Cisco Prime Fulfillment ユーザ ガイド 6.1
複数の自律システムのスパニング
複数の自律システムのスパニング
発行日;2012/05/08 | 英語版ドキュメント(2011/11/16 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

複数の自律システムのスパニング

概要

利点

自律システム間のルーティング

VPN ルーティング情報の交換

連合内のサブ自律システム間のルーティング

を使用した複数の自律システムのスパニング

相互自律システム ソリューションをサポートするためのテンプレートの使用

Inter-AS 10B Hybrid モデル

Inter-AS RT-Rewrite

Inter-AS テンプレートの作成

複数の自律システムのスパニング

この章では、Prime Fulfillment プロビジョニング プロセスを使用し、複数の自律システムのスパニングを設定する方法について説明します。

概要

MPLS VPN 向け相互自律システム機能によって、MPLS VPN をサービス プロバイダーおよび自律システムに拡張できます。自律システムとは、共通のシステム管理グループによって管理され、単一の明確に定義されたルーティング プロトコルを使用する、単一のネットワークまたはネットワークのグループのことです。

VPN が大規模になるにつれて、その要件も多くなります。場合によっては、VPN が異なる地理的エリアの異なる自律システムに存在する必要があります。また、一部の VPN は、複数のサービス プロバイダーにまたがって設定する必要があります(オーバーラッピング VPN)。VPN がどのように複雑で、どのような場所にあっても、自律システム間の接続はカスタマーに対してシームレスである必要があります。

MPLS VPN 向け相互自律システム機能によって、自律システムとサービス プロバイダーをシームレスに統合します。異なるサービス プロバイダーの異なる自律システムは、VPN-IPv4 アドレスの形式で IPv4 Network Layer Reachability Information(NLRI; ネットワーク層到着可能性情報)を交換することによって通信できます。自律システムのボーダー エッジ ルータは、exterior Border Gateway Protocol(eBGP; 外部ボーダー ゲートウェイ プロトコル)を使用してこの情報を交換します。その後、Interior Gateway Protocol(IGP)によって、各 VPN および各自律システム全体に、VPN-IPv4 プレフィクスのネットワーク レイヤ情報が配布されます。ルーティング情報では、次のプロトコルが使用されます。

自律システム内では、ルーティング情報は IGP を使用して共有されます。

自律システム間では、ルーティング情報は EBGP を使用して共有されます。EBGP によって、サービス プロバイダーは、異なる自律システム間におけるルーティング情報のループフリーな交換を保障するドメイン間ルーティング システムを設定できます。

相互自律システムをサポートする MPLS VPN によって、サービス プロバイダーは、Web ホスティング、アプリケーション ホスティング、対話型学習、電子商取引、およびテレフォニー サービスなどのスケーラブルなレイヤ 3 VPN サービスをカスタマーに提供できます。VPN サービス プロバイダーは、1 つ以上の物理ネットワークでリソースを共有するセキュアな IP ベースのネットワークを提供します。

EBGP の主な機能は、自律システムのルートのリストに関する情報を含む、自律システム間のネットワーク到達可能性情報を交換することです。自律システムは、EGBP ボーダー エッジ ルータを使用してラベル スイッチング情報を含むルートを配布します。各ボーダー エッジ ルータでは、ネクスト ホップおよび MPLS ラベルが書き換えられます。詳細については、「自律システム間のルーティング」を参照してください。

MPLS VPN でサポートされる相互自律システム設定には次が含まれます。

プロバイダー間 VPN :異なるボーダー エッジ ルータによって接続された、2 つ以上の自律システムを含む MPLS VPN。各自律システムは、EBGP を使用してルートを交換します。自律システム間では、Interior Gateway Protocol(IGP)またはルーティング情報は交換されません。

BGP 連合 :単一の自律システムを複数のサブ自律システムに分割してから、指定された単一の連合として分類した MPLS VPN。ネットワークでは、連合は単一の自律システムとして認識されます。異なる自律システム内のピアは、EBGP セッションを介して通信しますが、これらのピアは IBGP ピアである場合と同様にルート情報を交換できます。

