キャリアオブキャリアVPN
キャリアオブキャリアVPNについて
VPN サービス プロバイダの顧客は、エンド カスタマーのサービス プロバイダである可能性があります。キャリアオブキャリアVPNには、主に2つのタイプがあります(RFC 4364を参照)。
顧客としてのインターネットサービスプロバイダ—VPNカスタマーは、VPNサービスプロバイダのネットワークを使用して、地理的に分散した地域ネットワークを接続するISPです。お客様は、地域ネットワーク内でMPLSを設定する必要はありません。
顧客としてのVPNサービスプロバイダ:VPN顧客は、それ自体が顧客にVPNサービスを提供するVPNサービスプロバイダです。キャリアツーキャリアVPNサービスのお客様は、サイト間接続をバックボーンVPNサービスプロバイダに依存しています。顧客VPNサービスプロバイダは、その地域ネットワーク内でMPLSを実行する必要があります。
図1 は、キャリアオブキャリアVPNサービスに使用されるネットワークアーキテクチャを示しています。
このトピックの内容は次のとおりです。
顧客としてのインターネットサービスプロバイダ
このタイプのキャリア・オブ・キャリアvpn構成では、ISP A は ISP B にインターネット サービスを提供するようにネットワークを構成します。ISP B はインターネット サービスを必要とする顧客に接続を提供しますが、実際のインターネット サービスは ISP A によって提供されます。
このタイプのキャリアオブキャリア vpn には、次のような特徴があります。
キャリア・オブ・キャリアVPNサービスの顧客(ISP B)は、ネットワーク上でMPLSを設定する必要はありません。
キャリア・オブ・キャリアのVPNサービスプロバイダ(ISP A)は、ネットワーク上にMPLSを設定する必要があります。
また、キャリアオブキャリアVPNサービス顧客およびキャリアオブキャリアVPNサービスプロバイダのネットワークで接続されたCEルーターおよびPEルーターにもMPLSを設定する必要があります。
お客様としてのVPNサービスプロバイダ
VPNサービスプロバイダは、自らがVPNサービスプロバイダである顧客を持つことができます。階層型 VPN または再帰型 VPN とも呼ばれるこのタイプの設定では、カスタマー VPN サービス プロバイダーの VPN-IPv4 ルートは外部ルートと見なされ、バックボーン VPN サービス プロバイダーはそれらを VRF テーブルにインポートしません。バックボーン VPN サービス プロバイダは、顧客 VPN サービス プロバイダの内部ルートのみを VRF テーブルにインポートします。
プロバイダ間VPNとキャリアオブキャリアVPNの類似点と相違点を 表1に示します。
特徴 |
ISPカスタマー |
VPNサービスプロバイダの顧客 |
|---|---|---|
カスタマー エッジ デバイス |
AS境界ルーター |
PEルーター |
IBGPセッション数 |
IPv4ルートの伝送 |
関連ラベル付きの外部VPN-IPv4ルートを伝送します |
お客様のネットワーク内における転送 |
MPLSはオプションです |
MPLSは必須です |
お客様としてのVPNサービスのサポートは、Junos OS リリース 17.1R1以降のQFX10000スイッチでサポートされています。
インターネットサービスを提供するお客様向けのキャリアオブキャリアVPNの設定
基本的なインターネットサービスを提供したいお客様向けに、キャリアオブキャリアVPNサービスを設定できます。キャリア・オブ・キャリアのVPNサービスプロバイダは、自社のネットワークにMPLSを設定する必要がありますが、キャリアサービスのお客様にとっては、この設定はオプションです。 キャリアオブキャリアVPNアーキテクチャ は、このタイプのサービスのルーターまたはスイッチがどのように相互接続されるかを示しています。
キャリアオブキャリアVPNを設定するには、次のセクションで説明するタスクを実行します。
キャリアオブキャリアVPNサービス顧客のCEルーターの設定
キャリアオブキャリアVPNサービスの顧客のルーター(またはスイッチ)は、サービスプロバイダのPEルーターまたはスイッチに対してCEルーターとして機能します。以下のセクションでは、キャリア・オブ・キャリアVPNサービス顧客のCEルーターまたはスイッチを設定する方法について説明します。
MPLS の設定
顧客のCEルーターまたはスイッチにMPLSを設定するには、 mpls ステートメントを含めます。
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
顧客の内部ルートを照合するグループを設定するには、 bgp ステートメントを含めます。
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
顧客のCEルーター(またはスイッチ)は、VPNサービスプロバイダのルーターにラベルを送信できる必要があります。BGPグループの設定に labeled-unicast ステートメントを含めて、これを有効にします。
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
以下の階層レベルで bgp ステートメントを含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF の設定
顧客のCEルーターまたはスイッチにOSPFを設定するには、 ospf ステートメントを含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー・オプションの構成
顧客のCEルーターまたはスイッチにポリシーオプションを設定するには、 policy-statement ステートメントを含めます。
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
キャリアオブキャリア VPN サービス プロバイダーの PE ルーターの設定
サービス プロバイダの PE ルーターは、顧客の CE ルーターに接続し、顧客の VPN トラフィックをプロバイダのネットワークに転送します。
以下のセクションでは、キャリアオブキャリアVPNサービスプロバイダのPEルーターを設定する方法について説明します。
MPLS の設定
プロバイダーのPEルーターまたはスイッチにMPLSを設定するには、 mpls ステートメントを含めます。
mpls {
interface interface-name;
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
プロバイダーのネットワークのもう一方の端にあるプロバイダーPEルーターとのBGPセッションを設定するには、 bgp ステートメントを含めます。
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS の設定
