セキュリティ コンフィギュレーション ガイド：ゾーンベース ポリシー ファイアウォール、Cisco IOS XE Release 3S（ASR 1000）

VRF 認識ファイアウォールは、VRF で送信または受信された IP パケットを検査します。 VRF により、ルーティング テーブルの複数のインスタンスが単一ルータ内に共存できます。 これにより、VPN 分離が可能になり、独立した重複 IP アドレス空間を持つことができます。 VRF により、あるサービス プロバイダーの顧客からのトラフィックを別のトラフィックから隔離できます。 Cisco IOS XE VRF サポートは、ルータを複数のルーティング ドメインに分割し、各ルーティング ドメインは、インターフェイスおよびルーティング/転送テーブルの独自のセットで構成されます。 各ルーティング ドメインは、テーブル ID と呼ばれる固有識別子で参照されます。 グローバル ルーティング ドメインおよび（いずれの VRF にも関連付けられていない）デフォルト ルーティング ドメインは、テーブル ID、ゼロにアドレス指定されます。 VRF は、重複する IP アドレス空間をサポートするため、交差しない VRF のトラフィックが同じ IP アドレスを持つことができます。

VRF-Aware Cisco IOS XE ファイアウォールには、次の利点があります。

• スケーラブルな展開：あらゆるネットワークの帯域幅およびパフォーマンスの要件に合わせて調整できます。
• VPN のサポート：Cisco IOS XE IPsec や他のソフトウェアベースのテクノロジー（レイヤ 2 トンネリング プロトコル（L2TP）トンネリングや Quality of Service（QoS）など）に基づいて、統合的な VPN ソリューションを提供します。
• AIC サポート：Internet Message Access Protocol（IMAP）、Post Office Protocol 3（POP3）、シンプル メール転送プロトコル（SMTP）、および Sun リモート プロシージャ コール（SUN RPC）のポリシー マップを提供します。
• ユーザは VRF ファイアウォールごとに設定できます。 ファイアウォールは、VRF 内で送受信した IP パケットを検査します。 ファイアウォールは、2 つの異なる VRF（交差する VRF）間のトラフィックも検査します。
• SP は、プロバイダー エッジ（PE）ルータにファイアウォールを展開できます。
• 重複する IP アドレス空間をサポートするため、交差しない VRF のトラフィックが同じ IP アドレスを持つことができます。
• （グローバルではない）VRF のファイアウォール コマンド パラメータおよびサービス拒否（DoS）パラメータをサポートして、VRF 認識ファイアウォールが多様な VPN カスタマーに割り当てられた（VRF インスタンスを含む）複数インスタンスとして実行できるようにします。
• VRF ID を含む高速ロギング（HSL）を生成します。ただし、これらのメッセージは単一のコレクタによって収集されます。

VRF 認識ファイアウォールにより、ファイアウォール セッション数を制限できます。 ファイアウォール セッションが制限されていない場合、VRF はルータ リソースを共有することが困難になります。これは、1 つの VRF がリソースの最大量を消費し、他の VRF にリソースがほとんど残らず、このため他の VRF に対するサービス拒否が発生する可能性があるためです。

VRF は、デバイスを複数のルーティング ドメインに分割します。 これらの各ルーティング ドメインには、インターフェイスとルーティング テーブルの独自のセットが含まれます。 ルーティング テーブルは、VRF ごとに一意のテーブル ID を使用して参照されます。 ゼロは、VPN ルーティングおよび転送（VRF）に関連付けられていないデフォルトのグローバル ルーティング テーブル ID です。

交差しない VRF は、重複するアドレス空間を持つことができます（つまり、ある VRF の IP アドレスが他の VRF に含まれている場合があります）。

VPN ルーティングおよび転送（VRF）により、ルーティング テーブルの複数のインスタンスが単一デバイス内に共存できます。 VRF には、プロバイダー エッジ（PE）デバイス内の VRF テーブルのテンプレートが含まれます。

通常、アドレスの重複は、カスタマー ネットワークでプライベート IP アドレスを使用していることから発生します。アドレスの重複は、ピアツーピア（P2P）VPN の実装を展開するうえで主要な障害物の 1 つです。 マルチ プロトコル ラベル スイッチング（MPLS）VPN テクノロジーを使用して、重複するアドレスの問題を解決できます。

