VRF 対応ファイアウォールは、VRF 内で送受信される IP パケットを検査します。VRF では、ルーティング テーブルの複数のインスタンスを単一のルータ内で共存させることができます。これにより、VPN の分離が可能になり、IP アドレス空間の独立した重複が実現されます。VRF では、あるサービス プロバイダーの顧客からのトラフィックを他のサービス プロバイダーの顧客から分離することができます。Cisco IOS XE VRF サポートは、インターフェイス、ルーティング テーブル、および転送テーブルの個別のセットで構成されるそれぞれのルーティング ドメインを使って、ルータを複数のルーティング ドメインに分割します。各ルーティング ドメインは、テーブル ID と呼ばれる固有識別子によって参照されます。グローバル ルーティング ドメインとデフォルト ルーティング ドメイン（どの VRF にも関連付けられていない）は 0 のテーブル ID で解決されます。VRF は重複する IP アドレス空間をサポートするため、相互に重なりのない VRF からのトラフィックに同じ IP アドレスを割り当てることができます。

VRF 対応 Cisco IOS XE ファイアウォールは次のようなメリットを提供します。

• スケーラブルな展開：あらゆるネットワークの帯域幅とパフォーマンスの要件を満たすようにスケールします。

• VPN サポート：Cisco IOS XE IPSec とその他のソフトウェアベースのテクノロジー（Layer 2 Tunneling Protocol（L2TP）トンネリングや Quality of Service（QoS）など）に基づく、すべてが揃った VPN ソリューションを提供します。

• AIC サポート：Internet Message Access Protocol（IMAP）、Post Office Protocol 3（POP3）、Simple Mail Transfer Protocol（SMTP）、および Sun リモート プロシージャ コール（SUN RPC）用のポリシー マップを提供します。

• ユーザは VRF 単位でファイアウォールを設定できます。ファイアウォールは、VRF 内で送受信した IP パケットを検査します。また、2 つの異なる VRF（相互に重なりのある VRF）間のトラフィックも検査します。

• SP は、プロバイダー エッジ（PE）ルータにファイアウォールを展開できます。

• 重複する IP アドレス空間をサポートするため、相互に重なりのない VRF のトラフィックが同じ IP アドレスを持つことができます。

• VRF（グローバルではない）ファイアウォール コマンド パラメータとサービス妨害（DoS）パラメータをサポートするため、VRF 対応ファイアウォールは、さまざまな VPN 顧客に割り当てられた複数のインスタンス（VRF インスタンスを含む）として実行できます。

• VRF ID を含む高速ロギング（HSL）メッセージを生成します。ただし、これらのメッセージは 1 つのコレクタによって収集されます。

VRF 対応ファイアウォールを使用すれば、ファイアウォール セッションの数を制限することができます。ファイアウォール セッションが制限されていない場合は、複数の VRF でルータ リソースを共有することが困難になります。これは、1 つの VRF がリソースのほとんどを消費して、他の VRF のリソースが足りなくなることで、他の VRF でサービス妨害（DoS）が発生する可能性があるためです。

Note	Cisco ASR 1000 シリーズ アグリゲーション サービス ルータでは、ファイアウォールが最大 4000 の VRF をサポートします。

VRF はデバイスを複数のルーティング ドメインに分割します。これらの各ルーティング ドメインには、インターフェイスおよびルーティング テーブルの固有のセットが含まれています。ルーティング テーブルは、VRF ごとの一意のテーブル ID を使用して参照されます。ゼロは、VPN ルーティングおよび転送（VRF）に関連付けられていないデフォルトのグローバル ルーティング テーブル ID です。

交差しない VRF では、重複するアドレス空間を使用できます（つまり、ある VRF の IP アドレスが他の VRF に含まれることがあります）。

VPN ルーティングおよび転送（VRF）により、ルーティング テーブルの複数のインスタンスが同じデバイス内に共存できます。VRF はプロバイダー エッジ（PE）デバイス内に VRF テーブルのテンプレートを含みます。

通常、アドレスの重複は、カスタマー ネットワークでプライベート IP アドレスを使用していることから発生します。アドレスの重複は、ピアツーピア（P2P）VPN の実装を展開するうえで主要な障害物の 1 つです。重複アドレスの問題を解消するために、マルチプロトコル ラベル スイッチング（MPLS）VPN テクノロジーを使用できます。

各 VPN は、デバイスに独自のルーティングおよびフォワーディング テーブルがあるため、VPN に属するすべてのカスタマーまたはサイトには、そのテーブルに含まれるルート セットに対してのみアクセス権があります。そのため、MPLS VPN ネットワークの PE デバイスには、多数の VPN 別のルーティング テーブルと、サービス プロバイダー（SP）ネットワーク内の他のデバイスに到達するために使用される 1 つのグローバル ルーティング テーブルが含まれます。事実上、数多くの仮想デバイスが単一の物理デバイスに作成されます。

