概要
VPNのタイプ
仮想プライベート ネットワーク(VPN)は、プロバイダのネットワークと顧客のネットワークという 2 つのトポロジ領域で構成されています。顧客のネットワークは、通常、複数の物理サイトに位置し、プライベート(非インターネット)です。顧客サイトは通常、1 つの物理的な場所にルーターや他のネットワーク機器のグループで構成されます。プロバイダのネットワークは、パブリックなインターネット インフラストラクチャ全体で実行され、顧客のネットワークに VPN サービスを提供するルーターと、その他のサービスを提供するルーターで構成されています。プロバイダのネットワークは、顧客とプロバイダに見たさまざまな顧客サイトをプライベート ネットワークに接続します。
VPN がプライベートな状態を維持し、他の VPN やパブリック インターネットから分離された状態を維持するために、プロバイダのネットワークでは異なる VPN からのルーティング情報を分離するポリシーを維持しています。プロバイダは、ポリシーによって異なる VPN からのルートを分離している限り、複数の VPN にサービスを提供できます。同様に、カスタマー サイトは異なる VPN からルートを分離している限り、複数の VPN に属することができます。
Junos®オペレーティング システム(Junos OS)には、いくつかのタイプの VPN があります。ネットワーク環境に最適なソリューションを選択できます以下の各 VPN には機能が異なっています。設定にはさまざまなタイプが必要です。
レイヤー 2 VPN
ルーターへのレイヤー 2 VPN の実装は、ATM やフレーム リレーなどのレイヤー 2 テクノロジを使用した VPN の実装に似ています。ただし、ルーター上のレイヤー 2 VPN では、トラフィックはレイヤー 2 形式でルーターに転送されます。サービス プロバイダのネットワークMPLSを使用して送信され、受け取りサイトでレイヤー 2 形式に戻されます。さまざまなレイヤー 2 形式は、送受信サイトで設定できます。レイヤー 2 VPN のセキュリティMPLSプライバシーは、ATM またはフレーム リレー VPN のセキュリティとプライバシーと等しくなります。
レイヤー 2 VPN では、ルーティングは顧客のルーター上で(通常は顧客のルーター上CEされます。レイヤー 2 VPN CE サービス プロバイダに接続するスイッチ ルーターは、トラフィックの送信に適した回線を選択する必要があります。トラフィックを受信する PE ルーターは、トラフィックをサービス プロバイダのネットワークを通して、受信側サイトに接続された PE ルーターに送信します。PE ルーターは、顧客のルートの保存や処理を必要とします。適切なトンネルにデータを送信するように設定する必要があるのみです
レイヤー 2 VPN の場合、すべてのレイヤー 3 トラフィックを実行するために独自のルーターを設定する必要があります。サービス プロバイダは、レイヤー 2 VPN の送信に必要なトラフィック量のみを知る必要があります。サービス プロバイダのルーターは、レイヤー 2 VPN インターフェイスを使用して顧客のサイト間のトラフィックを処理します。VPN トポロジーは、PE ルーターに設定されたポリシーによって決定されます。
レイヤー 3 VPN
レイヤー 3 VPN では、ルーティングはサービス プロバイダのルーター上で実行されます。そのため、レイヤー 3 VPN ではサービス プロバイダの部分でより多くの設定が必要になります。サービス プロバイダの PE ルーターは顧客のルートを保存して処理する必要があります。
このJunos OSレイヤー 3 VPN は RFC 4364、 BGP/MPLS IP 仮想プライベート ネットワーク(VPN)に基づいて構築されています。この RFC では、サービス プロバイダが IP バックボーンを使用してレイヤー 3 VPN サービスを顧客に提供するメカニズムを定義しています。レイヤー 3 VPN を構成するサイトは、プロバイダの既存のパブリック インターネット バックボーンを使用して接続されます。
RFC 4364 に基づく VPN は、BGP/MPLS VPN とも呼ばれる。BGP を使用して VPN ルーティング情報をプロバイダのバックボーンに配信し、MPLS を使用してバックボーンからリモート VPN サイトに VPN トラフィックを転送します。
