設定例集#46: VRF-Lite


構成
ルーターAの設定
ルーターBの設定
設定の保存
ファイアウォールログについて
ルーターAのコンフィグ
ルーターBのコンフィグ



VRF-Liteを用いて、3つのVRFインスタンスとグローバルVRFインスタンスを利用したネットワークを構築し、同一機器上のVRFインスタンス間で同一のIPアドレスを利用します。また、2つの拠点間は、VRFインスタンスごとに作成したIPsecトンネルで接続し、VRFインスタンスごとに別々のルーティングプロトコルを動作させます。

構成


   
ルーターA
ルーターB
グループ管理者から提供された情報
グローバルVRF用
CUG接続用ユーザー名 userA@cug userB@cug
CUG接続用パスワード cugpasswdA cugpasswdB
WAN側IPアドレス 10.0.0.10/32 10.0.0.20/32
VRF1用
CUG接続用ユーザー名 userA1@cug userB1@cug
CUG接続用パスワード cugpasswdA1 cugpasswdB1
WAN側IPアドレス 10.0.0.11/32 10.0.0.21/32
VRF2用
CUG接続用ユーザー名 userA2@cug userB2@cug
CUG接続用パスワード cugpasswdA2 cugpasswdB2
WAN側IPアドレス 10.0.0.12/32 10.0.0.22/32
VRF3用
CUG接続用ユーザー名 userA3@cug userB3@cug
CUG接続用パスワード cugpasswdA3 cugpasswdB3
WAN側IPアドレス 10.0.0.13/32 10.0.0.23/32
ルーターの基本設定
全VRF共通
WAN側(CUG)物理インターフェース(1) eth1 eth1
グローバルVRF用
WAN側(ppp0)IPアドレス 10.0.0.10/32 10.0.0.20/32
LAN側(vlan1)IPアドレス 192.168.10.1/24 192.168.20.1/24
IPsecトンネル(tunnel0)IPアドレス 172.16.10.1/30 172.16.10.2/30
VRF1用
WAN側(ppp1)IPアドレス 10.0.0.11/32 10.0.0.21/32
LAN側(vlan10)IPアドレス 192.168.10.1/24 192.168.20.1/24
IPsecトンネル(tunnel1)IPアドレス 172.16.11.1/30 172.16.11.2/30
VRF2用
WAN側(ppp2)IPアドレス 10.0.0.12/32 10.0.0.22/32
LAN側(vlan20)IPアドレス 192.168.10.1/24 192.168.20.1/24
IPsecトンネル(tunnel2)IPアドレス 172.16.12.1/30 172.16.12.2/30
VRF3用
WAN側(ppp3)IPアドレス 10.0.0.13/32 10.0.0.23/32
LAN側(vlan30)IPアドレス 192.168.10.1/24 192.168.20.1/24
IPsecトンネル(tunnel3)IPアドレス 172.16.13.1/30 172.16.13.2/30

[事前共有鍵]

ルーターAの設定

  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
    
  2. WANポートeth1上にPPPoEインターフェースppp0 ~ ppp3を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
     encapsulation ppp 0
     encapsulation ppp 1
     encapsulation ppp 2
     encapsulation ppp 3
    
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
     keepalive
     ppp username userA@cug
     ppp password cugpasswdA
     ip address 10.0.0.10/32
     ip tcp adjust-mss pmtu
    
  4. PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。
    interface ppp1
     keepalive
     ppp username userA1@cug
     ppp password cugpasswdA1
     ip address 10.0.0.11/32
     ip tcp adjust-mss pmtu
    
  5. PPPインターフェースppp2に対し、PPPoE接続のための設定を行います。
    interface ppp2
     keepalive
     ppp username userA2@cug
     ppp password cugpasswdA2
     ip address 10.0.0.12/32
     ip tcp adjust-mss pmtu
    
  6. PPPインターフェースppp3に対し、PPPoE接続のための設定を行います。
    interface ppp3
     keepalive
     ppp username userA3@cug
     ppp password cugpasswdA3
     ip address 10.0.0.13/32
     ip tcp adjust-mss pmtu
    