利点

相互自律システム MPLS VPN 機能には次の利点があります。

VPN が複数のサービス プロバイダー バックボーンをまたがることが可能

MPLS VPN 向け相互自律システム機能によって、異なる自律システムを実行する複数のサービス プロバイダーが、共同で同じエンド カスタマーに MPLS VPN サービスを提供できます。あるカスタマー サイトから開始し、さまざまな VPN サービス プロバイダー バックボーンを通過して、同じカスタマーの別のサイトに到達するように VPN を設定できます。以前は、MPLS VPN は、単一の BGP 自律システム サービス プロバイダー バックボーンだけを通過できました。相互自律システム機能によって、複数の自律システムでサービス プロバイダーのカスタマー サイト間に継続的(かつシームレスな)ネットワークを形成できます。

VPN が異なるエリアに存在可能

MPLS VPN 向け相互自律システム機能によって、サービス プロバイダーは、異なる地理的エリアに VPN を作成できます。すべての VPN トラフィック フローを(エリア間で)1 箇所のポイントを通過させるようにすると、エリア間のネットワーク トラフィックのレートをより適切に制御できます。

IBGP メッシングを最適化するための連合が可能

相互自律システム機能によって、自律システムの IBGP メッシングをさらに組織化して管理しやすくできます。自律システムを複数の異なるサブ自律システムに分割してから、単一の連合に分類できます(ただし、VPN バックボーン全体は単一の自律システムと見なされます)。連合を形成するサブ自律システム間でのラベル付き VPN-IPv4 ネットワーク レイヤ到達可能性情報の交換がサポートされているため、サービス プロバイダーはこの機能を使用して、連合全体で MPLS VPN を提供できます。

自律システム間のルーティング

図 32-1 に、2 つの異なる自律システムから構成された 1 つの MPLS VPN を示します。各自律システムは異なる管理制御下で運用され、異なる IGP が実行されています。サービス プロバイダーは、EBGP ボーダー エッジ ルータ(ASBR1 と ASBR2)を経由してルーティング情報を交換します。

図 32-1 2 つの自律システム間の EBGP 接続

 

この設定では、次のプロセスによって情報が送信されます。

1. プロバイダー エッジ ルータ(PE-1)では、ルートを配布する前に、そのルートに対してラベルが割り当てられます。PE ルータは、Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)のマルチプロトコル拡張を使用して、ラベル マッピング情報を送信します。PE ルータは、VPN-IPv4 アドレスとしてルートを配布します。アドレス ラベルおよび VPN 識別子は、NLRI の一部として符号化されます。

2. 2 つのルート リフレクタ(RR-1 と RR-2)には、自律システム内の VPN-IPv4 内部ルートが反映されます。自律システムのボーダー エッジ ルータ(ASBR1 と ASBR2)は、VPN-IPv4 外部ルートをアドバタイズします。

3. EBGP ボーダー エッジ ルータ(ASBR1)によって、次の自律システム(ASBR2)にルートが再配布されます。ASBR1 は、EBGP のネクスト ホップ属性の値として自身のアドレスを指定し、新しいラベルを割り当てます。ASBR1 アドレスでは、次のことが保証されます。

ネクスト ホップ ルータは、サービス プロバイダー(P)バックボーン ネットワーク内で常に到達可能であること。

配布元ルータによって割り当てられたラベルが適切に解釈されること。ルートに関連付けられるラベルは、対応するネクスト ホップ ルータによって割り当てられる必要があります。

4. EBGP ボーダー エッジ ルータ(ASBR2)では、設定に応じて、次のいずれかの方法でルートが再配布されます。

IBGP ネイバーが neighbor next-hop-self コマンドを使用して設定されている場合、ASBR2 は、EBGP ピアから受信した更新のネクスト ホップ アドレスを変更して転送します。

