Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

VPN と VPLS

VPNとは、デバイスからネットワークへのインターネット経由の暗号化された接続であり、トラフィックへの不正アクセス傍受を防止し、ユーザーがリモートで作業を行うことができます。詳細については、次のトピックを参照してください。

VPLS の概要

VPLSは、イーサネットベースのポイントツーマルチポイントレイヤー2 VPNです。地理的に分散したイーサネット LAN(ローカル エリア ネットワーク)サイトを MPLS バックボーン全体で相互に接続できます。VPLS を実装しているお客様は、トラフィックがサービス プロバイダのネットワークを通過する場合でも、すべてのサイトが同じイーサネット LAN にあるように見えます。

VPLS の実装と設定では、レイヤー 2 VPN と多くの共通点があります。VPLS では、サービス プロバイダの顧客のネットワーク内で発生したパケットが、まずカスタマー エッジ(CE)デバイス(ルーターやイーサネット スイッチなど)に送信されます。その後、サービス プロバイダのネットワーク内の PE(プロバイダ エッジ)ルーターに送信されます。パケットは、MPLS LSP(ラベルスイッチ パス)を介してサービス プロバイダのネットワークを通過します。エグレス PE ルーターに到着し、宛先カスタマー サイトの CE デバイスにトラフィックを転送します。

メモ:

VPLSマニュアルでは、ルーティング機能を提供するデバイスを指すためにPEルーターなどの用語でルーターを使用します。

違いは、VPLS では、パケットがポイントツーマルチポイントでサービス プロバイダのネットワークを通過できることです。つまり、CE デバイスから発生したパケットは、VPLS ルーティング インスタンスに属するすべての PE ルーターにブロードキャストできます。これとは対照的に、レイヤー 2 VPN はパケットをポイントツーポイントの方法でのみ転送します。

ルーティング インスタンスに参加する各 PE ルーター間で VPLS トラフィックを伝送するパスを pseudowire と呼びます。偽ワイヤは、BGP または LDP のいずれかを使用してシグナリングされます。

例:論理システムを使用したレイヤー 3 VPN および VPLS シナリオでのプロバイダ エッジおよびプロバイダ ルーターの設定

この例では、論理システムを使用して VPN および VPLS シナリオでプロバイダ エッジ(PE)およびプロバイダ(P)ルーターを設定する手順を順を追って説明します。

要件

この例では、デバイスの初期化以外の特別な設定は必要ありません。

概要

この例では、プロバイダ バックボーン全体で顧客のトラフィックを分離するために VPN を使用します。

トポロジ

図 1 は、MPLS バックボーン上で接続されている 4 組の CE ルーターを示しています。

  • ルーター CE1 と CE5 は red VPN の一部です。

  • ルーター CE2 と CE6 は青い VPN にあります。

  • ルーター CE3 および CE7 は VPLS ドメインに属します。

  • ルーター CE4 と CE8 は標準プロトコルで接続されています。

PE ルーター PE1 と PE2、プロバイダ コア ルーター P0 には、2 つの論理システムが設定されています。これらの 3 台のルーターにはそれぞれ、LS1 と LS2 の 2 つの論理システムがあります。論理システムの概念を示すために、どちらの VPN も論理システム LS1 の一部であり、VPLS インスタンスは論理システム LS2 に属し、残りのルーターはルーター PE1、P0、PE2 のメイン ルーター部分を使用します。

図 1:プロバイダ エッジとプロバイダ論理システムトポロジー図 Provider Edge and Provider Logical System Topology Diagram

ルーター PE1 では、論理システム LS1 に 2 つの VPN ルーティングおよび転送(VRF)ルーティング インスタンスが作成されます。ルーティング インスタンスは赤と青と呼ばれます。この例では、ルーターCE1からのトラフィックが赤いVPNに配置され、ルーターCE2からのトラフィックが青いVPNに配置されるように、カスタマーエッジ(CE)側の論理インターフェイスを設定します。 fe-0/0/1.1 の論理インターフェイスは、ルーター P0 の論理システム LS1 に接続します。VPLS ルーティング インスタンスは論理システム LS2 にあります。論理インターフェイスは、ルーター CE3 からのトラフィックが VPLS ドメインに送信されるように設定されています。この論理インターフェイスは、ルーター P0 の論理システム LS2 に接続します。この例には、論理システム LS1 の管理者も含まれています。論理システム管理者は、この論理システムの保守を担当します。最後に、この例では、ルーター PE1 のメイン ルーター部分とルーター CE4 を相互接続するように論理インターフェイスを設定する方法を示しています。

