Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

概要

VPNの種類

仮想プライベートネットワーク(VPN)は、プロバイダーのネットワークと顧客のネットワークという2つのトポロジー領域で構成されています。お客様のネットワークは、通常、複数の物理サイトに配置されており、プライベート(非インターネット)でもあります。通常、カスタマーサイトは、1つの物理的な場所に配置されたルーターまたはその他のネットワーキング機器のグループで構成されます。パブリックインターネットインフラストラクチャで実行されるプロバイダーのネットワークは、顧客のネットワークにVPNサービスを提供するルーターと、他のサービスを提供するルーターで構成されています。プロバイダーのネットワークは、さまざまな顧客サイトを、顧客とプロバイダーにはプライベート ネットワークのように見える方法で接続します。

VPNをプライベートに保ち、他のVPNやパブリックインターネットから分離するために、プロバイダーのネットワークは、異なるVPNからのルーティング情報を分離するポリシーを維持しています。プロバイダは、ポリシーによって異なるVPNからのルートが分離されている限り、複数のVPNにサービスを提供することができます。同様に、カスタマーサイトは、異なるVPNからのルートを分離している限り、複数のVPNに属することができます。

Junos® オペレーティング システム(Junos OS)には、いくつかのタイプの VPN が用意されています。お客様のネットワーク環境に最適なソリューションをお選びいただけます。次のVPNは、それぞれ機能が異なり、異なるタイプの設定が必要です。

レイヤー2 VPN

ルーターへのレイヤ2 VPNの実装は、ATMやフレームリレーなどのレイヤ2技術を使用したVPNの実装と類似しています。ただし、ルーター上のレイヤー2 VPNの場合、トラフィックはレイヤー2形式でルーターに転送されます。MPLSによってサービスプロバイダのネットワーク経由で伝送され、受信サイトでレイヤー2形式に変換されます。送信サイトと受信サイトで異なるレイヤー 2 形式を設定できます。MPLS レイヤ 2 VPN のセキュリティとプライバシは、ATM やフレーム リレー VPN と同等です。

レイヤー2 VPNでは、ルーティングは顧客のルーター(通常はCEルーター)で行われます。レイヤー2 VPN上のサービスプロバイダに接続されたCEルーターは、トラフィックを送信する適切な回線を選択する必要があります。トラフィックを受信した PE ルーターは、サービス プロバイダーのネットワークを介して、受信サイトに接続された PE ルーターにトラフィックを送信します。PE ルーターは、顧客のルートを保存または処理する必要はありません。必要なのは、適切なトンネルにデータを送信することだけです。

レイヤー2VPNの場合、お客様はすべてのレイヤー3トラフィックを伝送するように独自のルーターを構成する必要があります。サービス プロバイダが把握する必要があるのは、レイヤー2 VPNが伝送する必要があるトラフィック量だけです。サービス プロバイダのルーターは、レイヤー 2 VPN インターフェイスを使用して、お客様のサイト間でトラフィックを伝送します。VPN トポロジーは、PE ルーターに設定されたポリシーによって決定されます。

レイヤー3 VPN

レイヤー3 VPNでは、ルーティングはサービスプロバイダのルーターで行われます。そのため、レイヤー3VPNでは、サービスプロバイダのPEルーターが顧客のルートを保存して処理する必要があるため、サービスプロバイダ側でより多くの設定が必要になります。

Junos OSでは、レイヤー3 VPNはRFC 4364、 BGP/MPLS IP仮想プライベートネットワーク(VPN)に基づいています。この RFC は、サービス プロバイダーが自社の IP バックボーンを使用して、レイヤー 3 VPN サービスを顧客に提供できるメカニズムを定義しています。レイヤー3VPNを構成するサイトは、プロバイダーの既存のパブリックインターネットバックボーンを介して接続されています。

