レイヤー 3 VPN 上の IPv4 トラフィック
レイヤー3 VPNにおけるIPv4ルート配信について
VPN 内では、VPN-IPv4 ルートの配信は PE ルーターと CE ルーター間、および PE ルーター間で行われます( 図 1 を参照)。
内のルート配信
このセクションでは、以下のトピックについて説明します。
CE から PE ルーターへのルートの配信
CE ルーターは、直接接続された PE ルーターにそのルートをアナウンスします。アナウンスされたルートはIPv4形式です。PE ルーターは、VPN の VRF テーブルにルートを配置します。Junos OSでは、これは routing-instance-name.inet.0ルーティングテーブルで routing-instance-name 、VPNの名前が設定されています。
CEとPEルーター間の接続には、リモート接続(WAN接続)または直接接続(フレームリレーやイーサネット接続など)があります。
CEルーターは、以下のいずれかを使用してPEルーターと通信できます。
Ospf
リッピング
Bgp
スタティック ルート
図 2 は、CE ルーターから PE ルーターへのルートの分散方法を示しています。ルーターPE1は、異なるVPNにある2つのCEルーターに接続されています。そのため、VPN ごとに 1 つずつ、2 つの VRF テーブルを作成します。CE ルーターが IPv4 ルートをアナウンスします。PE ルーターは、これらのルートを、VPN ごとに 1 つずつ、2 つの異なる VRF テーブルにインストールします。同様に、ルーターPE2は、2つの直接接続されたCEルーターからルートをインストールする2つのVRFテーブルを作成します。ルーターPE3は、1つのVPNにのみ直接接続されているため、1つのVRFテーブルを作成します。
ルーターへのルートの配信
PE ルーター間のルートの配信
1台のPEルーターが直接接続されたCEルーターからアドバタイズされたルートを受信すると、そのVPNのVRFエクスポートポリシーに対して、受信したルートをチェックします。一致する場合、ルートはVPN-IPv4形式に変換されます。つまり、8バイトのルート識別子は4バイトVPNプレフィックスの先頭に付加され、12バイトVPN-IPv4アドレスを形成します。その後、ルートはルートターゲットコミュニティにタグ付けされます。PE ルーターは、VRF インポート ポリシーで使用するために、VPN-IPv4 形式のルートをリモート PE ルーターにアナウンスします。ルートは、プロバイダのコアネットワークで設定されたIBGPセッションを使用して配信されます。ルートが一致しない場合、他のPEルーターにはエクスポートされませんが、同じVPN内の2つのCEルーターが同じPEルーターに直接接続されている場合など、ルーティングにローカルに使用することもできます。
リモート PE ルーターは、ルートが PE ルーター間の IBGP セッションでインポート ポリシーにパスする場合、そのルートを bgp.l3vpn.0 テーブルに配置します。同時に、VPNのVRFインポートポリシーに対してルートをチェックします。一致した場合、ルート識別子はルートから削除され、IPv4形式のVRFテーブル( routing-instance-name.inet.0テーブル)に配置されます。
図 3 は、ルーター PE1 がプロバイダのコア ネットワーク内の他の PE ルーターにルートを配信する方法を示しています。ルーターPE2およびルーターPE3には、それぞれ、IBGPセッションで受信したルートを受け入れ、VRFテーブルにインストールするかどうかを決定するために使用するVRFインポートポリシーがあります。
間のルートの配信
PE ルーターは、直接接続された CE ルーター( 図 3 のルーター PE1)からアドバタイズされたルートを受信すると、次の手順を使用してルートを調べ、VPN ルートに変換し、リモート PE ルーターに配信します。
PE ルーターは、その VPN の VRF エクスポート ポリシーを使用して、受信したルートをチェックします。
受信したルートがエクスポートポリシーに一致する場合、ルートは次のように処理されます。
このルートは VPN-IPv4 形式に変換されます。つまり、8 バイトのルート識別子の先頭に 4 バイトの VPN プレフィックスが付加され、12 バイトの VPN-IPv4 アドレスが形成されます。
ルートターゲットコミュニティがルートに追加されます。
PE ルーターは、リモート PE ルーターに VPN-IPv4 形式のルートをアドバタイズします。ルートは、プロバイダのコアネットワークで設定されたIBGPセッションを使用して配信されます。
ルートがエクスポートポリシーに一致しない場合、リモートPEルーターにはエクスポートされませんが、ルーティングにローカルで使用できます。たとえば、同じVPN内の2つのCEルーターが同じPEルーターに直接接続されている場合などです。
リモート PE ルーターは、別の PE ルーター( 図 3 のルーター PE2 および PE3)からアドバタイズされたルートを受信する場合、次の手順を使用してルートを処理します。
PE ルーター間の IBGP セッション上のインポート ポリシーによってルートが受け入れられた場合、リモート PE ルーターはその bgp.l3vpn.0 テーブルにルートを配置します。
リモートPEルーターは、ルートのルートターゲットコミュニティをVPNのVRFインポートポリシーと照合します。
一致した場合、ルート識別子はルートから削除され、IPv4形式のVRFテーブル( routing-instance-name.inet.0テーブル)に配置されます。
PE から CE ルーターへのルートの配信
リモート PE ルーターは、直接接続された CE ルーターに、IPv4 形式の VRF テーブル内のルートをアナウンスします。
PE ルーターは、以下のいずれかのルーティング プロトコルを使用して CE ルーターと通信できます。
Ospf
リッピング
Bgp
スタティック ルート
図 4 は、3 台の PE ルーターが接続された CE ルーターにルートをアナウンスする方法を示しています。
ルーターへのルートの配信
VPN-IPv4アドレスとルート識別について
レイヤー3 VPNは、RFC 1918(プライベートインターネットのアドレス割り当て)で定義されているパブリックアドレスまたはプライベートアドレスのいずれかを使用できるプライベートネットワークをパブリックインターネットインフラストラクチャ上で接続するため、プライベートネットワークがプライベートアドレスを使用する場合、アドレスは別のプライベートネットワークのアドレスと重複する可能性があります。
図 5 は、異なるプライベート ネットワークのプライベート アドレスが重複する方法を示しています。ここでは、VPN AおよびVPN B内のサイトは、プライベートネットワークにアドレススペース10.1.0.0/16、10.2.0.0/16、および10.3.0.0/16を使用します。
間で重複するアドレス
プライベート アドレスが重複しないように、ネットワーク デバイスがプライベート アドレスの代わりにパブリック アドレスを使用するように設定できます。しかし、これは大規模で複雑な作業です。RFC 4364で提供されるソリューションは、既存のプライベートネットワーク番号を使用して、明確な新しいアドレスを作成します。新しいアドレスは、VPN-IPv4アドレスファミリーの一部であり、これはBGPプロトコルの拡張として追加されたBGPアドレスファミリーです。VPN-IPv4アドレスでは、ルート識別器と呼ばれるVPNを識別する値のプレフィックスがプライベートIPv4アドレスに付され、プライベートIPv4アドレスを一意に識別するアドレスを提供します。
BGP への VPN-IPv4 アドレス拡張をサポートする必要があるのは、PE ルーターのみです。イングレスPEルーターがVPN内のデバイスからIPv4ルートを受信すると、ルート識別プレフィックスをルートに追加することで、そのルートをVPN-IPv4ルートに変換します。VPN-IPv4アドレスは、PEルーター間で交換されたルートにのみ使用されます。エグレスPEルーターがVPN-IPv4ルートを受信すると、接続されたCEルーターにルートを通知する前にルート識別を削除することで、VPN-IPv4ルートをIPv4ルートに戻します。
VPN-IPv4アドレスの形式は次のとおりです。
ルート識別は、以下のいずれかの形式で指定できる 6 バイト値です。
as-number:number、as-numberはAS番号(2バイト値)で、number任意の4バイト値です。AS番号は、1~65,535の範囲で指定できます。Internet Assigned Numbers Authority(IANA)によって割り当てられた非プライベートAS番号、好ましくはインターネットサービスプロバイダ(ISP)自身または顧客のAS番号を使用することをお勧めします。ip-address:number、ip-addressはIPアドレス(4バイト値)で、number任意の2バイト値です。IP アドレスは、グローバルに一意なユニキャスト アドレスを指定できます。割り当てられたプレフィックス範囲の非プライベートアドレスである ステートメントでrouter-id設定したアドレスを使用することをお勧めします。
