ハブアンドスポーク VPN
ハブアンドスポーク VPN トポロジーの設定:1 つのインターフェイス
1 つのインターフェイス設定を使用して、ハブまたはハブからデフォルト ルートをアドバタイズします。
図 1 は、CE1( ハブ CE)と PE1(ハブ PE)の間に 1 つのインターフェイスがあるレイヤー 3 VPN ハブアンドスポーク式アプリケーションを示しています。これはハブアンドスポーク型トポロジーの推奨設定方法です。
この設定では、デフォルト ルートがハブからスポークにアドバタイズされます。スポーク CE ルーター間でさらに具体的なスポーク ルーティング ルートを交換する必要がある場合、ハブ PE とハブ PE の間に CE 2 CE する必要があります。「 ハブアンドスポーク VPN トポロジーの設定: 2 インターフェイス の例用の 2 つのインターフェイス 」 を参照してください。
この設定例では、スポーク ルートの配信は次のとおりです。
スポーク CE2 は、スポーク PE2 へのルートをアドバタイズします。
スポーク PE2 は、CE2 からのルートを VPN ルーティングおよび転送(VRF)テーブルにインストールします。
スポーク PE2 は VRF エクスポート ポリシーをチェックし、ルート ターゲット コミュニティを追加して、ハブ PE1 へのルートをアナウンスします。
Hub PE1 は VRF インポート ポリシーをチェックし、インポート ポリシーと一致するルートをテーブル bgp.l3vpn.0 にインストールします。
ハブ PE1 は、テーブル bgp.l3vpn.0 からハブ VRF テーブルにルートをインストールします。
ハブ PE1 は、ハブ VRF テーブルからハブ CE1 へのルートをアナウンスします。
この設定例では、デフォルトのルート配信は次のとおりです。
ハブ CE1 は、ハブ PE1 へのデフォルト ルートをアナウンスします。
ハブ PE1 は、デフォルト ルートをハブ VRF テーブルにインストールします。
Hub PE1 は VRF エクスポート ポリシーをチェックし、ルート ターゲット コミュニティを追加して、スポーク PE2 と PE3 へのデフォルト ルートをアナウンスします。
スポーク PE2 と PE3 は VRF インポート ポリシーを確認し、デフォルト ルートをテーブル bgp.l3vpn.0 にインストールします。
スポーク PE2 および PE3 は、テーブル bgp.l3vpn.0 からスポーク VRF テーブルにルートをインストールします。
スポーク PE2 および PE3 は、スポーク VRF テーブルからスポーク CE2 および CE3 へのデフォルト ルートをアナウンスします。
以下のセクションでは、図 1 に示すトポロジーに基づいて、1 つのインターフェイスでハブアンドスポーク型トポロジーを設定する方法 について説明します。
- ハブ CE1 の設定
- ハブ PE1 の設定
- P ルーターの設定
- スポーク PE2 の設定
- スポーク PE3 の設定
- スポーク CE2 の設定
- スポーク CE3 の設定
- ハブ PE ルーターでのエグレス機能の有効化
ハブ CE1 の設定
ハブ CE1 を次のように設定します。
[edit routing-options]
static {
route 0.0.0.0/0 discard;
}
autonomous-system 100;
[edit protocols]
bgp {
group hub {
type external;
export default;
peer-as 200;
neighbor 10.49.4.1;
}
}
[edit policy-options]
policy-statement default {
term 1 {
from {
protocol static;
route-filter 0.0.0.0/0 exact;
}
then accept;
}
term 2 {
then reject;
}
}
ハブ PE1 の設定
ハブ PE1 を次のように設定します。
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
}
P ルーターの設定
P ルーターを次のように設定します。
[edit]
interfaces {
t3-0/1/1 {
unit 0 {
family inet {
address 10.49.2.1/30;
}
family mpls;
}
}
t3-0/1/3 {
unit 0 {
family inet {
address 10.49.0.2/30;
}
family mpls;
}
}
t1-0/2/0 {
unit 0 {
family inet {
address 10.49.1.2/30;
}
family mpls;
}
}
}
[edit]
protocols {
ospf {
area 0.0.0.0 {
interface t3-0/1/3.0;
interface t1-0/2/0.0;
interface t3-0/1/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/1/1.0;
interface t3-0/1/3.0;
interface t1-0/2/0.0;
}
}
スポーク PE2 の設定
スポーク PE2 を次のように設定します。
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.0.1/30;
}
family mpls;
}
}
t1-0/1/2 {
unit 0 {
family inet {
address 10.49.3.1/30;
}
}
}
}
[edit protocols]
bgp {
group ibgp {
type internal;
local-address 10.255.14.182;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/0.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/0.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t1-0/1/2.0;
route-distinguisher 10.255.14.182:20;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.3.2;
}
}
}
}
}
スポーク PE3 の設定
