レイヤー 3 VPN の ES トンネル
レイヤー3 VPN向けESトンネルインターフェイスの設定
ESトンネルインターフェイスにより、レイヤー3 VPNのPEルーターとCEルーター間のIPセキュリティ(IPsec)トンネルを設定できます。IPsecトンネルには、1つ以上のホップを含めることができます。
以下のセクションでは、レイヤー3 VPNのPEルーターとCEルーター間のESトンネルインターフェイスを設定する方法について説明します。
PE ルーターでの ES トンネル インターフェイスの設定
PE ルーターで ES トンネル インターフェイスを設定するには、 ステートメントを unit 含めます。
unit logical-unit-number {
tunnel {
source source-address;
destination destination-address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
デフォルトでは、トンネル宛先アドレスはデフォルトのインターネットルーティングテーブルinet.0と見なされます。手動セキュリティアソシエーション(SA)を使用するIPsecトンネルの場合、トンネル宛先アドレスがデフォルトinet.0ルーティングテーブルにない場合、 ステートメントを設定してトンネル宛先アドレスを検索するルーティングテーブルを routing-instance 指定する必要があります。これは、ルーティング インスタンスの下でトンネルカプセル化インターフェイスも設定されている場合に当てはまるのです。
unit logical-unit-number {
tunnel {
source address;
destination address;
routing-instance {
destination routing-instance-name;
}
family inet {
address address;
ipsec-sa security-association-name;
}
family mpls;
}
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]メモ:動的SAを使用するIPsecトンネルの場合、トンネルの宛先アドレスは、デフォルトのインターネットルーティングテーブルinet.0に含まれている必要があります。
ESトンネルインターフェイスの設定を完了するには、適切なルーティングインスタンスの下にES インターフェイスの ステートメントを含 interface めます。
interface interface-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
CE ルーターでの ES トンネル インターフェイスの設定
CEルーターでESトンネルインターフェイスを設定するには、 ステートメントを unit 含めます。
unit 0 {
tunnel {
source address;
destination address;
}
family inet {
address address;
ipsec-sa security-association-name;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit interfaces interface-name][edit logical-systems logical-system-name interfaces interface-name]
PE と CE ルーター間の ES トンネル インターフェイスの設定
この例では、レイヤー3 VPNのPEルーターとCEルーター間のESトンネルインターフェイスを設定する方法を示しています。この例で使用するネットワーク トポロジーを 図 1 に示します。
この例を設定するには、以下のセクションで手順を実行します。
- ルーターPE1でのIPsecの設定
- カプセル化インターフェイスを使用しないルーティング インスタンスの設定
- カプセル化インターフェイスを使用したルーティングインスタンスの設定
- ルーターCE1でのESトンネルインターフェイスの設定
- ルーターCE1でのIPsecの設定
ルーターPE1でのIPsecの設定
ルーターPE1でIPセキュリティ(IPsec)を設定します。
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}
カプセル化インターフェイスを使用しないルーティング インスタンスの設定
ルーティングインスタンスは、カプセル化インターフェイスの有無にかかわらず、ルーターPE1で設定できます(t3-0/1/3 この例では)。以下のセクションでは、ルーティングインスタンスを設定せずに設定する方法について説明します。
ルーターPE1でのルーティングインスタンスの設定
ルーターPE1でルーティングインスタンスを設定します。
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
ルーターPE1でのESトンネルインターフェイスの設定
ルーターPE1のESトンネルインターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ESトンネルのカプセル化インターフェイスの設定
この例では、インターフェイス t3-0/1/3 はESトンネルのカプセル化インターフェイスです。インターフェイスを設定します t3-0/1/3。
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
カプセル化インターフェイスを使用したルーティングインスタンスの設定
トンネルカプセル化インターフェイス、 t3-0/1/3、 もルーティングインスタンスで設定されている場合、インターフェイス定義でルーティングインスタンス名を指定する必要があります。システムは、このルーティングインスタンスを使用して、手動セキュリティアソシエーションを使用して、IPsecトンネルのトンネル宛先アドレスを検索します。
次のセクションでは、カプセル化インターフェイスでルーティングインスタンスを設定する方法について説明します。
ルーターPE1でのルーティングインスタンスの設定
ルーターPE1(トンネルカプセル化インターフェイスを含む)でルーティングインスタンスを設定します。
[edit routing-instances]
vpna {
instance-type vrf;
interface es-1/2/0.0;
interface t3-0/1/3.0;
route-distinguisher 10.255.14.174:1;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna {
type external;
peer-as 100;
as-override;
neighbor 10.49.2.1;
}
}
}
}
ルーターPE1でのESトンネルインターフェイスの設定
ルーターPE1のESトンネルインターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.249;
destination 192.168.197.250;
routing-instance {
destination vpna;
}
}
family inet {
address 10.49.2.2/30;
ipsec-sa sa-esp-manual;
}
}
ルーターPE1でのカプセル化インターフェイスの設定
ルーターPE1のカプセル化インターフェイスを設定します。
[edit interfaces t3-0/1/3]
unit 0 {
family inet {
address 192.168.197.249/30;
}
}
ルーターCE1でのESトンネルインターフェイスの設定
ルーターCE1のESトンネルインターフェイスを設定します。
[edit interfaces es-1/2/0]
unit 0 {
tunnel {
source 192.168.197.250;
destination 192.168.197.249;
}
family inet {
address 10.49.2.1/30;
ipsec-sa sa-esp-manual;
}
}
ルーターCE1でのIPsecの設定
ルーターCE1でIPsecを設定します。
[edit security]
ipsec {
security-association sa-esp-manual {
mode tunnel;
manual {
direction bidirectional {
protocol esp;
spi 16000;
authentication {
algorithm hmac-md5-96;
key ascii-text "$9$ABULt1heK87dsWLDk.P3nrevM7V24ZHkPaZ/tp0cSvWLNwgZUH";
}
encryption {
algorithm des-cbc;
key ascii-text "$9$/H8Q90IyrvL7VKMZjHqQzcyleLN";
}
}
}
}
}