RFC 4364に基づくVPNは、BGPがプロバイダのバックボーンにVPNルーティング情報を配布するために使用され、MPLSがバックボーンを介してリモートVPNサイトにVPNトラフィックを転送するために使用されるため、BGP/MPLSとも呼ばれます。

顧客ネットワークはプライベートであるため、RFC 1918「 Address Allocation for Private Internets」で定義されているように、パブリックアドレスまたはプライベートアドレスのいずれかを使用できます。プライベート・アドレスを使用する顧客ネットワークがパブリック・インターネット・インフラストラクチャに接続する場合、プライベート・アドレスは、他のネットワーク・ユーザーが使用するプライベート・アドレスと重複する可能性があります。BGP/MPLS VPN は、特定の VPN サイトの各アドレスに VPN 識別子をプレフィックス付加することで、VPN 内とパブリック インターネット内で一意のアドレスを作成することで、この問題を解決します。また、各 VPN には、その VPN のルーティング情報のみを含む、独自の VPN 固有のルーティングテーブルがあります。

VPLS

VPLS(仮想プライベートLANサービス)により、地理的に分散した顧客サイトを、あたかも同じLANに接続されているかのように接続できます。多くの点で、レイヤー2VPNのように機能します。VPLSとレイヤー2VPNは、同じネットワークトポロジーを使用し、同様に機能します。顧客のネットワーク内で発信されたパケットは、まずCEデバイスに送信されます。その後、サービス プロバイダーのネットワーク内の PE ルーターに送信されます。パケットは、MPLS LSP を介してサービス プロバイダーのネットワークを通過します。それはエグレスPEルーターに到着し、その後、宛先のカスタマーサイトのCEデバイスにトラフィックを転送します。

VPLSの主な違いは、パケットがポイントツーマルチポイント方式でサービスプロバイダのネットワークを通過できること、つまり、CEデバイスから発信されたパケットをVPLSのPEルーターにブロードキャストできることです。これに対して、レイヤー2VPNはポイントツーポイント方式でのみパケットを転送します。レイヤー2 VPNが正常に機能するためには、PEルーターがCEデバイスから受信したパケットの宛先が認識されている必要があります。

レイヤー3ネットワークにおいてのみ、仮想プライベートLANサービス(VPLS)を設定して、地理的に分散したイーサネットローカルエリアネットワーク(LAN)サイトをMPLSバックボーンを介して相互に接続できます。VPLSを実装しているISPのお客様の場合、トラフィックがサービスプロバイダのネットワーク上を移動する場合でも、すべてのサイトが同じイーサネットLAN内にあるように見えます。VPLSは、MPLS対応のサービスプロバイダネットワークでイーサネットトラフィックを伝送するように設計されています。VPLSは、ある意味ではイーサネットネットワークの動作を模倣しています。VPLSルーティング インスタンスで構成されたPEルーターがCEデバイスからパケットを受信すると、まずVPLSパケットの宛先の適切なルーティングテーブルを確認します。ルーターに宛先がある場合、適切なPEルーターに転送します。宛先がない場合は、同じVPLSルーティング インスタンスのメンバーである他のすべてのPEルーターにパケットをブロードキャストします。PE ルーターは、パケットを CE デバイスに転送します。パケットの意図された受信者である CE デバイスは、パケットを最終宛先に転送します。他のCEデバイスはこれを破棄します。

仮想ルーター ルーティング インスタンス

VPNルーティングおよび転送(VRF)ルーティング インスタンスなどの仮想ルータールーティング インスタンスは、インスタンスごとに個別のルーティングおよび転送テーブルを維持します。ただし、VRF ルーティング インスタンスに必要な多くの設定手順は、仮想ルーター ルーティング インスタンスには必要ありません。具体的には、ルート識別子、ルーティングテーブルポリシー( vrf-exportvrf-importroute-distinguisher ステートメント)、または P ルーター間の MPLS を設定する必要はありません。

