Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ネクストホップベースの動的トンネル

例:次ホップベースの MPLS Over UDP 動的トンネルの構成

この例では、トンネル複合ネクストホップを含む動的 MPLS オーバー UDP トンネルを構成する方法を示します。MPLS オーバー UDP 機能は、デバイスでサポートされる IP トンネル数を拡大縮小することを可能にします。

Junos OS リリース 18.3 R1 では、PTX シリーズルーターと QFX シリーズスイッチで MPLS オーバー UDP トンネルがサポートされています。PTX ルーターまたは QFX スイッチで構成されたすべての動的トンネルでは、トンネルの複合ルートを解決するために、トンネルコンポジット次ホップ、間接的なネクストホップ、および転送の次ホップが作成されます。また、ポリシー制御を使用して、転送用のリブ構成ステートメントを[edit routing-options dynamic-tunnels]階層レベルで指定することで、選択したプレフィックスを介して動的トンネルを解決することもできます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 5個の MX シリーズルーター (MPCs と Mic を使用)

  • Junos OS PE(プロバイダ エッジ)ルーターで実行されているリリース 16.2 以降を参照してください。

開始する前に:

  1. ループバックインターフェイスを含むデバイスインターフェイスを構成します。

  2. デバイスのルーター ID と autonmous システム番号を設定します。

  3. リモート PE デバイスとの内部 BGP (IBGP) セッションを確立します。

  4. デバイス間のピアリング OSPF 確立します。

概要

Junos OS リリース16.2 から始めると、動的 UDP トンネルは、設定されたすべての UDP トンネルに対してトンネル複合ネクストホップの作成をサポートします。これらの次ホップベースの動的 UDP トンネルは、MPLS UDP トンネルと呼ばれています。MPLS オーバー UDP トンネルでは、トンネル合成の次ホップがデフォルトで有効になります。

MPLS オーバー UDP トンネルは、双方向または一方向である場合があります。

  • 双方向:PE デバイスが両方向の MPLS-over-UDP トンネルを使用して接続されている場合、それを双方向 MPLS-over-UDP トンネルと呼にします。

  • 単一方向:2 つの PE デバイスが MPLS-over-UDP トンネルを 1 方向、もう一方の方向に MPLS/IGP を超える接続を行う場合、それを単一方向の MPLS-over-UDP トンネルと呼にします。

    単一の MPLS オーバー UDP トンネルは、移行シナリオで使用される場合、または2つの PE デバイスが相互に接続して2つのネットワークを切断する場合に適しています。逆方向トンネルは、単方向 MPLS オーバー UDP トンネルには存在しないため、トラフィックを転送するために、リモート PE デバイス上でフィルターベース MPLS over UDP カプセル化解除を構成する必要があります。

Junos OS のリリース18.2 をはじめ、PTX シリーズルーターと QFX10000 MPLS over UDP トンネルを使用して、リモート PE デバイスを MPLS オーバー UDP パケット用の入力フィルターと、decapsulating の IP および UDP ヘッダーのアクションに設定する必要があります。パケットを逆方向でトンネル転送します。

たとえば、リモート PE デバイスのデバイス PE2 では、単一の MPLS オーバー UDP トンネルの場合、以下の設定が必要です。

PE2

上記のサンプル設定 では 、Decap_Filter-over-UDP カプセル化緩和に使用されるMPLS フィルタの名前を示します。udp_decapという用語は、デバイス PE2 のコア側インターフェースで UDP パケットを受信する入力フィルターであり、転送用に MPLS-over-IP パケットに対する MPLS-over-UDP パケットのカプセル化を無効にします。

フィルターベースの MPLS over UDP カプセル化解除show firewall filterを表示するなど、既存のファイアウォール動作モードコマンドを使用できます。

たとえば、以下のように記述します。

注:

単一方向 MPLS over UDP トンネルの場合:

  • 外部ヘッダーとしてサポートされているのは、IPv4 アドレスのみです。フィルターベースの MPLS over UDP カプセル化解除は、外部ヘッダーの IPv6 アドレスをサポートしていません。

  • カプセル化解除の後には、デフォルトのルーティングインスタンスのみがサポートされています。

Junos OS リリース17.1 では、MX シリーズルーターで MPCs と Mic を使用して開始すると、MPLS オーバー UDP トンネルの拡張制限が増加します。

Junos リリース 19.2R1 から、MPC および MIC を使用する MX シリーズ ルーター上で、CSC(キャリア サポート キャリア)アーキテクチャを、サポートするキャリアの PE デバイス間で確立された動的 IPv4 UDP トンネルを使用して MPLS トラフィックを運ぶ MPLS-over-UDP トンネルと一緒に導入できます。この機能強化により、提供された MPLS オーバー UDP トンネルの拡張によるメリットがさらに高まります。MPLS over UDP トンネルを使用した CSC サポートは、IPv6 UDP トンネルではサポートされていません。

既存の動的トンネル機能には、完全な静的構成が必要です。現在、通知ルート内のピアデバイスから受信したトンネル情報は無視されます。Junos OS リリース 17.4 R1 では、MX シリーズルーター上で、次ホップベースの動的 MPLS オーバー UDP トンネルが、BGP カプセル化拡張コミュニティーを使用して通知されます。BGP エクスポートポリシーは、トンネルタイプを指定し、送信側トンネル情報をアドバタイズし、受信側トンネル情報を解析して伝達するために使用されます。受信したタイプのトンネルコミュニティーに従ってトンネルが作成されます。

BGP では、複数のトンネル encapsulations がサポートされています。複数の機能を受信すると、構成された BGP ポリシーとトンネルの優先度に基づいて、次ホップベースの動的トンネルが作成されます。トンネルの優先度は、トンネルを設定するためにトンネルの両端で一貫している必要があります。デフォルトでは、MPLS over UDP トンネルは GRE トンネルよりも優先されます。動的トンネル構成が存在する場合、受信したトンネルコミュニティーよりも優先されます。

次ホップベースの動的 MPLS over UDP トンネルを構成する場合は、以下の考慮事項に注意してください。

  • IBGP セッションは、PE デバイス間で構成する必要があります。

  • ネクストホップベースの動的トンネル encapsulations (UDP と GRE) 間のスイッチオーバーは許可されているため、各モードでサポートされる IP トンネルスケーリング値の面でネットワークのパフォーマンスに影響を与える可能性があります。

  • 同じトンネル宛先に対して GRE と UDP の次ホップベースの動的トンネルカプセル化タイプを使用すると、コミットエラーが発生します。

  • 単一方向 MPLS オーバー UDP トンネルでは、パケットを転送するために、フィルターベースの MPLS over UDP カプセル化解除をリモート PE デバイス上で明示的に設定する必要があります。

  • グレースフルルーティングエンジンスイッチオーバー (GRES) は MPLS over UDP によってサポートされており、MPLS オーバー UDP トンネルタイプフラグは統合型 ISSU および NSR 準拠です。

