AXシリーズポリシーベースルーティング設定ガイド

AX シリーズ
ポリシーベースルーティング設定ガイド
初版
(Rev.1)
資料 No. NTS-11-R-041
アラクサラネットワークス株式会社
AX シリーズポリシーベースルーティング設定ガイド（初版）
はじめに
AX シリーズポリシーベースルーティング設定ガイドは、アラクサラネットワークス社 AX シリーズの持つポリシ
ーベースルーティング機能を用いて、システムポリシーに従い経路を決定するレイヤ 3 ネットワークシステムを
構築するための基本的な技術情報をシステムエンジニアの方へ提供し、動作概要の把握、システムの構築お
よび安定稼動の一助を目的として書かれています。
関連資料
・AX シリーズ製品マニュアル（ http://www.alaxala.com/jp/techinfo/manual/index.html ）
本資料使用上の注意事項
本資料に記載の内容は、弊社が特定の環境において基本動作を確認したものであり、機能・性能・信頼性
についてあらゆる環境条件すべてにおいて保証するものではありません。弊社製品を用いたシステム構築の
一助としていただくためのものとご理解いただけますようお願いいたします。
本資料作成時の OS ソフトウェアバージョンは特記の無い限り以下となっております。
AX3650S
Ver. 11.7
AX1200S
Ver. 2.3
本資料の内容は、改良のため予告なく変更する場合があります。
輸出時の注意
本製品を輸出される場合には、外国為替および外国貿易法の規制ならびに米国の輸出管理規制など外国
の関連法規をご確認の上、必要な手続きをお取りください。
なお、ご不明な場合は弊社担当営業にお問い合わせください。
商標一覧
・アラクサラの名称およびロゴマークは、アラクサラネットワークス株式会社の商標および登録商標です。
・Ethernetは、富士ゼロックス（株）の登録商標です。
・イーサネットは、富士ゼロックス（株）の登録商標です。
・そのほかの記載の会社名、製品名は、それぞれの会社の商標もしくは登録商標です。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
2
AX シリーズポリシーベースルーティング設定ガイド（初版）
改訂履歴
版数
初版
rev.
－
1
日付
2012.2.29
2014.9.18
変更内容
初版発行
5.留意事項に(5)を追加
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
変更箇所
－
5章(5)
3
AX シリーズポリシーベースルーティング設定ガイド（初版）
目次
1. 通信の用途や種類による経路変更 .................................................................................................. 5
1.1
ポリシーベースルーティングとは......................................................................................................................................... 5
1.2
適用機種と支援機能 ............................................................................................................................................................... 6
2. ポリシーベースルーティングの使用例 ........................................................................................ 9
2.1
アプライアンス機器に余計なネットワーク負荷をかけない経路変更 .................................................................... 9
2.2
キャリアサービス(WAN 回線)の効率的な使用.............................................................................................................10
3. システム構築および設定例 ............................................................................................................. 11
3.1
特定サービスの経路を分けるシステムの例 .................................................................................................................11
3.2
仮想ネットワークでのポリシーベースルーティング利用例 ..................................................................................... 19
4. ポリシーベースルーティングの確認 .......................................................................................... 29
4.1
ポリシーベースルーティング設定の有無と経路変更条件および経路について ........................................... 29
4.2
宛先やネクストホップの状態確認について ..................................................................................................................30
5. 留意事項 ................................................................................................................................................... 32
付録：コンフィグレーションファイル ........................................................................................... 34
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
4
AX シリーズポリシーベースルーティング設定ガイド（初版）
1. 通信の用途や種類による経路変更
1.1
ポリシーベースルーティングとは
一般にレイヤ 3 ネットワークにおける通信の経路は、経路情報を示したルーティングテーブルに従って決定
されます。しかしながら、通信の用途や種類などに応じて、その通信のみを専用の機器で扱いたい、別の回線
を経由させたい、などの理由で特定の条件に従う通信のみを通常とは異なる経路へ転送したい場合もあるかと
思います。これを実現するのがポリシーベースルーティングです。
ポリシーベースルーティング：
経路変更の条件(ポリシー)に従って転送先を変更する
B
HTTPのみを
アプライアンスへ
B, C
(非HTTP)
HTTP
HTTP以外は
通常の経路
①
ポリシーの有る分岐点は、
マッチしたトラフィックのみを
異なる経路への宛先
(ネクストホップ)に転送
C
②
B
C
A
A→B
A→B
(HTTP)
(非HTTP)
通常は経路情報
(ルーティングテーブル)
に従って経路を選択する。
図 1.1-1 ポリシーベースルーティングのイメージ
ポリシーベースルーティングは受信側 VLAN インタフェースに定義するアクセスフィルタの一種として機能し
ます。従って経路変更の条件はアクセスフィルタの検索条件と同様に決めることができます。
アクセスフィルタは条件に該当した通信を廃棄または通過させるのみですが、ポリシーベースルーティング
では条件に該当した通信を指定した宛先(ネクストホップ)へ転送します。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
5
AX シリーズポリシーベースルーティング設定ガイド（初版）
1.2
適用機種と支援機能
ポリシーベースルーティングが適用できる機種と、支援機能の概要を以下に示します。
1.2.1
適用機種
ポリシーベースルーティングは以下の製品および対応ソフトウェアにて適用が可能です。
表 1.2-1 適用機種と対応機能
適用製品とサポート機能ほか
ソフトウェアバージョン
ポリシーベース IPv4
ルーティング
IPv6
トラッキング機能
VRF 対応
(*1)アドバンストソフトウェアのみ。
(*2)IPv4 のみ。
1.2.2
シャーシモデル
AX6700S
AX6600S
AX6300S
Ver.11.7 以降
○
○
○(*2)
○
ボックスモデル
AX3650S
AX3640S
Ver.11.7 以降(*1)
○
○
ー
ー
○
○
○
ー
収容条件
ポリシーベースルーティングに関する収容条件を以下に示します。
表 1.2-2 ポリシーベースルーティングに関する収容条件
適用製品と収容条件
シャーシモデル
AX6700S
AX6600S
AX6300S
(標準)4000
(拡張)32000
256
ボックスモデル
AX3650S
AX3640S
アクセスリストエントリ数
2048
512
(＝ポリシー設定可能数)
ネクストホップエントリ数
ー (*2)
ー (*2)
(アクセスリストに直接設定時)
ポリシーベースルーティングリスト
256(*1)
256
256
設定可能数
ポリシーベースルーティングリスト
8(*1)
8
8
1 リストあたりの設定可能経路数
トラッキング設定可能数
1024(*1)
1024
1024
(*1)IPv4 のみ。
(*2)ボックスモデルではポリシーベースルーティングリスト形式でのみネクストホップを設定する。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
6
AX シリーズポリシーベースルーティング設定ガイド（初版）
1.2.3
AX シリーズでのポリシーベースルーティングの特長
AX シリーズでサポートするポリシーベースルーティングでは、以下のような特長があります。
(1) 一つの条件で複数の宛先(ネクストホップ)を指定でき、冗長な経路設定も可能。(IPv4 のみ)
一つの経路変更の条件(ポリシー)に対し、複数のネクストホップを設定することができます。このためポリシー
により変更する経路についても冗長性を持たせることが可能です。
AX シリーズのポリシーベースルーティングでは、複数のネクストホップを一つのグループにまとめた、ポリシ
ーベースルーティングリストと呼ぶグループを経路変更の宛先として扱うことができ、1 グループあたり最大 8 経
路まで設定できます。
またポリシーベースルーティングリスト内に設定したネクストホップのいずれへも転送できない場合について
も、廃棄するかルーティングテーブルによる通常の経路に従うかの選択ができます。
一つのポリシーで複数の宛先を選択可能
トラッキング機能で非常時の冗長性も確保
一般
一般
重要
一般
一般
重要
普段はこちら
障害
WAN1
(ベストエフォート)
WAN2
(帯域保証)
WAN1
(ベストエフォート)
WAN2
(帯域保証)
切替
ルーティング
テーブル
一般
ポリシーベース