顧客のネットワークはプライベートのため、RFC 1918 で定義されている 「Address Allocation for Private Internets.」で定義されている、パブリック アドレスまたはプライベート アドレスのいずれかを使用できます。プライベート アドレスを使用する顧客ネットワークがパブリック インターネット インフラストラクチャに接続すると、そのプライベート アドレスが他のネットワーク ユーザーが使用するプライベート アドレスと重複している可能性があります。BGP/MPLS VPN は、特定の VPN サイトの各アドレスに VPN 識別子をプレフィックスすることでこの問題を解決し、VPN 内とパブリック インターネット内の両方で一意のアドレスを作成します。さらに、各VPNには、そのVPNのルーティング情報ルーティング テーブルVPN固有のVPN専用ゲートウェイがあります。
VPLS
VPLS(仮想プライベートLANサービス)を使用すると、地理的に分散した顧客サイトを、同じLANに接続されているとして接続できます。さまざまな方法で、レイヤー 2 VPN のように機能します。VPLS とレイヤー 2 VPN では、同じネットワーク トポロジーと機能を同様に使用します。顧客のネットワーク内で発生したパケットは、最初にデバイスCEされます。その後、サービス プロバイダのネットワーク内の PE ルーターに送信されます。パケットはサービス プロバイダのネットワークを通過し、MPLS LSP を通過します。エグレス PE ルーターに到着し、宛先のカスタマー サイトにあるCEを宛先デバイスに転送します。
VPLS の主な違いは、パケットがポイント to マルチポイントの方法でサービス プロバイダのネットワークを通過できる点です。つまり、CE デバイスから発生したパケットを VPLS 内の PE ルーターにブロードキャストできます。その一方、レイヤー 2 VPN はポイント to-ポイントの方法でのみパケットを転送します。PE ルーターによってアクセス デバイスからCEされたパケットの宛先は、レイヤー 2 VPN が適切に機能することが分かっている必要があります。
レイヤー 3 ネットワークでは、VPLS(仮想プライベート LAN サービス)を設定し、地理的に分散したイーサネット LAN(ローカル エリア ネットワーク)サイトを複数のネットワーク バックボーン間でMPLSできます。VPLS を実装している ISP のお客様は、トラフィックがサービス プロバイダのネットワークを移動する場合でも、すべてのサイトが同じイーサネット LAN 内にある可能性があります。VPLS は、仮想ネットワーク上でイーサネット トラフィックをMPLSするように設計されています。VPLS は、ある意味でイーサネット ネットワークの動作を模倣しています。VPLS ルーティング インスタンスで設定された PE ルーターが CE デバイスからパケットを受信すると、最初に VPLS パケットの宛先に対してルーティング テーブルなパケットを確認します。ルーターに宛先がある場合は、そのルーターを適切な PE ルーターに転送します。宛先を持っていない場合、同じ VPLS ルーティング インスタンスのメンバーである他のすべての PE ルーターにパケットをブロードキャストします。PE ルーターはパケットをデバイスにCEします。パケットCE受け取る意図したデバイスから、パケットを最終宛先に転送します。その他のCEは破棄します。
仮想ルーター ルーティング インスタンス
VPN ルーティングおよび転送(VRF)ルーティング インスタンスのような仮想ルーター ルーティング インスタンスは、インスタンスごとに異なるルーティング テーブルと転送テーブルを保持します。ただし、VRF ルーティング インスタンスに必要な多くの構成手順は、仮想ルーター ルーティング インスタンスでは必要ありません。特に、P ルーター間でルートの識別、ルーティング テーブル ポリシー(、 ステートメント)、またはMPLS設定 vrf-export
vrf-import
route-distinguisher
する必要があります。
ただし、仮想ルーター ルーティング インスタンスに参加する各サービス プロバイダ ルーター間で、個別の論理インターフェイスを設定する必要があります。また、各ルーティング インスタンスに参加しているサービスプロバイダルーターとカスタマールーターの間で、別々の論理インターフェイスを設定する必要があります。各仮想ルーター インスタンスは、参加しているすべてのルーターに固有の論理インターフェイス セットを必要とします。
