Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ネクストホップベースの動的トンネル

例:ネクストホップベースのMPLS-over-UDP動的トンネルの設定

この例では、トンネル複合ネクストホップを含む動的 MPLS-over-UDP トンネルを設定する方法を示します。MPLS-over-UDP 機能は、デバイスでサポートされる IP トンネルの数において拡張上の利点を提供します。

Junos OS Release 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターと QFX シリーズ スイッチでサポートされます。PTXルーターまたはQFXスイッチに設定された動的トンネルごとに、トンネル複合ネクストホップ、間接ネクストホップ、転送ネクストホップが作成され、トンネル宛先ルートが解決されます。また、ポリシー制御を使用して、 階層レベルで forwarding-rib 設定ステートメントを含めることで、選択したプレフィックスを介した動的トンネルを解決する こともできます。[edit routing-options dynamic-tunnels]

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPCとMICを搭載したMXシリーズルーター5台。

  • プロバイダ エッジ(PE)ルーター上で動作する Junos OS リリース 16.2 以降。

開始する前に、以下を実行します。

  1. ループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイスのルーター ID と自律システム番号を設定します。

  3. リモート PE デバイスとの内部 BGP(IBGP)セッションを確立します。

  4. デバイス間で OSPF ピアリングを確立します。

概要

Junos OS リリース 16.2 以降、ダイナミック UDP トンネルは、設定されたすべての UDP トンネルに対して、トンネル複合ネクストホップの作成をサポートしています。これらのネクストホップベースの動的UDPトンネルは、MPLS-over-UDPトンネルと呼ばれます。トンネル複合ネクストホップは、MPLS-over-UDPトンネルに対してデフォルトで有効になっています。

MPLS-over-UDP トンネルは、本質的に双方向または単方向です。

  • 双方向—PEデバイスがMPLS-over-UDPトンネルを介して両方向に接続されている場合、双方向MPLS-over-UDPトンネルと呼ばれます。

  • 一方向—2つのPEデバイスが一方向のMPLS-over-UDPトンネルで接続され、MPLS/IGPを介して反対方向に接続されている場合、それは単方向MPLS-over-UDPトンネルと呼ばれます。

    一方向 MPLS-over-UDP トンネルは、移行シナリオや、2 つの分離されたネットワークを介して 2 つの PE デバイスが相互に接続を提供する場合に使用されます。一方向 MPLS-over-UDP トンネルには逆方向トンネルは存在しないため、トラフィックを転送するためには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を設定する必要があります。

Junos OS Release 18.2R1以降、PTXシリーズルーターおよび単方向MPLS-over-UDPトンネル搭載のQFX10000では、MPLS-over-UDPパケット用の入力フィルターと、逆方向トンネル方向にパケットを転送するためのIPおよびUDPヘッダーのカプセル化解除アクションを使用して、リモートPEデバイスを設定する必要があります。

例えば、リモート PE デバイスであるデバイス PE2 では、単方向 MPLS-over-UDP トンネルには以下の設定が必要です。

PE2

上記の設定例では、 は MPLS-over-UDP のカプセル化解除に使用されるファイアウォール フィルターの名前です。Decap_Filter この用語 は、デバイス PE2 のコアに面したインターフェイスで UDP パケットを受け入れ、MPLS-over-UDP パケットを MPLS-over-IP パケットにカプセル化解除して転送するための入力フィルターです。udp_decap

既存のファイアウォール動作モード コマンドを使用して、 フィルターベースの MPLS-over-UDP カプセル化解除を表示することができます。show firewall filter

たとえば、以下のように表示されます。

注:

一方向 MPLS-over-UDP トンネルの場合:

  • IPv4 アドレスのみが外部ヘッダーとしてサポートされます。フィルターベースの MPLS-over-UDP のカプセル化解除では、外部ヘッダーの IPv6 アドレスはサポートされていません。

  • カプセル化解除後は、デフォルトのルーティング インスタンスのみサポートされます。

Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルのスケーリング制限が引き上げられました。

Junos リリース 19.2R1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、サポートしているキャリアの PE デバイス間で確立される動的な IPv4 UDP トンネル経由で MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して、キャリア サポート キャリア(CSC)アーキテクチャを導入できます。この機能拡張により、MPLS-over-UDP トンネルが提供する拡張の利点がさらに増加します。MPLS-over-UDP トンネルでの CSC サポートは、IPv6 UDP トンネルではサポートされていません。

既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルートのピア デバイスから受信したトンネル情報は無視されます。Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的MPLS-over-UDPトンネルが、BGPカプセル化拡張コミュニティーを使用してシグナリングされます。BGPエクスポートポリシーは、トンネルタイプの指定、送信側トンネル情報のアドバタイズ、受信側トンネル情報の解析と伝達に使用されます。受信したタイプのトンネルコミュニティに従ってトンネルが作成されます。

BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定された BGP ポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの優先度が両方のトンネル エンドで一貫している必要があります。デフォルトでは、MPLS-over-UDP トンネルが GRE トンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネルコミュニティよりも優先されます。

ネクストホップベースの動的 MPLS-over-UDP トンネルを設定する場合、以下の考慮事項に注意してください。

  • PE デバイス間で IBGP セッションを設定する必要があります。

  • ネクストホップベースの動的トンネルカプセル化(UDPとGRE)間の切り替えが可能です。これは、各モードでサポートされているIPトンネルスケーリング値の観点から、ネットワークパフォーマンスに影響を与える可能性があります。

  • 同じトンネル宛先に対してGREとUDPネクストホップベースの動的トンネルカプセル化タイプの両方があると、コミットに失敗します。

  • 単方向 MPLS-over-UDP トンネルの場合、パケットを転送するには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を明示的に設定する必要があります。

  • グレースフル ルーティング エンジン スイッチオーバー(GRES)は MPLS-over-UDP でサポートされており、MPLS-over-UDP トンネル タイプ フラグは統合 ISSU および NSR に準拠しています。

  • MPLS-over-UDP トンネルは、ライト モードの仮想 MX(vMX)でサポートされます。

  • MPLS-over-UDP トンネルは、新しい IPv4 にマッピングされた IPv6 ネクスト ホップに基づく動的な GRE トンネルの作成をサポートします。

  • MPLS-over-UDP トンネルは Contrail との相互運用性でサポートされており、MPLS-over-UDP トンネルは contrail vRouter から MX ゲートウェイに作成されます。これを有効にするには、MX シリーズ ルーターから contrail vRouter へのルートで次のコミュニティをアドバタイズする必要があります。

    ある時点で、contrail vRouter でサポートされているトンネル タイプは、ネクストホップベースの動的 GRE トンネル、MPLS-over-UDP トンネル、VXLAN の 1 つだけです。

  • ネクストホップベースの動的 MPLS-over-UDP トンネル設定では、以下の機能はサポートされていません。

    • RSVP 自動メッシュ

    • プレーンなIPV6 GREおよびUDPトンネル設定

    • 論理システム

トポロジー

図 1 は、動的 MPLS-over-UDP トンネルを介したレイヤー 3 VPN のシナリオを示しています。カスタマーエッジ(CE)デバイスCE1およびCE2は、それぞれPE1およびPE2のプロバイダエッジ(PE)デバイスに接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。動的ネクストホップベースの双方向 MPL-over-UDP トンネルが PE デバイス間に設定されています。