各 VPN は、デバイスに独自のルーティング/転送テーブルがあるため、VPN に属するすべてのカスタマーまたはサイトには、そのテーブルに含まれるルート セットに対してのみアクセス権があります。 そのため、MPLS VPN ネットワークの PE デバイスには、多数の VPN 別のルーティング テーブルと、サービス プロバイダー（SP）ネットワーク内の他のデバイスに到達するために使用される 1 つのグローバル ルーティング テーブルが含まれます。 事実上、数多くの仮想デバイスが単一の物理デバイスに作成されます。

MPLS 対応ファイアウォールなしの VRF とも呼ばれる VRF-Lite Aware ファイアウォール機能により、ファイアウォール ゾーンを MPLS 非対応の VPN ルーティングおよび転送（VRF）インターフェイスに適用できます。

VRF-Lite Aware ファイアウォール機能により、サービス プロバイダー（SP）は 2 つ以上の VPN をサポートでき、VPN 間での IP アドレスの重複が可能になります。 VRF-lite では、1 つまたは複数のレイヤ 3 インターフェイスを各 VRF に関連付けることで、入力インターフェイスを使用して異なる VPN のルートを区別し、仮想パケット転送テーブルを構成します。 VRF には、イーサネット ポートなどの物理インターフェイス、または VLAN スイッチ仮想インターフェイス（SVI）などの論理インターフェイスを使用できます。 ただし、1 つのレイヤ 3 インターフェイスは同時に複数の VRF に所属できません。

（注）	すべての VRF-lite インターフェイスはレイヤ 3 インターフェイスにする必要があります。

VRF-lite には、次のデバイスが含まれています。

• カスタマー エッジ（CE）デバイスは、データ リンク上の SP ネットワークへのアクセスをカスタマーに提供します。 CE デバイスは、サイトのローカル ルートをプロバイダー エッジ（PE）デバイスにアドバタイズし、PE デバイスからリモート VPN ルートについて学習します。
• PE デバイスは、スタティック ルーティングまたはルーティング プロトコル（ボーダー ゲートウェイ プロトコル（BGP）、ルーティング情報プロトコル バージョン 1（RIPv1）や RIPv2 など）を使用して、ルーティング情報を CE デバイスと交換します。
• PE デバイス（またはコア デバイス）は、CE デバイスに接続されていない、SP ネットワーク内の任意のデバイスです。
• PE デバイスでは、直接接続された VPN の VPN ルートを維持することだけが必要とされます。すべての SP VPN ルートを PE デバイスが維持する必要はありません。 各 PE デバイスは、直接接続しているサイトごとに VRF を維持します。 すべてのサイトが同じ VPN に含まれている場合は、PE デバイスの複数のインターフェイスを 1 つの VRF に関連付けることができます。 各 VPN は、指定された VRF にマッピングされます。 PE デバイスは、ローカル VPN ルートを CE デバイスから学習した後で、内部 BGP（iBGP）を使用して別の PE デバイスと VPN ルーティング情報を交換します。

VRF-lite を使用すると、複数のカスタマーが 1 つの CE デバイスを共有できます。また、1 つの物理リンクのみが CE デバイスと PE デバイス間に使用されます。 共有の CE デバイスは、カスタマーごとに個別の VRF テーブルを保守し、その独自のルーティング テーブルに基づいてカスタマーごとにパケットのスイッチングとルーティングを行います。 VRF-lite は限定された PE デバイスの機能を CE デバイスに拡張して、個別の VRF テーブルを保守する機能を付与し、VPN のプライバシーおよびセキュリティをブランチ オフィスまで拡張します。

図 1. VRF 間シナリオでのファイアウォール

マルチ プロトコル ラベル スイッチング（MPLS）VPN 機能により、複数のサイトが、サービス プロバイダー（SP）ネットワークを通じて透過的に相互接続できます。 1 つの SP ネットワークで、複数の IP VPN をサポートできます。 VPN ユーザから見ると、各 VPN はその他すべてのネットワークとは隔離されたプライベート ネットワークです。 1 つの VPN 内では、各拠点は同一 VPN 内のいずれの拠点にも IP パケットを送信できます。

