Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ネクストホップベースの動的トンネル

例:ネクストホップベース MPLS-over-UDP 動的トンネルの設定

この例では、トンネル コンポジット ネクスト ホップを含む動的 MPLS-over-UDP トンネルを設定する方法を示しています。MPLS-over-UDP 機能は、デバイスでサポートされる IP トンネルの数に対する拡張性の利点を提供します。

Junos OS リリース 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターおよび QFX シリーズ スイッチでサポートされています。PTX ルーターまたは QFX スイッチ上に設定されたすべての動的トンネルに対して、トンネル複合ネクスト ホップ、間接ネクスト ホップ、転送ネクスト ホップが作成され、トンネル宛先ルートが解決されます。また、階層レベルで forwarding-rib 設定ステートメントを含めて、ポリシー制御を使用して、選択したプレフィックス上で動的トンネルを [edit routing-options dynamic-tunnels] 解決することもできます。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • MPC と MIC を備えた 5 台の MX シリーズ ルーター。

  • プロバイダ エッジ(PE)ルーターで実行されている Junos OS リリース 16.2 以降。

開始する前に、以下を行います。

  1. ループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイスのルーター ID と自動システム番号を設定します。

  3. リモート PE デバイスを使用して内部 BGP(IBGP)セッションを確立します。

  4. デバイス間で OSPF ピアリングを確立します。

概要

Junos OSリリース16.2以降、動的UDPトンネルは、設定されたすべてのUDPトンネルに対するトンネルコンポジットネクストホップの作成をサポートします。これらのネクストホップベースの動的UDPトンネルは、MPLS-over-UDPトンネルと呼ばれます。MPLS-over-UDP トンネルでは、デフォルトでトンネル 複合ネクスト ホップが有効になっています。

MPLS-over-UDP トンネルは、本質的に双方向または一方向です。

  • 双方向:PE デバイスが MPLS-over-UDP トンネルを介して双方向に接続されている場合、双方向 MPLS-over-UDP トンネルと呼ばれます。

  • 一方向:2 つの PE デバイスが MPLS-over-UDP トンネルを介して一方向に、MPLS/IGP を介して他方の方向に接続されている場合、これは単一方向 MPLS-over-UDP トンネルと呼ばれます。

    移行シナリオでは、単一方向 MPLS-over-UDP トンネルが使用されます。また、2 つの PE デバイスが 2 つの分離したネットワーク上で相互に接続を提供する場合に使用されます。一方向 MPLS-over-UDP トンネルには逆方向トンネルが存在しないため、トラフィックを転送するために、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を設定する必要があります。

Junos OS リリース 18.2R1 以降、PTX シリーズ ルーターと、単一方向 MPLS-over-UDP トンネルを備えた QFX10000 では、MPLS-over-UDP パケット用の入力フィルターと、逆トンネル方向にパケットを転送するための IP ヘッダーと UDP ヘッダーをカプセル化解除するアクションを使用して、リモート PE デバイスを設定する必要があります。

たとえば、リモート PE デバイスのデバイス PE2 では、単一方向 MPLS-over-UDP トンネルには次の設定が必要です。

PE2

上記のサンプル設定では、 は MPLS-over-UDP Decap_Filter カプセル化解除に使用されるファイアウォール フィルターの名前です。条件 udp_decap は、デバイスPE2のコア側インターフェイスでUDPパケットを受け入れ、MPLS-over-UDPパケットをMPLS-over-IPパケットにカプセル化解除して転送するための入力フィルターです。

フィルターベースの MPLS-over-UDP カプセル化解除を表示するなど show firewall filter 、既存のファイアウォール動作モード コマンドを使用できます。

例えば、

注:

単一方向 MPLS-over-UDP トンネルの場合:

  • 外部ヘッダーとしてサポートされているのは IPv4 アドレスのみです。フィルターベースの MPLS-over-UDP カプセル化解除は、外部ヘッダーの IPv6 アドレスをサポートしていません。

  • カプセル化解除後は、デフォルトのルーティング インスタンスのみがサポートされます。

Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルの拡張制限が増加しています。

Junos リリース 19.2R1 以降、MPC と MIC を備えた MX シリーズ ルーターでは、キャリア サポート キャリア(CSC)アーキテクチャを、キャリアの PE デバイス間で確立された動的 IPv4 UDP トンネルを介して MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して導入できます。この機能強化により、MPLS-over-UDP トンネルが提供する拡張上のメリットがさらに増加します。MPLS-over-UDP トンネルでの CSC のサポートは、IPv6 UDP トンネルではサポートされていません。

既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルート内のピア デバイスから受信したトンネル情報は無視されます。Junos OSリリース17.4R1以降、MXシリーズルーターでは、BGPカプセル化拡張コミュニティを使用して、ネクストホップベースの動的MPLS-over-UDPトンネルがシグナリングされます。BGP エクスポート ポリシーは、トンネル タイプの指定、送信者側のトンネル情報のアドバタイズ、レシーバ側のトンネル情報の解析と伝達に使用されます。トンネルは、受信したタイプのトンネル コミュニティに従って作成されます。

BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定されたBGPポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの両端でトンネルの優先度が一貫している必要があります。デフォルトでは、MPLS-over-UDP トンネルが GRE トンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネル コミュニティよりも優先されます。

ネクストホップベースの動的 MPLS-over-UDP トンネルを設定する場合は、次の考慮事項に注意してください。

  • PE デバイス間で IBGP セッションを設定する必要があります。

  • UDP と GRE(ネクストホップベースの動的トンネル カプセル化)間の切り替えが許可され、各モードでサポートされる IP トンネル拡張値の観点からネットワーク パフォーマンスに影響を与える可能性があります。

  • 同じトンネル宛先に対して GRE と UDP のネクストホップベースの動的トンネル カプセル化タイプの両方を使用すると、コミットエラーが発生します。

  • 一方向 MPLS-over-UDP トンネルの場合、パケットを転送するように、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を明示的に設定する必要があります。

  • グレースフル ルーティング エンジン スイッチオーバー(GRES)は MPLS-over-UDP でサポートされ、MPLS-over-UDP トンネル タイプ フラグは統合型 ISSU および NSR に準拠しています。

  • MPLS-over-UDP トンネルは、Lite モードの仮想 MX(vMX)でサポートされています。

  • MPLS-over-UDP トンネルは、新しい IPv4 マップド IPv6 ネクスト ホップに基づく動的 GRE トンネルの作成をサポートします。

  • MPLS-over-UDP トンネルは contrail との相互運用性でサポートされており、CONTRAIL vRouter から MX ゲートウェイへの MPLS-over-UDP トンネルが作成されます。これを有効にするには、MX シリーズ ルーターから Contrail vRouter へのルートで次のコミュニティをアドバタイズする必要があります。

    特定の時点で、contrail vRouter(ネクストホップベースの動的GREトンネル、MPLS-over-UDPトンネル、またはVXLAN)でサポートされているトンネルタイプは1つだけです。

  • 次の機能は、ネクストホップベースの動的MPLS-over-UDPトンネル設定ではサポートされていません。

    • RSVP 自動メッシュ

    • プレーン IPV6 GRE および UDP トンネル構成

    • 論理システム

トポロジ

図 1 は、動的 MPLS-over-UDP トンネル上のレイヤー 3 VPN シナリオを示しています。カスタマー エッジ(CE)デバイス、CE1、CE2 は、それぞれ PE(プロバイダ エッジ)デバイス、PE1、PE2 に接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。PE デバイス間では、動的なネクストホップベースの双方向 MPL-over-UDP トンネルが設定されます。