図 1: ダイナミック MPLS-over-UDP トンネルダイナミック MPLS-over-UDP トンネル

MPLS-over-UDP トンネルは次のように処理されます。

  1. MPLS-over-UDP トンネルが設定された後、inet.3 ルーティング テーブルで、トンネル複合ネクストホップを持つトンネル宛先マスク ルートがトンネル用に作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。

    トンネル複合ネクストホップ属性には、次のようなものがあります。

    • レイヤー3 VPN複合ネクストホップが無効の場合—送信元アドレスと宛先アドレス、カプセル化文字列、VPNラベル

    • レイヤー3 VPN複合ネクストホップとプレフィックス単位のVPNラベル割り当てが有効な場合—送信元アドレス、宛先アドレス、カプセル化文字列。

    • レイヤー3 VPN複合ネクストホップが有効で、プレフィックス単位のVPNラベル割り当てが無効になっている場合—送信元アドレス、宛先アドレス、およびカプセル化文字列。この場合のルートは、セカンダリルートを持つ他の仮想ルーティングおよび転送インスタンステーブルに追加されます。

  2. PE デバイスは、IBGP セッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。

  3. プロトコルネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。

  4. トンネル複合ネクストホップは、間接ネクストホップのネクストホップを転送するために使用されます。

設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

CE1

CE2

PE1

P1

PE2

手順

ステップバイステップでの手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、CLIユーザー・ガイドコンフィギュレーション・モードでのCLIエディタの使用を参照してください。

デバイスPE1を設定するには:

  1. デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイス P1 をネクストホップ宛先とするデバイス PE1 からのルートのスタティック ルートを設定します。

  3. 機器 PE1 のルータ ID と自律システム番号を設定します。

  4. (PTXシリーズのみ)ポリシー制御を設定して、選択したプレフィックスを介した MPLS-over-UDP 動的トンネル ルートを解決します。

  5. (PTXシリーズのみ)を介した動的トンネル宛先ルートを解決するための inet-import ポリシーを設定します。

  6. PEデバイス間のIBGPピアリングを設定します。

  7. 管理インターフェイスを除くデバイス PE1 のすべてのインターフェイスで OSPF を設定します。

  8. デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。

    注:

    この手順は、ネクストホップベースの動的GREトンネルとMPLS-over-UDPトンネルの実装上の違いを説明するためにのみ必要です。

  9. デバイスPE1からデバイスPE2へのMPLS-over-UDPトンネルパラメータを設定します。

  10. デバイス PE1 の VRF ルーティング インスタンスと、その他のルーティング インスタンス パラメーターを設定します。

  11. デバイスCE1とのピアリングのルーティングインスタンス設定でBGPを有効にします。

結果

設定モードから、show interfacesshow routing-optionsshow protocols、およびshow routing-instances のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

設定が正常に機能していることを確認します。

PE デバイス間の接続の検証

目的

デバイス PE1 とデバイス PE2 間の BGP ピアリング ステータス、およびデバイス PE2 から受信した BGP ルートを確認します。

アクション

運用モードから、 および コマンドを実行します。show bgp summaryshow route receive-protocol bgp ip-address table bgp.l3vpn.0

意味

  • 最初の出力では、BGPセッション状態は であり、これはセッションが稼働しており、PEデバイスがピアリングされていることを意味します。Establ

  • 2番目の出力では、デバイスPE1がデバイスPE2からBGPルートを学習しています。

デバイス PE1 での動的トンネル ルートの確認

目的

inet.3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。

アクション

運用モードから、 、 、 、および コマンドを実行します。show route table inet.3show dynamic-tunnels database terseshow dynamic-tunnels databaseshow dynamic-tunnels database summary

意味

  • 最初の出力では、デバイス PE1 に MPLS-over-UDP トンネルが設定されているため、inet.3 ルーティング テーブルのルート エントリーに対してトンネル複合ルートが作成されます。

  • 残りの出力では、MPLS-over-UDP トンネルが、トンネル カプセル化タイプ、トンネル ネクスト ホップ パラメータ、トンネル ステータスとともに表示されます。

デバイス PE2 での動的トンネル ルートの確認

目的

inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を確認します。

アクション

動作モードから、 、および コマンドを実行 します。show route table inet.3show dynamic-tunnels database terse

意味

出力には、デバイス PE1 と同様に、MPLS-over-UDP トンネルの作成と、ネクストホップ インターフェイスとして割り当てられたネクストホップ ID が表示されます。

ルートに期待される間接ネクストホップフラグがあることを確認する

目的

デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブル上で、間接ネクストホップから転送ネクストホップ バインディングへの設定されていることを確認します。

アクション

動作モードから、 デバイスPE1とデバイスPE2で コマンドを実行します。show krt indirect-next-hop

意味

この出力は、ネクストホップベースの動的 MPLS-over-UDP トンネルが PE デバイス間に作成されたことを示しています。

トラブルシューティング

ネクストホップベースの動的トンネルのトラブルシューティングを行うには、以下を参照してください。

コマンドのトラブルシューティング

問題点

ネクストホップベースの動的 MPLS-over-UDP トンネル設定は有効になりません。

ソリューション

ネクストホップベースの MPLS-over-UDP トンネル設定をトラブルシューティングするには、 ステートメント階層で以下のコマンドを使用します。traceroute[edit routing-options dynamic-tunnels]

  • traceoptions file file-name

  • traceoptions file size file-size

  • traceoptions flag all

たとえば、以下のように表示されます。

ネクストホップベースの動的トンネルのアンチスプーフィング保護の概要

データセンターへの大規模なIPトンネルの導入の増加に伴い、侵害された仮想マシン(VM)からの悪意のあるトラフィックをユーザーが制限できるセキュリティ対策を追加する必要があります。考えられる攻撃の1つは、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックを挿入することです。このような場合、IPトンネルのスプーフィング対策チェックにより、正当な送信元のみが指定されたIPトンネルからデータセンターにトラフィックを注入していることが確認されます。

ネクストホップベースの動的 IP トンネルは、デバイス上に作成されたすべての動的トンネルに対して、トンネル複合ネクストホップを作成します。ネクストホップベースの動的トンネルでは、新たに動的トンネルを設定するたびに物理インターフェイスに依存しなくなるため、ネクストホップベースの動的トンネルを設定すると、デバイスに作成できる動的トンネルの数に比べて拡張上のメリットが得られます。Junos OS Release 17.1 以降、ネクストホップベースの動的 IP トンネルのなりすまし対策機能が、ネクストホップベースの動的トンネルに提供されます。この機能拡張により、セキュリティ対策が実装され、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックが挿入されるのを防ぎます。

アンチスプーフィングは、パケット転送エンジンのリバースパス転送チェックを使用して実装されます。チェックは、トンネルを通ってルーティングインスタンスに到達するトラフィックに対して実装されます。現在、ゲートウェイルーターがトンネルからトラフィックを受信すると、宛先検索のみが行われ、それに応じてパケットが転送されます。なりすまし対策保護が有効になっている場合、ゲートウェイ ルーターは、トンネル宛先の検索に加えて、VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索も実行します。これにより、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認できます。その結果、なりすまし防止保護により、トンネル トラフィックが指定されたトンネル上の正当な送信元から受信されることが保証されます。

