項目一覧

ルーティングテーブルグループを使用した重複 VPN の設定
自動ルートエクスポートを使用したオーバーラップ VPN の設定

重複する VPN

ルーティングテーブルグループを使用した重複 VPN の設定

レイヤー 3 VPN では、多くの場合、1 つの CE ルーターが複数の VPN のメンバーになります。この例では、複数の VPN をサポートする CE ルーターをサポートする PE ルーターを設定する方法を示します。このタイプの設定では、ルーティングテーブルグループ(ルーティング情報ベース(RIB)グループとも呼ばれる)と呼ばれるJunos OSの機能を使用し、ルートを複数のルーティングテーブルにインストールできるようにします。ルーティングテーブルグループは、プロトコルがルートをインストールするルーティングテーブルのリストです。

デフォルトインスタンスの [edit routing-options] 階層レベルでルーティングテーブルグループを定義します。 [edit routing-instances routing-options] 階層レベルでルーティングテーブルグループを設定することはできません。設定すると、コミットエラーが発生します。

ルーティングテーブルグループを定義すると、そのグループを複数のプロトコルで使用できます。また、スタティックルーティングにルーティングテーブルグループを適用することもできます。このセクションの設定例には、両方のタイプの設定が含まれています。

図 1 は、このセクションの設定例のトポロジーを示しています。このセクションの設定は、同じ PE ルーターに接続された CE ルーター間のローカル接続を示しています。ルーターPE1がルーターCE2(VPN AB)にのみ接続されている場合、追加の設定は必要ありません。以下のセクションの設定ステートメントでは、VPN ABルーターCE2が、ルーターPE1に直接接続されているVPN AルーターCE1およびVPN BルーターCE3と通信することを可能にします。リモート PE ルーター(この場合は PE2 ルーター)から発信された VPN ルートは、グローバルレイヤー 3 VPN ルーティングテーブル(bgp.l3vpn.inet.0)に配置され、適切なルートターゲットを持つルートは、VRF インポートポリシー設定に従ってルーティングテーブルにインポートされます。目標は、ローカルに設定された個々の VPN ルーティングテーブルからルートを選択できるようにすることです。

ルーターPE1では、すべてのフィルタリングと設定変更が行われます。したがって、PE1のVPN設定のみが表示されています。CEルータにはVPNに関する情報がないため、通常どおり設定できます。

図 1:重複するVPNトポロジー Network topology diagram illustrating a VPN setup with MPLS. Shows VPN A with CE1, CE4; VPN B with CE3, CE5; VPN AB with CE2. CE devices connect to PE1, PE2 in the provider network.

Network topology diagram illustrating a VPN setup with MPLS. Shows VPN A with CE1, CE4; VPN B with CE3, CE5; VPN AB with CE2. CE devices connect to PE1, PE2 in the provider network.

の例

次のセクションでは、重複する VPN を設定するいくつかの方法について説明します。

以下のセクションでは、PE ルーターと CE ルーター間で使用されるルーティングプロトコルに応じて、重複する VPN を設定するさまざまなシナリオを示します。これらの例すべてにおいて、ルーティングテーブルグループを設定する必要があります。

ルーティングテーブルグループの設定
PEルーターとCEルーター間のスタティックルートの設定
PEルーターとCEルーター間のBGPの設定
PEルーターとCEルーター間のOSPFの設定
PEとCEルーター間のスタティック、BGP、およびOSPFルートの設定

ルーティングテーブルグループの設定

この例では、ルーティングテーブルグループは 4 つの設定シナリオで共通です。ルーティングテーブルグループは、デフォルトおよびその他のインスタンスの複数のルーティングテーブルにルート(インターフェイス、スタティック、OSPF、およびBGPルートを含む)をインストールするために使用されます。ルーティングテーブルグループ定義では、最初のルーティングテーブルをプライマリルーティングテーブルと呼びます。(通常、プライマリルーティングテーブルは、ルーティングテーブルグループを設定しなかった場合にルートがインストールされるテーブルです。その他のルーティングテーブルは、セカンダリルーティングテーブルと呼ばれます。