各 VPN は、1 つ以上の VPN ルーティングおよび転送（VRF）インスタンスに関連付けられています。 VRF は、1 つの IP ルーティング テーブル、派生した 1 つのシスコ エクスプレス フォワーディング テーブル、次のテーブルを使用する複数のインターフェイスで構成されます。

デバイスは、各 VRF に対し別々のルーティングおよびシスコ エクスプレス フォワーディング テーブルを保持します。 これにより、情報が VPN 外に送信されることが回避でき、重複 IP アドレスの問題を起こすことなく同一のサブネットが複数の VPN で使用可能になります。

マルチプロトコル BGP（MP-BGP）を使用しているデバイスは、BGP 拡張コミュニティを使用して VPN のルーティング情報を配布します。

ネットワーク アドレス変換（NAT）を使用すると、デバイスなどの単一のデバイスが、インターネット（またはパブリック ネットワーク）とローカル（またはプライベート）ネットワーク間でエージェントとして動作できます。 NAT システムは多様なレベルのセキュリティ機能を提供できますが、主な目的は、アドレス空間を節約することです。

組織が NAT を使用すると、既存のネットワークを持っていてインターネットにアクセスする必要がある場合に、IP アドレスが枯渇する問題を解決できます。 まだ Network Information Center（NIC）-registered IP アドレスを所有していないサイトは、取得する必要があります。 NAT は、何千もの非表示内部アドレスを、取得が容易なアドレス範囲に動的にマッピングすることで、NIC-registered IP アドレスの問題を排除します。

NAT システムがあると、攻撃者は次の情報を特定するのが困難になります。

• ネットワーク上で実行されているシステム数。
• ネットワーク上で実行されているマシンとオペレーティング システムのタイプ。
• ネットワークのトポロジおよび配置。

NAT とマルチプロトコル ラベル スイッチング（MPLS）の統合によって、単一のデバイスに複数の MPLS VPN を設定して、連携させることができます。 NAT は、すべての MPLS VPN が同じ IP アドレッシング スキームを使用している場合でも、IP トラフィックを受信した MPLS VPN を区別できます。 そのため、複数の MPLS VPN ユーザでサービスを共有しながら、各 MPLS VPN を相互に隔離できます。

インターネット接続、ドメイン ネーム サーバ（DNS）、VoIP サービスなどの付加価値サービスをカスタマーに提供するには、MPLS サービス プロバイダーは NAT を使用する必要があります。 NAT により、MPLS VPN カスタマーは、それぞれのネットワーク内で重複した IP アドレスを使用できます。

NAT は、カスタマー エッジ（CE）デバイスまたはプロバイダー エッジ（PE）デバイスに実装できます。 NAT と MPLS VPN の統合機能によって、MPLS クラウド内の PE デバイス上に NAT を実装できます。

アプリケーション層ゲートウェイ（ALG）は、アプリケーション パケットのペイロード内の IP アドレス情報を変換するアプリケーションです。 ALG は、NAT によって上書きが必要な、パケット ペイロード内のアドレス情報を識別し、このアドレス情報を NAT およびファイアウォールに提供して従属フローやドアを作成し、データが適切に流れるようにします（データ フローの例は、FTP データ フローです）。 ドアは、特定の基準に一致する着信トラフィックを許可する一時的な構造です。 ドアは、完全な NAT セッション エントリを作成するための十分な情報がないときに作成されます。 ドアには、送信元と宛先 IP アドレスおよび宛先ポートに関する情報が含まれます。 ただし、送信元ポートに関する情報は含まれません。 メディア データが到達すると、その送信元ポート情報は既知であり、ドアは実際の NAT セッションにプロモートされます。

VRF 認識 IPsec 機能を使用すれば、IPsec トンネルをマルチ プロトコル ラベル スイッチング（MPLS）VPN にマッピングできます。 VRF 認識 IPsec 機能を使用すれば、シングル パブリック方向 IP アドレスによって、IPsec トンネルを VPN ルーティングおよび転送（VRF）インスタンスにマッピングできます。

各 IPsec トンネルは、2 つの VRF ドメインに関連付けられます。 外部のカプセル化されたパケットは Front Door VRF（FVRF）という VRF ドメインに属します。 内部の保護された IP パケットは、Inside VRF（IVRF）というドメインに属します。 言い換えると、IPsec トンネルのローカル エンドポイントは FVRF に属し、内部パケットの送信元および宛先アドレスは IVRF に属します。