ルーティング
重要
複数経路を
グループ設定
ポリシーに一致した
通信のみを経路変更
ルーティング
テーブル
一般
ポリシーベース
ルーティング
トラッキング機能で
障害を検知して、
自動で経路切替
重要
図 1.2-1 AX シリーズのポリシーベースルーティングでできること
(2) ネクストホップやその先のターゲットのオンライン状態を確認しての経路変更が可能。(IPv4 のみ)
ネクストホップとして指定する装置や、その先の回線が通信可能な状態にあるかを確認できます。このため
ポリシーベースルーティングを使ったシステムでも可用性の高いシステムを構築することが可能です。
トラッキング機能と呼ぶこの機能は ICMP(いわゆる ping)にて確認したい対象(トラック対象)と定期的にパケッ
トを送受して到達性を確認します。トラック対象が同じサブネット内にない場合(別の装置を介しての接続や
WAN 回線経由の接続など)でも、通信可能かどうかの状態を確認することができます。
上記(1)で解説のポリシーベースルーティンググループと連携することで、ネクストホップや中継先の経路の
状況に合わせてポリシーベースルーティングリスト内からネクストホップを動的に切り替えることができます。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
7
AX シリーズポリシーベースルーティング設定ガイド（初版）
(3) 仮想ネットワーク内、仮想ネットワーク間でも使える
ネットワーク・パーティションをサポートする機器においては、その仮想ネットワーク環境においてもポリシー
ベースルーティングの使用ができます。
パーティション内での独立したポリシーベースルーティングの他、パーティション間においてもポリシーベー
スルーティングを使用してのエクストラネット通信に適用することも可能です。
仮想ネットワークでも利用可能
通常の通信は
共用ネットワークへ
アクセスさせない
特定通信のみを
転送
仮想FW
仮想FW
Proxy などの
共有リソース
ルーティング
テーブル
ポリシーベース
ルーティング
ポリシーベース
ルーティング
ルーティング
テーブル
共用ネットワーク
組織1の
仮想ネットワーク
仮想ネットワークごとに
設定できる
組織2の
仮想ネットワーク
図 1.2-2 ポリシーベースルーティングを活用したセキュアな共用ネットワーク
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
8
AX シリーズポリシーベースルーティング設定ガイド（初版）
2. ポリシーベースルーティングの使用例
ポリシーベースルーティング機能を使ったシステム例を紹介します。
2.1
アプライアンス機器に余計なネットワーク負荷をかけない経路変更
昨今では各種アプライアンス機器など特定のアプリケーションやサービス向けの専用機器が増えています。
これらの機器へは、そのアプリケーションやサービスが使う通信のみを一般の通信から分けて転送できれば、
余計なネットワーク負荷をかけることなく効率よく利用することができます。このようなネットワークトラフィックの制
御にポリシーベースルーティングが適しています。
クライアントの設定にかかわらず、
http/https通信は強制的にproxyサーバを通過させる
Internet
通常の通信は
Proxyサーバを通らない
透過型
Proxyサーバ
ポリシーベース
ルーティング
ルーティング
テーブル
http,https(宛先Port 80, 443)は、
ネクストホップをProxyサーバにする
Proxy設定をしていないクライアント
図 2.1-1 Web アクセスのみを proxy サーバに転送する例
例えば、社外に対する Web アクセスを透過型 proxy のサーバで制御および管理させたいが、Web アクセスと
は関係のないトラフィックで proxy サーバには余計な負荷をかけたくないといったケースでは、ポリシーベース
ルーティングによって Web に関する通信(http や https)のみを proxy サーバ宛へ転送するようにできます。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
9
AX シリーズポリシーベースルーティング設定ガイド（初版）
2.2
キャリアサービス(WAN 回線)の効率的な使用
拠点間の通信や外部の端末からのリモートアクセス、社内からのインターネット接続など、外部への接続に
用いる回線サービスはその用途、要求別に様々な形態のものが提供されています。通信の内容も多様化して
いる現在では、通信の種類や特性に応じて最適な回線を選んだシステムを構築することが望まれます。
例えば、
• 一般のインターネット接続などは低コストで広帯域な公衆回線を利用
• 秘匿性を要する重要な通信は専用線を利用
• リアルタイム性が要求される通信は帯域保証された回線を利用
• 通常は使用しないが、非常時のみ最低限の通信ができる回線を確保
• etc.
以上のケースのように、扱う通信の種類や特性によって複数の WAN 回線を使い分けるシステムを構築する
場合にも、ポリシーベースルーティングはお勧めです。
IP電話などの重要通信は、帯域保証型の経路を利用して品質を確保
全回線を効率的に利用しつつ、トラッキングで非常時の冗長性も確保
帯域保証ネットワーク(WAN3)で障害発生
一般
一般
さらに、広域イーサネット(WAN2)でも障害発生
重要
一般
一般
重要
トラッキングで
障害を検知して、
経路を自動切替
WAN1
(ベストエフォート)
一般の通信は
こちら
WAN2
(広域イーサ)
ルーティング
テーブル
一般
WAN3 障害
切替(帯域保証)
さらに障害検知し
経路を自動切替
障害
WAN1
WAN2
さらに切替
(ベストエフォート)
(広域イーサ)
ルーティング
テーブル
ポリシーベース
ルーティング
重要
ポリシーに一致した通信のみを
グループ内の経路へルーティング
一般
WAN3 障害
(帯域保証)
ポリシーベース
ルーティング
重要
図 2.2-1 IP 電話のトラフィックのみ転送する例
具体的な例としては、「一般の通信は低コストかつ広帯域だがベストエフォートなサービスの回線でも構わな
いが、リアルタイム性を要する IP 電話のトラフィックは帯域保証のサービスのある回線を使いたい、ただし契約
する帯域は最低限(IP 電話のトラフィック分)に抑えたい。」といったシステムを構築する場合などです。
ポリシーベースルーティングでは条件にマッチした通信だけを経路変更するため、このように必要な通信分
のみ別回線を利用する、といったことができます。
さらに、ポリシーベースルーティンググループやトラッキング機能により、帯域保証された回線が障害などで
使えなくなった際でもグループに登録した別の回線を経由させ通信不可になることを防ぐ、といった使い方も
可能です。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
10
AX シリーズポリシーベースルーティング設定ガイド（初版）
3. システム構築および設定例
ポリシーベースルーティングを使ったシステムの設定方法について、以下解説します。
3.1
特定サービスの経路を分けるシステムの例
ポリシーベースルーティングでは、アクセスフィルタと同じ検索条件で経路変更の条件を決めることができま
す。このためポート番号など特定アプリケーションの通信を経路変更の条件にすることも可能です。
これは例えば、あるアプリケーションに関する通信のみを専用のアプライアンス機器に転送する、といったシ
ステムなどに応用できます。以下図 3.1-1 にその例を示します。
ルータ 2
ルータ 1
共用セグメント
[VLAN10]：10.0.0.0/24
イントラネット 1 からの
通常時経路
Web
アクセス
C1: AX3650S
イントラネット 2 からの
通常時経路
Web
アクセス
プロキシ
サーバ 1
プロキシ
サーバ 2
C2: AX3650S
VRRP+STP
A1: AX1240S
A2: AX1240S
イントラネット 2
[VLAN101]：192.168.1.0/24
イントラネット 1
[VLAN100]：192.168.0.0/24
図 3.1-1 プロキシサーバを使った冗長システム例
コアスイッチを VRRP とスパニングツリーで冗長構成とした一般的なシステムで、外部ネットワークへの接続
についても可用性を考慮し 2 台のルータを使用します。ですが外部ネットワークへの Web アクセス(http および
https)に関しては透過型のプロキシサーバを経由させることとします。このプロキシサーバについても可用性を
考慮し 2 台で冗長運用します。
以上、冗長構成とする機器や回線と、その制御方法についてまとめると以下表 3.1-1 の通りとなります。
表 3.1-1 冗長部位と制御方法
冗長構成する機器や回線
コアスイッチ C1,C2 間の回線
コアスイッチ C1,C2 とアクセススイッチ間の回線
アクセス側端末から見たデフォルトゲートウェイ
(コアスイッチ C1,C2)
外部接続ルータ 1,2
プロキシサーバ 1,2
冗長構成の制御方法
リンクアグリゲーション
スパニングツリー(rapid-PVST+)
VRRP
スタティックルーティング
(動的監視機能付きシングルパス)
ポリシーベースルーティング
(トラッキング機能付き)
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
11
AX シリーズポリシーベースルーティング設定ガイド（初版）
本システムの論理構成を図 3.1-2 に示します。
プロキシサーバ１
プロキシサーバ 2
10.0.0.10
10.0.0.11
ルータ 1
ルータ 2
10.0.0.250
10.0.0.251
0/1 0/2
0/3-4
VLAN10 10,100-101
0/3-4
0/2 0/1
10,100-101 VLAN10
C1: AX3650S
C2: AX3650S
VLAN100
VLAN101
VLAN100
VLAN101
0/9-12
0/17-20
0/9-12
0/17-20
0/9
0/17
0/9
0/17
0/25
0/25
0/26
0/26
VLAN101
VLAN100
A2: AX1240S
A1: AX1240S
VLAN100
VLAN101
0/1-24
0/1-24
用途
イントラネット 1
イントラネット 2
外部接続用共用セグメント
VLAN ID
100
101
10
IP アドレス
192.168.0.0/24
192.168.1.0/24
10.0.0.0/24
図 3.1-2 論理構成
コアスイッチでは、アクセス側向けにイントラネット 1 と 2 の 2 つの VLAN で分けたセグメントを持ち、通常時
においてはコアスイッチより上流側でセグメントごとに負荷分散ができる構成とします。
具体的には、装置 A1 側に接続される端末群はコアスイッチ C1 およびルータ 1 を経由し、Web プロキシもプ
ロキシサーバ 1 を使用するものとし、装置 A2 側に接続される端末についてはコアスイッチ C2 およびルータ 2
を経由、Web プロキシはプロキシサーバ 2 を使用します。
そして、装置や回線に障害が発生した場合には、もう一方の系の経路に迂回できるようにし、通信を継続で
きるようにします。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
12
AX シリーズポリシーベースルーティング設定ガイド（初版）
3.1.1
設定のポイント
(1) ボックスモデルでポリシーベースルーティングを使う場合、フロー検出モードを layer3-6 とする。
AX3600S シリーズなどボックスモデルでポリシーベースルーティングを扱う場合、フロー検出モードは
