーター-プロバイダーエッジ(PE)ルーターインターフェイスに制限はありません。 |
トンネルPICを搭載したルーターで仮想ループバックトンネルを設定する |
すべてのインターフェイス |
このセクションのガイドラインを参照してください。 |
ルーターにはトンネルPICが装備されている必要があります。 使用されるコアに面したインターフェイスのタイプや、使用される CE ルーター間インターフェイスに制限はありません。 仮想ループバックトンネルと |
仮想ループバックトンネルを設定して、MPLS ラベルに基づく VRF テーブルの検索を容易にすることができます。この機能を有効にして、次のいずれかを実行できます。
PEルーター上のトラフィックを、CEデバイスがIP機能のないレイヤー2スイッチ(例えば、メトロイーサネットスイッチ)である共有メディア内のCEデバイスインターフェイスに転送します。
最初のルックアップは、VPN ラベルに基づいてどの VRF テーブルを参照するかを決定し、2 番目のルックアップは IP ヘッダーに対して行われ、共有メディア上の正しいエンド ホストにパケットを転送する方法を決定します。
エグレス PE ルーターでエグレス フィルタリングを実行します。
VPN ラベルの最初のルックアップは、どの VRF テーブルを参照するかを決定するために実行され、2 番目のルックアップは IP ヘッダーで実行され、パケットのフィルタリングと転送の方法を決定します。VRF インターフェイスで出力フィルタを設定することで、この機能を有効にすることができます。
MPLS ラベルに基づく VRF テーブルの検索を容易にする仮想ループバックトンネルを設定するには、仮想ループバックトンネルのインターフェイス名を指定し、特定のルーティングテーブルに属するルーティングインスタンスに関連付けます。パケットは、ルート検索のために仮想ループバックトンネルをループバックします。仮想ループバックトンネルインターフェイス名を指定するには、 [edit interfaces] 階層レベルで仮想ループバックトンネルインターフェイスを設定し、 family inet および family mpls ステートメントを含めます。
vt-fpc/pic/port {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
仮想ループバックトンネルをルーティングインスタンスに関連付けるには、 [edit routing-instances] 階層レベルで仮想ループバックトンネルインターフェイス名を含めます。
interface vt-fpc/pic/port;
仮想ループバックトンネルインターフェイスでは、 family ステートメント以外の論理インターフェイスステートメントはサポートされていません。設定できるのは inet および mpls ファミリのみであり、仮想ループバックトンネルインターフェイスには IPv4 または IPv6 アドレスを設定できないことに注意してください。また、仮想ループバックトンネルインターフェイスは、サービスクラス(CoS)設定をサポートしていません。
関連項目
ルーティング テーブル ルックアップ用のトンネル インターフェイスの設定
VPN のルーティング テーブルの検索を容易にするトンネル インターフェイスを設定するには、トンネルのエンドポイント IP アドレスを指定し、特定のルーティング テーブルに属するルーティング インスタンスに関連付けます。これにより、同じプレフィックスが複数のルーティング テーブルに表示される可能性があるため、Junos OSは適切なルーティング テーブルでルート プレフィックスを検索できます。宛先VPNを設定するには、 routing-instance ステートメントを含めます。
routing-instance { destination routing-instance-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces gr-fpc/pic/port unit logical-unit-number tunnel][edit logical-systems logical-system-name interfaces gr-fpc/pic/port unit logical-unit-number tunnel]
この設定は、トンネルの宛先アドレスがルーティングインスタンス routing-instance-nameであることを示しています。デフォルトでは、トンネル ルート プレフィックスは、デフォルトのインターネット ルーティング テーブル inet.0にあると見なされます。
仮想ループバックトンネルインターフェイスと vrf-table-label ステートメントを同じルーティングインスタンスに設定した場合、 vrf-table-label ステートメントが仮想ループバックトンネルインターフェイスよりも優先されます。詳細については、 VRF テーブル ルックアップ用の仮想ループバック トンネルの設定を参照してください。
VPN の詳細については、『 ルーティングデバイス用 Junos OS VPN ライブラリ』を参照してください。
関連項目
例:VRF テーブル ルックアップ用の仮想ループバック トンネルの設定
VRF テーブル ルックアップ用の仮想ループバック トンネルを設定します。
[edit routing-instances]
routing-instance-1 {
instance-type vrf;
interface vt-1/0/0.0;
interface so-0/2/2.0;
route-distinguisher 2:3;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/2/2.0;
}
}
}
routing-instance-2 {
instance-type vrf;
interface vt-1/0/0.1;
interface so-0/3/2.0;
route-distinguisher 4:5;
vrf-import VPN-B-import;
vrf-export VPN-B-export;
routing-options {
static {
route 10.0.0.0/8 next-hop so-0/3/2.0;
}
}
}
[edit interfaces]
vt-1/0/0 {
unit 0 {
family inet;
family mpls;
}
unit 1 {
family inet;
}
}
関連項目
例:仮想ルーティングおよび転送(VRF)とサービス設定
次の例では、仮想ルーティングおよび転送(VRF)とサービス設定を組み合わせています。
[edit policy-options]
policy-statement test-policy {
term t1 {
then reject;
}
}
[edit routing-instances]
test {
interface ge-0/2/0.0;
interface sp-1/3/0.20;
instance-type vrf;
route-distinguisher 10.58.255.1:37;
vrf-import test-policy;
vrf-export test-policy;
routing-options {
static {
route 0.0.0.0/0 next-table inet.0;
}
}
}
[edit interfaces]
ge-0/2/0 {
unit 0 {
family inet {
service {
input service-set nat-me;
output service-set nat-me;
}
}
}
}
sp-1/3/0 {
unit 0 {
family inet;
}
unit 20 {
family inet;
service-domain inside;
}
unit 21 {
family inet;
service-domain outside;
}
[edit services]
stateful-firewall {
rule allow-any-input {
match-direction input;
term t1 {
then accept;
}
}
}
nat {
pool hide-pool {
address 10.58.16.100;
port automatic;
}
rule hide-all-input {
match-direction input;
term t1 {
then {
translated {
source-pool hide-pool;
translation-type source napt-44;
}
}
}
}
}
service-set nat-me {
stateful-firewall-rules allow-any-input;
nat-rules hide-all-input;
interface-service {
service-interface sp-1/3/0.20;
}
}
}