  • MPLS-over-UDP トンネルは、Lite モードの仮想 MX(vMX)でサポートされています。

  • MPLS over UDP トンネルは、IPv4 にマッピングされた新しいホップ数に基づいて、ダイナミック GRE トンネルの作成をサポートします。

  • MPLS オーバー UDP トンネルは、contrail との相互運用性をサポートしているため、contrail vRouter から MX ゲートウェイへの MPLS オーバー UDP トンネルが作成されます。これを可能にするには、MX シリーズルーターから contrail vRouter へのルートで、以下のコミュニティーを提供する必要があります。

    特定の時点では、contrail vRouter(ネクストホップベースの動的 GRE トンネル、MPLS-over-UDP トンネル、または MPLS-over-UDP トンネル)でサポートされるトンネル タイプは 1 VXLAN。

  • 次ホップベースの動的 MPLS UDP トンネル構成では、以下の機能はサポートされていません。

    • RSVP 自動メッシュ

    • 標準 IPV6 GRE と UDP トンネルの構成

    • 論理システム

Topology

図 1は、動的 MPLS オーバー UDP トンネルを介したレイヤー 3 VPN のシナリオを示しています。顧客エッジ (CE) デバイス、CE1 と CE2 は、それぞれプロバイダエッジ (PE) デバイス、PE1、PE2 に接続します。PE デバイスはプロバイダデバイス (デバイス P1) に接続され、内部 BGP (IBGP) セッションが2つの PE デバイスを相互に関連付けています。ダイナミックなネクストホップベースの MPL トンネルが、PE デバイス間に設定されています。

図 1: ダイナミック MPLS オーバー UDP トンネルダイナミック MPLS オーバー UDP トンネル

MPLS オーバー UDP トンネルは、以下のように処理されます。

  1. MPLS オーバー UDP トンネルが構成された後、inet. 3 ルーティングテーブル内でトンネルに対してトンネルの複合次ホップを持つトンネル宛先マスクルートが作成されます。この IP トンネルルートは、動的トンネルの構成が削除された場合にのみ、ウィズドロウされます。

    トンネル複合の次ホップ属性には、以下が含まれています。

    • レイヤー 3 VPN 複合ネクスト ホップが無効になっている場合- 送信元と宛先のアドレス、カプセル化文字列、VPN ラベル。

    • レイヤー 3 VPN 複合ネクスト ホップとプレフィックスごとの VPN ラベル割り当てが有効になっている場合(送信元アドレス、宛先アドレス、カプセル化文字列)。

    • レイヤー 3 VPN 複合ネクスト ホップが有効になり、プレフィックスごとの VPN ラベル割り当てが無効になっている場合(送信元アドレス、宛先アドレス、カプセル化文字列)。この場合のルートは、もう一方の仮想ルーティングおよび転送インスタンステーブルに追加され、2番目のルートがあります。

  2. PE デバイスは、IBGP セッションを使用して相互接続されています。リモート BGP の近隣への IBGP ルートのネクストホップは、プロトコルのネクストホップです。トンネルのネクストホップを使用してトンネルマスクルートを使って解決されます。

  3. プロトコルのネクストホップがトンネル複合次ホップで解決された後、次ホップを転送する間接的なホップが作成されます。

  4. トンネル合成次ホップは、間接的な次ホップの次のホップを転送するために使用されます。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

CE1

CE2

PE1

P1

PE2

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。Cli のナビゲートの詳細については、『 Cli ユーザーガイド』の「 Cli エディターを設定モードで使用する」を参照してください。

デバイス PE1 を構成するには、次のようにします。

  1. デバイスのループバックインターフェイスを含むデバイスインターフェイスを構成します。

  2. デバイス P1 を備えた PE1 とのルートの静的ルートを、次ホップの宛先として設定します。

  3. デバイス PE1 のルーター ID と自律システム番号を設定します。

  4. (PTX シリーズのみ)選択したプレフィックスを介して MPLS オーバー UDP 動的トンネルルートを解決するように、ポリシー制御を構成します。

  5. (PTX シリーズのみ)動的トンネル宛先ルートを解決するための inet インポートポリシーを設定します。

  6. PE デバイス間の IBGP ピアリングを構成します。

  7. 管理インターフェイスを除く、デバイス PE1 のすべてのインターフェイスで OSPF を構成します。

  8. デバイス PE1 で、次ホップベースのダイナミック GRE トンネル構成を可能にします。

    注:

    この手順は、次ホップベースの動的 GRE トンネルと MPLS over UDP トンネルの実装の違いを示すためにのみ必要です。

  9. デバイス PE1 からデバイス PE2 に、MPLS オーバー UDP トンネルパラメーターを構成します。

  10. デバイス PE1 およびその他のルーティングインスタンスのパラメーターで VRF ルーティングインスタンスを構成します。

  11. デバイス CE1 とのピアリングのために、ルーティングインスタンス構成の BGP を有効にします。

結果

構成モードからshow interfaces、、、 show routing-optionsshow protocols、およびshow routing-instancesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認します。

PE デバイス間の接続の確認

目的

デバイス PE1 とデバイス PE2 の間でピアリングステータスを検証し、デバイス PE2 から受信した BGP ルートを BGP 確認します。

アクション

運用モードから、 show bgp summary and show route receive-protocol bgp ip-address table bgp.l3vpn.0コマンドを実行します。

  • 最初の出力ではEstabl、セッションが稼働していて PE デバイスが起動していることを BGP セッション状態としています。

  • 2つ目の出力では、デバイス PE1 がデバイス PE2 から2つの BGP ルートを学習しました。

デバイス PE1 の動的トンネルルーティングを確認します。

目的

Inet. 3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。

アクション

動作モードから、 show route table inet.3show dynamic-tunnels database terseshow dynamic-tunnels database 、および のコマンドを実行 show dynamic-tunnels database summary します。

  • 最初の出力では、デバイス PE1 が MPLS オーバー UDP トンネルで構成されているため、inet. 3 ルーティングテーブルルートエントリに対してトンネル複合ルートが作成されます。

  • 残りの出力では、MPLS オーバー UDP トンネルがトンネルカプセル化タイプ、トンネルのネクストホップパラメーター、およびトンネルステータスとともに表示されます。

デバイス PE2 の動的トンネルルーティングを確認します。

目的

Inet. 3 ルーティングテーブル内のルートと、デバイス PE2 の動的トンネルデータベース情報を確認します。

アクション

動作モードから、 show route table inet.3 、 コマンドを実行 show dynamic-tunnels database terse します。

この出力には、MPLS UDP トンネル作成と、デバイス PE1 と同様のネクストホップインターフェイスとして割り当てられた next-hop ID が示されています。

ルートに予期された間接的な next-hop フラグがあることを確認しています

目的

デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブルに next-hop binding を転送するために、間接的な次ホップを維持するように設定されていることを確認します。