layer3-6 に設定してください。その他のフロー検出モードではポリシーベースルーティングを使用できません。
(2) ポリシーベースルーティングの設定は 3 つの要素を順番に設定する。
ポリシーベースルーティングは、次の要素を設定し、組み合わせることから成り立ちます。
• ポリシーベースルーティングリスト
使用する経路についての設定です。
• アクセスリスト
経路を変える条件、すなわちポリシーを決定する設定です。
また、トラッキング機能を使用する場合は、これらの設定の前に以下を設定する必要があります。
• トラックオブジェクト
ポリシーベースルーティングで使用するネクストホップやその先などの状態監視に関する設定です。
設定の際は、互いを参照する関係から、
①トラックオブジェクト → ②ポリシーベースルーティングリスト → ③アクセスリスト
の順に設定してください。
(3) ネクストホップはトラッキング機能で確認を推奨。(AX3600S などボックスモデルのみ)
AX3600S シリーズなどボックスモデルでのポリシーベースルーティングによる経路変更では、ネクストホップ
に関する ARP 情報および MAC アドレスが ARP テーブルおよび MAC アドレステーブルに登録されている必
要があります。これらの情報が無い場合、ポリシーベースルーティングの対象となるパケットは廃棄されます。
このため、ボックスモデルでのポリシーベースルーティングの際は以下のいずれかを実施してください。
• ネクストホップアドレスに関する MAC アドレスおよび ARP テーブルをスタティックに設定する。
• トラッキング機能のポーリング監視と連携させる
実際のシステム運用においては、ネクストホップアドレスを持つ装置の MAC アドレスまでをスタティック登録
することは困難な場合も想定されますので、可能であればトラッキング機能によるポーリング監視と連携させるこ
とをお勧めします。
(4) 運用中にトラッキング機能を設定変更する際は、デフォルトトラック状態を設定し「disable」してから。
運用を開始してから(ポリシーベースルーティングによる経路選択を有効にしてから)トラッキング機能に関す
る設定を変更する場合は、デフォルトトラック状態を設定し、トラック動作を一旦停止(disable)してから設定変更
をおこなうことを推奨します。
これにより、設定済みの連携するポリシーベースルーティンググループの経路選択に影響を与えないでトラ
ックのコンフィグレーションを変更することができます。
そして必要な設定変更が終了したのちに「no disable」でトラック動作を再度開始してください。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
13
AX シリーズポリシーベースルーティング設定ガイド（初版）
(5) アクセスリストとポリシーベースルーティングリストのデフォルト動作について
ポリシーベースルーティングでの経路変更の条件(ポリシー)は、アクセスリストのフィルタ条件の一つとして扱
われます。従って設定した条件にいずれも合致しない通信は deny 扱い、すなわち廃棄されます。
一般に、ポリシーベースルーティングの経路変更の条件に合致しない通信は経路情報に従った経路とすべ
きですので、条件設定の最後に全ての通信を許可する条件(permit any any)を記述することを忘れないようにし
てください。
同じく、経路変更の条件に合致した場合に参照されるポリシーベースルーティングリストにて、リストに記載の
経路が全て Down 状態となった場合、デフォルトでは廃棄扱いとなります。
こちらは経路変更の条件に合致する通信そのもの扱いになりますので、経路変更時の宛先が使えない場合
にはそのまま廃棄するか、経路情報に従った通常の経路に従わせるかを考慮の上、扱いを定義してください。
B
ポリシーベースルーティングリスト: ①
経路1: Aが有効ならAへ
A
①
経路2: Bが有効ならBへ
上記全て無効：経路情報に従う (*2)
(*2)この設定が無い場合は廃棄
(デフォルトでは廃棄)
アクセスリスト(1)
(1)
条件1: HTTPなら①グループへ
条件2: その他は全て通過 (*1)
(*1)この設定が無い場合は廃棄
(暗黙のdeny)
図 3.1-3 アクセスリストとポリシーベースルーティングリストのデフォルト動作について
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
14
AX シリーズポリシーベースルーティング設定ガイド（初版）
3.1.2
コンフィグレーション例
コンフィグレーションの例を下記に示します。
(1) コアスイッチ C1 の設定
C1(AX3650S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
フロー検出モードの設定
(config)# flow detection mode layer3-6
フロー検出モードを layer3-6 に設定します。
(設定ポイント(1))
VLAN の設定
(config)# vlan 2,10,100-101
(config-vlan)# exit
使用する VLAN を設定します。
VLAN インタフェースと VRRP の設定
(config)# interface vlan 10
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# exit
(config)# interface vlan 100
(config-if)# ip address 192.168.0.1 255.255.255.0
(config-if)# vrrp 1 ip 192.16.0.1
(config-if)# exit
VLAN10 を IP アドレス 10.0.0.1 で設定します。
VLAN100 を IP アドレス 192.168.0.1 で設定します。
VRRP1 の仮想 IP アドレスを 192.168.0.1 とします。
VLAN101 を IP アドレス 192.168.1.2 で設定します。
VRRP2 の仮想 IP アドレスを 172.16.1.1 とします。
(config)# interface vlan 101
(config-if)# ip address 192.168.1.2 255.255.255.0
(config-if)# vrrp 2 ip 192.168.1.1
(config-if)# exit
トラックオブジェクトの設定 (設定ポイント(2))
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
100
default-state up
disable
type icmp 10.0.0.10
exit
トラック ID を 100 としたトラックオブジェクトを設定します。
トラックのデフォルトトラック状態を Up に設定します。
設定中のトラックの動作を disable にします(設定ポイント(4))
10.0.0.10 を ICMP ポーリング監視トラックとして指定します。
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
101
default-state up
disable
type icmp 10.0.0.11
exit
トラック ID を 101 としたトラックオブジェクトを設定します。
トラックのデフォルトトラック状態を Up に設定します。
設定中のトラックの動作を disable にします(設定ポイント(4))
10.0.0.11 を ICMP ポーリング監視トラックとして指定します。
ポリシーベースルーティングリストの設定 (設定ポイント(2))
(config)# policy-list 10
(config-pol)# policy-interface vlan 10 next-hop
10.0.0.10 track-object 100
(config-pol)# policy-interface vlan 10 next-hop
10.0.0.11 track-object 101
(config-pol)# default deny
(config-pol)# exit
リスト番号 10 でポリシーベースルーティングリストを作成し
ます。
最優先経路として VLAN10 にある 10.0.0.10 をネクストホップ
指定し、かつトラックオブジェクト 100 で監視します。
(設定ポイント(3))
続いて優先される経路として、VLAN10 にある 10.0.0.11 をネ
クストホップ指定します。この経路はトラックオブジェクト 101
で監視します。(設定ポイント(3))
デフォルトの動作は廃棄に設定します。(設定ポイント(5))
この設定により、2 つの経路が両方ダウン(プロキシサーバ
が 2 台ともダウン)の場合 Web 通信はブロックされます。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
15
AX シリーズポリシーベースルーティング設定ガイド（初版）
C1(AX3650S)の設定
アクセスリストの設定 (設定ポイント(2))
(config)# ip access-list extended PG_PROXY
(config-ext-nacl)# permit tcp any any eq http
action policy-list 10
(config-ext-nacl)# permit tcp any any eq https
action policy-list 10
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーリスト番号 10 を適用し
ます。
そのほかの IP 通信については全て許可します。
(設定ポイント(5))
スタティックルートの設定
(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.250
noresolve poll
(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.251 200
noresolve poll
動的監視機能を適用した状態で、デフォルトゲートウェイを
10.0.0.250 および 10.0.0.251 に設定します。
10.0.0.250 を優先のシングルパスとするため、10.0.0.251 側
の経路のディスタンス値を 200 とします。
VLAN インタフェースへのポリシーベースルーティング設定
(config)# interface range vlan 100-101
(config-if-range)# ip access-group PG_PROXY in
(config-if-range)# exit
VLAN100,101 にポリシーベースルーティング PG_PROXY の
設定を追加します。
物理インタフェースの設定
(config)# interface range gigabitethernet 0/1-2
(config-if-range)# switchport access vlan 10
(config-if-range)# exit
ポート 0/1-2 を VLAN10 のアクセスポートとします。
(config)# interface range gigabitethernet 0/3-4
(config-if-range)# channel-group 1 mode on
(config-if-range)# exit
ポート 0/3,0/4 はポートチャネル 1 として、スタティックリンク
アグリゲーションを構成します。
(config)# interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# switchport trunk vlan 10,100-101
