PE と CE ルーター間のルーティングの設定
このトピックでは、レイヤー 3 VPN で PE および CE ルーター \ でルーティングを設定する方法に関する情報を提供します。
レイヤー 3 VPN における PE ルーターと CE ルーター間のルーティングの設定
PE ルーターが接続された CE ルーターとの間で VPN 関連ルートを配布するには、VPN ルーティング インスタンス内でルーティングを設定する必要があります。ルーティングプロトコル(BGP、OSPF、RIP)を設定することも、スタティックルーティングを設定することもできます。各 CE ルーターへの接続では、1 種類のルーティングのみを設定できます。
以下のセクションでは、PEとCEルーター間のVPNルーティングを設定する方法について説明します。
- PE と CE ルーター間の BGP の設定
- PE と CE ルーター間の OSPF の設定
- レイヤー 3 VPN 向け OSPF シャム リンクの設定
- OSPF ドメイン ID の設定
- PE と CE ルーター間の RIP の設定
- PE と CE ルーター間のスタティック ルートの設定
PE と CE ルーター間の BGP の設定
PE と CE ルーター間のルーティング プロトコルとして BGP を設定するには、 ステートメントを bgp含めます。
bgp {
group group-name {
peer-as as-number;
neighbor ip-address;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]メモ:階層
[edit logical-systems]レベルは、ACXシリーズルーターでは適用されません。ルーティングインスタンスにBGPを設定する場合、以下の制限に注意してください。
VRFルーティングインスタンスでは、別のVRFルーティングインスタンスでリモートBGPピアが既に使用しているAS番号を使用して、ローカル自律システム(AS)番号を設定しないでください。これにより、このリモートBGPピアから受信したすべてのルートが非表示となる自律システムループが作成されます。
ローカルAS番号は、 階層レベルの
autonomous-system[edit routing-instances routing-instance-name routing-options]ステートメント、またはlocal-as以下の階層レベルの ステートメントのいずれかを使用して設定します。[edit routing-instances routing-instance-name protocols bgp][edit routing-instances routing-instance-name protocols bgp group group-name][edit routing-instances routing-instance-name protocols bgp group group-name neighbor address]
BGPピアのAS番号は、 階層レベルの ステートメントを
peer-as[edit routing-instances routing-instance-name protocols bgp group group-name]使用して設定します。
PE と CE ルーター間の OSPF の設定
OSPF(バージョン 2 またはバージョン 3)を設定して、PE ルーターと CE ルーター間で VPN 関連ルートを配布できます。
以下のセクションでは、PE と CE ルーター間のルーティング プロトコルとして OSPF を設定する方法について説明します。
PE と CE ルーター間の OSPF バージョン 2 の設定
PE と CE ルーター間のルーティング プロトコルとして OSPF バージョン 2 を設定するには、 ステートメントを ospf 含めます。
ospf {
area area {
interface interface-name;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]メモ:階層
[edit logical-systems]レベルは、ACXシリーズルーターでは適用されません。
PE と CE ルーター間の OSPF バージョン 3 の設定
PE と CE ルーター間のルーティング プロトコルとして OSPF バージョン 3 を設定するには、 ステートメントを ospf3 含めます。
ospf3 {
area area {
interface interface-name;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]メモ:階層
[edit logical-systems]レベルは、ACXシリーズルーターでは適用されません。
レイヤー 3 VPN 向け OSPF シャム リンクの設定
レイヤー 3 VPN の PE ルーターと CE ルーター間で OSPF を設定する場合、OSPF のエリア内リンクに関連する問題を補うために OSPF シャム リンクを設定することもできます。
以下のセクションでは、OSPF シャム リンクとその設定方法について説明します。
OSPF シャム リンクの概要
図 1 は、OSPF シャム リンクをいつ設定するかの図を示しています。ルーターCE1とルーターCE2は、同じOSPFエリアにあります。これらの CE ルーターは、ルーター PE1 とルーター PE2 を介したレイヤー 3 VPN によって一緒にリンクされています。さらに、ルーターCE1とルーターCE2は、バックアップとして使用されるエリア内リンクによって接続されます。
OSPF は、レイヤー 3 VPN を介したリンクをエリア間リンクとして扱います。デフォルトでは、OSPFはエリア内リンクをエリア内リンクに優先するため、OSPFはバックアップエリア内リンクをアクティブなパスとして選択します。これは、エリア内リンクがCEルーター間のトラフィックに予想されるプライマリパスではない設定では許容されません。
OSPF シャム リンクは、 図 1 に示すように PE ルーター間で設定されている点を除き、エリア内リンクでもあります。シャムリンクのメトリックを設定して、CEルーターを接続するエリア内リンク上のバックアップパスよりもレイヤー3 VPN上のパスが優先されるようにすることができます。
OSPF シャム リンクは、以下の状況で設定する必要があります。
2 つの CE ルーターがレイヤー 3 VPN によってリンクされています。
これらの CE ルーターは、同じ OSPF エリアにあります。
2つのCEルーター間にエリア内リンクが設定されています。
CEルーター間にエリア内リンクがない場合、OSPFシャムリンクを設定する必要はありません。
OSPF シャム リンクの詳細については、インターネット ドラフト draft-ietf-l3vpn-ospf-2547-01.txt( BGP/MPLS VPN の PE/CE プロトコルとしての OSPF)を参照してください。
OSPF シャム リンクの設定
シャムリンクは、番号なしポイントツーポイントエリア内リンクであり、タイプ1のリンク状態アドバタイズ(LSA)によってアドバタイズされます。シャム リンクは、ルーティング インスタンスと OSPF バージョン 2 に対してのみ有効です。
各シャムリンクは、ローカルおよびリモートのシャムリンクエンドポイントアドレスと、それが属するOSPFエリアの組み合わせによって識別されます。シャム リンクは手動で設定する必要があります。2 つの PE ルーター間のシャム リンクを設定します。どちらも同じ VRF ルーティング インスタンス内にあります。
シャム リンクのローカル エンドポイントのアドレスを指定する必要があります。このアドレスは、シャム リンク パケットの送信元として使用され、リモート PE ルーターによってシャム リンク リモート エンドポイントとしても使用されます。
OSPF シャム リンクのローカル アドレスは、ローカル VPN のループバック アドレスで指定する必要があります。このアドレスへのルートは、BGP によって伝播する必要があります。sham-link ステートメントのローカル オプションを使用して、ローカル エンド ポイントのアドレスを指定します。
sham-link { local address; }
以下の階層レベルでこのステートメントを含めることができます。
[ルーティングインスタンスプロトコルospfの routing-instance-name 編集]
[論理システム logical-system-name ルーティングインスタンスプロトコルospfを routing-instance-name 編集]
OSPF シャム リンクのリモート アドレスは、リモート VPN のループバック アドレスで指定する必要があります。このアドレスへのルートは、BGP によって伝播する必要があります。リモート エンド ポイントのアドレスを指定するには、 sham-link-remote ステートメントを含めます。
sham-link-remote address <metric number>;
以下の階層レベルでこのステートメントを含めることができます。
[ルーティングインスタンス routing-instance-name プロトコルospfエリア area-idを編集]
[論理システム logical-system-name ルーティングインスタンス routing-instance-name プロトコルospfエリア area-idを編集]
オプションで、 メトリック オプションを含めて、リモート エンドポイントのメトリック値を設定できます。メトリック値は、リンクを使用するコストを指定します。総パスメトリックが低いルートは、より高いパスメトリックを持つルートよりも優先されます。
1~65,535の値を設定できます。デフォルト値は1です。
OSPF シャム リンクの例
この例では、PE ルーターで OSPF シャム リンクを有効にする方法を示しています。
以下は、PE ルーターのループバック インターフェイスの設定です。設定されたアドレスは、OSPF シャム リンクのローカル エンド ポイント用です。
[edit]
interfaces {
lo0 {
unit 1 {
family inet {
address 10.1.1.1/32;
}
}
}
}
以下は、OSPF シャム リンクの設定を含む、PE ルーターのルーティング インスタンス設定です。 シャムリンクローカル ステートメントは、ローカルループバックインターフェイスのアドレスで設定されています。
[edit]
routing-instances {
example-sham-links {
instance-type vrf;
interface e1-1/0/2.0;
interface lo0.1;
route-distinguisher 3:4;
vrf-import vpn-red-import;
vrf-export vpn-red-export;
protocols {
ospf {
sham-link local 10.1.1.1;
area 0.0.0.0 {
sham-link-remote 10.2.2.2 metric 1;
interface e1-1/0/2.0 metric 1;
}
}
}
}
}
OSPF ドメイン ID の設定
レイヤー 3 VPN が関係するほとんどの OSPF 設定では、OSPF ドメイン ID を設定する必要はありません。ただし、複数の OSPF ドメインを接続するレイヤー 3 VPN の場合、OSPF ドメイン ID の設定は、OSPF ドメインとバックドア パス間の LSA 変換(タイプ 3 およびタイプ 5 の LSA の場合)を制御するのに役立ちます。OSPF インスタンスに関連付けられた PE ルーターの各 VPN ルーティングおよび転送(VRF)テーブルは、同じ OSPF ドメイン ID で設定されます。デフォルトの OSPF ドメイン ID は、null 値 0.0.0.0 です。 表 1 に示すように、null ドメイン ID を持つルートは、ドメイン ID をまったく持たないルートとは異なる方法で処理されます。
受信したルート |
受信したルートのドメイン ID |
受信側ルーターのドメイン ID |
ルートを再配布し、としてアドバタイズ |
|---|---|---|---|
タイプ 3 ルート |
A.B.C.D. |
A.B.C.D. |
タイプ 3 LSA |
タイプ 3 ルート |
A.B.C.D. |
E.F.G.H |
タイプ 5 LSA |
タイプ 3 ルート |
0.0.0.0 |
0.0.0.0 |
タイプ 3 LSA |
タイプ 3 ルート |
Null |
0.0.0.0 |
タイプ 3 LSA |
