[index]
CentreCOM AR550S コマンドリファレンス 2.9
IP/経路制御フィルター
- IPルートフィルター
- 基本
- RIPに対する動作
- OSPFに対する動作
- Trusted Routerフィルター
経路情報フィルター機能について説明します。
本製品には、ダイナミックルーティング使用時に経路情報を制御する方法として、次の機能が用意されています。
表 1
| 機能 |
概要 |
| IPルートフィルター |
ルーティングプロトコルによって送受信される経路情報に制限をかける機能です。特定の経路情報を外部に通知しないようにしたり、外部から受信した経路情報を破棄するよう設定したりできます |
| Trusted Routerフィルター |
特定のルーターだけを「信頼できるRIPルーター」と見なし、他のルーターから受信したRIP情報は無効なものとして受け入れないよう設定する機能です |
IPルートフィルターは、おもにダイナミックルーティングプロトコル(RIP/OSPF)による経路情報のやりとりに一定の制限をかける機能です。特定の経路情報を他のルーターに通知しないようにしたり、受信した経路情報から任意のエントリーを破棄したりすることができます。
■ IPルートフィルターは、ADD IP ROUTE FILTERコマンドで作成します。特定の経路情報を拒否するには次のようにします。これにより、宛先が「200.200.*.*」となる経路情報の送受信が行われなくなります。
ADD IP ROUTE FILTER=1 IP=200.200.*.* MASK=*.*.*.* ACTION=EXCLUDE ↓
ADD IP ROUTE FILTER=2 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓
IPルートフィルターは最大100個のフィルターエントリー(1〜100)で構成されるリストです。経路情報の交換時にはリストの先頭から順に各エントリーがチェックされ、最初にマッチしたエントリーのアクションが実行されます。
Note
- 1つでもフィルターエントリーが設定されているときは、フィルターの末尾にすべてを拒否する暗黙のエントリーが存在します。そのため、一部の経路情報だけを制限したいとき(デフォルト許可の設定)は、リストの末尾に「すべてを許可する」エントリーを明示的に作成してください。また、フィルターエントリーを追加するときはエントリーの順序に気を付けてください。
■ ADD IP ROUTE FILTERコマンドのFILTERパラメーターにエントリー番号を指定しなかった場合は、作成順にエントリー番号が振られます。エントリー番号はSHOW IP ROUTE FILTERコマンドで確認できます。
■ FILTERパラメーターでエントリー番号を明示的に指定した場合、指定した番号のエントリーがすでに存在していたときは、指定エントリーの前に新規エントリーが挿入されます。
■ デフォルトでは経路情報の送受信両方にフィルターがかかります。送信時のみ、受信時のみを明示的に指定したいときは、DIRECTIONパラメーターにSEND(送信時)、RECEIVE(受信時)を指定します。「172.20.*.*」の経路を外部に通知しないようにするには次のようにします。
ADD IP ROUTE FILTER=1 IP=172.20.*.* MASK=*.*.*.* DIRECTION=SEND ACTION=EXCLUDE ↓
ADD IP ROUTE FILTER=2 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓
Note
- ただし、PROTOCOLにOSPFを指定するときは、SENDとRECEIVEが別々に処理されるため、必ず明示的に方向を指定してください。
■ 特定のルーティングプロトコルだけを対象にしたいときは、PROTOCOLパラメーターにプロトコル名を指定します。RIP経由でのみ「10.*.*.*」の経路を受け取りたいときは次のようにします。
ADD IP ROUTE FILTER=1 IP=10.*.*.* MASK=*.*.*.* DIRECTION=RECEIVE PROTOCOL=RIP ACTION=INCLUDE ↓
ADD IP ROUTE FILTER=2 IP=10.*.*.* MASK=*.*.*.* DIRECTION=RECEIVE ACTION=EXCLUDE ↓
ADD IP ROUTE FILTER=3 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓
