VLAN 10 内のホスト A が VLAN 10 内のホスト B と通信する場合、ホスト A はホスト B 宛にアドレス指定されたパケットを送信します。スイッチ A はパケットをルータに送信せず、ホスト B に直接転送します。
ホスト A から VLAN 20 内のホスト C にパケットを送信する場合、スイッチ A はパケットをルータに転送し、ルータは VLAN 10 インターフェイスでトラフィックを受信します。ルータはルーティング テーブルを調べて正しい発信インターフェイスを判別し、VLAN
20 インターフェイスを経由してパケットをスイッチ B に送信します。スイッチ B はパケットを受信し、ホスト C に転送します。
IP ルーティングを設定するには、レイヤ 3 ネットワーク インターフェイスに IP アドレスを割り当ててインターフェイスをイネーブルにし、IP を使用するインターフェイスを経由してホストとの通信を許可する必要があります。次の項では、さまざまな
IP アドレス指定機能の設定方法について説明します。IP アドレスをインターフェイスに割り当てる手順は必須ですが、その他の手順は任意です。
ルーティングを行うように設定されたデバイスで、クラスレスルーティング動作はデフォルトで有効となっています。クラスレス ルーティングがイネーブルの場合、デフォルト ルートがないネットワークのサブネット宛てパケットをルータが受信すると、ルータは最適なスーパーネット ルートにパケットを転送します。スーパーネットは、単一の大規模アドレス空間をシミュレートするために使用されるクラス
C アドレス空間の連続ブロックで構成されています。スーパーネットは、クラス B アドレス空間の急速な枯渇を回避するために設計されました。
このコマンドを使用すると、IRDP パケットをマルチキャストとして送信するサン マイクロシステムズ社の Solaris との互換性を維持できます。実装機能の中には、これらのマルチキャストを受信できないものも多くあります。このコマンドを使用する前に、エンドホストがこの機能に対応していることを確認してください。
最も一般的な(デフォルトの)IP ブロードキャスト アドレスは、すべて 1 で構成されているアドレス(255.255.255.255)です。ただし、任意の形式の IP ブロードキャストアドレスを生成するようにデバイスを設定することもできます。
手順
コマンドまたはアクション
目的
ステップ 1
enable
例:
スイッチ> enable
特権 EXEC モードを有効にします。
パスワードを入力します(要求された場合)。
ステップ 2
configureterminal
例:
スイッチ# configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
interfaceinterface-id
例:
スイッチ(config)# interface gigabitethernet 1/0/1
インターフェイス コンフィギュレーション モードを開始し、設定するインターフェイスを指定します。
ステップ 4
ip broadcast-addressip-address
例:
スイッチ(config-if)# ip broadcast-address 128.1.255.255
デフォルト値と異なるブロードキャスト アドレス(128.1.255.255 など)を入力します。
ステップ 5
end
例:
スイッチ(config)# end
特権 EXEC モードに戻ります。
ステップ 6
show ip interface [interface-id]
例:
スイッチ# show ip interface
指定されたインターフェイスまたはすべてのインターフェイスのブロードキャスト アドレスを確認します。
ステップ 7
copy running-config startup-config
例:
スイッチ# copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
IP ブロードキャストのフラッディング
IP ブロードキャストをインターネットワーク全体に、制御可能な方法でフラッディングできるようにするには、ブリッジング STP で作成されたデータベースを使用します。この機能を使用すると、ループを回避することもできます。この機能を使用できるようにするには、フラッディングが行われるインターフェイスごとにブリッジングを設定する必要があります。ブリッジングが設定されていないインターフェイス上でも、ブロードキャストを受信できます。ただし、ブリッジングが設定されていないインターフェイスでは、受信したブロードキャストが転送されません。また、異なるインターフェイスで受信されたブロードキャストを送信する場合、このインターフェイスは使用されません。
IP ヘルパー アドレスのメカニズムを使用して単一のネットワーク アドレスに転送されるパケットを、フラッディングできます。各ネットワーク セグメントには、パケットのコピーが 1 つだけ送信されます。
隣接ルータが NSF 対応である場合、レイヤ 3 デバイスでは、ルータに障害(クラッシュ)が発生してプライマリルートプロセッサ(RP)がバックアップ RP によって引き継がれる間、または処理を中断させずにソフトウェアアップグレードを行うためにプライマリ RP を手動でリロードしている間、隣接ルータからパケットを転送し続けます。
