マルチポイント GRE トンネルを使用したダイ ナミック レイヤ 3 VPN

マルチポイント GRE トンネルを使用したダイナミックレイヤ 3 VPN では、IP ネットワークで使用さ れる拡張 multipoint Generic Routing Encapsulation（mGRE）トンネリングテクノロジーに基づいて、

Layer 3（L3; レイヤ 3）トランスポートメカニズムが提供されます。ダイナミックレイヤ 3 トンネリ ングトランスポートは、IP ネットワーク内で使用でき、Virtual Private Network（VPN; バーチャルプ

ライベートネットワーク）トラフィックがサービスプロバイダーおよび企業ネットワークに転送され、

IP および Multiprotocol Label Switching（MPLS; マルチプロトコルラベルスイッチング）VPN 間の

パケット転送の相互運用性も提供されます。この機能では、企業ネットワーク向けの IP バックボーン サービスのアウトソーシングを定義した RFC 2547 がサポートされます。

機能情報の確認

お使いのソフトウェアリリースが、このモジュールで説明されている機能の一部をサポートしていな いことがあります。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリースノートを参照してください。このモジュールで説明される機能に関する情 報、および各機能がサポートされるリリースの一覧については、「mGRE トンネル機能付きの Dynamic L3 VPN の機能情報」（P.22）を参照してください。

プラットフォームサポートと Cisco IOS および Catalyst OS ソフトウェアイメージサポートに関する 情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、

http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

この章の構成

• 「mGRE トンネル機能付きの Dynamic L3 VPN の前提条件」（P.2） • 「mGRE トンネル機能付きの Dynamic L3 VPN の制約事項」（P.2） • 「mGRE トンネル機能付きの Dynamic L3 VPN について」（P.2） • 「L3 VPN mGRE トンネルの設定方法」（P.4） • 「mGRE トンネルを使用した Dynamic L3 VPN サポートの設定例」（P.18） • 「その他の参考資料」（P.20）

• 「mGRE トンネル機能付きの Dynamic L3 VPN の機能情報」（P.22）

mGRE

トンネル機能付きの

_{Dynamic L3 VPN}

の前提条件

マルチポイント GRE トンネルを使用したダイナミックレイヤ 3 VPN を設定する前に、使用する MPLS VPN が設定され、適切に動作していることを確認します。MPLS VPN の設定については、 「Configuring MPLS Layer 3 VPNs」を参照してください。

mGRE

トンネル機能付きの

_{Dynamic L3 VPN}

の制約事項

• 単一ネットワーク内で IP/GRE および MPLS カプセル化の両方を使用した MPLS VPN の展開は、 サポートされません。

• 各 Provider Edge（PE; プロバイダーエッジ）ルータでは、1 つのトンネル設定のみがサポートさ れます。

mGRE

トンネル機能付きの

Dynamic L3 VPN

について

mGRE トンネルを設定して、IP バックボーンをオーバーレイするマルチポイントトンネルネットワー クを作成できます。このオーバーレイによって、VPN トラフィックを転送するために各 PE ルータ同 士が接続されます。 さらに、MPLS VPN を mGRE を介して設定すると、標準ベースの IP コアを使用して、L3 PE ベース の VPN サービスを導入できます。これにより、オーバーレイ方式を使用しないで VPN サービスをプ ロビジョニングできます。MPLS VPN over mGRE が設定されると、システムでは、PE 間の VPN ラベ ル IPv4 および IPv6 パケットのカプセル化に IPv4 ベースの mGRE トンネルが使用されます。 ここでは、次のトピックについて説明します。 • 「レイヤ 3 mGRE トンネル」（P.2）

レイヤ

_{3 mGRE}

トンネル

mGRE トンネルを設定することによって、IP バックボーンに対するオーバーレイとして、マルチポイ ントトンネルネットワークを作成します。このオーバーレイによって、PE ルータが相互接続され、 バックボーンを介して VPN トラフィックが転送されます。このマルチポイントトンネルネットワー

クでは、Border Gateway Protocol（BGP; ボーダーゲートウェイプロトコル）を使用して PE ルータ間

で VPNv4 ルーティング情報が配信され、サービスプロバイダーまたは企業ネットワークおよびカスタ マーサイトとの間のピア関係が維持されます。BGP VPNv4 でアドバタイズされるネクストホップに より、トンネルエンドポイントの検出がトリガーされます。この機能によって、1 つのサービスプロ バイダーの入力 PE ルータから、異なるサービスプロバイダーサイトの出力 PE ルータへ、直接トンネ ルされるトラフィックが使用されて、連結 VPN サービスと相互動作する機能が、複数のサービスプロ バイダーに提供されます。 VPN 転送機能に加え、mGRE トンネルでは、フルメッシュトポロジが作成され、複数のカスタマー サイトの相互接続に使用されていたポイントツーポイントトンネルのフルメッシュに関連していた以 前の管理と操作の負荷が、軽減されます。設定の要件は飛躍的に軽減され、最小限の追加設定でネット ワークを使用できます。

