- はじめに
- 製品概要
- コマンドライン インターフェイス
- スイッチの初期設定
- スイッチの管理
- Virtual Switching System の設定
- Cisco IOS インサービス ソフトウェア アップグレード プロセスの設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Supervisor Engine 6-E および Supervisor Engine 6L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Supervisor Engine 7-E および Supervisor Engine 7L-E で RPR および SSO を使用したスーパーバイザ エンジンの冗長構成の設定
- Cisco NSF/SSO スーパーバイザ エンジンの冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- Cisco Network Assistant による Catalyst 4500 シリーズ スイッチの設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設定
- SmartPort マクロの設定
- Cisco IOS Auto SmartPort マクロの設定
- STP および MST の設定
- Flex Link および MAC アドレス テーブル移動更新機能の設定
- Resilient Ethernet Protocol の設定
- オプションの STP 機能の設定
- EtherChannel およびリンク ステート トラッキングの設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- 802.1Q トンネリング、VLAN マッピング、およびレイヤ 2 プロトコル トンネリングの設定
- CDP の設定
- LLDP、LLDP-MED、およびロケーション サービスの設定
- UDLD の設定
- 単一方向イーサネットの設定
- レイヤ 3 インターフェイスの設定
- シスコ エクスプレス フォワーディングの設定
- uRPF の設定
- IP マルチキャストの設定
- ANCP クライアントの設定
- 双方向フォワーディング検出の設定
- ポリシーベース ルーティングの設定
- VRF-Lite の設定
- Quality of Service の設定
- 音声インターフェイスの設定
- プライベート VLAN の設定
- MACsec の暗号化設定
- 802.1X ポートベース認証の設定
- PPPoE 中継エージェントの設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングおよびレイヤ 2 制御パケット QoS の設定
- ダイナミック ARP インスペクションの設定
- DHCP スヌーピング、IP ソース ガード、およびスタティック ホストの IPSG の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN および RSPAN の設定
- Wireshark の設定
- 拡張オブジェクト トラッキングの設定
- システム メッセージ ロギングの設定
- SNMP の設定
- NetFlow の設定
- NetFlow-lite の設定
- Flexible NetFlow の設定
- イーサネット OAM と CFM の設定
- Y.1731 の設定(AIS および RDI)
- Call Home の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- 診断の実行
- WCCP バージョン 2 サービスの設定
- MIB サポートの設定
- ROM モニタ
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェア コンフィギュレーション ガイド リリース IOS XE 3.4.0SG および IOS 15.1(2)SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月8日
章のタイトル: ポリシーベース ルーティングの設定
ポリシーベース ルーティングの設定
この章では、Catalyst 4500 シリーズ スイッチ上でのポリシーベース ルーティング(PBR)の設定作業について説明します。主な内容は次のとおりです。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products//hw/switches/ps4324/index.html
『Catalyst 4500 Series Switch Command Reference』に掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
(注) 機能に関連するハードウェア プラットフォームまたはソフトウェア イメージ情報を確認するには、Cisco.com にある Feature Navigator を使用して機能に関する情報を検索するか、または特定のリリースのソフトウェア リリースノートを参照してください。
