目次
概要
FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割することです。FVRFの考え方について解説します。
関連記事
VRFについて、以下の記事もあわせてご覧ください。
オーバーレイネットワークとアンダーレイネットワークについて、以下の記事もあわせてご覧ください。
FVRF(Front door VRF)とは
FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割します。次の2つのVRFを利用します。
- FVRF(Front door VRF)
- IVRF(Inside VRF)
FVRFは、アンダーレイネットワーク用のVRFとして設定します。そして、IVRFはオーバーレイネットワーク用のVRFとして設定します。以下の図は、FVRFとIVRFでオーバーレイネットワークとアンダーレイネットワークを分割している様子を示しています。
FVRFのメリット
FVRF/IVRFで、オーバーレイネットワークとアンダーレイネットワークを論理的にきちんと分離することの主なメリットとして、以下の点が考えられます。
- アドレッシングの柔軟性
- セキュアな通信
- 安定したオーバーレイネットワークの構築
アドレッシングの柔軟性
オーバーレイネットワークとアンダーレイネットワークをVRFで分割しているので、アドレッシングをそれぞれ自由にできます。オーバーレイネットワークとアンダーレイネットワークのアドレス範囲が重複していてもOKです。
また、オーバーレイネットワークは1つだけではなく、複数重ねることもできます。つまり、マルチテナント化できます。アンダーレイネットワークとマルチテナント化しているオーバーレイネットワークで、同じアドレス範囲を利用しても問題ありません。
セキュアな通信
VRFで分割されているので、オーバーレイネットワークとアンダーレイネットワーク間は、直接通信できません。アンダーレイネットワークとしてインターネットを利用しているとき、アンダーレイネットワーク上のクラッカーは、オーバーレイネットワークへの攻撃はできなくなります。
もし、オーバーレイネットワークとアンダーレイネットワークで通信させる必要があるなら、ルートリークで限定的に通信できるネットワークを柔軟に制御することもできます。
関連記事
VRFルートリークについて、以下の記事で解説しています。
安定したオーバーレイネットワークの構築
オーバーレイネットワークとアンダーレイネットワークが適切に分離されていないと、ルーティングテーブルには、アンダーレイのルート情報とオーバーレイのルート情報が混在します。ちょっとした設定ミスで、オーバーレイネットワークが壊れたりします。
VRFでオーバーレイネットワークとアンダーレイネットワークを分離すると、何らかの設定ミスや障害の影響も、それぞれのVRF内に留めることができます。
デメリットは・・・
FVRFのデメリットは、「なんだか難しそう」っていうことだと思います。FVRFについて勉強するときにいろんな書籍やWebページを読んでみました。その多くは、いきなりDMVPNのコンフィグレーションがざーっと出てきたりして、「なんか難しい」と感じたものです。
シンプルなネットワーク構成で、FVRFの設定を試してみると、理解しやすくなるでしょう。「難しそう」と感じても、シンプルに考えるとそうでもないものです。まずは、オーバーレイネットワークとして、ポイントツーポイントGREトンネルを利用したネットワーク構成で考えると、理解しやすくなります。ポイントツーポイントGREトンネルからはじめて、FVRFを利用したVRF-awareなIPSec VTIやDMVPNを考えましょう。
そこで、FVRFの理解を深めるために、関連する以下の記事もあわせてご覧ください。
- ポイントツーポイントGREトンネル : FVRFなし
- ポイントツーポイントGREトンネル : FVRFあり(tunnel vrfコマンド)
- IPSec VTI : FRVRあり
- IPSec VTI : FVRFあり 設定例
- DMVPN(Dynamic Multipoint VPN):FVRFあり
- DMVPN(Dynamic Multipoint VPN):FVRFあり 設定例 Part1
- DMVPN(Dynamic Multipoint VPN):FVRFあり 設定例 Part2
まとめ
