マルチポイント GRE トンネルを使用するダイ ナミック レイヤ 3 VPN

Transcription

1 マルチポイント GRE トンネル機能を使用したダイナミックレイヤ 3 VPN を使用すると 拡張された Multipoint Generic Routing Encapsulation(mGRE; マルチポイント総称ルーティングカプセル化 ) トンネリングテクノロジーに基づいた Layer 3(L3; レイヤ 3) 転送メカニズムを IP ネットワークで使用できます また ダイナミックレイヤ 3 のトンネリング転送を IP ネットワーク内で使用して サービスプロバイダーと企業のネットワーク間で Virtual Private Network(VPN; バーチャルプライベートネットワーク ) のトラフィックを転送したり IP と Multiprotocol Label Switching(MPLS; マルチプロトコルラベルスイッチング )VPN 間のパケット転送を相互運用したりできるようになります この機能では RFC 2547 をサポートします RFC 2547 は企業ネットワークにおける IP バックボーンサービスのアウトソーシングを定義します 機能情報の確認 ご使用のソフトウェアリリースによっては この章に記載されている機能の中に 一部サポートされていないものがあります 最新の機能情報と注意事項については ご使用のプラットフォームとソフトウェアリリースに対応したリリースノートを参照してください このモジュールで説明される機能に関する情報 および各機能がサポートされるリリースの一覧については mgre トンネルを使用するダイナミック L3 VPN の機能情報 (P.22) を参照してください プラットフォームサポートと Cisco IOS および Catalyst OS ソフトウェアイメージサポートに関する情報を入手するには Cisco Feature Navigator を使用します Cisco Feature Navigator には からアクセスしてください Cisco.com のアカウントは必要ありません 目次 mgre トンネルを使用するダイナミック L3 VPN の前提条件 (P.2) mgre トンネルを使用するダイナミック L3 VPN の制約事項 (P.2) mgre トンネルを使用したダイナミック L3 VPN について (P.2) L3 VPN mgre トンネルの設定方法 (P.5) mgre トンネルを使用したダイナミック L3 VPN サポートの設定例 (P.18)

2 mgre トンネルを使用するダイナミック L3 VPN の前提条件 その他の参考資料 (P.20) mgre トンネルを使用するダイナミック L3 VPN の機能情報 (P.22) mgre トンネルを使用するダイナミック L3 VPN の前提条件 マルチポイント GRE トンネル機能を使用したダイナミックレイヤ 3 VPN を設定する前に 使用している MPLS VPN が適切に設定され 正常に動作していることを確認します MPLS VPN の設定の詳細については Configuring MPLS Layer 3 VPNs モジュールを参照してください mgre トンネルを使用するダイナミック L3 VPN の制約事項 IP/GRE と MPLS カプセル化の両方を単一のネットワーク内で使用する MPLS VPN の展開はサポートされていません 各 Provider Edge(PE; プロバイダーエッジ ) ルータは 1 つのトンネル設定だけをサポートします mgre トンネルを使用したダイナミック L3 VPN について IP バックボーンをオーバーレイするマルチポイントトンネルネットワークを作成するように mgre トンネルを設定できます このオーバーレイによって PE ルータ同士が接続され VPN トラフィックを転送します さらに MPLS VPN を mgre を介して設定すると 標準ベースの IP コアを使用して L3 PE ベースの VPN サービスを導入できます これにより オーバーレイ方式を使用しないで VPN サービスをプロビジョニングできます MPLS VPN over mgre が設定されると システムでは IPv4 ベースの mgre トンネルを使用して PE 間の VPN ラベルが付けられた IPv4 および IPv6 のパケットをカプセル化します ここでは 次の情報について説明します レイヤ 3 mgre トンネル (P.2) レイヤ 3 mgre トンネル mgre トンネルを設定して マルチポイントトンネルネットワークを IP バックボーンのオーバーレイとして作成します このオーバーレイによって PE ルータ同士が相互接続され バックボーンを介して VPN トラフィックを転送します このマルチポイントトンネルネットワークは Border Gateway Protocol(BGP; ボーダーゲートウェイプロトコル ) を使用して PE ルータ間の VPNv4 ルーティング情報を配布し サービスプロバイダーまたは企業ネットワークとお客様のサイト間のピア関係を維持します BGP VPNv4 内でアドバタイズされたネクストホップは トンネルエンドポイントディスカバリをトリガーします この機能により 複数のサービスプロバイダーが連携して あるサービスプロバイダーの入力 PE ルータから別のサービスプロバイダーサイトの出力 PE ルータに直接トラフィックをトンネルする 共同の VPN サービスを提供できます 2