スポーク PE3 を次のように設定します。
[edit]
interfaces {
t3-0/0/0 {
unit 0 {
family inet {
address 10.49.6.1/30;
}
}
}
t3-0/0/1 {
unit 0 {
family inet {
address 10.49.2.2/30;
}
family mpls;
}
}
}
[edit protocols}
bgp {
group ibgp {
type internal;
local-address 10.255.14.178;
peer-as 200;
neighbor 10.255.14.176 {
family inet-vpn {
unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface t3-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface t3-0/0/1.0;
}
[edit]
routing-instances {
spoke {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.178:30;
vrf-target {
import target:200:101;
export target:200:100;
}
protocols {
bgp {
group spoke {
type external;
peer-as 100;
as-override;
neighbor 10.49.6.2;
}
}
}
}
}
スポーク CE2 の設定
スポーク CE2 を次のように設定します。
[edit routing-options]
autonomous-system 100;
{edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.3.1;
}
}
スポーク CE3 の設定
スポーク CE3 を次のように設定します。
[edit routing-options]
autonomous-system 100;
[edit protocols]
bgp {
group spoke {
type external;
export loopback;
peer-as 200;
neighbor 10.49.6.1;
}
}
この設定例では、スポーク CE2 とハブ CE1 の間のトラフィック転送は次のとおりです。
スポーク CE2 は、スポーク PE2 からスポーク トラフィックに学習されたデフォルト ルートを使用してトラフィックBGP。
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0スポーク PE2 は、スポーク VRF テーブルでルート ルックアップを実行し、トラフィックをハブ PE2 に転送します(P ルーターから、PE2 は 2 つのラベルをプッシュします)。スポーク VRF テーブルから学習したデフォルト ルートを使用BGP。
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)ハブ PE1 は VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
100336。100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Popハブ PE1 は、トラフィックをインターフェイスからハブ
t3-0/0/0.0CE1 に転送します。
この設定例では、ハブ CE1 とスポーク CE2 の間のトラフィック転送は次のとおりです。
ハブ CE1 は、ハブ PE1 から取得したルートを使用して、ハブ PE1 にトラフィックをBGP。
10.49.10.250/32 *[BGP/170] 02:28:46, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0ハブ PE1 はハブ VRF テーブルでルート ルックアップを実行し、トラフィックをスポーク PE2 に転送します(P ルーターから、PE1 は 2 つのラベルをプッシュします)。
10.49.10.250/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.182 AS path: 100 I > via t1-0/1/0.0, Push 100352, Push 100208(top)スポーク PE2 は、VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
100352。100352 *[VPN/170] 02:31:39 > to 10.49.3.2 via t1-0/1/2.0, Popスポーク PE2 は、トラフィックをインターフェイスからスポーク
t1-0/1/2.0CE2 に転送します。
この設定例では、スポーク CE2 とスポーク CE3 の間のトラフィック転送は次のとおりです。
スポーク CE2 は、スポーク PE2 からスポーク トラフィックに学習されたデフォルト ルートを使用してトラフィックBGP。
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0スポーク PE2 は、スポーク VRF テーブルでルート ルックアップを実行し、トラフィックをハブ PE1(P ルーターから、PE2 が 2 つのラベルをプッシュ)に転送します。このテーブルから学習したデフォルト ルートを使用BGP。
0.0.0.0/0 *[BGP/170] 01:35:45, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/1.0, Push 100336, Push 100224(top)ハブ PE1 は VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
100336。100336 *[VPN/170] 01:37:03 > to 10.49.4.2 via t3-0/0/0.0, Popハブ PE1 は、トラフィックをインターフェイスからハブ
t3-0/0/0.0CE1 に転送します。ハブ CE1 は、ハブ PE1 から学習したルーターを使用して、トラフィックをハブ PE1 にBGP。
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0ハブ PE1 はハブ VRF テーブルでルート ルックアップを実行し、トラフィックをスポーク PE3 に転送します(P ルーターから、PE1 は 2 つのラベルをプッシュします)。
