ここでのフィルタリングとは、あらかじめ指定した条件にしたがって経路情報を分類・識別し、特定の経路を許可・破棄したり、経路情報の属性を変更したりすることを指します。

本製品には、ダイナミックルーティングプロトコル（RIP、OSPF、BGP、RIPng）使用時に経路情報をフィルタリングする方法として、それぞれ次の機能が用意されています。

表 1：RIP用の経路フィルタリング機能

名称対象機能 分類・識別方法

ディストリビュートリスト RIP経路の送受信時 RIPパケットの受信時に特定の経路を受け入れないよう設定したり、RIPパケットの送信時に特定の経路を通知しないよう設定したりする標準IPアクセスリスト

オフセットリスト RIP経路の送受信時 RIPパケットの受信時に特定の経路のメトリック値を大きくしたり、RIPパケットの送信時に特定の経路のメトリック値を大きくしたりする標準IPアクセスリスト

表 2：OSPF用の経路フィルタリング機能

名称対象機能 分類・識別方法

エリアフィルターリストエリア間経路の送受信時 ABRにおいて、特定エリアに対して他エリアの経路情報（タイプ3LSA）を通知しないよう設定したり、特定エリアの経路情報（タイプ3LSA）を他のエリアに通知しないよう設定したりする標準IPアクセスリストかIPプレフィックスリスト

ディストリビュートリスト非OSPF経路の再通知時 ASBRにおいて、特定の非OSPF経路を再通知対象から除外する標準IPアクセスリスト

再通知用ルートマップ非OSPF経路のインポート時 ASBRにおいて、再通知のため非OSPF経路をインポートするときに、特定の経路を除外したり、特定の経路の属性を変更した上でインポートしたりするルートマップ

表 3：BGP用の経路フィルタリング機能

名称対象機能 分類・識別方法

ディストリビュートリスト BGP経路の送受信時 UPDATEメッセージの受信時に特定プレフィックスへの経路を受け入れないよう設定したり、UPDATEメッセージの送信時に特定プレフィックスへの経路を通知しないように設定したりする。機能的にはプレフィックスリストとほぼ同じ（同一ピアに対してはどちらか一方を選んで使う）標準IPアクセスリスト

ピア用ルートマップ BGP経路の送受信時 UPDATEメッセージの受信時に特定の経路を受け入れないよう設定したり、UPDATEメッセージの送信時に特定の経路を通知しないように設定したりする。また、受信した経路の属性を変更してから受け入れたり、経路の属性を変更してから送信したりすることもできるルートマップ

再通知用ルートマップ非BGP経路のインポート時再通知のため非BGP経路をインポートするときに、特定の経路を除外したり、特定の経路の属性を変更した上でインポートしたりするルートマップ

表 4：RIPng用の経路フィルタリング機能

名称対象機能 分類・識別方法

ディストリビュートリスト RIPng経路の送受信時 RIPngパケットの受信時に特定の経路を受け入れないよう設定したり、RIPngパケットの送信時に特定の経路を通知しないよう設定したりする標準IPv6アクセスリスト

オフセットリスト RIPng経路の送受信時 RIPngパケットの受信時に特定の経路のメトリック値を大きくしたり、RIPngパケットの送信時に特定の経路のメトリック値を大きくしたりする標準IPv6アクセスリスト

経路情報をフィルタリングするためには、何らかの条件にしたがって経路情報を分類・識別したり、分類した経路情報に対する処理を指定したりする必要がありますが、そのための機能としては、次のものがあります。

標準IPアクセスリスト（access-list ip standard(list)コマンド）
IPプレフィックスリスト（ip prefix-listコマンド）
標準IPv6アクセスリスト（access-list ipv6 standard(list)コマンド）
ルートマップ（route-mapコマンドほか。ルートマップ中で標準IPアクセスリスト、IPプレフィックスリスト、標準IPv6アクセスリストを使うこともある）

以下では、まずこれら分類・識別のための機能について説明し、次に各ルーティングプロトコルにおける経路フィルタリングの設定について具体例を挙げながら説明します。

なお、ダイナミックルーティングの設定については、「IPルーティング」の「経路制御（RIP）」、「IPルーティング」の「経路制御（OSPF）」、「IPルーティング」の「経路制御（BGP）」、「IPv6ルーティング」の「経路制御（RIPng）」をご覧ください。

経路の分類・識別

ここでは、経路情報を分類・識別するための各機能について解説します。

標準IPアクセスリスト

標準IPアクセスリストは、IPアドレスを1つだけ指定できるアクセスリストです。始点IPアドレスに基づくパケットフィルタリングが本来の用途ですが、宛先ネットワークアドレス（プレフィックス）に基づく経路エントリーの分類・識別にも使用できます。

標準IPアクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われるか結果（permitかdeny）が返され、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPアクセスリストの設定は、access-list ip standard(list)コマンドとaccess-list ip standard(rule entry)コマンドで行います。

