例:基本的な MPLS ベースのレイヤー 3 VPN の設定
この例では、Junos OS を実行しているルーターまたはスイッチ上で、基本的な MPLS ベースのレイヤー 3 VPN を設定および検証する方法を示します。IPv4ベースの例では、プロバイダーとカスタマーエッジデバイス間のルーティングプロトコルとしてEBGPを使用しています。
この例は、当社のコンテンツテスト チームが検証し、更新したものです。
Junos OSが動作するルーターとスイッチを使用して、MPLSベースのレイヤー3仮想プライベートネットワーク(VPN)を導入し、レイヤー3接続で顧客サイトを相互接続することができます。静的ルーティングもサポートされていますが、レイヤー3 VPNでは通常、顧客デバイスがプロバイダネットワークとルーティング情報を交換するため、IPプロトコル(IPv4/IPv6)をサポートする必要があります。
これは、レイヤー2 VPNとは対照的です。レイヤー2VPNでは、お客様のデバイスがIPプロトコルに基づいていない場合や、ルーティング(あった場合)はお客様のエッジ(CE)デバイス間で発生します。CE デバイスがプロバイダ エッジ デバイスと対話(ピア)するレイヤ 3 VPN とは異なり、レイヤ 2 VPN では、カスタマー トラフィックは CE デバイス間でエンドツーエンドで実行されているルーティング プロトコルを使用して、プロバイダ コアを透過的に通過します。
MPLS ベースの VPN には、プロバイダー ネットワークにおけるベースライン MPLS 機能が必要です。基本的なMPLSが運用可能になると、プロバイダーコアを介したトランスポートにラベルスイッチパス(LSP)を使用するVPNを設定することができます。
VPN サービスを追加しても、プロバイダ ネットワークでの基本的な MPLS スイッチング動作には影響しません。実際、プロバイダー(P)デバイスは VPN を認識していないため、ベースライン MPLS 設定のみを必要とします。VPN 状態は、プロバイダー エッジ(PE)デバイスでのみ維持されます。これが、MPLSベースのVPNが優れた拡張性を発揮する主な理由です。
必要条件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
ルーティングおよびスイッチング デバイス向けの Junos OS リリース 12.3 以降
Junos OSリリース20.3R1で再検証
2 台のプロバイダ エッジ(PE)デバイス
1つのプロバイダー(P)デバイス
2つのカスタマーエッジ(CE)デバイス
この例では、既存の MPLS ベースラインにレイヤー 3 VPN を追加する方法に焦点を当てています。ネットワークに MPLS がまだ導入されていない場合に備えて、基本的な MPLS 設定が提供されます。
MPLS ベースの VPN をサポートするには、基盤となる MPLS ベースラインが以下の機能を備えている必要があります。
MPLSファミリーに対応したコアフェーシングおよびループバックインターフェイスをサポート
プロバイダ(PおよびPE)デバイスのループバックアドレス間の到達性を提供する、OSPF や IS-IS などの内部ゲートウェイプロトコル
LSP に信号を送るための LDP や RSVP などの MPLS シグナリング プロトコル
PEデバイスループバックアドレス間に確立されたLSP
LSP は、特定の VPN に参加する PE デバイスの各ペア間に必要です。将来のVPNの成長に対応するために、すべてのPEデバイス間にLSPを構築するのは良い考えです。LSPは [edit protocols mpls] 階層レベルで設定します。CCC(回線クロスコネクト)接続のMPLS設定とは異なり、LSPをPEデバイスの顧客向け(エッジ)インターフェイスに手動で関連付ける必要はありません。代わりに、レイヤー3VPNはBGPシグナリングを使用してサイトの到達可能性をアドバタイズします。このBGPシグナリングは、LSP転送ネクストホップへのリモートVPNサイトのマッピングを自動化します。つまり、レイヤー 3 VPN では、LSP を PE デバイスのエッジに面したインターフェイスに明示的にマッピングする必要はありません。
概要とトポロジー
レイヤー3VPNにより、お客様はサービスプロバイダの技術的専門知識を活用して、効率的なサイトツーサイトルーティングを確保することができます。CE(カスタマーエッジ)デバイスは通常、BGPやOSPFなどのルーティングプロトコルを使用して、サービスプロバイダエッジ(PE)デバイスとルートを交換します。スタティック ルーティングはレイヤー 3 VPN でサポートされていますが、一般的には動的ルーティング プロトコルが好まれます。
VPN の定義には、ローカルおよびリモートの PE デバイスへの変更のみが含まれます。プロバイダーデバイスは基本的なMPLSスイッチング機能しか提供しないため、(すでに稼働しているMPLSベースラインがあることが前提)追加の設定は必要ありません。CE デバイスは MPLS を使用せず、PE デバイスと対話できるように、基本的なインターフェイスとルーティング プロトコルの設定のみを必要とします。
レイヤー 3 VPN では、ローカル PE デバイスとピアリングするように CE デバイスを設定します。これとは対照的です。レイヤー2 VPNでは、CEデバイスはMPLSベースのプロバイダコアを介して接続されているにもかかわらず、あたかも共有リンク上にあるかのようにピアリングします。
MPLS ベースラインを設定したら、MPLS ベースのレイヤー 3 VPN を確立するために、PE デバイスで次の機能を構成する必要があります。
