- はじめに
- 製品概要
- CLI
- スイッチの初期設定
- スイッチの管理
- Cisco IOS ISSU プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- RPR および SSOを使用したスーパーバイザ エンジンの冗長設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- PoE の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの 設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイス の設定
- レイヤ 2 イーサネット インターフェイ スの設定
- SmartPort マクロの設定
- STP および MST の設定
- Resilient Ethernet Protocol の設定
- 任意の STP 機能の設定
- EtherChannel の設定
- IGMP スヌーピングとフィルタリング の設定
- IPv6 MLD スヌーピングの設定
- 802.1Q およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP および LLDP-MED の設定
- UDLD の設定
- レイヤ 3 インターフェイスの設定
- CEF の設定
- ユニキャスト RPF の設定
- 単一方向イーサネットの設定
- IP マルチキャストの設定
- PBR の設定
- VRF-Lite の設定
- QoS の設定
- 音声インターフェイスの設定
- PVLAN の設定
- 802.1X ポートベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの 設定
- DHCP スヌーピング、IP ソース ガー ド、およびスタティック ホストの IPSG の設定
- DAI の設定
- ACL によるネットワーク セキュリティ の設定
- ポート ユニキャストおよびマルチキャ スト フラッディング ブロック
- ストーム制御の設定
- SPAN と RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド Release 12.2(44)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月16日
章のタイトル: VRF-Lite の設定
VRF-Lite の設定
Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、ISP バックボーン ネットワーク上で帯域幅を共有する安全な手段をカスタマーに提供します。VPN は、共通のルーティング テーブルを共有するサイトの集まりです。カスタマーのサイトは、1 つまたは複数のインターフェイスでサービス プロバイダーのネットワークに接続され、サービス プロバイダーが各インターフェイスを VPN ルーティング テーブルに対応付けます。VPN ルーティング テーブルは、VPN Routing/Forwarding(VRF; VPN ルーティング/転送)テーブルと呼ばれます。
Catalyst 4500 シリーズ スイッチは、VRF-Lite 機能を使用して Customer Edge(CE; カスタマー エッジ)デバイスで複数の VRF インスタンスをサポートします(VRF-Liteは、Multi-VRF CE、または Multi-VRF CE デバイスともいいます)。VRF-Lite によって、サービス プロバイダーは 1 つのインターフェイスを使用して、重複する IP アドレスを持つ複数の VPN をサポートできます。
(注) スイッチは、VPN をサポートするのに Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)を使用しません。MPLS VRF については、次の URL で『Cisco IOS Switching Services Configuration Guide』Release 12.3 を参照してください。
http://www.cisco.com/univerd/cc/td/doc/product/software/ios123/123cgcr/swit_vcg.htm
•
「CE ルーティング セッションへの BGP PE の設定」
(注) この章のスイッチ コマンドの構文および使用方法の詳細については、『Catalyst 4500 Series Switch Cisco IOS Command Reference』および次の URL の関連マニュアルを参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios124/124cr/index.htm
VRF-Lite の概要
VRF-Lite の機能によって、サービス プロバイダーは、VPN 間で重複した IP アドレスを使用できる複数の VPN をサポートできます。VRF-Lite は入力インターフェイスを使用して異なる VPN のルートを区別し、各 VRF に 1 つまたは複数のレイヤ 3 インターフェイスを対応付けて仮想パケット転送テーブルを形成します。VRF のインターフェイスには、イーサネット ポートなどの物理インターフェイス、または VLAN(仮想 LAN)Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)などの論理インターフェイスが有効ですが、レイヤ 3 インターフェイスは、複数の VRF に属することは常にできません。
(注) VRF-Lite インターフェイスは、レイヤ 3 インターフェイスである必要があります。
• CE デバイスにおいて、カスタマーは、1 つまたは複数の Provider Edge(PE; プロバイダー エッジ)ルータへのデータ リンクを介してサービス プロバイダー ネットワークにアクセスできます。CE デバイスは、サイトのローカル ルートを PE ルータへアドバタイズし、PE ルータからリモート VPN ルートを学習します。Catalyst 4500 シリーズ スイッチは CE にすることができます。
