MPLS VPN over ATM:カスタマー サイトのBGPまたはRIPを使う場合
内容
概要
このドキュメントでは、お客様のサイトでボーダー ゲートウェイ プロトコル(BGP)またはルーティング情報プロトコル(RIP)が使用されている場合の、マルチプロトコル ラベル スイッチング(MPLS)VPN over ATM の設定例を説明します。
バーチャル プライベート ネットワーク(VPN)機能が MPLS と併用された場合、サービス プロバイダーのネットワークを介して、複数のサイトを透過的に相互接続できます。1 つのサービス プロバイダー ネットワークで複数の IP VPN をサポートできます。各 VPN は、ユーザからは他のすべてのネットワークから切り離されたプライベート ネットワークのように見えます。1 つの VPN を通じて、各サイトは同じ VPN 内にある他のサイトに IP パケットを送信できます。
各 VPN は 1 つ以上の VPN Routing or Forwarding instance(VRF; VPN ルーティング/転送インスタンス)に関連付けられます。VRF は、IP ルーティング テーブル、生成された Cisco Express Forwarding(CEF; Cisco 高速転送)テーブル、およびこの転送テーブルを使用するインターフェイスのセットから構成されます。
ルータは VRF ごとに異なるルーティング テーブルと CEF テーブルを保持します。これにより、VPN の外では情報は送信できませんが、重複 IP アドレスの問題なしに同じサブネットを複数の VPN で使用できます。
BGP を使用するルータは、BGP 拡張コミュニティとの VPN ルーティング情報を配信します。
VPN 経由でのアップデートの伝播の詳細については、下記のリンクを参照してください。
前提条件
ハードウェアとソフトウェアのバージョン
次の文字は使用されるルータおよびスイッチのタイプを表します。
-
P:プロバイダー コア ルータ
-
PE:プロバイダー エッジ ルータ
-
CE:カスタマー エッジ ルータ
-
C :カスタマー ルータ
次のソフトウェアおよびハードウェアのバージョンによる構成で、開発およびテストを行いました。
-
PE ルータ:
-
ソフトウェア:Cisco IOS®ソフトウェアリリース12.1(3)Tリリース 12.0(5)T には、MPLS VPN が含まれています。
-
Hardware:3600 シリーズ以上の任意の Cisco ルータ。たとえば、Cisco 3660 や 7206 など。
-
-
CE ルータ:PE ルータとルーティング情報を交換できるルータを使用します。
-
P ルータおよびスイッチ:MPLS VPN 統合機能は MPLS ネットワークのエッジ上にのみ常駐しているため、任意の MPLS 対応スイッチが使用できます。この設定例では、MPLS クラウドは 8540 MSR と LightStream 1010 で構成されています。Lightstream 1010 を使用している場合は、ソフトウェア バージョン WA4.8d 以降を使用することをお勧めします。ATM コア ネットワークでは、Cisco BPX 8650 や MGX 8850 など、他の ATM スイッチを使用することもできます。
表記法
次の図は、こうした表記法を示した一般的な設定の図です。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
背景説明
説明
Open Shortest Path First(OSPF)エリア 0 を Interior Gateway Protocol(IGP; 内部ゲートウェイ プロトコル)として使用して、標準 MPLS ATM バックボーンをセットアップしました。 このバックボーンを使って、2 つの異なる VPN を設定しました。最初の設定では、カスタマー エッジからプロバイダー エッジ(CE-PE)ルーティングプロトコルとして RIP を使用し、もう 1 つの設定では PE-CE ルーティング プロトコルとして BGP を使用します。
他のルータやネットワークの存在をシミュレートするために、CE ルータ上に複数のループバック ルートとスタティック ルートを設定しています。
設定手順
注:PEルータ間のVPN IGPとしてBGPを使用する必要があります。これは、BGP 拡張コミュニティの使用が、PE 間で VPN のルーティング情報を転送するための唯一の方法であるためです。
ネットワーク図
設定手順パート I
Cisco IOS ドキュメント(『MPLS バーチャル プライベート ネットワーク』)にも、この設定手順の説明があります。
ip cef が有効であることを確認します。Cisco 7500 ルータを使用している場合、必ず ip cef distributed を有効にします。MPLS を設定したら、PE で次の手順を実行します。
-
ip vrf <VPN routing/forwarding instance name> コマンドを使用して、接続された各 VPN に VRF を 1 つ作成します。
-
その VPN で使用される適切なルート区分を指定します。所属する VPN を識別できるように、IP アドレスを拡張するために使用されます。
rd -
BGP 拡張コミュニティに対し、インポート プロパティとエクスポート プロパティをセットアップします。これらは、インポートおよびエクスポート プロセスをフィルタするために使用されます。
route-target [export|import|both]
-
-
次のコマンドを使用して、各インターフェイスに対して転送の詳細を設定します。
ip vrf forwarding
注:この後、必ずIPアドレスを設定してください。
使用している PE-CE ルーティング プロトコルに応じて、次の手順の 1 つ以上を実行する必要があります。
-
スタティック ルートの設定:
