VRFを使用したデバイスへのTelnetまたはSSHアクセスの設定

はじめに

このドキュメントでは、Virtual Routing and Forwarding(VRF)テーブルを介したTelnetまたはセキュアシェル(SSH)によるデバイスアクセスの設定について説明します。

背景説明

IP ベースのコンピュータ ネットワークでは、VRF により、同じルータ内にルーティング テーブルの複数のインスタンスを共存させることができます。ルーティングインスタンスは独立しているため、重複する同じIPアドレスまたはIPアドレスを競合なく使用できます。複数のルータを必要とせずにネットワーク パスをセグメント化できるため、ネットワーク機能が向上します。

VRFは、Forwarding Information Base（FIB；転送情報ベース）と呼ばれる異なるルーティングテーブル（ルーティングインスタンスごとに1つ）を使用してネットワークデバイスに実装できます。または、ネットワークデバイスは異なる仮想ルータを設定する機能を持つことができます。この場合、各ルータは同じデバイス上の他の仮想ルータインスタンスにアクセスできない独自のFIBを持ちます。

Telnetは、インターネットまたはローカルエリアネットワーク(LAN)で使用されるアプリケーション層プロトコルで、仮想端末接続を使用する双方向のインタラクティブなテキスト指向の通信機能を提供します。ユーザ データは、Transmission Control Protocol（TCP）を介した 8 ビット バイト指向型データ接続で Telnet 制御情報とともにインバンドに散在しています。

SSHは、セキュリティで保護されていないネットワーク上でネットワークサービスを安全に運用するための暗号化ネットワークプロトコルです。最もよく知られているサンプルアプリケーションは、ユーザによるコンピュータシステムへのリモートログインです。

これらのテクノロジーを組み合わせて使用すると、混乱を招くことがよくあります。特に、グローバルルーティング以外のVRFインスタンスに属するインターフェイスを介してデバイスにリモートアクセスしようとする場合に有効です。

この設定ガイドでは、説明のためだけに、管理アクセスの形式としてTelnetを使用します。この概念は SSH アクセスにも拡張できます。

前提条件 

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

注:VRFとTelnetに関する基本的な知識。ACL の知識の習得も推奨されます。VRFの設定は、デバイスとプラットフォームでサポートされている必要があります。 このドキュメントは、Cisco IOS®が稼働し、VRFとACLがサポートされているすべてのCiscoルータに適用されます。

設定

ネットワーク図

コンフィギュレーション

リモート デバイスにおいて：

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1
 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

エンドユーザデバイスで、次の操作を実行します。 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

確認

ここでは、設定が正常に機能しているかどうかを確認します。

前に、 vrf-also キーワードは、リモートデバイスのline vty 0 15設定のaccess-classで使用されます。

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

対応する ACE の数が増えるため、リモート デバイスでのパケット ヒットが増えます。

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

ただし、 vrf-also キーワードがline vty 0 15のaccess-classに追加されると、telnetアクセスが許可されます。

定義された動作に従って、Cisco IOSデバイスはデフォルトですべてのVTY接続を受け入れます。ただし、access-class が使用されている場合、接続はグローバル IP インスタンスからのみ到着する必要があると想定されます。ただし、VRFインスタンスからの接続を許可する必要がある場合は、 vrf-also キーワードを指定し、対応するaccess-classステートメントを
行の設定で vrf-also キーワードを、対応する access-class ステートメントとともに使用します。

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

VRFベースのトラブルシューティングが必要になる場合もあります。関係するインターフェイスがすべて同じ VRF 内にあり、それらが同じ VRF 内で到達可能であることを確認してください。

また、関連するSSHおよびTelnet関連のトラブルシューティングも必要になる場合があります。