Cisco Unified Border Element(SP Edition)コンフィギュレーション ガイド:統合モデル
Cisco Unified Border Element (SP Edition)でのマルチ VRF の実装
Cisco Unified Border Element(SP Edition)でのマルチ VRF の実装
発行日;2012/07/12 | 英語版ドキュメント(2012/03/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Unified Border Element(SP Edition)でのマルチ VRF の実装

内容

前提条件:multi-VRF の実装

マルチ VRF の実装の概要

マルチ VRF の実装

SIP 隣接と VRF との関連付け

VRF による DBE の構成:分散モデル限定

マルチ VRF 実装の設定例

VRF による SBC 統合モデルの設定:例

マルチ VRF の設定:例

SIP 隣接と VRF との関連付け:例

マルチ VRF を使用した DBE の設定(分散モデル限定):例

トンネル インターフェイスでの SBC 音声トラフィックのサポート

Cisco Unified Border Element(SP Edition)でのマルチ VRF の実装

Cisco Unified Border Element(SP Edition)は、カスタマー エッジ(CE)デバイスの Multi-VPN Routing and Forwarding(VRF; VPN ルーティング/転送)をサポートします。この機能によって、プロバイダー エッジ(PE)チェックを抑制して、PE がパケットを相互再配布するときのループを防止できます。


) VRF は DBE メディア アドレスと SBE AAA/H248 制御アドレスだけでサポートされています。DBE H248 制御アドレスは VRF をサポートしていません。


Cisco Unified Border Element(SP Edition)は、以前は Integrated Session Border Controller と呼ばれており、このマニュアルでは通常 Session Border Controller(SBC; セッション ボーダー コントローラ)と呼びます。

本章で使用されているコマンドの詳細な説明については、次の場所にある『 Cisco Unified Border Element (SP Edition) Command Reference: Unified Model 』を参照してください。

http://www.cisco.com/en/US/docs/ios/sbc/command/reference/sbcu_book.html

すべての Cisco IOS コマンドの詳細については、http://tools.cisco.com/Support/CLILookup にある Command Lookup Tool を使用するか、Cisco IOS マスター コマンド リストを参照してください。


) Cisco IOS XE Release 2.4 では、この機能は統合モデルと分散モデルの両方でサポートされています。


Cisco Unified Border Element(SP Edition)でのマルチ VRF の実装機能履歴

 

リリース
変更内容

Cisco IOS XE Release 2.4

この機能は、Cisco ASR 1000 シリーズ ルータで導入されました。

Cisco IOS XE Release 3.2S

トンネル インターフェイス(GRE、IPSec、MPLS、TE トンネル、BBA)での SBC 音声トラフィックのサポートが Cisco ASR 1000 シリーズ ルータで導入されました。

前提条件:multi-VRF の実装

Cisco Unified Border Element(SP Edition)でマルチ VRF を実装するには、次の前提条件を満たす必要があります。

マルチ VRF を実装する前に、Cisco Unified Border Element(SP Edition)をあらかじめ構成しておく必要があります。

マルチ VRF の実装の概要

Cisco Unified Border Element(SP Edition)は、顧客施設内のルータなど、カスタマー エッジ(CE)デバイスのマルチ VRF をサポートし、PE がパケットを相互再配布するときのループを防止するために必要な PE チェックを抑制する機能を提供します。マルチ VRF では、1 台だけのルータを使用して、通常であれば複数のルータが実行するタスクを完了できます。MPLS および BGP の要件をインストールせずに、ネットワーク上で稼動します。

VRF を PE 以外のルータで使用すると、チェックはオフになり、IP プレフィクスへの経路を使用して VRF ルーティング テーブルを正しく入力できます。また、バーチャル プライベート ネットワーク(VPN)機能は低エンド システムでは完全にサポートされていないため、マルチ VRF が重要になります。マルチ VRF は、インプリケーション アドレス スペースによって、1 台のルータ内でルーティング インスタンスを論理的に区切ります。