タイプ 3 ルート |
Null |
Null |
タイプ 3 LSA |
タイプ 3 ルート |
0.0.0.0 |
Null |
タイプ 3 LSA |
タイプ 3 ルート |
A.B.C.D. |
Null |
タイプ 5 LSA |
タイプ 3 ルート |
Null |
A.B.C.D. |
タイプ 3 LSA |
タイプ 5 ルート |
該当なし |
該当なし |
タイプ 5 LSA |
OSPF のバージョン 2 とバージョン 3 の両方に OSPF ドメイン ID を設定できます。設定の唯一の違いは、OSPF バージョン 2 の [edit routing-instances protocols routing-instance-name ospf] 階層レベルと OSPF バージョン 3 の [edit routing-instances protocols protocols routing-instance-name ospf3] 階層レベルにステートメントを含める点です。以降の設定説明は、OSPF バージョン 2 ステートメントのみを示しています。ただし、サブステート メントは OSPF バージョン 3 でも有効です。
OSPF ドメイン ID を設定するには、 domain-id ステートメントを含めます。
domain-id domain-Id;
以下の階層レベルでこのステートメントを含めることができます。
[ルーティングインスタンスプロトコルospfの routing-instance-name 編集]
[論理システム logical-system-name ルーティングインスタンスプロトコルospfを routing-instance-name 編集]
ループを防ぐために、PE ルーターによって生成された OSPF 外部ルートの VPN タグを設定できます。デフォルトでは、このタグは自動的に計算され、設定は必要ありません。ただし、 domain-vpn-tag ステートメントを含めることで、タイプ5 LSAのドメインVPNタグを明示的に設定できます。
no-domain-vpn-tag number;
以下の階層レベルでこのステートメントを含めることができます。
[ルーティングインスタンスプロトコルospfの routing-instance-name 編集]
[論理システム logical-system-name ルーティングインスタンスプロトコルospfを routing-instance-name 編集]
範囲は、1~4,294,967,295(232 – 1)です。VPN タグを手動で設定する場合、VPN 内のすべての PE ルーターに同じ値を設定する必要があります。
このタイプの設定例については、 レイヤー3 VPNのOSPFドメインIDの設定を参照してください。
ハブアンドスポーク方式レイヤー 3 VPN と OSPF ドメイン ID
OSPF ドメイン ID のデフォルト動作により、ルートが集約されていない場合、ハブ PE ルーターとハブ CE ルーターの間に OSPF が設定されたハブアンドスポークレイヤー 3 VPN に関するいくつかの問題が発生します。ハブアンドスポーク構成には、ハブCEルーターへの直接リンクを備えたハブPEルーターがあります。ハブ PE ルーターは、他のリモート スポーク PE ルーターからレイヤー 3 BGP アップデートを受信し、スポーク ルーティング インスタンスにインポートされます。スポークルーティングインスタンスから、OSPF LSAが発信され、ハブCEルーターに送信されます。
ハブ CE ルーターは通常、これらのルートを集約し、これらの新しく発信された LSA をハブ PE ルーターに送り返します。ハブ PE ルーターは、集約されたプレフィックスを含むリモート スポーク PE ルーターに BGP アップデートをエクスポートします。ただし、非集約型 3 のサマリー LSA または外部 LSA がある場合、ハブ PE ルーターの発信方法とハブ CE ルーターへの LSA の送信方法、およびハブ PE ルーターがハブ CE ルーターから受信した LSA を処理する方法に関して、2 つの問題が発生します。
デフォルトでは、スポークルーティングインスタンスのハブPEルーターから発信されたすべてのLSAには、DNビットが設定されています。また、外部から発信されたすべての LSA には VPN ルート タグが設定されています。これらの設定は、ルーティング ループの防止に役立ちます。タイプ3のサマリーLSAでは、ハブCEルーター(ABR)として、DNビットをクリアして LSAを再調整し、ハブPEルーターに戻すので、ルーティングループは懸念しません。ただし、ハブCEルーターは、ASフラッディングスコープを持っているため、外部LSAを再方向付けしません。
ハブPEルーターのルーティングインスタンス設定を変更することで、DNビットクリアとVPNルートタグを0に設定して、(ハブCEルーターに送信する前に)外部LSAを発信することができます。DNビットをクリアし、PEルーターから発信された外部LSAでVPNルートタグをゼロに設定するには、[edit routing-instances protocols routing-instance-name ospf]階層レベルで domain-vpn-tag ステートメントに0を設定します。この設定は、LSAが送信されるハブCEルーターに面したハブPEルーターのルーティングインスタンスに含める必要があります。ハブ CE ルーターがハブ PE ルーターから外部 LSA を受信し、それらをハブ PE ルーターに戻すと、ハブ PE ルーターは OSPF ルート計算で LSA を使用できます。
ハブCEルーターによってフラッドされたLSAがハブPEルーターのルーティングインスタンスに到達すると、ハブPEルーターはABRとして機能し、OSPFルート計算では、これらのLSAは考慮されません。ただし、LSAにはDNビットが設定されず、外部LSAにはVPNルートタグが設定されていません。LSA は、不一部のバックボーン エリアからのものだと見なされます。
[edit routing-instances protocols routing-instance-name ospf domain-id] 階層レベルで disable ステートメントを含めることで、PE ルーターが非 ABR として機能するように PE ルーターのルーティング インスタンスの設定を変更できます。この設定を、ハブCEルーターからLSAを受信するハブPEルーターに変更します。
この設定を変更することで、PEルーターのルーティングインスタンスは非ABRとして機能します。その後、PE ルーターは、ハブ CE ルーターから到着する LSA が、連続したノンバックボーン エリアから来たかのように見なします。
PE と CE ルーター間の RIP の設定
レイヤー3 VPNでは、PEルーターでRIPを設定して、CEルーターのルートを学習したり、PEルーターのルートをCEルーターに伝播させることができます。任意 [edit routing-instances] の階層レベルで設定されたネイバーから学習した RIP ルートが、ルーティング インスタンスの inet テーブル(instance_name.inet.0)に追加されます。
PE と CE ルーター間のルーティング プロトコルとして RIP を設定するには、 ステートメントを rip 含めます。
rip {
group group-name {
export policy-names;
neighbor interface-name;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]メモ:階層
[edit logical-systems]レベルは、ACXシリーズルーターでは適用されません。
デフォルトでは、RIP は受信したルートをアドバタイズしません。PE ルーターから CE ルーターにルートをアドバタイズするには、RIP 用の PE ルーターにエクスポート ポリシーを設定する必要があります。RIP のポリシーを定義する方法については、 RIP インポート ポリシーを参照してください。
RIP のエクスポート ポリシーを指定するには、 ステートメントを export 含めます。
export [ policy-names ];
RIP のこのステートメントは、以下の階層レベルで含めることができます。
[edit routing-instances routing-instance-name protocols rip group group-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols rip group group-name]メモ:階層
[edit logical-systems]レベルは、ACXシリーズルーターでは適用されません。
RIP ルーティング インスタンスから学習したルートを複数のルーティング テーブルにインストールするには、 および group ステートメントをrib-group含めます。
rib-group inet group-name;
group group-name {
neighbor interface-name;
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols rip][edit routing-instances routing-instance-name protocols rip][edit logical-systems logical-system-name protocols rip][edit logical-systems logical-system-name routing-instances routing-instance-name protocols rip]
階層 [edit logical-systems] レベルは、ACXシリーズルーターでは適用されません。
ルーティングテーブルグループを設定するには、 ステートメントを rib-groups 含めます。
rib-groups group-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-options][edit logical-systems logical-system-name routing-options]
階層 [edit logical-systems] レベルは、ACXシリーズルーターでは適用されません。
ルーティング・テーブル・グループにルーティング・テーブルを追加するには、 ステートメントを import-rib 含めます。ステートメントで指定された最初の import-rib ルーティングテーブル名は、設定するルーティングテーブルの名前である必要があります。ルーティングテーブルとルーティングテーブルグループを設定する方法の詳細については、 Junos OSルーティングプロトコルライブラリを参照してください。
import-rib [ group-names ];
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-options rib-groups group-name][edit logical-systems logical-system-name routing-options rib-groups group-name]
階層 [edit logical-systems] レベルは、ACXシリーズルーターでは適用されません。
RIP インスタンスは VRF インスタンス タイプに対してのみサポートされます。VPN サポート用に RIP の複数のインスタンスのみを設定できます。カスタマーエッジプロバイダエッジ(CE-PE)環境でRIPを使用して、CEルーターからルートを学習し、PEルーターのインスタンスルートをCEルーターに伝送できます。
任意のインスタンス階層で設定されたネイバーから学習した RIP ルートが、インスタンスのルーティング テーブル instance-name.inet.0に追加されます。
RIP はルーティング テーブル グループをサポートしていません。そのため、OSPF や OSPFv3 プロトコルと同様に、ルートを複数のテーブルにインポートすることはできません。
PE と CE ルーター間のスタティック ルートの設定
VPNルーティングインスタンスのPEルーターとCEルーター間の静的(非変更)ルートを設定できます。VPNの静的ルートを設定するには、 階層レベルのVPNルーティングインスタンス設定内で設定する [edit routing-instances routing-instance-name routing-options] 必要があります。
PE と CE ルーター間のスタティック ルートを設定するには、 ステートメントを static 含めます。
