今回は、ハブ&スポーク構成のオーバレイネットワークの構築方法を説明します。
この記事の目次
概要
オーバレイネットワークの構成
Viptelaは3種類のオーバレイネットワークの構成をサポートしています。
- Full Mesh(デフォルト)
- Partial Mesh
- Hub&Spoke
デフォルトでは、vEdge間ではフルメッシュなオーバレイネットワークが構成されます。
つまり、vSmartは特定のvEdgeからOMP経由で学習したTLOCとルート情報を、他の全vEdgeにそのまま転送します。
ハブ&スポーク構成では、vSmartは特定のスポーク拠点のvEdgeからOMP経由で学習したTLOCやルート情報を、他のスポーク拠点のvEdgeには転送しません。(下図はSite 1がハブ拠点、Site 2とSite 3がスポーク拠点になります。)
この結果、ハブ拠点とスポーク拠点間でのみオーバレイトンネルが確立されます。
また、ハブ拠点とスポーク拠点間では通信できますが、スポーク拠点間では通信できなくなります。
実際の案件では、ハブ&スポーク構成において、ハブ拠点経由でスポーク拠点間で通信させたい場合もあります。
その場合、vSmartは特定のスポーク拠点のvEdgeからOMP経由で学習したルート情報のTLOCをハブ拠点のvEdgeのTLOCに修正して、他のスポーク拠点のvEdgeに転送することが可能です。
この結果、スポーク拠点のvEdgeが他のスポーク拠点宛のパケットを受信した際、ハブ拠点のvEdgeに転送でき、ハブ拠点経由でスポーク拠点間で通信できます。
検証環境、内容
検証内容
Site 1をハブ拠点、Site 2とSite 3をスポーク拠点として、オーバレイネットワークを構成します。
この状況で、各vEdgeのOMPの情報やルーティングテーブル、スポーク拠点間で疎通可能か確認します。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
interface ge0/1
ip address 10.1.1.1/24
no shutdown
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.2.2/24
!
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
interface ge0/1
ip address 20.1.1.2/24
no shutdown
system
host-name vEdge3
system-ip 3.3.3.3
site-id 3
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.3.3/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.3.254
!
vpn 10
interface ge0/1
ip address 30.1.1.3/24
no shutdown
interface GigabitEthernet2
ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
interface GigabitEthernet2
ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
interface GigabitEthernet2
ip address 30.1.1.13 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 30.1.1.3
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.3.254 255.255.255.0
!
interface GigabitEthernet5
ip address 172.16.10.254 255.255.255.0
Hub and Spoke Policy適用前の状態確認
OMPの状態確認
各vEdgeでshow omp tlocsコマンドを実行し、各vEdgeが保持しているOMPのTLOCの情報を確認します。
vEdge1
vEdge1# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
2.2.2.2 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.2.2 12346 172.16.2.2 12346 :: 0 :: 0 up
3.3.3.3 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.3.3 12346 172.16.3.3 12346 :: 0 :: 0 up
vEdge2
vEdge2# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
2.2.2.2 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.2.2 12346 172.16.2.2 12346 :: 0 :: 0 up
3.3.3.3 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.3.3 12346 172.16.3.3 12346 :: 0 :: 0 up
vEdge3
vEdge3# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
2.2.2.2 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.2.2 12346 172.16.2.2 12346 :: 0 :: 0 up
3.3.3.3 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.3.3 12346 172.16.3.3 12346 :: 0 :: 0 up
各vEdgeでshow omp routesコマンドを実行し、各vEdgeが保持しているOMPのルート情報を確認します。
vEdge1
vEdge1# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.31 141 1003 C,I,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 142 1003 C,I,R installed 3.3.3.3 biz-internet ipsec -
vEdge2
vEdge2# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 229 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 230 1003 C,I,R installed 3.3.3.3 biz-internet ipsec -
vEdge3
vEdge3# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 119 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.31 120 1003 C,I,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 3.3.3.3 biz-internet ipsec -
各vEdgeはOMP経由で他の全vEdgeのTLOCとルート情報を学習していることが確認できます。
オーバレイトンネルの確認
各vEdgeでshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.1.1 172.16.2.2 ipsec 12346 12346 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:19:02 0
172.16.1.1 172.16.3.3 ipsec 12346 12346 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:18:32 0
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12346 12346 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:18:51 0
172.16.2.2 172.16.3.3 ipsec 12346 12346 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:18:22 0
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12346 12346 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:18:09 0
172.16.3.3 172.16.2.2 ipsec 12346 12346 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:18:09 2
vEdge1、vEdge2、vEdge3間でフルメッシュなオーバレイトンネルが構成されていることが確認できます。
ルーティングテーブルの確認
各vEdgeでshow ip route vpn 10コマンドを実行すると、各vEdgeのService VPNのルーティングテーブルに他拠点のルート情報が投入されていることが確認できます。
vEdge1
vEdge1# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R1、R2、R3間でTracerouteを実施し、通信経路を確認します。
R1
R1#traceroute 20.1.1.12 source 10.1.1.11 probe 1
Type escape sequence to abort.