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)スポーク PE3 は VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
100128。100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Popスポーク PE3 はトラフィックをインターフェイスからスポーク
t3-0/0/0.0CE3 に転送します。
ハブ VRF ルーティング テーブル で IP 転送ルックアップが必要なハブ PE でエグレス機能が必要な場合は、 ハブ PE ルーターでのエグレス機能の有効化 を 参照してください。
ハブ PE ルーターでのエグレス機能の有効化
この例は、「ハブアンドスポーク VPN トポロジーの設定: 1 つのインターフェイス 」と 併せて提供されています。この例では、図 1 に示すトポロジー も使用しています。
ハブ VRF ルーティング テーブル で IP 転送ルックアップを必要とするハブ PE でエグレス機能が必要な場合、ハブアンドスポーク VPN トポロジーの設定 で詳しく説明された設定 : 1 つのインターフェイスは機能しません。ハブ ルーティング インスタンスにステートメントを適用すると、リモート スポーク PE からのトラフィックはハブ PE に強制的に転送され、IP ルックアップが vrf-table-label 実行されます。特定のスポーク ルートがハブ VRF テーブルにあるため、トラフィックはハブ トラフィックを通過せずにスポーク PE に転送CE。
ハブ PE は VPN ラベル 1028 を使用して、デフォルト ルートを次のようにアドバタイズします。
hub.inet.0: 7 destinations, 7 routes (7 active, 0 holddown, 0 hidden)
* 0.0.0.0/0 (1 entry, 1 announced)
BGP group ibgp type Internal
Route Distinguisher: 10.255.14.176:2
VPN Label: 1028
Nexthop: Self
Localpref: 100
AS path: 100 I
Communities: target:200:101
受信トラフィックは、VPNラベル1028を使用して転送されます。mpls.0 テーブルは、テーブルの hub.inet.0 で IP ルックアップが必要な場合を示しています。
1028 *[VPN/0] 00:00:27
to table hub.inet.0, Pop
ただし、ハブ VRF テーブル hub.inet.0 には、次に示す特定のスポーク ルートが含されています。
10.49.10.250/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.182
AS path: 100 I
> via t1-0/1/0.0, Push 100352, Push 100208(top)
10.49.10.253/32 *[BGP/170] 00:00:05, localpref 100, from 10.255.14.178
AS path: 100 I
> via t1-0/1/0.0, Push 100128, Push 100192(top)
この理由で、トラフィックはハブ ネットワークを通過せずにスポーク PES に直接CE。これを防止するには、ハブ PE1 のダウンストリーム トラフィックにセカンダリ ルーティング インスタンスを設定する必要があります。
ハブ PE1 の設定
ハブ PE1 を次のように設定します。
[edit]
routing-instances {
hub {
instance-type vrf;
interface t3-0/0/0.0;
route-distinguisher 10.255.14.176:2;
vrf-target {
import target:200:100;
export target:200:101;
}
no-vrf-advertise;
routing-options {
auto-export;
}
protocols {
bgp {
group hub {
type external;
peer-as 100;
as-override;
neighbor 10.49.4.2;
}
}
}
}
hub-downstream {
instance-type vrf;
route-guisher 10.255.14.176:3;
vrf-target target:200:101;
vrf-table-label;
routing-options {
auto-export;
}
}
}
ステートメントが no-vrf-advertise 階層レベルで使用されている場合、 [edit routing-instances hub] データ グループルーティング テーブル VRF エクスポート ポリシーは必要ありません。ステートメント no-vrf-advertise は、プライマリ ルーティング インスタンスからVPNルートをアドバタイズしないハブ PE を設定します hub 。これらのルートは、代わりにセカンダリ ルーティング インスタンスからアドバタイズされます hub_downstream 。ステートメント Junos OS詳細については、「 ルーティング プロトコル ライブラリ 」を参照 no-vrf-advertise してください。
階層レベルのステートメントは、各ルーティング インスタンスに定義されたルート ターゲットを確認することで、ハブ インスタンスからハブダウンストリーム インスタンスにエクスポートされたルート auto-export [edit routing-instances hub-downstream routing-options] を識別します。ステートメント Junos OSの詳細については、「 ルーティング プロトコル ライブラリ 」を参照 auto-export してください。エクスポート ポリシーの詳細な例については、「 自動ルート エクスポートを使用した 重複する VPN の設定 」を参照してください。
ハブ PE 上にこの設定を使用すると、スポークアンドスポーク型 CE トラフィックがハブ CE を通過し、ハブ PE でエグレス機能(フィルタリングなど)を有効にできます。
この設定例では、スポーク CE2 とスポーク CE3 の間のトラフィック転送は次のとおりです。