■ プロトコルとしてOSPFを指定する場合は、DIRECTIONパラメーターでSEND(送信)とRECEIVE(受信)を明示的に指定してください。たとえば、次の例ではeth0で受信したOSPFの経路情報のうち、192.168.100.0/24に関する情報だけを受け取らないように設定します。その他の経路情報は、送信・受信とも通常どおり行います。
ADD IP ROUTE FILTER IP=192.168.100.* MASK=255.255.255.* AC=EXCLUDE DIR=RECEIVE INT=eth0 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=SEND INT=eth0 PROTO=OSPF ↓
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE DIR=RECEIVE INT=eth0 PROTO=OSPF ↓
Note
- OSPFに対してDIRECTION=SENDの設定を持つフィルターは、自身のIPルーティングテーブルからOSPFに経路情報をエクスポートするタイミングで適用されます。そのため、LSDB内の情報を元に送信されるエリア内経路(Intra-area route)に対しては機能しません。DIRECTION=SENDのフィルターは、ABR上においてエリア間経路、エリア外経路に対してのみ機能します。また、ASBR上において、エリア外経路に対してのみ機能します。
2行目と3行目で192.168.100.0/24以外の経路情報をすべて通すようにしていますが、このとき送信(SEND)と受信(RECEIVE)を明示的に指定していることに注意してください。
■ 一方、プロトコルとしてRIPを指定する場合は、DIRECTIONパラメーターを省略するとSEND、RECEIVEの両方が対象になります。
ADD IP ROUTE FILTER IP=*.*.*.* MASK=*.*.*.* AC=INCLUDE INT=ppp0 PROTO=RIP ↓
■ 特定のインターフェースでのみ経路情報のやりとりを制限したい場合は、INTERFACEパラメーターにインターフェースを指定します。ppp0からは「192.168.*.*」の経路情報だけを送信するようにするには次のようにします。
ADD IP ROUTE FILTER=1 IP=192.168.*.* MASK=*.*.*.* INTERFACE=ppp0 DIRECTION=SEND ACTION=INCLUDE ↓
ADD IP ROUTE FILTER=2 IP=*.*.*.* MASK=*.*.*.* INTERFACE=ppp0 DIRECTION=SEND ACTION=EXCLUDE ↓
ADD IP ROUTE FILTER=3 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓
■ フィルターエントリーを修正するにはSET IP ROUTE FILTERコマンドを使います。エントリー番号は可変なので、必ずSHOW IP ROUTE FILTERコマンドで希望するエントリーの番号を確認してから指定してください。
SET IP ROUTE FILTER=1 IP=192.168.*.* MASK=*.*.*.* ACTION=EXCLUDE ↓
■ IPルートフィルターからエントリーを削除するにはDELETE IP ROUTE FILTERコマンドを使います。エントリー番号は可変なので、必ずSHOW IP ROUTE FILTERコマンドで希望するエントリーの番号を確認してから指定してください。削除したエントリーより後ろのエントリー(番号が大きいエントリー)は1つずつ番号が繰り上がります。
DELETE IP ROUTE FILTER=2 ↓
■ IPルートフィルターの内容を確認するには、SHOW IP ROUTE FILTERコマンドを使います。
RIPに対するIPルートフィルターの動作について説明します。
RIPによる経路情報の交換に対するフィルターは、次のパラメーターを使って作成します。
ADD IP ROUTE FILTER[=entry-id] IP=ipadd MASK=ipadd ACTION={INCLUDE|EXCLUDE} PROTOCOL=RIP [DIRECTION={RECEIVE|SEND|BOTH}] [INTERFACE=interface] [NEXTHOP=ipadd]
