Cisco IOS マルチプロトコル ラベル スイッチング コ ンフィギュレーション ガイド リリース15.1
スケーラブルなハブアンドスポーク MPLS VPN の設定
スケーラブルなハブアンドスポーク MPLS VPN の設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 14MB) | フィードバック

目次

スケーラブルなハブアンドスポーク MPLS VPN の設定

この章の構成

スケーラブルなハブアンドスポーク MPLS VPN の設定の前提条件

スケーラブルなハブアンドスポーク MPLS VPN の設定の制約事項

スケーラブルなハブアンドスポーク MPLS VPN の設定に関する情報

概要

アップストリーム VRF とダウンストリーム VRF

Reverse Path Forwarding チェック

MPLS VPN クライアントでハブ PE ルータが確実に使用されるようにする方法

PE ルータまたはスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定

VRF の関連付け

AAA サーバ用のダウンストリーム VRF の設定

設定の確認

スケーラブルなハブアンドスポーク MPLS VPN の設定の設定例

PE ルータおよびスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定:例

VRF の関連付け:例

スケーラブルなハブアンドスポーク MPLS VPN の設定:例

その他の関連資料

関連資料

シスコのテクニカル サポート

スケーラブルなハブアンドスポーク MPLS VPN の設定の機能情報

スケーラブルなハブアンドスポーク MPLS VPN の設定

この章では、マルチプロトコル(MPLS)Virtual Private Network(VPN; バーチャル プライベート ネットワーク)のエッジにある同じ Provider Edge(PE; プロバイダー エッジ)ルータに接続する Virtual Private Network(VPN; バーチャル プライベート ネットワーク)クライアントが、ハブ サイトを使用するようにする方法について説明します。この機能を使用すると、VPN クライアントは、ハブ サイトをバイパスして互いに直接通信することがなくなります。また、この機能によって、スポークごとに 1 つの VRF を使用する必要がなくなるため、MPLS VPN サービスの加入者にスケーラブルなハブアンドスポーク接続を提供することもできます。

変更履歴

このマニュアルの初版の発行は 2005 年 5 月 2 日で、最終更新日は 2005 年 5 月 2 日です。

この章で紹介する機能情報の入手方法

ご使用の Cisco IOS ソフトウェア リリースによっては、一部サポートされていない機能があります。 機能のサポートと設定の詳細については、「スケーラブルなハブアンドスポーク MPLS VPN の設定の機能情報」を参照してください。

スケーラブルなハブアンドスポーク MPLS VPN の設定の前提条件

MPLS コア ネットワークが機能している必要があります。

スケーラブルなハブアンドスポーク MPLS VPN の設定の制約事項

アップストリーム VRF とダウンストリーム VRF の両方において、この機能が設定されたインターフェイスではルーティング プロトコルはサポートされません。ただし、この機能が設定されていないインターフェイスでは、アップストリーム VRF とダウンストリーム VRF に関するこの制約事項はありません。

この機能は、Virtual Access Interface(VAI; バーチャル アクセス インターフェイス)および Virtual Template Interface(VTI; バーチャル テンプレート インターフェイス)上でだけ設定できます。

番号が付いていないインターフェイスだけがサポートされます。

マルチキャストは、ハブアンドスポーク MPLS VPN が設定されたインターフェイスではサポートされません。

スケーラブルなハブアンドスポーク MPLS VPN の設定に関する情報

この機能を設定するには、次の概念を理解しておく必要があります。

「概要」

「アップストリーム VRF とダウンストリーム VRF」

「Reverse Path Forwarding チェック」

概要

この機能は、スポーク Provider Edge(PE; プロバイダー エッジ)ルータでの加入者間のローカル接続を禁止し、加入者がハブ サイトに常に接続されるようにします。同じ PE ルータに接続しているすべてのサイトは、ハブ サイトを使用して、サイト間のトラフィックを転送する必要があります。これにより、スポーク サイトでのルーティングは、常にアクセス側インターフェイスからネットワーク側インターフェイスに対して、またはネットワーク側インターフェイスからアクセス側インターフェイスに対して実行されます。アクセス側インターフェイスからアクセス側インターフェイスへのルーティングは発生しません。

この機能を使用すると、PE ルータがトラフィックをハブ サイトを介して渡さずに、スポークをローカルに切り替えるという状況が回避されます。これにより、加入者が互いに直接接続することがなくなります。