プロバイダーのPEルーターまたはスイッチにIS-ISを設定するには、 isis ステートメントを含めます。
isis {
interface interface-name;
interface interface-name {
passive;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
LDP の設定
プロバイダーのPEルーターまたはスイッチでLDPを設定するには、 ldp ステートメントを含めます。
ldp {
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ルーティングインスタンスの設定
顧客のCEルーターまたはスイッチでレイヤー3 VPNサービスを設定するには、PEルーター(またはスイッチ)が顧客のCEルーターまたはスイッチにラベルを送信できるように、ルーティング インスタンスの設定に labeled-unicast ステートメントを含めます。
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
ポリシー・オプションの構成
顧客のCEルーターまたはスイッチからルートをインポートするポリシーステートメントを設定するには、 policy-statement ステートメントを含めます。
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
顧客のCEルーターまたはスイッチにルートをエクスポートするポリシーステートメントを設定するには、 policy-statement および community ステートメントを含めます。
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
参照
キャリアオブキャリアVPNの例:顧客がインターネットサービスを提供
この例では、キャリアカスタマーは、ネットワーク上でMPLSとLDPを設定する必要はありません。ただし、キャリアプロバイダーは、ネットワーク上でMPLSとLDPを設定する必要があります。
設定情報については、次のセクションを参照してください。
- キャリアオブキャリアサービスのネットワークトポロジー
- ルーター A の設定
- ルーター B の設定
- ルーター C の設定
- ルーター D の設定
- ルーター E の設定
- ルーター F の設定
- ルーター G の設定
- ルーター H の設定
- ルーター I の設定
- ルーター J の設定
- ルーター K の設定
- ルーター L の設定
キャリアオブキャリアサービスのネットワークトポロジー
インターネットサービスプロバイダ(ISP)は、キャリアオブキャリアサービスにより、複数の場所にある透過的なアウトソーシングバックボーンに接続できます。
図 2 は、このキャリア・オブ・キャリアの例のネットワーク・トポロジーを示しています。
ルーター A の設定
この例では、ルーターAがエンドカスタマーを表しています。このルータを CE デバイスとして設定します。
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
ルーター B の設定
ルーターBは、ゲートウェイルーターとして機能し、エンドカスタマーを集約してネットワークに接続します。フルメッシュ IBGP セッションが設定されている場合は、ルート リフレクタを使用できます。
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
ルーター C の設定
ルーター C を設定します。
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
ルーター D の設定
ルーターDは、AS 10023を基準としたCEルーターです。キャリアツーキャリアVPNでは、CEルーターがキャリアプロバイダにラベルを送信できる必要があります。これは、グループto-isp-redのlabeled-unicastステートメントで行われます。
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター E の設定
この設定では、ルーターHとのinet-vpnIBGPセッションと、ルーターDとのVPNのPEルーター部分を設定します。この例ではルーターDがラベルを送信する必要があるため、仮想ルーティングおよび転送(VRF)テーブル内でlabeled-unicastステートメントを使用してBGPセッションを設定します。
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーター F の設定
ルーターFをラベルスワップルーターとして機能するように設定します。
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
ルーター G の設定
ルーターGをラベル交換ルーターとして機能するように設定します。
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
ルーター H の設定
ルーターHは、AS 10023のPEルーターとして機能します。以下の設定は、ルーター F の場合と同様です。
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーター I の設定
基本的なインターネットサービスの顧客(ルーター L)に接続するようにルーター I を設定します。
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
ルーター J の設定
ルーターJをラベルスワップルーターとして設定します。
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ルーター K の設定
ルーター K は、キャリア プロバイダーへの接続の終端で CE ルーターとして機能します。ルーター D の設定と同様に、EBGP セッションに labeled-unicast ステートメントを含めます。
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター L の設定
ルーターLを、キャリアオブキャリアVPNサービスのエンドカスタマーとして機能するように設定します。
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
参照
VPNサービスを提供するお客様向けのキャリアオブキャリアVPNの設定
VPNサービスを必要とする顧客向けに、キャリアオブキャリアVPNサービスを設定できます。
顧客およびプロバイダのネットワーク内のルーター(またはスイッチ)を設定して、キャリアオブキャリアVPNサービスを有効にするには、次のセクションの手順を実行します。
