重複する VPN
ルーティング テーブル グループを使用した重複する VPN の設定
レイヤー 3 VPN では、CE ルーターは多くの場合、複数の VPN のメンバーになります。この例では、複数の VPN をサポートする CE ルーターをサポートする PE ルーターを構成する方法を示しています。このタイプの設定のサポートでは、ルーティング テーブル グループ(RIB グループとも呼ばれる)と呼ばれる Junos OS 機能を使用して、ルートを複数のルーティング テーブルにインストールできます。ルーティング テーブル グループは、プロトコルがルートをインストールするルーティング テーブルのリストです。
ルーティング テーブル グループは、デフォルト インスタンスの [edit routing-options] 階層レベルで定義します。階層レベルではルーティング テーブル グループを [edit routing-instances routing-options] 設定できないため、コミット エラーが発生します。
ルーティング テーブル グループを定義した後は、複数のプロトコルで使用できます。ルーティング テーブル グループを静的ルーティングに適用することもできます。このセクションの設定例には、両方のタイプの設定が含まれています。
図 1 は、このセクションの設定例のトポロジを示しています。このセクションの設定は、同じ PE ルーターに接続された CE ルーター間のローカル接続を示しています。ルーター PE1 がルーター CE2(VPN AB)にのみ接続されている場合、追加の設定は不要です。次のセクションの設定ステートメントにより、VPN AB ルーター CE2 は、ルーター PE1 に直接接続される VPN A ルーター CE1 および VPN B ルーター CE3 と通信できます。リモート PE ルーター(この場合は PE2 ルーター)からの VPN ルートは、グローバル レイヤー 3 VPN ルーティング テーブル(bgp.l3vpn.inet.0)に配置され、適切なルート ターゲットを持つルートは、VRF インポート ポリシー設定の指示に従ってルーティング テーブルにインポートされます。目標は、ローカルに設定された個々の VPN ルーティング テーブルからルートを選択できることです。
ルーター PE1 は、すべてのフィルタリングと設定変更が行われる場所です。そのため、PE1 の VPN 設定のみが表示されます。CE ルーターには VPN に関する情報がないため、通常通り設定できます。
の例
次のセクションでは、重複する VPN を設定する方法をいくつか説明します。
次のセクションでは、PE ルーターと CE ルーター間で使用されるルーティング プロトコルに応じて、重複する VPN を設定するさまざまなシナリオを示します。これらの例はすべて、ルーティング テーブル グループを設定する必要があります。
- ルーティング テーブル グループの設定
- PE ルーターと CE ルーター間の静的ルートの設定
- PE ルーターと CE ルーター間の BGP の設定
- PE ルーターと CE ルーター間の OSPF の設定
- PE ルーターと CE ルーター間の静的ルート、BGP ルート、OSPF ルートの設定
ルーティング テーブル グループの設定
この例では、ルーティング テーブル グループは 4 つの設定シナリオで一般的です。ルーティング テーブル グループは、ルート(インターフェイス、静的ルート、OSPF ルート、BGP ルートを含む)をデフォルトおよびその他のインスタンス用の複数のルーティング テーブルにインストールするために使用されます。ルーティング テーブル グループ定義では、最初のルーティング テーブルはプライマリ ルーティング テーブルと呼ばれます。(通常、プライマリ ルーティング テーブルは、ルーティング テーブル グループを設定しなかった場合にルートがインストールされるテーブルです。他のルーティング テーブルはセカンダリ ルーティング テーブルと呼ばれます)。
この設定のルーティング テーブル グループは、次のようにルートをインストールします。
vpna-vpnabルーティング テーブル VPN-A.inet.0 および VPN-AB.inet.0 にルートをインストールします。vpnb-vpnabルーティング テーブル VPN-B.inet.0 および VPN-AB.inet.0 にルートをインストールします。vpnab-vpna_and_vpnbルーティング テーブル VPN-AB.inet.0、VPN-A.inet.0、VPN-B.inet.0 にルートをインストールします。
ルーティング テーブル グループを設定します。
[edit]
routing-options {
rib-groups {
vpna-vpnab {
import-rib [ VPN-A.inet.0 VPN-AB.inet.0 ];
}
vpnb-vpnab {
import-rib [ VPN-B.inet.0 VPN-AB.inet.0 ];
}
vpnab-vpna_and_vpnb {
import-rib [ VPN-AB.inet.0 VPN-A.inet.0 VPN-B.inet.0 ];
}
}
}
PE ルーターと CE ルーター間の静的ルートの設定
PE1 ルーターと CE1、CE2、CE3 ルーター間の静的ルーティングを設定するには、VPN A、VPN B、VPN AB のルーティング インスタンスを設定する必要があります(各インスタンスで静的ルーティングを設定します)。
VPN A のルーティング インスタンスの設定
ルーター PE1 で、VPN A を設定します。
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
interface-routes {
rib-group inet vpna-vpnab;
}
static {
route 10.255.14.155/32 next-hop 192.168.197.141;
route 10.255.14.185/32 next-hop 192.168.197.178;
}
}
}
}
ステートメントは interface-routes 、ルーティング テーブル グループ vpna-vpnabで定義されたルーティング テーブルに VPN A のインターフェイス ルートをインストールします。
