設定例集#46: VRF-Lite
VRF-Liteを用いて、3つのVRFインスタンスとグローバルVRFインスタンスを利用したネットワークを構築し、同一機器上のVRFインスタンス間で同一のIPアドレスを利用します。また、2つの拠点間は、VRFインスタンスごとに作成したIPsecトンネルで接続し、VRFインスタンスごとに別々のルーティングプロトコルを動作させます。
構成
| CUG接続用ユーザー名 | userA@cug | userB@cug | |
| CUG接続用パスワード | cugpasswdA | cugpasswdB | |
| WAN側IPアドレス | 10.0.0.10/32 | 10.0.0.20/32 | |
| CUG接続用ユーザー名 | userA1@cug | userB1@cug | |
| CUG接続用パスワード | cugpasswdA1 | cugpasswdB1 | |
| WAN側IPアドレス | 10.0.0.11/32 | 10.0.0.21/32 | |
| CUG接続用ユーザー名 | userA2@cug | userB2@cug | |
| CUG接続用パスワード | cugpasswdA2 | cugpasswdB2 | |
| WAN側IPアドレス | 10.0.0.12/32 | 10.0.0.22/32 | |
| CUG接続用ユーザー名 | userA3@cug | userB3@cug | |
| CUG接続用パスワード | cugpasswdA3 | cugpasswdB3 | |
| WAN側IPアドレス | 10.0.0.13/32 | 10.0.0.23/32 | |
| WAN側(CUG)物理インターフェース(1) | eth1 | eth1 | |
| WAN側(ppp0)IPアドレス | 10.0.0.10/32 | 10.0.0.20/32 | |
| LAN側(vlan1)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 | |
| IPsecトンネル(tunnel0)IPアドレス | 172.16.10.1/30 | 172.16.10.2/30 | |
| WAN側(ppp1)IPアドレス | 10.0.0.11/32 | 10.0.0.21/32 | |
| LAN側(vlan10)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 | |
| IPsecトンネル(tunnel1)IPアドレス | 172.16.11.1/30 | 172.16.11.2/30 | |
| WAN側(ppp2)IPアドレス | 10.0.0.12/32 | 10.0.0.22/32 | |
| LAN側(vlan20)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 | |
| IPsecトンネル(tunnel2)IPアドレス | 172.16.12.1/30 | 172.16.12.2/30 | |
| WAN側(ppp3)IPアドレス | 10.0.0.13/32 | 10.0.0.23/32 | |
| LAN側(vlan30)IPアドレス | 192.168.10.1/24 | 192.168.20.1/24 | |
| IPsecトンネル(tunnel3)IPアドレス | 172.16.13.1/30 | 172.16.13.2/30 | |
[事前共有鍵]
- グローバルVRF(tunnel0): secret0
- VRF1(tunnel1): secret1
- VRF2(tunnel2): secret2
- VRF3(tunnel3): secret3
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
- 手動で設定する方法 - 「運用・管理」/「システム」
- NTPで自動設定する方法 - 「運用・管理」/「NTP」
ルーターAの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0 ~ ppp3を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0 encapsulation ppp 1 encapsulation ppp 2 encapsulation ppp 3
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive)
・ユーザー名(ppp username)
・パスワード(ppp password)
・IPアドレスの固定設定(ip address)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 keepalive ppp username userA@cug ppp password cugpasswdA ip address 10.0.0.10/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。
interface ppp1 keepalive ppp username userA1@cug ppp password cugpasswdA1 ip address 10.0.0.11/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp2に対し、PPPoE接続のための設定を行います。
interface ppp2 keepalive ppp username userA2@cug ppp password cugpasswdA2 ip address 10.0.0.12/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp3に対し、PPPoE接続のための設定を行います。
interface ppp3 keepalive ppp username userA3@cug ppp password cugpasswdA3 ip address 10.0.0.13/32 ip tcp adjust-mss pmtu
- VRFインスタンス「VRF1」(VRFインスタンスID 1)を作成します。これには、ip vrfコマンドを使います。
VRF-Liteの詳細は「IP」/「VRF-Lite」をご覧ください。
ip vrf VRF1 1
- VRFインスタンス「VRF2」(VRFインスタンスID 2)を作成します。
ip vrf VRF2 2
- VRFインスタンス「VRF3」(VRFインスタンスID 3)を作成します。
また、同VRFインスタンスでBGPを使用するために必須のRD(Route Distinguisher)を設定します。これには、rdコマンドを使います。
ip vrf VRF3 3 rd 1000:1
- VLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
vlan database vlan 10,20,30 state enable
- VLANインターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
このインターフェースはグローバルVRFインスタンスの所属になります。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.10.1/24
- VLANインターフェースvlan10をVRFインスタンス「VRF1」に関連付け、IPアドレスを設定します。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
interface vlan10 ip vrf forwarding VRF1 ip address 192.168.10.1/24
- VLANインターフェースvlan20をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
interface vlan20 ip vrf forwarding VRF2 ip address 192.168.10.1/24