static {
route destination-prefix {
next-hop [ next-hops ];
static-options;
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name routing-options][edit logical-systems logical-system-name routing-instances routing-instance-name routing-options]
階層 [edit logical-systems] レベルは、ACXシリーズルーターでは適用されません。
ルーティングプロトコルと静的ルートの設定の詳細については、 Junos OSルーティングプロトコルライブラリを参照してください。
レイヤー 3 VPN の OSPF ドメイン ID の設定
この例では、PE ルーターと CE ルーター間のルーティング プロトコルとして OSPF を使用して VPN の OSPF ドメイン ID を設定する方法を示します。OSPF ドメインからのルートは、複数の OSPF ドメインを持つ VPN の VPN-IPv4 ルートとして BGP で配布される場合、OSPF ドメイン ID を必要とします。複数の OSPF ドメインを接続する VPN では、1 つのドメインからのルートが別のルートと重複する場合があります。
ルーティングインスタンスで設定されたドメインIDは、OSPFドメインを識別し、ルート送信元を識別するために使用されます。コミュニティポリシーで構成されたドメインIDは、エクスポートされたルートの設定に使用されます。
OSPF ドメイン ID とレイヤー 3 VPN の詳細については、「 レイヤー 3 VPN における PE ルーターと CE ルーター間のルーティングの設定」を参照してください。
図 2 は、 この例の構成トポロジーを示しています。ルーターPE1の設定のみが提供されます。ルーターPE2の設定は、ルーターPE1の設定と同様です。CEルーターに特別な設定要件はありません。
を使用した設定例
設定情報については、以下のセクションを参照してください。
- ルーターPE1でのインターフェイスの設定
- ルーターPE1でのルーティングオプションの設定
- ルーターPE1でのプロトコルの設定
- ルーターPE1のポリシーオプションの設定
- ルーターPE1でのルーティングインスタンスの設定
- ルーターPE1の設定概要
ルーターPE1でのインターフェイスの設定
ルーターPE1には、2つのインターフェイス(ルーターCE1 so-0/0/0 (サンフランシスコ)へのトラフィックのインターフェイスと so-0/0/1 、サービスプロバイダのネットワーク内のPルーターへのトラフィック用インターフェイスを設定する必要があります。
ルーターPE1のインターフェイスを設定します。
[edit]
interfaces {
so-0/0/0 {
unit 0 {
family inet {
address 10.19.1.2/30;
}
}
}
so-0/0/1 {
unit 0 {
family inet {
address 10.19.2.1/30;
}
family mpls;
}
}
}
ルーターPE1でのルーティングオプションの設定
[edit routing-options]階層レベルでは、 および autonomous-system ステートメントをrouter-id設定する必要があります。ステートメントはrouter-id、ルーターPE1を識別します。
ルーターPE1のルーティングオプションを設定します。
[edit]
routing-options {
router-id 10.255.14.216;
autonomous-system 65069;
}
ルーターPE1でのプロトコルの設定
ルーターPE1では、 階層レベルでMPLS、BGP、OSPF、LDPを設定する [edit protocols] 必要があります。
[edit]
protocols {
mpls {
interface so-0/0/1.0;
}
bgp {
group San-Francisco-Chicago {
type internal;
preference 10;
local-address 10.255.14.216;
family inet-vpn {
unicast;
}
neighbor 10.255.14.224;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-0/0/1.0;
}
}
ldp {
interface so-0/0/1.0;
}
}
ルーターPE1のポリシーオプションの設定
ルーターPE1では、 階層レベルでポリシーを設定する [edit policy-options] 必要があります。これらのポリシーにより、レイヤー 3 VPN の CE ルーターがルーティング情報を交換することが保証されます。この例では、サンフランシスコのルーターCE1は、シカゴのルーターCE2とルーティング情報を交換します。
PE1 ルーターでポリシー オプションを設定します。
[edit]
policy-options {
policy-statement vpn-import-VPN-A {
term term1 {
from {
protocol bgp;
community import-target-VPN-A;
}
then accept;
}
term term2 {
then reject;
}
}
policy-statement vpn-export-VPN-A {
term term1 {
from protocol ospf;
then {
community add export-target-VPN-A;
accept;
}
}
term term2 {
then reject;
}
}
community export-target-VPN-A members [target:10.255.14.216:11 domain-id:192.0.2.1:0];
community import-target-VPN-A members target:10.255.14.224:31;
}
ルーターPE1でのルーティングインスタンスの設定
ルーターPE1でレイヤー3 VPNルーティングインスタンスを設定する必要があります。ルーティング インスタンスがレイヤー 3 VPN 用であることを示すために、 階層レベルで ステートメントを[edit routing-instance routing-instance-name]追加instance-type vrfします。
ステートメントは domain-id 、 階層レベルで設定されます [edit routing-instances routing-options protocols ospf] 。図 2 に示すように、ルーター PE2 のルーティング インスタンスは、ルーター PE1 上の対応するルーティング インスタンスと同じドメイン ID を共有する必要があります。これにより、ルーター CE1 からルーター CE2 へのルート、およびその逆がタイプ 3 LSA として配信されます。ルーター PE1 とルーター PE2 のルーティング インスタンスで異なる OSPF ドメイン ID を設定すると、各 CE ルーターからのルートがタイプ 5 の LSA として配布されます。
ルーターPE1でルーティングインスタンスを設定します。
[edit]
routing-instances {
VPN-A-San-Francisco-Chicago {
instance-type vrf;
interface so-0/0/0.0;
route-distinguisher 10.255.14.216:11;
vrf-import vpn-import-VPN-A;
vrf-export vpn-export-VPN-A;
routing-options {
router-id 10.255.14.216;
}
protocols {
ospf {
domain-id 192.0.2.1;
export vpn-import-VPN-A;
area 0.0.0.0 {
interface so-0/0/0.0;
}
}
}
}
}
ルーターPE1の設定概要
インターフェイスの設定
interfaces {
so-0/0/0 {
unit 0 {
family inet {
address 10.19.1.2/30;
}
}
}
so-0/0/1 {
unit 0 {
family inet {
address 10.19.2.1/30;
}
family mpls;
}
}
}
ルーティング オプションの設定
routing-options {
router-id 10.255.14.216;
autonomous-system 65069;
}
プロトコルの設定
protocols {
mpls {
interface so-0/0/1.0;
}
bgp {
group San-Francisco-Chicago {
type internal;
preference 10;
local-address 10.255.14.216;
family inet-vpn {
unicast;
}
neighbor 10.255.14.224;
}
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-0/0/1.0;
}
}
ldp {
interface so-0/0/1.0;
}
}
VPNポリシーの設定
policy-options {
policy-statement vpn-import-VPN-A {
term term1 {
from {
protocol bgp;
community import-target-VPN-A;
}
then accept;
}
term term2 {
then reject;
}
}
policy-statement vpn-export-VPN-A {
term term1 {
from protocol ospf;
then {
community add export-target-VPN-A;
accept;
}
}
term term2 {
then reject;
}
}
community export-target-VPN-A members [ target:10.255.14.216:11 domain-id:192.0.2.1:0 ];
community import-target-VPN-A members target:10.255.14.224:31;
}
レイヤー 3 VPN のルーティング インスタンス
routing-instances {
VPN-A-San-Francisco-Chicago {
instance-type vrf;
interface so-0/0/0.0;
route-distinguisher 10.255.14.216:11;
vrf-import vpn-import-VPN-A;
vrf-export vpn-export-VPN-A;
routing-options {
router-id 10.255.14.216;
}
protocols {
ospf {
domain-id 192.0.2.1;
export vpn-import-VPN-A;
area 0.0.0.0 {
interface so-0/0/0.0;
}
}
}
}
}
OSPFv2 シャム リンクの概要
2 台の PE(プロバイダ エッジ)ルーティング デバイス間にエリア内リンクまたはシャム リンクを作成して、VPN バックボーンがバックドア リンクよりも優先されるようにすることができます。バックドアリンクは、VPNバックボーンが利用できない場合に備えて、カスタマーエッジ(CE)デバイスを接続するバックアップリンクです。そのようなバックアップリンクが利用可能で、CEデバイスが同じOSPFエリアにある場合、デフォルトの動作はVPNバックボーン上でこのバックアップリンクを優先することです。これは、バックアップリンクがエリア内リンクとみなされ、VPNバックボーンは常にエリア間リンクと見なされるためです。エリア内リンクはエリア間リンクよりも常に優先されます。
シャム リンクは、PE デバイス間の番号無しポイントツーポイントエリア内リンクです。VPN バックボーンにシャムエリア内リンクがある場合、シャム リンクの OSPF メトリックがバックアップ リンクよりも低い場合、このシャム リンクをバックアップ リンクよりも優先できます。
シャムリンクは、タイプ1のLSA(リンク状態アドバタイズ)を使用してアドバタイズされます。シャム リンクは、ルーティング インスタンスと OSPFv2 に対してのみ有効です。