IPv4 アドレス — VPN 内のデバイスの 4 バイト アドレス。
図5 は、ルート識別子でAS番号を使用する方法を示しています。VPN AがAS 65535にあり、VPN BがAS 666にある(これらの両方のAS番号がISPに属している)と仮定し、VPN Aのサイト2のルート識別子が65535:02であり、VPNBのサイト2のルート識別子が666:02であると仮定します。ルーターPE2がVPN AのCEルーターからルートを受信すると、そのIPアドレス10.2.0.0から65535:02:10.2.0.0のVPN-IPv4アドレスに変換されます。PE ルーターは、VPN A と同じアドレス空間を使用する VPN B からルートを受信すると、そのルートを 666:02:10.2.0.0 の VPN-IPv4 アドレスに変換します。
ルート識別で IP アドレスを使用する場合、ルーター PE2 の IP アドレスが 172.168.0.1 であるとします。PE ルーターは VPN A からルートを受信すると、VPN-IPv4 アドレス 172.168.0.1:0:10.2.0.0/16 に変換し、VPN B から 172.168.0.0:1:10.2.0.0/16 にルートを変換します。
ルート識別は、異なるVPNからIPv4アドレスへのPEルーター間でのみ使用されます。イングレスPEルーターは、ルート識別を作成し、CEルーターから受信したIPv4ルートをVPN-IPv4アドレスに変換します。エグレスPEルーターは、VPN-IPv4ルートをIPv4ルートに変換してから、CEルーターにアナウンスします。
VPN-IPv4アドレスはBGPアドレスの一種であるため、PEルーターがプロバイダーのコアネットワーク内でVPN-IPv4ルートを配信できるように、PEルーターのペア間のIBGPセッションを設定する必要があります。(すべてのPEルーターは同じAS内にあると見なされます)。
BGP コミュニティを定義して、PE ルーター間のルートの配信を制限します。BGP コミュニティを定義するだけでは、IPv4 アドレスを識別できません。
図 6 は、 ルーター PE1 が VPN A のサイト 1 の CE ルーターから受信したルートにルート識別 10458:22:10.1/16 を追加し、他の 2 つの PE ルーターにルートを転送する方法を示しています。同様に、ルーター PE1 は、VPN B のサイト 1 の CE ルーターが受信したルートにルート識別 10458:23:10.2/16 を追加し、これらのルートを他の PE ルーターに転送します。
レイヤー3 VPN向けIPv4パケット転送の設定
ルーターを設定して、レイヤー 2 およびレイヤー 3 VPN の IPv4 トラフィックのパケット転送をサポートできます。パケット転送は、設定されたヘルパー サービスのタイプに応じて、次のいずれかの方法で処理されます。
BOOTPサービス—クライアントは、BOOTPサービスで設定されたルーターを介して、ブートストラッププロトコル(BOOTP)リクエストを指定されたルーティングインスタンス内のサーバーに送信します。サーバーはクライアントアドレスを認識し、BOOTPサービスで設定されたルーターに応答を返します。このルーターは、指定されたルーティング インスタンス内の正しいクライアント アドレスに応答を転送します。
その他のサービス—クライアントは、サービスで設定されたルーターを介して、指定されたルーティングインスタンス内のサーバーにリクエストを送信します。サーバーはクライアントアドレスを認識し、指定されたルーティングインスタンス内の正しいクライアントアドレスに応答を送信します。
VPNのパケット転送を有効にするには、 ステートメントを helpers 含めます。
helpers {
service {
description description-of-service;
server {
address address {
routing-instance routing-instance-names;
}
}
interface interface-name {
description description-of-interface;
no-listen;
server {
address address {
routing-instance routing-instance-names;
}
}
}
}
}
以下の階層レベルでこのステートメントを含めることができます。
[edit forwarding-options][edit logical-systems logical-system-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]メモ:複数のVPNに対してパケット転送を有効にできます。ただし、クライアントとサーバーは同じVPN内にある必要があります。クライアントとサーバー間のパスに沿ってパケット転送が有効になっているジュニパーネットワークスのルーティング プラットフォームも、同じ VPN 内に存在する必要があります。
アドレスインスタンスとルーティングインスタンスを組み合わせることで、一意のサーバーを構成します。これは、複数のサーバーを受け入れることが可能なBOOTPサービスで設定されたルーターに影響を与えます。
たとえば、BOOTP サービスは次のように設定できます。
[edit forwarding-options helpers bootp] server address 10.2.3.4 routing-instance [instance-A instance-B];
アドレスが同一であっても、ルーティングインスタンスは異なります。BOOTPサービス用にinstance-A入ってくるパケットはルーティングインスタンスにinstance-A転送され10.2.3.4、パケットが入ってくるinstance-Bパケットはルーティングインスタンスでinstance-B転送されます。他のサービスは単一のサーバーしか受け入れできないため、この構成はそのような場合には適用されません。
例:基本的な MPLS ベースのレイヤー 3 VPN を設定する
この例では、Junos OSを実行するルーターまたはスイッチで、基本的なMPLSベースのレイヤー3 VPNを設定および検証する方法を示しています。IPv4ベースの例では、プロバイダとカスタマーエッジデバイス間のルーティングプロトコルとしてEBGPを使用しています。
当社のコンテンツテストチームは、この例を検証し、更新しました。
Mpls ベースのレイヤー 3 仮想プライベート ネットワーク(VPN)を導入するには、Junos OS を実行するルーターとスイッチを使用して、顧客サイトをレイヤー 3 接続と相互接続します。静的ルーティングはサポートされていますが、レイヤー 3 VPN は通常、顧客デバイスがプロバイダ ネットワークとルーティング情報を交換し、IPv4 や IPv6 などの IP プロトコルのサポートを必要とします。
これは、顧客のデバイスが IP プロトコルに基づいていなくても、カスタマー エッジ(CE)デバイス間でルーティングが行われるレイヤー 2 VPN とは対照的です。CEデバイスがプロバイダーエッジデバイスと対話(ピア)するレイヤー3 VPNとは異なり、レイヤー2 VPNでは、顧客のトラフィックは、CEデバイス間でエンドツーエンドで実行されているルーティングプロトコルを使用して、プロバイダコアを透過的に通過します。
MPLSベースのVPNには、プロバイダネットワークのベースラインMPLS機能が必要です。基本的な MPLS が動作すると、プロバイダ コア上のトランスポートにラベルスイッチ パス(LSP)を使用する VPN を設定できます。
VPN サービスを追加しても、プロバイダ ネットワークにおける基本的な MPLS スイッチング操作には影響しません。実際、プロバイダ(P)デバイスは、VPNを認識していないため、ベースラインMPLS設定のみを必要とします。VPN の状態は、プロバイダ エッジ(PE)デバイスでのみ維持されます。これが、MPLSベースのVPNがうまく拡張できる主な理由です。
- 要件
- 概要とトポロジー
- 迅速な構成
- MPLS ベースのレイヤー 3 VPN のローカル PE(PE1)デバイスの設定
- MPLS ベースのレイヤー 3 VPN のリモート PE(PE2)デバイスの設定
- 検証
要件
この例では、以下のソフトウェアとハードウェアのコンポーネントを使用しています。
ルーティングおよびスイッチング デバイス用 Junos OS リリース 12.3 以降
Junos OS リリース 20.3R1 で再検証
2 つの PE(プロバイダ エッジ)デバイス
1 つのプロバイダ(P)デバイス
2 台のカスタマー エッジ(CE)デバイス
この例では、既存の MPLS ベースラインにレイヤー 3 VPN を追加する方法に焦点を当てています。ネットワークにMPLSがまだ導入されていない場合に備え、基本的なMPLS設定が提供されます。
MPLS ベース VPN をサポートするには、基盤となる MPLS ベースラインが以下の機能を提供する必要があります。