ただし、仮想ルーター ルーティング インスタンスに参加している各サービス プロバイダー ルーター間では、個別の論理インターフェイスを設定する必要があります。また、各ルーティング インスタンスに参加しているサービス プロバイダのルーターとカスタマー ルーターとの間に、個別の論理インターフェイスを設定する必要があります。各仮想ルーターインスタンスには、参加するすべてのルーターに対する独自の論理インターフェイスのセットが必要です。

図 1 は、これがどのように機能するかを示しています。サービス プロバイダ ルーター G と H は、仮想ルーター ルーティング インスタンス red と green に設定されています。各サービス プロバイダ ルーターは、各ルーティング インスタンスに 1 つずつ、2 台のローカル顧客ルーターに直接接続されています。また、サービス プロバイダのルーターは、サービス プロバイダ ネットワークを介して相互に接続されています。これらのルーターには、ローカルに接続された各カスタマールーターへの 論理インターフェイス と、各仮想ルーターインスタンスの2つのサービスプロバイダルーター間でトラフィックを伝送する論理インターフェイスの4つの論理インターフェイスが必要です。

図 1:仮想ルーター ルーティング インスタンスのルーターあたりの論理インターフェース Logical Interface per Router in a Virtual-Router Routing Instance

レイヤー 3 VPN には、この構成要件はありません。1 つの PE ルーター上で複数のレイヤー 3 VPN ルーティング インスタンスを設定すると、すべてのインスタンスが同じ論理インターフェイスを使用して別の PE ルーターに到達できます。これが可能なのは、レイヤー3 VPNが、さまざまなルーティングインスタンスを行き来するトラフィックを区別するMPLS(VPN)ラベルを使用しているからです。MPLSやVPNラベルを使用しない場合、仮想ルータールーティング インスタンスのように、異なるインスタンスからトラフィックを分離するために個別の論理インターフェイスが必要になります。

サービス プロバイダのルーター間にこの論理インターフェイスを提供する方法の 1 つは、ルーター間にトンネルを設定することです。サービス プロバイダのルーター間で IP セキュリティ(IPsec)、GRE(Generic Routing Encapsulation)、または IP-IP トンネルを設定し、仮想ルーター インスタンスでトンネルを終端できます。

VPN と論理システム

単一の物理ルーターを、独立したルーティングタスクを実行する複数の論理システムに分割できます。論理システムは、かつて物理ルーターで処理されたタスクのサブセットを実行するため、論理システムは単一のルーティング プラットフォームを最大限に活用する効果的な方法を提供します。

論理システムは、物理ルーターのアクションのサブセットを実行し、独自のルーティングテーブル、インターフェイス、ポリシー、ルーティングインスタンスを保持します。単一ルーター内の一連の論理システムにより、以前は複数の小規模ルーターが実行していた機能を処理できます。

論理システムは、レイヤー 2 VPN、レイヤー 3 VPN、VPLS、およびレイヤー 2 回線をサポートします。論理システムの詳細については、 ルーターとスイッチの論理システム ユーザー ガイドを参照してください。

Junos OS リリース 17.4R1 以降、イーサネット VPN(EVPN)のサポートは、MX デバイス上で実行される論理システムにも拡張されています。同じEVPNオプションとパフォーマンスが利用可能で、 [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] 階層で設定できます。

レイヤー 3 VPN について

仮想プライベートネットワーク(VPN)は、パブリックネットワークを使用して2つ以上のリモートサイトを接続するプライベートネットワークです。VPN では、ネットワーク間の専用接続の代わりに、通常はサービス プロバイダ ネットワークであるパブリック ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。

レイヤー 3 VPN は、OSI モデルのレイヤー 3 レベルであるネットワーク層で動作します。レイヤー3 VPNは、サービスプロバイダの既存のパブリックインターネットバックボーンを介して接続された一連の顧客サイトで構成されています。ピアツーピアモデルは、顧客サイトへの接続に使用され、サービスプロバイダは、顧客とのピアリングで顧客ルートを学習します。共通のルーティング情報は、マルチプロトコルBGPを使用してプロバイダのバックボーン全体で共有され、VPNトラフィックはMPLSを使用して顧客サイトに転送されます。

