この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この機能は、IPv6 ファイアウォールでの VRF 対応サービス インフラストラクチャ(VASI)インターフェイスをサポートします。この機能により、アクセス コントロール リスト(ACL)、ネットワーク アドレス変換(NAT)、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる Virtual Routing and Forwarding(VRF)インスタンスの間を流れるトラフィックに適用できます。VASI インターフェイスは、ルート プロセッサ(RP)とフォワーディング プロセッサ(FP)の冗長性をサポートします。VASI インターフェイスは IPv4 および IPv6 ユニキャスト トラフィックをサポートします。
このモジュールでは、VASI インターフェイスの概要を紹介し、VASI インターフェイスを設定する方法を説明します。
VRF 対応ソフトウェア インフラストラクチャ(VASI)インターフェイス経由のマルチプロトコル ラベル スイッチング(MPLS)トラフィックはサポートされません。
IPv4 と IPv6 のマルチキャスト トラフィックはサポートされません。
VRF 対応ソフトウェア インフラストラクチャ(VASI)を使用すると、ファイアウォール、GETVPN、IPsec、およびネットワークアドレス変換(NAT)などのサービスを、異なる仮想ルーティングおよび転送(VRF)インスタンスを横断するトラフィックに適用できます。VASI は仮想インターフェイスのペアを使用して実行され、ペア内の各インターフェイスは別の VRF インスタンスに関連付けられます。VASI 仮想インターフェイスは、これら 2 つの VRF インスタンス間で切り替える必要がある、すべてのパケットのネクストホップ インターフェイスです。VASI インターフェイスは、VRF インスタンス間にファイアウォールまたは NAT を設定するためのフレームワークを提供します。
各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。ペアリングは、vasileft インターフェイスが自動的に vasiright インターフェイスへのペアとなるように、2 つのインターフェイスのインデックスに基づいて自動的に行われます。たとえば、下の図では、vasileft1 と vasiright1 は自動的にペアになり、vasileft1 に入るパケットは vasiright1 に内部的に渡されます。
VASI インターフェイスでは、内部ボーダー ゲートウェイ プロトコル(IBGP)、Enhanced Interior Gateway Routing Protocol(EIGRP)、および Open Shortest Path First(OSPF)を使用して、スタティック ルーティングまたはダイナミック ルーティングのいずれかを設定できます。
次の図は、同じデバイスの VRF 間 VASI 設定を示しています。
パケットが VRF 1(ギガビット イーサネット 0/2/0.3)に属する物理インターフェイスに入ります。
パケットを転送する前に、VRF1 ルーティング テーブルでフォワーディング ルックアップが実行されます。Vasileft1 がネクスト ホップとして選択され、存続可能時間(TTL)値がパケットから引かれます。通常、フォワーディング アドレスは VRF のデフォルト ルートに基づいて選択されます。ただし、フォワーディング アドレスはスタティック ルートまたは学習したルートになる可能性もあります。パケットは vasileft1 の出力パスに送信されてから、vasiright1 入力パスに自動的に送信されます。
パケットが vasiright1 に入ると、VRF 2 ルーティング テーブルでフォワーディング ルックアップが実行され、TTL が再度減らされます(このパケットでは 2 回目)。
VRF 2 はパケットを物理インターフェイス、ギガビット イーサネット 0/3/0.5 へ転送します。
次の図は VASI がマルチプロトコル ラベル スイッチング(MPLS)VPN 設定で機能するしくみを示します。
 Note |
次の図で、MPLS はギガビット イーサネット インターフェイスで有効になっていますが、MPLS トラフィックは VASI ペア間ではサポートされていません。 |
パケットが VPN ラベルを持つ MPLS インターフェイスに到着します。
VPN ラベルがパケットから取り除かれ、VRF 2 でフォワーディング ルックアップが実行され、パケットが vasiright1 に転送されます。TTL 値がパケットから引かれます。
パケットが入力パスの vasileft1 に入り、別のフォワーディング ルックアップが VRF1 で行われます。パケットが VRF1 の出力物理インターフェイス(ギガビット イーサネット 0/2/0.3)に送信されます。TTL がパケットから再度減らされます。
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
vrf definition vrf-name Example: |
Virtual Routing and Forwarding(VRF)ルーティング テーブル インスタンスを設定し、VRF コンフィギュレーション モードを開始します。 |
|
Step 4 |
address-family ipv6 Example: |
アドレス ファミリ コンフィギュレーション モードを開始し、標準の IPv6 アドレス プレフィックスを伝送するセッションを設定します。 |
|
Step 5 |
exit-address-family Example: |
アドレス ファミリ コンフィギュレーション モードを終了して、VRF コンフィギュレーション モードを開始します。 |
|
Step 6 |
end Example: |
VRF コンフィギュレーション モードを終了して、特権 EXEC モードを開始します。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
ipv6 unicast-routing Example: |
IPv6 ユニキャスト データグラムの転送を有効にします。 |
|
Step 4 |
class-map type inspect match-any class-map-name Example: |
検査タイプ クラス マップを作成し、QoS クラス マップ コンフィギュレーション モードを開始します。 |
|
Step 5 |
match protocol name Example: |
指定されたプロトコルに基づいて、クラス マップ一致基準を設定します。 |
|
Step 6 |
match protocol name Example: |
指定されたプロトコルに基づいて、クラス マップ一致基準を設定します。 |
|
Step 7 |
exit Example: |
QoS クラス マップ コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 8 |
policy-map type inspect policy-map-name Example: |
プロトコル固有の検査タイプ ポリシー マップを作成して、QoS ポリシーマップ コンフィギュレーション モードを開始します。 |
|
Step 9 |
class type inspect class-map-name Example: |
アクションの実行対象となるトラフィック クラスを指定し、QoS ポリシー マップ クラス コンフィギュレーション モードを開始します。 |
|