Dynamic L3 トンネルによって、VPN の部分メッシュまたはフルメッシュが作成される場合に、さま ざまな規模に対して提供されます。新しいルータのみを設定する必要があるため、新しいリモート VPN ピアを追加する方法が簡素化されます。新しいアドレスは動的に認識され、ネットワークのノー ドに送信されます。ダイナミックルーティング機能によって、VPN のすべてのルータで必要な設定の サイズが飛躍的に削減されます。たとえば、マルチポイントトンネルの使用では、1 つのトンネルイ ンターフェイスのみを多数の VPN サービスを提供する PE に設定する必要があります。L3 mGRE トン ネルは、PE ルータにのみ設定する必要があります。GRE で使用可能な機能は、mGRE でも使用でき

ます。使用できる機能には、mGRE/Next Hop Routing Protocol（NHRP）トンネルトラフィックのダ イナミック IP ルーティング、IP マルチキャストおよび Cisco Express Forwarding（CEF; シスコエク

スプレスフォワーディング）スイッチングが含まれます。 ここでは、mGRE トンネルの使用方法について説明します。 • 「IP ネットワーク内でのプロバイダーエッジルータの相互接続」（P.3） • 「IP ネットワークと MPLS ネットワークとの間のパケット転送」（P.4） • 「BGP ネクストホップの確認」（P.4）

IP

ネットワーク内でのプロバイダー

エッジ

ルータの相互接続

マルチポイント GRE トンネルを使用したダイナミックレイヤ 3 VPN を使用すると、マルチアクセス トンネルネットワークを作成し、IP ネットワークにサービスを提供する PE ルータを相互接続するこ とができます。このトンネルネットワークでは、すべての PE ルータに IP VPN トラフィックが転送さ れます。図 1に、PE ルータ間で VPN トラフィックを転送する IP ネットワークで使用されるトンネル オーバーレイネットワークを示します。 図 1 IP ネットワーク間で PE ルータを接続する mGRE トンネルオーバーレイ マルチアクセストンネルオーバーレイネットワークによって、PE ルータ間のフル接続が提供されま す。PE ルータ間では、RFC 2547 で定義されている BGP を使用して VPN ルートの情報交換が行われ ます。IP トラフィックは、オーバーレイ専用および転送ネットワーク専用の IP アドレス空間を使用し たマルチポイントトンネルオーバーレイネットワークを介して、アドレスの数値の変更ではなくアド レス空間の変更によって、リダイレクトされます。 82872 PE A PE B PE C IP mGRE ࠻ࡦࡀ࡞ࠝ࡯ࡃ࡯࡟ࠗ IP ォㅍࡀ࠶࠻ࡢ࡯ࠢ PE D

IP

ネットワークと

_MPLS

ネットワークとの間のパケット転送

レイヤ 3 mGRE トンネルは、IP ネットワークと MPLS ネットワークとの間のパケット転送メカニズム として使用できます。2 つの転送プロトコル間のパケット転送をイネーブルにするには、2 つのネット ワーク間の接続の片側にある 1 台の PE ルータで、MPLS が実行されている必要があります。図 2に、 PE ルータ間で VPN トラフィックの転送に mGRE を使用する方法について示します。 図 2 IP ネットワークと MPLS ネットワークとの間の VPN トラフィックの転送での mGRE の使用 IP ネットワークと MPLS ネットワークとの間で発生するパケット転送では、MPLS VPN ラベルが GRE キーにマップされます。マッピングは、mGRE と MPLS の両方が設定されているルータで行われ ます。図 2では、キーに対するラベルのマッピングはルータ M で発生します。ルータ M は MPLS ネットワークにあります。

BGP

ネクスト

ホップの確認

BGP では、PE で、BGP パスの選択またはネクストホップの確認が実行されます。パス選択プロセス

で検討対象になるネットワークへの BGP パスは、Interior Gateway Protocol（IGP）で到達可能である

必要があります。IP プレフィクスを受信し、ネクストホップ IP アドレスとしてアドバタイズされる場 合、IP トラフィックは、ネクストホップのアドレス空間を切り替えることによって、送信元から宛先 にトンネリングされます。