3 mgre トンネルを使用したダイナミック L3 VPN について この VPN 転送機能に加えて mgre トンネルはフルメッシュトポロジを作成し 複数のお客様のサイトを相互接続するために使用されているポイントツーポイントトンネルのフルメッシュに係わる管理および運用のオーバーヘッドを削減します 設定の要件が大幅に削減されるため 最小限の追加設定でネットワークを拡張できます ダイナミック L3 トンネルを使用すると 部分メッシュ VPN やフルメッシュ VPN を作成する場合のスケーリングが容易になります 新しいルータだけを設定すればすむため 新しいリモート VPN ピアを簡単に追加できます 新しいアドレスはダイナミックに学習され ネットワーク内のノードに伝播されます ダイナミックルーティング機能により VPN 内のすべてのルータに必要な設定のサイズが劇的に縮小します たとえば マルチポイントトンネルを使用する場合 多数の VPN にサービスを提供する PE で設定する必要があるのは 1 つのトンネルインターフェイスだけであり L3 mgre トンネルの設定が必要なのは PE ルータだけです mgre や Next Hop Routing Protocol(NHRP; ネクストホップルーティングプロトコル ) トンネルトラフィックのダイナミック IP ルーティング IP マルチキャスト Cisco Express Forwarding(CEF; シスコエクスプレスフォワーディング ) スイッチングなど GRE で利用できる機能は mgre でも使用できます 次の各項では mgre トンネルの使用方法を説明します IP ネットワーク内でのプロバイダーエッジルータの相互接続 (P.3) IP ネットワークと MPLS ネットワーク間のパケット転送 (P.4) BGP ネクストホップの検証 (P.4) IP ネットワーク内でのプロバイダーエッジルータの相互接続 マルチポイント GRE トンネル機能を使用したダイナミックレイヤ 3 VPN を使用すると IP ネットワークにサービスを提供する PE ルータ同士を相互接続するマルチアクセストンネルネットワークを作成できます このトンネルネットワークはすべての PE ルータに IP VPN トラフィックを転送します 図 1 は PE ルータ間で VPN トラフィックを転送するために IP ネットワークで使用されるトンネルオーバーレイネットワークを表します 図 1 IP ネットワーク内で PE ルータを接続する mgre トンネルオーバーレイ PE A PE B IP mgre PE C PE D IP

4 mgre トンネルを使用したダイナミック L3 VPN について マルチアクセストンネルオーバーレイネットワークでは PE ルータ間が完全に接続されます PE ルータは RFC 2547 で定義されている BGP を使用して VPN ルートを交換します IP トラフィックは オーバーレイネットワークおよび転送ネットワークのダイレクト IP アドレス空間を使用し アドレスの数値ではなくアドレス空間を変更することによって マルチポイントトンネルオーバーレイネットワークからリダイレクトされます IP ネットワークと MPLS ネットワーク間のパケット転送 レイヤ 3 mgre トンネルは IP ネットワークと MPLS ネットワーク間のパケット転送メカニズムとして使用できます 2 つの異なるプロトコル間でパケットを転送できるようにするには 2 つのネットワーク間の接続の一方にある 1 台の PE ルータで MPLS を実行する必要があります 図 2 に mgre トンネルを使用して PE ルータ間で VPN トラフィックを転送する方法を示します 図 2 IP ネットワークと MPLS ネットワーク間の VPN トラフィックの転送に使用される mgre CE A VPN A VPN mgre mgre PE mgre MPLS VPN G A VPN MPLS mgre MPLS M A VPN CE PE CE B VPN PE IP MPLS CE A VPN PE PE CE B VPN PE CE C VPN B VPN IP ネットワークと MPLS ネットワーク間でパケットを転送するには MPLS VPN ラベルを GRE キーにマッピングします このマッピングは mgre と MPLS の両方が設定されているルータで行われます 図 2 では キーへのラベルのマッピングは MPLS ネットワーク上にあるルータ M で行われます BGP ネクストホップの検証 BGP は PE で BGP パスの選択またはネクストホップの検証を実行します ネットワークへの BGP パスがパスの選択プロセスで考慮されるには そのパスのネクストホップが Interior Gateway Protocol (IGP; 内部ゲートウェイプロトコル ) で到達可能である必要があります IP プレフィクスが受信され ネクストホップ IP アドレスとしてアドバタイズされると ネクストホップのアドレス空間を切り替えることによって IP トラフィックは送信元から宛先にトンネルされます 4

