Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

VPN の PE ルーターでのルーティング インスタンスの設定

VPNに参加している各PEルーター上で、各VPNのルーティングインスタンスを設定する必要があります。このセクションで説明する設定手順は、レイヤー2 VPN、レイヤー3 VPN、VPLSに適用されます。各 VPN タイプに固有の設定手順は、他の設定章の対応するセクションで説明されています。

VPNのルーティングインスタンスを設定するには、以下のステートメントを含めます。

これらのステートメントは、以下の階層レベルに含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

VPN ルーティング インスタンスを設定するには、以下のセクションの手順を実行します。

VPN のルーティング インスタンス名の設定

VPN のルーティング インスタンスの名前は最大 128 文字で、文字、数字、ハイフンを含めることができます。Junos OSリリース9.0以降では、実際のルーティングインスタンス名として指定 default することはできなくなります。また、特殊文字を使用することはできません(! @ # $ % ^ & * 、 +< > :;)ルーティングインスタンスの名前内に含まれます。

メモ:

Junos OSリリース9.6以降では、論理システムが設定されていない場合にのみ、ルーティングインスタンス名にスラッシュ(/)を含めることができます。つまり、デフォルト以外の論理システムが明示的に設定されている場合、ルーティング・インスタンス名にスラッシュ文字を含めることはできません。

ステートメントでルーティングインスタンス名を routing-instance 指定します。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit]

  • [edit logical-systems logical-system-name]

説明の設定

ルーティングインスタンスのテキスト記述を提供するには、 ステートメントを description 含めます。テキストに1つ以上のスペースが含まれる場合は、引用符(" ")で囲みます。含めるすべての説明テキストは、 コマンドの show route instance detail 出力に表示され、ルーティング インスタンスの操作には影響しません。

テキスト記述を設定するには、 ステートメントを description 含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

インスタンスタイプの設定

設定するインスタンスタイプは、レイヤー2 VPN、レイヤー3 VPN、VPLS、仮想ルーターのいずれを設定するかによって異なります。ステートメントを含めて、インスタンスタイプを instance-type 指定します。

  • PE ルーターでレイヤー 2 VPN ルーティングを有効にするには、 ステートメントを instance-type 含め、 の値l2vpnを指定します。

  • PE ルーターで VPLS ルーティングを有効にするには、 ステートメントを instance-type 含め、値vplsを指定します。

  • レイヤー 3 VPN では、各 PE ルーターに VPN 内でルートを配信するための VPN ルーティングおよび転送(VRF)テーブルが必要です。PE ルーターで VRF テーブルを作成するには、 ステートメントを instance-type 含め、値 vrfを指定します。

    メモ:

    ルーティングエンジンベースのサンプリングは、VRFルーティングインスタンスではサポートされていません。

  • 仮想ルーター ルーティング インスタンスを有効にするには、 ステートメントを instance-type 含め、 値 virtual-routerを指定します。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

VPNルーティング用インターフェイスの設定

各 PE ルーターでは、VPN トラフィックが PE ルーターと CE ルーター間を移動するインターフェイスを設定する必要があります。

以下のセクションでは、VPN のインターフェイスを設定する方法について説明します。

VPN ルーティングの一般的な構成

このセクションで説明する設定は、すべてのタイプのVPNに適用されます。レイヤー 3 VPN およびキャリアオブキャリア VPN の場合は、これらのトピックに固有のインターフェイス設定セクションに進む前に、このセクションで説明された設定を完了してください。

VPNルーティングのインターフェイスを設定するには、 ステートメントを interface 含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

インターフェイス名の物理部分と論理部分の両方を次の形式で指定します。

例えば、 で at-1/2/1.2at-1/2/1 は、インターフェイス名の物理部分であり、2論理部分です。インターフェイス名の論理部分を指定しない場合、値0はデフォルトで設定されます。

論理インターフェイスは、1つのルーティングインスタンスにのみ関連付けることができます。階層レベルでプロトコルのマスターインスタンスを設定するinterfaces all際に を指定してすべてのインスタンスで[edit protocols]ルーティングプロトコルを有効にし、 階層レベルまたは [edit logical-systems logical-system-name routing-instances routing-instance-name] 階層レベルで[edit routing-instances routing-instance-name]VPNルーティングに特定のインターフェイスを設定した場合、後者のインターフェイスステートメントが優先され、インターフェイスがVPN専用に使用されます。

階層レベルと または [edit logical-systems logical-system-name routing-instances routing-instance-name] 階層レベルで同じインターフェイス名を[edit protocols][edit routing-instances routing-instance-name]明示的に設定した場合、設定のコミットは失敗します。

レイヤー 3 VPN のインターフェイスの設定

階層レベルでレイヤー3 VPNインターフェイスを [edit interfaces] 設定する場合、論理インターフェイスを設定する際にも設定 family inet する必要があります。