この設定のルーティングテーブルグループは、次のようにルートをインストールします。

vpna-vpnab は、ルーティングテーブル VPN-A.inet.0 と VPN-AB.inet.0 にルートをインストールします。
vpnb-vpnab は、ルーティングテーブル VPN-B.inet.0 と VPN-AB.inet.0 にルートをインストールします。
vpnab-vpna_and_vpnbは、ルーティングテーブルVPN-AB.inet.0、VPN-A.inet.0、VPN-B.inet.0にルートをインストールします。

ルーティングテーブルグループを設定します。

PEルーターとCEルーター間のスタティックルートの設定

PE1ルーターとCE1、CE2、およびCE3ルーター間の静的ルーティングを設定するには、VPN A、VPN B、およびVPN ABのルーティングインスタンスを設定する必要があります(各インスタンスの下で静的ルーティングを設定します)。

VPN A のルーティングインスタンスの設定
VPN ABのルーティングインスタンスの設定
VPN Bのルーティングインスタンスの設定
VPN ポリシーの設定

VPN A のルーティングインスタンスの設定

ルーターPE1で、VPN Aを設定します。

interface-routesステートメントは、VPN Aのインターフェイスルートを、ルーティングテーブルグループvpna-vpnabで定義されたルーティングテーブルにインストールします。

staticステートメントは、VPN-A.inet.0ルーティングテーブルにインストールされる静的ルートを設定します。最初の静的ルートはルーターCE1(VPN A)用で、2つ目はルーターCE2(VPN AB内)用です。

ネクストホップ 192.168.197.178 は VPN A にありません。VPN AB からのインターフェイスルートがこのルーティングテーブルにインストールされていない限りルーティングインスタンスルート 10.255.14.185/32 を VPN-A.inet.0 にインストールすることはできません。VPN AB 設定に interface-routes ステートメントを含めることで、このネクストホップが提供されます。同様に、VPN AB設定に interface-routes ステートメントを含めると、VPN-AB.inet.0に 192.168.197.141 がインストールされます。

VPN ABのルーティングインスタンスの設定

ルーターPE1で、VPN ABを設定します。

この設定では、VPN-AB.inet.0ルーティングテーブルに以下のスタティックルートがインストールされています。

10.255.14.185/32はルーターCE2用(VPN AB内)
10.255.14.155/32はルーターCE1(VPN A内)用です
10.255.14.186/32はルーターCE3用(VPN B内)

ネクストホップ 192.168.197.141 と 192.168.197.242 は VPN AB に属しません。VPN A と VPN B からのインターフェイスルートがこのルーティングテーブルにインストールされていない限り、ルート 10.255.14.155/32 と 10.255.14.186/32 を VPN-AB.inet.0 にインストールすることはできません。VPN A および VPN B ルーティングインスタンスのインターフェイスルート設定は、これらのネクストホップを提供します。

VPN Bのルーティングインスタンスの設定

ルーターPE1で、VPN Bを設定します。

VPN B のルーティングインスタンスを設定すると、これらのスタティックルートは VPNB.inet.0 に配置されます。

10.255.14.186/32はルーターCE3用(VPN B内)
10.255.14.185/32はルーターCE2用(VPN AB内)

ネクストホップ 192.168.197.178 はVPN Bに属していません。VPN ABからのインターフェイスルートがこのルーティングテーブルにインストールされていない限り、ルート 10.255.14.185/32 をVPN-B.inet.0にインストールすることはできません。VPN ABのインターフェイスルート設定は、このネクストホップを提供します。

VPN ポリシーの設定

重複する VPN に設定する vrf-import および vrf-export ポリシーステートメントは、各 VRF エクスポートポリシーに from interface ステートメントを含めることを除いて、通常の VPN のポリシーステートメントと同じです。このステートメントは、各 VPN に、その VPN から発信されたルートのみを通知するように強制します。たとえば、VPN A には、VPN A と VPN AB を起点としたルートがあります。 from interface ステートメントを含めない場合、VPN A は自身のルートと VPN AB のルートをアナウンスするため、リモート PE ルーターは同じルートに対して複数のアナウンスを受信します。 from interface ステートメントを含めることで、各VPNが発信したルートのみを通知することを制限し、ローカル接続のために他のルーティングテーブルからインポートされたルートを除外することができます。

この設定例では、 vpnab-import ポリシーは VPN A、VPN B、VPN AB からのルートを受け入れます。 vpna-export ポリシーは、VPN A から発信されたルートのみをエクスポートします。同様に、 vpnb-export および vpnab-export ポリシーは、それぞれのVPN内を起点としたルートのみをエクスポートします。

