今回は、TLOCのCarrierと呼ばれるパラメータの使い方を説明します。
この記事の目次
概要
TLOCのCarrier
例えば、拠点間を接続するために、複数の閉域網を契約し、一部のvEdgeが閉域網1、残りのvEdgeが閉域網2に接続しているケースもあると思います。
この際、各閉域網内でvEdge間でオーバレイトンネルを確立しつつ、異なる閉域網に接続しているvEdgeともオーバレイトンネルを確立したい場合、Colorの設定のみだと問題が発生します。
前回の記事で、PrivateタイプのColorが割り当てられたTLOC間でオーバレイトンネルを確立する際、vEdgeは対向のvEdgeのプライベートなIPアドレスとポート番号宛てにパケットを送信すると説明しました。
そのため、以下の構成において、閉域網1に存在するvEdge1が閉域網2に存在するvEdge3とオーバレイトンネルを確立する際、vEdge1はvEdge3のNAT変換前のプライベートなIPアドレスとポート番号宛てにパケットを送信してしまいます。
その結果、vEdge1が送信したパケットはvEdge3には届かず、vEdge1とvEdge3間ではオーバレイトンネルが確立できません。
このような状況で、異なる閉域網に存在するvEdge間でオーバレイトンネルを確立するためには、TLOCにCarrierと呼ばれるパラメータを設定する必要があります。
PrivateタイプのColorが割り当てられたLTOCに、Carrierを設定した際の挙動は以下になります。
- Carrierが等しい場合 : プライベートなIPアドレスとポート番号宛てにパケットを送信
- Carrierが異なる場合 : パブリックなIPアドレスとポート番号宛てにパケットを送信
閉域網単位で、TLOCに異なるCarrierを設定することで、同じ閉域網に属するvEdgeに対してはプライベートなIPアドレスとポート番号宛てにパケットを送信し、異なる閉域網に属するvEdgeに対してはパブリックなIPアドレスとポート番号宛てにパケットを送信することができます。
この結果、同じ閉域網に属するvEdgeとオーバレイトンネルを確立しつつ、異なる閉域網に属するvEdgeともオーバレイトンネルを確立できます。
検証環境、内容
検証内容
R1でPATを設定し、vEdge1が送信したパケットの送信元アドレスをR1のWANインタフェースのアドレスに変換します。
R2でPATを設定し、vEdge2が送信したパケットの送信元アドレスをR2のWANインタフェースのアドレスに変換します。
vEdge1とvEdge2のTLOCにPrivateタイプのColorであるmetro-ethernetを設定します。
そして、Carrierの設定の有無による挙動の違いを確認します。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 192.168.1.1/24
tunnel-interface
encapsulation ipsec
color metro-ethernet
!
no shutdown
!
ip route 0.0.0.0/0 192.168.1.11
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 192.168.2.2/24
tunnel-interface
encapsulation ipsec
color metro-ethernet
!
no shutdown
!
ip route 0.0.0.0/0 192.168.2.12
interface GigabitEthernet2
ip address 172.16.1.11 255.255.255.0
ip nat outside
!
interface GigabitEthernet3
ip address 192.168.1.11 255.255.255.0
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet2 overload
ip route 0.0.0.0 0.0.0.0 172.16.1.254
!
access-list 1 permit any
interface GigabitEthernet2
ip address 172.16.2.12 255.255.255.0
ip nat outside
!
interface GigabitEthernet3
ip address 192.168.2.12 255.255.255.0
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet2 overload
ip route 0.0.0.0 0.0.0.0 172.16.2.254
!
access-list 1 permit any
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
Carrier設定前の状態確認
TLOCの確認
vEdge1とvEdge2でshow omp tlocコマンドを実行し、TLOCのパブリックなIPアドレスとポート番号、プライベートなIPアドレスとポート番号、Carrierを確認します。
現在、Carrierは未設定なので、defaultと表示されます。
vEdge1
vEdge1# show omp tlocs ip 1.1.1.1 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000014 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5063
private-ip 192.168.1.1
private-port 12426
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x80000014
carrier default
restrict 0
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
vEdge2
vEdge2# show omp tlocs ip 2.2.2.2 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000019 3 2.2.2.2 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.12
public-port 5063
private-ip 192.168.2.2
private-port 12406
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x80000019
carrier default
restrict 0
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
オーバレイトンネルの確認
vEdge1でshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
------------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.1 192.168.2.2 ipsec 12426 12406 2.2.2.2 2 metro-ethernet metro-ethernet down 7 1000 NA 0
下記はvEdge1がvEdge2に対して送信したパケットになります。(vEdge1とR1間でキャプチャ)
vEdge1はvEdge2のプライベートなIPアドレスとポート番号宛てにパケットを送信していることが確認できます。
Carrier設定後の状態確認
vEdgeの設定
vEdge1のTLOCのcarrierにcarrier1、vEdge2のTLOCのcarrierにcarrier2を設定します。
vEdge1
vpn 0
interface ge0/0
tunnel-interface
carrier carrier1
vEdge2
vpn 0
interface ge0/0
tunnel-interface
carrier carrier2
TLOCの確認
vEdge1とvEdge2でshow omp tlocコマンドを実行し、TLOCのパブリックなIPアドレスとポート番号、プライベートなIPアドレスとポート番号、Carrierを確認します。
vEdge1のTLOCのCarrierにはcarrier1、vEdge2のTLOCのCarrierにはcarrier2が設定されていることが確認できます。
vEdge1
vEdge1# show omp tlocs ip 1.1.1.1 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - carrier1 [ 0 ] - - 1 0x80000016 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5062
private-ip 192.168.1.1
private-port 12366
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x80000016
carrier carrier1
restrict 0
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
vEdge2
vEdge2# show omp tlocs ip 2.2.2.2 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - carrier2 [ 0 ] - - 1 0x8000001b 3 2.2.2.2 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.12
public-port 5062
private-ip 192.168.2.2
private-port 12426
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x8000001b
carrier carrier2
restrict 0
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
オーバレイトンネルの確認
vEdge1でshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
---------------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.1 172.16.2.12 ipsec 12366 5062 2.2.2.2 2 metro-ethernet metro-ethernet up 7 1000 0:00:01:48 1
下記はvEdge1がvEdge2に対して送信したパケットになります。(vEdge1とR1間でキャプチャ)
vEdge1とvEdge2のTLOCのColorはPrivateタイプであるが、vEdge1はvEdge2のパブリックなIPアドレスとポート番号宛てにパケットを送信していることが確認できます。
コメント