アライドテレシスディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

(1)

◇

IP

アドレスが重複した環境を統合したい

◇

各ネットワークのセキュリティを確保したい

◇

運用効率化を図りたい

■

概要

自治体合併など、個別に稼動していたネットワークを統合する際の課題の一つにIPアドレ

ス体系やネットワークポリシーの見直しがあります。しかし、IPアドレスを変更すること

は統合作業の煩雑化やシステムの見直しなど容易ではありません。そこで、暫定的にも恒

久的にも利用できるVRF-Liteを利用することでこれらの問題を解決することが可能です。

VRF-Liteは、一つの物理的なスイッチを論理的に複数台のスイッチに分割する機能であり、

L2 FDBやルーティングテーブルなど通信に必要な情報を各論理スイッチが個別に保持する

ことで、同じIPアドレス体系や設計ポリシーを持つネットワークを一台のスイッチで個別

に管理することができ、さらに異なるポリシーを持つネットワークを物理的に分割せずに

一台のスイッチにまとめることでコストの削減を図ることも可能です。また、VRFインス

タンス間は完全に分離されるため、これまでVLAN間通信を制御するために設定していた

フィルタを削減し、かつセキュリティを保つことができます。

本資料では、IPアドレス体系が重複する環境における、VRF-Lite機能とTag VLANやEPSR

を同時に使用した10Gigaループトポロジでの設定例をご紹介します。

(2)

VLAN

VLAN 2222０

０

０ ( 192.168.

( 192.168.

( 192.168.22220.xx

0.xx

0.xx ))))

0.xx

■

構築のポイント

VLAN

VLAN 5555０

０

０ ( 192.168.10.xx )

( 192.168.10.xx )

VLAN

VLAN33330000

( 192.168.10.xx )

1.1.2 1.0.25 1.1.1 1.1.1 1.1.2 1.0.25 1.0.25 1.0.26 1.0.26 1.0.26 1.0.26 1.0.25 1.0.25 VRF-1 Vlan10:192.168.10.xxx/24 Vlan20:192.168.20.xxx/24 VRF-3 Vlan50:192.168.10.xxx/24 x610_1と2、x610_5と6間は10Gigaファイバ接続、その他のラインは10Giga用同軸ケーブル (AT-SP10TWシリーズ)を使用し接続。 1 GS908M VRF-1 VRF-2 VRF-3(Global-VRF) VRF-2 Vlan30:192.168.10.xxx/24 Vlan40:192.168.20.xxx/24 x610-1 x610-2 x610-3 x610-4 x610-5 _x610-6

VLAN

VLAN 1111０

０

０ ( 192.168.10.xx )

( 192.168.10.xx )

1.0.1 1.0.7 1.0.9 3 1.0.1

VLAN

VLAN 33330000

(((( 192.168.10.xx

192.168.10.xx

192.168.10.xx ))))

各VRFインスタンス間の通信は不可。インスタンス内のVLAN間は通信可。 1.0.13 VLAN VLAN VLAN VLAN 5555００００ ( 192.168.10.xx ) ( 192.168.10.xx ) ( 192.168.10.xx ) ( 192.168.10.xx ) NMS & Syslog Server 2 AR550S eth0 Internet

■

制限事項・仕様

VRFインスタンスではSNMP、Syslog、NTP、Telnet、DHCPサーバー、Telnetサーバー、

SSHサーバー、ファイルコピー、DHCPリレー等が動作しません。これらを使用したいと

きにはグローバルVRFインスタンスで行ってください。

1.0.17 1 各VRFインスタンス上でEPSRを動作させ、リングトポロジーを構成。

(3)

! service password-encryption ! hostname x610-1 ! no banner motd !

username manager privilege 15 password 8 $1$bJoVec4D$JwOJGPr7YqoExA0GVasdE0 !

log host 192.168.10.254

log host 192.168.10.254 level warnings !

no service ssh !

