Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

例:基本的な MPLS ベースのレイヤー 3 VPN を設定する

この例では、Junos OS を実行するルーターまたはスイッチ上で、基本的な MPLS ベースのレイヤー 3 VPN を構成および検証する方法を示しています。IPv4 ベースの例では、プロバイダと顧客のエッジ デバイス間のルーティング プロトコルとして EBGP を使用しています。

手記:

ジュニパーのコンテンツテストチームは、この例を検証して更新しました。

Junos OS を実行するルーターとスイッチを使用して、MPLS ベースのレイヤー 3 仮想プライベート ネットワーク(VPN)を導入し、顧客サイトとレイヤー 3 接続を相互接続できます。静的ルーティングがサポートされている間、レイヤー 3 VPN は通常、顧客デバイスでプロバイダ ネットワークとルーティング情報を交換し、IP プロトコル(IPv4 や IPv6 など)をサポートする必要があります。

これは、顧客デバイスがIPプロトコルに基づいていないレイヤー2 VPNと、カスタマーエッジ(CE)デバイス間のルーティング(存在する場合)とは対照的です。CE デバイスがプロバイダ エッジ デバイスと(ピア)通信するレイヤー 3 VPN とは異なり、レイヤー 2 VPN では、顧客のトラフィックは CE デバイス間でエンドツーエンドで実行されるルーティング プロトコルを使用してプロバイダ コアを透過的に通過します。

MPLS ベースの VPN では、プロバイダ ネットワークにベースライン MPLS 機能が必要です。基本的な MPLS が動作すると、プロバイダ コア経由のトランスポートにラベルスイッチ パス(LSP)を使用する VPN を設定できます。

VPN サービスを追加しても、プロバイダ ネットワークにおける基本的な MPLS スイッチング操作には影響しません。実際、プロバイダ(P)デバイスは、VPN を認識していないため、ベースライン MPLS 設定のみを必要とします。VPN の状態は、PE(プロバイダ エッジ)デバイスでのみ維持されます。これは MPLS ベース VPN の拡張性が非常に優れている主な理由です。

必要条件

この例では、次のソフトウェアコンポーネントとハードウェアコンポーネントを使用します。

  • ルーティングおよびスイッチング デバイス用 Junos OS リリース 12.3 以降

    • Junos OS リリース 20.3R1 で再検証

  • 2 つのプロバイダ エッジ(PE)デバイス

  • 1 つのプロバイダ(P)デバイス

  • 2 台のカスタマー エッジ(CE)デバイス

この例では、既存の MPLS ベースラインにレイヤー 3 VPN を追加する方法に焦点を当てています。基本的な MPLS 構成は、ネットワークに MPLS がまだ導入されていない場合に備えています。

MPLS ベースの VPN をサポートするには、基盤となる MPLS ベースラインに以下の機能が必要です。

  • MPLS ファミリーのサポートで動作するコア対向およびループバック インターフェイス

  • プロバイダ(P および PE)デバイスのループバック アドレス間の到達可能性を提供する OSPF や IS-IS などの内部ゲートウェイ プロトコル

  • LSP に信号を送る LDP や RSVP などの MPLS シグナリング プロトコル

  • PE デバイス ループバック アドレス間に確立された LSP

LSP は、特定の VPN に参加する PE デバイスの各ペア間で必要です。将来の VPN の成長に対応するために、すべての PE デバイス間に LSP を構築することをお勧めします。LSP は階層レベルで設定します [edit protocols mpls] 。回線クロスコネクト(CCC)接続の MPLS 設定とは異なり、LSP を PE デバイスの顧客対応(エッジ)インターフェイスに手動で関連付ける必要はありません。代わりに、レイヤー 3 VPN は BGP シグナリングを使用してサイトの到達可能性をアドバタイズします。この BGP シグナリングは、リモート VPN サイトから LSP 転送ネクスト ホップへのマッピングを自動化します。つまり、レイヤー 3 VPN を使用して LSP を PE デバイスのエッジ側インターフェイスに明示的にマッピングする必要はありません。

