Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

レイヤー3VPNのネクストホップベースのトンネル

このトピックでは、トンネル複合ネクストホップをサポートするための動的汎用ルーティングカプセル化(GRE)トンネルと動的 MPLS-over-UDP トンネルの設定について説明します。また、スプーフィング対策から保護するためのリバース パス フォワーディングの設定に関する情報も提供します。

例:ネクストホップベースの動的 GRE トンネルの設定

この例では、インターフェイスのネクストホップの代わりに、トンネル複合ネクストホップ(CNH)を含む動的な汎用ルーティングカプセル化(GRE)トンネルを設定する方法を示します。ネクストホップベースの動的GREトンネルは、インターフェイスベースの動的GREトンネルに比べて拡張上の利点があります。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPCとMICを搭載したMXシリーズルーター5台。

  • PE ルーターで実行されている Junos OS リリース 16.2 以降。

始める前に:

  1. ループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. 機器のルーター ID と自律システム番号を設定します。

  3. リモート PE デバイスとの内部 BGP(IBGP)セッションを確立します。

  4. デバイス間で OSPF ピアリングを確立します。

概要

Junos OSリリース16.2以降、動的汎用ルーティングカプセル化(GRE)トンネルは、設定されたすべてのGREトンネルに対してトンネル複合ネクストホップの作成をサポートしています。

デフォルトでは、設定された新しい動的 GRE トンネルごとに、対応する論理トンネル インターフェイスが作成されます。これはインターフェイスベース動的トンネルと呼ばれ、動的トンネルを作成するためのデフォルトモードです。インターフェイスベースの動的トンネルでは、デバイスで設定できるトンネルの数は、デバイスでサポートされるインターフェイスの総数によって異なります。ネクストホップベースの動的GREトンネルは、物理インターフェイスへの依存を取り除き、GRE トンネルのカプセル化は、論理トンネルインターフェイスを作成せずにネクストホップ命令として実装されます。これにより、デバイス上に作成できる動的トンネルの数に拡張上の利点があります。

Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、ネクストホップベースの動的 GRE トンネルのスケーリング制限が引き上げられました。スケーリング値の増加は、ゲートウェイルーターがIPインフラストラクチャを介して多数のサーバーと通信する必要があるデータセンターネットワークにメリットをもたらします。たとえばContrail Networkingなどです。

ある時点で、ネクストホップベースの動的トンネルまたはデフォルトのインターフェイスベースの動的GREトンネルのいずれかがデバイス上に存在できます。あるトンネル モードから別のトンネル モードに切り替えると、既存のトンネルが削除され、サポートされているスケーリング制限に従って、新しいトンネル モードで新しいトンネルが作成されます。同様に、ある時点で、同じトンネル宛先に対して、ネクストホップベースのトンネルカプセル化タイプはGREまたはUDPのいずれかになります。

ネクストホップベースの動的 GRE トンネルを有効にするには、 階層レベルで ステートメントを含め next-hop-based-tunnel ます [edit routing-options dynamic-tunnels gre]

既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルートのピア デバイスから受信したトンネル情報は無視されます。Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的GREトンネルがBGPカプセル化拡張コミュニティーを使用してシグナリングされます。BGPエクスポートポリシーは、トンネルタイプの指定、送信側トンネル情報のアドバタイズ、受信側トンネル情報の解析と伝達に使用されます。受信したタイプのトンネルコミュニティに従ってトンネルが作成されます。

BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定された BGP ポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの優先度が両方のトンネル エンドで一貫している必要があります。デフォルトでは、MPLSoUDP(MPLSoUDP)トンネルがGREトンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネルコミュニティよりも優先されます。

ネクストホップベースの動的 GRE トンネルを設定する場合、次の考慮事項に注意してください。

  • 動的トンネルの作成は、IBGP プロトコルのネクストホップ解決プロセスでトリガーされます。

  • ネクストホップベースのトンネル モードからインターフェイスベースのトンネル モードへ(またはその逆)の切り替えが可能です。これは、各モードでサポートされている IP トンネル スケーリング値の観点から、ネットワーク パフォーマンスに影響を与える可能性があります。

  • RSVP 自動メッシュ トンネルは、ネクストホップベースの動的トンネル設定ではサポートされていません。

  • 新しい IPv4-mapped-IPv6 ネクストホップに基づく動的 GRE トンネルの作成は、この機能でサポートされています。

  • ネクストホップベースの動的 GRE トンネル設定では、以下の機能はサポートされていません。

    • RSVP 自動メッシュ

    • 論理システム

    • 送信側(MXシリーズ)でのトンネル単位のトラフィック統計収集

    • トンネル インターフェイスでの QoS の適用(ポリシングやシェーピングなど)。

    • パス最大送信単位ディスカバリ

    • GREの主な機能

    • GREキープアライブメッセージ用のGRE運用、管理、保守(OAM)。

トポロジ

図 1 は、動的 GRE トンネルを介したレイヤー 3 VPN のシナリオを示しています。カスタマーエッジ(CE)デバイスCE1およびCE2は、それぞれPE1およびPE2のプロバイダエッジ(PE)デバイスに接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。PE デバイス間に 2 つの動的 GRE トンネルが設定されています。デバイス PE1 からデバイス PE2 への動的トンネルはネクスト ホップ トンネル モードに基づいており、デバイス PE2 からデバイス PE1 への動的トンネルはインターフェイス トンネル モードに基づいています。