Tracing the route to 20.1.1.12
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.1.1 17 msec
2 20.1.1.2 47 msec
3 20.1.1.12 67 msec
R1#traceroute 30.1.1.13 source 10.1.1.11 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.1.1 20 msec
2 30.1.1.3 49 msec
3 30.1.1.13 70 msec
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 20 msec
2 30.1.1.3 47 msec
3 30.1.1.13 67 msec
各Site間で直接通信していることが確認できます。
Hub and Spoke Policyの適用
VPN Listの確認
VPN Listで、Hub and Spoke Policyの適用先のVPNのIDを指定します。
Site Listの確認
Site Listで、ハブ拠点として動作させるSiteとスポーク拠点として動作させるSiteを定義します。
Hub and Spoke Policyの確認
Hub and Spoke Policyを使用してハブ&スポーク構成のオーバレイネットワークを定義します。
Hub and Spoke PolicyはConfigurations > Policies > Custom Options > Centralized Policy > Topology > Topologyから設定できます。
Hub and Spoke Policyの適用先のVPN、ハブ拠点のSite、スポーク拠点のSiteを指定します。
また、Manage Custom Preferences and Prefix Listsから各種パラメータを設定できます。
最初は、デフォルト値をそのまま使用しますが、デフォルト値の場合、スポーク拠点間では疎通できません。
Centralized Control Policyの確認
Topology > TopologyからCentralized Control PolicyにHub and Spoke Policyをインポートしておきます。
Policy Application > Topologyでは、特別な設定は不要です。
vSmartのCentralized Control Policyの設定確認
vSmartでshow runコマンドを実行し、Centralized Control Policy用のコマンドを確認します。
vSmart
vSmart# show run
.
<一部省略>
.
policy
lists
vpn-list VPN_10
vpn 10
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
!
control-policy control_597199798
sequence 10
match route
site-list Site_1
vpn-list VPN_10
!
action accept
!
!
sequence 20
match route
site-list Site_1
vpn-list VPN_10
!
action accept
!
!
sequence 30
match tloc
site-list Site_1
!
action accept
!
!
default-action reject
!
!
apply-policy
site-list Site_2
control-policy control_597199798 out
!
site-list Site_3
control-policy control_597199798 out
Hub and Spoke Policy適用後の状態確認(スポーク拠点間は疎通不可)
OMPの状態確認
各vEdgeでshow omp tlocsコマンドを実行し、各vEdgeが保持しているOMPのTLOCの情報を確認します。
vEdge1
vEdge1# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
2.2.2.2 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.2.2 12346 172.16.2.2 12346 :: 0 :: 0 up
3.3.3.3 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.3.3 12346 172.16.3.3 12346 :: 0 :: 0 up
vEdge2
vEdge2# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
2.2.2.2 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.2.2 12346 172.16.2.2 12346 :: 0 :: 0 up
vEdge3
vEdge3# show omp tlocs
PUBLIC PRIVATE
ADDRESS PSEUDO PUBLIC PRIVATE PUBLIC IPV6 PRIVATE IPV6 BFD
FAMILY TLOC IP COLOR ENCAP FROM PEER STATUS KEY PUBLIC IP PORT PRIVATE IP PORT IPV6 PORT IPV6 PORT STATUS
-----------------------------------------------------------------------------------------------------------------------------------------------------
ipv4 1.1.1.1 biz-internet ipsec 10.1.10.31 C,I,R 1 172.16.1.1 12346 172.16.1.1 12346 :: 0 :: 0 up
3.3.3.3 biz-internet ipsec 0.0.0.0 C,Red,R 1 172.16.3.3 12346 172.16.3.3 12346 :: 0 :: 0 up
各vEdgeでshow omp routesコマンドを実行し、各vEdgeが保持しているOMPのルート情報を確認します。
vEdge1
vEdge1# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.31 141 1003 C,I,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 142 1003 C,I,R installed 3.3.3.3 biz-internet ipsec -
vEdge2
vEdge2# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 229 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
vEdge3
vEdge3# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 119 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 30.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 3.3.3.3 biz-internet ipsec -
Hub and Spoke Policyを設定したため、vSmartは特定のスポーク拠点のvEdgeからOMP経由で学習したTLOCとルート情報を、別のスポーク拠点のvEdgeに転送していないことが確認できます。
オーバレイトンネルの確認
各vEdgeでshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.1.1 172.16.2.2 ipsec 12346 12346 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:58:25 0
172.16.1.1 172.16.3.3 ipsec 12346 12346 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:57:55 0
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12346 12346 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:59:30 0
vEdge3
vEdge3# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.3.3 172.16.1.1 ipsec 12346 12346 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:01:00:25 0
vEdge2はvEdge3のTLOC、vEdge3はvEdge2のTLOCを学習していないため、vEdge2とvEdge3間ではオーバレイトンネルは構成されず、ハブ拠点とスポーク拠点間でのみオーバレイトンネルが構成されていることが確認できます。
ルーティングテーブルの確認
各vEdgeでshow ip route vpn 10コマンドを実行すると、vEdge2のルーティングテーブルにはSite 3のルート情報、vEdge3のルーティングテーブルにはSite 2のルート情報が存在していないことが確認できます。
vEdge1
vEdge1# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 2.2.2.2 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R1、R2、R3間でPing、または、Tracerouteを実施します。
R1
R1#traceroute 20.1.1.12 source 10.1.1.11 probe 1
Type escape sequence to abort.