スポーク CE2 は、スポーク PE2 からスポーク トラフィックに学習されたデフォルト ルートを使用してトラフィックBGP。
0.0.0.0/0 *[BGP/170] 02:24:15, localpref 100 AS path: 200 200 I > to 10.49.3.1 via t1-3/0/1.0スポーク PE2 はスポーク VRF テーブルでルート ルックアップを実行し、トラフィックをハブ PE1(P ルーターから-PE2 が 2 つのラベルをプッシュ)に転送します。このテーブルから学習したデフォルト ルートを使用BGP。
spoke.inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 0.0.0.0/0 *[BGP/170] 00:00:09, localpref 100, from 10.255.14.176 AS path: 100 I > via t3-0/0/0.0, Push 1029, Push 100224(top)ハブ PE1 は VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
1029。mpls.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 1029 *[VPN/0] 00:11:49 to table hub_downstream.inet.0, PopVPN ラベルが
1029アドバタイズされる理由は、次の理由です。ステートメント
vrf-table-labelは、ハブ[edit routing-instances hub_downsteam]PE1 設定の階層レベルで適用されます。ステートメント
no-vrf-advertiseは階層レベルで適用され、セカンダリ テーブルからのルートをアドバタイズするようルーター[edit routing-instances hub]に指示します。
そのため、IP ルックアップは hub_downstream.inet.0 テーブルではなく、hub_downstream.inet.0 テーブルで実行されます。
ハブ PE
show route advertising-protocolのコマンドをスポーク PE に発行して、VPN ラベル アドバタイズメントを1029検証します。user@host> show route advertising-protocol hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) * 0.0.0.0/0 (1 entry, 1 announced) BGP group ibgp type Internal Route Distinguisher: 10.255.14.176:3 VPN Label: 1029 Nexthop: Self Localpref: 100 AS path: 100 I Communities: target:200:101ハブ PE1 は、テーブルで IP ルックアップを実行し、トラフィック アウト インターフェイス
hub_downstream.inet.0をハブt3-0/0/0.0CE1 に転送します。hub_downstream.inet.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) 0.0.0.0/0 (1 entry, 1 announced) *BGP Preference: 170/-101 Next-hop reference count: 4 Source: 10.49.4.2 Next hop: 10.49.4.2 via t3-0/0/0.0, selected State: <Secondary Active Ext> Peer AS: 100 Age: 3:03 Task: BGP_100.10.49.4.2+1707 Announcement bits (2): 0-KRT 2-BGP.0.0.0.0+179 AS path: 100 I Communities: target:200:101 Localpref: 100 Router ID: 10.49.10.251 Primary Routing Table hub.inet.0プライマリ ルーティング テーブル は、階層レベルのステートメントとハブ PE1 設定の階層レベルでのステートメントの結果、このルートがテーブルからこの
hub.inet.0hub.inet.0hub_downstream.inet.0 テーブルno-vrf-advertise[edit routing-instances hub]auto-exportにエクスポートされたことを示[edit routing-instances hub-downstream routing-options]しています。ハブ CE1 は、ハブ CE1 から学習したルーターを使用して、トラフィックをハブ PE1 にBGP。
10.49.10.253/32 *[BGP/170] 02:40:03, localpref 100 AS path: 200 200 I > to 10.49.4.1 via t3-3/1/0.0ハブ PE1 はハブ VRF テーブルでルート ルックアップを実行し、トラフィックをスポーク PE3 に転送します(P ルーターから、PE1 は 2 つのラベルをプッシュします)。
10.49.10.253/32 *[BGP/170] 01:41:05, localpref 100, from 10.255.14.178 AS path: 100 I > via t1-0/1/0.0, Push 100128, Push 100192(top)スポーク PE3 は、VPN ラベルの mpls.0 テーブルでルート ルックアップを実行します
100128。100128 *[VPN/170] 02:41:30 > to 10.49.6.2 via t3-0/0/0.0, Popスポーク PE3 は、トラフィックをインターフェースからスポーク
t3-0/0/0.0CE3 に転送します。
ハブアンドスポーク VPN トポロジーの設定:2 つのインターフェイス
2 つのインターフェイス設定を使用して、スポーク間にルートを伝達します。
このセクションの例では、次のコンポーネントを使用して 2 つのインターフェイスを使用してハブアンドスポーク型トポロジーを設定しています(図 2 を参照)。
1 つのハブ PE ルーター(ルーター D)
