2.10. VRF-Liteの設定
VRF-Lite(以下VRF)は、ルータの中に複数の仮想ルータを生成し、1台のルータを複数ルータのように動作させる機能です。複数の独立したネットワークを安全に分離して管理することができ、IPアドレスが重複する環境でも利用可能です。
2.10.1. 機能概要
VRF機能では、以下のように装置内に仮想的にルータを生成することができます。ルータのインタフェースをそれぞれのVRFに割り当てることで、各インタフェースが仮想ルータのインタフェースとして認識され、異なるルータと通信が分離されます。
図 2.10.1 VRF機能の概要
VRFに割り当てた部分を仮想ルータ、VRFに属していない既存部分をベースルータと呼びます(グローバルルータとも呼ばれることもあります)。
それぞれのルータは、基本的なIPv4機能のほか、スタティックルーティングやポリシールーティング、IPsecによる暗号化、VRRP、ネットワークモニタ機能などに対応しています。
2.10.2. 注意事項
VRFとしてサポートしている機能をよくご確認の上ご利用ください。特にルーティングプロトコルに未対応なため、これらの機能はベースルータ側で利用してください。
VRF上のIPアドレスは、VRFを設定した後に設定してください。IPアドレス設定済みのインタフェースにVRFを設定した場合、先に設定していたIPアドレスは削除されます。
IPアドレスに関わるコマンドでVRFの情報を取得する場合はVRF名の指定が必要です。VRF名を指定しない場合、ベースルータの情報のみを取得します。
VRFが異なってもVRRPのVRIDは重複できません。
VRFが異なってもVLANタギング機能(IEEE802.1Q)のVLAN識別子(VID)は重複できません。
複数のVRFをIPsecで暗号化して同一のセンタ装置と接続する場合、同一拠点間のIPsec複数接続になるため、後述の説明を確認してください。
2.10.3. 基本設定
VRFの設定はip vrf forwardingコマンドで行います。このコマンドをインタフェースに設定することで、そのインタフェースは仮想ルータ上のインタフェースとして動作するようになります。
VRF名ごとに仮想ルータを生成することができます。
VRF用のルーティング設定はVRF名を指定して設定します。
グローバルコンフィグモード
項目
説明
ip route vrf
VRF上のスタティックルート設定
ip max-route vrf
VRF上の最大ルートエントリ数設定
インタフェースコンフィグモード
項目
説明
ip vrf forwarding
VRFインタフェースの設定
ip address
VRF上のIPv4アドレス設定
ip route vrf vrf1 default 192.168.0.1 ip route vrf vrf2 default 192.168.0.1 ! device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 ! interface GigaEthernet0.0 ip vrf forwarding vrf1 ip address 192.168.0.254/24 no shutdown ! interface GigaEthernet1.0 ip vrf forwarding vrf1 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet2:1.0 ip vrf forwarding vrf2 ip address 192.168.0.254/24 no shutdown ! interface GigaEthernet2:2.0 ip vrf forwarding vrf2 ip address 192.168.1.254/24 no shutdown
異なるVRF間での通信はできません。送信先に異なるVRFのインタフェースを指定しても動作せず、設定例のvrf1とvrf2のネットワークは完全に分離されます。
VRF機能利用時は、以下のsyslogのメッセージの先頭部分に、インタフェースに設定したVRF名が出力されます。syslogの設定については遠隔設定と監視の章を、syslogの内容についてはsyslogリファレンスマニュアルを参照してください。
ipv4 - 001~009, 019~023, 025~028, 040~045, 075, 076
(例)ipv4 - 001 - VRF vrf1: RX(VRF): 192.168.0.1 > 192.168.0.254 icmp GigaEthernet0.0
dns - 015, 016
pdns - 011
2.10.4. VRF対応機能の設定
従来と同じ設定で動作する機能と、VRF名指定が必要となる機能があります。
インタフェース上で動作するフィルタやNAT、QoS、MSS調整機能、VRRPなどの機能は、従来と同じ設定で動作します。
以下のコマンドにおいては同時にVRF名の指定が必要です。
項目
説明
ping vrf
VRF上のping
traceroute vrf
VRF上のtraceroute
nslookup vrf
VRF上のnslookup
ip name-server vrf
VRF上のDNSリゾルバ
dns host vrf
VRF上のローカルDNSサーバー
proxy-dns vrf server
