![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
解説書 Vol.1
IP-VPNでは各装置に収容されるVPNサイト間を論理的にマッピングすると,任意のプライベート・ネットワーク(VPN)を構築できます。各VPNサイトには他サイトとのマッピング情報を定義します(vpnmapコマンドのimport-targetおよびexport-target)。また,VPNサイトを収容するルータ間でBGPピアを形成して,VPN経路配信を指定します(bgpコマンドのipv4-vpnサブコマンド)。これらの設定によって,各サイトのVPN経路情報がマッピング情報とともに,BGP4でリモートのVPNサイトへ配信され,バックボーンをまたいだ他VPNサイトへのルーティングができるようになります。なお,VPN経路を配信するルータ間のBGPピアは内部ピア(インターナル・ピア,またはルーティング・ピア)でなければなりません。
- <この項の構成>
- (1) VPNサイト間のマッピング
- (2) VPNサイト間の通信制限
- (3) 複数のVPNに所属するVPNサイト
- (4) マルチホーム接続されたVPNサイト
- (5) エッジルータ内のVPNサイト間でのVPN経路配信
VPNサイト間のBGPピアで配信されるVPN経路情報には,配信元VPNサイトのマッピング情報に基づく拡張コミュニティ属性(ルート・ターゲット)が付与されます。受け入れ先のVPNサイトは,配信されたVPN経路情報の拡張コミュニティ属性,および,自VPNサイトのマッピング情報に基づいて,VPN経路情報を受け入れます。配信元および受け入れ先のVPNサイトが使用するマッピング情報は,コンフィグレーション(vpnmapコマンド)によってあらかじめ定義しておきます。VPNサイト間のマッピングの概念を次の図に示します。
図18-10 VPNサイト間マッピングの概念
この図で,VPNサイトを収容する各ルータ(本装置Aおよび本装置B)ではVPNサイトごとに受理するルート・ターゲット(vpnmapコマンドのimport-target),および付与するルート・ターゲット(vpnmapコマンドのexport-target)を定義します。本装置AのVPNサイトA1のVPN経路を本装置Bに広告時,各VPN経路にルート・ターゲット(b)を付与します。ルート・ターゲット(b)を持つVPN経路を受信した本装置BはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトB1に該当する経路を取り込みます。
逆に,本装置BからVPNサイトB1のVPN経路を広告時,本装置Bは広告するVPN経路にルート・ターゲット(a)を付与します。ルート・ターゲット(a)を持つVPN経路を受信した本装置AはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトA1に該当する経路を取り込みます。
これによって,本装置AのVPNサイトA1と本装置BのVPNサイトB1を一つのプライベート・ネットワークとして構築します。
- マッピングされないVPN経路の取り扱いについての注意事項
- 受信したVPN経路が自装置に収容するVPNサイトとマッピングされない場合でも該当する経路は装置内に保持されます。マッピングされないVPN経路を保持したくない場合は,bgpコマンドのkeep-none-vpnパラメータを指定してください。
拡張コミュニティ(ルート・オリジン)を使用すると,一つのプライベート・ネットワーク内で通信形態を制御できます。ルート・オリジンはVPN経路の生成元VPNサイトを識別するための拡張コミュニティで,コンフィグレーション(vpnmapコマンドのimport-originおよびexport-origin)によって,広告するVPN経路に対するルート・オリジンの付与,および受信したVPN経路に付与されたルート・オリジンに基づく受入制御ができます。VPNサイト間の通信制限の概念を次の図に示します。
図18-11 VPNサイト間の通信制限の概念
この図で,本装置A,本装置B,および本装置Cに収容される各VPNサイトが一つのプライベート・ネットワークを構築しているものとします。本装置AのVPNサイトAのVPN経路を本装置Bおよび本装置Cに広告時,各VPN経路にルート・オリジン(a)を付与します。ルート・オリジン(a)を持つVPN経路を受信した本装置Bおよび本装置CはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトBおよびVPNサイトCに該当する経路を取り込みます。
逆に,本装置B,および本装置CからVPNサイトB,CのVPN経路を広告時,本装置Bは広告するVPN経路にルート・オリジン(b)を,本装置Cはルート・オリジン(c)を付与します。ルート・オリジン(bまたはc)を持つVPN経路を受信した本装置AはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトAに該当する経路を取り込みます。しかし,本装置Bから本装置Cに広告されたVPN経路,または本装置Cから本装置Bに広告されたVPN経路は,VPN経路に付与されたルート・オリジンと受理するルート・オリジンが不一致のため,お互いのVPNサイトには受け入れられません。
