今回は、TLOCのColorに関して、詳しく説明したいと思います。
概要
NATとの組み合わせについて
Viptelaでは、NATを実施しているルータの背後にvEdgeが存在する場合でも、オーバレイトンネルを構築できます。
これは、vBondがSTUN(Session Traversal Utilities for NAT)サーバとしても動作しているからです。
vEdgeは自身が使用するIPアドレスとポート番号を格納したパケットをvBondに送信します。
そのため、途中でNATにより、パケットの送信元アドレスと送信元ポート番号が変換された場合でも、vBondはvEdgeのNAT変換前後のIPアドレスとポート番号を認識できます。
その後、vBondはvEdgeに対して、そのvEdgeのNAT変換後のパブリックなIPアドレスとポート番号を返信します。
この結果、vEdgeは自身がインターネット上で使用しているNAT変換後のパブリックなIPアドレスとポート番号を認識できます。
vEdgeのNAT前後のIPアドレスとポート番号は、TLOCに格納されます。そのため、vEdgeは他のvEdgeのNAT変換前後のIPアドレスとポート番号を認識できます。
(補足として、NATを実施しているルータの背後に存在しないvEdgeのパブリックなIPアドレス/ポート番号とプライベートなIPアドレス/ポート番号には同じ値が格納されます。)
vEdge1# show omp tlocs ip 1.1.1.1 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - carrier1 [ 0 ] - - 1 0x80000016 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 260
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5062
private-ip 192.168.1.1
private-port 12406
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
.
<一部省略>
この結果、vEdgeは他拠点のvEdgeのパブリックなIPアドレスとポート番号宛てにパケットを送信することができるようになり、NATルータの外部から内部のvEdgeに対して通信可能になります。
ViptelaのColorについて
vEdgeにグローバルアドレスを持たせて、直接インターネット回線を収容する構成では、Colorは適当に設定しても、オーバレイトンネルは確立されます。
しかし、vEdgeがNATルータの背後に存在する場合や、インターネットに直接出られる閉域網を使用する状況などにおいて、誤ったColorを設定した場合、オーバレイトンネルの確立に失敗します。
そのため、Colorの仕様を正しく理解しておくことは非常に大事です。
まず、Colorには、PublicとPrivateの2種類が存在します。
PublicタイプのColorは以下になります。
- 3g
- lte
- biz-internet
- public-internet
- blue
- green
- red
- gold
- silver
- bronze
一方、PrivateタイプのColorは以下になります。
- metro-ethernet
- mpls
- private1
- private2
- private3
- private4
- private5
- private6
オーバレイトンネルを確立するvEdge間のTLOCのColorの組み合わせによって、対向のvEdgeのパブリックなIPアドレスとポート番号にパケットを送信するか、プライベートなIPアドレスとポート番号にパケットを送信するかが変わってきます。
オーバレイトンネルを確立するTLOCのColorの組み合わせが以下の場合は、vEdgeは対向のvEdgeのパブリックなIPアドレスとポート番号宛てにパケットを送信します。
- PublicタイプのColor ⇔ PublicタイプのColor
- PublicタイプのColor ⇔ PrivateタイプのColor
もし、上記の構成で、誤って両方のvEdgeにPrivateタイプのColorを設定した場合、vEdge1はvEdge2のプライベートなIPアドレスとポート番号宛てにパケットを送信してしまい、オーバレイトンネルが確立できません。
オーバレイトンネルを確立するTLOCのColorの組み合わせが以下の場合は、vEdgeは対向のvEdgeのプライベートなIPアドレスとポート番号宛てにパケットを送信します。
- PrivateタイプのColor ⇔ PrivateタイプのColor
もし、上記の構成で、誤って両方のvEdgeにPublicタイプのColorを設定した場合、vEdge1はvEdge2のパブリックなIPアドレスとポート番号宛てにパケットを送信してしまい、オーバレイトンネルが確立できません。
そのため、契約しているWAN回線の種類によって、適切なColorを設定する必要があります。
検証環境、内容
検証内容
R1でPATを設定し、vEdge1が送信したパケットの送信元アドレスをR1のWANインタフェースのアドレスに変換します。
R2でPATを設定し、vEdge2が送信したパケットの送信元アドレスをR2のWANインタフェースのアドレスに変換します。
以下のパターンで、vEdge1とvEdge2のTLOCのColorを設定し、オーバレイトンネルが確立できるか確認します。
物理/論理構成
オーバレイネットワーク構成
初期設定
system
system-ip 10.1.10.11
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.11/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vBond
system-ip 10.1.10.21
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21 local vbond-only
!