VRF上のプロキシDNS
VRF上のネットワークモニタ機能のホスト/経路監視、経路制御
nm vrf ip enable
VRF上のNetMeisterクライアントの有効化
ping 192.168.0.1 vrf vrf1watch-group example1 event 1 vrf vrf1 ip unreach-host 192.168.0.1 GigaEthernet0.0
2.10.5. 対応状況
VRF機能の対応状況一覧です。
注釈
下記の表に記載されていない機能はすべて非対応です。
2.10.5.1. インタフェース機能
機能
対応
イーサネット(ベース、ポートVLAN、タグVLAN、BVI)
○
動的アドレス(PPP/PPPoE)
○
動的アドレス(DHCP)
○
動的アドレス(L2TP)
×
Null, Loopback(0.0はVRF指定不可)
○
Tunnel
○
ダイレクトブロードキャスト
○
2.10.5.2. ルーティング機能
ルーティングプロトコルには未対応です。経路制御を行う場合はネットワークモニタ機能を利用してください。
機能
対応
スタティックルーティング
○
BGP
×
OSPF/RIP
×
ポリシールーティング(ローカルポリシーを除く)
○
マルチパス
×
VRF間ルーティング(ルート漏洩)
×
マルチキャスト
×
2.10.5.3. フォワーディング機能
機能
対応
IPフィルタ / MACフィルタ
○
NAT/NAPT
○
QoS
○
IPsec Tunnel Inner対応(トンネル内をVRF化)
○
ダイナミックVPN Tunnel Inner対応(トンネル内をVRF化)
×
IPsec Tunnel Outer対応(トンネル外をVRF化)
×
非IPsec Tunnel Outer対応(トンネル外をVRF化)
×
MSS調整
○
URLオフロード、URLフィルタリング
×
2.10.5.4. IPv4機能
機能
対応
DHCPサーバー機能
○
DHCPクライアント機能
○
DHCPリレー機能
×
VRRP機能
○
ネットワークモニタ機能
○
プロキシDNS機能
○
注釈
VRFではDHCPサーバーの除外アドレス設定機能は使用できません。
2.10.5.5. IPv6機能
IPv6はルーティング機能を含めてVRF非対応です。
2.10.5.6. レイヤ2機能
機能
対応
タグVLAN、ポートVLAN
○
MACフィルタ
○
リンクアグリゲーション
○
ブリッジ機能
対象外
2.10.5.7. 保守機能
機能
対応
ping / traceroute
○
DNSリゾルバ(nslookup)
○
telnet
×
SSH / Webコンソール機能
○
syslog送信
×
SNMP/TRAP
×
NTP
×
ソフトウェア更新
△(Webコンソール、NetMeister経由のみ可能)
NetMeister接続
○
注釈
NetMeisterにVRFで接続した場合、制限事項があります。詳細はNetMeister VRF接続構成の章を確認してください。
2.10.6. 多対地IPsec構成
VRFを利用して2系統のネットワークを収容するVPNの構成例を以下に示します。例ではそれぞれのネットワークで重複したアドレスを使用しています。
図 2.10.2 多対地IPsecの構成図
VRFごとにそれぞれ独立したIPsecを設定します。鍵交換プロトコルにはIKEv2を用い、センタ側の設定はpeer anyとしてください。
ネットワークモニタ機能による制御やVRRPも併用可能です。
ikev2の設定をpeer anyで設定していることに注意してください。 拠点1との接続のみ記載しています。 ip route default 10.10.10.254 ip route vrf VRF1 192.168.2.0/24 Tunnel0.0 ip route vrf VRF2 192.168.2.0/24 Tunnel1.0 ! ikev2 authentication psk id keyid CENTER-VRF1 key char himitsukagi1 ikev2 authentication psk id keyid CENTER-VRF2 key char himitsukagi1 ikev2 authentication psk id keyid SITE1-VRF1 key char himitsukagi2 ikev2 authentication psk id keyid SITE1-VRF2 key char himitsukagi2 ! device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 ! interface GigaEthernet0.0 ip address 10.10.10.1/24 no shutdown ! interface GigaEthernet2:1.0 ip vrf forwarding VRF1 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet2:2.0 ip vrf forwarding VRF2 ip address 192.168.1.254/24 no shutdown ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip vrf forwarding VRF1 ip unnumbered GigaEthernet2:1.