Junos OSは、RFC 4364に基づくレイヤー3 VPNをサポートしています。RFC では、接続に MPLS トンネル、到達可能性情報を配布する BGP、トランスポートに IP バックボーンを使用する VPN について説明しています。サービス プロバイダは、IP バックボーンを使用して、同じ VPN に属する一連の顧客サイトをリンクします。

レイヤー 3 VPN のコンポーネント

MPLS VPNには、レイヤー2 VPN、レイヤー2回線、レイヤー3 VPNの3つの主要なタイプがあります。すべてのタイプのMPLSは、特定のコンポーネントを共有します。

  • CEデバイス—プロバイダーのネットワークに接続する、顧客構内にあるカスタマーエッジ(CE)デバイス。一部のモデルでは、これらのデバイスをカスタマー構内機器(CPE)デバイスと呼びます。

  • カスタマーネットワーク—VPNに属するCEデバイスを持つカスタマーサイト。

  • プロバイダーネットワーク—MPLSバックボーンを実行しているサービスプロバイダのバックボーンネットワーク。

  • P デバイス—プロバイダーのネットワークのコア内にあるプロバイダー(P)デバイス。プロバイダー デバイスは、カスタマー サイトのどのデバイスにも接続されておらず、PE デバイスのペア間のトンネルの一部です。プロバイダデバイスは、トンネルサポートの一環としてラベルスイッチパス(LSP)機能をサポートしますが、VPN機能はサポートしません。

  • PEデバイス—サービスプロバイダコアネットワーク内の、お客様のサイトのCEデバイスに直接接続するプロバイダエッジ(PE)デバイス。

  • MP-BGP— PE デバイスは MP-BGP を使用して、MPLS バックボーン全体の適切な PE デバイスにカスタマー ルートを配布します。

レイヤー 3 VPN の用語

VPN は、ネットワークのコンポーネントを識別するために、異なる用語を使用します。

  • IP ルーティングテーブル(グローバル ルーティングテーブルとも呼ばれる)—このテーブルには、VRF に含まれないサービス プロバイダー ルートが含まれています。プロバイダ デバイスは相互に到達できるようにこのテーブルを必要とし、VRF テーブルは特定の VPN 上のすべての顧客デバイスに到達するために必要です。例えば、CE ルーターへのインターフェイス A とバックボーン P ルーターへのインターフェイス B を持つ PE ルーターは、インターフェイス A のアドレスを VRF に配置し、インターフェイス B のアドレスをグローバル IP ルーティングテーブルに配置します。

  • ルート識別子—IPアドレスの先頭に付加される64ビット値。この一意のタグは、同じサービスプロバイダのトンネルを通過するパケットとして、さまざまな顧客のルートを識別するのに役立ちます。

    一般的なトランジットネットワークは複数のVPNを処理するように設定されているため、プロバイダルーターには複数のVRFインスタンスが設定されている可能性があります。その結果、トラフィックの発信元や、トラフィックに適用されるフィルタリングルールによっては、BGP ルーティングテーブルに特定の宛先アドレスに対する複数のルートが含まれることがあります。BGP では、宛先ごとに 1 つの BGP ルートを転送転送テーブルにインポートする必要があるため、BGP は、異なる VPN から受信した潜在的に同一のネットワーク層到達可能性情報(NLRI)メッセージを区別する方法を備えている必要があります。

