VRF-Lite の概要
VRF-Lite の機能によって、サービス プロバイダーは、VPN 間で重複した IP アドレスを使用できる複数の VPN をサポートできます。VRF-Lite は入力インターフェイスを使用して異なる VPN のルートを区別し、各 VRF に 1 つまたは複数のレイヤ 3 インターフェイスを対応付けて仮想パケット転送テーブルを形成します。VRF のインターフェイスは、イーサネット ポートなどの物理インターフェイス、または VLAN SVI などの論理インターフェイスにすることができますが、レイヤ 3 インターフェイスは、一度に複数の VRF に属することはできません。
(注) VRF-Lite インターフェイスは、レイヤ 3 インターフェイスである必要があります。
VRF-lite には次のデバイスが含まれます。
• CE デバイスにおいて、カスタマーは、1 つまたは複数のプロバイダー エッジ(PE)ルータへのデータ リンクを介してサービス プロバイダー ネットワークにアクセスできます。CE デバイスは、サイトのローカル ルートをプロバイダー エッジ ルータにアドバタイズし、そこからリモート VPN ルートを学習します。Catalyst 4500 シリーズ スイッチは CE にすることができます。
• プロバイダー エッジ(PE)ルータは、スタティック ルーティングまたはルーティング プロトコル(BGP、RIPv1、RIPv2 など)を使用して、CE デバイスとルーティング情報を交換します。
• PE では、直接接続された VPN の VPN ルートを維持することだけが必要とされます。サービス プロバイダーのすべての VPN ルートを PE が維持する必要はありません。各 PE ルータは、直接接続しているサイトごとに VRF を維持します。すべてのサイトが同じ VPN に存在する場合は、PE ルータの複数のインターフェイスを 1 つの VRF に関連付けることができます。各 VPN は、指定された VRF にマッピングされます。PE ルータは、ローカル VPN ルートを CE から学習したあとで、IBGP を使用して別の PE ルータと VPN ルーティング情報を交換します。
• プロバイダー ルータ(またはコア ルータ)とは、サービス プロバイダー ネットワーク内にあり、CE デバイスに接続していないすべてのルータです。
VRF-lite を使用すると、複数の顧客が 1 つの CE を共有できます。また、1 つの物理リンクのみが CE と PE 間に使用されます。共有 CE は、お客様ごとに別々の VRF テーブルを維持し、独自のルーティング テーブルに基づいて、お客様ごとにパケットをスイッチングまたはルーティングします。VRF-lite は限定された PE の機能を CE デバイスに拡張して、個別の VRF テーブルを保守する機能を付与し、VPN のプライバシーおよびセキュリティをブランチ オフィスまで拡張します。
図 31-1 は、各 Catalyst 4500 シリーズ スイッチが複数の仮想 CE として動作する構成を示します。VRF-Lite はレイヤ 3 機能であるため、VRF の各インターフェイスはレイヤ 3 インターフェイスである必要があります。
図 31-1 複数の仮想 CE として動作する Catalyst 4500 シリーズ スイッチ
次に、図 31-1 に示されている VRF-Lite CE 対応ネットワークのパケット転送プロセスを示します。
• CE が VPN からパケットを受信すると、CE は入力インターフェイスに基づいたルーティング テーブルを検索します。ルートが見つかると、CE はパケットを PE に転送します。
• 入力 PE は、CE からパケットを受信すると、VRF 検索を実行します。ルートが見つかると、ルータは対応する MPLS ラベルをパケットに追加し、MPLS ネットワークに送信します。
• 出力 PE は、ネットワークからパケットを受信すると、ラベルを除去してそのラベルを使用し、正しい VPN ルーティング テーブルを識別します。次に、出力 PE が通常のルート検索を行います。ルートが見つかると、パケットを正しい隣接デバイスに転送します。
• CE が出力 PE からパケットを受信すると、CE は入力インターフェイスを使用して正しい VPN ルーティング テーブルを検索します。ルートが見つかると、CE はパケットを VPN 内に転送します。
VRF を設定するには、VRF テーブルを作成し、VRF に対応付けられたレイヤ 3 インターフェイスを指定します。次に、VPN、および CE と PE 間でルーティング プロトコルを設定します。プロバイダーのバックボーンで VPN ルーティング情報を配信する場合は、BGP が優先ルーティング プロトコルです。VRF-Lite ネットワークには、次の 3 つの主要なコンポーネントがあります。
• VPN ルート ターゲット コミュニティ:VPN コミュニティの他のすべてのリストです。VPN コミュニティ メンバーごとに VPN ルート ターゲットを設定する必要があります。
• VPN コミュニティ PE ルータのマルチプロトコル BGP ピアリング:VPN コミュニティのすべてのメンバに VRF の到着可能性情報を伝播します。VPN コミュニティのすべての PE ルータで BGP ピアリングを設定する必要があります。
• VPN 転送:VPN サービスプロバイダー ネットワークのすべての VPN コミュニティ メンバ間のすべてのトラフィックを転送します。
VRF-Lite のデフォルト設定
表 31-1 に、VRF のデフォルト設定を示します。
表 31-1 VRF のデフォルト設定
|
|
VRF |
ディセーブル VRF は定義されていません。 |
マップ |
インポート マップ、エクスポート マップ、ルート マップは定義されていません。 |
VRF 最大ルート数 |
なし。 |
転送テーブル |
インターフェイスのデフォルトは、グローバル ルーティング テーブルです。 |
VRF-Lite 設定時の注意事項
ネットワークに VRF を設定する場合に、次の点に留意してください。
• VRF-Lite が設定されたスイッチは複数のカスタマーで共有され、すべてのカスタマーが独自のルーティング テーブルを持ちます。
• お客様は別々の VRF テーブルを使用するので、同じ IP アドレスを再利用できます。別々の VPN では IP アドレスの重複が許可されます。
