- はじめに
- 製品概要
- CLI
- スイッチの初期設定
- スイッチの管理
- RPR および SSO を使用したスーパーバイザ エンジンの冗長 設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Cisco NSF/SSO スーパーバイザ エンジンの 冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設 定
- SmartPort マクロの設定
- STP および MST の設定
- 任意の STP 機能の設定
- EtherChannel の設定
- CDP の設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- LLDP と LLDP-MED の設定
- UDLD の設定
- レイヤ 3 インターフェイスの設定
- CEF の設定
- ユニキャスト Reverse Path Forwarding の 設定
- IP マルチキャストの設定
- PBR の設定
- VRF-Lite の設定
- Flexible NetFlow の設定
- QoS の設定
- 音声インターフェイスの設定
- プライベート VLAN(PVLAN)の設定
- 802.1X ポートベース認証の設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの設定
- DHCP スヌーピング、IP ソース ガード、 およびスタティック ホストの IPSG の設定
- DAI の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN と RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- Call Home の設定
- 診断の実行
- ROM モニタ
- MIB サポートの設定
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェアコンフィギュレーションガイド リリース IOS-XE 3.1.0 SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: VRF-Lite の設定
VRF-Lite の設定
Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、ISP バックボーン ネットワーク上で帯域幅を共有する安全な手段をカスタマーに提供します。VPN は、共通のルーティング テーブルを共有するサイトの集まりです。カスタマーのサイトは、1 つまたは複数のインターフェイスでサービス プロバイダーのネットワークに接続され、サービス プロバイダーが各インターフェイスを VPN ルーティング テーブルに対応付けます。VPN ルーティング テーブルは、VPN Routing/Forwarding(VRF; VPN ルーティング/転送)テーブルと呼ばれます。
Catalyst 4500 シリーズ スイッチは、VRF-Lite 機能を使用して Customer Edge(CE; カスタマー エッジ)デバイスで複数の VRF インスタンスをサポートします(VRF-Lite は、Multi-VRF CE、または Multi-VRF CE デバイスともいいます)。VRF-Lite によって、サービス プロバイダーは 1 つのインターフェイスを使用して、重複する IP アドレスを持つ複数の VPN をサポートできます。
(注) Cisco IOS Release 12.2(52)SG から、Catalyst 4500 シリーズ スイッチでは、ルーティング プロトコル OSPF/EIGRP/BGP での VRF-Lite NSF サポートがサポートされています。
(注) スイッチは、VPN をサポートするのに Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)を使用しません。MPLS VRF については、次の URL で『Cisco IOS Switching Services Configuration Guide』を参照してください。
http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_vpn_ipv4_ipv6_ps6922_TSD_Pro
ducts_Configuration_Guide_Chapter.html
•
「CE ルーティング セッションへの BGP PE の設定」
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html
Catalyst 4500 のコマンド リファレンスに掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Catalyst 4500 Series Switch Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
VRF-Lite の概要
VRF-Lite の機能によって、サービス プロバイダーは、VPN 間で重複した IP アドレスを使用できる複数の VPN をサポートできます。VRF-Lite は入力インターフェイスを使用して異なる VPN のルートを区別し、各 VRF に 1 つまたは複数のレイヤ 3 インターフェイスを対応付けて仮想パケット転送テーブルを形成します。VRF のインターフェイスには、イーサネット ポートなどの物理インターフェイス、または Virtual LAN(VLAN; 仮想 LAN)Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)などの論理インターフェイスが有効ですが、レイヤ 3 インターフェイスは、複数の VRF に属することは常にできません。
(注) VRF-Lite インターフェイスは、レイヤ 3 インターフェイスである必要があります。
