OCIとオンプレミス間のVPN接続にBGPを使用した場合の検証を行いました。
スタティックルートによる制御に比べてオンプレミス及びOCI側のルート設定のための
手間が省けることと、冗長化する場合の経路制御が簡単になります。
テスト構成ではBGPルータを1台(IX2105)用意、1本のインターネット回線を利用してOCIと
2本のIPSecトンネルを張りました。
またOCIとオンプレミス間の経路交換にはBGPを利用してMain&Backupの冗長構成にしており、
AS-PATH PREPEND機能を使って制御してみました。
【BGP利用時の構成イメージ】
【OCI側の設定方法】
- 「Create IPSec Connectionを選択します」
-
CUSTOMER-PREMISES EQUIPMENT COMPARTMENT
⇒ IPSec接続の対象になるCPEを選択します -
DYNAMIC ROUTING GATEWAY COMPARTMENT
⇒ IPSec接続に利用するDRGを選択します
- CPE IKE IDENTIFIER
⇒ CPEのグローバルIPを入力します(NAT or NAPTを利用時は変換前のIPを入力)
※Tunnel1&Tunnel2共通
-
ROUTING TYPE
⇒ 「BGP DYNAMIC ROUTING」を選択します -
BGP ASN
⇒ オンプレミス側のASNを入力します -
INSIDE TUNNEL INTERFACE - CPE
⇒ BGPピアリングに使用するCPE側のIPアドレスを入力します -
INSIDE TUNNEL INTERFACE - ORACLE
⇒ BGPピアリングに使用するORACLE側のIPアドレスを入力します
【IXルータのBGP設定抜粋】
ip prefix-list as-path-in 10 permit any
ip prefix-list as-path-out 10 permit any
⇒ route-mapを適用する通信(inbound&outbound)を指定するためのprefix-listを作成
route-map rmap-in permit 10
match ip address prefix-list as-path-in
set as-path prepend 31898 31898
⇒ inbound通信に適用するためのroute-mapを作成
条件にmatchした場合はAS-PATHを追加(31898×2)する
※TUNNEL1またはTUNNEL2から受信する経路のAS-PATH値を制御するための設定
route-map rmap-out permit 10
match ip address prefix-list as-path-out
set as-path prepend [オンプレミス側のASN] [オンプレミス側のASN]
⇒ outbound通信に適用するためのroute-mapを作成
条件にmatchした場合はAS-PATHを追加(オンプレミス側ASN×2)する
※TUNNEL1またはTUNNEL2から送信する経路のAS-PATH値を制御するための設定
router bgp [オンプレミス側のASN]
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#1] remote-as 31898
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#1] timers 10 30
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#2] remote-as 31898
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#2] timers 10 30
address-family ipv4 unicast
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#2] route-map rmap-in in
neighbor [INSIDE TUNNEL INTERFACE - CPEのIP#2] route-map rmap-out out
⇒ CPE#2とのBGPピアリングを経由する通信にroute-mapを適用
【設定後の確認】
- Main経路のルート交換状況
- Backup経路のルート交換状況
