- はじめに
- 製品概要
- CLI
- スイッチの初期設定
- スイッチの管理
- RPR および SSO を使用したスーパーバイザ エンジンの冗長 設定
- Cisco IOS XE インサービス ソフトウェア アップグレード プロセスの設定
- インターフェイスの設定
- ポートのステータスと接続の確認
- Cisco NSF/SSO スーパーバイザ エンジンの 冗長構成の設定
- 環境モニタリングおよび電源管理
- Power over Ethernet(PoE)の設定
- VLAN、VTP、および VMPS の設定
- IP アンナンバード インターフェイスの設定
- レイヤ 2 イーサネット インターフェイスの設 定
- SmartPort マクロの設定
- STP および MST の設定
- 任意の STP 機能の設定
- EtherChannel の設定
- CDP の設定
- IGMP スヌーピングとフィルタリングの設定
- IPv6 MLD スヌーピングの設定
- LLDP と LLDP-MED の設定
- UDLD の設定
- レイヤ 3 インターフェイスの設定
- CEF の設定
- ユニキャスト Reverse Path Forwarding の 設定
- IP マルチキャストの設定
- PBR の設定
- VRF-Lite の設定
- Flexible NetFlow の設定
- QoS の設定
- 音声インターフェイスの設定
- プライベート VLAN(PVLAN)の設定
- 802.1X ポートベース認証の設定
- Web ベース認証の設定
- ポート セキュリティの設定
- コントロール プレーン ポリシングの設定
- DHCP スヌーピング、IP ソース ガード、 およびスタティック ホストの IPSG の設定
- DAI の設定
- ACL によるネットワーク セキュリティの設定
- IPv6 のサポート
- ポート ユニキャストおよびマルチキャスト フラッディング ブロック
- ストーム制御の設定
- SPAN と RSPAN の設定
- システム メッセージ ロギングの設定
- SNMP の設定
- Cisco IOS IP SLA 動作の設定
- RMON の設定
- Call Home の設定
- 診断の実行
- ROM モニタ
- MIB サポートの設定
- 略語
- 索引
Catalyst 4500 シリーズ スイッチ Cisco IOS ソフトウェアコンフィギュレーションガイド リリース IOS-XE 3.1.0 SG
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月9日
章のタイトル: PBR の設定
PBR の設定
この章では、Catalyst 4500 シリーズ スイッチ上での Policy-Based Routing(PBR; ポリシーベース ルーティング)の設定作業について説明します。主な内容は次のとおりです。
(注) この章で使用するスイッチ コマンドの構文および使用方法の詳細については、次の URL で『Cisco Catalyst 4500 Series Switch Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps4324/index.html
Catalyst 4500 のコマンド リファレンスに掲載されていないコマンドについては、より詳細な Cisco IOS ライブラリを参照してください。次の URL で『Catalyst 4500 Series Switch Cisco IOS Command Reference』と関連資料を参照してください。
http://www.cisco.com/en/US/products/ps6350/index.html
(注) 機能に関するハードウェア プラットフォームまたはソフトウェア イメージの情報を確認するには、Cisco.com の Feature Navigator を使用してその機能に関する情報を検索するか、特定のリリースに対応するソフトウェア リリース ノートを参照してください。
PBR の概要
PBR は、トラフィック フローに関するポリシーを定義し、ルーティング プロトコルから派生したルートへの依存度を軽減することによって、パケット ルーティングを柔軟に行えるようにします。このため PBR は、ルーティング プロトコルが提供する既存のメカニズムを拡張、補完することでルーティングの制御を強化します。PBR を使用すれば、高コスト リンク上のプライオリティ トラフィックなど、特定のトラフィックのパスを指定することができます。
設定したポリシーに基づいてパケットをルーティングする方法として、PBR を設定できます。たとえば、特定のエンド システムの ID またはアプリケーション プロトコルに基づいてパスを許可または拒否するルーティング ポリシーを実装することができます。
•
特定のトラフィック処理が行われたパスへのパケットのルーティング
ポリシーは、IP アドレス、ポート番号、またはプロトコルをベースとします。単純なポリシーの場合はこれらの記述子のいずれかを使用し、複雑なポリシーの場合はこれらのすべてを使用します。
PBR について
PBR がイネーブルのインターフェイスで受信されたすべてのパケットは、ルート マップという拡張パケット フィルタを通過します。PBR で使用するルート マップはポリシーを要求し、パケットの転送先を判断します。