L3 VPN mGRE

トンネルの設定方法

L3 VPN mGRE トンネルを展開するには、ルートマップを介してアップデートがフィルタリングされ、 関連するプレフィクスが VRF テーブルで解決されるよう、VRF インスタンスと mGRE トンネルを作 成し、VPN IP トラフィックをトンネルにリダイレクトして、BGP VPNv4 での情報交換を設定します。 mGRE を介して L3 VPN の展開を設定する作業については、次の項で説明します。 • 「VRF トンネルと mGRE トンネルの作成」（P.5）（必須） 82873 IP ࡀ࠶࠻ࡢ࡯ࠢ 㘈ቴ A ߩ VPN 㘈ቴ B ߩ VPN 㘈ቴ C ߩ VPN 㘈ቴ B ߩ VPN 㘈ቴ A ߩ VPN 㘈ቴ B ߩ VPN 㘈ቴ A ߩ VPN mGRE ߹ߚߪ MPLS VPN 㘈ቴ A ߩ VPN ߩ mGRE ࠠ࡯ mGRE ߩߺ⸳ቯߐࠇ߹ߔ 㘈ቴ A ߩ VPN ߩ MPLS ࡜ࡌ࡞ mGRE ߣ MPLS ߩਔᣇ߇⸳ቯߐࠇ߹ߔ PE PE PE G PE CE CE CE CE PE CE MPLS ࡀ࠶࠻ࡢ࡯ࠢ M PE CE

• 「BGP VPN の情報交換の設定」（P.6）（必須） • 「MPLS VPN over mGRE をイネーブルにして L3VPN カプセル化プロファイルを設定する」（P.9） （必須） • 「mGRE を介する MPLS VPN でのアドレス空間の定義とアドレス解決の指定」（P.12）（必須）

VRF

トンネルと

_mGRE

トンネルの作成

サービスプロバイダーネットワーク間で VPN トラフィックが転送されるトンネルは、そのアドレス 空間にあります。Resolve in VRF（RiV）と呼ばれる特殊な VRF インスタンスが作成される必要があ ります。ここでは、VRF トンネルと GRE トンネルを作成する方法について説明します。

前提条件

インターフェイス上の IP アドレスは、設定で指定される送信元インターフェイスと同じである必要が あります。指定される送信元インターフェイスは、VPNv4 アップデートで送信元として BGP によっ て使用されるものに一致する必要があります。 （注） トンネルモード IPSec は、GRE トンネルを介する MPLS ではサポートされません。 手順の概要 1. enable 2. configure terminal 3. ip vrf vrf-name 4. rd 1:1

5. interface tunnel tunnel name 6. ip address ip-address subnet-id 7. tunnel source loopback n

8. tunnel mode gre multipoint l3vpn 9. tunnel key gre-key

10. end 手順の詳細 コマンドまたはアクション 目的 ステップ 1 enable 例： Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 ステップ 2 configure terminal 例：

Router# configure terminal

BGP VPN

の情報交換の設定

この項で説明する設定作業では、ルートマップを介してアップデートがフィルタリングされ、関連す るプレフィクスが VRF テーブルで解決されるよう、BGP VPNv4 での情報交換が設定されます。 手順の概要 1. enable 2. configure terminal ステップ 3 ip vrf vrf-name 例：

Router(config)# ip vrf customer a riv

IP アドレスのトンネルおよびリダイレクトに使用される特殊な Resolve in VRF（RiV）VRF インスタンスおよびテーブルを作成し ます。 ステップ 4 rd 1:1 例： Router(config-vrf)# rd 1:1 VRF コンフィギュレーションモードを開始し、VPN VRF インスタ ンスに Route Distinguisher（RD; ルート識別子）を指定します。

ステップ 5 interface tunnel tunnel-name

例：

Router(config-vrf)# interface tunnel 1

インターフェイスコンフィギュレーションモードを開始し、トンネ

ルを作成します。

ステップ 6 ip address ip-address subnet-id

例：

Router(config-if)# ipaddress 209.165.200.225 255.255.255.224

トンネルの IP アドレスを指定します。

ステップ 7 tunnel source loopback n

例：

Router(config-if)# tunnel source loopback test1

ループバックインターフェイスを作成します。

ステップ 8 tunnel mode gre multipoint l3vpn

例：

Router(config-if)# tunnel mode gre multipoint l3vpn

トンネルのモードを「gre multipoint l3vpn」に設定します。

ステップ 9 tunnel key gre-key

例：

Router(config-if)# tunnel key 18

トンネルの GRE キーを指定します。 ステップ 10 end 例： Router(config-if)# end 現在のコンフィギュレーションモードを終了し、特権 EXEC モー ドに戻ります。 コマンドまたはアクション 目的

3. interface tunnel tunnel name

4. ip route vrf riv-vrf-name IP address subnet mask tunnel n 5. router bgp as-number

6. network network id

7. neighbor {ip-address | peer-group-name} remote-as as-number

8. neighbor {ip-address | peer-group-name} update-source interface-type 9. address-family vpnv4 [unicast]

10. neighbor {ip-address | peer-group-name} activate

11. neighbor {ip-address | peer-group-name} route-map map-name {in | out} 12. set ip next-hop resolve-in-vrf vrf name

13. end 手順の詳細 コマンドまたはアクション 目的 ステップ 1 enable 例： Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 ステップ 2 configure terminal 例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3 interface tunnel tunnel-name