ステートメントは static 、VPN-A.inet.0 ルーティング テーブルにインストールされている静的ルートを設定します。1 つ目の静的ルートはルーター CE1(VPN A)用、2 つ目はルーター CE2 用です(VPN AB)。
ネクスト ホップ 192.168.197.178 は VPN A に含まれていません。ルーティング インスタンスのインターフェイス ルート 10.255.14.185/32 がこのルーティング テーブルに VPN AB をインストールしない限り、ルートは VPN-A.inet.0 にインストールできません。VPN AB 設定に interface-routes ステートメントを含めると、このネクスト ホップが提供されます。同様に、VPN AB 設定のステートメントも含めて interface-routes 、VPN-AB.inet.0 にインストールされます 192.168.197.141 。
VPN AB のルーティング インスタンスの設定
ルーター PE1 で、VPN AB を設定します。
[edit]
routing instances {
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
routing-options {
interface-routes {
rib-group vpnab-vpna_and_vpnb;
}
static {
route 10.255.14.185/32 next-hop 192.168.197.178;
route 10.255.14.155/32 next-hop 192.168.197.141;
route 10.255.14.186/32 next-hop 192.168.197.242;
}
}
}
}
この設定では、次のスタティック ルートが VPN-AB.inet.0 ルーティング テーブルにインストールされます。
10.255.14.185/32はルーター CE2 用(VPN AB)10.255.14.155/32はルーター CE1 用(VPN A)10.255.14.186/32はルーター CE3 用です(VPN B)
このルーティング テーブルに VPN A および 192.168.197.242 VPN B からのインターフェイス ルート10.255.14.155/3210.255.14.186/32がインストールされていない限り、ネクスト ホップ192.168.197.141と VPN AB.inet.0 にはルートが属せず、VPN-AB.inet.0 にインストールできません。VPN A および VPN B ルーティング インスタンスのインターフェイス ルート設定は、これらのネクスト ホップを提供します。
VPN B のルーティング インスタンスの設定
ルーター PE1 で、VPN B を設定します。
[edit]
routing instances {
VPN-B {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.175:10;
vrf-import vpnb-import;
vrf-export vpnb-export;
routing-options {
interface-routes {
rib-group inet vpnb-vpnab;
}
static {
route 10.255.14.186/32 next-hop 192.168.197.242;
route 10.255.14.185/32 next-hop 192.168.197.178;
}
}
}
}
VPN B のルーティング インスタンスを設定すると、これらの静的ルートは VPNB.inet.0 に配置されます。
10.255.14.186/32はルーター CE3 用です(VPN B)10.255.14.185/32はルーター CE2 用(VPN AB)
ネクスト ホップ 192.168.197.178 は VPN B に属していません。このルーティング テーブルに VPN AB からのインターフェイス ルート 10.255.14.185/32 がインストールされていない限り、ルートは VPN-B.inet.0 にインストールできません。VPN AB のインターフェイス ルート設定は、このネクスト ホップを提供します。
VPN ポリシーの設定
vrf-import重複する VPN に対して設定するポリシー ステートメントとポリシー ステートメントは、各 VRF エクスポート ポリシーにステートメントを含めるfrom interface点を除き、通常の VPN のポリシー ステートメントとvrf-export同じです。このステートメントにより、各 VPN は、その VPN から送信されたルートのみをアナウンスするように強制されます。たとえば、VPN A には VPN A と VPN AB で発生したルートがあります。ステートメントをfrom interface含めなければ、VPN A は独自のルートと VPN AB のルートをアナウンスするため、リモート PE ルーターは同じルートに対して複数のアナウンスを受け取ります。ステートメントをfrom interface含めると、各 VPN が発信したルートのみをアナウンスするように制限され、ローカル接続のために他のルーティング テーブルからインポートされたルートを除外できます。
この設定例では、ポリシーは vpnab-import VPN A、VPN B、VPN AB からのルートを受け入れます。このポリシーは vpna-export 、VPN A から送信されたルートのみをエクスポートします。同様に vpnb-export 、ポリシーと vpnab-export ポリシーは、それぞれの VPN 内から発信されたルートのみをエクスポートします。
ルーター PE1 で、次の VPN インポート およびエクスポート ポリシーを設定します。
[edit]
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community VPNA-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpnb-import {
term a {
from {
protocol bgp;
community VPNB-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpnab-import {
term a {
from {
protocol bgp;