図 1: 動的 GRE トンネル Layer 3 VPN over Dynamic GRE Tunnelsを介したレイヤー 3 VPN

ネクストホップベースの動的 GRE トンネルは、以下のように処理されます。

  1. ネクストホップベースの動的GREトンネルが設定された後、inet.3ルーティングテーブル内のプロトコルネクストホップに対して、トンネルCNHを持つトンネル宛先マスクルートが作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。

    トンネル CNH 属性には、次のものが含まれます。

    • レイヤー3 VPN CNHが無効になっている場合:送信元アドレスと宛先アドレス、カプセル化文字列、VPNラベル

    • レイヤー3 VPN CNHとプレフィックス単位のVPNラベル割り当てが有効になっている場合—送信元アドレス、宛先アドレス、カプセル化文字列。

    • レイヤー3 VPN CNHが有効で、プレフィックス単位のVPNラベル割り当てが無効の場合—送信元アドレス、宛先アドレス、カプセル化文字列。この場合のルートは、セカンダリルートを持つ他の仮想ルーティングおよび転送インスタンステーブルに追加されます。

  2. PE デバイスは、IBGP セッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。

  3. ネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。

  4. トンネル CNH は、間接ネクストホップのネクストホップを転送するために使用されます。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

CE1

CE2

PE1

P1

PE2

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

デバイスPE1を設定するには:

  1. デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイス P1 をネクストホップ宛先とするデバイス PE1 からのルートのスタティック ルートを設定します。

  3. 機器 PE1 のルータ ID と自律システム番号を設定します。

  4. PEデバイス間のIBGPピアリングを設定します。

  5. 管理インターフェイスを除くデバイス PE1 のすべてのインターフェイスで OSPF を設定します。

  6. デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。

  7. デバイス PE1 からデバイス PE2 への動的 GRE トンネル パラメータを設定します。

  8. 負荷分散ポリシーを転送テーブルにエクスポートします。

  9. デバイス PE1 の VRF ルーティング インスタンスと、その他のルーティング インスタンス パラメーターを設定します。

  10. デバイスCE1とのピアリングのルーティングインスタンス設定でBGPを有効にします。

結果

設定モードから、 、 、 show routing-optionsshow protocols、および show routing-instances のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認します。

PE デバイス間の接続の検証

目的

デバイス PE1 とデバイス PE2 間の BGP ピアリング ステータス、およびデバイス PE2 から受信した BGP ルートを確認します。

アクション

運用モードから、 および show route receive-protocol bgp ip-address table bgp.l3vpn.0 コマンドを実行しますshow bgp summary

意味
  • 最初の出力では、BGPセッション状態は Establであり、これはセッションが稼働しており、PEデバイスがピアリングされていることを意味します。

  • 2番目の出力では、デバイスPE1がデバイスPE2から2つのBGPルートを学習しています。

デバイス PE1 での動的トンネル ルートの確認

目的

inet.3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。

アクション

運用モードから、 および show dynamic-tunnels database terse コマンドを実行しますshow route table inet.3

意味
  • 最初の出力では、デバイス PE1 にネクストホップベースの動的 GRE トンネルが設定されているため、inet.3 ルーティング テーブルのルート エントリーに対してトンネル複合ルートが作成されます。

  • 2 番目の出力では、デバイス PE1 からデバイス PE2 に作成された動的 GRE トンネルがアップしており、ネクストホップ インターフェイスではなくネクストホップ ID が割り当てられています。

デバイス PE2 での動的トンネル ルートの確認

目的

inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を確認します。

アクション

運用モードから、 および show dynamic-tunnels database terse コマンドを実行しますshow route table inet.3

意味
  • 最初の出力では、デバイス PE2 にはデフォルトのインターフェイスベースの動的 GRE トンネル設定があるため、inet.3 ルーティング テーブルのルート エントリー用に新しいインターフェイスが作成されます。

  • 2番目の出力では、デバイスPE2からデバイスPE1に作成された動的GREトンネルが立ち上がっており、新しく作成されたインターフェイス名が割り当てられています。

ルートに期待される間接ネクストホップフラグがあることを確認する

目的

デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブル上で、間接ネクストホップから転送ネクストホップ バインディングへの設定されていることを確認します。

