Cisco IOS マルチプロトコル ラベル スイッチング コ ンフィギュレーション ガイド リリース15.1
VPN への ID 番号の割り当て
VPN への ID 番号の割り当て
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

VPN への ID 番号の割り当て

この章の構成

VPN ID に関する情報

VPN ID の概要

VPN ID のコンポーネント

VPN ID を使用する管理アプリケーション

Dynamic Host Configuration Protocol

Remote Authentication Dial-In User Service

VPN ID の設定方法

VPN ID の指定

制約事項

前提条件

VPN ID 設定の確認

その他の関連資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

VPN への ID 番号の割り当ての機能情報

VPN への ID 番号の割り当て

RFC 2685 に記載のとおり、Virtual Private Network(VPN; バーチャル プライベート ネットワーク)を VPN 識別番号によって識別できます。VPN ID 機能のこの実装は、VPN を識別するために使用されます。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースによっては、一部サポートされていない機能があります。機能のサポートと設定の詳細については、「VPN への ID 番号の割り当ての機能情報」を参照してください。

VPN ID に関する情報

この機能を設定する前に、次の概念を理解する必要があります。

「VPN ID の概要」

「VPN ID のコンポーネント」

「VPN ID を使用する管理アプリケーション」

VPN ID の概要

RFC 2685 に記載のとおり、VPN を VPN 識別番号によって識別できます。VPN ID 機能のこの実装は、VPN を識別するために使用されます。VPN ID 機能を使用して、ルーティング情報の配布を制御したり、IP アドレスを MP-BGP VPNv4 ルーティング アップデート内の VPN ID 番号に関連付けたりすることはありません。

1 つのルータに複数の VPN を設定できます。VPN はプライベートです。VPN では、別の VPN またはインターネットでも使用される可能性のあるプライベート アドレス空間が使用されます。VPN で使用される IP アドレスは、それが存在する VPN でだけ重要となります。VPN 名(固有の ASCII 文字列)を使用して、ルータに設定された特定の VPN を参照できます。また、VPN ID を使用して、ルータの特定の VPN を識別することもできます。VPN ID は標準仕様(RFC 2685)に従います。VPN の VPN ID を一貫させるには、その VPN にサービスを提供しているサービス プロバイダー ネットワーク内のすべてのルータに同じ VPN ID を割り当てます。


) VPN に対する VPN ID の設定は任意です。VPN 名だけでも、ルータに設定済みの VPN を識別できます。VPN 名は VPN ID の設定の影響を受けません。VPN の識別方法には、2 つの独立したメカニズムがあります。


VPN ID のコンポーネント

RFC 2685 で定義されている各 VPN ID は、次の要素で構成されます。

Organizational Unique Identifier(OUI; 組織固有識別子):3 オクテットの 16 進数

OUI は、IEEE Registration Authority によって、ISO/IEC 8802 標準に従ってコンポーネントを製造するすべての会社に割り当てられます。OUI を使用して、ローカル エリア ネットワーク アプリケーションおよびメトロポリタン エリア ネットワーク アプリケーション用のユニバーサル LAN MAC アドレスおよびプロトコル識別子が生成されます。たとえば、シスコシステムズの OUI は 00-03-6B(16 進数)です。

VPN インデックス:会社内で VPN を識別する 4 オクテットの 16 進数

次の vpn id コマンドを使用して VPN ID を指定します。

vpn id oui:vpn-index

OUI と VPN インデックスはコロンで区切ります。

VPN ID を使用する管理アプリケーション

いくつかのアプリケーションを使用して、VPN ID で VPN を管理できます。Remote Authentication Dial-In User Service(RADIUS)や Dynamic Host Configuration Protocol(DHCP)などのリモート アクセス アプリケーションでは、VPN ID 機能を使用して VPN を識別できます。RADIUS では、VPN ID を使用して、各ユーザの認証情報に基づいて、ダイヤルイン ユーザを適切な VPN に割り当てることができます。

Dynamic Host Configuration Protocol

ネットワーク管理者は、DHCP ネットワークを使用して、組織のネットワークにおける IP アドレスの割り当てを一元管理および自動化できます。DHCP アプリケーションでは、次のように VPN ID が使用されます。

1. VPN DHCP クライアントは、VRF インターフェイスから Provider Edge(PE; プロバイダー エッジ)ルータに接続するように要求します。

2. PE ルータは、そのインターフェイスに関連付けられている VPN ID を判別します。

3. PE ルータは、VPN ID、および IP アドレスを DHCP サーバに割り当てるために必要なその他の情報とともに要求を送信します。

4. DHCP サーバは、VPN ID および IP アドレス情報を使用して要求を処理します。

5. DHCP サーバは、PE ルータに応答を戻し、VPN DHCP クライアントによる VPN へのアクセスを許可します。

Remote Authentication Dial-In User Service

RADIUS サーバ(またはデーモン)は、1 つまたは複数のクライアント Network Access Server(NAS; ネットワーク アクセス サーバ)に認証およびアカウンティング サービスを提供します。RADIUS サーバはユーザを認証し、クライアントがユーザにサービスを提供するために必要なすべての設定情報を返します。

通常、ユーザ ログインは、NAS から RADIUS サーバへのクエリー(Access-Request)とサーバからの対応する応答(Access-Accept または Access-Reject)で構成されます。

Access-Request パケットには、ユーザ名、暗号化されたパスワード、NAS IP アドレス、VPN ID、およびポートが含まれます。要求の形式は、ユーザが開始するセッションのタイプに関する情報も提供します。