図 2 は、スプーフィング防止保護の要件を含むサンプル トポロジを示しています。

図 2: ネクストホップベースの動的トンネルのなりすまし対策ネクストホップベースの動的トンネルのなりすまし対策

この例では、ゲートウェイルーターはルーターGです。ルーターGには緑と青の2つのVPNがあります。サーバー A とサーバー B の 2 つのサーバーは、それぞれネクストホップベースの動的トンネル T1 および T2 を介して、ルーター G の Green VPN と Blue VPN に到達できます。サーバーに接続された複数のホストと仮想マシン(P、Q、R、S、T)は、ゲートウェイルーターであるルーターGを介してVPNに到達できます。ルーターGには、グリーンVPNとブルーVPNのVRF(仮想ルーティングと転送)テーブルがあり、それぞれにこれらのVPN内の仮想マシンの到達可能性情報が入力されています。

たとえば、VPN Green では、ルーター G はトンネル T1 を使用してホスト P に到達し、トンネル T2 を使用してホスト R および S に到達し、トンネル T1 と T2 の間でロード バランシングを実行してマルチホーム ホスト Q に到達します。VPN Blueでは、ルーターGはトンネルT1を使用してホストPおよびRに到達し、トンネルT2を使用してホストQおよびTに到達します。

以下の場合、リバースパスフォワーディングのチェックに合格します。

  • パケットは、指定されたトンネル上の正当な送信元から送信されます。

    VPN Green のホスト P は、トンネル T1 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 を通じてホスト P に到達できるため、パケットの通過を許可し、パケットをホスト X に転送します。

  • パケットは、指定されたトンネル上のマルチホーム送信元から送信されます。

    VPN Green のホスト Q は、サーバー A および B 上でマルチホーム化されており、トンネル T1 および T2 を介してルーター G に到達できます。ホスト Q は、トンネル T1 を使用してホスト Y にパケットを送信し、トンネル T2 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 および T2 を介してホスト Q に到達できるため、パケットの通過を許可し、それぞれホスト Y および X に転送します。

レイヤー3 VPNでは、デフォルトでなりすまし対策が有効になっていません。ネクストホップベースの動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含め ます 。ip-tunnel-rpf-check[edit routing-instances routing-instance-name routing-options forwarding-table] リバースパス転送チェックは、VRFルーティングインスタンスにのみ適用されます。デフォルト モードは に設定されており、非指定トンネル上の送信元からのパケットはチェックに合格しません。strict モードは として設定でき、パケットが存在しない送信元から送信された場合、リバースパス転送チェックは失敗します。ip-tunnel-rpf-checkloose オプションのファイアウォールフィルターは、 ステートメントの下に 設定することができ、リバースパス転送チェックに失敗したパケットをカウントしてログに記録することができます。ip-tunnel-rpf-check

次のサンプル出力は、スプーフィング対策の構成を示しています。

ネクストホップベースの動的トンネルのなりすまし防止を構成する場合は、以下のガイドラインを考慮してください。

  • スプーフィング対策保護は、IPv4 トンネルと IPv4 データ トラフィックに対してのみ有効にできます。なりすまし対策機能は、IPv6 トンネルおよび IPv6 データ トラフィックではサポートされていません。

  • ネクストホップベースの動的トンネルのスプーフィング対策では、侵害された仮想マシンを検出して防止できますが(内部ソースのリバースパス転送チェック)、ラベルスプーフィングを行っている侵害されたサーバーは検出できません。

  • ネクストホップベースのIPトンネルは、inet.0ルーティングテーブルで開始および終了できます。

  • なりすまし防止は、VRF ルーティング インスタンスに、 (を使用)ラベルスイッチ インターフェイス(LSI)または仮想トンネル(VT)インターフェイスがある場合に有効です。vrf-table-label VRFルーティングインスタンスのラベルを使用すると 、なりすまし防止はサポートされていません。per-next-hop

  • は 、内部 IP パケットにのみ適用されます。rpf fail-filter

  • アンチスプーフィングチェックを有効にしても、デバイス上のネクストホップベースの動的トンネルのスケーリング制限には影響しません。

  • VRF ルーティング インスタンスに対してスプーフィング対策保護を有効にした場合のシステム リソース使用率は、スプーフィング対策が有効になっていない場合のネクストホップベースの動的トンネルの使用率よりもわずかに高くなります。

  • スプーフィング対策保護には、追加の送信元 IP アドレス チェックが必要であり、ネットワーク パフォーマンスへの影響は最小限です。

  • なりすまし対策では、GRES(グレースフル ルーティング エンジン スイッチオーバー)と ISSU(インサービス ソフトウェア アップグレード)がサポートされています。

例:ネクストホップベースの動的トンネルのアンチスプーフィング保護の設定

この例では、仮想ルーティングおよび転送(VRF)ルーティング インスタンスのリバース パス フォワーディング チェックを設定し、ネクストホップベースの動的トンネルのアンチスプーフィング保護を有効にする方法を示します。このチェックでは、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MICを備えた3台のMXシリーズルーター、それぞれがホストデバイスに接続されています。

  • 1 つまたはすべてのルーターで実行されている Junos OS リリース 17.1 以降。

開始する前に、以下を実行します。

  • フレキシブルPICコンセントレータでトンネルサービスの設定を有効にします。

  • ルーター・インターフェイスを設定します。

  • ルーター ID を設定し、ルーターの自律システム番号を割り当てます。

  • トンネルエンドポイントとの内部BGP(IBGP)セッションを確立します。

  • すべてのルーターで RSVP を設定します。

  • すべてのルーターでOSPF またはその他の内部ゲートウェイ プロトコルを設定します。

  • 2つのルーター間に2つの動的ネクストホップベースのIPトンネルを設定します。

  • ルーター/ホスト間接続ごとに VRF ルーティング インスタンスを設定します。

概要

Junos OS リリース 17.1 以降、ネクストホップベースの動的 IP トンネルにスプーフィング対策機能が追加され、パケット転送エンジンのリバースパスフォワーディングを使用して、トンネルを経由してルーティングインスタンスに到達するトラフィックのチェックが実装されます。

現在、ゲートウェイ ルーターがトンネルからトラフィックを受信すると、宛先アドレスの検索のみが実行されてから転送されます。なりすまし防止保護により、ゲートウェイ ルーターは VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索を行い、正当な送信元が指定された IP トンネルを介してトラフィックを注入していることを確認します。これは厳密モードと呼ばれ、スプーフィング対策保護の既定の動作です。非指定トンネルからのトラフィックを転送させるには、損失モードでリバース パス フォワーディング チェックを有効にします。存在しない送信元から受信したトラフィックの場合、strict モードと loose モードの両方でリバース パス転送チェックが失敗します。

アンチスプーフィングは、VRF ルーティングインスタンスでサポートされています。動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含め ます 。ip-tunnel-rpf-check[edit routing-instances routing-instance-name routing-options forwarding-table]

トポロジー

図 3 は、なりすまし防止保護が有効なサンプル ネットワーク トポロジを示しています。ルーター R0、R1、および R2 は、それぞれホスト Host0、Host1、および Host2 に接続されています。2つの汎用ルーティングカプセル化(GRE)ネクストホップベースの動的トンネル、トンネル1およびトンネル2 – それぞれルーターR0をルーターR1およびR2に接続します。VRFルーティングインスタンスは、各ルーターとそれに接続されたホストデバイスの間で実行されています。

図 3: ネクストホップベースの動的トンネルのなりすまし対策ネクストホップベースの動的トンネルのなりすまし対策

例として、3 つのパケット(パケット A、B、C)が、ネクストホップベースの動的 GRE トンネル(トンネル 2)を介してルーター R2 からルーター 0 で受信されます。これらのパケットの送信元 IP アドレスは、172.17.0.2 (パケット A)、172.18.0.2 (パケット B)、および 172.20.0.2 (パケット C) です。