アクション

動作モードから、 show krt indirect-next-hop デバイスPE1とデバイスPE2で コマンドを実行します。

意味
  • 最初の出力では、デバイス PE1 にデバイス PE2 へのネクストホップベースの動的 GRE トンネルがあります。

  • 2 番目の出力では、デバイス PE2 にデバイス PE1 へのインターフェイスベースの動的 GRE トンネルがあります。

トラブルシューティング

ネクストホップベースの動的トンネルのトラブルシューティングを行うには、以下を参照してください。

コマンドのトラブルシューティング

問題

ネクストホップベースの動的 GRE トンネル設定が有効になっていません。

ソリューション

ネクストホップベースの GRE トンネル設定のトラブルシューティングを行うには、 ステートメント階層で[edit routing-options dynamic-tunnels]以下のtraceoptionsコマンドを使用します。

  • traceoptions file file-name

  • traceoptions file size file-size

  • traceoptions flag all

例えば:

例:ネクストホップベースの MPLS-over-UDP ダイナミック トンネルの設定

この例では、トンネル複合ネクストホップを含む動的 MPLS-over-UDP トンネルを設定する方法を示します。MPLS-over-UDP 機能は、デバイスでサポートされる IP トンネルの数において拡張上の利点を提供します。

Junos OS Release 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターと QFX シリーズ スイッチでサポートされます。PTXルーターまたはQFXスイッチに設定された動的トンネルごとに、トンネル複合ネクストホップ、間接ネクストホップ、転送ネクストホップが作成され、トンネル宛先ルートが解決されます。また、ポリシー制御を使用して、 階層レベルで forwarding-rib 設定ステートメントを含めることで、選択したプレフィックスを介した動的トンネルを解決する [edit routing-options dynamic-tunnels] こともできます。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MPCとMICを搭載したMXシリーズルーター5台。

  • プロバイダ エッジ(PE)ルーター上で動作する Junos OS リリース 16.2 以降。

始める前に:

  1. ループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイスのルーター ID と自律システム番号を設定します。

  3. リモート PE デバイスとの内部 BGP(IBGP)セッションを確立します。

  4. デバイス間で OSPF ピアリングを確立します。

概要

Junos OS リリース 16.2 以降、ダイナミック UDP トンネルは、設定されたすべての UDP トンネルに対して、トンネル複合ネクストホップの作成をサポートしています。これらのネクストホップベースの動的UDPトンネルは、MPLS-over-UDPトンネルと呼ばれます。トンネル複合ネクストホップは、MPLS-over-UDPトンネルに対してデフォルトで有効になっています。

MPLS-over-UDP トンネルは、本質的に双方向または単方向です。

  • 双方向—PEデバイスがMPLS-over-UDPトンネルを介して両方向に接続されている場合、双方向MPLS-over-UDPトンネルと呼ばれます。

  • 一方向—2つのPEデバイスが一方向のMPLS-over-UDPトンネルで接続され、MPLS/IGPを介して反対方向に接続されている場合、それは単方向MPLS-over-UDPトンネルと呼ばれます。

    一方向 MPLS-over-UDP トンネルは、移行シナリオや、2 つの分離されたネットワークを介して 2 つの PE デバイスが相互に接続を提供する場合に使用されます。一方向 MPLS-over-UDP トンネルには逆方向トンネルは存在しないため、トラフィックを転送するためには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を設定する必要があります。

Junos OS Release 18.2R1以降、PTXシリーズルーターおよび単方向MPLS-over-UDPトンネル搭載のQFX10000では、MPLS-over-UDPパケット用の入力フィルターと、逆方向トンネル方向にパケットを転送するためのIPおよびUDPヘッダーのカプセル化解除アクションを使用して、リモートPEデバイスを設定する必要があります。

例えば、リモート PE デバイスであるデバイス PE2 では、単方向 MPLS-over-UDP トンネルには以下の設定が必要です。

PE2

上記の設定例では、 Decap_Filter は MPLS-over-UDP のカプセル化解除に使用されるファイアウォール フィルターの名前です。この用語 udp_decap は、デバイス PE2 のコアに面したインターフェイスで UDP パケットを受け入れ、MPLS-over-UDP パケットを MPLS-over-IP パケットにカプセル化解除して転送するための入力フィルターです。

既存のファイアウォール動作モード コマンドを使用して、 show firewall filter フィルターベースの MPLS-over-UDP カプセル化解除を表示することができます。

例えば:

メモ:

一方向 MPLS-over-UDP トンネルの場合:

  • IPv4 アドレスのみが外部ヘッダーとしてサポートされます。フィルターベースの MPLS-over-UDP のカプセル化解除では、外部ヘッダーの IPv6 アドレスはサポートされていません。

  • カプセル化解除後は、デフォルトのルーティング インスタンスのみサポートされます。

Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルのスケーリング制限が引き上げられました。

Junos リリース 19.2R1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、サポートしているキャリアの PE デバイス間で確立される動的な IPv4 UDP トンネル経由で MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して、キャリア サポート キャリア(CSC)アーキテクチャを導入できます。この機能拡張により、MPLS-over-UDP トンネルが提供する拡張の利点がさらに増加します。MPLS-over-UDP トンネルでの CSC サポートは、IPv6 UDP トンネルではサポートされていません。