RADIUS サーバは、ユーザ名を検出し、パスワードを確認したら、Access-Accept 応答を返します。応答には、対象のセッションで使用するパラメータを記述した AV のペアのリストが含まれます。ユーザが認証されると、RADIUS サーバから Access-Reject が送信され、アクセスが拒否されます。

VPN ID の設定方法

ここでは、次の各手順について説明します。

「VPN ID の指定」(必須)

「VPN ID 設定の確認」 (任意)

VPN ID の指定

VPN ID を指定するには、次の手順を実行します。

制約事項

VPN ID 機能を使用して、ルーティング情報の配布を制御したり、IP アドレスを MP-BGP VPNv4 ルーティング アップデート内の VPN ID 番号に関連付けたりすることはありません。

前提条件

PE ルータに設定されている各 VRF には、VPN ID を設定できます。同じ VPN ID で同じ VPN に属するすべての PE ルータを設定します。VPN ID がサービス プロバイダー ネットワークに対して固有になるようにしてください。

手順の概要

1. enable

2. configure terminal

3. ip vrf vrf-name

4. vpn id oui:vpn-index

手順の詳細

 

コマンド
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip vrf vrf-name

 

Router(config)# ip vrf storm

VRF ルーティング テーブルと CEF 転送テーブルを作成し、VRF コンフィギュレーション モードを開始します。

vrf-name :VRF に割り当てられている名前。

ステップ 4

vpn id oui : vpn-index

 

Router(config-vrf)# vpn id a1:3f6c

VRF に VPN ID を割り当てます。

oui : :組織固有識別子。この識別子は、IEEE 組織によって会社に割り当てられます。OUI は 3 オクテットに制限されています。

vpn-index :会社内で VPN を識別する値。この VPN インデックスは 4 オクテットに制限されています。

次に、vpn1 という VRF テーブルに割り当てられている VPN ID を更新する例を示します。

Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip vrf vpn1
Router(config-vrf)# vpn id a1:3f6c

VPN ID 設定の確認

VPN ID 設定を確認するには、次の手順を実行します。

手順の概要

1. show ip vrf

2. show ip vrf id

3. show ip vrf detail

手順の詳細


ステップ 1 show ip vrf

このコマンドを使用して、PE ルータ上の VRF テーブルに関する情報を表示します。次の例では、vpn1、vpn2、および vpn5 という 3 つの VRF テーブルが表示されています。

Router# show ip vrf
 
Name Default RD Interfaces
vpn1 100:1 Ethernet1/1
Ethernet1/4
vpn2 <not set>
vpn5 500:1 Loopback2
 

ステップ 2 show ip vrf id

このコマンドを使用して、指定した VPN ID が PE ルータに含まれていることを確認します。次の例は、VRF テーブル vpn1 および vpn2 だけに VPN ID が割り当てられていることを示しています。VRF テーブル vpn5 は表示されていません(VPN ID が存在しないため)。

Router# show ip vrf id
 
VPN Id Name RD
2:3 vpn2 <not set>
A1:3F6C vpn1 100:1
 

ステップ 3 show ip vrf detail

このコマンドを使用して、PE ルータ上のすべての VRF を表示します。このコマンドでは、ルータに設定されているすべての VPN ID、それに関連付けられている VRF 名、および VRF Route Distinguisher(RD; ルート識別子)が表示されます。PE ルータ上の VRF テーブルに VPN ID が割り当てられていない場合、その VRF エントリは出力に表示されません。

Router# show ip vrf detail
 
VRF vpn1; default RD 100:1; default VPNID A1:3F6C
Interfaces:
Ethernet1/1 Ethernet1/4
Connected addresses are not in global routing table
Export VPN route-target communities
RT:100:1
Import VPN route-target communities
RT:100:1 RT:500:1
No import route-map
No export route-map
VRF vpn2; default RD <not set>; default VPNID 2:3
No interfaces
Connected addresses are not in global routing table
No Export VPN route-target communities
No Import VPN route-target communities
No import route-map
No export route-map
VRF vpn5; default RD 500:1; default VPNID <not set>
Interfaces:

その他の関連資料

ここでは、MPLS VPN に関する関連資料について説明します。

関連資料

規格

規格
タイトル

IEEE 標準 802-1990

『IEEE Local and Metropolitan Area Networks: Overview and Architecture』

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2685

『Virtual Private Networks Identifier』

シスコのテクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ティップス、ツールへのリンクなど、技術的なコンテンツを検索可能な形で大量に提供しています。Cisco.com 登録ユーザの場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。

http://www.cisco.com/techsupport

VPN への ID 番号の割り当ての機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、機能セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォームおよび Cisco IOS ソフトウェア イメージのサポート情報を検索できます。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスには、Cisco.com のアカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明の場合は、ログイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


表 1 VPN への ID 番号の割り当ての機能情報

 

機能名
リリース
機能設定情報

12.0(17)ST

12.2(4)B

12.2(8)T

12.2(14)S

この機能を使用すると、RFC 2685 に記載のとおり、VPN を VPN 識別番号によって識別できます。

この機能に関する詳細については、次の各項を参照してください。

「VPN ID のコンポーネント」

「VPN ID を使用する管理アプリケーション」

「VPN ID の設定方法」

MPLS VPN ID

Cisco IOS

Cisco IOS ソフトウェアの機能サポートに関する情報については、Cisco Feature Navigator を使用してください。