レイヤー 3 VPN 用の ES トンネル
レイヤー 3 VPN の ES トンネル インターフェイスの設定
ES トンネル インターフェイスを使用すると、レイヤー 3 VPN の PE ルーターと CE ルーター間の IP セキュリティ(IPsec)トンネルを設定できます。IPsec トンネルには、1 つ以上のホップを含めることができます。
以下のセクションでは、レイヤー 3 VPN の PE ルーターと CE ルーターの間に ES トンネル インターフェイスを設定する方法について説明します。
PE ルーター上の ES トンネル インターフェイスの設定
PE ルーターで ES トンネル インターフェイスを設定するには、 unit ステートメントを含めます。
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
デフォルトでは、トンネルの宛先アドレスは、デフォルトのインターネット ルーティングテーブルである inet.0 にあると見なされます。手動セキュリティアソシエーション(SA)を使用するIPsecトンネルでは、トンネル宛先アドレスがデフォルトのinet.0ルーティングテーブルにない場合、 routing-instanceステートメントを設定して、トンネル宛先アドレスを検索するルーティングテーブルを指定する必要があります。これは、トンネルカプセル化インターフェイスもルーティング インスタンスで設定されている場合に当てはまります。
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]手記:動的 SA を使用する IPsec トンネルの場合、トンネルの宛先アドレスはデフォルトのインターネット ルーティングテーブルである inet.0 にある必要があります。
ES トンネル インターフェイスの設定を完了するには、適切なルーティング インスタンスの下に ES インターフェイスの interface ステートメントを含めます。
interface interface-name;
以下の階層レベルでこのステートメントを使用することができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
CE ルーターでの ES トンネル インターフェイスの設定
CEルーターでESトンネルインターフェイスを設定するには、 unit ステートメントを含めます。
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
PE ルーターと CE ルーター間の ES トンネル インターフェイスの設定
この例では、レイヤー 3 VPN で PE ルーターと CE ルーターの間に ES トンネル インターフェイスを設定する方法を示します。この例で使用したネットワーク トポロジーを 図 1 に示します。
この例を設定するには、次のセクションの手順を実行します。
- ルーターPE1でのIPsecの設定
- カプセル化インターフェイスを使用しないルーティング インスタンスの設定
- カプセル化インターフェイスでルーティングインスタンスを設定する
- ルーターCE1でのESトンネル インターフェイスの設定
- ルーターCE1でのIPsecの設定
ルーターPE1でのIPsecの設定
ルーターPE1でIPsec(IPsec)を設定します。
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
カプセル化インターフェイスを使用しないルーティング インスタンスの設定
ルーターPE1のルーティング インスタンスは、カプセル化インターフェイスの有無にかかわらず設定できます(この例ではt3-0/1/3 )。次のセクションでは、それなしでルーティング インスタンスを構成する方法について説明します。
ルーターPE1でのルーティングインスタンスの設定
ルーターPE1でルーティング インスタンスを設定します。
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
ルーターPE1のESトンネル インターフェイスの設定
ルーターPE1でESトンネルインターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ES トンネルのカプセル化インターフェイスの設定
この例では、インターフェイス t3-0/1/3 が ES トンネルのカプセル化インターフェイスです。インターフェイス t3-0/1/3を設定します。
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
カプセル化インターフェイスでルーティングインスタンスを設定する
トンネルカプセル化インターフェイス( t3-0/1/3)も ルーティング インスタンスで設定されている場合は、インターフェイス定義でルーティング インスタンス名を指定する必要があります。システムは、このルーティング インスタンスを使用し、手動セキュリティ アソシエーションを使用して IPsec トンネルのトンネル宛先アドレスを検索します。
以下のセクションでは、カプセル化インターフェイスでルーティング インスタンスを設定する方法について説明します。
ルーターPE1でのルーティングインスタンスの設定
ルーターPE1のルーティング インスタンス(トンネルカプセル化インターフェイスを含む)を設定します。
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
ルーターPE1のESトンネル インターフェイスの設定
ルーターPE1でESトンネルインターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ルーターPE1のカプセル化インターフェイスの設定
ルーターPE1でカプセル化インターフェイスを設定します。
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
ルーターCE1でのESトンネル インターフェイスの設定
ルーターCE1でESトンネル・インターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
ルーターCE1でのIPsecの設定
ルーターCE1でIPsecを設定します。
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}