各シャム リンクは、ローカル エンドポイント アドレスとリモート エンドポイント アドレスの組み合わせによって識別されます。 図 3 は、OSPFv2 シャム リンクを示しています。ルーターCE1とルーターCE2は、同じOSPFv2エリアにあります。これらのカスタマーエッジ(CE)ルーティングデバイスは、ルーターPE1とルーターPE2を介したレイヤー3 VPNによって一緒にリンクされています。さらに、ルーターCE1とルーターCE2は、バックアップとして使用されるエリア内リンクによって接続されます。
OSPFv2 は、レイヤー 3 VPN を介したリンクをエリア間リンクとして扱います。デフォルトでは、OSPFv2はエリア内リンクをエリア内リンクに優先するため、OSPFv2はバックアップエリア内リンクをアクティブなパスとして選択します。これは、エリア内リンクがCEルーティング・デバイス間のトラフィックに予想されるプライマリ・パスではない構成では、受け入れられません。シャムリンクのメトリックを設定して、CEルーティングデバイスを接続するエリア内リンク上のバックアップパスよりもレイヤー3 VPN上のパスが優先されるようにすることができます。
リモートエンドポイントでは、OSPFv2インターフェイスを需要回線として設定し、IPsec認証を設定し(実際のIPsec認証を個別に設定する)、メトリック値を定義できます。
OSPFv2 シャム リンクは、以下の状況で設定する必要があります。
2台のCEルーティングデバイスが、レイヤー3 VPNによってリンクされています。
これらの CE ルーティング デバイスは、同じ OSPFv2 エリアにあります。
2台のCEルーティングデバイス間にエリア内リンクが設定されています。
CE ルーティング デバイス間にエリア内リンクがない場合、OSPFv2 シャム リンクを設定する必要はありません。
Junos OS リリース 9.6 以降では、OSPFv2 シャム リンクが非表示ルートとしてルーティング テーブルにインストールされます。さらに、対応する OSPF シャム リンクが利用可能な場合、BGP ルートは OSPFv2 にエクスポートされません。
Junos OS リリース 16.1 以降では、OSPF シャムリンクがデフォルト インスタンスでサポートされています。ユーザーがシャムリンクにメトリックが設定されていない場合、シャムリンクのコストはBGPルートのaigp-metricに動的に設定されます。AIGPメトリックがBGPルートに存在しない場合、シャムリンクコストはデフォルトで1になります。
例:OSPFv2 シャム リンクの設定
この例では、PE ルーティング デバイスで OSPFv2 シャム リンクを有効にする方法を示します。
要件
この例を設定する前に、デバイス初期化以外の特別な設定は必要ありません。
概要
シャムリンクは、番号なしポイントツーポイントエリア内リンクであり、タイプ1のリンク状態アドバタイズ(LSA)によってアドバタイズされます。シャム リンクは、ルーティング インスタンスと OSPFv2 に対してのみ有効です。
各シャム リンクは、ローカル エンドポイント アドレスとリモート エンドポイント アドレスと、それが属する OSPFv2 エリアの組み合わせによって識別されます。2 つの PE デバイス間のシャム リンクを手動で設定し、どちらも同じ VPN ルーティングおよび転送(VRF)ルーティング インスタンス内にあり、シャム リンクのローカル エンド ポイントのアドレスを指定します。このアドレスは、シャム リンク パケットの送信元として使用され、リモート PE ルーティング デバイスによってシャム リンク リモート エンド ポイントとしても使用されます。オプション metric オプションを含めて、リモートエンドポイントのメトリック値を設定することもできます。メトリック値は、リンクを使用するコストを指定します。総パスメトリックが低いルートは、より高いパスメトリックを持つルートよりも優先されます。
PE ルーティング デバイスで OSPFv2 シャム リンクを有効にするには:
PE ルーティング デバイスで追加のループバック インターフェイスを設定します。
PE ルーティング デバイスでレイヤー 3 VPN をサポートする VRF ルーティング インスタンスを設定し、シャム リンクを既存の OSPF エリアに関連付けます。OSPFv2 シャム リンク設定もルーティング インスタンスに含まれています。シャムリンクのローカルエンドポイントアドレス(ローカルVPNのループバックアドレス)とリモートVPNのループバックアドレスであるリモートエンドポイントアドレスを設定します。この例では、VRFルーティングインスタンスの名前はredです。
図 4 は、OSPFv2 シャム リンクを示しています。
トポロジ
図のデバイスは、以下の機能を表しています。
CE1およびCE2は、カスタマーエッジデバイスです。
PE1およびPE2は、プロバイダエッジデバイスです。
P はプロバイダ デバイスです。
CLI クイック設定 は、 図 4 のすべてのデバイスの設定を示しています。セクション 手順 手順では、デバイス PE1 の手順について説明します。
構成
手順
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの CLI [edit] にコピー アンド ペーストします。
CE1
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.1/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.0.0.17/30 set interfaces lo0 unit 0 family inet address 192.0.2.1/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 metric 100 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.1 set routing-options autonomous-system 1
PE1
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.2/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.5/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.2/24 set interfaces lo0 unit 1 family inet address 198.51.100.2/24 set protocols mpls interface fe-1/2/1.0 set protocols bgp group toR4 type internal set protocols bgp group toR4 local-address 192.0.2.2 set protocols bgp group toR4 family inet-vpn unicast set protocols bgp group toR4 neighbor 192.0.2.4 set protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ldp interface fe-1/2/1.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/0.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.2 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.2 set routing-options autonomous-system 2
P
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.6/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.9/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 3 family inet address 192.0.2.3/24 set protocols mpls interface all set protocols ospf area 0.0.0.0 interface lo0.3 passive set protocols ospf area 0.0.0.0 interface all set protocols ldp interface all set routing-options router-id 192.0.2.3
PE2
set interfaces fe-1/2/0 unit 0 family inet address 10.1.1.10/30 set interfaces fe-1/2/0 unit 0 family mpls set interfaces fe-1/2/1 unit 0 family inet address 10.1.1.13/30 set interfaces fe-1/2/1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.0.2.4/32 set interfaces lo0 unit 1 family inet address 198.51.100.4/32 set protocols mpls interface fe-1/2/0.0 set protocols bgp group toR2 type internal set protocols bgp group toR2 local-address 192.0.2.4 set protocols bgp group toR2 family inet-vpn unicast set protocols bgp group toR2 neighbor 192.0.2.2 set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.0 set protocols ldp interface fe-1/2/0.0 set protocols ldp interface lo0.0 set policy-options policy-statement bgp-to-ospf term 1 from protocol bgp set policy-options policy-statement bgp-to-ospf term 1 then accept set policy-options policy-statement bgp-to-ospf term 2 then reject set routing-instances red instance-type vrf set routing-instances red interface fe-1/2/1.0 set routing-instances red interface lo0.1 set routing-instances red route-distinguisher 2:1 set routing-instances red vrf-target target:2:1 set routing-instances red protocols ospf export bgp-to-ospf set routing-instances red protocols ospf sham-link local 198.51.100.4 set routing-instances red protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.2 metric 10 set routing-instances red protocols ospf area 0.0.0.0 interface fe-1/2/1.0 set routing-instances red protocols ospf area 0.0.0.0 interface lo0.1 set routing-options router-id 192.0.2.4 set routing-options autonomous-system 2
CE2
