Cisco Guard コンフィギュレーション ガイド Software Version 6.1
宛先変更のトラブルシューティング
宛先変更のトラブルシューティング
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

宛先変更のトラブルシューティング

および宛先変更元ルータでの BGP セッションの設定

での BGP セッションの設定

宛先変更元ルータでの BGP セッションの設定

と宛先変更元ルータ間の BGP セッションの設定確認

ルーティング テーブルのレコードとアドバタイジングの確認

宛先変更元ルータのレコードの確認

宛先変更のトラブルシューティング

この付録では、Guard の宛先変更元ルータに関連するトラフィックの宛先変更問題を解決するためのトラブルシューティング手順を示します。

この章は、次の項で構成されています。

Guard および宛先変更元ルータでの BGP セッションの設定

Guard と宛先変更元ルータ間の BGP セッションの設定確認

宛先変更元ルータのレコードの確認

Guard および宛先変更元ルータでの BGP セッションの設定

この項では、Guard および宛先変更元の Cisco ルータでの Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)の設定方法について説明します。

この項では、次のトピックについて取り上げます。

Guard での BGP セッションの設定

宛先変更元ルータでの BGP セッションの設定

Guard での BGP セッションの設定

この項では、Guard での BGP の設定方法について説明します。

Zebra アプリケーションに切り替え、グローバル コマンド グループ レベルから次のコマンドを入力して、BGP を設定します。

admin@GUARD-conf# router
router> enable
router# config terminal
router(config)# router bgp 7000
router(config-router)# redistribute guard
router(config-router)# bgp router-id 192.168.3.12
router(config-router)# neighbor 192.168.3.1 remote-as 5000
router(config-router)# neighbor 192.168.3.1 description C2948
router(config-router)# neighbor 192.168.3.1 soft-reconfiguration inbound
router(config-router)# neighbor 192.168.3.1 route-map filter-out out
router(config-router)# exit
router(config)# route-map filter-out permit 10
router(config-route-map)# set community no-advertise no-export

宛先変更元ルータでの BGP セッションの設定

宛先変更元の Cisco ルータのプロンプト行から、次のコマンドを入力します。

router bgp 5000
bgp log-neighbor-changes
neighbor 192.168.3.12 remote-as 7000
neighbor 192.168.3.12 description "Guard"
neighbor 192.168.3.12 soft-reconfiguration inbound
neighbor 192.168.3.12 route-map Guard-in in
!
ip classless
ip route 192.168.4.0 255.255.255.0 192.168.3.2
ip bgp-community new-format
ip community-list 10 permit no-export no-advertise
route-map Guard-in permit 10
match community 10 exact-match
 

Guard と宛先変更元ルータ間の BGP セッションの設定確認

この手順では、Guard とその隣接ルータ(宛先変更元ルータ)の間で確立された BGP セッションのステータスを確認する方法について説明します。この手順では、Guard および宛先変更元ルータから show ip bgp summary コマンドを入力することで、要約レポートに問題を示すメッセージがないかどうかを調べ、BGP 接続が存続していることを確認できます。

Guard と宛先変更元ルータ間の BGP セッションのステータスを確認するには、次の手順を実行します。


ステップ 1 設定コマンド グループ レベルから次のコマンドを入力して、Zebra アプリケーションに切り替えます。

admin@GUARD-conf# router
 

システムが Zebra アプリケーションに入ります。システムが Zebra 非特権モードであることを示す router> プロンプトが表示されます。このモードで使用できるコマンドのリストを表示するには、Zebra アプリケーションの各コマンド レベルで疑問符(?)のキーを押してください。

ステップ 2 次のコマンドを入力して、BGP 要約レポートを表示します。

router> show ip bgp summary
 

次の例は、Guard からルータへのパスに問題がないことを示します。State/PfxRcd カラムに数値(0)が表示されている場合は、BGP セッションに問題がないことを示します。


) State/PfxRcd カラムに表示される数値以外の値(たとえば idle、active、connect)は、BGP セッションの問題を示します。


router> show ip bgp summary
BGP router identifier 192.168.3.12, local AS number 7000
0 BGP AS-PATH entries
0 BGP community entries

 

Neighbor
V
AS
MsgRcvd
MsgSent
TblVer
InQ
OutQ
Up/Down
State/PfxRcd

192.168.3.1

4

5000

9

12

0

0

0

00:05:32

0

Total number of neighbors 1
router>
 

ステップ 3 Cisco ルータから Guard へのパス上の BGP セッションを確認するには、宛先変更元の Cisco ルータのプロンプト行から、次のコマンドを入力します。