図 1 は、この仕組みについて示しています。サービス プロバイダ ルーター G および H は、仮想ルーター ルーティング インスタンス Red と Green に対して設定されています。各サービス プロバイダ ルーターは、各ルーティング インスタンス内の 1 台である 2 台のローカル カスタマー ルーターに直接接続されています。また、サービス プロバイダ ルーターは、サービス プロバイダ ネットワークを使用して互いに接続されます。これらのルーターには、ローカルに接続された各カスタマールーターへの論理インターフェイスと、各仮想ルーター インスタンスの 2 つのサービス プロバイダ ルーター間でトラフィックを送信する論理インターフェイスという 4 つの論理インターフェイスが必要です。
レイヤー 3 VPN には、この設定要件は適用されない。PE ルーター上で複数のレイヤー 3 VPN ルーティング インスタンスを設定した場合、すべてのインスタンスが同じ論理インターフェイスを使用して別の PE ルーターに到達できます。これが可能になるのは、レイヤー 3 VPN がさまざまなルーティング インスタンスとのMPLS(VPN)ラベルを使用してトラフィックを区別している場合です。仮想MPLSルーティング インスタンスのように、ホスト ラベルと VPN ラベルがない場合、トラフィックを異なるインスタンスから分離するために個別の論理インターフェイスが必要です。
サービス プロバイダ ルーター間にこの論理インターフェイスを提供する方法の 1 つは、ルーター間のトンネルを設定することでした。IP セキュリティ(IPsec)、GRE(汎用ルーティング カプセル化)、またはサービス プロバイダ ルーター間の IP-IP トンネルを設定して、仮想ルーター インスタンスでトンネルを終端できます。
VPN と論理システム
1 台の物理ルーターをパーティション化して、独立したルーティング タスクを実行する複数の論理システムに分割できます。論理システムは物理ルーターが処理したタスクのサブセットを実行します。ため、論理システムは単一のルーティング プラットフォームの使用を最大限に活用する効果的な方法を提供します。
論理システムは、物理ルーターのアクションのサブセットを実行し、固有のルーティング テーブル、インターフェイス、ポリシー、ルーティング インスタンスを持っています。単一ルーター内の論理システム のセットは、以前は複数の小さいルーターで実行された機能を処理できます。
論理システムは、レイヤー 2 VPN、レイヤー 3 VPN、VPLS、レイヤー 2 回線をサポートします。論理システムの詳細については、「 ルーターおよびデバイス の論理システム ユーザー ガイド」を参照スイッチ。
EVPN(Junos OS リリース 17.4R1から、イーサネット VPN(EVPN)のサポートは MX デバイス上で実行されている論理システムにも拡張されています。階層の下で設定できる、同じ EVPN オプションとパフォーマンス [edit logical-systems logical-system-name routing-instances routing-instance-name protocols evpn]
を使用できます。
レイヤー 3 VPN について
仮想プライベート ネットワーク(VPN)とは、パブリック ネットワークを使用して 2 つ以上のリモート サイトを接続するプライベート ネットワークです。VPN は、ネットワーク間の専用接続の代わりに、一般的にサービス プロバイダ ネットワークであるパブリック ネットワークを介してルーティング(トンネリング)される仮想接続を使用します。
レイヤー 3 VPN は、OSI モデルのレイヤー 3 レベルであるネットワーク レイヤーで動作します。レイヤー 3 VPN は、サービス プロバイダの既存のパブリック インターネット バックボーンを使用して接続される一連の顧客サイトで構成されています。ピアツーピア モデルは、顧客サイトへの接続に使用されます。このモデルでは、サービス プロバイダが顧客とのピアリング上のカスタマー ルートを学習します。一般的なルーティング情報は、マルチプロトコル BGP を使用してプロバイダのバックボーン間で共有され、VPN トラフィックはマルチプロトコル MPLS を使用して顧客サイトに転送されます。
Junos OS RFC 4364 ベースのレイヤー 3 VPN をサポートします。RFC では、接続に MPLS トンネルを使用する VPN、到達可能性情報BGP配信するプロトコル、トランスポート用 IP バックボーンについて説明しています。サービス プロバイダは、IP バックボーンを使用して、同じ VPN に属する顧客サイトのセットをリンクします。
レイヤー 3 VPN のコンポーネント
サービス VPN には、MPLS 2 VPN、レイヤー 2 回線、レイヤー 3 VPN の 3 つの主要なタイプがあります。すべてのタイプのMPLS VPNは、特定のコンポーネントを共有します。