ルート マップは文で構成されています。ルート マップ文は permit または deny とマークでき、次の方法で解釈されます。
• 文が deny とマークされている場合、一致基準に合致したパケットは通常転送チャネルを通じて送り返され、宛先ベースのルーティングを実行します。
• 文が permit とマークされていてパケットがアクセス リストと一致している場合、最初の有効な set 句がそのパケットに適用されます。
これについては、「ルート マップについて」で詳しく説明します。
PBR を着信インターフェイス(パケットを受信するインターフェイス)に指定できますが、発信インターフェイスには指定できません。
ルート マップについて
PBR は、着信インターフェイス上でルート マップを適用することによって実装されます。インターフェイスごとに 1 つずつのルート マップを設定することができます。
ルート マップは、グローバル コンフィギュレーション パーサー モードで設定されます。その後で、1 つ以上のインターフェイスにこのルート マップを(インターフェイス コンフィギュレーション パーサー サブモードで)適用することができます。
ルート マップは、1 つ以上のルート マップ文で構成されます。文ごとに、シーケンス番号と permit 句または deny 句が付加されます。
各ルート マップ文には、match コマンドと set コマンドが含まれています。match コマンドは、パケット データに適用される一致基準を示します。set コマンドは、パケットに対して実行される PBR アクションを示します。
次に、rm-test という名前の 1 つのルート マップと 6 つのルート マップ文の例を示します。
PBR ルート マップ処理ロジック
パケットがルート マップで設定されたインターフェイスに到着すると、転送ロジックがシーケンス番号順にそれぞれのルート マップ文を処理します。
出現したルート マップ文が route-map...permit 文の場合:
• パケットが match コマンド内の基準と照合されます。このコマンドは、1 つ以上の permit 式または deny 式を含めることが可能な ACL を参照することができます。パケットが ACL 内の式と照合され、許可/拒否の決定が下されます。
• 下された決定が許可の場合は、PBR ロジックがパケット上の set コマンドで指定されたアクションを実行します。
• 下された決定が拒否の場合は、PBR アクション(set コマンドで指定された)が適用されません。代わりに、処理ロジックが、シーケンス内の次のルート マップ文(シーケンス番号が次に高い文)に移動します。次の文が存在しない場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
出現したルート マップ文が route-map... deny 文の場合:
• パケットが match コマンドで指定された基準と照合されます。このコマンドは、1 つ以上の permit 式または deny 式を含めることが可能な ACL を参照することができます。パケットが ACL 内の式と照合され、許可/拒否の決定が下されます。
• 基準の決定が許可の場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
• 基準の決定が拒否の場合は、PBR 処理ロジックがシーケンス内の次のルート マップ文(シーケンス番号が次に高い文)に移動します。次の文が存在しない場合は、PBR 処理が終了し、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
(注) set コマンドは、route-map... deny 文内部に影響しません。
PBR ルート マップ処理ロジックの例
次のように定義された rm-test という名前のルート マップを取り上げます。
• 宛先ポートが 101 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– シーケンス番号 21 の ACL 101 と一致します。
– PBR がネクストホップ 21.1.1.1 経由でスイッチされます。
(注) ACL 101 は、シーケンス番号 23 とも一致しますが、処理がその時点まで到達しません。
• 宛先ポートが 102 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– シーケンス番号 21 で、ACL 101 アクションがこのパケットを拒否します(理由は、すべての ACL に黙示的拒否が含まれているためです)。処理がシーケンス番号 22 に進みます。
– シーケンス番号 22 で、ACL 102 が TCP ポート 102 と一致しますが、ACL アクションは拒否です。処理がシーケンス番号 23 に進みます。
– シーケンス番号 23 で、ACL 2102 が TCP ポート 102 と一致しますが、ACL アクションは許可です。
– パケットが出力インターフェイス VLAN 23 にスイッチされます。
• 宛先ポートが 105 で 61.1.1.1 から 133.3.3.1 に転送される TCP パケット
– 処理が、シーケンス番号 21 からシーケンス番号 24 に移動します。これは、これらのシーケンス番号内の ACL にポート 105 に対する拒否アクションが含まれているためです。
– シーケンス番号 25 で、ACL 105 に TCP ポート 105 に対する許可アクションが含まれています。
