概要

FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割することです。FVRFの考え方について解説します。

FVRF(Front door VRF)とは

FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割します。次の2つのVRFを利用します。

  • FVRF(Front door VRF)
  • IVRF(Inside VRF)

FVRFは、アンダーレイネットワーク用のVRFとして設定します。そして、IVRFはオーバーレイネットワーク用のVRFとして設定します。以下の図は、FVRFとIVRFでオーバーレイネットワークとアンダーレイネットワークを分割している様子を示しています。

図 FVRFとIVRF
図 FVRFとIVRF

FVRFのメリット

FVRF/IVRFで、オーバーレイネットワークとアンダーレイネットワークを論理的にきちんと分離することの主なメリットとして、以下の点が考えられます。

  • アドレッシングの柔軟性
  • セキュアな通信
  • 安定したオーバーレイネットワークの構築

アドレッシングの柔軟性

オーバーレイネットワークとアンダーレイネットワークをVRFで分割しているので、アドレッシングをそれぞれ自由にできます。オーバーレイネットワークとアンダーレイネットワークのアドレス範囲が重複していてもOKです。

また、オーバーレイネットワークは1つだけではなく、複数重ねることもできます。つまり、マルチテナント化できます。アンダーレイネットワークとマルチテナント化しているオーバーレイネットワークで、同じアドレス範囲を利用しても問題ありません。

セキュアな通信

VRFで分割されているので、オーバーレイネットワークとアンダーレイネットワーク間は、直接通信できません。アンダーレイネットワークとしてインターネットを利用しているとき、アンダーレイネットワーク上のクラッカーは、オーバーレイネットワークへの攻撃はできなくなります。

もし、オーバーレイネットワークとアンダーレイネットワークで通信させる必要があるなら、ルートリークで限定的に通信できるネットワークを柔軟に制御することもできます。

安定したオーバーレイネットワークの構築

オーバーレイネットワークとアンダーレイネットワークが適切に分離されていないと、ルーティングテーブルには、アンダーレイのルート情報とオーバーレイのルート情報が混在します。ちょっとした設定ミスで、オーバーレイネットワークが壊れたりします。

VRFでオーバーレイネットワークとアンダーレイネットワークを分離すると、何らかの設定ミスや障害の影響も、それぞれのVRF内に留めることができます。

デメリットは・・・

FVRFのデメリットは、「なんだか難しそう」っていうことだと思います。FVRFについて勉強するときにいろんな書籍やWebページを読んでみました。その多くは、いきなりDMVPNのコンフィグレーションがざーっと出てきたりして、「なんか難しい」と感じたものです。

シンプルなネットワーク構成で、FVRFの設定を試してみると、理解しやすくなるでしょう。「難しそう」と感じても、シンプルに考えるとそうでもないものです。まずは、オーバーレイネットワークとして、ポイントツーポイントGREトンネルを利用したネットワーク構成で考えると、理解しやすくなります。ポイントツーポイントGREトンネルからはじめて、FVRFを利用したVRF-awareなIPSec VTIやDMVPNを考えましょう。

そこで、FVRFの理解を深めるために、関連する以下の記事もあわせてご覧ください。

まとめ

ポイント

  • FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割することです。
  • アンダーレイネットワーク用のVRFとして定義するVRFをFVRFと呼びます。オーバーレイネットワーク用のVRFがIVRFです。
  • FVRFを利用することで、次のメリットがあります。
    • アドレッシングの柔軟性
    • セキュアな通信
    • 安定したオーバーレイネットワークの構築

IPルーティング応用