<前頁
次頁>
<<
>>
↓
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))
CentreCOM AR550S 設定例集 2.9 #109
IPルートフィルター
IPルートフィルターを使って、ルーティングプロトコルによって通知される経路情報のうち、特定の経路を受信・伝播しないように設定します。
IPルートフィルターは、おもにダイナミックルーティングプロトコル(RIP/OSPF)による経路情報のやりとりを制御する機能です。特定の経路情報を受け取らないようにしたり、通知しないようにしたりすることができます。
ここでは、OSPFが使われているネットワークとRIP2が使われているネットワークの境界に位置するAS境界ルーター(ASBR)を想定し、LAN上のルーターからOSPFで通知されてくる経路情報のうち、192.168.100.0/24の情報を受け取らず、結果としてPPPoEインターネット接続環境におけるL2TP LAN間で接続された対向RIPルーターにも通知されないようにします。
IPルートフィルターは、対象ルーティングプロトコルがOSPFであるか、RIPであるかによって、DIRECTIONパラメーターの指定方法に違いがあります。その違いを示す例にもなっています。
各拠点は、ISPから次の情報を提供されているものとします。
表 1:ISPから提供された情報
|
ルーターA |
ルーターB |
PPPユーザー名 |
user@ispA |
user@ispB |
PPPパスワード |
isppasswdA |
isppasswdB |
PPPoEサービス名 |
指定なし |
指定なし |
IPアドレス |
4.4.4.1/32 |
12.34.56.78/32 |
ルーターA、Bは共にダイナミックENATを使用した通常の端末型設定(アドレス1個固定)です。
ここでは、次のような構成のネットワークを例に解説します。
- PPPoEおよびIPの設定を行います。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=4.4.4.1 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.1.100 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- L2TPの設定を行います。
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote IP=12.34.56.78 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpB ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=1.1.1.1 MASK=255.255.255.252 ↓
- ファイアウォールの設定を行います。
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=4.4.4.1 PO=1701 IP=4.4.4.1 ↓
- ppp1インターフェースでRIP2を有効にします。
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2 ↓
- バックボーンエリア(0.0.0.0)を定義します。
- バックボーンエリアに所属するネットワークの範囲を指定します。
ADD OSPF RANGE=192.168.1.0 MASK=255.255.255.0 AREA=BACKBONE ↓
- OSPFメッセージを送受信するインターフェースをエリアに割り当てます。
ADD OSPF INT=vlan1 AREA=BACKBONE ↓
- ASBR(エリア境界ルーター)として動作するよう設定します。
SET OSPF ASEXTERNAL=ON RIP=BOTH ↓
- OSPFモジュールを有効にします。
- OSPFのIPルートフィルターの設定を行います。ここでは、LAN側(vlan1)で受信したOSPFの経路情報のうち、192.168.100.0/24に関する情報だけを受け取らないように設定します。その他の経路情報は、送信・受信とも通常どおり行います。
- OSPFで通知される192.168.100.0/24の経路情報は受信しません。
ADD IP ROUTE FILTER IP=192.168.100.* MASK=255.255.255.* AC=EXCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF ↓
- OSPFで通知される他の経路情報は送信・受信とも行います。PROTOCOLにOSPFを指定した場合、DIRECTIONパラメーターには明示的にSEND(送信)、RECEIVE(受信)を指定してください。
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=SEND INT=vlan1 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF ↓
Note
- IPルートフィルターの設定で明示的に指定した条件にマッチしなかった経路情報はすべて受信しません。そのため、一部の経路情報だけを制限したいとき(デフォルト許可の設定)は、上記のようにフィルターリストの末尾に「すべてを許可する」エントリーを明示的に作成してください。また、フィルターエントリーを追加するときはエントリーの順序に気を付けてください。
- RIPのIPルートフィルターの設定を行います。ここでは不要な経路情報をRIPで通知しないように設定します。またppp1インターフェースで受信するRIPメッセージはすべて受け入れます。
- 4.4.4.1/32の経路情報を通知しないように設定します。
ADD IP ROUTE FILTER IP=4.4.4.1 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
- デフォルトルートの経路情報を通知しないように設定します。
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
- RIPで通知される他の経路情報は送信・受信とも行います。PROTOCOLにRIPを指定した場合に、DIRECTIONパラメーターを省略するとSEND、RECEIVE両方を行います。
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
- PPPoEおよびIPの設定を行います。
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispB PASSWORD=isppasswdB LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.2.100 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
- L2TPの設定を行います。
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote IP=4.4.4.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpA ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=1.1.1.2 MASK=255.255.255.252 ↓
- ファイアウォールの設定を行います。