  7. VRFインスタンス「VRF1」(VRFインスタンスID 1)を作成します。これには、ip vrfコマンドを使います。

    VRF-Liteの詳細は「IP」/「VRF-Lite」をご覧ください。
    ip vrf VRF1 1
    
  8. VRFインスタンス「VRF2」(VRFインスタンスID 2)を作成します。
    ip vrf VRF2 2
    
  9. VRFインスタンス「VRF3」(VRFインスタンスID 3)を作成します。
    また、同VRFインスタンスでBGPを使用するために必須のRD(Route Distinguisher)を設定します。これには、rdコマンドを使います。
    ip vrf VRF3 3
     rd 1000:1
    
  10. VLANを作成します。
    これには、vlan databaseコマンドとvlanコマンドを使います。
    VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
    vlan database
     vlan 10,20,30 state enable
    
  11. VLANインターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    このインターフェースはグローバルVRFインスタンスの所属になります。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
     ip address 192.168.10.1/24
    
  12. VLANインターフェースvlan10をVRFインスタンス「VRF1」に関連付け、IPアドレスを設定します。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
    interface vlan10
     ip vrf forwarding VRF1
     ip address 192.168.10.1/24
    
  13. VLANインターフェースvlan20をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
    interface vlan20
     ip vrf forwarding VRF2
     ip address 192.168.10.1/24
    
  14. VLANインターフェースvlan30をVRFインスタンス「VRF3」に関連付け、IPアドレスを設定します。
    interface vlan30
     ip vrf forwarding VRF3
     ip address 192.168.10.1/24
    
  15. LANポート1.0.1をvlan1、vlan10、vlan20、vlan30のタグ付きポートに設定します。
    これには、switchport modeコマンド、switchport trunk allowed vlanswitchport trunk native vlanコマンドを使います。
    VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
    interface port1.0.1
     switchport
     switchport mode trunk
     switchport trunk allowed vlan add 1,10,20,30
     switchport trunk native vlan none
    
  16. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret0 address 10.0.0.20
    crypto isakmp key secret1 address 10.0.0.21
    crypto isakmp key secret2 address 10.0.0.22
    crypto isakmp key secret3 address 10.0.0.23
    
  17. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel0
     mtu 1300
     tunnel source ppp0
     tunnel destination 10.0.0.20
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.10.1/30
     ip tcp adjust-mss 1260
    
  18. IPsecトンネルインターフェースtunnel1を作成し、VRFインスタンス「VRF1」に関連付けます。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
    interface tunnel1
     mtu 1300
     ip vrf forwarding VRF1
     tunnel source ppp1
     tunnel destination 10.0.0.21
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.11.1/30
     ip tcp adjust-mss 1260
    
  19. IPsecトンネルインターフェースtunnel2を作成し、VRFインスタンス「VRF2」に関連付けます。
    interface tunnel2
     mtu 1300
     ip vrf forwarding VRF2
     tunnel source ppp2
     tunnel destination 10.0.0.22
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.12.1/30
     ip tcp adjust-mss 1260
    
  20. IPsecトンネルインターフェースtunnel3を作成し、VRFインスタンス「VRF3」に関連付けます。
    interface tunnel3
     mtu 1300
     ip vrf forwarding VRF3
     tunnel source ppp3
     tunnel destination 10.0.0.23
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.13.1/30
     ip tcp adjust-mss 1260
    
  21. VRFインスタンス「VRF1」において、経路制御プロトコルRIPの設定を行います。
    これには、router ripaddress-family ipv4networkexit-address-familyの各コマンドを使います。
    RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
    router rip
     address-family ipv4 vrf VRF1
     network 172.16.11.0/30
     network 192.168.10.0/24
     exit-address-family
    