family inet-vpn unicastをサポートするBGPグループインスタンス・タイプが
vrfのルーティング インスタンスと、接続された CE 装置と互換性のあるルーティング・プロトコル定義family inetで設定されたPEデバイス上の顧客向けインターフェイスと、接続されたCEデバイスと同じサブネットにインターフェイスを配置するIPv4アドレス。必要に応じて、VLANカプセル化と対応するVLAN IDも設定できます。
適切なエンドツーエンド接続のためには、PEデバイスとのピアリングをサポートするために、互換性のあるIPサブネットおよびルーティングプロトコルパラメータを使用してCEデバイスを設定する必要があります。
図 1 は、この例で使用されているトポロジーを示しています。この図は、プロバイダーとカスタマーのネットワークで使用されるインターフェイス名、IPアドレッシング、ルーティングプロトコルを詳細に示しています。また、CE デバイスと PE デバイス間のピアリング関係も強調しています。この例では、各CEデバイスがローカルPEデバイス への EBGPピアリングセッションを形成することを想定しています。なお、プロバイダネットワークと両方のカスタマーサイトには、BGP動作をサポートするための自律システム番号が割り当てられています。この例では、ルーティングポリシーが CE デバイスで適用され、プロバイダ向けインターフェイスおよびループバック インターフェイスの直接ルートをアドバタイズするようになっています。
クイックコンフィグレーション
このセクションの設定を使用して、MPLS ベースのレイヤー 3 VPN を迅速に稼働させることができます。設定には、レイヤー3 VPNをサポートする機能するMPLSベースラインが含まれています。この例では、設定のVPNの側面に焦点を当てています。この例で使用されているベースライン MPLS 機能の詳細については、以下のリンクを参照してください。
CLIクイック構成
デバイスの設定では、管理インターフェイス、静的ルート、システム ログ、システム サービス、およびユーザー ログイン情報が省略されます。設定のこれらの部分は場所によって異なり、MPLS や VPN 機能とは直接関係ありません。
ご使用の環境に合わせて必要に応じて以下のコマンドを編集し、 [edit] 階層の設定モードでローカル CE(CE1)デバイス端末ウィンドウに貼り付けます。
CE1デバイスの完全な設定。
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
PE1デバイスの完全な設定。
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
P デバイスの完全な設定。
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
PE2 デバイスの完全な設定。
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
CE2デバイスの完全な設定。
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
作業に満足したら、必ずすべてのデバイスで設定変更をコミットしてください。新しいMPLSベースのレイヤー3VPNのリリースおめでとうございます!レイヤー 3 VPN が期待どおりに動作していることを確認するために必要な手順については、「 検証 」セクションを参照してください。
MPLS ベースのレイヤー 3 VPN 用のローカル PE(PE1)デバイスの設定
このセクションでは、この例で PE1 デバイスを設定するために必要な手順について説明します。PEデバイスに焦点が当てられているのは、そこにvpnが格納されているからです。この例で使用されている CE デバイスおよび P デバイスの設定については、「 クイック設定 」セクションを参照してください。
MPLS ベースラインを設定します(必要な場合)。
レイヤー 3 VPN を設定する前に、PE デバイスに有効な MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、レイヤ 3 VPN を PE デバイスに追加するためのステップバイステップの手順に進むことができます。
ホスト名を設定します。
[edit] user@pe1# set system host-name pe1
コア インターフェイスとループバック インターフェイスを設定します。
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
ベスト プラクティス:レイヤ 3 VPN はイングレス PE でフラグメンテーションを実行できますが、CE がフラグメント化を必要とせずに最大サイズのフレームを送信できるようにネットワークを設計するのがベスト プラクティスです。フラグメンテーションが発生しないようにするには、プロバイダー ネットワークは、MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された 後に CE デバイスが生成できる最大のフレームをサポートする必要があります。この例では、CE デバイスをデフォルトの 1500 バイトの最大送信単位(MTU)のままにし、プロバイダ コアが 4000 バイトの MTU をサポートするように設定します。これにより、MPLS および VRF カプセル化のオーバーヘッドがあっても、CE デバイスがプロバイダーのネットワークの MTU を超えることはありません。
プロトコルを設定します。