- INTERFACEパラメーターには、RIPパケットを送受信するインターフェースを指定します。DIRECTION=SENDの場合、指定したインターフェースから送信されるRIPパケット内の経路情報だけがフィルターの対象になります。DIRECTION=RECEIVEの場合は、指定したインターフェースで受信したRIPパケット内の経路情報だけがフィルターの対象になります。
- NEXTHOPは、DIRECTION=RECEIVEのときだけ有効なパラメーターです。受信したRIP経路のネクストホップが、本パラメーターの値と一致する場合にだけ条件にマッチします。RIP1のときは、RIPパケットの始点IPアドレスが本パラメーターと一致するときにマッチします。RIP2のときは、Next Hopフィールドの値が本パラメーターと一致するか、Next Hopフィールドが0.0.0.0(送信元ルーター自身を示す)で、なおかつ、RIPパケットの始点アドレスが本パラメーターと一致する場合にマッチします。DIRECTION=SENDの場合、本パラメーターは無視されます。
Note
- RIPに対するIPルートフィルターをコマンドラインから作成または変更したときは、RESET IPコマンドでIPモジュールを初期化するか、RESTARTコマンドでシステムを再起動してください。
OSPFは、リンクステートアルゴリズムを使用するプロトコルのため、RIPとはIPルートフィルターの動作が異なります。
OSPFによる経路情報の交換に対するフィルターは、次のパラメーターを使って作成します。OSPFに対しては、INTERFACEパラメーターとNEXTHOPパラメーターが無視されることに注意してください。
ADD IP ROUTE FILTER[=entry-id] IP=ipadd MASK=ipadd ACTION={INCLUDE|EXCLUDE} PROTOCOL=OSPF [DIRECTION={RECEIVE|SEND|BOTH}]
OSPFに対するIPルートフィルターの動作の特長を次にまとめます。
- DIRECTION=RECEIVEの設定を持つフィルターは、リンクステートデータベース(LSDB)からIPルーティングテーブルに経路情報をインポートするタイミングで適用されます。ACTION=EXCLUDEのエントリーにマッチした経路情報は、自身のルーティングテーブルには登録されませんが、LSDBには登録されます。そのため、EXCLUDEされた経路情報であっても、同一エリア内の他のルーターには通知されます。なお、ABR上においては、DIRECTION=RECEIVEでEXCLUDEされた経路情報は、自身のルーティングテーブルには登録されないため、結果として他のエリアには通知されません。
- DIRECTION=SENDの設定を持つフィルターは、自身のIPルーティングテーブルからOSPFに経路情報をエクスポートするタイミングで適用されます。そのため、LSDB内の情報を元に送信されるエリア内経路(Intra-area route)に対しては機能しません。DIRECTION=SENDのフィルターは、ABR上においてエリア間経路、エリア外経路に対してのみ機能します。また、ASBR上において、エリア外経路に対してのみ機能します。
- INTERFACEパラメーターとNEXTHOPパラメーターは無視されます。
- フィルター適用前にIPルーティングテーブルに登録された経路情報は、該当エリアの関連するLSAがタイムアウトするまで残り続けます。
Note
- OSPFに対するIPルートフィルターをコマンドラインから作成または変更したときは、RESET OSPFコマンドでOSPFモジュールを初期化するか、RESET IPコマンドでIPモジュールを初期化するか、RESTARTコマンドでシステムを再起動してください。
Trusted Routerフィルターは、指定されたRIPルーターだけを「信頼できるルーター」と見なし、その他のルーターから受け取ったRIPブロードキャストの情報は受け入れないようにする機能です。
■ Trusted Routerを登録するには、ADD IP TRUSTEDコマンドを使います。
ADD IP TRUSTED=172.30.100.1 ↓
Note
- Trusted Routerが1つでも登録されている場合、登録されていないルーターからのRIP情報は無効なものとして受け入れなくなります。1つも登録されていないときは、すべてのRIP情報を受け入れます。
■ Trusted Routerの一覧はSHOW IP TRUSTEDコマンドで確認できます。
■ Trusted Routerを削除するにはDELETE IP TRUSTEDコマンドを使います。
(C) 2005-2014 アライドテレシスホールディングス株式会社
PN: J613-M0710-03 Rev.K