(config-if)# exit
ポートチャネル 1 を VLAN10,100-101 のトランクポートとしま
す。
(config)# interface range gigabitethernet 0/9-12
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
ポート 0/9-12 を VLAN100 のアクセスポートとします。
(config)# interface range gigabitethernet 0/17-20
(config-if-range)# switchport access vlan 101
(config-if-range)# exit
ポート 0/17-20 を VLAN101 のアクセスポートとします。
トラックオブジェクトのトラッキング動作開始 (設定ポイント(4))
(config)# track-object 100
(config-track-object)# no disable
(config-track-object)# exit
トラック ID 100 のトラッキング動作を開始します。
トラック ID 101 のトラッキング動作を開始します。
(config)# track-object 101
(config-track-object)# no disable
(config-track-object)# exit
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
16
AX シリーズポリシーベースルーティング設定ガイド（初版）
(2) コアスイッチ C2 の設定
C2(AX3650S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
フロー検出モードの設定
(config)# flow detection mode layer3-6
フロー検出モードを layer3-6 に設定します。
(設定ポイント(1))
VLAN の設定
(config)# vlan 2,10,100-101
(config-vlan)# exit
使用する VLAN を設定します。
VLAN インタフェースと VRRP の設定
(config)# interface vlan 10
(config-if)# ip address 10.0.0.2 255.255.255.0
(config-if)# exit
(config)# interface vlan 100
(config-if)# ip address 192.168.0.2 255.255.255.0
(config-if)# vrrp 1 ip 192.16.0.1
(config-if)# exit
VLAN10 を IP アドレス 10.0.0.2 で設定します。
VLAN100 を IP アドレス 192.168.0.2 で設定します。
VRRP1 の仮想 IP アドレスを 192.168.0.1 とします。
VLAN101 を IP アドレス 192.168.1.1 で設定します。
VRRP2 の仮想 IP アドレスを 172.16.1.1 とします。
(config)# interface vlan 101
(config-if)# ip address 192.168.1.1 255.255.255.0
(config-if)# vrrp 2 ip 192.168.1.1
(config-if)# exit
ポリシーベースルーティングのトラックオブジェクトの設定 (設定ポイント(2))
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
100
default-state up
disable
type icmp 10.0.0.10
exit
トラック ID100 のトラックオブジェクトを設定します。
トラックのデフォルトトラック状態を Up に設定します。
設定中のトラックの動作を disable にします(設定ポイント(4))
10.0.0.10 を ICMP ポーリング監視トラックとして指定します。
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
101
default-state up
disable
type icmp 10.0.0.11
exit
トラック ID101 のトラックオブジェクトを設定します。
トラックのデフォルトトラック状態を Up に設定します。
設定中のトラックの動作を disable にします(設定ポイント(4))
10.0.0.11 を ICMP ポーリング監視トラックとして指定します。
ポリシーベースルーティングリストの設定 (設定ポイント(2))
(config)# policy-list 10
(config-pol)# policy-interface vlan 10 next-hop
10.0.0.11 track-object 101
(config-pol)# policy-interface vlan 10 next-hop
10.0.0.10 track-object 100
(config-pol)# default deny
(config-pol)# exit
ポリシーベースルーティングリストをリスト番号 10 で作成し
ます。
最優先経路として VLAN10 にある 10.0.0.11 をネクストホップ
指定し、かつトラックオブジェクト 101 で監視します。
(設定ポイント(3))
続いて優先される経路として、VLAN10 にある 10.0.0.10 をネ
クストホップ指定します。この経路はトラックオブジェクト 100
で監視します。(設定ポイント(3))
デフォルトの動作は廃棄に設定します。(設定ポイント(5))
この設定により、2 つの経路が両方ダウン(プロキシサーバ
が 2 台ともダウン)の場合 Web 通信はブロックされます。
アクセスリストの設定 (設定ポイント(2))
(config)# ip access-list extended PG_PROXY
(config-ext-nacl)# permit tcp any any eq http
action policy-list 10
(config-ext-nacl)# permit tcp any any eq https
action policy-list 10
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーリスト番号 10 を適用し
ます。
そのほかの IP 通信については全て許可します。
(設定ポイント(5))
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
17
AX シリーズポリシーベースルーティング設定ガイド（初版）
C2(AX3650S)の設定
スタティックルートの設定
(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.251
noresolve poll
(config)# ip route 0.0.0.0 0.0.0.0 10.0.0.250 200
noresolve poll
動的監視機能を適用した状態で、デフォルトゲートウェイを
10.0.0.250 および 10.0.0.251 に設定します。
10.0.0.251 を優先のシングルパスとするため、10.0.0.250 側
の経路のディスタンス値を 200 とします。
VLAN インタフェースへのポリシーベースルーティング設定
(config)# interface range vlan 100-101
(config-if-range)# ip access-group PG_PROXY in
(config-if-range)# exit
VLAN100,101 にポリシーベースルーティング PG_PROXY の
設定を追加します。
物理インタフェースの設定
(config)# interface range gigabitethernet 0/1-2
(config-if-range)# switchport access vlan 10
(config-if-range)# exit
ポート 0/1-2 を VLAN10 のアクセスポートとします。
(config)# interface range gigabitethernet 0/3-4
(config-if-range)# channel-group 1 mode on
(config-if-range)# exit
ポート 0/3,0/4 はポートチャネル 1 として、スタティックリンク
アグリゲーションを構成します。
(config)# interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# switchport trunk vlan 10,100-101
(config-if)# exit
ポートチャネル 1 を VLAN10,100-101 のトランクポートとしま
す。
(config)# interface range gigabitethernet 0/9-12
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
ポート 0/9-12 を VLAN100 のアクセスポートとします。
(config)# interface range gigabitethernet 0/17-20
(config-if-range)# switchport access vlan 101
(config-if-range)# exit
ポート 0/17-20 を VLAN101 のアクセスポートとします。
トラックオブジェクトのトラッキング動作開始 (設定ポイント(4))
(config)# track-object 100
(config-track-object)# no disable
(config-track-object)# exit
トラック ID 100 のトラッキング動作を開始します。
トラック ID 101 のトラッキング動作を開始します。
(config)# track-object 101
(config-track-object)# no disable
(config-track-object)# exit
(3) アクセススイッチ A1 の設定
A1(AX1240S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
VLAN の設定
(config)# vlan 100
(config-vlan)# exit
使用する VLAN を設定します。
物理インタフェースの設定
(config)# interface range fastethernet 0/1-24
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
(config)# interface range gigabitethernet 0/25-26
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
ポート 0/1-24 を VLAN100 のアクセスポートとします。
ポート 0/25-26 を VLAN100 のアクセスポートとします。
(*1)装置 A2 については扱う VLAN が異なる(VLAN ID=101)以外は装置 A1 と同様な設定となります。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
18
AX シリーズポリシーベースルーティング設定ガイド（初版）
3.2
仮想ネットワークでのポリシーベースルーティング利用例
AX シリーズのポリシーベースルーティングは、ネットワーク・パーティションを使った環境下においても使用