5 L3 VPN mgre トンネルの設定方法 L3 VPN mgre トンネルの設定方法 L3 VPN mgre トンネルを展開するには VRF インスタンスを作成し mgre トンネルを作成し VPN IP トラフィックをトンネルにリダイレクトし BGP VPNv4 変換を設定します これにより ルートマップによって更新がフィルタリングされ 対象のプレフィクスが VRF テーブルで解決されるようになります L3 VPN over mgre を展開するための設定作業は 次の各項で説明されています VRF および mgre トンネルの作成 (P.5)( 必須 ) BGP VPN 変換の設定 (P.7)( 必須 ) MPLS VPN over mgre トンネルのイネーブル化と L3VPN カプセル化プロファイルの設定 (P.9)( 必須 ) MPLS VPN over mgre のアドレス空間の定義とアドレス解決の指定 (P.12)( 必須 ) VRF および mgre トンネルの作成 サービスプロバイダーのネットワークで VPN トラフィックを転送するトンネルは それ自体のアドレス空間にあります Resolve in VRF(RiV) と呼ばれる特別な VRF インスタンスが作成される必要があります ここでは VRF と GRE トンネルを作成する方法について説明します 前提条件 インターフェイスの IP アドレスは 設定内に指定されている送信元インターフェイスと同じである必要があります 指定されている送信元インターフェイスは BGP が VPNv4 更新の送信元として使用しているインターフェイスに一致する必要があります ( 注 ) トンネルモード IPSec は MPLS over GRE トンネルではサポートされていません 手順の概要 1. enable 2. configure terminal 3. ip vrf vrf-name 4. rd 1:1 5. interface tunnel tunnel name 6. ip address ip-address subnet-id 7. tunnel source loopback n 8. tunnel mode gre multipoint l3vpn 9. tunnel key gre-key 10. end 5

6 L3 VPN mgre トンネルの設定方法 手順の詳細 ステップ 1 ステップ 2 コマンドまたはアクション enable Router> enable configure terminal 目的特権 EXEC モードをイネーブルにします プロンプトが表示されたら パスワードを入力します グローバルコンフィギュレーションモードを開始します ステップ 3 Router# configure terminal ip vrf vrf-name Router(config)# ip vrf customer a riv ステップ 4 rd 1:1 ステップ 5 ステップ 6 Router(config-vrf)# rd 1:1 interface tunnel tunnel-name Router(config-vrf)# interface tunnel 1 ip address ip-address subnet-id 特別な Resolve in VRF(RiV)VRF インスタンスと IP アドレスのトンネルおよびリダイレクトに使用されるテーブルを作成します VRF コンフィギュレーションモードを開始し VPN VRF インスタンスの Route Distinguisher(RD; ルート識別子 ) を指定します インターフェイスコンフィギュレーションモードを開始し トンネルを作成します トンネルの IP アドレスを指定します ステップ 7 Router(config-if)# ipaddress tunnel source loopback n ループバックインターフェイスを作成します ステップ 8 Router(config-if)# tunnel source loopback test1 tunnel mode gre multipoint l3vpn トンネルのモードを gre multipoint l3vpn に設定します Router(config-if)# tunnel mode gre multipoint l3vpn 6

7 L3 VPN mgre トンネルの設定方法 ステップ 9 コマンドまたはアクション tunnel key gre-key 目的 トンネルの GRE キーを指定します ステップ 10 Router(config-if)# tunnel key 18 end Router(config-if)# end 現在のコンフィギュレーションモードを終了し 特権 EXEC モードに戻ります BGP VPN 変換の設定 ここで説明されている設定作業では ルートマップによって更新がフィルタリングされ 対象のプレフィクスが VRF テーブルで解決されるように BGP VPNv4 変換を設定します 手順の概要 1. enable 2. configure terminal 3. interface tunnel tunnel name 4. ip route vrf riv-vrf-name IP address subnet mask tunnel n 5. router bgp as-number 6. network network id 7. neighbor {ip-address peer-group-name} remote-as as-number 8. neighbor {ip-address peer-group-name} update-source interface-type 9. address-family vpnv4 [unicast] 10. neighbor {ip-address peer-group-name} activate 11. neighbor {ip-address peer-group-name} route-map map-name {in out} 12. set ip next-hop resolve-in-vrf vrf name 13. end 7