  22. VRFインスタンス「VRF2」において、経路制御プロトコルOSPFの設定を行います。
    これには、router ospfospf router-idnetworkの各コマンドを使います。
    OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
    router ospf 1 VRF2
     ospf router-id 0.0.0.1
     network 172.16.12.0/30 area 0.0.0.0
     network 192.168.10.0/24 area 0.0.0.0
    
  23. VRFインスタンス「VRF3」において、経路制御プロトコルBGPの設定を行います。
    これにはrouter bgpaddress-family ipv4networkneighbor remote-asneighbor activateexit-address-familyの各コマンドを使います。
    BGPの詳細は「IP」/「経路制御(BGP)」をご覧ください。
    router bgp 1000
     !
     address-family ipv4 vrf VRF3
     network 172.16.13.0/30
     network 192.168.10.0/24
     neighbor 172.16.13.2 remote-as 2000
     neighbor 172.16.13.2 activate
     neighbor 192.168.10.10 remote-as 1001
     neighbor 192.168.10.10 activate
     exit-address-family
    
  24. グローバルVRFインスタンスにおいて、IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

    ・リモート側の内部ネットワーク(192.168.20.0/24)へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
    ・IPsecトンネルの対向装置へはそれぞれ対応するPPPインターフェース経由で到達。

    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 10.0.0.20/32 ppp0
    ip route 10.0.0.21/32 ppp1
    ip route 10.0.0.22/32 ppp2
    ip route 10.0.0.23/32 ppp3
    ip route 192.168.20.0/24 tunnel0
    ip route 192.168.20.0/24 Null 254
    
  25. 以上で設定は完了です。
    end
    

ルーターBの設定

  1. LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
    スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
    no spanning-tree rstp enable
    
  2. WANポートeth1上にPPPoEインターフェースppp0 ~ ppp3を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
     encapsulation ppp 0
     encapsulation ppp 1
     encapsulation ppp 2
     encapsulation ppp 3
    
  3. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・IPアドレスの固定設定(ip address
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
     keepalive
     ppp username userB@cug
     ppp password cugpasswdB
     ip address 10.0.0.20/32
     ip tcp adjust-mss pmtu
    
  4. PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。
    interface ppp1
     keepalive
     ppp username userB1@cug
     ppp password cugpasswdB1
     ip address 10.0.0.21/32
     ip tcp adjust-mss pmtu
    
  5. PPPインターフェースppp2に対し、PPPoE接続のための設定を行います。
    interface ppp2
     keepalive
     ppp username userB2@cug
     ppp password cugpasswdB2
     ip address 10.0.0.22/32
     ip tcp adjust-mss pmtu
    
  6. PPPインターフェースppp3に対し、PPPoE接続のための設定を行います。
    interface ppp3
     keepalive
     ppp username userB3@cug
     ppp password cugpasswdB3
     ip address 10.0.0.23/32
     ip tcp adjust-mss pmtu
    
  7. VRFインスタンス「VRF1」(VRFインスタンスID 1)を作成します。これには、ip vrfコマンドを使います。

    VRF-Liteの詳細は「IP」/「VRF-Lite」をご覧ください。
    ip vrf VRF1 1
    
  8. VRFインスタンス「VRF2」(VRFインスタンスID 2)を作成します。
    ip vrf VRF2 2
    
  9. VRFインスタンス「VRF3」(VRFインスタンスID 3)を作成します。
    また、同VRFインスタンスでBGPを使用するために必須のRD(Route Distinguisher)を設定します。これには、rdコマンドを使います。
    ip vrf VRF3 3
     rd 2000:1
    
  10. VLANを作成します。
    これには、vlan databaseコマンドとvlanコマンドを使います。
    VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
    vlan database
     vlan 10,20,30 state enable
    
  11. VLANインターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
    このインターフェースはグローバルVRFインスタンスの所属になります。
    IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
    interface vlan1
     ip address 192.168.20.1/24
    
  12. VLANインターフェースvlan10をVRFインスタンス「VRF1」に関連付け、IPアドレスを設定します。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
    interface vlan10
     ip vrf forwarding VRF1
     ip address 192.168.20.1/24
    
