キャリアオブキャリアVPN
キャリアオブキャリアVPNについて
VPN サービス プロバイダの顧客は、エンド カスタマー向けのサービス プロバイダである可能性があります。以下に、キャリアオブキャリアVPNの主な2つのタイプを示します(RFC 4364で説明されています:
顧客としてのインターネット サービス プロバイダ— VPN の顧客は、VPN サービス プロバイダのネットワークを使用して地理的に異なる地域ネットワークを接続する ISP です。お客様は、地域ネットワーク内で MPLS を設定する必要はありません。
顧客としての VPN サービス プロバイダ— VPN の顧客は、それ自体が顧客に VPN サービスを提供する VPN サービス プロバイダです。顧客がキャリアオブキャリア VPN サービスを利用している顧客は、サイト間接続にバックボーン VPN サービス プロバイダを利用しています。顧客 VPN サービス プロバイダは、地域ネットワーク内で MPLS を実行する必要があります。
図 1 は、キャリアオブキャリア VPN サービスに使用されるネットワーク アーキテクチャを示しています。
このトピックでは、以下について説明します。
顧客としてのインターネット サービス プロバイダ
このタイプのキャリアオブキャリアVPN構成では、ISP AはインターネットサービスをISP Bに提供するようにネットワークを設定します。ISP Bはインターネットサービスを必要とする顧客に接続を提供しますが、実際のインターネットサービスはISP Aによって提供されます。
このタイプのキャリアオブキャリアVPN構成には、次の特徴があります。
キャリアオブキャリアVPNサービスカスタマー(ISP B)は、ネットワーク上でMPLSを設定する必要はありません。
キャリアオブキャリア VPN サービス プロバイダ(ISP A)は、ネットワーク上で MPLS を設定する必要があります。
また、MPLS は、CE ルーターと PE ルーター上で設定し、キャリアオブキャリア VPN サービス顧客およびキャリアオブキャリア VPN サービス プロバイダのネットワークで接続する必要があります。
顧客としての VPN サービス プロバイダ
VPN サービス プロバイダは、自社の VPN サービス プロバイダである顧客を持つことができます。階層型または再帰的 VPN とも呼ばれるこのタイプの設定では、顧客 VPN サービス プロバイダの VPN-IPv4 ルートは外部ルートと見なされ、バックボーン VPN サービス プロバイダは VRF テーブルにインポートしません。バックボーン VPN サービス プロバイダは、顧客の VPN サービス プロバイダの内部ルートのみを VRF テーブルにインポートします。
プロバイダ間VPNとキャリアオブキャリアVPNの類似点と違いを 表1に示します。
機能 |
ISP のお客様 |
VPN サービス プロバイダのお客様 |
|---|---|---|
カスタマー エッジ デバイス |
AS境界ルーター |
PE ルーター |
IBGP セッション数 |
IPv4 ルートの伝送 |
関連ラベルを使用した外部 VPN-IPv4 ルートの伝送 |
顧客ネットワーク内の転送 |
MPLS はオプション |
MPLS が必要 |
顧客としてのVPNサービスのサポートは、Junos OSリリース17.1R1以降のQFX10000スイッチでサポートされています。
インターネット サービスを提供する顧客向けキャリアオブキャリア VPN の設定
基本的なインターネット サービスを提供したい顧客向けにキャリアオブキャリア VPN サービスを設定できます。キャリアオブキャリアVPNサービスプロバイダは、ネットワークでMPLSを設定する必要がありますが、この設定はキャリアサービスのお客様にはオプションです。 キャリアオブキャリアVPNアーキテクチャは、 このタイプのサービス相互接続におけるルーターまたはスイッチの方法を示しています。
キャリアオブキャリアVPNを設定するには、次のセクションで説明するタスクを実行します。
キャリアオブキャリアVPNサービス顧客のCEルーターの設定
キャリアオブキャリアVPNサービス顧客のルーター(またはスイッチ)は、サービスプロバイダのPEルーターまたはスイッチに関してCEルーターとして機能します。以下のセクションでは、キャリアオブキャリアVPNサービス顧客のCEルーターまたはスイッチを設定する方法について説明します。
MPLS の設定
顧客の CE ルーターまたはスイッチで MPLS を設定するには、次のステートメントを mpls 含めます。
mpls {
traffic-engineering bgp-igp;
interface interface-name;
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
顧客の内部ルートを照合するようにグループを設定するには、次のステートメントを bgp 含めます。
bgp {
group group-name {
type internal;
local-address address;
neighbor address;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
顧客の CE ルーター(またはスイッチ)は、VPN サービス プロバイダのルーターにラベルを送信できる必要があります。BGP グループの設定にステートメントを labeled-unicast 含めて、これを有効にします。
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
ステートメントは、以下の bgp 階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF の設定
顧客の CE ルーターまたはスイッチで OSPF を設定するには、次のステートメントを ospf 含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー オプションの設定
顧客の CE ルーターまたはスイッチでポリシー オプションを設定するには、次のステートメントを policy-statement 含めます。
policy-statement statement-name {
term term-name {
from protocol [ospf direct ldp];
then accept;
}
term term-name {
then reject;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
キャリアオブキャリア VPN サービス プロバイダの PE ルーターの設定
サービス プロバイダの PE ルーターは、顧客の CE ルーターに接続し、顧客の VPN トラフィックをプロバイダのネットワーク全体に転送します。
次のセクションでは、キャリアオブキャリア VPN サービス プロバイダの PE ルーターを設定する方法について説明します。
MPLS の設定
プロバイダの PE ルーターまたはスイッチで MPLS を設定するには、次のステートメントを使用 mpls します。
mpls {
interface interface-name;
interface interface-name;
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
プロバイダのネットワークのもう一方の端にあるプロバイダ PE ルーターとの BGP セッションを設定するには、次のステートメントを bgp 含めます。