パケットAとパケットBの送信元IPアドレスは、それぞれホスト2とホスト1に属しています。パケット C は存在しない送信元トンネルです。この例の指定トンネルはトンネル2で、非指定トンネルはトンネル1です。したがって、パケットは次のように処理されます。

  • Packet A- 送信元が指定されたトンネル(トンネル 2)から来ているため、パケット A はリバース パス転送チェックに合格し、トンネル 2 を通過する転送が処理されます。

  • Packet B- 送信元が非宛先トンネルであるトンネル1から来ているため、デフォルトでは、パケットBは厳密モードでリバースパス転送チェックに失敗します。ルーズ モードが有効になっている場合、パケット B は転送が許可されます。

  • Packet C- 送信元が存在しないトンネル送信元であるため、パケット C はリバース パス転送チェックに失敗し、パケットは転送されません。

設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードから commit を入力します。

ルーターR0

ルーター R1

R2

手順

ステップバイステップでの手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、CLIユーザー・ガイドコンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーターR0を設定する。

  1. ループバック インターフェイスを含め、ルーター R0 のインターフェイスを設定します。

  2. ルーター R0 のルーター ID と自律システム番号を割り当てます。

  3. ルーター間のIBGPピアリングを設定します。

  4. 管理インターフェイスを除くルーターR0のすべてのインターフェイスでOSPFを設定します。

  5. 管理インターフェイスを除くルーター R0 のすべてのインターフェイスで RSVP を設定します。

  6. ルーター R0 でネクストホップベースの動的 GRE トンネル設定を有効にします。

  7. ルーター R0 からルーター R1 への動的 GRE トンネル パラメーターを設定します。

  8. ルーター R0 からルーター R2 への動的 GRE トンネル パラメーターを設定します。

  9. ルーター R0 で仮想ルーティングおよび転送(VRF)ルーティング インスタンスを設定し、ホスト 1 に接続するインターフェイスを VRF インスタンスに割り当てます。

  10. VRFルーティングインスタンス用にホスト1との外部BGPセッションを設定します。

  11. ルーター R0 の VRF ルーティング インスタンスのなりすまし防止を設定します。これにより、ルーター0でネクストホップベースの動的トンネルT1とT2のリバースパスフォワーディングチェックが有効になります。

結果

設定モードから、show interfacesshow routing-optionsshow protocols、およびshow routing-options のコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

基本設定の確認

目的

ルーター R0 とルーター R1 および R2 の間の OSPF および BGP ピアリング ステータスを確認します。

アクション

運用モードから、 および コマンドを実行します。show ospf neighborshow bgp summary

意味

OSPF と BGP のセッションは、ルーター R0、R1、および R2 の間で稼働しています。

動的トンネル設定の確認

目的

ルーター R0 とルーター R1 および R2 の間にあるネクストホップベースの動的 GRE トンネルのステータスを確認します。

アクション

動作モードから、 、および コマンドを実行 します。show route table inet.3show dynamic-tunnels database terse

意味

2つのネクストホップベースの動的GREトンネル、トンネル1とトンネル2が立ち上がっています。

スプーフィング対策保護の設定の確認

目的

リバース パス フォワーディング チェックがルーター R0 の VRF ルーティング インスタンスで有効になっていることを確認します。

アクション

動作モードから、.show krt table VPN1.inet.0 detail

意味

設定されたリバースパス転送チェックは、厳密モードのVRFルーティングインスタンスで有効です。

ネクストホップベースの動的トンネルローカリゼーションの概要

ネクストホップベースの動的トンネルには、GRE(Generic Routing Encapsulation)トンネルと MPLS-over-UDP トンネルがあります。これらのトンネルは、インターフェイスベースのトンネルに比べて拡張上の利点があります。ただし、インターフェイスベースのトンネルとは異なり、ネクストホップベースの動的トンネルは本質的にアンカーレスであり、トンネルの転送情報がデバイス上のすべてのラインカードのパケット転送エンジン(PFE)に配信されます。これにより、デバイスでサポートされるトンネルの最大数が、1 つのラインカードのトンネル容量に制限されます。ローカリゼーションのサポートにより、ネクストホップベースの動的トンネルローカリゼーションを設定し、アンカーPFEとして指定されたラインカードのPFEでのみ転送情報を作成できます。デバイス上の他のラインカードのPFEには、パケットをアンカーPFEに誘導するための状態転送情報があります。これにより、デバイスでサポートされるトンネルの最大数を増やすことにより、拡張上の利点が得られます。

ネクストホップベースの動的トンネルローカリゼーションのメリット

デバイスでサポートされるトンネルの最大数を増やすことにより、拡張上の利点を提供します。

ネクストホップベースの動的トンネルローカリゼーションの使用例

  • 多数のMS-MPCをホストするIPsecゲートウェイデバイスは、IPSecトンネルの終端に使用され、中程度の負荷をサポートする必要があります。このサポートは、デバイスの拡張限界に達した場合に、ネクストホップベースの動的トンネルを使用することで影響を受けます。ネクストホップベースの動的トンネルのローカライズにより、サポートされるトンネルの最大数が増加し、デバイスは追加のファブリックホップを犠牲にして、より多くのトンネルを収容できます。

  • 仮想パブリッククラウドデータセンターなどのインターネットまたはVPNゲートウェイデバイスの場合、ゲートウェイデバイスは多数のサーバーと通信する必要があります。データセンターサーバーには、ネクストホップベースの動的トンネルを介してアクセスできます。動的トンネルのアンカーレスプロパティは、デバイスの全体的なスケーリング数を制限します。ゲートウェイデバイスは、トラフィック需要の増加に伴い、複数のMPCをホストしています。ネクストホップベースの動的トンネルのローカライズにより、トンネルをMPC全体に分散できるため、トンネルスケーリング数を増やすことができます。

ネクストホップベースの動的トンネルのローカライズによるトラフィック処理

ローカリゼーションのサポートにより、ネクストホップベースの動的トンネル状態はアンカーのパケット転送エンジンに限定され、もう一方のパケット転送エンジンはトンネルアンカーにトラフィックを誘導するトンネルの状態を持ちます。

図 4 は、ローカライズなしのネクストホップベースの動的トンネルの転送パスを示しています。

図 4: ローカリゼーションなしのネクストホップベースの動的トンネルの転送パスローカリゼーションなしのネクストホップベースの動的トンネルの転送パス

図 5 は、ローカライズを使用したネクストホップベースの動的トンネルの転送パスを示しています。

図 5: ローカライズを使用したネクストホップベースの動的トンネルの転送パスローカライズを使用したネクストホップベースの動的トンネルの転送パス

ネクストホップベースの動的トンネルローカリゼーションの設定

ローカリゼーションサポートは、新しく作成されたネクストホップベースの動的トンネル、または既存の非ローカル動的トンネルに対して設定できます。

新しいネクストホップベースの動的トンネルのローカリゼーションの設定

ネクストホップベースの動的トンネルのローカライズでは、ポリシーベースのアプローチを使用してプレフィックスグループを指定します。つまり、ルートポリシーは、ネクストホップベースの動的トンネルにローカリゼーションプロパティを適用するために使用されます。動的トンネル属性プロファイルは、 ポリシーを使用してプレフィックス グループに関連付けるためのルーティング オプションで作成および設定されます。