  13. VLANインターフェースvlan20をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
    interface vlan20
     ip vrf forwarding VRF2
     ip address 192.168.20.1/24
    
  14. VLANインターフェースvlan30をVRFインスタンス「VRF3」に関連付け、IPアドレスを設定します。
    interface vlan30
     ip vrf forwarding VRF3
     ip address 192.168.20.1/24
    
  15. LANポート1.0.1をvlan1、vlan10、vlan20、vlan30のタグ付きポートに設定します。
    これには、switchport modeコマンド、switchport trunk allowed vlanswitchport trunk native vlanコマンドを使います。
    VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
    interface port1.0.1
     switchport
     switchport mode trunk
     switchport trunk allowed vlan add 1,10,20,30
     switchport trunk native vlan none
    
  16. 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
    crypto isakmp key secret0 address 10.0.0.10
    crypto isakmp key secret1 address 10.0.0.11
    crypto isakmp key secret2 address 10.0.0.12
    crypto isakmp key secret3 address 10.0.0.13
    
  17. IPsecトンネルインターフェースtunnel0を作成します。
    トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。

    これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。

    ・トンネルインターフェースのMTU(mtu
    ・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source
    ・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination
    ・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec
    ・トンネリング方式(tunnel mode ipsec
    ・トンネルインターフェースのIPアドレス(ip address
    ・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss
    interface tunnel0
     mtu 1300
     tunnel source ppp0
     tunnel destination 10.0.0.10
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.10.2/30
     ip tcp adjust-mss 1260
    
  18. IPsecトンネルインターフェースtunnel1を作成し、VRFインスタンス「VRF1」に関連付けます。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
    interface tunnel1
     mtu 1300
     ip vrf forwarding VRF1
     tunnel source ppp1
     tunnel destination 10.0.0.11
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.11.2/30
     ip tcp adjust-mss 1260
    
  19. IPsecトンネルインターフェースtunnel2を作成し、VRFインスタンス「VRF2」に関連付けます。
    interface tunnel2
     mtu 1300
     ip vrf forwarding VRF2
     tunnel source ppp2
     tunnel destination 10.0.0.12
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.12.2/30
     ip tcp adjust-mss 1260
    
  20. IPsecトンネルインターフェースtunnel3を作成し、VRFインスタンス「VRF3」に関連付けます。
    interface tunnel3
     mtu 1300
     ip vrf forwarding VRF3
     tunnel source ppp3
     tunnel destination 10.0.0.13
     tunnel protection ipsec
     tunnel mode ipsec ipv4
     ip address 172.16.13.2/30
     ip tcp adjust-mss 1260
    
  21. VRFインスタンス「VRF1」において、経路制御プロトコルRIPの設定を行います。
    これには、router ripaddress-family ipv4networkexit-address-familyの各コマンドを使います。
    RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
    router rip
     address-family ipv4 vrf VRF1
     network 172.16.11.0/30
     network 192.168.20.0/24
     exit-address-family
    
  22. VRFインスタンス「VRF2」において、経路制御プロトコルOSPFの設定を行います。
    これには、router ospfospf router-idnetworkの各コマンドを使います。
    OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
    router ospf 1 VRF2
     ospf router-id 0.0.0.2
     network 172.16.12.0/30 area 0.0.0.0
     network 192.168.20.0/24 area 0.0.0.0
    
  23. VRFインスタンス「VRF3」において、経路制御プロトコルBGPの設定を行います。
    これにはrouter bgpaddress-family ipv4networkneighbor remote-asneighbor activateexit-address-familyの各コマンドを使います。
    BGPの詳細は「IP」/「経路制御(BGP)」をご覧ください。
    router bgp 2000
     address-family ipv4 vrf VRF3
     network 172.16.13.0/30
     network 192.168.20.0/24
     neighbor 172.16.13.1 remote-as 1000
     neighbor 172.16.13.1 activate
     neighbor 192.168.20.10 remote-as 2001
     neighbor 192.168.20.10 activate
     exit-address-family
    