ip route vrf vrf-name prefix mask [next-hop-address] [interface {interface-number}] -
このコマンドによる RIP の設定:
address-family ipv4 vrfこの部分が終了したら、通常の RIP 設定コマンドを入力します。
注:これは、現在のVRFの転送インターフェイスにのみ適用されます。
注:正しいBGPをRIPに再配布する必要があります。これを実行する場合、使用しているメトリクスも指定することに注意してください。
-
BGP ネイバー情報を宣言します。
-
新しい IOS コマンドを使って OSPF を設定します。
router ospfvrf . 注:これは、現在のVRFの転送インターフェイスにのみ適用されます。
注:正しいBGPをOSPFに再配布する必要があります。これを実行する場合、使用しているメトリクスも指定することに注意してください。
注:OSPFプロセスをVRFに属性すると、このプロセス番号が常にこの特定のVRFに使用されます。これは、コマンド ラインで VRF を指定しない場合にも当てはまります。
設定手順パート II
PE ルータ間で BGP を設定します。BGP を設定する方法は、いくつかあります。その 1 つは、ルート リフレクタまたはコンフェデレーション方式を使用する方法です。ここで使用する方法(直接近接設定)は、最も簡単ですが最も拡張性がありません。
-
それぞれの近接ルータを宣言します。
-
PE ルータに存在する VPN ごとに、address-family ipv4 vrf <VPN routing/forwarding instance name> コマンドを入力します。必要に応じて、次の手順を 1 つ以上を実行します。
-
スタティック ルーティング情報を再配信します。
-
RIP ルーティング情報を再配信します。
-
OSPF ルーティング情報を再配信します。
-
CE ルータに近接している BGP をアクティブにします。
-
-
address-family vpnv4 mode を入力して、次のいずれかを実行します。
-
近接ルータをアクティブにします。
-
拡張コミュニティを使用する必要があることを指定します。これは必須です。
-
設定
Alcalzaba 設定では、VPN 101 に固有の行はボールド、VPN 102 に固有の行はイタリック、両方に固有の行はボールドとイタリックの両方で表示されています。
Alcazaba ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ! ip vrf vrf102 rd 1:102 route-target export 1:102 route-target import 1:102 ! ip cef ! interface Loopback0 ip address 223.0.0.3 255.255.255.255 ! interface Ethernet1/0 ip vrf forwarding vrf102 ip address 10.200.10.3 255.255.252.0 ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 150.150.0.1 255.255.255.0 ! interface ATM3/0 no ip address no ip mroute-cache no atm ilmi-keepalive pvc qsaal 0/5 qsaal pvc ilmi 0/16 ilmi ! ! interface ATM3/0.1 tag-switching ip address 10.0.0.17 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! interface ATM4/0 no ip address no atm ilmi-keepalive ! interface ATM4/0.1 tag-switching ip address 10.0.0.13 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! router ospf 1 network 10.0.0.0 0.0.0.255 area 0 network 223.0.0.3 0.0.0.0 area 0 ! router rip version 2 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 0 network 150.150.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 125.2.2.2 remote-as 1 neighbor 125.2.2.2 update-source Loopback0 neighbor 223.0.0.21 remote-as 1 neighbor 223.0.0.21 update-source Loopback0 no auto-summary ! address-family ipv4 vrf vrf102 redistribute connected neighbor 10.200.10.14 remote-as 158 neighbor 10.200.10.14 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf vrf101 redistribute rip no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 125.2.2.2 activate neighbor 125.2.2.2 send-community extended neighbor 223.0.0.21 activate neighbor 223.0.0.21 send-community extended no auto-summary exit-address-family !