  1. 動的トンネル プロファイルの作成

    動的トンネル プロファイルは、トンネル タイプとアンカー パケット転送エンジン情報を指定します。動的トンネルをローカライズするために、複数の動的トンネル プロファイルを作成できます。動的トンネル タイプの値は、GRE、UDP、または BGP-SIGNAL です。

    BGP-SIGNALは有効なトンネルタイプではありませんが、BGP-SIGNALをトンネルタイプとして割り当てることで、BGP-signalled属性から作成されたトンネルがローカライズされます。BGP-SIGNALを使用する場合、トンネルタイプはBGPがTLVでアドバタイズするタイプに基づいて決定されます。BGP-SIGNALトンネルは、常にネクストホップベースのトンネルです。BGP-SIGNAL によって動的に作成される GRE トンネルは、ユーザーが GRE によって作成されたトンネルを IFL を使用するように手動で設定している場合でも、常にネクストホップベースです。

    アンカーパケット転送エンジン値は、アンカーパケット転送エンジンのラインカード(例:pfe-x/y/0)です。この情報は、コマンド出力から 確認できます。show interfaces terse pfe*

    Sample Configuration:

  2. プレフィックス リストへの動的トンネル プロファイルの関連付け

    アクションとして を使用して ポリシーを設定すると、動的トンネルがプレフィックスリストに関連付けられます。dynamic-tunnel-attributes ポリシー アクションにより、プレフィックス範囲、コミュニティ、BGP ルートの送信元アドレスなど、一致する条件に対して指定された属性を持つトンネルを作成できます。from

    Sample configuration:

  3. 転送テーブルのエクスポートポリシーの下にトンネルポリシーを含めます。

    ポリシーが設定されると、ポリシーを解析するための転送テーブルのエクスポートポリシーに含まれます。

    エクスポート ポリシーを使用すると、トンネル属性がルートに関連付けられます。BGP からのルートが解決のためにキューイングされるたびに、転送テーブルのエクスポート ポリシーが評価され、適用されたフィルタに基づいてポリシー モジュールからトンネル属性が取得されます。取得したトンネル属性は、トンネル複合ネクストホップの形式でネクストホップに付加されます。トンネル複合ネクストホップが送信される前に、パケット転送エンジン名とトンネルタイプに基づいて、対応するアンカー転送構造が作成され、転送テーブルに送信されます。ただし、どの属性もトンネル複合ネクストホップにマッピングされない場合は、ローカライズされていない動的トンネルと同様に、転送構造がすべてのパケット転送エンジンで作成されます。

    Sample configuration:

既存のネクストホップベースの動的トンネルのローカリゼーションの設定

注意:

動的トンネル属性をその場で変更すると、メモリ使用率が高くなり、FPCがクラッシュする可能性があります。そのため、ローカリゼーションを設定する前に、動的トンネル設定を無効にすることをお勧めします。

既存のネクストホップベースの動的トンネルのトンネル属性を更新するには、以下のを実行する必要があります。

  1. 階層レベルでの設定を無効にします。dynamic-tunnels[edit routing-options]

    Sample configuration:

  2. 必要に応じてトンネルの属性を変更します。

  3. 階層レベルで設定を有効にします。dynamic-tunnels[edit routing-options]

    Sample configuration:

既存の非ローカルネクストホップベースの動的トンネルのローカリゼーションを設定するには、次の手順に従います。

注意:

既存の非ローカルネクストホップベースの動的トンネルのローカリゼーションを設定するためにその場で変更を行うと、メモリ使用率が高くなり、FPCがクラッシュする可能性があります。そのため、ローカリゼーションを設定する前に、動的トンネル設定を無効にすることをお勧めします。

  1. 階層レベルで設定を 無効化します 。dynamic-tunnels[edit routing-options]

  2. 新しいネクストホップベースの動的トンネルと同様に、トンネル属性プロファイルを作成し、動的トンネルをローカライズするためのポリシーを追加します。

  3. 設定を有効にします 。dynamic-tunnels

ローカライズされたネクストホップベースの動的トンネルのトラブルシューティング

ネクストホップベースの動的トンネルのローカライズでは、トンネル複合ネクストホップはアンカーパケット転送エンジンIDに関連付けられます。階層レベルでの以下のtraceroute設定ステートメントは、 局所的な動的トンネルのトラブルシューティングに役立ちます。[edit routing-options]

  • dynamic-tunnels traceoptions flag all- DTM でのトンネルの作成と削除を追跡します。

  • resolution traceoptions flag tunnel- BGP ルートでのリゾルバー操作を追跡します。

  • forwarding-table traceoptions flag all- カーネルに送信されたトンネルを追跡します。

  • traceoptions flag all- ルート学習プロセスの追跡。

以下のコマンドを使用して、ルートがローカライズされたネクストホップベースの動的トンネルを使用しているかどうかを確認できます。

  1. show route prefix extensive- 間接ネクストホップを取得します。

    たとえば、以下のように表示されます。

  2. show krt indirect-next-hop index indirect-next-hop detail- 間接ネクスト ホップの詳細出力でアンカー パケット転送エンジン フィールドを確認します。

    たとえば、以下のように表示されます。

ネクストホップベースの動的トンネルローカリゼーションでサポートされていない機能

Junos OS は、ネクストホップベースの動的トンネルのローカライズでは、以下の機能をサポートしていません。

  • 階層レベルで連鎖 された複合ネクストホップ。[edit routing-options forwarding-table chained-composite-next-hop ingress l3vpn]

  • アンカーパケット転送エンジンの耐障害性。

    ローカリゼーションを使用したネクストホップベースの動的トンネルの耐障害性サポートはありません。ネクストホップベースの動的トンネルをローカライズした後、アンカーのPacker転送エンジンは、デバイス上の任意のトンネルを処理する単一のエンティティになります。アンカー パッカー フォワーディング エンジンの耐障害性はサポートされていませんが、ゲートウェイ デバイスの場合、ゲートウェイ デバイスでの冗長性により、トンネル複合ネクストホップが委任されているパッカー転送エンジンがダウンしたときに、トラフィックを冗長ゲートウェイ デバイスに再ルーティングする必要があります。ルーティングプロトコルプロセスは、Packer転送エンジンの状態を監視し、そのPacker転送エンジンに固定されているトンネルコンポジットネクストホップを指すすべてのルートのBGPアドバタイズを撤回します。

    アンカーされたパケット転送エンジンのみが本格的なトンネルコンポジットネクストホップを持ち、他のすべてのパケット転送エンジンは、アンカーパケット転送エンジンにトラフィックを転送するステアリングエントリーのみを持っています。これらのステアリングエントリは、アンカーFPCがダウンしても取り消されません。

  • ネクストホップベースの動的トンネルのローカライズは、論理システムではサポートされていません。

  • IPv6 は、ネクストホップベースの動的トンネルのローカライズではサポートされていません。

  • ローカリゼーションでは、アンカーのパケット転送エンジンラインカードの状態がアップしていない場合、 コマンドは正確なトンネルサマリーを表示しません。show dynamic-tunnels database summary 回避策として、 および コマンド出力を使用します。show dynamic-tunnels databaseshow dynamic-tunnels database terse

IP-over-IP カプセル化を使用したネクストホップベースの動的トンネリングの概要

SUMMARY 

メリット

IP-over-IP トンネリングには、次のメリットがあります。

  • Alternative to MPLS over UDP- MPLS-over-UDP トンネリングの代替として使用でき、サービスごとに専用デバイスがある IP サービスを提供できます。

  • Ability to steer specific traffic- MPLSトンネルではなく、IPトンネルを介して特定のトラフィックをルーティングするためにルートをフィルタリングできるため、MPLSとIPネットワークが共存する場合にスムーズな移行が可能です。

  • Ability to support tunnels at increasing scale—BGP コントロール プレーンを使用した動的なトンネル作成により、大規模なトンネル作成が容易になります。

IP-over-IP 動的ネクストホップベーストンネリングとは何ですか?