例：

Router(config)# interface tunnel 1

トンネルのインターフェイスコンフィギュレーションモードを開始

します。

ステップ 4 ip route vrf riv-vrf-name

ip-address subnet- mask tunnel n

例： Router(config-if)# ip route vrf vrf1 209.165.200.226 255.255.255.224 tunnel 1 特殊な RiV VRF へのパケット転送を設定します。 ステップ 5 router bgp as-number 例： Router(config)# router bgp 100 ルーティング情報が渡される他の BGP ルータおよびタグへのルー タが指定されている自律システムの数を指定します。 ステップ 6 network network-id 例： Router(config)# network 209.165.200.255 BGP およびマルチプロトコル BGP ルーティングプロセスによって アドバタイズされるネットワークのネットワーク ID を指定します。

ステップ 7 neighbor {ip-address | peer-group-name} remote-as as-number 例： Router(config)# neighbor 209.165.200.227 remote-as 100 BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテー ブルにエントリを追加します。 ステップ 8 neighbor {ip-address | peer-group-name} update-source interface-type 例： Router(config)# neighbor 209.165.200.228 update-source FastEthernet0/1 BGP セッションによって TCP 接続に使用される特別な動作イン ターフェイスを設定します。 ステップ 9 address-family vpnv4 [unicast] 例： Router(config)# address-family vpnv4 アドレスファミリコンフィギュレーションモードを開始して、標 準 VPN4 アドレスプレフィクスを使用する、BGP などのルーティ ングセッションを指定します。 ステップ 10 neighbor {ip-address | peer-group-name} activate 例： Router(config)# neighbor 209.165.200.229 activate ネイバールータとの情報交換をイネーブルにします。 ステップ 11 neighbor {ip-address | peer-group-name} route-map map-name {in | out}

例：

Router(config)# neighbor 209.165.200.230 route-map mpt in

受信または発信ルートにルートマップを適用します。

• インバウンドインターフェイスごとに一度ずつ使用します。

ステップ 12 set ip next-hop resolve-in-vrf

vrf-name

例：

Router(config)# set ip next-hop resolve-in-vrf vrft 指定された VRF の VRF テーブルでネクストホップが解決されるよ う指定します。 ステップ 13 end 例： Router(config)# end 現在のコンフィギュレーションモードを終了し、特権 EXEC モー ドに戻ります。 コマンドまたはアクション 目的

MPLS VPN over mGRE

をイネーブルにして

_L3VPN

カプセル化プロファ

イルを設定する

ここでは、VRF を定義し、MPLS VPN over mGRE をイネーブルにして、L3VPN カプセル化プロファ イルを設定する方法について説明します。

（注） この設定では、IPv6、MPLS、IP、および Layer 2 Tunneling Protocol version 3（L2TPv3; レイヤ 2 ト

ンネルプロトコルバージョン 3）のような転送プロトコルも使用できます。

前提条件

MPLS VPN over mGRE をイネーブルにし、設定するには、トンネルカプセル化の VRF をまず定義 し、システムで L3VPN カプセル化をイネーブルにします。 手順の概要 1. enable 2. configure terminal 3. vrf definition vrf-name 4. rd 1:1 5. exit 6. ip cef 7. ipv6 unicast-routing 8. ipv6 cef

9. l3vpn encapsulation ip profile name 10. transport ipv4 [source interface n] 11. protocol gre [key gre-key]

12. exit

13. interface type number 14. ip address ip-address mask 15. ip router isis

手順の詳細 コマンドまたはアクション 目的 ステップ 1 enable 例： Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 ステップ 2 configure terminal 例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。 ステップ 3 vrf definition vrf-name 例： Router(config)# vrf definition tunnel encap VPN VRF ルーティングテーブルインスタンスを設定し、VRF コ ンフィギュレーションモードを開始します。 ステップ 4 rd 1:1 例： Router(config-vrf)# rd 1:1 VPN VRF インスタンスの RD を指定します。 ステップ 5 exit 例： Router(config-vrf)# exit VRF コンフィギュレーションモードを終了します。 ステップ 6 ip cef 例： Router(config)# ip cef ルータ上でシスコエクスプレスフォワーディングをイネーブルにし ます。 ステップ 7 ipv6 unicast-routing 例： Router(config)# ipv6 unicast-routing IPv6 ユニキャストデータグラムの転送をイネーブルにします。 ステップ 8 ipv6 cef 例：

Router(config)# ipv6 cef

ルータ上で IPv6 のシスコエクスプレスフォワーディングをイネー ブルにします。 ステップ 9 l3vpn encapsulation ip profile-name 例： Router(config)# l3vpn

encapsulation ip tunnel encap

L3 VPN カプセル化コンフィギュレーションモードを開始し、トン ネルを作成します。

ステップ 10 transport ipv4 source interface n

例：

Router(config-l3vpn-encap-ip)# transport ipv4 source loopback 0

IPv4 送信元モードを指定して、送信元インターフェイスを定義しま

す。

ステップ 11 protocol gre [key gre-key]