以下では、標準IPアクセスリストを用いて経路エントリーを分類・識別する方法について解説します。

標準IPアクセスリストを使ってパケットフィルタリングを行う方法については、「ファイアウォール」の「IPフィルター」をご覧ください。

標準IPアクセスリストでは、つねに「アドレス/プレフィックス長（サブネットマスクの長さ）」の組に対してマッチングを行います。次にいくつか例を示します。

Note - 標準IPアクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

宛先プレフィックス（アドレス部分）の先頭オクテットが「10」で、プレフィックス長が8～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ip standard n1 ↓ *Router(config-acl-ip)# deny 10.0.0.0/8 ↓ *Router(config-acl-ip)# permit any ↓
宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.16」で、プレフィックス長が16～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ip standard n2 ↓ *Router(config-acl-ip)# deny 172.16.0.0/16 ↓ *Router(config-acl-ip)# permit any ↓
宛先プレフィックス（アドレス部分）の先頭3オクテットが「192.168.10」で、プレフィックス長が24～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ip standard n3 ↓ *Router(config-acl-ip)# deny 192.168.10.0/24 ↓ *Router(config-acl-ip)# permit any ↓
宛先プレフィックス（アドレス部分）の先頭25ビットが「192.168.10.128」で、プレフィックス長が25～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ip standard n4 ↓ *Router(config-acl-ip)# deny 192.168.10.128/25 ↓ *Router(config-acl-ip)# permit any ↓
宛先プレフィックス（アドレス部分）の先頭25ビットが「192.168.10.128」で、プレフィックス長が25ビットの経路エントリーを破棄し、その他は許可する。具体的には「192.168.10.128/25」と完全一致する経路エントリーだけを破棄する。
*Router(config)# access-list ip standard n5 ↓ *Router(config-acl-ip)# deny 192.168.10.128/25 exact-match ↓ *Router(config-acl-ip)# permit any ↓
本例は前の例とよく似ていますが、前の例が「192.168.10.128/25」、「192.168.10.192/28」、「192.168.10.248/29」など複数の経路エントリーとマッチするのに対し、本例は経路エントリー「192.168.10.128/25」とだけマッチします。

Note - access-list ip standard(rule entry)コマンドのexact-matchオプションは、OSPF、BGPの経路フィルタリングでのみサポートとなります。RIPの経路フィルタリングではサポート対象外ですのでご注意ください。

Note - 標準IPアクセスリスト（access-list ip standard(rule entry)コマンド）の指定値M（マスク長）は、アドレス部分の先頭何ビットを比較対象とするかを指定すると同時に、プレフィックス長も指定します。exact-matchオプションを指定した場合は、経路エントリーのプレフィックス長がMと一致するときだけマッチします。exact-matchオプションを指定しなかった場合は、経路エントリーのプレフィックス長がM以上（M～32）のときにマッチします。

IPプレフィックスリスト

IPプレフィックスリストは、標準IPアクセスリストとは異なり、経路エントリーの分類・識別に特化した仕組みです。

IPプレフィックスリストではつねに「アドレス/プレフィックス長（サブネットマスクの長さ）」の組に対してマッチングを行います。

IPプレフィックスリストは複数のエントリーから構成されるリストで、検索はエントリー番号の若い順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われるか結果（permitかdeny）が返され、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

IPプレフィックスリストを作成するには、ip prefix-listコマンドを使います。
次にいくつか例を示します。

Note - IPプレフィックスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

宛先プレフィックス（アドレス部分）の先頭オクテットが「10」で、プレフィックス長が8～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# ip prefix-list p1 deny 10.0.0.0/8 le 32 ↓ *Router(config)# ip prefix-list p1 permit any ↓
宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.16」で、プレフィックス長が16～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# ip prefix-list p2 deny 172.16.0.0/16 le 32 ↓ *Router(config)# ip prefix-list p2 permit any ↓
宛先プレフィックス（アドレス部分）の先頭3オクテットが「192.168.10」で、プレフィックス長が24～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# ip prefix-list p3 deny 192.168.10.0/24 le 32 ↓ *Router(config)# ip prefix-list p3 permit any ↓
宛先プレフィックス（アドレス部分）の先頭25ビットが「192.168.10.128」で、プレフィックス長が25～32ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# ip prefix-list p4 deny 192.168.10.128/25 le 32 ↓ *Router(config)# ip prefix-list p4 permit any ↓
宛先プレフィックス（アドレス部分）の先頭25ビットが「192.168.10.128」で、プレフィックス長が25ビットの経路エントリーを破棄し、その他は許可する。具体的には「192.168.10.128/25」と完全一致する経路エントリーだけを破棄する。
*Router(config)# ip prefix-list p5 deny 192.168.10.128/25 ↓ *Router(config)# ip prefix-list p5 permit any ↓
宛先プレフィックス（アドレス部分）の先頭3オクテットが「192.168.10」で、プレフィックス長が25～28ビットの経路エントリーを破棄し、その他は許可する。具体的には「192.168.10.0/25」や「192.168.10.128/28」などの経路エントリーにマッチします。
*Router(config)# ip prefix-list p6 deny 192.168.10.0/24 ge 25 le 28 ↓ *Router(config)# ip prefix-list p6 permit any ↓

標準IPv6アクセスリスト

標準IPv6アクセスリストは、IPv6アドレスを1つだけ指定できるアクセスリストです。
標準IPアクセスリストのIPv6版と考えればよいでしょう。

標準IPv6アクセスリストは複数のエントリーから構成されるリストで、検索はエントリーの追加順に行われます。検索時には、最初にマッチしたエントリーで処理（permitかdeny）が行われるか結果（permitかdeny）が返され、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

標準IPv6アクセスリストの設定は、access-list ipv6 standard(list)コマンドとaccess-list ipv6 standard(rule entry)コマンドで行います。

以下では、標準IPv6アクセスリストを用いて経路エントリーを分類・識別する方法について解説します。

標準IPv6アクセスリストを使ってパケットフィルタリングを行う方法については、「ファイアウォール」の「IPv6フィルター」をご覧ください。

標準IPv6アクセスリストでは、つねに「アドレス/プレフィックス長」の組に対してマッチングを行います。次にいくつか例を示します。

Note - 標準IPv6アクセスリストの末尾には「deny any」、すなわち、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

宛先プレフィックス（アドレス部分）の先頭32ビットが「2001:1234」で、プレフィックス長が32～128ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ipv6 standard n1 ↓ *Router(config-acl-ipv6)# deny 2001:1234::/32 ↓ *Router(config-acl-ipv6)# permit any ↓
宛先プレフィックス（アドレス部分）の先頭48ビットが「2001:10:10」で、プレフィックス長が48～128ビットの経路エントリーを破棄し、その他は許可する。
*Router(config)# access-list ipv6 standard n2 ↓ *Router(config-acl-ipv6)# deny 2001:10:10::/48 ↓ *Router(config-acl-ipv6)# permit any ↓
Note - 標準IPv6アクセスリスト（access-list ipv6 standard(rule entry)コマンド）の指定値M（マスク長）は、アドレス部分の先頭何ビットを比較対象とするかを指定すると同時に、プレフィックス長も指定します（経路エントリーのプレフィックス長がM以上（M～128）のときにマッチします）。

