- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Virtual Switching System の設定
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.4.0SG および IOS 15.1(2)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月8日
章のタイトル: VRF-Lite の設定
VRF-Lite の設定
Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、ISP バックボーン ネットワーク上でお客様にセキュアな帯域幅共有を提供します。VPN は、共通ルーティング テーブルを共有するサイトの集合です。カスタマーのサイトは、1 つまたは複数のインターフェイスでサービス プロバイダーのネットワークに接続され、サービス プロバイダーが各インターフェイスを VPN ルーティング テーブルに対応付けます。VPN ルーティング テーブルは、VPN Routing/Forwarding(VRF; VPN ルーティング/転送)テーブルと呼ばれます。
Catalyst 4500 シリーズ スイッチは、VRF-Lite 機能を使用して Customer Edge(CE; カスタマー エッジ)デバイスで複数の VRF インスタンスをサポートします。(VRF-Lite は、Multi-VRF CE、または Multi-VRF CE デバイスともいいます)。VRF-Lite によって、サービス プロバイダーは 1 つのインターフェイスを使用して、重複する IP アドレスを持つ複数の VPN をサポートできます。
(注) Cisco IOS Release 12.2(52)SG から、Catalyst 4500 シリーズ スイッチでは、ルーティング プロトコル OSPF/EIGRP/BGP での VRF-Lite NSF サポートがサポートされています。
(注) スイッチでは、VPN のサポートのためにマルチプロトコル ラベル スイッチング(MPLS)が使用されません。MPLS VRF の詳細については、次の URL で『Cisco IOS Switching Services Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_vpn_ipv4_ipv6_ps6922_TSD_Products_Configuration_Guide_Chapter.html
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
VRF-Lite について
VRF-Lite の機能によって、サービス プロバイダーは、VPN 間で重複した IP アドレスを使用できる複数の VPN をサポートできます。VRF-Lite は入力インターフェイスを使用して異なる VPN のルートを区別し、各 VRF に 1 つまたは複数のレイヤ 3 インターフェイスを対応付けて仮想パケット転送テーブルを形成します。VRF のインターフェイスは、イーサネット ポートなどの物理インターフェイス、または VLAN SVI などの論理インターフェイスにすることができますが、レイヤ 3 インターフェイスは、一度に複数の VRF に属することはできません。
(注) VRF-Lite インターフェイスは、レイヤ 3 インターフェイスである必要があります。
•
CE デバイスにおいて、カスタマーは、1 つまたは複数のプロバイダー エッジ(PE)ルータへのデータ リンクを介してサービス プロバイダー ネットワークにアクセスできます。CE デバイスは、サイトのローカル ルートをプロバイダー エッジ ルータにアドバタイズし、そこからリモート VPN ルートを学習します。Catalyst 4500 シリーズ スイッチは CE にすることができます。
• プロバイダー エッジ(PE)ルータは、スタティック ルーティングまたはルーティング プロトコル(BGP、RIPv1、RIPv2 など)を使用して、CE デバイスとルーティング情報を交換します。
PE では、直接接続された VPN の VPN ルートを維持することだけが必要とされます。サービス プロバイダーのすべての VPN ルートを PE が維持する必要はありません。各 PE ルータは、直接接続しているサイトごとに VRF を維持します。すべてのサイトが同じ VPN に存在する場合は、PE ルータの複数のインターフェイスを 1 つの VRF に関連付けることができます。各 VPN は、指定された VRF にマッピングされます。PE ルータは、ローカル VPN ルートを CE から学習したあとで、IBGP を使用して別の PE ルータと VPN ルーティング情報を交換します。
• プロバイダー ルータ(またはコア ルータ)とは、サービス プロバイダー ネットワーク内にあり、CE デバイスに接続していないすべてのルータです。
VRF-Lite を使用すると、複数のお客様が 1 つの CE を共有できます。また、1 つの物理リンクのみが CE と PE 間に使用されます。共有 CE は、お客様ごとに別々の VRF テーブルを維持し、独自のルーティング テーブルに基づいて、お客様ごとにパケットをスイッチングまたはルーティングします。VRF-Lite は限定された PE の機能を CE デバイスに拡張して、個別の VRF テーブルを保守する機能を付与し、VPN のプライバシーおよびセキュリティをブランチ オフィスまで拡張します。
図 40-1 は、各 Catalyst 4500 シリーズ スイッチが複数の仮想 CE として動作する構成を示します。VRF-Lite はレイヤ 3 機能であるため、VRF の各インターフェイスはレイヤ 3 インターフェイスである必要があります。