8 L3 VPN mgre トンネルの設定方法 手順の詳細 ステップ 1 ステップ 2 コマンドまたはアクション enable Router> enable configure terminal 目的特権 EXEC モードをイネーブルにします プロンプトが表示されたら パスワードを入力します グローバルコンフィギュレーションモードを開始します ステップ 3 ステップ 4 Router# configure terminal interface tunnel tunnel-name Router(config)# interface tunnel 1 ip route vrf riv-vrf-name ip-address subnetmask tunnel n トンネルのインターフェイスコンフィギュレーションモードを開始します 特別な RiV VRF へのパケット転送を設定します ステップ 5 ステップ 6 ステップ 7 Router(config-if)# ip route vrf vrf tunnel 1 router bgp as-number Router(config)# router bgp 100 network network-id Router(config)# network neighbor {ip-address peer-group-name} remote-as as-number ルータを他の BGP ルータに対して識別し 転送するルーティング情報にタグを設定する自律システムの番号を指定します BGP およびマルチプロトコル BGP ルーティングプロセスによってアドバタイズされる ネットワークのネットワーク ID を指定します BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します ステップ 8 Router(config)# neighbor remote-as 100 neighbor {ip-address peer-group-name} update-source interface-type BGP セッションが TCP 接続で使用する特定の動作インターフェイスを指定します ステップ 9 Router(config)# neighbor update-source FastEthernet0/1 address-family vpnv4 [unicast] Router(config)# address-family vpnv4 アドレスファミリコンフィギュレーションモードを開始して 標準 VPN4 アドレスプレフィクスを使用する BGP などのルーティングセッションを指定します 8

9 L3 VPN mgre トンネルの設定方法 ステップ 10 コマンドまたはアクション neighbor {ip-address peer-group-name} activate 目的ネイバールータとの情報交換をイネーブルにします ステップ 11 ステップ 12 ステップ 13 Router(config)# neighbor activate neighbor {ip-address peer-group-name} route-map map-name {in out} Router(config)# neighbor route-map mpt in set ip next-hop resolve-in-vrf vrf-name Router(config)# set ip next-hop resolve-in-vrf vrft end Router(config)# end 受信または発信ルートにルートマップを適用します 各インバウンドルートに一度だけ使用します 指定した VRF の VRF テーブルでネクストホップが解決されるように指定します 現在のコンフィギュレーションモードを終了し 特権 EXEC モードに戻ります MPLS VPN over mgre トンネルのイネーブル化と L3VPN カプセル化プロファイルの設定 ここでは VRF を定義し MPLS VPN over mgre をイネーブルにし L3VPN カプセル化プロファイルを設定する方法について説明します ( 注 ) この設定では IPv6 MPLS IP レイヤ 2 トンネリングプロトコルバージョン 3(L2TPv3) などの転送プロトコルを使用することもできます 前提条件 MPLS VPN over mgre をイネーブルにして設定するには まずトンネルカプセル化の VRF を定義し システムで L3VPN カプセル化イネーブルにする必要があります 手順の概要 1. enable 2. configure terminal 3. vrf definition vrf-name 4. rd 1:1 9

10 L3 VPN mgre トンネルの設定方法 5. exit 6. ip cef 7. ipv6 unicast-routing 8. ipv6 cef 9. l3vpn encapsulation ip profile name 10. transport ipv4 [source interface n] 11. protocol gre [key gre-key] 12. exit 13. interface type number 14. ip address ip-address mask 15. ip router isis 16. end 手順の詳細 ステップ 1 ステップ 2 コマンドまたはアクション enable Router> enable configure terminal 目的特権 EXEC モードをイネーブルにします プロンプトが表示されたら パスワードを入力します グローバルコンフィギュレーションモードを開始します ステップ 3 ステップ 4 rd 1:1 Router# configure terminal vrf definition vrf-name Router(config)# vrf definition tunnel encap VPN VRF ルーティングテーブルインスタンスを設定し VRF コンフィギュレーションモードを開始します VPN VRF インスタンスに RD を指定します ステップ 5 Router(config-vrf)# rd 1:1 exit VRF コンフィギュレーションモードを終了します ステップ 6 Router(config-vrf)# exit ip cef Router(config)# ip cef シスコエクスプレスフォワーディングをルータでイネーブルにします 10