この機能を使用すると、スポークごとに 1 つの VRF という要件がなくなるため、設定が簡単になります。以前のリリースでは、スポークが同じ PE ルータに接続されている場合、スポーク間のトラフィックが常にホールセール サービス プロバイダーと ISP 間の中央リンクを通過するように、各 VRF 内の各スポークを設定する必要がありました。ただし、このソリューションには拡張性がありませんでした。多数のスポークが同じ PE ルータに接続されている場合、スポークごとに 1 つの VRF を設定すると、作業が非常に複雑になったり、メモリ使用量が大幅に増加したりすることがありました。この状況は、特に、レイヤ 3 VPN への高密度リモート アクセスをサポートする大規模な環境で発生していました。

図 1 に、サンプル ハブアンドスポーク トポロジを示します。

図 1 ハブアンドスポーク トポロジ

 

アップストリーム VRF とダウンストリーム VRF

この機能では、2 つの単一方向 VRF を使用して、スポークとハブ PE ルータ間で IP トラフィックを転送します。

アップストリーム VRF は、スポークからハブ PE ルータに IP トラフィックを転送します。この VRF には、通常、1 つのデフォルト ルートだけが含まれていますが、サマリー ルートや複数のデフォルト ルートが含まれる場合もあります。デフォルト ルートは、アップストリーム ISP に接続しているハブ PE ルータのインターフェイスをポイントします。ルータは、ハブ PE ルータまたはホーム ゲートウェイが送信するルーティング アップデートからデフォルト ルートの情報をダイナミックに学習します。アップストリーム VRF には、スポークを接続する VAI も含まれていますが、その他のローカル インターフェイスは含まれていません。

ダウンストリーム VRF は、ハブ PE ルータからのトラフィックをスポークに転送して戻します。この VRF には、Authentication, Authorization, Accounting(AAA; 認証、認可、アカウンティング)サーバから受信したスポークの Point-to-Point Protocol(PPP)ルート、およびユーザ単位のスタティック ルートが含まれています。また、ハブ PE ルータからインポートされたルートも含まれています。

ルータは、ダウンストリーム VRF から Multiprotocol Border Gateway Protocol(MP-BGP; マルチプロトコル ボーダー ゲートウェイ プロトコル)にルートを再配布します。スポーク PE ルータは、通常、接続されたスポークの MPLS コアを介してサマリー ルートをアドバタイズします。ハブ PE ルータに設定された VRF は、アドバタイズされたサマリー ルートをインポートします。

Reverse Path Forwarding チェック

ユニキャスト Reverse Path Forwarding(RPF)チェックを行うと、IP パケットがルータに入るときに、正しいインバウンド インターフェイスを使用するようになります。この機能は、スポーク側インターフェイスでユニキャスト RPF チェックをサポートします。ダウンストリームおよびアップストリーム転送にはそれぞれ異なる VRF が使用されるため、RPF メカニズムにより、ダウンストリーム VRF で送信元アドレス チェックが確実に行われます。

MPLS VPN クライアントでハブ PE ルータが確実に使用されるようにする方法

ここでは、次の各手順について説明します。

「PE ルータまたはスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定」(必須)

「VRF の関連付け」(必須)

「AAA サーバ用のダウンストリーム VRF の設定」 (任意)

「設定の確認」 (任意)

PE ルータまたはスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定

PE ルータまたはスポーク PE ルータでアップストリーム VRF とダウンストリーム VRF を設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ip vrf vrf-name

4. rd route-distinguisher

5. route-target { import | export | both } route-target-ext-community

6. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

ip vrf vrf-name

 

Router(config)# ip vrf U

VRF コンフィギュレーション モードを開始し、VRF 名を割り当てることにより VRF インスタンスを定義します。

ステップ 4

rd route-distinguisher

 

Router(config-vrf)# rd 1:0

ルーティング テーブルと転送テーブルを作成します。

ステップ 5

route-target { import | export | both } route-target-ext-community

 

Router(config-vrf)# route-target import 1:0

指定した VRF のインポートおよびエクスポートのルート ターゲット コミュニティのリストを作成します。

import キーワードは、アップストリーム VRF を作成する場合は必須です。アップストリーム VRF を使用して、ハブ PE ルータからデフォルト ルートをインポートします。

export キーワードは、ダウンストリーム VRF を作成する場合は必須です。ダウンストリーム VRF を使用して、VRF が提供する所定のサービスのすべての加入者のルートをエクスポートします。

