PBR の制約事項
PFC および DFC では、次がハードウェアでサポートされます。
• 次の IPv4 PBR コマンド:
– match ip address
– match length
– set ip next-hop (2,000 インスタンス)
– set ip default next-hop
– set interface null0
– set default interface null0
– set ip vrf
– set ip default vrf
• RP のアドレスが PBR ACL の範囲内にある場合、RP にアドレス指定されたトラフィックは RP に転送されずに、ハードウェアでポリシー ルーティングされます。RP にアドレス指定されたトラフィックのポリシー ルーティングを防止するには、RP にアドレス指定されたトラフィックを拒否するように PBR ACL を設定します。
• ローカル PBR。
• ロード バランシングによる IPv4 PBR 再帰ネクスト ホップ。
• IPv6 PBR はソフトウェアでサポートされます。
• IPv6 PBR 再帰ネクスト ホップはサポートされません。
PBR について
• 「PBR の概要」
• 「IPv4 トラフィックの PBR 再帰ネクスト ホップ」
PBR の概要
PBR は、ルーティング プロトコルの代替手段であり、ユニキャスト トラフィック フローのポリシーを設定できます。これによって、ルーティングに対して、ルーティング プロトコルよりも強化した制御を実施し、インターフェイス レベルのトラフィック分類設定の必要を避けられます。PBR は、ルーティング プロトコルが使用するのとは異なるパスにユニキャスト トラフィックをルーティングできます。PBR は次を提供します。
• 同等アクセス
• プロトコル別のルーティング
• 送信元別のルーティング
• 双方向対バッチ トラフィックに基づくルーティング
• 専用リンクに基づくルーティング
PBR ルート マップは、次のように設定できます。
• 特定のエンド システムのアイデンティティ、アプリケーション プロトコル、またはパケットのサイズ、あるいはこれらの値の組み合わせに基づいて、パスを許可または拒否する。
• 拡張アクセス リスト基準に基づいてトラフィックを分類する。
• IP precedence ビット設定する。
• 特定のパスにパケットをルーティングする。
PBR は、PBR 対応インターフェイスで受信されるすべての入力ユニキャスト トラフィックにルート マップを適用します。PBR は、出力トラフィックまたはマルチキャスト トラフィックに適用できません。
入力ユニキャスト トラフィックがルート マップ ステートメントと一致しない場合、ルート マップは、設定済みのすべての set 句を適用します。ルーティング プロトコルは、ルート マップの deny ステートメントと一致するトラフィックおよびルート マップの permit ステートメントと一致しないトラフィックを転送します。
IPv4 トラフィックの PBR 再帰ネクスト ホップ
PBR 再帰ネクスト ホップ機能は、PBR ルート マップの再帰ネクスト ホップ アドレスの設定をイネーブルにします。再帰ネクストホップ アドレスはルーティング テーブルにインストールされ、直接接続されていないサブネットにすることができます。再帰ネクストホップ アドレスを使用できない場合、トラフィックはデフォルト ルートを使ってルーティングされます。
PBR の設定方法
• PBR の設定
• ローカル PBR の設定
• PBR 再帰ネクスト ホップの設定
(注) ポリシー ベース ルーティングを使用した複数の VRF 選択(PBR VRF)については、次のマニュアルを参照してください。
http://www.cisco.com/en/US/docs/ios/mpls/configuration/guide/mp_mltvrf_slct_pbr.html
PBR の設定
PBR をインターフェイスに設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。
|
|
|
ステップ 1 |
Router(config)# route-map map-tag [ permit | deny ] [ sequence-number ] |
パケットの出力先を制御するためのルート マップを定義します。このコマンドを入力すると、ルータはルートマップ コンフィギュレーション モードになります。 |
ステップ 2 |
Router(config-route-map)# match length min max Router(config-route-map)# match ip address { access-list-number | name } [ ...access-list-number | name ] |
一致基準を指定します。 多くのルート マップ マッチング オプションがありますが、ここでは、長さおよび/または IP アドレスだけを指定できます。 • length はレベル 3 パケット長と一致します。 • ip address は、1 つまたは複数の標準または拡張アクセス リストで許可される送信元または送信先 IP アドレスを照合します。 match コマンドを指定しない場合、ルート マップは すべての パケットに適用されます。 |
ステップ 3 |