ポリシーベース ルーティングについて
PBR は、トラフィック フローに関するポリシーを定義し、ルーティング プロトコルから派生したルートへの依存度を軽減することによって、パケット ルーティングを柔軟に行えるようにします。PBR は、ルーティング プロトコルで提供される既存のメカニズムを拡張および補完することにより、ルーティングの制御を強化します。PBR を使用すれば、高コスト リンク上のプライオリティ トラフィックなど、特定のトラフィックのパスを指定することができます。
設定したポリシーに基づいてパケットをルーティングする方法として、PBR を設定できます。たとえば、特定のエンド システムの ID またはアプリケーション プロトコルに基づいてパスを許可または拒否するルーティング ポリシーを実装することができます。
•
拡張アクセス リスト基準に基づいたトラフィックの分類。リストにアクセスし、一致基準を設定します。
• 特定のトラフィック処理が行われたパスへのパケットのルーティング。
ポリシーは、IP アドレス、ポート番号、またはプロトコルをベースとします。単純なポリシーの場合はこれらの記述子のいずれかを使用し、複雑なポリシーの場合はこれらのすべてを使用します。
PBR について
PBR がイネーブルのインターフェイスで受信されたすべてのパケットは、ルート マップという拡張パケット フィルタを通過します。PBR で使用するルート マップはポリシーを要求し、パケットの転送先を判断します。
ルート マップは、許可または拒否としてマークできる文で構成されます。これは、次の方法で解釈されます。
• 文が deny とマークされている場合、一致基準に合致したパケットは通常転送チャネルを使用して送り返され、宛先ベースのルーティングを実行します。
• 文が permit とマークされていてパケットがアクセス リストと一致している場合、最初の有効な set 句がそのパケットに適用されます。
これについては、「ルート マップについて」で詳しく説明します。
PBR を着信インターフェイス(パケットを受信するインターフェイス)に指定できますが、発信インターフェイスには指定できません。
ルート マップについて
PBR は、着信インターフェイス上でルート マップを適用することによって実装されます。インターフェイスごとに 1 つずつのルート マップを設定することができます。
ルート マップは、グローバル コンフィギュレーション パーサー モードで設定されます。その後で、1 つ以上のインターフェイスにこのルート マップを(インターフェイス コンフィギュレーション パーサー サブモードで)適用することができます。
ルート マップは、1 つ以上のルート マップ文で構成されます。文ごとに、シーケンス番号と permit 句または deny 句が付加されます。
各ルート マップ文には、match コマンドと set コマンドが含まれています。match コマンドは、パケット データに適用される一致基準を示します。set コマンドは、パケットに対して実行される PBR アクションを示します。
次に、rm-test という名前の 1 つのルート マップと 6 つのルート マップ文の例を示します。
PBR ルート マップ処理ロジック
パケットがルート マップで設定されたインターフェイスに到着すると、転送ロジックがシーケンス番号順にそれぞれのルート マップ文を処理します。
出現したルート マップ文が route-map... permit 文の場合:
• パケットが match コマンド内の基準と照合されます。このコマンドは、1 つ以上の permit 式または deny 式を含めることが可能な ACL を参照することができます。パケットが ACL 内の式と照合され、許可/拒否の決定が下されます。
• 下された決定が許可の場合は、PBR ロジックがパケット上の set コマンドで指定されたアクションを実行します。
• 下された決定が拒否の場合は、PBR アクション(set コマンドで指定された)が適用されません。代わりに、処理ロジックが、シーケンス内の次のルート マップ文(シーケンス番号が次に高い文)に移動します。次の文が存在しない場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
出現したルート マップ文が route-map... deny 文の場合:
• パケットが match コマンドで指定された基準と照合されます。このコマンドは、1 つ以上の permit 式または deny 式を含めることが可能な ACL を参照することができます。パケットが ACL 内の式と照合され、許可/拒否の決定が下されます。
• 基準の決定が許可の場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
• 基準の決定が拒否の場合は、PBR 処理ロジックがシーケンス内の次のルート マップ文(シーケンス番号が次に高い文)に移動します。次の文が存在しない場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