概要とトポロジー

レイヤー 3 VPN を使用すると、サービス プロバイダの技術的専門知識を活用して、効率的なサイトツーサイト ルーティングを実現できます。通常、カスタマー エッジ(CE)デバイスは、BGP や OSPF などのルーティング プロトコルを使用して、サービス プロバイダ エッジ(PE)デバイスとルートを交換します。レイヤー 3 VPN では静的ルーティングがサポートされていますが、通常は動的ルーティング プロトコルが望ましいです。

VPN の定義には、ローカルおよびリモート PE デバイスのみに対する変更が含まれます。これらのデバイスは基本的な MPLS スイッチング機能のみを提供するため、プロバイダ デバイスに追加の設定は必要ありません(すでに MPLS ベースラインが機能している場合)。CE デバイスは MPLS を使用せず、基本的なインターフェイスとルーティング プロトコルの設定のみを必要とするため、PE デバイスと通信できます。

レイヤー 3 VPN では、CE デバイスをローカル PE デバイスとピアリングするように設定します。これは、MPLS ベースのプロバイダ コアを介して接続されているにもかかわらず、CE デバイスが共有リンク上にあるかのように相互にピアリングするレイヤー 2 VPN とは対照的です。

MPLS ベースラインを設定したら、PE デバイスで次の機能を設定して、MPLS ベースのレイヤー 3 VPN を確立する必要があります。

  • サポートを持つ family inet-vpn unicast BGP グループ

  • インスタンスタイプ vrf と、接続されたCEデバイスと互換性のあるルーティングプロトコル定義を持つルーティングインスタンス

  • 接続された CE デバイスと family inet 同じサブネット上にインターフェイスを配置する IPv4 アドレスとともに設定された PE デバイス上の顧客対応インターフェイス。必要に応じて、VLAN カプセル化と対応する VLAN ID も設定できます。

適切なエンドツーエンド接続を実現するには、互換性のある IP サブネットとルーティング プロトコル パラメーターを使用して CE デバイスを設定し、PE デバイスとのピアリングをサポートする必要があります。

図 1 は、この例で使用するトポロジを示しています。この図では、プロバイダネットワークと顧客ネットワークで使用されるインターフェイス名、IPアドレッシング、ルーティングプロトコルの詳細を示しています。また、CE デバイスと PE デバイス間のピアリング関係も強調しています。この例では、各 CE デバイスがローカル PE デバイスへの EBGP ピアリング セッション 形成することを想定しています。プロバイダ ネットワークと顧客サイトの両方に、BGP 運用をサポートするための自律システム番号が割り当てられていることに注意してください。この例では、CE デバイスにルーティング ポリシーを適用して、プロバイダが直面しているインターフェイスとループバック インターフェイスの直接ルートをアドバタイズします。

図 1: EBGP を PE-CE ルーティング プロトコルとして使用した MPLS ベースのレイヤー 3 VPN An MPLS-Based Layer 3 VPN with EBGP as the PE-CE Routing Protocol

クイック構成

このセクションの設定を使用して、MPLS ベースのレイヤー 3 VPN を迅速に稼働します。この設定には、レイヤー 3 VPN をサポートするための機能的な MPLS ベースラインが含まれています。この例では、設定の VPN の側面に焦点を当てています。この例で使用されるベースライン MPLS 機能の詳細については、次のリンクを参照してください。

CLI クイック設定

手記:

デバイス設定では、管理インターフェイス、静的ルート、システム ロギング、システム サービス、ユーザー ログイン情報は省略されています。これらの構成部分は場所によって異なり、MPLS や VPN の機能とは直接関係しません。