- VLANインターフェースvlan30をVRFインスタンス「VRF3」に関連付け、IPアドレスを設定します。
interface vlan30 ip vrf forwarding VRF3 ip address 192.168.10.1/24
- LANポート1.0.1をvlan1、vlan10、vlan20、vlan30のタグ付きポートに設定します。
これには、switchport modeコマンド、switchport trunk allowed vlan、switchport trunk native vlanコマンドを使います。
VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
interface port1.0.1 switchport switchport mode trunk switchport trunk allowed vlan add 1,10,20,30 switchport trunk native vlan none
- 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key secret0 address 10.0.0.20 crypto isakmp key secret1 address 10.0.0.21 crypto isakmp key secret2 address 10.0.0.22 crypto isakmp key secret3 address 10.0.0.23
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination 10.0.0.20 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.10.1/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel1を作成し、VRFインスタンス「VRF1」に関連付けます。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
interface tunnel1 mtu 1300 ip vrf forwarding VRF1 tunnel source ppp1 tunnel destination 10.0.0.21 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.11.1/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel2を作成し、VRFインスタンス「VRF2」に関連付けます。
interface tunnel2 mtu 1300 ip vrf forwarding VRF2 tunnel source ppp2 tunnel destination 10.0.0.22 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.12.1/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel3を作成し、VRFインスタンス「VRF3」に関連付けます。
interface tunnel3 mtu 1300 ip vrf forwarding VRF3 tunnel source ppp3 tunnel destination 10.0.0.23 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.13.1/30 ip tcp adjust-mss 1260
- VRFインスタンス「VRF1」において、経路制御プロトコルRIPの設定を行います。
これには、service rip、router rip、address-family ipv4、network、exit-address-familyの各コマンドを使います。
RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
service rip router rip address-family ipv4 vrf VRF1 network 172.16.11.0/30 network 192.168.10.0/24 exit-address-family
- VRFインスタンス「VRF2」において、経路制御プロトコルOSPFの設定を行います。
これには、service ospf、router ospf、ospf router-id、networkの各コマンドを使います。
OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
service ospf router ospf 1 VRF2 ospf router-id 0.0.0.1 network 172.16.12.0/30 area 0.0.0.0 network 192.168.10.0/24 area 0.0.0.0
- VRFインスタンス「VRF3」において、経路制御プロトコルBGPの設定を行います。
これにはrouter bgp、address-family ipv4、network、neighbor remote-as、neighbor activate、exit-address-familyの各コマンドを使います。
BGPの詳細は「IP」/「経路制御(BGP)」をご覧ください。
router bgp 1000 ! address-family ipv4 vrf VRF3 network 172.16.13.0/30 network 192.168.10.0/24 neighbor 172.16.13.2 remote-as 2000 neighbor 172.16.13.2 activate neighbor 192.168.10.10 remote-as 1001 neighbor 192.168.10.10 activate exit-address-family
- グローバルVRFインスタンスにおいて、IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
・リモート側の内部ネットワーク(192.168.20.0/24)へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
・IPsecトンネルの対向装置へはそれぞれ対応するPPPインターフェース経由で到達。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 10.0.0.20/32 ppp0 ip route 10.0.0.21/32 ppp1 ip route 10.0.0.22/32 ppp2 ip route 10.0.0.23/32 ppp3 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254
- 以上で設定は完了です。
end
ルーターBの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0 ~ ppp3を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1 encapsulation ppp 0 encapsulation ppp 1 encapsulation ppp 2 encapsulation ppp 3
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・LCP EchoによるPPP接続状態の確認(keepalive)
・ユーザー名(ppp username)
・パスワード(ppp password)
・IPアドレスの固定設定(ip address)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0 keepalive ppp username userB@cug ppp password cugpasswdB ip address 10.0.0.20/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp1に対し、PPPoE接続のための設定を行います。