次に、マルチ VRF の機能の概要を説明します。

1 台の物理ルータを複数の仮想ルータに分割し、各ルータに独自のインターフェイスのセット、ルーティング テーブル、およびルーティング テーブルを含めることができます。Cisco Unified Border Element(SP Edition)は、顧客ごとに複数(重複および独立)のルーティング テーブル(アドレス指定)をサポートします。仮想ルーティング コンテキストを使用して、1 台のルータ内のルーティング ドメインを区切ります。

複数のルータが必要で、利用可能なルータが 1 台だけの場合に、マルチ VRF を使用できます。

マルチ VRF を使用している場合は、Domain Name Server(DNS; ドメイン ネーム サーバ)問い合せは VRF ごとに行われます。

1 つの物理インターフェイスは、サブインターフェイス(フレーム リレー、ATM、VLAN)を使用することで、複数の仮想ルータに属することができます。

BGP と MPLS は使用されません。

VRF 間の接続は提供されません(VRF 間での内部エクスポートおよびインポートの場合には、BGP を使用する必要があります)。

同じ VPN サイトの 2 つのエンドポイント間で通話が発生する場合は、Cisco Unified Border Element(SP Edition)がエンドポイント間で直接メディアをルーティングして、ネットワーク利用度を低減できます。

両方のエンドポイントが同じ VPN 上にある場合は、メディア バイパスをオンにすることで、Cisco Unified Border Element(SP Edition)のマルチ VRF は最適化を提供します。

アクティブな SBC によって使用される SBC インターフェイスから VRF が削除されても、IP アドレスは、SBC によって自動的には削除されません。ユーザは、SBC が非アクティブ化されたときに IP アドレスを手動で削除する必要があります。

Cisco IOS XE Release 2.4 の場合、デフォルトでは同じ VPN 上のすべての隣接でメディア バイパスが有効になっています。 media-bypass-forbid コマンド(このコマンドは CAC ポリシー専用に実装されています)を使用すると、メディア バイパスをオフにできます。


) 隣接の下の vrf 名はコンテキスト名と一致していなければなりません。


マルチ VRF の実装

マルチ VRF の実装については、次の章で説明します。

「SIP 隣接と VRF との関連付け」

「VRF による DBE の構成:分散モデル限定」

SIP 隣接と VRF との関連付け

このタスクでは、SIP 隣接を VPN と関連付けます。


) 隣接が特定の VRF に割り当てられるときには、signalling-address や remote-address などの隣接に関係するすべてのアドレスも VRF 内でルーティング可能でなければなりません。


手順の概要

1. adjacency sip adjacency-name

2. vrf vrf_name

3. signaling-address ipv4 local_signaling_IP_address

4. signaling-port port_num

5. remote-address ipv4 local_signaling_IP_address/prefix

6. local-id host name

7. signaling-peer peer_address

8. signaling-peer-port port_num

9. account account-name

10. media-bypass (任意)

11. media-bypass-forbid

12. attach

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

adjacency sip adjacency-name

 

Router(config-sbc-sbe)# adjacency sip sip_vrf1

Router(config-sbc-sbe-adj-sip)#

SBE SIP 隣接のモードを開始します。

adjacency-name 引数を使用して、サービスの名前を定義します。

ステップ 2

vrf vrf_name

 

Router(config-sbc-sbe-adj-sip)# vrf my_vrf1

SIP 隣接を特定の VPN に関連付けます。

(注) 隣接の下の vrf 名はコンテキスト名と一致していなければなりません。

ステップ 3

signaling-address ipv4 ipv4_IP_address

 

Router(config-sbc-sbe-adj-sip)# signaling-address ipv4 88.88.88.88

SIP 隣接のローカル IPv4 シグナリング アドレスを指定します。

ステップ 4

signaling-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-port 5060

SIP 隣接のローカル シグナリング ポートを指定します。

ステップ 5

remote-address ipv4 remote_IP_address/prefix

 

