VRF-Lite (Virtual Routing and Forwarding-Lite)環境では、
論理的に分割されているため、一般的には、異なるVRFインスタンス間で通信が出来ません。
異なるVRFインスタンス間で通信をする場合には、ルーティング情報を共有(ルートリーク)する必要があります。
ルートリークは、あるVRFから別のVRFへルーティング情報を
「漏らす」ことを意味し、異なるVRFインスタンス間で通信を可能にします。
本設定では、Staticルートを使用してルートリーク(ルーティング情報の共有)を行う方法を紹介します。
VRF間の通信する設定事例の通信要件は以下の通りです。
・VRF(fxc1、fxc2)からVRF(global)のルータ(インターネット)へ通信許可
・VRF(fxc1、fxc2)間の通信は使用しない。
ルータの設定(インターネット接続や、各VRF宛のルート情報登録等)は完了しているものとします。
以下の内容でFXC9432の設定します。
VLAN1 192.168.100.254/24 (VRF:Global)
VLAN10 192.168.10.254/24 (VRF:fxc1 rd 1:1)
VLAN20 192.168.20.254/24 (VRF:fxc2 rd 1:2)
| 0 |
コマンド |
コメント |
| ①VLAN定義 |
|
| FXC9432(config)# |
vlan 10 |
|
| FXC9432(config-vlan)# |
vlan 20 |
|
| |
|
|
| ②VRFインスタンスを作成 |
|
| FXC9432(config)# |
ip vrf fxc1 |
VRFインスタンス(fxc1)を作成 |
| FXC9432(config-vrf)# |
rd 1:1 |
RD (Route Distinguisher)を設定 |
| FXC9432(config-vrf)# |
exit |
|
| FXC9432(config)# |
ip vrf fxc2 |
VRFインスタンス(fxc2)を作成 |
| FXC9432(config-vrf)# |
rd 1:2 |
RD (Route Distinguisher)を設定 |
| FXC9432(config-vrf)# |
exit |
|
| |
|
|
| ②VRFをインターフェースに割当て |
|
| ※IPが付与できるインターフェースに設定可 |
|
| FXC9432(config)# |
int vlan 1 |
(VRF:Globalは指定不要です。) |
| FXC9432(config-if)# |
ip address 192.168.100.254 255.255.255.0 |
IPアドレスを設定します。 |
| FXC9432(config-if)# |
int vlan 10 |
|
| FXC9432(config-if)# |
ip vrf forwarding fxc1 |
VLAN10をVRF(fxc1)に設定します。 |
| FXC9432(config-if)# |
ip address 192.168.10.254 255.255.255.0 |
IPアドレスを設定します。 |
| FXC9432(config-if)# |
interface VLAN 20 |
|
| FXC9432(config-if)# |
ip vrf forwarding fxc2 |
VLAN20をVRF(fxc2)に設定します。 |
| FXC9432(config-if)# |
ip address 192.168.20.254 255.255.255.0 |
IPアドレスを設定します。 |
| |
|
|
| ③ポートにVLAN(VRF)割当て |
|
| FXC9432(config)# |
int range gigabitEthernet 0/1-16 |
|
| FXC9432(config-if-range)# |
description ###VRF_Global### |
(オプション)ポートに説明書き |
| FXC9432(config-if-range)# |
int range gigabitEthernet 0/17-20 |
|
| FXC9432(config-if-range)# |
description ###VRF1_fxc1### |
(オプション)ポートに説明書き |
| FXC9432(config-if-range)# |
switchport access vlan 10 |
VLAN割当て |
| FXC9432(config-if-range)# |
int range gigabitEthernet 0/21-24 |
|
| FXC9432(config-if-range)# |
description ###VRF2_fxc2### |
(オプション)ポートに説明書き |
| FXC9432(config-if-range)# |
switchport access vlan 20 |
VLAN割当て |
| |
|
|
| ④VRF間ルート設定 |
|
| FXC9432(config)# |
ip route 192.168.10.0 255.255.255.0 VLAN 10 |
global=>fxc1へのStaticルート |
| FXC9432(config)# |
ip route 192.168.20.0 255.255.255.0 VLAN 20 |
global=>fxc2へのStaticルート |
| FXC9432(config)# |
ip route vrf fxc1 0.0.0.0 0.0.0.0 VLAN 1 192.168.100.1 |
fxc1=>globalへのデフォルトルート |
| FXC9432(config)# |
ip route vrf fxc1 192.168.20.0 255.255.255.0 Null 0 |
VRF間ルートを破棄ルートに指定 |
| FXC9432(config)# |
ip route vrf fxc2 0.0.0.0 0.0.0.0 VLAN 1 192.168.100.1 |
fxc2=>globalへのデフォルトルート |
| FXC9432(config)# |
ip route vrf fxc2 192.168.10.0 255.255.255.0 Null 0 |
VRF間ルートを破棄ルートに指定 |
show ip vrf brief
show ip vrf interfaces
show ip route
show ip route vrf fxc1
show ip route vrf fxc2
注意
・ネクストホップの無い場合、設定/構成により、通信失敗(未達)やルーティングループが発生します。
・ネクストホップが無いVRFインスタンスのFXC9432のVLAN Interfaceから他インスタンスへの通信は出来ません。
※ネクストホップがある場合でも、FXC9432のVLANInterface同士の直接的な通信はできません。
・ルータにVRF(fxc1/fxc2)向けのルート情報も必要になります。
補足
・破棄ルート(Nullルート)を使わずに、アクセスリスト等での制御も可能です。
・破棄ルート(Nullルート)を設定しない場合は、グローバルインスタンスのネクストホップ(ルーター)経由で各VLANの
端末通信が可能になります。
応用
ルーティング範囲を絞り、インターネットが使える端末を限定する
例)192.168.20.0~127まではインターネットを使えるが、
192.168.20.128~254までは、インターネットを使えなくする。
global=>fxc2へのStaticルートを変更する。(戻りルートの設定を変更する。)
ip route 192.168.20.0 255.255.255.128 VLAN 20
ip route 192.168.20.128 255.255.255.128 Null0
※本設定のNull0宛の破棄ルートは必須ではありませんが、ルーティングループ等を防止する目的で設定
しています。
