Cisco IOS XE セキュリティ コンフィギュレーショ ン ガイド:データ プレーンのセキュリティ保護
VRF-Aware サービス インフラストラクチャ の設定
VRF-Aware サービス インフラストラクチャの設定
発行日;2012/01/30 | 英語版ドキュメント(2011/04/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

VRF-Aware サービス インフラストラクチャの設定

機能情報の確認

目次

VASI について

VASI の概要

VASI の設定方法

VASI インターフェイスの設定

VASI の設定例

VASI インターフェイスの設定:例

その他の関連資料

関連マニュアル

標準

MIB

RFC

シスコのテクニカル サポート

VRF-Aware サービス インフラストラクチャの設定に関する機能情報

VRF-Aware サービス インフラストラクチャの設定

このモジュールでは、VRF-Aware サービス インフラストラクチャ(VASI)機能を設定する手順について説明します。VASI を使用すると、ファイアウォールや Network Address Translation(NAT; ネットワーク アドレス変換)などのサービスを、異なる 2 つの Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)を横断するトラフィックに適用できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールで説明される機能に関する情報、および各機能がサポートされるリリースの一覧については、「VRF-Aware サービス インフラストラクチャの設定に関する機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。

VASI について

VASI の概要

VASI の概要

VRF-Aware サービス インフラストラクチャ(VASI)機能を使用すると、ファイアウォールや Network Address Translation(NAT; ネットワーク アドレス変換)などのサービスを、異なる Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)を横断するトラフィックに適用できます。VASI の実装には、VRF インスタンス間にファイアウォールと NAT を設定するために必要なフレームワークを提供する仮想インターフェイスを使用します。各インターフェイス ペアは、異なる 2 つの VRF インスタンスに関連付けられています。2 つの仮想インターフェイスのペア(vasileft と vasiright)は、論理的にバックツーバックで接続されており、完全な対称性を有しています。各インターフェイスにはインデックスがあります。ペアリングの関連付けは、vasileft が自動的に vasiright へのペアを取得するという方法で、2 つのインターフェイスのインデックスに基づいて自動的に行われます。ルーティングは、スタティック ルーティングまたは Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)ダイナミック ルーティングを使用して設定できます。BGP ダイナミック ルーティング プロトコルの制約事項とコンフィギュレーションは、VASI インターフェイス間の BGP ルーティング コンフィギュレーションに有効です。

VASI の設定方法

ここでは、次の作業について説明します。

「VASI インターフェイスの設定」(必須)

VASI インターフェイスの設定

VASI は、VASI ペア(vasileft と vasiright)の各インターフェイスで有効になっている必要があります。VRF フォワーディングは、任意の VASI インターフェイス上で設定できます。次の作業は、VASI インターフェイスを設定するために実行します。

手順の概要

1. enable

2. configure terminal

3. interface vasileft number

4. vrf forwarding table-name [ downstream table-name ]

5. ip address { ip-address mask [ secondary ] | pool pool-name }

6. exit

7. interface vasiright number

8. vrf forwarding table-name [ downstream table-name ]

9. ip address { ip-address mask [ secondary ] | pool pool-name }

10. exit

11. ip route [ vrf vrf-name ] destination-prefix destination-prefix-mask { vasileft | vasiright } number

12. end

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

必要に応じてパスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

interface vasileft number

 

router(config)# interface vasileft 200

vasileft インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

number :vasileft インターフェイス番号。範囲は 1 ~ 500 です。

ステップ 4

vrf forwarding table-name [ downstream table-name ]

 

Router(config-if)# vrf forwarding t1

仮想ルーティング フォワーディング テーブルを設定します。

(注) VRF フォワーディングは、任意の VASI インターフェイス上で設定できます。必ずしも、両方の VASI インターフェイスに VRF インスタンスを設定しなければならないということではありません。

ステップ 5

ip address { ip-address mask [ secondary ] | pool pool-name }

 

Router(config-if)# ip address 192.168.0.0 255.255.255.224

インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

ステップ 6

exit

 

router(config)# exit

インターフェイス コンフィギュレーション モードを終了します。

ステップ 7

interface vasiright number

 