community [ VPNA-comm VPNB-comm ];
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from {
protocol static;
interface fe-1/0/0.0;
}
then {
community add VPNA-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpnb-export {
term a {
from {
protocol static;
interface fe-1/0/2.0;
}
then {
community add VPNB-comm;
accept;
}
}
term b {
then reject;
}
}
policy-statement vpnab-export {
term a {
from {
protocol static;
interface fe-1/1/0.0;
}
then {
community add VPNB-comm;
community add VPNA-comm;
accept;
}
}
term b {
then reject;
}
}
community VPNA-comm members target:69:1;
community VPNB-comm members target:69:2;
}
ルーター PE1 で、VPN インポート ポリシーとエクスポート ポリシーを適用します。
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
rib-group vpna-vpnab;
route 10.255.14.155/32 next-hop 192.168.197.141;
route 10.255.14.185/32 next-hop 192.168.197.178;
}
}
}
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
routing-options {
static {
rib-group vpnab-vpna_and_vpnb;
route 10.255.14.185/32 next-hop 192.168.197.178;
}
}
}
VPN-B {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.175:10;
vrf-import vpnb-import;
vrf-export vpnb-export;
routing-options {
static {
rib-group vpnb-vpnab;
route 10.255.14.186/32 next-hop 192.168.197.242;
}
}
}
}
VPN A の場合、階層レベルにステートメントをrouting-options[edit routing-instances routing-instance-name]含めて、スタティック ルートをルーティング テーブル グループvpna-vpnabで定義されたルーティング テーブルに直接インストールします。VPN AB の場合、設定はスタティック ルートをルーティング テーブル グループvpnab-vpnaで定義されたルーティング テーブルに直接インストールしますvpnab-vpnb。VPN B の場合、設定はスタティック ルートをルーティング テーブル グループvpnb-vpnabで定義されたルーティング テーブルに直接インストールします。
PE ルーターと CE ルーター間の BGP の設定
この設定例では、VPN A の BGP グループは、 vpna-site1 BGP セッションから学習したルートをルーティング テーブル グループで定義されたルーティング テーブルに vpna-vpnab インストールします。VPN AB の場合、グループは vpnab-site1 BGP セッションから学習したルートをルーティング テーブル グループで定義されたルーティング テーブルに vpnab-vpna_and_vpnb インストールします。VPN B の場合、グループは vpnb-site1 BGP セッションから学習したルートをルーティング テーブル グループで定義されたルーティング テーブルに vpnb-vpnab インストールします。この設定にはインターフェイス ルートは必要ありません。
VRF のインポートポリシーとエクスポート ポリシーは、 PE ルーターと CE ルーター間の静的ルートの設定で定義されているものと似ています。ただし、エクスポート プロトコルは静的ルートではなく BGP です。すべての vrf-export ポリシーでは、ステートメントを from protocol bgp 使用します。
ルーター PE1 で、PE ルーターと CE ルーター間で BGP を設定します。
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-site1 {
family inet {
unicast {
rib-group vpna-vpnab;
}
}
peer-as 1;
neighbor 192.168.197.141;
}
}
}
}
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
protocols {
bgp {
group vpnab-site1 {
family inet {
unicast {
rib-group vpnab-vpna_and_vpnb;
}
}
peer-as 9;
neighbor 192.168.197.178;
}
}
}
}
VPN-B {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.175:10;
vrf-import vpnb-import;
vrf-export vpnb-export;
protocols {
bgp {
group vpnb-site1 {
family inet {
unicast {
rib-group vpnb-vpnab;
}
}
neighbor 192.168.197.242 {
peer-as 10;
}
}
}
}
}
}
PE ルーターと CE ルーター間の OSPF の設定
