レイヤー3VPNのネクストホップベースのトンネル
このトピックでは、トンネル複合ネクストホップをサポートするための動的汎用ルーティングカプセル化(GRE)トンネルと動的 MPLS-over-UDP トンネルの設定について説明します。また、スプーフィング対策から保護するためのリバース パス フォワーディングの設定に関する情報も提供します。
例:ネクストホップベースの動的 GRE トンネルの設定
この例では、インターフェイスのネクストホップの代わりに、トンネル複合ネクストホップ(CNH)を含む動的な汎用ルーティングカプセル化(GRE)トンネルを設定する方法を示します。ネクストホップベースの動的GREトンネルは、インターフェイスベースの動的GREトンネルに比べて拡張上の利点があります。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MPCとMICを搭載したMXシリーズルーター5台。
PE ルーターで実行されている Junos OS リリース 16.2 以降。
始める前に:
ループバック インターフェイスを含むデバイス インターフェイスを設定します。
-
機器のルーター ID と自律システム番号を設定します。
リモート PE デバイスとの内部 BGP(IBGP)セッションを確立します。
デバイス間で OSPF ピアリングを確立します。
概要
Junos OSリリース16.2以降、動的汎用ルーティングカプセル化(GRE)トンネルは、設定されたすべてのGREトンネルに対してトンネル複合ネクストホップの作成をサポートしています。
デフォルトでは、設定された新しい動的 GRE トンネルごとに、対応する論理トンネル インターフェイスが作成されます。これはインターフェイスベース動的トンネルと呼ばれ、動的トンネルを作成するためのデフォルトモードです。インターフェイスベースの動的トンネルでは、デバイスで設定できるトンネルの数は、デバイスでサポートされるインターフェイスの総数によって異なります。ネクストホップベースの動的GREトンネルは、物理インターフェイスへの依存を取り除き、GRE トンネルのカプセル化は、論理トンネルインターフェイスを作成せずにネクストホップ命令として実装されます。これにより、デバイス上に作成できる動的トンネルの数に拡張上の利点があります。
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、ネクストホップベースの動的 GRE トンネルのスケーリング制限が引き上げられました。スケーリング値の増加は、ゲートウェイルーターがIPインフラストラクチャを介して多数のサーバーと通信する必要があるデータセンターネットワークにメリットをもたらします。たとえばContrail Networkingなどです。
ある時点で、ネクストホップベースの動的トンネルまたはデフォルトのインターフェイスベースの動的GREトンネルのいずれかがデバイス上に存在できます。あるトンネル モードから別のトンネル モードに切り替えると、既存のトンネルが削除され、サポートされているスケーリング制限に従って、新しいトンネル モードで新しいトンネルが作成されます。同様に、ある時点で、同じトンネル宛先に対して、ネクストホップベースのトンネルカプセル化タイプはGREまたはUDPのいずれかになります。
ネクストホップベースの動的 GRE トンネルを有効にするには、 階層レベルで ステートメントを含め next-hop-based-tunnel ます [edit routing-options dynamic-tunnels gre] 。
既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルートのピア デバイスから受信したトンネル情報は無視されます。Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的GREトンネルがBGPカプセル化拡張コミュニティーを使用してシグナリングされます。BGPエクスポートポリシーは、トンネルタイプの指定、送信側トンネル情報のアドバタイズ、受信側トンネル情報の解析と伝達に使用されます。受信したタイプのトンネルコミュニティに従ってトンネルが作成されます。
BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定された BGP ポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの優先度が両方のトンネル エンドで一貫している必要があります。デフォルトでは、MPLSoUDP(MPLSoUDP)トンネルがGREトンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネルコミュニティよりも優先されます。
ネクストホップベースの動的 GRE トンネルを設定する場合、次の考慮事項に注意してください。
動的トンネルの作成は、IBGP プロトコルのネクストホップ解決プロセスでトリガーされます。
ネクストホップベースのトンネル モードからインターフェイスベースのトンネル モードへ(またはその逆)の切り替えが可能です。これは、各モードでサポートされている IP トンネル スケーリング値の観点から、ネットワーク パフォーマンスに影響を与える可能性があります。
RSVP 自動メッシュ トンネルは、ネクストホップベースの動的トンネル設定ではサポートされていません。
新しい IPv4-mapped-IPv6 ネクストホップに基づく動的 GRE トンネルの作成は、この機能でサポートされています。
ネクストホップベースの動的 GRE トンネル設定では、以下の機能はサポートされていません。
RSVP 自動メッシュ
論理システム
送信側(MXシリーズ)でのトンネル単位のトラフィック統計収集
トンネル インターフェイスでの QoS の適用(ポリシングやシェーピングなど)。
パス最大送信単位ディスカバリ
GREの主な機能
GREキープアライブメッセージ用のGRE運用、管理、保守(OAM)。
トポロジ
図 1 は、動的 GRE トンネルを介したレイヤー 3 VPN のシナリオを示しています。カスタマーエッジ(CE)デバイスCE1およびCE2は、それぞれPE1およびPE2のプロバイダエッジ(PE)デバイスに接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。PE デバイス間に 2 つの動的 GRE トンネルが設定されています。デバイス PE1 からデバイス PE2 への動的トンネルはネクスト ホップ トンネル モードに基づいており、デバイス PE2 からデバイス PE1 への動的トンネルはインターフェイス トンネル モードに基づいています。
を介したレイヤー 3 VPN
ネクストホップベースの動的 GRE トンネルは、以下のように処理されます。
-
ネクストホップベースの動的GREトンネルが設定された後、inet.3ルーティングテーブル内のプロトコルネクストホップに対して、トンネルCNHを持つトンネル宛先マスクルートが作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。
トンネル CNH 属性には、次のものが含まれます。
-
レイヤー3 VPN CNHが無効になっている場合:送信元アドレスと宛先アドレス、カプセル化文字列、VPNラベル
-
レイヤー3 VPN CNHとプレフィックス単位のVPNラベル割り当てが有効になっている場合—送信元アドレス、宛先アドレス、カプセル化文字列。
-
レイヤー3 VPN CNHが有効で、プレフィックス単位のVPNラベル割り当てが無効の場合—送信元アドレス、宛先アドレス、カプセル化文字列。この場合のルートは、セカンダリルートを持つ他の仮想ルーティングおよび転送インスタンステーブルに追加されます。
-
-
PE デバイスは、IBGP セッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。
-
ネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。
-
トンネル CNH は、間接ネクストホップのネクストホップを転送するために使用されます。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/8 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/8 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/8 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 gre set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/16 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances L3VPN-Over-GRE-PE1 instance-type vrf set routing-instances L3VPN-Over-GRE-PE1 interface ge-0/0/0.0 set routing-instances L3VPN-Over-GRE-PE1 route-distinguisher 10.127.0.2:1 set routing-instances L3VPN-Over-GRE-PE1 vrf-target target:600:1 set routing-instances L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.4/32 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 gre set routing-options dynamic-tunnels gre-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/16 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances L3VPN-Over-GRE-PE2 instance-type vrf set routing-instances L3VPN-Over-GRE-PE2 interface ge-0/0/0.0 set routing-instances L3VPN-Over-GRE-PE2 route-distinguisher 10.127.0.4:1 set routing-instances L3VPN-Over-GRE-PE2 vrf-target target:600:1 set routing-instances L3VPN-Over-GRE-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances L3VPN-Over-GRE-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
デバイスPE1を設定するには:
デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8/32
デバイス P1 をネクストホップ宛先とするデバイス PE1 からのルートのスタティック ルートを設定します。
[edit routing-options] user@PE1# set static route 172.16.0.0/16 next-hop 192.0.2.2
機器 PE1 のルータ ID と自律システム番号を設定します。
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
PEデバイス間のIBGPピアリングを設定します。
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
管理インターフェイスを除くデバイス PE1 のすべてのインターフェイスで OSPF を設定します。
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
