フロントドアVRF。 別の実用的な例

こんにちはhabr！ シスコの機器でVRFを使用してVPNを設定することについて、インターネット上に多くの記事があります。 IPsec VPNを暗号化カードおよびVTIトンネルとVRFの形式で設定するための優れたチートシートがあります。 この記事では、 HabrがVRFを使用したDMVPNの例を提供しています。 VRFは、機器のセットアップ時に大きな柔軟性を提供し、その使用事例は大規模です。 主なことは、このようなツールがあることを忘れないことです。 私の記事では、IPsecトンネルを構築するためのフロントドアVRFの使用も有用であった、私たちの実践から別の興味深いタスクを検討することにしました。 異なるインターネットプロバイダーを介して並列VPNトンネルを構築し、これらのトンネルを介してトラフィックを分散することについてです。



仮想ルーティングおよび転送（VRF）テクノロジにより、1つの物理ルーターを複数の論理（仮想）ルーターに分割できます。 この技術のおかげで、同じ物理ルーター上に複数の独立したルーティングテーブルを持つことが可能になります。 VRFテクノロジーは、MPLSネットワークで広く普及しています。 ただし、VRFはMPLSなしで使用できます。 この場合、シスコの用語では、テクノロジーはVRF liteと呼ばれます。 より正確には、VRF-liteは、アドレススペースが重複する環境で、1つのVPNコンセントレーター上に2つ以上のVPNトンネルを構築できるテクノロジーです。 このメモでは、アドレススペースの共通部分は影響を受けません。



VRFと組み合わせてVPNを使用する理由を簡単に検討します。 トラフィックを暗号化する必要がある保護されたネットワークは、ルーターのグローバルVRFに配置されない場合があります。 保護されたネットワークのVRFは、IVRF-Inside VRFと呼ばれます。 ただし、デフォルトでは、ルーターはグローバルVRFでIPsecを構築します。 インターネットサービスプロバイダーは、ルーターのグローバルVRFにも存在しないルーターインターフェイスに接続できます。 このインターネットプロバイダーの接続により、ルーターの既存のすべてのインターネット接続で、リモートポイントからのVPNトンネルを同時に終了して利用できます。





インターネットプロバイダーのチャネルが接続され、トンネル化された（特に暗号化された）トラフィックが表示されるVRFは、FVRF-フロントドアVRFと呼ばれます。 IPsecをVRFで正しく構成すると、IPsecを使用してIVRFとFVRF間の接続を取得します。 つまり、保護されたトラフィックはIVRFに入り、カプセル化された後、トンネルは自動的にFVRFに入ります。FVRFには他のルーティングルールが適用されます。 そして、それは非常に便利です。



例の説明に戻ります。 分散ネットワークがあります。 セントラルオフィス（以下、CHと呼びます）には、2つのインターネットプロバイダーがあり、それぞれが独自のシスコルーターに接続されています。 最初のISP1 ISPはリモートオフィスへのVPNに使用され、2番目のISP2 ISPはインターネットへのアクセスに使用されます。 HSRPファーストホップ予約プロトコルは、中央ルータールーター間で構成されます。 リモートオフィスでは、境界機器に2つのオプションがあります。

1. Ciscoルーター。 これらのオフィスの前にVTIトンネルが構築されています。
2. Cisco NPEルータはCisco ASAとペアになっています。 これらのオフィスの前に、GRE over IPsecトンネルが構築されました。 GREはルータで終端され、Cisco ASAでIPsecで暗号化されます。

ネットワーク図：









セントラルオフィスとリモートオフィスの間で、ルートはEIGRPを介して送信されます。 ISP1またはルーターR1に障害が発生した場合、すべてのトラフィックはISP2およびルーターR2に送られます。 ISP2またはR2に障害が発生した場合、インターネットアクセスはそれぞれISP1およびR1を介して行われます。 このスキームは、EIGRP、HSRP、およびPBRにより実装されています。 PBRは、ISP2を介してインターネットにトラフィックをリダイレクトするために使用されます。 PBRは、ISP2ヘルストラッキング（IP SLA PBRオブジェクトトラッキング）を使用して構成されます。



挑戦する



3番目のISP3 ISPは、ルーターR1のセントラルヒーティングセンターに接続されています。 R1のISP1およびISP3を介してトンネル全体にトラフィックを分散する必要があります。 また、セントラルヒーティングセンターのインターネットサービスプロバイダーおよびセントラルヒーティングシステムのルーターのフォールトトレランス要件を満たす必要があります。 障害に関するすべてのオプションを書き留めるわけではありません。最も重要な要件についてのみ言及します：ISP1は、リモートオフィス（図の緑のトンネル）への通常のトラフィックを実行するため、できるだけ自由にしておく必要があります。 つまり、ISP2に障害が発生した場合、インターネットアクセスはISP3に行き、ISP3に障害が発生した場合、展開されたサービス（図の赤いトンネル）のトラフィックはISP2に行きます。



