目次
VRF 間のルーティング
特徴:
VPN ルーティングおよび転送テーブル (VPN ルーティングおよび転送テーブル) は VRF と呼ばれ、VRF は主にローカル ルーティングの競合の問題を解決します。PE と CE 間の接続は VRF に関連付ける必要があります。各 VRF は「仮想ルーター」として想像でき、各 VRF 間のルートは完全に分離されます。
VRF には次のものが含まれます。
1. 独立したルーティング テーブル。
2. この VRF に属する一連のインターフェイス。
3. この VRF でのみ使用されるルーティング プロトコルのセット。
VRF は独立して転送されるため、VRF 間のルーティング接続を実現するにはどうすればよいでしょうか? 一般的な方法としては、スタティック ルーティングまたはポリシー ルーティングによる VRF ルーティングの実装の 2 つがあります。
スタティック ルート VRF スパン構成のアイデア:
構成テンプレート 1:
ip ルート [vrf vrf_name] ネットワーク マスク [インターフェイス タイプ インターフェイス番号] [ip アドレス]
構成例1:
ip ルートvrf vpn1 10.0.0.0 255.0.0.0ギガビットイーサネット 3/1/0 12.0.0.1
構成説明1:
VRF vpn1 の 10.0.0.0/8 ネットワーク セグメントにスタティック ルートを追加します。このネットワーク セグメント宛てのデータ パケットは GI3/1/0 インターフェイスから転送され、ネクスト ホップは 12.0.0.1 です。
発信インターフェイス(例では GI3/1/0 インターフェイス)は、リダイレクトされる VRF、つまり発信インターフェイスがどの VRF に属するかを示すために使用され、宛先ネットワーク セグメントが VRF にリダイレクトされる必要があることを示します。
//インターフェイスが VRF に参加しない場合、インターフェイスはグローバル VRF、つまりグローバル ルーティング テーブルに属します。
//VRF ジャンプは送信インターフェイスによって識別されるため、送信インターフェイスの形式でスタティック ルートを設定する必要があります。同時に、ネクストホップ IP アドレスを設定する必要があります。設定しない場合、ARP を解決できず、データを転送できません。
構成テンプレート 2:
ip ルート [vrf vrf_name] ネットワーク マスク ip-address グローバル
構成例2:
ip ルートvrf vpn1 10.0.0.0 255.0.0.0 12.0.0.1グローバル
構成説明2:
Global はグローバル ルーティング テーブルを示します
VRF vpn1 の 10.0.0.0/8 ネットワーク セグメントにスタティック ルートを追加します。このネットワーク セグメント宛てのデータ パケットはグローバル ルーティング テーブルから転送され、ネクスト ホップは 12.0.0.1 になります。
構成テンプレート 1 と構成テンプレート 2 の違いは次のとおりです。
Ø構成 テンプレート 1 は、任意の VRF 間、任意の VRF とグローバル ルーティング テーブル間の VRF スパンを実現できます。
Ø構成 テンプレート 2 は、任意の VRF とグローバル ルーティング テーブル間の VRF スパニングのみを実現できますが、VRF と VRF 間のスパニングは実現できません。
ポリシー ルーティング VRF スパン構成のアイデア:
1) 対象のフローの ACL を定義します
ip アクセスリスト拡張 100
10 許可 ip 10.0.0.0 0.255.255.255 任意
2) ポリシールーティングを定義する
ルートマップ インターネット許可 10
IPアドレス100と一致
VRF VPN1 を設定します
//set vrf: 通常のルーティングよりも高い優先度で、IP パケットのルーティングに使用される VRF インスタンスとしてポリシー ルーティングを設定します。このコマンドは、set ip [default] nexthop および set [default ]interface と同時に設定することはできません。インターフェイスから受信した一致ルールに一致する IP パケットは、VRF が IP パケットを受信したインターフェイスが属する VRF と一致しているかどうかに関係なく、このコマンドで指定された VRF インスタンスのルーティング テーブルを使用して経路を選択します。
3) インターフェースアプリケーションポリシールーティング
インターフェイス ギガビットイーサネット 3/1/0
IP ポリシー ルートマップ インターネット
1. 実際のネットワーク要件
政府関連ネットワークでは、MPLS-VPN アプリケーションが非常に一般的です。周知のとおり、MPLS ベアラー ネットワークのパブリック ネットワークと VPN プライベート ネットワークは VRF を越えており、VRF はパブリック ネットワークとプライベート ネットワークを厳密に分離しているため、相互に通信できません。
政府関連ネットワークでは、一部の非 VPN サービスをパブリック ネットワークで実行する必要があるという要件があります。つまり、特定のサービスは VPN ネットワークに含まれておらず、パブリック ネットワークを通じて相互運用可能です。一般に、VPN サービスと非 VPN サービスは相互に通信する必要がないため、同じパブリック ネットワークを介して通信しても問題ありません。
ただし、一部の政府関連ネットワークでは、非 VPN サービスがインターネットにアクセスする必要があり、インターネット出口自体が MPLS-VPN の VRF インスタンスに属しているという特別な要件があります。非VPNサービスとVPNサービス間の相互通信をどのように実現するかが問題となる。
必要:
Ø 省都市圏ネットワーク局のアクセスは非 VPN サービスであるため、他の非 VPN サービスとアクセスを交換する必要があります