これによって,本装置Bと本装置C間の通信を制限した一つのプライベート・ネットワークとして構築します。
一つのVPNサイトに対し,複数の受理するルート・ターゲット(vpnmapコマンドのimport-target)を登録すると,複数のプライベート・ネットワークに所属するVPNサイトを構築できます。ただし,各プライベート・ネットワークで重複するネットワークが存在してはいけません。複数のVPNに所属するVPNサイトの概念を次の図に示します。
図18-12 複数のVPNに所属するVPNサイトの概念
VPNサイトAとVPNサイトBで一つのプライベート・ネットワークを,VPNサイトAとVPNサイトCで別の一つのプライベート・ネットワークを構築するものとします。本装置AのVPNサイトAのVPN経路を本装置B,および本装置Cに広告時,各VPN経路にルート・ターゲット(a1およびa2)を付与します。ルート・ターゲット(a1およびa2)を持つVPN経路を受信した本装置B,および本装置CはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトB,およびVPNサイトCに該当する経路を取り込みます。VPN経路に付与されたルート・ターゲットのどれかが,定義された受理するルート・ターゲットのどれかに一致する場合,該当するVPN経路を受け入れます。
逆に,本装置B,または本装置CからVPNサイトB,またはVPNサイトCのVPN経路を広告時,本装置Bは広告するVPN経路にルート・ターゲット(a1)を,本装置Cはルート・ターゲット(a2)を付与します。ルート・ターゲット(bまたはc)を持つVPN経路を受信した本装置AはVPNマッピング情報を参照し,受け入れを許可されたVPNサイトAに該当する経路を取り込みます。VPN経路に付与されたルート・ターゲットのどれかが,定義された受理するルート・ターゲットのどれかに一致する場合,該当するVPN経路を受け入れます。しかし,本装置Bから本装置Cに広告されたVPN経路,または本装置Cから本装置Bに広告されたVPN経路は,VPN経路に付与されたルート・ターゲットと受理するルート・ターゲットが不一致のため,お互いのVPNサイトには受け入れられません。
これによって,複数のプライベート・ネットワークに所属するVPNサイトを構築します。
一つのVPNサイトに対し,複数のエッジルータからマルチホーム接続する場合,各エッジルータで「同一のEXPORT-ORIGIN(vpnmapコマンドのexport-origin)」を定義すると,ルーティング・ループ(あるVPNサイトから学習した経路をほかのエッジルータ経由で該当するVPNサイトに広告)を防止できます。マルチホーム接続されたVPNサイトでのルーティング・ループ防止の概念を次の図に示します。
図18-13 マルチホーム接続されたVPNサイトでのルーティング・ループ防止の概念
この図で,VPNサイト1は本装置Aと本装置Bでマルチホーム接続されているものとします。本装置AはVPNサイトAのVPN経路を本装置B,本装置Cおよび本装置Dに広告します。VPNサイト1のVPN経路を本装置Aより本装置Bが受信した場合,本装置BはVPNサイト1に該当する経路を広告する場合があります。これによって,VPNサイト1→本装置B→本装置Aで一時的にルーティング・ループが発生する場合があります。同様に,本装置Bから本装置Aに広告されるVPNサイトAのVPN経路は,VPNサイト1→本装置A→本装置Bで一時的にルーティング・ループが発生する場合があります。
ルーティング・ループを防止するためには,本装置AからVPNサイト1のVPN経路を広告時,各VPN経路にルート・オリジン(a)を付与します。ルート・オリジン(a)を持つVPN経路を受信した本装置BはVPNマッピング情報を参照し,自装置が付与するルート・オリジンと同一のルート・オリジンをVPN経路が持つ場合,該当するVPN経路を取り込みません。同様に,本装置Bから本装置Aに広告されるVPNサイトAのVPN経路は本装置Aには取り込みません。これによって,マルチホーム接続されたVPNサイトでのルーティング・ループを防止します。
(5) エッジルータ内のVPNサイト間でのVPN経路配信
VPN経路を配信するVPNサイトと受け入れるVPNサイトが,1台のエッジルータに収容されている場合,配信はBGP4のlocalピア(VPN経路内部配信ピア)によって行います。ルーティングピアグループ内にlocalピアの構成を定義し,VPN経路配信を指定してください(bgpコマンドのipv4-vpnサブコマンド)。そのほかの設定は,バックボーンをまたがるリモートサイトへのVPN経路配信と同様に行ってください。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.
![[図データ]](FIGURE/GR170800.GIF)
![[図データ]](FIGURE/GR170900.GIF)
![[図データ]](FIGURE/GR171000.GIF)
![[図データ]](FIGURE/GR171100.GIF)