CEデバイス - プロバイダのネットワークに接続するCE施設にあるカスタマー エッジ(CE)デバイス。CPE(Customer Premises Equipment)デバイスと呼ばれるモデルもあります。
顧客ネットワーク — VPN に属CEデバイスを持つ顧客サイト。
プロバイダ ネットワーク — サービス プロバイダは、バックボーン ネットワークバックボーンをMPLSします。
P デバイス — プロバイダのネットワークのコア内のプロバイダ(P)デバイス。プロバイダ デバイスはカスタマー サイトの任意のデバイスに接続されていません。PE デバイスのペア間のトンネルの一部です。プロバイダ デバイスは、トンネルのサポートの一環として LSP(ラベルスイッチ パス)機能をサポートしていますが、VPN 機能はサポートされていません。
PE デバイス —サービス プロバイダ コア ネットワーク内の PE(プロバイダ エッジ)デバイスで、顧客のサイトにある CEデバイスに直接接続できます。
MP-BGP: PE デバイスは MP-BGP を使用して、顧客ルートをネットワーク バックボーン全体に適切な PE デバイスMPLSします。
レイヤー 3 VPN の用語
VPN では、ネットワークのコンポーネントを識別するために、個別の用語を使用します。
IP ルーティング テーブル プロトコル(グローバル ルーティングともルーティング テーブル)—この表には、VRF に含まれていないサービス プロバイダ ルートが含まれています。プロバイダ のデバイスは、このテーブルを互いに到達可能にし、VRF テーブルが特定の VPN 上のすべての顧客デバイスに到達するために必要です。たとえば、バックボーン P ルーターにインターフェース A を持つ PE ルーターは、バックボーン P ルーターにインターフェース CE A アドレスを、グローバル IP ルーター内の VRF およびインターフェース B アドレスをルーティング テーブル。
ルート識別機能 — IP アドレスの先頭に 64 ビットの値を付加します。この固有のタグは、異なる顧客のルートを同じサービス プロバイダ トンネルを通るパケット フローとして識別するのに役立ちます。
一般的なトランジット ネットワークは複数の VPN を処理するように設定されたため、プロバイダ ルーターには複数の VRF インスタンスが設定されている可能性があります。その結果、トラフィックの起点とトラフィックに適用されるフィルタリング ルールに応じて、BGP ルーティング テーブルに特定の宛先アドレスに対する複数のルートを含めできます。BGPでは、宛先ごとに1つのBGPルートを転送テーブルにインポートする必要があります。ため、BGPには、異なるVPNから受信したNLRI(ネットワーク レイヤー到達可能性情報)メッセージを区別する方法が必要です。
ルート識別機能は、特定のVPNのすべてのルート情報を識別するローカルで一意の番号です。一意の数字識別子によりBGP同一のルートを区別することができます。
PE ルーターで設定する各ルーティング インスタンスには、固有のルート識別機能が必要です。次の 2 種類の形式が可能です。
as-number:number—ここで as-number 、1~65,535 の範囲の自律システム(AS)番号(2 バイト値)であり、任意の 4 バイト値です number 。割り当てIANA(IANA)の非プライベートの AS 番号を使用することをお勧めします。好ましいのは ISP または顧客の電話番号ASです。
ip-address:number—ここで ip-address 、IP アドレス(4 バイト値)は任意 number の 2 バイト値です。IP アドレスには、グローバルで一意のユニキャスト アドレスを任意に指定できます。設定したアドレスを router-id ステートメントで使用することをお勧めします。これは、割り当てられたプレフィックス範囲のパブリック IP アドレスです。
RT(ルート ターゲット)—ルートの複雑な共有を可能にする、特定の VRF 内の顧客ルートの最終エグレス PE デバイスを識別するために使用される 64 ビット値。ルート ターゲットは、VPN の一部であるルートを定義します。固有のルート ターゲットは、同じルーター上の異なる VPN サービスを区別するのに役立ちます。各 VPN には、ルーター上の VRF テーブルにルートをインポートする方法を定義するポリシーも含まれます。レイヤー 2 VPN は、インポート ポリシーとエクスポート ポリシーで設定されています。レイヤー 3 VPN は、一意のルート ターゲットを使用して VPN ルートを区別します。たとえば RT では、共有サービス ネットワーク内のルートを複数の顧客に共有できます。各 VPN ルートに 1 つ以上の TS を設定できます。PE デバイスは、コミュニティ値として拡張されたBGP TS を処理し、RTS を使用してカスタマー ルートをインストールします。