MPLS ファミリーサポートで動作するコアに面したインターフェイスとループバック インターフェイス
プロバイダ(PとPE)デバイスのループバックアドレス間の到達可能性を提供するOSPFやIS-ISなどの内部ゲートウェイプロトコル
LSPに信号を送るLDPやRSVPなどのMPLSシグナリングプロトコル
PE デバイス ループバック アドレス間で確立された LSP
特定の VPN に参加する PE デバイスの各ペア間には LSP が必要です。将来の VPN の成長に対応するために、すべての PE デバイス間に LSP を構築することをお勧めします。LSP は 階層レベルで設定します [edit protocols mpls] 。回線クロスコネクト(CCC)接続のMPLS設定とは異なり、LSPをPEデバイスの顧客対応(エッジ)インターフェイスに手動で関連付ける必要はありません。代わりに、レイヤー3 VPNはBGPシグナリングを使用してサイトの到達可能性をアドバタイズします。この BGP シグナリングは、リモート VPN サイトから LSP 転送ネクスト ホップへのマッピングを自動化します。これは、LSP のレイヤー 3 VPN を PE デバイスのエッジに面したインターフェイスに明示的にマッピングする必要はないことを意味します。
概要とトポロジー
レイヤー 3 VPN では、サービス プロバイダの技術的専門知識を活用して、効率的なサイトツーサイト ルーティングを実現できます。カスタマーエッジ(CE)デバイスは、通常、BGPやOSPFなどのルーティングプロトコルを使用して、サービスプロバイダエッジ(PE)デバイスとルートを交換します。静的ルーティングはレイヤー3 VPNでサポートされていますが、動的ルーティングプロトコルが一般的に優先されます。
VPN の定義には、ローカルおよびリモートの PE デバイスのみに変更が必要です。これらのデバイスは基本的なMPLSスイッチング機能のみを提供するため、プロバイダデバイスに追加の設定は必要ありません(すでに動作しているMPLSベースラインを持っている場合)。CE デバイスは MPLS を使用せず、基本的なインターフェイスとルーティング プロトコルの設定のみが必要なため、PE デバイスと通信できます。
レイヤー3 VPNでは、CEデバイスがローカルPEデバイスとピアリングするように設定します。これは、MPLS ベースのプロバイダ コアを介して接続されているにもかかわらず、CE デバイスが共有リンク上にあるかのように相互にピアリングするレイヤー 2 VPN とは対照的です。
MPLS ベースラインを設定した後、MPLS ベースのレイヤー 3 VPN を確立するには、PE デバイスで以下の機能を設定する必要があります。
サポートを持つ
family inet-vpn unicastBGP グループインスタンスタイプ
vrfと、接続されたCEデバイスと互換性のあるルーティングプロトコル定義を持つルーティングインスタンスで
family inet設定されたPEデバイス上の顧客向けインターフェイスと、接続されたCEデバイスと同じサブネット上にインターフェイスを配置するIPv4アドレス。必要に応じて、VLANカプセル化と対応するVLAN IDも設定できます。
適切なエンドツーエンド接続を実現するには、PEデバイスとのピアリングをサポートするために、CEデバイスに互換性のあるIPサブネットとルーティングプロトコルパラメーターを設定する必要があります。
図 7 は 、この例で使用したトポロジーを示しています。この図では、プロバイダ ネットワークと顧客ネットワークで使用されるインターフェイス名、IP アドレッシング、ルーティング プロトコルについて詳しく説明しています。また、CEとPEデバイス間のピアリング関係も強調します。この例では、各 CE デバイスがローカル PE デバイス への EBGP ピアリング セッションを形成することを想定しています。プロバイダネットワークと両方の顧客サイトには、BGP運用をサポートするために自律システム番号が割り当てられていることに注意してください。この例では、ルーティングポリシーがCEデバイスに適用され、プロバイダが向いているインターフェイスとループバックインターフェイスの直接ルートをアドバタイズします。
とする MPLS ベースのレイヤー 3 VPN
迅速な構成
このセクションの設定を使用して、MPLS ベースのレイヤー 3 VPN を迅速に稼働させます。この設定には、レイヤー 3 VPN をサポートする機能 MPLS ベースラインが含まれています。この例では、設定のVPN面に焦点を当てています。この例で使用するベースライン MPLS 機能の詳細については、以下のリンクを参照してください。
CLI クイックコンフィギュレーション
デバイス設定は、管理インターフェイス、静的ルート、システムロギング、システムサービス、ユーザーログイン情報を省略します。設定のこれらの部分は場所によって異なり、MPLS や VPN 機能に直接関連していません。
環境の詳細に必要に応じて以下のコマンドを編集し、 階層の設定モード [edit] にある場合は、ローカルCE(CE1)デバイス端末ウィンドウに貼り付けます。
CE1デバイスの完全な設定。
set system host-name ce1 set interfaces xe-0/0/0:0 description "Link from CE1 to PE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.1/32 set routing-options router-id 172.16.255.1 set routing-options autonomous-system 65410 set protocols bgp group PE1 type external set protocols bgp group PE1 export adv_direct set protocols bgp group PE1 peer-as 65412 set protocols bgp group PE1 neighbor 172.16.1.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
PE1 デバイスの完全な設定。
set system host-name pe1 set interfaces xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30 set interfaces xe-0/0/0:1 description "Link from PE1 to p-router" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.1/32 set routing-instances CE1_L3vpn protocols bgp group CE1 type external set routing-instances CE1_L3vpn protocols bgp group CE1 peer-as 65410 set routing-instances CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1 set routing-instances CE1_L3vpn instance-type vrf set routing-instances CE1_L3vpn interface xe-0/0/0:0.0 set routing-instances CE1_L3vpn route-distinguisher 192.168.0.1:12 set routing-instances CE1_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.1 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.1 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.3 set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:1.0
P デバイスの完全な設定。
set system host-name p set interfaces xe-0/0/0:0 description "Link from p-router to PE1" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.23.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces xe-0/0/0:1 description "Link from p-router to PE2" set interfaces xe-0/0/0:1 mtu 4000 set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.34.1/24 set interfaces xe-0/0/0:1 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.2/32 set protocols mpls interface xe-0/0/0:0.0 set protocols mpls interface xe-0/0/0:1.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0 set protocols rsvp interface xe-0/0/0:1.0
