[index] CentreCOM 8700SLシリーズコマンドリファレンス 2.9

IP/経路制御フィルター

  - IPルートフィルター
   - 基本
   - RIPに対する動作
   - OSPFに対する動作
  - Trusted Routerフィルター

経路情報フィルター機能について説明します。

本製品には、ダイナミックルーティング使用時に経路情報を制御する方法として、次の機能が用意されています。

表 1

機能概要

IPルートフィルター RIP、OSPFによって送受信される経路情報に制限をかける機能です。特定の経路情報を外部に通知しないようにしたり、外部から受信した特定の経路情報を破棄するよう設定したりできます。

Trusted Routerフィルター特定のルーターだけを「信頼できるRIPルーター」と見なし、他のルーターから受信したRIP情報は無効なものとして受け入れないよう設定する機能です。

IPルートフィルター

IPルートフィルターは、ダイナミックルーティングプロトコル（RIP/OSPF）による経路情報のやりとりに一定の制限をかける機能です。特定の経路情報を他のルーターに通知しないようにしたり、受信した経路情報から任意のエントリーを破棄したりすることができます。

基本

■ IPルートフィルターは、ADD IP ROUTE FILTERコマンドで作成します。RIPにおいて、特定の経路情報を拒否するには次のようにします。


ADD IP ROUTE FILTER=1 IP=200.200.*.* MASK=*.*.*.* ACTION=EXCLUDE PROTOCOL=RIP ↓

ADD IP ROUTE FILTER=2 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE PROTOCOL=RIP ↓

IPルートフィルターは複数のフィルターエントリー（1～100）で構成されるリストです。経路情報の交換時にはリストの先頭から順に各エントリーがチェックされ、最初にマッチしたエントリーのアクションが実行されます。

Note - 1つでもフィルターエントリーが設定されているときは、フィルターの末尾にすべてを拒否する暗黙のエントリーが存在します。そのため、一部の経路情報だけを制限したいとき（デフォルト許可の設定）は、リストの末尾に「すべてを許可する」エントリーを明示的に作成してください。また、フィルターエントリーを追加するときはエントリーの順序に気を付けてください。

■ ADD IP ROUTE FILTERコマンドのFILTERパラメーターにエントリー番号を指定しなかった場合は、作成順にエントリー番号が振られます。エントリー番号はSHOW IP ROUTE FILTERコマンドで確認できます。

■ FILTERパラメーターでエントリー番号を明示的に指定した場合、指定した番号のエントリーがすでに存在していたときは、指定エントリーの前に新規エントリーが挿入されます。

■ デフォルトでは経路情報の送受信両方にフィルターがかかります。送信時のみ、受信時のみを明示的に指定したいときは、DIRECTIONパラメーターにSEND（送信時）、RECEIVE（受信時）を指定します。「172.20.*.*」の経路を外部に通知しないようにするには次のようにします。


ADD IP ROUTE FILTER=1 IP=172.20.*.* MASK=*.*.*.* DIRECTION=SEND ACTION=EXCLUDE ↓

ADD IP ROUTE FILTER=2 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓

■ 特定のルーティングプロトコルだけを対象にしたいときは、PROTOCOLパラメーターにプロトコル名を指定します。RIP経由でのみ「10.*.*.*」の経路を受け取りたいときは次のようにします。


ADD IP ROUTE FILTER=1 IP=10.*.*.* MASK=*.*.*.* DIRECTION=RECEIVE PROTOCOL=RIP ACTION=INCLUDE ↓

ADD IP ROUTE FILTER=2 IP=10.*.*.* MASK=*.*.*.* DIRECTION=RECEIVE ACTION=EXCLUDE ↓

ADD IP ROUTE FILTER=3 IP=*.*.*.* MASK=*.*.*.* ACTION=INCLUDE ↓

Note - PROTOCOLパラメーターには、ANYを指定する（あるいはPROTOCOLパラメーター自体を省略する）のではなく、可能な限り対象プロトコルを明示してください。たとえば、ある経路をRIPとOSPFの両方で学習している場合、この経路を受け取らないようにするには、PROTOCOL=ALLのエントリーを1つ作るのではなく、PROTOCOL=RIPのエントリーとPROTOCOL=OSPFのエントリーを作成してください。

■ フィルターエントリーを修正するにはSET IP ROUTE FILTERコマンドを使います。エントリー番号は可変なので、必ずSHOW IP ROUTE FILTERコマンドで希望するエントリーの番号を確認してから指定してください。

SET IP ROUTE FILTER=1 IP=192.168.*.* MASK=*.*.*.* ACTION=EXCLUDE ↓

■ IPルートフィルターからエントリーを削除するにはDELETE IP ROUTE FILTERコマンドを使います。エントリー番号は可変なので、必ずSHOW IP ROUTE FILTERコマンドで希望するエントリーの番号を確認してから指定してください。削除したエントリーより後ろのエントリー（番号が大きいエントリー）は1つずつ番号が繰り上がります。

