Cisco VPN Solutions Center: MPLS Solution プロビジョニング ガイド
VPN Solutions Center でのマルチ VRF CE のプロビジョニング
VPN Solutions Center でのマルチ VRF CE のプロビジョニング
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN Solutions Center でのマルチ VRF CE のプロビジョニング

マルチ VRF CE とは

マルチ VRF CE 機能の利点

プロビジョニング手順

CE をマルチ VRF CE として定義する

マルチ VRF CE に適用されるテンプレート

プロバイダー側に向かうインターフェイスに適用するテンプレート

カスタマー側に向かうインターフェイスに適用するテンプレート

マルチ VRF CE テンプレートの説明

マルチ VRF CE テンプレートの内容

VPN Solutions Center でのマルチ VRF CE のプロビジョニング

マルチ VRF CE とは

マルチ VRF CE は、Cisco IOS リリース 12.2(4)T で紹介された機能です。マルチ VRF CE ルータには、以前は PE に対して予約されていた機能の小さなサブセットが追加されています。マルチ VRF CE に追加された、PE に類似する機能は、さまざまなルーティングを決定できるように CE ルータに複数の VRF を設定できる機能です。パケットは、IP パケットとして PE 方向に送信されます。

この機能を使用すると、CE は、個別の VRF テーブルを保持して、MPLS VPN のプライバシーとセキュリティを、PE ルータ ノードまでではなく自社の支店まで拡張できます。

マルチ VRF CE は、PE と CE 間でラベルを交換しない、LDP に隣接していない、および PE と CE 間でラベル付きパケットのフローが存在しないという点で CE とは異なります。

マルチ VRF CE ルータは、VRF インターフェイスを使用して、カスタマー側に VLAN と同様の構成を作成します。マルチ VRF CE ルータにある各 VRF は、PE ルータの VRF にマッピングされます。

図 11-1 では、マルチ VRF CE が使用できる方法を 1 つ示しています。マルチ VRF CE ルータは、そのインターフェイスに接続されているクライアントを使用して、特定の VRF を関連付け、その情報を PE と交換します。ルートはマルチ VRF CE の VRF にインストールされます。マルチ VRF CE の特定の VRF から、PE 上の対応する VRF にルートを伝搬する、ルーティング プロトコルまたはスタティック ルートを設定しておく必要もあります。

図 11-1 MPLS VPN 環境のマルチ VRF CE

 

マルチ VRF CE 機能では、各クライアントまたは組織を独自の IP アドレス空間に配置することで、LAN をセグメント化できます。これは、CE-1 などの分離されたイーサネット インターフェイス、または複数のサブネット インターフェイス(Client-1 および Client-2 用)にセグメント化された 1 つのファースト イーサネット インターフェイスを通して行うこともできます。各クライアントを識別するため、各サブインターフェイスには独自の IP アドレス空間が含まれます。

マルチ VRF CE ルータは、直接接続されているインターフェイスから発信されたカスタマーのデータ パケットを受信すると、そのサイトに関連付けられている VRF でルート ルックアップを実行します。データ パケットの受信時に越えるインターフェイスまたはサブインターフェイスによって、特定の VRF が決定されます。複数の転送テーブルをサポートすることにより、CE ルータでは、ルーティング情報が PE に送信される前に、各 VPN に基づいてルーティング情報を簡単に分離できるようになります。複数のポイントツーポイント サブインターフェイスを備えた T1 回線を使用すると、マルチ VRF CE ルータから PE ルータへのトラフィックを、個別の VRF にセグメント化できます。

マルチ VRF CE が CE ルータ上に構成されている場合には、データ パスは、クライアントから PE-1 に対して次のようになります(図 11-1 を参照)。

1. マルチ VRF CE は、マルチ VRF CE に直接接続されているファースト イーサネット インターフェイスのサブインターフェイスからクライアント 1 への VPN Red ルートを取得します。

2. 次に、マルチ VRF CE はそのルートを VRF Red-1(マルチ VRF CE 上の VRF)にインストールします。

3. PE-1 は、マルチ VRF CE 上の VRF Red-1 から、クライアント 1 への VPN Red ルートを取得し、ルートを VRF Red-2(PE-1 上の)にインストールします。

4. クライアント 2 からの VPN Blue ルートは、VPN Red には関連付けられず、VRF Red-1 または VRF Red-2 にはインポートされません。