• VRF-Lite では、複数のカスタマーが PE と CE の間で同一の物理リンクを共有できます。複数の VLAN を持つトランク ポートでは、パケットがお客様間で分離されます。すべてのカスタマーが独自の VLAN を持ちます。
• VRF-Lite は、すべての MPLS-VRF 機能(ラベル交換、Label Distribution Protocol(LDP)の隣接関係、またはラベル付きパケット)をサポートしていません。
• PE ルータでは、VRF-Lite の使用と複数の CE の使用には違いがありません。図 31-1 では、複数の仮想レイヤ 3 インターフェイスが VRF-Lite デバイスに接続されています。
• Catalyst 4500 シリーズ スイッチは、物理ポート、VLAN SVI、またはその 2 つの組み合わせを使用した VRF の設定をサポートしています。SVI は、アクセス ポートまたはトランク ポートで接続できます。
• お客様は、別のお客様と重複しないかぎり、複数の VLAN を使用できます。お客様の VLAN は、スイッチに保存されている適切なルーティング テーブルの識別に使用される特定のルーティング テーブル ID にマッピングされます。
• レイヤ 3 TCAM リソースは、すべての VRF 間で共有されます。各 VRF が十分な CAM 領域を持つようにするには、maximum routes コマンドを使用します。
• VRF を使用した Catalyst 4500 シリーズ スイッチは、1 つのグローバル ネットワークと最大 64 の VRF をサポートできます。サポートされるルートの総数は、TCAM のサイズに制限されます。
• ほとんどのルーティング プロトコル(BGP、Open Shortest Path First(OSPF)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Routing Information Protocol(RIP)、およびスタティック ルーティング)を CE と PE 間で使用できます。ただし、次の理由から External BGP(EBGP)を使用することを推奨します。
– BGP では、複数の CE とのやり取りに複数のアルゴリズムを必要としません。
– BGP は、さまざまな管理者によって稼働するシステム間でルーティング情報を渡すように設計されています。
– BGP では、ルートの属性を CE に簡単に渡すことができます。
• VRF-Lite は、Interior Gateway Routing Protocol(IGRP)および ISIS をサポートしません。
• VRF-Lite は、パケット スイッチング レートに影響しません。
• マルチキャストを同時に同一のレイヤ 3 インターフェイス上に設定することはできません。
• router ospf の capability vrf-lite サブコマンドは、PE と CE 間のルーティング プロトコルとして OSPF が設定されている場合に使用する必要があります。
VRF の設定
1 つまたは複数の VRF を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch#
configure terminal
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)#
ip routing
|
IP ルーティングをイネーブルにします。 |
ステップ 3 |
Switch(config)#
ip vrf
vrf-name
|
VRF 名を指定し、VRF コンフィギュレーション モードを開始します。 |
ステップ 4 |
Switch(config-vrf)#
rd
route-distinguisher
|
ルート識別子を指定して VRF テーブルを作成します。Autonomous System(AS; 自律システム)番号および任意の数(xxx:y)または IP アドレスおよび任意の数(A.B.C.D:y)のどちらかを入力します。 |
ステップ 5 |
Switch(config-vrf)#
route-target
{
export
|
import
|
both
}
route-target-ext-community
|
指定された VRF のインポート、エクスポート、またはインポートおよびエクスポート ルート ターゲット コミュニティのリストを作成します。AS システム番号と任意の番号(xxx:y)または IP アドレスと任意の番号(A.B.C.D:y)を入力します。 (注) このコマンドは、BGP が動作している場合にのみ有効です。 |
ステップ 6 |
Switch(config-vrf)#
import map
route-map
|
(任意)VRF にルート マップを対応付けます。 |
ステップ 7 |
Switch(config-vrf)#
interface
interface-id
|
インターフェイス コンフィギュレーション モードを開始して、VRF に対応付けるレイヤ 3 インターフェイスを指定します。インターフェイスにはルーテッド ポートまたは SVI を設定できます。 |
ステップ 8 |
Switch(config-if)#
ip vrf forwarding
vrf-name
|
VRF をレイヤ 3 インターフェイスに対応付けます。 |
ステップ 9 |
|
特権 EXEC モードに戻ります。 |
ステップ 10 |
Switch#
show ip vrf
[
brief
|
detail
|
interfaces
] [
vrf-name
]
|
設定を確認します。設定した VRF に関する情報を表示します。 |
ステップ 11 |
Switch#
copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
(注) コマンドの構文および使用方法の詳細については、このリリースに対するスイッチ コマンド リファレンスおよび『Cisco IOS Switching Services Command Reference for Release 12.2』を参照してください。
VRF を削除してすべてのインターフェイスを削除するには、 no ip vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。VRF からあるインターフェイスを削除するには、 no ip vrf forwarding インターフェイス コンフィギュレーション コマンドを使用します。