ステップ 6

exit

 

Router(config-vrf)# exit

グローバル コンフィギュレーション モードに戻ります。

VRF の関連付け

バーチャル テンプレート インターフェイスを使用して、Virtual Access Interface(VAI; バーチャル アクセス インターフェイス)を作成および設定します。PE ルータで VRF を設定したあとに、各 VRF を次のインターフェイスに関連付けます。

インターフェイスまたはサブインターフェイス

バーチャル テンプレート インターフェイス

VRF を関連付けるには、PE ルータ上で次のコマンドを入力します。

手順の概要

1. enable

2. configure terminal

3. interface virtual-template number

4. ip vrf forwarding vrf-name1 [ downstream vrf-name2 ]

5. ip unnumbered type number

6. exit

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface virtual-template number

 

Router(config)# interface virtual-template 1

バーチャル アクセス インターフェイスの作成時にダイナミックに設定および適用されるバーチャル テンプレート インターフェイスを作成します。インターフェイス コンフィギュレーション モードを開始します。

ステップ 4

ip vrf forwarding vrf-name1 [ downstream vrf-name2 ]

 

Router(config-if)# ip vrf forwarding vpn1 downstream D

指定した VRF にバーチャル テンプレート インターフェイスを関連付けます。

vrf-name1 引数は、バーチャル テンプレート インターフェイスに関連付けられている VRF の名前です。

vrf-name2 引数は、AAA サーバからの PPP ピア ルートおよびすべてのユーザ単位ルートがインストールされるダウンストリーム VRF の名前です。AAA サーバが使用される場合、AAA サーバによって VRF メンバシップが提供されるため、バーチャル テンプレートで VRF メンバシップを設定する必要はありません。

ステップ 5

ip unnumbered type number

 

Router(config-if)# ip unnumbered Loopback1

インターフェイスに IP アドレスを明示的に割り当てなくても、インターフェイスで IP 処理をイネーブルにします。

type 引数および number 引数は、ルータが IP アドレスを割り当てた別のインターフェイスのタイプおよび番号です。番号付けされていない別のインターフェイスは指定できません。

ステップ 6

exit

 

Router(config-if)# exit

グローバル コンフィギュレーション モードに戻ります。

AAA サーバ用のダウンストリーム VRF の設定

AAA サーバ用のダウンストリーム VRF を設定するには、次のシスコ アトリビュート値を入力します。

lcp:interface-config=ip vrf forwarding U downstream D

RADIUS サーバの設定の詳細については、『 Configuring Virtual Template Interfaces 』を参照してください。

設定の確認

設定を確認するには、次の手順を実行します。

手順の概要

1. show ip vrf [ brief | detail | interfaces | id ] [ vrf-name ] [ output-modifiers ]

2. show ip route vrf vrf-name

3. show running-config [ interface type number ]

手順の詳細


ステップ 1 show ip vrf [ brief | detail | interfaces | id ] [ vrf-name ] [ output-modifiers ]

このコマンドを使用して、関連付けられている各 VAI のダウンストリーム VRF を含む、ルータで設定されているすべての VRF に関する情報を表示します。

Router# show ip vrf
 
Name Default RD Interface
D 2:0 Loopback2
Virtual-Access3 [D]
Virtual-Access4 [D]
U 2:1 Virtual-Access3
Virtual-Access4
 

show ip vrf detail vrf-name

このコマンドを使用して、VRF に関連付けられているすべての VAI を含む、指定した VRF に関する詳細情報を表示します。

vrf-name の値を指定しなかった場合は、各 VRF に関連付けられているすべての VAI を含む、ルータに設定されているすべての VRF に関する詳細情報が表示されます。

次に、vrf1 と呼ばれる VRF の詳細情報を表示する例を示します。

Router# show ip vrf detail vrf1
 
VRF D; default RD 2:0; default VPNID <not set>
Interfaces:
Loopback2 Virtual-Access3 [D] Virtual-Access4 [D]
Connected addresses are not in global routing table
Export VPN route-target communities
RT:2:0
Import VPN route-target communities
RT:2:1
No import route-map
No export route-map
VRF U; default RD 2:1; default VPNID <not set>
Interfaces:
Virtual-Access3 Virtual-Access4
Connected addresses are not in global routing table
No Export VPN route-target communities
Import VPN route-target communities
RT:2:1
No import route-map
No export route-map
 