interface ppp1 keepalive ppp username userB1@cug ppp password cugpasswdB1 ip address 10.0.0.21/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp2に対し、PPPoE接続のための設定を行います。
interface ppp2 keepalive ppp username userB2@cug ppp password cugpasswdB2 ip address 10.0.0.22/32 ip tcp adjust-mss pmtu
- PPPインターフェースppp3に対し、PPPoE接続のための設定を行います。
interface ppp3 keepalive ppp username userB3@cug ppp password cugpasswdB3 ip address 10.0.0.23/32 ip tcp adjust-mss pmtu
- VRFインスタンス「VRF1」(VRFインスタンスID 1)を作成します。これには、ip vrfコマンドを使います。
VRF-Liteの詳細は「IP」/「VRF-Lite」をご覧ください。
ip vrf VRF1 1
- VRFインスタンス「VRF2」(VRFインスタンスID 2)を作成します。
ip vrf VRF2 2
- VRFインスタンス「VRF3」(VRFインスタンスID 3)を作成します。
また、同VRFインスタンスでBGPを使用するために必須のRD(Route Distinguisher)を設定します。これには、rdコマンドを使います。
ip vrf VRF3 3 rd 2000:1
- VLANを作成します。
これには、vlan databaseコマンドとvlanコマンドを使います。
VLANの詳細は「L2スイッチング」/「バーチャルLAN」をご覧ください。
vlan database vlan 10,20,30 state enable
- VLANインターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
このインターフェースはグローバルVRFインスタンスの所属になります。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1 ip address 192.168.20.1/24
- VLANインターフェースvlan10をVRFインスタンス「VRF1」に関連付け、IPアドレスを設定します。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
interface vlan10 ip vrf forwarding VRF1 ip address 192.168.20.1/24
- VLANインターフェースvlan20をVRFインスタンス「VRF2」に関連付け、IPアドレスを設定します。
interface vlan20 ip vrf forwarding VRF2 ip address 192.168.20.1/24
- VLANインターフェースvlan30をVRFインスタンス「VRF3」に関連付け、IPアドレスを設定します。
interface vlan30 ip vrf forwarding VRF3 ip address 192.168.20.1/24
- LANポート1.0.1をvlan1、vlan10、vlan20、vlan30のタグ付きポートに設定します。
これには、switchport modeコマンド、switchport trunk allowed vlan、switchport trunk native vlanコマンドを使います。
VLANについては「L2スイッチング」/「バーチャルLAN」をご覧ください。
interface port1.0.1 switchport switchport mode trunk switchport trunk allowed vlan add 1,10,20,30 switchport trunk native vlan none
- 対向ルーターとの間で使用するISAKMPの事前共有鍵を設定します。これにはcrypto isakmp keyコマンドを使います。
crypto isakmp key secret0 address 10.0.0.10 crypto isakmp key secret1 address 10.0.0.11 crypto isakmp key secret2 address 10.0.0.12 crypto isakmp key secret3 address 10.0.0.13
- IPsecトンネルインターフェースtunnel0を作成します。
トンネルインターフェースの詳細は「VPN」/「トンネルインターフェース」を、IPsecの詳細は「VPN」/「IPsec」をご覧ください。
これには、interfaceコマンドでトンネルインターフェースを作成し、以下の情報を設定します。
・トンネルインターフェースのMTU(mtu)
・トンネルインターフェースから送信するデリバリーパケットの始点(自装置)アドレス(tunnel source)
・トンネルインターフェースから送信するデリバリーパケットの終点(対向装置)アドレス(tunnel destination)
・トンネルインターフェースに対するIPsec保護の適用(tunnel protection ipsec)
・トンネリング方式(tunnel mode ipsec)
・トンネルインターフェースのIPアドレス(ip address)
・トンネルインターフェースにおけるMSS書き換え設定(ip tcp adjust-mss)
interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination 10.0.0.10 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.10.2/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel1を作成し、VRFインスタンス「VRF1」に関連付けます。VRFインスタンスの関連付けにはip vrf forwardingコマンドを使います。
interface tunnel1 mtu 1300 ip vrf forwarding VRF1 tunnel source ppp1 tunnel destination 10.0.0.11 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.11.2/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel2を作成し、VRFインスタンス「VRF2」に関連付けます。
interface tunnel2 mtu 1300 ip vrf forwarding VRF2 tunnel source ppp2 tunnel destination 10.0.0.12 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.12.2/30 ip tcp adjust-mss 1260
- IPsecトンネルインターフェースtunnel3を作成し、VRFインスタンス「VRF3」に関連付けます。
interface tunnel3 mtu 1300 ip vrf forwarding VRF3 tunnel source ppp3 tunnel destination 10.0.0.13 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.13.2/30 ip tcp adjust-mss 1260