set interfaces fe-1/2/0 unit 14 family inet address 10.1.1.14/30 set interfaces fe-1/2/0 unit 14 family mpls set interfaces fe-1/2/0 unit 18 family inet address 10.0.0.18/30 set interfaces lo0 unit 5 family inet address 192.0.2.5/24 set protocols ospf area 0.0.0.0 interface fe-1/2/0.14 set protocols ospf area 0.0.0.0 interface lo0.5 passive set protocols ospf area 0.0.0.0 interface fe-1/2/0.18 set policy-options policy-statement send-direct from protocol direct set policy-options policy-statement send-direct then accept set routing-options router-id 192.0.2.5 set routing-options autonomous-system 3
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLIのナビゲーションについては、 CLIユーザーガイドのJunos OS設定の変更を参照してください。
各 PE デバイスで OSPFv2 シャム リンクを設定するには:
-
2つのループバックインターフェイスを含むインターフェイスを設定します。
[edit interfaces] user@PE1# set fe-1/2/0 unit 0 family inet address 10.1.1.2/30 user@PE1# set fe-1/2/0 unit 0 family mpls user@PE1# set fe-1/2/1 unit 0 family inet address 10.1.1.5/30 user@PE1# set fe-1/2/1 unit 0 family mpls user@PE1# set lo0 unit 0 family inet address 192.0.2.2/24 user@PE1# set lo0 unit 1 family inet address 198.51.100.2/24
-
コアに面したインターフェースに MPLS を設定します。
[edit protocols mpls] user@PE1# set interface fe-1/2/1.0
-
内部 BGP(IBGP)を設定します。
[edit ] user@PE1# set protocols bgp group toR4 type internal user@PE1# set protocols bgp group toR4 local-address 192.0.2.2 user@PE1# set protocols bgp group toR4 family inet-vpn unicast user@PE1# set protocols bgp group toR4 neighbor 192.0.2.4
-
コアに面したインターフェイスと、メイン インスタンスで使用されているループバック インターフェイスで OSPF を設定します。
[edit protocols ospf area 0.0.0.0] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0 passive
-
コアに面したインターフェイスと、メインインスタンスで使用されているループバックインターフェイスでLDPまたはRSVPを設定します。
[edit protocols ldp] user@PE1# set interface fe-1/2/1.0 user@PE1# set interface lo0.0
-
ルーティングインスタンスで使用するルーティングポリシーを設定します。
[edit policy-options policy-statement bgp-to-ospf] user@PE1# set term 1 from protocol bgp user@PE1# set term 1 then accept user@PE1# set term 2 then reject
-
ルーティングインスタンスを設定します。
[edit routing-instances red] user@PE1# set instance-type vrf user@PE1# set interface fe-1/2/0.0 user@PE1# set route-distinguisher 2:1 user@PE1# set vrf-target target:2:1 user@PE1# set protocols ospf export bgp-to-ospf user@PE1# set protocols ospf area 0.0.0.0 interface fe-1/2/0.0
-
OSPFv2 シャム リンクを設定します。
ルーティングインスタンスとOSPF設定にも追加のループバックインターフェイスを含めます。
シャムリンク インターフェイスのメトリックが 10 に設定されていることに注意してください。デバイスCE1のバックアップOSPFリンクでは、メトリックは100に設定されています。これにより、シャム リンクが優先リンクになります。
[edit routing-instances red] user@PE1# set interface lo0.1 user@PE1# set protocols ospf sham-link local 198.51.100.2 user@PE1# set protocols ospf area 0.0.0.0 sham-link-remote 198.51.100.4 metric 10 user@PE1# set protocols ospf area 0.0.0.0 interface lo0.1
-
自律システム(AS)番号とルーターIDを設定します。
[edit routing-options] user@PE1# set router-id 192.0.2.2 user@PE1# set autonomous-system 2
-
デバイスの設定が完了したら、設定をコミットします。
[edit] user@R1# commit
結果
および コマンドを show interfaces 入力して、設定を show routing-instances 確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
PE1 の出力:
user@PE1# show interfaces
fe-1/2/0 {
unit 0{
family inet {
address 10.1.1.2/30;
}
family mpls;
}
}
fe-1/2/1 {
unit 0 {
family inet {
address 10.1.1.5/30;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.0.2.2/24;
}
}
unit 1 {
family inet {
address 198.51.100.2/24;
}
}
}
user@PE1# show protocols
mpls {
interface fe-1/2/1.0;
}
bgp {
group toR4 {
type internal;
local-address 192.0.2.2;
family inet-vpn {
unicast;
}
neighbor 192.0.2.4;
}
}
ospf {
area 0.0.0.0 {
interface fe-1/2/1.0;
interface lo0.0 {
passive;
}
}
}
ldp {
interface fe-1/2/1.0;
interface lo0.0;
}
user@PE1# show policy-options
policy-statement bgp-to-ospf {
term 1 {
from protocol bgp;
then accept;
}
term 2 {
then reject;
}
}
user@PE1# show routing-instances
red {
instance-type vrf;
interface fe-1/2/0.0;
interface lo0.1;
route-distinguisher 2:1;
vrf-target target:2:1;
protocols {
ospf {
export bgp-to-ospf;
sham-link local 198.51.100.2;
area 0.0.0.0 {
sham-link-remote 198.51.100.4 metric 10;
interface fe-1/2/0.0;
interface lo0.1;
}
}
}
}
user@PE1# show routing-options router-id 192.0.2.2; autonomous-system 2;
検証
設定が正しく機能していることを確認します。
シャム リンク インターフェイスの検証
目的
シャム リンク インターフェイスを検証します。シャムリンクは、OSPFv2のインターフェイスとして扱われ、 という名前の表示では shamlink.<unique identifier>、一意の識別子は数字です。例えば、 shamlink.0.シャム リンクは、ポイントツーポイント インターフェイスとして表示されます。
アクション
動作モードから、 コマンドを show ospf interface instance instance-name 入力します。
user@PE1> show ospf interface instance red Interface State Area DR ID BDR ID Nbrs lo0.1 DR 0.0.0.0 198.51.100.2 0.0.0.0 0 fe-1/2/0.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1
シャム リンクのローカルおよびリモート エンド ポイントの検証
目的
シャムリンクのローカルおよびリモートのエンド ポイントを確認します。シャム リンク インターフェイスの MTU は常にゼロです。
アクション
動作モードから、 コマンドを show ospf interface instance instance-name detail 入力します。
user@PE1> show ospf interface shamlink.0 instance red Interface State Area DR ID BDR ID Nbrs shamlink.0 PtToPt 0.0.0.0 0.0.0.0 0.0.0.0 1 Type: P2P, Address: 0.0.0.0, Mask: 0.0.0.0, MTU: 0, Cost: 10 Local: 198.51.100.2, Remote: 198.51.100.4 Adj count: 1 Hello: 10, Dead: 40, ReXmit: 5, Not Stub Auth type: None Protection type: None, No eligible backup Topology default (ID 0) -> Cost: 10
シャム リンク隣接関係の検証
目的
設定されたシャム リンク間の隣接関係を検証します。
アクション
動作モードから、 コマンドを show ospf neighbor instance instance-name 入力します。
user@PE1> show ospf neighbor instance red Address Interface State ID Pri Dead 10.1.1.1 fe-1/2/0.0 Full 192.0.2.1 128 35 198.51.100.4 shamlink.0 Full 198.51.100.4 0 31
リンク状態アドバタイズメントの検証
目的
インスタンス由来のルーター LSA が、番号なしポイントツーポイント リンクとしてシャム リンク隣接関係を伝送していることを確認します。シャム リンクのリンク データは、0x80010000から0x8001ffffまでのさまざまなデータです。
アクション
動作モードから、 コマンドを show ospf database instance instance-name 入力します。
user@PE1> show ospf database instance red
OSPF database, Area 0.0.0.0
Type ID Adv Rtr Seq Age Opt Cksum Len
Router 192.0.2.1 192.0.2.1 0x80000009 1803 0x22 0x6ec7 72
Router 192.0.2.5 192.0.2.5 0x80000007 70 0x22 0x2746 72