図 1: ダイナミック MPLS-over-UDP トンネル ダイナミック MPLS-over-UDP トンネル

MPLS-over-UDP トンネルは、次のように処理されます。

  1. MPLS-over-UDP トンネルが設定されると、inet.3 ルーティング テーブル内のトンネルに対してトンネルコンポジットネクスト ホップを持つトンネル宛先マスク ルートが作成されます。この IP トンネル ルートは、動的トンネル設定が削除された場合にのみ取り消されます。

    トンネル複合ネクスト ホップ属性には、次のものが含まれます。

    • レイヤー 3 VPN 複合ネクスト ホップが無効になっている場合:送信元と宛先のアドレス、カプセル化文字列、VPN ラベル。

    • レイヤー 3 VPN 複合ネクスト ホップとプレフィックスごとの VPN ラベル割り当てが有効になっている場合:送信元アドレス、宛先アドレス、カプセル化文字列。

    • レイヤー 3 VPN 複合ネクスト ホップが有効で、プレフィックスごとの VPN ラベル割り当てが無効になっている場合:送信元アドレス、宛先アドレス、カプセル化文字列。この場合のルートは、セカンダリ ルートを使用して他の仮想ルーティングおよび転送インスタンス テーブルに追加されます。

  2. PE デバイスは IBGP セッションを使用して相互接続されます。リモートBGPネイバーへのIBGPルートのネクストホップはプロトコルのネクストホップで、トンネルのネクストホップを使用してトンネルマスクルートを使用して解決されます。

  3. プロトコルのネクスト ホップがトンネル 複合ネクスト ホップを介して解決されると、転送ネクスト ホップを持つ間接ネクスト ホップが作成されます。

  4. トンネル複合ネクスト ホップは、間接ネクスト ホップのネクスト ホップを転送するために使用されます。

設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

CE1

CE2

PE1

P1

PE2

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

デバイス PE1 を設定するには、次の手順に従います。

  1. デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイス P1 をネクスト ホップ宛先として使用して、デバイス PE1 からのルートの静的ルートを設定します。

  3. デバイス PE1 のルーター ID と自律システム番号を設定します。

  4. (PTX シリーズのみ)ポリシー制御を設定して、選択したプレフィックス上で MPLS-over-UDP 動的トンネル ルートを解決します。

  5. (PTX シリーズのみ)動的トンネル宛先ルートを解決するための inet-import ポリシーを設定します。

  6. PE デバイス間の IBGP ピアリングを設定します。

  7. 管理インターフェイスを除く、デバイス PE1 のすべてのインターフェイスで OSPF を設定します。

  8. デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。

    注:

    この手順は、ネクストホップベースの動的 GRE トンネルと MPLS-over-UDP トンネルの実装の違いを示す場合にのみ必要です。

  9. デバイス PE1 からデバイス PE2 への MPLS-over-UDP トンネル パラメータを設定します。

  10. デバイス PE1 およびその他のルーティング インスタンス パラメータで VRF ルーティング インスタンスを設定します。

  11. デバイス CE1 とのピアリングのルーティング インスタンス設定で BGP を有効にします。

結果

設定モードから、 、 show routing-optionsshow protocolsおよび コマンドをshow interfaces入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから入力 commit します。

検証

設定が正しく機能していることを確認します。

PE デバイス間の接続の検証

目的

デバイス PE1 とデバイス PE2 の間の BGP ピアリング ステータスと、デバイス PE2 から受信した BGP ルートを検証します。

対処

動作モードから、and show route receive-protocol bgp ip-address table bgp.l3vpn.0 コマンドをshow bgp summary実行します。

意味
  • 最初の出力では、BGP セッションの状態は Establ、セッションが稼働し、PE デバイスがピアリングされていることを意味します。

  • 2 番目の出力では、デバイス PE1 はデバイス PE2 から BGP ルートを学習しました。

デバイス PE1 での動的トンネル ルートの検証

目的

inet.3 ルーティング テーブル内のルートと、デバイス PE1 の動的トンネル データベース情報を検証します。

対処

動作モードから、 、show dynamic-tunnels database terseshow dynamic-tunnels databaseおよびコマンドをshow dynamic-tunnels database summary実行show route table inet.3します。

意味
  • 最初の出力では、デバイス PE1 は MPLS-over-UDP トンネルで設定されているため、inet.3 ルーティング テーブル ルート エントリー用にトンネル コンポジット ルートが作成されます。

  • 残りの出力では、MPLS-over-UDP トンネルは、トンネル カプセル化タイプ、トンネルのネクスト ホップ パラメーター、およびトンネル ステータスとともに表示されます。

デバイス PE2 上の動的トンネル ルートの検証

目的

inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を検証します。

対処

動作モードから、 、 および コマンドをshow dynamic-tunnels database terse実行show route table inet.3します。

意味

出力は、MPLS-over-UDP トンネルの作成と、デバイス PE1 と同様に、ネクスト ホップ インターフェイスとして割り当てられたネクストホップ ID を示しています。

ルートに予想される間接ネクスト ホップ フラグがあることを検証する

目的

デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブルでネクスト ホップ バインディングを転送する間接ネクスト ホップを維持するように設定されていることを確認します。

対処

動作モードから、デバイス PE1 およびデバイス PE2 でコマンドを実行 show krt indirect-next-hop します。

意味

出力は、PE デバイス間にネクストホップベースの動的 MPLS-over-UDP トンネルが作成されることを示しています。

トラブルシューティング

ネクストホップベースの動的トンネルをトラブルシューティングするには、以下を参照してください。

トラブルシューティング コマンド

問題

ネクストホップベースの動的 MPLS-over-UDP トンネル設定は有効ではありません。

ソリューション

ネクストホップベースの MPLS-over-UDP トンネル設定をトラブルシューティングするには、ステートメント階層で次のコマンドを[edit routing-options dynamic-tunnels]使用しますtraceroute

  • traceoptions file file-name

  • traceoptions file size file-size

  • traceoptions flag all

例えば、

ネクストホップベースの動的トンネルに対するアンチスプーフィング保護の概要

データ センターへの大規模な IP トンネルの導入が増加する中、ユーザーが侵害された仮想マシン(VM)からの悪意のあるトラフィックを制限できるセキュリティ対策を追加する必要があります。攻撃の可能性の 1 つは、侵害されたサーバーからゲートウェイ ルーターを介して任意の顧客 VPN にトラフィックをインジェクトすることです。このような場合、IP トンネル上のアンチスプーフィング チェックにより、指定された IP トンネルからデータ センターにトラフィックがインジェクトされるのは正規のソースのみです。

ネクストホップベースの動的IPトンネルは、デバイス上に作成されたすべての動的トンネルに対してトンネルコンポジットネクストホップを作成します。ネクストホップベースの動的トンネルは、設定されたすべての新しい動的トンネルの物理インターフェイスへの依存を排除するため、ネクストホップベースの動的トンネルを設定すると、デバイス上に作成できる動的トンネルの数よりも拡張性に優れたメリットがあります。Junos OSリリース17.1以降、ネクストホップベースの動的IPトンネルに対するアンチスプーフィング機能が、ネクストホップベースの動的トンネルに提供されます。この機能強化により、セキュリティ対策が実装され、侵害されたサーバーからゲートウェイ ルーターを介して任意の顧客 VPN にトラフィックがインジェクトされるのを防ぎます。

アンチスプーフィングは、パケット転送エンジンのリバース パス転送チェックを使用して実装されます。このチェックは、トンネルを通過してルーティング インスタンスに入ってくるトラフィックに対して実装されます。現在、ゲートウェイ ルーターがトンネルからトラフィックを受信すると、宛先ルックアップのみが実行され、それに応じてパケットが転送されます。アンチスプーフィング保護が有効になっている場合、ゲートウェイ ルーターは、トンネル宛先ルックアップに加えて、VPN のカプセル化パケット IP ヘッダーの送信元アドレス ルックアップも実行します。これにより、正規のソースが指定された IP トンネルを介してトラフィックをインジェクトします。その結果、アンチスプーフィング保護により、指定されたトンネル上の正当なソースからトンネル トラフィックを確実に受信できます。