service telnet no service telnet ipv6 !

service http !

clock timezone jst plus 9:00 !

no snmp-server ipv6 snmp-server enable trap epsr snmp-server community public

snmp-server host 192.168.10.254 version 2c public !

aaa authentication enable default local aaa authentication login default local ! ! stack virtual-chassis-id 370 no stack 1 enable ! ip domain-lookup ! no service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no ipv6 mld snooping no spanning-tree rstp enable ! switch 1 provision x610-48 ! vlan database

vlan 10,20,30,40,50,100 state enable ! CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります。 Syslog Serverへログを送信する設定です。 SNMP 及びタイムゾーン設定を行います。タイムゾーンは NTP を使用して時刻を自動的に調整するために必要なパラメータです。拡張モジュール x6EM/XS2 をスタックポートとしてではなく、通常の 10G ポートとして利用するための設定です。 VRFインスタンスを作成します。ここで作成したVRFインスタンスに所属しないVLANが所属するのが、グローバルVRFインスタンスとなります。よってグローバルVRFインスタンスに関しては、特に作成する必要はありません。

(4)

interface port1.0.1-1.0.6 switchport

switchport mode access switchport access vlan 10 snmp trap link-status !

switchport mode access snmp trap link-status !

switchport mode trunk

switchport trunk allowed vlan add 10,20,30,40,50,100 switchport trunk native vlan none

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.1/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.1/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.1/24 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。ここで使用するPort は、拡張モジュール x6EM/XS2 を 10G ポートとして利用しています。ポート番号は port1.1.1, port1.1.2 です。

(5)

! interface vlan40 ip vrf forwarding vrf-2 ip address 192.168.20.1/24 ! interface vlan50 ip address 192.168.10.1/24 ! epsr configuration

epsr stre mode transit controlvlan 100 epsr stre datavlan 10,20,30,40,50 epsr stre enhancedrecovery enable epsr stre state enabled

! ntp server 192.168.10.254 ! line con 0 exec-timeout 0 0 length 0 line vty 0 4 ! end EPSR（トランジット）の設定です。一つのドメインですべてのVLAN （VRFインスタンス）を管理します。あわせてエンハンスドリカバリーも有効にします。 NTPサーバーのIPアドレスを指定し、機器内部で保持する時刻情報が自動的に同期するようにしています。

(6)

log host 192.168.10.254

log host 192.168.10.254 level warnings ! no service ssh ! service telnet ! service http !

snmp-server

snmp-server enable trap epsr snmp-server community public

snmp-server host 192.168.10.254 version 2c public ! ! stack virtual-chassis-id 3256 no stack 1 enable ! ip domain-lookup ! no service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no spanning-tree rstp enable ! switch 1 provision x610-48 ! vlan database

vlan 10,20,30,40,50,100 state enable !

switchport mode access switchport access vlan 10 snmp trap link-status CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります。 Syslog Serverへログを送信する設定です。 SNMP 及びタイムゾーン設定を行います。タイムゾーンは NTP を使用して時刻を自動的に調整するために必要なパラメータです。拡張モジュール x6EM/XS2 をスタックポートとしてではなく、通常の 10G ポートとして利用するための設定です。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 VRFインスタンスを作成します。ここで作成したVRFインスタンスに所属しないVLANが所属するのが、グローバルVRFインスタンスとなります。よってグローバルVRFインスタンスに関しては、特に作成する必要はありません。

(7)

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.1/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.1/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.1/24 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。ここで使用するPort は、拡張モジュール x6EM/XS2 を 10G ポートとして利用しています。ポート番号は port1.1.1, port1.1.2 です。

(8)

