ポリシー ベース ルーティング。 Cisco NX

ポリシーベースルーティングの設定例

ポリシー ベース ルーティング

BGPにおける最適パスの選択は,「ポリシーベースルーティング」と呼ばれます。 IGPの「メトリック」を使った経路選択とは違うしくみを使います。 今回はBGPの「ポリシーベースルーティング」について学びましょう。 BGPが使うポリシーベースルーティング 通常,IGPのメトリックによる最適パス選択はメトリックがもっとも小さいパスが選択されます。 IGPのメトリックは便利なしくみですが,異なるASで使うとなると,異なる管理者が別々にメトリックの設定(帯域や遅延など)を設定していると,統一したルールでルーティングができません。 このようなIGPのメトリックでパス選択を行う方式を「あて先ベースルーティング(DBR:Destination-Based Routing)と呼びます。 一方,BGPは複数の属性を使って最適パスを選択します。 この属性を「パスアトリビュート」と呼びます。 パス方法は,AS間で異なる管理者による設定にも対応しており,柔軟にパスを選択できます。 このようなアトリビュートを使ったルーティングは「ポリシーベースルーティング(PBR:Policy-Based Routing)」と呼びます。 BGPが使うパスアトリビュートは,経路情報を通知するUPDATEメッセージで,あて先ネットワークアドレスとともにBGPピアに転送されます。 ただし,UPDATEメッセージに必ず含まれるアトリビュートと,そうでないアトリビュートがあります。 これは,アトリビュートの特性によって異なります。 特性 意味 Well-Known Mandatory すべてのUPDATEに含まれ,BGPスピーカはサポートしていなければならない Well-Known Discretionary UPDATEに含まれなくてもよいが,BGPスピーカはサポートしていなければならない Optional Transitive サポートしていなくてもよいが,他BGPスピーカには伝えなければならない Optional Nontransitive サポートしていなくてもよいし,他BGPスピーカに伝える必要もない つまり,必ず通知しなければならないWell-Known Mandatory特性のアトリビュートと,通知してもしなくてもよいWell-Known Discretionary特性のアトリビュートは,ルーターは必ず利用できなければなりません。 そのほかの二つのOptional特性のアトリビュートは,ルーターが使えなくてもよいアトリビュートで,べンダー独自のアトリビュートとして使われています。 Ciscoルータは,次の11個のパスアトリビュートを使うことができます。 三つあるWell-known Mandatoryアトリビュート タイプコード1~3のアトリビュートは,BGPスピーカが送信するすべてのUPDATEに含められます。 iBGP,eBGP関係なくUPDATEに含められてアドバタイズされます。 Originは,ルートを最初に通知したBGPスピーカの種類を示します。 これには3種類あり,以下の表の優先度の値の小さいものが優先されます。 iBGPはAS内のルートを通知する場合と,eBGPからの通知の場合で動作が異なります。 また,eBGPではネットワークの形態によって値が異なります( 図2)。 基本的にはCiscoルータで使われます。 MEDは,Ciscoルータでは「メトリック」として表現されています。 つまり,IGPのメトリックと似た概念のもので,低い方の値が優先されます。 ただし,MEDは直接接続されているAS間だけでやりとりされ,それ以外のASへは伝わりません( 図3)。 MEDは他ASに対し,「使ってほしいパス」を設定したいときに使われます。 サポートはされていなければいけませんが,UPDATEに必ず含める必要はありません。 これは,AS内でのiBGPでのみ使われるアトリビュートです。 eBGPで通知する際は含まれません。 BGPでは,これらのアトリビュートを使ってベストパスを選択することになります。

次の

ポリシールーティング

ポリシー ベース ルーティング

ポリシーベースルーティングの機能説明 ポリシーベースルーティングは、 ルートマップで定義した ポリシー(パケットの一致条件と処理内容)に基づいて経路を決定する機能です。 ポリシーベースルーティングを使用しない通常のルーティングでは、ルーティングテーブルに従ってパケットが送信されますが、ポリシーを定義したルートマップを適用することで、ポリシーに従ってパケットを送信できます。 以下の例では、「送信元ネットワークアドレスが192. 168. そのため、同じネットワークアドレス(192. 168. 168. 10のパケットはルーティングテーブルに従ってルーター1宛てにルーティングされ、送信元アドレスが192. 168. 10のパケットはポリシーに従ってルーター2宛てにルーティングされます。 注 意 NP7000のポリシーベースルーティングの match ip addressコマンドで指定するIPアクセスリストは、通常の場合とは異なり、1ルールにつき連続した2グループで1リソースずつ使用します。 ポリシーの定義 ポリシーはルートマップで定義します。 ポリシーベースルーティングの場合は、permitパラメーターでルートマップを定義します。 matchコマンドは、標準アクセスリストを使用してポリシーベースルーティングを実行する条件(送信元IPアドレスまたは宛先IPアドレス)を定義します。 IPv4の場合は、 match ip addressコマンドで標準IPアクセスリストを指定して設定します。 IPv6の場合は、 match ipv6 addressコマンドで標準IPv6アクセスリストを指定して設定します。 setコマンドは、条件と一致した場合に実行するアクションを定義します。 アクションとして、以下を指定できます。

次の

Cisco ポリシーベースルーティング

ポリシー ベース ルーティング

ここについては前回の亜美さんの記事でも書いている内容ですので、 省略しちゃいます。 決して手抜きでは無いです。 図のVLAN300を各機器に設定していきます。 最後のルーティングの部分だけ設定を説明したいと思います。 本当は画面を貼りたいところなのですが、社内の機器のポリシーを貼るのははばかられるので、 文字で失礼します。 設定するのは以下のイメージ ・社内用 incomingインターフェース:internal outgoingインターフェース:wan1 サービス:HTTP、HTTPS アクション:NAT有効 ・お客様用 incomingインターフェース:VLAN200 outgoingインターフェース:wan1 サービス:HTTP、HTTPS アクション:NAT有効 ・別プロバイダ用 incomingインターフェース:VLAN300 outgoingインターフェース:wan2 サービス:HTTP、HTTPS アクション:NAT有効 上記の感じでポリシーを設定しておけば、 それに従ってルーティングをいい感じにやってくれるのでは!?という期待を持って設定してみます。 結果は、、、すべての通信がwan1を使おうとしているようで上手く動作しませんでした。。。 上記の結果になることは若干予想してまして、 宛先だけではルーティングを書くことが出来ないので(両方宛先がインターネットになるので)、 ソースを元に振り分けをする必要があるかなと。 Fortigateのポリシーに設定すれば、いい感じにやってれると思ったのですが、 そんなことは無いことがわかったので、対応方法を考えます。 マニュアルをちら見すると「ポリシールート」という項目があり、 設定内容を見るとIncoming(ルートポリシーの対象となるパケットを受信するインタフェース) とありました。

次の