マルチ VRF CE 機能の利点

マルチ VRF CE 機能の利点は次のとおりです。

暗号化技術(IPsec)を使用しない場合、カスタマーの LAN 上のセキュリティは、付加スイッチを使用しない既存のレイヤ 2(ATM またはフレーム リレー)接続がサポートするセキュリティと同等です。

複数の CE ルータ ソリューションとは異なり、必要な CE ルータは 1 台だけであるため、ネットワークのプロビジョニングと管理が容易になります。

マルチ VRF CE の VRF 機能は、完全な PE 機能を持たないため、管理対象となるルーティングの更新は少なくなります。

カスタマー アドレス空間を重複します。

VPN カスタマーは多くの場合、固有のネットワークを管理し、プライベートなアドレス空間を使用します。カスタマーがグローバルに一意の IP アドレスを使用しない場合、同じ 32 ビット の IPv4 アドレスを使用して異なる VPN の異なるシステムを識別できます。BGP は、伝送する各 IPv4 アドレスがグローバルに一意なアドレスであると仮定するため、ルーティングが困難になる可能性があります。この問題を解決するため、MPLS-VPN では、VPN-IPv4 アドレス ファミリーの使用と Multiprotocol BGP Extensions(MP-BGP)の展開を組み合せることにより、一意でない IP アドレスをグローバルに一意なアドレスに変換するメカニズムをサポートしています。

IP アドレス空間の重複をサポートするネットワーク アドレス変換(NAT)は不要です。

PE ルータ上での 32 のルーティング プロセス制限を増加します。マルチ VRF CE は、5 つの異なる OSPF プロセスを使用して同じサイト内の 5 つの異なるカスタマーに接続し、BGP を使用して PE へルートを伝播できます。

プロビジョニング手順

VPN Solutions Center でマルチ VRF CE をセットアップするには、マルチ VRF CE をプロビジョニングする前に次の 2 つの重要な作業を完了する必要があります。

1. カスタマー サイトを編集して、CE をマルチ VRF CE に設定します(「CE をマルチ VRF CE として定義する」を参照)。

2. マルチ VRF CE 上で、マルチ VRF CE テンプレートのセットを次のインターフェイスに適用する必要があります。

プロバイダー側に向かうインターフェイス(「プロバイダー側に向かうインターフェイスに適用するテンプレート」を参照)。

カスタマー側に向かうインターフェイス(「カスタマー側に向かうインターフェイスに適用するテンプレート」を参照)。

VPNSC 2.2 の場合、マルチ VRF CE、通常の CE および PE 間で 1 つのサービス要求を展開することにより、マルチ VRF CE 機能を実装できます。図 11-2 に示すシナリオでは、PE-1 が PE、CE-4 がマルチ VRF CE、2621-CE-6 が通常の CE です。

PE は、その他のあらゆる PE として構成されます。マルチ VRF CE の場合、プロバイダー側に向かうインターフェイスとカスタマー側に向かうインターフェイスの 2 つをプロビジョニングする必要があります(「マルチ VRF CE に適用されるテンプレート」を参照)。

図 11-2 MPLS VPN 環境のマルチ VRF CE

 

CE をマルチ VRF CE として定義する

CE を マルチ VRF CE として定義するには、次の手順を実行します。


ステップ 1 VPN コンソールの階層表示で、VPN Customers フォルダを展開して、目的のカスタマーのサイトを表示します。

ステップ 2 マルチ VRF CE が常駐する CE として指定するサイトを選択し、 右クリック します。

Site メニューが表示されます(図 11-3 を参照)。

図 11-3 サイトを開く

 

ステップ 3 Site メニューから Open Site を選択します。

Edit Customer Site ダイアログボックスが表示されます(図 11-4 を参照)。

図 11-4 サイトの編集

 

ステップ 4 Edit Customer Site ダイアログボックスで Edit をクリックします。

Edit Customer Edge Routers ダイアログボックスが表示されます(図 11-5 を参照)。

図 11-5 CE をマルチ VRF CE として指定する

 