ハブ PE ルーター CE接続されたハブ ルーターの 1 つ。このハブアンドスポーク型 VPN トポロジーを適切に機能するには、ハブ PE ルーターをハブ CE ルーターに接続する 2 つのインターフェイスが必要です。また、各インターフェイスが PE ルーター上に独自の VRF テーブルを持つ必要があります。
1 つ目のインターフェイス(ここではインターフェース ge-0/0/0.0)を使用して、スポーク ルートをハブ ルーターにアナウンスCEしています。このインターフェイスに関連付けられた VRF テーブルには、スポーク PE ルーターによってハブ ルーターへのルートがCEされています。
2 番目のインターフェイス(ここではインターフェイス ge-0/0/1.0)を使用して、ハブアンドスポーク型ルーターを宛先のハブ CE からルート通知を受信します。このインターフェイスに関連付けられた VRF テーブルには、ハブ ルーティング ルーターによってスポーク PE ルーターにCEルートが格納されています。この例では、2つの独立した物理インターフェイスが使用されています。ハブ PE ルーターとハブ ルーター間で同じ物理インターフェイスを共有する 2 つの異なる論理インターフェイスを設定する場合にもCEされます。
2 つのスポーク PE ルーター(ルーター E とルーター F)
2 つのスポーク CE CE1 および CE2)で、1 台が各スポーク PE ルーターに接続されています。
シグナリング プロトコルとしての LDP
この設定では、スポークおよびルーター CE1 からのルートCE次のように実行されます。
スポーク ルーター CE1 が、スポーク PE ルーター E へのルートをアナウンスします。
ルーター E は、CE1 からのルートを VRF テーブルにインストールします。
VRF エクスポート ポリシーをチェックした後、ルーター E はポリシーを通過したルーター CE1 からのルートにスポーク ターゲット コミュニティを追加して、ハブ PE ルーターのルーター D にアナウンスします。
ルーター D は、インターフェイス ge-0/0/0.0 に関連付けられた VRF インポート ポリシーをチェックし、ポリシーと一致するスポーク PE ルーターから bgp.l3vpn ルーターに入れルーティング テーブル。(一致しないルートは破棄されます)。
ルーター D は、インターフェイス ge-0/0/0.0 に関連付けられた VRF インポート ポリシーをチェックし、スポーク VRF テーブルと一致するルートすべてをインストールします。スポーク ターゲット コミュニティとともにルートがインストールされます。
ルーター D は、インターフェイス ge-0/0/0 上CEハブ ルーティングをアナウンスします。
ハブ ルーター CEは、2 番目のインターフェイスを使用してハブ PE ルーター D に戻るルートをハブ ルーター、インターフェイス ge-0/0/1 にアナウンスします。
ハブ PE ルーターは、ハブ CE ルーターから学習したルートを、インターフェイス ge-0/0/1 に関連付けられたハブ VRF テーブルにインストールします。
ハブ PE ルーターは、インターフェイス ge-0/0/1.0 に関連付けられた VRF エクスポート ポリシーをチェックし、ハブ ターゲット コミュニティを追加した後、すべてのスポークに一致するルートすべてについてアナウンスします。
図 3 は 、このスポーク ルーターから別のスポーク ルーター、ルーター CE2 へのルートCEを示しています。ルーター CE1 からルーター CE2 にコマンドを発行すると、 traceroute 同じパスが続きます。
この例の最後のセクションである「ハブアンドスポーク VPN 設定のまとめ」では、図2に示すサービス プロバイダ ルーターごとにVPN機能を構成するために必要なステートメントを統合しています。
以下のセクションでは、ハブアンドスポーク型 PE ルーター上でハブアンドスポーク型トポロジーの VPN 機能を設定する方法について説明します。ネットワーク CE VPN に関する情報を持たないので、通常は設定します。
- ハブアンドIGP PE ルーターの有効化
- ハブアンドスポーク PE ルーターでの LDP の設定
- PE ルーターでの IBGP の設定
- ハブアンドスポーク型 PE ルーターでの VPN ルーティング インスタンスの設定
- PE ルーターでの VPN ポリシーの設定
- ハブアンドスポーク VPN 構成をルーター別にまとめ
ハブアンドIGP PE ルーターの有効化
ハブアンドスポーク型 PE ルーターがルーティング情報を交換するには、これらのルーターすべてで IGP を設定する必要があります。静的ルートを設定する必要があります。ルーティング プロトコル プロセス(rpd)のプライマリ インスタンス(つまり、階層レベル)で、ルーティング インスタンス内ではなく(階層レベルではない)で IGP を設定 [edit protocols] [edit routing-instances] します。
標準的な方法IGP構成します。この設定例には、設定のこの部分は含めではありません。
ハブアンドスポーク型トポロジーでのルート配信では、ハブ サイトで CE ルーターと PE ルーター間で使用されるプロトコルが BGP である場合、ハブ CE ルーターは、ハブ PE ルーターとスポーク ルーターから受け取ったすべてのルートをハブ PE ルーターとすべてのスポーク ルーターにアナウンスします。これは、ハブアンドスポーク型 PE ルーターが、ネットワーク番号を含むルートを受信AS意味します。通常、ルートにこの情報が含まれている場合、ルーティング ループが発生し、ルーターがルートを拒否することを示します。ただし VPN 設定を機能するには、ハブ PE ルーターとスポーク ルーターがこれらのルートを受け入れる必要があります。これを有効にするには、ハブ PE ルーターとすべてのスポーク ルーター AS階層レベルで設定する際のオプション loops [edit routing-options] を含める必要があります。この設定例では、値 1 を指定します。0~10の数字を指定できます。
[edit routing-options] autonomous-system as-number loops 1;
ハブアンドスポーク PE ルーターでの LDP の設定
VPN に参加するハブアンドスポーク PE ルーター間のインターフェイスで LDP を設定します。
ハブ PE ルーター D で、LDP を設定します。
[edit protocols]
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