環境の詳細に必要に応じて次のコマンドを編集し、階層の設定モード [edit] でローカル CE(CE1)デバイス端末ウィンドウに貼り付けます。

CE1 デバイスの完全な設定。

PE1 デバイスの完全な設定。

P デバイスの完全な設定。

PE2 デバイスの完全な設定。

CE2 デバイスの完全な設定。

作業に満足したら、すべてのデバイスで設定変更をコミットしてください。新しい MPLS ベースのレイヤー 3 VPN をおめでとうございます。レイヤー 3 VPN が期待どおりに機能していることを確認するために必要な手順については、「 検証 」セクションを参照してください。

MPLS ベースのレイヤー 3 VPN のローカル PE(PE1)デバイスの設定

このセクションでは、この例で PE1 デバイスを設定するために必要な手順について説明します。ここでは VPN 設定が収容されるため、PE デバイスに焦点を当てます。この例で使用する CE デバイスと P デバイスの設定については、「 クイック 設定」セクションを参照してください。

MPLS ベースラインの設定(必要な場合)

レイヤー 3 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認します。すでに MPLS ベースラインがある場合は、手順に従って、レイヤー 3 VPN を PE デバイスに追加できます。

  • ホスト名を設定します。

  • コア インターフェイスとループバック インターフェイスを設定します。

    ベスト プラクティス:

    レイヤー 3 VPN はイングレス PE でフラグメント化を実行できますが、CE がフラグメント化を必要とせずに最大サイズのフレームを送信できるようにネットワークを設計するベスト プラクティスです。フラグメント化が起こらないよう、プロバイダ ネットワークは MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された に CE デバイスが生成できる最大フレームをサポートする必要があります。この例では、4,000 バイト MTU をサポートするようにプロバイダ コアを設定しながら、CE デバイスをデフォルトの 1500 バイト MTU(最大伝送単位)にします。これにより、MPLS および VRF カプセル化オーバーヘッドがあっても、CE デバイスはプロバイダのネットワーク内の MTU を超えることはできません。

  • プロトコルを設定します。

    手記:

    トラフィック エンジニアリングは RSVP 信号 LSP でサポートされていますが、基本的な MPLS スイッチングや VPN 導入には必要ありません。提供される MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSP が内部ゲートウェイ プロトコルの最短パスを介してルーティングされることを想定しています。

  • リモート PE デバイスのループバック アドレスへの LSP を定義します。

MPLS ベースラインは PE1 デバイスで設定されました。レイヤー 3 VPN を設定し続けます。

プロシージャ

手順

レイヤー 3 VPN の PE1 デバイスを設定するには、次の手順に従います。

  1. 顧客対応インターフェイスを設定します。

    先端:

    同じ PE デバイス上で、MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を設定できます。ただし、レイヤー 2 VPN とレイヤー 3 VPN の両方をサポートするように、同じ顧客エッジ対応インターフェイスを設定することはできません。

  2. ローカル PE デバイスとリモート PE デバイス間のピアリング用に BGP グループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、アドレス ファミリーが inet-vpn unicast レイヤー 3 VPN ルート交換をサポートできるようにします。この例では、PE デバイスで BGP のルーティング ポリシーは必要ありません。デフォルトでは、PE デバイスは EBGP ピアリングを介して学習したルートを CE デバイスに読み込みます。

    先端:

    PE から PE への IBGP セッションで、それぞれを使用する通常の IPv4 ルートや IPv6 ルートなど、非 VPN ルート交換をサポートする必要がある場合は、他のアドレス ファミリーをinetinet6指定できます。

  3. BGP グループ タイプを内部として設定します。

  4. リモート PE デバイスのループバック アドレスを BGP ネイバーとして設定します。

  5. ルーター ID をループバック アドレスと一致するように設定し、BGP ピアリングに必要な BGP 自律システム番号を定義します。

  6. ルーティング インスタンスを設定します。のインスタンス名CE1_L3vpnを指定し、 を設定しますvrfinstance-type

  7. ルーティング インスタンスに属するように PE デバイスの顧客対応インターフェイスを設定します。

  8. ルーティング インスタンスのルート識別機能を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されるルートを区別するために使用されます。これは、各 PE デバイスのルーティング インスタンスごとに一意である必要があります。