Router(config-route-map)# set ip precedence [ number | name ] Router(config-route-map)# set ip df Router(config-route-map)# set ip vrf vrf_ name Router(config-route-map)# set ip next-hop ip-address [... ip-address ] Router(config-route-map)# set ip next-hop recursive ip-address [... ip-address ] Router(config-route-map)# set interface interface-type interface-number [... type number ] Router(config-route-map)# set ip default next-hop ip-address [... ip-address ] Router(config-route-map)# set default interface interface-type interface-number [... type ...number ] |
基準に一致したパケットで実行されるアクション(1 つまたは複数)を指定します。次のうちの任意の項目またはすべてを指定できます。 • precedence:IP ヘッダーに precedence 値を設定します。precedence の番号または名前のいずれかを指定できます。 • df:IP ヘッダー内に、「Don't Fragment」(DF)ビットを設定します。 • vrf:VPN ルーティング/転送(VRF)インスタンスを設定します。 • next-hop:パケットをルーティングするネクスト ホップを設定します。 • next-hop recursive :ホップが隣接していないルータへの場合にパケットをルーティングするネクスト ホップを設定します。 • interface:パケットの出力インターフェイスを設定します。 • default next-hop:その宛先に明示パスがない場合にパケットをルーティングするネクスト ホップを設定します。 • default interface:その宛先に明示パスがない場合のパケットの出力インターフェイスを設定します。 |
ステップ 4 |
Router(config-route-map)# interface interface-type interface-number |
インターフェイスを指定し、ルータでインターフェイス コンフィギュレーション モードを開始します。 |
ステップ 5 |
Router(config-if)# ip policy route-map map-tag |
PBR で使用するルート マップを識別します。1 つのインターフェイスにはただ 1 つのルート マップ タグしか指定できませんが、シーケンス番号を持つ複数のルート マップ項目を作成できます。項目は、最初の一致が現れるまで、シーケンス番号の順に評価されます。一致する項目がない場合、パケットは通常どおりにルーティングされます。 |
set コマンドは、他のコマンドとともに使用できます。これらは、上記のステップ 3 に示す順序に従って評価されます。使用可能なネクスト ホップはインターフェイスで暗黙指定されます。ローカル ルータは、ネクスト ホップと使用可能なインターフェイスを検出したら、パケットをルーティングします。
ローカル PBR の設定
スイッチで発信されるすべてのトラフィックに PBR を設定する手順は、次のとおりです。
|
|
Router(config)# ip local policy route-map map-tag |
ローカル PBR で使用するルート マップを識別します。 |
(注) • ローカル PBR トラフィックは RP のソフトウェアで処理されます。
• ローカル PBR で使用するルート マップを表示するには、 show ip local policy コマンドを使用します。
再帰ネクストホップ IP アドレスの設定
(注) PBR がサポートする再帰ネクストホップ IP アドレスは、ルートマップ エントリごとに 1 つのみです。
|
|
|
ステップ 1 |
enable
Router> enable |
特権 EXEC モードをイネーブルにします。 • パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal
Router# configure terminal |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
access-list permit source
Router(config)# access-list 101 permit 10.60.0.0 0.0.255.255 |
アクセス リストを設定します。設定例では、10.60.0.0.0.0.255.255 サブネット内に分類されるすべての発信元 IP アドレスが許可されます。 |
ステップ 4 |
route-map map-tag
Router(config)# route-map abccomp |
ポリシー ルーティングをイネーブルにし、ルートマップ コンフィギュレーション モードを開始します。 |
ステップ 5 |
set ip next-hop ip-address
Router(config-route-map)# set ip next-hop 10.10.1.1 |
ネクストホップ ルータ IP アドレスを設定します。 (注) この IP アドレスは、ネクストホップ再帰ルータ設定とは別に設定します。 |
ステップ 6 |