7513# show ip bgp summary
 

この例で、State/PfxRcd カラムに表示されているゼロ(Ø)および Active は、BGP セッションの問題を示します。


) State/PfxRcd カラムに表示されているゼロ(0)または Active 状態は、BGP セッションの問題を示します。ゼロ(0)状態は、Guard が BGP セッションを(トラフィックの注入ではなく)トラフィックのハイジャックにのみ使用している場合にだけ表示されます。


Guard の BGP ルータ IP アドレスと、ルータのエンドに示される IP アドレス(サンプル画面では 192.168.3.12)の間に相関関係がある必要があります。上記のサンプル画面を参照してください。

7513# show ip bgp summary
BGP router identifier 192.168.77.1, local AS number 5000
BGP table version is 81, main routing table version 81
5 network entries and 5 paths using 605 bytes of memory
2 BGP path attribute entries using 244 bytes of memory
1 BGP AS-PATH entries using 24 bytes of memory
1 BGP route-map cache entries using 16 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP activity 51/46 prefixes, 67/62 paths, scan interval 60 secs
 
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
192.168.3.3 4 6000 6030 5961 81 0 0 2d03h 0
192.168.3.12 4 7000 30030 30002 81 0 0 6d03h 1
192.168.3.21 4 8000 11829 11834 81 0 0 1w1d 0
192.168.3.88 4 9000 0 0 0 0 0 never Active
192.168.3.99 4 64555 0 0 0 0 0 never Active
... ... ...
 


 

Guard ルーティング テーブルのレコードとアドバタイジングの確認

この手順では、ゾーンの IP マスクが Guard のルーティング テーブルに正しく挿入されており、Guard が宛先変更元のルータにルートを正しくアドバタイズすることを確認する方法について説明します。

宛先変更元ルータへのルートを確認するには、次の手順を実行します。


ステップ 1 設定コマンド グループ レベルから次のコマンドを入力して、Zebra アプリケーションに切り替えます。

admin@GUARD-conf# router
 

システムが Zebra アプリケーションに入ります。システムが Zebra 非特権モードであることを示す router> プロンプトが表示されます。

ステップ 2 enable コマンドを入力して、特権モードに切り替えます。次のプロンプト行が表示されます。

router#
 

ステップ 3 次のコマンドを入力して、Guard のルーティング テーブルに IP マスク情報が挿入されていることを確認します。

router# show ip route
 

次の例は、Guard がゾーンの IP マスクが含まれる行(G> が付いている)を Zebra ルーティング テーブルに挿入したことを示しています。

router# show ip route
C>* 10.0.0.0/8 is directly connected, eth0
C>* 127.0.0.0/8 is directly connected, l0
C>* 192.168.3.0/24 is directly connected, giga1
C>* 192.168.3.13/32 is directly connected, giga1
C>* 192.168.3.14/32 is directly connected, giga1
G>* 192.168.4.2/32 is directly connected, l0
S>* 192.168.4.2/32 [1/0] via 192.168.3.2, giga1
router#

ステップ 4 Guard がこのルートを宛先変更元の Cisco ルータにアドバタイズしたことを確認するには、Guard のルータ設定レベルから次のコマンドを入力します。

router> show ip bgp neighbors 192.168.3.1 advertised-routes
 

次の例は、Guard がこのルート(*> で示されている)を隣接ルータにアドバタイズしたことを示しています。

router> show ip bgp neighbors 192.168.3.1 advertised-routes
BGP table version is 4, local router ID is 192.168.3.12
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
 
Network Next Hop Metric LocPrf Weight Path
*> 192.168.4.2/32 192.168.3.12 0 32768 ?
Total number of prefixes 1
router>
 


 

宛先変更元ルータのレコードの確認

宛先変更元ルータの次の情報を確認できます。

Guard がアドバタイズされたルートを宛先変更元ルータのルーティング テーブルに挿入したこと。

このルートが、長いプレフィックスと共に挿入されたこと。

このルートが BGP アップデートから受信されたこと。

宛先変更元ルータの情報を確認するには、宛先変更元の Cisco ルータのプロンプト行から次のように入力します。

7513(config)# show ip route
 

次の例は、Guard がこのルートを宛先変更元ルータのルーティング テーブルに挿入したことを示します。ルートには長いプレフィックス(.../32)が付いており、BGP アップデートから受信されました。

7513(config)# show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
 
Gateway of last resort is not set
 
192.168.4.0/24 is variably subnetted, 2 subnets, 2 masks
S 192.168.4.0/24 [1/0] via 192.168.3.2
B 192.168.4.2/32 [20/0] via 192.168.3.12, 00:00:00
C 10.0.0.0/8 is directly connected, FastEthernet0/1
C 192.168.1.0/24 is directly connected, FastEthernet5/0
... ... ...