  9. インスタンスの仮想ルーティングおよび転送(VRF)テーブル ルート ターゲットを設定します。ステートメントは vrf-target 、指定されたコミュニティタグをすべてのアドバタイズされたルートに追加すると同時に、ルートインポートに対して同じ値に自動的に一致します。適切なルート交換には、特定の VPN を共有する PE デバイスで一致するルート ターゲットを設定する必要があります。

    手記:

    インポートおよびエクスポート オプションを使用して VRF のインポートポリシーとエクスポート ポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については 、vrf-importvrf-export を参照してください。

  10. CE1 デバイスへの EBGP ピアリングをサポートするようにルーティング インスタンスを設定します。VRF リンクの CE1 終端への直接インターフェイス ピアリングが使用され、CE1 の自律システム番号がパラメータで peer-as 正しく指定されます。

  11. PE1 デバイスで変更をコミットし、CLI 動作モードに戻ります。

業績

PE1 デバイスの設定結果を表示します。出力は、この例で追加された機能構成のみを反映しています。

MPLS ベースのレイヤー 3 VPN のリモート PE(PE2)デバイスの設定

このセクションでは、この例で PE1 デバイスを設定するために必要な手順について説明します。ここでは VPN 設定が収容されるため、PE デバイスに焦点を当てます。この例で使用する CE デバイスと P デバイスの設定については、「 クイック 設定」セクションを参照してください。

MPLS ベースラインの設定(必要な場合)

レイヤー 3 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認します。すでに MPLS ベースラインがある場合は、手順に従って、レイヤー 3 VPN を PE デバイスに追加できます。

  • ホスト名を設定します。

  • コア インターフェイスとループバック インターフェイスを設定します。

    ベスト プラクティス:

    レイヤー 3 VPN はイングレス PE でフラグメント化を実行できますが、CE がフラグメント化を必要とせずに最大サイズのフレームを送信できるようにネットワークを設計するベスト プラクティスです。フラグメント化が起こらないよう、プロバイダ ネットワークは MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された に CE デバイスが生成できる最大フレームをサポートする必要があります。この例では、4,000 バイト MTU をサポートするようにプロバイダ コアを設定しながら、CE デバイスをデフォルトの 1500 バイト MTU(最大伝送単位)にします。これにより、MPLS および VRF カプセル化オーバーヘッドがあっても、CE デバイスはプロバイダのネットワーク内の MTU を超えることはできません。

  • プロトコルを設定します。

    手記:

    トラフィック エンジニアリングは RSVP 信号 LSP でサポートされていますが、基本的な MPLS スイッチングや VPN 導入には必要ありません。提供される MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSP が内部ゲートウェイ プロトコルの最短パスを介してルーティングされることを想定しています。

  • リモート PE デバイスのループバック アドレスへの LSP を定義します。

MPLS ベースラインは PE1 デバイスで設定されました。レイヤー 3 VPN を設定し続けます。

プロシージャ

手順

レイヤー 3 VPN の PE2 デバイスを設定するには、次の手順に従います。

  1. 顧客対応インターフェイスを設定します。

    先端:

    同じ PE デバイス上で、MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を設定できます。ただし、レイヤー 2 VPN とレイヤー 3 VPN の両方をサポートするように、同じ顧客エッジ対応インターフェイスを設定することはできません。

  2. ローカル PE デバイスとリモート PE デバイス間のピアリング用に BGP グループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、アドレス ファミリーが inet-vpn unicast レイヤー 3 VPN ルート交換をサポートできるようにします。

    先端:

    PE から PE への IBGP セッションで、それぞれを使用する通常の IPv4 ルートや IPv6 ルートなど、非 VPN ルート交換をサポートする必要がある場合は、他のアドレス ファミリーをinetinet6指定できます。