Router(config-sbc-sbe-adj-sip)# remote-address ipv4 10.10.101.4 255.255.255.255

隣接を通じてコンタクトされる一連のリモート シグナリング ピアを、特定の IP アドレス プレフィクスを持つものに限定します。

ステップ 6

local-id host address

 

Router(config-sbc-sbe-adj-sip)# local-id host 88.88.101.11

SIP 隣接のローカル識別名を設定します。

ステップ 7

signaling-peer peer_address

 

Router(config-sbc-sbe-adj-sip)# signaling-peer 10.10.101.4

SIP 隣接が使用するリモート シグナリング ピアを指定します。

ステップ 8

signaling-peer-port port_num

 

Router(config-sbc-sbe-adj-sip)# signaling-peer-port 5060

SIP 隣接が使用するリモート シグナリング ピア ポートを指定します。

ステップ 9

account account_name

 

Router(config-sbc-sbe-adj-sip)# account sip-vrf1

SIP 隣接を SBE のアカウントに所属しているものとして定義します。

ステップ 10

media-bypass

 

Router(config-sbc-sbe-adj-sip)# media-bypass

(任意)メディア トラフィックが DBE をバイパスできるように隣接を設定します。

このコマンドは任意であり、1 つの隣接だけで動作します。

ステップ 11

media-bypass-forbid

 

Router(config-sbc-sbe-adj-sip)# media-bypass-forbid

(任意)メディア トラフィックによる DBE バイパスを禁止するように SIP 隣接を設定します。

設定されていない場合は、この隣接で開始および終了する通話のメディア トラフィックはエンドポイント間を直接フローし、両方の隣接が同じ VPN にある限りは DBE を経由しません。

ステップ 12

attach

 

Router(config-sbc-sbe-adj-sip)# attach

隣接をアタッチします。

VRF による DBE の構成:分散モデル限定

このタスクでは、分散モデルで VRF を使用して DBE を構成します。

手順の概要

1. configure

2. sbc sbc-name dbe

3. vdbe global

4. unexpected-source-alerting

5. local-port abcd

6. control-address h248 ipv4 A.B.C.D

7. controller h248 controller-index

8. remote-address ipv4 remote-address

9. remote-port [port-num]

10. transport [ udp | tcp ]

11. attach-controllers

12. media-address pool ipv4 A.B.C.D E.F.G.H vrf vrfname

13. media-timeout timeout

14. overload-time-threshold time

15. deactivation-mode

16. activate

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

configure

 

Router# configure

コンフィギュレーション モードにアクセスします。

ステップ 2

sbc sbc-name dbe

 

Router(config)# sbc mySbc

SBC 上で DBE サービスを作成し、SBC-DBE コンフィギュレーション モードを開始します。

ステップ 3

vdbe [global]

 

 

 

Router(config-sbc-dbe)# vdbe

vDBE コンフィギュレーション サブモードを開始します。

(注) 初期のリリースでは、vDBE(グローバル vDBE)だけがサポートされています。vdbe 名は必要ありません。指定する場合は、グローバルでなければなりません。

ステップ 4

unexpected-source-alerting

 

Router(config-sbc-dbe-vdbe-global)# unexpected-source-alerting

予期しない送信元アドレスのアラーティングを設定します。

このコマンドの no 形式を使用すると、受信する予期しない送信元アドレスのアラーティングを削除します。

ステップ 5

local-port {abcd}

 

Router(config-sbc-dbe)# local-port 5090

特定のローカル ポートを使用するように DBE を設定します。

ステップ 6

control-address h248 ipv4 A.B.C.D

 

Router(config-sbc-dbe)# control-address h248 ipv4 10.0.0.1

特定の IPv4 H.248 制御アドレスを使用するように DBE を設定します。

(注) 制御アドレスは VRF にあり、グローバル アドレス テーブルでルーティング可能でなければなりません。

ステップ 7

controller h248 controller-index

 

