VyOS VRF 設計 – 経路表を分ける意味を整理する

VyOS でネットワークが大きくなると、単一の経路表だけでは設計が説明しにくくなることがあります。管理系、外部接続、トンネル、検証系など、経路を混ぜたくない領域が出てくるためです。

この記事では、VyOS 1.5 を前提に、VRF を「経路表を分ける設計」として整理します。

VRF は経路表を分ける仕組みである

VRF は、同じルーター内で複数の経路表を持つための仕組みです。単にインターフェイス名を分けるだけではなく、経路の見え方そのものを分ける点が重要です。

• 管理ネットワークとサービスネットワークを分ける
• 外部接続用の経路表を分ける
• 検証ネットワークを本番経路から分離する
• 同じアドレス帯を別文脈で扱う必要がある場合に分ける

VRF を作る

set vrf name mgmt table '100'
set vrf name service table '200'

VRF には table ID を割り当てます。table ID は経路表の識別に使われるため、環境内で重複しないように管理します。

インターフェイスを VRF に所属させる

VRF は作っただけでは通信に影響しません。インターフェイスをどの VRF に所属させるかを決めることで、そのインターフェイスの経路参照先が変わります。

set interfaces ethernet eth1 vrf 'mgmt'
set interfaces ethernet eth2 vrf 'service'

インターフェイスを VRF に入れると、通常のグローバル経路表とは別に扱われます。既存構成へ後から入れる場合は、SSH などの管理経路を失わないように十分注意します。

VRF 内の static route

VRF ごとに経路を持たせる場合は、その VRF の文脈で static route を設定します。

set protocols static table 100 route 0.0.0.0/0 next-hop 192.0.2.1
set protocols static table 100 route6 ::/0 next-hop fd00::1

ここでは table 100 を管理用 VRF の経路表として扱う例にしています。実際には、VRF 名と table ID の対応をドキュメント化しておくと、後から追いやすくなります。

VRF は安易に増やさない

VRF は強力ですが、増やしすぎると運用が難しくなります。どの経路表にどのインターフェイスが入り、どの通信がどの VRF を通るのかを説明できない状態になると、障害時の切り分けが複雑になります。

VRF を使うかどうかは、セキュリティ境界、運用境界、経路表の分離が必要かどうかで判断します。単に設定をかっこよくするために入れるものではありません。

確認コマンド

show vrf
show ip route vrf mgmt
show ipv6 route vrf mgmt
show interfaces

VRF を使う場合は、通常の show ip route だけでは見えない経路があります。VRF 単位で経路を確認する習慣が必要です。

まとめ

VyOS の VRF は、経路表を分けるための設計要素です。ネットワークの役割や責務が分かれている場合、VRF によって経路の混在を避けられます。

一方で、VRF は運用の複雑さも増やします。使う場合は、VRF 名、table ID、所属インターフェイス、デフォルトルート、確認コマンドをセットで管理することが重要です。

関連する記事

次に進む

参考書籍

関連記事

VyOS インターフェイス設計 – ethernet / bonding / loopback を分けて考える VyOS OSPF / OSPFv3 設定 – IPv4 / IPv6 の動的ルーティングを分けて考える VyOS route-map 設計 – 経路をどう選別するか VyOS static route と prefix-list – 経路制御の部品を整理する VyOS PPPoE インターネット接続設定 VyOS nat66 masquerade と IPv6 NAT の考え方 VyOS NAPT 設定 – IP マスカレードの基本 VyOS DNAT / NAT66 destination – 公開サービスへの転送を整理する