11 L3 VPN mgre トンネルの設定方法 ステップ 7 ステップ 8 ステップ 9 ステップ 10 ステップ 11 ステップ 12 ステップ 13 ステップ 14 ステップ 15 ステップ 16 コマンドまたはアクション ipv6 unicast-routing Router(config)# ipv6 unicast-routing ipv6 cef Router(config)# ipv6 cef l3vpn encapsulation ip profile-name Router(config)# l3vpn encapsulation ip tunnel encap transport ipv4 source interface n Router(config-l3vpn-encap-ip)# transport ipv4 source loopback 0 protocol gre [key gre-key] Router(config-l3vpn-encap-ip)# protocol gre key 1234 exit Router(config-l3vpn-encap-ip)# exit interface type number Router(config)# interface loopback 0 ip address ip-address mask Router(config-if)# ip address ip router isis Router(config-if)# ip router isis end Router(config-if)#end 目的 IPv6 ユニキャストデータグラムの転送をイネーブルにします IPv6 でのシスコエクスプレスフォワーディングをルータでイネーブルにします L3 VPN カプセル化コンフィギュレーションモードを開始し トンネルを作成します IPv4 転送送信元モードを指定し 転送送信元インターフェイスを定義します GRE をトンネルモードとして指定し GRE キーを設定します L3 VPN カプセル化コンフィギュレーションモードを終了します インターフェイスコンフィギュレーションモードを開始し 特定のインターフェイスタイプを設定します インターフェイスのプライマリ IP アドレスおよびマスクを指定します IP 用の Intermediate System-to-Intermediate System (IS-IS) ルーティングプロセスをインターフェイスに設定し ルーティングプロセスにヌルエリア指示子を付加します 現在のコンフィギュレーションモードを終了し 特権 EXEC モードに戻ります 11

12 L3 VPN mgre トンネルの設定方法 MPLS VPN over mgre のアドレス空間の定義とアドレス解決の指定 ここでは MPLS VPN over mgre のアドレス空間を定義し アドレス解決を指定する方法について説明します 次の手順を実行すると ルートマップで更新をフィルタリングするために ルートマップをアプリケーションテンプレートにリンクし BGP VPNv4 および VPNv6 の変換を設定することもできます 手順の概要 1. enable 2. configure terminal 3. router bgp as-number 4. bgp log-neighbor-changes 5. neighbor ip-address remote-as as-number 6. neighbor ip-address update-source interface name 7. address-family ipv4 8. no synchronization 9. redistribute connected 10. neighbor ip-address activate 11. no auto-summary 12. exit 13. address-family vpnv4 14. neighbor ip-address activate 15. neighbor ip-address send-community both 16. neighbor ip-address route-map map-name in 17. exit 18. address-family vpnv6 19. neighbor ip-address activate 20. neighbor ip-address send-community both 21. neighbor ip-address route-map map-name in 22. exit 23. route-map map-tag permit position 24. set ip next-hop encapsulate l3vpn profile name 25. set ipv6 next-hop encapsulate l3vpn profile name 26. exit 27. exit 12

13 L3 VPN mgre トンネルの設定方法 手順の詳細 ステップ 1 ステップ 2 コマンドまたはアクション enable Router> enable configure terminal 目的特権 EXEC モードをイネーブルにします プロンプトが表示されたら パスワードを入力します グローバルコンフィギュレーションモードを開始します ステップ 3 ステップ 4 Router# configure terminal router bgp as-number Router (config)# router bgp 100 bgp log-neighbor-changes ルータを他の BGP ルータと識別する自律システムの番号を指定し 転送されるルーティング情報にタグを付け ルータコンフィギュレーションモードを開始します BGP ネイバーリセットのロギングをイネーブルにします ステップ 5 ステップ 6 Router (config-router)# bgp log-neighbor-changes neighbor ip-address remote-as as-number Router (config-router)# neighbor remote-as 100 neighbor ip-address update-source interface-type interface-name BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテーブルにエントリを追加します TCP 接続の動作インターフェイスを使用できるよう BGP セッションを許可します ステップ 7 ステップ 8 ステップ 9 Router (config-router)# neighbor update-source loopback 0 address-family vpn4 Router (config-router)# address-family vpnv4 no synchronization Router (config-router-af)# no synchronization redistribute connected Router (config-router-af)# redistribute connected アドレスファミリコンフィギュレーションモードを開始して ルーティングセッションを設定します このルーティングセッションは IPv4 アドレスプレフィクスを使用します IGP を待機せずにネットワークルートをアドバタイズするように Cisco IOS ソフトウェアをイネーブルにします 1 つのルーティングドメインから別のルーティングドメインにルートを再配布します また 送信元プロトコルが実行されている各インターフェイス上の送信元プロトコルおよび接続されているプレフィクスよって学習されたルートを ターゲットプロトコルが再配布できるようにします 13