– ルート マップの拒否が実行され、パケットがデフォルトの IP ルーティング テーブルを使用してルーティングされます。
Supervisor Engine 7-E 上の PBR の概要
Catalyst 4500 Supervisor Engine 7-E は、ルートマップの一致基準内の ACL で記述された一連のパケットと一致する TCAM 内のエントリをインストールすることによって、ルートマップ アクションとパケットを照合します。これらの TCAM エントリは、ハードウェアがそのアクションをサポートしない、またはハードウェアのリソースが消費されている場合に、必要な出力アクションを実行するか、または、パケットをソフトウェアに転送する隣接関係を示します。
ルート マップで set interface ... アクションが指定されている場合は、match 文と一致するパケットがソフトウェアでルーティングされます。同様に、ルート マップで set default interface ... アクションが指定されており、一致するパケットの IP ルートが存在しない場合は、パケットがソフトウェアでルーティングされます。
Catalyst 4500 Supervisor Engine 7-E は、set ip next-hop ... アクションと set ip default next-hop アクションに対してのみ、ハードウェア PBR スイッチングをサポートします。
PBR の使用
PBR で特定のパケットのルーティング パスを IP ルーティングによって選択されるデフォルト パスから変更することができます。たとえば、PBR は次のような機能を提供します。
アプリケーションまたはトラフィックによっては、送信元依存ルーティングが有効です。たとえば、在庫記録を本社に送信する場合は高帯域幅で高コストのリンクを短時間使用し、電子メールなどの日常的に使うアプリケーション データは低帯域幅で低コストのリンクで送信します。
(注) PBR の設定は、グローバル ルーティング テーブルに属しているインターフェイス上でのみ可能です。PBR は、VRF に属しているインターフェイス上ではサポートされません。
PBR の設定作業リスト
ここでは、PBR を設定するために実行する作業について説明します。最初に説明する作業は必須で、そのあとの作業は任意です。この章の最後にある 「PBR の設定例」 を参照してください。
• 「PBR のイネーブル化」 (必須)
• 「ローカル PBR のイネーブル化」 (任意)
PBR のイネーブル化
PBR をイネーブルにするには、一致基準とすべての match コマンドが一致した場合の動作を指定するルート マップを作成する必要があります。次に、そのルート マップを特定のインターフェイスに適用する必要があります。指定したインターフェイスに着信したパケットのうち、match コマンドと一致したものはすべて PBR の対象になります。
特定のインターフェイス上で PBR をイネーブルにするには、次の作業を行います。
|
|
|
|
|---|---|---|
Switch(config)# route-map map-tag [ permit | deny ] [ sequence-number ] |
パケットの送信先を制御するルート マップを定義します。このコマンドは、スイッチをルート マップ コンフィギュレーション モードにします。 |
|
Switch(config-route-map)# match ip address { access-list-number | name } [ ...access-list-number | name ] |
一致基準を指定します。一致基準は、1 つまたは複数の標準アクセス リストまたは拡張 IP アクセス リストの形式を取ります。アクセス リストでは、送信元 IP アドレスと宛先 IP アドレス、プロトコル タイプ、およびポート番号を指定することができます。標準アクセス リストと拡張 IP アクセス リストの詳細については、 第 40 章「ACL によるネットワーク セキュリティの設定」 を参照してください。 |
|
Switch(config-route-map)# set ip next-hop ip-address [... ip-address ] |
一致するパケットが送信されるネクストホップ IP アドレスを指定します。ここで指定したネクストホップ IP アドレスは、このスイッチに直接接続されたサブネットに属している必要があります。 複数のネクストホップ IP アドレスを指定した場合は、最初に使用可能なネクストホップが、一致するパケットのルーティングで選択されます。何らかの理由でネクストホップが使用できない(または使用できなくなった)場合は、リスト内で次のネクストホップが選択されます。 |
|
Switch(config-route-map)# set interface interface-type interface-number |
パケットが送信される出力インターフェイスを指定します。この動作は、パケットがローカル インターフェイスの外に転送されるように指定します。このインターフェイスはレイヤ 3 インターフェイス(スイッチポートではない)にする必要があります。 パケットは、次の条件のいずれかが満たされた場合にのみ、指定されたインターフェイスに転送されます。 • • パケット上の宛先 IP アドレスがこれらの条件のいずれも満たしていない場合は、パケットがドロップされます。このアクションは、一致するパケットをソフトウェアでスイッチするように強制します。 |