Kozel ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ! ip vrf vrf102 rd 1:102 route-target export 1:102 route-target import 1:102 ! ip cef ! interface Loopback0 ip address 223.0.0.21 255.255.255.255 ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 200.200.0.1 255.255.255.0 ! interface Ethernet1/2 ip vrf forwarding vrf102 ip address 201.201.201.1 255.255.255.252 ! interface ATM4/0 no ip address no atm scrambling cell-payload no atm ilmi-keepalive pvc qsaal 0/5 qsaal pvc ilmi 0/16 ilmi ! interface ATM4/0.1 tag-switching ip address 10.0.0.6 255.255.255.252 tag-switching atm vpi 2-4 tag-switching ip ! router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.255 area 0 network 223.0.0.21 0.0.0.0 area 0 ! router rip version 2 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 1 network 200.200.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 125.2.2.2 remote-as 1 neighbor 125.2.2.2 update-source Loopback0 neighbor 223.0.0.3 remote-as 1 neighbor 223.0.0.3 update-source Loopback0 no auto-summary ! address-family ipv4 vrf vrf102 redistribute connected redistribute static neighbor 201.201.201.2 remote-as 69 neighbor 201.201.201.2 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf vrf101 redistribute rip no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 125.2.2.2 activate neighbor 125.2.2.2 send-community extended neighbor 223.0.0.3 activate neighbor 223.0.0.3 send-community extended no auto-summary exit-address-family !
Medina Current configuration: ! ip vrf vrf101 rd 1:101 route-target export 1:101 route-target import 1:101 ip cef ! interface Loopback1 ip vrf forwarding vrf101 ip address 11.2.2.2 255.255.255.252 ! interface ATM2/0 no ip address no atm ilmi-keepalive ! interface ATM2/0.66 tag-switching ip address 125.1.4.2 255.255.255.252 tag-switching ip ! interface Ethernet1/1 ip vrf forwarding vrf101 ip address 11.3.3.1 255.255.255.252 ! router ospf 1 network 125.1.4.0 0.0.0.3 area 0 network 125.2.2.2 0.0.0.0 area 0 ! router rip version 2 network 11.0.0.0 ! address-family ipv4 vrf vrf101 version 2 redistribute bgp 1 metric 1 network 11.0.0.0 no auto-summary exit-address-family ! router bgp 1 no synchronization neighbor 223.0.0.3 remote-as 1 neighbor 223.0.0.3 update-source Loopback0 neighbor 223.0.0.21 remote-as 1 neighbor 223.0.0.21 update-source Loopback0 ! address-family ipv4 vrf vrf101 redistribute connected redistribute static redistribute rip default-information originate no auto-summary no synchronization exit-address-family ! address-family vpnv4 neighbor 223.0.0.3 activate neighbor 223.0.0.3 send-community extended neighbor 223.0.0.21 activate neighbor 223.0.0.21 send-community extended exit-address-family !
迅速な Current configuration: ! interface Loopback0 ip address 223.0.0.12 255.255.255.255 ! interface Loopback2 ip address 7.7.7.7 255.255.255.0 ! interface FastEthernet0/1 ip address 150.150.0.2 255.255.255.0 duplex auto speed auto ! router rip version 2 redistribute static network 7.0.0.0 network 10.0.0.0 network 150.150.0.0 no auto-summary ! ip route 158.0.0.0 255.0.0.0 Null !
Damme ! interface Loopback1 ip address 6.6.6.6 255.0.0.0 ! interface FastEthernet0/0 ip address 10.200.10.14 255.255.252.0 duplex auto speed autoa ! router bgp 158 no synchronization network 6.0.0.0 network 10.200.0.0 mask 255.255.252.0 neighbor 10.200.10.3 remote-as 1 no auto-summary !
Pivrnec Current configuration: ! interface Loopback0 ip address 223.0.0.22 255.255.255.255 ! interface Loopback1 ip address 6.6.6.6 255.255.255.255 ! interface FastEthernet0/1 ip address 200.200.0.2 255.255.255.0 duplex auto speed auto ! router rip version 2 redistribute static network 6.0.0.0 network 200.200.0.0 no auto-summary ! ip route 69.0.0.0 255.0.0.0 Null0 !