• PE ルータは、スタティック ルーティング、または Border Gateway Protocol(BGP)、Routing Information Protocol バージョン 1(RIPv1)、Routing Information Protocol バージョン 2(RIPv2)などのルーティング プロトコルを使用して CE デバイスとルーティング情報を交換します。
• PE では、直接接続された VPN の VPN ルートを維持することだけが必要とされます。サービス プロバイダーのすべての VPN ルートを PE が維持する必要はありません。各 PE ルータは、直接接続されたサイトごとの VRF を維持します。このようなサイトのすべてが同一のVPNに参加する場合は、PE ルータ上の複数のインターフェイスを単一の VRF に対応付けることができます。各 VPN は、指定された VRF にマッピングされます。CE からローカルの VPN ルートが学習されると、PE ルータは Internal BGP(IBGP)を使用してその他の PE ルータと VPN ルーティング情報を交換します。
• プロバイダー ルータ(またはコア ルータ)は、CE デバイスに接続されていないサービス プロバイダー ネットワーク内のルータです。
VRF-Lite により、複数のカスタマーが 1 つの CE を共有でき、CE と PE の間には物理リンクが 1 つだけ使用されます。共有された CE は、カスタマーの別個の VRF テーブル、独自のルーティング テーブルに基づいて各カスタマーのパケットをスイッチングまたはルーティングします。VRF-Lite は、制限された PE 機能を CE デバイスに拡張して、VPN のプライバシーおよびセキュリティを支店に拡張するために、別個の VRF テーブルを維持する機能を提供しています。
図33-1 は、各 Catalyst 4500 シリーズ スイッチが複数の仮想 CE として動作する構成を示します。VRF-Lite はレイヤ 3 機能であるため、VRF の各インターフェイスはレイヤ 3 インターフェイスである必要があります。
図33-1 複数の仮想 CE として動作する Catalyst 4500 シリーズ スイッチ
次に、図33-1に表示される VRF-Lite CE 対応ネットワークのパケット転送プロセスを示します。
• CE が VPN からパケットを受信すると、CE は入力インターフェイスに基づいたルーティング テーブルを検索します。ルートが見つかると、CE はパケットを PE に転送します。
• 入力 PE が CE からのパケットを受信すると、VRF 検索を実行します。ルートが見つかると、ルータは対応する MPLS ラベルをパケットに追加して、それを MPLS ネットワークに送信します。
• 出力 PE がネットワークからパケットを受信すると、ラベルを除去し、そのラベルを使用して正しい VPN ルーティング テーブルを識別します。次に、出力 PE が通常のルート検索を行います。ルートが見つかると、PE はパケットを正しい隣接デバイスに転送します。
• CE が出力 PE からパケットを受信すると、CE は入力インターフェイスを使用して正しい VPN ルーティング テーブルを検索します。ルートが見つかると、CE はパケットを VPN 内に転送します。
VRF を設定するには、VRF テーブルを作成し、VRF に対応付けられたレイヤ 3 インターフェイスを指定します。次に、VPN、および CE と PE の間にルーティング プロトコルを設定します。BGP は、VPN ルーティング情報をプロバイダーのバックボーン上に配布するのに最適なルーティング プロトコルです。VRF-Lite ネットワークには、次の 3 つの主要なコンポーネントがあります。
• VPN ルート ターゲット コミュニティ ― VPN コミュニティの他のすべてのリストです。各 VPN コミュニティ メンバに VPN ルート ターゲットを設定する必要があります。
• VPN コミュニティ PE ルータのマルチプロトコル BGP ピアリング ― VPN コミュニティのすべてのメンバに VRF の到着可能性情報を伝播します。VPN コミュニティ内のすべての PE ルータに BGP ピアリングを設定する必要があります。
• VPN 転送 ― VPN サービスプロバイダー ネットワークのすべての VPN コミュニティ メンバ間のすべてのトラフィックを転送します。
VRF-Lite のデフォルト設定
表33-1 に、VRF のデフォルト設定を示します。
|
|
|
|---|---|
VRF-Lite 設定時の注意事項
ネットワークに VRF を設定する場合に、次の点に留意してください。
• VRF-Lite が設定されたスイッチは複数のカスタマーで共有され、すべてのカスタマーが独自のルーティング テーブルを持ちます。
• カスタマーは異なる VRF テーブルを使用するので、同一の IP アドレスを再使用できます。重複した IP アドレスは、異なる VPN で使用できます。
• VRF-Lite では、複数のカスタマーが PE と CE の間で同一の物理リンクを共有できます。複数の VLAN があるトランク ポートは、パケットをカスタマーごとに分類します。すべてのカスタマーが独自の VLAN を持ちます。
• VRF-Lite は、すべての MPLS-VRF 機能(ラベル交換、Label Distribution Protocol [LDP] の隣接関係、またはラベル付きパケット)をサポートしていません。
• PE ルータでは、VRF-Lite の使用と複数の CE の使用には違いがありません。図33-1では、複数の仮想レイヤ 3 インターフェイスが VRF-Lite デバイスに接続されています。
• Catalyst 4500 シリーズ スイッチは、物理ポート、VLAN SVI、またはその 2つの組み合わせを使用した VRF の設定をサポートしています。SVI は、アクセス ポートまたはトランク ポートを介して接続できます。
• カスタマーは、他のカスタマーと重複しないかぎり複数の VLAN を使用できます。カスタマーの VLAN は、スイッチに格納された適切なルーティング テーブルを識別するのに使用する、特定のルーティング テーブル ID にマッピングされます。