ポイント
- FVRF(Front door VRF)とは、オーバーレイネットワークとアンダーレイネットワークをVRFで論理的に分割することです。
- アンダーレイネットワーク用のVRFとして定義するVRFをFVRFと呼びます。オーバーレイネットワーク用のVRFがIVRFです。
- FVRFを利用することで、次のメリットがあります。
- アドレッシングの柔軟性
- セキュアな通信
- 安定したオーバーレイネットワークの構築
IPルーティング応用
- DNSラウンドロビン方式の負荷分散
- 負荷分散装置(ロードバランサ)の仕組み
- ルーティングプロセス ~実行中のルーティングプロトコル用のプログラム~
- 複数のルーティングプロトコルの利用
- 再配送(再配布) ~ルーティングドメイン境界で必須の設定~
- Cisco再配送(再配布)の設定 ~redistributeコマンド~
- Cisco 再配送の設定例 ~OSPFとRIPの双方向再配送~
- 再配送 設定ミスの切り分けと修正 Part1
- 再配送 設定ミスの切り分けと修正 Part2
- 再配送 設定ミスの切り分けと修正 Part3
- 再配送 設定ミスの切り分けと修正 Part4
- 再配送 設定ミスの切り分けと修正 Part5
- 再配送 設定ミスの切り分けと修正 Part6
- オフセットリスト(offset-list) ~ルート情報のメトリックを加算~
- オフセットリストの設定例 RIP
- オフセットリストの設定例 EIGRP
- ルートフィルタの概要
- ルートフィルタのポイント
- ディストリビュートリストによるルートフィルタの設定
- Ciscoディストリビュートリストによるルートフィルタの設定例
- プレフィクスリスト(prefix-list)によるルートフィルタの設定
- Ciscoプレフィクスリストによるルートフィルタの設定例
- Ciscoルートマップ(route-map)の概要 ~何をどう処理するか~
- Ciscoルートマップの設定
- Ciscoルートマップ(route-map)設定のポイント
- Ciscoルートマップによる再配送時のルート制御の設定例
- ポリシーベースルーティングの設定例
- GREトンネルインタフェース ~仮想的なポイントツーポイント接続~
- GREトンネルインタフェースの設定例
- GREトンネルの注意点 ~フラッピングしないように~
- オーバーレイネットワークとアンダーレイネットワーク
- ルート制御 ケーススタディ Part1
- ルート制御 ケーススタディ Part2
- ルート制御 ケーススタディ Part3
- VRF/VRF-Liteの概要 ~仮想的にルータを分割する~
- VRFの設定と確認コマンド [Cisco]
- VRF-Liteによるレイヤ3VPNの設定例 [Cisco]
- VRFルートリーク(スタティックルート)
- VRFルートリーク(スタティックルート)の設定例
- VRFルートリーク(MP-BGP)
- VRFルートリーク(MP-BGP)の設定例
- [FVRFの仕組み] FVRF(Front door VRF)とは
- [FVRFの仕組み] ポイントツーポイントGREトンネル:FVRFなし
- [FVRFの仕組み] ポイントツーポイントGREトンネル : FVRFあり(tunnel vrfコマンド)
- [FVRFの仕組み] IPSec VTI : FRVRFあり
- [FVRFの仕組み] IPSec VTI : FVRFあり 設定例
- [FVRFの仕組み] DMVPN : FVRFあり
- [FVRFの仕組み] DMVPN : FVRFあり 設定例 Part1
- [FVRFの仕組み] DMVPN : FVRFあり 設定例 Part2
- tunnel vrfコマンド
- tunnel vrfコマンドの設定例
- [演習] ルーティングループの防止
- [演習] 企業ネットワーク構築演習 Part1:拠点1の構築
- [演習] 企業ネットワーク構築演習 Part2:拠点2/拠点3の構築
- [演習] 企業ネットワーク構築演習 Part3:広域イーサネットの接続
- [演習] 企業ネットワーク構築演習 Part4:インターネット(AS1/AS2)の構築
- [演習] 企業ネットワーク構築演習 Part5:インターネットへの接続
- [演習] 企業ネットワーク構築演習 Part6:インターネットVPNの構築