経路集約は、アドバタイズされたアドレスを、他のエリアでアドバタイズされる単一のサマリー ルートに統合することです。ネットワーク番号が連続する場合は、area range ルータ コンフィギュレーション コマンドを使用し、範囲内のすべてのネットワークを対象とするサマリールートをアドバタイズするように ABR を設定できます。
OSPF エリア パラメータの設定
始める前に
(注)
OSPF area ルータ コンフィギュレーション コマンドはすべて任意です。
手順
コマンドまたはアクション
目的
ステップ 1
configureterminal
例:
スイッチ# configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 2
router ospfprocess-id
例:
スイッチ(config)# router ospf 109
OSPF ルーティングをイネーブルにし、ルータ コンフィギュレーション モードを開始します。
ステップ 3
areaarea-id authentication
例:
スイッチ(config-router)# area 1 authentication
(任意)特定のエリアへの無許可アクセスに対して、パスワードベースの保護を可能にします。ID には 10 進数または IP アドレスのいずれかを指定できます。
ステップ 4
areaarea-id authentication message-digest
例:
スイッチ(config-router)# area 1 authentication message-digest
OSPF は、インターフェイスに設定されている最大の IP アドレスをルータ ID として使用します。このインターフェイスがダウンした場合、または削除された場合、OSPF プロセスは新しいルータ ID を再計算し、すべてのルーティング情報をそのルータのインターフェイスから再送信します。ループバック
インターフェイスが IP アドレスによって設定されている場合、他のインターフェイスにより大きな IP アドレスがある場合でも、OSPF はこの IP アドレスをルータ ID として使用します。ループバック インターフェイスに障害は発生しないため、安定性は増大します。OSPF
は他のインターフェイスよりもループバック インターフェイスを自動的に優先し、すべてのループバック インターフェイスの中で最大の IP アドレスを選択します。
は、EIGRP NSF 認識を IPv4 に対してサポートしています。隣接ルータが NSF 対応である場合、レイヤ 3 デバイスでは、ルータに障害が発生してプライマリ RP がバックアップ RP によって引き継がれる間、または処理を中断させずにソフトウェアアップグレードを行うためにプライマリ RP を手動でリロードしている間、隣接ルータからパケットを転送し続けます。
EIGRP スタブルーティングを使用するネットワークでは、ユーザーに対する IP トラフィックの唯一の許容ルートは、EIGRP スタブルーティングを設定しているdevice経由です。deviceは、ユーザーインターフェイスとして設定されているインターフェイスまたは他のデバイスに接続されているインターフェイスにルーテッドトラフィックを送信します。
次の図では、device B は EIGRP スタブルータとして設定されています。デバイス A および C は残りの WAN に接続されています。デバイス B は、接続ルート、スタティックルート、再配布ルート、およびサマリールートをデバイス A とデバイス C にアドバタイズします。 スイッチ B は、デバイス A から学習したルートをアドバタイズしません(逆の場合も同様です)。
PE ルータは、スタティックルーティング、または BGP、RIPv2、OSPF、EIGRP などのルーティングプロトコルを使用して、CE デバイスとルーティング情報を交換します。PE は、直接接続している VPN に対する VPN ルートのみを保守する必要があります。そのため、すべてのサービス プロバイダ
VPN ルートを PE が保守する必要はありません。各 PE ルータは、直接接続しているサイトごとに VRF を維持します。すべてのサイトが同じ VPN に存在する場合は、PE ルータの複数のインターフェイスを 1 つの VRF に関連付けることができます。各
VPN は、指定された VRF にマッピングされます。PE ルータは、ローカル VPN ルートを CE から学習したあとで、IBGP を使用して別の PE ルータと VPN ルーティング情報を交換します。
CE デバイスに接続していないサービス プロバイダ ネットワークのルータは、プロバイダ ルータやコア ルータになります。
Multi-VRF CE では、複数のお客様が 1 つの CE を共有でき、CE と PE の間で 1 つの物理リンクだけが使用されます。共有 CE は、お客様ごとに別々の VRF テーブルを維持し、独自のルーティング テーブルに基づいて、お客様ごとにパケットをスイッチングまたはルーティングします。Multi-VRF
CE は、制限付きの PE 機能を CE デバイスに拡張して、別々の VRF テーブルを維持し、VPN のプライバシーおよびセキュリティをブランチ オフィスに拡張します。
ネットワーク トポロジ
次の図に、スイッチを複数の仮想 CE として使用した構成例を示します。このシナリオは、中小企業など、VPN サービスの帯域幅要件の低いお客様に適しています。この場合、スイッチにはマルチ VRF CE のサポートが必要です。Multi-VRF CE