VPN-IPv4 ルート — 32 ビット IPv4 アドレスの先頭に付加された 64 ビット RD タグで構成される 96 ビット シーケンスで構成されるルート。PE デバイスは、IBGP セッション内の VPN-IPv4 ルートを他のプロバイダ デバイスにエクスポートします。これらのルートは、iBGP を使用してMPLSバックボーン間で交換されます。アウトバウンド PE デバイスがルートを受信すると、ルートの識別を削除し、通常は標準の BGP IPv4 ルート アドバタイズメントを介して、接続された CE デバイスにルートをアドバタイズします。
VRF — VRF(仮想ルーティングおよび転送)テーブルは、さまざまな顧客のルートと、PE デバイス上のプロバイダ ルートと顧客ルートを区別します。これらのルートには、重複するプライベート ネットワーク のアドレス スペース、顧客固有のパブリック ルート、顧客にとって有益な PE デバイス上のプロバイダ ルートを含めることができます。
VRF インスタンスは、1 つ以上のルーティング テーブル、派生フォワーディング テーブル、転送テーブルを使用するインターフェイス、転送テーブルに入る内容を決定するポリシーとルーティング プロトコルで構成されます。各インスタンスは特定のVPNに対して設定されたため、各VPNには、運用を制御する別のテーブル、ルール、ポリシーがあります。
仮想ルーターと接続している各 VPN に対して、個別の VRF テーブルCEされます。VRF テーブルには、VRF インスタンスに関連付けられた直接接続された CE サイトから受信したルートと、同じ VPN 内の他の PE ルーターから受信したルートが追加されます。
レイヤー 3 VPN アーキテクチャ
レイヤー 3 VPN は、顧客エッジ ルーター(CE)をサービス プロバイダ ネットワーク(PE ルーター)のエッジ上のルーターにリンクします。レイヤー 3 VPN は、直接接続するローカル PE ルーターとリモート ルーター間のピア CEモデルを使用します。つまり、PE とルーター ペアを接続するためにプロバイダ バックボーンで複数のホップCE必要がないのです。PE ルーター CEは、ローカルおよびプロバイダ ネットワークを通して、BGP ルート識別に基づいて、同じ VPN に属するすべてのルーターにルーティング情報を配信します。各 VPN には、その VPN にルーティング テーブルのポリシーが設定され、これらの VPN と PE ピア ルーターのルーティング CE調整されます。仮想CE PE ルーターには、さまざまな VRF テーブルがあります。各CEの VRF テーブルは 1 つしかなく、他の VPN は仮想ルーターからは検出CE。PE ルーターは複数のルーターにCE接続できます。そのため、PE ルーターは VPN に接続されたルーターごとに一般的な IP ルーティング テーブル と VRF CEを持つ。
図 2 は 、レイヤー 3 VPN の一般的なアーキテクチャを示しています。
すべての VRF テーブルにはヒットに関連付けられた拡張コミュニティ属性が 1 つ以上あるため、PE ルーターはリモート VPN サイトから受信したパケットに使用する VRF テーブルを把握します。コミュニティ属性は、ルーターの特定の収集に属するルートを識別します。ルート ターゲット コミュニティ属性は、PE ルーターがルートを配信するサイトの集め(より正確には VRF テーブルの収集)を識別します。PE ルーターがルート ターゲットを使用して、正しいリモート VPN ルートを VRF テーブルにインポートします。
VPN サイト間の VPN ルートのインポートとエクスポートは自動的ではありません。このプロセスは、BPG ルーティング 警察によって制御されます。ルーティング ポリシーは、サービス プロバイダの MPLS ネットワーク間でルーティング情報を交換するためのルールを確立し、ネットワーク トポロジーの変更時に正しく構成し、維持する必要があります。