IPネットワークには、エッジデバイスとコアデバイスが含まれます。これらのデバイス間でより高い拡張性と信頼性を実現するには、オーバーレイ カプセル化を使用して、エッジ デバイスが対話する外部ネットワークからコア ネットワークを論理的に分離する必要があります。

Junos OS Release 20.3R1以降、IPトランスポートネットワーク上でのIPオーバーレイの構築を容易にするために、IP-over-IPカプセル化がサポートされています。IP over IP では、ネクストホップベースのインフラストラクチャに依存して、より高い拡張性をサポートします。この機能は、IPv6 および IPv4 ペイロードの IPv4 カプセル化をサポートします。サポートされている他のオーバーレイカプセル化の中で、IP-over-IPカプセル化は以下を可能にする唯一の種類です。

  • 内部ペイロードを解析し、ハッシュ計算に内部パケットフィールドを使用するトランジットデバイス

  • スループットを低下させることなく、トンネルに出入りするトラフィックをルーティングするカスタマーエッジデバイス

MX シリーズ ルーターでは、ルーティング プロトコル デーモン(RPD)がトンネル コンポジット ネクストホップでカプセル化ヘッダーを送信し、パケット転送エンジン(PFE)がトンネルの宛先アドレスを見つけてパケットを転送します。PTX シリーズ ルーターと QFX10000 スイッチでは、RPD は完全に解決されたネクストホップベースのトンネルをパケット転送エンジンに送信します。BGPプロトコルは、ルートを分散し、動的トンネルに信号を送るために使用されます。

次の図は、R-2 と R-4 の間に確立された IP over IP トンネルを介して、IPv4 または IPv6 トラフィックが R-1 から R-5 に送信される方法を示しています。

IP-over-IP トンネルスティッチング

Junos OSリリース21.3R1では、MX240、MX480、MX960、PTX1000、PTX10008、PTX10016およびQFX10002にIP-over-IPトンネルスティッチが導入されています。この機能を使用して、デバイス上のIP-over-IPトンネルを終端し、同じデバイス上で別のトンネルを開始することができます。デバイスが IP-over-IP パケットを受信すると、外側のパケット ヘッダーのカプセル化が解除され、内側のパケット ルックアップが行われます。その後、内部 IP パケット ヘッダーは同じデバイス上の別のトンネルを指し示し、同じデバイスが別の IP-over-IP ヘッダーでパケットを再度カプセル化します。

例:ネクストホップベースのIP-over-IP動的トンネルの設定

SUMMARY IP-over-IP カプセル化を使用して、ネクストホップベースのトンネルを設定する方法について説明します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • 5つのMXシリーズルーター。

  • Junos OS リリース 20.3R1 以降のバージョン。

概要

Junos OS Release 20.3R1以降、IPトランスポートネットワーク上でのIPオーバーレイの構築を容易にするために、IP-over-IPカプセル化がサポートされています。この例では、OSPFコアを介して接続されたR2とR4の間のIBGPピアリングを介したプロトコルネクストホップ(PNH)を持つデバイス間でユニキャストIP-over-IPトンネルを確立し、ルートを交換して動的トンネルに信号を送る様子を示しています。

トポロジー

図 1 は、5 つのデバイスを使用した IP-over-IP のシナリオを示しています。

この例では、R2とR4の間に確立されたIP-over-IP動的トンネルを介して、R1からR5へ、またR1からR5へ、またはその逆のルートを交換しています。プロトコル IS-IS を使用して、R1 からのルートは R2 に、R5 からのルートは R4 にエクスポートされます。R2からR4へのユニキャストIPIPトンネルと、R4からR2への別のトンネルを設定します。Tunnel-01Tunnel-01 ピアデバイスの設定された宛先ネットワークからネットワークマスク内で生成されたルートプレフィックスは、トンネルの作成に使用され、トラフィックはトンネル内のルートとは逆方向に流れます。

プロトコルネクストホップによるIP-over-IP動的トンネルの設定

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階[edit]層レベルで CLI にコピー アンド ペーストして、設定モードからコミットを入力します。

R1

R2

R3

R4

R5

プロトコルネクストホップを使用したIP-IP動的トンネルの設定

R1のステップバイステップ手順

R1 と R5 の構成は似ているため、R1 の手順のみを示します。

  1. R1で設定モードに入ります。

  2. R2に接続されたインターフェイスとインターフェイスlo0を設定します。必ず ファミリー と の両方を設定してください。inetiso プロトコルIS-ISにはファミリー が必要です。iso

  3. ルーターIDを設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 に入力します 。commit

R2のステップバイステップ手順

R2 と R4 の構成は似ているため、R2 の手順のみを順を追って説明します。

  1. R2で設定モードに入ります。

  2. R1 および R3 に接続するインターフェイスとインターフェイス lo0 を設定します。R1とlo0に接続されたインターフェイスで、ファミリー と の両方を設定してください。inetiso

  3. R1 に接続されたインタフェースのプロトコル IS-IS を設定します。BGPルートをIS-ISにアドバタイズするためのエクスポートポリシーは、ポリシー設定ステップに示されています。

  4. lo0到達可能性のために、R3に接続されたインターフェイスのOSPFプロトコルを設定します。

  5. R2 と R4 の間に および 、IBGP を設定します。router-idautonomous-system IS-IS ルートを BGP にアドバタイズするためのエクスポートポリシーは、ポリシー設定ステップに示されています。

  6. 前の手順で適用した BGP および IS-IS のエクスポート ポリシーを設定します。ポリシーは、BGPルートをIS-ISにアドバタイズするためのエクスポートとしてプロトコルIS-ISに適用され、ポリシーは、BGPにIS-ISルートをアドバタイズするためのエクスポートとしてBGPに適用されます。export-bgpexport-isis ネクストホップセルフオプションを使用すると、R2は、R1のインターフェイスネクストホップではなく、R2をネクストホップとして、IS-ISルートをBGPにアドバタイズできます。

  7. IP-IP 動的トンネル を R2 から R4 に設定します。Tunnel-01 設定オプション を使用すると、inet.3でルート解決を行うことができ、トンネルを確立するために必要です。resolution-ribs inet.3

  8. (オプション) - R2 から R4 への IP-IP 動的トンネル の代替設定。Tunnel-01 を設定する 代わりに、トンネル エンドポイントへのルートのプロトコルネクストホップ優先よりも低いトンネル優先を設定することができます。resolution-ribs inet.3 R4 のルートは OSPF を使用して学習され、プリファレンスは 10 で、トンネルのデフォルト プリファレンスは 305 です。トンネルのプリファレンスを OSPF プリファレンスよりも低く設定することで、トンネルを優先して確立することができます。

