インターフェイスおよびハードウェア コンポーネント コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: MPLS VPN over mGRE
MPLS VPN over mGRE
MPLS VPN over mGRE 機能は、IP 専用ネットワークで接続されているネットワーク間に Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)接続を提供できるようにすることによって、MPLS をサポートするという通信事業者の要件を克服します。これにより、MPLS の Label Switched Path(LSP; ラベル スイッチド パス)では Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルを使用してルーティング エリア、自律システム、および Internet Service Provider(ISP; インターネット サービス プロバイダー)を横断することが可能になります。multipoint GRE(mGRE)による MPLS VPN を設定すると、標準ベースの IP コアを使用して Layer-3(L3; レイヤ 3)Provider Edge(PE; プロバイダー エッジ)ベースの Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を展開できます。これにより、オーバーレイ方式を使用しないで VPN サービスを提供することができます。
機能情報の確認
お使いのソフトウェア リリースが、このモジュールで説明されている機能の一部をサポートしていないことがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「MPLS VPN over mGRE の機能情報」を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム サポートおよび Cisco ソフトウェア イメージ サポートに関する情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。
目次
MPLS VPN over mGRE の前提条件
mGRE トンネルを使用して MPLS VPN を設定する前に、MPLS VPN が設定され、正しく動作していることを確認してください。MPLS VPN の設定については、「 Configuring MPLS Layer 3 VPNs 」モジュールを参照してください。
MPLS VPN over mGRE の制約事項
•
トンネル タグ トラフィックは、MPLS VPN over mGRE をサポートするライン カード経由でルータに入る必要があります。
• 各 PE ルータでサポートされるトンネル コンフィギュレーションは 1 つだけです。
• MPLS VPN over mGRE では、VPN 間のマルチキャスト トラフィックの転送はサポートされません。
• GRE トンネルの宛先アドレスおよび送信元アドレスが mGRE と同じである場合は、トンネルでルートキャッシュが切り替えられます。
• フラグメンテーションが必要なパケットではルートキャッシュが切り替えられます。
• L3VPN プロファイルが削除され、再び追加された場合は、 clear ip bgp soft コマンドを使用して Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)をクリアする必要があります。
• mGRE が作成されると、ダミー トンネルも作成されます。
• BGP コンフィギュレーションのアップデート元で使用されるループバックまたは IP アドレスは、L3VPN プロファイルの送信元と同じである必要があります。
• mGRE は Stateful Switchover(SSO; ステートフル スイッチオーバー)には対応していません。ただし、mGRE と SSO は共存します。
• mGRE と Multicast Distribution Tree(MDT; マルチキャスト分散ツリー)トンネルに同じループバック アドレスを設定しないでください。
MPLS VPN over mGRE 機能の制限事項は、次のとおりです。
– ハードウェアで、すべての GRE オプションがサポートされるわけではありません(GRE 拡張ヘッダーや GRE キーなど)。
– トンネルでは、同一 VLAN(Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)リダイレクト)のチェックはサポートされていません。
– トンネルでは、unicast Reverse Path Forwarding(uRPF; ユニキャスト リバース パス転送)や BGP ポリシー アカウンティングなどの機能はサポートされていません。
MPLS VPN over mGRE に関する情報
mGRE トンネルを設定して、IP バックボーンをオーバーレイするマルチポイント トンネル ネットワークを作成できます。このオーバーレイによって、VPN トラフィックを転送するための PE ルータが接続されます。
さらに、mGRE による MPLS VPN を設定すると、標準ベースの IP コアを使用して、L3 PE ベースの VPN サービスを展開できます。これにより、オーバーレイ方式を使用しないで VPN サービスを提供することができます。MPLS VPN over mGRE を設定すると、システムは IPv4 ベースの mGRE トンネルを使用して、PE 間で VPN ラベル付きの IPv4 および IPv6 パケットをカプセル化します。
MPLS VPN over mGRE 機能を設定するには、次の概念を理解しておく必要があります。
MPLS VPN over mGRE
GRE は、2 つのピアがトンネルのエンドポイントを構成するポイントツーポイント トンネリング プロトコルです。GRE はネットワークレイヤのパケットを IP トンネリング パケットにカプセル化するように設計されています。mGRE は同様のプロトコルですが、トンネルの一方は単一のエンドポイントで、それがトンネルの他方にある複数のエンドポイントに接続されています。mGRE トンネルによって、同じ VPN に接続された支社間に共通のリンクが提供されます。mGRE はポイントツーマルチポイント モデルなので、MPLS VPN の PE デバイスを相互接続するためにフル メッシュ構造の GRE トンネルは必要ありません。