    ルート識別とは、特定のVPNのすべてのルート情報を識別するローカルに固有の番号です。一意の数値識別子により、BGPは、それ以外は同一のルートを区別できます。

    PEルーターで設定する各ルーティング インスタンスには、固有のルート識別者が必要です。次の 2 つの形式が考えられます。

    • as-number:number—ここで、as-number は 1 から 65,535 の範囲の自律システム(AS)番号(2 バイト値)で、number は任意の 4 バイト値です。IANA Assigned Numbers Authority(IANA)によって割り当てられた非プライベートのAS番号を使用することが推奨されます。好ましいのは、ISPまたはカスタマーのAS番号です。

    • ip-address:number—ここで、ip-address は IP アドレス(4 バイト値)で、number は任意の 2 バイト値です。IP アドレスには、グローバルに一意なユニキャスト アドレスを指定できます。割り当てられたプレフィックス範囲内のパブリック IP アドレスである、router-id ステートメントで設定するアドレスを使用することをお勧めします。

  • ルートターゲット(RT)—ルートの複雑な共有を可能にするために、特定の VRF 内の顧客ルートの最終的なエグレス PE デバイスを特定するために使用される 64 ビット値。ルートターゲットは、どのルートがVPNの一部であるかを定義します。一意のルートターゲットは、同じルーター上の異なるVPNサービスを区別するのに役立ちます。各 VPN には、ルーターの VRF テーブルにルートをインポートする方法を定義するポリシーもあります。レイヤー2 VPNは、インポートおよびエクスポートポリシーで設定されます。レイヤー3 VPNは、一意のルートターゲットを使用してVPNルートを区別します。たとえば、RTを使用すると、共有サービスネットワーク内のルートを複数の顧客に共有できます。各 VPN ルートには、1 つ以上の RT を含めることができます。PE デバイスは、RT を拡張 BGP コミュニティ値として扱い、RT を使用してカスタマー ルートをインストールします。

  • VPN-IPv4 ルート - 32 ビット IPv4 アドレスの前に付加された 64 ビットの RD タグで構成される 96 ビットのシーケンスで構成されるルート。PE デバイスは、IBGP セッションの VPN-IPv4 ルートを他のプロバイダー デバイスにエクスポートします。これらのルートは、iBGP を使用して MPLS バックボーン間で交換されます。アウトバウンドPEデバイスは、ルートを受信すると、ルートの識別を取り除き、通常、標準のBGP IPv4ルートアドバタイズメントを介して、接続されたCEデバイスにルートをアドバタイズします。

  • VRF—仮想ルーティングおよび転送(VRF)テーブルは、PE デバイス上のさまざまな顧客のルート、およびカスタマー ルートとプロバイダー ルートを区別します。これらのルートには、重複するプライベートネットワークアドレス空間、顧客固有のパブリックルート、および顧客にとって有用なPEデバイス上のプロバイダールートが含まれる場合があります。

    VRF インスタンスは、1 つ以上のルーティング テーブル、派生転送テーブル、転送テーブルを使用するインターフェイス、転送テーブルに何を入れるかを決定するポリシーとルーティング プロトコルで構成されます。各インスタンスは特定のVPN用に設定されるため、各VPNには、その動作を制御する個別のテーブル、ルール、およびポリシーがあります。

    CE ルータに接続している VPN ごとに、個別の VRF テーブルが作成されます。VRF テーブルには、VRF インスタンスに関連付けられた直接接続された CE サイトから受信したルートと、同じ VPN 内の他の PE ルーターから受信したルートが入力されます。

レイヤー 3 VPN アーキテクチャ

レイヤー3 VPNは、カスタマーエッジルーター(CEルーター)をサービスプロバイダネットワークのエッジにあるルーター(PEルーター)にリンクします。レイヤー 3 VPN は、ローカル PE ルーターと直接接続する CE ルーター間でピア ルーティング モデルを使用します。つまり、PE と CE のルーターペアを接続するために、プロバイダーのバックボーンに複数のホップは必要ありません。PEルーターは、BGPルート識別子に基づいて、同じVPNに属するすべてのCEルーターにルーティング情報をローカルおよびプロバイダーネットワーク全体に配布します。各VPNには、そのVPNに対する独自のルーティングテーブルがあり、CEおよびPEピアルーターのルーティングテーブルと連携しています。CE ルーターと PE ルーターでは、VRF テーブルが異なります。他の VPN は CE から見えないため、各 CE ルーターには VRF テーブルが 1 つしかありません。PE ルーターは複数の CE ルーターに接続できるため、PE ルーターには、VPN で接続された各 CE の一般的な IP ルーティングテーブルと VRF テーブルがあります。