Tracing the route to 20.1.1.12
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.1.1 24 msec
2 20.1.1.2 57msec
3 20.1.1.12 57 msec
R1#traceroute 30.1.1.13 source 10.1.1.11 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 10.1.1.1 15 msec
2 30.1.1.3 50 msec
3 30.1.1.13 70 msec
R2
R2#ping 30.1.1.13 source 20.1.1.12
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 30.1.1.13, timeout is 2 seconds:
Packet sent with a source address of 20.1.1.12
UUUUU
Success rate is 0 percent (0/5)
スポーク拠点間では疎通不可なことが確認できます。
スポーク拠点間で通信できるようにHub and Spoke Policyを変更
TLOC Listの確認
スポーク拠点のルート情報のTLOCを変更するために、ハブ拠点のTLOCの情報を指定したTLOC Listを定義します。
Hub and Spoke Policyの確認
vSmartが特定のスポーク拠点のvEdgeに対して、他のスポーク拠点のルート情報を広報できるようにするために、Hub and Spoke PolicyのManage Custom Preferences and Prefix Listsの設定値を修正します。
Advertises Hub TLOCSをチェックすることで、vSmartは特定のスポーク拠点のvEdgeに対して、他のスポーク拠点のルート情報を広報できるようになります。
そして、スポーク拠点のルート情報のTLOCをハブ拠点のvEdgeのTLOCに変更するために、先ほど定義したTLOC Listを指定します。
vSmartのCentralized Control Policyの設定確認
vSmartでshow runコマンドを実行し、Centralized Control Policy用のコマンドを確認します。
vSmart
vSmart# show run
.
<一部省略>
.
policy
lists
vpn-list VPN_10
vpn 10
!
tloc-list TLOC_List
tloc 1.1.1.1 color biz-internet encap ipsec
!
site-list Site_1
site-id 1
!
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
!
control-policy control_-2109756185
sequence 10
match route
site-list Site_1
vpn-list VPN_10
!
action accept
!
!
sequence 20
match route
site-list Site_1
vpn-list VPN_10
!
action accept
!
!
sequence 30
match route
site-list Site_2
vpn-list VPN_10
!
action accept
set
tloc-list TLOC_List
!
!
!
sequence 40
match route
site-list Site_3
vpn-list VPN_10
!
action accept
set
tloc-list TLOC_List
!
!
!
sequence 50
match tloc
site-list Site_1
!
action accept
!
!
default-action reject
!
!
apply-policy
site-list Site_2
control-policy control_-2109756185 out
!
site-list Site_3
control-policy control_-2109756185 out
Hub and Spoke Policy変更後の状態確認(スポーク拠点間は疎通可能)
OMPの状態確認
vEdge2とvEdge3でshow omp routesコマンドを実行し、vEdge2とvEdge3が保持しているOMPのルート情報を確認します。
vEdge2
vEdge2# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 229 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 232 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
vEdge3
vEdge3# show omp routes
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
-------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 119 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 10.1.10.31 122 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 30.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 3.3.3.3 biz-internet ipsec -
vSmartは特定のスポーク拠点のvEdgeからOMP経由で学習したルート情報のTLOCをハブ拠点のvEdgeのTLOCに変更して、他のスポーク拠点のvEdgeに転送していることが確認できます。
ルーティングテーブルの確認
vEdge1とvEdge2でshow ip route vpn 10コマンドを実行すると、vEdge2のルーティングテーブルにはSite 3のルート情報、vEdge3のルーティングテーブルにはSite 2のルート情報が存在していることが確認できます。
また、ネクストホップがハブ拠点のvEdge1であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
vEdge3
vEdge3# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
疎通確認
R2からR3にTracerouteを実施し、通信経路を確認します。
R2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 17 msec
2 10.1.1.1 47 msec
3 30.1.1.3 76 msec
4 30.1.1.13 97 msec
スポーク拠点間の通信はハブ拠点であるvEdge1を経由していることが確認できます。
コメント
興味深く拝見させて頂いております。
vSmartのCentralized Control Policyの設定においてsequence 20は不要なのでは?と思いましたが、如何でしょうか。
コメントありがとうございます。
おっしゃる通り、私も不要だと思っております。
vManageからvSmartに対して投入されるCentralized Control PolicyのCLIの設定は自動で生成され、管理者側では修正できない箇所になりますので、不具合だと思います。