1 つ以上の IPsec トンネルを、単一のインターフェイス上で終了できます。 これらのトンネルのすべての FVRF は同じものであり、そのインターフェイス上で設定されている VRF に設定されます。 これらのトンネルの IVRF は異なる可能性があり、クリプト マップ エントリに付加された Security Association and Key Management Protocol（ISAKMP）プロファイル内で定義されている VRF に依存します。

次の図に、MPLS およびレイヤ 2 VPN に対する IPsec のシナリオを示します。

図 2. MPLS およびレイヤ 2 VPN に対する IPsec

VRF-Aware Software インフラストラクチャ（VASI）を使用すると、アクセス コントロール リスト（ACL）、NAT、ポリシング、ゾーンベース ファイアウォールなどのサービスを、2 つの異なる VRF インスタンス上を流れるトラフィックに適用できます。 VASI インターフェイスは、ルート プロセッサ（RP）および転送プロセッサ（FP）の冗長性をサポートします。 この機能は、VASI インターフェイスでの IPv4 および IPv6 ユニキャスト トラフィックをサポートします。

VASI の主な用途は、より効率的に VRF を分離できるようにすることです。 VASI では、VRF ごとに固有の機能を、共通のインターフェイスを共有する（たとえば、すべての VRF がインターネットへの同じインターフェイスを共有している場合があります）他の VRF に影響を与えることなく VASI インターフェイスに適用できます。 ファイアウォールでは、この機能により、ゾーンを VASI に適用できます。

VASI は、仮想インターフェイスのペアを使用して実装され、ペアの各インターフェイスは異なる VRF に関連付けられます。 VASI 仮想インターフェイスは、これら 2 つの VRF 間で交換される必要があるパケットのネクスト ホップ インターフェイスです。 VASI インターフェイスは、2 つの VRF 間の NAT をサポートするために必要なフレームワークを提供します。

各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。 2 つの仮想インターフェイスのペア（vasileft と vasiright）は、論理的にバックツーバックで接続されており、完全な対称性を有しています。 各インターフェイスにはインデックスがあります。 ペアリングの関連付けは、vasileft が自動的に vasiright へのペアを取得するという方法で、2 つのインターフェイスのインデックスに基づいて自動的に行われます。 BGP、Enhanced Interior Gateway Routing Protocol（EIGRP）、または Open Shortest Path First（OSPF）によるスタティック ルーティングまたはダイナミック ルーティングを設定できます。 BGP ダイナミック ルーティング プロトコルの制約事項とコンフィギュレーションは、VASI インターフェイス間の BGP ルーティング コンフィギュレーションに有効です。 VASI の詳細については、「VRF-Aware Software インフラストラクチャの設定」機能を参照してください。

セキュリティ ゾーンとは、ポリシーを適用できるインターフェイスのグループです。

インターフェイスをゾーンにグループ化するには、次の 2 つの手順を実行します。

• インターフェイスを付加できるようにゾーンを作成します。
• インターフェイスを特定のゾーンのメンバーとなるように設定します。

デフォルトでは、トラフィックは、同じゾーンのメンバーであるインターフェイス間を通ります。

インターフェイスがセキュリティ ゾーンのメンバーである場合、そのインターフェイスと、別のゾーン内のインターフェイスとの間のすべてのトラフィック（デバイス宛またはデバイス発信のトラフィックを除く）はデフォルトでドロップされます。 ゾーンメンバー インターフェイスと別のインターフェイスとの間の両方向のトラフィックを許可するには、そのゾーンをゾーン ペアの一部にして、そのゾーン ペアにポリシーを適用する必要があります。 ポリシーで、inspect または pass アクションを通してトラフィックが許可されると、トラフィックはインターフェイスを通過します。