(9)

log host 192.168.10.254

snmp-server

snmp-server host 192.168.10.254 version 2c public ! ip domain-lookup ! no service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no ipv6 mld snooping no spanning-tree rstp enable ! switch 1 provision x610-24 ! vlan database

switchport mode access switchport access vlan 10 snmp trap link-status ! CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります。 Syslog Serverへログを送信する設定です。 SNMP 及びタイムゾーン設定を行います。タイムゾーンは NTP を使用して時刻を自動的に調整するために必要なパラメータです。 VRFインスタンスを作成します。ここで作成したVRFインスタンスに所属しないVLANが所属するのが、グローバルVRFインスタンスとなります。よってグローバルVRFインスタンスに関しては、特に作成する必要はありません。

(10)

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.3/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.3/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.3/24 ! interface vlan40 ip vrf forwarding vrf-2 ip address 192.168.20.3/24 ! 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。

(11)

(12)

log host 192.168.10.254

clock timezone JST plus 9:00 !

snmp-server

snmp-server host 192.168.10.254 version 2c public ! ip domain-lookup ! no service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no ipv6 mld snooping no spanning-tree rstp enable ! switch 1 provision x610-24 ! vlan database

(13)

!

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.4/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.4/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.4/24 ! interface vlan40 ip vrf forwarding vrf-2 ip address 192.168.20.4/24 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。

(14)

(15)

log host 192.168.10.254

snmp-server

snmp-server host 192.168.10.254 version 2c public ! ip domain-lookup ! ip dhcp pool vrf-3 network 192.168.10.0 255.255.255.0 range 192.168.10.105 192.168.10.199 default-router 192.168.10.5 subnet-mask 255.255.255.0 ! service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no spanning-tree rstp enable ! switch 1 provision x610-24 ! vlan database

vlan 10,20,30,40,50,100 state enable ! CLI や SNMP 上で機器を識別するためのホスト名を設定しておくと機器管理がしやすくなります。 Syslog Serverへログを送信する設定です。 SNMP 及びタイムゾーン設定を行います。タイムゾーンは NTP を使用して時刻を自動的に調整するために必要なパラメータです。 VRFインスタンスを作成します。ここで作成したVRFインスタンスに所属しないVLANが所属するのが、グローバルVRFインスタンスとなります。よってグローバルVRFインスタンスに関しては、特に作成する必要はありません。グローバルVRFインスタンス（VRF-3）内のPC用のDHCPServerの設定です。

(16)

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.5/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.5/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.5/24 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。

(17)

interface vlan40 ip vrf forwarding vrf-2 ip address 192.168.20.5/24 ! interface vlan50 ip address 192.168.10.5/24 ! epsr configuration

epsr stre mode master controlvlan 100 primaryport port1.0.25 epsr stre datavlan 10,20,30,40,50

epsr stre enhancedrecovery enable epsr stre state enabled

! ntp server 192.168.10.254 ! line con 0 exec-timeout 0 0 length 0 line vty 0 4 ! end EPSR（マスター）の設定です。一つのドメインですべてのVLAN（VRFインスタンス）を管理します。あわせてエンハンスドリカバリーも有効にします。 NTPサーバーのIPアドレスを指定し、機器内部で保持する時刻情報が自動的に同期するようにしています。

(18)

log host 192.168.10.254

snmp-server

snmp-server host 192.168.10.254 version 2c public ! ip domain-lookup ! no service dhcp-server ! ip vrf vrf-1 1 ! ip vrf vrf-2 2 ! no ip multicast-routing ! spanning-tree mode rstp ! no spanning-tree rstp enable ! switch 1 provision x610-24 ! vlan database

(19)

snmp trap link-status ! interface vlan10 ip vrf forwarding vrf-1 ip address 192.168.10.6/24 ! interface vlan20 ip vrf forwarding vrf-1 ip address 192.168.20.6/24 ! interface vlan30 ip vrf forwarding vrf-2 ip address 192.168.10.6/24 ! interface vlan40 ip vrf forwarding vrf-2 ip address 192.168.20.6/24 ! 各VLANをVRFインスタンスに所属させる設定をします。VRFインスタンス間で同じIPアドレススペースを使用します。各ポートにPC接続用のVLAN とSNMP リンクTrapを設定します。 EPSRリング接続用のPortにTagVLAN の設定をします。