ステップ 5 選択した CE に対して適切なマルチ VRF CE オプションを選択します。

a. Multi-VRF CE :CE 上に SA エージェント が構成されていないことを示します。

b. Multi-VRF CE, Regular SA Agent :CE に、CE と SA エージェントを実行するルータの 2 つの機能があることを示します。つまり、VPN の CE として機能しながら、同一 VPN 内の CE 間のトラフィック応答時間も監視します。

c. Multi-VRF CE, Shadow SA Agent :指定した CE が、実際はプロバイダー空間の PE であることを示します。

ステップ 6 OK をクリックします。

Edit Customer Site ダイアログボックスに戻ります。CE がマルチ VRF CE として指定されています。

ステップ 7 OK をクリックします。


 

マルチ VRF CE に適用されるテンプレート

マルチ VRF CE をプロビジョニングするには、VPN Solutions Center でマルチ VRF CE 用に特別に用意されているテンプレートを使用する必要があります。

図 11-6 は、Template Manager から、使用可能なマルチ VRF CE テンプレートを示しています。

図 11-6 マルチ VRF CE インターフェイスのプロビジョニング用に提供されている VPNSC テンプレート

 

VPNSC Template Manager の使用方法については、「VPN Solutions Center Template Manager によるプロビジョニング」を参照してください。

テンプレートを VPN Solutions Center のコンフィグレットに統合する方法については、「Templates」を参照してください。

マルチ VRF CE 上で、マルチ VRF CE テンプレートのセットを次のインターフェイスに適用する必要があります。

プロバイダー側に向かうインターフェイス(「プロバイダー側に向かうインターフェイスに適用するテンプレート」を参照)

カスタマー側に向かうインターフェイス(「カスタマー側に向かうインターフェイスに適用するテンプレート」を参照)

プロバイダー側に向かうインターフェイスに適用するテンプレート

VPN Solutions Center は、マルチ VRF CE 上でプロバイダー側に向かうインターフェイス自体をプロビジョニングします。さらに、次の 3 つのテンプレートをプロバイダー側に向かうインターフェイスに適用する必要があります。

MVCE-VRF テンプレート

ip vrf コマンドをマルチ VRF CE 上のプロバイダー側に向かうインターフェイスに追加します。

Provider-Facing Interface テンプレート

ip vrf forwarding コマンドをマルチ VRF CE 上のプロバイダー側に向かうインターフェイスに追加します。

プロバイダー側に向かうインターフェイスが、番号指定か、番号未定かにより、適切なインターフェイス テンプレートを選択します。

Template Manager には、プロバイダー側に向かうテンプレートによって追加されたコマンドを削除するテンプレートも用意されています。

Provider-Facing-Routing テンプレート

プロバイダー側に向けられるインターフェイスと PE 間のリンクに対して適切なルーティング テンプレートを選択します。

Template Manager には、プロバイダー側に向かうルーティング テンプレートによって追加された IP 番号未指定コマンドを使用して BGP を削除するテンプレートも用意されています。

カスタマー側に向かうインターフェイスに適用するテンプレート

VPN Solutions Center は、マルチ VRF CE 上でプロバイダー側に向かうインターフェイス自体をプロビジョニングします。さらに、次の 3 つのテンプレートをプロバイダー側に向かうインターフェイスに適用する必要があります。

MVCE-VRF テンプレート

ip vrf コマンドをマルチ VRF CE 上のカスタマー側に向かうインターフェイスに追加します。

Customer-Facing-Interface テンプレート

ip vrf forwarding コマンドをマルチ VRF CE 上のカスタマー側に向かうインターフェイスに追加します。

カスタマー側に向かうインターフェイスが、番号指定か、番号未指定かにより、適切なインターフェイス テンプレートを選択します。

Template Manager には、カスタマー側に向かうテンプレートによって追加されたコマンドを削除するテンプレートも用意されています。

Customer-Facing Routing テンプレート

カスタマー側に向かうインターフェイスと CE 間のリンクに対して適切なルーティング テンプレートを選択します。

Template Manager には、カスタマー側に向かうルーティング テンプレートによって追加された IP 番号未指定コマンドを使用して BGP を削除するテンプレートも用意されています。

マルチ VRF CE テンプレートの説明

表 11-1 で、各マルチ VRF CE テンプレートについて説明します。

 