vpn 0
interface ge0/0
ip address 172.16.10.21/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vSmart
system-ip 10.1.10.31
site-id 10
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface eth0
ip address 172.16.10.31/24
tunnel-interface
no shutdown
!
ip route 0.0.0.0/0 172.16.10.254
system
host-name vEdge1
system-ip 1.1.1.1
site-id 1
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 192.168.1.1/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 192.168.1.11
system
host-name vEdge2
system-ip 2.2.2.2
site-id 2
organization-name "Criterio1 - 19101"
vbond 172.16.10.21
!
vpn 0
interface ge0/0
ip address 192.168.2.2/24
tunnel-interface
encapsulation ipsec
!
no shutdown
!
ip route 0.0.0.0/0 192.168.2.12
interface GigabitEthernet2
ip address 172.16.1.11 255.255.255.0
ip nat outside
!
interface GigabitEthernet3
ip address 192.168.1.11 255.255.255.0
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet2 overload
ip route 0.0.0.0 0.0.0.0 172.16.1.254
!
access-list 1 permit any
interface GigabitEthernet2
ip address 172.16.2.12 255.255.255.0
ip nat outside
!
interface GigabitEthernet3
ip address 192.168.2.12 255.255.255.0
ip nat inside
!
ip nat inside source list 1 interface GigabitEthernet2 overload
ip route 0.0.0.0 0.0.0.0 172.16.2.254
!
access-list 1 permit any
interface GigabitEthernet2
ip address 172.16.1.254 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.2.254 255.255.255.0
!
interface GigabitEthernet4
ip address 172.16.10.254 255.255.255.0
ケース1(PublicタイプのColor同士)
vEdgeの設定の確認
vEdge1とvEdge2のTLOCにPublicタイプのColorであるbiz-internetを設定します。
vpn 0
interface ge0/0
tunnel-interface
color biz-internet
TLOCの確認
vEdge1とvEdge2でshow omp tlocコマンドを実行し、TLOCのパブリックなIPアドレスとポート番号、プライベートなIPアドレスとポート番号を確認します。
vEdge1# show omp tlocs ip 1.1.1.1 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000014 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 256
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5062
private-ip 192.168.1.1
private-port 12386
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
.
<一部省略>
vEdge2# show omp tlocs ip 2.2.2.2 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000019 3 2.2.2.2 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 256
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.12
public-port 5062
private-ip 192.168.2.2
private-port 12386
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
.
<一部省略>
オーバレイトンネルの確認
vEdge1でshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
-----------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.1 172.16.2.12 ipsec 12386 5062 2.2.2.2 2 biz-internet biz-internet up 7 1000 0:00:17:14 0
下記はvEdge1がvEdge2に対して送信したパケットになります。(vEdge1とR1間でキャプチャ)
vEdge1はvEdge2のパブリックなIPアドレスとポート番号宛てにパケットを送信していることが確認できます。
ケース2(PublicタイプのColorとPrivateタイプのColor)
vEdgeの設定の確認
vEdge1のTLOCにPublicタイプのColorであるbiz-internet、vEdge2のTLOCにPrivateタイプのColorであるmetro-thernetを設定します。
vpn 0
interface ge0/0
tunnel-interface
color biz-internet
vpn 0
interface ge0/0
tunnel-interface
color metro-ethernet
TLOCの確認
vEdge1とvEdge2でshow omp tlocコマンドを実行し、TLOCのパブリックなIPアドレスとポート番号、プライベートなIPアドレスとポート番号を確認します。
vEdge1# show omp tlocs ip 1.1.1.1 color biz-internet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000014 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 259
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5068
private-ip 192.168.1.1
private-port 12346
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
.