  9. R2の設定モードからを入力します 。commit

R3のステップバイステップ手順

  1. R3で設定モードに入ります。

  2. R2 および R4 に接続するインターフェイスとインターフェイス lo0 を設定します。

  3. ルーターIDを設定します。

  4. lo0 到達可能性のために、R2 および R4 に接続されたインターフェイスの OSPF プロトコルを設定します。

  5. R3デバイスの設定モードからを入力します 。commit

結果

以下のようなデバイスで、以下の設定を照合して、設定を検証します。

R2 での設定を検証する方法は、以下のようになります。

user@R2# show interfaces

user@R2# show routing-options

user@R2# show protocols

user@R2# show policy-options

検証

動的トンネル データベースの確認
目的

動的トンネル データベースの情報を確認するには、 運用モード コマンドを使用します 。show dynamic-tunnels database

アクション
意味

この出力は、R2(送信元)とR4(宛先)の間にIPoIPトンネルが確立され、R4(送信元)とR2(宛先)の間に別のIPoIPトンネルが確立されていることを示しています。192.168.0.21192.168.0.41192.168.0.41192.168.0.21

inet.3でルートテーブルを検証
目的

inet.3テーブルで生成されたルートを検証するには、 運用 モードコマンドを使用します。 show route table inet.3

アクション
意味

出力には、トンネルを使用するBGPトラフィックの解決に使用されるルートが表示されます。

トンネルを使用した BGP ルートの検証
目的

R1とR5のR2とR4で受信したBGPルートがトンネルを使用していることを確認するため。

アクション
意味

出力は、R2 が R5 への BGP ルートにトンネルを使用し、R4 が R1 への BGP ルートにトンネルを使用していることを示しています。

エンドツーエンドの到達可能性の確認
目的

R1が動作モードコマンドを使用してR5 にpingできることを確認します。ping 192.168.255.5 source 192.168.255.1 count 2

アクション
意味

R1からの出力は、R1がR5にpingできることを示しています。

例:静的設定を使用してinetcolor.0を介して解決されるLDPトンネルを使用してMPLS環境でIPoIPトンネルを設定する

デフォルトでは、MPLSはIPよりも優先されます。たとえば、MPLS と LDP を R2、R3、R4 で設定し、R2 は R4 から LDP 経由で到達可能である場合、R2 からのルートは優先度が高いため、IP-over-IP ではなく LDP 経由で解決されます。

特定のルートをLDPではなくIP-over-IP経由で解決したい場合は、IP-over-IPの方が優先度の高いinetcolorテーブルを作成し、inet3テーブルではなくinetcolorテーブル経由でそのルートを解決するようにBGPを設定します。次の例は、静的構成を使用してこれを行う方法を示しています。

トポロジー

この例では、R2とR4の間に確立されたIP-over-IP動的トンネルを介して、R1からR5へ、またR1からR5へ、またはその逆のルートを交換しています。プロトコル IS-IS を使用して、R1 からのルートは R2 に、R5 からのルートは R4 にエクスポートされます。R2からR4へのユニキャストIPIPトンネルと、R4からR2への別のトンネルを設定します。Tunnel-01Tunnel-01 ピアデバイスの設定された宛先ネットワークからネットワークマスク内で生成されたルートプレフィックスは、トンネルを作成するために使用され、トラフィックはトンネル内のルートと反対方向に流れます。

CLIクイック構成

R1

R2

R3

R4

R5

手順

R1のステップバイステップ手順

R1 と R5 の構成は似ているため、R1 の手順のみを示します。

  1. R1で設定モードに入ります。

  2. R2に接続されたインターフェイスとインターフェイスlo0を設定します。必ず ファミリー と の両方を設定してください。inetiso プロトコルIS-ISにはファミリー が必要です。iso

  3. ルーターIDを設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 に入力します 。commit

R2のステップバイステップ手順

R2 と R4 の構成は似ているため、R2 の手順のみを順を追って説明します。

  1. R2で設定モードに入ります。

  2. R1 および R3 に接続するインターフェイスとインターフェイス lo0 を設定します。R1とlo0に接続されたインターフェイスで と の両方を設定し、R3に接続されたインターフェイスで と の両方を設定します。inetisoinetmpls

  3. R1 に接続されたインタフェースのプロトコル IS-IS を設定します。BGPルートをIS-ISにアドバタイズするためのエクスポートポリシーは、ポリシー設定ステップに示されています。

  4. lo0到達可能性のために、R3に接続されたインターフェイスのOSPFプロトコルを設定します。

  5. R3 に接続されたインタフェースの LDP および MPLS プロトコルを設定します。

  6. 階層の下に および を設定し、R2 と R4 の間に IBGP を設定します。router-idautonomous-systemrouting-options BGPを使用して学習したルートにコミュニティを追加するインポートポリシーと、IS-ISルートをBGPにアドバタイズするエクスポートポリシーは、ポリシー設定ステップに示されています。inetcolor.0テーブルを使用して解決できるように、構成にオプションを必ず含めてください。extended-nexthop-colorfamily inet unicast

  7. IP-IP 動的トンネル を R2 から R4 に設定します。Tunnel-01 構成オプションを使用すると 、inetcolor.0 ルート テーブルにトンネルを作成できます。colors は、静的トンネルエンドポイントを設定します。dyn-tunnel-attribute-policyset-dynamic-tunnel-ep ポリシーは、ポリシー設定手順で表示されます。

  8. 前の構成手順で適用したポリシーを構成します。ポリシーは 、BGPルートをIS-ISにアドバタイズします。export-bgp ポリシーは 、ネクストホップをR2に変更して、IS-ISルートをBGPにアドバタイズします。export-isis ポリシーは 、動的トンネルの設定で 一致するルートにコミュニティを適用します。ipip-tunnel-colorcolors ポリシーでは 、R4 をトンネルのエンドポイントとして設定しています。set-dynamic-tunnel-ep

  9. 設定モードcommitからを入力します。

R3のステップバイステップ手順

  1. R3で設定モードに入ります。

  2. R2 および R4 に接続するインターフェイスとインターフェイス lo0 を設定します。R2とR4に接続されたインターフェイスで、ファミリー と の両方を設定してください。inetmpls

  3. ルーターIDを設定します。

  4. lo0 到達可能性のために、R2 および R4 に接続されたインターフェイスの OSPF プロトコルを設定します。

  5. R2 および R4 に接続するインタフェースの LDP および MPLS プロトコルを設定します。

  6. R3デバイスの設定モードからを入力します 。commit

結果

デバイスから以下の設定を確認して、設定を検証します。

R2の設定を確認する方法は、以下のようになります。

user@R2# show interfaces

user@R2# show protocols

user@R2#show routing-options

user@R2#show policy-options

検証

ルート解決の検証
目的

inet.3テーブルとinetcolor.0テーブルの両方でルートのルート解決を確認するには、 および 動作モードコマンドを使用します。show route table inet.3show route table inetcolor.0

アクション
意味

R2 の出力は、inet.3 テーブルでは、IP-over-IP よりも優先度が高いため、ルート が LDP によって解決されていることを示しています。10.1.255.4 一方、新しく作成されたinetcolor.0テーブルでは、ルート は接続されたIP-over-IPトンネル を介して解決されています。10.1.255.4<c>

動的トンネル データベースの確認
目的

inetcolor.0テーブル内のルートによって作成されたIP-over-IP動的トンネルを確認するには、 運用 モードコマンドを使用します。show dynamic-tunnels database terse

アクション
意味

R2の出力は、ルート がネクストホップベースの動的トンネルを作成したことを示しています。192.168.0.41

ルートネクストホップの検証
目的

IP-over-IP で解決するように設定されたルートのすべてのネクストホップを検証するには、 運用 モードコマンドを使用します。show route 192.168.255.5 extensive expanded-nh