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS の設定
プロバイダの PE ルーターまたはスイッチで IS-IS を設定するには、次のステートメントを isis 含めます。
isis {
interface interface-name;
interface interface-name {
passive;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
LDP の設定
プロバイダの PE ルーターまたはスイッチで LDP を設定するには、次のステートメントを ldp 含めます。
ldp {
interface interface-name;
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ルーティング インスタンスの設定
顧客の CE ルーターまたはスイッチでレイヤー 3 VPN サービスを設定するには、ルーティング インスタンスの設定にステートメントを含めて labeled-unicast 、PE ルーター(またはスイッチ)が顧客の CE ルーターまたはスイッチにラベルを送信できるようにします。
routing-instance-name {
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit routing-instances][edit logical-systems logical-system-name routing-instances]
ポリシー オプションの設定
顧客の CE ルーターまたはスイッチからルートをインポートするようにポリシー ステートメントを設定するには、次のステートメントを policy-statement 含めます。
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
顧客の CE ルーターまたはスイッチにルートをエクスポートするようにポリシー ステートメントを設定するには、次の and community ステートメントをpolicy-statement含めます。
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
これらのステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
「」も参照
キャリアオブキャリアVPNの例:お客様がインターネットサービスを提供
この例では、キャリアカスタマーは、ネットワーク上でMPLSとLDPを設定する必要はありません。ただし、キャリア プロバイダは、ネットワーク上で MPLS と LDP を設定する必要があります。
設定情報については、次のセクションを参照してください。
- キャリアオブキャリアサービスのネットワークトポロジー
- ルーター A の設定
- ルーター B の設定
- ルーター C の設定
- ルーター D の設定
- ルーター E の設定
- ルーターFの設定
- ルーター G の設定
- ルーター H の設定
- ルーター I の設定
- ルーター J の設定
- ルーター K の設定
- ルーター L の設定
キャリアオブキャリアサービスのネットワークトポロジー
キャリアオブキャリアサービスでは、インターネットサービスプロバイダ(ISP)が複数の場所で透過的なアウトソーシングバックボーンに接続できます。
図 2 は、このキャリアオブキャリアの例におけるネットワーク トポロジーを示しています。
の例
ルーター A の設定
この例では、ルーター A はエンド カスタマーを表しています。このルーターは CE デバイスとして設定します。
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
as-override;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
ルーター B の設定
ルーター B はゲートウェイ ルーターとして機能し、エンド カスタマーを集約してネットワークに接続します。フルメッシュ IBGP セッションが設定されている場合は、ルート リフレクタを使用できます。
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.181;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
neighbor 10.255.14.177;
}
group to-vpn-blue {
peer-as 1;
neighbor 192.168.197.170;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
interface fe-1/0/2.0 {
passive;
}
}
}
}
ルーター C の設定
ルーター C の設定:
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.176;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
}
ルーター D の設定
ルーターDは、AS 10023に関するCEルーターです。キャリアオブキャリアVPNでは、CEルーターはキャリアプロバイダにラベルを送信できなければなりません。これはグループto-isp-red内のlabeled-unicastステートメントで行われます。
[edit]
protocols {
mpls {
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179;
neighbor 10.255.14.176;
neighbor 10.255.14.177;
neighbor 10.255.14.178;
neighbor 10.255.14.181;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
interface t3-0/0/0.0 {
passive;
}
}
}
}
policy options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター E の設定
この設定は、ルーターHを使用したinet-vpnIBGPセッションと、ルーターDを備えたVPNのPEルーター部分を設定します。この例では、ルーター D がラベルを送信する必要があるため、VRF(仮想ルーティングおよび転送)テーブル内のlabeled-unicastステートメントを使用して BGP セッションを設定します。
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーターFの設定
ラベル スワップ ルーターとして機能するようにルーター F を設定します。
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
ルーター G の設定
ルーター G をラベル スワップ ルーターとして機能するように設定します。
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
ルーター H の設定
ルーターHはAS 10023のPEルーターとして機能します。次の設定は、ルーターFの設定と似ています。
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーター I の設定
