マルチプロトコル ラベル スイッチング(MPLS) : VPN 用マルチプロトコル ラベル スイッチング(MPLS for VPN)

TLS(広域イーサネットサービス)接続ネットワーク環境で VRF を使用した回線統合設定例

2006 年 1 月 27 日 - 日本オリジナル版
その他のバージョン: PDFpdf | フィードバック

1. ネットワーク構成図

設定の前提となるネットワーク構成図になります。

※ 画像をクリックすると、大きく表示されます。popup_icon


2. システムの前提条件

広域イーサネットなどのサービスにて、Cisco ISR サービス統合型ルータ シリーズを使用し、個別に構築された企業内のシステムをVRF機能を用いて、回線を統合します。IP アドレスの重複による問題を回避し、既存のシステムをシームレスに統合するための設定を行います。

3. 想定する環境

企業内にて個別に構築されたシステムがあります。またこれらのシステムは IP アドレスが重複しています。広域イーサネットサービスにて、これらの個別に契約された回線を統合し、またVRF機能にて IP アドレスの重複問題を回避します。

今回は、拠点毎の営業部、人事部、技術部に vrf sales、hr、techを割り当てます。各拠点間の通信にはルーティングとして部署毎に BGP、OSPF、RIPv2 を使用します。

4. 必要なハードウェア/ソフトウェア要件

Cisco ISR サービス統合型ルータ シリーズは全てオンボードにて 2FE(もしくは 2GE)を具備します。Cisco ISR シリーズにて本構成が実現可能なハードウェア / ソフトウェアの組み合わせは下記になります。
*  871 では OSPF がサポートされていません。この為 VRF においても OSPF 以外のプロトコルをご使用下さい。

プラットホーム T トレイン メイントレイン
*  871 12.4(2)T 以上 N/A
1812J 12.4(2)T 以上 N/A
1841 12.3(8)T 以上 12.4(1)以上
2800 シリーズ
(2801/2811/2821/2851)
12.3(8)T 以上 12.4(1)以上
3800 シリーズ
(3825/3845)
12.3(11)T 以上 12.4(1)以上

本設定例においては、本社側:Cisco2811 IOS12.4(2)T2、支社側:Cisco1812J IOS12.4(2)T2 を使用しています。

5. サンプルコンフィグレーション

1. 1812J-A


hostname 1812J-A
!
ip subnet-zero
!
ip cef
!
ip vrf forwarding
!
ip vrf hr
rd 65000:20
!
ip vrf sales
rd 65000:10
!
ip vrf tech
rd 65000:30

!
interface Loopback0
ip address 192.255.255.1 255.255.255.255
!
interface FastEthernet0
no ip address
speed 10
full-duplex
!
interface FastEthernet0.10
encapsulation dot1Q 10
ip vrf forwarding sales
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0.20
encapsulation dot1Q 20
ip vrf forwarding hr
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0.30
encapsulation dot1Q 30
ip vrf forwarding tech
ip address 192.168.1.1 255.255.255.0

!
interface FastEthernet3
switchport mode trunk
!
interface Vlan10
ip vrf forwarding sales
ip address 192.168.10.254 255.255.255.0
!
interface Vlan20
ip vrf forwarding hr
ip address 192.168.10.254 255.255.255.0
!
interface Vlan30
ip vrf forwarding tech
ip address 192.168.10.254 255.255.255.0
!
router ospf 1 vrf hr

log-adjacency-changes
capability vrf-lite
network 192.168.1.0 0.0.0.255 area 0
network 192.168.10.0 0.0.0.255 area 0

!
router rip
version 2
!
address-family ipv4 vrf tech
network 192.168.1.0
network 192.168.10.0

no auto-summary
exit-address-family
!
router bgp 65000
no synchronization
bgp log-neighbor-changes
no auto-summary
!
address-family ipv4 vrf tech
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf sales
neighbor 192.168.1.1 remote-as 65000
neighbor 192.168.1.1 activate

no auto-summary
no synchronization
network 192.168.10.0
exit-address-family
!
address-family ipv4 vrf hr
no auto-summary
no synchronization
exit-address-family
!
ip classless

2. 2811


hostname 2811
!
ip subnet-zero
!
ip cef
!
ip vrf hr
rd 65000:20
!
ip vrf sales
rd 65000:10
!
ip vrf tech
rd 65000:30