キャリアオブキャリアカスタマーのPEルーターの設定
キャリア・オブ・キャリアの顧客のPEルーター(またはスイッチ)は、エンドカスタマーのCEルーター(またはスイッチ)に接続されます。
以下のセクションでは、キャリアオブキャリアの顧客のPEルーター(またはスイッチ)の設定方法について説明します。
MPLS の設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)でMPLSを設定するには、 mpls ステートメントを含めます。
mpls {
interface interface-name;
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
labeled-unicast ステートメントを、キャリアオブキャリア顧客の CE ルーター(またはスイッチ)への IBGP セッションの設定に含め、ネットワークの反対側にあるキャリアオブキャリアの PE ルーター(またはスイッチ)への IBGP セッションの設定に family-inet-vpn ステートメントを含めます。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF の設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)でOSPFを設定するには、 ospf ステートメントを含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
LDP の設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)でLDPを設定するには、 ldp ステートメントを含めます。
ldp {
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ルーティングインスタンスでのVPNサービスの設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)上で、エンドカスタマーのCEルーター(またはスイッチ)にVPNサービスを設定するには、以下のステートメントを含めます。
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
ポリシー・オプションの構成
エンドカスタマーのCEルーター(またはスイッチ)との間でルートをインポートおよびエクスポートするためのポリシーオプションを設定するには、 policy-statement および community ステートメントを含めます。
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)の設定
キャリア・オブ・キャリアの顧客のCEルーター(またはスイッチ)は、プロバイダーのPEルーター(またはスイッチ)に接続します。次のセクションの手順に従って、キャリアオブキャリアの顧客のCEルーター(またはスイッチ)を設定します。
MPLS の設定
キャリアオブキャリアの顧客のCEルーター(またはスイッチ)のMPLS設定に、顧客のネットワーク内のプロバイダーのPEルーター(またはスイッチ)およびPルーター(またはスイッチ)へのインターフェイスを含めます。
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
キャリアオブキャリアの顧客のCEルーター(またはスイッチ)のBGP設定で、 labeled-unicast ステートメントを含むグループを設定し、VPNサービスをエンドカスタマーのCEルーター(またはスイッチ)に接続されたPEルーター(またはスイッチ)に拡張します。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
以下の階層レベルに bgp ステートメントを含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
プロバイダーのPEルーター(またはスイッチ)にラベル付きの内部ルートを送信するようにグループを設定するには、 bgp ステートメントを含めます。
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF と LDP の設定
キャリアオブキャリアの顧客のCEルーター(またはスイッチ)でOSPFとLDPを設定するには、 ospf および ldp ステートメントを含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー・オプションの構成
キャリアオブキャリアの顧客のCEルーター(またはスイッチ)にポリシーオプションを設定するには、 policy-statement ステートメントを含めます。
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
プロバイダーの PE ルーターまたはスイッチの設定
キャリア・オブ・キャリア・プロバイダーのPEルーター(またはスイッチ)は、キャリアカスタマーのCEルーター(またはスイッチ)に接続します。次のセクションの手順に従って、プロバイダーの PE ルーター(またはスイッチ)を設定します。
MPLS の設定
MPLS設定で、少なくとも2つのインターフェイスを指定します。1つは顧客のCEルーター(またはスイッチ)へ、もう1つはプロバイダーのネットワークの反対側にあるプロバイダーのPEルーター(またはスイッチ)に接続するためのものです。
interface interface-name; interface interface-name;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
PE-to-PE BGP セッションの設定
プロバイダーのPEルーター(またはスイッチ)でPE-to-PE BGPセッションを設定し、VPN-IPv4ルートがPEルーター(またはスイッチ)間を通過できるようにするには、 bgp ステートメントを含めます。
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS と LDP の設定
プロバイダーのPEルーター(またはスイッチ)でIS-ISとLDPを設定するには、 isis および ldp ステートメントを含めます。
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー・オプションの構成
プロバイダのPEルーター(またはスイッチ)でポリシーステートメントを設定して、キャリアカスタマーのネットワークにルートをエクスポートしたり、キャリア顧客のネットワークからルートをインポートするには、 policy-statement および community ステートメントを含めます。
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