ルーターPE1では、以下のVPNインポートおよびエクスポートポリシーを設定します。

ルーターPE1で、VPNインポートおよびエクスポートポリシーを適用します。

VPN Aでは、ルーティングテーブルグループvpna-vpnabで定義されたルーティングテーブルにスタティックルートを直接インストールするために、[edit routing-instances routing-instance-name]階層レベルでrouting-optionsステートメントを含めます。VPN ABの場合、この設定は、ルーティングテーブルグループvpnab-vpnaおよびvpnab-vpnbで定義されたルーティングテーブルに直接静的ルートをインストールします。VPN B では、ルーティングテーブルグループ vpnb-vpnabで定義されたルーティングテーブルに静的ルートが直接インストールされます。

PEルーターとCEルーター間のBGPの設定

この設定例では、VPN Aの vpna-site1 BGPグループが、BGPセッションから学習したルートを、 vpna-vpnab ルーティングテーブルグループで定義されたルーティングテーブルにインストールします。VPN ABの場合、 vpnab-site1 グループはBGPセッションから学習したルートを、 vpnab-vpna_and_vpnb ルーティングテーブルグループで定義されたルーティングテーブルにインストールします。VPN Bの場合、 vpnb-site1 グループは、BGPセッションから学習したルートを、 vpnb-vpnab ルーティングテーブルグループで定義されたルーティングテーブルにインストールします。この設定にインターフェイスルートは必要ありません。

VRF インポートおよびエクスポートポリシーは、 PE および CE ルータ間のスタティックルートの設定で定義されているポリシーと似ていますが、エクスポートプロトコルが静的ルートではなく BGP である点が異なります。すべての vrf-export ポリシーで、 from protocol bgp ステートメントを使用します。

ルーターPE1で、PEとCEルーター間のBGPを設定します。

PEルーターとCEルーター間のOSPFの設定

この設定例では、VPN A の OSPF セッションから学習したルートは、 vpna-vpnab ルーティングテーブルグループで定義されたルーティングテーブルにインストールされます。VPN ABでは、OSPFセッションから学習したルートは、 vpnab-vpna_and_vpnb ルーティングテーブルグループで定義されたルーティングテーブルにインストールされます。VPN B では、OSPF セッションから学習したルートは、 vpnb-vpnab ルーティングテーブルグループで定義されたルーティングテーブルにインストールされます。

VRF のインポートおよびエクスポートポリシーは、PE または静的ルートではなく OSPF である点を除いて、PE および CE ルーター間のスタティックルートの設定および PE ルーターと CE ルーター間の BGP の設定で定義されているポリシーと類似しています。したがって、すべてのvrf-exportポリシーで、from protocol <static | bgp> ステートメントではなく from protocol ospf ステートメントを使用します。

ルーターPE1で、PEとCEルーター間のOSPFを設定します。

PEとCEルーター間のスタティック、BGP、およびOSPFルートの設定

このセクションでは、スタティックルート、BGP、および OSPF を組み合わせて、PE ルーターと CE ルーター間のルートを設定する方法を示します。

ルーターPE1とルーターCE1間の接続は、静的ルーティングを使用します。
ルーターPE1とルーターCE2間の接続はBGPを使用します。
ルーターPE1とルーターCE3間の接続はOSPFを使用しています。

ここでは、VPN ABの設定にはCE1への静的ルートも含まれています。

ルーターPE1で、PEとCEルーター間の静的ルーティング、BGP、およびOSPFの組み合わせを設定します。

自動ルートエクスポートを使用したオーバーラップ VPN の設定

複数のルーティングインスタンスで問題となるのは、ルーティングインスタンス間でルートをエクスポートする方法です。他のルーティングテーブルにルートをエクスポートする必要がある各ルーティングインスタンスごとにルーティングテーブルグループを設定することで、Junos OSこれを実現できます。ルーティングテーブルグループを使用して重複する VPN を設定する方法については、「ルーティングテーブルグループを使用した重複 VPN の設定」を参照してください。

ただし、ルーティングテーブルグループの使用には制限があります。

ルーティングテーブルグループの構成が複雑である。ルートをエクスポートするルーティングインスタンスごとに、一意のルーティングテーブルグループを定義する必要があります。
また、ルートをエクスポートするプロトコルごとに、一意のルーティングテーブルグループを設定する必要があります。