ルートマップ

ルートマップは、宛先プレフィックスだけでなく、ネクストホップやメトリックなどのさまざまな基準に基づいて経路エントリーを分類・識別し、分類した経路を破棄したり、経路属性を書き換えたりするための機能です。

ルートマップは複数のエントリーで構成されるリストで、検索はエントリー番号の若い順に行われます。検索時には、最初にマッチしたエントリーで以下に示す処理が行われ、マッチした時点で検索は終了します。どのエントリーにもマッチしなかった場合はdenyとなります。

マッチしたエントリーのアクションがpermitなら、該当経路は許可され、set節があればそれも実行される
マッチしたエントリーのアクションがdenyなら、該当経路は破棄され、set節は実行されない

ルートマップ内の各エントリーは、0～複数個のmatch節、1個のアクション（denyかpermit）、0～複数個のset節によって構成されます。match節、アクション、set節は、それぞれ次の役割を持ちます。

match節は、経路エントリーと照合するための条件。match節のないエントリーはすべてにマッチする
アクションは、マッチした経路を許可（permit）するか破棄（deny）するかの指定。許可された経路には引き続きset節が適用される
set節は、許可（permit）された経路の属性を変更するための指定。1つのエントリーにおいて、複数種の属性を変更することができる

なお、match節では、以下の情報を条件として使用できます。

宛先プレフィックス（match ip addressコマンド）
ネクストホップインターフェース（match interfaceコマンド）
ネクストホップアドレス（match ip next-hopコマンド）
メトリック（match metricコマンド）
OSPF外部経路のメトリックタイプ（match route-typeコマンド）
OSPF外部経路のタグ（match tagコマンド）
BGP経路のORIGIN属性（match originコマンド）

宛先プレフィックス、ネクストホップアドレスのマッチングには、前述した標準IPアクセスリストやIPプレフィックスリストを利用します。なお、ルートマップエントリーで標準IPアクセスリストやIPプレフィックスリストを使用する場合は、これらのリストを単独で使用する場合とdeny、permitの意味が異なるため注意してください。

また、set節では以下の情報を変更できます。

ネクストホップアドレス（set ip next-hopコマンド）
メトリック（set metricコマンド）
OSPF外部経路のメトリックタイプ（set metric-typeコマンド）
OSPF外部経路のタグ（set tagコマンド）
BGP経路のAGGREGATOR属性（set aggregator asコマンド）
BGP経路のATOMIC_AGGREGATE属性（set atomic-aggregateコマンド）
BGP経路のLOCAL_PREF属性（set local-preferenceコマンド）
BGP経路のORIGIN属性（set originコマンド）
BGP経路のウェイト（set weightコマンド）

ルートマップの設定は次の流れで行います。

必要に応じて、宛先プレフィックスやネクストホップアドレスのマッチングを行うための標準IPアクセスリストやIPプレフィックスリストを作成します。
このとき、リスト中のdeny、permitは経路エントリーを破棄するかどうかの指定でなく、該当経路エントリーをルートマップエントリーにマッチさせるかどうかの指定である点に注意してください。経路エントリーを破棄するかどうかは、リストのアクションではなく、ルートマップエントリーのアクションで指定します。
route-mapコマンドでルートマップエントリーを作成し、アクションを指定します。同コマンドを実行すると、ルートマップエントリーの内容を編集するためのルートマップモードに移行します。
ルートマップエントリーにmatch節を追加して分類条件を指定します。このとき、必要に応じて標準IPアクセスリストやIPプレフィックスリストを指定します。なお、match節のないルートマップエントリーは、すべての経路エントリーにマッチします。
手順2で指定したルートマップエントリーのアクションがpermitの場合は、必要に応じてset節を追加し、経路属性を変更するための設定を追加します。ルートマップエントリーのアクションがdenyの場合や、属性変更をしない場合、set節は不要です。

以下、ルートマップの作成例をいくつか示します。

Note - ルートマップの末尾には、すべてをdenyする暗黙のエントリーが存在していることにご注意ください。

Note - 前にも述べたとおり、ルートマップのmatch節で使用する標準IPアクセスリスト、IPプレフィックスリストでは、deny、permitの意味が通常とは逆転しているので注意してください。

192.168.0.0/24と完全一致する宛先プレフィックスを持つ経路エントリーを破棄し、その他は許可する。

*Router(config)# ip prefix-list p0 permit 192.168.0.0/24 ↓ *Router(config)# route-map r1 deny 10 ↓ *Router(config-route-map)# match ip address prefix-list p0 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map r1 permit 20 ↓ *Router(config-route-map)# exit ↓

ネクストホップアドレスが172.16.10.3の経路エントリーを破棄し、その他は許可する。

*Router(config)# access-list ip standard nh3 ↓ *Router(config-acl-ip)# permit host 172.16.10.3 ↓ *Router(config-acl-ip)# exit ↓ *Router(config)# route-map r2 deny 10 ↓ *Router(config-route-map)# match ip next-hop nh3 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map r2 permit 20 ↓ *Router(config-route-map)# exit ↓

宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.31」の経路エントリーに対し、OSPF外部経路タグ値「31」をセットする。その他の経路エントリーは変更しない。

*Router(config)# access-list ip standard net172_31 ↓ *Router(config-acl-ip)# permit 172.31.0.0/16 ↓ *Router(config-acl-ip)# exit ↓ *Router(config)# route-map r3 permit 10 ↓ *Router(config-route-map)# match ip address net172_31 ↓ *Router(config-route-map)# set tag 31 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map r3 permit 20 ↓ *Router(config-route-map)# exit ↓

RIPにおける経路フィルタリング

ここでは、RIPを使用してダイナミックルーティングを行う場合の経路フィルタリングの方法について解説します。

ディストリビュートリスト（RIP）

ディストリビュートリストは、RIPパケットの受信時に特定の経路を受け入れないよう設定したり、RIPパケットの送信時に特定の経路を通知しないよう設定したりするための機能です。