MPLS 対応ファイアウォールを使用しない VRF とも呼ばれる VRF-Lite 対応ファイアウォール機能は、ファイアウォール ゾーンを非 MPLS 対応 VPN ルーティングおよび転送（VRF）インターフェイスに適用できるようにします。

VRF-Lite 対応ファイアウォール機能を使用すれば、サービス プロバイダー（SP）は複数の VPN をサポートし、それらの VPN の間で IP アドレスを重複させることが可能です。VRF-lite は、入力インターフェイスを使用して異なる VPN のルートを区別し、1 つまたは複数のレイヤ 3 インターフェイスを各 VRF に関連付けることで仮想パケット転送テーブルを編成します。VRF には、イーサネット ポートなどの物理インターフェイス、または VLAN スイッチ仮想インターフェイス（SVI）などの論理インターフェイスを使用できます。ただし、1 つのレイヤ 3 インターフェイスは同時に複数の VRF に所属できません。

Note	すべての VRF-Lite インターフェイスをレイヤ 3 インターフェイスにする必要があります。

VRF-Lite には、次のデバイスが含まれます。

• カスタマー エッジ（CE）デバイスは、データ リンクによる SP ネットワークへのアクセスを顧客に提供します。CE デバイスは、サイトのローカル ルートをプロバイダー エッジ（PE）デバイスにアドバタイズして、PE デバイスからリモート VPN ルートに関する情報を入手します。

• PE デバイスは、スタティック ルーティングまたはルーティング プロトコル（Border Gateway Protocol（BGP）、Routing Information Protocol バージョン 1（RIPv1）、RIPv2 など）を使用して、CE デバイスとルーティング情報を交換します。

• PE デバイス（またはコア デバイス）は、CE デバイスに接続されていない SP ネットワーク内の任意のデバイスです。

• PE デバイスは、直接接続された VPN に関する VPN ルートのみを維持する必要があるだけで、すべての SP VPN ルートを維持する必要はありません。各 PE デバイスは、直接接続しているサイトごとに VRF を維持します。すべてのサイトが同じ VPN に属している場合は、PE デバイス上の複数のインターフェイスを 1 つの VRF に関連付けることができます。各 VPN は、指定された VRF にマッピングされます。CE デバイスからローカル VPN ルートを学習した後、PE デバイスは、内部 BGP（iBGP）を使用して他の PE デバイスと VPN ルーティング情報を交換します。

VRF-Lite を使用すると、複数の顧客が 1 つの CE デバイスを共有できます。その場合は、CE デバイスと PE デバイス間で 1 つの物理リンクのみが使用されます。共有 CE デバイスは、顧客ごとに別々の VRF テーブルを維持し、独自のルーティング テーブルに基づいて、顧客ごとにパケットをスイッチングまたはルーティングします。VRF-Lite は限定された PE デバイスの機能を CE デバイスに拡張して、個別の VRF テーブルを維持する機能を提供し、VPN のプライバシーとセキュリティをブランチ オフィスまで拡張します。

マルチプロトコル ラベル スイッチング（MPLS）VPN 機能を使用すると、サービス プロバイダー（SP）のネットワーク全体で複数のサイトを透過的に相互接続できます。1 つの SP ネットワークで、複数の IP VPN をサポートできます。VPN ユーザから見ると、各 VPN はその他すべてのネットワークとは隔離されたプライベート ネットワークです。1 つの VPN 内では、各拠点は同一 VPN 内のいずれの拠点にも IP パケットを送信できます。

各 VPN は、1 つ以上の VPN ルーティングおよび転送（VRF）インスタンスに関連付けられています。VRF は、1 つの IP ルーティング テーブル、派生した 1 つの Cisco Express Forwarding（CEF）テーブル、およびそのフォワーディング テーブルを使用する一連のインターフェイスで構成されます。

デバイスは、各 VRF に対し別々のルーティングおよび Cisco Express Forwarding テーブルを保持します。これにより、情報が VPN 外に送信されることが回避でき、重複 IP アドレスの問題を起こすことなく同一のサブネットが複数の VPN で使用可能になります。

マルチプロトコル BGP（MP-BGP）を使用しているデバイスは、MP-BGP 拡張コミュニティを使用して VPN のルーティング情報を配布します。

ネットワーク アドレス変換（NAT）を使用すると、なんらかの単一のデバイスが、インターネット（またはパブリック ネットワーク）とローカル（またはプライベート）ネットワーク間でエージェントとして機能できます。NAT システムは多様なレベルのセキュリティ機能を提供できますが、主な目的は、アドレス空間を節約することです。