VPN ルーティング セッションの設定
VPN 内のルーティングは、サポートされるルーティング プロトコル(RIP、OSPF、または BGP)、またはスタティック ルーティングで設定できます。ここで説明する設定は OSPF のものですが、その他のプロトコルでも手順は同じです。
VPN に OSPF を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# router ospf process-id vrf vrf-name |
OSPF ルーティングをイネーブルにし、VPN 転送テーブルを指定して、ルータ コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-router)# log-adjacency-changes |
(任意)隣接ステートの変更を記録します。これは、デフォルトの状態です。 |
ステップ 4 |
Switch(config-router)# redistribute bgp autonomous-system-number subnets |
BGP ネットワークから OSPF ネットワークに情報を再配布するようにスイッチを設定します。 |
ステップ 5 |
Switch(config-router)# network network-number area area-id |
OSPF が動作するネットワーク アドレスとマスク、およびそのネットワーク アドレスのエリア ID を定義します。 |
ステップ 6 |
Switch(config-router)# end |
特権 EXEC モードに戻ります。 |
ステップ 7 |
Switch# show ip ospf process-id |
OSPF ネットワークの設定を確認します。 |
ステップ 8 |
Switch# copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
VPN 転送テーブルと OSPF ルーティング プロセスの関連付けを解除するには、 no router ospf process-id vrf vrf-name グローバル コンフィギュレーション コマンドを使用します。
BGP PE/CE ルーティング セッションの設定
CE ルーティング セッションに BGP PE を設定するには、次の作業を行います。
|
|
|
ステップ 1 |
Switch# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Switch(config)# router bgp autonomous-system-number |
その他の BGP ルータに渡された AS 番号で BGP ルーティング プロセスを設定し、ルータ コンフィギュレーション モードを開始します。 |
ステップ 3 |
Switch(config-router)# network network-number mask network-mask |
BGP を使用してアナウンスするネットワークおよびマスクを指定します。 |
ステップ 4 |
Switch(config-router)# redistribute ospf process-id match internal |
OSPF 内部ルートを再配布するようにスイッチを設定します。 |
ステップ 5 |
Switch(config-router)# network network-number area area-id |
OSPF が動作するネットワーク アドレスとマスク、およびそのネットワーク アドレスのエリア ID を定義します。 |
ステップ 6 |
Switch(config-router-af)# address-family ipv4 vrf vrf-name |
PE から CE のルーティング セッションの BGP パラメータを定義し、VRF アドレス ファミリ モードを開始します。 |
ステップ 7 |
Switch(config-router-af)# neighbor address remote-as as-number |
PE と CE ルータの間の BGP セッションを定義します。 |
ステップ 8 |
Switch(config-router-af)# neighbor address activate |
IPv4 アドレス ファミリのアドバタイズメントをアクティブ化します。 |
ステップ 9 |
Switch(config-router-af)# end |
特権 EXEC モードに戻ります。 |
ステップ 10 |
Switch# show ip bgp [ ipv4 ] [ neighbors ] |
BGP 設定を確認します。 |
ステップ 11 |
Switch# copy running-config startup-config |
(任意)コンフィギュレーション ファイルに設定を保存します。 |
BGP ルーティング プロセスを削除するには、 no router bgp autonomous-system-number グローバル コンフィギュレーション コマンドを使用します。ルーティング特性を削除するには、コマンドにキーワードを指定してこのコマンドを使用します。
VRF-Lite の設定例
図 31-2 は、図 31-1 と同じネットワークの物理接続を単純化した例です。VPN1、VPN2、およびグローバル ネットワークで使用されるプロトコルは OSPF です。CE/PE 接続には BGP が使用されます。次の例のコマンドは、CE スイッチ S8 を設定する方法を示し、スイッチ S20 および S11 の VRF 設定、およびスイッチ S8 のトラフィックに関連する PE ルータ コマンドが含まれます。その他のスイッチの設定のコマンドは含まれていませんが、類似したものになります。
図 31-2 VRF-Lite の設定例
スイッチ S8 の設定
スイッチ S8 上のルーティングをイネーブルにし、VRF を設定します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip routing
Switch(config)# ip vrf v11
Switch(config-vrf)# rd 800:1