デバイス PE1 からデバイス PE2 への動的 GRE トンネル パラメータを設定します。
[edit routing-options] user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 gre user@PE1# set dynamic-tunnels gre-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/16
負荷分散ポリシーを転送テーブルにエクスポートします。
[edit routing-options] user@PE1# set forwarding-table export pplb
デバイス PE1 の VRF ルーティング インスタンスと、その他のルーティング インスタンス パラメーターを設定します。
[edit routing-instances] user@PE1# set L3VPN-Over-GRE-PE1 instance-type vrf user@PE1# set L3VPN-Over-GRE-PE1 interface ge-0/0/0.0 user@PE1# set L3VPN-Over-GRE-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set L3VPN-Over-GRE-PE1 vrf-target target:600:1
デバイスCE1とのピアリングのルーティングインスタンス設定でBGPを有効にします。
[edit routing-instances] user@PE1# set L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set L3VPN-Over-GRE-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
結果
設定モードから、 、 、 show routing-optionsshow protocols、および show routing-instances のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 172.16.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
dynamic-tunnels {
gre next-hop-based-tunnel;
gre-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
gre;
destination-networks {
10.127.0.0/16;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 127.0.0.2;
family inet-vpn {
unicast;
}
neighbor 127.0.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
L3VPN-Over-GRE-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 127.0.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認します。
PE デバイス間の接続の検証
目的
デバイス PE1 とデバイス PE2 間の BGP ピアリング ステータス、およびデバイス PE2 から受信した BGP ルートを確認します。
アクション
運用モードから、 および show route receive-protocol bgp ip-address table bgp.l3vpn.0 コマンドを実行しますshow bgp summary。
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
127.0.0.4 100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
L3VPN-Over-GRE-PE1.inet.0: 2/2/2/0
10.0.0.1 200 135 136 0 0 58:53 Establ
L3VPN-Over-GRE-PE1.inet.0: 1/1/1/0
user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 127.0.0.4 65100 65200 I 10.127.0.4:1:203.0.113.0/24 * 127.0.0.4 65100 I
意味
最初の出力では、BGPセッション状態は
Establであり、これはセッションが稼働しており、PEデバイスがピアリングされていることを意味します。2番目の出力では、デバイスPE1がデバイスPE2から2つのBGPルートを学習しています。
デバイス PE1 での動的トンネル ルートの確認
目的
inet.3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。
アクション
運用モードから、 および show dynamic-tunnels database terse コマンドを実行しますshow route table inet.3。
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/8 *[Tunnel/300] 01:01:45
Tunnel
10.127.0.4/8 *[Tunnel/300] 00:10:24
Tunnel Composite
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/8 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395e70 nhid 612 gre Up
意味
最初の出力では、デバイス PE1 にネクストホップベースの動的 GRE トンネルが設定されているため、inet.3 ルーティング テーブルのルート エントリーに対してトンネル複合ルートが作成されます。
2 番目の出力では、デバイス PE1 からデバイス PE2 に作成された動的 GRE トンネルがアップしており、ネクストホップ インターフェイスではなくネクストホップ ID が割り当てられています。
デバイス PE2 での動的トンネル ルートの確認
目的
inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を確認します。
アクション
運用モードから、 および show dynamic-tunnels database terse コマンドを実行しますshow route table inet.3。
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/8 *[Tunnel/300] 01:06:52
Tunnel
10.127.0.2/8 *[Tunnel/300] 01:04:45
> via gr-0/1/0.32769
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type 10. 10.127.0.2/8 10.127.0.4 gr-0/1/0.32769 gre Up
意味
最初の出力では、デバイス PE2 にはデフォルトのインターフェイスベースの動的 GRE トンネル設定があるため、inet.3 ルーティング テーブルのルート エントリー用に新しいインターフェイスが作成されます。
2番目の出力では、デバイスPE2からデバイスPE1に作成された動的GREトンネルが立ち上がっており、新しく作成されたインターフェイス名が割り当てられています。
ルートに期待される間接ネクストホップフラグがあることを確認する
目的
デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブル上で、間接ネクストホップから転送ネクストホップ バインディングへの設定されていることを確認します。
アクション
動作モードから、 show krt indirect-next-hop デバイスPE1とデバイスPE2で コマンドを実行します。
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299792
Policy Version: 1 References: 2
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: GRE, Reference count: 3, nhid: 612
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 1, VPN Label: Push 299792, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c6d9c
IGP Route handle(hex) : 0xb1ad230 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
user@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299792
Policy Version: 2 References: 2
Locks: 3 0xb2ab630
Flags: 0x2
INH Session ID: 0x145
INH Version ID: 0
Ref RIB Table: unknown
Next hop: via gr-0/1/0.32769
Label operation: Push 299792
Label TTL action: prop-ttl
Load balance label: Label 299792: None;
Label element ptr: 0xb395d40
Label parent element ptr: 0x0
Label element references: 1
Label element child references: 0
Label element lsp id: 0
Session Id: 0x144
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d36e8
IGP Route handle(hex) : 0xb1af060 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
意味
最初の出力では、デバイス PE1 にデバイス PE2 へのネクストホップベースの動的 GRE トンネルがあります。
2 番目の出力では、デバイス PE2 にデバイス PE1 へのインターフェイスベースの動的 GRE トンネルがあります。
トラブルシューティング
ネクストホップベースの動的トンネルのトラブルシューティングを行うには、以下を参照してください。
コマンドのトラブルシューティング
問題
ネクストホップベースの動的 GRE トンネル設定が有効になっていません。
ソリューション
ネクストホップベースの GRE トンネル設定のトラブルシューティングを行うには、 ステートメント階層で[edit routing-options dynamic-tunnels]以下のtraceoptionsコマンドを使用します。
traceoptions file file-nametraceoptions file size file-sizetraceoptions flag all
例えば:
[edit routing-options dynamic-tunnels]
traceoptions {
file gre_dyn_pe1.wri size 4294967295;
flag all;
}
例:ネクストホップベースの MPLS-over-UDP ダイナミック トンネルの設定
この例では、トンネル複合ネクストホップを含む動的 MPLS-over-UDP トンネルを設定する方法を示します。MPLS-over-UDP 機能は、デバイスでサポートされる IP トンネルの数において拡張上の利点を提供します。
