レイヤー 2 VPN の PE ルーターでローカル サイトを設定する
PEルーターは、ローカルサイトごとに、レイヤー2 VPNにサービスを提供する他のPEルーターにVPNラベルのセットをアドバタイズします。VPNラベルは、連続したラベルの1つのブロックを構成します。ただし、再プロビジョニングを可能にするために、複数のそのようなブロックをアドバタイズできます。各ラベルブロックは、ラベルベース、範囲(ブロックのサイズ)、およびこのラベルブロックを使用してローカルサイトに接続するリモートサイトのシーケンスを識別するリモートサイトIDで構成されています(リモートサイトIDはシーケンスの最初のサイト識別子です)。カプセル化タイプもラベルブロックとともにアドバタイズされます。
次のセクションでは、PE ルーター上のローカル サイトへの接続を設定する方法について説明します。
すべてのサブタスクがすべてのプラットフォームでサポートされているわけではありません。デバイスのCLIを確認します。
レイヤー2 VPNルーティングインスタンスの設定
ネットワーク上でレイヤー 2 VPN を設定するには、 l2vpn ステートメントを含めて PE ルーター上にレイヤー 2 VPN ルーティングインスタンスを設定します。
EX9200スイッチでは、 encapsulation-type を encapsulationステートメント に置き換えます。
l2vpn { (control-word | no-control-word); encapsulation-type type; traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; } site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-id; } } }
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols][edit logical-systems logical-system-name routing-instances routing-instance-name protocols]
レイヤー2 VPNルーティングインスタンス(instance-type l2vpn)内でルーティングプロトコル(OSPF、RIP、IS-ISまたはBGP)を設定することはできません。Junos CLI は、この設定を許可していません。
残りのステートメントの設定方法については、以下のセクションに記載します。
サイトの設定
ローカルサイト用にプロビジョニングされたすべてのレイヤー2回線は、siteステートメント内の論理インターフェイスのセット(interfaceステートメントを含むことで指定)としてリストされます。
各 PE ルーターでは、PE ルーターへの回線を持つ各サイトを設定する必要があります。これを行うには、 site ステートメントを含めます。
site site-name { site-identifier identifier; site-preference preference-value { backup; primary; } interface interface-name { description text; remote-site-id remote-site-ID; } }
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
サイトごとに以下を設定する必要があります。
site-name—サイトの名前。site-identifier identifier—ローカルレイヤー2 VPNサイトを一意に識別する、0よりも大きい符号なしの16ビット数。サイト識別子は、同じVPN内の別のサイトで設定されたリモートサイトIDに対応しています。interface interface-name—インターフェイスの名前と、オプションでリモートサイト接続用のリモートサイトID。 リモートサイトIDの設定を参照してください。
リモートサイトIDの設定
リモートサイトIDにより、スパースレイヤー2 VPNトポロジーを設定できます。スパーストポロジーとは、各サイトがVPN内の他のすべてのサイトに接続する必要がないことを意味します。そのため、すべてのリモートサイトに回線を割り当てる必要はありません。リモートサイトIDは、ハブアンドスポークトポロジーなど、フルメッシュよりも複雑なトポロジーを設定する場合に特に重要です。
リモートサイトID( remote-site-id ステートメントで設定)は、別のサイトで設定されたサイトID( site-identifier ステートメントで設定)に対応します。 図1 は、サイト識別子とリモートサイトIDの関係を示しています。
の関係
図に示すように、ルーターCE1に接続されたルーターPE1の設定は以下のとおりです。
site-identifier 1;
interface so-0/0/0 {
remote-site-id 2;
}
ルーターCE2に接続されたルーターPE2の設定は、以下のとおりです。
site-identifier 2;
interface so-0/0/1 {
remote-site-id 1;
}
ルーターPE1のリモートサイトID(2)は、ルーターPE2のサイト識別子(2)に対応します。ルーターPE2では、リモートサイトID(1)はルーターPE1のサイト識別子(1)に対応します。
リモートサイトIDを設定するには、 remote-site-id ステートメントを含めます。
remote-site-id remote-site-id;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name interface interface-name]
[edit routing-instances routing-instance-name protocols l2vpn site site-name]階層レベルで設定されたインターフェイスのremote-site-idステートメントを明示的に含めない場合、リモートサイトIDがそのインターフェイスに割り当てられます。
インターフェイスのリモートサイトIDは、前のインターフェイスのリモートサイトIDより1高い値に自動的に設定されます。インターフェイスの順序は、 site-identifier ステートメントに基づいています。例えば、リストの最初のインターフェイスにリモートサイトIDがない場合、そのIDは1に設定されます。リストの 2 番目のインターフェイスのリモート サイト ID は 2 に設定されており、3 番目のインターフェイスのリモート サイト ID は 3 に設定されています。後続のインターフェイスのリモートサイトIDは、明示的に設定しない場合、同じ方法でインクリメントされます。
カプセル化タイプの設定
各レイヤー 2 VPN サイトで設定するカプセル化タイプは、設定するレイヤー 2 プロトコルによって異なります。カプセル化タイプとして ethernet-vlan を設定する場合、各レイヤー2 VPNサイトで同じプロトコルを使用する必要があります。