ステップ 2 show ip route vrf vrf-name

このコマンドを使用して、指定した VRF の IP ルーティング テーブル、およびダウンストリーム VRF にインストールされているユーザ単位のスタティック ルートに関する情報を表示します。

次に、D と呼ばれるダウンストリーム VRF のルーティング テーブルを表示する例を示します。

Router# show ip route vrf D
 
Routing Table: D
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter
area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
 
Gateway of last resort is not set
 
2.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
U 2.0.0.2/32 [1/0] via 2.8.1.1
S 2.0.0.0/8 is directly connected, Null0
U 2.0.0.5/32 [1/0] via 2.8.1.2
C 2.8.1.2/32 is directly connected, Virtual-Access4
C 2.8.1.1/32 is directly connected, Virtual-Access3
 

次に、U と呼ばれるアップストリーム VRF のルーティング テーブルを表示する例を示します。

Router# show ip route vrf U
 
Routing Table: U
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS interarea
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
 
Gateway of last resort is 100.0.0.20 to network 0.0.0.0
 
2.0.0.0/32 is subnetted, 1 subnets
C 2.0.0.8 is directly connected, Loopback2
B* 0.0.0.0/0 [200/0] via 100.0.0.20, 1w5d
 

ステップ 3 show running-config [ interface type number ]

このコマンドを使用して、アップストリーム VRF とダウンストリーム VRF に関する情報を含む、指定したバーチャル アクセス インターフェイスに関する情報を表示します。

次に、virtual-access 3 と呼ばれるインターフェイスに関する情報を表示する例を示します。

Router# show running-config interface virtual-access 3
 
Building configuration...
 
Current configuration : 92 bytes
!
interface Virtual-Access3
ip vrf forwarding U downstream D
ip unnumbered Loopback2
end
 

次に、virtual-access 4 と呼ばれるインターフェイスに関する情報を表示する例を示します。

Router# show running-config interface virtual-access 4
 
Building configuration...
 
Current configuration : 92 bytes
!
interface Virtual-Access4
ip vrf forwarding U downstream D
ip unnumbered Loopback2
end
 


 

スケーラブルなハブアンドスポーク MPLS VPN の設定の設定例

ここでは、次の設定例について説明します。

「PE ルータおよびスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定:例」

「VRF の関連付け:例」

「スケーラブルなハブアンドスポーク MPLS VPN の設定:基本設定:例」

「スケーラブルなハブアンドスポーク MPLS VPN の設定:例」

PE ルータおよびスポーク PE ルータでのアップストリーム VRF とダウンストリーム VRF の設定:例

次に、U と呼ばれるアップストリーム VRF を設定する例を示します。

Router> enable
Router# configure terminal
Router(config)# ip vrf U
Router(config-vrf)# rd 1:0
Router(config-vrf)# route-target import 1:0
 

次に、D と呼ばれるダウンストリーム VRF を設定する例を示します。

Router> enable
Router# configure terminal
Router(config)# ip vrf D
Router(config-vrf)# rd 1:8
Router(config-vrf)# route-target export 1:100

VRF の関連付け:例

次に、U と呼ばれる VRF を virtual-template 1 インターフェイスに関連付け、D と呼ばれるダウンストリーム VRF を指定する例を示します。

Router> enable
Router# configure terminal
Router(config)# interface virtual-template 1
Router(config-if)# ip vrf forwarding U downstream D
Router(config-if)# ip unnumbered Loopback1

スケーラブルなハブアンドスポーク MPLS VPN の設定:基本設定:例

この例では、ローカル認証が使用されます、つまり、RADIUS サーバは使用されません。

この例では、図 2 に示しているように、ハブアンドスポーク トポロジが使用されます。

図 2 トポロジ例

 

ip vrf D
rd 1:8
route-target export 1:100
!
ip vrf U
rd 1:0
route-target import 1:0
!
ip cef
vpdn enable
!
vpdn-group U
accept-dialin
protocol pppoe
virtual-template 1
!
interface Loopback2
ip vrf forwarding U
ip address 2.0.0.8 255.255.255.255
!
interface ATM2/0
description Mze ATM3/1/2
no ip address
no atm ilmi-keepalive
pvc 0/16 ilmi
!
pvc 3/100
protocol pppoe
!
pvc 3/101
protocol pppoe
!
interface Virtual-Template1
ip vrf forwarding U downstream D
ip unnumbered Loopback2
peer default ip address pool U-pool
ppp authentication chap