14 L3 VPN mgre トンネルの設定方法 ステップ 10 コマンドまたはアクション neighbor ip-address activate 目的 BGP ネイバーとの情報交換をイネーブルにします ステップ 11 ステップ 12 ステップ 13 ステップ 14 Router (config-router-af)# neighbor activate no auto-summary Router (config-router-af)# no auto-summary exit Router (config-router-af)# exit address-family vpnv4 Router (config-router)# address-family vpnv4 neighbor ip-address activate 自動サマライズをディセーブルにし サブプレフィクスルーティング情報をクラスフルネットワーク境界間で送信します アドレスファミリコンフィギュレーションモードを終了します アドレスファミリコンフィギュレーションモードを開始して 標準 VPNv4 アドレスプレフィクスを使用する BGP などのルーティングセッションを設定します BGP ネイバーとの情報交換をイネーブルにします ステップ 15 ステップ 16 Router (config-router-af)# neighbor activate neighbor ip-address send-community both Router (config-router-af)# neighbor send-community both neighbor ip-address route-map map-name in 標準コミュニティと拡張コミュニティの両方のコミュニティアトリビュートが BGP ネイバーに送信されるように指定します 名前付きルートマップを着信ルートに適用します ステップ 17 ステップ 18 ステップ 19 Router (config-router-af)# neighbor route-map SELECT UPDATE FOR L3VPN in exit Router (config-router-af)# exit address-family vpnv6 6Router (config-router)# address-family vpnv4 neighbor ip-address activate アドレスファミリコンフィギュレーションモードを終了します アドレスファミリコンフィギュレーションモードを開始して VPNv6 アドレスプレフィクスを使用する BGP などのルーティングセッションを設定します BGP ネイバーとの情報交換をイネーブルにします Router (config-router-af)# neighbor activate 14

15 L3 VPN mgre トンネルの設定方法 ステップ 20 ステップ 21 コマンドまたはアクション neighbor ip-address send-community both Router (config-router-af)# neighbor send-community both neighbor ip-address route-map ip-address in 目的標準コミュニティと拡張コミュニティの両方のコミュニティアトリビュートが BGP ネイバーに送信されるように指定します 名前付きルートマップを着信ルートに適用します ステップ 22 ステップ 23 ステップ 24 ステップ 25 Router (config-router-af)# neighbor route-map SELECT UPDATE FOR L3VPN in exit Router (config-router-af)# exit route-map map-tag permit position Router (config-router)# route-map permit 10 set ip next-hop encapsulate l3vpn tunnel encap Router (config-route-map)# set ip next-hop encapsulate l3vpn my profile set ipv6 next-hop encapsulate l3vpn profile name Router (config-route-map)# set ip next-hop encapsulate l3vpn tunnel encap アドレスファミリコンフィギュレーションモードを終了します ルートマップコンフィギュレーションモードを開始し 1 つのルーティングプロトコルから別のルーティングプロトコルにルートを再配布するための条件を定義します redistribute ルータコンフィギュレーションコマンドでは 指定したマップタグを使用して このルートマップを参照します 複数のルートマップで同じマップタグ名を共有できます このルートマップの一致基準が満たされている場合は set アクションの制御に従ってルートが再配布されます 一致基準が満たされない場合 同一のマップタグを持つ次のルートマップがテストされます あるルートが 同じ名前を共有するルートマップセットの一致基準のいずれをも満たさない場合 そのセットによる再配布は行われません position 引数は すでに同じ名前で設定されているルートマップのリスト内に新しいルートマップが入る位置を示します ルートマップの match 句を引き渡す出力 IPv4 パケットが トンネルカプセル化のために VRF に送信されることを示します ルートマップの match 句を引き渡す出力 IPv6 パケットが トンネルカプセル化のために VRF に送信されることを示します 15

16 L3 VPN mgre トンネルの設定方法 ステップ 26 ステップ 27 コマンドまたはアクション end Router (config-route-map)# exit end 目的ルートマップコンフィギュレーションモードを終了し グローバルコンフィギュレーションモードを開始します グローバルコンフィギュレーションモードを終了します Router (config)# exit 次の作業 次の作業を実行すると 設定が正しく動作していることを確認できます VRF プレフィクスの確認指定した VRF プレフィクスが BGP で受信されていることを確認します BGP テーブルエントリには ルートマップが正しく動作していることと ネクストホップが RiV に示されていることが示されます この例に示すように show ip bgp vpnv4 コマンドを使用します Router# show ip bgp vpnv4 vrf customer BGP routing table entry for 100:1: /24, version 12 Paths: (1 available, best #1) Not advertised to any peer Local in "my riv" from ( ) Origin incomplete, metric 0, localpref 100, valid, internal, best Extended Community: RT:100:1 同じ情報がルーティングテーブルに伝播されていることを確認します Router# show ip route vrf customer Routing entry for /24 Known via "bgp 100", distance 200, metric 0, type internal Last update from :23:07 ago Routing Descriptor Blocks: * (my riv), from , 00:23:07 ago Route metric is 0, traffic share count is 1 AS Hops 0 CEF スイッチング CEF スイッチングが正常に動作していることも確認できます Router# show ip cef vrf customer /24, version 6, epoch 0 0 packets, 0 bytes tag information set local tag: VPN-route-head fast tag rewrite with Tu1, , tags imposed: {17} via , 0 dependencies, recursive next hop , Tunnel1 via /32 (my riv) valid adjacency tag rewrite with Tu1, , tags imposed: {17} 16

