このドキュメントでは、MPLS/VPN 環境でルート リークの設定例について説明します。
このドキュメントに関する固有の要件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。
このセクションでは、次の 2 つの設定例について説明します。
グローバル ルーティング テーブルから VPN routing/forwarding instance(VRF; ルーティング/フォワーディング インスタンス)へのルートの漏洩、および VRF からグローバル ルーティング テーブルへのルートの漏洩
異なる VRF 間でのルートの漏洩
注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
この設定では、グローバル ルーティング テーブルから VRF へのルートの漏洩と、VRF からグローバル ルーティング テーブルへのルートの漏洩について説明します。
この設定では、次のネットワーク設定を使用します。
この例では、グローバル ルーティング テーブルから、VRF にあるネットワーク管理システム(NMS)ステーションにアクセスしています。プロバイダーエッジ(PE)ルータとプロバイダー(P)ルータは、VRF内のNMSステーション(10.0.2.2)にnetflow情報をエクスポートする必要があります。10.0.2.2には、PE-4上のVRFインターフェイスを介して到達できます。
グローバル テーブルから 10.0.2.0/30 にアクセスするには、VRF インターフェイスに向かう 10.0.2.0/30 へのスタティック ルートを PE-4 に導入します。このスタティック ルートは Interior Gateway Protocol(IGP)を通じてすべての PE および P ルータへ再配布されます。これによって、すべての PE ルータと P ルータが PE-4 経由で 10.0.2.0/30 に到達できるようになります。
スタティックな VRF ルートも追加されます。スタティックな VRF ルートは、この NMS 端末にトラフィックを送信するグローバル ネットワーク内のサブネットを指します。この追加がない場合、PE-4は、VRFインターフェイスで受信されるNMSステーションからのトラフィックをドロップし、PE-4はNMSステーションにICMP: host unreachable rcvメッセージを送信します。
このセクションでは、次の設定を使用します。
PE-4 |
---|
! ip cef ! ip vrf vpn2 rd 200:1 route-target export 200:1 route-target import 200:1 ! interface Serial1/0 ip address 10.1.2.5 255.255.255.252 no ip directed-broadcast ! interface Serial2/0 ip vrf forwarding vpn2 ip address 10.0.2.1 255.255.255.0 no ip directed-broadcast ! ip classless ip route 10.0.2.0 255.255.255.252 Serial2/0 ip route vrf vpn2 10.1.2.4 255.255.255.252 Serial1/0 ! |
ここで、スタティック ルートをあらゆる IGP に再配布して、ネットワーク全体にアナウンスされるようにすることができます。VRF インターフェイスが LAN インターフェイス(イーサネットなど)の場合も、同様な設定を適用できます。 この場合の正確な設定コマンドは次のとおりです。
ip route 10.0.2.0 255.255.255.252 Ethernet2/0 10.0.2.2
注:インターフェイス名の後に設定されるIPアドレスは、解決するアドレスを知るためにアドレス解決プロトコル(ARP)でのみ使用されます。
注:4500シリーズスイッチでは、それぞれのネクストホップアドレスについてVRFテーブルでスタティックARPエントリを設定する必要があります。
注:Cisco IOS®ソフトウェアは、デフォルトで、設定に従ってスタティックVRFルートを受け入れます。このことは、異なる VRF 間でのルートの漏洩を招く場合があるため、セキュリティが危うくなる可能性があります。このようなスタティック VRF ルートの導入を防ぐには、no ip route static inter-vrf コマンドを使用します。no ip route static inter-vrf コマンドの詳細については、『MPLS バーチャル プライベート ネットワーク(VPN)』を参照してください。
このセクションでは、設定が正常に動作しているかどうかを確認するための情報について説明します。
特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。
show ip route 10.0.2.0:指定した IP アドレスのルーティング エントリを表示します。
show ip route vrf vpn2 10.1.2.4:指定したIPアドレスのVRFルーティングエントリを表示します。
PE-4# show ip route 10.0.2.0 Routing entry for 10.0.2.0/30 Known via "static", distance 1, metric 0 (connected) Routing Descriptor Blocks: * directly connected, via Serial2/0 Route metric is 0, traffic share count is 1 PE-4# show ip route vrf vpn2 10.1.2.4 Routing entry for 10.1.2.4/30 Known via "static", distance 1, metric 0 (connected) Redistributing via bgp 1 Advertised by bgp 1 Routing Descriptor Blocks: * directly connected, via Serial1/0 Route metric is 0, traffic share count is 1
この設定では、異なる VRF 間でのルートの漏洩について説明します。
この設定では、次のネットワーク ダイアグラムを使用します。
2つのスタティックルートを設定して、各プレフィックスをVRF間でアドバタイズすることはできません。この方法はサポートされておらず、パケットはルータによってルーティングされないためです。VRF 間でのルートの漏洩を実現するには、ルートターゲットのインポート機能を使用して、ルータ上で Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)を有効にする必要があります。BGP ネイバーは不要です。
このセクションでは、次の設定を使用します。
PE-4 |
---|
! ip vrf vpn1 rd 100:1 route-target export 100:1 route-target import 100:1 route-target import 200:1 ! ip vrf vpn2 rd 200:1 route-target export 200:1 route-target import 200:1 route-target import 100:1 ! interface Serial1/0 ip vrf forwarding vpn1 ip address 10.1.2.5 255.255.255.252 no ip directed-broadcast ! interface Serial2/0 ip vrf forwarding vpn2 ip address 10.0.2.1 255.255.255.0 no ip directed-broadcast router bgp 1 ! address-family ipv4 vrf vpn2 redistribute connected ! address-family ipv4 vrf vpn1 redistribute connected ! |
このセクションでは、設定のトラブルシューティングを行うための情報について説明します。
特定の show コマンドは、Output Interpreter Tool(登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。
show ip bgp vpnv4 all:BGPから学習したすべてのVPNv4プレフィクスを表示します。
PE-4# show ip bgp vpnv4 all BGP table version is 13, local router ID is 7.0.0.4 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop Metric LocPrf Weight Path Route Distinguisher: 100:1 (default for vrf vpn1) *> 10.0.2.0/24 0.0.0.0 0 32768 ? *> 10.1.2.4/30 0.0.0.0 0 32768 ? Route Distinguisher: 200:1 (default for vrf vpn2) *> 10.0.2.0/24 0.0.0.0 0 32768 ? *> 10.1.2.4/30 0.0.0.0 0 32768 ?
注:VRF間でルートを漏洩するもう1つの方法は、PE-4ルータ上の2つのイーサネットインターフェイスを接続し、各イーサネットインターフェイスをいずれかのVRFに関連付けることです。VRF テーブルでは、それぞれのネクスト ホップ アドレスに対して、スタティックな ARP エントリを設定する必要があります。ただし、これはVRF間のルート漏出に対する推奨されるソリューションではありません。前述のBGPテクニックが推奨されるソリューションです。
現在、この設定に関する特定のトラブルシューティング情報はありません。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
09-Jan-2004 |
初版 |