  24. グローバルVRFインスタンスにおいて、IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。

    ・リモート側の内部ネットワーク(192.168.10.0/24)へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
    ・IPsecトンネルの対向装置へはそれぞれ対応するPPPインターフェース経由で到達。

    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 10.0.0.10/32 ppp0
    ip route 10.0.0.11/32 ppp1
    ip route 10.0.0.12/32 ppp2
    ip route 10.0.0.13/32 ppp3
    ip route 192.168.10.0/24 tunnel0
    ip route 192.168.10.0/24 Null 254
    
  25. 以上で設定は完了です。
    end
    

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall

■ 記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall

ルーターAのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
 encapsulation ppp 2
 encapsulation ppp 3
!
interface ppp0
 keepalive
 ppp username userA@cug
 ppp password cugpasswdA
 ip address 10.0.0.10/32
 ip tcp adjust-mss pmtu
!
interface ppp1
 keepalive
 ppp username userA1@cug
 ppp password cugpasswdA1
 ip address 10.0.0.11/32
 ip tcp adjust-mss pmtu
!
interface ppp2
 keepalive
 ppp username userA2@cug
 ppp password cugpasswdA2
 ip address 10.0.0.12/32
 ip tcp adjust-mss pmtu
!
interface ppp3
 keepalive
 ppp username userA3@cug
 ppp password cugpasswdA3
 ip address 10.0.0.13/32
 ip tcp adjust-mss pmtu
!
ip vrf VRF1 1
!
ip vrf VRF2 2
!
ip vrf VRF3 3
 rd 1000:1
!
vlan database
 vlan 10,20,30 state enable
!
interface vlan1
 ip address 192.168.10.1/24
!
interface vlan10
 ip vrf forwarding VRF1
 ip address 192.168.10.1/24
!
interface vlan20
 ip vrf forwarding VRF2
 ip address 192.168.10.1/24
!
interface vlan30
 ip vrf forwarding VRF3
 ip address 192.168.10.1/24
!
interface port1.0.1
 switchport
 switchport mode trunk
 switchport trunk allowed vlan add 1,10,20,30
 switchport trunk native vlan none
!
crypto isakmp key secret0 address 10.0.0.20
crypto isakmp key secret1 address 10.0.0.21
crypto isakmp key secret2 address 10.0.0.22
crypto isakmp key secret3 address 10.0.0.23
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.20
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.10.1/30
 ip tcp adjust-mss 1260
!
interface tunnel1
 mtu 1300
 ip vrf forwarding VRF1
 tunnel source ppp1
 tunnel destination 10.0.0.21
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.11.1/30
 ip tcp adjust-mss 1260
!
interface tunnel2
 mtu 1300
 ip vrf forwarding VRF2
 tunnel source ppp2
 tunnel destination 10.0.0.22
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.12.1/30
 ip tcp adjust-mss 1260
!
interface tunnel3
 mtu 1300
 ip vrf forwarding VRF3
 tunnel source ppp3
 tunnel destination 10.0.0.23
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.13.1/30
 ip tcp adjust-mss 1260
!
router rip
 address-family ipv4 vrf VRF1
 network 172.16.11.0/30
 network 192.168.10.0/24
 exit-address-family
!
router ospf 1 VRF2
 ospf router-id 0.0.0.1
 network 172.16.12.0/30 area 0.0.0.0
 network 192.168.10.0/24 area 0.0.0.0
!
router bgp 1000
 !
 address-family ipv4 vrf VRF3
 network 172.16.13.0/30
 network 192.168.10.0/24
 neighbor 172.16.13.2 remote-as 2000
 neighbor 172.16.13.2 activate
 neighbor 192.168.10.10 remote-as 1001
 neighbor 192.168.10.10 activate
 exit-address-family
!
ip route 10.0.0.20/32 ppp0
ip route 10.0.0.21/32 ppp1
ip route 10.0.0.22/32 ppp2
ip route 10.0.0.23/32 ppp3
ip route 192.168.20.0/24 tunnel0
ip route 192.168.20.0/24 Null 254
!
end

