VPN の PE ルーター上の VRF テーブルのポリシーの設定
各 PE ルーターでは、ルーターの VRF テーブルにルートをインポートする方法とルートをエクスポートする方法を定義するポリシーを定義する必要があります。これらのポリシーでは、ルートターゲットを定義する必要があり、オプションでルート起点を定義することができます。
VRF テーブルのポリシーを設定するには、次のセクションの手順を実行します。
ルートターゲットの設定
VPN ルーティングテーブルのポリシー設定の一環として、ルートがどの VPN の一部であるかを定義するルートターゲットを定義する必要があります。同じPEルーター上で異なるタイプのVPNサービス(レイヤー2VPN、レイヤー3VPN、EVPN、VPLS)を設定する場合は、ルートやシグナリングの情報が間違ったVPNルーティングテーブルに追加されないように、必ず一意のルートターゲット値を割り当ててください。
ルートターゲットを設定するには、communityステートメントにtargetオプションを含めます。
community name members target:community-id;
以下の階層レベルでこのステートメントを含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
name はコミュニティの名前です。
community-id はコミュニティの識別子です。以下のいずれかの形式で指定します。
as-number:numberです。ここで、as-numberはAS番号(2バイト値)、numberは4バイトのコミュニティ値です。AS番号の範囲は1〜65,535です。IANAによって割り当てられた非プライベートのAS番号を使用することが推奨されます。好ましいのはISP独自のAS番号またはお客様独自のAS番号です。コミュニティ値は、0〜4,294,967,295(232 – 1)の範囲の数値です。ip-address:numberです。ここで、ip-addressは IPv4 アドレス(4 バイト値)、numberは 2 バイトのコミュニティ値です。IPアドレスは、グローバルに一意のユニキャストアドレスにすることができます。router-idステートメントで設定したアドレスを使用することをお勧めします。これは、割り当てられたプレフィックス範囲内の非プライベートアドレスです。コミュニティ値は、1〜65,535の範囲の数値です。
ルート起点の設定
PE ルーターの VRF テーブルのインポートおよびエクスポート ポリシーでは、他の PE ルーターに送信されたマルチプロトコル外部 BGP(MP-EBGP)VPN IPv4 ルート更新に適用された VRF エクスポート ポリシーを使用して、オプションで PE ルーターの VRF ルートにルート起点(発信元サイトとも呼ばれます)を割り当てることができます。
受信側PEのVRFインポートポリシーで割り当てられたルート起点属性を照合することで、1つのPEからMP-EBGPアップデートを介して学習したVPN-IPv4ルートが、同じサイトに接続された別のPEから同じVPNサイトに再インポートされないようにすることができます。
ルート起点を設定するには、以下の手順を実行します。
originオプションにcommunityステートメントを含めます。community name members origin:community-id;
以下の階層レベルでこのステートメントを含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
nameはコミュニティの名前です。community-idはコミュニティの識別子です。以下のいずれかの形式で指定します。as-number:numberです。ここで、as-numberはAS番号(2バイト値)、numberは4バイトのコミュニティ値です。AS番号の範囲は1〜65,535です。IANAによって割り当てられた非プライベートのAS番号を使用することが推奨されます。好ましいのはISP独自のAS番号またはお客様独自のAS番号です。コミュニティ値は、0〜4,294,967,295(232 – 1)の範囲の数値です。ip-address:numberです。ここで、ip-addressはIPv4アドレス(4バイト値)、numberは2バイトのコミュニティ値です。IPアドレスは、グローバルに一意のユニキャストアドレスにすることができます。router-idステートメントで設定したアドレスを使用することをお勧めします。これは、割り当てられたプレフィックス範囲内の非プライベートアドレスです。コミュニティ値は、1〜65,535の範囲の数値です。
ステップ1で定義した
community-id識別子を[edit policy-options policy-statement import-policy-name term import-term-name from]階層レベルでcommunityステートメントを設定することで、PEルーターのVRFテーブルのインポートポリシーにコミュニティを含めます。PEルーターのVRFテーブルのインポートポリシーの設定を参照してください。ポリシーの
from句でコミュニティ条件が指定されていない場合、ポリシーが適用されるvrf-importステートメントをコミットすることはできません。Junos OSのコミット操作が検証チェックに合格しません。ステップ1で定義した
community-id識別子を[edit policy-options policy-statement export-policy-name term export-term-name then]階層レベルでcommunityステートメントを設定し、PEルーターのVRFテーブルのエクスポートポリシーにコミュニティを含めます。PEルーターのVRFテーブルのエクスポートポリシーの設定を参照してください。
設定例については、VPNのルートオリジンの設定を参照してください。
PE ルーターの VRF テーブルのインポート ポリシーの設定
各VPNは、PEルーターのVRFテーブルにルートをインポートする方法を定義するポリシーを持つことができます。インポートポリシーは、VPN 内の他の PE ルーターから受信したルートに適用されます。ポリシーは、ピアPEルーターとのIBGPセッションを介して受信したすべてのルートを評価する必要があります。ルートが条件に一致する場合、そのルートは PE ルーター の routing-instance-name.inet.0 VRF テーブルにインストールされます。インポート ポリシーには、他のすべてのルートを拒否する 2 番目の条件が含まれている必要があります。