することができ、仮想ネットワーク間にポリシーベースルーティングによる経路を作ることも可能です。
以下図 3.2-1 にその例を示します。
外部
ネットワーク 2
外部
ネットワーク 1
ルータ 2
ルータ 1
共用ネットワーク
ネットワーク 1 の
通常時経路
ネットワーク 2 の
通常時経路
Web
アクセス
Web
アクセス
プロキシサーバ(*1)
C1: AX3650S
C2: AX3650S
VRRP+STP
A1: AX1240S
A2: AX1240S
ネットワーク 2
ネットワーク 1
(*1) プロキシサーバは物理または仮想で 2 台構成、回線への接続はチーミング等で冗長構成とする。
図 3.2-1 ネットワーク・パーティションを使ったシステム(物理構成)
物理的にはコアスイッチとアクセススイッチを VRRP とスパニングツリーで冗長構成とした一般的なシステムで
す。またプロキシサーバについても冗長性を持たせるため、2 台構成とします。ルータに関しては外部ネットワ
ーク 1 および 2 へ接続する 1 台構成です。
本システムの論理ネットワークイメージおよび論理構成は以下図 3.2-2 および図 3.2-3 の通りとなります
外部
ネットワーク 1
外部
ネットワーク 2
ルータ 2
ルータ 1
10.0.0.254
通常
20.0.0.254
通常
Web アクセス
イントラサーバ等[VLAN10]
端末[VLAN100]
20.0.0.10-11
Web アクセス
共用サーバ等[VLAN20]
イントラサーバ等[VLAN11]
VRF20
外部接続共用ネットワーク
端末[VLAN110]
VRF10
ネットワーク 1
VRF11
ネットワーク 2
図 3.2-2 論理ネットワークの構成イメージ
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
19
AX シリーズポリシーベースルーティング設定ガイド（初版）
ルータ 1
ルータ 2
プロキシサーバ 1,2
(*1)
10.0.0.254
20.0.0.254
20.0.0.10-11
0/1
0/5-6
0/3-4
0/3-4
VLAN10
VLAN20
10-11,20,100,110
10-11,20,100,110
0/5-6
0/1
VLAN20 VLAN20
C2: AX3650S
C1: AX3650S
VRF20: VLAN20
VRF20: VLAN20
VRF10: VLAN10,100 VRF11: VLAN11,110
VRF10: VLAN10,100 VRF11: VLAN11,110
VLAN100 VLAN10
VLAN110
VLAN11
0/9-12 0/13-14 0/17-20 0/21-22
0/9
VLAN100 VLAN10
0/9
0/17
0/25
VLAN110
VLAN11
0/9-12 0/13-14 0/17-20 0/21-22
0/17
0/26
0/26
0/25
VLAN110
VLAN100
A2: AX1240S
A1: AX1240S
VLAN100
VLAN110
0/1-24
0/1-24
(*1) プロキシサーバは物理または仮想で 2 台構成、回線への接続はチーミング等で冗長な回線構成とし、
VLAN20 がループしないような構成とする。
用途
ネットワーク 1 サーバ用
ネットワーク 1 アクセス用
ネットワーク 2 サーバ用
ネットワーク 2 アクセス用
外部接続共用ネットワーク
VRF
10
11
20
VLAN
10
100
11
110
20
IP アドレス
10.0.0.0/24
192.168.0.0/24
11.0.0.0/24
172.16.0.0/24
20.0.0.0/24
図 3.2-3 システムの論理構成
コアスイッチでは、ネットワーク・パーティションにより 2 つの一般的な社内ネットワーク(ネットワーク 1,2)と、そ
の 2 つのネットワークから共通に使用される共用ネットワーク、計 3 つのネットワークを収容します。
外部ネットワークへの通信に関しては、基本的にネットワーク 1 は自らのネットワークに属するルータ 1 を使用
し、ネットワーク 2 に関しては共用ネットワーク上のルータ 2 を経由します。
但しネットワーク 1、ネットワーク 2 のいずれにおいても、Web アクセス(http および https)に関しては共用ネット
ワークにある透過型プロキシサーバを経由し、共用ネットワーク上のルータ 2 でアクセスするものとします。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
20
AX シリーズポリシーベースルーティング設定ガイド（初版）
3.2.1
設定のポイント
ポリシーベースルーティングの設定に関しては「3.1.1 設定のポイント」に同じですが、ネットワーク・パーティ
ションを使っている環境でポリシーベースルーティングを使用する場合のポイントについて以下に示します。
(1) ポリシーベースルーティングはそのまま VRF 間の経路に適用可能。
ネットワーク・パーティションにて論理的に分けられたネットワーク間においても、ポリシールーティングで経路
を作ることが可能です。
また設定の際でも VRF 番号などネットワーク・パーティションに関するパラメータを必要とするのはトラックオ
ブジェクトの設定時のみであり、ポリシーベースルーティングリストの作成時は VRF 番号を指定する必要はあり
ません。
(2) 仮想ネットワーク間の通信経路は双方向に設定する。
ポリシーベースルーティングに限りませんが、ネットワーク・パーティションにおいて VRF 間の通信をおこなう
場合、双方向で経路を通すことを考慮してください。
例えば、本システムの例では、各 VRF 間を渡る経路では以下の 4 つの経路設定が基本となります。
(A) コアスイッチ C1,C2 からプロキシサーバ 1,2 へ向かう経路
→ ポリシーベースルーティングで設定
(B) コアスイッチ C2 からルータ 2 へ向かう経路
→ VRF 間スタティックルーティングでデフォルトルート設定
(C) プロキシサーバ 1,2 からコアスイッチ C1,C2 へ戻る経路
→ ルートマップ設定＋プロキシサーバでスタティックルート設定
(D) ルータ 2 からコアスイッチ C2 へ戻る経路
→ ルートマップ設定＋ルータでのデフォルトルート設定
ルータ 2
ルータ 1
10.0.0.254
(B)
20.0.0.254
プロキシ
サーバ 1
デフォルト経路
プロキシ
サーバ 2
(A)
dst port 80,443
to VRF20：20.0.0.10
VLAN10
10.0.0.1
192.168.0.1
VLAN100
デフォルト経路
(A)
20.0.0.10
VLAN20
(4)
20.0.0.11
dst port 80,443
to VRF20：20.0.0.11
20.0.0.1
(C)
VLAN11
11.0.0.1
(C),(D)
172.16.0.1
VLAN110
VRF10
ネットワーク 1
VRF20
共用ネットワーク
VRF11
ネットワーク 2
図 3.2-4 本例でのポリシーベースルーティング設定のイメージ
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
21
AX シリーズポリシーベースルーティング設定ガイド（初版）
3.2.2
コンフィグレーション例
コンフィグレーションの例を下記に示します。
(1) コアスイッチ C1
C1(AX3650S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
フロー検出モードの設定
(config)# flow detection mode layer3-6
フロー検出モードを layer3-6 に設定します。
(設定ポイント 3.1.1（1))
VRF の設定
(config)# vrf definition 10
(config-vrf)# exit
(config-vrf)# vrf definition 11
(config-vrf)# exit
ネットワーク・パーティションで使用する VRF として、
VRF10,11,20 を定義します。
また VRF20 には route-map 識別子を設定します。
(config-vrf)# vrf definition 20
(config-vrf)# import inter-vrf VRF20_IMPORT
(config-vrf)# exit
VLAN の設定
(config)# vlan 10-11,20,100,110
(config-vlan)# exit
使用する VLAN として 10-11,20,100,110 を設定します。
VLAN インタフェースと VRRP の設定
(config)# interface vlan 10
(config-if)# vrf forwarding 10
(config-if)# ip address 10.0.0.1 255.255.255.0
(config-if)# vrrp 10 ip 10.0.0.1
(config-if)# exit
VLAN10 を VRF10 で使用する IP アドレス 10.0.0.1 として設定
します。この VLAN に対しては本装置が VRRP マスタとなる
よう、VRRP10 の仮想 IP アドレスを 10.0.0.1 とします。
(config)# interface vlan 11
(config-if)# vrf forwarding 11
(config-if)# ip address 11.0.0.2 255.255.255.0
(config-if)# vrrp 11 ip 11.0.0.1
(config-if)# exit
VLAN11 を VRF11 で使用する IP アドレス 11.0.0.2 として設定
します。VRRP11 の仮想 IP アドレスは 11.0.0.1 とします。
(config)# interface vlan 20
(config-if)# vrf forwarding 20
(config-if)# ip address 20.0.0.1 255.255.255.0
(config-if)# exit
(config)# interface vlan 100
(config-if)# vrf forwarding 10
(config-if)# ip address 192.168.0.1 255.255.255.0
(config-if)# vrrp 100 ip 192.168.0.1
(config-if)# exit
(config)# interface vlan 110
(config-if)# vrf forwarding 11
(config-if)# ip address 172.16.0.2 255.255.255.0
(config-if)# vrrp 110 ip 172.16.0.1
(config-if)# exit
トラックオブジェクトの設定 (設定ポイント 3.1.1(2))
(config)# track-object 100
(config-track-object)# default-state up
(config-track-object)# disable
(config-track-object)# type icmp vrf 20 20.0.0.10
(config-track-object)# exit
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
101
default-state up
disable
type icmp vrf 20 20.0.0.11
exit
VLAN20 を VRF20 で使用する IP アドレス 20.0.0.1 として設定