既存の動的トンネル機能には、完全な静的構成が必要です。現在、アドバタイズされたルートのピア デバイスから受信したトンネル情報は無視されます。Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的MPLS-over-UDPトンネルが、BGPカプセル化拡張コミュニティーを使用してシグナリングされます。BGPエクスポートポリシーは、トンネルタイプの指定、送信側トンネル情報のアドバタイズ、受信側トンネル情報の解析と伝達に使用されます。受信したタイプのトンネルコミュニティに従ってトンネルが作成されます。

BGP では、複数のトンネル カプセル化がサポートされています。複数の機能を受信すると、設定された BGP ポリシーとトンネル設定に基づいて、ネクストホップベースの動的トンネルが作成されます。トンネルを設定するには、トンネルの優先度が両方のトンネル エンドで一貫している必要があります。デフォルトでは、MPLS-over-UDP トンネルが GRE トンネルよりも優先されます。動的トンネル設定が存在する場合は、受信したトンネルコミュニティよりも優先されます。

ネクストホップベースの動的 MPLS-over-UDP トンネルを設定する場合、以下の考慮事項に注意してください。

  • PE デバイス間で IBGP セッションを設定する必要があります。

  • ネクストホップベースの動的トンネルカプセル化(UDPとGRE)間の切り替えが可能です。これは、各モードでサポートされているIPトンネルスケーリング値の観点から、ネットワークパフォーマンスに影響を与える可能性があります。

  • 同じトンネル宛先に対してGREとUDPネクストホップベースの動的トンネルカプセル化タイプの両方があると、コミットに失敗します。

  • 単方向 MPLS-over-UDP トンネルの場合、パケットを転送するには、リモート PE デバイスでフィルターベースの MPLS-over-UDP カプセル化解除を明示的に設定する必要があります。

  • グレースフル ルーティング エンジン スイッチオーバー(GRES)は MPLS-over-UDP でサポートされており、MPLS-over-UDP トンネル タイプ フラグは統合 ISSU および NSR に準拠しています。

  • MPLS-over-UDP トンネルは、ライト モードの仮想 MX(vMX)でサポートされます。

  • MPLS-over-UDP トンネルは、新しい IPv4 にマッピングされた IPv6 ネクスト ホップに基づく動的な GRE トンネルの作成をサポートします。

  • MPLS-over-UDP トンネルは Contrail との相互運用性でサポートされており、MPLS-over-UDP トンネルは contrail vRouter から MX ゲートウェイに作成されます。これを有効にするには、MX シリーズ ルーターから contrail vRouter へのルートで次のコミュニティをアドバタイズする必要があります。

    ある時点で、contrail vRouter でサポートされているトンネル タイプは、ネクストホップベースの動的 GRE トンネル、MPLS-over-UDP トンネル、VXLAN の 1 つだけです。

  • ネクストホップベースの動的 MPLS-over-UDP トンネル設定では、以下の機能はサポートされていません。

    • RSVP 自動メッシュ

    • プレーンなIPV6 GREおよびUDPトンネル設定

    • 論理システム

トポロジ

図 2 は、動的 MPLS-over-UDP トンネルを介したレイヤー 3 VPN のシナリオを示しています。カスタマーエッジ(CE)デバイスCE1およびCE2は、それぞれPE1およびPE2のプロバイダエッジ(PE)デバイスに接続します。PE デバイスはプロバイダ デバイス(デバイス P1)に接続され、内部 BGP(IBGP)セッションが 2 つの PE デバイスを相互接続します。動的ネクストホップベースの双方向 MPL-over-UDP トンネルが PE デバイス間に設定されています。

図 2: 動的 MPLS-over-UDP トンネル Dynamic MPLS-over-UDP Tunnels

MPLS-over-UDP トンネルは次のように処理されます。

  1. MPLS-over-UDP トンネルが設定された後、inet.3 ルーティング テーブルで、トンネル複合ネクストホップを持つトンネル宛先マスク ルートがトンネル用に作成されます。この IP トンネル ルートは、動的トンネル設定が削除される場合にのみ取り消されます。

    トンネル複合ネクストホップ属性には、次のようなものがあります。

    • レイヤー3 VPN複合ネクストホップが無効の場合—送信元アドレスと宛先アドレス、カプセル化文字列、VPNラベル

    • レイヤー3 VPN複合ネクストホップとプレフィックス単位のVPNラベル割り当てが有効な場合—送信元アドレス、宛先アドレス、カプセル化文字列。

    • レイヤー3 VPN複合ネクストホップが有効で、プレフィックス単位のVPNラベル割り当てが無効になっている場合—送信元アドレス、宛先アドレス、およびカプセル化文字列。この場合のルートは、セカンダリルートを持つ他の仮想ルーティングおよび転送インスタンステーブルに追加されます。

  2. PE デバイスは、IBGP セッションを使用して相互接続されます。リモート BGP ネイバーへの IBGP ルートネクストホップはプロトコルネクストホップであり、トンネルネクストホップとのトンネルマスクルートを使用して解決されます。

  3. プロトコルネクストホップがトンネル複合ネクストホップ上で解決された後、転送ネクストホップを持つ間接ネクストホップが作成されます。

  4. トンネル複合ネクストホップは、間接ネクストホップのネクストホップを転送するために使用されます。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