!
interface Loopback0
ip address 192.168.255.254 255.255.255.255
!
interface FastEthernet0/0
no ip address
duplex full
speed 10
!
interface FastEthernet0/0.1
encapsulation dot1Q 10
ip vrf forwarding sales
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.2
encapsulation dot1Q 20
ip vrf forwarding hr
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.3
encapsulation dot1Q 30
ip vrf forwarding tech
ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.1
encapsulation dot1Q 10
ip vrf forwarding sales
ip address 192.168.20.254 255.255.255.0
!
interface FastEthernet0/1.2
encapsulation dot1Q 20
ip vrf forwarding hr
ip address 192.168.20.254 255.255.255.0
!
interface FastEthernet0/1.3
encapsulation dot1Q 30
ip vrf forwarding tech
ip address 192.168.20.254 255.255.255.0
!
router ospf 1 vrf hr

log-adjacency-changes
capability vrf-lite
network 192.168.1.0 0.255.255.255 area 0
network 192.168.20.0 0.255.255.255 area 0
!
router rip
!
address-family ipv4 vrf tech
network 192.168.1.0
network 192.168.20.0

no auto-summary
version 2
exit-address-family
!
router bgp 65000
no synchronization
bgp log-neighbor-changes
no auto-summary
!
address-family ipv4 vrf tech
no auto-summary
no synchronization
exit-address-family
!
address-family ipv4 vrf sales
neighbor 192.168.1.2 remote-as 65000
neighbor 192.168.1.2 activate

no auto-summary
no synchronization
network 192.168.20.0
exit-address-family
!
address-family ipv4 vrf hr
no auto-summary
no synchronization
exit-address-family
!
ip classless

6. キーとなるコマンドの解説

----------------------------
"ip cef"
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
ルーター上で Cisco Express Forwarding (CEF)を有効にします。
----------------------------
"ip vrf vrf-name"
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
VRF の設定を開始し、VRF 名を指定します。
----------------------------
"rd route-distinguisher"
<コマンド種別>
Config-vrf コマンド
<コマンドの機能>
VPN ルート識別子(RD)を作成します。RD は、自律システム番号と任意の数詞で構成される ASN 関連 RD か、または IP アドレスと任意の数値で構成される IP アドレス関連のRDのどちらかを使用します。
例 1)16 ビット AS 番号:32 ビット数値 → 101:3
例 2)32 ビット IP アドレス:16 ビット数値 → 192.168.0.254:1
----------------------------
"ip vrf forwarding vrf-name"
<コマンド種別>
インターフェース または サブ インターフェース コンフィグレーションコマンド
<コマンドの機能>
インターフェースまたはサブインターフェースに VRF を関連付けます。
----------------------------
"encapsulation dot1Q Vlan-number"
<コマンド種別>
サブ インターフェース コンフィグレーションコマンド
<コマンドの機能>
VLAN 番号 を指定し、802.1q VLAN タギング を有効にします。
----------------------------
"router ospf process-id vrf vrf-name"
<コマンド種別>
グローバルコンフィグレーションコマンド
<コマンドの機能>
プロセス ID と VRF 名を指定し、OSPF を起動させます。
----------------------------
"capability vrf-lite"
<コマンド種別>
ルーター コンフィグレーションコマンド
<コマンドの機能>
VRF 上の OSPF にて Type3、5、7 の LSA を受信し、トポロジー計算を可能にします。
----------------------------
"address-family ipv4 vrf vrf-name"
<コマンド種別>
ルーター コンフィグレーションコマンド
<コマンドの機能>
BGP RIP などの IPv4 ルーティングプロトコルを使用時に VRF 名を指定し、ルーティングの設定を行います。
----------------------------

7. 設定に際しての注意点

本設定例では、広域 LAN 上にて 802.1q を使用しています。802.1q フレームを透過、1522byte(イーサフレーム 1518bytes+802.1Q タグ 4bytes)のフレームを許容できるかどうかを確認する必要があります。利用する広域 LAN サービスの提供プロバイダーに仕様を確認してください。

ルータと接続する LAN-TA のインターフェースにあわせ、speed や duplex の設定を行ってください。

1812J や 871 の様な SW 内蔵のプラットホームまたは HWIC-4ESW/HWIC-9DESW などのスイッチモジュールを使用し、vlan を使用する際には、vlan database コマンドにて追加する vlan を指定する必要があります。