します。
VLAN100 を VRF10 で使用する IP アドレス 192.168.0.1 とし
て設定します。この VLAN に対しては本装置が VRRP マスタ
となるよう、VRRP100 の仮想 IP アドレスを 192.168.0.1 としま
す。
VLAN110 を VRF11 で使用する IP アドレス 172.16.0.2 として
設定します。VRRP110 の仮想 IP アドレスは 172.16.0.1 とし
ます。
プロキシサーバ 1 の状態確認用にトラック ID を 100 としたト
ラックオブジェクトを設定します。デフォルトトラック状態を Up
に設定しトラック動作を disable に設定後 VRF20 にある
20.0.0.10 を IPv4 ICMP ポーリング監視トラックとして指定しま
す。(設定ポイント 3.1.1(4))
プロキシサーバ 2 の状態確認用にトラック ID を 101 としたト
ラックオブジェクトを設定します。デフォルトトラック状態を Up
に設定しトラック動作を disable に設定後、VRF20 にある
20.0.0.11 を IPv4 ICMP ポーリング監視トラックとして指定しま
す。(設定ポイント 3.1.1(4))
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
22
AX シリーズポリシーベースルーティング設定ガイド（初版）
C1(AX3650S)の設定
ポリシーベースルーティングリストの設定 (設定ポイント 3.1.1(2))
(config)# policy-list 10
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.10 track-object 100
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.11 track-object 101
(config-pol)# default deny
(config-pol)# exit
(config)# policy-list 11
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.11 track-object 101
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.10 track-object 100
(config-pol)# default deny
(config-pol)# exit
プロキシサーバ 1 への経路として、リスト番号 10 でポリシー
ベースルーティングリストを作成します。
最初にトラックオブジェクト 100 が有効であれば vlan 20 にあ
る 20.0.0.10(プロキシサーバ 1)をネクストホップとする経路を
定義します。次にトラックオブジェクト 101 が有効であれば
vlan 20 にある 20.0.0.11(プロキシサーバ 2)をネクストホップと
した経路を定義します。(設定ポイント 3.1.1(3),(1))
これらの経路が有効でない際は廃棄とします。
(設定ポイント 3.1.1(5))
プロキシサーバ 2 への経路として、リスト番号 11 でポリシー
ベースルーティングリストを作成します。
最初にトラックオブジェクト 101 が有効であれば vlan 20 にあ
る 20.0.0.11(プロキシサーバ 2)をネクストホップとした経路を
定義します。次にトラックオブジェクト 100 が有効であれば
vlan 20 にある 20.0.0.10(プロキシサーバ 1)をネクストホップと
した経路を定義します。(設定ポイント 3.1.1(3),(1))
これらの経路が有効でない際は廃棄とします。
(設定ポイント 3.1.1(5))
アクセスリストの設定 (設定ポイント 3.1.1(2))
(config)# ip access-list extended PBR_TO_PROXY1
(config-ext-nacl)# permit tcp any any eq http
action policy-list 10
(config-ext-nacl)# permit tcp any any eq https
action policy-list 10
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
(config)# ip access-list extended PBR_TO_PROXY2
(config-ext-nacl)# permit tcp any any eq http
action policy-list 11
(config-ext-nacl)# permit tcp any any eq https
action policy-list 11
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
プロキシサーバ 1 へのポリシーベースルーティング設定とな
るアクセスリスト PBR_TO_PROXY1 を設定します。
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーベースルーティングリ
スト番号 10 を適用します。
そのほかの IP 通信については全て許可します。
(設定ポイント 3.1.1(5))
プロキシサーバ 2 へのポリシーベースルーティング設定とな
るアクセスリスト PBR_TO_PROXY2 を設定します。
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーベースルーティングリ
スト番号 11 を適用します。
そのほかの IP 通信については全て許可します。
(設定ポイント 3.1.1(5))
経路フィルタ(route-map)の設定
(config)# route-map VRF20_IMPORT permit 10
(config-route-map)# match vrf 10 11
(config-route-map)# exit
VRF20 に適用する経路フィルタについて、デフォルトルート
以外の VRF10 および VRF11 への通信を許可する設定とし
ます。
これらの設定により、共用ネットワークから各ネットワークへ
の通信が可能となります。(設定ポイント(2))
スタティックルートの設定
(config)# ip route vrf 10 0.0.0.0 0.0.0.0
10.0.0.254 noresolve
(config)# ip route vrf 11 0.0.0.0 0.0.0.0
20.0.0.254 vrf 20 noresolve
(config)# ip route vrf 20 0.0.0.0 0.0.0.0
20.0.0.254 noresolve
VRF10 におけるデフォルトゲートウェイを 10.0.0.254(ルータ
1)に設定します。
VRF11 におけるデフォルトゲートウェイについては VRF20 の
20.0.0.254(ルータ 2)に設定します。
VRF20 におけるデフォルトゲートウェイについては
20.0.0.254(ルータ 2)に設定します。
VLAN インタフェースへのポリシーベースルーティング設定
(config)# interface vlan 100
(config-if)# ip access-group PBR_TO_PROXY1 in
(config-if)# exit
VLAN100 にポリシーベースルーティング設定の
PBR_TO_PROXY1 を適用します。
(config)# interface vlan 110
(config-if)# ip access-group PBR_TO_PROXY2 in
(config-if)# exit
VLAN110 にポリシーベースルーティング設定の
PBR_TO_PROXY2 を適用します。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
23
AX シリーズポリシーベースルーティング設定ガイド（初版）
C1(AX3650S)の設定
物理インタフェースの設定
(config)# interface gigabitethernet 1/0/1
(config-if)# switchport access vlan 10
(config-if)# exit
ポート 0/1 を VLAN10 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/5-6
(config-if-range)# switchport access vlan 20
(config-if-range)# exit
ポート 0/5-6 を VLAN20 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/3-4
(config-if-range)# channel-group 1 mode on
(config-if-range)# exit
(config)# interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# switchport trunk vlan 10-11,20,100,110
(config-if)# exit
(config)# interface range gigabitethernet 1/0/9-12
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
(config)# interface range gigabitethernet 1/0/13-14
(config-if-range)# switchport access vlan 10
(config-if-range)# exit
(config)# interface range gigabitethernet 1/0/17-20
(config-if-range)# switchport access vlan 110
(config-if-range)# exit
(config)# interface range gigabitethernet 1/0/21-22
(config-if-range)# switchport access vlan 11
(config-if-range)# exit
ポート 0/3,0/4 はポートチャネル 1 として、スタティックリン
クアグリゲーションを構成します。
ポートチャネル 1 を VLAN10-11,20,100,110 のトランクポー
トとします。
ポート 0/9-12 を VLAN100 のアクセスポートとします。
ポート 0/13-14 を VLAN10 のアクセスポートとします。
ポート 0/17-20 を VLAN110 のアクセスポートとします。
ポート 0/21-22 を VLAN11 のアクセスポートとします。
トラックオブジェクトのトラッキング動作開始 (設定ポイント 3.1.1(4))
(config)# track-object 100
(config-track-object)# no disable
(config-track-object)# exit
トラック ID 100 のトラッキング動作を開始します。
トラック ID 101 のトラッキング動作を開始します。
(config)# track-object 101
(config-track-object)# no disable
(config-track-object)# exit
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
24
AX シリーズポリシーベースルーティング設定ガイド（初版）