図 2 は、アンチスプーフィング保護の要件を持つサンプル トポロジを示しています。

図 2: ネクストホップベースの動的トンネルに対するアンチスプーフィング保護ネクストホップベースの動的トンネルに対するアンチスプーフィング保護

この例では、ゲートウェイ ルーターはルーター G です。ルーター G には 2 つの VPN(緑と青)があります。サーバーAとサーバーBの2つのサーバーは、それぞれネクストホップベースの動的トンネルT1とT2を介して、ルーターGの緑と青のVPNにアクセスできます。サーバーに接続されている複数のホストと仮想マシン(P、Q、R、S、T)はゲートウェイ ルーターを介して VPN に到達できます。ルーター G. ルーター G には、緑と青の VPN の VRF(仮想ルーティングおよび転送)テーブルがあり、それぞれに VPN 内の仮想マシンの到達可能性情報が設定されています。

たとえば、VPN グリーンでは、ルーター G はトンネル T1 を使用してホスト P に到達し、トンネル T2 を使用してホスト R と S に到達し、トンネル T1 と T2 の間でロード バランシングを行ってマルチホーム ホスト Q に到達します。VPN Blue では、ルーター G はトンネル T1 を使用してホスト P と R に、トンネル T2 を使用してホスト Q と T に到達します。

このチェックは、次の場合に逆パス転送に合格します。

  • パケットは、指定されたトンネル上の正当なソースから送信されます。

    VPN グリーンのホスト P は、トンネル T1 を使用してパケットをホスト X に送信します。ルーター G はトンネル T1 を介してホスト P に到達できるため、パケットはパケットを通過させ、X をホストするように転送できます。

  • パケットは、指定されたトンネル上のマルチホーム ソースから送信されます。

    VPN グリーンのホスト Q は、サーバー A と B にマルチホームで、トンネル T1 と T2 を介してルーター G に到達できます。ホストQは、トンネルT1を使用してホストYにパケットを送信し、トンネルT2を使用してXをホストするパケットを送信します。ルーター G はトンネル T1 と T2 を介してホスト Q に到達できるため、パケットはそれぞれ Y と X を通過させてホストに転送できます。

レイヤー 3 VPN では、デフォルトでアンチスプーフィング保護は有効になっていません。ネクストホップベースの動的トンネルでアンチスプーフィングを有効にするには、階層レベルで ip-tunnel-rpf-check ステートメントを [edit routing-instances routing-instance-name routing-options forwarding-table] 含めます。リバース パス転送チェックは VRF ルーティング インスタンスにのみ適用されます。デフォルト モードは、設計されていないトンネル上のソースから送信されるパケットがチェックに合格しない場合に設定 strictされます。このモードは ip-tunnel-rpf-check 、パケットが存在しないソースから送信されたときにリバース パス転送チェックが失敗する場合に、次のように loose設定できます。オプションのファイアウォール フィルターは、リバース パス転送チェックに失敗したパケットをカウントしてログに記録するように、ステートメントの下 ip-tunnel-rpf-check で設定できます。

次の出力例は、スプーフィング防止設定を示しています。

ネクストホップベースの動的トンネルに対してアンチスプーフィング保護を設定する場合は、以下のガイドラインを考慮してください。

  • IPv4 トンネルと IPv4 データ トラフィックに対してのみ、アンチスプーフィング保護を有効にできます。アンチスプーフィング機能は、IPv6 トンネルおよび IPv6 データ トラフィックではサポートされていません。

  • ネクストホップベースの動的トンネルのアンチスプーフィングは、侵害された仮想マシン(内部ソースリバースパス転送チェック)を検出して防止できますが、ラベルスプーフィングである侵害されたサーバーは検出および防止できません。

  • ネクストホップベースの IP トンネルは、inet.0 ルーティング テーブルで開始および終了できます。

  • VRF ルーティング インスタンスにラベルスイッチ インターフェイス(LSI)(を使用 vrf-table-label)、または VT(仮想トンネル)インターフェイスがある場合、アンチスプーフィング保護が効果的です。VRF ルーティング インスタンスのラベルでは per-next-hop 、アンチスプーフィング保護はサポートされていません。

  • これは rpf fail-filter 、内部 IP パケットにのみ適用されます。

  • アンチスプーフィング チェックを有効にしても、デバイス上のネクストホップベースの動的トンネルのスケーリング制限に影響を与えることはありません。

  • VRF ルーティング インスタンスでアンチスプーフィング保護が有効になっているシステム リソースの使用率は、スプーフィング防止保護が有効になっていないネクストホップベースの動的トンネルの使用率よりも若干高くなります。

  • アンチスプーフィング保護では、ソース IP アドレスチェックを追加する必要があり、ネットワーク パフォーマンスへの影響は最小限です。

  • グレースフル ルーティング エンジン スイッチオーバー(GRES)と ISSU(インサービス ソフトウェア アップグレード)は、アンチスプーフィング保護でサポートされています。

例:ネクストホップベースの動的トンネルに対するアンチスプーフィング保護の設定

この例では、VRF(仮想ルーティングおよび転送)ルーティング インスタンスのリバース パス転送チェックを設定して、ネクストホップベースの動的トンネルでアンチスプーフィング保護を有効にする方法を示しています。チェックにより、正規のソースが指定された IP トンネルを介してトラフィックをインジェクトしていることを確認します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • MIC を備えた 3 台の MX シリーズ ルーター(各ルーターはホスト デバイスに接続)。

  • Junos OS リリース 17.1 以降は、1 台またはすべてのルーターで実行されています。

開始する前に、以下を行います。

  • Flexible PIC Concentrator でトンネル サービスの設定を有効にします。

  • ルーター インターフェイスを設定します。

  • ルーター ID を設定し、ルーターに自律システム番号を割り当てます。

  • トンネル エンドポイントを使用して内部 BGP(IBGP)セッションを確立します。

  • すべてのルーターで RSVP を設定します。

  • すべてのルーターで OSPF またはその他の内部ゲートウェイ プロトコルを設定します。

  • 2 台のルーター間に 2 つの動的ネクストホップベース IP トンネルを設定します。

  • ルーターとホスト間のすべての接続に VRF ルーティング インスタンスを設定します。

概要

Junos OSリリース17.1以降、アンチスプーフィング機能がネクストホップベースの動的IPトンネルに追加され、パケット転送エンジンのリバースパスフォワーディングを使用して、トンネルからルーティングインスタンスに送信されるトラフィックのチェックが実装されます。

現在、ゲートウェイ ルーターがトンネルからトラフィックを受信すると、転送前に宛先アドレス ルックアップのみが実行されます。アンチスプーフィング保護により、ゲートウェイ ルーターは VPN のカプセル化パケット IP ヘッダーの送信元アドレス ルックアップを実行し、正規のソースが指定された IP トンネルを介してトラフィックをインジェクトしていることを確認します。これはストリクト モードと呼ばれ、アンチスプーフィング防御のデフォルト動作です。設計されていないトンネルからトラフィックを通過させるために、逆パス転送チェックは失いモードで有効になります。存在しないソースから受信したトラフィックの場合、リバース パス転送チェックは、ストリクト モードとルーズ モードの両方で失敗します。

VRF ルーティング インスタンスでは、アンチスプーフィングがサポートされています。動的トンネルのスプーフィング防止を有効にするには、階層レベルに ip-tunnel-rpf-check ステートメントを [edit routing-instances routing-instance-name routing-options forwarding-table] 含めます。

