Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

VPN の PE ルーターでルーティング インスタンスを設定する

VPN に参加している各 PE ルーターで、各 VPN のルーティングインスタンスを設定する必要があります。このセクションで概説する設定手順は、レイヤー 2 VPN、レイヤー 3 VPN、VPLS に適用できます。VPNの各タイプに固有の設定手順については、他の設定の章の該当するセクションで説明しています。

VPN のルーティングインスタンスを設定するには、以下のステートメントを含めます。

以下の階層レベルでこれらのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

VPNルーティングインスタンスを設定するには、次のセクションにある手順を実行します。

VPNのルーティングインスタンス名の設定

VPNのルーティングインスタンスの名前は最大128文字にしてください。文字、数字、ハイフンを含めることができます。最新のJunos OSリリースでは、実際のルーティングインスタンス名として default を指定することはできません。特殊文字(! @ # $ % ^ & * , +< > : ;) も使用できません。ルーティングインスタンスの名前内に含まれます。

注:

論理システムが設定されていない場合にのみ、ルーティングインスタンス名にスラッシュ(/)を含めることができます。つまり、デフォルト以外の論理システムが明示的に設定されている場合、ルーティングインスタンス名にスラッシュ文字を含めることはできません。

routing-instanceステートメントでルーティングインスタンス名を指定します。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit]

  • [edit logical-systems logical-system-name]

説明の設定

ルーティングインスタンスのテキスト記述を提供するには、 description ステートメントを含めます。テキストにスペースが1つ以上含まれる場合は、引用符(" ")で囲みます。含める説明テキストは、 show route instance detail コマンドの出力に表示され、ルーティングインスタンスの動作には影響しません。

テキスト記述を設定するには、 description ステートメントを含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

インスタンスタイプの設定

設定するインスタンスタイプは、レイヤー2VPN、レイヤー3VPN、VPLS、仮想ルーターのいずれを設定するかによって異なります。 instance-type ステートメントを含めてインスタンスタイプを指定します。

  • PE ルーターでレイヤー 2 VPN ルーティングを有効にするには、 instance-type ステートメントを含め、l2vpn値を指定します。

  • PE ルーターで VPLS ルーティングを有効にするには、 instance-type ステートメントを含め、vpls値を指定します。

  • レイヤー3 VPNでは、各PEルーターに、VPN内でルートを配布するためのVPNルーティングおよび転送(VRF)テーブルが必要です。PE ルーターで VRF テーブルを作成するには、 instance-type ステートメントを含め、 vrf値を指定します。

    注:

    ルーティングエンジンベースのサンプリングは、VRFルーティングインスタンスではサポートされていません。

  • 仮想ルータールーティングインスタンスを有効にするには、 instance-type ステートメントを含め、 virtual-router値を指定します。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

VPNルーティングのためのインターフェイスの設定

各 PE ルーターでは、VPN トラフィックが PE ルーターと CE ルーターの間を移動するインターフェイスを設定する必要があります。

以下のセクションでは、VPNのインターフェイスの設定方法について説明します。

VPNルーティングの全般的な設定

このセクションで説明する設定は、すべてのタイプのVPNに適用されます。レイヤー3 VPNおよびキャリアオブキャリアVPNについては、これらのトピックに固有のインターフェイス設定セクションに進む前に、このセクションで説明されている設定を完了してください。

VPNルーティング用のインターフェイスを設定するには、 interface ステートメントを含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

インターフェイス名の物理部と論理部の両方を、以下の形式で指定します。

例えば、 at-1/2/1.2では、 at-1/2/1 はインターフェイス名の物理部分で、 2 は論理部分です。インターフェイス名の論理部分を指定しない場合、デフォルトで値0 が設定されます。

論理インターフェイスは、1つのルーティングインスタンスにのみ関連付けることができます。[edit protocols]階層レベルでプロトコルのマスターインスタンスを設定する際にinterfaces allを指定してすべてのインスタンスでルーティングプロトコルを有効にし、[edit routing-instances routing-instance-name]階層レベルまたは[edit logical-systems logical-system-name routing-instances routing-instance-name]階層レベルでVPNルーティング用の特定のインターフェイスを設定した場合は、後者のインターフェイスステートメントが優先され、インターフェイスがVPN専用に使用されます。

[edit protocols]階層レベルと[edit routing-instances routing-instance-name]または[edit logical-systems logical-system-name routing-instances routing-instance-name]階層レベルのいずれかで同じインターフェイス名を明示的に設定すると、設定のコミットの試みは失敗します。

レイヤー 3 VPN のインターフェイスの設定

[edit interfaces]階層レベルでレイヤー3 VPNインターフェイスを設定する場合、論理インターフェイスを設定する際にもfamily inetを設定する必要があります。