(20)

(21)

#

# VLAN configuration #

create vlan=vlan10 vid=10

add vlan=vlan10 port=1-8 frame=untagged #

# IP configuration #

add ip interface=vlan10 ipaddress=192.168.10.7 mask=255.255.255.0 # # LOG configuration # # # SNMP configuration # enable snmp

create snmp community=public access=read open=no trap=all

add snmp community=public traphost=192.168.10.254 manager=192.168.10.254 enable snmp community=public

enable snmp community=public trap VLANを作成します。

SNMPでの管理用にIPアドレスを設定します。

(22)

# VLAN general configuration create vlan="vlan10" vid=10 # VLAN port configuration add vlan="10" port=1-4 # IP configuration enable ip

add ip int=vlan10 ip=192.168.10.8 # SNMP configuration

enable snmp

create snmp community=public enable snmp community=public trap

add snmp community=public manager=192.168.10.254 add snmp community=public traphost=192.168.10.254 VLANを作成します。

SNMPでの管理用にIPアドレスを設定します。

(23)

www.allied-telesis.co.jp

！

安

全

の

た

め

に

ご使用の際は製品に添付されたマニュアルをお読みになり正しくご使用ください。製品のくわしい情報は特徴、仕様、構成図、マニュアル等 http://www.allied-telesis.co.jp/

アライドテレシス株式会社

本資料に関するご質問やご相談は

0120-860442

（月～金／9:00～17:30） [email protected] 購入前の製品に関するお問合せ製品購入後のお問合せ [email protected]

アライドテレシス ディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610

◇

◇

IP

IP

アドレスが重複した環境を統合したい

アドレスが重複した環境を統合したい

◇

◇

各ネットワークのセキュリティを確保したい

各ネットワークのセキュリティを確保したい

◇

◇

運用効率化を図りたい

運用効率化を図りたい

■

■

概要

概要

自治体合併など、個別に稼動していたネットワークを統合する際の課題の一つにIPアドレ

ス体系やネットワークポリシーの見直しがあります。しかし、IPアドレスを変更すること

は統合作業の煩雑化やシステムの見直しなど容易ではありません。そこで、暫定的にも恒

久的にも利用できるVRF-Liteを利用することでこれらの問題を解決することが可能です。

VRF-Liteは、一つの物理的なスイッチを論理的に複数台のスイッチに分割する機能であり、

L2 FDBやルーティングテーブルなど通信に必要な情報を各論理スイッチが個別に保持する

ことで、同じIPアドレス体系や設計ポリシーを持つネットワークを一台のスイッチで個別

に管理することができ、さらに異なるポリシーを持つネットワークを物理的に分割せずに

一台のスイッチにまとめることでコストの削減を図ることも可能です。また、VRFインス

タンス間は完全に分離されるため、これまでVLAN間通信を制御するために設定していた

フィルタを削減し、かつセキュリティを保つことができます。

本資料では、IPアドレス体系が重複する環境における、VRF-Lite機能とTag VLANやEPSR

を同時に使用した10Gigaループトポロジでの設定例をご紹介します。

VLAN

VLAN

VLAN

VLAN 2222０

０

０

０

( 192.168.

( 192.168.

( 192.168.

( 192.168.22220.xx

0.xx

0.xx ))))

0.xx

■

■

構築のポイント

構築のポイント

VLAN

VLAN

VLAN

VLAN 5555０

０

０

０

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

VLAN

VLAN

VLAN

VLAN33330000

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

VLAN

VLAN

VLAN

VLAN 1111０

０

０

０

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

( 192.168.10.xx )

アライドテレシスディストリビューションスイッチ x610シリーズで実現するVRF-Lite + Tagging + EPSR for x610