基本的なインターネット サービス顧客(ルーター L)に接続するようにルーター I を設定します。
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177;
neighbor 10.255.14.179;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.178;
}
group to-vpn-green {
peer-as 1;
neighbor 192.168.197.198;
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/1.0 {
passive;
}
interface fe-1/1/3.0;
}
}
}
ルーター J の設定
ルーター J をラベル スワップ ルーターとして設定します。
[edit]
protocols {
bgp {
group int {
type internal;
local-address 10.255.14.178;
neighbor 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ルーター K の設定
ルーター K は、キャリア プロバイダへの接続終了時に CE ルーターとして機能します。ルーターDの設定と同様に、EBGPセッションの labeled-unicast ステートメントを含めます。
[edit]
protocols {
mpls {
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181;
neighbor 10.255.14.178;
neighbor 10.255.14.175;
neighbor 10.255.14.176;
neighbor 10.255.14.179;
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/1/2.0 {
passive;
}
}
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター L の設定
キャリアオブキャリア VPN サービスのエンド カスタマーとして機能するようにルーター L を設定します。
[edit]
protocols {
bgp {
group to-routerI {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
「」も参照
VPN サービスを提供する顧客向けのキャリアオブキャリア VPN の設定
VPN サービスを必要とする顧客向けにキャリアオブキャリア VPN サービスを設定できます。
顧客およびプロバイダのネットワーク内のルーター(またはスイッチ)を設定してキャリアオブキャリアVPNサービスを有効にするには、次のセクションの手順を実行します。
キャリアオブキャリアカスタマーのPEルーターの設定
キャリアオブキャリアの顧客のPEルーター(またはスイッチ)は、エンドカスタマーのCEルーター(またはスイッチ)に接続されています。
次のセクションでは、キャリアオブキャリア顧客の PE ルーター(またはスイッチ)を設定する方法について説明します。
MPLS の設定
キャリアオブキャリア顧客の PE ルーター(またはスイッチ)で MPLS を設定するには、次のステートメントを mpls 含めます。
mpls {
interface interface-name;
interface interface-name;
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
labeled-unicastキャリアオブキャリアの顧客の CE ルーター(またはスイッチ)への IBGP セッションの設定にステートメントを含め、ネットワークの反対側にあるキャリアオブキャリア PE ルーター(またはスイッチ)への IBGP セッションの設定にステートメントを含めますfamily-inet-vpn。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
resolve-vpn;
}
}
}
neighbor address {
family inet-vpn {
any;
}
}
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF の設定
キャリアオブキャリア顧客の PE ルーター(またはスイッチ)で OSPF を設定するには、次のステートメントを ospf 含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
LDP の設定
キャリアオブキャリア顧客の PE ルーター(またはスイッチ)で LDP を設定するには、次のステートメントを ldp 含めます。
ldp {
interface interface-name;
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ルーティング インスタンスでの VPN サービスの設定
キャリアオブキャリアの顧客の PE ルーター(またはスイッチ)でエンド カスタマーの CE ルーター(またはスイッチ)の VPN サービスを設定するには、次のステートメントを含めます。
instance-type vrf;
interface interface-name;
route-distinguisher address;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address;
}
}
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
ポリシー オプションの設定
エンド カスタマーの CE ルーター(またはスイッチ)との間でルートをインポートおよびエクスポートするポリシー オプションを設定するには、次の and community ステートメントをpolicy-statement含めます。
policy-statement policy-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement policy-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
これらのステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)の設定
キャリアオブキャリアの顧客のCEルーター(またはスイッチ)は、プロバイダのPEルーター(またはスイッチ)に接続します。以下のセクションの手順に従って、キャリアオブキャリアのお客様の CE ルーター(またはスイッチ)を設定します。
MPLS の設定
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)のMPLS設定には、プロバイダのPEルーター(またはスイッチ)と顧客のネットワーク内のPルーター(またはスイッチ)へのインターフェイスを含めます。
mpls {
traffic-engineering bgp-igp;
interface interface-name;
interface interface-name;
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
BGP の設定