手記:トラフィックエンジニアリングは、RSVP シグナル化された LSP でサポートされていますが、基本的な MPLS スイッチングや VPN 導入に必須ではありません。提供される MPLS ベースラインは、RSVP を使用して LSP にシグナリングし、OSPF のトラフィック制御を可能にします。ただし、パス制約は設定されていないため、LSPは内部ゲートウェイプロトコルの最短パスでルーティングされることが想定されます。
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
LSP をリモート PE デバイスのループバックアドレスに定義します。
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
これで MPLS ベースラインが PE1 デバイスで設定されました。引き続きレイヤー3 VPNを構成します
プロシージャ
手順
以下の手順に従って、レイヤー 3 VPN の PE1 デバイスを設定します。
顧客向けインターフェイスを設定します。
先端:MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を同じ PE デバイス上で設定できます。ただし、レイヤー2 VPNとレイヤー3 VPNの両方をサポートするように、同じカスタマーエッジ向けインターフェイスを設定することはできません。
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
ローカルとリモートの PE デバイス間のピアリングに BGP グループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、
inet-vpn unicastアドレス ファミリーがレイヤー 3 VPN ルート交換をサポートできるようにします。この例では、PE デバイスでは BGP のルーティングポリシーは必要ありません。デフォルトでは、PEデバイスは、CEデバイスへのEBGPピアリングを介して学習したルートをIBGPに再アドバタイズします。[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
先端:PE から PE への IBGP セッションが、それぞれ
inetまたはinet6ファミリーを使用した通常の IPv4 または IPv6 ルートなど、非 VPN ルート交換をサポートする必要がある場合、他のアドレス ファミリーを指定できます。BGP グループ タイプを内部として構成します。
[edit protocols bgp] user@pe1# set group ibgp type internal
リモート PE デバイスのループバック アドレスを BGP ネイバーとして設定します。
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
ルーターIDをループバックアドレスと一致するように設定し、BGPピアリングに必要なBGP自律システム番号を定義します。
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
ルーティング インスタンスを設定します。インスタンス名に CE1_L3vpn を指定し、
instance-typeにvrfを設定します。[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
PE デバイスの顧客向けインターフェイスを、ルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
ルーティング インスタンスのルート識別子を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されたルートを区別するために使用されます。これは、各 PE デバイスの各ルーティング インスタンスに固有である必要があります。
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
インスタンスの仮想ルーティングおよび転送(VRF)テーブルのルートターゲットを設定します。
vrf-targetステートメントは、指定されたコミュニティタグをアドバタイズされたすべてのルートに追加し、ルートインポートでも同じ値を自動的にマッチングさせます。適切なルート交換を行うためには、特定のVPNを共有するPEデバイス上で一致するルートターゲットを設定する必要があります。[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
手記:インポートおよびエクスポート オプションを使用して VRF インポートおよびエクスポート ポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については、「 vrf-import 」と 「vrf-export 」を参照してください。
CE1デバイスへのEBGPピアリングをサポートするようにルーティング インスタンスを設定します。VRFリンクのCE1エンドへの直接インターフェイスピアリングが使用され、CE1の自律システム番号が
peer-asパラメータで正しく指定されます。[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
PE1デバイスで変更をコミットし、CLI運用モードに戻ります。
[edit] user@pe1# commit and-quit
業績
PE1デバイスでの設定の結果を表示します。出力には、この例で追加された機能設定のみが反映されます。