例：

Router(config-l3vpn-encap-ip)# protocol gre key 1234

GRE をトンネルモードとして指定し、GRE キーを設定します。 ステップ 12 exit 例： Router(config-l3vpn-encap-ip)# exit L3 VPN カプセル化コンフィギュレーションモードを終了します。

ステップ 13 interface type number

例：

Router(config)# interface loopback 0

インターフェイスタイプを設定するため、インターフェイスコン

フィギュレーションモードを開始します。

ステップ 14 ip address ip-address mask

例： Router(config-if)# ip address 10.10.10.4 255.255.255.255 プライマリ IP アドレスとインターフェイスのマスクを指定します。 ステップ 15 ip router isis 例：

Router(config-if)# ip router isis

インターフェイスに IP 用の Intermediate System-to-Intermediate System（IS-IS）ルーティングプロセスを設定し、ルーティングプ ロセスにヌルエリア指示子を付加します。 ステップ 16 end 例： Router(config-if)#end 現在のコンフィギュレーションモードを終了し、特権 EXEC モー ドに戻ります。 コマンドまたはアクション 目的

mGRE

を介する

_{MPLS VPN}

でのアドレス空間の定義とアドレス解決の指定

ここでは、mGRE を介する MPLS VPN でのアドレス空間の定義方法とアドレス解決の指定方法につい て説明します。次の手順では、アップデートがルートマップを介してフィルタリングされるよう、 ルートマップをアプリケーションテンプレートにリンクし、BGP VPNv4 および VPNv6 の情報交換を 設定します。 手順の概要 1. enable 2. configure terminal 3. router bgp as-number 4. bgp log-neighbor-changes

5. neighbor ip-address remote-as as-number

6. neighbor ip-address update-source interface name 7. address-family ipv4

8. no synchronization 9. redistribute connected 10. neighbor ip-address activate 11. no auto-summary

12. exit

13. address-family vpnv4 14. neighbor ip-address activate

15. neighbor ip-address send-community both 16. neighbor ip-address route-map map-name in 17. exit

18. address-family vpnv6 19. neighbor ip-address activate

20. neighbor ip-address send-community both 21. neighbor ip-address route-map map-name in 22. exit

23. route-map map-tag permit position

24. set ip next-hop encapsulate l3vpn profile name 25. set ipv6 next-hop encapsulate l3vpn profile name 26. exit

手順の詳細 コマンドまたはアクション 目的 ステップ 1 enable 例： Router> enable 特権 EXEC モードをイネーブルにします。 • プロンプトが表示されたら、パスワードを入力します。 ステップ 2 configure terminal 例：

Router# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3 router bgp as-number

例：

Router (config)# router bgp 100

ルーティング情報が渡される他の BGP ルータおよびタグへのルー タが指定されている自律システムの数を指定し、ルータコンフィ ギュレーションモードを開始します。 ステップ 4 bgp log-neighbor-changes 例： Router (config-router)# bgp log-neighbor-changes BGP ネイバーリセットのロギングをイネーブルにします。

ステップ 5 neighbor ip-address remote-as

as-number

例：

Router (config-router)# neighbor 10.10.10.6 remote-as 100

BGP ネイバーテーブルまたはマルチプロトコル BGP ネイバーテー

ブルにエントリを追加します。

ステップ 6 neighbor ip-address update-source

interface-type interface-name

例：

Router (config-router)# neighbor 10.10.10.6 update-source loopback 0 BGP セッションが、TCP 接続の動作インターフェイスを使用でき るようにします。 ステップ 7 address-family vpn4 例： Router (config-router)# address-family vpnv4 アドレスファミリコンフィギュレーションモードを開始し、IPv4 アドレスプレフィクスを使用するルーティングセッションを設定し ます。 ステップ 8 no synchronization 例： Router (config-router-af)# no synchronization IGP を待たずにネットワークルートをアドバタイズするよう、 Cisco IOS ソフトウェアをイネーブルにします。 ステップ 9 redistribute connected 例： Router (config-router-af)# redistribute connected 1 つのルーティングドメインから別のルーティングドメインにルー トを再配布し、送信元プロトコルによって認識されたルート、およ び、送信元プロトコルが実行されているインターフェイスを介して 接続されているプレフィクスを、ターゲットプロトコルで再配布で きるようにします。

ステップ 10 neighbor ip-address activate 例： Router (config-router-af)# neighbor 10.10.10.6 activate BGP ネイバーとの情報交換をイネーブルにします。 ステップ 11 no auto-summary 例： Router (config-router-af)# no auto-summary 自動サマライズをディセーブルにし、サブプレフィクスルーティン グ情報をクラスフルネットワーク境界間で送信します。 ステップ 12 exit 例：