ルーター PE2 には、論理システム LS1 に 2 つの VRF ルーティング インスタンス(赤と青)があります。CE側の論理インターフェイスにより、ルーターCE5からのトラフィックを赤いVPNに、ルーターCE6からのトラフィックを青いVPNに配置できます。 so-1/2/0.1 上の 1 つの論理インターフェイスが、ルーター P0 の論理システム LS1 に接続されます。VPLS ルーティング インスタンスは論理システム LS2 で設定されます。論理インターフェイスにより、ルーター CE7 からのトラフィックを VPLS ドメインに送信し、ルーター P0 の論理システム LS2 に接続できます。この例では、ルーター CE8 をルーター P0 のメイン ルーター部分と相互接続するように論理インターフェイスを設定する方法を示しています。最後に、論理システム LS1 の設定権限と論理システム LS2 の表示権限を持つ論理システム管理者を必要に応じて作成できます。

ルーター P0 では、論理システム LS1、LS2、メイン ルーターを設定する方法を例に示します。物理インターフェイス のプロパティは、メイン ルーター [edit interfaces] 階層レベルで設定する必要があります。次に、プロトコル(RSVP、MPLS、BGP、IS-IS など)、ルーティング オプション、論理システムのポリシー オプションを設定する方法を示します。最後に、この例では、ルーター PE1 で設定されている論理システム LS1 に同じ管理者を設定する方法を示しています。論理システム LS2 のこのシステム管理者は、LS2 設定を表示する権限を持っていますが、論理システム LS2 の設定は変更できません。

論理システム LS1 は、ルーター CE1 と CE5 の間に存在する red VPN のトラフィックを転送します。論理システム LS1 は、ルーター CE2 と CE6 の間に存在する blue VPN も接続します。論理システム LS2 は、ルーター CE3 と CE7 間で VPLS トラフィックを転送します。ルーター P0 のメイン ルーターでは、通常どおりにルーターを設定できます。メイン ルーターは、ルーター CE4 と CE8 間のトラフィックを転送します。この例では、ルーター PE1 および PE2 のメイン ルーター部分に接続するようにインターフェイスとルーティング プロトコル(OSPF、BGP)を設定する方法を示しています。

構成

論理システムで PE ルーターと P ルーターを構成するには、以下のタスクを実行する必要があります。

カスタマー エッジ デバイスでのインターフェイスの設定

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

  1. ルーター CE1 で、ルーター PE1 の論理システム LS1 の red VPN に接続するように OSPF を設定します。

  2. ルーター CE2 で、ルーター PE1 の論理システム LS1 の blue VPN に接続するように BGP を設定します。

  3. ルーター CE3 では、VLAN 600 のファスト イーサネット インターフェイスを設定し、ルーター PE1 の論理システム LS2 の VPLS ルーティング インスタンスと接続します。

  4. ルーター CE4 で、ルーター PE1 のメイン ルーターと接続するようにファスト イーサネット インターフェイスを設定します。

  5. ルーター CE5 で、ルーター PE2 の論理システム LS1 の red VPN に接続するように OSPF を設定します。

  6. ルーター CE6 で、ルーター PE2 の論理システム LS1 の blue VPN に接続するように BGP を設定します。

  7. ルーター CE7 では、VLAN 600 のファスト イーサネット インターフェイスを設定し、ルーター PE2 の論理システム LS2 の VPLS ルーティング インスタンスと接続します。