トポロジ

図 3 は、アンチスプーフィング保護で有効になっているネットワーク トポロジーの例を示しています。ルーター R0、R1、R2 は、それぞれホスト Host0、Host1、および Host2 にそれぞれ接続されています。GRE(一般ルーティングカプセル化)のネクストホップベースの動的トンネル、トンネル1とトンネル2 : ルーターR0をルーターR1とR2にそれぞれ接続します。VRF ルーティング インスタンスは、各ルーターとその接続されたホスト デバイスの間で実行されています。

図 3: ネクストホップベースの動的トンネルに対するアンチスプーフィング保護ネクストホップベースの動的トンネルに対するアンチスプーフィング保護

たとえば、ルーター R2 からネクストホップベースの動的 GRE トンネル(トンネル 2)を通じて、ルーター 0 で 3 つのパケット(パケット A、B、C)を受信します。これらのパケットの送信元 IP アドレスは、172.17.0.2(パケット A)、172.18.0.2(パケット B)、172.20.0.2(Packet C)です。

パケット A と B の送信元 IP アドレスは、それぞれホスト 2 とホスト 1 に属します。Packet C は存在しないソース トンネルです。この例の指定トンネルはトンネル 2 で、設計されていないトンネルはトンネル 1 です。そのため、パケットは次のように処理されます。

  • Packet A—送信元が指定トンネル(トンネル 2)から送信されるため、パケット A はリバース パス転送チェックに合格し、トンネル 2 を介した転送のために処理されます。

  • Packet B—デフォルトでは、送信元が非ディセンストンネルであるトンネル 1 から送信されるため、パケット B はストリクト モードでリバース パス転送チェックに失敗します。ルーズ モードが有効になっている場合、パケット B は転送が許可されます。

  • Packet C—送信元が存在しないトンネル ソースであるため、Packet C はリバース パス転送チェックに失敗し、パケットは転送されません。

設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。

ルーター R0

ルーターR1

R2

手順

手順

次の例では、設定階層のさまざまなレベルに移動する必要があります。CLI のナビゲーションの詳細については、『CLI ユーザー ガイドの「設定モードでの CLI エディターの使用」を参照してください。

ルーター R0 を設定するには、次の手順に応えます。

  1. ループバック インターフェイスを含め、ルーター R0 のインターフェイスを設定します。

  2. ルーターR0のルーターIDと自律システム番号を割り当てます。

  3. ルーター間の IBGP ピアリングを設定します。

  4. 管理インターフェイスを除く、ルーター R0 のすべてのインターフェイスで OSPF を設定します。

  5. 管理インターフェイスを除く、ルーター R0 のすべてのインターフェイスで RSVP を設定します。

  6. ルーターR0でネクストホップベースの動的GREトンネル設定を有効にします。

  7. ルーター R0 からルーター R1 への動的 GRE トンネル パラメーターを設定します。

  8. ルーター R0 からルーター R2 への動的 GRE トンネル パラメーターを設定します。

  9. ルーター R0 で VRF(仮想ルーティングおよび転送)ルーティング インスタンスを設定し、ホスト 1 に接続するインターフェイスを VRF インスタンスに割り当てます。

  10. VRF ルーティング インスタンスのホスト 1 を使用して外部 BGP セッションを設定します。

  11. ルーター R0 の VRF ルーティング インスタンスに対してアンチスプーフィング保護を設定します。これにより、ルーター0のネクストホップベースの動的トンネルT1およびT2の逆パス転送チェックが可能になります。

結果

設定モードから、 、 show routing-optionsshow protocolsおよび コマンドをshow interfaces入力して設定をshow routing-options確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正しく機能していることを確認します。

基本構成の検証

目的

ルーター R0 とルーター R1 と R2 の間の OSPF および BGP ピアリング ステータスを検証します。

対処

動作モードから、and show bgp summaryコマンドをshow ospf neighbor実行します。

意味

OSPF および BGP セッションは、ルーター R0、R1、R2 間で稼働しています。

動的トンネル設定の検証

目的

ルーター R0 とルーター R1 と R2 間のネクストホップベースの動的 GRE トンネルのステータスを検証します。

対処

動作モードから、 、 および コマンドをshow dynamic-tunnels database terse実行show route table inet.3します。

意味

トンネル 1 とトンネル 2 という 2 つのネクストホップベースの動的 GRE トンネルが稼働しています。

アンチスプーフィング保護設定の検証

目的

ルーター R0 の VRF ルーティング インスタンスで、リバース パス転送チェックが有効になっていることを確認します。

対処

動作モードから、 を実行します show krt table VPN1.inet.0 detail

意味

設定されたリバース パス転送チェックは、ストリクト モードの VRF ルーティング インスタンスで有効になります。

ネクストホップベースの動的トンネルローカリゼーションの概要

ネクストホップベースの動的トンネルには、GRE(Generic Routing Encapsulation)トンネル数とMPLS-over-UDPトンネルが含まれます。これらのトンネルは、インターフェイスベースのトンネルよりも拡張性に優れたメリットがあります。しかし、インターフェイスベースのトンネルとは異なり、ネクストホップベースの動的トンネルは本質的にアンカーレスであり、トンネルの転送情報はデバイス上のすべてのライン カード上のパケット転送エンジン(PFE)に配信されます。これにより、デバイスでサポートされるトンネルの最大数が、1 つのライン カードのトンネル容量に制限されます。ローカリゼーションをサポートすることで、ネクストホップベースの動的トンネルローカリゼーションを設定して、アンカー PFE として指定されたライン カードの PFE でのみ転送情報を作成できます。デバイス上の他のライン カードの PFE には、パケットをアンカー PFE に誘導するための状態転送情報があります。これにより、デバイスでサポートされるトンネルの最大数を増やすことで、拡張性に優れたメリットが得られます。

ネクストホップベースの動的トンネルローカリゼーションのメリット

デバイスでサポートされるトンネルの最大数を増やすことで、拡張性に優れたメリットを提供します。

ネクストホップベースの動的トンネルローカリゼーションの使用事例

  • 多数の MS-MPC をホストする IPsec ゲートウェイ デバイスは、IPSec トンネルを終端するために使用され、中程度の負荷をサポートするために必要です。このサポートは、デバイスのスケーリング制限に達したときにネクストホップベースの動的トンネルを使用する場合に影響を受けます。ネクストホップベースの動的トンネルのローカライズにより、サポートされるトンネルの最大数が増え、デバイスは追加のファブリック ホップを犠牲にして、より多くのトンネルに対応できるようになります。

  • 仮想パブリック クラウド データ センターなどのインターネットまたは VPN ゲートウェイ デバイスでは、ゲートウェイ デバイスが多数のサーバーと通信する必要があります。データセンターサーバーは、ネクストホップベースの動的トンネルを介して到達可能です。動的トンネルのアンカーレス プロパティは、デバイスの全体的なスケーリング数を制限します。ゲートウェイ デバイスは複数の MPC をホストし、トラフィック要求が増加しています。ネクストホップベースの動的トンネルをローカライズすることで、トンネルを MPC 全体に分散できるため、トンネルのスケーリング数が増加します。

ネクストホップベースの動的トンネルのローカライズによるトラフィック処理

ローカライズのサポートにより、ネクストホップベースの動的トンネル状態はアンカーパケット転送エンジンにローカライズされ、もう1つのパケット転送エンジンは、トラフィックをトンネルアンカーにステアリングするためのトンネル状態を持ちます。

