BGP ベース VPN
キャリアオブキャリアVPNについて
VPNサービスプロバイダの顧客は、エンドカスタマー向けのサービスプロバイダになる場合があります。キャリアオブキャリアVPNには、主に次の2つのタイプがあります(RFC 4364を参照)。
顧客としてのインターネットサービスプロバイダー—VPN の顧客は、VPN サービス プロバイダーのネットワークを使用して、地理的に分散した地域ネットワークに接続している ISP です。お客様は、地域ネットワーク内でMPLSを設定する必要はありません。
顧客としてのVPNサービスプロバイダー- VPNカスタマーは、それ自体が、その顧客にVPNサービスを提供するVPNサービスプロバイダーです。キャリアオブキャリアVPNサービスのお客様は、サイト間の接続をバックボーンVPNサービスプロバイダに依存しています。顧客のVPNサービスプロバイダは、地域ネットワーク内でMPLSを実行する必要があります。
図 1 は、キャリアオブキャリアVPNサービスに使用されるネットワークアーキテクチャを示しています。
このトピックでは、次の内容について説明します。
顧客としてのインターネットサービスプロバイダー
このタイプのキャリアツーキャリアVPN構成では、ISP AはISP Bにインターネットサービスを提供するようにネットワークを設定します。ISP Bはインターネットサービスを必要とする顧客に接続を提供しますが、実際のインターネットサービスはISP Aによって提供されます。
このタイプのキャリアオブキャリアVPN構成には、次のような特徴があります。
キャリア・オブ・キャリアのVPNサービスカスタマー(ISP B)は、ネットワーク上でMPLSを設定する必要はありません。
キャリア・オブ・キャリアのVPNサービスプロバイダ(ISP A)は、ネットワーク上でMPLSを設定する必要があります。
また、キャリアオブキャリアVPNサービスカスタマーとキャリアオブキャリアVPNサービスプロバイダーのネットワークで相互に接続されたCEルーターとPEルーターにもMPLSを設定する必要があります。
顧客としてのVPNサービスプロバイダー
VPNサービスプロバイダーは、それ自体がVPNサービスプロバイダーである顧客を持つことができます。階層型 VPN または再帰型 VPN とも呼ばれるこのタイプの設定では、カスタマー VPN サービス プロバイダの VPN-IPv4 ルートは外部ルートと見なされ、バックボーン VPN サービス プロバイダはそれらを VRF テーブルにインポートしません。バックボーン VPN サービス プロバイダーは、顧客の VPN サービス プロバイダーの内部ルートのみを VRF テーブルにインポートします。
プロバイダ間VPNとキャリアオブキャリアVPNの類似点と相違点を 表 1に示します。
機能 |
ISPカスタマー |
VPNサービスプロバイダーのお客様 |
|---|---|---|
カスタマーエッジデバイス |
AS境界ルーター |
PE ルーター |
IBGPセッション |
IPv4 ルートの伝送 |
関連ラベル付きの外部VPN-IPv4ルートを伝送 |
顧客ネットワーク内でのフォワーディング |
MPLSはオプションです |
MPLSが必要です |
お客様向けVPNサービスのサポートは、Junos OSリリース17.1R1以降のQFX10000スイッチでサポートされています。
プロバイダ間VPNとキャリアオブキャリアVPNについて
すべてのプロバイダ間VPNおよびキャリアオブキャリアVPNは、以下の特性を共有しています。
プロバイダ間またはキャリアオブキャリアのVPNカスタマーは、それぞれ内部カスタマールートと外部カスタマールートを区別する必要があります。
内部顧客ルートは、VPN サービス プロバイダーが PE ルーターで管理する必要があります。
外部顧客ルートは、顧客のルーティングプラットフォームによってのみ伝送され、VPNサービスプロバイダーのルーティングプラットフォームによって伝送されません。
プロバイダ間VPNとキャリアオブキャリアVPNの主な違いは、カスタマーサイトが同じASに属しているか、別々のASに属しているかです。
プロバイダ間VPN—顧客サイトは異なるASに属しています。顧客の外部ルートを交換するように EBGP を設定する必要があります。
キャリアオブキャリアVPNについて - カスタマーサイトは同じASに属しています。顧客の外部ルートを交換するようにIBGPを設定する必要があります。
一般に、VPN 階層内の各サービス プロバイダーは、P ルーターに独自の内部ルートを維持し、PE ルーターに顧客の内部ルートを維持する必要があります。このルールを再帰的に適用することで、VPN の階層を作成することができます。
以下は、プロバイダ間VPNとキャリアオブキャリアVPNに固有のPEルーターのタイプの定義です。
AS境界ルーターはAS境界にあり、ASを出入りするトラフィックを処理します。
エンド PE ルーターは、カスタマー VPN 内の PE ルーターです。エンドカスタマーサイトのCEルーターに接続されています。
VPNサービスを提供するお客様向けのキャリアオブキャリアVPNの設定
VPNサービスを希望されるお客様のために、キャリアオブキャリアVPNサービスを設定することができます。
お客様およびプロバイダのネットワーク内のルーター(またはスイッチ)で、キャリアオブキャリアVPNサービスを有効にするには、次のセクションにあるステップを実行します。
キャリアオブキャリア顧客のPEルーターの設定
キャリアオブキャリア顧客のPEルーター(またはスイッチ)は、エンドカスタマーのCEルーター(またはスイッチ)に接続されています。
以下のセクションでは、キャリアオブキャリアの顧客のPEルーター(またはスイッチ)の設定方法について説明します。
MPLS の設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)にMPLSを設定するには、 mpls ステートメントを含めます。
mpls {
interface interface-name;
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ))へのIBGPセッションの設定に labeled-unicast ステートメントを含め、ネットワークの反対側にあるキャリアオブキャリアPEルーター(またはスイッチ)へのIBGPセッションの設定に family-inet-vpnステートメントを含めます。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF を設定する
