Red Hat Training

A Red Hat training course is available for RHEL 8

第39章 分離された VRF ネットワーク内のサービスの起動

VRF(Virtual Routing and Forwarding)を使用すると、オペレーティングシステムのメインルーティングテーブルとは異なるルーティングテーブルで分離されたネットワークを作成できます。その後、サービスおよびアプリケーションを起動して、そのルーティングテーブルで定義されたネットワークにのみアクセスできるようにすることができます。

39.1. VRF デバイスの設定

VRF(Virtual Routing and Forwarding)を使用するには、VRF デバイスを作成し、物理ネットワークインターフェースまたは仮想ネットワークインターフェースとルーティング情報をそのデバイスに割り当てます。

警告

リモートでロックアウトしないようにするには、ローカルコンソールまたは、VRF デバイスに割り当てないようにするネットワークインターフェースを介して、リモートでこの手順を実行します。

前提条件

  • ローカルでログインしているか、または VRF デバイスに割り当てるネットワークインターフェースとは異なるネットワークインターフェースを使用してログインしておく。

手順

  1. 同じ名前が付けられた仮想デバイスで vrf0 接続を作成し、これをルーティングテーブル 1000 にアタッチします。

    # nmcli connection add type vrf ifname vrf0 con-name vrf0 table 1000 ipv4.method disabled ipv6.method disabled
  2. enp1s0 デバイスを vrf0 接続に追加し、IP 設定を構成します。

    # nmcli connection add type ethernet con-name enp1s0 ifname enp1s0 master vrf0 ipv4.method manual ipv4.address 192.0.2.1/24 ipv4.gateway 192.0.2.254

    このコマンドは、enp1s0 接続を vrf0 接続のポートとして作成します。この設定により、ルーティング情報は vrf0 デバイスに関連付けられたルーティングテーブル 1000 に自動的に割り当てられます。

  3. 分離ネットワークに静的ルートが必要な場合は、以下を行います。

    1. 静的ルートを追加します。

      # nmcli connection modify enp1s0 +ipv4.routes "198.51.100.0/24 192.0.2.2

      これにより、192.0.2.2 をルーター として使用する 198.51.100.0/24 ネットワークへのルートが追加されます。

    2. 接続の再読み込みを行います。

      # nmcli connection up enp1s0

検証

  1. vrf0 に関連付けられたデバイスの IP 設定を表示します。

    # ip -br addr show vrf vrf0
    enp1s0    UP    192.0.2.15/24
  2. VRF デバイスとその関連するルーティングテーブルを表示します。

    # ip vrf show
    Name              Table
    -----------------------
    vrf0              1000
  3. 主なルーティングテーブルを表示します。

    # ip route show
    default via 192.168.0.1 dev enp1s0 proto static metric 100
  4. ルーティングテーブル 1000 を表示します。

    # ip route show table 1000
    default via 192.0.2.254 dev enp1s0 proto static metric 101
    broadcast 192.0.2.0 dev enp1s0 proto kernel scope link src 192.0.2.1
    192.0.2.0/24 dev enp1s0 proto kernel scope link src 192.0.2.1 metric 101
    local 192.0.2.1 dev enp1s0 proto kernel scope host src 192.0.2.1
    broadcast 192.0.2.255 dev enp1s0 proto kernel scope link src 192.0.2.1
    198.51.100.0/24 via 192.0.2.2 dev enp1s0 proto static metric 101

    デフォルトの エントリーは、このルーティングテーブルを使用するサービス、192.0.2.254 をデフォルトゲートウェイ として使用し、メインのルーティングテーブル内のデフォルトゲートウェイではないことを示しています。

  5. vrf0 に関連付けられたネットワークで traceroute ユーティリティーを実行し、ユーティリティーがテーブル 1000 からのルートを使用していることを確認します。

    # ip vrf exec vrf0 traceroute 203.0.113.1
    traceroute to 203.0.113.1 (203.0.113.1), 30 hops max, 60 byte packets
     1  192.0.2.254 (192.0.2.254)  0.516 ms  0.459 ms  0.430 ms
    ...

    最初のホップは、ルーティングテーブル 1000 に割り当てられたデフォルトゲートウェイで、システムのメインルーティングテーブルからのデフォルトゲートウェイではありません。

関連情報

  • ip-vrf(8)