CE1

CE2

PE1

P1

PE2

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

デバイスPE1を設定するには:

  1. デバイスのループバック インターフェイスを含むデバイス インターフェイスを設定します。

  2. デバイス P1 をネクストホップ宛先とするデバイス PE1 からのルートのスタティック ルートを設定します。

  3. 機器 PE1 のルータ ID と自律システム番号を設定します。

  4. (PTXシリーズのみ)ポリシー制御を設定して、選択したプレフィックスを介した MPLS-over-UDP 動的トンネル ルートを解決します。

  5. (PTXシリーズのみ)を介した動的トンネル宛先ルートを解決するための inet-import ポリシーを設定します。

  6. PEデバイス間のIBGPピアリングを設定します。

  7. 管理インターフェイスを除くデバイス PE1 のすべてのインターフェイスで OSPF を設定します。

  8. デバイス PE1 でネクストホップベースの動的 GRE トンネル設定を有効にします。

    メモ:

    この手順は、ネクストホップベースの動的GREトンネルとMPLS-over-UDPトンネルの実装上の違いを説明するためにのみ必要です。

  9. デバイスPE1からデバイスPE2へのMPLS-over-UDPトンネルパラメータを設定します。

  10. デバイス PE1 の VRF ルーティング インスタンスと、その他のルーティング インスタンス パラメーターを設定します。

  11. デバイスCE1とのピアリングのルーティングインスタンス設定でBGPを有効にします。

結果

設定モードから、 、 、 show routing-optionsshow protocols、および show routing-instances のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認します。

PE デバイス間の接続の検証

目的

デバイス PE1 とデバイス PE2 間の BGP ピアリング ステータス、およびデバイス PE2 から受信した BGP ルートを確認します。

アクション

運用モードから、 および show route receive-protocol bgp ip-address table bgp.l3vpn.0 コマンドを実行しますshow bgp summary

意味
  • 最初の出力では、BGPセッション状態は Establであり、これはセッションが稼働しており、PEデバイスがピアリングされていることを意味します。

  • 2番目の出力では、デバイスPE1がデバイスPE2からBGPルートを学習しています。

デバイス PE1 での動的トンネル ルートの確認

目的

inet.3 ルーティングテーブル内のルートと、デバイス PE1 の動的トンネルデータベース情報を確認します。

アクション

運用モードから、 、 、 、show dynamic-tunnels database terseshow dynamic-tunnels databaseおよび コマンドを実行しますshow dynamic-tunnels database summaryshow route table inet.3

意味
  • 最初の出力では、デバイス PE1 に MPLS-over-UDP トンネルが設定されているため、inet.3 ルーティング テーブルのルート エントリーに対してトンネル複合ルートが作成されます。

  • 残りの出力では、MPLS-over-UDP トンネルが、トンネル カプセル化タイプ、トンネル ネクスト ホップ パラメータ、トンネル ステータスとともに表示されます。

デバイス PE2 での動的トンネル ルートの確認

目的

inet.3 ルーティング テーブル内のルートと、デバイス PE2 の動的トンネル データベース情報を確認します。

アクション

動作モードから、 show route table inet.3、および コマンドを実行 show dynamic-tunnels database terse します。

意味

出力には、デバイス PE1 と同様に、MPLS-over-UDP トンネルの作成と、ネクストホップ インターフェイスとして割り当てられたネクストホップ ID が表示されます。

ルートに期待される間接ネクストホップフラグがあることを確認する

目的

デバイス PE1 とデバイス PE2 が、パケット転送エンジン転送テーブル上で、間接ネクストホップから転送ネクストホップ バインディングへの設定されていることを確認します。

アクション

動作モードから、 show krt indirect-next-hop デバイスPE1とデバイスPE2で コマンドを実行します。

意味

この出力は、ネクストホップベースの動的 MPLS-over-UDP トンネルが PE デバイス間に作成されたことを示しています。

トラブルシューティング

ネクストホップベースの動的トンネルのトラブルシューティングを行うには、以下を参照してください。

コマンドのトラブルシューティング

問題

ネクストホップベースの動的 MPLS-over-UDP トンネル設定は有効になりません。

ソリューション

ネクストホップベースの MPLS-over-UDP トンネル設定をトラブルシューティングするには、 ステートメント階層で[edit routing-options dynamic-tunnels]以下のtracerouteコマンドを使用します。

  • traceoptions file file-name

  • traceoptions file size file-size

  • traceoptions flag all

例えば:

ネクストホップベースの動的トンネルのアンチスプーフィング保護の概要

データセンターへの大規模なIPトンネルの導入の増加に伴い、侵害された仮想マシン(VM)からの悪意のあるトラフィックをユーザーが制限できるセキュリティ対策を追加する必要があります。考えられる攻撃の1つは、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックを挿入することです。このような場合、IPトンネルのスプーフィング対策チェックにより、正当な送信元のみが指定されたIPトンネルからデータセンターにトラフィックを注入していることが確認されます。