以下のカプセル化タイプのいずれかを設定する場合、各レイヤー2 VPNサイトで同じプロトコルを使用する必要はありません。
atm-aal5—非同期転送モード(ATM)適応レイヤー(AAL5)atm-cell- ATMセルリレーatm-cell-port-mode- ATMセルリレーポートプロミスキャスモードatm-cell-vc-mode- ATM仮想回線(VC)セルリレー非プロミスキャスモードatm-cell-vp-mode—ATM仮想パス(VP)セルリレープロミスキャスモードcisco-hdlc- Cisco Systems対応のHDLC(High-Level Data Link Control)ethernet- イーサネットethernet-vlan—イーサネット仮想LAN(VLAN)frame-relay- フレームリレーframe-relay-port-mode- フレームリレーポートモードinterworking- レイヤー2.5インターワーキングVPNppp—ポイントツーポイントプロトコル(PPP)
レイヤー2 VPNサイトで異なるプロトコルを設定する場合は、TCC(トランスレーショナルクロスコネクト)カプセル化タイプを設定する必要があります。詳細については、 レイヤー2 VPNおよびレイヤー2回線のTCCカプセル化の設定を参照してください。
PE ルーターが受け入れるレイヤー 2 プロトコルを設定するには、 encapsulation-type ステートメントを含めてカプセル化タイプを指定します。
encapsulation-type type;
EX9200スイッチの場合、 encapsulation ステートメントを含めてカプセル化タイプを指定します。
encapsulation type;
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
サイト設定とレイヤー 2 VPN マルチホーミングの設定
特定のレイヤー2 VPNサイトにアドバタイズされる優先値を指定できます。サイトプリファレンス値は、BGPローカルプリファレンス属性にエンコードされています。PE ルーターが同じ CE デバイス識別子を持つ複数のアドバタイズメントを受信した場合、ローカル プリファレンス値が最も高いアドバタイズメントが優先されます。
また、 site-preference ステートメントを使用して、レイヤー2 VPNのマルチホーミングを有効にすることもできます。マルチホーミングにより、CEデバイスを複数のPEルーターに接続できます。プライマリ PE ルーターへの接続に障害が発生した場合、トラフィックは自動的にバックアップ PE ルーターに切り替わります。
レイヤー 2 VPN のサイト優先度を設定するには、 site-preference ステートメントを含めます。
site-preference preference-value { backup; primary; }
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols l2vpn site site-name][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn site site-name]
また、site-preferenceステートメントにbackupオプションまたはprimaryオプションを指定することもできます。バックアップオプションでは、優先値を可能な限り低い値である1に指定し、レイヤー2 VPNサイトが選択される可能性が最も低いようにします。プライマリオプションでは、プリファレンス値を可能な限り高い値である65,535に指定し、レイヤー2 VPNサイトが選択される可能性が最も高いようにします。
レイヤー 2 VPN マルチホーミング構成の場合、レイヤー 2 VPN サイトの primary オプションを指定することで、CE デバイスが別の PE ルーターにも接続されている場合、PE ルーターから CE デバイスへの接続が優先接続として指定されます。レイヤー2 VPNサイトの backup オプションを指定すると、CEデバイスが別のPEルーターにも接続されている場合、PEルーターからCEデバイスへの接続がセカンダリ接続として指定されます。
レイヤー2 VPNトラフィックと運用のトレース
レイヤー 2 VPN プロトコルのトラフィックをトレースするには、レイヤー 2 VPN 設定で traceoptions ステートメントのオプションを指定します。
traceoptions { file filename <files number> <size size> <world-readable | no-world-readable>; flag flag <flag-modifier> <disable>; }
以下の階層レベルでこのステートメントを含めることができます。
[edit routing-instances routing-instance-name protocols l2vpn][edit logical-systems logical-system-name routing-instances routing-instance-name protocols l2vpn]
以下のトレース フラグは、レイヤー 2 VPN に関連する操作を表示します。
all—すべてのレイヤー2 VPNトレースオプション。connections—レイヤー2接続(イベントと状態の変化)。error- エラー状態。general—一般的なイベント。nlri—BGPを介して受信または送信するレイヤー2アドバタイズメント。normal—通常のイベント。policy- ポリシー処理。route—ルーティング情報。state- 状態遷移。task—ルーティングプロトコルタスク処理。timer—ルーティングプロトコルタイマー処理。topology—再設定またはBGPを使用して他のPEルーターから受信したアドバタイズによって引き起こされるレイヤー2 VPNトポロジーの変更。
VPN の通常の TTL デクリメントの無効化
VPNに関連するネットワーキングの問題を診断するには、通常のTTL(Time-to-live)デクリメントを無効にすると便利です。Junosでは、 no-propagate-ttl および no-decrement-ttl ステートメントでこれを行うことができます。ただし、VPNトラフィックをトレースする場合は、 no-propagate-ttl ステートメントのみが有効です。
no-propagate-ttlステートメントがVPNの動作に影響を与えるには、PE-ルーター-to-PE-ルーター BGPセッションをクリアするか、VPNルーティングインスタンスを無効にしてから有効にする必要があります。
no-propagate-ttlおよびno-decrement-ttlステートメントの詳細については、MPLSアプリケーションユーザーガイドを参照してください。