図 4 は、ローカリゼーションのないネクストホップベースの動的トンネルの転送パスを示しています。

図 4: ローカリゼーションを行わないネクストホップベースの動的トンネルの転送パスローカリゼーションを行わないネクストホップベースの動的トンネルの転送パス

図 5 は、ローカリゼーションを伴うネクストホップベースの動的トンネルの転送パスを示しています。

図 5: ローカリゼーションによるネクストホップベースの動的トンネルの転送パスローカリゼーションによるネクストホップベースの動的トンネルの転送パス

ネクストホップベースの動的トンネルローカリゼーションの設定

ローカライズサポートは、新しく作成されたネクストホップベースの動的トンネルまたは既存の非ローカル動的トンネルに対して設定できます。

新しいネクストホップベースの動的トンネルのローカライズの設定

ネクストホップベースの動的トンネルのローカライズでは、ポリシーベースのアプローチを使用してプレフィックス グループを指定します。つまり、ルート ポリシーを使用して、ローカリゼーション プロパティをネクストホップベースの動的トンネルに適用します。動的トンネル属性プロファイルは、ポリシーを使用してプレフィックス グループと関連付けするために、ルーティング オプションの下で作成および設定されます。

  1. 動的トンネル プロファイルの作成。

    動的トンネル プロファイルは、トンネル タイプとアンカーパケット転送エンジン情報を指定します。動的トンネルをローカライズするために、複数の動的トンネル プロファイルを作成できます。動的トンネル タイプの値は、GRE、UDP、または BGP-SIGNAL です。

    BGP-SIGNAL は有効なトンネル タイプではありませんが、BGP-SIGNAL をトンネル タイプとして割り当てる際に、BGP 信号属性から作成されたトンネルはローカライズされます。BGP-SIGNAL を使用する場合、トンネル タイプは、その TLV で BGP によってアドバタイズされるタイプに基づいて決定されます。BGP-SIGNAL トンネルは常にネクストホップベースのトンネルです。BGP-SIGNALによって動的に作成されたGREトンネルは、ユーザーがIFLを使用するようにGREによって作成されたトンネルを手動で設定した場合でも、常にネクストホップベースです。

    アンカー パケット転送エンジンの値は、pfe-x/y/0 などのアンカー パケット転送エンジンのライン カードです。この情報はコマンド出力から show interfaces terse pfe* 確認できます。

    Sample Configuration:

  2. 動的トンネル プロファイルとプレフィックス リストの関連付け。

    アクションとしてポリシー dynamic-tunnel-attributes を設定すると、動的トンネルがプレフィックス リストに関連付けられます。ポリシー from アクションでは、BGP ルートのプレフィックス範囲、コミュニティ、送信元アドレスなど、照合条件に対して指定された属性を持つトンネルを作成できます。

    Sample configuration:

  3. 転送テーブルエクスポート ポリシーの下にトンネル ポリシーを含める。

    ポリシーが設定されると、そのポリシーは、ポリシーの解析用の転送テーブルエクスポート ポリシーに含まれます。

    export-policy を使用すると、トンネル属性はルートに関連付けられます。BGP からのルートが解決のためにキューに入るたびに、転送テーブルのエクスポート ポリシーが評価され、適用されたフィルターに基づいてポリシー モジュールからトンネル属性が取得されます。取得したトンネル属性は、トンネル複合ネクスト ホップの形式でネクスト ホップにアタッチされます。パケット転送エンジンの名前とトンネル タイプに基づく対応するアンカー転送構造は、トンネル 複合ネクスト ホップが送信される前に作成され、転送テーブルに送信されます。ただし、どの属性もトンネル 複合ネクスト ホップにマッピングされていない場合、転送構造はローカライズされていない動的トンネルと同様に、すべてのパケット転送エンジン上に作成されます。

    Sample configuration:

既存のネクストホップベースの動的トンネルのローカライズの設定

注意:

動的トンネル属性を即座に変更すると、メモリ使用率が高いため、FPC がクラッシュする可能性があります。そのため、ローカライズを設定する前に、動的トンネル設定を非アクティブ化することをお勧めします。

既存のネクストホップベースの動的トンネルのトンネル属性を更新するには、以下を実行する必要があります。

  1. 階層レベルで設定を[edit routing-options]非アクティブにしますdynamic-tunnels

    Sample configuration:

  2. 必要に応じてトンネル属性を変更します。

  3. 階層レベルで設定を[edit routing-options]アクティブ化dynamic-tunnelsします。

    Sample configuration:

既存のローカル以外のネクストホップベースの動的トンネルのローカライズを設定するには、次の手順に基づいています。

注意:

ローカル以外のネクストホップベースの既存の動的トンネルに対してローカライズを設定する変更を即座に行うと、メモリ使用率が高いため、FPC がクラッシュする可能性があります。そのため、ローカライズを設定する前に、動的トンネル設定を非アクティブ化することをお勧めします。

  1. dynamic-tunnels階層レベルで設定を[edit routing-options]非アクティブにします。

  2. トンネル属性プロファイルを作成し、新しいネクストホップベースの動的トンネルと同様に、動的トンネルをローカライズするためのポリシーを追加します。

  3. 設定をアクティブ化します dynamic-tunnels

ローカライズされたネクストホップベースの動的トンネルのトラブルシューティング

ネクストホップベースの動的トンネルのローカライズにより、トンネル複合ネクスト ホップはアンカー パケット転送エンジンの ID に関連付けられます。階層レベルでの次の traceroute 構成ステートメントは、 [edit routing-options] ローカライズされた動的トンネルのトラブルシューティングに役立ちます。

  • dynamic-tunnels traceoptions flag all—トンネルの作成と削除を追跡します。

  • resolution traceoptions flag tunnel—BGPルート上のリゾルバー操作を追跡します。

  • forwarding-table traceoptions flag all—カーネルに送信されたトンネルを追跡します。

  • traceoptions flag all—ルート学習プロセスの追跡。

次のコマンドを使用して、ルートがローカライズされたネクストホップベースの動的トンネルを使用しているかどうかを確認できます。

  1. show route prefix extensive—間接的なネクスト ホップを取得します。

    例えば、

  2. show krt indirect-next-hop index indirect-next-hop detail—間接ネクスト ホップの詳細な出力でアンカー パケット転送エンジン フィールドをチェックするには。

    例えば、

ネクストホップベースの動的トンネルローカライズでサポートされていない機能

Junos OS は、ネクストホップベースの動的トンネルのローカライズにより、以下の機能をサポートしていません。

  • 階層レベルで [edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn] チェーン化された複合ネクスト ホップ。

  • アンカー パケット転送エンジンの耐障害性。

    ローカライズされたネクストホップベースの動的トンネルに対する耐障害性のサポートはありません。ネクストホップベースの動的トンネルをローカライズした後、アンカーパッカー転送エンジンは、デバイス上の特定のトンネルを処理するための単一エンティティになります。アンカー パッカー転送エンジンの耐障害性はサポートされていませんが、ゲートウェイ デバイスの冗長性により、トンネル コンポジット ネクスト ホップが委任されるパッカー転送エンジンがダウンした場合、トラフィックを冗長ゲートウェイ デバイスに再ルーティングする必要があります。ルーティング プロトコル プロセスは、パッカー転送エンジンの状態を監視し、その Packer Forwarding Engine に固定されているトンネル コンポジットネクスト ホップを指すすべてのルートの BGP アドバタイズメントを取り消します。

    本格的なトンネル コンポジット ネクスト ホップを持つのは、アンカーのパケット転送エンジンのみです。その他のすべてのパケット転送エンジンには、トラフィックをアンカー パケット転送エンジンに転送するためのステアリング エントリーしかありません。アンカー FPC がダウンしても、これらのステアリング エントリーは取り消されません。