ネクストホップベースの動的 IP トンネルは、デバイス上に作成されたすべての動的トンネルに対して、トンネル複合ネクストホップを作成します。ネクストホップベースの動的トンネルでは、新たに動的トンネルを設定するたびに物理インターフェイスに依存しなくなるため、ネクストホップベースの動的トンネルを設定すると、デバイスに作成できる動的トンネルの数に比べて拡張上のメリットが得られます。Junos OS Release 17.1 以降、ネクストホップベースの動的 IP トンネルのなりすまし対策機能が、ネクストホップベースの動的トンネルに提供されます。この機能拡張により、セキュリティ対策が実装され、ゲートウェイルーターを介して侵害されたサーバーから任意の顧客VPNにトラフィックが挿入されるのを防ぎます。

アンチスプーフィングは、パケット転送エンジンのリバースパス転送チェックを使用して実装されます。チェックは、トンネルを通ってルーティングインスタンスに到達するトラフィックに対して実装されます。現在、ゲートウェイルーターがトンネルからトラフィックを受信すると、宛先検索のみが行われ、それに応じてパケットが転送されます。なりすまし対策保護が有効になっている場合、ゲートウェイ ルーターは、トンネル宛先の検索に加えて、VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索も実行します。これにより、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認できます。その結果、なりすまし防止保護により、トンネル トラフィックが指定されたトンネル上の正当な送信元から受信されることが保証されます。

図 3 は、スプーフィング対策保護の要件を含むサンプル トポロジを示しています。

図3:ネクストホップベースの動的トンネル Anti-Spoofing Protection for Next-Hop-Based Dynamic Tunnelsのなりすまし対策

この例では、ゲートウェイルーターはルーターGです。ルーターGには緑と青の2つのVPNがあります。サーバー A とサーバー B の 2 つのサーバーは、それぞれネクストホップベースの動的トンネル T1 および T2 を介して、ルーター G の Green VPN と Blue VPN に到達できます。サーバーに接続された複数のホストと仮想マシン(P、Q、R、S、T)は、ゲートウェイルーターであるルーターGを介してVPNに到達できます。ルーターGには、グリーンVPNとブルーVPNのVRF(仮想ルーティングと転送)テーブルがあり、それぞれにこれらのVPN内の仮想マシンの到達可能性情報が入力されています。

たとえば、VPN Green では、ルーター G はトンネル T1 を使用してホスト P に到達し、トンネル T2 を使用してホスト R および S に到達し、トンネル T1 と T2 の間でロード バランシングを実行してマルチホーム ホスト Q に到達します。VPN Blueでは、ルーターGはトンネルT1を使用してホストPおよびRに到達し、トンネルT2を使用してホストQおよびTに到達します。

以下の場合、リバースパスフォワーディングのチェックに合格します。

  • パケットは、指定されたトンネル上の正当な送信元から送信されます。

    VPN Green のホスト P は、トンネル T1 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 を通じてホスト P に到達できるため、パケットの通過を許可し、パケットをホスト X に転送します。

  • パケットは、指定されたトンネル上のマルチホーム送信元から送信されます。

    VPN Green のホスト Q は、サーバー A および B 上でマルチホーム化されており、トンネル T1 および T2 を介してルーター G に到達できます。ホスト Q は、トンネル T1 を使用してホスト Y にパケットを送信し、トンネル T2 を使用してホスト X にパケットを送信します。ルーター G はトンネル T1 および T2 を介してホスト Q に到達できるため、パケットの通過を許可し、それぞれホスト Y および X に転送します。

レイヤー3 VPNでは、デフォルトでなりすまし対策が有効になっていません。ネクストホップベースの動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含めip-tunnel-rpf-checkます[edit routing-instances routing-instance-name routing-options forwarding-table]。リバースパス転送チェックは、VRFルーティングインスタンスにのみ適用されます。デフォルト モードは strictに設定されており、非指定トンネル上の送信元からのパケットはチェックに合格しません。モードは としてloose設定でき、パケットが存在しない送信元から送信された場合、リバースパス転送チェックはip-tunnel-rpf-check失敗します。オプションのファイアウォールフィルターは、 ステートメントの下にip-tunnel-rpf-check設定することができ、リバースパス転送チェックに失敗したパケットをカウントしてログに記録することができます。

次のサンプル出力は、スプーフィング対策の構成を示しています。

ネクストホップベースの動的トンネルのなりすまし防止を構成する場合は、以下のガイドラインを考慮してください。

  • スプーフィング対策保護は、IPv4 トンネルと IPv4 データ トラフィックに対してのみ有効にできます。なりすまし対策機能は、IPv6 トンネルおよび IPv6 データ トラフィックではサポートされていません。

  • ネクストホップベースの動的トンネルのスプーフィング対策では、侵害された仮想マシンを検出して防止できますが(内部ソースのリバースパス転送チェック)、ラベルスプーフィングを行っている侵害されたサーバーは検出できません。