(2) コアスイッチ C2
C2(AX3650S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
フロー検出モードの設定
(config)# flow detection mode layer3-6
フロー検出モードを layer3-6 に設定します。
(設定ポイント 3.1.1（1))
VRF の設定
(config)# vrf definition 10
(config-vrf)# exit
(config-vrf)# vrf definition 11
(config-vrf)# exit
ネットワーク・パーティションで使用する VRF として、
VRF10,11,20 を定義します。
また VRF20 には route-map 識別子を設定します。
(config-vrf)# vrf definition 20
(config-vrf)# import inter-vrf VRF20_IMPORT
(config-vrf)# exit
VLAN の設定
(config)# vlan 10-11,20,100,110
(config-vlan)# exit
使用する VLAN として 10-11,20,100,110 を設定します。
VLAN インタフェースと VRRP の設定
(config)# interface vlan 10
(config-if)# vrf forwarding 10
(config-if)# ip address 10.0.0.2 255.255.255.0
(config-if)# vrrp 10 ip 10.0.0.1
(config-if)# exit
VLAN10 を VRF10 で使用する IP アドレス 10.0.0.2 として設定
します。VRRP10 の仮想 IP アドレスは 10.0.0.1 とします。
(config)# interface vlan 11
(config-if)# vrf forwarding 11
(config-if)# ip address 11.0.0.1 255.255.255.0
(config-if)# vrrp 11 ip 11.0.0.1
(config-if)# exit
VLAN11 を VRF11 で使用する IP アドレス 11.0.0.1 として設定
します。この VLAN に対しては本装置が VRRP マスタとなる
よう、VRRP11 の仮想 IP アドレスを 11.0.0.1 とします。
(config)# interface vlan 20
(config-if)# vrf forwarding 20
(config-if)# ip address 20.0.0.2 255.255.255.0
(config-if)# exit
VLAN20 を VRF20 で使用する IP アドレス 20.0.0.1 として設定
します。
(config)# interface vlan 100
(config-if)# vrf forwarding 10
(config-if)# ip address 192.168.0.2 255.255.255.0
(config-if)# vrrp 100 ip 192.168.0.1
(config-if)# exit
VLAN100 を VRF10 で使用する IP アドレス 192.168.0.2 とし
て設定します。VRRP100 の仮想 IP アドレスは 192.168.0.1 と
します。
(config)# interface vlan 110
(config-if)# vrf forwarding 11
(config-if)# ip address 172.16.0.1 255.255.255.0
(config-if)# vrrp 110 ip 172.16.0.1
(config-if)# exit
VLAN110 を VRF11 で使用する IP アドレス 172.16.0.1 として
設定します。この VLAN に対しては本装置が VRRP マスタと
なるよう、VRRP110 の仮想 IP アドレスを 172.16.0.1 とします。
トラックオブジェクトの設定 (設定ポイント 3.1.1(2))
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
100
default-state up
disable
type icmp vrf 20 20.0.0.10
exit
プロキシサーバ 1 の状態確認用にトラック ID を 100 としたト
ラックオブジェクトを設定します。デフォルトトラック状態を Up
に設定しトラック動作を一旦 disable に設定後、VRF20 にあ
る 20.0.0.10 を IPv4 ICMP ポーリング監視トラックとして指定
します。(設定ポイント 3.1.1(4))
(config)# track-object
(config-track-object)#
(config-track-object)#
(config-track-object)#
(config-track-object)#
101
default-state up
disable
type icmp vrf 20 20.0.0.11
exit
プロキシサーバ 2 の状態確認用にトラック ID を 101 としたト
ラックオブジェクトを設定します。デフォルトトラック状態を Up
に設定しトラック動作を一旦 disable に設定後、VRF20 にあ
る 20.0.0.11 を IPv4 ICMP ポーリング監視トラックとして指定
します。(設定ポイント 3.1.1(4))
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
25
AX シリーズポリシーベースルーティング設定ガイド（初版）
C2(AX3650S)の設定
ポリシーベースルーティングリストの設定 (設定ポイント 3.1.1(2))
(config)# policy-list 10
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.10 track-object 100
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.11 track-object 101
(config-pol)# default deny
(config-pol)# exit
(config)# policy-list 11
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.11 track-object 101
(config-pol)# policy-interface vlan 20 next-hop
20.0.0.10 track-object 100
(config-pol)# default deny
(config-pol)# exit
プロキシサーバ 1 への経路として、リスト番号 10 でポリシー
ベースルーティングリストを作成します。
最初にトラックオブジェクト 100 が有効であれば vlan 20 にあ
る 20.0.0.10(プロキシサーバ 1)をネクストホップとする経路を
定義します。次にトラックオブジェクト 101 が有効であれば
vlan 20 にある 20.0.0.11(プロキシサーバ 2)をネクストホップと
する経路を定義します。(設定ポイント 3.1.1(3),(1))
これらの経路が有効でない際は廃棄とします。
(設定ポイント 3.1.1(5))
プロキシサーバ 2 への経路として、リスト番号 11 でポリシー
ベースルーティングリストを作成します。
最初にトラックオブジェクト 101 が有効であれば vlan 20 にあ
る 20.0.0.11(プロキシサーバ 2)をネクストホップとする経路を
定義します。次にトラックオブジェクト 100 が有効であれば
vlan 20 にある 20.0.0.10(プロキシサーバ 1)をネクストホップと
する経路を定義します。(設定ポイント 3.1.1(3),(1))
これらの経路が有効でない際は廃棄とします。
(設定ポイント 3.1.1(5))
アクセスリストの設定 (設定ポイント 3.1.1(2))
(config)# ip access-list extended PBR_TO_PROXY1
(config-ext-nacl)# permit tcp any any eq http
action policy-list 10
(config-ext-nacl)# permit tcp any any eq https
action policy-list 10
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
プロキシサーバ 1 へのポリシーベースルーティング設定とな
るアクセスリスト PBR_TO_PROXY1 を設定します。
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーベースルーティングリ
スト番号 10 を適用します。
そのほかの IP 通信については全て許可します。
(config)# ip access-list extended PBR_TO_PROXY2
(config-ext-nacl)# permit tcp any any eq http
action policy-list 11
(config-ext-nacl)# permit tcp any any eq https
action policy-list 11
(config-ext-nacl)# permit ip any any
(config-ext-nacl)# exit
プロキシサーバ 2 へのポリシーベースルーティング設定とな
るアクセスリスト PBR_TO_PROXY2 を設定します。
tcp による http アクセス(ポート番号 80)および https アクセ
ス(ポート番号 443)に対して、ポリシーベースルーティングリ
スト番号 11 を適用します。
そのほかの IP 通信については全て許可します。
経路フィルタ(route-map)の設定
(config)# route-map VRF20_IMPORT permit 10
(config-route-map)# match vrf 10 11
(config-route-map)# exit
VRF20 に適用する経路フィルタについて、VRF10 および
VRF11 への通信を許可する設定とします。
これらの設定により、共用ネットワークから各ネットワークへ
の通信が可能となります。(設定ポイント(2))
スタティックルートの設定
(config)# ip route vrf 10 0.0.0.0 0.0.0.0
10.0.0.254 noresolve
(config)# ip route vrf 11 0.0.0.0 0.0.0.0
20.0.0.254 vrf 20 noresolve
(config)# ip route vrf 20 0.0.0.0 0.0.0.0
20.0.0.254 noresolve
VRF10 におけるデフォルトゲートウェイを 10.0.0.254(ルータ
1)に設定します。
VRF11 におけるデフォルトゲートウェイについては VRF20 の
20.0.0.254(ルータ 2)に設定します。
VRF20 におけるデフォルトゲートウェイについては
20.0.0.254(ルータ 2)に設定します。
VLAN インタフェースへのポリシーベースルーティング設定
(config)# interface vlan 100
(config-if)# ip access-group PBR_TO_PROXY1 in
(config-if)# exit
VLAN100 にポリシーベースルーティング設定の