図 40-1 複数の仮想 CE として動作する Catalyst 4500 シリーズ スイッチ
図 40-1 で、VRF-Lite の CE 対応ネットワークでのパケット転送プロセスについて説明します。
• CE が VPN からパケットを受信すると、CE は入力インターフェイスに基づいたルーティング テーブルを検索します。ルートが見つかると、CE はパケットを PE に転送します。
• 入力 PE は、CE からパケットを受信すると、VRF 検索を実行します。ルートが見つかると、ルータは対応する MPLS ラベルをパケットに追加し、MPLS ネットワークに送信します。
• 出力 PE は、ネットワークからパケットを受信すると、ラベルを除去してそのラベルを使用し、正しい VPN ルーティング テーブルを識別します。次に、出力 PE が通常のルート検索を行います。ルートが見つかると、パケットを正しい隣接デバイスに転送します。
• CE が出力 PE からパケットを受信すると、CE は入力インターフェイスを使用して正しい VPN ルーティング テーブルを検索します。ルートが見つかると、CE はパケットを VPN 内に転送します。
VRF を設定するには、VRF テーブルを作成し、VRF に対応付けられたレイヤ 3 インターフェイスを指定します。次に、VPN および CE と PE 間でルーティング プロトコルを設定します。BGP は、プロバイダーのバックボーンで VPN のルーティング情報を配布するために使用される優先ルーティング プロトコルです。VRF-Lite ネットワークには、次の 3 つの主要なコンポーネントがあります。
• VPN ルート ターゲット コミュニティ:VPN コミュニティの他のすべてのメンバをリストします。VPN コミュニティ メンバごとに VPN ルート ターゲットを設定する必要があります。
• VPN コミュニティ PE ルータのマルチプロトコル BGP ピアリング:VPN コミュニティのすべてのメンバに VRF の到着可能性情報を伝播します。VPN コミュニティのすべての PE ルータで BGP ピアリングを設定する必要があります。
• VPN 転送:VPN サービスプロバイダー ネットワークのすべての VPN コミュニティ メンバ間のすべてのトラフィックを転送します。
VRF-Lite のデフォルト設定
表 40-1 に、VRF のデフォルト設定を示します。
|
|
|
|---|---|
VRF-Lite 設定時の注意事項
ネットワークに VRF を設定する場合に、次の点に留意してください。
• VRF-Lite が設定されたスイッチは複数のカスタマーで共有され、すべてのカスタマーが独自のルーティング テーブルを持ちます。
• カスタマーは別々の VRF テーブルを使用するので、同じ IP アドレスを再利用できます。別々の VPN では IP アドレスの重複が許可されます。
• VRF-Lite では、複数のカスタマーが PE と CE の間で同一の物理リンクを共有できます。複数の VLAN を持つトランク ポートでは、パケットがお客様間で分離されます。すべてのカスタマーが独自の VLAN を持ちます。
• VRF-Lite は、すべての MPLS-VRF 機能(ラベル交換、Label Distribution Protocol(LDP)の隣接関係、またはラベル付きパケット)をサポートしていません。
• PE ルータでは、VRF-Lite の使用と複数の CE の使用には違いがありません。図 40-1 では、複数の仮想レイヤ 3 インターフェイスが VRF-Lite デバイスに接続されています。
• Catalyst 4500 シリーズ スイッチは、物理ポート、VLAN SVI、またはその 2 つの組み合わせを使用した VRF の設定をサポートしています。アクセス ポートまたはトランク ポート経由で SVI を接続できます。
• お客様は、別のお客様と重複しないかぎり、複数の VLAN を使用できます。お客様の VLAN は、スイッチに保存されている適切なルーティング テーブルの識別に使用される特定のルーティング テーブル ID にマッピングされます。
• レイヤ 3 TCAM リソースは、すべての VRF 間で共有されます。各 VRF が十分な CAM 領域を持つようにするには、maximum routes コマンドを使用します。
• VRF を使用した Catalyst 4500 シリーズ スイッチは、1 つのグローバル ネットワークと最大 64 の VRF をサポートできます。サポートされるルートの総数は、TCAM のサイズに制限されます。
• CE と PE 間のほとんどのルーティング プロトコル(BGP、OSPF、EIGRP、RIP、およびスタティック ルーティング)を使用できます。ただし、次の理由から External BGP(EBGP)を使用することを推奨します。
– BGP では、複数の CE とのやり取りに複数のアルゴリズムを必要としません。
– BGP は、さまざまな管理者によって稼働するシステム間でルーティング情報を渡すように設計されています。
– BGP では、ルートの属性を CE に簡単に渡すことができます。
• VRF-Lite は、Interior Gateway Routing Protocol(IGRP)および ISIS をサポートしません。
• VRF-Lite は、パケット スイッチング レートに影響しません。
• Cisco IOS Release 12.2(50)SG から、マルチキャストと VRF は、レイヤ 3 インターフェイスに一緒に設定できます。