  8. ルーター CE8 で、ルーター PE2 のメイン ルーターと接続するようにファスト イーサネット インターフェイスを設定します。

ルーター PE1 の設定

手順

  1. ルーター PE1 でメイン ルーターを設定します。

  2. ルーター PE1 で論理システム LS1 を設定します。

  3. ルーター PE1 で論理システム LS2 を設定します。

ルーター PE2 の設定

手順

  1. ルーター PE2 でメイン ルーターを設定します。

  2. ルーター PE2 で論理システム LS1 を設定します。

  3. ルーター PE2 で論理システム LS2 を設定します。

ルーター P0 の設定

手順

  1. ルーター P0 でメイン ルーターを設定します。

  2. ルーター P0 で論理システム LS1 を設定します。

  3. ルーター P0 で論理システム LS2 を設定します。

結果

ルーター CE1 で、ルーター PE1 の論理システム LS1 の red VPN に接続するように OSPF を設定します。

ルーター CE1

ルーター CE2 で、ルーター PE1 の論理システム LS1 の blue VPN に接続するように BGP を設定します。

ルーター CE2

ルーター CE3 で、VLAN 600 のファスト イーサネット インターフェイスを設定し、ルーター PE1 の論理システム LS2 の VPLS ルーティング インスタンスと接続します。

ルーター CE3

ルーター CE4 で、ルーター  PE1 のメイン ルーターと接続するようにファスト イーサネット インターフェイスを設定します。

ルーター CE4

ルーター PE1 で、論理システム LS1 で 2 つの VPN ルーティングおよび転送(VRF)ルーティング インスタンスを作成します。赤と青。ルーターCE1からのトラフィックが赤いVPNに配置され、ルーターCE2  からのトラフィックが青いVPNに配置されるように、CE側の論理インターフェイスを設定します。次に、 fe-0/0/1.1 で論理インターフェイスを作成し、ルーター P0 の論理システム LS1 に接続します。

ルーター PE1 でも、論理システム LS2 に VPLS ルーティング インスタンスを作成します。ルーター CE3 からのトラフィックが VPLS ドメインに送信され、ルーター P0 の論理システム LS2 に接続されるように、論理インターフェイスを設定します。

論理システム LS1 の管理者を作成します。論理システム管理者は、この論理システムの保守を担当することができます。

最後に、ルーター CE4 をルーター P0 のメイン ルーター部分と相互接続するように論理インターフェイスを設定します 。

ルーター PE1

ルーター P0 で、論理システム LS1、LS2、メイン ルーターを設定します。論理システムでは、メイン ルーター [edit interfaces] 階層レベルで物理インターフェイス プロパティを設定し、論理インターフェイスを論理システムに割り当てる必要があります。次に、論理システムのプロトコル(RSVP、MPLS、BGP、IS-IS など)、ルーティング オプション、ポリシー オプションを設定する必要があります。最後に、ルーター PE1 で設定した論理システム LS1 に対して同じ管理者を設定します。論理システム LS2 の同じ管理者に、LS2 設定を表示する権限を付与するように設定しますが、LS2 の設定は変更しないでください。

この例では、論理システム LS1 は、ルーター CE1 と CE5 の間に存在する red VPN のトラフィックを転送します。論理システム LS1 は、ルーター CE2 と CE6 の間に存在する blue VPN も接続します。論理システム LS2 は、ルーター CE3 と CE7 間で VPLS トラフィックを転送します。

ルーター P0 のメイン ルーターでは、通常どおりにルーターを設定できます。この例では、メイン ルーターがルーター CE4 と CE8 間のトラフィックを転送します。その結果、ルーター PE1 および PE2 のメイン ルーター部分に接続するようにインターフェイスとルーティング プロトコル(OSPF、BGP)を設定します。

ルーター P0

ルーター PE2 で、論理システム LS1 に 2 つの VRF ルーティング インスタンス(赤と青)を作成します。ルーター CE5 からのトラフィックが赤い VPN に配置され、ルーター CE6 からの トラフィックが青い VPN に配置されるように、CE 側の論理インターフェイスを設定します。次に、 so-1/2/0.1 上に 1 つの論理インターフェイスを作成し、ルーター P0 の論理システム LS1 に接続します