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
MPLS ベースのレイヤー 3 VPN 用のリモート PE(PE2)デバイスの設定
このセクションでは、この例で PE1 デバイスを設定するために必要な手順について説明します。PEデバイスに焦点が当てられているのは、そこにvpnが格納されているからです。この例で使用されている CE デバイスおよび P デバイスの設定については、「 クイック設定 」セクションを参照してください。
MPLS ベースラインを設定します(必要な場合)。
レイヤー 3 VPN を設定する前に、PE デバイスに有効な MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、レイヤ 3 VPN を PE デバイスに追加するためのステップバイステップの手順に進むことができます。
ホスト名を設定します。
[edit] user@pe2# set system host-name pe2
コア インターフェイスとループバック インターフェイスを設定します。
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
ベスト プラクティス:レイヤ 3 VPN はイングレス PE でフラグメンテーションを実行できますが、CE がフラグメント化を必要とせずに最大サイズのフレームを送信できるようにネットワークを設計するのがベスト プラクティスです。フラグメンテーションが発生しないようにするには、プロバイダー ネットワークは、MPLS および VRF(仮想ルーティングおよび転送)ラベルが PE デバイスによって追加された 後に CE デバイスが生成できる最大のフレームをサポートする必要があります。この例では、CE デバイスをデフォルトの 1500 バイトの最大送信単位(MTU)のままにし、プロバイダ コアが 4000 バイトの MTU をサポートするように設定します。これにより、MPLS および VRF カプセル化のオーバーヘッドがあっても、CE デバイスがプロバイダーのネットワークの MTU を超えることはありません。
プロトコルを設定します。
手記:トラフィックエンジニアリングは、RSVP シグナル化された LSP でサポートされていますが、基本的な MPLS スイッチングや VPN 導入に必須ではありません。提供される MPLS ベースラインは、RSVP を使用して LSP にシグナリングし、OSPF のトラフィック制御を可能にします。ただし、パス制約は設定されていないため、LSPは内部ゲートウェイプロトコルの最短パスでルーティングされることが想定されます。
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
LSP をリモート PE デバイスのループバックアドレスに定義します。
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
これで MPLS ベースラインが PE1 デバイスで設定されました。引き続きレイヤー3 VPNを構成します
プロシージャ
手順
以下の手順に従って、レイヤー 3 VPN の PE2 デバイスを設定します。
顧客向けインターフェイスを設定します。
先端:MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を同じ PE デバイス上で設定できます。ただし、レイヤー2 VPNとレイヤー3 VPNの両方をサポートするように、同じカスタマーエッジ向けインターフェイスを設定することはできません。
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
ローカルとリモートの PE デバイス間のピアリングに BGP グループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、
inet-vpn unicastアドレス ファミリーがレイヤー 3 VPN ルート交換をサポートできるようにします。[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
先端:PE から PE への IBGP セッションが、それぞれ
inetまたはinet6ファミリーを使用した通常の IPv4 または IPv6 ルートなど、非 VPN ルート交換をサポートする必要がある場合、他のアドレス ファミリーを指定できます。BGP グループ タイプを内部として構成します。
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1デバイスのループバックアドレスをBGPネイバーとして設定します。
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
ルーターIDがループバックアドレスと一致するように設定し、BGP自律システム番号を定義します。
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
ルーティング インスタンスを設定します。インスタンス名に CE2_L3vpn、
instance-typeにvrfを指定します。[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
PE デバイスの顧客向けインターフェイスを、ルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