アクション

動作モードから、デバイス show krt indirect-next-hop PE1 およびデバイス PE2 で コマンドを実行します。

この出力は、PE デバイス間に next-hop ベースの動的 MPLS UDP トンネルが作成されることを示しています。

トラブルシューティング

次ホップベースの動的トンネルのトラブルシューティングについては、以下を参照してください。

トラブルシューティングのコマンド

次ホップベースの動的 MPLS UDP トンネルの設定は有効になりません。

ソリューション

Next-hop ベースの MPLS UDP トンネル構成のトラブルシューティングを行うには、 traceroute[edit routing-options dynamic-tunnels]ステートメント階層で次のコマンドを使用します。

  • traceoptions file file-name

  • traceoptions file size file-size

  • traceoptions flag all

たとえば、以下のように記述します。

次ホップベースの動的トンネルを使用したスプーフィング防止防御の概要

データセンターにおける大規模な IP トンネルの導入が登場したことで、侵害された仮想マシン (Vm) からの悪意のあるトラフィックをユーザーが制限できるセキュリティ対策を追加する必要があります。考えられる1つの攻撃は、ゲートウェイルーターを介して、侵害されたサーバーから任意の顧客 VPN にトラフィックを注入することです。このような場合、IP トンネルでスプーフィング対策をチェックすることで、正当なソースだけが、指定された IP トンネルからデータセンターにトラフィックを注入することになります。

次ホップベースの動的 IP トンネルは、デバイス上で作成されたすべての動的トンネルに対して、トンネル複合ネクストホップを作成します。次ホップベースの動的トンネルは、新しい動的トンネルが構成されるたびに物理インターフェイスへの依存を解除するため、次ホップベースの動的トンネルを構成することで、1つのインターフェイス上に作成可能な動的トンネルの数を拡張することができます。device. Junos OS リリース17.1 で開始すると、次ホップベースの動的 IP トンネルに対するスプーフィング防止機能が、next-hop ベースの動的トンネル用に提供されます。この機能強化により、セキュリティ対策が実装され、ゲートウェイルーターを経由して、攻撃を受けたサーバーから任意の顧客 VPN にトラフィックが挿入できないようになります。

スプーフィング対策は、パケット転送エンジンで逆引きパス転送チェックを使用して実装されています。このチェックは、ルーティングインスタンスへのトンネルを通過するトラフィック用に実装されています。現在、ゲートウェイルーターがトンネルからのトラフィックを受信すると、宛先ルックアップのみが行われ、パケットはそれに従って転送されます。スプーフィング防止防御が有効になっている場合、ゲートウェイルーターは、トンネル宛先ルックアップに加え、VPN のカプセル化パケット IP ヘッダーの送信元アドレスルックアップも行います。これにより、正当なソースが指定された IP トンネルを介してトラフィックを注入することができます。その結果、スプーフィング防御によって、指定されたトンネル上で正当な送信元からトンネルトラフィックを受信することを保証します。

図 2は、スプーフィング対策の防御に必要なサンプルトポロジを示しています。

図 2: 次ホップベースの動的トンネルに対するアンチスプーフィング防止次ホップベースの動的トンネルに対するアンチスプーフィング防止

この例では、ゲートウェイ ルーターがルーター G です。ルーター G には 2 つの VPN(緑と青)があります。サーバー A とサーバー B という2台のサーバーは、ルーター G 上の緑色と青色の Vpn に、それぞれ次ホップベースの動的トンネル T1 と T2 を通過させることができます。サーバーに接続された複数のホストと仮想マシン (P、Q、R、S、T) は、ゲートウェイルーターであるルーター G を介して Vpn に到達できます。ルーター g は、グリーンおよびブルー Vpn 用の仮想ルーティングおよび転送 (VRF) テーブルを備えており、それぞれに到達可能性が設定されています。Vpn の仮想マシンに関する情報です。

たとえば、VPN グリーンでは、ルーター G はトンネル T1 を使用してホスト P に到達し、トンネル T2 がホスト R および S に到達し、ロードバランシングがトンネル T1 と T2 の間に行われ、マルチホームホスト Q に到達します。VPN ブルーでは、ルーター G はトンネル T1 を使用してホストの P および R に到達し、そのトンネル T2 がホストの Q と T に到達します。

このチェックは、次のような場合にパスの逆引き転送を実行します。

  • パケットは、指定されたトンネルにある正規の送信元から取得しています。

    VPN グリーンのホスト P は、トンネル T1 を使用して、ホスト X にパケットを送信します。ルーター G はトンネル T1 を介してホスト P にアクセスできるため、パケットをホスト X に通過して転送することができます。

  • パケットは、指定されたトンネルのマルチホームソースから取得します。

    VPN のホスト Q はサーバー A および B のマルチホームであり、トンネル T1 と T2 を介してルーター G に到達できます。ホスト Q は、トンネル T1 を使用してホスト Y にパケットを送信し、トンネル T2 を使用して X をホストします。ルーター G は、ホスト Q からトンネル T1 と T2 に到達できるため、パケットがそれぞれホスト Y と X に通過し、転送することができます。

レイヤー 3 Vpn は、デフォルトではアンチスプーフィング防止機能が有効になっていません。次ホップベースの動的トンネルに対してスプーフィング対策を有効にするにip-tunnel-rpf-checkは、 [edit routing-instances routing-instance-name routing-options forwarding-table]階層レベルでステートメントを追加します。リバースパスフォワーディングチェックは VRF ルーティングインスタンスのみに適用されます。デフォルトモードはに設定さstrictれていますが、指定しないトンネル上のソースから送信されたパケットはチェックに合格しません。このip-tunnel-rpf-checkモードは、パケットがloose存在しないソースから来た場合にリバースパス転送チェックが失敗するように設定することができます。オプションのファイアウォールフィルタは、リバースパスip-tunnel-rpf-check転送チェックに失敗したパケットのカウントとログ記録を実行するために、文の下で設定できます。

以下の出力例は、アンチスプーフィングの設定を示しています。

次ホップベースの動的トンネルに対してアンチスプーフィング防御を構成する際は、次のガイドラインに従ってください。

  • スプーフィング対策保護は、IPv4 トンネルおよび IPv4 データトラフィックに対してのみ有効にすることができます。スプーフィング防止機能は、IPv6 トンネルと IPv6 データトラフィックではサポートされていません。

  • 次ホップベースの動的トンネルのスプーフィングによって、侵害された仮想マシンを検知して回避することができます (内部の発信元逆引きパス転送チェック)。これは、侵害を受けたサーバーではありません。

  • 次ホップベースの IP トンネルは、inet .0 ルーティングテーブルで発信および終了できます。

  • VRF ルーティングインスタンスがラベル交換インターフェイス (LSIs) を使用している場合、または、仮想トンネルvrf-table-label(VT) インターフェイスを備えている場合は、アンチスプーフィング防御が有効です。VRF per-next-hopルーティングインスタンスのラベルを使用した場合、アンチスプーフィング防御はサポートされません。

  • rpf fail-filter 、内部 IP パケットのみに適用されます。

  • スプーフィング対策チェックを有効にしても、デバイス上の next-hop ベースの動的トンネルの拡張制限には影響を与えません。

  • VRF ルーティングインスタンスに対するアンチスプーフィング対策を有効にしたシステムリソースの使用率は、スプーフィング防止防御機能が有効になっていない場合、次ホップベースの動的トンネルの使用率よりもわずかに高くなります。