17 L3 VPN mgre トンネルの設定方法 エンドポイントの作成この例では トンネルエンドポイントが正しく作成されていることを示しています Router# show tunnel endpoint tunnel 1 Tunnel1 running in multi-gre/ip mode RFC2547/L3VPN Tunnel endpoint discovery is active on Tu1 Transporting l3vpn traffic to all routes recursing through "my riv" Endpoint via destination Endpoint via destination 隣接対応する隣接が作成されていることを確認します Router# show adjacency Tunnel 1 interface Protocol Interface Address TAG Tunnel (4) 15 packets, 1980 bytes FF2FC3C77B B Epoch: 0 Fast adjacency disabled IP redirect disabled IP mtu 1472 (0x0) Fixup enabled (0x2) GRE tunnel Adjacency pointer 0x624A1580, refcount 4 Connection Id 0x0 Bucket 121 MPLS は mgre を介して転送されているため LINK_TAG 隣接は関連する隣接であることに注意してください 隣接で報告された MTU は パケットが受け入れるペイロード長 (MPLS ラベルを含む ) です 隣接表示に示されている MAC 文字列は 次のように解釈できます > Beginning of IP Header (Partially populated, tl & chksum are fixed up per packet) FF2FC3C7 7B > Source IP Address in transport network B > Destination IP address in transport network > GRE Header MPLS レイヤ 3 VPN の設定の詳細については Cisco IOS Multiprotocol Label Switching Configuration Guide を参照してください show l3vpn encapsulation profile-name コマンドを使用すると アプリケーションの基本状態についての情報を取得できます このコマンドの出力には トンネルと VRF に関する関連資料について記されています 17

18 mgre トンネルを使用したダイナミック L3 VPN サポートの設定例 mgre トンネルを使用したダイナミック L3 VPN サポートの設定例 ここでは レイヤ 3 VPN over mgre を設定する例を示します レイヤ 3 VPN mgre トンネルの設定 : 例 (P.18) レイヤ 3 VPN mgre トンネルの設定 : 例 この例では mgre トンネル作成の設定手順を示します この設定手順には 特別な VRF インスタンスの定義も含まれています ip vrf my riv rd 1:1 interface Tunnel1 ip vrf forwarding my_riv ip address tunnel source Loopback0 tunnel mode gre multipoint l3vpn tunnel key 123 end ip route vrf my riv ip address subnet mask Tunnel1 router bgp 100 network neighbor remote-as 100 neighbor update-source Loopback0 address-family vpnv4 neighbor activate neighbor route-map SELECT_UPDATES_FOR_L3VPN_OVER_MGRE in route-map SELECT UPDATES FOR L3VPN OVER MGRE permit 10 set ip next-hop in-vrf my riv この例では ルートマップをアプリケーションにリンクする設定を示します vrf definition Customer A rd 100:110 route-target export 100:1000 route-target import 100:1000 address-family ipv4 exit-address-family address-family ipv6 exit-address-family vrf definition tunnel encap rd 1:1 address-family ipv4 exit-address-family address-family ipv6 exit-address-family ip cef 18

19 mgre トンネルを使用したダイナミック L3 VPN サポートの設定例 ipv6 unicast-routing ipv6 cef l3vpn encapsulation ip profile name transport source loopback 0 protocol gre key 1234 interface Loopback0 ip address ip router isis interface Serial2/0 vrf forwarding Customer A ip address ipv6 address 3FFE:1001::/64 eui-64 no fair-queue serial restart-delay 0 router bgp 100 bgp log-neighbor-changes neighbor remote-as 100 neighbor update-source Loopback0 address-family ipv4 no synchronization redistribute connected neighbor activate no auto-summary exit-address-family address-family vpnv4 neighbor activate neighbor send-community both neighbor route-map SELECT UPDATE FOR L3VPN in exit-address-family address-family vpnv6 neighbor activate neighbor send-community both neighbor route-map SELECT UPDATE FOR L3VPN in exit-address-family address-family ipv4 vrf Customer A no synchronization redistribute connected exit-address-family address-family ipv6 vrf Customer A redistribute connected no synchronization exit-address-family route-map SELECT UPDATE FOR L3VPN permit 10 set ip next-hop encapulate <profile_name> set ipv6 next-hop encapsulate <profile_name> 19

