Viptela 閉域網に存在するレガシー拠点との接続

今回は閉域網にViptelaを導入してないレガシーな拠点が存在する際の注意点を説明したいと思います。

概要

閉域網にレガシー拠点が存在する際に満たすべき要件

既存のお客様のネットワークをSD-WANに移行する際、何かしらの理由で、全拠点にSD-WAN機器を導入できない場合があります。

このようなケースにおいて、絶対に満たさないといけないことは、SD-WAN拠点とレガシー拠点間で相互に通信できることです。
SD-WAN拠点からレガシー拠点に対して通信を開始でき、かつ、レガシー拠点からSD-WAN拠点に対しても通信を開始できる必要があります。(これはMustです。)

 

他に考慮すべき点は、各SD-WAN拠点がレガシー拠点と通信する際の経路になります。
各SD-WAN拠点がレガシー拠点と直接通信するケースと、ハブ拠点経由で通信するケースが存在します。
ここは、お客様の好みや方針に合わせて決定すれば良いと思います。

 

 

閉域網にレガシー拠点が存在する際のViptelaの問題点

Viptelaでは、WANインタフェースとLANインタフェースは異なるVPNに所属しています。
そのため、容易にLANとWAN間でパケットをルーティングできません。

ローカルブレイクアウトを使えば、LANで受信したパケットをWANのアンダーレイに無理やり転送できます。しかし、WANのアンダーレイで受信したパケットをLANに無理やり転送することは困難です。(厳密にいえば、Port Forwardを使用すれば可能です。)

 

では、LAN側にもTransport VPNに所属するインタフェースを用意すれば、容易にLANとWANのアンダーレイ間で通信できるように思えます。

 

しかし、Viptelaの仕様では、Transport VPNにおいて、TLOCが有効なインタフェースで受信したパケットを他のインタフェースから転送できません。また、他のインタフェースで受信したパケットをTLOCが有効なインタフェースから転送できません。

 

そのため、閉域網にレガシー拠点が存在する場合は、物理インタフェースではなく、ループバックインタフェースでTLOCを有効にします。
この結果、LANとWAN間で容易にパケットを転送できます。

 

検証環境、内容

検証内容

各SD-WAN拠点はSite 1経由で閉域網のレガシー拠点と通信できるように、vEdge1でループバックインタフェースを作成し、閉域網用のTLOCを設定します。

また、LAN側はサブインタフェースを作成し、VPN 0とVPN 10を所属させます。

 

物理/論理構成

 

オーバレイネットワーク構成

 

初期設定


system
 system-ip             10.1.10.11
 site-id               10
 organization-name     "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface eth0
  ip address 172.16.10.11/24
  tunnel-interface
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name               vBond
 system-ip               10.1.10.21
 site-id                 10
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21 local vbond-only
!
vpn 0
 interface ge0/0
  ip address 172.16.10.21/24
  tunnel-interface
   encapsulation ipsec
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name             vSmart
 system-ip             10.1.10.31
 site-id               10
 organization-name     "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface eth0
  ip address 172.16.10.31/24
  tunnel-interface
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.10.254
            


system
 host-name               vEdge1
 system-ip               1.1.1.1
 site-id                 1
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface ge0/0
  ip address 172.16.1.1/24
  tunnel-interface
   encapsulation ipsec
   color biz-internet restrict
  !
  no shutdown
 !
 interface ge0/1
  ip address 172.20.1.1/24
  no shutdown
 !
 interface ge0/2
  no shutdown
 !
 interface ge0/2.102
  ip address 10.2.2.1/24
  mtu      1496
  no shutdown
 !
 interface loopback1
  ip address 172.20.100.1/32
  tunnel-interface
   encapsulation ipsec
   color metro-ethernet restrict
   max-control-connections 0
   bind                    ge0/1
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.1.254
 ip route 10.1.1.0/24 10.2.2.11
 ip route 20.1.1.0/24 10.2.2.11
 ip route 30.1.1.0/24 172.20.1.13
!
vpn 10
 interface ge0/2.101
  ip address 10.1.1.1/24
  mtu      1496
  no shutdown
 !
 ip route 0.0.0.0/0 10.1.1.11
            


system
 host-name               vEdge2
 system-ip               2.2.2.2
 site-id                 2
 organization-name       "Criterio1 - 19101"
 vbond 172.16.10.21
!
vpn 0
 interface ge0/0
  ip address 172.16.2.2/24
  tunnel-interface
   encapsulation ipsec
   color biz-internet restrict
  !
  no shutdown
 !
 interface ge0/1
  ip address 172.20.1.2/24
  tunnel-interface
   encapsulation ipsec
   color metro-ethernet restrict
   max-control-connections 0
  !
  no shutdown
 !
 ip route 0.0.0.0/0 172.16.2.254
 ip route 172.20.100.1/32 172.20.1.1
!
vpn 10
 interface ge0/2
  ip address 20.1.1.2/24
  no shutdown
            


interface GigabitEthernet2.101
 encapsulation dot1Q 101
 ip address 10.1.1.11 255.255.255.0
!
interface GigabitEthernet2.102
 encapsulation dot1Q 102
 ip address 10.2.2.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 30.1.1.0 255.255.255.0 10.2.2.1
            


interface GigabitEthernet2
 ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
            


interface Loopback0
 ip address 30.1.1.13 255.255.255.0
!
interface GigabitEthernet2
 ip address 172.20.1.13 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 172.20.1.1
            


interface GigabitEthernet2
 ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
 ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
 ip address 172.16.10.254 255.255.255.0
            