Step 10 |
inspect Example: |
ステートフル パケット インスペクションをイネーブルにします。 |
|
Step 11 |
exit Example: |
QoS ポリシー マップ クラス コンフィギュレーション モードを終了し、QoS ポリシー マップ コンフィギュレーション モードを開始します。 |
|
Step 12 |
class class-default Example: |
|
|
Step 13 |
end Example: |
QoS ポリシーマップ クラス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
zone security zone-name Example: |
|
|
Step 4 |
exit Example: |
セキュリティ ゾーン コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 5 |
zone-pair security zone-pair-name source source-zone destination destination-zone Example: |
|
|
Step 6 |
service-policy type inspect policy-map-name Example: |
|
|
Step 7 |
exit Example: |
セキュリティ ゾーンペア コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードを開始します。 |
|
Step 8 |
interface type number Example: |
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 9 |
vrf forwarding vrf-name Example: |
インターフェイスまたはサブインターフェイスに Virtual Routing and Forwarding(VRF)インスタンスまたは仮想ネットワークを関連付けます。 |
|
Step 10 |
no ip address Example: |
IP アドレスを削除するか、IP 処理をディセーブルにします。 |
|
Step 11 |
zone member security zone-name Example: |
インターフェイスをセキュリティ ゾーンにアタッチします。 |
|
Step 12 |
ipv6 address ipv6-address/prefix-length Example: |
IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 13 |
ipv6 enable Example: |
明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 14 |
negotiation auto Example: |
ギガビット イーサネット インターフェイス上で速度、デュプレックス モード、およびフロー制御のアドバタイズをイネーブルにします。 |
|
Step 15 |
exit Example: |
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
|
Step 16 |
interface type number Example: |
インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 17 |
no ip address Example: |
IP アドレスを削除するか、IP 処理をディセーブルにします。 |
|
Step 18 |
ipv6 address ipv6-address/prefix-length Example: |
IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 19 |
ipv6 enable Example: |
明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 20 |
negotiation auto Example: |
ギガビット イーサネット インターフェイス上で速度、デュプレックス モード、およびフロー制御のアドバタイズをイネーブルにします。 |
|
Step 21 |
end Example: |
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
| Command or Action | Purpose | |
|---|---|---|
|
Step 1 |
enable Example: |
|
|
Step 2 |
configure terminal Example: |
グローバル コンフィギュレーション モードを開始します。 |
|
Step 3 |
interface type number Example: |
VASI インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 4 |
vrf forwarding vrf-name Example: |
インターフェイスまたはサブインターフェイスに Virtual Routing and Forwarding(VRF)インスタンスまたは仮想ネットワークを関連付けます。 |
|
Step 5 |
ipv6 address ipv6-address/prefix-length link-local Example: |
インターフェイスの IPv6 リンクローカル アドレスを設定し、そのインターフェイスでの IPv6 処理をイネーブルにします。 |
|
Step 6 |
ipv6 address ipv6-address/prefix-length Example: |
IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 7 |
ipv6 enable Example: |
明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 8 |
no keepalive Example: |
キープアライブ パケットをディセーブルにします。 |
|
Step 9 |
zone member security zone-name Example: |
インターフェイスをセキュリティ ゾーンにアタッチします。 |
|
Step 10 |
exit Example: |
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
|
Step 11 |
interface type number Example: |
VASI インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。 |
|
Step 12 |
ipv6 address ipv6-address/prefix-length link-local Example: |
インターフェイスの IPv6 リンクローカル アドレスを設定し、そのインターフェイスでの IPv6 処理をイネーブルにします。 |
|
Step 13 |
ipv6 address ipv6-address/prefix-length Example: |
IPv6 の一般的なプレフィックスに基づいて IPv6 アドレスを設定し、インターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 14 |
ipv6 enable Example: |
明示的な IPv6 アドレスが設定されていないインターフェイスにおける IPv6 処理をイネーブルにします。 |