この設定例では、VPN A の OSPF セッションから学習したルートが、ルーティング テーブル グループで定義されたルーティング テーブルに vpna-vpnab インストールされます。VPN AB の場合、OSPF セッションから学習したルートは、ルーティング テーブル グループで定義されたルーティング テーブルに vpnab-vpna_and_vpnb インストールされます。VPN B の場合、OSPF セッションから学習したルートは、ルーティング テーブル グループで定義されたルーティング テーブルに vpnb-vpnab インストールされます。
VRF のインポートポリシーとエクスポート ポリシーは、「PE ルーターと CE ルーター間のスタティック ルートの設定」および「PE ルーターと CE ルーター間の BGP の設定」で定義されているものと似ています。ただし、エクスポート プロトコルは BGP または静的ルートではなく OSPF です。したがって、すべてのvrf-exportポリシーでは、ステートメントの代わりにステートメントをfrom protocol <static | bgp>使用from protocol ospfします。
ルーター PE1 で、PE ルーターと CE ルーター間の OSPF を設定します。
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
ospf {
rib-group vpna-vpnab;
export vpna-import;
area 0.0.0.0 {
interface fe-1/0/0.0;
}
}
}
}
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
protocols {
ospf {
rib-group vpnab-vpna_and_vpnb;
export vpnab-import;
area 0.0.0.0 {
interface fe-1/1/0.0;
}
}
}
}
VPN-B {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.175:10;
vrf-import vpnb-import;
vrf-export vpnb-export;
protocols {
ospf {
rib-group vpnb-vpnab;
export vpnb-import;
area 0.0.0.0 {
interface fe-1/0/2.0;
}
}
}
}
}
PE ルーターと CE ルーター間の静的ルート、BGP ルート、OSPF ルートの設定
このセクションでは、静的ルート、BGP、OSPF の組み合わせを使用して PE ルーターと CE ルーター間のルートを設定する方法を示します。
ルーター PE1 とルーター CE1 間の接続では、静的ルーティングが使用されます。
ルーター PE1 とルーター CE2 の間の接続では、BGP が使用されます。
ルーター PE1 とルーター CE3 の間の接続で OSPF が使用されます。
ここでは、VPN AB の設定には CE1 への静的ルートも含まれています。
ルーター PE1 では、PE ルーターと CE ルーター間で、スタティック ルーティング、BGP、OSPF の組み合わせを設定します。
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
static {
rib-group vpna-vpnab;
route 10.255.14.155/32 next-hop 192.168.197.141;
}
}
}
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
protocols {
bgp {
group vpnab-site1 {
family inet {
unicast {
rib-group vpnab-vpna_and_vpnb;
}
}
export to-vpnab-site1;
peer-as 9;
neighbor 192.168.197.178;
}
}
}
}
VPN-B {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.175:10;
vrf-import vpnb-import;
vrf-export vpnb-export;
protocols {
ospf {
rib-group vpnb-vpnab;
export vpnb-import;
area 0.0.0.1 {
interface t3-0/3/3.0;
}
}
}
}
}
policy-options {
policy-statement to-vpnab-site1 {
term a {
from protocol static;
then accept;
}
term b {
from protocol bgp;
then accept;
}
term c {
then reject;
}
}
}
自動ルート エクスポートを使用した重複する VPN の設定
複数のルーティング インスタンスの問題は、ルーティング インスタンス間でルートをエクスポートする方法です。Junos OS でこれを実現するには、ルートを他のルーティング テーブルにエクスポートする必要があるルーティング インスタンスごとにルーティング テーブル グループを設定します。ルーティング テーブル グループを使用して重複する VPN を設定する方法については、「ルーティング テーブル グループを 使用した重複する VPN の設定」を参照してください。
ただし、ルーティング テーブル グループの使用には制限があります。
ルーティング テーブル グループの設定は複雑です。ルートをエクスポートするルーティング インスタンスごとに、一意のルーティング テーブル グループを定義する必要があります。
また、ルートをエクスポートするプロトコルごとに固有のルーティング テーブル グループを設定する必要があります。
複数のルーティング インスタンス トポロジでルーティング テーブル グループを設定する必要性を制限し、場合によっては不要にするため、ステートメントによって提供される機能を auto-export 使用できます。
この auto-export ステートメントは、重複する VPN(複数の VRF ルーティング インスタンスがポリシーに同じコミュニティ ルート ターゲットをリストする VPN 設定)の設定に特に vrf-import 役立ちます。ステートメントは auto-export 、既存のポリシー設定を調べることによって、ルートをエクスポートするルーティング テーブルを特定し、ルートをインポートします。