Switch(config-vrf)# route-target export 800:1
Switch(config-vrf)# route-target import 800:1
Switch(config)# ip vrf v12
Switch(config-vrf)# rd 800:2
Switch(config-vrf)# route-target export 800:2
Switch(config-vrf)# route-target import 800:2
スイッチ S8 上でループバックおよび物理インターフェイスを設定します。ファスト イーサネット インターフェイス 3/5 は、PE へのトランク接続です。インターフェイス 3/7 および 3/11 は、VPN に接続します。
Switch(config)# interface loopback1
Switch(config-if)# ip vrf forwarding v11
Switch(config-if)# ip address 8.8.1.8 255.255.255.0
Switch(config)# interface loopback2
Switch(config-if)# ip vrf forwarding v12
Switch(config-if)# ip address 8.8.2.8 255.255.255.0
Switch(config)# interface FastEthernet3/5
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# no ip address
Switch(config)# interface FastEthernet3/8
Switch(config-if)# switchport access vlan 208
Switch(config-if)# no ip address
Switch(config)# interface FastEthernet3/11
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# no ip address
スイッチ S8 上で使用される VLAN を設定します。VLAN 10 は、CE と PE 間の VRF 11 によって使用されます。VLAN 20 は、CE と PE 間の VRF 12 によって使用されます。VLAN 118 および 208 は、それぞれスイッチ S11 およびスイッチ S20 を含む VPN の VRF に使用されます。
Switch(config)# interface Vlan10
Switch(config-if)# ip vrf forwarding v11
Switch(config-if)# ip address 38.0.0.8 255.255.255.0
Switch(config)# interface Vlan20
Switch(config-if)# ip vrf forwarding v12
Switch(config-if)# ip address 83.0.0.8 255.255.255.0
Switch(config)# interface Vlan118
Switch(config-if)# ip vrf forwarding v12
Switch(config-if)# ip address 118.0.0.8 255.255.255.0
Switch(config)# interface Vlan208
Switch(config-if)# ip vrf forwarding v11
Switch(config-if)# ip address 208.0.0.8 255.255.255.0
VPN1 および VPN2 に OSPF ルーティングを設定します。
Switch(config)# router ospf 1 vrf vl1
Switch(config-router)# redistribute bgp 800 subnets
Switch(config-router)# network 208.0.0.0 0.0.0.255 area 0
Switch(config-router)# exit
Switch(config)# router ospf 2 vrf vl2
Switch(config-router)# redistribute bgp 800 subnets
Switch(config-router)# network 118.0.0.0 0.0.0.255 area 0
Switch(config-router)# exit
CE から PE のルーティングに BGP を設定します。
Switch(config)# router bgp 800
Switch(config-router)# address-family ipv4 vrf vl2
Switch(config-router-af)# redistribute ospf 2 match internal
Switch(config-router-af)# neighbor 83.0.0.3 remote-as 100
Switch(config-router-af)# neighbor 83.0.0.3 activate
Switch(config-router-af)# network 8.8.2.0 mask 255.255.255.0
Switch(config-router-af)# exit
Switch(config-router)# address-family ipv4 vrf vl1
Switch(config-router-af)# redistribute ospf 1 match internal
Switch(config-router-af)# neighbor 38.0.0.3 remote-as 100
Switch(config-router-af)# neighbor 38.0.0.3 activate
Switch(config-router-af)# network 8.8.1.0 mask 255.255.255.0
Switch(config-router-af)# end
スイッチ S20 の設定
CE に接続するように S20 を設定します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip routing
