このドキュメントでは、Cisco IOS XEのルートレプリケーション機能を使用してルート漏出を設定するプロセスについて説明します。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ネットワークのセグメント化とは、ネットワークを小さな独立した部分に分割して、セキュリティ、管理性、および運用効率を向上させる方法です。セグメンテーションは、ネットワークの異なるレイヤに実装できます。たとえば、VLANはレイヤ2の分離を提供し、Virtual Routing and Forwarding(VRF)は、単一の物理デバイスが複数の独立したルーティングテーブルを同時に維持できるようにすることで、レイヤ3の分離を提供します。各VRFは、独自のインターフェイス、ルーティングプロトコル、および転送決定のセットを持つ自己完結型ルーティングインスタンスとして動作するため、あるセグメントからのトラフィックが別のセグメントからのトラフィックと混在することはありません。
組織がセグメンテーションを採用する理由には、さまざまな理由があります。たとえば、事業部門の分離、ゲストユーザの社内リソースからの分離、法令遵守の要件への対応、ビジネスパートナーへの制御されたアクセスの提供、潜在的なセキュリティインシデントの範囲の縮小などがあります。デフォルトでは、VRFはルーティング情報を共有しません。これにより、セグメント間の境界が維持され、あるVRF内のプレフィックスが別のVRFから到達不能な状態に留まります。
VRFベースのセグメンテーションは強力なトラフィック分離を提供しますが、実際の導入ではこれらのセグメント間の選択的な接続が必要になることがよくあります。特に、複数のVRFがDNS、DHCP、アプリケーションサーバ、またはその他の共有サービスなどの共通のリソースにアクセスする必要がある場合などです。ルートレプリケーションは、あるVRFから別のVRFにルートをコピーすることでこの要件に対応し、基盤となるセグメンテーションモデルを解体することなく、VRF間の到達可能性を制御します。
ルートレプリケーションは、スタティックルート、EIGRPルート、およびOSPFルートでサポートされ、route-replicateコマンドを使用してVRFアドレスファミリの下で直接設定されます。オプションのルートマップを適用して、複製されるプレフィックスをフィルタリングすることで、きめ細かな制御を行い、ルーティングループを防止できます。複製されたルートは、元のルートのアドミニストレーティブディスタンスとソースプロトコルを継承し、標準のInterior Gateway Protocol(IGP)再配布によって仮想ネットワーク全体に伝播されます。
VRFとグローバルルーティングテーブル(GRT)の間でルート漏出を実行するさまざまな手法があります。ルート複製機能を使用する主な違いは、漏出を実現するために追加のBGPプロセスが不要になることで、一部のシナリオでは、少数のコマンドが必要になるだけなので、ルート複製が簡単な方法として見える場合があります。
注:ルートレプリケーションは、導入時にはそれほど一般的ではありませんが、新機能ではありません。route-replicateコマンドは、Cisco IOS XEリリース3.2Sで導入されたもので、VRFとGRTの間のルートリーク制御を有効にするための有効なオプションとして残っています。
注:BGPルートの複製と再配布はCisco IOS XEリリース17.6.1で導入されました。詳細については、『IPルーティング設定ガイド、Cisco IOS XE 17.x』を参照してください。
このシナリオでは、ルートレプリケーション機能を使用して、1つのデバイスを介して2つの独立したルーティングドメイン間で選択的に接続する方法を示します。
ネットワークは2つのセグメントに分割され、中央のCatalyst 8500シリーズルータ(レプリケーションルータ)によって区切られます。
VRF_A(左側 – OSPF):Catalyst 9500シリーズスイッチは、Endpointsセグメント(10.10.100.0/24)を接続します。 C9Kとレプリケーションルータ間のリンクは、サブネット10.10.10.0/24を使用します。この場合、インターフェイスはFortyGigabitEthernet0/2/4.10(10.10.10.1)です。
VRF_B(右側:EIGRP):Catalyst 8500シリーズルータは、Serversセグメント(10.20.200.0/24)を接続します。 このC8KとReplication Routerの間のリンクは、サブネット10.20.20.0/24を使用します。Replication RouterのインターフェイスはTenGigabitEthernet0/0/2.20(10.20.20.1)です。