  • スプーフィング対策を保護するには、追加の送信元 IP アドレスチェックが必要です。これは、ネットワークのパフォーマンスにほとんど影響を与えません。

  • グレースフルルーティングエンジンスイッチオーバー (GRES) およびインサービスソフトウェアアップグレード (ISSU) は、スプーフィング防止対策によってサポートされています。

例:次ホップベースの動的トンネルに対するアンチスプーフィング防御を構成する

この例では、仮想ルーティングおよび転送 (VRF) ルーティングインスタンスの逆引きパス転送チェックを構成して、次ホップベースの動的トンネルに対するスプーフィング対策保護を可能にする方法を示します。正当なソースが指定された IP トンネルを経由してトラフィックを挿入していることを確認します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • Mic がホストデバイスに接続されている、3個の MX シリーズルーター

  • Junos OS リリース17.1 以降を1つまたはすべてのルーター上で実行します。

開始する前に:

  • 柔軟な PIC コンセントレーターでトンネルサービス構成を有効にします。

  • ルーターのインターフェイスを構成します。

  • ルーター ID を設定し、ルーターに自律システム番号を割り当てます。

  • トンネルエンドポイントとの内部 BGP (IBGP) セッションを確立します。

  • すべてのルーターで RSVP を設定します。

  • すべてのルーター上で OSPF またはその他の内部ゲートウェイプロトコルを構成します。

  • 2つのルーター間で2つのダイナミックな next-hop ベース IP トンネルを構成します。

  • すべてのルーターツーホスト接続に対応する VRF ルーティングインスタンスを構成します。

概要

Junos OS リリース17.1 から開始した場合、次ホップベースの動的 IP トンネルに追加されたスプーフィング防御機能は、ルーティングインスタンスへのトンネルを通過するトラフィックに対して、パケット転送で逆引きパスフォワーディングを使用して、チェックを実装しています。Engine.

現在、ゲートウェイルーターがトンネルからのトラフィックを受信すると、転送前に宛先アドレスのルックアップのみが実行されます。スプーフィング防止対策では、ゲートウェイルーターは、VPN のカプセル化パケット IP ヘッダーの送信元アドレスをルックアップすることで、正当なソースが指定された IP トンネルを介してトラフィックを注入していることを確認します。これは strict モードと呼ばれ、スプーフィング防止のデフォルト動作です。指定されていないトンネルからトラフィックを渡すには、破棄モードでリバースパス転送チェックが有効になっています。存在しないソースから受信したトラフィックについては、厳密なモードと緩やかにする方式の両方で、逆方向のパス転送チェックが失敗します。

VRF ルーティングインスタンスでは、スプーフィング対策がサポートされています。動的トンネルに対するスプーフィング対策を有効にするにip-tunnel-rpf-checkは、 [edit routing-instances routing-instance-name routing-options forwarding-table]階層レベルでステートメントを追加します。

Topology

図 3は、スプーフィング対策保護に対応したサンプルネットワークトポロジを示しています。ルーター R0、R1、および R2 はそれぞれ、Host0、ホスト1、および Host2 にそれぞれ接続されています。GRE(一般ルーティングカプセル化)2つのネクストホップベース動的トンネル、トンネル1とトンネル2 – それぞれルーターR1とR2をルーターR0に接続します。VRF ルーティングインスタンスは、各ルーターと、接続されているホストデバイスの間で実行されます。

図 3: 次ホップベースの動的トンネルに対するアンチスプーフィング防止次ホップベースの動的トンネルに対するアンチスプーフィング防止

たとえば、ルーター R2 のルーター0で、次ホップベースの動的 GRE トンネル (トンネル 2) で3つのパケット (パケット A、B、C) を受信しています。これらのパケットの送信元 IP アドレスは、172.17.0.2 (パケット A)、172.18.0.2 (パケット B)、172.20.0.2 (パケット C) です。

パケット A と B の送信元 IP アドレスは、それぞれホスト2およびホスト1に属します。パケット C は存在しない発信元トンネルです。この例の指定されたトンネルはトンネル2であり、非指定トンネルはトンネル1です。したがって、パケットは次のように処理されます。

  • Packet A—ソースは指定されたトンネル(トンネル 2)から取得されたため、パケット A はリバース パス転送チェックを通過し、トンネル 2 を通過して転送用に処理されます。

  • Packet B—デフォルトでは、非分割トンネルであるトンネル 1 から送信元が取得されたため、Packet B はスギスト モードでリバース パスフォワーディング チェックに失敗します。ルースモードが有効になっている場合、パケット B は転送に許可されます。

  • Packet C:送信元は存在しないトンネル ソースのため、Packet C はリバース パス転送チェックに失敗し、パケットは転送されません。

構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

ルーター R0

ルーター R1

R2

手順

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。Cli のナビゲートの詳細については、『 Cli ユーザーガイド』の「 Cli エディターを設定モードで使用する」を参照してください。

ルーター R0 を構成するには、次のように行います。

  1. ループバック インターフェイスを含め、ルーター R0 のインターフェイスを設定します。

  2. Router ID と自律システム番号をルーター R0 に割り当てます。

  3. ルーター間の IBGP ピアリングを構成します。

  4. 管理インターフェイスを除外して、ルーター R0 のすべてのインターフェイスで OSPF を構成します。

  5. 管理インターフェイスを除外して、ルーター R0 のすべてのインターフェイスで RSVP を構成します。

  6. ルーター R0 で、次ホップベースのダイナミック GRE トンネル構成を有効にします。

  7. 動的 GRE トンネルパラメーターをルーター R0 からルーター R1 に設定します。

  8. 動的 GRE トンネルパラメーターをルーター R0 からルーター R2 に設定します。

  9. ルーター R0 上で仮想ルーティングおよび転送 (VRF) ルーティングインスタンスを構成し、ホスト1に接続するインターフェイスを VRF インスタンスに割り当てます。

  10. VRF ルーティングインスタンス用に、Host 1 との外部 BGP セッションを構成します。

  11. ルーター R0 上で VRF ルーティングインスタンスのスプーフィング防止防御を構成します。これにより、ルーター0で、次ホップベースの動的トンネル、T1、T2 の逆方向パス転送チェックが可能になります。

結果

構成モードからshow interfaces、、、 show routing-optionsshow protocols、およびshow routing-optionsコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

構成が正常に機能していることを確認します。

基本構成の確認

目的

ルーター R0 とルーター R1 および R2 との間で OSPF と BGP ピアリングステータスを確認します。

アクション

動作モードから、 および コマンド show ospf neighborshow bgp summary 実行します。

OSPF と BGP セッションは、ルーター R0、R1、R2 の間で実行されています。

動的トンネル構成の確認

目的

ルーター R0 とルーター R1 と R2 の間でホップベースの動的 GRE トンネルのステータスを確認します。

アクション

動作モードから、 show route table inet.3 、 コマンドを実行 show dynamic-tunnels database terse します。