はレイヤ 3 機能なので、VRF のそれぞれのインターフェイスはレイヤ 3 インターフェイスである必要があります。
CE スイッチは、レイヤ 3 インターフェイスを VRF に追加するコマンドを受信すると、Multi-VRF CE 関連のデータ構造で VLAN ID と Policy Label(PL)の間に適切なマッピングを設定し、VLAN ID と PL
を VLAN データベースに追加します。
Multi-VRF CE を設定すると、レイヤ 3 フォワーディング テーブルは、次の 2 つのセクションに概念的に分割されます。
Multi-VRF CE ルーティング セクションには、さまざまな VPN からのルートが含まれます。
VPN1、VPN2、およびグローバル ネットワークで使用されるプロトコルは OSPF です。CE/PE 接続には BGP が使用されます。図のあとに続く出力は、スイッチを CE スイッチ A として設定する例、およびカスタマー スイッチ D と
F の VRF 設定を示しています。CE スイッチ C とその他のカスタマー スイッチを設定するコマンドは含まれていませんが、内容は同様です。
スイッチ A では、ルーティングをイネーブルにして VRF を設定します。
スイッチ# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
スイッチ(config)# ip routing
スイッチ(config)# ip vrf v11
スイッチ(config-vrf)# rd 800:1
スイッチ(config-vrf)# route-target export 800:1
スイッチ(config-vrf)# route-target import 800:1
スイッチ(config-vrf)# exit
スイッチ(config)# ip vrf v12
スイッチ(config-vrf)# rd 800:2
スイッチ(config-vrf)# route-target export 800:2
スイッチ(config-vrf)# route-target import 800:2
スイッチ(config-vrf)# exit
スイッチ A のループバックおよび物理インターフェイスを設定します。ギガビット イーサネット ポート 1 は PE へのトランク接続です。ギガビット イーサネット ポート 8 と 11 は VPN に接続されます。
スイッチ(config)# interface loopback1
スイッチ(config-if)# ip vrf forwarding v11
スイッチ(config-if)# ip address 8.8.1.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# interface loopback2
スイッチ(config-if)# ip vrf forwarding v12
スイッチ(config-if)# ip address 8.8.2.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# interface gigabitethernet1/0/5
スイッチ(config-if)# switchport trunk encapsulation dot1q
スイッチ(config-if)# switchport mode trunk
スイッチ(config-if)# no ip address
スイッチ(config-if)# exit
スイッチ(config)# interface gigabitethernet1/0/8
スイッチ(config-if)# switchport access vlan 208
スイッチ(config-if)# no ip address
スイッチ(config-if)# exit
スイッチ(config)# interface gigabitethernet1/0/11
スイッチ(config-if)# switchport trunk encapsulation dot1q
スイッチ(config-if)# switchport mode trunk
スイッチ(config-if)# no ip address
スイッチ(config-if)# exit
スイッチ A で使用する VLAN を設定します。VLAN 10 は、CE と PE 間の VRF 11 によって使用されます。VLAN 20 は、CE と PE 間の VRF 12 によって使用されます。VLAN 118 と 208 は、それぞれスイッチ
F とスイッチ D を含む VPN に使用されます。
スイッチ(config)# interface vlan10
スイッチ(config-if)# ip vrf forwarding v11
スイッチ(config-if)# ip address 38.0.0.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# interface vlan20
スイッチ(config-if)# ip vrf forwarding v12
スイッチ(config-if)# ip address 83.0.0.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# interface vlan118
