<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)

CentreCOM AR570S 設定例集 2.9 #109

IPルートフィルター


IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します。

IPルートフィルターは、おもにダイナミックルーティングプロトコル(RIP/OSPF)による経路情報のやりとりを制御する機能です。特定の経路情報を受け取らないようにしたり、通知しないようにしたりすることができます。

ここでは、OSPFが使われているネットワークとRIP2が使われているネットワークの境界に位置するAS境界ルーター(ASBR)を想定し、LAN上のルーターからOSPFで通知されてくる経路情報のうち、192.168.100.0/24の情報を受け取らず、結果としてPPPoEインターネット接続環境におけるL2TP LAN間で接続された対向RIPルーターにも通知されないようにします。

IPルートフィルターは、対象ルーティングプロトコルがOSPFであるか、RIPであるかによって、DIRECTIONパラメーターの指定方法に違いがあります。その違いを示す例にもなっています。

各拠点は、ISPから次の情報を提供されているものとします。

表 1:ISPから提供された情報
 
ルーターA
ルーターB
PPPユーザー名 user@ispA user@ispB
PPPパスワード isppasswdA isppasswdB
PPPoEサービス名 指定なし 指定なし
IPアドレス 4.4.4.1/32 12.34.56.78/32


ルーターA、Bは共にダイナミックENATを使用した通常の端末型設定(アドレス1個固定)です。

ここでは、次のような構成のネットワークを例に解説します。


ルーターAの設定

  1. PPPoEおよびIPの設定を行います。


  2. L2TPの設定を行います。


  3. ファイアウォールの設定を行います。


  4. ppp1インターフェースでRIP2を有効にします。



  5. バックボーンエリア(0.0.0.0)を定義します。


  6. バックボーンエリアに所属するネットワークの範囲を指定します。



  7. OSPFメッセージを送受信するインターフェースをエリアに割り当てます。



  8. ASBR(エリア境界ルーター)として動作するよう設定します。



  9. OSPFモジュールを有効にします。



  10. OSPFのIPルートフィルターの設定を行います。ここでは、LAN側(vlan1)で受信したOSPFの経路情報のうち、192.168.100.0/24に関する情報だけを受け取らないように設定します。その他の経路情報は、送信・受信とも通常どおり行います。


    Note - IPルートフィルターの設定で明示的に指定した条件にマッチしなかった経路情報はすべて受信しません。そのため、一部の経路情報だけを制限したいとき(デフォルト許可の設定)は、上記のようにフィルターリストの末尾に「すべてを許可する」エントリーを明示的に作成してください。また、フィルターエントリーを追加するときはエントリーの順序に気を付けてください。


  11. RIPのIPルートフィルターの設定を行います。ここでは不要な経路情報をRIPで通知しないように設定します。またppp1インターフェースで受信するRIPメッセージはすべて受け入れます。


  12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。


ルーターBの設定


  1. PPPoEおよびIPの設定を行います。



  2. L2TPの設定を行います。


  3. ファイアウォールの設定を行います。


  4. LAN側(vlan1)インターフェースでRIP2を有効にします。


  5. ppp1インターフェースでRIP2を有効にします。


  6. RIPのIPルートフィルターの設定を行います。ここでは不要な経路情報をRIPで通知しないように設定します。またppp1インターフェースで受信するRIPメッセージはすべて受け入れます。


  7. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。

まとめ

ルーターAのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON
ENABLE IP
ADD IP INT=ppp0 IP=4.4.4.1 MASK=255.255.255.255
ADD IP INT=vlan1 IP=192.168.1.100 MASK=255.255.255.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpA
ADD L2TP CALL=remote IP=12.34.56.78 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpB
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=1.1.1.1 MASK=255.255.255.252
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=4.4.4.1 PO=1701 IP=4.4.4.1
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2
ADD OSPF AREA=BACKBONE
ADD OSPF RANGE=192.168.1.0 MASK=255.255.255.0 AREA=BACKBONE
ADD OSPF INT=vlan1 AREA=BACKBONE
SET OSPF ASEXTERNAL=ON RIP=BOTH
ENABLE OSPF
ADD IP ROUTE FILTER IP=192.168.100.* MASK=255.255.255.* AC=EXCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=SEND INT=vlan1 PROTO=OSPF
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF
ADD IP ROUTE FILTER IP=4.4.4.1 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP


ルーターBのコンフィグ [テキスト版]
CREATE PPP=0 OVER=eth0-ANY
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispB PASSWORD=isppasswdB LQR=OFF ECHO=ON
ENABLE IP
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255
ADD IP INT=vlan1 IP=192.168.2.100 MASK=255.255.255.0
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0
ENABLE L2TP
ENABLE L2TP SERVER=BOTH
SET L2TP PASSWORD=l2tpB
ADD L2TP CALL=remote IP=4.4.4.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpA
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF
ADD IP INT=ppp1 IP=1.1.1.2 MASK=255.255.255.252
ENABLE FIREWALL
CREATE FIREWALL POLICY=net
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH
DISABLE FIREWALL POLICY=net IDENTPROXY
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=12.34.56.78
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=12.34.56.78 PO=1701 IP=12.34.56.78
ADD IP RIP INT=vlan1 SEND=RIP2 RECEIVE=RIP2
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2
ADD IP ROUTE FILTER IP=12.34.56.78 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP





CentreCOM AR570S 設定例集 2.9 #109

(C) 2006-2013 アライドテレシスホールディングス株式会社

PN: 613-000274 Rev.N

<前頁 次頁> << >> 目次 (番号順 (詳細)回線別 (詳細)機能別 (詳細)