• CE デバイスにおいて、カスタマーは、1 つまたは複数の Provider Edge(PE; プロバイダー エッジ)ルータへのデータ リンクを介してサービス プロバイダー ネットワークにアクセスできます。CE デバイスは、サイトのローカル ルートを PE ルータへアドバタイズし、PE ルータからリモート VPN ルートを学習します。Catalyst 4500 シリーズ スイッチは CE にすることができます。
• PE ルータは、スタティック ルーティング、または Border Gateway Protocol(BGP)、Routing Information Protocol バージョン 1(RIPv1)、Routing Information Protocol バージョン 2(RIPv2)などのルーティング プロトコルを使用して CE デバイスとルーティング情報を交換します。
• PE では、直接接続された VPN の VPN ルートを維持することだけが必要とされます。サービス プロバイダーのすべての VPN ルートを PE が維持する必要はありません。各 PE ルータは、直接接続されたサイトごとの VRF を維持します。このようなサイトのすべてが同一の VPN に参加する場合は、PE ルータ上の複数のインターフェイスを単一の VRF に対応付けることができます。各 VPN は、指定された VRF にマッピングされます。CE からローカルの VPN ルートが学習されると、PE ルータは Internal BGP(iBPG)を使用してその他の PE ルータと VPN ルーティング情報を交換します。
• プロバイダー ルータ(またはコア ルータ)は、CE デバイスに接続されていないサービス プロバイダー ネットワーク内のルータです。
VRF-Lite により、複数のカスタマーが 1 つの CE を共有でき、CE と PE の間には物理リンクが 1 つだけ使用されます。共有された CE は、カスタマーの別個の VRF テーブル、独自のルーティング テーブルに基づいて各カスタマーのパケットをスイッチングまたはルーティングします。VRF-Lite は、制限された PE 機能を CE デバイスに拡張して、VPN のプライバシーおよびセキュリティを支店に拡張するために、別個の VRF テーブルを維持する機能を提供しています。
図 29-1 は、各 Catalyst 4500 シリーズ スイッチが複数の仮想 CE として動作する構成を示します。VRF-Lite はレイヤ 3 機能であるため、VRF の各インターフェイスはレイヤ 3 インターフェイスである必要があります。
図 29-1 複数の仮想 CE として動作する Catalyst 4500 シリーズ スイッチ
次に、図 29-1 に示されている VRF-Lite CE 対応ネットワークのパケット転送プロセスを示します。
• CE が VPN からパケットを受信すると、CE は入力インターフェイスに基づいたルーティング テーブルを検索します。ルートが見つかると、CE はパケットを PE に転送します。
• 入力 PE が CE からのパケットを受信すると、VRF 検索を実行します。ルートが見つかると、ルータは対応する MPLS ラベルをパケットに追加して、それを MPLS ネットワークに送信します。
• 出力 PE がネットワークからパケットを受信すると、ラベルを除去し、そのラベルを使用して正しい VPN ルーティング テーブルを識別します。次に、出力 PE が通常のルート検索を行います。ルートが見つかると、PE はパケットを正しい隣接デバイスに転送します。
• CE が出力 PE からパケットを受信すると、CE は入力インターフェイスを使用して正しい VPN ルーティング テーブルを検索します。ルートが見つかると、CE はパケットを VPN 内に転送します。
VRF を設定するには、VRF テーブルを作成し、VRF に対応付けられたレイヤ 3 インターフェイスを指定します。次に、VPN、および CE と PE の間にルーティング プロトコルを設定します。BGP は、VPN ルーティング情報をプロバイダーのバックボーン上に配布するのに最適なルーティング プロトコルです。VRF-Lite ネットワークには、次の 3 つの主要なコンポーネントがあります。
• VPN ルート ターゲット コミュニティ: VPN コミュニティの他のすべてのリストです。各 VPN コミュニティ メンバに VPN ルート ターゲットを設定する必要があります。
• VPN コミュニティ PE ルータのマルチプロトコル BGP ピアリング: VPN コミュニティのすべてのメンバに VRF の到着可能性情報を伝播します。VPN コミュニティ内のすべての PE ルータに BGP ピアリングを設定する必要があります。
• VPN 転送:VPN サービスプロバイダー ネットワークのすべての VPN コミュニティ メンバ間のすべてのトラフィックを転送します。
VRF-Lite のデフォルト設定
表 29-1 に、VRF のデフォルト設定を示します。
|
|
|
|---|---|
VRF-Lite 設定時の注意事項
ネットワークに VRF を設定する場合に、次の点に留意してください。
• VRF-Lite が設定されたスイッチは複数のカスタマーで共有され、すべてのカスタマーが独自のルーティング テーブルを持ちます。
• カスタマーは異なる VRF テーブルを使用するので、同一の IP アドレスを再使用できます。重複した IP アドレスは、異なる VPN で使用できます。
• VRF-Lite では、複数のカスタマーが PE と CE の間で同一の物理リンクを共有できます。複数の VLAN があるトランク ポートは、パケットをカスタマーごとに分類します。すべてのカスタマーが独自の VLAN を持ちます。
• VRF-Lite は、すべての MPLS-VRF 機能(ラベル交換、Label Distribution Protocol(LDP)の隣接関係、またはラベル付きパケット)をサポートしていません。
• PE ルータでは、VRF-Lite の使用と複数の CE の使用には違いがありません。図 29-1 では、複数の仮想レイヤ 3 インターフェイスが VRF-Lite デバイスに接続されています。
• Catalyst 4500 シリーズ スイッチは、物理ポート、VLAN SVI、またはその 2 つの組み合わせを使用した VRF の設定をサポートしています。SVI は、アクセス ポートまたはトランク ポートを介して接続できます。