図 2 は、レイヤー 3 VPN の一般的なアーキテクチャを示しています。

図2:一般的なレイヤー3VPNアーキテクチャ。 MPLS network diagram showing VPN A and VPN B connected via tunnels and labels. CE, PE, and P routers manage traffic routing.

すべての VRF テーブルには hit に関連付けられた 1 つ以上の拡張コミュニティ属性があるため、PE ルーターはリモート VPN サイトから到着するパケットに使用する VRF テーブルを認識します。コミュニティ属性は、ルーターの特定の集合に属するものとしてルートを識別します。ルートターゲットコミュニティ属性は、PEルーターがルートを配布するサイトの集合体(より正確には、VRFテーブルの集合体)を識別します。PE ルーターは、ルート ターゲットを使用して、正しいリモート VPN ルートを VRF テーブルにインポートします。

VPN サイト間の VPN ルートのインポートとエクスポートは自動的には行われません。このプロセスは、BPGルーティング・ポリシーによって制御されます。ルーティングポリシーは、サービスプロバイダのMPLSネットワーク全体でルーティング情報を交換するためのルールを確立するものであり、ネットワークトポロジーが変更されたときには、正しく設定され、維持されなければなりません。

PE ルーターは、ピア CE ルーターによって通知され、PE ルーターによって受信された IPv4 ルートを VPN-IPv4 ルートとして分類します。イングレス PE ルーターが、直接接続されたピア CE ルーターからアドバタイズされたルートを受信すると、イングレス PE ルーターは、受信したルートをその VPN の VRF エクスポート ポリシーと照合します。つまり、イングレス PE ルーターは、アドバタイズされたルートについて知る必要があるリモート PE ルーターを決定します。これは 2 段階のプロセスです。

  • 確立されたエクスポート ポリシーがルートを受け入れる場合、PE ルーターは IPv4 アドレスにルート識別子を追加することで、情報を VPN-IPv4 形式に変換します。その後、PE ルーターはリモート PE ルーターに VPN-IPv4 ルートを通知します。VRF テーブルの設定されたエクスポート ターゲット ポリシーによって、アタッチされたルート ターゲットの値が決まります。IBGP セッションは、サービス プロバイダーのコア ネットワークに VNP-IPv4 ルートを配信します。

  • 確立されたエクスポート ポリシーがルートを受け入れない場合、PE ルーターはルートを他の PE ルーターにエクスポートしませんが、PE ルーターはルートをローカルで使用します。これは、たとえば、同じ VPN 内の 2 つの CE ルーターが同じ PE ルーターに直接接続するため、一般的なトラフィックが 1 つの CE サイトから別の CE サイトに流れる場合に発生します。

サービス プロバイダー ネットワークの反対側にあるエグレス PE ルーターがルートを受信すると、エグレス PE ルーターは PE ルーター間で実施されている IBGP インポート ポリシーと照らし合わせてルートをチェックします。エグレスPEルーターがルートを受け入れる場合、エグレスPEルーターはbgp.l3vpn.0ルーティングテーブルにルートを追加します。また、ルーターは、VPN の VRF インポート ポリシーと照らし合わせてルートをチェックします。ルートが受け入れられた場合、エグレス PE ルーターはルート識別子を削除し、ルートを正しい VRF テーブルに配置します。VRF テーブルは routing-instance-name.inet.0 命名規則を使用するため、「VPN A」は通常、テーブルを vpna.inet.0 として設定します。