- VRFインスタンス「VRF1」において、経路制御プロトコルRIPの設定を行います。
これには、service rip、router rip、address-family ipv4、network、exit-address-familyの各コマンドを使います。
RIPの詳細は「IP」/「経路制御(RIP)」をご覧ください。
service rip router rip address-family ipv4 vrf VRF1 network 172.16.11.0/30 network 192.168.20.0/24 exit-address-family
- VRFインスタンス「VRF2」において、経路制御プロトコルOSPFの設定を行います。
これには、service ospf、router ospf、ospf router-id、networkの各コマンドを使います。
OSPFの詳細は「IP」/「経路制御(OSPF)」をご覧ください。
service ospf router ospf 1 VRF2 ospf router-id 0.0.0.2 network 172.16.12.0/30 area 0.0.0.0 network 192.168.20.0/24 area 0.0.0.0
- VRFインスタンス「VRF3」において、経路制御プロトコルBGPの設定を行います。
これにはrouter bgp、address-family ipv4、network、neighbor remote-as、neighbor activate、exit-address-familyの各コマンドを使います。
BGPの詳細は「IP」/「経路制御(BGP)」をご覧ください。
router bgp 2000 address-family ipv4 vrf VRF3 network 172.16.13.0/30 network 192.168.20.0/24 neighbor 172.16.13.1 remote-as 1000 neighbor 172.16.13.1 activate neighbor 192.168.20.10 remote-as 2001 neighbor 192.168.20.10 activate exit-address-family
- グローバルVRFインスタンスにおいて、IPの経路情報をスタティックに設定します。これにはip routeコマンドを使います。
・リモート側の内部ネットワーク(192.168.10.0/24)へはIPsecトンネル tunnel0 経由。ただし、tunnel0 が有効になるまでは、この経路を使用できないように設定
・IPsecトンネルの対向装置へはそれぞれ対応するPPPインターフェース経由で到達。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 10.0.0.10/32 ppp0 ip route 10.0.0.11/32 ppp1 ip route 10.0.0.12/32 ppp2 ip route 10.0.0.13/32 ppp3 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254
- 以上で設定は完了です。
end
設定の保存
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。awplus# copy running-config startup-config
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォールログについて
ファイアウォールのログをとるには、次のコマンド(log(filter))を実行します。awplus(config)# log buffered level informational facility local5
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall
ルーターAのコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 encapsulation ppp 1 encapsulation ppp 2 encapsulation ppp 3 ! interface ppp0 keepalive ppp username userA@cug ppp password cugpasswdA ip address 10.0.0.10/32 ip tcp adjust-mss pmtu ! interface ppp1 keepalive ppp username userA1@cug ppp password cugpasswdA1 ip address 10.0.0.11/32 ip tcp adjust-mss pmtu ! interface ppp2 keepalive ppp username userA2@cug ppp password cugpasswdA2 ip address 10.0.0.12/32 ip tcp adjust-mss pmtu ! interface ppp3 keepalive ppp username userA3@cug ppp password cugpasswdA3 ip address 10.0.0.13/32 ip tcp adjust-mss pmtu ! ip vrf VRF1 1 ! ip vrf VRF2 2 ! ip vrf VRF3 3 rd 1000:1 ! vlan database vlan 10,20,30 state enable ! interface vlan1 ip address 192.168.10.1/24 ! interface vlan10 ip vrf forwarding VRF1 ip address 192.168.10.1/24 ! interface vlan20 ip vrf forwarding VRF2 ip address 192.168.10.1/24 ! interface vlan30 ip vrf forwarding VRF3 ip address 192.168.10.1/24 ! interface port1.0.1 switchport switchport mode trunk switchport trunk allowed vlan add 1,10,20,30 switchport trunk native vlan none ! crypto isakmp key secret0 address 10.0.0.20 crypto isakmp key secret1 address 10.0.0.21 crypto isakmp key secret2 address 10.0.0.22 crypto isakmp key secret3 address 10.0.0.23 ! interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination 10.0.0.20 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.10.1/30 ip tcp adjust-mss 1260 ! interface tunnel1 mtu 1300 ip vrf forwarding VRF1 tunnel source ppp1 tunnel destination 10.0.0.21 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.11.1/30 ip tcp adjust-mss 1260 ! interface tunnel2 mtu 1300 ip vrf forwarding VRF2 tunnel source ppp2 tunnel destination 10.0.0.22 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.12.1/30 ip tcp adjust-mss 1260 ! interface