2つの next-hop ベースダイナミック GRE トンネル、トンネル1およびトンネル2が稼働しています。

アンチスプーフィング防御の構成の検証

目的

ルーター R0 上の VRF ルーティングインスタンスでリバースパス転送チェックが有効になっていることを確認します。

アクション

動作モードから、 を実行 show krt table VPN1.inet.0 detail します。

VRF ルーティングインスタンスで、strict モードで設定されたリバースパスフォワーディングチェックが有効になっています。

次ホップベースの動的トンネルローカリゼーションの概要

ネクストホップベースの動的トンネルには、GRE(一般ルーティングカプセル化)トンネルとMPLS-over-UDPトンネルが含まれます。これらのトンネルは、インターフェイスベースのトンネルに対してスケーリングのメリットを提供します。しかし、インターフェイスベースのトンネルとは異なり、ネクスト ホップ ベースの動的トンネルはアンカーレスになります。この性質上、トンネルの転送情報はデバイス上のすべてのライン カード上の PFEs(パケット転送エンジン)に配信されます。これにより、デバイスでサポートされるトンネルの最大数が、1つのラインカードのトンネル容量までという制限があります。ローカライズをサポートすることで、次ホップベースの動的トンネルローカリゼーションを構成して、アンカー PFE として指定されたラインカードの PFE にのみ転送情報を作成できます。デバイス上のその他のラインカードの PFE には、パケットをアンカーとして送信するための状態転送情報があります。これにより、デバイスでサポートされる最大トンネル数を増やすことで、スケーリングのメリットが得られます。

次ホップベースの動的トンネルローカリゼーションのメリット

デバイスでサポートされるトンネルの最大数を増やすことで、拡張性に優れたメリットを提供します。

次ホップベースの動的トンネルローカリゼーションの使用事例

  • 多数の MS MPC をホストする IPsec ゲートウェイデバイスを使用して IPSec トンネルを終了し、中程度の負荷をサポートする必要があります。このサポートは、デバイスの拡張制限に達したときに、次ホップベースの動的トンネルを使用することによって影響を受けます。次ホップベースの動的トンネルをローカライズすることで、サポートされるトンネルの最大数が増加し、デバイスは追加のファブリックホップのコストでより多くのトンネルに対応できるようになります。

  • 仮想パブリッククラウドのデータセンターなど、インターネットまたは VPN ゲートウェイデバイスでは、ゲートウェイデバイスが多数のサーバーと通信する必要があります。データセンターサーバーは、次ホップベースの動的トンネルによって到達可能です。動的トンネルの anchorless プロパティにより、デバイスの全体拡張番号が制限されます。ゲートウェイデバイスは、トラフィック需要の増加により、複数の MPCs をホストしています。次ホップベースの動的トンネルをローカライズすることで、トンネルを複数の MPCs に分散させることができるため、トンネリングのスケーリング数を増やすことができます。

次ホップベースの動的トンネルのローカライズによるトラフィック処理

ローカライズをサポートしているため、次ホップベースの動的トンネルの状態はアンカーパケット転送エンジンにローカライズされ、その他のパケット転送エンジンはトンネルのアンカーにトラフィックをステアリングするトンネルの状態になっています。

図 4は、ローカリゼーションを行わずに、次ホップベースの動的トンネルの転送パスを示しています。

図 4: ローカライズなしの次ホップベースの動的トンネルの転送パスローカライズなしの次ホップベースの動的トンネルの転送パス

図 5は、ローカリゼーションを使用した、次ホップベースの動的トンネルの転送パスを示しています。

図 5: ローカリゼーションを使用した Next-hop ベースの動的トンネルの転送パスローカリゼーションを使用した Next-hop ベースの動的トンネルの転送パス

次ホップベースの動的トンネルローカリゼーションの構成

ローカリゼーションのサポートは、新たに作成された次ホップベースの動的トンネル、または既存の非ローカル動的トンネルに合わせて設定できます。

新しいネクストホップベースの動的トンネルに対応するためのローカライズの設定

次ホップベースの動的トンネルのローカライズでは、ポリシーベースのアプローチを使用して、プレフィックスグループを指定します。言い換えると、ルートポリシーを使用して、次ホップベースの動的トンネルにローカリゼーションプロパティを適用しています。ポリシーを使用して、ルーティングオプションで動的トンネル属性プロファイルを作成し、プレフィックスグループと関連付けるための設定を行います。

  1. 動的トンネルプロファイルの作成

    動的トンネルプロファイルによって、トンネルタイプとアンカーパケット転送エンジン情報が指定されます。動的トンネルのローカライズ用に、複数の動的トンネリングプロファイルを作成できます。動的トンネルタイプの値は、GRE、UDP、BGP 信号のいずれかになります。

    BGP 信号は有効なトンネルタイプではありませんが、BGP 信号をトンネルタイプとして割り当てる場合、BGP 信号属性から作成されたトンネルはローカライズされます。BGP-SIGNAL を使用する場合、トンネル タイプは TLV 内の BGP によってアドバタイズされるタイプに基づいて決定されます。BGP 信号トンネルは、常に次ホップベースのトンネルです。BGP シグナルによって動的に作成される GRE トンネルは、ユーザーが手動で設定したトンネルが、IFLs を使用するように作成された場合でも、常にネクストホップベースであるということになります。

    Anchor パケット転送エンジン値は、「pfe-x/y/0」のように、アンカーパケット転送エンジンのラインカードを示しています。この情報は、 show interfaces terse pfe*コマンド出力から見ることができます。

    Sample Configuration:

  2. 動的トンネルプロファイルをプレフィックスリストに関連付けています。

    ポリシーの設定アクションdynamic-tunnel-attributesでは、動的トンネルがプレフィックスリストに関連付けられています。ポリシー fromアクションを使用すると、プレフィックス範囲、コミュニティー、BGP ルートの送信元アドレスなど、条件に一致する特定の属性を使用してトンネルを作成できます。

    Sample configuration:

  3. 転送テーブルエクスポートポリシーの下にトンネルポリシーを含めます。

    ポリシーが設定されると、ポリシーの解析のために転送テーブルエクスポートポリシーに追加されます。

    エクスポートポリシーを使用すると、トンネル属性がルートに関連付けられます。BGP のルートが解決のためにキューに登録されている場合は、転送テーブルエクスポートポリシーが評価され、適用されたフィルターに基づいてポリシーモジュールからトンネル属性が取得されます。取得したトンネル属性は、トンネル複合ネクストホップの次ホップにアタッチされます。パケット転送エンジン名とトンネルタイプに基づいて、対応するアンカー転送構造体が作成され、転送テーブルに送信されてから、トンネル複合次ホップが送られます。ただし、どの属性もトンネル複合ネクストホップにマップされない場合は、非ローカライズ型の動的トンネルと同様に、すべてのパケット転送エンジンに転送構造が作成されることになります。

    Sample configuration:

既存のネクストホップベースの動的トンネルのローカライズの設定

注意:

動的トンネル属性を変更することで、メモリ利用率が高いため FPC クラッシュが発生する可能性があります。このため、ローカライズを設定する前に、ダイナミックトンネルの構成を非アクティブにすることをお勧めします。

既存のネクストホップベースの動的トンネルのトンネル属性を更新するには、以下のことを実行する必要があります。

  1. 階層dynamic-tunnelsレベルでの[edit routing-options]設定を無効にします。

    Sample configuration:

  2. 必要に応じてトンネル属性を変更します。

  3. 階層レベルでコンフィギュレーションを有効化dynamic-tunnelsします。 [edit routing-options]

    Sample configuration:

既存の非ローカル次ホップベースの動的トンネルのローカライズを構成するには、次のようにします。

注意:

既存の非ローカルのネクストホップベースの動的トンネルのローカライズを構成するための変更を行うと、メモリ使用率が高いため FPC クラッシュが発生する可能性があります。このため、ローカライズを設定する前に、ダイナミックトンネルの構成を非アクティブにすることをお勧めします。

  1. 階層レベルdynamic-tunnelsでの設定を無効にします。 [edit routing-options]

  2. 新しい next-hop ベースの動的トンネルと同様に、トンネル属性プロファイルを作成し、ポリシーを追加して、動的トンネルをローカライズできます。

  3. 構成をdynamic-tunnelsアクティブにします。

ローカルな次ホップベースの動的トンネルのトラブルシューティング

次ホップベースの動的トンネルのローカライズによって、トンネル合成の次ホップはアンカーパケット転送エンジン Id に関連付けられます。以下の[edit routing-options]階層レベルでの traceroute 構成ステートメントは、ローカライズされた動的トンネルのトラブルシューティングをサポートしています。

  • dynamic-tunnels traceoptions flag all—DTM のトンネルの作成と削除を追跡します。

  • resolution traceoptions flag tunnel—有効なルート上のリゾルバー BGP追跡します。

  • forwarding-table traceoptions flag all—カーネルに送信されたトンネルを追跡します。

  • traceoptions flag all:ルート学習プロセスを追跡します。

次のコマンドを使用して、ルートが、ローカライズされた次ホップベースの動的トンネルを使用しているかどうかを確認できます。

  1. show route prefix extensive:間接ネクスト ホップを取得します。

    たとえば、以下のように記述します。

  2. show krt indirect-next-hop index indirect-next-hop detail:間接ネクスト ホップパケット転送エンジン出力でアンカー リンク フィールドをチェックします。

    たとえば、以下のように記述します。

次ホップベースの動的トンネルのローカライズに対応していない機能

Junos OS は、次ホップベースの動的トンネルのローカライズにおいて、次の機能をサポートしていません。

  • 階層レベルでの[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn]連鎖複合次ホップ

  • アンカーパケット転送エンジン耐障害性。

    ローカリゼーションでは、次ホップベースの動的トンネルに対する弾力性がサポートされていません。次ホップベースの動的トンネルをローカライズした後、アンカーパック Er 転送エンジンが単一のエンティティになり、デバイス上の特定のトンネルを処理します。アンカーパックの転送エンジンの耐障害性はサポートされていませんが、ゲートウェイデバイスの冗長性によって、ゲートウェイデバイスでの冗長化により、トンネル複合のネクストホップが委任された Packer 転送エンジンがダウンした場合に、トラフィックが停止しなければなりません。冗長化されたゲートウェイデバイスです。ルーティングプロトコルプロセスは、Packer 転送エンジンの状態を監視し、withdraws は、その Packer 転送エンジンに固定された次のホップを複合した、すべてのルートの通知を BGP します。

    完全な型トンネル複合次ホップを持つのは、その他すべてのパケット転送エンジンが、固定されたパケット転送エンジンだけで、トラフィックをアンカーパケット転送エンジンに転送します。これらのステアリングのエントリーは、アンカー FPC がダウンしても引き出されません。

  • 論理システムでは、次ホップベースの動的トンネルのローカライズはサポートされていません。

  • IPv6 は、次ホップベースの動的トンネルのローカライズではサポートされていません。

  • ローカリゼーションでは、 show dynamic-tunnels database summaryアンカーパケット転送エンジンラインカードの状態がアップしていない場合、正確なトンネルの概要がコマンドに表示されません。回避策として、 show dynamic-tunnels databaseshow dynamic-tunnels database terseコマンド出力を使用します。

IP-over-IPカプセル化を使用したネクストホップベースの動的トンネリングの概要

SUMMARY 

メリット

IP-over-IP トンネリングには、以下のメリットがあります。

  • Alternative to MPLS over UDP:MPLS-over-UDP トンネリングの代替として使用して、サービスごとに専用デバイスがある IP サービスを提供できます。

  • Ability to steer specific traffic:MPLS と IP ネットワークが同じ場合に、ルートをフィルタリングして特定のトラフィックを IP トンネル上でステアリングし、トンネル間を制御することで、MPLSできます。

  • Ability to support tunnels at increasing scale:トンネルを動的に作成しBGP コントロール プレーン規模に合ったトンネル作成を容易に実行できます。

IP-over-IP 動的ネクスト ホップベース トンネリングとは

IP ネットワークにはエッジ デバイスとコア デバイスが含まれる。このようなデバイス間で高い規模と信頼性を実現するには、オーバーレイ カプセル化を使用して、エッジ デバイスが相互作用する外部ネットワークからコア ネットワークを論理的に分離する必要があります。

リリース Junos OS リリース 20.3R1、IP-over-IP カプセル化をサポートして、IP トランスポート ネットワーク上での IP オーバーレイ構築を容易にしています。IP over IP はネクスト ホップベースのインフラストラクチャに依存して、より大きな規模に対応します。この機能は、IPv6 および IPv4 ペイロードの IPv4 カプセル化をサポートしています。サポートされている他のオーバーレイ カプセル化の中でも、IP-over-IP カプセル化は以下を可能にする唯一の種類です。

  • 内部ペイロードを解析し、内部パケット フィールドを使用してハッシュ計算を行うトランジット デバイス

  • カスタマー エッジを削減することなく、トラフィックをトンネル内およびトンネル外にルーティングできます。

MX シリーズルーターでは、ルーティング プロトコル デーモン(RPD)がカプセル化ヘッダーをトンネル複合ネクストホープとともに送信し、パケット転送エンジン(PFE)がトンネル宛先アドレスを見つけてパケットを転送します。リモート PTX シリーズおよびQFX10000では、RPD は完全に解決されたネクスト ホップベース トンネルをスイッチにパケット転送エンジン。BGPプロトコルを使用して、ルートの分散と動的トンネルの信号を送信します。

次の図は、R-2 と R-4 の間で確立された IP over IP トンネルを介して R-1 から R-5 に IPv4 または IPv6 トラフィックを送信する方法を示しています。

例:ネクストホップベース IP-over-IP 動的トンネルの設定

SUMMARY IP-over-IP カプセル化を使用してネクスト ホップベース トンネルを設定する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 4 MX シリーズ ルーターと 1 PTX シリーズ ルーター。