Router(config-sbc-dbe)# controller h248 1

DBE の H.248 コントローラを指定し、コントローラ H.248 コンフィギュレーション モードを開始します。

ステップ 8

remote-address ipv4 remote-address

 

Router(config-sbc-dbe-vdbe-h248)# remote-address ipv4 1.1.1.1

H.248 コントローラの IPv4 リモート アドレスを設定します。

ステップ 9

remote-port [port-num]

 

Router(config-sbc-dbe-h248)# remote-port 2094

H.248 コントローラの SBE 上に接続するポートを定義します。

ステップ 10

transport udp

 

Router(config-sbc-dbe-h248)# transport udp

H.248 コントロール シグナリングのユーザ データグラム プロトコル(UDP)を使用する DBE を設定します。

ステップ 11

attach-controllers

 

Router(config-sbc-dbe)# attach-controllers

H.248 コントローラに接続する DBE を設定します。

ステップ 12

media-address pool ipv4 A.B.C.D E.F.G.H vrf vrfname

 

Router(config-sbc-dbe)# media-address pool ipv4 10.10.10.1 10.10.10.20 vrf my_vrf1

特定の VRF インスタンスに関連付けられた IPv4 アドレスのシーケンシャル IPv4 メディア アドレスのプールを作成します。

(注) 隣接の下の vrf 名はコンテキスト名と一致していなければなりません。

ステップ 13

media-timeout timeout

 

Router(config-sbc-dbe)# media-timeout 10

通話で最後のメディア パケットを受信してから、通話リソースをクリーンアップするまでの間の DBE の最大待機時間を設定します。

ステップ 14

overload-time-threshold time

 

Router(config-sbc-dbe)# overload-time-threshold 400

Media Gateway(MG; メディア ゲートウェイ)過負荷制御検出のしきい値を設定します。

ステップ 15

deactivation-mode normal

 

Router(config-sbc-dbe)# deactivation-mode normal

SBC の DBE がサービス変更の信号を送り、DBE サービスが無効になった時点で、すべての通話を終了するように指定します。

ステップ 16

activate

 

Router(config-sbc-dbe)# activate

SBC サービスを開始します。

マルチ VRF 実装の設定例

ここでは、次の設定例について説明します。

「VRF による SBC 統合モデルの設定:例」

「マルチ VRF の設定:例」

「SIP 隣接と VRF との関連付け:例」

「マルチ VRF を使用した DBE の設定(分散モデル限定):例」

VRF による SBC 統合モデルの設定:例

SBC 隣接アドレスにトラフィックがルーティングされるように Cisco ASR 1000 シリーズ ルータを設定できます。これは、ルータ上に VRF インスタンスを作成することで実現できます。

次の例では、VLAN トランクを使用して、トラフィックを SBC に入れています。この例では、100.0.0.0/24 ネットワークから 12.0.0.0/24 ネットワークにトラフィックをルーティングするように VRF を作成しています。ここでは、SIP シグナリング アドレスとメディア アドレスは特定の SBC 接続のために存在しています。

VRF の使用中は必ず interface sbc コマンドが必要です。メディア IP アドレスがシグナリング アドレスと異なる場合は、セカンダリ IP アドレスを定義する必要があります。ただし、この場合は、セカンダリ IP アドレスは、media-address ipv4 コマンドを使用したときに自動的に追加されます。手動で入力してはなりません。

 
vrf definition cust100side // Create a VRF instance
!
address-family ipv4
exit-address-family
interface SBC100 // Create an interface in the VRF space
vrf forwarding cust100side
ip address 12.0.0.30 255.255.255.0 secondary // This contains the IP address for the
// media, if different to the signaling
// address. The line is not entered, but
// appears automatically after the DBE
// configuration is entered (see
// ‘media-address’ CLI later.)
ip address 12.0.0.20 255.255.255.0 // This is the SIP adjacency address
 