組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。ネットワーク インフォメーション センター（NIC）登録 IP アドレスを所有していないサイトは、取得する必要があります。NAT は、何千もの非公開の内部アドレスを取得しやすいアドレスの範囲に動的にマップすることで、NIC 登録 IP アドレスの懸案事項を排除します。

NAT システムは、攻撃者が以下の情報を特定するのを困難にします。

• ネットワーク上で動作しているシステムの数。

• ネットワーク上で動作しているマシンとオペレーティング システムのタイプ。

• ネットワーク トポロジと配置。

NAT とマルチプロトコル ラベル スイッチング（MPLS）VPN の統合により、単一のデバイス上で複数の MPLS VPN を連動するように設定することができます。すべての MPLS VPN で同じ IP アドレス方式が使用されている場合でも、NAT で IP トラフィックを受信する MPLS VPN を区別できます。そのため、複数の MPLS VPN ユーザでサービスを共有しながら、各 MPLS VPN を相互に隔離できます。

インターネット接続、ドメイン ネーム サーバ（DNS）、VoIP サービスなどの付加価値サービスを顧客に提供するには、MPLS サービス プロバイダーが NAT を使用する必要があります。NAT は、MPLS VPN 顧客がネットワーク上で重複した IP アドレスを使用できるようにします。

また、NAT は、カスタマー エッジ（CE）デバイスまたはプロバイダー エッジ（PE）デバイスに実装できます。NAT と MPLS VPN の統合機能により、MPLS クラウド内の PE デバイスへの NAT の実装が可能になります。

アプリケーション層ゲートウェイ（ALG）は、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。ALG は NAT で上書きする必要があるパケット ペイロード内のアドレス情報を特定し、その情報を NAT とファイアウォールに提供してデータが正しく流れるようにするための下位フローまたはドアを作成します（データ フローの一例は FTP データフローです）。ドアは、特定の基準を満たす着信トラフィックを通過させる一時的な構造です。ドアは、完全な NAT セッション エントリを作成するのに十分な情報が得られなかった場合に作成されます。ドアには、送信元と宛先の IP アドレス、および宛先ポートに関する情報が含まれています。ただし、送信元ポートに関する情報は含まれていません。メディア データが到着すると、送信元ポート情報が知らされ、ドアは実際の NAT セッションに昇格します。

VRF 対応 IPsec 機能は、IPsec トンネルを Multiprotocol Label Switching（MPLS）VPN にマップします。VRF 対応 IPsec 機能を使用すれば、単一の公開 IP アドレスを使用して、IPsec トンネルを VPN ルーティングおよび転送（VRF）にマップすることができます。

各 IPsec トンネルは、2 つの VRF ドメインに関連付けられます。外部のカプセル化されたパケットは Front Door VRF（FVRF）という VRF ドメインに属します。内部の保護された IP パケットは、Inside VRF（IVRF）というドメインに属します。つまり、IPSec トンネルのローカル エンドポイントは FVRF に属しますが、内部パケットの送信元アドレスと宛先アドレスは IVRF に属すということです。

1 つ以上の IPsec トンネルを、単一のインターフェイス上で終了できます。これらのトンネルのすべての FVRF は同じものであり、そのインターフェイス上で設定されている VRF に設定されます。これらのトンネルの IVRF は異なる可能性があり、クリプト マップ エントリに付加された Security Association and Key Management Protocol（ISAKMP）プロファイル内で定義されている VRF に依存します。

次の図に、IPSec と MPLS VPN およびレイヤ 2 VPN 間のシナリオを示します。

VRF 対応ソフトウェア インフラストラクチャ（VASI）を使用すれば、2 つの異なる VRF インスタンスを経由するトラフィックにアクセス コントロール リスト（ACL）、NAT、ポリシング、ゾーンベース ファイアウォールなどのサービスを適用することができます。VASI インターフェイスは、ルート プロセッサ（RP）と転送プロセッサ（FP）の冗長性をサポートします。この機能は、VASI インターフェイス上で IPv4 と IPv6 のユニキャスト トラフィックをサポートします。

VASI の主な用途は、VRF のより適切な分離を実現することです。VASI は、共通のインターフェイスを共有している（すべての VRF がインターネット向けの同じインターフェイスを共有している場合など）他の VRF に影響を与えることなく、各 VRF 固有の機能を VASI インターフェイスに適用できるようにします。ファイアウォールでは、この機能により、ゾーンを VASI に適用することができます。

VASI は、仮想インターフェイスのペアを使用して実装されます。ペア内の各インターフェイスが別々の VRF に関連付けられます。VASI 仮想インターフェイスは、この 2 つの VRF 間で切り替える必要があるすべてのパケットのネクスト ホップ インターフェイスです。VASI インターフェイスは、2 つの VRF 間で NAT をサポートする必要があるフレームワークを提供します。