• カスタマーは、他のカスタマーと重複しない限り複数の VLAN を使用できます。カスタマーの VLAN は、スイッチに格納された適切なルーティング テーブルを識別するのに使用する、特定のルーティング テーブル ID にマッピングされます。
• レイヤ 3 Ternary CAM(TCAM)リソースは、すべての VRF 間で共有されます。各 VRF が十分な CAM(連想メモリ)領域を持つようにするには、maximum routes コマンドを使用します。
• VRF を使用した Catalyst 4500 シリーズ スイッチは、1 つのグローバル ネットワークと最大 64 の VRF をサポートできます。サポートされるルートの総数は、TCAM のサイズに制限されます。
• ほとんどのルーティング プロトコル(BGP、Open Shortest Path First(OSPF)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Routing Information Protocol(RIP)、およびスタティック ルーティング)を CE と PE 間で使用できます。ただし、次のような理由から External BGP(EBGP)の使用を推奨しています。
– BGP は、複数の CE と通信するのに複数のアルゴリズムを必要としません。
– BGP は、異なる管理下で実行されるシステム間でルーティング情報を渡すために設計されています。
– BGP を使用すると、CE にルートのアトリビュートを譲渡することが容易になります。
• VRF-Lite は、Interior Gateway Routing Protocol(IGRP)および ISIS をサポートしません。
• VRF-Lite は、パケット スイッチング レートに影響しません。
• Cisco IOS Release 12.2(50)SG から、マルチキャストと VRF は、レイヤ 3 インターフェイスに一緒に設定できます。
• Catalyst 4500 シリーズ スイッチでは、すべての PIM プロトコル(PIM-SM、PIM-DM、PIM-SSM、PIM BiDIR)がサポートされます。
• IPv6 マルチキャスト VRF ではなく、IPv4 マルチキャスト VRF が Supervisor Engine 7-E 上でサポートされます。
• router ospf の capability vrf-lite サブコマンドは、PE と CE 間のルーティング プロトコルとして OSPF が設定されている場合に使用する必要があります。
VRF の設定
1 つまたは複数の VRF を設定するには、次の作業を行います。
(注) 次のコマンドの構文および使用方法の詳細については、このリリースのスイッチ コマンド リファレンスおよび次の URL で『Cisco IOS Switching Services Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html
VRF を削除、および VRF からすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF から 1 つのインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VRF 認識サービスの設定
IP サービスはグローバル インターフェイスに設定でき、これらのサービスは、グローバル ルーティング インスタンス内で実行されます。IP サービスは、複数のルーティング インスタンスが実行されるように機能が拡張されました。これが VRF 認識サービスです。システムに設定されているすべての VRF は、VRF 認識サービスに指定できます。
VRF 認識サービスは、プラットフォームに依存しないモジュールで実行されます。VRF は、Cisco IOS の複数のルーティング インスタンスを意味します。各プラットフォームには、サポートする VRF 数に独自の制限があります。
• ユーザは、ユーザが指定した VRF で、ホストに対して ping を行うことができます。
• ARP エントリは、別々の VRF で学習されるエントリです。ユーザは、特定の VRF について、Address Resolution Protocol(ARP; アドレス解決プロトコル)のエントリを表示できます。
次のサービスは VRF 認識サービスで、VRF で認識されます。
• Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)
• Unicast Reverse Path Forwarding(uRPF; ユニキャスト RPF)
(注) 次のコマンドの構文および使用方法の詳細については、このリリースのスイッチ コマンド リファレンスおよび次の URL で『Cisco IOS Switching Services Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html
ARP のユーザ インターフェイス
|
|
|
|
|
|
||
|
|
ping のユーザ インターフェイス
VRF 認識 ping を実行するには、次のコマンドを入力します。
|
|
|
|
|---|---|---|
|
|
SNMP のユーザ インターフェイス
VRF 認識サービスを SNMP 用に設定するには、次の作業を実行します。
uRPF のユーザ インターフェイス
VRF に割り当てられているインターフェイス上で、uRPF を設定できます。ソースのルックアップは、VRF テーブルで実行されます。
VRF 認識サービスを uRPF 用に設定するには、次の作業を実行します。
Syslog のユーザ インターフェイス
VRF 認識サービスを Syslog 用に設定するには、次の作業を実行します。
Traceroute のユーザ インターフェイス
Traceroute に対して VRF 認識サービスを設定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
FTP および TFTP のユーザ インターフェイス