interface GigabitEthernet0/1/0
no ip address
media-type sfp
negotiation auto
 
interface GigabitEthernet0/1/0.100 // VLAN identifier 100 defined here
vrf forwarding cust100side
encapsulation dot1Q 100
ip address 100.0.0.1 255.255.255.0 // This IP is where the remote side or external
// router can send traffic to, in order to get
// to the internal 12.0.0.0/24 network
 
interface GigabitEthernet0/1/0.200 // Other VLANS that are being trunked.
vrf forwarding cust200side
encapsulation dot1Q 200
ip address 200.0.0.1 255.255.255.0
 
sbc ted
sbe
adjacency sip adj_cust100
vrf cust100side
...
signaling-address 12.0.0.20 // This is the local address where call traffic
// will get routed to/from
remote-address ipv4 100.0.0.14 // This is an address for the remote side, where
// traffic will be routed
...
attach
...
media-address ipv4 12.0.0.30 vrf cust100side // The media address is also on the
// internal network. When the line
// is entered, the interface SBC
// will show a secondary address
// containing this IP address.
activate
 

 

マルチ VRF の設定:例

この例では、Service Virtual Interface(SVI; サービス仮想インターフェイス)と隣接を追加して、VPN を関連付ける方法について示します。

1. ルート プロセッサ(RP)上で vrf my_vrf1 に関連付けられたライン カード インターフェイスを設定します。

vrf definition my_vrf1
rd 55:1111
!
address-family ipv4
exit-address-family
!

2. ルート プロセッサ上で vrf、my_vrf1 に関連付けられたライン カード インターフェイスを設定します。

interface GigabitEthernet1/3
description ''Connected to CAT-3550-101 Fa 0/13 vlan919''
ip address 10.122.3.3 255.255.255.0
 
interface GigabitEthernet1/3.99
encapsulation dot1q 99
vrf forwarding my_vrf1
ip address 10.122.3.3 255.255.255.0
!
 

3. メディア アドレス プールを設定します。

media-address pool ipv4 88.88.101.12 88.88.101.15 vrf my_vrf1 activate
 

SIP 隣接と VRF との関連付け:例

この設定では、VPN に関連付けられた SIP 隣接を作成する例を示します。

ip route 10.10.0.0 255.255.0.0 101.101.101.100 ip route 20.20.20.0 255.255.255.0 101.101.101.4
 
domain default-domain
 
sbc mysbc
sbe
adjacency sip 7200-1
vrf my_vrf1
inherit profile preset-core
preferred-transport udp
redirect-mode pass-through
authentication nonce timeout 300
signaling-address ipv4 101.101.101.3
signaling-port 5061
remote-address ipv4 0.0.0.0 0.0.0.0
signaling-peer 101.101.101.5
signaling-peer-port 5060
account sip-core
attach
adjacency sip 7200-2
vrf my_vrf1
inherit profile preset-access
preferred-transport udp
redirect-mode pass-through
authentication nonce timeout 300
signaling-address ipv4 101.101.101.3
signaling-port 5060
remote-address ipv4 0.0.0.0 0.0.0.0
signaling-peer 101.101.101.4
signaling-peer-port 5060
account sip-core
attach
adjacency sip 7200-3
vrf my_vrf1
nat force-on
inherit profile preset-core
preferred-transport udp
redirect-mode pass-through
authentication nonce timeout 300
signaling-address ipv4 101.101.101.3
signaling-port 5063
remote-address ipv4 0.0.0.0 0.0.0.0
signaling-peer 101.101.101.5
signaling-peer-port 5063
account sip-core
reg-min-expiry 3000
attach
sip inherit profile preset-standard-non-ims
 
retry-limit 3
 
call-policy-set 1
first-call-routing-table invite-table
first-reg-routing-table start-table
rtg-src-adjacency-table invite-table
entry 1
action complete
dst-adjacency 7200-2
match-adjacency 7200-3
entry 2
action complete
dst-adjacency 7200-3
match-adjacency 7200-2
rtg-src-adjacency-table start-table
entry 1
action complete
dst-adjacency 7200-1
match-adjacency 7200-2
entry 2
action complete
dst-adjacency 7200-2
match-adjacency 7200-1
complete
active-call-policy-set 1
 