<一部省略>
vEdge2# show omp tlocs ip 2.2.2.2 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000019 3 2.2.2.2 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 258
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.12
public-port 5064
private-ip 192.168.2.2
private-port 12426
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
.
<一部省略>
オーバレイトンネルの確認
vEdge1でshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
-------------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.1 172.16.2.12 ipsec 12346 5064 2.2.2.2 2 biz-internet metro-ethernet up 7 1000 0:00:02:57 0
下記はvEdge1がvEdge2に対して送信したパケットになります。(vEdge1とR1間でキャプチャ)
vEdge1はvEdge2のパブリックなIPアドレスとポート番号宛てにパケットを送信していることが確認できます。
ケース3(PrivateタイプのColor同士)
vEdgeの設定の確認
vEdge1とvEdge2のTLOCにPrivateタイプのColorであるmetro-ethernetを設定します。
vpn 0
interface ge0/0
tunnel-interface
color metro-ethernet
TLOCの確認
vEdge1とvEdge2でshow omp tlocコマンドを実行し、TLOCのパブリックなIPアドレスとポート番号、プライベートなIPアドレスとポート番号を確認します。
vEdge1# show omp tlocs ip 1.1.1.1 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 1 0 - - default [ 0 ] - - 1 0x80000014 3 1.1.1.1 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.1.11
public-port 5063
private-ip 192.168.1.1
private-port 12426
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 1
.
<一部省略>
vEdge2# show omp tlocs ip 2.2.2.2 color metro-ethernet detail
PSEUDO ATTRIBUTE BFD UNKNOWN QOS
KEY TYPE STATUS DOMAIN ID SITE ID PREFERENCE TAG STALE CARRIER GROUPS BORDER ATTRIBUTE LEN WEIGHT GEN ID VERSION ORIGINATOR RESTRICT OVERLAY ID BANDWIDTH GROUP
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1 installed up - 2 0 - - default [ 0 ] - - 1 0x80000019 3 2.2.2.2 0 - 0 default-group
ADVERTISED TO:
peer 10.1.10.31
Attributes:
encap-key not set
encap-proto 0
encap-spi 257
encap-auth sha1-hmac,ah-sha1-hmac
encap-encrypt aes256
public-ip 172.16.2.12
public-port 5063
private-ip 192.168.2.2
private-port 12406
public-ip ::
public-port 0
private-ip ::
private-port 0
domain-id not set
site-id 2
.
<一部省略>
オーバレイトンネルの確認
vEdge1でshow bfd sessionsコマンドを実行し、オーバレイトンネルの状態を確認します。
vEdge1# show bfd sessions | tab
SRC DST SYSTEM SITE DETECT TX
SRC IP DST IP PROTO PORT PORT IP ID LOCAL COLOR COLOR STATE MULTIPLIER INTERVAL UPTIME TRANSITIONS
------------------------------------------------------------------------------------------------------------------------------------------------
192.168.1.1 192.168.2.2 ipsec 12426 12406 2.2.2.2 2 metro-ethernet metro-ethernet down 7 1000 NA 0
下記はvEdge1がvEdge2に対して送信したパケットになります。(vEdge1とR1間でキャプチャ)
vEdge1はvEdge2のプライベートなIPアドレスとポート番号宛てにパケットを送信していることが確認できます。
コメント
こんばんは。NATする際SourcePortが変換されてなさそうですが、
PrivateColorだからNAPTされないだけでPublicColor(というかInternet向け)だと
NAPTされるものなのでしょうか?
InternetにでるにはNAPT必須のイメージがあったので気になってしまいました。
コメントありがとうございます。
もしよろしければ、本記事のどこら辺の画像、または、showの出力を指しているか、教えていただけないしょうか。