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)のBGP設定で、エンドカスタマーのCEルーター(またはスイッチ)に接続されたPEルーター(またはスイッチ)にVPNサービスを拡張するためのステートメントを含む labeled-unicast グループを設定します。
bgp {
group group-name {
type internal;
local-address address;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
ステートメントは、以下の bgp 階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
プロバイダの PE ルーター(またはスイッチ)にラベル付けされた内部ルートを送信するようにグループを設定するには、次のステートメントを bgp 含めます。
bgp {
group group-name {
export internal;
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
OSPF および LDP の設定
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)でOSPFとLDPを設定するには、andldpステートメントをospf含めます。
ospf {
area area-id {
interface interface-name {
passive;
}
interface interface-name;
}
}
ldp {
interface interface-name;
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー オプションの設定
キャリアオブキャリアカスタマーのCEルーター(またはスイッチ)でポリシーオプションを設定するには、次のステートメントを policy-statement 含めます。
policy-statement policy-statement-name {
term term-name {
from protocol [ ospf direct ldp ];
then accept;
}
term term-name {
then reject;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
プロバイダの PE ルーターまたはスイッチの設定
キャリアオブキャリアプロバイダのPEルーター(またはスイッチ)は、キャリアカスタマーのCEルーター(またはスイッチ)に接続します。プロバイダの PE ルーター(またはスイッチ)を設定するには、次のセクションの手順に従います。
MPLS の設定
MPLS 設定で、少なくとも 2 つのインターフェイス(1 つは顧客の CE ルーター(またはスイッチ)に、もう 1 つはプロバイダのネットワークの反対側にあるプロバイダの PE ルーター(またはスイッチ)に接続するインターフェイスを指定します。
interface interface-name; interface interface-name;
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols mpls][edit logical-systems logical-system-name protocols mpls]
PE-to-PE BGP セッションの設定
プロバイダの PE ルーター(またはスイッチ)で PE-to-PE BGP セッションを設定し、VPN-IPv4 ルートが PE ルーター(またはスイッチ)間を通過できるようにするには、次のステートメントを bgp 含めます。
bgp {
group group-name {
type internal;
local-address address;
family inet-vpn {
any;
}
neighbor address;
}
}
このステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
IS-IS および LDP の設定
プロバイダの PE ルーター(またはスイッチ)で IS-IS および LDP を設定するには、次の and ldp ステートメントをisis含めます。
isis {
interface interface-name;
interface interface-name {
passive;
}
}
ldp {
interface interface-name;
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit protocols][edit logical-systems logical-system-name protocols]
ポリシー オプションの設定
プロバイダの PE ルーター(またはスイッチ)でポリシー ステートメントを設定して、ルートをキャリア顧客のネットワークにエクスポートし、キャリア顧客のネットワークからルートをインポートするには、以下の and community ステートメントをpolicy-statement含めます。
policy-statement statement-name {
term term-name {
from {
protocol bgp;
community community-name;
}
then accept;
}
term term-name {
then reject;
}
}
policy-statement statement-name {
term term-name {
from protocol bgp;
then {
community add community-name;
accept;
}
}
term term-name {
then reject;
}
}
community community-name members value;
これらのステートメントは、以下の階層レベルに含めることができます。
[edit policy-options][edit logical-systems logical-system-name policy-options]
CE ルーターにルートを送信するためのルーティング インスタンスの設定
プロバイダの PE ルーター(またはスイッチ)でルーティング インスタンスを設定し、ラベル付きルートをキャリアカスタマーの CE ルーター(またはスイッチ)に送信するには、次のステートメントを含めます。
instance-type vrf;
interface interface-name;
route-distinguisher value;
vrf-import policy-name;
vrf-export policy-name;
protocols {
bgp {
group group-name {
peer-as as-number;
neighbor address {
family inet {
labeled-unicast;
}
}
}
}
}
これらのステートメントは、以下の階層レベルに含めることができます。
[edit routing-instances routing-instance-name][edit logical-systems logical-system-name routing-instances routing-instance-name]
「」も参照
キャリアオブキャリアVPNの例:顧客がVPNサービスを提供