FTP および TFTP が VRF を認識するには、いくつかの FTP/TFTP CLI を設定する必要があります。たとえば、E1/0 などの、インターフェイスに接続されている VRF テーブルを使用する場合、特定のルーティング テーブルを使用することを [t]ftp に通知するため、CLI ip [t]ftp source-interface E1/0 を 設定する必要があります。この例では、VRF テーブルを使用して宛先 IP アドレスをルックアップします。これらの変更には下位互換性があり、既存の動作には影響を及ぼしません。つまり、インターフェイス上に VRF が設定されていない場合でも、送信元インターフェイスの CLI を使用して、特定のインターフェイスにパケットを送信できます。
FTP 接続用のソース IP アドレスを指定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
インターフェイスの IP アドレスを TFTP 接続用の送信元アドレスとして指定するには、次の作業を実行します。
|
|
|
|
|---|---|---|
|
|
||
|
|
||
|
|
Telnet および SSH のユーザ インターフェイス
VRF 認識 Telnet および SSH を設定するには、次のコマンドを入力します。
|
|
|
|
|
|
||
|
|
NTP のユーザ インターフェイス
VRF 認識 NTP を設定するには、次のコマンドを入力します。
|
|
|
|
|
|
||
|
|
マルチキャスト VRF の設定
VRF テーブル内でマルチキャストを設定する手順は、次のとおりです。
(注) 次のコマンドの構文および使用方法の詳細については、このリリースのスイッチ コマンド リファレンスおよび次の URL で『Cisco IOS Switching Services Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html
マルチ VRF CE 内でマルチキャストを設定する方法については、『Cisco IOS IP Multicast Configuration Guide, Release 12.4』を参照してください。
VRF を削除、および VRF からすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF から 1 つのインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VPN ルーティング セッションの設定
VPN 内のルーティングは、サポートされるルーティング プロトコル(RIP、OSPF、または BGP)、またはスタティック ルーティングで設定できます。ここで表示する設定は OSPF 用ですが、その他のプロトコルでもプロセスは同じです。
|
|
|
|
|---|---|---|
OSPF ルーティングをイネーブルにし、VPN 転送テーブルを指定して、ルータ コンフィギュレーション モードを開始します。 |
||
Switch(config-router)# redistribute bgp autonomous-system-number subnets |
||
OSPF ルーティング プロセスから VPN 転送テーブルの対応付けを解除するには、 no router ospf process-id vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。
CE ルーティング セッションへの BGP PE の設定
CE ルーティング セッションに BGP PE を設定するには、次の作業を行います。
BGP ルーティング プロセスを削除するには、 no router bgp autonomous-system-number グローバル コンフィギュレーション コマンドを使用します。ルーティングの特性を削除するには、キーワードとともにコマンドを使用します。
VRF-Lite の設定例
図 29-2 は、図 29-1 と類似したネットワークの物理接続を簡略化した例です。OSPF は、VPN1、VPN2、およびグローバル ネットワークで使用されるプロトコルです。BGP は、CE と PE の接続に使用されます。次の例のコマンドは、CE スイッチ S8 を設定する方法を示し、スイッチ S20 および S11 の VRF 設定、およびスイッチ S8 のトラフィックに関連する PE ルータ コマンドが含まれます。その他のスイッチの設定のコマンドは含まれていませんが、類似したものになります。
スイッチ S8 の設定
スイッチ S8 上のルーティングをイネーブルにし、VRF を設定します。
スイッチ S8 上でループバックおよび物理インターフェイスを設定します。ファスト イーサネット インターフェイス 3/5 は、PE へのトランク接続です。インターフェイス 3/7 および 3/11 は、VPN に接続します。
スイッチ S8 上で使用される VLAN を設定します。VLAN 10 は、CE と PE の間で VRF 11 によって使用されます。VLAN 20 は、CE と PE の間で VRF 12 によって使用されます。VLAN 118 および 208 は、それぞれスイッチ S11 およびスイッチ S20 を含む VPN の VRF に使用されます。
VPN1 および VPN2 に OSPF ルーティングを設定します。
スイッチ S20 の設定
スイッチ S11 の設定
PE スイッチ S3 の設定
スイッチ S3(ルータ)上では、次のコマンドはスイッチ S8 への接続だけを設定します。
VRF-Lite ステータスの表示
VRF-Lite の設定およびステータスに関する情報を表示するには、次のコマンドのいずれかを入力します。
次に、VRF インターフェイスのマルチキャスト ルート テーブル情報を表示する例を示します。
(注) この出力の情報の詳細については、次の URL の『Cisco IOS Switching Services Command Reference』を参照してください。
http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html
フィードバック