ルーティングプロトコルの選択に関しては既存システムのルーティングプロトコルにあわして選択する事を推奨します。

実際に導入し、運用される際には障害解析などの観点により下記の様なコマンドも追加する事を推奨いたします。

service timestamps debug datetime localtime msec
service timestamps log datetime localtime msec
clock timezone JST 9
!
logging buffered 512000 debugging
!
clock calendar-valid


各ルーティングプロトコルの設定について

VRF 毎に OSPF を設定する方法

OSPF では VRF 毎に使用するプロセス ID を変更する必要があります。

router ospf 1 vrf sales
  network 192.168.1.0 0.0.0.255 area 0*1
  network 192.168.20.0 0.0.0.255 area 0*1
!
router ospf 2 vrf tech
  network 192.168.1.0 0.0.0.255 area 0*2
  network 192.168.20.0 0.0.0.255 area 0*2

*1  VRF名"sales"での動作について設定
*2  VRF名"tech"での動作について設定


VRF 毎に BGP を設定する方法

BGP では一つプロセス上で address-family を用いて、VRF 毎の動作を設定します。
また neighbor x.x.x.x activate コマンドにて、そのネイバーへの BGP セッションを開始します。

router bgp 65000
  !
  address-family ipv4 vrf sales
  neighbor 192.168.1.1 remote-as 65000*3
  neighbor 192.168.1.1 activate*3
  no auto-summary*3
  no synchronization*3
  network 192.168.20.0*3
  exit-address-family
  !
  address-family ipv4 vrf tech
  neighbor 192.168.1.1 remote-as 65000*4
  neighbor 192.168.1.1 activate*4
  no auto-summary*4
  no synchronization*4
  network 192.168.20.0*4
  exit-address-family

*3  VRF名"sales"での動作について設定
*4  VRF名"tech"での動作について設定


VRF 毎に RIPv2 を設定する方法

RIPv2 の場合も BGP と同様で一つのプロセス上で address-family を用います。

router rip
  !
  address-family ipv4 vrf sales
  network 192.168.1.0*5
  network 192.168.20.0*5
  no auto-summary*5
  version 2*5
  exit-address-family
  address-family ipv4 vrf tech
  network 192.168.1.0*6
  network 192.168.20.0*6
  no auto-summary*6
  version 2*6

*5  VRF名"sales"での動作について設定
*6  VRF名"tech"での動作について設定


VRF 毎に EIGRP を設定する方法

EIGRP の場合も同様に一つのプロセス上で address-family を用いて、VRF 毎に動作を決定します。また VRF 上で使用する AS 番号についても記載が必要になります。

router eigrp 100
  auto-summary
 !
 address-family ipv4 vrf sales
 network 192.168.1.0*7
 network 192.168.10.0*7
 auto-summary*7
 autonomous-system 101*7
 exit-address-family*7
 !
 address-family ipv4 vrf tech
 network 192.168.1.0*8
 network 192.168.10.0*8
 auto-summary*8
 autonomous-system 102*8
 exit-address-family*8

*7  VRF名"sales"での動作について設定(192.168.20.0/24)
*8  VRF名"tech"での動作について設定


VRF 毎にて static ルートを使用する方法

下記のように設定します。

ip route vrf sales 192.128.20.0 255.255.255.0 192.168.1.2
ip route vrf tech 192.128.20.0 255.255.255.0 192.168.1.2

8. VRFの概念

VRF は、従来 MPLS-VPN の PE の機能として用いられていました。シスコでは VRF 機能を Cisco ISR サービス統合型ルータ シリーズなどにも搭載し、本設定例の様に企業ネットワークにおけるシステム統合などの要素に使用を可能にしました。

VRF を利用することによって、一つのルータで独立した複数のルーティングポリシーを持つことになります。各 VRF のルーティングテーブル、インターフェーステーブルはルータのメモリ上にて別々に格納される為に、IP アドレスが重複したシステムにおいても、アドレス変更などの作業を行う事なく、回線などの統合を行う事が可能になります。

下記の様に一つのルータの中に、仮想的に複数のルータを設定するようなイメージとなります。

ルータにおけるVRFの概念を説明した図になります。

Jan 27, 2006 Document ID: jtac_20060127_13