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=12.34.56.78 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=12.34.56.78 PO=1701 IP=12.34.56.78 ↓
- LAN側(vlan1)インターフェースでRIP2を有効にします。
ADD IP RIP INT=vlan1 SEND=RIP2 RECEIVE=RIP2 ↓
- ppp1インターフェースでRIP2を有効にします。
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2 ↓
- RIPのIPルートフィルターの設定を行います。ここでは不要な経路情報をRIPで通知しないように設定します。またppp1インターフェースで受信するRIPメッセージはすべて受け入れます。
- 12.34.56.78/32の経路情報を通知しないように設定します。
ADD IP ROUTE FILTER IP=12.34.56.78 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
- デフォルトルートの経路情報を通知しないように設定します。
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
- RIPで通知される他の経路情報は送信・受信とも行います。PROTOCOLにRIPを指定した場合に、DIRECTIONパラメーターを省略するとSEND、RECEIVE両方を行います。
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP ↓
- 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。
CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
ルーターAのコンフィグ
[テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispA PASSWORD=isppasswdA LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=4.4.4.1 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.1.100 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpA ↓
ADD L2TP CALL=remote IP=12.34.56.78 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=IN PASSWORD=l2tpB ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=1.1.1.1 MASK=255.255.255.252 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=4.4.4.1 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=4.4.4.1 PO=1701 IP=4.4.4.1 ↓
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2 ↓
ADD OSPF AREA=BACKBONE ↓
ADD OSPF RANGE=192.168.1.0 MASK=255.255.255.0 AREA=BACKBONE ↓
ADD OSPF INT=vlan1 AREA=BACKBONE ↓
SET OSPF ASEXTERNAL=ON RIP=BOTH ↓
ENABLE OSPF ↓
ADD IP ROUTE FILTER IP=192.168.100.* MASK=255.255.255.* AC=EXCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=SEND INT=vlan1 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=RECEIVE INT=vlan1 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=4.4.4.1 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP ↓
|
ルーターBのコンフィグ
[テキスト版]
CREATE PPP=0 OVER=eth0-ANY ↓
SET PPP=0 OVER=eth0-ANY BAP=OFF IPREQUEST=OFF USER=user@ispB PASSWORD=isppasswdB LQR=OFF ECHO=ON ↓
ENABLE IP ↓
ADD IP INT=ppp0 IP=12.34.56.78 MASK=255.255.255.255 ↓
ADD IP INT=vlan1 IP=192.168.2.100 MASK=255.255.255.0 ↓
ADD IP ROUTE=0.0.0.0 INT=ppp0 NEXTHOP=0.0.0.0 ↓
ENABLE L2TP ↓
ENABLE L2TP SERVER=BOTH ↓
SET L2TP PASSWORD=l2tpB ↓
ADD L2TP CALL=remote IP=4.4.4.1 TYPE=VIRTUAL REMOTE=remote PRECEDENCE=OUT PASSWORD=l2tpA ↓
CREATE PPP=1 OVER=TNL-remote IDLE=ON BAP=OFF LQR=OFF ↓
ADD IP INT=ppp1 IP=1.1.1.2 MASK=255.255.255.252 ↓
ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
ADD FIREWALL POLICY=net INT=ppp1 TYPE=PRIVATE ↓
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 GBLIP=12.34.56.78 ↓
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROTO=UDP GBLPO=1701 GBLIP=12.34.56.78 PO=1701 IP=12.34.56.78 ↓
ADD IP RIP INT=vlan1 SEND=RIP2 RECEIVE=RIP2 ↓
ADD IP RIP INT=ppp1 SEND=RIP2 RECEIVE=RIP2 ↓
ADD IP ROUTE FILTER IP=12.34.56.78 MASK=255.255.255.255 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
ADD IP ROUTE FILTER IP=0.0.0.0 MASK=0.0.0.0 AC=EXCLUDE DIRECTION=SEND INT=ppp1 PROTOCOL=RIP ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE INT=ppp1 PROTOCOL=RIP ↓
|
CentreCOM AR550S 設定例集 2.9 #109
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-04 Rev.P
<前頁
次頁>
<<
>>
↑
目次 (番号順
(詳細)・
回線別
(詳細)・
機能別
(詳細))