MPLS は広く採用されている VPN インターネット アーキテクチャです。MPLS では、ネットワーク内のすべてのコア ルータが MPLS をサポートしている必要があります。この機能は、サービス プロバイダーがバックボーン事業者を使用して接続を提供しているネットワークで有用です。
MPLS VPN over mGRE 機能は、IP 専用ネットワークで接続されているネットワーク間に MPLS 接続を提供できるようにすることによって、MPLS をサポートするという通信事業者の要件を克服します。これにより、MPLS の LSP では GRE トンネルを使用してルーティング エリア、自律システム、および ISP を横断することが可能になります。
mGRE による MPLS VPN を設定すると、標準ベースの IP コアを使用して、L3 PE ベースの VPN サービスを展開できます。これにより、LSP や Label Distribution Protocol(LDP; ラベル配布プロトコル)を使用しないで VPN サービスを提供することができます。システムは IPv4 ベースの mGRE トンネルを使用して、PE 間で VPN ラベル付きの IPv4 および IPv6 パケットをカプセル化します。
また、MPLS VPN over mGRE 機能により、既存の MPLS VPN LSP カプセル化テクノロジーを MPLS VPN over mGRE と同時に導入し、特定トラフィックのルーティングに使用されるカプセル化方式をシステムが決定できるようにすることも可能です。入力 PE ルータによって、パケットがリモート PE ルータに送信されるときに使用するカプセル化テクノロジーが決定されます。
ルート マップ
デフォルトでは、VPN トラフィックは LSP を使用して送信されます。MPLS VPN over mGRE 機能では、ユーザ定義のルート マップを使用して、mGRE トンネルで到達可能な VPN プレフィクスと LSP を使用して到達可能な VPN プレフィクスを決定します。ルート マップは、VPNv4 および VPNv6 アドレス ファミリのアドバタイズメントに適用されます。ルート マップでは、ネクスト ホップ トンネル テーブルを使用して VPN トラフィックのカプセル化方式を決定します。
mGRE トンネルを使用してトラフィックをルーティングするために、システムは mGRE トンネルでトラフィックをカプセル化することによってすべてのネクスト ホップに到達可能であることを示す代替アドレス空間を作成します。特定のルートが mGRE トンネルを使用するように設定するには、ユーザがそのルート用のエントリをルート マップに追加します。その新しいエントリによって、代替アドレス空間へのルートの Network Layer Reachability Information(NLRI; ネットワーク レイヤ到着可能性情報)が再マッピングされます。あるルートの再マッピング エントリがルート マップに存在しない場合、そのルート上のトラフィックは LSP を使用して転送されます。
ユーザが MPLS VPN over mGRE を設定すると、代替アドレス空間が自動的にプロビジョニングされ、通常の場合、トンネル カプセル化 Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスに保持されます。このアドレス空間経由で到達可能なすべてのトラフィックが mGRE トンネルで確実にカプセル化されるように、システムにはトンネル外への単一のデフォルト ルートがインストールされます。また、ルート マップ上にデフォルトのトンネルも作成されます。ユーザは、このデフォルト ルート マップを適切な BGP アップデートに対応付けることができます。
トンネル エンドポイントの検出および転送
MPLS VPN over mGRE 機能が正常に機能するためには、システムがシステム内のリモート PE を検出し、これらのリモート PE のトンネル転送情報を作成できる必要があります。また、リモート PE が有効でなくなったときを検出し、その PE のトンネル転送情報を削除できることも必要です。
入力 PE は、BGP による VPN アドバタイズメントを受信すると、ルート ターゲット属性(入力 PE が VRF に挿入)とアドバタイズメントの MPLS VPN ラベルを使用して、プレフィクスを適切なカスタマーに関連付けます。挿入されたルートのネクスト ホップは、アドバタイズメントの NLRI に設定されます。
アドバタイズされたプレフィクスには、システム内のリモート PE に関する情報が(NLRI の形式で)含まれます。PE はこの情報を使用して、NLRI がアクティブまたは非アクティブになったときにシステムに通知します。システムは、この通知を使用して PE 転送情報をアップデートします。
システムは新しいリモート PE の通知を受信すると、その情報をトンネル エンドポイント データベースに追加します。これによって、システムはトンネル インターフェイスに関連付けられた隣接関係を作成します。この隣接関係の説明には、カプセル化に関する情報と、カプセル化パケットを新しいリモート PE に送信するためにシステムで実行する必要のあるその他の処理に関する情報が含まれます。
この隣接情報は、トンネル カプセル化 VRF に挿入されます。ユーザが(ルート マップを使用して)VPN の NLRI を VRF 内のルートに再マッピングすると、システムはその NLRI を隣接関係にリンクさせます。その結果、VPN がトンネルにリンクされます。
トンネルの非カプセル化
出力 PE は、MPLS VPN over mGRE 機能を使用するトンネル インターフェイスからパケットを受信すると、そのパケットを非カプセル化して VPN ラベル タグ付きのパケットを作成し、MPLS Forwarding(MFI)コードに送信します。
トンネルの送信元
MPLS VPN over mGRE 機能では、mGRE トンネルとして設定された単一のトンネルを使用して、多数のエンドポイント(リモート PE)を持つシステムを設定します。トンネル カプセル化パケットの送信元を識別するために、システムではトンネル送信元情報が使用されます。
送信側(入力)PE では、VPN パケットがトンネルに送信されるとき、トンネル宛先は NLRI です。受信側(出力)PE では、トンネル送信元は mGRE トンネルでカプセル化されたパケットが受信されるアドレスです。したがって、出力 PE では、パケットの宛先がローカル PE からの NLRI と一致している必要があります。
IPv6 VPN