スイッチ(config-if)# ip vrf forwarding v12
スイッチ(config-if)# ip address 118.0.0.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# interface vlan208
スイッチ(config-if)# ip vrf forwarding v11
スイッチ(config-if)# ip address 208.0.0.8 255.255.255.0
スイッチ(config-if)# exit
スイッチ D は VPN 1 に属します。次のコマンドを使用して、スイッチ A への接続を設定します。
スイッチ# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
スイッチ(config)# ip routing
スイッチ(config)# interface gigabitethernet1/0/2
スイッチ(config-if)# no switchport
スイッチ(config-if)# ip address 208.0.0.20 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# router ospf 101
スイッチ(config-router)# network 208.0.0.0 0.0.0.255 area 0
スイッチ(config-router)# end
スイッチ F は VPN 2 に属します。次のコマンドを使用して、スイッチ A への接続を設定します。
スイッチ# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
スイッチ(config)# ip routing
スイッチ(config)# interface gigabitethernet1/0/1
スイッチ(config-if)# switchport trunk encapsulation dot1q
スイッチ(config-if)# switchport mode trunk
スイッチ(config-if)# no ip address
スイッチ(config-if)# exit
スイッチ(config)# interface vlan118
スイッチ(config-if)# ip address 118.0.0.11 255.255.255.0
スイッチ(config-if)# exit
スイッチ(config)# router ospf 101
スイッチ(config-router)# network 118.0.0.0 0.0.0.255 area 0
スイッチ(config-router)# end
このコマンドをスイッチ B(PE ルータ)で使用すると、CE デバイス、スイッチ A に対する接続だけが設定されます。
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip vrf v1
Router(config-vrf)# rd 100:1
Router(config-vrf)# route-target export 100:1
Router(config-vrf)# route-target import 100:1
Router(config-vrf)# exit
Router(config)# ip vrf v2
Router(config-vrf)# rd 100:2
Router(config-vrf)# route-target export 100:2
Router(config-vrf)# route-target import 100:2
Router(config-vrf)# exit
Router(config)# ip cef
Router(config)# interface Loopback1
Router(config-if)# ip vrf forwarding v1
Router(config-if)# ip address 3.3.1.3 255.255.255.0
Router(config-if)# exit
Router(config)# interface Loopback2
Router(config-if)# ip vrf forwarding v2
Router(config-if)# ip address 3.3.2.3 255.255.255.0
Router(config-if)# exit
Router(config)# interface gigabitethernet1/1/0.10
Router(config-if)# encapsulation dot1q 10
Router(config-if)# ip vrf forwarding v1
Router(config-if)# ip address 38.0.0.3 255.255.255.0
Router(config-if)# exit
Router(config)# interface gigabitethernet1/1/0.20
Router(config-if)# encapsulation dot1q 20
Router(config-if)# ip vrf forwarding v2
Router(config-if)# ip address 83.0.0.3 255.255.255.0