Junos OS Release 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターと QFX シリーズ スイッチでサポートされます。PTXルーターまたはQFXスイッチに設定された動的トンネルごとに、トンネル複合ネクストホップ、間接ネクストホップ、転送ネクストホップが作成され、トンネル宛先ルートが解決されます。また、ポリシー制御を使用して、 階層レベルで forwarding-rib 設定ステートメントを含めることで、選択したプレフィックスを介した動的トンネルを解決する [edit routing-options dynamic-tunnels] こともできます。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
-
MPCとMICを搭載したMXシリーズルーター5台。
-
プロバイダ エッジ(PE)ルーター上で動作する Junos OS リリース 16.2 以降。
始める前に:
-
ループバック インターフェイスを含むデバイス インターフェイスを設定します。
-
デバイスのルーター ID と自律システム番号を設定します。
-
リモート PE デバイスとの内部 BGP(IBGP)セッションを確立します。
-
デバイス間で OSPF ピアリングを確立します。
概要
Junos OS リリース 16.2 以降、ダイナミック UDP トンネルは、設定されたすべての UDP トンネルに対して、トンネル複合ネクストホップの作成をサポートしています。これらのネクストホップベースの動的UDPトンネルは、MPLS-over-UDPトンネルと呼ばれます。トンネル複合ネクストホップは、MPLS-over-UDPトンネルに対してデフォルトで有効になっています。
MPLS-over-UDP トンネルは、本質的に双方向または単方向です。
-
双方向—PEデバイスがMPLS-over-UDPトンネルを介して両方向に接続されている場合、双方向MPLS-over-UDPトンネルと呼ばれます。
-
一方向—2つのPEデバイスが一方向のMPLS-over-UDPトンネルで接続され、MPLS/IGPを介して反対方向に接続されている場合、それは単方向MPLS-over-UDPトンネルと呼ばれます。
一方向 MPLS-over-UDP トンネルは、移行シナリオや、2 つの分離されたネットワークを介して 2 つの PE デバイスが相互に接続を提供する場合に使用されます。一方向 MPLS-over-UDP トンネルには逆方向トンネルは存在しないため、トラフィックを転送するためには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を設定する必要があります。
Junos OS Release 18.2R1以降、PTXシリーズルーターおよび単方向MPLS-over-UDPトンネル搭載のQFX10000では、MPLS-over-UDPパケット用の入力フィルターと、逆方向トンネル方向にパケットを転送するためのIPおよびUDPヘッダーのカプセル化解除アクションを使用して、リモートPEデバイスを設定する必要があります。
例えば、リモート PE デバイスであるデバイス PE2 では、単方向 MPLS-over-UDP トンネルには以下の設定が必要です。
PE2
[edit firewall filter] user@host# set Decap_Filter term udp_decap from protocol udp user@host# set Decap_Filter term udp_decap from destination-port 6635 user@host# set Decap_Filter term udp_decap then count UDP_PKTS user@host# set Decap_Filter term udp_decap then decapsulate mpls-in-udp user@host# set Decap_Filter term def then count def_pkt user@host# set Decap_Filter term def then accept
上記の設定例では、 Decap_Filter は MPLS-over-UDP のカプセル化解除に使用されるファイアウォール フィルターの名前です。この用語 udp_decap は、デバイス PE2 のコアに面したインターフェイスで UDP パケットを受け入れ、MPLS-over-UDP パケットを MPLS-over-IP パケットにカプセル化解除して転送するための入力フィルターです。
既存のファイアウォール動作モード コマンドを使用して、 show firewall filter フィルターベースの MPLS-over-UDP カプセル化解除を表示することができます。
例えば:
user@host >show firewall filter Decap_Filter Filter: Decap_Filter Counters: Name Bytes Packets UDP_PKTS 16744 149 def_pkt 13049 136
一方向 MPLS-over-UDP トンネルの場合:
-
IPv4 アドレスのみが外部ヘッダーとしてサポートされます。フィルターベースの MPLS-over-UDP のカプセル化解除では、外部ヘッダーの IPv6 アドレスはサポートされていません。
-
カプセル化解除後は、デフォルトのルーティング インスタンスのみサポートされます。
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルのスケーリング制限が引き上げられました。
Junos リリース 19.2R1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、サポートしているキャリアの PE デバイス間で確立される動的な IPv4 UDP トンネル経由で MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して、キャリア サポート キャリア(CSC)アーキテクチャを導入できます。この機能拡張により、MPLS-over-UDP トンネルが提供する拡張の利点がさらに増加します。MPLS-over-UDP トンネルでの CSC サポートは、IPv6 UDP トンネルではサポートされていません。
既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルートのピア デバイスから受信したトンネル情報は無視されます。Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的MPLS-over-UDPトンネルが、BGPカプセル化拡張コミュニティーを使用してシグナリングされます。BGPエクスポートポリシーは、トンネルタイプの指定、送信側トンネル情報のアドバタイズ、受信側トンネル情報の解析と伝達に使用されます。受信したタイプのトンネルコミュニティに従ってトンネルが作成されます。
BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定された BGP ポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの優先度が両方のトンネル エンドで一貫している必要があります。デフォルトでは、MPLS-over-UDP トンネルが GRE トンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネルコミュニティよりも優先されます。
ネクストホップベースの動的 MPLS-over-UDP トンネルを設定する場合、以下の考慮事項に注意してください。
-
PE デバイス間で IBGP セッションを設定する必要があります。
-
ネクストホップベースの動的トンネルカプセル化(UDPとGRE)間の切り替えが可能です。これは、各モードでサポートされているIPトンネルスケーリング値の観点から、ネットワークパフォーマンスに影響を与える可能性があります。
-
同じトンネル宛先に対してGREとUDPネクストホップベースの動的トンネルカプセル化タイプの両方があると、コミットに失敗します。
-
単方向 MPLS-over-UDP トンネルの場合、パケットを転送するには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を明示的に設定する必要があります。
-
グレースフル ルーティング エンジン スイッチオーバー(GRES)は MPLS-over-UDP でサポートされており、MPLS-over-UDP トンネル タイプ フラグは統合 ISSU および NSR に準拠しています。
-
MPLS-over-UDP トンネルは、ライト モードの仮想 MX(vMX)でサポートされます。
-
MPLS-over-UDP トンネルは、新しい IPv4 にマッピングされた IPv6 ネクスト ホップに基づく動的な GRE トンネルの作成をサポートします。
-
MPLS-over-UDP トンネルは Contrail との相互運用性でサポートされており、MPLS-over-UDP トンネルは contrail vRouter から MX ゲートウェイに作成されます。これを有効にするには、MX シリーズ ルーターから contrail vRouter へのルートで次のコミュニティをアドバタイズする必要があります。
[edit policy-options community] udp members 0x030c:64512:13;
ある時点で、contrail vRouter でサポートされているトンネル タイプは、ネクストホップベースの動的 GRE トンネル、MPLS-over-UDP トンネル、VXLAN の 1 つだけです。
-
ネクストホップベースの動的 MPLS-over-UDP トンネル設定では、以下の機能はサポートされていません。
-
RSVP 自動メッシュ
-
プレーンなIPV6 GREおよびUDPトンネル設定
-
論理システム
-
トポロジ
図 2 は、動的 MPLS-over-UDP トンネルを介したレイヤー 3 VPN のシナリオを示しています。カスタマーエッジ(CE)デバイスCE1およびCE2は、それぞれPE1およびPE2のプロバイダエッジ(PE)デバイスに接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。動的ネクストホップベースの双方向 MPL-over-UDP トンネルが PE デバイス間に設定されています。
MPLS-over-UDP トンネルは次のように処理されます。
-
MPLS-over-UDP トンネルが設定された後、inet.3 ルーティング テーブルで、トンネル複合ネクストホップを持つトンネル宛先マスク ルートがトンネル用に作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。
トンネル複合ネクストホップ属性には、次のようなものがあります。
-
レイヤー3 VPN複合ネクストホップが無効の場合—送信元アドレスと宛先アドレス、カプセル化文字列、VPNラベル
-
レイヤー3 VPN複合ネクストホップとプレフィックス単位のVPNラベル割り当てが有効な場合—送信元アドレス、宛先アドレス、カプセル化文字列。
-
レイヤー3 VPN複合ネクストホップが有効で、プレフィックス単位のVPNラベル割り当てが無効になっている場合—送信元アドレス、宛先アドレス、およびカプセル化文字列。この場合のルートは、セカンダリルートを持つ他の仮想ルーティングおよび転送インスタンステーブルに追加されます。
-
-
PE デバイスは、IBGP セッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。
-
プロトコルネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。
-