表 11-1 VPN Solutions Center が提供するマルチ VRF CE テンプレート

フォルダ
テンプレート
説明

MPLS-\
MultiVRF

MVCE-VRF-Name

ip vrf コマンドをマルチ VRF CE に追加します。

Provider-Facing Interface

NumberedInterface

マルチ VRF CE 上の番号指定インターフェイスに ip vrf forwarding コマンドを追加します。

UnnumberedInterface

マルチ VRF CE 上の番号未指定インターフェイスに ip vrf forwarding コマンドを追加します。

Remove-NumberedInterface

マルチ VRF CE 上の番号指定インターフェイスから ip vrf forwarding コマンドを削除します。

Remove-Unnumbered Interface

マルチ VRF CE 上の番号未指定インターフェイスから ip vrf forwarding コマンドを削除します。

Provider-Facing-
Routing

BGP-IpNumbered

BGP を IP 番号指定のプロバイダー側に向かうインターフェイスにプロビジョニングします。

BGP-IpUnnumbered

BGP を IP 番号未指定のプロバイダー側に向かうインターフェイスにプロビジョニングします。

OSPF

マルチ VRF CE 上に OSPF をプロビジョニングします。

RIP

マルチ VRF CE 上に RIP をプロビジョニングします。

Static

マルチ VRF CE 上に Static ルートをプロビジョニングします。

Remove-BGP-\
IpUnnumbered

BGP のプロビジョニングをプロバイダー側に向かう IP 番号未指定インターフェイスから削除します。

Customer-Facing Interface

NumberedInterface

ip vrf forwarding コマンドをカスタマー側に向かう IP 番号指定インターフェイスに追加します。

UnnumberedInterface

ip vrf forwarding コマンドをカスタマー側に向かう IP 番号未指定インターフェイスに追加します。

FastEthernetSample

ip vrf forwarding コマンドをカスタマー側に向かうファースト イーサネット インターフェイスに追加します。

SerialSample

ip vrf forwarding コマンドをカスタマー側に向かうシリアル インターフェイスに追加します。

Remove-Numbered Interface

ip vrf forwarding コマンドをカスタマー側に向かう IP 番号指定インターフェイスから削除します。

Remove-Unnumbered Interface

ip vrf forwarding コマンドをカスタマー側に向かう IP 番号未指定インターフェイスから削除します。

Customer-Facing Routing

BGP-IpNumbered

BGP をカスタマー側に向かう IP 番号指定インターフェイスにプロビジョニングします。

BGP-IpUnnumbered

BGP をカスタマー側に向かう IP 番号未指定インターフェイスにプロビジョニングします。

Static

Static ルートをカスタマー側に向かうインターフェイスにプロビジョニングします。

RIP

RIP をカスタマー側に向かうインターフェイスにプロビジョニングします。

OSPF

OSPF をカスタマー側に向かうインターフェイスにプロビジョニングします。

Remove-BGP-
IpUnnumbered

BGP をカスタマー側に向かう IP 番号未指定インターフェイスから削除します。

マルチ VRF CE テンプレートの内容

この項では、マルチ VRF CE テンプレートの内容を示します。

MVCE-VRF

ip vrf < MultiCE-vrf-name >
rd < bgp-as-number > : < suffix >

Provider-Facing-Interface:

プロバイダー側に向かう番号指定インターフェイスの場合:NumberedInterface

interface < MultiCE-interface-name >
ip vrf forwarding < MultiCE-vrf-name >
ip address < MultiCE-interface-addr > < MultiCE-interface-mask >

プロバイダー側に向かう番号未指定インターフェイスの場合:UnnumberedInterface

interface < MultiCE-loopback-name >
ip vrf forwarding < MultiCE-vrf-name >
ip address < MultiCE-interface-address > < MultiCE-interface-mask >
interface < MultiCE-interface-name >
ip vrf forwarding < MultiCE-vrf-name >
ip unnumbered < MultiCE-loopback-name >

IP 番号未指定インターフェイスの場合、次のようにスタティック ルートを追加する必要があります。

ip route vrf < MultiCE-vrf-name > < #system.getAddr($PE-loopback-ip-address) >
< #system.getMask($PE-loopback-mask) >
< MultiCE-interface-name >

Provider-Facing-Routing:

プロバイダー側に向かう IP 番号指定インターフェイスを備えた BGP プロトコルの場合:BGP-ipNumbered

router BGP < autonomous-system-num >
address-family ipv4 vrf < MultiCE-vrf-name >
neighbor < PE-interface-ip-address > remote-as < PE-as-num >
redistribute < protocol-type >
exit-address-family