• Catalyst 4500 シリーズ スイッチでは、すべての PIM プロトコル(PIM-SM、PIM-DM、PIM-SSM、PIM BiDIR)がサポートされます。
• router ospf の capability vrf-lite サブコマンドは、PE と CE 間のルーティング プロトコルとして OSPF が設定されている場合に使用する必要があります。
VRF の設定
1 つまたは複数の VRF を設定するには、次の作業を行います。
(注) 次のコマンドの構文および使用方法の詳細については、このリリースのスイッチ コマンド リファレンスと、http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html にある『Cisco IOS Switching Services Command Reference』を参照してください。
VRF を削除してすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF からあるインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VRF 認識サービスの設定
IP サービスは、グローバルなインターフェイス上と、グローバルなルーティング インスタンス内で設定できます。IP サービスは複数のルーティング インスタンス上で稼働するように拡張されます。これが、VRF 認識です。システム内の任意の設定済み VRF であればいずれも、VRF 認識サービス用に指定できます。
VRF 認識サービスは、プラットフォームから独立したモジュールに実装されています。VRF は、Cisco IOS 内の複数のルーティング インスタンスを提供します。各プラットフォームには、サポートする VRF 数に関して独自の制限があります。
• ユーザは、ユーザ指定の VRF 内のホストに ping を実行できます。
• ARP エントリは、個別の VRF で学習されます。ユーザは、特定の VRF の ARP エントリを表示できます。
• Unicast Reverse Path Forwarding(uRPF; ユニキャスト RPF)
ARP のユーザ インターフェイスの設定
VRF 認識サービスを ARP 用に設定するには、次の作業を実行します。
|
|
|
|
|
|
||
|
|
PING のユーザ インターフェイスの設定
VRF 認識 PING を実行するには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
SNMP のユーザ インターフェイスの設定
VRF 認識サービスを SNMP 用に設定するには、次の作業を実行します。
uRPF のユーザ インターフェイスの設定
VRF に割り当てられているインターフェイス上で、uRPF を設定できます。送信元の検索が VRF テーブルで実行されます。
VRF 認識サービスを uRPF 用に設定するには、次の作業を実行します。
Syslog のユーザ インターフェイスの設定
VRF 認識サービスを Syslog 用に設定するには、次の作業を実行します。
Traceroute のユーザ インターフェイスの設定
Traceroute に対して VRF 認識サービスを設定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
FTP および TFTP のユーザ インターフェイスの設定
FTP と TFTP が VRF 認識となるには、FTP と TFTP CLI をいくつか設定する必要があります。たとえば、インターフェイスに接続する VRF テーブル(たとえば、E1/0)テーブルを使用する場合、特定のルーティング テーブルを使用するように [t]ftp に通知されるように ip [t]ftp source-interface E1/0 コマンドを設定する必要があります。この例では、VRF テーブルが宛先 IP アドレスを検索するのに使用されます。これらの変更には下位互換性があり、既存の動作には影響を及ぼしません。VRF がそのインターフェイスに設定されていない場合でも、送信元インターフェイス CLI を使用して、特定のインターフェイスにパケットを送信できます。
FTP 接続の送信元 IP アドレスを指定するには、ip ftp source-interface show モード コマンドを使用します。接続が確立されているインターフェイスのアドレスを使用するには、no 形式のコマンドを使用します。
FTP および TFTP のユーザ インターフェイスを設定するには、次の作業を行います。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
TFTP 接続の送信元 IP アドレスとしてインターフェイスの IP アドレスを指定するには、 ip tftp source-interface show モード コマンドを使用します。デフォルトに戻るには、no 形式のコマンドを使用します。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
Telnet および SSH のユーザ インターフェイスの設定
Telnet および SSH の使用に関する VRF 認識を設定するには、次の作業を行います。
|
|
|
|
|
|
||
|
|
NTP のユーザ インターフェイスの設定
VRF 認識を NTP 用に設定するには、次の作業を実行します。
|
|
|
|
|
|
||
|
|
TACACS+ サーバ用の Per-VRF の設定
TACACS+ サーバ機能の per-VRF は TACACS+ サーバの per- 仮想単位ルート転送(per-VRF)の認証、認可、アカウンティング(AAA)を設定することができます。