トンネル複合ネクストホップは、間接ネクストホップのネクストホップを転送するために使用されます。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
CE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.1/8 set interfaces lo0 unit 0 family inet address 10.127.0.1/32 set routing-options router-id 10.127.0.1 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 100 set protocols bgp group ce1-pe1 neighbor 10.0.0.2 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.1/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
CE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 10.127.0.5/32 set routing-options router-id 10.127.0.5 set routing-options autonomous-system 65200 set protocols bgp group ce1-pe1 export export-loopback-direct set protocols bgp group ce1-pe1 peer-as 65100 set protocols bgp group ce1-pe1 neighbor 203.0.113.1 set policy-options policy-statement export-loopback-direct term term-1 from interface lo0.0 set policy-options policy-statement export-loopback-direct term term-1 from route-filter 10.127.0.5/32 exact set policy-options policy-statement export-loopback-direct term term-1 then accept
PE1
set interfaces ge-0/0/0 unit 0 family inet address 10.0.0.2/8 set interfaces ge-0/0/1 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.2/32 set routing-options static route 10.33.0/16 next-hop 192.0.2.2 set routing-options router-id 10.127.0.2 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.2 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.4 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE1 instance-type vrf set routing-instances MPLS-over-UDP-PE1 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 set routing-instances MPLS-over-UDP-PE1 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 set routing-instances MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
P1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/0 unit 0 family mpls set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.3/32 set routing-options router-id 10.127.0.3 set routing-options autonomous-system 65100 set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive
PE2
set interfaces ge-0/0/0 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 10.127.0.4/8 set routing-options nonstop-routing set routing-options router-id 10.127.0.4 set routing-options autonomous-system 65100 set routing-options forwarding-table export pplb set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 source-address 10.127.0.4 set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 udp set routing-options dynamic-tunnels udp-dyn-tunnel-to-pe1 destination-networks 10.127.0.0/24 set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.127.0.4 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 10.127.0.2 set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set routing-instances MPLS-over-UDP-PE2 instance-type vrf set routing-instances MPLS-over-UDP-PE2 interface ge-0/0/0.0 set routing-instances MPLS-over-UDP-PE2 route-distinguisher 10.127.0.4:1 set routing-instances MPLS-over-UDP-PE2 vrf-target target:600:1 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp peer-as 65200 set routing-instances MPLS-over-UDP-PE2 protocols bgp group ebgp neighbor 203.0.113.2 as-override
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
デバイスPE1を設定するには:
-
デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。
[edit interfaces] user@PE1# set ge-0/0/0 unit 0 family inet address 10.0.0.2/8 user@PE1# set ge-0/0/1 unit 0 family inet address 192.0.2.1/24 user@PE1# set ge-0/0/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 10.127.0.2/8
-
デバイス P1 をネクストホップ宛先とするデバイス PE1 からのルートのスタティック ルートを設定します。
[edit routing-options] user@PE1# set static route 10.33.0.0/16 next-hop 192.0.2.2
-
機器 PE1 のルータ ID と自律システム番号を設定します。
[edit routing-options] user@PE1# set router-id 10.127.0.2 user@PE1# set autonomous-system 65100
-
(PTXシリーズのみ)ポリシー制御を設定して、選択したプレフィックスを介した MPLS-over-UDP 動的トンネル ルートを解決します。
[edit routing-options dynamic-tunnels] user@PTX-PE1# set forwarding-rib inet.0 inet-import dynamic-tunnel-fwd-route-import
-
(PTXシリーズのみ)を介した動的トンネル宛先ルートを解決するための inet-import ポリシーを設定します。
[edit policy-options] user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 from route-filter 10.127.0.4/32 exact user@PTX-PE1# set policy-statement dynamic-tunnel-fwd-route-import term 1 then accept user@PTX-PE1# set policy-options policy-statement dynamic-tunnel-fwd-route-import then reject
-
PEデバイス間のIBGPピアリングを設定します。
[edit protocols] user@PE1# set bgp group IBGP type internal user@PE1# set bgp group IBGP local-address 10.127.0.2 user@PE1# set bgp group IBGP family inet-vpn unicast user@PE1# set bgp group IBGP neighbor 10.127.0.4
-
管理インターフェイスを除くデバイス PE1 のすべてのインターフェイスで OSPF を設定します。
[edit protocols] user@PE1# set ospf area 0.0.0.0 interface ge-0/0/1.0 user@PE1# set ospf area 0.0.0.0 interface lo0.0 passive
-
デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。
メモ:この手順は、ネクストホップベースの動的GREトンネルとMPLS-over-UDPトンネルの実装上の違いを説明するためにのみ必要です。
[edit routing-options] user@PE1# set dynamic-tunnels gre next-hop-based-tunnel
-
デバイスPE1からデバイスPE2へのMPLS-over-UDPトンネルパラメータを設定します。
[edit routing-options] user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 source-address 10.127.0.2 user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 udp user@PE1# set dynamic-tunnels udp-dyn-tunnel-to-pe2 destination-networks 10.127.0.0/24
-
デバイス PE1 の VRF ルーティング インスタンスと、その他のルーティング インスタンス パラメーターを設定します。