Router *198.51.100.2 198.51.100.2 0x80000006 55 0x22 0xda6b 60
Router 198.51.100.4 198.51.100.4 0x80000005 63 0x22 0xb19 60
Network 10.0.0.18 192.0.2.5 0x80000002 70 0x22 0x9a71 32
OSPF AS SCOPE link state database
Type ID Adv Rtr Seq Age Opt Cksum Len
Extern 198.51.100.2 198.51.100.4 0x80000002 72 0xa2 0x343 36
Extern *198.51.100.4 198.51.100.2 0x80000002 71 0xa2 0xe263 36
パス選択の検証
目的
バックアップ パスの代わりにレイヤー 3 VPN パスが使用されていることを確認します。
アクション
動作モードから、デバイスCE1からデバイスCE2への コマンドを入力 traceroute します。
user@CE1> traceroute 192.0.2.5
traceroute to 192.0.2.5 (192.0.2.5), 30 hops max, 40 byte packets
1 10.1.1.2 (10.1.1.2) 1.930 ms 1.664 ms 1.643 ms
2 * * *
3 10.1.1.10 (10.1.1.10) 2.485 ms 1.435 ms 1.422 ms
MPLS Label=299808 CoS=0 TTL=1 S=1
4 192.0.2.5 (192.0.2.5) 1.347 ms 1.362 ms 1.329 ms
意味
traceroute 操作は、レイヤー 3 VPN が優先パスであることを示しています。シャム リンクを削除する場合、または OSPF メトリックを変更してバックアップ パスを優先する場合、traceroute はバックアップ パスが優先されていることを示します。
レイヤー 3 VPN の PE と CE ルーター間の EBGP マルチホップ セッションの設定
レイヤー3 VPNのPEルーターとCEルーター間のEBGPまたはIBGPマルチホップセッションを設定できます。これにより、PE と CE の間に 1 つ以上のルーターを持つことが可能になります。PE と CE ルーター間で IBGP を使用する場合、追加ステートメントの設定は必要ありません。ただし、PE ルーターと CE ルーター間で EBGP を使用するには、 ステートメントの設定が multihop 必要です。
PE と CE ルーター間の接続に外部 BGP マルチホップ セッションを設定するには、PE ルーターに multihop ステートメントを含めます。ルーティングループを防止するために、マルチホップセッションにTTL(Time-to-live)値を設定する必要があります。
multihop ttl-value;
このステートメントを設定できる階層レベルの一覧については、このステートメントの概要セクションを参照してください。
LDP-over-RSVP VPN トポロジーの設定
この例では、RSVP LSPを介してLDPパケットがトンネリングされるVPNトポロジーを設定する方法を示しています。この構成は、以下のコンポーネントで構成されています( 図 5 を参照)。
1つのVPN(VPN-A)
2 つの PE ルーター
PE ルーターと隣接する P ルーター間のシグナリング プロトコルとしての LDP
LDP がトンネリングされている 2 つの P ルーター間の RSVP LSP
の例
次の手順では、このトポロジーの確立方法と、CE ルーター CE2 から CE ルーター CE1 にパケットを送信する方法について説明します。
P ルーター P1 と P3 は互いに RSVP LSP を確立し、そのループバック アドレスを inet.3 ルーティング テーブルにインストールします。
PE ルーター PE1 は、ルーター P1 over Interface との LDP セッションを確立します
so-1/0/0.0。ルーターP1は、RSVP LSPを使用して到達可能なルーターP3のループバックアドレスとのLDPセッションを確立します。
ルーターP1は、ルーターPE1に到達するためのラベルを含むラベルバインディングをルーターP3に送信します。これらのラベルバインディングにより、ルーターP3はLDPパケットをルーターPE1に誘導できます。
ルーターP3は、ルーターPE2 overインターフェイス
so0-0/0/0.0とのLDPセッションを確立し、ルーターP1のループバックアドレスとのLDPセッションを確立します。ルーターP3は、ルーターPE2に到達するためのラベルを含むラベルバインディングをルーターP1に送信します。これらのラベルバインディングにより、ルーターP1はLDPパケットをルーターPE2のループバックアドレスに誘導できます。
ルーターPE1とPE2は、互いにIBGPセッションを確立します。
ルーターPE1がルーターCE1から学習したルーターPE2ルートにアナウンスすると、そのVPNラベルが含まれます。(PE ルーターは VPN ラベルを作成し、PE と CE ルーター間のインターフェイスにバインドします)。同様に、ルーター PE2 がルーター CE2 から学習したルートをアナウンスすると、その VPN ラベルがルーター PE1 に送信されます。
ルーターPE2がルーターCE1にパケットを転送したい場合、パケットのラベルスタックに2つのラベルをプッシュします。まず、ルーターPE1とルーターCE1の間のインターフェイスにバインドされたVPNラベル、次にルーターPE1に到達するために使用されるLDPラベル。次に、インターフェイスを介してルーターP3にパケットを転送します so-0/0/1.0。
ルーターP3がルーターPE2からパケットを受信すると、スタックの一番上にあるLDPラベルを交換し(LDPデータベースに従って)、RSVPラベルをスタックの一番上にプッシュして、パケットをRSVP LSPで切り替えることができます。この時点で、スタックには3つのラベルがあります:内側(下)ラベルはVPNラベル、中央はLDPラベル、外側(上)はRSVPラベルです。
ルーターP2は、RSVPラベルを交換してパケットを受信し、ルーターP1にスイッチします。このトポロジーでは、ルーターP2はLSPの最後から22ホップのルーターであるため、RSVPラベルをポップし、ルーターP1にインターフェイス
so-1/1/0.0経由でパケットを転送します。この時点で、スタックには2つのラベルがあります:内側ラベルはVPNラベル、外側のラベルはLDPラベルです。ルーターP1がパケットを受信すると、外部ラベル(LDPラベル)をポップし、インターフェイスを使用してパケットをルーターPE1に転送します
so-1/0/0.0。このトポロジーでは、ルーターPE1はエグレスLDPルーターであるため、ルーターP1は、別のラベルと交換する代わりにLDPラベルをポップします。この時点で、スタックにはVPNラベルのラベルが1つだけです。ルーターPE1がパケットを受信すると、VPNラベルをポップし、インターフェイス上でルーターCE1にIPv4パケットとしてパケットを転送します
ge-1/1/0.0。
同様の操作のセットは、ルーターCE2宛てのルーターCE1から送信されたパケットにも発生します。
以下のリストは、ルーターCE2からルーターCE1に送信されるパケットについて、LDP、RSVP、およびVPNラベルがさまざまなルーターによってどのようにアナウンスされるかについて説明しています。これらの手順には、ラベル値の例が含まれます( 図 6 に示します)。
LDPラベル
ルーターPE1は、それ自体のLDPラベル3をルーターP1にアナウンスします。
ルーターP1は、ルーターPE1のLDPラベル100,001をルーターP3に発表します。
ルーターP3は、ルーターPE1のLDPラベル100,002をルーターPE2に発表します。
RSVP ラベル
ルーターP1は、RSVPラベル3をルーターP2にアナウンスします。
ルーターP2は、RSVPラベル100,003をルーターP3に発表します。
VPNラベル
ルーターPE1は、ルーターCE1からルーターCE2へのルートについて、ルーターPE2にVPNラベル100,004を発表します。
図 6 のホスト B からホスト A に送信されたパケットでは、パケットが宛先に移動する際に、パケットのヘッダーとラベルが変更されます。
ホストBから発信されたパケットのヘッダーには、Bの送信元アドレスとAの宛先アドレスがあります。
ルーター CE2 は、インターフェイスのネクスト ホップをパケットに追加します
so-1/0/0。ルーターPE2は、インターフェイス
so-1/0/0のネクストホップを交換し、PE1のネクストホップに置き換えます。また、ルーターPE1に到達するための2つのラベルを追加し、最初にVPNラベル(100,004)、次にLDPラベル(100,002)を追加します。したがって、VPNラベルはスタックの内側(最下部)ラベルであり、LDPラベルは外側ラベルです。ルーターP3は、ルーターPE2(100,002)によって追加されたLDPラベルを交換し、ルーターPE1(100,001)に到達するためにLDPラベルに置き換えます。また、ルーターP2(100,003)に到達するためのRSVPラベルも追加されます。
ルーター P2 は、MPLS LSP の最後から 2 次ホップであるため、RSVP ラベル(100,003)を削除します。
ルーターP1は、最後から2次LDPルーターであるため、LDPラベル(100,001)を削除します。また、PE1 のネクスト ホップを交換し、ネクストホップ インターフェイスに
so-1/0/0置き換えます。ルーターPE1はVPNラベル(100,004)を削除します。また、 のネクストホップ インターフェイス
so-1/0/0を交換し、ネクストホップ インターフェイスにge-1/1/0置き換えます。ルーターCE1は、 の
ge-1/1/0ネクストホップインターフェイスを削除し、パケットヘッダーにはBの送信元アドレスとAの宛先アドレスが含まれるようになりました。
この例の最後のセクションでは、 図 5 に示す各サービス P ルーターで VPN 機能を設定するために必要なステートメントを統合します。
この例では、ルート識別とルートターゲットにプライベートAS番号が使用されています。この数字は、説明のためにのみ使用されます。VPNを設定する場合は、割り当てられたAS番号を使用する必要があります。
以下のセクションでは、PE および P ルーターで VPN 機能を設定する方法について説明します。CEルーターはVPNに関する情報を持たないので、通常通りに設定します。
- PE および P ルーターでの IGP の有効化
- PEおよびPルーターでLDPを有効にする
- P ルーターで RSVP と MPLS の有効化
- P ルーター間の MPLS LSP トンネルの設定
- PE ルーターでの IBGP の設定
- PE ルーター上の VPN のルーティング インスタンスの設定
- PE ルーターでの VPN ポリシーの設定
- ルーター別の LDP-over-RSVP VPN 設定
PE および P ルーターでの IGP の有効化
PE ルーターと P ルーター間でルーティング情報を交換できるようにするには、これらすべてのルーターで IGP を設定するか、静的ルートを設定する必要があります。ルーティングプロトコルプロセス(rpd)のプライマリインスタンス(つまり、 階層レベル)では [edit protocols] 、VPNルーティングインスタンス内ではなく(つまり、 階層レベルで)IGPを [edit routing-instances] 設定します。
IGPは、標準の方法で設定します。この設定例には、設定のこの部分は含まれていません。
PEおよびPルーターでLDPを有効にする
この設定例では、LDP は PE ルーター間のシグナリング プロトコルです。VPNを機能させるには、2つのPEルーターとPEルーターに接続されたPルーターでLDPを設定する必要があります。サービス プロバイダのネットワークのコアにあるインターフェイスでのみ LDP を設定する必要があります。つまり、PE ルーターと P ルーター間、および P ルーター間です。PE ルーターと CE ルーター間のインターフェイスで LDP を設定する必要はありません。
この設定例では、MPLS LSPが設定されているインターフェイスであるため、PルーターのループバックインターフェイスにLDPを設定します。
PE ルーターでは、論理インターフェイスを設定 family inet する際にも設定する必要があります。
ルーターPE1で、LDPを設定します。