PE2 デバイスの完全な設定。
set system host-name pe2 set interfaces xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" set interfaces xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30 set interfaces xe-0/0/0:0 description "Link from PE2 to p-router" set interfaces xe-0/0/0:0 mtu 4000 set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 set interfaces xe-0/0/0:0 unit 0 family mpls set interfaces lo0 unit 0 family inet address 192.168.0.3/32 set routing-instances CE2_L3vpn protocols bgp group CE2 type external set routing-instances CE2_L3vpn protocols bgp group CE2 peer-as 65420 set routing-instances CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1 set routing-instances CE2_L3vpn instance-type vrf set routing-instances CE2_L3vpn interface xe-0/0/0:1.0 set routing-instances CE2_L3vpn route-distinguisher 192.168.0.3:12 set routing-instances CE2_L3vpn vrf-target target:65412:12 set routing-options router-id 192.168.0.3 set routing-options autonomous-system 65412 set protocols bgp group ibgp type internal set protocols bgp group ibgp local-address 192.168.0.3 set protocols bgp group ibgp family inet-vpn unicast set protocols bgp group ibgp neighbor 192.168.0.1 set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1 set protocols mpls interface xe-0/0/0:0.0 set protocols ospf traffic-engineering set protocols ospf area 0.0.0.0 interface lo0.0 passive set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 set protocols rsvp interface lo0.0 set protocols rsvp interface xe-0/0/0:0.0
CE2デバイスの完全な設定。
set system host-name ce2 set interfaces xe-0/0/0:0 description "Link from CE2 to PE2 for L3vpn" set interfaces xe-0/0/0:0 unit 0 family inet address 172.16.2.1/30 set interfaces lo0 unit 0 family inet address 172.16.255.2/32 set routing-options router-id 172.16.255.2 set routing-options autonomous-system 65420 set protocols bgp group PE2 type external set protocols bgp group PE2 export adv_direct set protocols bgp group PE2 peer-as 65412 set protocols bgp group PE2 neighbor 172.16.2.2 set policy-options policy-statement adv_direct term 1 from protocol direct set policy-options policy-statement adv_direct term 1 from route-filter 172.16.0.0/16 orlonger set policy-options policy-statement adv_direct term 1 then accept
作業に問題がなければ、すべてのデバイスで設定変更をコミットしてください。MPLS ベースの新しいレイヤー 3 VPN がおめでとうございます。レイヤー 3 VPN が想定通りに動作していることを確認するために必要な手順については、「 検証 」セクションを参照してください。
MPLS ベースのレイヤー 3 VPN のローカル PE(PE1)デバイスの設定
このセクションでは、この例の PE1 デバイスを設定するために必要な手順について説明します。PE デバイスに焦点を当てているのは、VPN 構成が収容されている点です。この例で使用するCEデバイスとPデバイスの設定については、「 クイック 設定」セクションを参照してください。
MPLS ベースラインの設定(必要な場合)
レイヤー 3 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、手順を省略して、レイヤー 3 VPN を PE デバイスに追加できます。
ホスト名を設定します。
[edit] user@pe1# set system host-name pe1
コアインターフェイスとループバックインターフェイスを設定します。
[edit] user@pe1# set interfaces xe-0/0/0:1 description "Link from PE1 to P-router" [edit] user@pe1# set interfaces xe-0/0/0:1 mtu 4000 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family inet address 10.1.23.1/24 [edit] user@pe1# set interfaces xe-0/0/0:1 unit 0 family mpls [edit] user@pe1# set interfaces lo0 unit 0 family inet address 192.168.0.1/32
ベスト プラクティス:レイヤー 3 VPN はイングレス PE でフラグメント化を実行できますが、CE がフラグメント化を必要としない最大サイズのフレームを送信できるようにネットワークを設計するベスト プラクティスです。フラグメント化が発生しないようにするために、プロバイダネットワークは、MPLSとVRF(仮想ルーティングおよび転送)ラベルがPEデバイスによって追加された 後 、CEデバイスが生成できる最大フレームをサポートする必要があります。この例では、CEデバイスをデフォルトの1500バイト最大送信単位MTU(MTU)に残し、4,000バイトMTUをサポートするようにプロバイダーコアを設定します。これにより、MPLSとVRFカプセル化のオーバーヘッドがあっても、CEデバイスがプロバイダーのネットワークのMTUを超えることはできません。
プロトコルを設定します。
メモ:トラフィックエンジニアリングは、RSVP信号化されたLSPでサポートされていますが、基本的なMPLSスイッチングやVPNの導入には必要ありません。提供された MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSPが内部ゲートウェイプロトコルの最短パスを介してルーティングされることを期待しています。