  • 論理システムでは、ネクストホップベースの動的トンネルのローカライズはサポートされていません。

  • IPv6 は、ネクストホップベースの動的トンネルのローカライズではサポートされていません。

  • ローカリゼーションでは、 show dynamic-tunnels database summary アンカーパケット転送エンジンラインカードの状態が稼働していない場合、コマンドは正確なトンネルの要約を表示しません。回避策として、and show dynamic-tunnels database terse コマンド出力をshow dynamic-tunnels database使用します。

IP-over-IP カプセル化を使用したネクストホップベースの動的トンネリングの概要

SUMMARY 

メリット

IP-over-IP トンネリングには、以下のメリットがあります。

  • Alternative to MPLS over UDP—MPLS-over-UDP トンネリングの代替手段として使用して、サービスごとに専用デバイスがある IP サービスを提供できます。

  • Ability to steer specific traffic—MPLS トンネルとは対照的に、ルートをフィルタリングして特定のトラフィックを IP トンネル経由で誘導できるため、MPLS ネットワークと IP ネットワークが共存する場合にスムーズに移行できます。

  • Ability to support tunnels at increasing scale:BGP コントロール プレーンを使用した動的トンネルの作成により、大規模なトンネル作成が容易になります。

IP-over-IP 動的ネクスト ホップベース トンネリングとは

IP ネットワークには、エッジ デバイスとコア デバイスが含まれています。これらのデバイスの拡張性と信頼性を高めるためには、オーバーレイ カプセル化を使用して、エッジ デバイスがやり取りする外部ネットワークからコア ネットワークを論理的に分離する必要があります。

Junos OS リリース 20.3R1 以降、IP-over-IP カプセル化をサポートし、IP トランスポート ネットワーク上での IP オーバーレイの構築を容易にします。IP over IP は、より高い拡張性をサポートするために、ネクスト ホップベースのインフラストラクチャに依存しています。この機能は、IPv6 および IPv4 ペイロードの IPv4 カプセル化をサポートしています。サポートされているその他のオーバーレイ カプセル化のうち、IP-over-IP カプセル化は以下を可能にする唯一の種類です。

  • トランジット デバイスを使用して内部ペイロードを解析し、内部パケット フィールドを使用してハッシュ計算を行います。

  • カスタマーエッジデバイスを使用して、スループットを削減することなく、トンネル内およびトンネル外にトラフィックをルーティングできます。

MX シリーズ ルーターでは、ルーティング プロトコル デーモン(RPD)がカプセル化ヘッダーとトンネル コンポジット ネクストホップを送信し、PFE(パケット転送エンジン)がトンネル宛先アドレスを検出してパケットを転送します。PTX シリーズ ルーターと QFX10000 スイッチでは、RPD は完全に解決されたネクスト ホップベースのトンネルをパケット転送エンジンに送信します。BGP プロトコルは、ルートと信号の動的トンネルを分散するために使用されます。

次の図は、R-2 と R-4 の間で確立された IP over IP トンネルを介して、IPv4 または IPv6 トラフィックが R-1 から R-5 に送信される方法を示しています。

IP-over-IP トンネル スティッチング

Junos OSリリース21.3R1では、MX240、MX480、MX960、PTX1000、PTX10008、PTX10016、QFX10002でIP-over-IPトンネルスティッチングを導入しています。この機能を使用して、デバイス上の IP-over-IP トンネルを終端し、同じデバイス上で別のトンネルを開始できます。デバイスが IP-over-IP パケットを受信すると、外部パケット ヘッダーのカプセル化を解除し、内部パケット ルックアップが実行されます。次に、内部 IP パケット ヘッダーは、同じデバイス上の別のトンネルを指し、同じデバイスが別の IP-over-IP ヘッダーで再度パケットをカプセル化します。

例:ネクストホップベースの IP-over-IP 動的トンネルの設定

SUMMARY IP-over-IP カプセル化を使用してネクスト ホップベーストンネルを設定する方法について説明します。

要件

この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。

  • 5 台の MX シリーズ ルーター。

  • Junos OS リリース 20.3R1 以降のバージョン。

概要

Junos OS リリース 20.3R1 以降、IP-over-IP カプセル化をサポートし、IP トランスポート ネットワーク上での IP オーバーレイの構築を容易にします。この例では、ルートと信号動的トンネルを交換するために、OSPF コアを介して接続される R2 と R4 間の IBGP ピアリングを介して、PNH(プロトコル ネクスト ホップ)を使用してデバイス間にユニキャスト IP-over-IP トンネルを確立する方法を示しています。

トポロジ

図 1 は、5 台のデバイスを使用する IP-over-IP シナリオを示しています。

この例では、R2 と R4 の間で確立された IP-over-IP 動的トンネルを介して R1 から R5 にルートを交換しています。R1 からのルートは R2 にエクスポートされ、R5 からのルートはプロトコル IS-IS を使用して R4 にエクスポートされます。R2 から R4 へのユニキャスト IPIP トンネル Tunnel-01 と、R4 から R2 への別のトンネル Tunnel-01 を設定します。ピア デバイスの設定済み宛先ネットワークからネットワーク マスク内で生成されるルート プレフィックスは、トンネル内のルートの逆方向にトンネルおよびトラフィック フローを作成するために使用されます。

プロトコルのネクスト ホップを使用した IP-over-IP 動的トンネルの設定

CLI クイック設定

この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピーアンドペーストしてから、設定モードから commit と入力します。

R1

R2

R3

R4

R5

プロトコルのネクスト ホップを使用した IP-IP ダイナミック トンネルの設定

R1 の手順

R1 と R5 にも同様の構成があるため、R1 の手順のみを示します。

  1. R1 で設定モードにします。

  2. R2 およびインターフェイス lo0 に接続されたインターフェイスを設定します。ファミリー inetiso. プロトコルIS-ISにはファミリー iso が必要です。

  3. ルーター ID を設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 を入力 commit します。

R2 の手順

R2 と R4 にも同様の構成があるため、R2 の手順のみを示します。

  1. R2 で設定モードにします。

  2. R1 および R3 およびインターフェイス lo0 に接続されたインターフェイスを設定します。R1 および lo0 に接続されたファミリーinetiso インターフェイスの両方を設定することを確認します。

  3. R1 に接続されたインターフェイスに対して、プロトコル IS-IS を設定します。BGP ルートを IS-IS にアドバタイズするエクスポート ポリシーは、ポリシー設定ステップに示されています。

  4. r3 に接続されたインターフェイスに対して OSPF プロトコルを設定して、lo0 の到達可能性を実現します。

  5. R2 と R4 の間で router-id 、および autonomous-system、および IBGP を設定します。IS-IS ルートを BGP にアドバタイズするエクスポート ポリシーは、ポリシー設定ステップに示されています。

  6. 前の手順で適用された BGP および IS-IS エクスポート ポリシーを設定します。このポリシーは export-bgp 、BGP ルートを IS-IS にアドバタイズするエクスポートとしてプロトコル IS-IS に適用され、 export-isis ポリシーは BGP に IS-IS ルートをアドバタイズするエクスポートとして BGP に適用されます。ネクストホップセルフオプションを使用すると、R2は、R1のインターフェイスネクストホップではなく、ネクストホップとしてR2を使用して、IS-ISルートをBGPにアドバタイズできます。

  7. R2 から R4 への IP-IP 動的トンネル Tunnel-01 を設定します。設定オプション resolution-ribs inet.3 を使用すると、inet.3 でルート解決が可能になり、トンネルの確立に必要です。

  8. (オプション)- R2からR4へのIP-IPダイナミックトンネル Tunnel-01 の代替設定。トンネル設定を resolution-ribs inet.3 設定する代わりに、トンネル エンドポイントへのルートに対するプロトコルのネクスト ホップ設定よりも低いトンネルプリファレンスを設定できます。R4 のルートは OSPF を使用して学習され、優先度は 10 で、トンネルのデフォルト設定は 305 です。トンネル設定を OSPF プリファレンスよりも低く設定すると、トンネルを優先して確立できます。