PE ルーターは、ピア ルーティング ルーターによってCEされ、PE ルーターが VPN-IPv4 ルートとして受信した IPv4 ルートを分類します。イングレス PE ルーターが直接接続されたピア CE ルーターからアドバタイズされたルートを受信すると、イングレス PE ルーターは受信したルートをその VPN の VRF エクスポート ポリシーに対してチェックします。つまり、イングレス PE ルーターがアドバタイズされたルートを知る必要があるリモート PE ルーターを決定します。これは、次の 2 つのステップで行うプロセスです。
確立されたエクスポート ポリシーがルートを受け入れる場合、PE ルーターはルートの識別情報を IPv4 アドレスに追加することで、情報を VPN-IPv4 形式に変換します。その後、PE ルーターは、リモート PE ルーターへの VPN-IPv4 ルートをアナウンスします。VRF テーブルの設定されたエクスポート ターゲット ポリシーによって、アタッチされたルート ターゲットの値が決定されます。IBGP セッションは、サービス プロバイダのコア ネットワーク全体に VNP-IPv4 ルートを分散します。
確立されたエクスポート ポリシーがルートを受け入れできない場合、PE ルーターは他の PE ルーターにルートをエクスポートされますが、PE ルーターはルートをローカルで使用します。これは、たとえば、同じ VPN CEにある 2 台のルーターが同じ PE ルーターに直接接続して、一般的なトラフィックがサイト間をCEできる場合に発生します。
サービス プロバイダ ネットワークのもう一方の側にあるエグレス PE ルーターがルートを受信すると、エグレス PE ルーターは PE ルーター間で配置されている IBGP インポート ポリシーに対してルートをチェックします。エグレス PE ルーターがルートを受け入れる場合、エグレス PE ルーターはルートを bgp.l3vpn.0 ルーターに追加ルーティング テーブル。ルーターはまた、VPN の VRF インポート ポリシーに対してルートを確認します。ルートが受け入れられる場合、エグレス PE ルーターはルートの識別を削除し、そのルートを正しい VRF テーブルに挿入します。VRF テーブルは routing-instance-name.inet.0 の命名規則を使用します。そのため、「VPN A」では通常、このテーブルを vpna.inet.0 として設定します。
サポートされるレイヤー 3 VPN 標準
Junos OSは、レイヤー 3 VPN(仮想プライベート ネットワーク)の標準を定義した以下の RFC を実質的にサポートしています。
RFC 2283, Multiprotocol Extensions for BGP-4
RFC 2685、Virtual Private Networks Identifier
RFC 2858, Multiprotocol Extensions for BGP-4
RFC 4364, BGP/MPLS IP Virtual Private Networks(VPN)
RFC 4379, Detecting Multi-Protocol Label Switched(MPLS) Data Plane Failures
traceroute 機能はトランジット ルーターでのみサポートされています。
RFC 4576,Using a Link State Advertisement(LSA) Options Bit to Prevent Loop in BGP/MPLS IP Virtual Private Networks(VPN)
RFC 4577, OSPF provider/Customer Edge Protocol as the Provider/Customer Edge Protocol for BGP/MPLS IP Virtual Private Networks(VPN)
RFC 4659,BGP-MPLS IP Virtual Private Network(VPN)Extension for IPv6 VPN
RFC 4684, Constrained Route Distribution for 境界ゲートウェイ プロトコル/MultiProtocol Label Switching(BGP/MPLS) Internet Protocol(IP) Virtual Private Networks(VPN)
以下の RFC は規格を定義していますが、レイヤー 3 VPN に関連する技術に関する情報を提供します。またIETF、それらを「現在のベスト プラクティス」または「Informational」に分類しています。
RFC 1918, Address Allocation for Private Internets(プライベート インターネットへのアドレス割り当て)
RFC 2917, A Core MPLS IP VPN アーキテクチャ