[edit] user@pe1# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe1# set protocols ospf area 0.0.0.0 interface xe-0/0/0:1.0 [edit] user@pe1# set protocols ospf traffic-engineering [edit] user@pe1# set protocols mpls interface xe-0/0/0:1.0 [edit] user@pe1# set protocols rsvp interface lo0.0 [edit] user@pe1# set protocols rsvp interface xe-0/0/0:1.0
リモート PE デバイスのループバック アドレスへの LSP を定義します。
[edit] user@pe1# set protocols mpls label-switched-path lsp_to_pe2 to 192.168.0.3
MPLS ベースラインは現在、PE1 デバイス上で設定されています。レイヤー 3 VPN の設定に進みます。
手順
手順
以下の手順に従って、レイヤー 3 VPN の PE1 デバイスを設定します。
顧客向けインターフェイスを設定します。
ヒント:同じ PE デバイスで、MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を設定できます。ただし、同じカスタマー エッジに面したインターフェイスを設定して、レイヤー 2 VPN とレイヤー 3 VPN の両方をサポートすることはできません。
[edit interfaces] user@pe1# set xe-0/0/0:0 description "Link from PE1 to CE1 for L3vpn" [edit] user@pe1# set xe-0/0/0:0 unit 0 family inet address 172.16.1.2/30
ローカルとリモートのPEデバイス間のピアリングにBGPグループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、アドレス ファミリーが
inet-vpn unicastレイヤー 3 VPN ルート交換をサポートできるようにします。この例では、BGP のルーティング ポリシーは PE デバイスには必要ありません。デフォルトでは、PE デバイスは EBGP ピアリングを介して学習したルートを CE デバイスに読み込みます。[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
ヒント:PEからPEへのIBGPセッションが、 または
inet6ファミリーを使用する通常のIPv4やIPv6ルートなど、非VPNルート交換をサポートする必要がある場合は、他のアドレスファミリーをinet指定できます。BGPグループタイプを内部として設定します。
[edit protocols bgp] user@pe1# set group ibgp type internal
リモートPEデバイスのループバックアドレスをBGPネイバーとして設定します。
[edit protocols bgp] user@pe1# set group ibgp neighbor 192.168.0.3
ループバックアドレスと一致するようにルーターIDを設定し、BGPピアリングに必要なBGP自律システム番号を定義します。
[edit routing-options] user@pe1# set router-id 192.168.0.1 [edit routing-options] user@pe1# set autonomous-system 65412
ルーティングインスタンスを設定します。のインスタンス名 CE1_L3vpnを指定し、 を
instance-type設定しますvrf。[edit routing-instances] user@pe1# set CE1_L3vpn instance-type vrf
PE デバイスの顧客対応インターフェイスがルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe1# set CE1_L3vpn interface xe-0/0/0:0.0
ルーティングインスタンスのルート区別を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されたルートを区別するために使用されます。これは、各 PE デバイスのルーティング インスタンスごとに一意にする必要があります。
[edit routing-instances] user@pe1# set CE1_L3vpn route-distinguisher 192.168.0.1:12
インスタンスの仮想ルーティングおよび転送(VRF)テーブルルートターゲットを設定します。ステートメントは
vrf-target、指定されたコミュニティタグをすべてのアドバタイズされたルートに追加しながら、ルートインポートに同じ値に自動的に一致させます。適切なルート交換には、特定の VPN を共有する PE デバイス上で一致するルート ターゲットを設定する必要があります。[edit routing-instances] user@pe1# set CE1_L3vpn vrf-target target:65142:12
メモ:インポートとエクスポートオプションを使用してVRFインポートとエクスポートポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については 、 vrf-import と vrf-export を参照してください。
CE1デバイスへのEBGPピアリングをサポートするようにルーティングインスタンスを設定します。VRFリンクのCE1エンドへの直接インターフェイスピアリングが使用され、 パラメータで
peer-asCE1の自律システム番号が正しく指定されています。[edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 type external [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 peer-as 65410 [edit routing-instances] user@pe1# set CE1_L3vpn protocols bgp group CE1 neighbor 172.16.1.1
PE1 デバイスで変更をコミットし、CLI 動作モードに戻ります。
[edit] user@pe1# commit and-quit
結果
PE1 デバイス上の設定の結果を表示します。出力には、この例で追加された機能設定のみが反映されます。
user@pe1> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE1 to CE1 for L3vpn";
unit 0 {
family inet {
}
}
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
ge-0/0/1 {
description "Link from PE1 to P-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.23.1/24;
}
family mpls;
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.1/32;
}
}
}
}
routing-instances {
CE1_L3vpn {
protocols {
bgp {
group CE1 {
type external;
peer-as 65410;
neighbor 172.16.1.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:0.0;
route-distinguisher 192.168.0.1:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.1;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.1;
family inet-vpn {
unicast;
}
neighbor 192.168.0.3;
}
}
mpls {
label-switched-path lsp_to_pe2 {
to 192.168.0.3;
}
interface xe-0/0/0:1.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:1.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:1.0;
}
}
MPLS ベースのレイヤー 3 VPN のリモート PE(PE2)デバイスの設定
このセクションでは、この例の PE1 デバイスを設定するために必要な手順について説明します。PE デバイスに焦点を当てているのは、VPN 構成が収容されている点です。この例で使用するCEデバイスとPデバイスの設定については、「 クイック 設定」セクションを参照してください。
MPLS ベースラインの設定(必要な場合)