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 local-authentication psk id keyid CENTER-VRF1 ikev2 peer any authentication psk id keyid SITE1-VRF1 no shutdown ! interface Tunnel1.0 tunnel mode ipsec-ikev2 ip vrf forwarding VRF2 ip unnumbered GigaEthernet2:2.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 local-authentication psk id keyid CENTER-VRF2 ikev2 peer any authentication psk id keyid SITE1-VRF2 no shutdownip route default 20.20.20.254 ip route vrf VRF1 192.168.1.0/24 Tunnel0.0 ip route vrf VRF2 192.168.1.0/24 Tunnel1.0 ! ikev2 authentication psk id keyid CENTER-VRF1 key char himitsukagi1 ikev2 authentication psk id keyid CENTER-VRF2 key char himitsukagi1 ikev2 authentication psk id keyid SITE1-VRF1 key char himitsukagi2 ikev2 authentication psk id keyid SITE1-VRF2 key char himitsukagi2 ! device GigaEthernet2 vlan-group 1 port 1 vlan-group 2 port 2 ! interface GigaEthernet0.0 ip address 20.20.20.1/24 no shutdown ! interface GigaEthernet2:1.0 ip vrf forwarding VRF1 ip address 192.168.2.254/24 no shutdown ! interface GigaEthernet2:2.0 ip vrf forwarding VRF2 ip address 192.168.2.254/24 no shutdown ! interface Tunnel0.0 tunnel mode ipsec-ikev2 ip vrf forwarding VRF1 ip unnumbered GigaEthernet2:1.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 local-authentication psk id keyid SITE1-VRF1 ikev2 peer 10.10.10.1 authentication psk id keyid CENTER-VRF1 no shutdown ! interface Tunnel1.0 tunnel mode ipsec-ikev2 ip vrf forwarding VRF2 ip unnumbered GigaEthernet2:2.0 ip tcp adjust-mss auto ikev2 ipsec pre-fragment ikev2 local-authentication psk id keyid SITE1-VRF2 ikev2 peer 10.10.10.1 authentication psk id keyid CENTER-VRF2 no shutdown
2.10.7. NetMeister VRF接続構成
VRFを利用してNetMeisterを利用する例を以下に示します。通常、NetMeisterはインターネット接続が必要のため、閉域網で接続することができません(NetMeister Primeを契約するとNGN閉域網で利用可能)。閉域網でNetMeisterを利用したい場合、NetMeister VRF接続構成を利用することで閉域網のセキュリティ性を確保しつつ、NetMeisterをご利用いただけます。
VRF側をインターネットに接続するNetMeister用のネットワーク、ベースルータ側を閉域網の業務系通信ネットワークに分離し、閉域網の通信がインターネット側へ漏洩するのを防ぎつつNetMeisterで装置管理することができます。
図 2.10.3 NetMeisterのVRF接続構成図