network-id 2
 
sip max-connections 2
sip timer
tcp-idle-timeout 120000
tls-idle-timeout 3600000
udp-response-linger-period 32000
udp-first-retransmit-interval 500
udp-max-retransmit-interval 4000
invite-timeout 180
 
blacklist
global
redirect-limit 2
deactivation-mode normal
activate
 
media-address ipv4 101.101.101.160 vrf my_vrf1 port-range 11000 20000 any
location-id 0
media-timeout 30
deactivation-mode normal
activate
 
 

マルチ VRF を使用した DBE の設定(分散モデル限定):例

分散モードで Cisco Unified Border Element(SP Edition)が稼動しているときにマルチ VRF を使用する場合は、設定と対応する H.248 メッセージの両方が VRF を認識させる必要があります。

次の構成例では、特定の VRF に関連付けられたメディア プールを作成します。このメディア プールは、特定の VRF のメディア アドレスを割り当てるためにだけ使用できます。また、異なる VRF もしくはグローバル アドレス スペースのアドレスと重複させることができます。

 
vrf definition moon
vpn id 22AA:33334411
!
interface SBC1
ip vrf forwarding moon
ip address 90.0.0.1 255.0.0.0
!
 
sbc global dbe
vdbe global
h248-version 3
h248-napt-package napt
local-port 2979
control-address h248 ipv4 200.50.1.9
controller h248 1
remote-address ipv4 200.50.1.254
remote-port 2979
attach-controllers
location-id 1
media-address ipv4 90.0.0.1 vrf moon
port-range 10000 20000 any
 
activate
!

 

H.248 設定は、H.248 パッケージ/Extended VPN Discrimination/(EVPND)で指定されます。このパッケージには、メディア アドレスが属する VRF を指定するための GVPNID と VRF_NAME という 2 つのメソッドがあります。これらのパラメータは相互に排他的ですが、各サイドで独立しています。たとえば、サイド A は VRF_NAME メソッドを使用して VRF を指定し、サイド B は GVPNID メソッドを使用できます。

VRF_NAME は引用された ASCII ストリングで、設定の VRF の名前に対応します。次の例では、名前を「moon」とします。

M {
TS { SI = IV },
ST = 1 {
O { MO = IN,
EVPND/VRF_NAME = "moon"
},
R {
v=0
c=IN IP4 3.0.0.3
m=application 5000 udp 0
},
L {
v=0
c=IN IP4 $
m=application $ udp 0
}
}
}

 

GVPNID は RFC2685 形式の VRF の識別番号です。これは、次のように、設定で指定されます。

 
vrf definition moon
vpn id 22AA:33334411
!

 

H.248 形式は次のように指定されます。

M {
TS { SI = IV },
ST = 1 {
O { MO = IN,
EVPND/GVPNID = 22AA33334411
},
R {
v=0
c=IN IP4 3.0.0.3
m=application 5000 udp 0
},
L {
v=0
c=IN IP4 $
m=application $ udp 0
}
}
}

トンネル インターフェイスでの SBC 音声トラフィックのサポート

Cisco IOS XE Release 3.2S より前の Cisco IOS XE リリースでは、トンネル インターフェイス上の SBC トラフィックはサポートされていませんでした。Cisco IOS XE Release 3.2S はトンネル インターフェイス上の SBC トラフィックをサポートします(PPPoE、GRE、MPLS-TE、IPsec SVTI または DVTI、DMVPN)。次のトポロジ図(図 1図 2)では、トンネル インターフェイスで SBC 音声トラフィックがサポートされるブロードバンド環境への展開シナリオとトンネリング インターフェイス シナリオを示します。

図 1 SBC トラフィックをサポートするブロードバンド環境トポロジ

 

図 2 SBC トラフィックをサポートする IPSec トンネル展開トポロジ