レイヤー 3 VPN を設定する前に、PE デバイスに動作する MPLS ベースラインがあることを確認してください。すでに MPLS ベースラインがある場合は、手順を省略して、レイヤー 3 VPN を PE デバイスに追加できます。
ホスト名を設定します。
[edit] user@pe2# set system host-name pe2
コアインターフェイスとループバックインターフェイスを設定します。
[edit] user@pe2# set interfaces xe-0/0/0:0 description "Link from PE2 to P-router" [edit] user@pe2# set interfaces xe-0/0/0:0 mtu 4000 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family inet address 10.1.34.2/24 [edit] user@pe2# set interfaces xe-0/0/0:0 unit 0 family mpls [edit] user@pe2# set interfaces lo0 unit 0 family inet address 192.168.0.3/32
ベスト プラクティス:レイヤー 3 VPN はイングレス PE でフラグメント化を実行できますが、CE がフラグメント化を必要としない最大サイズのフレームを送信できるようにネットワークを設計するベスト プラクティスです。フラグメント化が発生しないようにするために、プロバイダネットワークは、MPLSとVRF(仮想ルーティングおよび転送)ラベルがPEデバイスによって追加された 後 、CEデバイスが生成できる最大フレームをサポートする必要があります。この例では、CEデバイスをデフォルトの1500バイト最大送信単位MTU(MTU)に残し、4,000バイトMTUをサポートするようにプロバイダーコアを設定します。これにより、MPLSとVRFカプセル化のオーバーヘッドがあっても、CEデバイスがプロバイダーのネットワークのMTUを超えることはできません。
プロトコルを設定します。
メモ:トラフィックエンジニアリングは、RSVP信号化されたLSPでサポートされていますが、基本的なMPLSスイッチングやVPNの導入には必要ありません。提供された MPLS ベースラインは、RSVP を使用して LSP に信号を送り、OSPF のトラフィック エンジニアリングを可能にします。ただし、パス制約が設定されていないので、LSPが内部ゲートウェイプロトコルの最短パスを介してルーティングされることを期待しています。
[edit] user@pe2# set protocols ospf area 0.0.0.0 interface lo0.0 passive [edit] user@pe2# set protocols ospf area 0.0.0.0 interface xe-0/0/0:0.0 [edit] user@pe2# set protocols ospf traffic-engineering [edit] user@pe2# set protocols mpls interface xe-0/0/0:0.0 [edit] user@pe2# set protocols rsvp interface lo0.0 [edit] user@pe2# set protocols rsvp interface xe-0/0/0:0.0
リモート PE デバイスのループバック アドレスへの LSP を定義します。
[edit] user@pe2# set protocols mpls label-switched-path lsp_to_pe1 to 192.168.0.1
MPLS ベースラインは現在、PE1 デバイス上で設定されています。レイヤー 3 VPN の設定に進みます。
手順
手順
以下の手順に従って、レイヤー 3 VPN 用の PE2 デバイスを設定します。
顧客向けインターフェイスを設定します。
ヒント:同じ PE デバイスで、MPLS ベースのレイヤー 2 VPN と MPLS ベースのレイヤー 3 VPN の両方を設定できます。ただし、同じカスタマー エッジに面したインターフェイスを設定して、レイヤー 2 VPN とレイヤー 3 VPN の両方をサポートすることはできません。
[edit interfaces] user@pe2# set xe-0/0/0:1 description "Link from PE2 to CE2 for L3vpn" [edit] user@pe2# set xe-0/0/0:1 unit 0 family inet address 172.16.2.2/30
ローカルとリモートのPEデバイス間のピアリングにBGPグループを設定します。PE デバイスのループバック アドレスをローカル アドレスとして使用し、アドレス ファミリーが
inet-vpn unicastレイヤー 3 VPN ルート交換をサポートできるようにします。[edit protocols bgp] user@pe1# set group ibgp local-address 192.168.0.1 [edit protocols bgp] user@pe1# set group ibgp family inet-vpn unicast
ヒント:PEからPEへのIBGPセッションが、 または
inet6ファミリーを使用する通常のIPv4やIPv6ルートなど、非VPNルート交換をサポートする必要がある場合は、他のアドレスファミリーをinet指定できます。BGPグループタイプを内部として設定します。
[edit protocols bgp] user@pe2# set group ibgp type internal
PE1デバイスのループバックアドレスをBGPネイバーとして設定します。
[edit protocols bgp] user@pe2# set group ibgp neighbor 192.168.0.1
ループバック アドレスと一致するようにルーター ID を設定し、BGP 自律システム番号を定義します。
[edit routing-options] user@pe2# set routing-options router-id 192.168.0.3 [edit routing-options] user@pe2# set autonomous-system 65412
ルーティングインスタンスを設定します。のインスタンス名を CE2_L3vpn、 で
instance-typevrf指定します。[edit routing-instances] user@pe2# set CE2_L3vpn instance-type vrf
PE デバイスの顧客対応インターフェイスがルーティング インスタンスに属するように設定します。
[edit routing-instances] user@pe2# set CE2_L3vpn interface xe-0/0/0:1.0
ルーティングインスタンスのルート区別を設定します。この設定は、特定の PE デバイス上の特定の VRF から送信されたルートを区別するために使用されます。これは、各 PE デバイスのルーティング インスタンスごとに一意にする必要があります。
[edit routing-instances] user@pe2# set CE2_L3vpn route-distinguisher 192.168.0.3:12
インスタンスの仮想ルーティングおよび転送(VRF)テーブルルートターゲットを設定します。ステートメントは
vrf-target、指定されたコミュニティタグをすべてのアドバタイズされたルートに追加しながら、ルートインポートに同じ値に自動的に一致させます。適切なルート交換には、特定の VPN を共有する PE デバイス上で一致するルート ターゲットを設定する必要があります。[edit routing-instances] user@pe2# set CE2_L3vpn vrf-target target:65412:12
メモ:インポートとエクスポートオプションを使用してVRFインポートとエクスポートポリシーを明示的に設定することで、より複雑なポリシーを作成できます。詳細については 、 vrf-import と vrf-export を参照してください。
CE2デバイスへのEBGPピアリングをサポートするようにルーティングインスタンスを設定します。VRFリンクのCE2エンドへの直接インターフェイスピアリングが使用され、 パラメータで
peer-asCE2の自律システム番号が正しく指定されています。[edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 type external [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 peer-as 65420 [edit routing-instances] user@pe2# set CE2_L3vpn protocols bgp group CE2 neighbor 172.16.2.1
PE2 デバイスで変更をコミットし、CLI 動作モードに戻ります。
[edit] user@pe2# commit and-quit