ディストリビュートリストは、RIPモードのdistribute-listコマンドで設定します。経路エントリーの分類条件は、標準IPアクセスリストで定義します。

■ RIPパケットの受信時に特定の経路を受け入れないようにするには、distribute-listコマンドを「in」方向で設定します。

たとえば、RIPインターフェースgigabitEthernet 0において、10.0.0.0/8に包含される経路エントリーを受け入れないようにするには、次のようにします。

宛先プレフィックス（アドレス部分）の先頭オクテットが「10」で、プレフィックス長が8～32ビットの経路エントリーを破棄し、その他は許可する標準IPアクセスリスト「deny10」を作成します。
*Router(config)# access-list ip standard deny10 ↓ *Router(config-acl-ip)# deny 10.0.0.0/8 ↓ *Router(config-acl-ip)# permit any ↓ *Router(config-acl-ip)# exit ↓
RIPモードに移行して、受信用のディストリビュートリストをgigabitEthernet 0に設定します。このとき、分類条件として標準アクセスリスト「deny10」を指定します。
*Router(config)# router rip ↓ *Router(config-router)# distribute-list deny10 in gigabitEthernet 0 ↓

■ RIPパケットの送信時に特定の経路を通知しないようにするには、distribute-listコマンドを「out」方向で設定します。

たとえば、RIPインターフェースvlan 1において、192.168.0.0/16に包含される経路エントリーを通知しないようにするには、次のようにします。

宛先プレフィックス（アドレス部分）の先頭2オクテットが「192.168」で、プレフィックス長が16～32ビットの経路エントリーを破棄し、その他は許可する標準IPアクセスリスト「deny192168」を作成します。
*Router(config)# access-list ip standard deny192168 ↓ *Router(config-acl-ip)# deny 192.168.0.0/16 ↓ *Router(config-acl-ip)# permit any ↓ *Router(config-acl-ip)# exit ↓
RIPモードに移行して、送信用のディストリビュートリストをvlan 1に設定します。このとき、分類条件として標準アクセスリスト「deny192168」を指定します。
*Router(config)# router rip ↓ *Router(config-router)# distribute-list deny192168 out vlan 1 ↓

オフセットリスト（RIP）

オフセットリストは、RIPパケットの受信時に特定の経路のメトリック値を大きくしたり、RIPパケットの送信時に特定の経路のメトリック値を大きくしたりするための機能です。

オフセットリストは、RIPモードのoffset-listコマンドで設定します。経路エントリーの分類条件は、標準IPアクセスリストで定義します。

■ RIPパケットの受信時に特定の経路のメトリックを大きくするには、offset-listコマンドを「in」方向で設定します。

たとえば、RIPインターフェースgigabitEthernet 0で経路情報を受信するとき、172.16.20.0/24に包含される経路エントリーは、メトリックを4加算した上でRIP経路表に取り込むよう設定するには、次のようにします。

宛先プレフィックス（アドレス部分）の先頭3オクテットが「172.16.20」で、プレフィックス長が24～32ビットの経路エントリーをpermitし、その他はdenyする標準IPアクセスリスト「add4」を作成します。オフセットリストで使用するアクセスリストでは、メトリックを変更したい経路をpermit、変更したくない経路をdenyするよう設定します。
*Router(config)# access-list ip standard add4 ↓ *Router(config-acl-ip)# permit 172.16.20.0/24 ↓ *Router(config-acl-ip)# exit ↓
RIPモードに移行して、受信用のオフセットリストをgigabitEthernet 0に設定します。このとき、分類条件として標準アクセスリスト「add4」を指定します。メトリック加算値は「4」とします。
*Router(config)# router rip ↓ *Router(config-router)# offset-list add4 in 4 gigabitEthernet 0 ↓

■ RIPパケットの送信時に特定の経路のメトリックを大きくするには、offset-listコマンドを「out」方向で設定します。

たとえば、RIPインターフェースvlan 1から経路情報を送信するとき、192.168.10.0/24に包含される経路エントリーは、メトリックを5加算した上で通知するよう設定するには、次のようにします。

宛先プレフィックス（アドレス部分）の先頭3オクテットが「192.168.10」で、プレフィックス長が24～32ビットの経路エントリーをpermitし、その他はdenyする標準IPアクセスリスト「add5」を作成します。オフセットリストで使用するアクセスリストでは、メトリックを変更したい経路をpermit、変更したくない経路をdenyするよう設定します。
*Router(config)# access-list ip standard add5 ↓ *Router(config-acl-ip)# permit 192.168.10.0/24 ↓ *Router(config-acl-ip)# exit ↓
RIPモードに移行して、送信用のオフセットリストをvlan 1に設定します。このとき、分類条件として標準アクセスリスト「add5」を指定します。メトリック加算値は「5」とします。
*Router(config)# router rip ↓ *Router(config-router)# offset-list add5 out 5 vlan 1 ↓

OSPFにおける経路フィルタリング（未編集）

ここでは、OSPFを使用してダイナミックルーティングを行う場合の経路フィルタリングの方法について解説します。

エリアフィルターリスト

エリアフィルターリストは、ABRにおいて、特定エリアに対して他エリアの経路情報（タイプ3LSA）を通知しないよう設定したり、特定エリアの経路情報（タイプ3LSA）を他のエリアに通知しないよう設定したりするための機能です。

エリアフィルターリストは、OSPFモードのarea filter-listコマンドで設定します。経路エントリーの分類条件は、標準IPアクセスリストかIPプレフィックスリストで定義します。

■ ABRにおいて、あるエリアに対して他エリアの経路情報（タイプ3LSA）を通知しないよう設定するには、area filter-listコマンドを方向「in」で設定します。

たとえば、エリア1のABRに対し、エリア1には172.23.0.0/16の範囲におさまるタイプ3LSA（他エリアの経路情報）を通知しないよう設定するには、次のようにします。