DELETE IP ROUTE FILTER=2 ↓

■ IPルートフィルターの内容を確認するには、SHOW IP ROUTE FILTERコマンドを使います。

RIPに対する動作

RIPに対するIPルートフィルターの動作について説明します。

RIPによる経路情報の交換に対するフィルターは、次のパラメーターを使って作成します。


ADD IP ROUTE FILTER[=entry-id] IP=ipadd MASK=ipadd ACTION={INCLUDE|EXCLUDE} PROTOCOL=RIP [DIRECTION={RECEIVE|SEND|BOTH}] [INTERFACE=vlan-if] [NEXTHOP=ipadd]

INTERFACEパラメーターには、RIPパケットを送受信するインターフェースを指定します。DIRECTION=SENDの場合、指定したインターフェースから送信されるRIPパケット内の経路情報だけがフィルターの対象になります。DIRECTION=RECEIVEの場合は、指定したインターフェースで受信したRIPパケット内の経路情報だけがフィルターの対象になります。
NEXTHOPは、DIRECTION=RECEIVEのときだけ有効なパラメーターです。受信したRIP経路のネクストホップが、本パラメーターの値と一致する場合にだけ条件にマッチします。RIP1のときは、RIPパケットの始点IPアドレスが本パラメーターと一致するときにマッチします。RIP2のときは、Next Hopフィールドの値が本パラメーターと一致するか、Next Hopフィールドが0.0.0.0（送信元ルーター自身を示す）で、なおかつ、RIPパケットの始点アドレスが本パラメーターと一致する場合にマッチします。DIRECTION=SENDの場合、本パラメーターは無視されます。

Note - RIPに対するIPルートフィルターをコマンドラインから作成または変更したときは、RESET IPコマンドでIPモジュールを初期化するか、RESTARTコマンドでシステムを再起動してください。

OSPFに対する動作

OSPFは、リンクステートアルゴリズムを使用するプロトコルのため、RIPとはIPルートフィルターの動作が異なります。

OSPFによる経路情報の交換に対するフィルターは、次のパラメーターを使って作成します。OSPFに対しては、INTERFACEパラメーターとNEXTHOPパラメーターが無視されることに注意してください。


ADD IP ROUTE FILTER[=entry-id] IP=ipadd MASK=ipadd ACTION={INCLUDE|EXCLUDE} PROTOCOL=OSPF [DIRECTION={RECEIVE|SEND|BOTH}]

OSPFに対するIPルートフィルターの動作の特長を次にまとめます。

DIRECTION=RECEIVEの設定を持つフィルターは、リンクステートデータベース（LSDB）からIPルーティングテーブルに経路情報をインポートするタイミングで適用されます。ACTION=EXCLUDEのエントリーにマッチした経路情報は、自身のルーティングテーブルには登録されませんが、LSDBには登録されます。そのため、EXCLUDEされた経路情報であっても、同一エリア内の他のルーターには通知されます。なお、ABR上においては、DIRECTION=RECEIVEでEXCLUDEされた経路情報は、自身のルーティングテーブルには登録されないため、結果として他のエリアには通知されません。
DIRECTION=SENDの設定を持つフィルターは、自身のIPルーティングテーブルからOSPFに経路情報をエクスポートするタイミングで適用されます。そのため、LSDB内の情報をもとに送信されるエリア内経路（Intra-area route）に対しては機能しません。DIRECTION=SENDのフィルターは、ABR上においてエリア間経路、エリア外経路に対してのみ機能します。また、ASBR上において、エリア外経路に対してのみ機能します。
INTERFACEパラメーターとNEXTHOPパラメーターは無視されます。
フィルター適用前にIPルーティングテーブルに登録された経路情報は、該当エリアの関連するLSAがタイムアウトするまで残り続けます。

Note - OSPFに対するIPルートフィルターをコマンドラインから作成または変更したときは、RESET OSPFコマンドでOSPFモジュールを初期化するか、RESET IPコマンドでIPモジュールを初期化するか、RESTARTコマンドでシステムを再起動してください。

Trusted Routerフィルター

Trusted Routerフィルターは、指定されたRIPルーターだけを「信頼できるルーター」と見なし、その他のルーターから受け取ったRIPブロードキャストの情報は受け入れないようにする機能です。

■ Trusted Routerを登録するには、ADD IP TRUSTEDコマンドを使います。

ADD IP TRUSTED=172.30.100.1 ↓

Note - Trusted Routerが1つでも登録されている場合、登録されていないルーターからのRIP情報は無効なものとして受け入れなくなります。1つも登録されていないときは、すべてのRIP情報を受け入れます。

■ Trusted Routerの一覧はSHOW IP TRUSTEDコマンドで確認できます。

■ Trusted Routerを削除するにはDELETE IP TRUSTEDコマンドを使います。

PN: J613-M0019-01 Rev.Q

機能	概要
IPルートフィルター	RIP、OSPFによって送受信される経路情報に制限をかける機能です。特定の経路情報を外部に通知しないようにしたり、外部から受信した特定の経路情報を破棄するよう設定したりできます。
Trusted Routerフィルター	特定のルーターだけを「信頼できるRIPルーター」と見なし、他のルーターから受信したRIP情報は無効なものとして受け入れないよう設定する機能です。