TACACS+ サーバの per-VRF を設定する前に、AAA およびサーバ グループを設定しておく必要があります。VRF ルーティング テーブル(ステップ 3 および 4 で示すように)を作成し、インターフェイスを設定する(ステップ 6、7、および 8)ことができます。TACACS+ サーバの per-VRF 単位の実際の設定は、ステップ 10~13 で行われます。
次の例で、per-VRF TACACS+ の設定に必要なすべての手順をリストします。
Switch (config)# interface Loopback0
Switch (config-if)# ip vrf forwarding cisco
Switch (config-if)# ip address 10.0.0.2 255.0.0.0
Switch (config-sg-tacacs+)# ip vrf forwarding cisco
Switch (config-sg-tacacs+)# ip tacacs source-interface Loopback0
Switch (config-sg-tacacs)# exit
TACACS+ サーバの per-VRF の設定の詳細については、『Cisco IOS Per VRF for TACACS + Server, Release 12.3(7)T』を参照してください。
マルチキャスト VRF の設定
VRF テーブル内でマルチキャストを設定するには、次の作業を行います。
Multi-VRF CE 内でのマルチキャスト設定の詳細については、『Cisco IOS IP Multicast Configuration Guide, Release 12.4』を参照してください。
VRF を削除してすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF からあるインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VPN ルーティング セッションの設定
VPN 内のルーティングは、サポートされるルーティング プロトコル(RIP、OSPF、または BGP)、またはスタティック ルーティングで設定できます。ここで説明する設定は OSPF のものですが、その他のプロトコルでも手順は同じです。
|
|
|
|
|---|---|---|
OSPF ルーティングをイネーブルにし、VPN 転送テーブルを指定して、ルータ コンフィギュレーション モードを開始します。 |
||
Switch(config-router)# redistribute bgp autonomous-system-number subnets |
||
VPN 転送テーブルと OSPF ルーティング プロセスの関連付けを解除するには、 no router ospf process-id vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。
次の例は、VRF-RED という名前の単一の VRF を設定します。
BGP PE/CE ルーティング セッションの設定
CE ルーティング セッションに BGP PE を設定するには、次の作業を行います。
BGP ルーティング プロセスを削除するには、 no router bgp autonomous-system-number グローバル コンフィギュレーション コマンドを使用します。ルーティング特性を削除するには、コマンドにキーワードを指定してこのコマンドを使用します。
VRF-Lite の設定例
図 40-2 は、図 40-1 と同じネットワークの物理接続を単純化した例です。VPN1、VPN2、およびグローバル ネットワークで使用されるプロトコルは OSPF です。CE/PE 接続には BGP が使用されます。次の例のコマンドは、CE スイッチ S8 を設定する方法を示し、スイッチ S20 および S11 の VRF 設定、およびスイッチ S8 のトラフィックに関連する PE ルータ コマンドが含まれます。その他のスイッチの設定のコマンドは含まれていませんが、類似したものになります。
スイッチ S8 の設定
スイッチ S8 上のルーティングをイネーブルにし、VRF を設定します。
スイッチ S8 上でループバックおよび物理インターフェイスを設定します。ファスト イーサネット インターフェイス 3/5 は、PE へのトランク接続です。インターフェイス 3/7 および 3/11 は、VPN に接続します。
スイッチ S8 上で使用される VLAN を設定します。VLAN 10 は、CE と PE 間の VRF 11 によって使用されます。VLAN 20 は、CE と PE 間の VRF 12 によって使用されます。VLAN 118 および 208 は、それぞれスイッチ S11 およびスイッチ S20 を含む VPN の VRF に使用されます。
VPN1 および VPN2 に OSPF ルーティングを設定します。
スイッチ S20 の設定
スイッチ S11 の設定
PE スイッチ S3 の設定
スイッチ S3(ルータ)上では、次のコマンドはスイッチ S8 への接続だけを設定します。
VRF-Lite ステータスの表示
VRF-Lite の設定およびステータスに関する情報を表示するには、次の作業のいずれかを行います。
次に、VRF インスタンス内のマルチキャスト ルート テーブル情報を表示する例を示します。
(注) 表示される情報の詳細については、次の URL にある『Cisco IOS Switching Services Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html
フィードバック