IBGP ネイバーが neighbor next-hop-self コマンドを使用して設定されていない場合、ネクスト ホップ アドレスは変更されません。ASBR2 は、EBGP ピアのホスト ルートを IGP 経由で伝搬する必要があります。

EBGP VPN-IPv4 ネイバー ホスト ルートを伝搬するには、 redistribute connected subnets コマンドを使用します。EBGP VPN-IPv4 ネイバー ホスト ルートは、ネイバーがアップ状態になったときにルーティング テーブルに自動的にインストールされます。このことは、異なる自律システム内の PE ルータ間でラベル スイッチド パスを確立するために重要です。

VPN ルーティング情報の交換

自律システムは、接続を確立するために VPN ルーティング情報(ルートとラベル)を交換します。自律システム間の接続を制御するために、PE ルータおよび EBGP ボーダー エッジ ルータは Label Forwarding Information Base(LFIB; ラベル転送情報ベース)を保持します。LFIB では、VPN 情報の交換中に PE ルータおよび EBGP ボーダー エッジ ルータが受信するラベルとルートが管理されます。

図 32-2 に、自律システム間における VPN のルートおよびラベル情報の交換について示します。自律システムでは、次の注意事項を使用して VPN ルーティング情報を交換します。

ルーティング情報 には次の内容が含まれています。

宛先ネットワーク(N)

配布元ルータに関連付けられたネクスト ホップ フィールド

ローカル MPLS ラベル(L)

RD1:ルート識別子 は、宛先ネットワーク アドレスの一部であり、VPN-IPv4 ルートを VPN サービス プロバイダー環境でグローバルに一意のルートにします。

ASBR は、IBGP ネイバーに VPN-IPv4 NLRI を送信する場合に、ネクスト ホップを変更するように設定されています(next-hop-self)。したがって、ASBR では、IBGP ネイバーに NLRI を転送する場合に新しいラベルを割り当てる必要があります。

図 32-2 2 つの自律システム間のルートとラベルの交換

 

図 32-3 に、自律システム間における VPN のルートおよびラベル情報の交換について示します。唯一の違いは、ASBR2 が redistribute connected コマンドを使用して設定されていることです。これにより、ホスト ルートがすべての PE に伝搬されます。ASBR2 はネクスト ホップ アドレスを変更するように設定されていないため、 redistribute connected コマンドが必要となります。

図 32-3 2 つの自律システム間のすべての PE へのホスト ルートの伝搬

 

図 32-4 に、プロバイダー間ネットワークにおいて、次のパケット転送方法を使用して自律システム間でパケットが転送されるようすを示します。

パケットは MPLS を介して宛先に転送されます。パケットでは、各 PE ルータおよび EBGP ボーダー エッジ ルータの LFIB に格納されているルーティング情報が使用されます。サービス プロバイダー VPN バックボーンは、ダイナミック ラベル スイッチングを使用してラベルを転送します。

各自律システムでは、標準的なマルチレベル ラベリングを使用して、自律システム ルータのエッジ間(CE-5 から PE-3 など)でパケットが転送されます。自律システム間では、アドバタイズされたルートに対応する単一レベルのラベリングだけが使用されます。

データ パケットが VPN バックボーンを通過する場合、2 つのレベルのラベルが伝送されます。

最初のラベル( IGP ルート ラベル )によって、パケットが正しい PE ルータまたは EBGP ボーダー エッジルータに転送されます(たとえば、ASBR2 の IGP ラベルは、ASBR2 ボーダー エッジ ルータを指します)。

2 番めのラベル( VPN ルート ラベル )によって、パケットが適切な PE ルータまたは EBGP ボーダー エッジルータに転送されます。

図 32-4 2 つの自律システム間のパケット転送

 

図 32-5 に、同じパケット転送方法を示します。ただし、EBGP ルータ(ASBR1)で新しいラベルが再割り当てされずにパケットが転送されます。

図 32-5 新しいラベルを再割り当てしないパケット転送

 