Router(config-if)# exit
Router(config)# router bgp 100
Router(config-router)# address-family ipv4 vrf v2
Router(config-router-af)# neighbor 83.0.0.8 remote-as 800
Router(config-router-af)# neighbor 83.0.0.8 activate
Router(config-router-af)# network 3.3.2.0 mask 255.255.255.0
Router(config-router-af)# exit
Router(config-router)# address-family ipv4 vrf vl
Router(config-router-af)# neighbor 38.0.0.8 remote-as 800
Router(config-router-af)# neighbor 38.0.0.8 activate
Router(config-router-af)# network 3.3.1.0 mask 255.255.255.0
Router(config-router-af)# end
Multi-VRF CE のモニタリング
表 10. Multi-VRF CE 情報を表示するコマンド
show ip protocols vrfvrf-name
VRF に対応付けられたルーティング プロトコル情報を表示します。
show ip route vrfvrf-name [connected] [protocol [as-number]] [list] [mobile] [odr] [profile] [static] [summary] [supernets-only]
VRF に対応付けられた IP ルーティング テーブル情報を表示します。
show ip vrf [brief | detail | interfaces] [vrf-name]
定義された VRF インスタンスに関する情報を表示します。
ユニキャスト リバース パス転送の設定
ユニキャスト リバース パス転送(ユニキャスト RPF)機能は、検証可能な送信元 IP アドレスが不足している IP パケットを廃棄することで、間違ったまたは偽造(スプーフィングされた)送信元 IP アドレスがネットワークに流れて発生する問題を軽減するのに役立ちます。たとえば、Smurf
や Tribal Flood Network(TFN)など、多くの一般的なタイプの DoS 攻撃は、偽造された、または次々に変わる送信元 IP アドレスを使用して、攻撃を突き止めたりフィルタすることを攻撃者が阻止できるようにします。パブリック
アクセスを提供するインターネット サービス プロバイダ(ISP)の場合、uRPF が IP ルーティング テーブルと整合性の取れた有効な送信元アドレスを持つパケットだけを転送することによって、そのような攻撃をそらします。この処理により、ISP
のネットワーク、その顧客、および残りのインターネットが保護されます。
スイッチでは複数のルーティング プロトコルを同時に実行し、ルーティング プロトコル間で情報を再配信できます。ルーティング プロトコル間での情報の再配信は、サポートされているすべての IP ベース ルーティング プロトコルに適用されます。
2 つのドメイン間で拡張パケット フィルタまたはルート マップを定義することにより、ルーティング ドメイン間でルートの再配信を条件付きで制御することもできます。match および set ルート マップ コンフィギュレーション コマンドは、ルートマップの条件部を定義します。match コマンドは、条件が一致する必要があることを指定しています。set コマンドは、ルーティングアップデートが match コマンドで定義した条件を満たす場合に行われる処理を指定します。再配布はプロトコルに依存しない機能ですが、match および set ルート マップ コンフィギュレーション コマンドの一部は特定のプロトコル固有のものです。
route-map コマンドのあとに、match コマンドおよび set コマンドをそれぞれ 1 つまたは複数指定します。match コマンドを指定しない場合は、すべて一致すると見なされます。setコマンドを指定しない場合、一致以外の処理はすべて実行されません。このため、少なくとも 1 つの match または set コマンドを指定する必要があります。
(注)
set ルート マップ コンフィギュレーション コマンドを使用しないルートマップは、CPU に送信されるので、CPU の使用率が高くなります。
ルートマップステートメントは、permit または deny として識別することもできます。ステートメントが拒否としてマークされている場合、一致基準を満たすパケットは通常の転送チャネルを通じて送り返されます(宛先ベース ルーティング)、ステートメントが許可としてマークされている場合は、一致基準を満たすパケットに
set コマンドが適用されます。一致基準を満たさないパケットは、通常のルーティング チャネルを通じて転送されます。
ルート マップの設定方法
次に示すステップ 3 ~ 14 はそれぞれ任意ですが、少なくとも 1 つの match ルート マップ コンフィギュレーション コマンド、および 1 つの set ルート マップ コンフィギュレーション コマンドを入力する必要があります。