ゾーンを設定する際に検討する基本ルールは次のとおりです。

• ゾーン インターフェイスからゾーン外のインターフェイスへのトラフィックまたはゾーン外のインターフェイスからゾーン インターフェイスへのトラフィックは常にドロップされます。ただし、デフォルト ゾーンがイネーブルになっている場合を除きます（デフォルト ゾーンはゾーン外のインターフェイスです）。
• 2 つのゾーン インターフェイス間のトラフィックは、各ゾーンにゾーン ペアの関係があるかどうか、およびそのゾーン ペアにポリシーが設定されているかどうかが検査されます。
• デフォルトでは、同じゾーン内の 2 つのインターフェイス間のすべてのトラフィックは、常に許可されます。
• ゾーン ペアは、ゾーンを送信元ゾーンおよび宛先ゾーンの両方として設定できます。 このゾーン ペアで検査ポリシーを設定して、同じゾーン内の 2 つのインターフェイス間のトラフィックを検査またはドロップできます。
• インターフェイスをゾーンとレガシー検査ポリシーの両方に同時に所属させることはできません。
• インターフェイスがメンバーになれるのは、1 つのセキュリティ ゾーンだけです。
• インターフェイスがセキュリティ ゾーンのメンバーの場合、そのゾーンを含むゾーン ペアで明示的なゾーン間ポリシーを設定しない限り、方向に関係なくそのインターフェイスを通過するすべてのトラフィックがブロックされます。
• トラフィックは、セキュリティ ゾーンのメンバーであるインターフェイスとセキュリティ ゾーンのメンバーではないインターフェイスの間では通過できません。これは、ポリシーは 2 つのゾーンだけで適用できるからです。
• トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスは 1 つのセキュリティ ゾーンまたは別のゾーンのメンバーでなければなりません。 インターフェイスをセキュリティ ゾーンのメンバーにした後、inspect や pass などのポリシー アクションによってパケットを明示的に許可する必要があるため、このことは特に重要です。 それ以外の場合、パケットはドロップされます。
• デバイスのインターフェイスをセキュリティ ゾーンまたはファイアウォール ポリシーに所属させることができない場合、そのインターフェイスをセキュリティ ゾーンに追加し、そのゾーンとトラフィック フローの対象となる他のゾーンとの間に、「すべて通過」ポリシー（つまり、「ダミー」ポリシー）を設定する必要がある場合があります。
• セキュリティ ゾーン間またはゾーン ペアに対してアクセス コントロール リスト（ACL）を適用することはできません。
• セキュリティ ゾーンとゾーン ペアの間で ACL は適用できません。 トラフィックをドロップするには、ACL 設定をクラス マップに含め、ポリシー マップを使用します。
• ゾーン メンバーのインターフェイス上の ACL を制約的（厳密）にしないでください。
• セキュリティ ゾーン内のすべてのインターフェイスは、同じ VPN ルーティングおよび転送（VRF）インスタンスに属している必要があります。
• メンバ インターフェイスが個別の VRF にあるセキュリティ ゾーン間でポリシーを設定できます。 ただし、設定で許可されていない場合、これらの VRF 間をトラフィックは流れません。
• トラフィックが VRF 間を流れない場合（VRF 間のルートリークが設定されていないため）、VRF 間のポリシーは実行されません。 これは、ポリシー側ではなく、ルーティング側の設定の誤りです。
• 同じセキュリティ ゾーン内のインターフェイス間のトラフィックはポリシーには従わず、自由に通過します。
• ゾーン ペアの送信元ゾーンおよび宛先ゾーンは、タイプ セキュリティのゾーンである必要があります。
• 同じゾーンを送信元ゾーンと宛先ゾーンの両方として定義することはできません。

ポリシーは、トラフィック フローの最初のパケットに適用されます。 最初のパケットが分類および許可されると、トラフィックは、それ以上のパケット再分類なしでピア間を通過します（これは、最初の分類後に双方向トラフィック フローが許可されたことを意味します）。 ゾーン Z1 とゾーン Z2 間のゾーン ペアがあり、ゾーン Z2 とゾーン Z1 間のゾーン ペアはない場合、ゾーン Z2 から開始されたすべてのトラフィックはブロックされます。 ゾーン Z1 からゾーン Z2 へのトラフィックは、ゾーン ペアのポリシーに基づいて許可または拒否されます。

トラフィックがデバイスのすべてのインターフェイスを通過するようにするには、すべてのインターフェイスはセキュリティ ゾーンまたはデフォルト ゾーンのメンバーでなければなりません。

すべてのデバイス インターフェイスがセキュリティ ゾーンのメンバーである必要はありません。

下の図は、次のことを示しています。

• インターフェイス E0 と E1 はセキュリティ ゾーン Z1 のメンバーです。
• インターフェイス E2 は、セキュリティ ゾーン Z2 のメンバーです。
• インターフェイス E3 は、どのセキュリティ ゾーンのメンバーでもありません。