インポートポリシーに then reject ステートメントのみが含まれていない限り、コミュニティへの参照を含める必要があります。それ以外の場合、設定をコミットしようとすると、コミットは失敗します。複数のインポートポリシーを設定できます。
インポートポリシーは、IBGP を介してリモート PE ルーターから学習した VPN ルートに基づいて、指定された VRF テーブルにインポートするものを決定します。IBGPセッションは、 [edit protocols bgp] 階層レベルで設定されます。 [edit protocols bgp] 階層レベルでもインポートポリシーを設定する場合、 [edit policy-options] 階層レベルと [edit protocols bgp] 階層レベルのインポートポリシーは、論理 AND 演算によって結合されます。これにより、グループとしてトラフィックをフィルタリングできます。
PE ルーターの VRF テーブルのインポート ポリシーを設定するには、次の手順に従います。
インポートポリシーを定義するには、
policy-statementステートメントを含めます。すべてのPEルーターについて、インポートポリシーには、少なくとも以下のpolicy-statementステートメントを必ず含める必要があります。policy-statement import-policy-name { term import-term-name { from { protocol bgp; community community-id; } then accept; } term term-name { then reject; } }以下の階層レベルで
policy-statementステートメントを含めることができます。[edit policy-options][edit logical-systems logical-system-name policy-options]
import-policy-nameポリシーは、他のPEルーターとのIBGPセッションで受信したすべてのルートを評価します。ルートがfromステートメントの条件に一致する場合、ルートはPEルーターのrouting-instance-name.inet.0 VRFテーブルにインストールされます。ポリシーの 2 番目の条件は、他のすべてのルートを拒否します。ポリシー作成の詳細については、 『ルーティングポリシー、ファイアウォールフィルタ、およびトラフィックポリサーユーザーガイド』を参照してください。
オプションで正規表現を使用して、VRFインポートポリシーに使用するコミュニティのセットを定義できます。
例えば、
[edit policy-options policy-statement policy-statement-name]階層レベルでcommunityステートメントを使用して、以下を設定できます。[edit policy-options vrf-import-policy-sample] community high-priority members *:50
ルートターゲット拡張コミュニティの一部として正規表現を設定することはできません。コミュニティの正規表現を設定する方法については、 ルーティングポリシーの一致条件で BGPコミュニティと拡張コミュニティを評価する方法を参照してください。
インポートポリシーを設定するには、
vrf-importステートメントを含めます。vrf-import import-policy-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
PE ルーターの VRF テーブルのエクスポート ポリシーの設定
各VPNは、PEルーターのVRFテーブルからルートをエクスポートする方法を定義するポリシーを持つことができます。エクスポートポリシーは、VPN 内の他の PE ルーターに送信されたルートに適用されます。エクスポートポリシーは、CEルーターとのルーティングプロトコルセッションを介して受信したすべてのルートを評価する必要があります。(このセッションでは、BGP、OSPF、ルーティング情報プロトコル(RIP)ルーティングプロトコル、またはスタティックルートを使用できます。)ルートが条件に一致する場合、指定されたコミュニティターゲット(つまりルートターゲット)が追加され、リモートPEルーターにエクスポートされます。エクスポート・ポリシーには、他のすべてのルートを拒否する2番目の条件が含まれている必要があります。
VPNルーティングインスタンス内で定義されたエクスポートポリシーは、VRFテーブルに適用される唯一のエクスポートポリシーです。PE ルーター間の IBGP セッションで定義したエクスポート ポリシーは、VRF テーブルに影響を与えません。複数のエクスポートポリシーを設定できます。
PE ルーターの VRF テーブルのエクスポート ポリシーを設定するには、次の手順に従います。
すべての PE ルーターについて、エクスポート ポリシーは、ルーティング インスタンス内の CE ルーターと PE ルーター間に設定するルーティング プロトコルのタイプに従って、接続された CE ルーターとの間で VPN ルートを配信する必要があります。
エクスポートポリシーを定義するには、
policy-statementステートメントを含めます。エクスポートポリシーには、少なくとも以下のpolicy-statementステートメントを必ず含める必要があります。policy-statement export-policy-name { term export-term-name { from protocol (bgp | ospf | rip | static); then { community add community-id; accept; } } term term-name { then reject; } }注:community addステートメントの設定は、レイヤー2 VPN VRFエクスポートポリシーの要件です。community addステートメントをcommunity setステートメントに変更すると、レイヤー2 VPNリンクのエグレスでルーターが接続を切断する可能性があります。注:ソース固有モードで動作するdraft-rosen マルチキャスト VPNを設定し、