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 instance-type vrf user@PE1# set MPLS-over-UDP-PE1 interface ge-0/0/0.0 user@PE1# set MPLS-over-UDP-PE1 route-distinguisher 10.127.0.2:1 user@PE1# set MPLS-over-UDP-PE1 vrf-target target:600:1
-
デバイスCE1とのピアリングのルーティングインスタンス設定でBGPを有効にします。
[edit routing-instances] user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 peer-as 65200 user@PE1# set MPLS-over-UDP-PE1 protocols bgp group pe1-ce1 neighbor 10.0.0.1 as-override
結果
設定モードから、 、 、 show routing-optionsshow protocols、および show routing-instances のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@PE1# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.0.2/8;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 10.127.0.2/32;
}
}
}
user@PE1# show routing-options
static {
route 10.33.0.0/16 next-hop 192.0.2.2;
}
router-id 10.127.0.2;
autonomous-system 65100;
forwarding-table {
export pplb;
}
dynamic-tunnels {
gre next-hop-based-tunnel;
udp-dyn-tunnel-to-pe2 {
source-address 10.127.0.2;
udp;
destination-networks {
10.127.0.0/24;
}
}
}
user@PE1# show protocols
bgp {
group IBGP {
type internal;
local-address 10.127.0.2;
family inet-vpn {
unicast;
}
neighbor 10.127.0.4;
}
}
ospf {
area 0.0.0.0 {
interface ge-0/0/1.0;
interface lo0.0 {
passive;
}
}
}
user@PE1# show routing-instances
MPLS-over-UDP-PE1 {
instance-type vrf;
interface ge-0/0/0.0;
route-distinguisher 10.127.0.2:1;
vrf-target target:600:1;
protocols {
bgp {
group pe1-ce1 {
peer-as 65200;
neighbor 10.0.0.1 {
as-override;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
検証
設定が正常に機能していることを確認します。
PE デバイス間の接続の検証
目的
デバイス PE1 とデバイス PE2 間の BGP ピアリング ステータス、およびデバイス PE2 から受信した BGP ルートを確認します。
アクション
運用モードから、 および show route receive-protocol bgp ip-address table bgp.l3vpn.0 コマンドを実行しますshow bgp summary。
user@PE1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.127.0.4 65100 139 136 0 0 58:23 Establ
bgp.l3vpn.0: 2/2/2/0
MPLS-over-UDP-PE1.inet.0: 2/2/2/0
10.10.0.1 65200 135 136 0 0 58:53 Establ
MPLS-over-UDP-PE1.inet.0: 1/1/1/0
user@PE1> show route receive-protocol bgp 10.127.0.4 table bgp.l3vpn.0 bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden) Prefix Nexthop MED Lclpref AS path 10.127.0.4:1:127.0.0.5/8 * 10.127.0.4 65100 65200 I
意味
-
最初の出力では、BGPセッション状態は
Establであり、これはセッションが稼働しており、PEデバイスがピアリングされていることを意味します。 -
2番目の出力では、デバイスPE1がデバイスPE2からBGPルートを学習しています。
デバイス PE1 での動的トンネル ルートの確認
目的
inet.3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。
アクション
運用モードから、 、 、 、show dynamic-tunnels database terseshow dynamic-tunnels databaseおよび コマンドを実行しますshow dynamic-tunnels database summaryshow route table inet.3。
user@PE1> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:21:18
Tunnel
127.0.0.4/8 *[Tunnel/300] 00:21:18
Tunnel Composite
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 10.127.0.0/24 Destination Source Next-hop Type Status 10.127.0.4/8 10.127.0.2 0xb395b10 nhid 613 udp Up
user@PE1> show dynamic-tunnels database
Table: inet.3
. . .
Tunnel to: 10.127.0.4/32
Reference count: 2
Next-hop type: UDP
Source address: 10.127.0.2 Tunnel Id: 2
Next hop: tunnel-composite, 0xb395b10, nhid 613
VPN Label: Push 299776 Reference count: 3
Traffic Statistics: Packets 0, Bytes 0
State: Up
user@PE1> show dynamic-tunnels database summary Dynamic Tunnels, Total 1 displayed GRE Tunnel: Active Tunnel Mode, Next Hop Base IFL Based, Total 0 displayed, Up 0, Down 0 Nexthop Based, Total 0 displayed, Up 0, Down 0 RSVP Tunnel: Total 0 displayed UDP Tunnel: Total 1 displayed, Up 1, Down 0
意味
-
最初の出力では、デバイス PE1 に MPLS-over-UDP トンネルが設定されているため、inet.3 ルーティング テーブルのルート エントリーに対してトンネル複合ルートが作成されます。
-
残りの出力では、MPLS-over-UDP トンネルが、トンネル カプセル化タイプ、トンネル ネクスト ホップ パラメータ、トンネル ステータスとともに表示されます。
デバイス PE2 での動的トンネル ルートの確認
目的
inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を確認します。
アクション
動作モードから、 show route table inet.3、および コマンドを実行 show dynamic-tunnels database terse します。
user@PE2> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.127.0.0/24 *[Tunnel/300] 00:39:31
Tunnel
10.127.0.2/32 *[Tunnel/300] 00:24:53
Tunnel Composite
user@PE1> show dynamic-tunnels database terse Table: inet.3 Destination-network: 127.0.0.0/8 Destination Source Next-hop Type Status 10.127.0.2/32 10.127.0.4 0xb395450 nhid 615 udp Up
意味
出力には、デバイス PE1 と同様に、MPLS-over-UDP トンネルの作成と、ネクストホップ インターフェイスとして割り当てられたネクストホップ ID が表示されます。
ルートに期待される間接ネクストホップフラグがあることを確認する
目的
デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブル上で、間接ネクストホップから転送ネクストホップ バインディングへの設定されていることを確認します。
アクション
動作モードから、 show krt indirect-next-hop デバイスPE1とデバイスPE2で コマンドを実行します。
user@PE1> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048574 Protocol next-hop address: 10.127.0.4
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 1
Locks: 3 0xb2ab630
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 613
Destination address: 10.127.0.4, Source address: 10.127.0.2
Tunnel id: 2, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 1
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3c70dc
IGP Route handle(hex) : 0xb1ae688 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
user@PE2> show krt indirect-next-hop
Indirect Nexthop:
Index: 1048575 Protocol next-hop address: 10.127.0.2
RIB Table: bgp.l3vpn.0
Label: Push 299776
Policy Version: 1 References: 2
Locks: 3 0xb2ab740
Flags: 0x0
INH Session ID: 0x0
INH Version ID: 0
Ref RIB Table: unknown
Tunnel type: UDP, Reference count: 3, nhid: 615
Destination address: 10.127.0.2, Source address: 10.127.0.4