Guilder ! interface Loopback2 ip address 150.150.0.1 255.255.0.0 ! interface Ethernet0/2 ip address 201.201.201.2 255.255.255.252 ! router bgp 69 no synchronization network 7.7.7.0 mask 255.255.0.0 network 150.150.0.0 network 201.201.201.0 mask 255.255.255.252 redistribute connected neighbor 201.201.201.1 remote-as 1 no auto-summary !
Purkmister Current configuration: ! interface Loopback0 ip address 11.5.5.5 255.255.255.252 ! interface FastEthernet0/1 ip address 11.3.3.2 255.255.255.252 duplex auto speed auto ! router rip version 2 network 11.0.0.0 !
show コマンド
ルーティング対応コマンド
アウトプット インタープリタ ツール(登録ユーザ専用)(OIT)は、特定の show コマンドをサポートします。OIT を使用して、show コマンドの出力の分析を表示します。
-
show ip rip database vrf
-
show ip bgp vpnv4 vrf
-
show ip route vrf
-
show ip route
PE ルータでは、PE-CE ルーティング方式(RIP、BGP、スタティックなど)と、PE-PE BGP アップデートによって、特定の VRF に対して使用されるルーティング テーブルが示されます。特定の VRF に対する RIP 情報を表示できます。
Alcazaba#show ip rip database vrf vrf101 0.0.0.0/0 auto-summary 0.0.0.0/0 [2] via 150.150.0.2, 00:00:12, Ethernet1/1 6.0.0.0/8 auto-summary 6.6.6.6/32 redistributed [1] via 223.0.0.21, 7.0.0.0/8 auto-summary 7.7.7.0/24 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 10.0.0.0/8 auto-summary 10.0.0.0/8 redistributed [1] via 125.2.2.2, 10.0.0.0/16 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 10.200.8.0/22 [1] via 150.150.0.2, 00:00:12, Ethernet1/1 11.0.0.0/8 auto-summary 11.0.0.4/30 redistributed [1] via 125.2.2.2, 11.1.1.0/30 redistributed [1] via 125.2.2.2, 11.3.3.0/30 redistributed [1] via 125.2.2.2, 11.5.5.4/30 redistributed [1] via 125.2.2.2, 69.0.0.0/8 auto-summary 69.0.0.0/8 redistributed [1] via 223.0.0.21, 150.150.0.0/16 auto-summary 150.150.0.0/24 directly connected, Ethernet1/1 158.0.0.0/8 [1] via 150.150.0.2, 00:00:17, Ethernet1/1 200.200.0.0/24 auto-summary 200.200.0.0/24 redistributed [1] via 223.0.0.21,
show ip bgp vpnv4 vrf コマンドを使用して、特定 VRF の BGP 情報を表示することができます。内部 BGP(IBGP)からの PE-PE は、i によって示されます。
Alcazaba#show ip bgp vpnv4 vrf vrf101 BGP table version is 46, local router ID is 223.0.0.3 Status codes: s suppressed, d damped, h history, * valid, best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 1:101 (default for vrf vrf101) *i6.6.6.6/32 223.0.0.21 1 100 0 ? * 7.7.7.0/24 150.150.0.2 1 32768 ? * 10.0.0.0/16 150.150.0.2 1 32768 ? * 10.200.8.0/22 150.150.0.2 1 32768 ? *i11.2.2.0/30 125.2.2.2 0 100 0 ? *i11.3.3.0/30 125.2.2.2 0 100 0 ? *i11.5.5.4/30 125.2.2.2 1 100 0 ? *i69.0.0.0 223.0.0.21 1 100 0 ? * 150.150.0.0/24 0.0.0.0 0 32768 ? * 158.0.0.0/8 150.150.0.2 1 32768 ? *i200.200.0.0 223.0.0.21 0 100 0 ? Kozel#show ip bgp vpnv4 vrf vrf102 BGP table version is 48, local router ID is 223.0.0.21 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 1:102 (default for vrf vrf102) * i6.0.0.0 223.0.0.3 0 100 0 158 i *>i 223.0.0.3 0 100 0 158 i *> 7.7.0.0/16 201.201.201.2 0 0 69 ? * 10.200.8.0/22 201.201.201.2 0 0 69 ? * i 223.0.0.3 0 100 0 ? *>i 223.0.0.3 0 100 0 ? *> 102.102.0.0/16 201.201.201.2 0 0 69 ? *> 150.150.0.0 201.201.201.2 0 0 69 i * 201.201.201.0/30 201.201.201.2 0 0 69 i *> 0.0.0.0 0 32768 ?