  3. BGP グループ タイプを内部として設定します。

  4. PE1 デバイスのループバック アドレスを BGP ネイバーとして設定します。

  5. ルーター ID をループバック アドレスと一致するように設定し、BGP 自律システム番号を定義します。

  6. ルーティング インスタンスを設定します。のインスタンス名CE2_L3vpninstance-typevrfを指定します。

  7. ルーティング インスタンスに属するように PE デバイスの顧客対応インターフェイスを設定します。

  8. ルーティング インスタンスのルート識別機能を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されるルートを区別するために使用されます。これは、各 PE デバイスのルーティング インスタンスごとに一意である必要があります。

  9. インスタンスの仮想ルーティングおよび転送(VRF)テーブル ルート ターゲットを設定します。ステートメントは vrf-target 、指定されたコミュニティタグをすべてのアドバタイズされたルートに追加すると同時に、ルートインポートに対して同じ値に自動的に一致します。適切なルート交換には、特定の VPN を共有する PE デバイスで一致するルート ターゲットを設定する必要があります。

    手記:

    インポートおよびエクスポート オプションを使用して VRF のインポートポリシーとエクスポート ポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については 、vrf-importvrf-export を参照してください。

  10. CE2 デバイスへの EBGP ピアリングをサポートするようにルーティング インスタンスを設定します。VRF リンクの CE2 終端への直接インターフェイス ピアリングが使用され、CE2 の自律システム番号がパラメータで peer-as 正しく指定されます。

  11. PE2 デバイスで変更をコミットし、CLI 動作モードに戻ります。

業績

PE2 デバイスの設定結果を表示します。出力は、この例で追加された機能構成のみを反映しています。

検証

これらのタスクを実行して、MPLS ベースのレイヤー 3 VPN が適切に動作することを確認します。

プロバイダ OSPF 隣接関係とルート交換の検証

目的

隣接関係ステータスと、リモート プロバイダ デバイスのループバック アドレスへの OSPF 学習ルートを検証することで、プロバイダ ネットワークで OSPF プロトコルが適切に機能していることを確認します。MPLS LSP の確立を成功させるには、適切な IGP 運用が不可欠です。

アクション

意味

出力は、PE1 デバイスが P デバイス(192.168.0.2)に OSPF 隣接関係を確立したことを示しています。また、P およびリモート PE デバイスのループバック アドレス()および(192.168.0.2192.168.0.3)が、ローカル PE デバイスで OSPF を介して正しく学習されていることを示しています。

MPLS および RSVP インターフェイス設定の検証

目的

RSVP および MPLS プロトコルが PE デバイスのコア側インターフェイスで動作するように設定されていることを確認します。また、このステップでは、PE デバイスの family mpls コア側インターフェイスのユニット レベルで正しく設定されていることを確認します。

アクション

意味

この出力は、MPLS と RSVP がローカル PE デバイスのコア インターフェイスおよびループバック インターフェイスで正しく設定されていることを示しています。

RSVP シグナル LSP の検証

目的

RSVP シグナリング イングレスおよびエグレス LSP が PE デバイスのループバック アドレス間で正しく確立されていることを確認します。

アクション

意味

出力は、イングレスとエグレスの両方の RSVP セッションが PE デバイス間で正しく確立されていることを示しています。LSP の確立が成功すると、MPLS ベースラインが動作中であることが示されます。

BGP セッション ステータスの検証

目的

レイヤー 3 VPN ネットワーク レイヤー到達可能性情報(NLRI)をサポートして、PE デバイス間の IBGP セッションが正しく確立されていることを確認します。このステップでは、ローカル PE から CE への EBGP セッションが確立され、IPv4 ルートを交換するように正しく設定されていることを確認します。

アクション

意味

この出力は、リモート PE デバイス(192.168.0.3)への IBGP セッションが正しく確立され()、フィールドをUp/Dwn介してセッションが現在の状態(Establ6:18)にどれくらいの期間経過したかを示しています。このフィールドはflaps、状態遷移が発生していない(0)ことを確認し、セッションが安定していることを示します。また、テーブルの存在bgp.l3vpn.0によって示されるように、レイヤー 3 VPN ルート(NLRI)がリモート PE から学習されたことに注意してください。