Tunnel id: 1, VPN Label: Push 299776, TTL action: prop-ttl
IGP FRR Interesting proto count : 2
Chain IGP FRR Node Num : 1
IGP Resolver node(hex) : 0xb3d3a28
IGP Route handle(hex) : 0xb1ae634 IGP rt_entry protocol : Tunnel
IGP Actual Route handle(hex) : 0x0 IGP Actual rt_entry protocol : Any
意味
この出力は、ネクストホップベースの動的 MPLS-over-UDP トンネルが PE デバイス間に作成されたことを示しています。
トラブルシューティング
ネクストホップベースの動的トンネルのトラブルシューティングを行うには、以下を参照してください。
コマンドのトラブルシューティング
問題
ネクストホップベースの動的 MPLS-over-UDP トンネル設定は有効になりません。
ソリューション
ネクストホップベースの MPLS-over-UDP トンネル設定をトラブルシューティングするには、 ステートメント階層で[edit routing-options dynamic-tunnels]以下のtracerouteコマンドを使用します。
-
traceoptions file file-name -
traceoptions file size file-size -
traceoptions flag all
例えば:
[edit routing-options dynamic-tunnels]
traceoptions {
file udp_dyn_pe1.wri size 4294967295;
flag all;
}
ネクストホップベースの動的トンネルのアンチスプーフィング保護の概要
データセンターへの大規模なIPトンネルの導入の増加に伴い、侵害された仮想マシン(VM)からの悪意のあるトラフィックをユーザーが制限できるセキュリティ対策を追加する必要があります。考えられる攻撃の1つは、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックを挿入することです。このような場合、IPトンネルのスプーフィング対策チェックにより、正当な送信元のみが指定されたIPトンネルからデータセンターにトラフィックを注入していることが確認されます。
ネクストホップベースの動的 IP トンネルは、デバイス上に作成されたすべての動的トンネルに対して、トンネル複合ネクストホップを作成します。ネクストホップベースの動的トンネルでは、新たに動的トンネルを設定するたびに物理インターフェイスに依存しなくなるため、ネクストホップベースの動的トンネルを設定すると、デバイスに作成できる動的トンネルの数に比べて拡張上のメリットが得られます。Junos OS Release 17.1 以降、ネクストホップベースの動的 IP トンネルのなりすまし対策機能が、ネクストホップベースの動的トンネルに提供されます。この機能拡張により、セキュリティ対策が実装され、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックが挿入されるのを防ぎます。
アンチスプーフィングは、パケット転送エンジンのリバースパス転送チェックを使用して実装されます。チェックは、トンネルを通ってルーティングインスタンスに到達するトラフィックに対して実装されます。現在、ゲートウェイルーターがトンネルからトラフィックを受信すると、宛先検索のみが行われ、それに応じてパケットが転送されます。なりすまし対策保護が有効になっている場合、ゲートウェイ ルーターは、トンネル宛先の検索に加えて、VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索も実行します。これにより、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認できます。その結果、なりすまし防止保護により、トンネル トラフィックが指定されたトンネル上の正当な送信元から受信されることが保証されます。
図 3 は、スプーフィング対策保護の要件を含むサンプル トポロジを示しています。
のなりすまし対策
この例では、ゲートウェイルーターはルーターGです。ルーターGには緑と青の2つのVPNがあります。サーバー A とサーバー B の 2 つのサーバーは、それぞれネクストホップベースの動的トンネル T1 および T2 を介して、ルーター G の Green VPN と Blue VPN に到達できます。サーバーに接続された複数のホストと仮想マシン(P、Q、R、S、T)は、ゲートウェイルーターであるルーターGを介してVPNに到達できます。ルーターGには、グリーンVPNとブルーVPNのVRF(仮想ルーティングと転送)テーブルがあり、それぞれにこれらのVPN内の仮想マシンの到達可能性情報が入力されています。
たとえば、VPN Green では、ルーター G はトンネル T1 を使用してホスト P に到達し、トンネル T2 を使用してホスト R および S に到達し、トンネル T1 と T2 の間でロード バランシングを実行してマルチホーム ホスト Q に到達します。VPN Blueでは、ルーターGはトンネルT1を使用してホストPおよびRに到達し、トンネルT2を使用してホストQおよびTに到達します。
以下の場合、リバースパスフォワーディングのチェックに合格します。
パケットは、指定されたトンネル上の正当な送信元から送信されます。
VPN Green のホスト P は、トンネル T1 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 を通じてホスト P に到達できるため、パケットの通過を許可し、パケットをホスト X に転送します。
パケットは、指定されたトンネル上のマルチホーム送信元から送信されます。
VPN Green のホスト Q は、サーバー A および B 上でマルチホーム化されており、トンネル T1 および T2 を介してルーター G に到達できます。ホスト Q は、トンネル T1 を使用してホスト Y にパケットを送信し、トンネル T2 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 および T2 を介してホスト Q に到達できるため、パケットの通過を許可し、それぞれホスト Y および X に転送します。
レイヤー3 VPNでは、デフォルトでなりすまし対策が有効になっていません。ネクストホップベースの動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含めip-tunnel-rpf-checkます[edit routing-instances routing-instance-name routing-options forwarding-table]。リバースパス転送チェックは、VRFルーティングインスタンスにのみ適用されます。デフォルト モードは strictに設定されており、非指定トンネル上の送信元からのパケットはチェックに合格しません。モードは としてloose設定でき、パケットが存在しない送信元から送信された場合、リバースパス転送チェックはip-tunnel-rpf-check失敗します。オプションのファイアウォールフィルターは、 ステートメントの下にip-tunnel-rpf-check設定することができ、リバースパス転送チェックに失敗したパケットをカウントしてログに記録することができます。
次のサンプル出力は、スプーフィング対策の構成を示しています。
[edit routing-instances routing-instance-name routing-options forwarding-table]
ip-tunnel-rpf-check {
mode loose;
fail-filter filter-name;
}
ネクストホップベースの動的トンネルのなりすまし防止を構成する場合は、以下のガイドラインを考慮してください。
スプーフィング対策保護は、IPv4 トンネルと IPv4 データ トラフィックに対してのみ有効にできます。なりすまし対策機能は、IPv6 トンネルおよび IPv6 データ トラフィックではサポートされていません。
ネクストホップベースの動的トンネルのスプーフィング対策では、侵害された仮想マシンを検出して防止できますが(内部ソースのリバースパス転送チェック)、ラベルスプーフィングを行っている侵害されたサーバーは検出できません。
ネクストホップベースのIPトンネルは、inet.0ルーティングテーブルで開始および終了できます。
なりすまし防止は、VRF ルーティング インスタンスに、
vrf-table-label(を使用)ラベルスイッチ インターフェイス(LSI)または仮想トンネル(VT)インターフェイスがある場合に有効です。VRFルーティングインスタンスのラベルを使用するとper-next-hop、なりすまし防止はサポートされていません。は
rpf fail-filter、内部 IP パケットにのみ適用されます。アンチスプーフィングチェックを有効にしても、デバイス上のネクストホップベースの動的トンネルのスケーリング制限には影響しません。
VRF ルーティング インスタンスに対してスプーフィング対策保護を有効にした場合のシステム リソース使用率は、スプーフィング対策が有効になっていない場合のネクストホップベースの動的トンネルの使用率よりもわずかに高くなります。
スプーフィング対策保護には、追加の送信元 IP アドレス チェックが必要であり、ネットワーク パフォーマンスへの影響は最小限です。
なりすまし対策では、GRES(グレースフル ルーティング エンジン スイッチオーバー)と ISSU(インサービス ソフトウェア アップグレード)がサポートされています。
例:ネクストホップベースの動的トンネルに対するアンチスプーフィング保護の設定
この例では、仮想ルーティングおよび転送(VRF)ルーティング インスタンスのリバース パス フォワーディング チェックを設定し、ネクストホップベースの動的トンネルのアンチスプーフィング保護を有効にする方法を示します。このチェックでは、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MICを備えた3台のMXシリーズルーター、それぞれがホストデバイスに接続されています。
1 つまたはすべてのルーターで実行されている Junos OS リリース 17.1 以降。
始める前に:
フレキシブルPICコンセントレータでトンネルサービスの設定を有効にします。
ルーター インターフェイスを設定します。
ルーター ID を設定し、ルーターの自律システム番号を割り当てます。
トンネルエンドポイントとの内部BGP(IBGP)セッションを確立します。
すべてのルーターで RSVP を設定します。
すべてのルーターでOSPF またはその他の内部ゲートウェイ プロトコルを設定します。
2つのルーター間に2つの動的ネクストホップベースのIPトンネルを設定します。
ルーター/ホスト間接続ごとに VRF ルーティング インスタンスを設定します。
概要
Junos OS リリース 17.1 以降、ネクストホップベースの動的 IP トンネルにスプーフィング対策機能が追加され、パケット転送エンジンのリバースパスフォワーディングを使用して、トンネルを経由してルーティングインスタンスに到達するトラフィックのチェックが実装されます。
現在、ゲートウェイ ルーターがトンネルからトラフィックを受信すると、宛先アドレスの検索のみが実行されてから転送されます。なりすまし防止保護により、ゲートウェイ ルーターは VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索を行い、正当な送信元が指定された IP トンネルを介してトラフィックを注入していることを確認します。これは厳密モードと呼ばれ、スプーフィング対策保護の既定の動作です。非指定トンネルからのトラフィックを転送させるには、損失モードでリバース パス フォワーディング チェックを有効にします。存在しない送信元から受信したトラフィックの場合、strict モードと loose モードの両方でリバース パス転送チェックが失敗します。