キャリアオブキャリアVPNのインターフェイスの設定

キャリアオブキャリアVPNを設定する場合、PEとCEルーター間のインターフェイスにfamily inetステートメントに加えて、family mplsステートメントを設定する必要があります。キャリアオブキャリアVPNの場合、論理インターフェイスを次のように設定します。

論理インターフェイスで family mpls を設定し、このインターフェイスを非キャリアオブキャリアのルーティングインスタンスに設定すると、 family mpls ステートメントは不要であるため、論理インターフェイスの設定から自動的に削除されます。

VPN インターフェイスでのユニキャスト RPF の設定

IPバージョン4またはバージョン6(IPv4またはIPv6)トラフィックを伝送するVPNインターフェイスの場合、ユニキャストリバースパスフォワーディング(RPF)を設定することで、サービス拒否(DoS)攻撃の影響を軽減できます。ユニキャストRPFは、攻撃のソースを特定し、ユニキャストRPFが有効になっているインターフェイス上で予期しない送信元アドレスからのパケットを拒否するのに役立ちます。

VPNインターフェイスでRPFを有効にするユニキャストユニキャスト[edit routing-instances routing-instance-name]階層レベルでinterfaceステートメントを含めることで、VPNインターフェイスでRPFを設定できます。

コアに面するインターフェイスにユニキャスト RPF を設定することはできません。ユニキャスト RPF は、PE ルーター上の CE ルーターから PE ルーターへのインターフェイスでのみ設定できます。ただし、仮想ルーターのルーティングインスタンスの場合、ルーティングインスタンスで指定するすべてのインターフェイスでユニキャストRPFがサポートされます。

VPN インターフェイスでユニキャスト RPF を設定する方法については、 ユニキャスト RPF について(ルーター)を参照してください。

ルート識別子の設定

PE ルーターで設定する各ルーティング インスタンスには、固有のルート識別子が関連付けられている必要があります。VPNルーティングインスタンスには、BGPが異なるVPNから受信した潜在的に同一のネットワーク層到達性情報(NLRI)メッセージを区別するのに役立つルート識別子が必要です。同じルート識別子で異なるVPNルーティングインスタンスを設定すると、コミットに失敗します。

レイヤー 2 VPN と VPLS の場合、 l2vpn-use-bgp-rules ステートメントを設定した場合、特定のルーティング インスタンスに参加する各 PE ルーターに固有のルート識別子を設定する必要があります。

他のタイプのVPNでは、ルーティングインスタンスに参加する各PEルーターに固有のルート識別子を使用することを推奨します。同じVPNルーティングインスタンス(レイヤー2 VPNとVPLSを除く)のすべてのPEルーターで同じルート識別を使用できますが、一意のルート識別を使用すると、VPN内でルートが発信されたCEルーターを特定できます。

PE ルーターでルート識別子を設定するには、 route-distinguisher ステートメントを含めます。

このステートメントを含めることができる階層レベルの一覧については、このステートメントの「ステートメント概要」セクションを参照してください。

ルート識別子は6バイト値で、以下のいずれかの形式で指定できます。

  • as-number:numberです。ここで、 as-number は自律システム(AS)番号(2バイト値)、 number は任意の4バイト値です。AS番号の範囲は1〜65,535です。IANA(IANA)によって割り当てられた非プライベートの AS 番号を使用することが推奨されます。好ましいのは、インターネットサービスプロバイダ(ISP)独自の AS 番号またはお客様独自の AS 番号です。

  • ip-address:numberです。ここで、 ip-address はIPアドレス(4バイト値)、 number は任意の2バイト値です。IPアドレスは、グローバルに一意のユニキャストアドレスにすることができます。 router-id ステートメントで設定したアドレスを使用することをお勧めします。これは、割り当てられたプレフィックス範囲内の非プライベートアドレスです。

自動ルート識別の設定

[edit routing-options]階層レベルでroute-distinguisher-idステートメントを設定すると、ルート識別がルーティングインスタンスに自動的に割り当てられます。route-distinguisher-idステートメントに加えてroute-distinguisherステートメントも設定する場合、route-distinguisherに設定された値がroute-distinguisher-idから生成された値よりも優先されます。

ルート識別子を自動的に割り当てるには、 route-distinguisher-id ステートメントを含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-options]

  • [edit logical-systems logical-system-name routing-options]

タイプ1のルート識別は、 ip-address:numberの形式を使用してルーティングインスタンスに自動的に割り当てられます。IPアドレスは route-distinguisher-id ステートメントで指定され、番号はルーティングインスタンスに固有です。