新しいチャネル（ISP3）を考慮したネットワーク図：









解決策



簡単な説明

通常のネットワークモードのR1ルーター（すべてのインターネットプロバイダーが動作している場合）は、両方のインターネットプロバイダー（ISP1およびISP3）でVPN IPsecトンネルを同時に終了する必要があるため、別のFVRFで新しいISP3インターネットプロバイダーに接続を転送することにしました。 同時に、保護された（ローカル）ネットワークと、グローバルVRFの最初のインターネットプロバイダーへの接続を残すことが決定されました。



IPsecをFVRFと共に正しく構成すると、IPS1およびIPS3を介した並列動作トンネルができます。 FVRFを使用したIPSec構成の例については、次のセクションで説明します。 現在では、既存のトンネルを介してトラフィックフローを分散します。 この問題を解決するには、次のアプローチを区別できます。

1. 等コストマルチパス（ECMP）。 同じメトリックのルートを使用したトンネルバランシング。
2. セントラルヒーティングセンターやリモートオフィスの異なるIPサブネットを異なるトンネルでルーティングします。
3. パフォーマンスルーティング（PfR）;
4. ポリシーベースルーティング（PBR）。
5. ネットワークアドレス変換（NAT）を使用して特定のIPアドレスを割り当て、これらの特定のIPアドレスのルーティングを構成します。

私のタスクでは、最後のオプションが最も望ましいことが判明しました。NATを使用するアプローチです。 このオプションを使用すると、一方で（ECMPやPfRとは異なり）トンネル全体のトラフィックの分散を厳密に設定し、他方で（PBRとは異なり）設定行の数を減らすことができます。 もっと詳しく考えてみましょう。



COルーターでは、動的アドレスNATネットワークアドレス変換ルールを構成します。 このルールを使用して、セントラルヒーティングコンピューターがリモートオフィスの既知のサーバーにアクセスするときに、そのコンピューターのIPアドレスを「特別な」IPアドレスに変更します。 サーバーの既知のIPアドレスにアクセスする場合にのみ、 ポリシー NATを使用してクライアントのIPアドレスを変更します。 さらに、EIGRP構成を使用して、ISP3トンネルを介した最適なメトリックを持つ「特別な」IPアドレスをリモートオフィスに配布します。逆に、アンロードが必要なISP1を介したトンネルでは、「特別な」IPアドレスのメトリックを誇張します。



したがって、セントラルオフィスの顧客からの要求は、ソースIPアドレスが変更されたリモートオフィスのサーバーに到達します。 応答として、サーバーは変更されたIPアドレスへのトラフィックを生成し、リモートオフィスのルーターがこのトラフィックストリームを必要なトンネルにルーティングします。 同時に、リモートオフィスのルーターは、追加のルーティング設定を必要としません。ルート管理は、中央ルータールーターのコンソールからEIGRPを使用して実行されます。 以下は、リクエスト/レスポンスのフローチャートです。 クライアントの実際のIPアドレスは192.168.1.100です。 クライアントのIPアドレスが変換される「特別な」IPアドレス：10.10.10.10。 リモートオフィスのサーバーのIPアドレス：172.16.1.100。









構成の説明



中央IPアドレス指定：

内部ネットワーク：	192.168.1.0/24
ISP1への接続：	1.1.1.1/30、ゲートウェイ1.1.1.2
ISP2への接続：	2.2.2.1/30ゲートウェイ2.2.2.2
ISP3への接続：	3.3.3.1/30ゲートウェイ3.3.3.2
クライアントIPアドレス：	192.168.1.100

タイプ1リモートオフィスIPアドレッシング（VTIトンネル）：

内部ネットワーク：	172.16.1.0/24
ISPへの接続：	4.4.4.1/30ゲートウェイ4.4.4.2
サーバーIP：	172.16.1.100

タイプ2リモートオフィスIPアドレス指定（GRE over IPsecトンネル）：

内部ネットワーク：	172.16.2.0/24
ISPへの接続：	5.5.5.1/30ゲートウェイ5.5.5.2
ルーターとCisco ASA間のサブネット：	6.6.6.2-ルーター 6.6.6.1-Cisco ASA マスク255.255.255.252
サーバーIP：	172.16.2.100

ネットワーク図：









ルーターR1の構成を検討してください。 最初に、タイプ1（VTIトンネル）およびタイプ2（GRE over IPsecトンネル）のリモートオフィスへのVPNトンネルのセットアップ例を示します。 図と構成では、次のVPNトンネル表記を使用しています。

• トンネル10-ISP1を通るVTIトンネル。
• トンネル11-VRFを使用して設定されたISP3を介したVTIトンネル。
• トンネル20-ISP1を介したGRE over IPsecトンネル。
• トンネル21-VRFを使用して設定されたISP3を介したGRE over IPsecトンネル。