キャリアオブキャリアのお客様のPEルーター(またはスイッチ)にOSPFを設定するには、 ospf ステートメントを含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
LDP の設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)にLDPを設定するには、 ldp ステートメントを含めます。
ldp {
interface interface-name;
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ルーティングインスタンスでのVPNサービスの設定
キャリアオブキャリア顧客のPEルーター(またはスイッチ)上のエンドカスタマーのCEルーター(またはスイッチ)向けのVPNサービスを設定するには、以下のステートメントを含めます。
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
ポリシーオプションの設定
エンドカスタマーのCEルーター(またはスイッチ)との間でルートをインポートおよびエクスポートするポリシーオプションを設定するには、 policy-statement および community ステートメントを含めます。
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)の設定
キャリアオブキャリア顧客のCEルーター(またはスイッチ)は、プロバイダのPEルーター(またはスイッチ)に接続します。次のセクションの手順を実行して、キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)を設定します。
MPLS の設定
キャリアオブキャリア顧客のCEルーター(またはスイッチ)のMPLS設定に、お客様のネットワーク内のプロバイダのPEルーター(またはスイッチ)とPルーター(またはスイッチ)へのインターフェイスを含めます。
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
キャリアオブキャリア顧客のCEルーター(またはスイッチ)のBGP設定で、エンドカスタマーのCEルーター(またはスイッチ)に接続されたPEルーター(またはスイッチ)にVPNサービスを拡張するための labeled-unicast ステートメントを含むグループを設定します。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
以下の階層レベルにbgpステートメントを含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
プロバイダーのPEルーター(またはスイッチ)にラベル付き内部ルートを送信するようにグループを設定するには、 bgp ステートメントを含めます。
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF と LDP の設定
キャリアオブキャリアのお客様のCEルーター(またはスイッチ)にOSPFおよびLDPを設定するには、 ospf および ldp ステートメントを含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシーオプションの設定
キャリアオブキャリアのお客様のCEルーター(またはスイッチ)にポリシーオプションを設定するには、 policy-statement ステートメントを含めます。
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
プロバイダーの PE ルーターまたはスイッチの設定
キャリアオブキャリアプロバイダーのPEルーター(またはスイッチ)は、キャリアカスタマーのCEルーター(またはスイッチ)に接続します。次のセクションの手順に従って、プロバイダーのPEルーター(またはスイッチ)を設定します。
MPLS の設定
MPLS 設定で、少なくとも 2 つのインターフェイスを指定します。1 つは顧客の CE ルーター(またはスイッチ)に対するもので、もう 1 つはプロバイダのネットワークの反対側にあるプロバイダの PE ルーター(またはスイッチ)に接続するインターフェイスです。
interface interface-name; interface interface-name;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
PE-to-PE BGPセッションの設定
プロバイダーのPEルーター(またはスイッチ)でPE-to-PE BGPセッションを構成して、VPN-IPv4ルートがPEルーター(またはスイッチ、 bgp ステートメントを含む)間を通過できるようにするには:
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
以下の階層レベルでこのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS および LDP の設定
プロバイダのPEルーター(またはスイッチ)にIS-ISとLDPを設定するには、 isis および ldp ステートメントを含めます。
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシーオプションの設定
キャリア顧客のネットワークとの間でルートをエクスポートおよびインポートするために、プロバイダーのPEルーター(またはスイッチ)にポリシーステートメントを設定するには、 policy-statement ステートメントと community ステートメントを含めます。
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
以下の階層レベルでこれらのステートメントを使用することができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
CEルータにルートを送信するためのルーティングインスタンスの設定
キャリア顧客のCEルーター(またはスイッチ)にラベル付きルートを送信するために、プロバイダーのPEルーター(またはスイッチ)でルーティングインスタンスを構成するには、以下のステートメントを記述します。
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
以下の階層レベルでこれらのステートメントを使用することができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
関連項目
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer をご利用ください。