この例では、通信事業者のお客様は、エンド カスタマーに VPN サービスを提供するために、ネットワーク上で何らかの MPLS(リソース予約プロトコル[RSVP]または LDP)を実行する 必要があります 。以下の例では、ルーターBとルーターIがPEルーター(またはスイッチ)として機能し、VPN-IPv4ルートを交換する場合、これらのルーター間で機能するMPLSパスが必要です。
設定情報については、次のセクションを参照してください。
- キャリアオブキャリアサービスのネットワークトポロジー
- ルーター A の設定
- ルーター B の設定
- ルーター C の設定
- ルーター D の設定
- ルーター E の設定
- ルーターFの設定
- ルーター G の設定
- ルーター H の設定
- ルーター I の設定
- ルーター J の設定
- ルーター K の設定
- ルーター L の設定
キャリアオブキャリアサービスのネットワークトポロジー
キャリアオブキャリアサービスでは、インターネットサービスプロバイダ(ISP)が複数の場所で透過的なアウトソーシングバックボーンに接続できます。
図 3 は、このキャリアオブキャリアの例におけるネットワーク トポロジーを示しています。
の例
ルーター A の設定
この例では、ルーター A はエンド カスタマーの CE ルーターとして機能します。ルーター A のデフォルト family inet BGP セッションを設定します。
[edit]
protocols {
bgp {
group to-routerB {
export attached;
peer-as 21;
neighbor 192.168.197.169;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
ルーター B の設定
ルーター B はエンド カスタマー CE ルーター(ルーター A)の PE ルーターであるため、ルーティング インスタンス(vpna)を設定する必要があります。 labeled-unicast ルーターDへのIBGPセッションのステートメントを設定し、ルーターIを使用してネットワークの反対側へのIBGPセッションを設定 family-inet-vpn します。
[edit]
protocols {
mpls {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.179;
neighbor 10.255.14.175 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
}
neighbor 10.255.14.181 {
family inet-vpn {
any;
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/2.0;
route-distinguisher 10.255.14.179:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-06 {
peer-as 1;
neighbor 192.168.197.170;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
ルーター C の設定
ローカルAS内のラベルスワップルーターとしてルーターCを設定します。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/3.0;
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
interface fe-0/3/3.0;
}
}
ルーター D の設定
ルーターDは、AS 10023ネットワークによって提供されるVPNサービスのCEルーターとして機能します。ルーター B(10.255.14.179)へのトラフィックを処理するグループ intの BGP グループ設定に、ステートメントを labeled-unicast 含めます。また、ラベル付けされた内部ルートを PE ルーター(ルーター E)に送信するように BGP グループ to-isp-red を設定する必要があります。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-0/3/0.0;
interface t3-0/0/0.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.175;
neighbor 10.255.14.179 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.13 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-0/3/0.0;
}
}
ldp {
interface fe-0/3/0.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター E の設定
ルーター E およびルーター H は PE ルーターです。VPN-IPv4 ルートがこれら 2 つの PE ルーター間を通過できるように、PE-router-to-PE-router BGP セッションを設定します。ルーターEのルーティングインスタンスを設定して、ラベル付けされたルートをCEルーター(ルーターD)に送信します。
ルーター E の設定:
[edit]
protocols {
mpls {
interface t3-0/2/0.0;
interface at-0/1/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.171;
family inet-vpn {
any;
}
neighbor 10.255.14.173;
}
}
isis {
interface at-0/1/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface at-0/1/0.0;
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface t3-0/2/0.0;
route-distinguisher 10.255.14.171:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.14 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
ルーターFの設定
インターフェイスを介して実行されるルートのラベルを交換するようにルーターFを設定します。
[edit]
protocols {
isis {
interface so-0/2/0.0;
interface at-0/3/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/2/0.0;
interface at-0/3/0.0;
}
}
ルーター G の設定
ルーター G の設定:
[edit]
protocols {
isis {
interface so-0/0/0.0;
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-0/0/0.0;
interface so-1/0/0.0;
}
}
ルーター H の設定
ルーター H の設定は、ルーター E の設定と似ています。
[edit]
protocols {
mpls {
interface fe-1/1/0.0;
interface so-1/0/0.0;
}
bgp {
group pe-pe {
type internal;
local-address 10.255.14.173;