[edit protocols]
ldp {
interface so-1/0/0.0;
}
[edit interfaces]
so-1/0/0 {
unit 0 {
family mpls;
}
}
ルーターPE2で、LDPを設定します。
[edit protocols]
ldp {
interface so-0/0/0.0;
}
[edit interfaces]
so-0/0/1 {
unit 0 {
family mpls;
}
}
ルーターP1で、LDPを設定します。
[edit protocols]
ldp {
interface so-1/0/0.0;
interface lo0;
}
ルーターP3で、LDPを設定します。
[edit protocols]
ldp {
interface lo0;
interface so-0/0/0.0;
}
ルーターP2では、LDPを設定する必要はありませんが、RSVP LSPが非動作になった場合に備えて、オプションでフォールバックLDPパスを提供するように設定することができます。
[edit protocols]
ldp {
interface so-1/1/0.0;
interface at-2/0/0.0;
}
P ルーターで RSVP と MPLS の有効化
P ルーター P2 では、このルーターは P ルーター P1 と P3 間の MPLS LSP パスに存在するため、RSVP と MPLS を設定する必要があります。
[edit]
protocols {
rsvp {
interface so-1/1/0.0;
interface at-2/0/0.0;
}
mpls {
interface so-1/1/0.0;
interface at-2/0/0.0;
}
}
P ルーター間の MPLS LSP トンネルの設定
この設定例では、LDP は RSVP LSP 上でトンネリングされます。そのため、RSVP の設定に加えて、IGP でトラフィックエンジニアリングサポートを有効にし、LDP トラフィックをトンネリングするために MPLS LSP を作成する必要があります。
ルーターP1で、RSVPを有効にし、MPLS LSPトンネルの一端を設定します。この例では、OSPFに対してトラフィック制御サポートが有効になっており、LSPとルーターPE1へのインターフェイスにMPLSを設定します。 to ステートメントでは、ルーターP3のループバックアドレスを指定します。
[edit]
protocols {
rsvp {
interface so-1/0/1.0;
}
mpls {
label-switched-path P1-to-P3 {
to 10.255.100.1;
ldp-tunneling;
}
interface so-1/0/0.0;
interface so-1/0/1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-1/0/0.0;
interface so-1/0/1.0;
}
}
}
ルーターP3で、RSVPを有効にし、MPLS LSPトンネルのもう一方の端を設定します。繰り返しになりますが、トラフィックエンジニアリングサポートはOSPFに対して有効になっており、LSPとルーターPE2へのインターフェイスにMPLSを設定します。 to ステートメントでは、ルーターP1のループバックアドレスを指定します。
[edit]
protocols {
rsvp {
interface at-2/0/1.0;
}
mpls {
label-switched-path P3-to-P1 {
to 10.255.2.2;
ldp-tunneling;
}
interface at-2/0/1.0;
interface so-0/0/0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface at-2/0/1.0;
interface so-0/0/0.0;
}
}
}
PE ルーターでの IBGP の設定
PE ルーターで、以下のプロパティで IBGP セッションを設定します。
VPNファミリー—IBGPセッションがVPN用であることを示すために、 ステートメントを
family inet-vpn含めます。ループバックアドレス—ローカルPEルーターの
local-addressループバックアドレスを指定する ステートメントを含めます。VPNのIBGPセッションは、ループバックアドレスを介して実行されます。また、 階層レベルで インターフェイスを設定lo0する[edit interfaces]必要があります。この例では、ルーターの設定のこの部分は含まれていません。ネイバーアドレス—ループバック(
lo0)アドレスである隣接PEルーターのIPアドレスを指定する ステートメントを含めますneighbor。
ルーターPE1で、IBGPを設定します。
[edit]
protocols {
bgp {
group PE1-to-PE2 {
type internal;
local-address 10.255.1.1;
family inet-vpn {
unicast;
}
neighbor 10.255.200.2;
}
}
}
ルーターPE2で、IBGPを設定します。
[edit]
protocols {
bgp {
group PE2-to-PE1 {
type internal;
local-address 10.255.200.2;
family inet-vpn {
unicast;
}
neighbor 10.255.1.1;
}
}
}
PE ルーター上の VPN のルーティング インスタンスの設定
両方の PE ルーターは VPN-A をサービスするため、以下を定義する VPN 用に各ルーターに 1 つのルーティング インスタンスを設定する必要があります。
PE ルーター上の各ルーティング インスタンスに一意である必要があるルート識別。あるVPNのアドレスと別のVPNのアドレスを区別するために使用されます。
の
vrfインスタンスタイプは、PEルーター上にVRFテーブルを作成します。CEルーターに接続されたインターフェイス。
VRF インポートおよびエクスポート ポリシー(同じ VPN をサービスする各 PE ルーターで同じにする必要があります)。インポートポリシーにステートメントのみが含まれている場合を
then reject除き、コミュニティへの参照を含める必要があります。それ以外の場合、設定をコミットしようとすると、コミットは失敗します。メモ:この例では、ルート識別にプライベートAS番号が使用されています。この数字は、説明のためにのみ使用されます。VPNを設定する場合は、割り当てられたAS番号を使用する必要があります。
PE ルーターと CE ルーター間のルーティング。これは、接続された CE ルーターとの間で VPN 関連のルートを配信するために PE ルーターに必要です。ルーティングプロトコル(BGP、OSPF、RIP)を設定することも、スタティックルーティングを設定することもできます。
ルーターPE1で、VPN-Aに対して以下のルーティングインスタンスを設定します。この例では、ルーター PE1 は RIP を使用して、接続されている CE ルーターとの間でルートを配信します。
[edit]
routing-instance {
VPN-A {
instance-type vrf;
interface ge-1/0/0.0;
route-distinguisher 65535:0;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
rip {
group PE1-to-CE1 {
neighbor ge-1/0/0.0;
}
}
}
}
}
ルーターPE2では、VPN-Aに対して以下のルーティングインスタンスを設定します。この例では、ルーターPE2はOSPFを使用して、接続されているCEルーターとの間でルートを配信します。
[edit]
routing-instance {
VPN-A {
instance-type vrf;
interface so-1/2/0.0;
route-distinguisher 65535:1;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
protocols {
ospf {
area 0.0.0.0 {
interface so-1/2/0.0;
}
}
}
}
}
PE ルーターでの VPN ポリシーの設定
各 PE ルーターに VPN インポート ポリシーとエクスポート ポリシーを設定し、VPN 内でパケットの転送に使用する VRF テーブルに適切なルートをインストールする必要があります。VPN-A の場合、VRF テーブルは VPN-A.inet.0 です。
VPN ポリシーでは、VPN ターゲット コミュニティも設定します。
この例では、ルートターゲットにプライベートAS番号が使用されています。この数字は、説明のためにのみ使用されます。VPNを設定する場合は、割り当てられたAS番号を使用する必要があります。
ルーターPE1では、以下のVPNインポートおよびエクスポートポリシーを設定します。
この例で示すポリシー修飾子は、VPNを機能させるために必要な修飾子のみです。必要に応じて、追加の修飾子を設定するポリシーを設定できます。
[edit]
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol rip;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:00;
}
ルーターPE2では、以下のVPNインポートおよびエクスポートポリシーを設定します。
[edit]
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol ospf;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:00;
}
ルーターにVPNポリシーを適用するには、PEルーターでルーティングインスタンスを vrf-export 設定する際に、 および vrf-import ステートメントを含めます。VRFインポートおよびエクスポートポリシーは、PEルーター間で実行されているIBGPセッション全体のルート配信を処理します。
ルーター別の LDP-over-RSVP VPN 設定
ルーターPE1
VPN-A のルーティング インスタンス
routing-instance {
VPN-A {
instance-type vrf;
interface ge-1/0/0.0;
route-distinguisher 65535:0;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
}
インスタンスルーティングプロトコル
protocols {
rip {
group PE1-to-CE1 {
neighbor ge-1/0/0.0;
}
}
}
インターフェイス
interfaces {
so-1/0/0 {
unit 0 {
family mpls;
}
}
ge-1/0/0 {
unit 0;
}
}
プライマリ プロトコル インスタンス
protocols {
}
LDPを有効にする
ldp {
interface so-1/0/0.0;
}
MPLS を有効にする
mpls {
interface so-1/0/0.0;
interface ge-1/0/0.0;
}
IBGP を設定する
bgp {
group PE1-to-PE2 {
type internal;
local-address 10.255.1.1;
family inet-vpn {
unicast;
}
neighbor 10.255.100.1;
}
}
VPNポリシーの設定
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol rip;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:00;
}
ルーターP1
プライマリ プロトコル インスタンス
protocols {
}
RSVP を有効にする
rsvp {
interface so-1/0/1.0;
}
LDPを有効にする
ldp {
interface so-1/0/0.0;
interface lo0.0;
}
MPLS を有効にする
mpls {
label-switched-path P1-to-P3 {
to 10.255.100.1;
ldp-tunneling;
}
interface so-1/0/0.0;
interface so-1/0/1.0;
}
トラフィック制御サポート向けOSPFを設定する
ospf {
traffic-engineering;