ルーターBのコンフィグ

!
no spanning-tree rstp enable
!
interface eth1
 encapsulation ppp 0
 encapsulation ppp 1
 encapsulation ppp 2
 encapsulation ppp 3
!
interface ppp0
 keepalive
 ppp username userB@cug
 ppp password cugpasswdB
 ip address 10.0.0.20/32
 ip tcp adjust-mss pmtu
!
interface ppp1
 keepalive
 ppp username userB1@cug
 ppp password cugpasswdB1
 ip address 10.0.0.21/32
 ip tcp adjust-mss pmtu
!
interface ppp2
 keepalive
 ppp username userB2@cug
 ppp password cugpasswdB2
 ip address 10.0.0.22/32
 ip tcp adjust-mss pmtu
!
interface ppp3
 keepalive
 ppp username userB3@cug
 ppp password cugpasswdB3
 ip address 10.0.0.23/32
 ip tcp adjust-mss pmtu
!
ip vrf VRF1 1
!
ip vrf VRF2 2
!
ip vrf VRF3 3
 rd 2000:1
!
vlan database
 vlan 10,20,30 state enable
!
interface vlan1
 ip address 192.168.20.1/24
!
interface vlan10
 ip vrf forwarding VRF1
 ip address 192.168.20.1/24
!
interface vlan20
 ip vrf forwarding VRF2
 ip address 192.168.20.1/24
!
interface vlan30
 ip vrf forwarding VRF3
 ip address 192.168.20.1/24
!
interface port1.0.1
 switchport
 switchport mode trunk
 switchport trunk allowed vlan add 1,10,20,30
 switchport trunk native vlan none
!
crypto isakmp key secret0 address 10.0.0.10
crypto isakmp key secret1 address 10.0.0.11
crypto isakmp key secret2 address 10.0.0.12
crypto isakmp key secret3 address 10.0.0.13
!
interface tunnel0
 mtu 1300
 tunnel source ppp0
 tunnel destination 10.0.0.10
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.10.2/30
 ip tcp adjust-mss 1260
!
interface tunnel1
 mtu 1300
 ip vrf forwarding VRF1
 tunnel source ppp1
 tunnel destination 10.0.0.11
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.11.2/30
 ip tcp adjust-mss 1260
!
interface tunnel2
 mtu 1300
 ip vrf forwarding VRF2
 tunnel source ppp2
 tunnel destination 10.0.0.12
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.12.2/30
 ip tcp adjust-mss 1260
!
interface tunnel3
 mtu 1300
 ip vrf forwarding VRF3
 tunnel source ppp3
 tunnel destination 10.0.0.13
 tunnel protection ipsec
 tunnel mode ipsec ipv4
 ip address 172.16.13.2/30
 ip tcp adjust-mss 1260
!
router rip
 address-family ipv4 vrf VRF1
 network 172.16.11.0/30
 network 192.168.20.0/24
 exit-address-family
!
router ospf 1 VRF2
 ospf router-id 0.0.0.2
 network 172.16.12.0/30 area 0.0.0.0
 network 192.168.20.0/24 area 0.0.0.0
!
router bgp 2000
 address-family ipv4 vrf VRF3
 network 172.16.13.0/30
 network 192.168.20.0/24
 neighbor 172.16.13.1 remote-as 1000
 neighbor 172.16.13.1 activate
 neighbor 192.168.20.10 remote-as 2001
 neighbor 192.168.20.10 activate
 exit-address-family
!
ip route 10.0.0.10/32 ppp0
ip route 10.0.0.11/32 ppp1
ip route 10.0.0.12/32 ppp2
ip route 10.0.0.13/32 ppp3
ip route 192.168.10.0/24 tunnel0
ip route 192.168.10.0/24 Null 254
!
end


(C) 2015 - 2017 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.P