詳細については、
コアを介したレイヤー 3 VPN 転送について
プロバイダのコア ネットワーク内の PE ルーターは、VPN をサポートするように構成された唯一のルーターであるため、VPN に関する情報を持つ唯一のルーターになります。VPN 機能の観点から見て、コアのプロバイダ(P)ルーター(CE ルーターに直接接続されていない P ルーター)は、イングレス PE ルーターとエグレス PE ルーター間のトンネルに沿ったルーターに過ごしたに過ごしができません。
トンネルは LDP またはMPLS。トンネルに沿った P ルーターは、LDP またはトンネル トンネルに使用されるプロトコルをサポートしているMPLS。
PE ルーターから PE へのルーター転送を MPLS の LSP(ラベルスイッチ パス)上でトンネリングすると、MPLS パケットには 2 レベルのラベル スタックが含されます(図 3を参照)。
外部ラベル — 指定したネクスト ホップによってBGPアドレスに割りIGPされたラベル
内部ラベル — パケットの宛先アドレスBGPネクスト ホップを指定するラベル
図 4 は 、ラベルの割り当てと削除を行う方法を示しています。
CE ルーター X が宛先 CE ルーター Y を持つルーター PE1 にパケットを転送すると、PE ルートはルーター Y に BGP ネクスト ホップを識別し、BGP のネクスト ホップに対応するラベルを割り当て、宛先 CE ルーターを識別します。このラベルは内部ラベルです。
次に IGP、ルーター PE1 は、BGP ネクスト ホップへのルーティング ルートを識別し、ネクスト ホップの LSP に対応する 2 番目のラベルBGPします。このラベルは外部ラベルです。
内部ラベルは、パケットが LSP トンネルを通過する場合と同じままです。外部ラベルは LSP に沿った各ホップでスワップされ、最後から 3 番目の P ルーター(3 番目の P ルーター)がポップされます。
ルーター PE2 は、ルートから内部ラベルをポップして、パケットをルーター Y に転送します。
レイヤー 3 VPN 属性について
VPN 内のルート配信は、拡張されたコミュニティ属性BGPによって制御されます。RFC 4364 は、VPN で使用される次の 3 つの属性を定義しています。
ターゲット VPN —PE(プロバイダ エッジ)ルーターがルートを分散する VPN 内のサイトのセットを識別します。この属性は ルート ターゲット とも 呼ばれる.ルート ターゲットは、エグレス PE ルーターが使用して、受信したルートがルーターがサービスする VPN 宛てかどうかを判断します。
図 5 は 、ルート ターゲットの機能を示しています。PE ルーター PE1 は、VPN B のサイト 1 にある カスタマー エッジ(CE)ルーターから受信したルートに、ルート ターゲットの「VPN B」を追加します。ルートを受信すると、サービス エグレス ルーター PE2 はルート ターゲットを調査し、ルートがサービスする VPN 用と判断し、ルートを受け入れる必要があります。PE3 エグレス ルーターが同じルートを受信すると、VPN B 内の任意のルーターにサービスを提供しCEルートを受け入れない。
VPN of origin —そのセット内のいずれかのサイトからの情報として、サイトのセットと対応するルートを識別します。
発生元サイト — PE ルーターが特定のサイトから学習したルートのセットを一意に識別します。この属性により、特定の PE-CE 接続を介して特定のサイトから学習されたルートは、別の PE-CE 接続を介してサイトに配信されません。特に便利なのが、PE ルーターと CE ルーター間のルーティング プロトコルとして BGP を使用している場合、VPN 内の異なるサイトに同じ自律システム(AS)番号が割り当てられた場合です。
VPN 内のルーター
図 6 は 、プロバイダ エッジ(PE)ルーターが VPN 機能を提供する方法を示しています。プロバイダルーターとカスタマー エッジ(CE)には、VPNの特別な設定要件はありません。
レイヤー 3 VPN の構成の概要
レイヤー 3 VPN(仮想プライベート ネットワーク)機能を設定するには、PE(プロバイダ エッジ)ルーターで VPN サポートを有効にする必要があります。また、VPN をサービスする任意のプロバイダ(P)ルーターを設定し、そのルートが VPN に分散される カスタマー エッジ(CE)ルーターを設定する必要があります。
レイヤー 3 VPN を設定するには、次のステートメントを含める必要があります。