20 その他の参考資料 その他の参考資料 ダイナミック L3 VPN mgre トンネル関連のその他の情報については 次の資料を参照してください 関連資料 関連項目 参照先 MPLS レイヤ 3 VPN の設定 Cisco IOS Multiprotocol Label Switching Configuration Guide MPLS VPN Over mgre Cisco IOS Interface and Hardware Component Configuration Guide シスコエクスプレスフォワーディング Cisco IOS IP Switching Configuration Guide 総称ルーティングカプセル化 Cisco IOS Interface and Hardware Component Configuration Guide 規格 規格 タイトル なし MIB MIB IETF-PPVPN-MPLS-VPN-MIB MIB リンク 選択したプラットフォーム Cisco IOS リリース および機能セットの MIB の場所を検索しダウンロードするには 次の URL にある Cisco MIB Locator を使用します RFC RFC タイトル RFC 2547 BGP/MPLS VPNs RFC 2784 Generic Routing Encapsulation (GRE) RFC 2890 Key Sequence Number Extensions to GRE RFC 4023 Encapsulating MPLS in IP or Generic Routing Encapsulation RFC 4364 BGP/MPLS IP Virtual Private Networks (VPNs) 20

21 その他の参考資料 シスコのテクニカルサポート 説明右の URL にアクセスして シスコのテクニカルサポートを最大限に活用してください リンク 以下を含むさまざまな作業にこの Web サイトが役立ちます テクニカルサポートを受ける ソフトウェアをダウンロードする セキュリティの脆弱性を報告する またはシスコ製品のセキュリティ問題に対する支援を受ける ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 Networking Professionals(NetPro) コミュニティで 技術関連のディスカッションに参加する トレーニングリソースへアクセスする TAC Case Collection ツールを使用して ハードウェアや設定 パフォーマンスに関する一般的な問題をインタラクティブに特定および解決するこの Web サイト上のツールにアクセスする際は Cisco.com のログイン ID およびパスワードが必要です 21

22 mgre トンネルを使用するダイナミック L3 VPN の機能情報 mgre トンネルを使用するダイナミック L3 VPN の機能情報 表 1 に このモジュールで説明した機能をリストし 特定の設定情報へのリンクを示します この表には Cisco IOS Release 12.0(23)S 以降のリリースで導入または変更された機能だけを示します ご使用の Cisco IOS ソフトウェアリリースによっては コマンドの中に一部使用できないものがあります 特定のコマンドのリリース情報については コマンドリファレンスマニュアルを参照してください プラットフォームサポートとソフトウェアイメージサポートに関する情報を入手するには Cisco Feature Navigator を使用します Cisco Feature Navigator を使用すると Cisco IOS および Catalyst OS ソフトウェアイメージがサポートする特定のソフトウェアリリース 機能セット またはプラットフォームを確認できます Cisco Feature Navigator には からアクセスします Cisco.com のアカウントは必要ありません ( 注 ) 表 1 には 一連の Cisco IOS ソフトウェアリリースのうち 特定の機能が初めて導入された Cisco IOS ソフトウェアリリースだけが記載されています 特に明記していないかぎり その Cisco IOS ソフトウェアリリーストレインの以降のリリースでもその機能はサポートされます 表 1 mgre トンネルを使用するダイナミック L3 VPN の機能情報 機能名リリース機能情報 12.0(23)S この機能により 拡張された mgre トンネリングテクノロジーに基づき L3 転送メカニズムを IP ネットワークで使用できます Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) このマニュアルで使用している IP アドレスおよび電話番号は 実際のアドレスおよび電話番号を示すものではありません マニュアル内の例 コマンド出力 ネットワークトポロジ図 およびその他の図は 説明のみを目的として使用されています 説明の中に実際のアドレスおよび電話番号が使用されていたとしても それは意図的なものではなく 偶然の一致によるものです Cisco Systems, Inc. All rights reserved. Copyright , シスコシステムズ合同会社. All rights reserved. 22