プロバイダー側に向かう IP 番号未指定インターフェイスを備えた BGP プロトコルの場合:BGP-ipUnnumbered

router BGP < autonomous-system-num >
address-family ipv4 vrf < MultiCE-vrf-name >
neighbor < PE-interface-ip-address > remote-as < PE-as-num >
neighbor < PE-interface-ip-address > ebgp-multihop
neighbor < PE-interface-ip-address > update-source < PE-loopback-name >
redistribute < protocol-type >
exit-address-family

番号未指定インターフェイスにスタティック ルートを追加する必要があります。

ip route vrf < CE-vrf-name > < PE-interface-ip-address > <PE-interface-mask >
< MultiCE-interface-name >

 

プロバイダー側に向かうインターフェイス上の IP 番号指定 、および IP 番号未指定の OSPF プロトコルの場合:OSPF

router OSPF < process-ID > vrf < MultiCE-vrf-name >
network < #system.getNetworkAddr($CE-interface-subnet) >
< #system.getReverseMask($CE-reverse-mask) > area < area-num >

 

プロバイダー側に向かうインターフェイス上の RIP の場合

router RIP
version 2
address-family ipv4 vrf < MultiCE-vrf-name >
network < #system.getNetworkAddr($MultiCE-interface-network-address) >
no auto-summary
exit-address-family

 

プロバイダー側に向かうインターフェイス上のスタティック ルートの場合

ip route vrf < CE-vrf-name > <#system.getNetworkAddr($PE-interface-subnet) >
< PE-interface-mask > < MultiCE-interface-name >

 

MVCE-VRF

ip vrf < CE-vrf-name >
rd < bgp-as-number > : < suffix >

Customer-Facing-Interface

カスタマー側に向かう番号指定インターフェイスの場合:NumberedInterface

interface < Customer-interface-name >
ip vrf forwarding < MultiCE-vrf-name >
ip address < Customer-interface-addr > < Customer-interface-mask >

 

カスタマー側に向かう番号未指定インターフェイスの場合:UnnumberedInterface

interface < MultiCE-loopback-name >
ip vrf forwarding < MultiCE-vrf-name >
ip address < MultiCE-interface-address > < MultiCE-interface-mask >
interface < MultiCE-interface-name >
ip vrf forwarding < MultiCE-vrf-name >
ip unnumbered < MultiCE-loopback-name >

IP 番号未指定インターフェイスの場合、次のようにスタティック ルートを追加する必要があります。

ip route vrf < CE-vrf-name > < Customer-loopback-ip-address > < Customer-loopback-mask >
<MultiCE-interface-name >

 

Customer-Facing-Routing

カスタマー側に向かう IP 番号指定インターフェイスを備えた BGP プロトコルの場合:BGP-ipNumbered

router BGP < autonomous-system-num >
address-family ipv4 vrf < MultiCE-vrf-name >
neighbor < Customer-interface-ip-address > remote-as < Customer-AS-num >
redistribute < protocol-type >
exit-address-family

カスタマー側に向かう IP 番号未指定インターフェイスを備えた BGP プロトコルの場合:BGP-ipUnnumbered

router BGP < autonomous-system-num >
address-family ipv4 vrf < MultiCE-vrf-name >
neighbor < Customer-interface-ip-address > remote-as < Customer-as-num >
neighbor < Customer-interface-ip-address > ebgp-multihop
neighbor < Customer-interface-ip-address > update-source < Customer-loopback-name >
redistribute < protocol-type >
exit-address-family

番号未指定インターフェイスにスタティック ルートを追加する必要があります。

ip route vrf < CE-vrf-name > < Cusetomer-interface-ip-address > <Customer-interface-mask >
< MultiCE-interface-name >

カスタマー側に向かうインターフェイス上の IP 番号指定、および IP 番号未指定の OSPF プロトコルの場合:OSPF

router OSPF < process-ID > vrf < MultiCE-vrf-name >
network < Customer-interface-subnet > < Customer-reverse-mask > area < area-num >

プロバイダー側に向かうインターフェイス上の RIP の場合

router RIP
version 2
address-family ipv4 vrf < MultiCE-vrf-name >
network < MultiCE-interface-network-address >
no auto-summary
exit-address-family

 

カスタマー側に向けられるインターフェイス上のスタティック ルートの場合

ip route vrf < MultiCE-vrf-name > < Customer-interface-ip-address >
< Customer-interface-mask >
< MultiCE-interface-name >