172.23.0.0/16に包含される宛先プレフィックスを持つ経路エントリーを破棄し、その他は許可するIPプレフィックスリストdpS23を作成します。
*Router(config)# ip prefix-list dpS23 deny 172.23.0.0/16 le 32 ↓ *Router(config)# ip prefix-list dpS23 permit any ↓
OSPFモードに移行して、エリア1に対する方向「in」のエリアフィルターリストを設定します。このとき、分類条件としてIPプレフィックスリストdpS23を指定します。
*Router(config)# router ospf ↓ *Router(config-router)# area 1 filter-list prefix dpS23 in ↓

■ ABRにおいて、あるエリアの経路情報（タイプ3LSA）を他のエリアに通知しないよう設定するには、area filter-listコマンドを方向「out」で設定します。

たとえば、エリア2のABRに対し、エリア2内部の経路172.22.254.0/24を他エリアにタイプ3LSAで通知しないよう設定するには、次のようにします。

172.22.254.0/16に包含される宛先プレフィックスを持つ経路エントリーを破棄し、その他は許可するIPプレフィックスリストdp254を作成します。
*Router(config)# ip prefix-list dp254 deny 172.22.254.0/24 ↓ *Router(config)# ip prefix-list dp254 permit any ↓
OSPFモードに移行して、エリア2に対する方向「out」のエリアフィルターリストを設定します。このとき、分類条件としてIPプレフィックスリストdp254を指定します。
*Router(config)# router ospf ↓ *Router(config-router)# area 2 filter-list prefix dp254 out ↓

ディストリビュートリスト（OSPF）

ディストリビュートリストは、ASBRにおいて、特定の非OSPF経路を再通知の対象から除外するための機能です。

ディストリビュートリストは、OSPFモードのdistribute-listコマンドで設定します。経路エントリーの分類条件は、標準IPアクセスリストで定義します。

■ ASBRにおいて特定の非OSPF経路を再通知対象から除外するには、distribute-listコマンドを方向「out」で設定します。

たとえば、ASBRにおいてRIP経路をOSPFで再通知しているとき、RIP由来の経路エントリー10.30.10.0/24を再通知対象から除外するには、次のようにします。

経路エントリー10.30.10.0/24を破棄し、その他を許可する標準IPアクセスリストnothirtyを作成します。

*Router(config)# access-list standard nothirty deny 10.30.10.0/24 exact-match ↓ *Router(config)# access-list standard nothirty permit any ↓

OSPFモードに移行し、RIP由来の外部経路に対する方向「out」のディストリビュートリストを設定します。このとき、分類条件として標準IPアクセスリストnothirtyを指定します。
*Router(config)# router ospf ↓ *Router(config-router)# distribute-list nothirty out rip ↓

再通知用ルートマップ（OSPF）

再通知用ルートマップは、ASBRにおいて再通知のため非OSPF経路をインポートするときに、特定の経路を除外したり、特定の経路の属性を変更した上でインポートしたりするための機能です。

再通知用ルートマップは、OSPFモードのredistributeコマンドで再通知の設定を行うときに、route-mapパラメーターで指定します。

■ ASBRにおいて非OSPF経路をインポートするときに、特定の経路をインポートしないよう設定したり、特定の経路の属性を変更した上でインポートするよう設定したりするには、redistributeコマンドのroute-mapパラメーターでルートマップを指定します。

たとえば、ASBRにおいてRIP経路をOSPFにインポートするとき、経路エントリー10.100.10.0/24をインポート対象から除外するには、次のようにします。

経路エントリー10.100.10.0/24を破棄し、その他を許可するルートマップrhtを作成します。

*Router(config)# ip prefix-list pht permit 10.100.10.0/24 ↓ *Router(config)# route-map rht deny 10 ↓ *Router(config-route-map)# match ip address prefix-list pht ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rht permit 20 ↓ *Router(config-route-map)# exit ↓

OSPFモードのredistributeコマンドでRIP経路再通知の設定をするときに、route-mapパラメーターでルートマップ名を指定します。
*Router(config)# router ospf ↓ *Router(config-router)# redistribute rip route-map rht ↓

■ ASBRにおいて、デフォルト経路をAS内に再通知するときに、特定の条件を満たしたときだけデフォルト経路を再通知したり、デフォルト経路の属性を変更した上で再通知するよう設定したりするには、default-information originateコマンドのroute-mapパラメーターでルートマップを指定します。基本的な設定方法は、redistributeコマンドと同じです。

BGPにおける経路フィルタリング

ここでは、BGPを使用してダイナミックルーティングを行う場合の経路フィルタリングの方法について解説します。

BGPにおける経路フィルタリングは、次の3箇所で行います。

ピアに経路情報を送信するとき
- ディストリビュートリスト（neighbor distribute-listコマンドの方向「out」）
- ピア用ルートマップ（neighbor route-mapコマンドの方向「out」）
ピアから経路情報を受信したとき
- ディストリビュートリスト（neighbor distribute-listコマンドの方向「in」）
- ピア用ルートマップ（neighbor route-mapコマンドの方向「in」）
BGP経路表に経路情報をインポートするとき
- 再通知用ルートマップ（redistributeコマンド）

各フィルタリング機能の処理の流れは次のとおりです。

ディストリビュートリスト（BGP）

ディストリビュートリストは、UPDATEメッセージの受信時に特定プレフィックスへの経路を受け入れないよう設定したり、UPDATEメッセージの送信時に特定プレフィックスへの経路を通知しないように設定したりするための機能です。

ディストリビュートリストは、ピアごとにBGPモードのneighbor distribute-listコマンドで設定します。経路エントリーの分類条件は、標準IPアクセスリストで定義します。

■ ピアからUPDATEメッセージを受信したときに、特定プレフィックスへの経路を受け入れないようにするには、neighbor distribute-listコマンドを「in」方向で設定します。

たとえば、BGPピア10.10.10.4からは、172.28.0.0/16に包含されるプレフィックスへの経路を受け入れないようにするには、次のようにします。以下の例では、BGPピアの設定までは完了しているものと仮定しています。

宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.28」で、プレフィックス長が16～32ビットの経路エントリーを破棄しし、その他は許可する標準IPアクセスリストd1を作成します。
*Router(config)# access-list ip standard d1 ↓ *Router(config-acl-ip)# deny 172.28.0.0/16 ↓ *Router(config-acl-ip)# permit any ↓ *Router(config-acl-ip)# exit ↓
BGPモードに移行して、BGPピア10.10.10.4に対する受信用のディストリビュートリストを設定します。このとき、分類条件として標準IPアクセスリスト1を指定します。
*Router(config)# router bgp 65010 ↓ *Router(config-router)# neighbor 10.10.10.4 distribute-list d1 in ↓
clear ip bgpコマンドをsoft inオプション付きで実行して、BGPピアに経路情報の再送信を要求します。再送信された経路情報は、受信用ディストリビュートリストを適用した上でBGP経路表に取り込まれます。
*Router(config-router)# end ↓ *Router# clear ip bgp 10.10.10.4 soft in ↓
Note - clear ip bgpコマンドをsoft inオプション付きで実行するには、BGPピアがルートリフレッシュをサポートしているか、本装置側で該当BGPピアから受信した経路情報を保存しておく設定（neighbor soft-reconfiguration inboundコマンド）が有効になっている必要があります。本装置ではルートリフレッシュ（neighbor capability route-refreshコマンド）が初期状態で有効になっています。

■ ピアにUPDATEメッセージを送信するときに、特定プレフィックスへの経路を通知しないようにするには、neighbor distribute-listコマンドを「out」方向で設定します。

たとえば、BGPピア10.10.10.4には、192.168.0.0/16に包含されるプレフィックスへの経路を通知しないようにするには、次のようにします。以下の例では、BGPピアの設定までは完了しているものと仮定しています。

宛先プレフィックス（アドレス部分）の先頭2オクテットが「192.168」で、プレフィックス長が16～32ビットの経路エントリーを破棄し、その他は許可する標準IPアクセスリストd2を作成します。
*Router(config)# access-list ip standard d2 ↓ *Router(config-acl-ip)# deny 192.168.0.0/16 ↓ *Router(config-acl-ip)# permit any ↓ *Router(config-acl-ip)# exit ↓
BGPモードに移行して、BGPピア10.10.10.4に対する送信用のディストリビュートリストを設定します。このとき、分類条件として標準IPアクセスリストd2を指定します。
*Router(config)# router bgp 65010 ↓ *Router(config-router)# neighbor 10.10.10.4 distribute-list d2 out ↓
clear ip bgpコマンドをsoft outオプション付きで実行し、ディストリビュートリスト適用後の経路情報をBGPピアに再送信します。
*Router(config-router)# end ↓ *Router# clear ip bgp 10.10.10.4 soft out ↓

ピア用ルートマップ

ピア用ルートマップは、UPDATEメッセージの送受信時に経路をフィルタリング（破棄・除去）したり、経路の属性を変更したりするための機能です。

ASパスフィルターリストなどと同じように、UPDATEメッセージの受信時に特定の経路を受け入れないよう設定したり、UPDATEメッセージの送信時に特定の経路を通知しないように設定したりできるほか、受信した経路の属性を変更してから受け入れたり、経路の属性を変更してから送信したりすることもできます。

ピア用ルートマップは、ピアまたはピアグループごとにBGPモードのneighbor route-mapコマンドで設定します。

■ ピアからUPDATEメッセージを受信したときに、特定の経路を受け入れないようにしたり、特定の経路の属性を変更してから受け入れるようにするには、neighbor route-mapコマンドを「in」方向で設定します。

たとえば、BGPピア10.10.10.3からは、172.31.0.0/16に包含されるプレフィックスへの経路を受け入れず、また、その他の経路のうち172.30.0.0/16に内包されるプレフィックスへの経路にはLOCAL_PREF属性値「100000」を設定してから受け入れるには、次のようにします。以下の例では、BGPピアの設定までは完了しているものと仮定しています。

宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.31」で、プレフィックス長が16～32ビットの経路エントリーをpermitし、その他はdenyする標準IPアクセスリストnet172_31を作成します。これは、ルートマップのmatch節において、「172.31.0.0/16に包含されるプレフィックスへの経路」を識別するためのものです。
*Router(config)# access-list ip standard net172_31 ↓ *Router(config-acl-ip)# permit 172.31.0.0/16 ↓ *Router(config-acl-ip)# exit ↓
宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.30」で、プレフィックス長が16～32ビットの経路エントリーをpermitし、その他はdenyする標準IPアクセスリストnet172_31を作成します。これは、ルートマップのmatch節において、「172.30.0.0/16に包含されるプレフィックスへの経路」を識別するためのものです。
*Router(config)# access-list ip standard net172_30 ↓ *Router(config-acl-ip)# permit 172.30.0.0/16 ↓ *Router(config-acl-ip)# exit ↓

「172.31.0.0/16に包含されるプレフィックスへの経路」を破棄し、「172.30.0.0/16に包含されるプレフィックスへの経路」にLOCAL_PREF値「100000」を設定し、その他の経路は変更せずに受け入れるルートマップrmap3_inを作成します。

*Router(config)# route-map rmap3_in deny 10 ↓ *Router(config-route-map)# match ip address net172_31 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rmap3_in permit 20 ↓ *Router(config-route-map)# match ip address net172_30 ↓ *Router(config-route-map)# set local-preference 100000 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rmap3_in permit 30 ↓ *Router(config-route-map)# exit ↓

BGPモードに移行して、BGPピア10.10.10.3に対する受信用のルートマップを設定します。このとき、ルートマップrmap3_inを指定します。
*Router(config)# router bgp 65010 ↓ *Router(config-router)# neighbor 10.10.10.3 route-map rmap3_in in ↓
clear ip bgpコマンドをsoft inオプション付きで実行して、BGPピアに経路情報の再送信を要求します。再送信された経路情報は、受信用ディストリビュートリストを適用した上でBGP経路表に取り込まれます。
*Router(config-router)# end ↓ *Router# clear ip bgp 10.10.10.4 soft in ↓
Note - clear ip bgpコマンドをsoft inオプション付きで実行するには、BGPピアがルートリフレッシュをサポートしているか、本装置側で該当BGPピアから受信した経路情報を保存しておく設定（neighbor soft-reconfiguration inboundコマンド）が有効になっている必要があります。本装置ではルートリフレッシュ（neighbor capability route-refreshコマンド）が初期状態で有効になっています。