ステートメントはauto-export、指定されたルート ターゲット コミュニティを参照するルーティング インスタンス間でルートを自動的にエクスポートします。ステートメントがauto-export設定されている場合、VRF ターゲット ツリーは、システムに設定されたポリシーとvrf-exportにvrf-import基づいて構築されます。ルーティング インスタンスがポリシー内のvrf-importルート ターゲットを参照する場合、ルート ターゲットはターゲットのインポート リストに追加されます。ポリシー内の特定のvrf-exportルート ターゲットを参照する場合、そのターゲットのエクスポート リストにルート ターゲットが追加されます。単一の輸出者と一致する単一の輸入者がある場合、または輸入者または輸出者がいない単一のインポーターがあるルート ターゲットは無視されます。
ルート ターゲットをエクスポートするルーティング テーブルの変更は追跡されます。ルート変更が発生すると、ルーティング インスタンスの vpn-export ポリシーがルートに適用されます。許可されている場合、ルートはエクスポート ポリシーによって設定されたルート ターゲットのすべてのインポート テーブル(ポリシーの対象 vrf-import )にインポートされます。
以下のセクションでは、ルーティング テーブル グループに加えてインスタンス間エクスポートのステートメントを auto-export 使用して、重複する VPN を設定する方法について説明します。
BGP と自動ルート エクスポートによる重複する VPN の設定
次の例では、PE ルーターと CE ルーター間で BGP が使用される、重複する VPN の設定を示します。
ルーティング インスタンス VPN-Aの設定:
[edit]
routing-instances {
VPN-A {
instance-type vrf;
interface fe-1/0/0.0;
route-distinguisher 10.255.14.175:3;
vrf-import vpna-import;
vrf-export vpna-export;
routing-options {
auto-export;
}
protocols {
bgp {
group vpna-site1 {
peer-as 1;
neighbor 192.168.197.141;
}
}
}
}
}
ルーティング インスタンス VPN-ABの設定:
[edit]
routing-instances {
VPN-AB {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.175:9;
vrf-import vpnab-import;
vrf-export vpnab-export;
routing-options {
auto-export;
}
protocols {
bgp {
group vpnab-site1 {
peer-as 9;
neighbor 192.168.197.178;
}
}
}
}
}
この設定では、 auto-export ルーティング テーブル グループ設定によって提供された機能がステートメントに置き換えられます。ただし、追加の構成が必要な場合があります。
ステートメントが vrf-import インポートおよびエクスポート マトリクスを vrf-export 指定する auto-export ポリシーとポリシーはインスタンス単位で設定されるため、マルチキャスト ネットワーク レイヤー到達可能性情報(NLRI)が設定されている場合に備えて、ユニキャストおよびマルチキャストに対してポリシーを有効または無効にする必要があります。
重複する VPN と追加テーブルの設定
重複する VPN 間でステートメントを auto-export 使用する必要がある場合がありますが、VRF テーブルから学習したルートのサブセットを inet.0 テーブルまたは routing-instance.inet.2 にインストールする必要があります。
このタイプのシナリオをサポートするには、必要な情報がすべてとvrf-exportポリシーにvrf-import含まれていない場合は、追加のルーティング テーブル グループを使用して、ルーティング テーブルの追加リストを設定します。
説明した例で inet.0 から VPN-A inet.0 VPN-AB へのルートを追加するには、次の追加設定ステートメントを含める必要があります。
ルーティング オプションを設定します。
[edit]
routing-options {
rib-groups {
inet-access {
import-rib inet.0;
}
}
}
ルーティング インスタンス VPN-Aの設定:
[edit]
routing-instances {
VPN-A {
routing-options {
auto-export {
family inet {
unicast {
rib-group inet-access;
}
}
}
}
}
}
ルーティング インスタンス VPN-ABの設定:
[edit]
routing-instances {
VPN-AB {
routing-options {
auto-export {
family inet {
unicast {
rib-group inet-access;
}
}
}
}
}
}
ルーティング テーブル グループは、Junos OS での一般的な使用方法とは異なる方法で使用されます。ルーティング テーブル グループでは通常、エクスポート ルーティング テーブルをルーティング テーブル グループのプライマリ インポート ルーティング テーブルとして参照する必要があります。この設定では、制限は適用されません。ルーティング テーブル グループは、ルートをエクスポートするテーブルの追加リストとして機能します。
すべての VRF インスタンスの自動ルート エクスポートの設定
次の設定では、設定 auto-export グループ内のすべてのルーティング インスタンスに対してステートメントを設定できます。
[edit]
groups {
vrf-export-on {
routing-instances {
<*> {
routing-options {
auto-export;
}
}
}
}
}
apply-groups vrf-export-on;