description text; instance-type vrf; interface interface-name; protocols { bgp { group group-name { peer-as as-number; neighbor ip-address; } multihop ttl-value; } (ospf | ospf3) { area area { interface interface-name; } domain-id domain-id; domain-vpn-tag number; sham-link { local address; } sham-link-remote address <metric number>; } rip { rip-configuration; } } route-distinguisher (as-number:id | ip-address:id); router-id address; routing-options { autonomous-system autonomous-system { independent-domain; loops number; } forwarding-table { export [ policy-names ]; } interface-routes { rib-group group-name; } martians { destination-prefix match-type <allow>; } maximum-paths { path-limit; log-interval interval; log-only; threshold percentage; } maximum-prefixes { prefix-limit; log-interval interval; log-only; threshold percentage; } multipath { vpn-unequal-cost; } options { syslog (level level | upto level); } rib routing-table-name { martians { destination-prefix match-type <allow>; } multipath { vpn-unequal-cost; } static { defaults { static-options; } route destination-prefix { next-hop [next-hops]; static-options; } } } } static { defaults { static-options; } route destination-prefix { policy [ policy-names ]; static-options; } } vrf-advertise-selective { family { inet-mvpn; inet6-mvpn; } } vrf-export [ policy-names ]; vrf-import [ policy-names ]; vrf-target (community | export community-name | import community-name); vrf-table-label;
これらのステートメントは、以下の階層レベルに含めできます。
[edit routing-instances routing-instance-name]
[edit logical-systems logical-system-name routing-instances routing-instance-name]
階層 [edit logical-systems]
レベルは、すべての階層ACX シリーズできません。
sham-link
、 sham-link-remote
、 、 ステートメントは vrf-advertise-selective
、指定したルーター ACX シリーズできません。
レイヤー 3 VPN では、階層内の一部のステートメントだけが [edit routing-instances]
有効です。階層の完全な詳細については、「 ルーティング プロトコル ライブラリJunos OSを参照してください。
これらのステートメントに加えて、PE ルーター間のシグナリング プロトコル、PE ルーター間の IBGP セッション、および PE ルーターおよび P ルーター上の内部ゲートウェイ プロトコル(IGP)を有効にする必要があります。
デフォルトでは、レイヤー 3 VPN は無効になっています。
レイヤー 3 VPN の設定手順の多くは、すべてのタイプの VPN に共通しています。