area 0.0.0.0 {
interface so-1/0/0.0;
interface so-1/0/1.0;
}
}
ルーターP2
プライマリ プロトコル インスタンス
protocols {
}
RSVP を有効にする
rsvp {
interface so-1/1/0.0;
interface at-2/0/0.0;
}
MPLS を有効にする
mpls {
interface so-1/1/0.0;
interface at-2/0/0.0;
}
ルーターP3
プライマリ プロトコル インスタンス
protocols {
}
RSVP を有効にする
rsvp {
interface at-2/0/1.0;
}
LDPを有効にする
ldp {
interface so-0/0/0.0;
interface lo0.0;
}
MPLS を有効にする
mpls {
label-switched-path P3-to-P1 {
to 10.255.2.2;
ldp-tunneling;
}
interface at-2/0/1.0;
interface so-0/0/0.0;
}
トラフィック制御サポート向けOSPFを設定する
ospf {
traffic-engineering;
area 0.0.0.0 {
interface at-2/0/1.0;
interface at-2/0/1.0;
}
}
ルーターPE2
VPN-A のルーティング インスタンス
routing-instance {
VPN-A {
instance-type vrf;
interface so-1/2/0.0;
route-distinguisher 65535:1;
vrf-import VPN-A-import;
vrf-export VPN-A-export;
}
}
インスタンスルーティングプロトコル
protocols {
ospf {
area 0.0.0.0 {
interface so-1/2/0.0;
}
}
}
インターフェイス
interfaces {
so-0/0/0 {
unit 0 {
family mpls;
}
}
so-1/2/0 {
unit 0;
}
}
プライマリ プロトコル インスタンス
protocols {
}
LDPを有効にする
ldp {
interface so-0/0/0.0;
}
MPLS を有効にする
mpls {
interface so-0/0/0.0;
interface so-1/2/0.0;
}
IBGP を設定する
bgp {
group PE2-to-PE1 {
type internal;
local-address 10.255.200.2;
family inet-vpn {
unicast;
}
neighbor 10.255.1.1;
}
}
VPNポリシーの設定
policy-options {
policy-statement VPN-A-import {
term a {
from {
protocol bgp;
community VPN-A;
}
then accept;
}
term b {
then reject;
}
}
policy-statement VPN-A-export {
term a {
from protocol ospf;
then {
community add VPN-A;
accept;
}
}
term b {
then reject;
}
}
community VPN-A members target:65535:01;
}
アプリケーションベースのレイヤー 3 VPN トポロジーの設定
この例では、トラフィックをレイヤー 3 VPN に転送するアプリケーションベースのメカニズムを示しています。通常、1つ以上のインターフェイスは、VPNルーティングインスタンスの設定に含めることでVPNに関連付けられるか、これにバインドされます。インターフェイスをVPNにバインドすることで、VPNのVRFテーブルを使用して、そのインターフェイス上の受信トラフィックの転送決定を行います。インターフェイスのバインディングには、VRFテーブル内のインターフェイスローカルルートも含まれており、VRFルートのネクストホップ解決を提供します。
この例では、ファイアウォールフィルターを使用して、標準ルーティングテーブルinet.0を使用してインターフェイス上の受信トラフィックを転送し、VRFテーブルによってどの受信トラフィックを転送するかを定義します。この例を拡張して、インターフェイス上の受信トラフィックを 1 つ以上の VPN にリダイレクトできます。例えば、送信元アドレスに基づいてトラフィックを転送するVPN、ハイパーテキスト転送プロトコル(HTTP)トラフィックを転送する、ストリーミングメディアのみを転送するVPNをサポートする設定を定義できます。
この設定を機能させるには、次の条件に該当する必要があります。
フィルターベースの転送を使用するインターフェイスは、VPN にバインドしないでください。
スタティック ルーティングはルーティングの手段として使用する必要があります。
inet.0とVRFテーブル間で共有されるインターフェイスルーティングテーブルグループを定義して、VRFテーブルにローカルルートを提供する必要があります。
この例は、2つの異なるVPNに存在し、VPN内とインターネットの両方にトラフィックを送信する2つのクライアントホスト(クライアントDとクライアントE)で構成されています。パスは次のように定義されます。
クライアント A は、(VPN の VRF テーブルを使用して)VPN A も使用するリターン パスを使用して、VPN A 経由でクライアント E にトラフィックを送信します。
クライアント B は、標準的な宛先ベースのルーティング(inet.0 ルーティング テーブルを使用)を使用するリターン パスを使用して、VPN B 経由でクライアント D にトラフィックを送信します。
クライアント B と C は、(inet.0 ルーティング テーブルを使用して)標準ルーティングを使用して、標準ルーティングも使用するリターン パスを使用して、インターネットにトラフィックを送信します。
この例では、アプリケーションベースのレイヤー 3 VPN トポロジーを設定する際に、さまざまなオプションが用意されていることを示しています。この柔軟性は、制約のあるルーティング環境で特定のトラフィックを転送する必要がある多くのネットワーク実装でアプリケーションを備えています。
この設定例では、フィルターベースの転送、ルーティング インスタンス、ポリシーの設定部分のみを示しています。レイヤー 3 VPN を設定する方法については説明していません。
図 7 は 、この例で使用するネットワーク トポロジーを示しています。
例
ルーターAの設定
ルーターAでは、クライアントA、B、およびCへのインターフェイスを設定します。この設定では、受信トラフィックを評価して、VPN または標準の宛先ベースルーティングによって転送するかどうかを決定します。
まず、インバウンドフィルターを適用し、インターフェイスを設定します。
[edit]
interfaces {
fe-1/1/0 {
unit 0 {
family inet {
filter {
input fbf-vrf;
}
address 192.168.1.1/24;
}
}
}
}
フィルターベースの転送を使用するインターフェイスはVPNにバインドする必要がないため、VRFテーブルにネクストホップルートを提供する代替方法を設定する必要があります。そのためには、インターフェイスルーティングテーブルグループを定義し、このグループをすべてのルーティングテーブル間で共有します。
[edit]
routing-options {
interface-routes {
rib-group inet if-rib;
}
rib-groups {
if-rib {
import-rib [ inet.0 vpn-A.inet.0 vpn-B.inet.0 ];
}
}
}
インターフェイス上の受信トラフィックに以下のフィルターを適用します fe-1/1/0.0。最初の条件は、クライアントAからのトラフィックを照合し、VPN Aのルーティングインスタンスに転送します。2つ目の条件は、クライアントD宛てのクライアントBからのトラフィックと一致し、VPN Bのルーティングインスタンスに転送します。3 つ目の条件は、inet.0 のルートに従って宛先ベースの転送によって通常転送される他のすべてのトラフィックと一致します。
[edit firewall family family-name]
filter fbf-vrf {
term vpnA {
from {
source-address {
192.168.1.1/32;
}
}
then {
routing-instance vpn-A;
}
}
term vpnB {
from {
source-address {
192.168.1.2/32;
}
destination-address {
192.168.3.0/24;
}
}
then routing-instance vpn-B;
}
}
term internet {
then accept;
}
次に、VPN AとVPN Bのルーティングインスタンスを設定します。これらのステートメントには、 ステートメントを除き、レイヤー3 VPNを定義するために必要なすべてのステートメントが interface 含まれています。
[edit]
routing-instances {
vpn-A {
instance-type vrf;
route-distinguisher 172.21.10.63:100;
vrf-import vpn-A-import;
vrf-export vpn-A-export;
}
vpn-B {
instance-type vrf;
route-distinguisher 172.21.10.63:200;
vrf-import vpn-B-import;
vrf-export vpn-B-export;
}
}
ルーターEの設定
ルーターEで、インターネットに到達するデフォルトルートを設定します。ネットワークからの出口点を提供するために、このルートをローカルIBGPメッシュに注入する必要があります。
[edit]
routing-options {
static {
route 0.0.0.0/0 next-hop so-2/2/2.0 discard
}
}
VPN ポリシーに一致するインターフェイス上のすべての受信トラフィックが VPN A を介して転送されるように、クライアント E へのインターフェイス fe-1/1/1.0 を設定します。
[edit]
routing-instances {
vpn-A {
interface fe-1/1/1.0
instance-type vrf;
route-distinguisher 172.21.10.62:100;
vrf-import vpn-A-import;
vrf-export vpn-A-export;
routing-options {
static {
route 192.168.2.0/24 next-hop fe-1/1/1.0;
}
}
}
}
ルーターFの設定
繰り返しになりますが、フィルターベースの転送を使用するインターフェイスは VPN にバインドする必要がないため、インターフェイス ルーティング テーブル グループを定義し、このグループをすべてのルーティング テーブル間で共有することで、VRF テーブルにネクストホップ ルートを提供する代替方法を設定します。通常のinet.0ルーティング用にクライアントにルートを戻すために、inet.0に含める静的ルートを定義し、スタティックルートをBGPに再分配します。
[edit]
routing-options {
interface-routes {
rib-group inet if-rib;
}
rib-groups {
if-rib {
import-rib [ inet.0 vpn-B.inet.0 ];
}
}
}
VPN B からクライアント D にトラフィックを誘導するには、ルーター F で VPN B のルーティング インスタンスを設定します。インターフェイス so-3/3/3.0 上のクライアント D からの受信トラフィックはすべて、inet.0 のルートに基づいて宛先アドレスによって通常転送されます。
[edit]
routing-instances {
vpn-B {
instance-type vrf;
route-distinguisher 172.21.10.64:200;
vrf-import vpn-B-import;
vrf-export vpn-B-export;
routing-options {
static {
route 192.168.3.0/24 next-hop so-3/3/3.0;
}
}
}
}