CEルーターにルートを送信するためのルーティングインスタンスの設定
キャリア顧客のCEルーター(またはスイッチ)にラベル付きルートを送信するようにプロバイダーのPEルーター(またはスイッチ)でルーティング インスタンスを設定するには、以下のステートメントを使用します。
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
参照
キャリアオブキャリアVPNの例:お客様がVPNサービスを提供
この例では、キャリアカスタマーは、エンドカスタマーにVPNサービスを提供するために、ネットワーク上でなんらかの形式のMPLS(Resource Reservation Protocol [RSVP]またはLDP)を実行する 必要があります 。以下の例では、ルーターBとルーターIはPEルーター(またはスイッチ)として機能し、VPN-IPv4ルートを交換する場合、これらのルーター間で機能するMPLSパスが必要です。
設定情報については、次のセクションを参照してください。
- キャリアオブキャリアサービスのネットワークトポロジー
- ルーター A の設定
- ルーター B の設定
- ルーター C の設定
- ルーター D の設定
- ルーター E の設定
- ルーター F の設定
- ルーター G の設定
- ルーター H の設定
- ルーター I の設定
- ルーター J の設定
- ルーター K の設定
- ルーター L の設定
キャリアオブキャリアサービスのネットワークトポロジー
インターネットサービスプロバイダ(ISP)は、キャリアオブキャリアサービスにより、複数の場所にある透過的なアウトソーシングバックボーンに接続できます。
図 3 は、このキャリアオブキャリアの例のネットワーク トポロジーを示しています。
ルーター A の設定
この例では、ルーター A がエンド カスタマー向けの CE ルーターとして機能します。ルーターAでデフォルトの family inet BGPセッションを設定します。
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
ルーター B の設定
ルーターBは、エンドカスタマーCEルーター(ルーターA)のPEルーターであるため、ルーティング インスタンス(vpna)を設定する必要があります。ルーターDへのIBGPセッションで labeled-unicast ステートメントを設定し、ルーターIとのネットワークの反対側へのIBGPセッションの family-inet-vpn を設定します。
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
ルーター C の設定
ルーターCをローカルAS内のラベルスワップルーターとして設定します。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
ルーター D の設定
ルーターDは、AS 10023ネットワークが提供するVPNサービスのCEルーターとして機能します。ルーターB(10.255.14.179)へのトラフィックを処理するグループ intのBGPグループ設定に、 labeled-unicast ステートメントを含めます。また、ラベル付きの内部ルートをPEルーター(ルーターE)に送信するようにBGPグループ to-isp-red を設定する必要があります。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター E の設定
ルーターEとルーターHはPEルーターです。これら 2 つの PE ルーター間を VPN-IPv4 ルートが通過できるように、PE ルーター間 BGP セッションを設定します。ルーターEでルーティング インスタンスを設定して、ラベル付きルートをCEルーター(ルーターD)に送信します。
ルーターEを設定します。
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
ルーター F の設定
ルーターFを設定して、そのインターフェイスを通過するルートのラベルを入れ替えます。
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
ルーター G の設定
ルーターGを設定します。
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
ルーター H の設定
ルーター H の設定は、ルーター E の設定と似ています。
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーター I の設定
ルーター I は、エンド カスタマー向けの PE ルーターとして機能します。以下の設定は、ルーター B の設定と同様です。
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
ルーター J の設定
ルーターJを設定して、そのインターフェイスを通過するルートのラベルを入れ替えます。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ルーター K の設定
ルーター K の設定は、ルーター D の設定と似ています。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター L の設定
この例では、ルーターLがエンドカスタマーのCEルーターです。ルーターLでBGPセッション inet デフォルトファミリーを設定します。
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
参照
LDPおよびキャリアオブキャリアVPNの複数のインスタンス
複数のLDPルーティングインスタンスを設定することで、LDPを使用して、コアプロバイダPEルーターからカスタマーキャリアCEルーターまで、キャリアオブキャリアVPNのラベルをアドバタイズできます。この方法でLDPにラベルをアドバタイズさせることは、キャリアカスタマーが基本的なISPであり、インターネットのフルルートをPEルーターに制限したい場合に特に役立ちます。BGPではなくLDPを使用することで、キャリアカスタマーはインターネット全体から他の内部ルーターを保護します。また、キャリアカスタマーが、レイヤー3 VPNまたはレイヤー2 VPNサービスを顧客に提供したい場合、複数インスタンスLDPが便利です。
キャリアオブキャリアVPNに複数のLDPルーティングインスタンスを設定する方法の例については、 https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html を参照してください。
参照
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。