複数のルーティングインスタンストポロジーでルーティングテーブルグループを設定する必要性を制限し、場合によっては排除するために、 auto-export ステートメントが提供する機能を使用できます。

auto-export ステートメントは、重複する VPN(複数の VRF ルーティングインスタンスがvrf-importポリシーで同じコミュニティルートターゲットをリストする VPN 設定)を設定する場合に特に役立ちます。auto-exportステートメントは、既存のポリシー設定を調べることで、どのルーティングテーブルからルートをエクスポートし、どのルーティングテーブルにルートをインポートするかを調べます。

auto-export ステートメントは、特定のルートターゲットコミュニティを参照するルーティングインスタンス間のルートを自動的にエクスポートします。auto-exportステートメントを設定すると、システムに設定されたvrf-importおよびvrf-exportポリシーに基づいてVRFターゲットツリーが構築されます。ルーティングインスタンスがvrf-importポリシーでルートターゲットを参照する場合、そのルートターゲットはターゲットのインポートリストに追加されます。vrf-exportポリシーで特定のルートターゲットを参照する場合、そのルートターゲットはそのターゲットのエクスポートリストに追加されます。インポーターが 1 つで、エクスポーターが 1 つ、またはインポーターもエクスポーターもいないルートターゲットは無視されます。

ルートターゲットをエクスポートするルーティングテーブルへの変更が追跡されます。ルート変更が発生すると、ルーティングインスタンスの vpn-export ポリシーがルートに適用されます。許可されている場合、エクスポート・ポリシーで設定されたルート・ターゲットのすべてのインポート・テーブル( vrf-import ポリシーに従う)にルートがインポートされます。

以下のセクションでは、ルーティングテーブルグループに加え、インスタンス間エクスポートに auto-export ステートメントを使用して、重複するVPNを設定する方法について説明します。

BGPと自動ルートエクスポートによる重複VPNの設定
重複 VPN と追加テーブルの設定
すべての VRF インスタンスの自動ルートエクスポートの設定

BGPと自動ルートエクスポートによる重複VPNの設定

次の例は、PE ルーターと CE ルーター間で BGP が使用されるオーバーラップ VPN の設定を示しています。

ルーティングインスタンス VPN-Aを設定します。

ルーティングインスタンス VPN-ABを設定します。

この設定では、ルーティングテーブルグループ設定で提供されていた機能を auto-export ステートメントに置き換えます。ただし、追加の設定が必要な場合もあります。

vrf-importポリシーと、auto-export ステートメントがインポートとエクスポートのマトリクスを推定する vrf-export ポリシーはインスタンス単位で設定されるため、マルチキャストのネットワーク層到達可能性情報(NLRI)が設定されている場合は、ユニキャストとマルチキャストで有効または無効にできる必要があります。

重複 VPN と追加テーブルの設定

重複するVPN間で auto-export ステートメントを使用する必要がある場合がありますが、VRFテーブルから学習したルートのサブセットをinet.0テーブルまたはrouting-instance.inet.2にインストールする必要があります。

必要な情報の一部が vrf-import ポリシーと vrf-export ポリシーに存在するわけではないこのタイプのシナリオをサポートするには、追加のルーティングテーブルグループを使用してルーティングテーブルの追加リストを構成します。

説明した例で、 VPN-A および VPN-AB からinet.0へのルートを追加するには、以下の設定ステートメントを追加する必要があります。

ルーティングオプションを設定します。

ルーティングインスタンス VPN-Aを設定します。

ルーティングインスタンス VPN-ABを設定します。

この設定でのルーティングテーブルグループは、Junos OS での一般的な使用方法とは異なり使用されます。ルーティングテーブルグループでは、通常、エクスポートするルーティングテーブルが、ルーティングテーブルグループ内のプライマリインポートルーティングテーブルとして参照される必要があります。この設定では、制限は適用されません。ルーティングテーブルグループは、ルートのエクスポート先のテーブルの追加リストとして機能します。

すべての VRF インスタンスの自動ルートエクスポートの設定

以下の設定では、設定グループ内のすべてのルーティングインスタンスに auto-export ステートメントを設定することができます。