(注) set コマンドは、route-map... deny 文内部に影響しません。
ルート マップ文は次のプライオリティで適用される複数の set コマンドを持つことができます。
set ip next-hop と set ip next-hop recursive コマンドの両方が同じルート マップ文に存在する場合は、next-hop set コマンドが適用されます。
set ip next-hop コマンドを使用できない場合は、set ip next-hop recursive コマンドが適用されます。
set ip recursive-next-hop と set interface コマンドがない場合、パケットはドロップされなければデフォルトのルーティング テーブルを使用してルーティングされます。パケットがドロップされる必要がある場合は、set interface null0 configuration コマンドが後に続く set next-hop recursive コマンドを使用します。
再帰ネクストホップによるロード バランシング
サブネットへの複数の等コスト ルートが set ip next-hop recursive コマンドによって設定されている場合は、ロード バランシングはルートへのすべての隣接関係が解決された場合にだけ行われます。いずれかの隣接関係が解決されていなければ、ロード バランシングは行われず、隣接関係が解決されたルートのうち 1 つだけが使用されます。隣接関係がいずれも解決しない場合は、パケットはソフトウェアで処理され、少なくとも 1 つの隣接関係がハードウェアで解決およびプログラムされます。PBR は、ルーティング プロトコルまたはその他の手段に依存して、すべての隣接関係を解決し、ロード バランシングを行わせます。
PBR ルート マップ処理ロジックの例
次のように定義された rm-test という名前のルート マップを取り上げます。
• 宛先ポートが 101 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– シーケンス番号 21 の ACL 101 と一致します。
– PBR がネクストホップ 21.1.1.1 経由でスイッチされます。
(注) ACL 101 は、シーケンス番号 23 とも一致しますが、処理がその時点まで到達しません。
• 宛先ポートが 102 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– シーケンス番号 21 で、ACL 101 アクションがこのパケットを拒否します(理由は、すべての ACL に黙示的拒否が含まれているためです)。処理がシーケンス番号 22 に進みます。
– シーケンス番号 22 で、ACL 102 が TCP ポート 102 と一致しますが、ACL アクションは拒否です。処理がシーケンス番号 23 に進みます。
– シーケンス番号 23 で、ACL 2102 が TCP ポート 102 と一致しますが、ACL アクションは許可です。
– パケットが出力インターフェイス VLAN 23 にスイッチされます。
• 宛先ポートが 105 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– 処理が、シーケンス番号 21 からシーケンス番号 24 に移動します。これは、これらのシーケンス番号内の ACL にポート 105 に対する拒否アクションが含まれているためです。
– シーケンス番号 25 で、ACL 105 に TCP ポート 105 に対する許可アクションが含まれています。
– ルート マップの拒否が実行され、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
Catalyst 4500 シリーズ スイッチは、ルート マップの一致基準内の ACL で記述された一連のパケットと一致する TCAM 内のエントリをインストールすることによって、ルート マップ アクションとパケットを照合します。これらの TCAM エントリは、ハードウェアがそのアクションをサポートしない、またはハードウェアのリソースが消費されている場合に、必要な出力アクションを実行するか、または、パケットをソフトウェアに転送する隣接関係を示します。
ルート マップで set interface ... アクションが指定されている場合は、match 文と一致するパケットがソフトウェアでルーティングされます。同様に、ルート マップで set default interface ... アクションが指定されており、一致するパケットの IP ルートが存在しない場合は、パケットがソフトウェアでルーティングされます。
(注) TCAM サイズとハードウェアにプログラミングする前に ACL をフラットにするために CPU に必要な時間とでハードウェア ベース PBR のスケールは決定されます。後者は PBR ポリシーに相当数のクラス マップが必要な場合に著しく増加します。たとえば、1,200 のクラス マップの PBR ポリシーにはハードウェアにプログラミングする前に「フラット化」の時間が 60 ~ 90 分必要になることがあります。このプロセスは、隣接関係の変更で PBR の再プログラミングが必要な場合に繰り返すことがあります。