アンチスプーフィングは、VRF ルーティングインスタンスでサポートされています。動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含め ip-tunnel-rpf-check ます [edit routing-instances routing-instance-name routing-options forwarding-table] 。
トポロジ
図 4 は、スプーフィング対策保護が有効なサンプル ネットワーク トポロジを示しています。ルーター R0、R1、および R2 は、それぞれホスト Host0、Host1、および Host2 に接続されています。2つの汎用ルーティングカプセル化(GRE)ネクストホップベースの動的トンネル、トンネル1およびトンネル2 – それぞれルーターR0をルーターR1およびR2に接続します。VRFルーティングインスタンスは、各ルーターとそれに接続されたホストデバイスの間で実行されています。
のなりすまし対策
例として、3 つのパケット(パケット A、B、C)が、ネクストホップベースの動的 GRE トンネル(トンネル 2)を介してルーター R2 からルーター 0 で受信されます。これらのパケットの送信元 IP アドレスは、172.17.0.2 (パケット A)、172.18.0.2 (パケット B)、および 172.20.0.2 (パケット C) です。
パケットAとパケットBの送信元IPアドレスは、それぞれホスト2とホスト1に属しています。パケット C は存在しない送信元トンネルです。この例の指定トンネルはトンネル2で、非指定トンネルはトンネル1です。したがって、パケットは次のように処理されます。
Packet A- 送信元が指定されたトンネル(トンネル 2)から来ているため、パケット A はリバース パス転送チェックに合格し、トンネル 2 を通過する転送が処理されます。
Packet B- 送信元が非宛先トンネルであるトンネル1から来ているため、デフォルトでは、パケットBは厳密モードでリバースパス転送チェックに失敗します。ルーズ モードが有効になっている場合、パケット B は転送が許可されます。
Packet C- 送信元が存在しないトンネル送信元であるため、パケット C はリバース パス転送チェックに失敗し、パケットは転送されません。
構成
CLIクイック構成
この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit 。
ルーターR0
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.1/24 set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.1/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 1 set interfaces ge-0/0/2 unit 0 family inet address 172.16.0.1/16 set interfaces lo0 unit 0 family inet address 10.1.1.1/32 set routing-options router-id 10.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.1 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set routing-options dynamic-tunnels T2 source-address 198.51.100.1 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 10.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 30.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN1 instance-type vrf set routing-instances VPN1 interface ge-0/0/2.0 set routing-instances VPN1 route-distinguisher 100:100 set routing-instances VPN1 vrf-target target:100:1 set routing-instances VPN1 vrf-table-label set routing-instances VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict set routing-instances VPN1 protocols bgp group External type external set routing-instances VPN1 protocols bgp group External family inet unicast set routing-instances VPN1 protocols bgp group External peer-as 200 set routing-instances VPN1 protocols bgp group External neighbor 172.16.0.1
ルーター R1
set interfaces ge-0/0/0 unit 0 family inet address 192.0.2.2/24 set interfaces ge-0/0/1 vlan-tagging set interfaces ge-0/0/1 unit 0 vlan-id 2 set interfaces ge-0/0/1 unit 0 family inet address 172.18.0.1/16 set interfaces lo0 unit 0 family inet address 20.1.1.1/32 set routing-options router-id 20.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T1 source-address 192.0.2.2 set routing-options dynamic-tunnels T1 gre set routing-options dynamic-tunnels T1 destination-networks 192.0.2.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 20.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 30.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN2 instance-type vrf set routing-instances VPN2 interface ge-0/0/1.0 set routing-instances VPN2 route-distinguisher 100:200 set routing-instances VPN2 vrf-target target:200:1 set routing-instances VPN2 vrf-table-label
R2
set interfaces ge-0/0/1 unit 0 family inet address 198.51.100.2/24 set interfaces ge-0/0/2 vlan-tagging set interfaces ge-0/0/2 unit 0 vlan-id 3 set interfaces ge-0/0/2 unit 0 family inet address 172.17.0.1/16 set interfaces lo0 unit 0 family inet address 30.1.1.1/32 set routing-options router-id 30.1.1.1 set routing-options autonomous-system 100 set routing-options dynamic-tunnels gre next-hop-based-tunnel set routing-options dynamic-tunnels T2 source-address 198.51.100.2 set routing-options dynamic-tunnels T2 gre set routing-options dynamic-tunnels T2 destination-networks 198.51.100.0/24 set protocols rsvp interface all set protocols rsvp interface fxp0.0 disable set protocols bgp group IBGP type internal set protocols bgp group IBGP local-address 30.1.1.1 set protocols bgp group IBGP family inet-vpn unicast set protocols bgp group IBGP neighbor 20.1.1.1 set protocols bgp group IBGP neighbor 10.1.1.1 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface all set routing-instances VPN3 instance-type vrf set routing-instances VPN3 interface ge-0/0/2.0 set routing-instances VPN3 route-distinguisher 100:300 set routing-instances VPN3 vrf-target target:300:1 set routing-instances VPN3 vrf-table-label
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。
ルーター R0 の設定を行う。
ループバック インターフェイスを含め、ルーター R0 のインターフェイスを設定します。
[edit interfaces] user@R0# set ge-0/0/0 unit 0 family inet address 192.0.2.1/24 user@R0# set ge-0/0/1 unit 0 family inet address 198.51.100.1/24 user@R0# set ge-0/0/2 vlan-tagging user@R0# set ge-0/0/2 unit 0 vlan-id 1 user@R0# set ge-0/0/2 unit 0 family inet address 172.16.0.1/16 user@R0# set lo0 unit 0 family inet address 10.1.1.1/32
ルーター R0 のルーター ID と自律システム番号を割り当てます。
[edit routing-options] user@R0# set router-id 10.1.1.1 user@R0# set autonomous-system 100
ルーター間のIBGPピアリングを設定します。
[edit protocols] user@R0# set bgp group IBGP type internal user@R0# set bgp group IBGP local-address 10.1.1.1 user@R0# set bgp group IBGP family inet-vpn unicast user@R0# set bgp group IBGP neighbor 20.1.1.1 user@R0# set bgp group IBGP neighbor 30.1.1.1