PE ルータと CE ルータの両方で、VRF のグローバル ルーティング テーブルをチェックできます。これらは一致します。PE ルータでは、show ip route vrf コマンドで VRF を指定する必要があります。
Alcazaba#show ip route vrf vrf101 Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set B 69.0.0.0/8 [200/1] via 223.0.0.21, 00:11:03 B 200.200.0.0/24 [200/0] via 223.0.0.21, 00:11:03 6.0.0.0/32 is subnetted, 1 subnets B 6.6.6.6 [200/1] via 223.0.0.21, 00:11:03 7.0.0.0/24 is subnetted, 1 subnets R 7.7.7.0 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks R 10.0.0.0/16 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 R 10.200.8.0/22 [120/1] via 150.150.0.2, 00:00:05, Ethernet1/1 11.0.0.0/30 is subnetted, 3 subnets B 11.3.3.0 [200/0] via 125.2.2.2, 00:07:05 B 11.2.2.0 [200/0] via 125.2.2.2, 00:07:05 B 11.5.5.4 [200/1] via 125.2.2.2, 00:07:05 150.150.0.0/24 is subnetted, 1 subnets C 150.150.0.0 is directly connected, Ethernet1/1 R 158.0.0.0/8 [120/1] via 150.150.0.2, 00:00:06, Ethernet1/1Pivrnec の場合、これは標準のルーティング テーブルです。したがって、show ip route コマンドを使ってください。
Pivrnec#show ip route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is not set S 69.0.0.0/8 is directly connected, Null0 223.0.0.0/32 is subnetted, 1 subnets C 223.0.0.22 is directly connected, Loopback0 C 200.200.0.0/24 is directly connected, FastEthernet0/1 6.0.0.0/32 is subnetted, 1 subnets C 6.6.6.6 is directly connected, Loopback1 7.0.0.0/24 is subnetted, 1 subnets R 7.7.7.0 [120/1] via 200.200.0.1, 00:00:23, FastEthernet0/1 10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks R 10.0.0.0/16 [120/1] via 200.200.0.1, 00:00:23, FastEthernet0/1 R 10.200.8.0/22 [120/1] via 200.200.0.1, 00:00:24, FastEthernet0/1 11.0.0.0/30 is subnetted, 3 subnets R 11.3.3.0 [120/1] via 200.200.0.1, 00:00:24, FastEthernet0/1 R 11.2.2.0 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 R 11.5.5.4 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 150.150.0.0/24 is subnetted, 1 subnets R 150.150.0.0 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1 R 158.0.0.0/8 [120/1] via 200.200.0.1, 00:00:25, FastEthernet0/1
MPLS ラベル
特定のルートに対して使用されるラベル スタックをチェックします。
Alcazaba#show tag-switching forwarding-table vrf vrf101 11.5.5.5 detail Local Outgoing Prefix Bytes tag Outgoing Next Hop tag tag or VC or Tunnel Id switched interface None 2/91 11.5.5.4/30 0 AT4/0.1 point2point MAC/Encaps=4/12, MTU=4466, Tag Stack{2/91(vcd=69) 37} 00458847 0004500000025000タグの割り当てと VPI/VCI の関係を表示するため、通常のコマンドを使用することもできます。
アドレス重複
他の VPN に干渉を起こさず、複数の VPN で同じアドレスを使われていることがあります。この例では、6.6.6.6アドレスが2回接続され、VPN 101のPivrnecとVPN 102のDammeに接続されています。一方のサイトでpingを実行し、もう一方のサイトでdebug ip icmpを実行します。
Guilder#ping 6.6.6.6 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 6.6.6.6, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms Damme#debug ip icmp ICMP packet debugging is on 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2 6d22h: ICMP: echo reply sent, src 6.6.6.6, dst 201.201.201.2
debug 出力例
同じ設定を使用している出力例は、ここから入手できます。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
16-Nov-2005 |
初版 |
フィードバック