結果
PE2 デバイス上の設定の結果を表示します。出力には、この例で追加された機能設定のみが反映されます。
user@pe2> show configuration
interfaces {
xe-0/0/0:0 {
description "Link from PE2 to p-router";
mtu 4000;
unit 0 {
family inet {
address 10.1.34.2/24;
}
family mpls;
}
}
xe-0/0/0:1 {
description "Link from PE2 to CE2 for L3vpn";
unit 0 {
family inet {
address 172.16.2.2/30;
}
}
}
lo0 {
unit 0 {
family inet {
address 192.168.0.3/32;
}
}
}
}
routing-instances {
CE2_L3vpn {
protocols {
bgp {
group CE2 {
type external;
peer-as 65420;
neighbor 172.16.2.1;
}
}
}
instance-type vrf;
interface xe-0/0/0:1.0;
route-distinguisher 192.168.0.3:12;
vrf-target target:65412:12;
}
}
routing-options {
router-id 192.168.0.3;
autonomous-system 65412;
}
protocols {
bgp {
group ibgp {
type internal;
local-address 192.168.0.3;
family inet-vpn {
unicast;
}
neighbor 192.168.0.1;
}
}
mpls {
label-switched-path lsp_to_pe1 {
to 192.168.0.1;
}
interface xe-0/0/0:0.0;
}
ospf {
traffic-engineering;
area 0.0.0.0 {
interface lo0.0 {
passive;
}
interface xe-0/0/0:0.0;
}
}
rsvp {
interface lo0.0;
interface xe-0/0/0:0.0;
}
}
検証
これらのタスクを実行して、MPLS ベースのレイヤー 3 VPN が正しく動作することを確認します。
- プロバイダOSPF隣接関係とルート交換の確認
- MPLSおよびRSVPインターフェイス設定の確認
- RSVP シグナル化 LSP の検証
- BGPセッションステータスの確認
- ルーティング テーブルでのレイヤー 3 VPN ルートの検証
- レイヤー 3 VPN 接続を使用したリモート PE デバイスの Ping
- レイヤー 3 VPN を介した CE デバイスのエンドツーエンド運用の検証
プロバイダOSPF隣接関係とルート交換の確認
目的
隣接関係ステータスとリモート プロバイダ デバイスのループバック アドレスへの OSPF 学習ルートを検証することで、プロバイダ ネットワークで OSPF プロトコルが正しく機能していることを確認します。MPLS LSP の確立を成功に導くには、適切な IGP 操作が不可欠です。
アクション
user@pe1> show ospf neighbor Address Interface State ID Pri Dead 10.1.23.2 xe-0/0/0:1.0 Full 192.168.0.2 128 37
user@pe1> show route protocol ospf | match 192.168 192.168.0.2/32 *[OSPF/10] 1w1d 23:59:43, metric 1 192.168.0.3/32 *[OSPF/10] 1w1d 23:59:38, metric 2
意味
出力は、PE1 デバイスが P デバイス(192.168.0.2)に OSPF 隣接関係を確立したことを示しています。また、P およびリモート PE デバイス ループバック アドレス()と(192.168.0.2192.168.0.3)が、ローカル PE デバイスで OSPF を介して正しく学習されていることを示しています。
MPLSおよびRSVPインターフェイス設定の確認
目的
RSVP および MPLS プロトコルが PE デバイスのコアに面したインターフェイス上で動作するように設定されていることを確認します。また、このステップでは、PE デバイスの family mpls コアに面したインターフェイスのユニット レベルで正しく設定されていることを確認します。
アクション
user@pe1> show mpls interface Interface State Administrative groups (x: extended) xe-0/0/0:1.0 Up <none>
user@pe1> show rsvp interface
RSVP interface: 2 active
Active Subscr- Static Available Reserved Highwater
Interface State resv iption BW BW BW mark
lo0.0 Up 0 100% 0bps 0bps 0bps 0bps
xe-0/0/0:1.0 Up 1 100% 10Gbps 10Gbps 0bps 0bps
意味
出力は、MPLSとRSVPがローカルPEデバイスのコアおよびループバックインターフェイスで正しく設定されていることを示しています。
RSVP シグナル化 LSP の検証
目的
RSVP シグナリングイングレスおよびエグレス LSP が PE デバイスのループバック アドレス間で正しく確立されていることを確認します。
アクション
user@pe1> show rsvp session Ingress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.3 192.168.0.1 Up 0 1 FF - 17 lsp_to_pe2 Total 1 displayed, Up 1, Down 0 Egress RSVP: 1 sessions To From State Rt Style Labelin Labelout LSPname 192.168.0.1 192.168.0.3 Up 0 1 FF 3 - lsp_to_pe1 Total 1 displayed, Up 1, Down 0 Transit RSVP: 0 sessions Total 0 displayed, Up 0, Down 0
意味
出力は、イングレスおよびエグレス RSVP セッションの両方が PE デバイス間で正しく確立されていることを示しています。LSP の確立が成功すると、MPLS ベースラインが動作していることを示します。
BGPセッションステータスの確認
目的
レイヤー 3 VPN ネットワーク層到達可能性情報(NLRI)のサポートにより、PE デバイス間の IBGP セッションが正しく確立されていることを確認します。このステップでは、ローカル PE から CE への EBGP セッションが確立され、IPv4 ルートを交換するように正しく設定されていることを確認します。
アクション
user@pe1> show bgp summary
Groups: 2 Peers: 2 Down peers: 0
Table Tot Paths Act Paths Suppressed History Damp State Pending
inet.0
0 0 0 0 0 0
bgp.l3vpn.0
2 2 0 0 0 0
Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
172.16.1.1 65410 26038 25938 0 0 1w1d 3:12:32 Establ
CE1_L3vpn.inet.0: 1/2/2/0
192.168.0.3 65412 19 17 0 0 6:18 Establ
CE1_L3vpn.inet.0: 2/2/2/0
bgp.l3vpn.0: 2/2/2/0
意味
この出力は、リモート PE デバイス()への IBGP セッションが正しく確立されているか(192.168.0.3Establ)、フィールドを介してUp/Dwnセッションが現在の状態()にある期間を6:18示しています。フィールドはflaps、状態遷移が起こらなかった(0)ことを確認し、セッションが安定していることを示します。また、テーブルの存在bgp.l3vpn.0によって示されるように、レイヤー 3 VPN ルート(NLRI)がリモート PE から学習されていることに注意してください。
また、ディスプレイは、ローカルCE1デバイス(172.16.1.1)へのEBGPセッションが確立されていること、およびCE1デバイスからIPv4ルートを受信し、CE1デバイスルーティングインスタンス()にインストール済みであることを確認します。CE1_L3vpn.inet.0