  • ネクストホップベースのIPトンネルは、inet.0ルーティングテーブルで開始および終了できます。

  • なりすまし防止は、VRF ルーティング インスタンスに、 vrf-table-label(を使用)ラベルスイッチ インターフェイス(LSI)または仮想トンネル(VT)インターフェイスがある場合に有効です。VRFルーティングインスタンスのラベルを使用すると per-next-hop 、なりすまし防止はサポートされていません。

  • rpf fail-filter 、内部 IP パケットにのみ適用されます。

  • アンチスプーフィングチェックを有効にしても、デバイス上のネクストホップベースの動的トンネルのスケーリング制限には影響しません。

  • VRF ルーティング インスタンスに対してスプーフィング対策保護を有効にした場合のシステム リソース使用率は、スプーフィング対策が有効になっていない場合のネクストホップベースの動的トンネルの使用率よりもわずかに高くなります。

  • スプーフィング対策保護には、追加の送信元 IP アドレス チェックが必要であり、ネットワーク パフォーマンスへの影響は最小限です。

  • なりすまし対策では、GRES(グレースフル ルーティング エンジン スイッチオーバー)と ISSU(インサービス ソフトウェア アップグレード)がサポートされています。

例:ネクストホップベースの動的トンネルに対するアンチスプーフィング保護の設定

この例では、仮想ルーティングおよび転送(VRF)ルーティング インスタンスのリバース パス フォワーディング チェックを設定し、ネクストホップベースの動的トンネルのアンチスプーフィング保護を有効にする方法を示します。このチェックでは、正規の送信元が、指定された IP トンネルを介してトラフィックを注入していることを確認します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MICを備えた3台のMXシリーズルーター、それぞれがホストデバイスに接続されています。

  • 1 つまたはすべてのルーターで実行されている Junos OS リリース 17.1 以降。

始める前に:

  • フレキシブルPICコンセントレータでトンネルサービスの設定を有効にします。

  • ルーター インターフェイスを設定します。

  • ルーター ID を設定し、ルーターの自律システム番号を割り当てます。

  • トンネルエンドポイントとの内部BGP(IBGP)セッションを確立します。

  • すべてのルーターで RSVP を設定します。

  • すべてのルーターでOSPF またはその他の内部ゲートウェイ プロトコルを設定します。

  • 2つのルーター間に2つの動的ネクストホップベースのIPトンネルを設定します。

  • ルーター/ホスト間接続ごとに VRF ルーティング インスタンスを設定します。

概要

Junos OS リリース 17.1 以降、ネクストホップベースの動的 IP トンネルにスプーフィング対策機能が追加され、パケット転送エンジンのリバースパスフォワーディングを使用して、トンネルを経由してルーティングインスタンスに到達するトラフィックのチェックが実装されます。

現在、ゲートウェイ ルーターがトンネルからトラフィックを受信すると、宛先アドレスの検索のみが実行されてから転送されます。なりすまし防止保護により、ゲートウェイ ルーターは VPN 内のカプセル化パケット IP ヘッダーの送信元アドレス検索を行い、正当な送信元が指定された IP トンネルを介してトラフィックを注入していることを確認します。これは厳密モードと呼ばれ、スプーフィング対策保護の既定の動作です。非指定トンネルからのトラフィックを転送させるには、損失モードでリバース パス フォワーディング チェックを有効にします。存在しない送信元から受信したトラフィックの場合、strict モードと loose モードの両方でリバース パス転送チェックが失敗します。

アンチスプーフィングは、VRF ルーティングインスタンスでサポートされています。動的トンネルのアンチスプーフィングを有効にするには、 階層レベルで ステートメントを含め ip-tunnel-rpf-check ます [edit routing-instances routing-instance-name routing-options forwarding-table]

トポロジ

図 4 は、スプーフィング対策保護が有効なサンプル ネットワーク トポロジを示しています。ルーター R0、R1、および R2 は、それぞれホスト Host0、Host1、および Host2 に接続されています。2つの汎用ルーティングカプセル化(GRE)ネクストホップベースの動的トンネル、トンネル1およびトンネル2 – それぞれルーターR0をルーターR1およびR2に接続します。VRFルーティングインスタンスは、各ルーターとそれに接続されたホストデバイスの間で実行されています。

図4:ネクストホップベースの動的トンネル Anti-Spoofing Protection for Next-Hop-Based Dynamic Tunnelsのなりすまし対策

例として、3 つのパケット(パケット A、B、C)が、ネクストホップベースの動的 GRE トンネル(トンネル 2)を介してルーター R2 からルーター 0 で受信されます。これらのパケットの送信元 IP アドレスは、172.17.0.2 (パケット A)、172.18.0.2 (パケット B)、および 172.20.0.2 (パケット C) です。

パケットAとパケットBの送信元IPアドレスは、それぞれホスト2とホスト1に属しています。パケット C は存在しない送信元トンネルです。この例の指定トンネルはトンネル2で、非指定トンネルはトンネル1です。したがって、パケットは次のように処理されます。