|
Step 15 |
no keepalive Example: |
キープアライブ パケットをディセーブルにします。 |
|
Step 16 |
exit Example: |
インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに入ります。 |
|
Step 17 |
ipv6 route ipv6-prefix/prefix-length interface-type interface-number ipv6-address Example: |
スタティック IPv6 ルートを確立します。 |
|
Step 18 |
ipv6 route vrf vrf-name ipv6-prefix/prefix-length interface-type interface-number ipv6-address Example: |
IPv6 アドレスのすべての VRF テーブルまたは特定の VRF テーブルを指定します。 |
|
Step 19 |
end Example: |
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードを開始します。 |
Device# configure terminal
Device(config)# vrf definition VRF1
Device(config-vrf)# address-family ipv6
Device(config-vrf-af)# exit-address-family
Device(config-vrf)# end
Device# configure terminal
Device(config)# ipv6-unicast routing
Device(config)# class-map type inspect match-any c-map
Device(config-cmap)# match protocol icmp
Device(config-cmap)# match protocol tcp
Device(config-cmap)# match protocol udp
Device(config-cmap)# exit
Device(config)# policy-map type inspect p-map
Device(config-pmap)# class type inspect c-map
Device(config-pmap-c)# inspect
Device(config-pmap-c)# exit
Device(config-pmap)# class class-default
Device(config-pmap-c)# endDevice# configure terminal
Device(config)# zone security in
Device(config)# exit
Device(config)# zone security out
Device(config)# exit
Device(config)# zone-pair security in-out source in destination out
Device(config-sec-zone-pair)# service-policy type inspect p-map
Device(config-sec-zone-pair)# exit
Device(config)# interface gigabitethernet 0/0/0
Device(config-if)# vrf forwarding VRF1
Device(config-if)# no ip address
Device(config-if)# zone member security in
Device(config-if)# ipv6 address 2001:DB8:2:1234/64
Device(config-if)# ipv6 enable
Device(config-if)# negotiation auto
Device(config-if)# exit
Device(config)# interface gigabitethernet 0/0/1
Device(config-if)# no ip address
Device(config-if)# ipv6 address 2001:DB8:3:1234/64
Device(config-if)# ipv6 enable
Device(config-if)# negotiation auto
Device(config-if)# end
Device# configure terminal
Device(config)# interface vasileft 1
Device(config-if)# vrf forwarding VRF1
Device(config-if)# ipv6 address FE80::8EB6:4FFF:FE6C:E701 link-local
Device(config-if)# ipv6 address 2001:DB8:4:1234/64
Device(config-if)# ipv6 enable
Device(config-if)# no keepalive
Device(config-if)# zone-member security out
Device(config-if)# exit
Device(config)# interface vasiright 1
Device(config-if)# ipv6 address FE80::260:3EFF:FE11:6770 link-local
Device(config-if)# ipv6 address 2001:DB8:4:1234/64
Device(config-if)# ipv6 enable
Device(config-if)# no keepalive
Device(config-if)# exit
Device(config)# ipv6 route 2001::/64 vasileft 1 2001::/64
Device(config)# ipv6 route vrf vrf1 2001::/64 vasiright 1 2001::/64
Device(config)# end |
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco IOS コマンド |
|
|
セキュリティ コマンド |
|
|
説明 |
リンク |
|---|---|
|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。|
機能名 |
リリース |
機能情報 |
|---|---|---|
|
VASI インターフェイス経由の IPv6 ゾーンベース ファイアウォール サポート |
Cisco IOS XE リリース 3.7S |
この機能は、IPv6 ファイアウォール経由の VASI インターフェイスをサポートします。この機能により、アクセス コントロール リスト(ACL)、ネットワーク アドレス変換(NAT)、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる Virtual Routing and Forwarding(VRF)インスタンスの間を流れるトラフィックに適用できます。VASI インターフェイスは、ルート プロセッサ(RP)とフォワーディング プロセッサ(FP)の冗長性をサポートします。VASI インターフェイスは IPv4 および IPv6 ユニキャスト トラフィックをサポートします。 この機能について導入または変更されたコマンドはありません。 |
フィードバック