PBR の使用
PBR で特定のパケットのルーティング パスを IP ルーティングによって選択されるデフォルト パスから変更することができます。たとえば、次の機能を提供するために、PBR を使用できます。
アプリケーションまたはトラフィックによっては、送信元依存ルーティングが有効です。たとえば、在庫記録を本社に送信する場合は高帯域幅で高コストのリンクを短時間使用し、電子メールなどの日常的に使うアプリケーション データは低帯域幅で低コストのリンクで送信します。
(注) PBR の設定は、グローバル ルーティング テーブルに属しているインターフェイス上でのみ可能です。PBR は、VRF に属しているインターフェイス上ではサポートされません。
ポリシーベース ルーティング(PBR)の設定作業
ここでは、PBR を設定するために実行する作業について説明します。最初の項の作業は必須ですが、残りの項の作業は任意です。設定例については、「PBR の設定例」を参照してください。
• 「PBR のイネーブル化」(必須)
• 「ローカル PBR のイネーブル化」(任意)
PBR のイネーブル化
PBR をイネーブルにするには、一致基準およびすべての match 句と一致した場合の動作を指定するルート マップを作成する必要があります。次に、そのルート マップを特定のインターフェイスに適用する必要があります。指定したインターフェイスに着信したパケットのうち、match 句と一致したものはすべて PBR の対象になります。
特定のインターフェイス上で PBR をイネーブルにするには、次の作業を行います。
|
|
|
|
|---|---|---|
Switch(config)# route-map map-tag [ permit | deny ] [ sequence-number ] |
パケットの送信先を制御するルート マップを定義します。このコマンドは、スイッチをルート マップ コンフィギュレーション モードにします。 |
|
Switch(config-route-map)# match ip address { access-list-number | name } [ ...access-list-number | name ] |
一致基準を指定します。一致基準は、1 つまたは複数の標準アクセス リストまたは拡張 IP アクセス リストの形式を取ります。アクセス リストでは、送信元 IP アドレスと宛先 IP アドレス、プロトコル タイプ、およびポート番号を指定することができます。標準アクセス リストと拡張 IP アクセス リストの詳細については、「ACL によるネットワーク セキュリティの設定」を参照してください。 |
|
Switch(config-route-map)# set ip next-hop ip-address [... ip-address ] |
一致するパケットが送信されるネクストホップ IP アドレスを指定します。ここで指定したネクストホップ IP アドレスは、このスイッチに直接接続されたサブネットに属している必要があります。 複数のネクストホップ IP アドレスを指定した場合は、最初に使用可能なネクストホップが、一致するパケットのルーティングで選択されます。何らかの理由でネクストホップが使用できない(または使用できなくなった)場合は、リスト内で次のネクストホップが選択されます。 |
|
Switch(config-route-map)# set ip next-hop recursive ip-address |
(注) 再帰ネクスト ホップは直接接続されていないサブネットにできます。 set ip next-hop recursive コマンドは、ルートが再帰ネクストホップを通過しないような、宛先へのより短いルートを持つ中間ノードが存在する場合、パケットが再帰ネクストホップによってルーティングされることを保証しません。 |
|
Switch(config-route-map)# set interface interface-type interface-number |
パケットが送信される出力インターフェイスを指定します。この動作は、パケットがローカル インターフェイスの外に転送されるように指定します。このインターフェイスはレイヤ 3 インターフェイス(スイッチポートではない)にする必要があります。 パケットは、次の条件のいずれかが満たされた場合にのみ、指定されたインターフェイスに転送されます。 • • パケット上の宛先 IP アドレスがこれらの条件のいずれも満たしていない場合は、パケットがドロップされます。このアクションは、一致するパケットをソフトウェアでスイッチするように強制します。 |
|
Switch(config-route-map)# set ip default next-hop ip-address [... ip-address ] |
パケット内の宛先 IP アドレスに関する明示ルートが存在しない場合にパケットをルーティングするネクスト ホップを設定します。ネクスト ホップにパケットを転送する前に、スイッチはパケットの宛先アドレスをユニキャスト ルーティング テーブル内で検索します。一致するものが見つかった場合、パケットはルーティング テーブルを経由して転送されます。一致するものが見つからなかった場合、パケットは指定されたネクスト ホップに転送されます。 |