set ip next-hop { ip-address [ ...ip-address ] | recursive ip-address}
Router(config-route-map)# set ip next-hop recursive 10.20.3.3 |
再帰ネクストホップ IP アドレスを設定します。 (注) 中継 IP アドレスが宛先への短いルートである場合、この設定によって、パケットが再帰 IP アドレスを使ってルーティングされるとは限りません。 |
ステップ 7 |
match ip address access-list-number
Router(config-route-map)# match ip address 101 |
一致するアクセス リストを設定します。 |
ステップ 8 |
end
Router(config-route-map)# end |
現在のルート マップ コンフィギュレーション モードを終了して、特権 EXEC モードに戻ります。 |
再帰ネクストホップ設定の確認
再帰ネクストホップ設定を確認するには、次の手順を実行します。
ステップ 1 show running-config | begin abccomp
このコマンドを次の例のように使用し、ネクストホップの IP アドレスおよび再帰ネクストホップ IP アドレスを確認します。
Router# show running-config | begin abccomp
route-map abccomp permit 10
match ip address 101 ! Defines the match criteria for an access list.
set ip next-hop recursive 10.3.3.3 ! If the match criteria are met, the recursive IP address is set.
set ip next-hop 10.1.1.1 10.2.2.2 10.4.4.4
ステップ 2 show route-map map-name
このコマンドを次の例のように使用し、ルート マップを表示します。
Router# show route-map abccomp
route-map abccomp, permit, sequence 10
ip address (access-lists): 101
ip next-hop recursive 10.3.3.3
ip next-hop 10.1.1.1 10.2.2.2 10.4.4.4
Policy routing matches: 0 packets, 0 bytes
PBR の設定例
• 同等アクセス例
• ネクスト ホップを変更する例
• 再帰ネクストホップ IP アドレス:例
(注) 次に、access-list コマンド(ACL)の使用が含まれる例を示します。ACL の割り込みレベルでロギングがサポートされていないため、log キーワードは、ポリシー ベース ルーティング(PBR)でこのコマンドと共に使用してはなりません。
同等アクセス例
次に、2 つの送信元が、異なるサービス プロバイダーに対して同等アクセスを持つ例を示します。ルータにパケットの宛先について明示パスがない場合、送信元 209.165.200.225 から非同期インターフェイス 1 に着信したパケットは、209.165.200.228 にあるルータへ送信されます。ルータにパケットの宛先について明示パスがない場合、送信元 209.165.200.226 から着信したパケットは、209.165.200.229 にあるルータへ送信されます。宛先についての明示的なルートがルータにない他のすべてのパケットは破棄されます。
access-list 1 permit 209.165.200.225
access-list 2 permit 209.165.200.226
ip policy route-map equal-access
route-map equal-access permit 10
set ip default next-hop 209.165.200.228
route-map equal-access permit 20
set ip default next-hop 209.165.200.229
route-map equal-access permit 30
set default interface null0
ネクスト ホップを変更する例
次に、異なる送信元から異なる場所(ネクスト ホップ)へルーティングし、IP ヘッダーに Precedence ビットを設定する例を示します。送信元 209.165.200.225 から着信したパケットはプライオリティに Precedence ビットを設定されて 209.165.200.227 にあるネクスト ホップに送信され、送信元 209.165.200.226 から着信したパケットはクリティカルに Precedence ビットを設定されて 209.165.200.228 にあるネクスト ホップへ送信されます。
access-list 1 permit 209.165.200.225
access-list 2 permit 209.165.200.226
ip policy route-map Texas
route-map Texas permit 10
set ip precedence priority
set ip next-hop 209.165.200.227
route-map Texas permit 20
set ip precedence critical
set ip next-hop 209.165.200.228