Router (config-router-af)# exit

アドレスファミリコンフィギュレーションモードを終了します。 ステップ 13 address-family vpnv4 例： Router (config-router)# address-family vpnv4 アドレスファミリコンフィギュレーションモードを開始して、標 準 VPNv4 アドレスプレフィクスを使用する、BGP などのルーティ ングセッションを設定します。

ステップ 14 neighbor ip-address activate

例： Router (config-router-af)# neighbor 10.10.10.6 activate BGP ネイバーとの情報交換をイネーブルにします。 ステップ 15 neighbor ip-address send-community both 例： Router (config-router-af)# neighbor 10.10.10.6 send-community both 標準コミュニティと拡張コミュニティの両方のコミュニティアトリ ビュートが、BGP ネイバーに送信されるように指定します。

ステップ 16 neighbor ip-address route-map

map-name in

例：

Router (config-router-af)# neighbor 10.10.10.6 route-map SELECT UPDATE FOR L3VPN in

名前付きルートマップを受信ルートに適用します。

ステップ 17 exit

例：

Router (config-router-af)# exit

アドレスファミリコンフィギュレーションモードを終了します。 ステップ 18 address-family vpnv6 例： 6Router (config-router)# address-family vpnv4 アドレスファミリコンフィギュレーションモードを開始して、 VPNv6 アドレスプレフィクスを使用する、BGP などのルーティン グセッションを設定します。 コマンドまたはアクション 目的

ステップ 19 neighbor ip-address activate 例： Router (config-router-af)# neighbor 209.165.200.252 activate BGP ネイバーとの情報交換をイネーブルにします。 ステップ 20 neighbor ip-address send-community both 例： Router (config-router-af)# neighbor 209.165.200.252 send-community both 標準コミュニティと拡張コミュニティの両方のコミュニティアトリ ビュートが、BGP ネイバーに送信されるように指定します。

ステップ 21 neighbor ip-address route-map

ip-address in

例：

Router (config-router-af)# neighbor 209.165.200.252

route-map SELECT UPDATE FOR L3VPN in

名前付きルートマップを受信ルートに適用します。

ステップ 22 exit

例：

Router (config-router-af)# exit

アドレスファミリコンフィギュレーションモードを終了します。

ステップ 23 route-map map-tag permit position

例：

Router (config-router)# route-map 192.168.10.1 permit 10 ルートマップコンフィギュレーションモードを開始し、1 つのルー ティングプロトコルから別のルーティングプロトコルへルートを再 配布する条件を定義します。 • redistribute ルータコンフィギュレーションコマンドによっ て、指定されたマップタグが使用され、このルートマップが参 照されます。複数のルートマップで同じマップタグ名を共有で きます。 • このルートマップの一致基準が満たされている場合は、set ア クションの制御に従ってルートが再配布されます。 • 一致基準が満たされていない場合、同じマップタグが使用され ている次のルートマップがテストされます。あるルートが、同 じ名前を共有するルートマップセットの一致基準のいずれも満 たさない場合、そのセットによる再配布は行われません。 • position 引数は、同じ名前で設定済みのルートマップのリスト に新しいルートマップが入る位置を示します。

ステップ 24 set ip next-hop encapsulate l3vpn

tunnel encap

例：

Router (config-route-map)# set ip next-hop encapsulate l3vpn my profile

ルートマップの match 句を渡す出力 IPv4 パケットは、トンネルの

カプセル化のため、VRF に送信されます。

次の作業

設定が適切に動作していることを確認するために、次の操作を実行できます。

VRF

プレフィクスのチェック 指定された VRF プレフィクスが BGP で受信されたことを確認します。BGP テーブルエントリに、 ルートマップが動作し、RiV にネクストホップが示されていることが表示されているはずです。この 例で示されているように、show ip bgp vpnv4 コマンドを使用します。 Router# show ip bgp vpnv4 vrf customer 209.165.200.250

BGP routing table entry for 100:1:209.165.200.250/24, version 12 Paths: (1 available, best #1)

Not advertised to any peer Local

209.165.200.251 in "my riv" from 209.165.200.251 (209.165.200.251) Origin incomplete, metric 0, localpref 100, valid, internal, best Extended Community: RT:100:1

同じ情報がルーティングテーブルに送信されたことを確認します。

Router# show ip route vrf customer 209.165.200.250 Routing entry for 209.165.200.250/24

Known via "bgp 100", distance 200, metric 0, type internal Last update from 209.165.200.251 00:23:07 ago

Routing Descriptor Blocks:

* 209.165.200.251 (my riv), from 209.165.200.251, 00:23:07 ago Route metric is 0, traffic share count is 1