vrf-exportステートメントを使用してエクスポートポリシーを指定する場合、ポリシーにはvrf-name.mdt.0ルーティングテーブルからのルートを受け入れる条件が必要です。この用語は、inet-mdtアドレスファミリーを使用した適切なPE自動検出を保証します。ソース固有モードで動作し、
vrf-targetステートメントを使用してdraft-rosen マルチキャスト VPNを設定すると、VRFエクスポートポリシーが自動的に生成され、vrf-name.mdt.0ルーティングテーブルからのルートを自動的に受け入れます。以下の階層レベルで
policy-statementステートメントを含めることができます。[edit policy-options][edit logical-systems logical-system-name policy-options]
export-policy-nameポリシーは、ルーティングプロトコルセッションを介して受信したすべてのルートをCEルーターで評価します。(このセッションでは、BGP、OSPF、RIPルーティングプロトコル、またはスタティックルートを使用できます。)ルートがfromステートメントの条件に一致する場合、then community addステートメントで指定されたコミュニティターゲットがルートに追加され、リモートPEルーターにエクスポートされます。ポリシーの 2 番目の条件は、他のすべてのルートを拒否します。ポリシー作成の詳細については、 『ルーティングポリシー、ファイアウォールフィルタ、およびトラフィックポリサーユーザーガイド』を参照してください。
ポリシーを適用するには、
vrf-exportステートメントを含めます。vrf-export export-policy-name;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
VRFエクスポートポリシーとBGPエクスポートポリシーの両方の適用
PEルーターのVRFテーブルに対するエクスポートポリシーの設定で説明されているようにVRFエクスポートポリシーを適用すると、VPNルーティングインスタンスからのルートは、このポリシーに基づいて他のPEルーターにアドバタイズされますが、BGPエクスポートポリシーは無視されます。
BGP設定に vpn-apply-export ステートメントを含めると、VPNルーティングテーブルで他のPEルーターにルートがアドバタイズされる前に、VRFエクスポートとBGPグループまたはネイバーエクスポートポリシーの両方が適用されます(最初にVRF、次にBGP)。
PEデバイスが、キャリアオーバーキャリアまたはAS間VPNでルートリフレクタ(RR)または自律システム境界ルーター(ASBR)としても機能している場合、vrfエクスポートポリシーのネクストホップ操作は無視されます。
vpn-apply-exportステートメントを含める場合は、以下の点に注意してください。
bgp.l3vpn.0 ルーティングテーブルにインポートされたルートは、元のルートの属性を保持します(例えば、OSPF ルートは、bgp.l3vpn.0 ルーティングテーブルに保存されていても OSPF ルートのままです)。IBGP PEルーターとPEルーター、ルートリフレクタとPEルーター、またはAS境界ルーター(ASBR)ピアルーター間の接続に対するエクスポートポリシーを設定する場合、この点に注意する必要があります。
デフォルトでは、bgp.l3vpn.0ルーティングテーブル内のすべてのルートがIBGPピアにエクスポートされます。エクスポートポリシーの最後のステートメントが deny all であり、エクスポートポリシーが bgp.l3vpn.0 ルーティングテーブル内のルートで特に一致しない場合、ルートはエクスポートされません。
VRFエクスポートポリシーとBGPエクスポートポリシーの両方をVPNルートに適用するには、 vpn-apply-export ステートメントを含めます。
vpn-apply-export;
このステートメントを含めることができる階層レベルの一覧については、このステートメントの「ステートメント概要」セクションを参照してください。
VRFターゲットの設定
VRFターゲットコミュニティの設定に vrf-target ステートメントを含めると、指定されたターゲットコミュニティでルートを受け入れてタグ付けするデフォルトのVRFインポートおよびエクスポートポリシーが生成されます。VRF のインポートおよびエクスポート ポリシーを明示的に設定することで、より複雑なポリシーを作成することもできます。これらのポリシーは、 vrf-target ステートメントを設定するときに生成されるデフォルトのポリシーを上書きします。
vrf-targetステートメントのimportおよびexportオプションを設定しない場合、指定したコミュニティ文字列が双方向に適用されます。import キーワードと export キーワードを使用すると柔軟性が高く、方向ごとに異なるコミュニティを指定できます。
VRFターゲットコミュニティの構文は名前ではありません。次の形式で指定する必要があります target:x:y。コミュニティ名を指定すると、 policy-options ステートメントを使用してそのコミュニティのコミュニティメンバーを設定する必要もなるため、指定できません。 policy-options ステートメントを定義した場合、通常どおりVRFインポートおよびエクスポートポリシーを設定することができます。 vrf-target ステートメントの目的は、ほとんどのステートメントを [edit routing-instances] 階層レベルで設定できるようにすることで、設定を簡素化することです。
VRFターゲットを設定するには、 vrf-target ステートメントを含めます。
vrf-target community;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
vrf-targetステートメントの設定例を以下に示します。
[edit routing-instances sample] vrf-target target:69:102;
exportおよびimportオプションを含むvrf-targetステートメントを設定するには、以下のステートメントを含めます。
vrf-target { export community-name; import community-name; }
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]