VRFとは

VRF(Virtual Routing & Forwarding)とは、ルータを仮想的に分割する技術です。主にMPLS-VPNを構成するPEルータで利用しています。なお、MPLSと関係なくルータを仮想的に分割することをVRF-Liteと呼んでいます。ただ、「VRF」と「VRF-Lite」という言葉をMPLSに関係あるかないかで厳密に使い分けはされていません。MPLSと関係なく使っている状況で「VRF」という言葉を使っていることもよくあります。

VRFによって、ルータ内に新しく個別のルーティングコンテクストを持つVRFインスタンスを作成できます。ルーティングコンテクストとは、ルーティングテーブルやルーティングテーブルを構築するための各ルーティングプロセス、そして関連するインタフェースをなどルーティングに必要な一連の要素を意味しています。

「VRFでルーティングテーブルを分割する」とごく簡単に説明されていることがとても多いと思いますが、ルーティングテーブルだけを分割しているわけではありません。

VRFを作成して、VRFにインタフェースを割り当てると独立したルーティングテーブルを持つ仮想的なルータとして扱うことができます。

図 VRFの概要
図 VRFの概要

VRFによって分割された仮想的なルータ(ルーティングコンテクスト)同士では、基本的には通信できません。また、本来のグローバルルーティングプロセスとVRFとの間の通信もできません。もし、VRF間またはVRFとグローバルルーティングプロセス間で通信させる必要があれば、ルートリークの設定によって可能になります。つまり、デフォルトでは、VRF同士は独立しているのですが、必要に応じて相互に通信させることもできます。

VRFの用途

通信可能な範囲を制御するために、パケットフィルタリングやルートフィルタリングなどを行います。ただ、複雑な制御をしようとすると従来のパケットフィルタリングやルートフィルタリングでは限界があります。VRFを利用することで、ルーティングを分離して、通信可能な範囲を柔軟に制御できます。たとえば、以下のような用途でVRFを利用すると簡単に制御できます。

  • レイヤ3VPNサービス
  • 管理用ネットワークの分離

レイヤ3VPNサービス

以下の図は、レイヤ3のVPNサービスの概要です。

図 VRFによるレイヤ3VPNサービスの概要

キャリアネットワークにA社とB社のそれぞれ2つずつの拠点が接続されています。VRFによって、A社とB社用に仮想的にルータを準備します。これにより、A社の拠点間およびB社の拠点間のみが通信可能なレイヤ3VPNを簡単に構築できます。

管理用ネットワークの分離

Webブラウザなどのユーザデータを転送するためのネットワークとTelnet/SSH、Syslogなどの管理用データを転送するためのネットワークを分離することで、より安定したネットワーク管理ができます。VRFでデータ用ネットワークと管理用ネットワークを簡単に分離できます。

図 VRFで管理用ネットワークを分離
図 VRFで管理用ネットワークを分離

関連記事

CiscoでのVRFの設定と確認コマンドについて、以下の記事で解説しています。

VRF-Liteによるレイヤ3VPNの設定例について、以下の記事で解説しています。

VRFによって、オーバーレイネットワークとアンダーレイネットワークを分割する設定例(FVRF)について、以下の記事で解説しています。

IPルーティング応用