スケーラブルなハブアンドスポーク MPLS VPN の設定:例

次に、2 つの Point-to-Point Protocol over Ethernet(PPPoE)クライアントを、Lipno と呼ばれるスポーク PE ルータ上の単一 VRF ペアに接続する例を示します。両方の PPPoE クライアントは、同じ VRF で設定されていますが、すべての通信は、ハブ PE ルータを使用して発生します。半二重 VRF がスポーク PE で設定されています。クライアントの設定は、RADIUS サーバからスポーク PE にダウンロードされます。

この例では、図 2 に示しているように、ハブアンドスポーク トポロジが使用されます。


) ホールセール プロバイダーは、ユーザ認証要求を対応する ISP に転送できます。ISP によってユーザが認証される場合、ホールセール プロバイダーは、PE ルータに戻される要求に VRF 情報を付加します。


aaa new-model
!
aaa group server radius R
server 22.0.20.26 auth-port 1812 acct-port 1813
!
aaa authentication ppp default group radius
aaa authorization network default group radius
!
ip vrf D
description Downstream VRF - to spokes
rd 1:8
route-target export 1:100
!
ip vrf U
description Upstream VRF - to hub
rd 1:0
route-target import 1:0
!
ip cef
vpdn enable
!
vpdn-group U
accept-dialin
protocol pppoe
virtual-template 1
!
interface Loopback2
ip vrf forwarding U
ip address 2.0.0.8 255.255.255.255
!
interface ATM2/0
pvc 3/100
protocol pppoe
!
pvc 3/101
protocol pppoe
!
interface virtual-template 1
no ip address
ppp authentication chap
!
router bgp 1
no synchronization
neighbor 100.0.0.34 remote-as 1
neighbor 100.0.0.34 update-source Loopback0
no auto-summary
!
address-family vpnv4
neighbor 100.0.0.34 activate
neighbor 100.0.0.34 send-community extended
auto-summary
exit-address-family
!
address-family ipv4 vrf U
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf D
redistribute static
no auto-summary
no synchronization
exit-address-family
!
ip local pool U-pool 2.8.1.1 2.8.1.100
ip route vrf D 2.0.0.0 255.0.0.0 Null0
!
radius-server host 22.0.20.26 auth-port 1812 acct-port 1813
radius-server key cisco

その他の関連資料

ここでは、MPLS VPN に関する関連資料について説明します。

関連資料

規格

規格
タイトル

この機能によってサポートされる新しい規格または変更された規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB リンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

RFC 2547

『BGP/MPLS VPNs』

シスコのテクニカル サポート

説明
リンク

シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ティップス、ツールへのリンクなど、技術的なコンテンツを検索可能な形で大量に提供しています。Cisco.com 登録ユーザの場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。

http://www.cisco.com/techsupport

スケーラブルなハブアンドスポーク MPLS VPN の設定の機能情報

表 1 に、この章に記載されている機能および具体的な設定情報へのリンクを示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドのサポートの導入時期に関する詳細については、コマンド リファレンス マニュアルを参照してください。

Cisco IOS ソフトウェア イメージは、Cisco IOS ソフトウェア リリース、機能セット、プラットフォームそれぞれに固有です。Cisco Feature Navigator を使用すると、プラットフォームおよび Cisco IOS ソフトウェア イメージのサポート情報を検索できます。 http://www.cisco.com/go/fn にある Cisco Feature Navigator にアクセスしてください。アクセスには、Cisco.com のアカウントが必要です。アカウントを持っていないか、ユーザ名またはパスワードが不明の場合は、ログイン ダイアログボックスの [Cancel] をクリックし、表示される指示に従ってください。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 スケーラブルなハブアンドスポーク MPLS VPN の設定の機能情報

機能名
リリース
機能設定情報

12.3(6)

12.3(11)T

この機能を使用すると、MPLS VPN のエッジにある同じ PE ルータに接続する VPN クライアントが、常にハブ サイトを通信に使用するようになります。

この機能に関する詳細については、次の各項を参照してください。

「概要」

「アップストリーム VRF とダウンストリーム VRF」

「Reverse Path Forwarding チェック」

「MPLS VPN クライアントでハブ PE ルータが確実に使用されるようにする方法」