今回は、バージョン20.3.1から追加されたOn Demand Tunnelと呼ばれる機能について説明します。
この記事の目次
概要
On Demand Tunnelについて
Viptelaでは、主に以下の3種類のオーバレイネットワークをサポートしています。以下のどのパターンでも、トラフィックの有無に関わらず、常に全オーバレイトンネルがアップし続けます。
On Demand Tunnelを使用することで、Spoke拠点となるvEdge間で動的にオーバレイトンネルを確立することが可能です。
下図において、拠点2と拠点3がSpoke拠点に該当します。トラフィックが流れていない時は、拠点2と拠点3間ではオーバレイトンネルは確立されません。
この状況で、拠点2から拠点3に対してトラフィックが発生した場合、最初は拠点1を経由して転送されます。
その後、拠点2と拠点3間でオーバレイトンネルが動的に生成されます。
その後、拠点2と拠点3間は直接通信します。
On Demand Tunnelを使用するには、Spoke拠点のvEdgeに対して、前回の記事で解説したTLOC ActionのBackupオプションを適用する必要があります。
検証環境、内容
検証内容
On Demand Tunnelを使用し、Site 2とSite 3間でオーバレイトンネルを動的に確立します。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.1.1/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.1.254
!
vpn 10
interface ge0/1
ip address 10.1.1.1/24
no shutdown
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.2.2/24
!
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.2.254
!
vpn 10
interface ge0/1
ip address 20.1.1.2/24
no shutdown
system
host-name vEdge3
system-ip 3.3.3.3
site-id 3
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 172.16.3.3/24
tunnel-interface
encapsulation ipsec
color biz-internet restrict
!
no shutdown
!
ip route 0.0.0.0/0 172.16.3.254
!
vpn 10
interface ge0/1
ip address 30.1.1.3/24
no shutdown
interface GigabitEthernet2
ip address 10.1.1.11 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.1
interface GigabitEthernet2
ip address 20.1.1.12 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 20.1.1.2
interface GigabitEthernet2
ip address 30.1.1.13 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 30.1.1.3
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.3.254 255.255.255.0
!
interface GigabitEthernet5
ip address 172.16.10.254 255.255.255.0
On Demand Tunnel設定前の状態確認
TLOCの状態確認
vEdge2のTLOCを見ると、On Demandが0なことが確認できます。
vEdge2
vEdge2# show omp tlocs ip 2.2.2.2 detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS ON
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP DEMAND
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000000 3 2.2.2.2 1 - 0 default-group 0
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 261
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.2
public-port 12366
private-ip 172.16.2.2
private-port 12366
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x80000000
carrier default
restrict 1
on-demand 0
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
BFDの状態確認
vEdge2とvEdge3間でオーバレイトンネルが確立されていることが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:05:04:45 3
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:02:49:00 4
ルーティングテーブルの確認
vEdge2のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge3であることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
疎通確認
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2⇒vEdge3経由で通信していることが確認できます。
vEdge2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 16 msec
2 30.1.1.3 39 msec
3 30.1.1.13 70 msec
On Demand Tunnel用の設定追加
vEdge2とvEdge3に追加する設定
動的にトンネルを確立するvEdge2とvEdge3でon-demand enableコマンドを設定し、On Demand Tunnelを有効にします。on-demand idle-timeout <minute>コマンドでは、動的にオーバレイトンネルを確立後、何秒間通信が無い場合に、オーバレイトンネルを削除するかを指定します。
vEdge2
system
on-demand enable
on-demand idle-timeout 1
vEdge1に追加する設定
Intermediate Routerとして動作させるvEdge1ではservice TEコマンドを設定し、TEサービスを有効にします。
vEdge1
vpn 10
service TE
VPN Listの設定
VPN Listで、Custom Control Policyの適用先のVPNのIDを指定します。
Site Listの設定
Site Listで、vEdge2とvEdge3のSiteを定義します。
Prefix Listの設定
Prefix Listで、Site 2の20.1.1.0/24とSite 3の30.1.1.0/24を定義します。
Custom Control Policyの設定(vEdge2用)
vSmartからvEdge2にルート情報を広報する際、Site 3の30.1.1.0/24に対してvEdge1のTLOCを関連付け、かつ、TLOC ActionとしてBackupをセットするCustom Control Policyを定義します。
Custom Control Policyの設定(vEdge3用)
vSmartからvEdge3にルート情報を広報する際、Site 2の20.1.1.0/24に対してvEdge1のTLOCを関連付け、かつ、TLOC ActionとしてBackupをセットするCustom Control Policyを定義します。
Centralized Control Policyの設定
Centralized Control PolicyでvEdge2とvEdge3に対して、Outbound方向でCustom Control Policyを適用します。
On Demand Tunnel設定後の状態確認
トラフィック転送開始前
vSmartに投入された設定
vSmart
policy
lists
site-list Site_2
site-id 2
!
site-list Site_3
site-id 3
!
prefix-list Prefix_List_2
ip-prefix 20.1.1.0/24
!
prefix-list Prefix_List_3
ip-prefix 30.1.1.0/24
!