また、ローカルCE1デバイス(172.16.1.1)へのEBGPセッションが確立され、IPv4ルートがCE1デバイスから受信され、CE1デバイスルーティングインスタンス()にインストールされていることを確認します。CE1_L3vpn.inet.0

この出力は、PE デバイスと CE デバイス間の BGP ピアリングが、レイヤー 3 VPN を適切にサポートしていることを確認します。

ルーティング テーブル内のレイヤー 3 VPN ルートの検証

目的

PE1 デバイスのルーティング テーブルに、リモート PE によってアドバタイズされたレイヤー 3 VPN ルートが設定されていることを確認します。これらのルートは、トラフィックをリモート CE デバイスに転送するために使用されます。

アクション

意味

コマンドは show route table bgp.l3vpn.0 、リモート PE デバイスから受信したレイヤー 3 VPN ルートを表示します。このコマンドは show route table CE1_L3vpn.inet.0 、ルーティング インスタンスにインポートされたすべてのルートを CE1_L3vpn リストします。これらのエントリーは、一致するルート ターゲットを持つリモート PE2 デバイスから受信したルートに加えて、CE1 デバイスへのローカル EBGP ピアリングから学習したルートを表します。

どちらの表も、リモート レイヤー 3 VPN ルートが転送ネクスト ホップとして LSP と lsp_to_pe2 正しく関連付けられていることを示しています。出力は、ローカル PE デバイスが PE2 デバイスからリモート CE2 ロケーションに関連付けられたルートを学習したことを確認します。また、プロバイダ ネットワークを介して MPLS トランスポートを使用して、ローカル PE がレイヤー 3 VPN トラフィックをリモート PE2 デバイスに転送することも示しています。

レイヤー 3 VPN 接続を使用したリモート PE デバイスへの ping

目的

ping を使用して、ローカル PE デバイスとリモート PE デバイス間のレイヤー 3 VPN 接続を検証します。このコマンドは、PE デバイス間のレイヤー 3 VPN ルーティングおよび MPLS 転送操作を検証します。

アクション

意味

出力は、レイヤー 3 VPN 制御プレーンと転送プレーンが PE デバイス間で正しく動作していることを確認します。

レイヤー 3 VPN を介した CE デバイスのエンドツーエンド運用の検証

目的

CE デバイス間のレイヤー 3 VPN 接続を検証します。このステップでは、CE デバイスに運用インターフェイスがあり、EBGP ベースのレイヤー 3 接続用に適切に設定されていることを確認します。これは、ローカルCE1デバイスがリモートCEデバイスのルートを学習したことを確認し、CEデバイスがループバックアドレス間でトラフィックをエンドツーエンドで通過できることを確認することで行われます。

アクション

意味

出力は、レイヤー 3 VPN ベースの接続が CE デバイス間で正しく機能していることを示しています。ローカル CE デバイスは、BGP を介してリモート CE デバイスの VRF インターフェイスとループバック ルートを学習しました。ping はリモート CE デバイスのループバック アドレスに対して生成され、引数を使用してsource 172.16.255.1ローカル CE デバイスのループバック アドレスから供給されます。および size 1472 スイッチをdo-not-fragment追加すると、CE デバイスは、ローカル PE デバイスでフラグメント化を呼び出すことなく、1500 バイトの IP パケットを通過できることが確認されます。

手記:

コマンドに追加されたping引数はsize 1472、1472 バイトのエコー データを生成します。さらに 8 バイトの ICMP(Internet Control Message Protocol)と 20 バイトの IP ヘッダーが追加され、合計ペイロード サイズが 1500 バイトになります。スイッチをdo-not-fragment追加すると、ローカル CE および PE デバイスがフラグメント化を実行できなくなります。この ping メソッドは、CE デバイス間で標準の 1500 バイトの最大長イーサネット フレームを交換する場合に、フラグメント化が必要ないことを確認します。

これらの結果は、MPLS ベースのレイヤー 3 VPN が正しく機能していることを確認します。