スポーク PE ルーター E で、LDP を設定します。
[edit protocols]
ldp {
interface fe-0/1/2.0;
}
スポーク PE ルーター ルーター F で、LDP を設定します。
[edit protocols]
ldp {
interface fe-1/0/0.0;
}
PE ルーターでの IBGP の設定
ハブアンドスポーク型 PE ルーターで、次のプロパティを使用して IBGP セッションを設定します。
VPN ファミリー —IBGP セッションが VPN 用と示す場合は、 ステートメントを含
family inet-vpnにします。ループバック アドレス — ローカル PE ルーターのループバック アドレスを指定
local-addressするステートメントを含します。VPN の IBGP セッションは、ループバック アドレスを使用して実行されます。また、階層レベルでlo0インターフェイスを[edit interfaces]設定する必要があります。この例では、ルーターの設定のこの部分は含めではありません。ネイバー アドレス — ステートメントを含
neighborします。ハブ ルーターで、各スポーク PE ルーターの IP アドレスを指定し、スポーク ルーターでハブ PE ルーターのアドレスを指定します。
ハブ ルーターについては、スポークごとに IBGP セッションを設定し、スポーク ルーターごとにハブで IBGP セッションを設定します。2 台のスポーク ルーター間に IBGP セッションはありません。
ハブ ルーター D で、IBGP を設定します。1 番目のステートメントでは、スポーク ルーター E に IBGP セッションを設定し、2 番目のステートメントではスポーク ルーター F へのセッション neighbor を設定します。
[edit protocols]
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
スポーク ルーター E で、ハブ ルーターへの IBGP セッションを設定します。
[edit protocols]
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
スポーク ルーター F で、ハブ ルーターへの IBGP セッションを設定します。
[edit protocols]
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
ハブアンドスポーク型 PE ルーターでの VPN ルーティング インスタンスの設定
ハブ PE ルーターがスポーク PE ルーターとの間でパケットの宛先を識別するには、2 つのルーティング インスタンスで設定する必要があります。
1 つのルーティング インスタンス(この例では)は、ハブ PE ルーターからハブ CE ルーター(この例ではインターフェイス)にパケットを転送するインターフェイスに関連
Spokes-to-Hub-CE付けされていますge-0/0/0.0。VRF テーブルには、スポーク PE ルーターによって発表されているルートとハブ PE ルーターからハブ PE ルーターへのルートがCEされています。2 番目のルーティング インスタンス(この例では)は、ハブ CE ルーターからハブ PE ルーター(この例ではインターフェイス)にパケットを転送するインターフェイスに関連
Hub-CE-to-Spokes付けされていますge-0/0/1.0。VRF テーブルには、ハブ ルーターからハブアンドCE PE ルーターに対して発表されるルートが格納されています。
各スポーク ルーターで、1 つのルーティング インスタンスを設定する必要があります。
ルーティング インスタンスでは、以下を定義する必要があります。
ルート識別:あるVPN内のアドレスと別のVPN内のアドレスを区別するために使用します。
インスタンス タイプ
vrf: PE ルーター上に VRF テーブルを作成します。VPNの一部であり、PEルーターをルーターのルーターに接続するインターフェイスCEです。
VRF のインポート ポリシーとエクスポート ポリシー。両方のインポート ポリシーには、コミュニティへの参照を含める必要があります。そうしないと、設定をコミットするとコミットが失敗します。(例外は、インポート ポリシーにステートメントだけが含まれている
then reject場合です)。VRF エクスポート ポリシーでは、スポーク PE ルーターがスポーク ターゲット コミュニティを接続します。PE ルーターと PE ルーター CE間のルーティング(PE ルーターが接続されたルーターとの間で VPN 関連のルートを分散CEされます。ルーティング プロトコルの設定(ルーティング プロトコルのBGP設定OSPF RIP の設定や、スタティック ルーティングの設定が可能です。
ハブアンドスポーク型トポロジーでは、ハブアンドスポーク型ルーター上の各ルーティング インスタンスで異なるポリシー CE必要があります。ハブ PE ルーターからハブ CE ルーター(この例では)にパケットを転送するインターフェイスに関連付けられたルーティング インスタンスの場合、インポート ポリシーはハブアンドスポーク PE ルーター間の IBGP セッションで受信したルートすべて受け入れる必要があります。エクスポート ポリシーは、ハブ CE ルーターから受信したルートすべてを拒否する必要があります。 Spokes-to-Hub-CEハブ CE ルーターからハブ PE ルーター(この例では)にパケットを転送するインターフェイスに関連付けられたルーティング インスタンスの場合、インポート ポリシーはスポーク PE ルーターから受信したルートすべてで拒否する必要があります。また、エクスポート ポリシーをすべてのスポーク ルーターにエクスポートする必要があります。 Hub-CE-to-Spokes
ハブ PE ルーター D で、以下のルーティング インスタンスを設定します。ルーター D は、OSPF ルーター間でルートを分散するために、CEします。
[edit]
routing-instance {
Spokes-to-Hub-CE {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
protocols {
ospf {
domain-id disable;
export redistribute-vpn;
domain-vpn-tag 0;
area 0.0.0.0 {
interface ge-0/0/0;
}
}
}
}