ルートレプリケーショントポロジ – シナリオ1(VRFからVRF)
まず、VRFを定義します。この手順では、ネットワークセグメントの分離を維持する独立したルーティングテーブルを作成します。VRF_AとVRF_Bを作成することで、個別の環境の基盤を確立します。これは、データが移動するための2つの異なる「レーン」を作成することと考えることができます。
| 複製ルータ |
|
次に、インターフェイスをそれぞれのVRFに割り当てます。この手順は、どの物理ポートまたは論理ポートがどのルーティングテーブルに属しているかをルータに通知するため、重要です。このマッピングを行わないと、ルータはトラフィックを正しいセグメントに転送できません。これにより、データは最初の手順で作成した特定のレーンに入ります。
| 複製ルータ |
|
このシナリオでは、エンドポイントに接続するC9Kと、サーバへの到達可能性を提供するC8Kの間でルーティング情報を共有するために、OSPFとEIGRPプロトコルが使用されています。この手順により、ルータはOSPFとEIGRPのネイバー関係を形成し、ルートを動的に学習してアドバタイズできるようになります。
再配布を設定すると、ルータが異なるドメイン間でルーティング情報を共有する準備が整います。この手順は、複製されたルートをアドバタイズするために必要な可視性を提供するため、不可欠です。たとえば、VRF_AのOSPFネイバーから学習したプレフィックスをVRF_Bに複製できます。ルートがVRF_Bルーティングテーブルに存在すると、再配布によってルータはそのプレフィックスをEIGRPプロセスにアドバタイズできるようになります。
| 複製ルータ |
|
最後に、各VRFのアドレスファミリ内でroute-replicateコマンドを適用します。これは、この機能のコアです。あるVRFから別のVRFにルートを直接インポートできるこの方法を使用すると、追加のBGPプロセスが不要になるため、設定が簡素化されます。これは、セグメント間の到達可能性を制御するためのクリーンで効果的な方法です。
| レプリケーションルータ(VRF_AからVRF_BにOSPFルートをプル) |
|
| レプリケーションルータ(VRF_BからVRF_AにEIGRPルートをプル) |
|
ルート複製ルータとネイバーからの出力は、リークが成功したことを示しています。
ルーティングテーブルの重要なフラグ/コード
注:+フラグのないルートは、そのVRFに対してネイティブです(直接接続されているか、同じVRF内のOSPF/EIGRPによって通常に学習されます)。
| 複製ルータ |
|
| エンドポイントCatalyst 9K | サーバCatalyst 8000 |
|
|
このシナリオでは、レプリケーションルータは、GRT内のOSPFを介してエンドポイントネットワーク192.168.100.0/24を学習し、そのルートをVRF_Bに複製します。複製後、ルートはVRF_BルーティングテーブルにOSPFで学習された複製ルートとして表示され、適切な再配布の後にサーバ側のEIGRPドメインで使用できるようになります。同様に、Replication RouterはVRF_B内のEIGRPを通じてサーバネットワーク10.20.200.0/24を学習し、そのルートをGRTに複製します。
ルートレプリケーショントポロジ – シナリオ2(GRTからVRF)
プロセスは前のシナリオと同様です。この場合、GRTで確立されたOSPFアジャセンシー関係と、VRFで確立されたEIGRPアジャセンシー関係を使用して、VRFを定義する必要があります。したがって、この設定はこのセクションでは説明しません。
主な違いは、GRTとVRF間でこの機能を有効にするために必要な一連の設定コマンドです。
| レプリケーションルータ(GRTからVRF_BにOSPFルートをプル) |
|
| レプリケーションルータ(VRF_BからGRTにEIGRPルートをプル) |
|
レプリケーションルータが対応するネイバーに複製されたルートをアドバタイズするように、相互再配布が設定されていることを確認してください。
| 複製ルータ |
|
次の検証コマンドを使用して、ルートレプリケーションが期待どおりに動作していること、およびGRTとVRF_Bの間でエンドツーエンド接続が使用可能であることを確認します。複製されたルートが適切なルーティングテーブルに存在すること、OSPFとEIGRPの隣接関係が確立されていること、およびトラフィックがpingを使用してリモートネットワークに正常に到達できることを検証します。
検証には次のものが含まれます。
| 複製ルータ |
|
| エンドポイントCatalyst 9K | サーバCatalyst 8000 |
|
|
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
02-Jul-2026
|
初版 |