  • Junos OS リリース 20.3R1以降のバージョン。

概要

リリース Junos OS リリース 20.3R1、IP-over-IP カプセル化をサポートして、IP トランスポート ネットワーク上での IP オーバーレイ構築を容易にしています。この例では、静的設定およびプロトコル プロトコル設定を介した、プロトコルのネクスト ホップ(PNH)を持つデバイス間でのユニキャスト IP-over-IP トンネルBGPを示しています。

この例では MX デバイスと PTX1000/PTX10000/QFX10000 デバイスの動作の違いについて説明するために、PTX シリーズ ルーター(R2)を取り上しました。IBGP は、ルートと信号動的トンネルを交換するために、IP コアを通じて接続された R2 と R4 の間にも設定されています。

Topology

図 1 は、5 台のデバイスによる IP-over-IP シナリオを示しています。このトポロジーでは、R1 は R2 に接続され、R5 は R4 に接続されています。R2 は一PTX シリーズデバイスです。R2 および R4 は中央の R3 デバイスに接続されています。

この例では R1 から R5 へのルートの交換を試み、その逆は R2 デバイスと R4 デバイス間で確立された IP-over-IP 動的トンネルを介して交換します。R1 から生成されたルートは R2 にエクスポートされ、R5 からのルートはエクスポート ポリシーに基IS-ISして R4 にエクスポートされます。ユニキャスト IPIP トンネル Tunnel-01 を R2 から R4 に、もう 1 つのトンネル Tunnel-02 を R4 から R2 に設定できます。ピア デバイスの設定された宛先ネットワークからネットワーク マスク内で生成されたルート プレフィックスが、トンネルとトンネル内のルートの反対方向のトラフィック フローを作成するために使用されます。

プロトコルのネクスト ホップを使用した IP-over-IP 動的トンネルの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定モードからコミットします。

R1

R2

R3

R4

R5

プロトコルのネクスト ホップによる IP-IP 動的トンネルの設定

順を追った手順
  1. R1 および R5 デバイスで設定モードにします。

  2. VLAN、ファミリー iso、デバイス インターフェイス、ループバック アドレスなどの基本的なデバイス要件を設定します。ループバック アドレス上でルートが生成されます。

  3. ルーター ID および自律システム(AS)番号を設定して、IP アドレスをルーターに割り当て、ホストBGP。

  4. データ IS-ISを有効に設定IGP。ルーティング プロトコルを使用して、R1 から R2、R5、R4 デバイスにルートIS-ISされます。

  5. 設定 commit モードから R1 および R5 デバイスを入力します。

  6. R2 および R4 で設定モードに入り、設定します。

  7. VLAN、ファミリー iso、MPLS、ルーター インターフェイス、ループバック アドレスなど、基本的なデバイス要件を R2 および R4 で設定します。

  8. R2 と R4 の間で IBGP を設定します。

  9. R1 から R2 IS-IS R5 にルートをエクスポートするために、BGP エクスポートを使用して、R2 および R4 にルート エクスポート ポリシーを設定します。

  10. 到達可能性OSPF R2 と R4 の間でプロトコルを設定します。

  11. R2 から R4 へのユニキャスト IP-IP 動的トンネル 01、R4 から R2 へのトンネル 02 を設定します。

  12. R2 と IS-IS で BGP および IS-IS エクスポート ポリシー条件を設定し、BGP および RIB inet.0 から完全に解決されたネクスト ホップにルートを転送します(R2-PTX デバイス)。

  13. commitR2 および R4 デバイスの設定モードからを入力します。

  14. VLAN デバイス インターフェイス、ループバック アドレス、ファミリー mpls、ルーター ID、自律システム(AS)番号を設定します。

  15. 到達可能性OSPF R3 から R2、R4 の各デバイスでプロトコルを設定します。

  16. commitR3 デバイスの設定モードから を入力します。

結果

以下の設定をデバイスから以下のように確認して、設定を検証します。

R2デバイスの設定を検証する方法は次の手順に示します。

user@R2# show interfaces

user@R2# show routing-options

user@R2# show protocols

user@R2# show policy-options

検証

動的トンネル データベースの検証
目的

動的トンネル データベース情報を検証するには、動作モード コマンド show dynamic-tunnels database を使用します。

アクション

出力は、R2デバイス上のR2( 送信元 )とR4 ( 宛先)の間にトンネルカプセル化を行ってIPoIPトンネルが確立され、別の 192.168.0.21192.168.0.41 IPoIPトンネルがR4デバイスのR4(送信元)と 192.168.0.41 R2(宛先)の間のトンネル カプセル化を確立示しています。 192.168.0.21

inet.3 のルート テーブルの検証
目的

inet.3 テーブルで生成されたルートを検証するには、動作モード コマンド show route table inet.3 を使用します。

アクション

出力は、R2 が IPIP トンネルを介して 192.168.0.41/32 R4 からルートを受信したと示しています。

トンネルをBGPし、アドバタイズされたルートの検証
目的

R2 でBGPアドバタイズされたルート プレフィックスと BGP ピアするには、 および 動作モード コマンド 192.168.0.41show route receive-protocol bgp peershow route advertising-protocol bgp peer を使用します。

アクション

出力は、R2 が BGP を使用して R5 からルートを受信し、R2 が R1 からルートを送信または送信している状態を示しています。

例:LDP トンネルを使用した仮想環境MPLS IPoIP トンネルの設定(inetcolor.0 を使用して解決)

デフォルトでは、MPLS IPよりも設定が多くなっています。たとえば、R2、R3、R4 の間で MPLS と LDP が設定され、R2 が R4 から LDP まで到達可能な場合、R2 からのルートは IP-over-IP ではなく LDP 経由で解決されます。

LDP の代わりに IP-over-IP を使って解決するルートを指定したい場合は、不変のテーブルを作成します。このテーブルでは、IP-over-IP の方が好みで、inet3 テーブルではなく、そのルートオーバー BGP を解決する設定を行います。次の例では、静的設定を使用してこれを行う方法を示しています。

CLI クイック構成

R2

R3

R4

手順

順を追った手順
  1. R2 MPLS R3 と R3 と R4 の間のルーティング プロトコルと LDP プロトコルを設定します。

  2. IPIP BGPの色と拡張BGPをインポートするために、プロトコルを設定します。

  3. これらの宛先ネットワークでカラー 属性 100を追加し、この属性を使用して動的トンネルを作成するために、routing-options を設定します。

  4. 基本設定を設定して、基本設定値を割り当てる。

  5. 選択したルート フィルタに色 red と IPIP を割り当てるポリシー オプションを設定します。IP-over-IP 経由で解決したいルートを選択し、カラーと ipip を追加するためにルーター フィルタを設定するには、ポリシーオプションが必要です。

  6. コミュニティのポリシー オプションを設定してカプセル化を割り当て ipip community 、属性を community red .