AS Hops 0

CEF

スイッチング

CEF スイッチングが想定どおりに動作していることも確認できます。

Router# show ip cef vrf customer 209.165.200.250 ステップ 25 set ipv6 next-hop encapsulate

l3vpn profile name 例：

Router (config-route-map)# set ip next-hop encapsulate l3vpn tunnel encap

ルートマップの match 句を渡す出力 IPv6 パケットは、トンネルの

カプセル化のため、VRF に送信されます。

ステップ 26 end

例：

Router (config-route-map)# exit

ルートマップコンフィギュレーションモードを終了し、グローバ

ルコンフィギュレーションモードを開始します。

ステップ 27 end

例：

Router (config)# exit

グローバルコンフィギュレーションモードを終了します。

209.165.200.250/24, version 6, epoch 0 0 packets, 0 bytes

tag information set

local tag: VPN-route-head

fast tag rewrite with Tu1, 123.1.1.2, tags imposed: {17} via 209.165.200.251, 0 dependencies, recursive

next hop 209.165.200.251, Tunnel1 via 209.165.200.251/32 (my riv) valid adjacency

tag rewrite with Tu1, 209.165.200.251, tags imposed: {17}

エンドポイントの作成

この例では、トンネルエンドポイントが正しく作成されたことが表示されています。

Router# show tunnel endpoint tunnel 1 Tunnel1 running in multi-GRE/IP mode

RFC2547/L3VPN Tunnel endpoint discovery is active on Tu1

Transporting l3vpn traffic to all routes recursing through "my riv" Endpoint 209.165.200.251 via destination 209.165.200.251

Endpoint 209.165.200.254 via destination 209.165.200.254

隣接

対応する隣接が作成されたことを確認します。 Router# show adjacency Tunnel 1 interface Protocol Interface Address

TAG Tunnel1 209.165.200.251(4) 15 packets, 1980 bytes

4500000000000000FF2FC3C77B010103 7B01010200008847

Epoch: 0

Fast adjacency disabled IP redirect disabled IP mtu 1472 (0x0) Fixup enabled (0x2) GRE tunnel

Adjacency pointer 0x624A1580, refCount 4 Connection Id 0x0

Bucket 121

MPLS が mGRE を介して転送中のため、LINK_TAG 隣接が関連する隣接であることに注意してくだ

さい。隣接にレポートされる MTU は、パケットが受信するペイロードの長さ（MPLS ラベルを含む）

です。隣接に示される MAC ストリングは、次のように解釈できます。

45000000 -> Beginning of IP Header (Partially populated, tl & chksum 00000000 are fixed up per packet)

FF2FC3C7

7B010103 -> Source IP Address in transport network 209.165.200.253 7B010102 -> Destination IP address in transport network 209.165.200.252 00008847 -> GRE Header

MPLS レイヤ 3 VPNの設定に関する情報については、『Cisco IOS Multiprotocol Label Switching Configuration Guide』を参照してください。

show l3vpn encapsulation profile-name コマンドを使用すると、アプリケーションの基本的な状態に

関する情報を取得できます。このコマンドの出力によって、トンネルおよび VRF への参照に関する詳

mGRE

トンネルを使用した

Dynamic L3 VPN

サポートの

設定例

ここでは、mGRE を介するレイヤ 3 VPN の設定例について説明します。 • 「レイヤ 3 VPN mGRE トンネルの設定：例」（P.18）

レイヤ

3 VPN mGRE

トンネルの設定：例

この例では、mGRE トンネルを作成する設定シーケンスを示します。特殊な VRF インスタンスの定義 が含まれます。 ip vrf my riv rd 1:1 interface Tunnel1 ip vrf forwarding my_riv ip address 209.165.200.250 255.255.255.224 tunnel source Loopback0

tunnel mode gre multipoint l3vpn tunnel key 123

end

ip route vrf my riv ip address subnet mask Tunnel1 router bgp 100

network 209.165.200.251

neighbor 209.165.200.250 remote-as 100

neighbor 209.165.200.250 update-source Loopback0 !

address-family vpnv4

neighbor 209.165.200.250 activate

neighbor 209.165.200.250 route-map SELECT_UPDATES_FOR_L3VPN_OVER_MGRE in !

route-map SELECT UPDATES FOR L3VPN OVER MGRE permit 10 set ip next-hop in-vrf my riv

この例では、ルートマップをアプリケーションにリンクする設定を示します。 vrf definition Customer A rd 100:110 route-target export 100:1000 route-target import 100:1000 ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family !

vrf definition tunnel encap rd 1:1 ! address-family ipv4 exit-address-family ! address-family ipv6 exit-address-family ! ! ip cef

!

ipv6 unicast-routing ipv6 cef

! !

l3vpn encapsulation ip profile name transport source loopback 0 protocol gre key 1234 ! ! interface Loopback0 ip address 209.165.200.252 255.255.255.224 ip router isis ! interface Serial2/0 vrf forwarding Customer A ip address 209.165.200.253 255.255.255.224 ipv6 address 3FFE:1001::/64 eui-64

no fair-queue serial restart-delay 0 ! router bgp 100 bgp log-neighbor-changes neighbor 209.165.200.254 remote-as 100

neighbor 209.165.200.254 update-source Loopback0 ! address-family ipv4 no synchronization redistribute connected neighbor 209.165.200.254 activate no auto-summary exit-address-family ! address-family vpnv4 neighbor 209.165.200.254 activate

neighbor 209.165.200.254 send-community both

neighbor 209.165.200.254 route-map SELECT UPDATE FOR L3VPN in exit-address-family