アクション
意味

R2からの出力は、ルートの 拡張ネクストホップを示しています。192.168.255.5 R2はMXシリーズルーターであるため、プロトコルネクストホップと間接ネクストホップを送信します。

エンドツーエンドの到達可能性の確認
目的

R1が動作モードコマンドを使用してR5 にpingできることを確認します。ping 192.168.255.5 source 192.168.255.1 count 2

アクション
意味

R1からの出力は、R1がR5にpingできることを示しています。

例:BGPシグナリングを使用してinetcolor.0を介して解決されるMPLSクラウドのLDPトンネルでIPoIPトンネルを設定する

LDP が有効な MPLS 環境では、MPLS は IP よりも優先されるため、BGP ルートは inet.3 テーブル上の LDP を介して解決されます。

それでも MPLS 環境で IP-over-IP を介してルートを解決したい場合は、IP-over-IP に高い優先度を割り当て、選択したルートを IP-over-IP 経由で解決する inetcolor.0 テーブルを作成することで解決できます。BGP を使用してこの機能を有効にするには、トンネルのリモート エンド デバイスでルート解決を実行し、リモート デバイスに設定されたエクスポート ポリシーを使用して、BGP シグナリングを通じてルートを受信およびアドバタイズします。この例では、BGP プロトコル設定を使用してこれを構成する方法を示します。

この例では、R2とR4の間に確立されたIP-over-IP動的トンネルを介して、R1からR5へ、またR1からR5へ、またはその逆のルートを交換しています。プロトコル IS-IS を使用して、R1 からのルートは R2 に、R5 からのルートは R4 にエクスポートされます。R2からR4へのユニキャストIPIPトンネルと、R4からR2への別のトンネルを設定します。Tunnel-01Tunnel-01 ピアデバイスの設定された宛先ネットワークからネットワークマスク内で生成されたルートプレフィックスは、トンネルを作成するために使用され、トラフィックはトンネル内のルートと反対方向に流れます。

CLIクイック構成

R1

R2

R3

R4

R5

手順

R1のステップバイステップ手順

R1 と R5 の構成は似ているため、R1 の手順のみを示します。

  1. R1で設定モードに入ります。

  2. R2に接続されたインターフェイスとインターフェイスlo0を設定します。必ず ファミリー と の両方を設定してください。inetiso プロトコルIS-ISにはファミリー が必要です。iso

  3. ルーターIDを設定します。

  4. プロトコル IS-IS を設定します。ルートは、IS-IS プロトコルを使用して R1 と R2 の間でアドバタイズされます。

  5. 設定モードから R1 に入力します 。commit

R2のステップバイステップ手順

R2 と R4 の構成は似ているため、R2 の手順のみを順を追って説明します。

  1. R2で設定モードに入ります。

  2. R1 および R3 に接続するインターフェイスとインターフェイス lo0 を設定します。R1とlo0に接続されたインターフェイスで と の両方を設定し、R3に接続されたインターフェイスで と の両方を設定します。inetisoinetmpls

  3. R1 に接続されたインタフェースのプロトコル IS-IS を設定します。BGPルートをIS-ISにアドバタイズするためのエクスポートポリシーは、ポリシー設定ステップに示されています。

  4. lo0到達可能性のために、R3に接続されたインターフェイスのOSPFプロトコルを設定します。

  5. R3 に接続されたインタフェースの LDP および MPLS プロトコルを設定します。

  6. 階層の下に および を設定し、R2 と R4 の間に IBGP を設定します。router-idautonomous-systemrouting-options BGPを使用して学習したルートにコミュニティを追加するインポートポリシーと、IS-ISルートをBGPにアドバタイズしてトンネル属性を設定するエクスポートポリシーは、ポリシーの設定ステップに示されています。inetcolor.0 テーブルを使用した解決を可能にするために、必ず オプションを構成に含めてください。extended-nexthop-tunnelfamily inet unicast

  7. R2でルーティングオプションを設定して、R2からR4へのトンネルを作成します。このオプションは 、BGP によってシグナリングされるトンネル作成を有効にします。bgp-signal 構成オプションを使用すると 、inetcolor.0 ルート テーブルにトンネルを作成できます。colors

  8. 前の構成手順で適用したポリシーを構成します。ポリシーは 、BGPルートをIS-ISにアドバタイズします。export-bgp ポリシーは 、 を使用して R1 から BGP に IS-IS ルートをアドバタイズし、ネクストホップを R2 に変更します。export-tunnel-routetunnel-attribute は、 、トンネルのエンドポイント、および動的トンネルの設定で一致する色を設定します。tunnel-attr-01tunnel-attributetunnel-typecolors

  9. 設定モードcommitからを入力します。

R3のステップバイステップ手順

  1. R3で設定モードに入ります。

  2. R2 および R4 に接続するインターフェイスとインターフェイス lo0 を設定します。R2とR4に接続されたインターフェイスで、ファミリー と の両方を設定してください。inetmpls

  3. ルーターIDを設定します。

  4. lo0 到達可能性のために、R2 および R4 に接続されたインターフェイスの OSPF プロトコルを設定します。

  5. R2 および R4 に接続するインタフェースの LDP および MPLS プロトコルを設定します。

  6. R3デバイスの設定モードからを入力します 。commit

結果

設定モードから次の show コマンドを使用して、設定を確認できます。

R2 デバイスでの設定を確認する方法は次のとおりです。

user@R2# show interfaces

user@R2# show protocols

user@R2# show routing-options

user@R2# show policy-options

検証

BGP ルートの検証

目的

BGPプロトコルを使用して送信されたルートを確認します。

アクション

R2

意味

出力はBGPからのルートを示しています。

受信ルートの確認

目的

以下の動作モードコマンドを使用して、BGP経由で受信したルートを確認します。

アクション

R2

意味

R2 出力は、デバイスで受信したルートを示します。

動的トンネルの確認

目的

動的トンネルが立ち上がっており、BGP がシグナルを受信していることを確認します。

アクション

R2

意味

R2 の出力は、トンネルが稼働中で BGP がシグナル状態にあることを示しています。

ルート解決の検証

目的

inetcolor.0テーブル内のルートのルート解決を確認するには、 運用モードコマンドを使用します 。show route table inetcolor.0

アクション
意味

R2 の出力は、トンネル to が BGP シグナリングであることを示しています。10.1.255.4

エンドツーエンドの到達可能性の確認

目的

R1が動作モードコマンドを使用してR5 にpingできることを確認します。ping 192.168.255.5 source 192.168.255.1 count 2

アクション
意味

R1からの出力は、R1がR5にpingできることを示しています。

関連項目

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。

リリース
説明
19.2R1
Junos リリース 19.2R1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、サポートしているキャリアの PE デバイス間で確立される動的な IPv4 UDP トンネル経由で MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して、キャリア サポート キャリア(CSC)アーキテクチャを導入できます。
18.3R1
Junos OS Release 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターと QFX シリーズ スイッチでサポートされます。
18.2R1
Junos OS Release 18.2R1以降、PTXシリーズルーターおよび単方向MPLS-over-UDPトンネル搭載のQFX10000では、MPLS-over-UDPパケット用の入力フィルターと、逆方向トンネル方向にパケットを転送するためのIPおよびUDPヘッダーのカプセル化解除アクションを使用して、リモートPEデバイスを設定する必要があります。
17.4R1
Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的MPLS-over-UDPトンネルが、BGPカプセル化拡張コミュニティーを使用してシグナリングされます。
17.1R1
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルのスケーリング制限が引き上げられました。