 

設定、状態確認

vEdge1の設定の確認

vEdge1のge0/1ではTLOCを有効にせず、ループバックインタフェースでTLOCを有効にします。
そして、ループバックインタフェースのbind <物理インタフェース>コマンドで、このループバックインタフェースのTLOCのトラフィックの転送に使用する物理インタフェースを指定します。

また、LAN側のインタフェースをサブインタフェースに分割し、Transport VPNとService VPNに割り当てます。
サブインタフェースを設定する際は、フレームに4バイトのVLANタグを挿入できるように、MTUを1496バイト以下に変更する必要があります。

vEdge1

vpn 0
 interface ge0/1
  ip address 172.20.1.1/24
  no shutdown
 !
 interface ge0/2.102
  ip address 10.2.2.1/24
  mtu      1496
  no shutdown
 !
 interface loopback1
  ip address 172.20.100.1/32
  tunnel-interface
   encapsulation ipsec
   color metro-ethernet restrict
   max-control-connections 0
   bind                    ge0/1
  !
  no shutdown
!
vpn 10
 interface ge0/2.101
  ip address 10.1.1.1/24
  mtu      1496
  no shutdown
            

 

状態確認

vEdge1でshow omp tlocsコマンドを実行すると、vEdge1がループバックインタフェースのTLOCを生成していることが確認できます。

vEdge1

vEdge1# show omp tlocs
C   -> chosen
I   -> installed
Red -> redistributed
Rej -> rejected
L   -> looped
R   -> resolved
S   -> stale
Ext -> extranet
Stg -> staged
Inv -> invalid

                                                                                                                          PUBLIC           PRIVATE
ADDRESS                                                      PSEUDO                PUBLIC                PRIVATE  PUBLIC  IPV6    PRIVATE  IPV6     BFD
FAMILY  TLOC IP  COLOR           ENCAP  FROM PEER   STATUS   KEY     PUBLIC IP     PORT    PRIVATE IP    PORT     IPV6    PORT    IPV6     PORT     STATUS
----------------------------------------------------------------------------------------------------------------------------------------------------------
ipv4    1.1.1.1  metro-ethernet  ipsec  0.0.0.0     C,Red,R  1       172.20.100.1  12366   172.20.100.1  12366    ::      0       ::       0        up
        1.1.1.1  biz-internet    ipsec  0.0.0.0     C,Red,R  1       172.16.1.1    12426   172.16.1.1    12426    ::      0       ::       0        up
        2.2.2.2  metro-ethernet  ipsec  10.1.10.31  C,I,R    1       172.20.1.2    12366   172.20.1.2    12366    ::      0       ::       0        up
        2.2.2.2  biz-internet    ipsec  10.1.10.31  C,I,R    1       172.16.2.2    12346   172.16.2.2    12346    ::      0       ::       0        up

 

vEdge1でshow bfd sessionsコマンドを実行します。

vEdge1

vEdge1# show bfd sessions | tab

                                 SRC    DST    SYSTEM   SITE                                         DETECT      TX
SRC IP        DST IP      PROTO  PORT   PORT   IP       ID    LOCAL COLOR     COLOR           STATE  MULTIPLIER  INTERVAL  UPTIME      TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------------
172.16.1.1    172.16.2.2  ipsec  12426  12346  2.2.2.2  2     biz-internet    biz-internet    up     7           1000      0:00:30:11  0
172.20.100.1  172.20.1.2  ipsec  12366  12366  2.2.2.2  2     metro-ethernet  metro-ethernet  up     7           1000      0:00:25:16  0

 

vEdge1がループバックインタフェースを使用して、vEdge2とオーバレイトンネルを確立しているが確認できます。

 

疎通確認

R2からレガシー拠点のR3に対して、Tracerouteを実行します。

R2

R2#traceroute 30.1.1.13 source 20.1.1.12
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
  1 20.1.1.2 13 msec 20 msec 20 msec
  2 10.1.1.1 51 msec 50 msec 61 msec
  3 10.1.1.11 81 msec 78 msec 71 msec
  4 10.2.2.1 91 msec 87 msec 90 msec
  5 172.20.1.13 111 msec *  120 msec
   

 

Site 1のvEdge1とR1経由で、R2はレガシー拠点と通信できていることが確認できます。
(下図はvEdge2はインターネットを使用してvEdge1にパケットを転送したケースになります。)

コメント

タイトルとURLをコピーしました