!

address-family vpnv6

neighbor 209.165.200.254 activate

neighbor 209.165.200.254 send-community both

neighbor 209.165.200.254 route-map SELECT UPDATE FOR L3VPN in exit-address-family

!

address-family ipv4 vrf Customer A no synchronization

redistribute connected exit-address-family !

address-family ipv6 vrf Customer A redistribute connected

no synchronization exit-address-family !

!

route-map SELECT UPDATE FOR L3VPN permit 10

set ip next-hop encapulate <profile_name> set ipv6 next-hop encapsulate <profile_name>

その他の参考資料

ダイナミック L3 VPN mGRE トンネルのその他の関連資料については、次の参考資料を参照してくだ さい。

関連資料

規格

MIB

RFC

関連項目 参照先

MPLS Layer 3 VPN の設定 『Cisco IOS Multiprotocol Label Switching Configuration Guide』

MPLS VPN Over mGRE 『Cisco IOS Interface and Hardware Component Configuration Guide』

シスコエクスプレスフォワーディング 『Cisco IOS IP Switching Configuration Guide』

総称ルーティングカプセル化 『Cisco IOS Interface and Hardware Component Configuration Guide』

規格 タイトル

なし —

MIB MIB リンク

IETF-PPVPN-MPLS-VPN-MIB 選択したプラットフォーム、Cisco IOS リリース、および機能セッ

トの MIB の場所を検索しダウンロードするには、次の URL にある

Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

RFC タイトル

RFC 2547 『BGP/MPLS VPNs』

RFC 2784 『Generic Routing Encapsulation (GRE)』

RFC 2890 『Key Sequence Number Extensions to GRE』

RFC 4023 『Encapsulating MPLS in IP or Generic Routing Encapsulation』

シスコのテクニカル

サポート

説明 リンク 右の URL にアクセスして、シスコのテクニカルサ ポートを最大限に活用してください。 以下を含むさまざまな作業にこの Web サイトが役立 ちます。 ・テクニカルサポートを受ける ・ソフトウェアをダウンロードする ・セキュリティの脆弱性を報告する、またはシスコ製 品のセキュリティ問題に対する支援を受ける ・ツールおよびリソースへアクセスする - Product Alert の受信登録 - Field Notice の受信登録 - Bug Toolkit を使用した既知の問題の検索 ・Networking Professionals（NetPro）コミュニティ

で、技術関連のディスカッションに参加する

・トレーニングリソースへアクセスする

・TAC Case Collection ツールを使用して、ハードウェ アや設定、パフォーマンスに関する一般的な問題をイ ンタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、

Cisco.com のログイン ID およびパスワードが必要です。

mGRE

トンネル機能付きの

Dynamic L3 VPN

の機能情報

表 1-1に、このモジュールで説明した機能をリストし、特定の設定情報へのリンクを示します。この表

には、Cisco IOS Release 12.0(23)S 以降のリリースで導入または変更された機能だけを示します。 ご使用の Cisco IOS ソフトウェアリリースによっては、コマンドの中に一部使用できないものがあり

ます。特定のコマンドのリリース情報については、コマンドリファレンスマニュアルを参照してくだ

さい。

プラットフォームサポートとソフトウェアイメージサポートに関する情報を入手するには、Cisco

Feature Navigator を使用します。Cisco Feature Navigator を使用すると、Cisco IOS および Catalyst

OS ソフトウェアイメージがサポートする特定のソフトウェアリリース、機能セット、またはプラッ

トフォームを確認できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfnからアクセス します。Cisco.com のアカウントは必要ありません。

（注） 表 1-1には、一連の Cisco IOS ソフトウェアリリースのうち、特定の機能が初めて導入された

Cisco IOS ソフトウェアリリースだけが記載されています。特に明記していない限り、その Cisco IOS

ソフトウェアリリーストレインの以降のリリースでもその機能はサポートされます。

Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R)

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル 内の例、コマンド出力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際の アドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2003-2010 Cisco Systems, Inc. All rights reserved.

Copyright © 2003–2011, シスコシステムズ合同会社. All rights reserved.

表 1-1 mGRE トンネル機能付きの Dynamic L3 VPN の機能情報 機能名 リリース 機能情報 マルチポイント GRE トンネルを使用したダイ ナミックレイヤ 3 VPN 12.0(23)S この機能では、IP ネットワークで使用される拡張 mGRE トンネリングテクノロジーに基づいて、L3 トランスポー トメカニズムが提供されます。