  9. R2 の設定モードから入力 commit します。

R3 の手順
  1. R3 で設定モードにします。

  2. R2 および R4 およびインターフェイス lo0 に接続されたインターフェイスを設定します。

  3. ルーター ID を設定します。

  4. lo0 の到達可能性を実現するために、R2 および R4 に接続されたインターフェイスに OSPF プロトコルを設定します。

  5. R3 デバイスの設定モードから入力 commit します。

結果

デバイスの以下の設定を次のように確認して、設定を検証します。

R2 の設定を検証する方法は次のとおりです。

user@R2# show interfaces

user@R2# show routing-options

user@R2# show protocols

user@R2# show policy-options

検証

動的トンネル データベースの検証
目的

動的トンネル データベース情報を検証するには、動作モード コマンドを show dynamic-tunnels database 使用します。

対処
意味

出力は、R2(送信元)と R4(宛先)の間に IPoIP トンネルが確立され、R4(192.168.0.21192.168.0.41送信元)と R2192.168.0.21(192.168.0.41宛先)の間に別の IPoIP トンネルが確立されていることを示しています。

inet.3 でルート テーブルを検証
目的

inet.3 テーブルで生成されたルートを検証するには、動作モード コマンドを show route table inet.3 使用します。

対処
意味

出力は、トンネルを使用する BGP トラフィックの解決に使用されるルートを示します。

トンネルを使用した BGP ルートの検証
目的

R2 および R4 で受信した R1 および R5 の BGP ルートを検証するには、トンネルを使用しています。

対処
意味

出力は、R2 が BGP ルートから R5 へのトンネルを使用し、R4 が R1 への BGP ルートのトンネルを使用していることを示しています。

エンドツーエンドの到達可能性を検証
目的

R1 が動作モード コマンドを使用して R5 に ping 192.168.255.5 source 192.168.255.1 count 2 ping できることを確認します。

対処
意味

R1 からの出力は、R1 が R5 に ping できることを示しています。

例:LDP トンネルを使用した MPLS 環境での IPoIP トンネルの設定(静的設定を使用した inetcolor.0 による解決)

デフォルトでは、MPLS の優先度は IP よりも高くなります。たとえば、R2、R3、R4 の間で MPLS と LDP を設定すると、R2 は LDP を介して R4 に到達でき、R2 からのルートは、より優先度が高いため、IP-over-IP ではなく LDP を介して解決されます。

LDP ではなく IP-over-IP で解決する特定のルートを使用する場合は、inetcolor テーブルを作成します。このテーブルでは、IP-over-IP の優先度が高く、inet3 テーブルではなく inetcolor テーブル上でそのルートを解決するように BGP を設定します。次の例では、静的構成を使用してこれを行う方法を示しています。

トポロジ

この例では、R2 と R4 の間で確立された IP-over-IP 動的トンネルを介して R1 から R5 にルートを交換しています。R1 からのルートは R2 にエクスポートされ、R5 からのルートはプロトコル IS-IS を使用して R4 にエクスポートされます。R2 から R4 へのユニキャスト IPIP トンネル Tunnel-01 と、R4 から R2 への別のトンネル Tunnel-01 を設定します。ピア デバイスの設定された宛先ネットワークからネットワーク マスク内で生成されるルート プレフィックスは、トンネル内のルートの逆方向にトンネルおよびトラフィック フローを作成するために使用されます。

CLI クイック設定

R1

R2

R3

R4

R5

手順

R1 の手順

R1 と R5 にも同様の構成があるため、R1 の手順のみを示します。

  1. R1 で設定モードにします。

  2. R2 およびインターフェイス lo0 に接続されたインターフェイスを設定します。ファミリー inetiso. プロトコルIS-ISにはファミリー iso が必要です。

  3. ルーター ID を設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 を入力 commit します。

R2 の手順

R2 と R4 にも同様の構成があるため、R2 の手順のみを示します。

  1. R2 で設定モードにします。

  2. R1 および R3 およびインターフェイス lo0 に接続されたインターフェイスを設定します。R1およびlo0に接続されたインターフェイス上でiso、ファミリーinetとR3に接続されたインターフェイスの両方inetmplsを設定することを確認します。

  3. R1 に接続されたインターフェイスに対して、プロトコル IS-IS を設定します。BGP ルートを IS-IS にアドバタイズするエクスポート ポリシーは、ポリシー設定ステップに示されています。

  4. r3 に接続されたインターフェイスに対して OSPF プロトコルを設定して、lo0 の到達可能性を実現します。

  5. R3 に接続されたインターフェイスの LDP および MPLS プロトコルを設定します。

  6. 階層の router-id 下と autonomous-systemrouting-options 設定し、R2 と R4 の間で IBGP を設定します。BGP を使用して学習したルートにコミュニティを追加するインポート ポリシーと、IS-IS ルートを BGP にアドバタイズするエクスポート ポリシーをポリシー設定ステップに示します。inetcolor.0 テーブルをfamily inet unicast使用して解決できるように、構成にオプションを含めることをextended-nexthop-color確認します。

  7. R2 から R4 への IP-IP 動的トンネル Tunnel-01 を設定します。colors設定オプションを使用すると、inetcolor.0 ルート テーブルにトンネルを作成できます。は dyn-tunnel-attribute-policy set-dynamic-tunnel-ep 、静的トンネルエンドポイントを設定します。ポリシーは、ポリシー設定ステップとともに表示されます。

  8. 前の設定手順で適用したポリシーを設定します。このポリシーは export-bgp 、IS-ISにBGPルートをアドバタイズします。このポリシーは export-isis 、ネクストホップをR2に変更して、IS-ISルートをBGPにアドバタイズします。ポリシーは ipip-tunnel-color 、動的トンネルの設定で colors 一致するルートにコミュニティを適用します。ポリシーでは set-dynamic-tunnel-ep 、トンネルエンドポイントとしてR4を設定します。

  9. 設定モードから入力 commit します。

R3 の手順
  1. R3 で設定モードにします。

  2. R2 および R4 およびインターフェイス lo0 に接続されたインターフェイスを設定します。ファミリー inet と、R2 および mpls R4 に接続されたインターフェイスの両方を設定することを確認します。

  3. ルーター ID を設定します。

  4. lo0 の到達可能性を実現するために、R2 および R4 に接続されたインターフェイスに OSPF プロトコルを設定します。

  5. R2 および R4 に接続されたインターフェイスに対して LDP および MPLS プロトコルを設定します。

  6. R3 デバイスの設定モードから入力 commit します。

結果

デバイスの以下の設定を確認して、設定を検証します。

R2 の設定を確認する方法は次のとおりです。

user@R2# show interfaces

user@R2# show protocols

user@R2#show routing-options

user@R2#show policy-options

検証

ルート解決の検証
目的

inet.3 テーブルと inetcolor.0 テーブルの両方のルート解決を検証するには、and show route table inetcolor.0 動作モード コマンドをshow route table inet.3使用します。

対処
意味

R2 の出力は、ip-over-IP よりも優先度が高いため、inet.3 テーブルでルート 10.1.255.4 が LDP によって解決されることを示しています。一方、新しく作成された inetcolor.0 テーブルでは、ルート 10.1.255.4 は接続された IP-over-IP トンネル <c> を介して解決されます。

動的トンネル データベースの検証
目的

inetcolor.0 テーブル内のルートによって作成された IP-over-IP 動的トンネルを検証するには、動作モード コマンドを show dynamic-tunnels database terse 使用します。