連合内のサブ自律システム間のルーティング

VPN は、異なる自律システムで実行するサービス プロバイダーまたは連合を形成するように一緒にグループ化された複数のサブ自律システム間に拡張できます。

連合を使用することによって、自律システム内のピア デバイスの合計数を減らすことができます。連合では、自律システムが複数のサブ自律システムに分割され、自律システムに連合識別子が割り当てられます。

連合において、各サブ自律システムと他のサブ自律システムとの関係は、フル メッシュになっています。サブ自律システム間の通信は、Open Shortest Path First(OSPF)や Intermediate System-to-Intermediate System(IS-IS)などの IGP を使用して行われます。また、各サブ自律システムには、他のサブ自律システムへの EBGP 接続もあります。Confederation EBGP(CEBGP; 連合 EBGP)ボーダー エッジ ルータは、指定されたサブ自律システム間で next-hop-self アドレスを転送します。next-hop-self アドレスによって、BGP では、プロトコルでネクスト ホップを選択するのではなく、ネクスト ホップとして指定されたアドレスを使用することが強制されます。

次の 2 つの方法で、異なるサブ自律システムに連合を設定できます。

next-hop-self アドレスが CEGRP ボーダー エッジ ルータ間だけで転送されるようにルータを設定できます(双方向)。サブ自律システム ボーダーのサブ自律システム(IBGP ピア)では、next-hop-self アドレスは転送されません。各サブ自律システムは、単一の IGP ドメインとして実行されます。ただし、CEGRP ボーダー エッジ ルータ アドレスは、IGP ドメイン内で認識されます。

next-hop-self アドレスが CEGRP ボーダー エッジ ルータ間(双方向)、およびサブ自律システム ボーダーの IBGP ピア内で転送されるようにルータを設定できます。各サブ自律システムは、単一の IGP ドメインとして実行されますが、ドメイン内の PE ルータ間で next-hop-self アドレスの転送もします。CEGRP ボーダー エッジ ルータ アドレスは、IGP ドメイン内で認識されます。

図 32-6 に、一般的な MPLS VPN 連合設定を示します。この連合設定の特徴は次のとおりです。

2 つの CEGRP ボーダー エッジ ルータは、2 つのサブ自律システム間でラベル付きの VPN-IPv4 アドレスを交換します。

配布元ルータはネクスト ホップ アドレスおよびラベルを変更して、next-hop-self アドレスを使用します。

IGP-1 および IGP-2 では、CEGRP-1 と CEBGP-2 のアドレスが認識されます。

図 32-6 連合内の 2 つの AS 間の EGBP 接続

 

この連合設定の特徴は次のとおりです。

CEGRP ボーダー エッジ ルータは、サブ自律システム間のネイバー ピアとして機能します。サブ自律システムは、EGRP を使用してルート情報を交換します。

各 CEGRP ボーダー エッジ ルータ(CEBGP-1、CEBGP-2)は、ルートを次のサブ自律システムに配布する前に、ルートのラベルを割り当てます。CEGRP ボーダー エッジ ルータは、BGP のマルチプロトコル拡張を使用して、VPN-IPv4 アドレスとしてルートを配布します。ラベルおよび VPN 識別子は、NLRI の一部として符号化されます。

各 PE および CEGRP ボーダー エッジ ルータは、ルートを再配布する前に、各 VPN-IPv4 アドレス プレフィクスに独自のラベルを割り当てます。CEGRP ボーダー エッジ ルータは、ラベル付きの VPN-IPv4 アドレスを交換します。

ラベルには、(EGRP ネクスト ホップ属性の値として)next-hop-self アドレスが含まれています。サブ自律システム内では、CEGRP ボーダー エッジ ルータ アドレスが IBGP ネイバー全体に配布され、2 つの CEGRP ボーダー エッジ ルータが両方の連合で認識されます。

Prime Fulfillment を使用した複数の自律システムのスパニング

「VPN ルーティング情報の交換」に説明するように、自律システムは、接続を確立するために VPN ルーティング情報(ルートとラベル)を交換します。自律システム間の接続を制御するために、PE ルータおよび外部 BGP Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)が Label Forwarding Information Base(LFIB; ラベル転送情報ベース)を保持します。LFIB では、VPN 情報の交換中に PE ルータおよび EGRP ボーダー エッジ ルータが受信するラベルとルートが管理されます。