ルーティング インスタンスのルート識別子を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されたルートを区別するために使用されます。これは、各 PE デバイスの各ルーティング インスタンスに固有である必要があります。
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
インスタンスの仮想ルーティングおよび転送(VRF)テーブルのルートターゲットを設定します。
vrf-targetステートメントは、指定されたコミュニティタグをアドバタイズされたすべてのルートに追加し、ルートインポートでも同じ値を自動的にマッチングさせます。適切なルート交換を行うためには、特定のVPNを共有するPEデバイス上で一致するルートターゲットを設定する必要があります。[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
手記:インポートおよびエクスポート オプションを使用して VRF インポートおよびエクスポート ポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については、「 vrf-import 」と 「vrf-export 」を参照してください。
CE2デバイスへのEBGPピアリングをサポートするようにルーティング インスタンスを設定します。VRFリンクのCE2エンドへの直接インターフェイスピアリングが使用され、CE2の自律システム番号が
peer-asパラメータで正しく指定されます。[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
PE2デバイスで変更をコミットし、CLI操作モードに戻ります。
[edit] user@pe2# commit and-quit
業績
PE2 デバイスでの設定の結果を表示します。出力には、この例で追加された機能設定のみが反映されます。
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
検証
以下のタスクを実行して、MPLS ベースのレイヤー 3 VPN が正常に動作することを確認します。
- プロバイダOSPF隣接関係とルート交換の確認
- MPLSおよびRSVPインターフェイス設定の確認
- RSVP シグナル化 LSP の検証
- BGP セッション ステータスの検証
- ルーティングテーブル内のレイヤー3 VPNルートの検証
- レイヤー 3 VPN 接続を使用したリモート PE デバイスへの Ping
- レイヤー3 VPN上でCEデバイスのエンドツーエンド動作を検証
- プラットフォーム固有のMPLSレイヤー3 VPNの動作
プロバイダOSPF隣接関係とルート交換の確認
目的
隣接関係ステータスとOSPFが学習したリモートプロバイダーデバイスのループバックアドレスへのルートを確認して、プロバイダーネットワークでOSPFプロトコルが正しく動作していることを確認します。MPLS LSP の確立には、適切な IGP 運用が不可欠です。
アクション
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
意味
出力では、PE1 デバイスが P デバイス(192.168.0.2)に対して OSPF 隣接関係を確立したことを示しています。また、P およびリモート PE デバイスのループバック アドレス(192.168.0.2)および(192.168.0.3)が、ローカル PE デバイスの OSPF を介して正しく学習されていることも示しています。
MPLSおよびRSVPインターフェイス設定の確認
目的
RSVPおよびMPLSプロトコルがPEデバイスのコアに面したインターフェイスで動作するように設定されていることを確認します。また、このステップでは、PE デバイスのコアに面するインターフェイスのユニット レベルで family mpls が正しく設定されていることを確認します。
アクション
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
意味
出力からは、MPLS と RSVP がローカル PE デバイスのコアおよびループバック インターフェイスで正しく設定されていることがわかります。
RSVP シグナル化 LSP の検証
目的
RSVP シグナリングされたイングレスおよびエグレス LSP が、PE デバイスのループバック アドレス間で正しく確立されていることを確認します。
アクション
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
意味
出力は、イングレスとエグレスの両方の RSVP セッションが PE デバイス間で正しく確立されていることを示しています。LSPの確立に成功した場合は、MPLSベースラインが稼働していることを示します。
BGP セッション ステータスの検証
目的
PE デバイス間の IBGP セッションが、レイヤー 3 VPN ネットワーク層到達可能性情報(NLRI)のサポートにより正しく確立されていることを確認します。このステップでは、ローカル PE から CE への EBGP セッションが確立され、IPv4 ルートを交換するように正しく設定されていることも確認します。
アクション
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
意味