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
}
}
スポーク PE ルーター E で、以下のルーティング インスタンスを設定します。ルーター E は、OSPF を使用して、スポーク間およびルーター CE1 間CE分散します。
[edit]
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
}
}
スポーク PE ルーター F で、以下のルーティング インスタンスを設定します。ルーター F は、OSPFを使用して、スポーク間およびルーター CE2 CE分散します。
[edit]
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
}
}
PE ルーターでの VPN ポリシーの設定
ハブアンドスポーク型 PE ルーターごとに VPN インポート ポリシーとエクスポート ポリシーを設定して、各 VPN 内でパケットを転送するために使用する VRF テーブルに適切なルートをインストールする必要があります。
スポーク ルーターでは、ハブ ルーターとルートを交換するポリシーを定義します。
ハブ ルーターでは、スポーク PE ルーターからルートを受け入れてハブ ルーターに配信するポリシーを定義し、その逆CEを定義します。ハブ PE ルーターには 2 つの VRF テーブルがあります。
スポーク-to-ハブ VRF テーブル—スポーク ルーターから受信したルートを処理し、これらのルートをハブ ハブ ルーター CEします。この VRF テーブルでは、インポート ポリシーは、スポーク ターゲット名が存在し、ハブ PE ルーターとスポーク PE ルーター間の IBGP セッションからルートが受け取られたか確認する必要があります。この VRF テーブルはルートをエクスポートする必要はないので、そのルートのエクスポート ポリシーはすべて拒否する必要があります。
ハブアンドスポーク型 VRF テーブル —ハブ ハブハブから受信したルートCE処理し、スポーク ルーターにアナウンスします。この VRF テーブルでは、エクスポート ポリシーでハブ ターゲット コミュニティを追加する必要があります。この VRF テーブルにルートをインポートする必要はないので、そのルートのインポート ポリシーですべてを拒否する必要があります。
VPN ポリシーでは、VPN ターゲット コミュニティも設定します。
ハブ PE ルーター D で、VRF テーブルに適用する以下のポリシーを設定します。
spoke:IBGP セッションから受信したルートと、コミュニティ ターゲットを含むスポーク PE ルーターから受信したルートを受け入れ、その他すべてのルートspokeを拒否します。hub—コミュニティ ターゲット ハブを、OSPF から受け取ったすべてのルートに追加します(つまり、コミュニティ ターゲット ルーターとハブ ルーター間のセッションCEします。その他すべてのルートを拒否します。null—すべてのルートを拒否します。redistribute-vpn—ルーティング インスタンスOSPFネイバーに対してルートの分散を再分配します。[edit] policy-options { policy-statement spoke { term a { from { protocol bgp; community spoke; } then accept; } term b { then reject; } } policy-statement hub { term a { from protocol ospf; then { community add hub; accept; } } term b { then reject; } } policy-statement null { then reject; } policy-statement redistribute-vpn { term a { from protocol bgp; then accept; } term b { then reject; } } community hub members target:65535:1; community spoke members target:65535:2; }
ルーター D に VRF ポリシーを適用するには、ルーティング インスタンスを設定する際に、 と ステートメント vrf-export vrf-import を含にします。
[edit]
routing-instance {
Spokes-to-Hub-CE {
vrf-import spoke;
vrf-export null;
}
Hub-CE-to-Spokes {
vrf-import null;
vrf-export hub;
}
}
スポーク PE ルーター E とルーター F で、VRF テーブルに適用する以下のポリシーを設定します。
hub:IBGP セッションから受信したルートと、コミュニティ ターゲットを含むハブ PE ルーターから受信したルートを受け入れ、その他すべてのルートhubを拒否します。spoke— OSPF から受信したルートすべて(ハブ CE ルーターとのセッションから)にコミュニティ ターゲット スポークを追加すると、その他のすべてのルートが拒否されます。redistribute-vpn—ルーティング OSPF内のネイバーにルートとルートを再分配します。
スポーク PE ルーター E およびルーター F で、次の VPN インポート ポリシーとエクスポート ポリシーを設定します。
[edit]
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target 65535:2;
}
スポーク ルーターに VRF ポリシーを適用するには、ルーティング インスタンスを設定する際に、 と ステートメント vrf-export vrf-import を含にします。
[edit]
routing-instance {
Spoke-E-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
[edit]
routing-instance {
Spoke-F-to-Hub {
vrf-import hub;
vrf-export spoke;
}
}
ハブアンドスポーク VPN 構成をルーター別にまとめ
ルーター D(ハブ PE ルーター)
ハブ ハブ ハブへのスポーク ルートの配布のルーティング CE
Spokes-to-Hub-CE {
instance-type vrf;
interface fe-0/0/0.0;