ASBR は、IBGP ネイバーに VPN-IPv4 ネットワーク層到達可能性情報を送信する場合に、ネクスト ホップを変更するように設定されています(next-hop-self)。したがって、ASBR では、IBGP ネイバーに NLRI を転送する場合に新しいラベルを割り当てる必要があります。

図 32-7 に、この項で使用する Prime Fulfillment ネットワークの例を示します。

図 32-7 2 つの自律システムを持つ VPN ネットワークの例

 

AS 100 の Acme_Chicago からのトラフィックが AS 200 の Acme_Rome に到達するためには、Prime Fulfillment では 2 つのリンクだけをプロビジョニングする必要があります。

Acme_Chicago と PE-1 間のリンク

Acme_Rome と PE-G1 間のリンク

図 32-7 に示すように、Prime Fulfillment は、PE-1 から ASBR-1 に、ASBR-1 から ASBR-2 に、さらに ASBR-2 から PE-G1 に VPN トラフィックをルーティングして、最終的にトラフィックはその宛先である Acme-Rome にルーティングされます。

ASBR-1 および ASBR-2 は Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)を実行する必要があります。その後、Interior Multiprotocol BGP(IMP-BGP; 内部マルチプロトコル BGP)によって、AS 100 の PE-1 と ASBR-1 間のルートおよび AS 200 の PE-2 と ASBR-2 間のルートが処理されます。Exterior Multiprotocol BGP(EMP-BGP; 外部マルチプロトコル BGP)では、ASBR-1 と ASBR-2 間のルートを処理します。


ヒント サービス プロバイダーは、直接接続の Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)間の VPN-IPv4 EGRP セッションを設定する必要があります。これは、サービス プロバイダーが管理する必要のあるワンタイム設定手順です。Prime Fulfillment は、複数の自律システムに拡張された ASBR デバイス間のリンクはプロビジョニングしません。

VPN-IPv4 アドレス( VPNv4 アドレスとも呼ばれる)は、IPv4 アドレスと 8 バイトの Route Distinguisher(RD; ルート識別子)の組み合わせです。RD と IPv4 アドレスを組み合わせることで、IPv4 ルートは MPLS VPN ネットワーク全体でグローバルに一意のルートになります。BGP では、同じネットワークとサブネット マスクを持つ IPv4 アドレスでもルート識別子が異なる場合は、IPv4 アドレスは異なると見なします。

相互自律システム ソリューションをサポートするためのテンプレートの使用

この項では、Prime Fulfillment が Inter-Autonomous Systems(Inter-AS; 相互自律システム)およびプロバイダー間 VPN を Prime Fulfillment テンプレートを介してどのようにサポートしているかを説明します。


) Prime Fulfillment は、L2TPV3 ネットワークの Inter-AS 10B Hybrid モデルだけを現在サポートしています。Inter-AS 10B Hybrid モデルがこの項に記載されているソリューションです。


Inter-AS 10B Hybrid モデル

最新リリースの Prime Fulfillment では、2 つのペアのテンプレート スクリプトが Inter-AS 10B Hybrid VPN のプロビジョニングおよびデコミッション用に提供されています。

Autonomous System Border Router(ASBR; 自律システム ボーダー ルータ)上の VPN-independent Inter-AS 10B Hybrid CLI のプロビジョニングおよびデコミッション

ASBR 上の VPN-specific Inter-AS 10B Hybrid CLI のプロビジョニングおよびデコミッション

2 番めのテンプレート スクリプトのペアを使用すると、プロバイダーは ASBR 上に新しい Inter-AS VPN が追加された場合のプロビジョニングおよびデコミッション用に新しいペアのデータファイルを作成できます。Inter-AS 設定を変更する目的でスクリプトを作成または変更するためにデフォルト Inter-AS スクリプトを変更できます。