• レイヤ 3 Ternary CAM(TCAM)リソースは、すべての VRF 間で共有されます。各 VRF が十分な CAM(連想メモリ)領域を持つようにするには、maximum routes コマンドを使用します。
• VRF を使用した Catalyst 4500 シリーズ スイッチは、1 つのグローバル ネットワークと最大 64 の VRF をサポートできます。サポートされるルートの総数は、TCAM のサイズに制限されます。
• ほとんどのルーティング プロトコル(BGP、Open Shortest Path First [OSPF]、Enhanced Interior Gateway Routing Protocol [EIGRP]、Routing Information Protocol [RIP] 、およびスタティック ルーティング)を CE と PE 間で使用できます。ただし、次のような理由から External BGP(EBGP)の使用を推奨しています。
–BGP は、複数の CE と通信するのに複数のアルゴリズムを必要としません。
–BGP は、異なる管理下で実行されるシステム間でルーティング情報を渡すために設計されています。
–BGP を使用すると、CE にルートのアトリビュートを譲渡することが容易になります。
• VRF-Lite は、Interior Gateway Routing Protocol(IGRP)および ISIS をサポートしません。
• VRF-Lite は、パケット スイッチング レートに影響しません。
• マルチキャストを同時に同一のレイヤ 3 インターフェイス上に設定することはできません。
• router ospf の capability vrf-lite サブコマンドは、PE と CE 間のルーティング プロトコルとして OSPF が設定されている場合に使用する必要があります。
VRF の設定
1 つまたは複数の VRF を設定するには、次の作業を行います。
(注) コマンドの構文および使用方法の詳細については、このリリースに対するスイッチ コマンド リファレンスおよび『Cisco IOS Switching Services Command Reference』Release 12.2 を参照してください。
VRF を削除、および VRF からすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF から 1 つのインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VPN ルーティング セッションの設定
VPN 内のルーティングは、サポートされるルーティング プロトコル(RIP、OSPF、または BGP)、またはスタティック ルーティングで設定できます。ここで表示する設定は OSPF 用ですが、その他のプロトコルでもプロセスは同じです。
|
|
|
|
|---|---|---|
OSPF ルーティングをイネーブルにし、VPN 転送テーブルを指定して、ルータ コンフィギュレーション モードを開始します。 |
||
Switch(config-router)# redistribute bgp autonomous-system-number subnets |
||
OSPF ルーティング プロセスから VPN 転送テーブルの対応付けを解除するには、 no router ospf process-id vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。
CE ルーティング セッションへの BGP PE の設定
CE ルーティング セッションに BGP PE を設定するには、次の作業を行います。
BGP ルーティング プロセスを削除するには、 no router bgp autonomous-system-number グローバル コンフィギュレーション コマンドを使用します。ルーティングの特性を削除するには、キーワードとともにコマンドを使用します。
VRF-Lite の設定例
図33-2は、図33-1 と類似したネットワークの物理接続を簡略化した例です。OSPFは、VPN1、VPN2、およびグローバル ネットワークで使用されるプロトコルです。BGP は、CE と PE の接続に使用されます。次の例のコマンドは、CE スイッチ S8 を設定する方法を示し、スイッチ S20 および S11 の VRF 設定、およびスイッチ S8 のトラフィックに関連する PE ルータ コマンドが含まれます。その他のスイッチの設定のコマンドは含まれていませんが、類似したものになります。
スイッチ S8 の設定
スイッチ S8 上のルーティングをイネーブルにし、VRF を設定します。
スイッチ S8 上でループバックおよび物理インターフェイスを設定します。インターフェイス FastEthernet 3/5 は、PE へのトランク接続です。インターフェイス 3/7 および 3/11 は、VPN に接続します。
スイッチ S8 上で使用される VLAN を設定します。VLAN 10 は、CE と PE の間で VRF 11 によって使用されます。VLAN 20 は、CE と PE の間で VRF 12 によって使用されます。VLAN 118 および 208 は、それぞれスイッチ S11 およびスイッチ S20 を含む VPN の VRF に使用されます。
VPN1 および VPN2 に OSPF ルーティングを設定します。
スイッチ S20 の設定
スイッチ S11 の設定
PE スイッチ S3 の設定
スイッチ S3(ルータ)上では、次のコマンドはスイッチ S8 への接続だけを設定します。
VRF-Lite ステータスの表示
VRF-Lite の設定およびステータスに関する情報を表示するには、次の作業のいずれかを行います。
(注) この出力の情報の詳細については、次の URL の『Cisco IOS Switching Services Command Reference』Release 12.2 を参照してください。
http://www.cisco.com/univercd/cc/td/doc/product/software/ios122/122cgcr/fswtch_r
フィードバック