各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。2 つの仮想インターフェイスのペア（vasileft と vasiright）は、論理的にバックツーバックで接続されており、完全な対称性を有しています。各インターフェイスにはインデックスがあります。ペアリングの関連付けは、vasileft が自動的に vasiright にペア化されるように、2 つのインターフェイス インデックスに基づいて自動的に実行されます。BGP、Enhanced Interior Gateway Routing Protocol（EIGRP）、または Open Shortest Path First（OSPF）を使用して、スタティック ルーティングとダイナミック ルーティングのどちらかを設定することができます。BGP ダイナミック ルーティング プロトコルの制約事項とコンフィギュレーションが、VASI インターフェイス間の BGP ルーティング コンフィギュレーションに適用されます。VASI の詳細については、「 VRF 対応ソフトウェア インフラストラクチャの設定 」機能を参照してください。

セキュリティ ゾーンとは、ポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには、次の 2 つの手順を実行します。

• インターフェイスを付加できるようにゾーンを作成します。

• インターフェイスを特定のゾーンのメンバーとなるように設定します。

デフォルトでは、トラフィックは、同じゾーンのメンバーであるインターフェイス間を通ります。

インターフェイスがセキュリティゾーンのメンバーである場合、そのインターフェイスと別のゾーンにあるインターフェイスの間を通るすべてのトラフィック（デバイスに送信されるか、デバイスによって開始されたトラフィックを除く）はデフォルトでドロップされます。ゾーンメンバー インターフェイスおよび別のインターフェイスに対する両方向のトラフィックを許可するには、そのゾーンをゾーンペアの一部にして、そのゾーンペアにポリシーを適用する必要があります。ポリシーが inspect または pass アクションによってトラフィックを許可する場合、トラフィックはインターフェイスを通過できます。

ゾーンを設定するときに考慮する基本的な規則を次に示します。

• ゾーンインターフェイスからゾーン外のインターフェイスへのトラフィックまたはゾーン外のインターフェイスからゾーンインターフェイスへのトラフィックは常にドロップされます。ただし、デフォルトゾーンが有効でないことが条件です（デフォルトゾーンはゾーン外のインターフェイスです）。

• 2 つのゾーンインターフェイス間のトラフィックは、各ゾーンにゾーンペアの関係があるかどうか、およびそのゾーンペアにポリシーが設定されているかどうかが検査されます。

• デフォルトでは、同一ゾーン内の 2 つのインターフェイス間のすべてのトラフィックは常に許可されます。

• ゾーン ペアは、ゾーンを送信元ゾーンおよび宛先ゾーンの両方として設定できます。このゾーンペアで検査ポリシーを設定して、2 つのゾーン間のトラフィックを検査、転送、またはドロップできます。

• インターフェイスがメンバーになれるのは、1 つのセキュリティ ゾーンだけです。

• インターフェイスがセキュリティ ゾーンのメンバーの場合、そのゾーンを含むゾーン ペアで明示的なゾーン間ポリシーを設定しない限り、方向に関係なくそのインターフェイスを通過するすべてのトラフィックがブロックされます。

• トラフィックがデバイスのすべてのインターフェイス間を通過するようにするには、これらのインターフェイスが 1 つのセキュリティゾーンまたは別のセキュリティゾーンのメンバーである必要があります。すべてのデバイスインターフェイスがセキュリティゾーンのメンバーである必要はありません。

• ゾーンに関連付けられたすべてのインターフェイスは、同じ仮想ルーティングおよび転送（VRF）に含まれている必要があります。

図 1 には、次のことが示されています。

• インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。

• インターフェイス E2 は、セキュリティ ゾーン Z2 のメンバーです。

• インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。

• ゾーン ペアとポリシーは、同じゾーンで設定されます。インターフェイス E0 と E1 は同じセキュリティ ゾーン（Z1）のメンバーなので、2 つのインターフェイス間のトラフィックは自由に流れます。

• ポリシーが設定されていない場合、他のインターフェイス間（E0 と E2 の間、E1 と E2 の間、E3 と E1 の間、E3 と E2 の間など）でトラフィックは流れません。

• トラフィックを許可する明示的なポリシーがゾーン Z1 とゾーン Z2 間で設定されている場合だけ、E0 または E1 と E2 間でトラフィックが流れます。

• デフォルトゾーンが有効になっていないかぎり、E3 と E0、E1、または E2 の間でトラフィックは流れません。

Note	Cisco ASR 1000 シリーズ アグリゲーション サービス ルータでは、ファイアウォールは最大 4000 のゾーンをサポートします。

ファイアウォールをネットワーク内の複数のポイントに展開することで、VPN サイトと共有サービス（またはインターネット）を双方向で保護できます。ここでは、次のファイアウォール展開シナリオについて説明します。