図 3. セキュリティ ゾーンの制約

次の状況が存在します。

• ゾーン ペアとポリシーは、同じゾーンで設定されます。 Z1 と Z2 用のポリシーが設定されていない場合、トラフィックは E0 と E1 間を自由に通過しますが、E0 または E1 と E2 間は通過しません。 このトラフィックを検査するためのゾーン ペアとポリシーを作成できます。
• ポリシーが設定されていない場合、他のインターフェイス間（E0 と E2、E1 と E2、E3 と E1、および E3 と E2）でトラフィックは流れません。
• トラフィックを許可する明示的なポリシーがゾーン Z1 とゾーン Z2 間で設定されている場合だけ、E0 または E1 と E2 間でトラフィックが流れます。
• デフォルト ゾーンがイネーブルで、ゾーン ペアがデフォルト ゾーンと他のゾーンとの間に作成されている場合を除き、E3 と E0、E1、または E2 間をトラフィックが流れることはまったくありません。

ファイアウォールをネットワーク内の多数のポイントに展開することで、VPN サイトと共有サービス（またはインターネット）を双方向で保護できます。 ここでは、次のファイアウォール展開シナリオについて説明します。

1.    enable


2.    configure terminal


3.    ip vrf vrf-name


4.    rd route-distinguisher


5.    route-target export route-target-ext-community


6.    route-target import route-target-ext-community


7.    exit


8.    class-map type inspect match-any class-map-name


9.    match protocol tcp


10.    match protocol h323


11.    exit


12.    policy-map type inspect policy-map-name


13.    class type inspect class-map-name


14.    inspect [parameter-map-name]


15.    exit


16.    class class-default


17.    end

Router> enable

Router# configure terminal

Router(config)# ip vrf vrf1

Router(config-vrf)# rd 10:1

Router(config-vrf)# route-target export 10:1

Router(config-vrf)# route-target import 10:1

Router(config-vrf)# exit

Router(config)# class-map type inspect match-any class-map1

Router(config-cmap)# match protocol tcp 

Router(config-cmap)# match protocol h323 

Router(config-cmap)# exit

Router(config)# policy-map type inspect global-vpn1-pmap

Router(config-pmap)# class type inspect class-map1

Router(config-pmap-c)# inspect class-map1

Router(config-pmap-c)# exit

Router(config-pmap)# class class-default

Router(config-pmap)# end

1.    enable


2.    configure terminal


3.    zone security security-zone-name


4.    exit


5.    zone security security-zone-name


6.    exit


7.    zone-pair security zone-pair-name source source-zone destination destination-zone


8.    service-policy type inspect policy-map-name


9.    end

Router> enable

Router# configure terminal

Router(config)# zone security vpn1-zone

Router(config-sec-zone)# exit

Router(config)# zone security global-zone

Router(config-sec-zone)# exit

Router(config)# zone-pair security vpn1-global-zone-pair source vpn1-zone destination global-zone 

Router(config-sec-zone-pair)# service-policy type inspect global-vpn1-pmap

Router(config-sec-zone-pair)# end

1.    enable


2.    configure terminal


3.    interface type number


4.    ip vrf forwarding name


5.    ip address ip-address mask


6.    zone-member security zone-name


7.    negotiation auto


8.    exit


9.    interface type number


10.    ip address ip-address mask


11.    zone-member security zone-name


12.    negotiation auto


13.    exit


14.    ip route vrf vrf-name destination-ip-address destination-prefix interface-type number [global]


15.    end

Router> enable

Router# configure terminal

Router(config)# interface gigabitethernet 0/0/0

Router(config-if)# ip vrf forwarding vrf1

Router(config-if)# ip address 10.1.1.1 255.255.255.0

Router(config-if)# zone-member security  vpn1-zone

Router(config-if)# negotiation auto

Router(config-if)# exit

Router(config)# interface gigabitethernet 1/1/1

Router(config-if)# ip address 10.111.111.111 255.255.255.0

Router(config-if)# zone-member security global-zone

Router(config-if)# negotiation auto

Router(config-if)# exit

Router(config)# ip route vrf vpn1 10.111.111.0 255.255.255.0 gigabitethernet 1/1/1 global

Router(config)# end