route-distinguisher 10.255.1.174:65535;
vrf-import spoke;
vrf-export null;
}
インスタンス ルーティング プロトコル
protocols {
ospf {
domain-id disable;
domain-vpn-tag 0;
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/0.0;
}
}
}
スポークへのルートCE分散するためのルーティング インスタンス
Hub-CE-to-Spokes {
instance-type vrf;
interface ge-0/0/1.0;
route-distinguisher 10.255.1.174:65534;
vrf-import null;
vrf-export hub;
}
ルーティング インスタンス ルーティング プロトコル
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface ge-0/0/1.0;
}
}
}
ルーティング オプション(プライマリ インスタンス)
routing-options {
autonomous-system 1 loops 1;
}
プロトコル(プライマリ インスタンス)
protocols {
}
LDP を有効にする
ldp {
interface so-1/0/0.0;
interface t3-1/1/0.0;
}
IBGP の設定
bgp {
group Hub-to-Spokes {
type internal;
local-address 10.255.14.174;
family inet-vpn {
unicast;
}
neighbor 10.255.14.180;
neighbor 10.255.14.182;
}
}
VPN ポリシーの設定
policy-options {
policy-statement spoke {
term a {
from {
protocol bgp;
community spoke;
}
then accept;
}
term b {
then reject;
}
}
policy-statement hub {
term a {
from protocol ospf;
then {
community add hub;
accept;
}
}
term b {
then reject;
}
}
policy-statement null {
then reject;
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
ルーター E(スポーク PE ルーター)
ルーティング インスタンス
routing-instance {
Spoke-E-to-Hub {
instance-type vrf;
interface fe-0/1/0.0;
route-distinguisher 10.255.14.80:65035;
vrf-import hub;
vrf-export spoke;
}
}
インスタンス ルーティング プロトコル
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-0/1/0.0;
}
}
}
ルーティング オプション(プライマリ インスタンス)
routing-options {
autonomous-system 1 loops 1;
}
プロトコル(プライマリ インスタンス)
protocols {
}
LDP を有効にする
ldp {
interface fe-0/1/2.0;
}
IBGP の設定
bgp {
group Spoke-E-to-Hub {
type internal;
local-address 10.255.14.180;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
VPN ポリシーの設定
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from protocol bgp;
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}
ルーター F(スポーク PE ルーター)
ルーティング インスタンス
routing-instance {
Spoke-F-to-Hub {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.182:65135;
vrf-import hub;
vrf-export spoke;
}
}
インスタンス ルーティング プロトコル
protocols {
ospf {
export redistribute-vpn;
area 0.0.0.0 {
interface fe-1/0/1.0;
}
}
}
ルーティング オプション(プライマリ インスタンス)
routing-options {
autonomous-system 1 loops 1;
}
プロトコル(プライマリ インスタンス)
protocols {
}
LDP を有効にする
ldp {
interface fe-1/0/0.0;
}
IBGP の設定
bgp {
group Spoke-F-to-Hub {
type internal;
local-address 10.255.14.182;
neighbor 10.255.14.174 {
family inet-vpn {
unicast;
}
}
}
}
VPN ポリシーの設定
policy-options {
policy-statement hub {
term a {
from {
protocol bgp;
community hub;
}
then accept;
}
term b {
then reject;
}
}
policy-statement spoke {
term a {
from protocol ospf;
then {
community add spoke;
accept;
}
}
term b {
then reject;
}
}
policy-statement redistribute-vpn {
term a {
from {
protocol bgp;
}
then accept;
}
term b {
then reject;
}
}
community hub members target:65535:1;
community spoke members target:65535:2;
}