  • Packet A- 送信元が指定されたトンネル(トンネル 2)から来ているため、パケット A はリバース パス転送チェックに合格し、トンネル 2 を通過する転送が処理されます。

  • Packet B- 送信元が非宛先トンネルであるトンネル1から来ているため、デフォルトでは、パケットBは厳密モードでリバースパス転送チェックに失敗します。ルーズ モードが有効になっている場合、パケット B は転送が許可されます。

  • Packet C- 送信元が存在しないトンネル送信元であるため、パケット C はリバース パス転送チェックに失敗し、パケットは転送されません。

構成

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit] にコピーアンドペーストして、設定モードから を入力します commit

ルーターR0

ルーター R1

R2

手順

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。CLI のナビゲーションについては、 CLIユーザー・ガイド の コンフィギュレーション・モードでのCLIエディタの使用を参照してください。

ルーター R0 の設定を行う。

  1. ループバック インターフェイスを含め、ルーター R0 のインターフェイスを設定します。

  2. ルーター R0 のルーター ID と自律システム番号を割り当てます。

  3. ルーター間のIBGPピアリングを設定します。

  4. 管理インターフェイスを除くルーターR0のすべてのインターフェイスでOSPFを設定します。

  5. 管理インターフェイスを除くルーター R0 のすべてのインターフェイスで RSVP を設定します。

  6. ルーター R0 でネクストホップベースの動的 GRE トンネル設定を有効にします。

  7. ルーター R0 からルーター R1 への動的 GRE トンネル パラメーターを設定します。

  8. ルーター R0 からルーター R2 への動的 GRE トンネル パラメーターを設定します。

  9. ルーター R0 で仮想ルーティングおよび転送(VRF)ルーティング インスタンスを設定し、ホスト 1 に接続するインターフェイスを VRF インスタンスに割り当てます。

  10. VRFルーティングインスタンス用にホスト1との外部BGPセッションを設定します。

  11. ルーター R0 の VRF ルーティング インスタンスのなりすまし防止を設定します。これにより、ルーター0でネクストホップベースの動的トンネルT1とT2のリバースパスフォワーディングチェックが有効になります。

結果

設定モードから、 、 、 show routing-optionsshow protocols、および show routing-options のコマンドを入力してshow interfaces設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

検証

設定が正常に機能していることを確認します。

基本設定の確認

目的

ルーター R0 とルーター R1 および R2 の間の OSPF および BGP ピアリング ステータスを確認します。

アクション

運用モードから、 および show bgp summaryコマンドを実行しますshow ospf neighbor

意味

OSPF と BGP のセッションは、ルーター R0、R1、および R2 の間で稼働しています。

動的トンネル設定の確認

目的

ルーター R0 とルーター R1 および R2 の間にあるネクストホップベースの動的 GRE トンネルのステータスを確認します。

アクション

動作モードから、 show route table inet.3、および コマンドを実行 show dynamic-tunnels database terse します。

意味

2つのネクストホップベースの動的GREトンネル、トンネル1とトンネル2が立ち上がっています。

スプーフィング対策保護の設定の確認

目的

リバース パス フォワーディング チェックがルーター R0 の VRF ルーティング インスタンスで有効になっていることを確認します。

アクション

動作モードから、.show krt table VPN1.inet.0 detail

意味

設定されたリバースパス転送チェックは、厳密モードのVRFルーティングインスタンスで有効です。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
19.2R1
Junos リリース 19.2R1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、サポートしているキャリアの PE デバイス間で確立される動的な IPv4 UDP トンネル経由で MPLS トラフィックを伝送する MPLS-over-UDP トンネルを使用して、キャリア サポート キャリア(CSC)アーキテクチャを導入できます。
18.3R1
Junos OS Release 18.3R1 以降、MPLS-over-UDP トンネルは PTX シリーズ ルーターと QFX シリーズ スイッチでサポートされます。
18.2R1
Junos OS Release 18.2R1以降、PTXシリーズルーターおよび単方向MPLS-over-UDPトンネル搭載のQFX10000では、MPLS-over-UDPパケット用の入力フィルターと、逆方向トンネル方向にパケットを転送するためのIPおよびUDPヘッダーのカプセル化解除アクションを使用して、リモートPEデバイスを設定する必要があります。
17.4R1
Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的GREトンネルがBGPカプセル化拡張コミュニティーを使用してシグナリングされます。
17.4R1
Junos OS Release 17.4R1以降、MXシリーズルーターでは、ネクストホップベースの動的MPLS-over-UDPトンネルが、BGPカプセル化拡張コミュニティーを使用してシグナリングされます。
17.1R1
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、ネクストホップベースの動的 GRE トンネルのスケーリング制限が引き上げられました。
17.1R1
Junos OS リリース 17.1 以降、MPC と MIC を搭載した MX シリーズ ルーターでは、MPLS-over-UDP トンネルのスケーリング制限が引き上げられました。