Router(config)# interface vasiright 200

vasiright インターフェイスを設定し、インターフェイス コンフィギュレーション モードを開始します。

number :vasiright インターフェイス番号。範囲は 1 ~ 500 です。

ステップ 8

vrf forwarding table-name [ downstream

table-name ]

 

Router(config-if)# vrf forwarding t1

フォワーディング テーブルを設定します。

ステップ 9

ip address { ip-address mask [ secondary ] | pool pool-name }

 

Router(config-if)# ip address 192.168.0.0 255.255.255.224

インターフェイスに対するプライマリ IP アドレスまたはセカンダリ IP アドレスを設定します。

ステップ 10

exit

 

router(config-if)# exit

インターフェイス コンフィギュレーション モードを終了します。

ステップ 11

ip route [ vrf vrf-name ] destination-prefix destination-prefix-mask { vasileft | vasiright } number

 

Router(config)# ip route vrf t1 192.167.0.0 255.255.255.224 vasileft1

フォワーディング インスタンスおよび VASI インターフェイスのスタティック ルートを確立します。

キーワードを指定する必要があります。

ステップ 12

end

 

Router(config)# end

グローバル コンフィギュレーション モードを終了します。

VASI の設定例

ここでは、次の設定例について説明します。

「VASI インターフェイスの設定:例」

VASI インターフェイスの設定:例

次に、VASI インターフェイスを設定する例を示します。VASI は、VASI ペア(vasileft と vasiright)の各インターフェイスで有効になっている必要があります。VRF フォワーディングは、任意の VASI インターフェイス上で設定できます。設定情報については、「VASI インターフェイスの設定」を参照してください。

Router(config)# interface vasileft 1
Router(config-if)# vrf forwarding t1
Router(config-if)# ip address 10.0.0.10 255.255.255.0
Router(config-if)# exit
Router(config)# ip route vrf t1 0.0.0.0 0.0.0.0 vasileft1
Router(config)# interface vasiright 1
Router(config-if)# ip address 10.0.0.20 255.255.255.0
Router(config-if)# exit
Router(config)# ip route 0.0.0.0 0.0.0.0 vasiright 1
 

その他の関連資料

関連マニュアル

内容
参照先

セキュリティ コマンド

『Cisco IOS Security Command Reference』

ゾーンベース ポリシー ファイアウォール機能

『Zone-based Policy Firewall』

IP ルーティング:BGP

『Cisco IOS XE IP Routing: BGP Configuration Guide, Release 2』

IP アドレスを保存するための NAT 機能の設定

『Configuring NAT for IP Address Conservation』

VRF Aware Cisco IOS ファイアウォール機能

『VRF Aware Cisco IOS Firewall』

標準

標準
タイトル

このリリースによってサポートされる新しい規格や変更された規格はありません。

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

VRF-Aware サービス インフラストラクチャの設定に関する機能情報

表 1 に、この機能のリリース履歴を示します。

プラットフォーム サポートとソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、フィーチャ セット、またはプラットフォームをサポートする Cisco IOS XE のソフトウェア イメージを判別できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスしてください。Cisco.com のアカウントは必要ありません。


表 1 に、特定の Cisco IOS XE ソフトウェア リリース群で特定の機能をサポートする Cisco IOS XE ソフトウェア リリースだけを示します。特に明記されていない限り、Cisco IOS XE ソフトウェア リリース群の後続のリリースでもこの機能をサポートします。


 

表 1 VRF-Aware サービス インフラストラクチャの設定に関する機能情報

機能名
リリース
機能情報

VRF-Aware サービス インフラストラクチャの設定

Cisco IOS XE Release 2.6

VRF-Aware サービス インフラストラクチャ(VASI)を使用すると、ファイアウォール、Network Address Translation(NAT; ネットワーク アドレス変換)、IPsec などのサービスを、異なる Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスを横断するトラフィックに適用できます。VASI の実装には、VRF インスタンス間にファイアウォールと NAT を設定するために必要なフレームワークを提供する仮想インターフェイスを使用します。

VASI(VRF-Aware Software インフラストラクチャ)拡張機能フェーズ I

Cisco IOS XE Release 3.1(0)S

次に、このリリースの拡張機能を示します。

500 VASI インターフェイスのサポート。

VASI インターフェイス間の BGP ダイナミック ルーティングのサポート。

次のコマンドが導入されました。 redistribute connected redistribute static