ルーター PE2 でも、論理システム LS2 に VPLS ルーティング インスタンスを作成します。ルーター CE7 からのトラフィックが VPLS ドメインに送信され、ルーター P0 の論理システム LS2 に接続されるように、論理インターフェイスを設定します。

ルーター CE8 をルーター P0 のメイン ルーター部分と相互接続するための論理インターフェイスを設定します 。

最後に、論理システム LS1 の設定権限と論理システム LS2 の表示権限を持つ論理システム管理者を必要に応じて作成できます。

ルーター PE2

ルーター CE5 で、ルーター PE2 の論理システム LS1 の red VPN に接続するように OSPF を設定します。

ルーター CE5

ルーター CE6 で、ルーター PE2 の論理システム LS1 の blue VPN に接続するように BGP を設定します。

ルーター CE6

ルーター CE7 で、VLAN 600 のファスト イーサネット インターフェイスを設定し、ルーター PE2 の論理システム LS2 の VPLS ルーティング インスタンスと接続します。

ルーター CE7

ルーター CE8 で、ルーター PE2 のメイン ルーターと接続するようにファスト イーサネット インターフェイスを設定します。

ルーター CE8

検証

次のコマンドを実行して、設定が正しく機能していることを確認します。

  • show bgp summary (論理システム logical-system-name)

  • show isis 隣接関係 (論理システム logical-system-name)

  • show mpls lsp (論理システム logical-system-name)

  • show(ospf | ospf3)ネイバー (論理システム logical-system-name)

  • show route (論理システム logical-system-name)

  • show route protocol (論理システム logical-system-name)

  • show rsvp session (論理システム logical-system-name )

次のセクションでは、設定例で使用されるコマンドの出力を示します。

ルーター CE1 ステータス

目的

接続性を検証します。

アクション

ルーター CE2 ステータス

目的

接続性を検証します。

アクション

ルーター CE3 ステータス

目的

接続性を検証します。

アクション

ルーター PE1 ステータス:メイン ルーター

目的

BGP 運用を検証します。

アクション

ルーター PE1 ステータス:論理システム LS1

目的

BGP 運用を検証します。

アクション

Red VPN

プライマリ管理者または論理システム管理者は、次のコマンドを発行して、特定の論理システムの出力を表示できます。

青い VPN

プライマリ管理者または論理システム管理者は、次のコマンドを発行して、特定の論理システムの出力を表示できます。

ルーター PE1 ステータス:論理システム LS2

目的

VPLS 動作を確認します。

アクション

ルーター P0 ステータス:メイン ルーター

目的

接続性を検証します。

アクション

ルーター P0 ステータス:メイン ルーター

目的

ルーティング プロトコルの動作を検証します。

アクション

ルーター P0 ステータス:論理システム LS1

目的

ルーティング プロトコルの動作を検証します。

アクション

ルーター P0 ステータス:論理システム LS2

目的

ルーティング プロトコルの動作を検証します。

アクション

ルーター PE2 ステータス:メイン ルーター

目的

ルーティング プロトコルの動作を検証します。

アクション

ルーター PE2 ステータス:論理システム LS1

目的

ルーティング プロトコルの動作を検証します。

アクション

Red VPN

青い VPN

ルーター PE2 ステータス:論理システム LS2

目的

ルーティング プロトコルの動作を検証します。

アクション

ルーター CE5 ステータス

目的

接続性を検証します。

アクション

ルーター CE6 ステータス

目的

接続性を検証します。

アクション

ルーター CE7 ステータス

目的

接続性を検証します。

アクション

論理システム管理者の検証出力

目的

論理システム管理者は、割り当てられている論理システムの設定情報にのみアクセスできるため、検証出力はこれらの論理システムにも限定されます。次の出力は、この設定例の論理システム管理者 LS1-admin が表示する内容を示しています。

CE ルーターの各ペアがエンドツーエンドの接続性を持っていることを確認するには、ルーター CE1、CE2、および CE3 でコマンドを発行 ping します。

アクション

CE1 から、ping CE5(Red VPN)

CE2 から、ping CE6(Blue VPN)を実行します。

CE3 から、ping CE7(VPLS)を実行します。

「」も参照

関連ドキュメント