VRFとインターフェイスを設定します。

 !  VRF    - ISP3 ip vrf ISP3-vrf ! !      - ISP3 interface GigabitEthernet0/2 description === ISP3 === ip address 3.3.3.1 255.255.255.252 ip vrf forwarding ISP3-vrf ! !       - ISP3 ip route vrf ISP3-vrf 0.0.0.0 0.0.0.0 3.3.3.2 ! !     HSRP interface GigabitEthernet0/0 description === LAN === ip address 192.168.1.2 255.255.255.0 standby 1 ip 192.168.1.1 standby 1 priority 105 standby 1 preempt ! !     - ISP1 interface GigabitEthernet0/1 description === ISP1 === ip address 1.1.1.1 255.255.255.252 ! !      - ISP1 ip route 0.0.0.0 0.0.0.0 1.1.1.2
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タイプ1リモートオフィスと通信するためのISP1を介したVTIトンネルの構成。

 !  ISAKMP crypto isakmp policy 10 encr aes hash sha authentication pre-share group 2 ! ! Pre-shared key crypto isakmp key STRONGKEY address 4.4.4.1 no-xauth ! !  IPsec crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac mode tunnel ! !  IPsec crypto ipsec profile VTI set transform-set ESP-AES-SHA ! !   VTI interface Tunnel10 description === To office Type 1 over ISP1 === ip unnumbered GigabitEthernet0/0 tunnel source 1.1.1.1 tunnel mode ipsec ipv4 tunnel destination 4.4.4.1 tunnel path-mtu-discovery tunnel protection ipsec profile VTI
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タイプ1のリモートオフィスと通信するための新しい「ISP3-vrf」VRFのISP3プロバイダーを介したVTIトンネルの設定

 ! Keyring crypto keyring office1-keyring vrf ISP3-vrf pre-shared-key address 4.4.4.1 key STRONGKEY ! !  ISAKMP crypto isakmp policy 10 encr aes hash sha authentication pre-share group 2 ! !  ISAKMP crypto isakmp profile office1-ike-prof keyring office1-keyring match identity address 4.4.4.1 255.255.255.255 ISP3-vrf isakmp authorization list default local-address GigabitEthernet0/2 ! !  IPsec crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac mode tunnel ! !  IPsec crypto ipsec profile office1-ipsec-prof set transform-set ESP-AES-SHA set isakmp-profile office1-ike-prof ! !   VTI.     ISP3-vrf interface Tunnel11 description === To office Type 1 over ISP3 === ip unnumbered GigabitEthernet0/0 tunnel source 3.3.3.1 tunnel mode ipsec ipv4 tunnel destination 4.4.4.1 tunnel path-mtu-discovery tunnel vrf ISP3-vrf tunnel protection ipsec profile office1-ipsec-prof
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タイプ2のリモートオフィスと通信するために、ISP1を介したGRE over IPsecトンネルを設定します。

 !  ISAKMP crypto isakmp policy 10 encr aes hash sha authentication pre-share group 2 ! ! Pre-shared key crypto isakmp key STRONGKEY address 5.5.5.1 no-xauth ! !  IPsec crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac mode tunnel ! ! - crypto map CMAP 10 ipsec-isakmp description === To office Type 2 over ISP1 === set peer 5.5.5.1 set transform-set ESP-AES-SHA match address cryptomap_10_acl ! !   GRE interface Tunnel520 description === To office Type 2 over ISP1 === ip unnumbered GigabitEthernet0/0 keepalive 10 3 tunnel source 1.1.1.1 tunnel destination 6.6.6.2 tunnel path-mtu-discovery ! ! -ACL ip access-list extended cryptomap_10_acl permit gre 1.1.1.1 host host 6.6.6.2 ! !  -   ISP1 interface GigabitEthernet0/1 crypto map CMAP
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

タイプ2リモートオフィスと通信するために、新しい「ISP3-vrf」VRFのISP3プロバイダーを介してGRE over IPsecトンネルを設定します。

 crypto keyring office2-keyring vrf ISP3-vrf pre-shared-key address 5.5.5.1 key STRONGKEY ! !  ISAKMP crypto isakmp policy 10 encr aes hash sha authentication pre-share group 2 ! !  ISAKMP crypto isakmp profile office2-ike-prof vrf ISP3-vrf keyring office2-keyring match identity address 5.5.5.1 255.255.255.255 ISP3-vrf isakmp authorization list default ! !  IPsec crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac mode tunnel ! ! - crypto map CMAP-vrf 10 ipsec-isakmp description === To office Type 2 over ISP3 === set peer 5.5.5.1 set transform-set ESP-AES-SHA set isakmp-profile office2-ike-prof match address cryptomap-vrf_10_acl ! interface Tunnel21 description === To office Type 2 over ISP3 === ip unnumbered GigabitEthernet0/0 keepalive 10 3 tunnel source 3.3.3.3 tunnel destination 6.6.6.2 tunnel path-mtu-discovery tunnel vrf ISP3-vrf ! ! -ACL ip access-list extended cryptomap-vrf_10_acl permit gre 3.3.3.3 host host 6.6.6.2 ! !  -   ISP3 interface GigabitEthernet0/2 crypto map CMAP-vrf
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