■ ピアにUPDATEメッセージを送信するときに、特定の経路を通知しないようにしたり、特定の経路の属性を変更してから通知するには、neighbor route-mapコマンドを「out」方向で設定します。

たとえば、BGPピア10.10.10.3には、「172.16.0.0/16に包含されるプレフィックスへの経路」を通知せず、また、プレフィックス192.168.10.0/24への経路にはMULTI_EXIT_DISC（MED）属性値「300」、プレフィックス192.168.20.0/24への経路にはMED属性値「700」を設定してから通知するには、次のようにします。以下の例では、BGPピアの設定までは完了しているものと仮定しています。

宛先プレフィックス（アドレス部分）の先頭2オクテットが「172.16」で、プレフィックス長が16～32ビットの経路エントリーをpermitし、その他はdenyするIPプレフィックスリストnet172_16を作成します。これは、ルートマップのmatch節において、「172.16.0.0/16に包含されるプレフィックスへの経路」を識別するためのものです。
*Router(config)# ip prefix-list net172_16 permit 172.16.0.0/16 le 32 ↓
宛先プレフィックスが「192.168.10.0/24」と完全に一致する経路エントリーをpermitし、その他はdenyするIPプレフィックスリストprivC_10を作成します。これは、ルートマップのmatch節において、「プレフィックス192.168.10.0/24への経路」を識別するためのものです。
*Router(config)# ip prefix-list privC_10 permit 192.168.10.0/24 ↓
宛先プレフィックスが「192.168.20.0/24」と完全に一致する経路エントリーをpermitし、その他はdenyするIPプレフィックスリストprivC_20を作成します。これは、ルートマップのmatch節において、「プレフィックス192.168.20.0/24への経路」を識別するためのものです。
*Router(config)# ip prefix-list privC_20 permit 192.168.20.0/24 ↓

「172.16.0.0/16に包含されるプレフィックスへの経路」を破棄し、「プレフィックス192.168.10.0/24への経路」にMED値「300」を、「プレフィックス192.168.20.0/24への経路」にMED値「700」を設定し、その他の経路は変更せずに通知するルートマップrmap3_outを作成します。

*Router(config)# route-map rmap3_out deny 10 ↓ *Router(config-route-map)# match ip address prefix-list net172_16 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rmap3_out permit 20 ↓ *Router(config-route-map)# match ip address prefix-list privC_10 ↓ *Router(config-route-map)# set metric 300 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rmap3_out permit 30 ↓ *Router(config-route-map)# match ip address prefix-list privC_20 ↓ *Router(config-route-map)# set metric 700 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map rmap3_out permit 40 ↓ *Router(config-route-map)# exit ↓

BGPモードに移行して、BGPピア10.10.10.3に対する送信用のルートマップを設定します。このとき、ルートマップrmap3_outを指定します。
*Router(config)# router bgp 65010 ↓ *Router(config-router)# neighbor 10.10.10.3 route-map rmap3_out out ↓
clear ip bgpコマンドをsoft outオプション付きで実行し、ディストリビュートリスト適用後の経路情報をBGPピアに再送信します。
*Router(config-router)# end ↓ *Router# clear ip bgp 10.10.10.4 soft out ↓

再通知用ルートマップ（BGP）

再通知用ルートマップは、再通知のため非BGP経路をインポートするときに、特定の経路を除外したり、特定の経路の属性を変更した上でインポートしたりするための機能です。

再通知用ルートマップは、BGPモードのredistributeコマンドで再通知の設定を行うときに、route-mapパラメーターで指定します。

■ 非BGP経路のインポート時に、特定の経路をインポートしないよう設定したり、特定の経路の属性を変更した上でインポートするよう設定したりするには、redistributeコマンドのroute-mapパラメーターでルートマップを指定します。

たとえば、直結経路をBGPにインポートするとき、「10.0.0.0/8」に包含される経路エントリーを除外したいときは、次のようにします。

宛先プレフィックス（アドレス部分）の先頭オクテットが「10」で、プレフィックス長が8～32ビットの経路エントリーをpermitし、その他はdenyする標準IPアクセスリストnet10を作成します。これは、ルートマップのmatch節において、「10.0.0.0/8に包含されるプレフィックスへの経路」を識別するためのものです。
*Router(config)# access-list ip standard net10 ↓ *Router(config-acl-ip)# permit 10.0.0.0/8 ↓ *Router(config-acl-ip)# exit ↓

「10.0.0.0/8に包含されるプレフィックスへの経路」を破棄し、その他の経路は変更せずにインポートするルートマップdont_import_10を作成します。

*Router(config)# route-map dont_import_10 deny 10 ↓ *Router(config-route-map)# match ip address net10 ↓ *Router(config-route-map)# exit ↓ *Router(config)# route-map dont_import_10 permit 20 ↓ *Router(config-route-map)# exit ↓

BGPモードのredistributeコマンドで直結経路再通知の設定をするときに、route-mapパラメーターでルートマップ名を指定します。
*Router(config)# router bgp 65010 ↓ *Router(config-router)# redistribute connected route-map dont_import_10 ↓

RIPngにおける経路フィルタリング

ここでは、RIPngを使用してダイナミックルーティングを行う場合の経路フィルタリングの方法について解説します。考え方はIPv4のRIPと同じです。

ディストリビュートリスト（RIPng）

ディストリビュートリストは、RIPngパケットの受信時に特定の経路を受け入れないよう設定したり、RIPngパケットの送信時に特定の経路を通知しないよう設定したりするための機能です。

ディストリビュートリストは、RIPngモードのdistribute-listコマンドで設定します。経路エントリーの分類条件は、標準IPv6アクセスリストで定義します。