サポートされているレイヤー 3 VPN 標準

Junos OSは、レイヤー3 VPN(仮想プライベートネットワーク)の標準を定義する以下のRFCを実質的にサポートしています。

  • RFC 2283、 BGP-4のマルチプロトコル拡張

  • RFC 2685、 仮想プライベートネットワーク識別子

  • RFC 2858、 BGP-4のマルチプロトコル拡張

  • RFC 4364、 BGP/MPLS IP仮想プライベートネットワーク(VPN)

  • RFC 4379、 マルチプロトコルラベルスイッチ(MPLS)データプレーン障害の検出

    traceroute 機能は、トランジット ルーターでのみサポートされています。

  • RFC 4576、BGP/MPLS IP仮想プライベートネットワーク(VPN)のループを防止するためのリンク状態広告(LSA)オプションビットを使用

  • RFC 4577、 BGP/MPLS IP仮想プライベートネットワーク(VPN)のプロバイダー/カスタマーエッジプロトコルとしてのOSPF

  • RFC 4659、 IPv6 VPN向けBGP-MPLS IP仮想プライベートネットワーク(VPN)拡張

  • RFC 4684、 境界ゲートウェイプロトコル/マルチプロトコルラベルスイッチング(BGP/MPLS)インターネットプロトコル(IP)仮想プライベートネットワーク(VPN)の制約されたルート配分

以下の RFC は、標準は定義しませんが、レイヤー 3 VPN に関連する技術に関する情報を提供します。IETFは、これらを「Best Current Practice」または「Informational」に分類しています。

  • RFC 1918、 プライベートインターネットのアドレス割り当て

  • RFC 2917、 コアMPLS IP VPNアーキテクチャ

参照

コアを経由したレイヤー 3 VPN 転送について

プロバイダーのコア ネットワーク内の PE ルーターは、VPN をサポートするように設定された唯一のルーターであるため、VPN に関する情報を持つ唯一のルーターです。VPN機能の観点から見ると、コアのプロバイダー(P)ルーター(CEルーターに直接接続されていないPルーター)は、イングレスPEルーターとエグレスPEルーター間のトンネルに沿ったルーターにすぎません。

トンネルはLDPまたはMPLSのいずれかです。トンネルに沿ったすべての P ルーターは、トンネルに使用されるプロトコル(LDP または MPLS)をサポートする必要があります。

PEルーターからPEへのルーター転送がMPLSラベルスイッチパス(LSP)上でトンネリングされる場合、MPLSパケットには2レベルのラベルスタックがあります( 図3を参照)。

  • 外側ラベル—IGPネクストホップによってBGPネクストホップのアドレスに割り当てられたラベル

  • 内側ラベル—パケットの宛先アドレスに割り当てられたBGPネクストホップのラベル

図 3:MPLS LSP を使用した PE ルーター間のトンネリング Diagram of MPLS VPN architecture showing Customer Edge and Provider Edge routers, MPLS Cloud, and MPLS labels for routing packets.

図 4 は、ラベルの割り当てと削除の方法を示しています。

  1. CEルーターXがCEルーターYを宛先とするパケットをルーターPE1に転送する場合、PEルートはルーターYへのBGPネクストホップを識別し、BGPネクストホップに対応するラベルを割り当てて宛先CEルーターを識別します。このラベルは内側ラベルです。

  2. 次に、ルーターPE1は、BGPネクストホップへのIGPルートを識別し、BGPネクストホップのLSPに対応するセカンドラベルを割り当てます。このラベルは外側のラベルです。

  3. 内側ラベルは、パケットが LSP トンネルを通過するときと同じままです。外側ラベルは、LSP に沿った各ホップでスワップされ、その後、最後から 2 番目のホップ ルーター(3 番目の P ルーター)によってポップされます。

  4. ルーターPE2は、ルートから内側ラベルをポップし、パケットをルーターYに転送します。

図 4: ラベル スタック Network topology diagram showing data flow in an MPLS network between CE Router X, PE1, LSP path, PE2, and CE Router Y.