管理インターフェイスを除くルーターR0のすべてのインターフェイスでOSPFを設定します。
[edit protocols] user@R0# set ospf traffic-engineering user@R0# set ospf area 0.0.0.0 interface lo0.0 passive user@R0# set ospf area 0.0.0.0 interface all
管理インターフェイスを除くルーター R0 のすべてのインターフェイスで RSVP を設定します。
[edit protocols] user@R0# set rsvp interface all user@R0# set rsvp interface fxp0.0 disable
ルーター R0 でネクストホップベースの動的 GRE トンネル設定を有効にします。
[edit routing-options] user@R0# set dynamic-tunnels gre next-hop-based-tunnel
ルーター R0 からルーター R1 への動的 GRE トンネル パラメーターを設定します。
[edit routing-options] user@R0# set dynamic-tunnels T1 source-address 192.0.2.1 user@R0# set dynamic-tunnels T1 gre user@R0# set dynamic-tunnels T1 destination-networks 192.0.2.0/24
ルーター R0 からルーター R2 への動的 GRE トンネル パラメーターを設定します。
[edit routing-options] user@R0# set dynamic-tunnels T2 source-address 198.51.100.1 user@R0# set dynamic-tunnels T2 gre user@R0# set dynamic-tunnels T2 destination-networks 198.51.100.0/24
ルーター R0 で仮想ルーティングおよび転送(VRF)ルーティング インスタンスを設定し、ホスト 1 に接続するインターフェイスを VRF インスタンスに割り当てます。
[edit routing-instances] user@R0# set VPN1 instance-type vrf user@R0# set VPN1 route-distinguisher 100:100 user@R0# set VPN1 vrf-target target:100:1 user@R0# set VPN1 vrf-table-label user@R0# set VPN1 interface ge-0/0/2.0
VRFルーティングインスタンス用にホスト1との外部BGPセッションを設定します。
[edit routing-instances] user@R0# set VPN1 protocols bgp group External type external user@R0# set VPN1 protocols bgp group External family inet unicast user@R0# set VPN1 protocols bgp group External peer-as 200 user@R0# set VPN1 protocols bgp group External neighbor 172.16.0.1
ルーター R0 の VRF ルーティング インスタンスのなりすまし防止を設定します。これにより、ルーター0でネクストホップベースの動的トンネルT1とT2のリバースパスフォワーディングチェックが有効になります。
[edit routing-instances] user@R0# set VPN1 routing-options forwarding-table ip-tunnel-rpf-check mode strict
結果
設定モードから、 、 、 show routing-optionsshow protocols、および show routing-options のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@R0# show interfaces
ge-0/0/0 {
unit 0 {
family inet {
address 192.0.2.1/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 198.51.100.1/24;
}
}
}
ge-0/0/2 {
vlan-tagging;
unit 0 {
vlan-id 1;
family inet {
address 172.16.0.1/16;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
user@R0# show routing-options
router-id 10.1.1.1;
autonomous-system 100;
dynamic-tunnels {
gre next-hop-based-tunnel;
T1 {
source-address 192.0.2.1;
gre;
destination-networks {
192.0.2.0/24;
}
}
T2 {
source-address 198.51.100.1;
gre;
destination-networks {
198.51.100.0/24;
}
}
}
user@R0# show protocols
rsvp {
interface all;
interface fxp0.0 {
disable;
}
}
bgp {
group IBGP {
type internal;
local-address 10.1.1.1;
family inet-vpn {
unicast;
}
neighbor 20.1.1.1;
neighbor 30.1.1.1;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface all;
}
}
user@R0# show routing-instances
VPN1 {
instance-type vrf;
interface ge-0/0/2.0;
route-distinguisher 100:100;
vrf-target target:100:1;
vrf-table-label;
routing-options {
forwarding-table {
ip-tunnel-rpf-check {
mode strict;
}
}
}
protocols {
bgp {
group External {
type external;
family inet {
unicast;
}
peer-as 200;
neighbor 172.16.0.1;
}
}
}
}
検証
設定が正常に機能していることを確認します。
基本設定の確認
目的
ルーター R0 とルーター R1 および R2 の間の OSPF および BGP ピアリング ステータスを確認します。
アクション
運用モードから、 および show bgp summaryコマンドを実行しますshow ospf neighbor。
user@R0> show ospf neighbor
Address Interface State ID Pri Dead
192.0.2.2 ge-0/0/0.0 Full 20.1.1.1 128 32
198.51.100.2 ge-0/0/1.0 Full 30.1.1.1 128 32
user@R0> show bgp summary
Groups: 2 Peers: 3 Down peers: 1
Table Tot Paths Act Paths Suppressed History Damp State Pending
bgp.l3vpn.0
0 0 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
20.1.1.1 100 182 178 0 0 1:20:27 Establ
bgp.l3vpn.0: 0/0/0/0
30.1.1.1 100 230 225 0 0 1:41:51 Establ
bgp.l3vpn.0: 0/0/0/0
172.16.0.1 200 0 0 0 0 1:42:08 Establ
意味
OSPF と BGP のセッションは、ルーター R0、R1、および R2 の間で稼働しています。
動的トンネル設定の確認
目的
ルーター R0 とルーター R1 および R2 の間にあるネクストホップベースの動的 GRE トンネルのステータスを確認します。
アクション
動作モードから、 show route table inet.3、および コマンドを実行 show dynamic-tunnels database terse します。
user@R0> show route table inet.3
inet.3: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.0.2.0/24 *[Tunnel/300] 01:47:57
Tunnel
192.0.2.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
198.51.100.0/24 *[Tunnel/300] 01:47:57
Tunnel
198.51.100.2/24 *[Tunnel/300] 01:47:57
Tunnel Composite
user@R0> show dynamic-tunnels database terse Table: inet.3 Destination-network: 192.0.2.0/24 Destination Source Next-hop Type Status 192.0.2.2/24 192.0.2.1 0xb395e70 nhid 612 gre Up Destination-network: 198.51.100.0/24 Destination Source Next-hop Type Status 198.51.100.2 198.51.100.1 0xb395e70 nhid 612 gre Up
意味
2つのネクストホップベースの動的GREトンネル、トンネル1とトンネル2が立ち上がっています。
スプーフィング対策保護の設定の確認
目的
リバース パス フォワーディング チェックがルーター R0 の VRF ルーティング インスタンスで有効になっていることを確認します。
アクション
動作モードから、.show krt table VPN1.inet.0 detail
user@R0> show krt table VPN1.inet.0 detail
KRT tables:
VPN1.inet.0 : GF: 1 krt-index: 8 ID: 0 kernel-id: 8
flags: (null)
tunnel rpf config data : enable, strict, filter [0], 0x2
tunnel rpf tlv data : enable, strict, filter [0], 0x4
unicast reverse path: disabled
fast-reroute-priority: 0
Permanent NextHops
Multicast : 0 Broadcast : 0
Receive : 0 Discard : 0
Multicast Discard: 0 Reject : 0
Local : 0 Deny : 0
Table : 0
意味
設定されたリバースパス転送チェックは、厳密モードのVRFルーティングインスタンスで有効です。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。