Switch(config)# interface Fast Ethernet 0/7
Switch(config-if)# no switchport
Switch(config-if)# ip address 208.0.0.20 255.255.255.0
Switch(config)# router ospf 101
Switch(config-router)# network 208.0.0.0 0.0.0.255 area 0
Switch(config-router)# end
スイッチ S11 の設定
CE に接続するように S11 を設定します。
Switch# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)# ip routing
Switch(config)# interface Gigabit Ethernet 0/3
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# no ip address
Switch(config)# interface Vlan118
Switch(config-if)# ip address 118.0.0.11 255.255.255.0
Switch(config)# router ospf 101
Switch(config-router)# network 118.0.0.0 0.0.0.255 area 0
Switch(config-router)# end
PE スイッチ S3 の設定
スイッチ S3(ルータ)上では、次のコマンドはスイッチ S8 への接続だけを設定します。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip vrf v1
Router(config-vrf)# rd 100:1
Router(config-vrf)# route-target export 100:1
Router(config-vrf)# route-target import 100:1
Router(config)# ip vrf v2
Router(config-vrf)# rd 100:2
Router(config-vrf)# route-target export 100:2
Router(config-vrf)# route-target import 100:2
Router(config)# interface Loopback1
Router(config-if)# ip vrf forwarding v1
Router(config-if)# ip address 3.3.1.3 255.255.255.0
Router(config)# interface Loopback2
Router(config-if)# ip vrf forwarding v2
Router(config-if)# ip address 3.3.2.3 255.255.255.0
Router(config)# interface Fast Ethernet3/0.10
Router(config-if)# encapsulation dot1q 10
Router(config-if)# ip vrf forwarding v1
Router(config-if)# ip address 38.0.0.3 255.255.255.0
Router(config)# interface Fast Ethernet3/0.20
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip vrf forwarding v2
Router(config-if)# ip address 83.0.0.3 255.255.255.0
Router(config)# router bgp 100
Router(config-router)# address-family ipv4 vrf v2
Router(config-router-af)# neighbor 83.0.0.8 remote-as 800
Router(config-router-af)# neighbor 83.0.0.8 activate
Router(config-router-af)# network 3.3.2.0 mask 255.255.255.0
Router(config-router-af)# exit
Router(config-router)# address-family ipv4 vrf vl
Router(config-router-af)# neighbor 83.0.0.8 remote-as 800
Router(config-router-af)# neighbor 83.0.0.8 activate
Router(config-router-af)# network 3.3.1.0 mask 255.255.255.0
Router(config-router-af)# end
VRF-Lite ステータスの表示
VRF-Lite の設定およびステータスに関する情報を表示するには、次の作業のいずれかを行います。
|
|
Switch# show ip protocols vrf vrf-name |
VRF に対応付けられたルーティング プロトコル情報を表示します。 |
Switch# show ip route vrf vrf-name [ connected ] [ protocol [ as-number ]] [ list ] [ mobile ] [ odr ] [ profile ] [ static ] [ summary ] [ supernets-only ] |
VRF に対応付けられた IP ルーティング テーブル情報を表示します。 |
Switch# show ip vrf [ brief | detail | interfaces ] [ vrf-name ] |
定義された VRF インスタンスに関する情報を表示します。 |
(注) この出力の情報の詳細については、次の URL の『Cisco IOS Switching Services Command Reference 』を参照してください。http://www.cisco.com/en/US/docs/ios/ipswitch/command/reference/isw_book.html