アドバタイジング PE ルータのアドレスが IPv6 である場合、(PE 間のネットワークに関係なく)NLRI のアドレスも IPv6 である必要があります。各 PE 間のネットワークが IPv4 ベースである場合、システムは ::FFFF:IPv4-PE-address という形式の IPv4 射影アドレスを使用してアドバタイジング PE の IPv6 アドレスを作成します。受信側 PE は、VPN タグの IPv6 プレフィクス用のネクスト ホップを、IPv6 の NLRI に埋め込まれた IPv4 アドレスに設定します。これにより、PE は VPNv4 トラフィックをマッピングするのと同じように、VPNv6 トラフィックを LSP または mGRE トンネルにリンクすることが可能になります。
PE が VPNv6 アップデートを受信すると、そのアップデートは IPv6 ルート マップに適用されます。MPLS VPN over mGRE 機能では、IPv6 ルート マップを使用して、Tunnel_Encap VRF にネクスト ホップ情報を設定します。
MPLS VPN over mGRE の設定方法
mGRE トンネルによる MPLS VPN を展開するには、VRF インスタンスを作成し、L3 VPN カプセル化をイネーブルにして設定し、ルート マップをアプリケーション テンプレートにリンクし、BGP VPNv4 と VPNv6 の交換を設定してアップデートがルート マップでフィルタリングされるようにします。
MPLS VPN over mGRE を展開するための設定手順は、次の各項で説明します。
• 「L3VPN カプセル化プロファイルの設定」(必須)
• 「BGP およびルート マップの設定」(必須)
L3VPN カプセル化プロファイルの設定
ここでは、L3VPN カプセル化プロファイルを設定する方法について説明します。
(注) この設定では、IPv6、MPLS、IP、および Layer 2 Tunneling Protocol version 3(L2TPv3)などのトランスポート プロトコルも使用できます。
手順の概要
3. l3vpn encapsulation ip profile-name
4. transport ipv4 [ source interface-type interface-number ]
手順の詳細
BGP およびルート マップの設定
BGP およびルート マップを設定するには、次の作業を実行します。次の手順では、ルート マップをアプリケーション テンプレートにリンクし、BGP VPNv4 と VPNv6 の交換を設定してアップデートがルート マップでフィルタリングされるようにすることもできます。
手順の概要
5. neighbor ip-address remote-as as-number
6. neighbor ip-address update-source interface-name interface-number
10. neighbor ip-address activate
14. neighbor ip-address activate
15. neighbor ip-address send-community both
16. neighbor ip-address route-map map-name in
19. neighbor ip-address activate
20. neighbor ip-address send-community both
21. neighbor ip-address route-map map-name in
23. route-map map-tag permit position
24. set ip next-hop encapsulate l3vpn profile-name
手順の詳細
MPLS VPN over mGRE の設定例
• 「例:MPLS VPN over mGRE 設定の確認」
• 「例:MPLS VPN over mGRE の設定シーケンス」
例:MPLS VPN over mGRE 設定の確認
設定が正しく動作していることを確認するには、次の例を使用します。
シスコ エクスプレス フォワーディング(CEF)スイッチング
CEF スイッチングが予想どおりに動作していることを確認できます。
show l3vpn encapsulation profile-name コマンドを使用して、アプリケーションの基本的な状態に関する情報を取得できます。このコマンドの出力には、基盤となるトンネルの詳細が表示されます。
例:MPLS VPN over mGRE の設定シーケンス
この例では、MPLS VPN over mGRE の設定シーケンスを示します。
その他の参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS XE Multiprotocol Label Switching Configuration Guide 』 |
|
『 Cisco IOS XE Interface and Hardware Component Configuration Guide 』 |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco ソフトウェア リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
MPLS VPN over mGRE の機能情報
表 1 に、この機能のリリース履歴を示します。
プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートするフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連のソフトウェア リリースのうち、特定の機能のサポートが初めて導入されたソフトウェア リリースだけを示します。その機能は、特に明記されていない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
|
|
|
|
|---|---|---|
この機能では、mGRE による MPLS レイヤ 3 VPN トラフィックの伝送のサポートが提供されます。 この機能に関する詳細については、次の各項を参照してください。 この機能によって、コマンド l3vpn encapsulation ip、protocol gre、 show l3vpn encapsulation ip 、 transport ipv4 、 set ip next-hop 、 set ipv6 next-hop が導入または変更されています。 |
フィードバック