■ RIPngパケットの受信時に特定の経路を受け入れないようにするには、distribute-listコマンドを「in」方向で設定します。

たとえば、RIPngインターフェースgigabitEthernet 0において、2001:10cc:99db::/48に包含される経路エントリーを受け入れないようにするには、次のようにします。

宛先プレフィックスの先頭48ビットが「2001:10cc:99db」でプレフィックス長が48～128ビットの経路エントリーを破棄し、その他は許可する標準IPv6アクセスリストdist20_inを作成します。
*Router(config)# access-list ipv6 standard dist20_in ↓ *Router(config-acl-ipv6)# deny 2001:10cc:99db::/48 ↓ *Router(config-acl-ipv6)# permit any ↓ *Router(config-acl-ipv6)# exit ↓
RIPngモードに移行して、受信用のディストリビュートリストをgigabitEthernet 0に設定します。このとき、分類条件として標準IPv6アクセスリストdist20_inを指定します。
*Router(config)# router ipv6 rip ↓ *Router(config-router)# distribute-list dist20_in in gigabitEthernet 0 ↓

■ RIPngパケットの送信時に特定の経路を通知しないようにするには、distribute-listコマンドを「out」方向で設定します。

たとえば、RIPngインターフェースvlan 10において、3ffe:b80:3c::/48に包含される経路エントリーを通知しないようにするには、次のようにします。

宛先プレフィックスの先頭48ビットが「3ffe:b80:3c」でプレフィックス長が48～128ビットの経路エントリーを破棄し、その他は許可する標準IPv6アクセスリストdist10_outを作成します。
*Router(config)# access-list ipv6 standard dist10_out ↓ *Router(config-acl-ipv6)# deny 3ffe:b80:3c::/48 ↓ *Router(config-acl-ipv6)# permit any ↓ *Router(config-acl-ipv6)# exit ↓
RIPngモードに移行して、送信用のディストリビュートリストをvlan 10に設定します。このとき、分類条件として標準IPv6アクセスリストdist10_outを指定します。
*Router(config)# router ipv6 rip ↓ *Router(config-router)# distribute-list dist10_out out vlan 10 ↓

オフセットリスト（RIPng）

オフセットリストは、RIPngパケットの受信時に特定の経路のメトリック値を大きくしたり、RIPngパケットの送信時に特定の経路のメトリック値を大きくしたりするための機能です。

オフセットリストは、RIPngモードのoffset-listコマンドで設定します。経路エントリーの分類条件は、標準IPv6アクセスリストで定義します。

■ RIPngパケットの受信時に特定の経路のメトリックを大きくするには、offset-listコマンドを「in」方向で設定します。

たとえば、RIPngインターフェースgigabitEthernet 0で経路情報を受信するとき、経路エントリー「2001:10:10:10::/64」の場合だけメトリックを4加算した上でRIPng経路表に取り込むよう設定するには、次のようにします。

宛先プレフィックスが「2001:10:10:10::/64」に一致する経路エントリーをpermitし、その他はdenyする標準IPv6アクセスリスト「add4」を作成します。オフセットリストで使用するアクセスリストでは、メトリックを変更したい経路をpermit、変更したくない経路をdenyするよう設定します。
*Router(config)# access-list ipv6 standard add4 ↓ *Router(config-acl-ipv6)# permit 2001:10:10:10::/64 ↓ *Router(config-acl-ipv6)# exit ↓
RIPngモードに移行して、受信用のオフセットリストをgigabitEthernet 0に設定します。このとき、分類条件として標準IPv6アクセスリスト「add4」を指定します。メトリック加算値は「4」とします。
*Router(config)# router ipv6 rip ↓ *Router(config-router)# offset-list add4 in 4 gigabitEthernet 0 ↓

■ RIPngパケットの送信時に特定の経路のメトリックを大きくするには、offset-listコマンドを「out」方向で設定します。

たとえば、RIPngインターフェースvlan 10から経路情報を送信するとき、経路エントリー「2001:20:20:20::/64」の場合だけメトリックを5加算した上で通知するよう設定するには、次のようにします。

宛先プレフィックスが「2001:20:20:20::/64」に一致する経路エントリーをpermitし、その他はdenyする標準IPv6アクセスリスト「add5」を作成します。オフセットリストで使用するアクセスリストでは、メトリックを変更したい経路をpermit、変更したくない経路をdenyするよう設定します。
*Router(config)# access-list ipv6 standard add5 ↓ *Router(config-acl-ipv6)# permit 2001:20:20:20::/64 ↓ *Router(config-acl-ipv6)# exit ↓
RIPngモードに移行して、送信用のオフセットリストをvlan 10に設定します。このとき、分類条件として標準IPv6アクセスリスト「add5」を指定します。メトリック加算値は「5」とします。
*Router(config)# router ipv6 rip ↓ *Router(config-router)# offset-list add5 out 5 vlan 10 ↓

PN: 613-001491 Rev.E

名称	対象	機能	分類・識別方法
ディストリビュートリスト	RIP経路の送受信時	RIPパケットの受信時に特定の経路を受け入れないよう設定したり、RIPパケットの送信時に特定の経路を通知しないよう設定したりする	標準IPアクセスリスト
オフセットリスト	RIP経路の送受信時	RIPパケットの受信時に特定の経路のメトリック値を大きくしたり、RIPパケットの送信時に特定の経路のメトリック値を大きくしたりする	標準IPアクセスリスト

名称	対象	機能	分類・識別方法
エリアフィルターリスト	エリア間経路の送受信時	ABRにおいて、特定エリアに対して他エリアの経路情報（タイプ3LSA）を通知しないよう設定したり、特定エリアの経路情報（タイプ3LSA）を他のエリアに通知しないよう設定したりする	標準IPアクセスリストかIPプレフィックスリスト
ディストリビュートリスト	非OSPF経路の再通知時	ASBRにおいて、特定の非OSPF経路を再通知対象から除外する	標準IPアクセスリスト
再通知用ルートマップ	非OSPF経路のインポート時	ASBRにおいて、再通知のため非OSPF経路をインポートするときに、特定の経路を除外したり、特定の経路の属性を変更した上でインポートしたりする	ルートマップ