tunnel3 mtu 1300 ip vrf forwarding VRF3 tunnel source ppp3 tunnel destination 10.0.0.23 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.13.1/30 ip tcp adjust-mss 1260 ! service rip router rip address-family ipv4 vrf VRF1 network 172.16.11.0/30 network 192.168.10.0/24 exit-address-family ! service ospf router ospf 1 VRF2 ospf router-id 0.0.0.1 network 172.16.12.0/30 area 0.0.0.0 network 192.168.10.0/24 area 0.0.0.0 ! router bgp 1000 ! address-family ipv4 vrf VRF3 network 172.16.13.0/30 network 192.168.10.0/24 neighbor 172.16.13.2 remote-as 2000 neighbor 172.16.13.2 activate neighbor 192.168.10.10 remote-as 1001 neighbor 192.168.10.10 activate exit-address-family ! ip route 10.0.0.20/32 ppp0 ip route 10.0.0.21/32 ppp1 ip route 10.0.0.22/32 ppp2 ip route 10.0.0.23/32 ppp3 ip route 192.168.20.0/24 tunnel0 ip route 192.168.20.0/24 Null 254 ! end
ルーターBのコンフィグ
! no spanning-tree rstp enable ! interface eth1 encapsulation ppp 0 encapsulation ppp 1 encapsulation ppp 2 encapsulation ppp 3 ! interface ppp0 keepalive ppp username userB@cug ppp password cugpasswdB ip address 10.0.0.20/32 ip tcp adjust-mss pmtu ! interface ppp1 keepalive ppp username userB1@cug ppp password cugpasswdB1 ip address 10.0.0.21/32 ip tcp adjust-mss pmtu ! interface ppp2 keepalive ppp username userB2@cug ppp password cugpasswdB2 ip address 10.0.0.22/32 ip tcp adjust-mss pmtu ! interface ppp3 keepalive ppp username userB3@cug ppp password cugpasswdB3 ip address 10.0.0.23/32 ip tcp adjust-mss pmtu ! ip vrf VRF1 1 ! ip vrf VRF2 2 ! ip vrf VRF3 3 rd 2000:1 ! vlan database vlan 10,20,30 state enable ! interface vlan1 ip address 192.168.20.1/24 ! interface vlan10 ip vrf forwarding VRF1 ip address 192.168.20.1/24 ! interface vlan20 ip vrf forwarding VRF2 ip address 192.168.20.1/24 ! interface vlan30 ip vrf forwarding VRF3 ip address 192.168.20.1/24 ! interface port1.0.1 switchport switchport mode trunk switchport trunk allowed vlan add 1,10,20,30 switchport trunk native vlan none ! crypto isakmp key secret0 address 10.0.0.10 crypto isakmp key secret1 address 10.0.0.11 crypto isakmp key secret2 address 10.0.0.12 crypto isakmp key secret3 address 10.0.0.13 ! interface tunnel0 mtu 1300 tunnel source ppp0 tunnel destination 10.0.0.10 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.10.2/30 ip tcp adjust-mss 1260 ! interface tunnel1 mtu 1300 ip vrf forwarding VRF1 tunnel source ppp1 tunnel destination 10.0.0.11 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.11.2/30 ip tcp adjust-mss 1260 ! interface tunnel2 mtu 1300 ip vrf forwarding VRF2 tunnel source ppp2 tunnel destination 10.0.0.12 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.12.2/30 ip tcp adjust-mss 1260 ! interface tunnel3 mtu 1300 ip vrf forwarding VRF3 tunnel source ppp3 tunnel destination 10.0.0.13 tunnel protection ipsec tunnel mode ipsec ipv4 ip address 172.16.13.2/30 ip tcp adjust-mss 1260 ! service rip router rip address-family ipv4 vrf VRF1 network 172.16.11.0/30 network 192.168.20.0/24 exit-address-family ! service ospf router ospf 1 VRF2 ospf router-id 0.0.0.2 network 172.16.12.0/30 area 0.0.0.0 network 192.168.20.0/24 area 0.0.0.0 ! router bgp 2000 address-family ipv4 vrf VRF3 network 172.16.13.0/30 network 192.168.20.0/24 neighbor 172.16.13.1 remote-as 1000 neighbor 172.16.13.1 activate neighbor 192.168.20.10 remote-as 2001 neighbor 192.168.20.10 activate exit-address-family ! ip route 10.0.0.10/32 ppp0 ip route 10.0.0.11/32 ppp1 ip route 10.0.0.12/32 ppp2 ip route 10.0.0.13/32 ppp3 ip route 192.168.10.0/24 tunnel0 ip route 192.168.10.0/24 Null 254 ! end