Ø 地方都市圏ネットワーク局事務所へのアクセスには、インターネットにアクセスする必要があります
Ø 地方都市圏ネットワーク局アクセス以外の非VPNサービスはインターネットにアクセスできません
トポロジの説明:
Øこの トポロジは、政務ネットワークの実際のトポロジです
Ø 黄色の網掛け部分はパブリック ネットワーク部分であり、VPN サービスと非 VPN サービスを同時に実行します。
Ø インターネットエクスポート部分、2 つの RSR7716 を RSR7708 に接続するインターフェイスは VRF インターネットに属します
2. 実際のネットワークトポロジ
3. シミュレーションネットワーク要件
Ø PC1は非 VPN サービスであり、他の非 VPN サービスとアクセスを交換する必要があります
Ø PC1 はインターネットにアクセスする必要があります
Ø PC1 以外の非 VPN サービスはインターネットにアクセスできません
4. シミュレーションネットワークトポロジ
五、構成ポイント
データ送信は双方向であるため、PC1 からインターネットへの双方向のルーティング接続と、インターネットから PC1 への双方向のルーティング接続を同時に考慮する必要があります。
PC1 からインターネットへの方向:
Ø 要件は次のとおりです: PC1 はインターネットにアクセスする必要がありますが、PC1 以外の非 VPN サービスはインターネットにアクセスできません。したがって、クロス VRF ポリシー ルーティングは、PE1 の GI3/1/0 入力の方向に実装する必要があります。PC1 ネットワーク セグメントのみが VRF 間での転送を許可され、他のネットワーク セグメントはブロックされます。
Ø 同時に、パブリック ネットワークの非 VPN サービス ルーターがインターネットへのデフォルト ルートを学習できるように、PE1 上のグローバル ルーティング テーブルにデフォルト ルートをインポートする必要があります。
インターネットから PC1 への方向:
Ø PE1では逆方向ルーティングが必要です。クロス VRF スタティック ルーティングを使用して、PC1 ネットワーク セグメントをポイントバックします。
Ø PE1 は、出力ルートが非 VPN ルートを学習できるように、スタティック ルートを VRF の OSPF に再発行する必要があります。
6. 設定手順
VRF 間ルーティングは通常、MPLS-VPN ネットワークの PE デバイスに適用されますが、その本質は VRF 間のジャンプであり、MPLS とは何の関係もありません。したがって、この場合には MPLS-VPN 設定は関係ありません。
PE1 構成:
1. 基本的なルーティング接続構成:
ip vrf vpn1
インターフェイス ギガビットイーサネット 3/1/0
IP ポリシー ルートマップ インターネット
IP アドレス 12.0.0.2 255.255.255.0
インターフェイス ギガビットイーサネット 3/1/1
IP VRF 転送 vpn1
IP アドレス 23.0.0.2 255.255.255.0
インターフェイス ループバック 0
IP アドレス 2.2.2.2 255.255.255.255
ルーターOSPF1
ネットワーク 2.2.2.2 0.0.0.0 エリア 0
ネットワーク 12.0.0.2 0.0.0.0 エリア 0
デフォルト情報は常に生成されます
ルーター ospf 10 vrf vpn1
静的サブネットを再配布する
ネットワーク 23.0.0.2 0.0.0.0 エリア 0
2. PC1 からインターネットへの方向のルーティング ポリシー (ポリシー ルーティングを使用):
ルートマップ インターネット許可 10
IPアドレス100と一致
VRF VPN1 を設定します
ip アクセスリスト拡張 100
10 許可 ip 10.0.0.0 0.255.255.255 任意
インターフェイス ギガビットイーサネット 3/1/0
IP ポリシー ルートマップ インターネット
3. インターネットから PC1 への方向のルーティング ポリシー (静的ルーティングを使用):
ip ルート vrf vpn1 10.0.0.0 255.0.0.0 ギガビットイーサネット 3/1/0 12.0.0.1
PE2 構成:
インターフェイス ギガビットイーサネット 0/0
IP参照
IP アドレス 12.0.0.1 255.255.255.0
インターフェイス ギガビットイーサネット 0/1
IP参照
IPアドレス 10.0.0.254 255.255.255.0
インターフェイス ループバック 0
IP参照
IP アドレス 1.1.1.1 255.255.255.255
ルーターOSPF1
ネットワーク 1.1.1.1 0.0.0.0 エリア 0
ネットワーク 10.0.0.0 0.0.0.255 エリア 0
ネットワーク 12.0.0.1 0.0.0.0 エリア 0
インターネット出口ルーターの構成:
インターフェイス ギガビットイーサネット 0/0
IP参照
IP アドレス 23.0.0.3 255.255.255.0
インターフェイス ループバック 0
IP参照
IP アドレス 3.3.3.3 255.255.255.255
ルーターOSPF1
静的サブネットを再配布する
ネットワーク 23.0.0.3 0.0.0.0 エリア 0
デフォルト情報の発信元
ip ルート 0.0.0.0 0.0.0.0 ループバック 0
7、構成の検証
1. PC1 は、INTERNET 出口ルータ 3.3.3.3 を介して PING できます。
PC1#ping 3.3.3.3
5 つの 100 バイト ICMP エコーを 3.3.3.3 に送信すると、タイムアウトは 2 秒になります。
< Ctrl+C を押して中断 >
!!!!!
成功率は 100 パーセント (5/5)、往復の最小/平均/最大 = 1/12/20 ミリ秒です。