レイヤー3 VPN属性について

VPN内のルート配信は、BGP拡張コミュニティ属性によって制御されます。RFC 4364 では、VPN で使用される以下の 3 つの属性が定義されています。

  • ターゲットVPN—プロバイダーエッジ(PE)ルーターがルートを配布するVPN内の一連のサイトを特定します。この属性は、 ルートターゲットとも呼ばれます。ルートターゲットは、受信したルートがルーターがサービスを提供するVPNを宛先としているかどうかを判断するために、エグレスPEルーターによって使用されます。

    図 5 は、ルート ターゲットの機能を示しています。PEルーターPE1は、VPN Bのサイト1でカスタマーエッジ(CE)ルーターから受信したルートに、ルートターゲット「VPN B」を追加します。ルートを受信すると、egressルーターPE2はルートターゲットを調べ、ルートがサービスを提供するVPN用であると判断し、ルートを受け入れます。egressルーターPE3が同じルートを受信した場合、VPN BのCEルーターにサービスを提供していないため、ルートを受け入れません。

  • 送信元VPN:一連のサイトと、そのセット内のサイトの 1 つからのルートを識別します。

  • 起点サイト—PE ルーターが特定のサイトから学習したルートのセットを一意に識別します。この属性により、特定のPE-CE接続を通じて特定のサイトから学習したルートが、別のPE-CE接続を介してサイトに分散されないようになります。これは、PEルーターとCEルーター間のルーティングプロトコルとしてBGPを使用しており、VPN内の異なるサイトに同じ自律システム(AS)番号が割り当てられている場合に特に役立ちます。

図 5: VPN 属性とルート分散 VPN setup diagram with VPN A and B sites, CE and PE routers, P routers, and route target communities for filtering.

VPNのルーター

図 6 は、プロバイダー エッジ(PE)ルーターによって VPN 機能がどのように提供されるかを示しています。プロバイダルーターとカスタマーエッジ(CE)ルーターには、VPNに関する特別な設定要件はありません。

図6:VPNRouters in a VPNのルーター

レイヤー 3 VPN 設定の概要

レイヤー 3 の VPN(仮想プライベート ネットワーク)機能を設定するには、PE(プロバイダ エッジ)ルーターで VPN サポートを有効にする必要があります。また、VPN にサービスを提供するプロバイダー(P)ルーターを設定し、ルートが VPN に分配されるようにカスタマー エッジ(CE)ルーターを設定する必要があります。

レイヤー 3 VPN を設定するには、以下のステートメントを含めます。

以下の階層レベルでこれらのステートメントを使用することができます。

  • [edit routing-instances routing-instance-name]

  • [edit logical-systems logical-system-name routing-instances routing-instance-name]

手記:

[edit logical-systems]階層レベルは、ACXシリーズルーターには適用されません。

sham-linksham-link-remote、およびvrf-advertise-selectiveステートメントは、ACXシリーズルーターには適用されません。

レイヤー3VPNでは、 [edit routing-instances] 階層の一部のステートメントのみが有効です。完全な階層については、 Junos OSルーティングプロトコルライブラリを参照してください。

これらのステートメントに加えて、シグナリングプロトコル、PEルーター間のIBGPセッション、およびPEおよびPルーターでIGP(内部ゲートウェイプロトコル)を有効にする必要があります。

デフォルトでは、レイヤー3VPNは無効になっています。

レイヤー 3 VPN の構成手順の多くは、すべてのタイプの VPN に共通です。

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
17.4
Junos OS リリース 17.4R1 以降、イーサネット VPN(EVPN)のサポートは、MX デバイス上で実行される論理システムにも拡張されています。同じEVPNオプションとパフォーマンスが利用可能で、 [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn] 階層で設定できます。