!
control-policy Custom_Control_Policy_2
sequence 1
match route
prefix-list Prefix_List_3
!
action accept
set
tloc-action backup
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
control-policy Custom_Control_Policy_3
sequence 1
match route
prefix-list Prefix_List_2
!
action accept
set
tloc-action backup
tloc 1.1.1.1 color biz-internet encap ipsec
!
!
!
default-action accept
!
!
apply-policy
site-list Site_2
control-policy Custom_Control_Policy_2 out
!
site-list Site_3
control-policy Custom_Control_Policy_3 out
vSmartが学習したServiceの確認
vSmartがvEdge1からTE Serviceを学習していることが確認できます。
vSmart
vSmart# show omp services
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Stg -> staged
IA -> On-demand inactive
Inv -> invalid
ADDRESS PATH
FAMILY VPN SERVICE ORIGINATOR FROM PEER ID LABEL STATUS
--------------------------------------------------------------------------------
ipv4 10 VPN 1.1.1.1 1.1.1.1 68 1003 C,I,R
10 VPN 2.2.2.2 2.2.2.2 68 1003 C,I,R
10 VPN 3.3.3.3 3.3.3.3 68 1003 C,I,R
10 TE 1.1.1.1 1.1.1.1 68 1005 C,I,R
On Demand Tunnelの設定確認
On Demand Tunnelの設定値はshow system on-demandコマンドで確認可能です。vEdge2とvEdge3でOn Demand Tunnelが有効なことが確認できます。
vEdge2
vEdge2# show system on-demand
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-CFG(min)
--------------------------------------------------------------------------
2 2.2.2.2 yes active 1
vEdge3
vEdge3# show system on-demand
SITE-ID SYSTEM-IP ON-DEMAND STATUS IDLE-TIMEOUT-CFG(min)
--------------------------------------------------------------------------
3 3.3.3.3 yes active 1
OMP(TLOC)の状態確認
vEdge2のOMPのTLOCを見ると、On Demandが1なことが確認できます。
vEdge2
vEdge2# show omp tlocs ip 2.2.2.2 detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS ON
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP DEMAND
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000000 3 2.2.2.2 1 - 0 default-group 1
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 261
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.2
public-port 12366
private-ip 172.16.2.2
private-port 12366
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
overlay-id not set
preference 0
tag not set
stale not set
weight 1
version 3
gen-id 0x80000000
carrier default
restrict 1
on-demand 1
groups [ 0 ]
bandwidth 0
qos-group default-group
border not set
unknown-attr-len not set
BFDの状態確認
vEdge2とvEdge3間でオーバレイトンネルが確立されていないことが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:05:04:45 3
OMP(Route)の状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge1のルート情報と、TLOCがvEdge3のルート情報が存在することが確認できます。TLOCがvEdge1のルート情報にはUltimate TLOCとしてvEdge3が割り当てられており、Backupオプションが有効なことが確認できます。
各ルート情報のStatusを見ると、TLOCがvEdge3のルート情報はIA(On Demand Inactive)なことが確認できます。
vEdge2
vEdge2# show omp routes 30.1.1.0/24 detail
---------------------------------------------------
omp route entries for vpn 10 route 30.1.1.0/24
---------------------------------------------------
RECEIVED FROM:
peer 10.1.10.31
path-id 19
label 1003
status C,I,R
loss-reason not set
lost-to-peer not set
lost-to-path-id not set
Attributes:
originator 3.3.3.3
type installed
tloc 1.1.1.1, biz-internet, ipsec
ultimate-tloc 3.3.3.3, biz-internet, ipsec -- backup
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
RECEIVED FROM:
peer 10.1.10.31
path-id 20
label 1003
status I,U,IA
loss-reason invalid
lost-to-peer 10.1.10.31
lost-to-path-id 19
Attributes:
originator 3.3.3.3
type installed
tloc 3.3.3.3, biz-internet, ipsec
ultimate-tloc not set
domain-id not set
overlay-id 1