|
Switch(config-route-map)# set ip default next-hop ip-address [... ip-address ] |
パケット内の宛先 IP アドレスに関する明示ルートが存在しない場合にパケットをルーティングするネクストホップを設定します。ネクスト ホップにパケットを転送する前に、スイッチはパケットの宛先アドレスをユニキャスト ルーティング テーブル内で検索します。一致するものが見つかった場合、パケットはルーティング テーブルを経由して転送されます。一致するものが見つからなかった場合、パケットは指定されたネクスト ホップに転送されます。 |
|
Switch(config-route-map)# set default interface interface-type interface-number [... type ...number ] |
この宛先に関する明示ルートが存在しない場合にパケットが送信される出力インターフェイスを指定します。ネクスト ホップにパケットを転送する前に、スイッチはパケットの宛先アドレスをユニキャスト ルーティング テーブル内で検索します。一致するものが見つかった場合、パケットはルーティング テーブルを経由して転送されます。一致するものが見つからなかった場合、パケットは指定された出力インターフェイスに転送されます。 パケットは、次の条件のいずれかが満たされた場合にのみ、指定されたインターフェイスに転送されます。 • • パケット上の宛先 IP アドレスがこれらの条件のいずれも満たしていない場合は、パケットがドロップされます。このアクションは、一致するパケットをソフトウェアでスイッチするように強制します。 |
|
Switch(config-route-map)# interface interface-type interface-number |
||
PBR で使用するルート マップを識別します。1 つのインターフェイスに対して使用できるルート マップ タグは 1 つだけですが、異なるシーケンス番号を持つルート マップ エントリを複数設定できます。これらのエントリは、一致するものが見つかるまでシーケンス番号順に評価されます。一致するものがない場合、パケットは通常どおりルーティングされます。 |
||
set コマンドは、他のコマンドとともに使用できます。これらのコマンドは、上記のステップ 3 に示す順序に従って評価されます。使用可能なネクスト ホップはインターフェイスで暗黙指定されます。ローカル スイッチがネクストホップを発見して、それが使用可能なインターフェイスの場合は、そのスイッチがパケットをルーティングします。
ローカル PBR のイネーブル化
スイッチで生成されたパケットは、通常どおりにポリシー ルーティングされません。このようなパケットに対してローカル PBR をイネーブルにするために、次の作業を行って、スイッチで使用されるルート マップを指定します。
|
|
|
|---|---|
これで、スイッチから発信されるすべてのパケットがローカル PBR の対象となります。
ローカル PBR で使用するルート マップ(ある場合)を表示するには、 show ip local policy コマンドを使用します。
サポートされない機能
config-route-map モードの次の PBR コマンドは Command-Line Interface(CLI; コマンドライン インターフェイス)に含まれていますが、スイッチの Cisco IOS ではサポートされていません。これらのコマンドを使用しようとすると、エラー メッセージが表示されます。
PBR の設定例
• 「同等アクセス」
PBR の設定方法については、この章の「PBR の設定作業リスト」を参照してください。
同等アクセス
次に、2 つの送信元が、異なるサービス プロバイダーに対して同等アクセスを持つ例を示します。スイッチにパケットの宛先に関する明示ルートが設定されていない場合は、送信元 1.1.1.1 からインターフェイス fastethernet 3/1 に到着したパケットが 6.6.6.6 にあるスイッチに送信されます。スイッチにパケットの宛先に関する明示ルートが設定されていない場合は、送信元 2.2.2.2 から到着したパケットが 7.7.7.7 にあるスイッチに送信されます。スイッチに宛先に関する明示ルートが設定されていないその他のパケットはすべて廃棄されます。
(注) ドロップするパケットが最初の 2 つのルート マップ句と一致しない場合は、
set default interface null0 を set interface null0 に変更します。
ネクスト ホップの変更
次に、異なる送信元から異なる場所(ネクスト ホップ)へルーティングする例を示します。送信元 1.1.1.1 から着信したパケットは 3.3.3.3 にあるネクスト ホップに送信され、送信元 2.2.2.2 から着信したパケットは 3.3.3.5 にあるネクスト ホップへ送信されます。
ACE の拒否
次に、指定されたルート マップ シーケンスの処理を停止し、次のシーケンスに飛ぶ例を示します。送信元 1.1.1.1 から着信したパケットは、シーケンス 10 をスキップしてシーケンス 20 に飛びます。サブネット 1.1.1.0 から着信する他のすべてのパケットは、シーケンス 10 の set 文に従います。
フィードバック