|
Switch(config-route-map)# set default interface interface-type interface-number [... type ...number ] |
この宛先に関する明示ルートが存在しない場合にパケットが送信される出力インターフェイスを指定します。ネクスト ホップにパケットを転送する前に、スイッチはパケットの宛先アドレスをユニキャスト ルーティング テーブル内で検索します。一致するものが見つかった場合、パケットはルーティング テーブルを使用して転送されます。一致するものが見つからなかった場合、パケットは指定された出力インターフェイスに転送されます。 パケットは、次の条件のいずれかが満たされた場合にのみ、指定されたインターフェイスに転送されます。 • • パケット上の宛先 IP アドレスがこれらの条件のいずれも満たしていない場合は、パケットがドロップされます。このアクションは、一致するパケットをソフトウェアでスイッチするように強制します。 |
|
Switch(config-route-map)# interface interface-type interface-number |
||
PBR で使用するルート マップを識別します。1 つのインターフェイスに対して使用できるルート マップ タグは 1 つだけですが、異なるシーケンス番号を持つルート マップ エントリを複数設定できます。これらのエントリは、最初の一致が見つかるまで、シーケンス番号順に評価されます。一致する項目がない場合、パケットは通常どおりにルーティングされます。 |
set コマンドを相互に使用します。これらのコマンドは、上記のステップ 3 に示す順序に従って評価されます。使用可能なネクスト ホップはインターフェイスで暗黙指定されます。ローカル スイッチがネクスト ホップを発見して、それが使用可能なインターフェイスの場合は、そのスイッチがパケットをルーティングします。
既存のルート マップを表示するには、show route-map map-tag コマンドを使用します。
(注) show route-map map-tag コマンドの出力のパケット カウンタおよびバイト カウンタは更新されません。
ローカル PBR のイネーブル化
スイッチで生成されたパケットは、通常どおりにポリシー ルーティングされません。このようなパケットに対してローカル PBR をイネーブルにするために、次のコマンドを入力して、スイッチで使用されるルート マップを指定します。
|
|
|
|---|---|
これで、スイッチから発信されるすべてのパケットがローカル PBR の対象となります。
ローカル PBR で使用するルート マップ(ある場合)を表示するには、 show ip local policy コマンドを使用します。
サポートされていないコマンド
ルートマップ コンフィギュレーション モードの次の PBR コマンドは CLI のものですが、Catalyst 4500 シリーズ スイッチの Cisco IOS ではサポートされていません。これらのコマンドを使用しようとすると、エラー メッセージが表示されます。
PBR の設定例
• 「同等アクセス」
PBR の設定方法については、この章の「ポリシーベース ルーティング(PBR)の設定作業」を参照してください。
同等アクセス
次に、2 つの送信元が、異なるサービス プロバイダーに対して同等アクセスを持つ例を示します。スイッチにパケットの宛先に関する明示ルートが設定されていない場合は、送信元 1.1.1.1 からインターフェイス fastethernet 3/1 に到着したパケットが 6.6.6.6 にあるスイッチに送信されます。スイッチにパケットの宛先に関する明示ルートが設定されていない場合は、送信元 2.2.2.2 から到着したパケットが 7.7.7.7 にあるスイッチに送信されます。スイッチに宛先に関する明示ルートが設定されていないその他のパケットはすべて廃棄されます。
(注) ドロップするパケットが最初の 2 つのルート マップ句のいずれとも一致しない場合は、
set default interface null0 を set interface null0 に変更します。
ネクスト ホップの変更
次に、異なる送信元から異なる場所(ネクスト ホップ)へルーティングする例を示します。送信元 1.1.1.1 から着信したパケットは 3.3.3.3 にあるネクスト ホップに送信され、送信元 2.2.2.2 から着信したパケットは 3.3.3.5 にあるネクスト ホップへ送信されます。
ACE の拒否
次に、指定されたルート マップ シーケンスの処理を停止し、次のシーケンスに飛ぶ例を示します。送信元 1.1.1.1 から着信したパケットは、シーケンス 10 をスキップしてシーケンス 20 に飛びます。サブネット 1.1.1.0 から着信する他のすべてのパケットは、シーケンス 10 の set 文に従います。
フィードバック