この出力は、PE デバイスと CE デバイス間の BGP ピアリングが、レイヤー 3 VPN をサポートするために正しく機能していることを確認します。
ルーティング テーブルでのレイヤー 3 VPN ルートの検証
目的
PE1 デバイス上のルーティング テーブルに、リモート PE によってアドバタイズされたレイヤー 3 VPN ルートが設定されていることを確認します。これらのルートは、リモートCEデバイスへのトラフィック転送に使用されます。
アクション
user@pe1> show route table bgp.l3vpn.0
bgp.l3vpn.0: 2 destinations, 2 routes (2 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
192.168.0.3:12:172.16.2.0/30
*[BGP/170] 00:22:45, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
192.168.0.3:12:172.16.255.2/32
*[BGP/170] 00:22:43, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
user@pe1> show route table CE1_L3vpn.inet.0
CE1_L3vpn.inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.1.0/30 *[Direct/0] 1w1d 03:29:44
> via xe-0/0/0:0.0
[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.1.2/32 *[Local/0] 1w1d 03:29:44
Local via xe-0/0/0:0.0
172.16.2.0/30 *[BGP/170] 00:23:28, localpref 100, from 192.168.0.3
AS path: I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
172.16.255.1/32 *[BGP/170] 1w1d 03:29:41, localpref 100
AS path: 65410 I, validation-state: unverified
> to 172.16.1.1 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:23:26, localpref 100, from 192.168.0.3
AS path: 65420 I, validation-state: unverified
> to 10.1.23.2 via xe-0/0/0:1.0, label-switched-path lsp_to_pe2
意味
コマンドは show route table bgp.l3vpn.0 、リモート PE デバイスから受信したレイヤー 3 VPN ルートを表示します。コマンドは show route table CE1_L3vpn.inet.0 、ルーティング インスタンスにインポートされたすべてのルートを CE1_L3vpn 一覧表示します。これらのエントリーは、一致するルートターゲットを持つリモートPE2デバイスから受信したルートに加えて、CE1デバイスへのローカルEBGPピアリングから学習したルートを表しています。
どちらのテーブルも、リモート レイヤー 3 VPN ルートが転送ネクスト ホップとして LSP に lsp_to_pe2 正しく関連付けられていることを示しています。出力では、ローカル PE デバイスが PE2 デバイスからリモート CE2 ロケーションに関連するルートを学習したことを確認します。また、プロバイダ ネットワークを介して MPLS トランスポートを使用して、ローカル PE がレイヤー 3 VPN トラフィックをリモート PE2 デバイスに転送することも示しています。
レイヤー 3 VPN 接続を使用したリモート PE デバイスの Ping
目的
pingを使用して、ローカルとリモートのPEデバイス間のレイヤー3 VPN接続を検証します。このコマンドは、PE デバイス間のレイヤー 3 VPN ルーティングと MPLS 転送操作を検証します。
アクション
user@pe1> ping routing-instance CE1_L3vpn 172.16.2.2 source 172.16.1.2 count 2 PING 172.16.2.2 (172.16.2.2): 56 data bytes 64 bytes from 172.16.2.2: icmp_seq=0 ttl=61 time=128.235 ms 64 bytes from 172.16.2.2: icmp_seq=1 ttl=61 time=87.597 ms --- 172.16.2.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 87.597/107.916/128.235/20.319 m
意味
出力は、レイヤー 3 VPN 制御プレーンと転送プレーンが PE デバイス間で正しく動作していることを確認します。
レイヤー 3 VPN を介した CE デバイスのエンドツーエンド運用の検証
目的
CE デバイス間のレイヤー 3 VPN 接続を検証します。このステップでは、CEデバイスに運用インターフェイスがあり、EBGPベースのレイヤー3接続用に正しく設定されていることを確認します。これは、ローカルCE1デバイスがリモートCEデバイスのルートを学習したことを確認し、CEデバイスがループバックアドレス間でトラフィックをエンドツーエンドで通過できることを確認することで行われます。
アクション
user@ce1> show route protocol bgp
inet.0: 12 destinations, 12 routes (12 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.16.2.0/30 *[BGP/170] 00:40:50, localpref 100
AS path: 65412 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
172.16.255.2/32 *[BGP/170] 00:40:49, localpref 100
AS path: 65412 65420 I, validation-state: unverified
> to 172.16.1.2 via xe-0/0/0:0.0
inet6.0: 1 destinations, 1 routes (1 active, 0 holddown, 0 hidden)
user@ce1> ping 172.16.255.2 source 172.16.255.1 size 1472 do-not-fragment count 2 PING 172.16.255.2 (172.16.255.2): 1472 data bytes 1480 bytes from 172.16.255.2: icmp_seq=0 ttl=61 time=79.245 ms 1480 bytes from 172.16.255.2: icmp_seq=1 ttl=61 time=89.125 ms --- 172.16.255.2 ping statistics --- 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max/stddev = 79.245/84.185/89.125/4.940 ms
意味
出力は、CE デバイス間でレイヤー 3 VPN ベースの接続が正しく動作していることを示しています。ローカルCEデバイスは、BGPを介してリモートCEデバイスのVRFインターフェイスとループバックルートを学習しました。ping はリモート CE デバイスのループバック アドレスに生成され、 引数を使用してsource 172.16.255.1ローカル CE デバイスのループバック アドレスから取得されます。および size 1472 スイッチをdo-not-fragment追加すると、CEデバイスがローカルPEデバイスでフラグメント化を呼び出すことなく、1500バイトIPパケットを渡すことができることを確認します。
コマンドに追加されたping引数はsize 1472、1,472 バイトのエコー データを生成します。8 バイトの ICMP(Internet Control Message Protocol)と 20 バイトの IP ヘッダーが追加され、総ペイロード サイズが 1500 バイトになります。スイッチをdo-not-fragment追加することで、ローカルCEとPEデバイスがフラグメント化を実行できなくなります。この ping 方法は、CE デバイス間で標準の 1500 バイトの最大長イーサネット フレームを交換する場合、フラグメント化が必要ないことを確認します。
これらの結果は、MPLS ベースのレイヤー 3 VPN が正しく動作していることを確認します。