family inet-vpn {
any;
}
neighbor 10.255.14.171;
}
}
isis {
interface so-1/0/0.0;
interface lo0.0 {
passive;
}
}
ldp {
interface so-1/0/0.0;
}
}
routing-instances {
vpn-isp1 {
instance-type vrf;
interface fe-1/1/0.0;
route-distinguisher 10.255.14.173:21;
vrf-import vpn-isp1-import;
vrf-export vpn-isp1-export;
protocols {
bgp {
group to-isp1 {
peer-as 21;
neighbor 192.168.197.94 {
as-override;
family inet {
labeled-unicast;
}
}
}
}
}
}
}
policy-options {
policy-statement vpn-isp1-import {
term a {
from {
protocol bgp;
community vpn-isp1-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpn-isp1-export {
term a {
from protocol bgp;
then {
community add vpn-isp1-comm;
accept;
}
}
term b {
then reject;
}
}
community vpn-isp1-comm members target:69:21;
}
ルーター I の設定
ルーター I は、エンド カスタマーの PE ルーターとして機能します。次の設定は、ルーター B の設定と似ています。
[edit]
protocols {
mpls {
interface fe-1/0/1.0;
interface fe-1/1/3.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.181;
neighbor 10.255.14.177 {
family inet {
labeled-unicast {
resolve-vpn;
}
}
}
neighbor 10.255.14.179 {
family inet-vpn {
any;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/1/3.0;
}
}
ldp {
interface fe-1/1/3.0;
}
}
routing-instances {
vpna {
instance-type vrf;
interface fe-1/0/1.0;
route-distinguisher 10.255.14.181:21;
vrf-import vpna-import;
vrf-export vpna-export;
protocols {
bgp {
group vpna-0 {
peer-as 1;
neighbor 192.168.197.198;
}
}
}
}
}
policy-options {
policy-statement vpna-import {
term a {
from {
protocol bgp;
community vpna-comm;
}
then accept;
}
term b {
then reject;
}
}
policy-statement vpna-export {
term a {
from protocol bgp;
then {
community add vpna-comm;
accept;
}
}
term b {
then reject;
}
}
community vpna-comm members target:100:1001;
}
ルーター J の設定
ルーター J のインターフェイスを介して実行されるルートのラベルを交換するように設定します。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ldp {
interface fe-1/0/2.0;
interface fe-1/0/3.0;
}
}
ルーター K の設定
ルーター K の設定は、ルーター D の設定と似ています。
[edit]
protocols {
mpls {
traffic-engineering bgp-igp;
interface fe-1/1/2.0;
interface fe-1/0/2.0;
}
bgp {
group int {
type internal;
local-address 10.255.14.177;
neighbor 10.255.14.181 {
family inet {
labeled-unicast;
}
}
}
group to-isp-red {
export internal;
peer-as 10023;
neighbor 192.168.197.93 {
family inet {
labeled-unicast;
}
}
}
}
ospf {
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface fe-1/0/2.0;
}
}
ldp {
interface fe-1/0/2.0;
}
}
policy-options {
policy-statement internal {
term a {
from protocol [ ospf direct ];
then accept;
}
term b {
then reject;
}
}
}
ルーター L の設定
この例では、ルーター L はエンド カスタマーの CE ルーターです。ルーターLでデフォルトファミリーBGP inet セッションを設定します。
[edit]
protocols {
bgp {
group to-I {
export attached;
peer-as 21;
neighbor 192.168.197.197;
}
}
}
policy-options {
policy-statement attached {
from protocol direct;
then accept;
}
}
「」も参照
LDP およびキャリアオブキャリア VPN の複数インスタンス
複数の LDP ルーティング インスタンスを設定すると、LDP を使用して、コア プロバイダ PE ルーターから顧客キャリア CE ルーターにキャリアオブキャリア VPN のラベルをアドバタイズできます。LDP がこの方法でラベルをアドバタイズすることは、キャリアカスタマーが基本的なISPであり、PEルーターへの完全なインターネットルートを制限したい場合に特に便利です。BGP の代わりに LDP を使用することで、キャリアカスタマーは他の内部ルーターをインターネットから大規模に保護します。複数インスタンス LDP は、キャリア顧客が顧客にレイヤー 3 VPN またはレイヤー 2 VPN サービスを提供したい場合にも役立ちます。
キャリアオブキャリアVPNに対して複数のLDPルーティングインスタンスを設定する方法の例については、 https://www.juniper.net/documentation/us/en/software/junos/mpls/topics/example/multiple-instance-ldp-configuring-detailed-solutions.html を参照してください。