VPN-independent Inter-AS 10B Hybrid デフォルト テンプレートでは、次のコマンドがサポートされています。

ASBR 上の L2TPV3 トンネルの Resolve In VRF(RIV)の VRF のプロビジョニング

L2TPV3 トンネル設定

ASBR-facing インターフェイス プロビジョニング

BGP 設定

peer-group による BGP 設定

EBGP 設定

BGP address-family ipv4 設定

BGP address-family ipv4 tunnel 設定

BGP address-family vpnv4 設定

L2TPV3 トンネル インターフェイスを通じたデフォルト ルート設定

VPN-specific Inter-AS 10B Hybrid デフォルト テンプレートでは、次のコマンドがサポートされています。

カスタマー VPN の VRF プロビジョニング

フル メッシュおよびハブ アンド スポーク VPN タイプ用の推奨/標準 Route Target(RT; ルート ターゲット)サポート。スポーク RT はオプションです。

RT-rewrite 設定:

拡張コミュニティ( extcommunity-list )プロビジョニング

ルート マップ プロビジョニング

Inter-AS RT-Rewrite

Prime Fulfillment は、ASBR 上の Inter-AS RT-rewrite 設定をサポートしています。RT-rewrite コマンドのプロビジョニングおよびデコミッション用の Velocity Template Language(VTL)テンプレート スクリプトは、次の項で説明する Inter-AS 10B Hybrid テンプレートの一部として提供されています。それぞれの使用例に対して独自のテンプレートを作成するために、VTL スクリプトを編集できます。

Inter-AS テンプレートの作成


) Prime Fulfillment でのテンプレートの作成および使用の詳細については、次を参照してください。「ポリシーおよびサービス要求でのテンプレートおよびデータ ファイルの使用」


デフォルト Inter-AS テンプレートは、Prime Fulfillment の Examples templates ディレクトリにあります。テンプレートは [Service Design] ウィンドウで作成します。このウィンドウにアクセスするには、次のように選択します。

[Service Design] > [Templates] > [Examples]

Inter-AS 10B Hybrid 用のテンプレートは次のとおりです。

Configure_PE_as_ASBR_non_VPN_Specific_Template_TMPL_

Remove_PE_as_ASBR_non_VPN_Specific_Template_TMPL_

Configure_PE_as_ASBR_VPN_Specific_Template_TMPL_

Remove_PE_as_ASBR_VPN_Specific_Template_TMPL_

それぞれの使用例に基づいて、デフォルトのプロビジョニングおよびデコミッション スクリプトを使用してテンプレートを作成および変更できます。Inter-AS 設定のほとんどはワンタイム設定のため、テンプレートはデバイス コンソールからダウンロードされるだけでサービス要求には付加されません。

Prime Fulfillment テンプレート機能では、テンプレート データ ファイルの展開に成功したかどうか、または展開に失敗したコマンドがあったかどうかを判断する基本的な展開チェックをサポートしています。また、ユーザ インターフェイスにおけるデータファイル作成中に正しい値の入力を容易にする、変数のデータタイプを選択できます。

Inter-AS CLI を含むテンプレート データ ファイルを正常に作成した後で、テンプレート データ ファイルを ASBR またはルート リフレクタに Prime Fulfillment の [Device Console] ウィンドウを使用してダウンロードできます。このウィンドウにアクセスするには、次のように選択します。

[Service Inventory] > [Device Console]

[Service Design] で作成したテンプレートは、デバイスまたはデバイスグループで展開するために選択できます。


) Prime Fulfillment のテンプレート機能は、モデルベースではありません。このため、[Device Console] を使用してテンプレートをダウンロードした場合、テンプレート展開履歴またはスタックは保存されず、またテンプレートのロールバックおよびテンプレート CLI 監査はサポートされていません。PE ルータに特定の IBGP コマンドをダウンロードする必要がある場合は、サービス要求でテンプレートを選択してから PE ルータにダウンロードすることもできます。