上記の例を使用して、すべてのリモートオフィスへのVPNトンネルが構成されます。 セントラルヒーティングセンターのルーターR2、およびリモートオフィスのルーターとCisco ASAのVPNトンネル設定は、その単純さを考慮して検討しません。



すべてのリモートオフィスへのVPNトンネルの準備ができたので、ルーティング設定に進むことができます。 ネットワークはEIGRPを使用します。 最初に、展開されたシステムのクライアントを強調表示するために、ダイナミックポリシーNATルールを設定する必要があります。

 ! Loopback      NAT !      interface Loopback1 description ===For System-Servers routing=== ip address 10.10.10.10 255.255.255.255 ! !     IP-    object-group network System-Servers description === System-Servers === host 172.16.1.100 host 172.16.2.100 ! !     NAT ip access-list extended NAT-System-Servers permit ip any object-group System-Servers ! !     NAT route-map RM-NAT-System-Servers permit 10 match ip address NAT-System-Servers ! !  dynamic policy NAT ip nat inside source route-map RM-NAT-System-Servers interface Loopback1 overload ! !  ip nat inside  ip nat outside   interface GigabitEthernet0/0 ip nat inside ! interface Tunnel10 ip nat outside ! interface Tunnel11 ip nat outside interface Tunnel20 ip nat outside interface Tunnel21 ip nat outside
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これらのNAT設定は、リモートオフィスのサーバーにアクセスするときに、クライアントIPアドレスを「特別な」IPアドレス10.10.10.10に変換します。



10.10.10.10/32でネットワークがISP3プロバイダーのトンネルを介して最適なメトリックでリモートオフィスにアナウンスされるように、セントラルオフィスのルータでEIGRPを設定することは残ります。 この例では、トンネル11とトンネル21です。EIGRPメトリックを管理するために、offset-listコンストラクトを使用することにしました。 offset-listディレクティブを使用して、指定された値をアナウンスされたルートメトリックに追加できることを思い出してください。 EIGRP設定：

 access-list 10 permit 10.10.10.10 ! router eigrp 1 network 192.168.1.0 0.0.0.255 offset-list 10 out 3000000 Tunnel10 offset-list 10 out 3000000 Tunnel20 passive-interface default no passive-interface Tunnel10 no passive-interface Tunnel11 no passive-interface Tunnel20 no passive-interface Tunnel21 no passive-interface GigabitEthernet0/0
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

説明した構成により、リモートオフィスに新しいサーバーを追加する手順が作成されます。このサーバーからのトラフィックは、できるだけ簡単に、新しいISP3セントラルヒータープロバイダーのトンネルを経由してルーティングする必要があります。 新しいサーバーが表示されたら、System-ServersオブジェクトグループにそのIPアドレスを入力するだけです。

 !     IP-    object-group network System-Servers description === System-Servers === host 172.16.1.100 host 172.16.2.100
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

これで、R1セントラルヒータールーターの構成のレビューは終了です。 セントラルオフィスのR2ルーターの構成とリモートオフィスのネットワークデバイスの構成は、この記事では重要ではありません。



おわりに



ネットワークエンジニアのために単純で論理的なタスクを設定することもありますが、問題を解決すると、比較的複雑な構成が形成されます。 私の例では、基本的なタスクを検討しました。新しいインターネットプロバイダーを既存のルーターに接続し、その上のリモートオフィスからいくつかのサービスのトラフィックを開始することです。 ただし、この問題を解決するには、ルーターをVRFに分割し、IPアドレスを変換するためのトリッキーなルールを規定し、動的ルーティング設定を調整し、非対称ルーティングの結果を修正する必要がありました。



このタスクを例として使用して、フロントドアVRFを使用してIPsecトンネルを構築することを検討しました。 さらに、NATルールを使用してスタートポロジのルーティング設定を集中化するオプションを示しました。 IPsecを構築するためのフロントドアVRFは、ルーターのVRF間でトラフィックを転送するためのブリッジを構築できる便利なツールです。保護されたトラフィックはIVRFまたはグローバルVRFにあり、カプセル化された（暗号化された）トラフィックはFVRFにあります。 FVRFには独自のルーティングルールがあり、これにより、追加の通信チャネル、特に追加のインターネットプロバイダーを介してFVRFトラフィックを送信できます。