出力には、リモート PE デバイス(192.168.0.3)への IBGP セッションが正しく確立されていること(Establ)が表示され、 Up/Dwn フィールドを通じて、セッションが現在の状態にある時間(6:18)が示されています。 flaps フィールドは、状態遷移が発生していないことを確認し(0)、セッションが安定していることを示します。また、レイヤー 3 VPN ルート(NLRI)は、 bgp.l3vpn.0 テーブルの存在によって示されるように、リモート PE から学習されていることに注意してください。
ローカルCE1デバイス(172.16.1.1)へのEBGPセッションが確立されていること、およびCE1デバイスからIPv4ルートが受信され、CE1デバイスルーティング インスタンス(CE1_L3vpn.inet.0)にインストールされていることも確認されます
この出力は、PE デバイス間および CE デバイスへの BGP ピアリングが、レイヤー 3 VPN をサポートするために適切に動作していることを確認します。
ルーティングテーブル内のレイヤー3 VPNルートの検証
目的
PE1 デバイスのルーティングテーブルに、リモート PE によってアドバタイズされたレイヤー 3 VPN ルートが読み込まれていることを確認します。これらのルートは、リモート CE デバイスへのトラフィックの転送に使用されます。
アクション
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
意味
show route table bgp.l3vpn.0 コマンドは、リモート PE デバイスから受信したレイヤー 3 VPN ルートを表示します。show route table CE1_L3vpn.inet.0コマンドは、CE1_L3vpnルーティング インスタンスにインポートされたすべてのルートを一覧表示します。これらのエントリーは、ローカルEBGPピアリングからCE1デバイスへのルートと、ルートターゲットが一致するリモートPE2デバイスから受信したルートを表しています。
どちらの表も、リモート レイヤー 3 VPN ルートが、転送ネクストホップとして lsp_to_pe2 LSP に正しく関連付けられていることを示しています。出力は、ローカルPEデバイスがPE2デバイスからリモートCE2の場所に関連するルートを学習したことを確認します。また、ローカル PE が、プロバイダー ネットワーク上の MPLS トランスポートを使用して、レイヤー 3 VPN トラフィックをリモート PE2 デバイスに転送することも示しています。
レイヤー 3 VPN 接続を使用したリモート PE デバイスへの Ping
目的
ping を使用して、ローカルとリモートの PE デバイス間のレイヤー 3 VPN 接続を確認します。このコマンドは、PE デバイス間のレイヤー 3 VPN ルーティングと MPLS 転送動作を検証します。
アクション
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
意味
この出力では、レイヤー 3 VPN 制御プレーンと転送プレーンが PE デバイス間で正しく動作していることを確認します。
レイヤー3 VPN上でCEデバイスのエンドツーエンド動作を検証
目的
CE デバイス間のレイヤー 3 VPN 接続を確認します。この手順では、CE デバイスに動作インターフェイスがあり、EBGP ベースのレイヤー 3 接続用に適切に設定されていることを確認します。そのためには、ローカルCE1デバイスがリモートCEデバイスのルートを学習していることを確認し、CEデバイスがループバックアドレス間でトラフィックをエンドツーエンドで通過させることができることを確認します。
アクション
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
意味
この出力は、レイヤー3 VPNベースの接続がCEデバイス間で正しく機能していることを示しています。ローカル CE デバイスは、リモート CE デバイスの VRF インターフェイスと BGP 経由のループバック ルートを学習済みです。ping はリモート CE デバイスのループバック アドレスに生成され、 source 172.16.255.1 引数を使用してローカル CE デバイスのループバック アドレスから送信されます。 do-not-fragment スイッチと size 1472 スイッチを追加することで、CE デバイスがローカル PE デバイスでフラグメンテーションを発生させることなく、1500 バイトの IP パケットを渡すことができることを確認できます。
ping コマンドに追加された size 1472 引数は、1472 バイトのエコーデータを生成します。さらに 8 バイトのインターネット制御メッセージ プロトコル(ICMP)と 20 バイトの IP ヘッダーが追加され、合計ペイロード サイズは 1500 バイトになります。do-not-fragment スイッチを追加することで、ローカルの CE および PE デバイスがフラグメンテーションを実行できないようになります。この ping 方式により、CE デバイス間で標準の最大長 1500 バイトのイーサネット フレームを交換する場合に、フラグメンテーションが不要なことが確認されます。
これらの結果から、MPLS ベースのレイヤー 3 VPN が正しく動作していることが確認されました。
プラットフォーム固有の MPLSレイヤー3 VPN の動作
Feature Explorerを使用して、特定の機能に対するプラットフォームとリリースのサポートを確認します。
次の表を使用して、プラットフォームのプラットフォーム固有の動作を確認します。
| プラットホーム |
差 |
|---|---|
| ACX 7000シリーズルーター |
|