site-id 3
preference not set
tag not set
origin-proto connected
origin-metric 0
as-path not set
community not set
unknown-attr-len not set
ルーティングテーブルの確認
vEdge2のルーティングテーブルを見ると、30.1.1.0/24のネクストホップとしてvEdge1とvEdge3が存在していることが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 1 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
トラフィック転送開始後
疎通確認(1回目)
R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2⇒vEdge1⇒vEdge3経由で通信していることが確認できます。
vEdge2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 14 msec
2 10.1.1.1 39 msec
3 30.1.1.3 80 msec
4 30.1.1.13 100 msec
BFDの状態確認
vEdge2とvEdge3間でオーバレイトンネルが確立されたことが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:00:17:20 4
172.16.2.2 172.16.3.3 ipsec 12366 12366 3.3.3.3 3 biz-internet biz-internet up 7 1000 0:00:03:42 5
OMP(Route)の状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge3のルート情報のみがルーティングテーブルにインストールされていることが確認できます。
vEdge2
vEdge2# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 7 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 19 1003 R installed 1.1.1.1 biz-internet ipsec -
10.1.10.31 20 1003 C,I,R installed 3.3.3.3 biz-internet ipsec -
ルーティングテーブルの確認
vEdge2のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge3のみに変化したことが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
疎通確認(2回目)
再度、R2の20.1.1.12からR3の30.1.1.13に対してTracerouteを実施します。
vEdge2⇒vEdge3経由で通信していることが確認できます。
vEdge2
R2#traceroute 30.1.1.13 source 20.1.1.12 probe 1
Type escape sequence to abort.
Tracing the route to 30.1.1.13
VRF info: (vrf in name/id, vrf out name/id)
1 20.1.1.2 16 msec
2 30.1.1.3 39 msec
3 30.1.1.13 70 msec
トラフィック転送終了から1分経過後
BFDの状態確認
vEdge2とvEdge3間のオーバレイトンネルが削除されたことが確認できます。
vEdge2
vEdge2# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
----------------------------------------------------------------------------------------------------------------------------------------------
172.16.2.2 172.16.1.1 ipsec 12366 12366 1.1.1.1 1 biz-internet biz-internet up 7 1000 0:05:04:45 3
OMP(Route)の状態確認
vEdge2がOMP経由で学習した30.1.1.0/24を見ると、TLOCがvEdge3のルート情報のステータスがIA(On Demand Inactive)に戻ったことが確認できます。
vEdge2
vEdge2# show omp routes
Code:
C -> chosen
I -> installed
Red -> redistributed
Rej -> rejected
L -> looped
R -> resolved
S -> stale
Ext -> extranet
Inv -> invalid
Stg -> staged
IA -> On-demand inactive
U -> TLOC unresolved
PATH ATTRIBUTE
VPN PREFIX FROM PEER ID LABEL STATUS TYPE TLOC IP COLOR ENCAP PREFERENCE
--------------------------------------------------------------------------------------------------------------------------------------
10 10.1.1.0/24 10.1.10.31 7 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10 20.1.1.0/24 0.0.0.0 68 1003 C,Red,R installed 2.2.2.2 biz-internet ipsec -
10 30.1.1.0/24 10.1.10.31 19 1003 C,I,R installed 1.1.1.1 biz-internet ipsec -
10.1.10.31 20 1003 I,U,IA installed 3.3.3.3 biz-internet ipsec -
ルーティングテーブルの確認
vEdge2のルーティングテーブルを見ると、30.1.1.0/24のネクストホップがvEdge1とvEdge3に戻ったことが確認できます。
vEdge2
vEdge2# show ip routes vpn 10 | tab
ADDRESS PATH PROTOCOL NEXTHOP NEXTHOP NEXTHOP
VPN FAMILY PREFIX ID PROTOCOL SUB TYPE METRIC IFNAME ADDR TLOC IP COLOR ENCAP VPN STATUS
-------------------------------------------------------------------------------------------------------------------------------
10 ipv4 10.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 20.1.1.0/24 0 connected - 0 ge0/1 - - - - - F,S
10 ipv4 30.1.1.0/24 0 omp - 0 - - 1.1.1.1 biz-internet ipsec - F,S
10 ipv4 30.1.1.0/24 1 omp - 0 - - 3.3.3.3 biz-internet ipsec - F,S
コメント