  7. トンネルのエンド ポイントを使用して、R2 から R4、R4 から R2 に動的トンネルを設定するには、routing-options と policy-options を設定 192.168.0.41 します 192.168.0.21

  8. 設定 commit モードから R2、R3、R4 を入力します。

結果

設定モードからシナリオ 2 の設定セットを検証します。R2 の設定を確認する方法は次の方法です。

user@R2# show protocols

user@R2#show routing-options dynamic-tunnels Tunnel-01

user@R2#show policy-options policy-statement ipip-tunnel-color

user@R2# show policy-options policy-statement set-dynamic-tunnel-ep

user@R2# show policy-options community ipip

user@R2# show policy-options community red

検証

ルート解決の検証
目的

inet.3 テーブルと inetcolor.0 テーブルの両方でルートのルート解決を検証するには、 および 動作モード コマンド show route table inet.3show route table inetcolor.0 を使用します。

アクション

R2 の出力は、inet.3 テーブルで、IP-over-IP よりも高い設定により、ルートが LDP によって解決されている 192.168.0.41 状態を示しています。一方、新しく作成された inetcolor.0 テーブルでは、アタッチされた IP-over-IP トンネルを介してルートが 192.168.0.41<c> 解決されています。

R4 の出力は、inet.3 テーブルでは、設定が高いという理由で LDP によってルートが解決されています。ただし 192.168.0.21 、inetcolor.0 テーブルでは、ルートが 192.168.0.21 IP-over-IP トンネルを介してアタッチされた状態で解決されています。 <c>

動的トンネル データベースの検証
目的

inetcolor.0 テーブル内のルートによって作成された IP-over-IP 動的トンネルを検証するには、動作モード コマンド show dynamic-tunnels database terse を使用します。

アクション

R2 の出力は、ルートが 192.168.0.41 ネクスト ホップ ベースの動的トンネルを作成したと示しています。

R4 の出力は、ルートが 192.168.0.21 ネクスト ホップ ベースの動的トンネルを作成したと示しています。

ルートのネクスト ホップを検証
目的

IP-over-IP を介して解決するために設定されたルートのすべてのネクスト ホップを検証するには、 operational show route 192.168.0.51/32 extensive expanded-nh mode コマンドを使用します。

アクション

R2 出力は、ルートの拡張ネクスト ホップを示 192.168.0.51/32 します。R2 は完全に解決PTX シリーズとして、プロトコルのネクスト ホップと複合ネクスト ホップを完全に解決されたトンネルと一緒に送信します。

R4 出力は、ルートの拡張ネクスト ホップを示 192.168.0.11/32 します。R4 は次世代ルーター MX シリーズ、プロトコルのネクスト ホップと間接ネクスト ホップを送信します。

例:MPLS クラウドで LDP トンネルを使用して IPoIP トンネルを設定し、BGP シグナリングを使用して inetcolor.0 を通して解決

LDP がMPLSを使用している場合、BGP ルートは inet.3 テーブル上の LDP を通じて解決されます。ip よりも MPLS設定が高いのでです。

MPLS 環境で IP-over-IP によってルートを解決することを希望する場合は、inetcolor.0 テーブルを作成して IP-over-IP に対するより高い設定を割り当て、IP-over-IP を介して選択したルートを解決できます。BGP を使用してこの機能を有効にするには、トンネルのリモート エンド デバイス上でルート解決が実行され、リモート デバイスにエクスポート ポリシーが設定された場合、ルートが BGP シグナリングを通して受信およびアドバタイズされます。この例では、仮想プロトコル設定を使用してこれを設定BGPを示しています。

注:

静的設定を使用して LDP で IP-over-IP トンネルを設定した後にこの例を実行した場合は、R2、R3、R4 のデバイスで MPLS および LDP 設定を保持し、残りの静的設定ステートメントを削除します。

プロトコルのネクスト ホップで IP-over-IP 動的トンネルを設定した後にこの例を実行する場合は、次のステートメントを設定する前に、R2、R3、R4 のデバイスで MPLS と LDP の設定を設定します。最初の例からポリシーを export-tunnel-route 適用する前 export-isis に、ポリシーを適用してください。

CLI クイック構成

R2

R4

手順

順を追った手順
  1. R2 および R4 デバイスで設定モードにします。

  2. R2 BGP R4 でプロトコルを設定して、リモート エンド デバイスからの nexthop トンネルとエクスポート ルートを有効にします。

  3. R2 でルーティング オプションを設定し、R2 から R4 と R4 へのトンネルを作成し、R4 から R2 へのトンネルを作成し、色の値と設定を 100 に設定します。

  4. エクスポート フィルターを使用して R2 および R4 でルートをエクスポートし、トンネル属性を追加するには、ポリシー ステートメントを設定します。

  5. R2 および R4 でトンネルの色、トンネル タイプ、リモート エンド ポイントを追加するために割り当てるポリシー オプションを設定します。

  6. 設定 commit モードから を入力します。

結果

設定モードから次の show コマンドを使用して、設定を確認できます。以下に、R2 デバイスの設定を確認する方法を示します。

user@R2# show routing-options

user@R2# show policy-options policy-statement export-tunnel-route

user@R2# show policy-options tunnel-attribute tunnle-attr-02

user@R2# show protocols bgp group iBGP

検証

ルートBGP検証

目的

プロトコルを使用して送信されたルートBGP確認します。

アクション

R2

R4

出力は、これらのデータからのルートBGP。

受信したルートの検証

目的

以下の動作モード コマンドを使用してBGPを通過して受信したルートを検証します。

アクション

R2

R4

R2 および R4 の出力は、デバイスで受信したルートを示します。

アドバタイズされたルートの検証

目的

以下の動作モード コマンドを使用して、BGPを通してアドバタイズされたルートを検証します。

アクション

R2

R4

R2 および R4 の出力は、アドバタイズされているルートを示しています。

リリース履歴テーブル
リリース
説明
19.2R1
Junos リリース 19.2R1 から、MPC および MIC を使用する MX シリーズ ルーター上で、CSC(キャリア サポート キャリア)アーキテクチャを、サポートするキャリアの PE デバイス間で確立された動的 IPv4 UDP トンネルを使用して MPLS トラフィックを運ぶ MPLS-over-UDP トンネルと一緒に導入できます。
18.3R1
Junos OS リリース 18.3 R1 では、PTX シリーズルーターと QFX シリーズスイッチで MPLS オーバー UDP トンネルがサポートされています。
18.2R1
Junos OS のリリース18.2 をはじめ、PTX シリーズルーターと QFX10000 MPLS over UDP トンネルを使用して、リモート PE デバイスを MPLS オーバー UDP パケット用の入力フィルターと、decapsulating の IP および UDP ヘッダーのアクションに設定する必要があります。パケットを逆方向でトンネル転送します。
17.4R1
Junos OS リリース 17.4 R1 では、MX シリーズルーター上で、次ホップベースの動的 MPLS オーバー UDP トンネルが、BGP カプセル化拡張コミュニティーを使用して通知されます。
17.1R1
Junos OS リリース17.1 では、MX シリーズルーターで MPCs と Mic を使用して開始すると、MPLS オーバー UDP トンネルの拡張制限が増加します。