ip route default 10.10.10.254 ip route vrf vrf1 default GigaEthernet0.1 ! nm vrf vrf1 ip enable nm account “グループID” password plain “グループパスワード” nm sitename tokyo ! ppp profile sample authentication myname test@example.com authentication password test@example.com my-password ! interface GigaEthernet1.0 ip address 10.10.10.1/24 no shutdown ! interface GigaEthernet2.0 ip address 192.168.1.254/24 no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding sample ip vrf forwarding vrf1 ip address ipcp no shutdown ! system information wan 1 GigaEthernet0.1
2.10.7.1. VRF名指定が必要なコマンド
VRFを利用してNetMeisterを利用する場合、NetMeister関連のコマンドでVRF名が必要なコマンドは有効化コマンドのnm vrf [VRF名] ip enableのみになります。有効化コマンドで指定したVRF上でNetMeisterは動作します。
その他のNetMeister関連のコマンドはVRF名の指定は不要です。例として、ダイナミックDNS登録インタフェースの設定コマンドであるnm ddns notify interfaceコマンドはVRF名不要です。指定インタフェースをVRFインタフェースに指定してください。
2.10.7.2. リモートログイン機能の設定
VRFを利用してNetMeisterを利用している際、リモートログイン機能を使用する設定例を以下に示します。リモートログイン機能を利用する場合、system informationコマンド機能でVRFインタフェースをLANとして指定する必要があります。
device GigaEthernet2 vlan-group 1 port 1 ! interface GigaEthernet2:1.0 ip vrf forwarding vrf1 ip address 192.168.100.254/24 ssh-server ip enable http-server ip enable no shutdown ! interface GigaEthernet0.1 encapsulation pppoe auto-connect ppp binding sample ip vrf forwarding vrf1 ip address ipcp no shutdown ! system information lan 1 GigaEthernet2:1.0
2.10.7.3. 確認コマンド
登録状況をshow nm statusコマンドで確認できます。NetMeisterをVRFで有効化している場合、下記表示例のようにVRF NAMEの欄でVRF名が表示されます。
NetMeister Client: Result : Success (20000) Last Request: 2024/12/13 10:41:31 Next Request: 2024/12/19 05:23:31 (remain 327517 sec) VRF NAME : vrf1 Information: IPv4 Address: <通知した IPv4 アドレス> IPv4 Domain : <通知した IPv4 ドメイン> IPv6 Address: IPv6 Domain : Interval : 168 hour API-GW: gpid : sample-gpid stid : htid : sample-htid Interval : 3600 sec Next Request: 2024/12/15 10:42:51 Status : Registered MQTT: Interval : 60 sec Status : Connected
2.10.7.4. 利用できるNetMeister機能
本環境で利用できるNetMeister機能は、インターネット(IPv4)環境で利用できる機能と同じになります。詳細については、「NetMeisterの設定」の章をご確認ください。ただし、一部の機能が使用できない等の制限事項があります。制限事項については下記を参照してください。
2.10.7.5. NetMeister VRF接続構成の制限事項
IPv6は対応しておりません。
NetMeisterによるダイナミックVPN設定には対応しておりません。
ダイナミックDNSでは、IPv6アドレスを登録することはできません。
デバイスリスト・デバイスマップはリンクマネージャを有効化したインタフェースの情報を出力します。VRFインタフェースとベースインタフェースにリンクマネージャを有効化した場合、両インタフェースのデバイス情報が出力されます。確認したい側のインタフェースにリンクマネージャを有効化してください。
Web-GUIを利用した設定には対応しておりません。
URLオフロード機能はVRF-Liteに対応していないため、VRFインタフェース上では動作しません。URLオフロード機能を利用する場合、ベースインタフェース上でURLオフロードを実施するような構成でのみ利用できます。
アプリケーション解析はVRF-Liteに対応していないため、VRFインタフェース上では動作しません。アプリケーション解析を利用する場合、ベースインタフェース上でアプリケーション解析を実施するような構成でのみ利用できます。アプリケーション解析の情報通知等はVRF側で通知します。