キャリアオブキャリアVPNのインターフェイスの設定

キャリアオブキャリアVPNを設定する場合、PEとCEルーター間のインターフェイスに 対する ステートメントにfamily inet加えて ステートメントを設定family mplsする必要があります。キャリアオブキャリアVPNの場合、論理インターフェイスを以下のように設定します。

論理インターフェイスでを設定 family mpls し、非キャリアオブキャリアルーティングインスタンスにこのインターフェイスを設定すると、 family mpls 論理インターフェイスの設定からステートメントが自動的に削除されます。

VPN インターフェイスでのユニキャスト RPF の設定

IPバージョン4またはバージョン6(IPv4またはIPv6)トラフィックを伝送するVPNインターフェイスでは、ユニキャストリバースパスフォワーディング(RPF)を設定することで、サービス拒否(DoS)攻撃の影響を軽減できます。ユニキャスト RPF は、攻撃の送信元を特定するのに役立ち、ユニキャスト RPF が有効になっているインターフェイスでは、予期しない送信元アドレスからのパケットを拒否します。

インターフェイスでユニキャスト RPF を有効にし、 階層レベルで ステートメントを含 interface めることで、VPN インターフェイスでユニキャスト RPF を [edit routing-instances routing-instance-name] 設定できます。

コアに面したインターフェイスにユニキャスト RPF を設定することはできません。ユニキャスト RPF は、PE ルーター上の CE ルーターから PE へのルーター インターフェイスでのみ設定できます。ただし、仮想ルーター ルーティング インスタンスでは、ルーティング インスタンスで指定したすべてのインターフェイスでユニキャスト RPF がサポートされています。

VPN インターフェイスでユニキャスト RPF を設定する方法については、 ユニキャスト RPF(ルーター)についてを参照してください。

ルート識別の設定

PE ルーターで設定する各ルーティング インスタンスには、それに関連付けられた一意のルート識別が必要です。VPN ルーティング インスタンスには、BGP が異なる VPN から受信した同一のネットワーク層到達可能性情報(NLRI)メッセージを区別するのに役立つルート識別機能が必要です。異なるVPNルーティングインスタンスを同じルート識別で設定すると、コミットは失敗します。

レイヤー 2 VPN と VPLS では、 ステートメントを設定した場合、特定のルーティング インスタンスに l2vpn-use-bgp-rules 参加する各 PE ルーターに対して一意のルート区別を設定する必要があります。

他のタイプのVPNでは、ルーティングインスタンスに参加している各PEルーターに対して、一意のルート識別を使用することをお勧めします。同じVPNルーティングインスタンス(レイヤー2 VPNとVPLSを除く)のすべてのPEルーターで同じルート識別を使用できますが、固有のルート識別を使用する場合、VPN内からルートが発信されたCEルーターを決定できます。

PE ルーターでルート識別を設定するには、 ステートメントを route-distinguisher 含めます。

このステートメントを含めることができる階層レベルの一覧は、このステートメントのステートメント概要セクションを参照してください。

ルート識別は、以下のいずれかの形式で指定できる 6 バイト値です。

  • as-number:number: as-number は自律システム(AS)番号(2バイト値)で、 number 任意の4バイト値です。AS番号は、1~65,535の範囲で指定できます。Internet Assigned Numbers Authority(IANA)によって割り当てられた非プライベートAS番号、好ましくはインターネットサービスプロバイダ(ISP)自身または顧客のAS番号を使用することをお勧めします。

  • ip-address:numberip-address はIPアドレス(4バイト値)で、 number 任意の2バイト値です。IP アドレスは、グローバルに一意なユニキャスト アドレスを指定できます。割り当てられたプレフィックス範囲の非プライベートアドレスである ステートメントで router-id 設定したアドレスを使用することをお勧めします。

自動ルート識別の設定

階層レベルで ステートメントをroute-distinguisher-id[edit routing-options]設定すると、ルート識別子がルーティングインスタンスに自動的に割り当てられます。ステートメントに加えて ステートメントを設定route-distinguisherしたroute-distinguisher-id場合、 に設定されたroute-distinguisher値は からroute-distinguisher-id生成された値よりも優先されます。

ルート識別を自動的に割り当てるには、 ステートメントを route-distinguisher-id 含めます。

以下の階層レベルでこのステートメントを含めることができます。

  • [edit routing-options]

  • [edit logical-systems logical-system-name routing-options]

タイプ 1 のルート識別子は、 の形式 ip-address:numberを使用してルーティング インスタンスに自動的に割り当てられます。IPアドレスは ステートメントで route-distinguisher-id 指定され、番号はルーティングインスタンスで一意です。