対処
意味

R2 出力は、ルート 192.168.0.41 がネクストホップベースの動的トンネルを作成したことを示します。

ルートのネクスト ホップの検証
目的

IP-over-IP で解決するように設定されているルートのすべてのネクスト ホップを検証するには、動作モード コマンドを show route 192.168.255.5 extensive expanded-nh 使用します。

対処
意味

R2 からの出力は、ルートの拡張ネクスト ホップを 192.168.255.5 示しています。R2 は MX シリーズ ルーターであるため、プロトコルのネクスト ホップと間接ネクスト ホップを送信します。

エンドツーエンドの到達可能性を検証
目的

R1 が動作モード コマンドを使用して R5 に ping 192.168.255.5 source 192.168.255.1 count 2 ping できることを確認します。

対処
意味

R1 からの出力は、R1 が R5 に ping できることを示しています。

例:BGP シグナリングを使用して inetcolor.0 で解決された MPLS クラウドの LDP トンネルを使用した IPoIP トンネルの設定

LDP が有効な MPLS 環境では、MPLS は IP よりも優先度が高いため、inet.3 テーブルで BGP ルートが LDP を介して解決されます。

それでも MPLS 環境で IP-over-IP でルートを解決したい場合は、ip-over-IP の優先度を高め、選択したルートを IP-over-IP で解決する inetcolor.0 テーブルを作成します。BGP を使用してこの機能を有効にするには、ルート解決がトンネルのリモート エンド デバイスで実行され、リモート デバイスで設定されたエクスポート ポリシーを使用して、BGP シグナリングを介してルートが受信およびアドバタイズされます。この例では、BGP プロトコル設定を使用してこれを設定する方法を示しています。

この例では、R2 と R4 の間で確立された IP-over-IP 動的トンネルを介して R1 から R5 にルートを交換しています。R1 からのルートは R2 にエクスポートされ、R5 からのルートはプロトコル IS-IS を使用して R4 にエクスポートされます。R2 から R4 へのユニキャスト IPIP トンネル Tunnel-01 と、R4 から R2 への別のトンネル Tunnel-01 を設定します。ピア デバイスの設定された宛先ネットワークからネットワーク マスク内で生成されるルート プレフィックスは、トンネル内のルートの逆方向にトンネルおよびトラフィック フローを作成するために使用されます。

CLI クイック設定

R1

R2

R3

R4

R5

手順

R1 の手順

R1 と R5 にも同様の構成があるため、R1 の手順のみを示します。

  1. R1 で設定モードにします。

  2. R2 およびインターフェイス lo0 に接続されたインターフェイスを設定します。ファミリー inetiso. プロトコルIS-ISにはファミリー iso が必要です。

  3. ルーター ID を設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 を入力 commit します。

R2 の手順

R2 と R4 にも同様の構成があるため、R2 の手順のみを示します。

  1. R2 で設定モードにします。

  2. R1 および R3 およびインターフェイス lo0 に接続されたインターフェイスを設定します。R1およびlo0に接続されたインターフェイス上でiso、ファミリーinetとR3に接続されたインターフェイスの両方inetmplsを設定することを確認します。

  3. R1 に接続されたインターフェイスに対して、プロトコル IS-IS を設定します。BGP ルートを IS-IS にアドバタイズするエクスポート ポリシーは、ポリシー設定ステップに示されています。

  4. r3 に接続されたインターフェイスに対して OSPF プロトコルを設定して、lo0 の到達可能性を実現します。

  5. R3 に接続されたインターフェイスの LDP および MPLS プロトコルを設定します。

  6. 階層の router-id 下と autonomous-systemrouting-options 設定し、R2 と R4 の間で IBGP を設定します。BGP を使用して学習したルートにコミュニティを追加するインポート ポリシーと、IS-IS ルートを BGP にアドバタイズしてトンネル属性を設定するエクスポート ポリシーが、ポリシー設定ステップに示されています。inetcolor.0 テーブルをfamily inet unicast使用して解決できるように、構成にオプションを含めることをextended-nexthop-tunnel確認します。

  7. R2 から R4 へのトンネルを作成するには、R2 のルーティング オプションを設定します。このオプションは bgp-signal 、BGP によってシグナリングされたトンネルの作成を有効にします。colors設定オプションを使用すると、inetcolor.0 ルート テーブルにトンネルを作成できます。

  8. 前の設定手順で適用したポリシーを設定します。このポリシーは export-bgp 、IS-ISにBGPルートをアドバタイズします。ポリシーは export-tunnel-route 、 で R1 から BGP に IS-IS ルートを tunnel-attribute アドバタイズし、ネクストホップを R2 に変更します。は tunnle-attr-01 tunnel-attribute 、動的トンネルの tunnel-type設定で colors 、 、 トンネルエンドポイント、および一致するカラーを設定します。

  9. 設定モードから入力 commit します。

R3 の手順
  1. R3 で設定モードにします。

  2. R2 および R4 およびインターフェイス lo0 に接続されたインターフェイスを設定します。ファミリー inet と、R2 および mpls R4 に接続されたインターフェイスの両方を設定することを確認します。

  3. ルーター ID を設定します。

  4. lo0 の到達可能性を実現するために、R2 および R4 に接続されたインターフェイスに OSPF プロトコルを設定します。

  5. R2 および R4 に接続されたインターフェイスに対して LDP および MPLS プロトコルを設定します。

  6. R3 デバイスの設定モードから入力 commit します。

結果

設定モードから次の show コマンドを使用して、設定を確認できます。

R2 デバイスの設定を確認する方法は次のとおりです。

user@R2# show interfaces

user@R2# show protocols

user@R2# show routing-options

user@R2# show policy-options

検証

BGP ルートの検証

目的

BGP プロトコルを使用して送信されたルートを検証します。

対処

R2

意味

出力は BGP からのルートを示しています。

受信ルートの検証

目的

次の動作モード コマンドを使用して、BGP を介して受信したルートを検証します。

対処

R2

意味

R2 出力は、デバイスで受信したルートを示します。

動的トンネルの検証

目的

動的トンネルが稼働し、BGP シグナリングが設定されていることを確認します。

対処

R2

意味

R2 の出力は、トンネルが稼働し、BGP シグナリングが行されていることを示します。

ルート解決の検証

目的

inetcolor.0 テーブルでルートのルート解決を検証するには、動作モード コマンドを show route table inetcolor.0 使用します。

対処
意味

R2 の出力は、トンネル 10.1.255.4 が BGP シグナリングであることを示します。

エンドツーエンドの到達可能性を検証

目的

R1 が動作モード コマンドを使用して R5 に ping 192.168.255.5 source 192.168.255.1 count 2 ping できることを確認します。

対処
意味

R1 からの出力は、R1 が R5 に ping できることを示しています。

リリース履歴テーブル
リリース
説明
19.2R1
Junos リリース 19.2R1 以降、MPC と MIC を備えた MX シリーズ ルーターでは、キャリア サポート キャリア(CSC)アーキテクチャを、キャリアの PE デバイス間で確立された動的 IPv4 UDP トンネルを介して MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して導入できます。
18.3R1
Junos OS リリース 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターおよび QFX シリーズ スイッチでサポートされています。
18.2R1
Junos OS リリース 18.2R1 以降、PTX シリーズ ルーターと、単一方向 MPLS-over-UDP トンネルを備えた QFX10000 では、MPLS-over-UDP パケット用の入力フィルターと、逆トンネル方向にパケットを転送するための IP ヘッダーと UDP ヘッダーをカプセル化解除するアクションを使用して、リモート PE デバイスを設定する必要があります。
17.4R1
Junos OSリリース17.4R1以降、MXシリーズルーターでは、BGPカプセル化拡張コミュニティを使用して、ネクストホップベースの動的MPLS-over-UDPトンネルがシグナリングされます。
17.1R1
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルの拡張制限が増加しています。