PBR_TO_PROXY1 を適用します。
(config)# interface vlan 110
(config-if)# ip access-group PBR_TO_PROXY2 in
(config-if)# exit
VLAN110 にポリシーベースルーティング設定の
PBR_TO_PROXY2 を適用します。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
26
AX シリーズポリシーベースルーティング設定ガイド（初版）
C2(AX3650S)の設定
物理インタフェースの設定
(config)# interface gigabitethernet 1/0/1
(config-if)# switchport access vlan 20
(config-if)# exit
ポート 0/1 を VLAN10 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/5-6
(config-if-range)# switchport access vlan 20
(config-if-range)# exit
ポート 0/5-6 を VLAN20 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/3-4
(config-if-range)# channel-group 1 mode on
(config-if-range)# exit
ポート 0/3,0/4 はポートチャネル 1 として、スタティックリン
クアグリゲーションを構成します。
(config)# interface port-channel 1
(config-if)# switchport mode trunk
(config-if)# switchport trunk vlan 10-11,20,100,110
(config-if)# exit
ポートチャネル 1 を VLAN10-11,100,110 のトランクポートと
します。
(config)# interface range gigabitethernet 1/0/9-12
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
ポート 0/9-12 を VLAN100 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/13-14
(config-if-range)# switchport access vlan 10
(config-if-range)# exit
ポート 0/13-14 を VLAN10 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/17-20
(config-if-range)# switchport access vlan 110
(config-if-range)# exit
ポート 0/17-20 を VLAN110 のアクセスポートとします。
(config)# interface range gigabitethernet 1/0/21-22
(config-if-range)# switchport access vlan 11
(config-if-range)# exit
ポート 0/21-22 を VLAN10 のアクセスポートとします。
トラックオブジェクトのトラッキング動作開始 (設定ポイント 3.1.1(4))
(config)# track-object 100
(config-track-object)# no disable
(config-track-object)# exit
トラック ID 100 のトラッキング動作を開始します。
トラック ID 101 のトラッキング動作を開始します。
(config)# track-object 101
(config-track-object)# no disable
(config-track-object)# exit
(3) アクセススイッチ A1
A1(AX1240S)の設定
スパニングツリーの設定
(config)# spanning-tree mode rapid-pvst
スパニングツリーのモードを rapid-PVST+とします。
VLAN の設定
(config)# vlan 100
(config-vlan)# exit
使用する VLAN を設定します。
物理インタフェースの設定
(config)# interface range fastethernet 0/1-24
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
(config)# interface range gigabitethernet 0/25-26
(config-if-range)# switchport access vlan 100
(config-if-range)# exit
ポート 0/1-24 を VLAN100 のアクセスポートとします。
ポート 0/25-26 を VLAN100 のアクセスポートとします。
(*1)装置 A2 については扱う VLAN が異なる(VLAN ID=110)以外は装置 A1 と同様な設定となります。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
27
AX シリーズポリシーベースルーティング設定ガイド（初版）
(4) ルータ 1,2
ルータ 1、ルータ 2 の経路設定
スタティックルート設定
外部への接続に関する設定以外に、以下をスタティックルート設定
• 宛先 192.168.0.0/24 へはゲートウェイ 20.0.0.1 を経由
• 宛先 1７2.16.0.0/24 へはゲートウェイ 20.0.0.1 を経由
(5) プロキシサーバ 1,2
プロキシサーバ 1,2 の経路設定
スタティックルート設定
• デフォルトゲートウェイは 20.0.0.254
• 宛先 192.168.0.0/24 へはゲートウェイ 20.0.0.1 を経由
• 宛先 1７2.16.0.0/24 へはゲートウェイ 20.0.0.1 を経由
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
28
AX シリーズポリシーベースルーティング設定ガイド（初版）
4. ポリシーベースルーティングの確認
ポリシーベースルーティングは経路を決定する方法の一つですが、その内容は一般的な経路情報(ルーテ
ィングテーブル)には直接反映されません。ポリシーベースルーティングを使用したシステムを運用中に、その
適用状況を確認するには、以下に示す運用コマンドによって確認することができます。
以下に、ポリシーベースルーティングによる経路情報やその他の状態の確認方法について解説します。
4.1
ポリシーベースルーティング設定の有無と経路変更条件および経路について
(1) ポリシーベースルーティング設定の有無
ポリシーベースルーティングによる経路制御がおこなわれているかの確認は、show ip policy コマンドにて確
認することができます。このコマンドでは、VLAN インタフェースと適用しているアクセスリスト名、ポリシールーテ
ィンググループリストのリスト番号を知ることができます。
C1# show ip policy
Date 2012/02/20 16:49:04 JST
VLAN ID Access List Name/Number Sequence Policy List
100 PG_PROXY
10
10
100 PG_PROXY
20
10
101 PG_PROXY
10
10
101 PG_PROXY
20
10
C1#
VLAN 番号
アクセスリスト名称
または番号
アクセスリストの
シーケンス番号
ポリシーベースルーティングリストの
リスト番号
図 4.1-1 show ip policy 実行結果 (3.1 節構成での装置 C1 にて)
この例では、VLAN100 および VLAN101 に PG_PROXY というアクセスリスト名でポリシーベースルーティン
グを設定していることがわかります。
(2) 経路変更の条件(ポリシー)の確認
ポリシーベースルーティングはアクセスフィルタの一種として機能します。従って show access-filter コマンドに
てよって、ポリシーベースルーティングで適用する経路変更の条件(ポリシー)を確認することができ、またその
経路変更の条件によって参照されるポリシーベースルーティングリストのリスト番号を確認できます。
C1# show access-filter interface vlan 100
参照されるポリシーベース
適用しているインタフェース
Date 2012/02/20 16:49:18 JST
ルーティングリスト番号
アクセスリストの種類と名称
Using Interface:vlan 100 in
Extended IP access-list:PG_PROXY
アクセスリスト条件=経路変更の条件
permit tcp(6) any any eq http(80) action policy-list 10
matched packets
:
6
統計情報
permit tcp(6) any any eq https(443) action policy-list 10
アクセス
matched packets
:
0
リスト
permit ip any any
matched packets
:
1805
implicitly denied packets:
0
C1#
図 4.1-2 show access-filter 実行結果 (3.1 節構成での装置 C1 にて)
この例は、VLAN100 に設定しているアクセスフィルタの詳細を表示したものです。http および https のトラフィ
ックに対し、ポリシーベースルーティングリスト 10 番の経路を適用していることがわかります。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
29
AX シリーズポリシーベースルーティング設定ガイド（初版）
(3) 経路変更で使用する経路の確認
ポリシーベースルーティングで設定されている経路については、show ip cache policy コマンドにて確認する
ことができます。ポリシーベースルーティングリストの詳細情報を確認でき、設定している経路と現在選択されて
いる経路などを確認することができます。
C1# show ip cache policy
Date 2012/02/20 16:49:36 JST
Policy Base Routing Default Init Interval : 200
Start Time : 2012/02/20 16:22:11
End Time
: 2012/02/20 16:25:31
ポリシーベースルーティングリスト番号
Policy Base Routing List : 10
Default : Deny
Recover : On
Priority
Sequence VLAN ID Status Next Hop
Track Object ID
1
10
10 Down
10.0.0.10
100
*>
2
20
10 Up
10.0.0.11
101
C1#
ポリシーベースルーティングリスト
図 4.1-3 show ip cache policy 実行結果 (3.1 節構成での装置 C1 にて)
この例では、ポリシーベースルーティングリストとして 10 番が設定されており、その内容として 2 つのネクスト
ホップが設定されていることがわかります。また現在は有効なネクストホップとして UP 状態にある 10.0.0.11 が選
択されていることもわかります。
4.2
宛先やネクストホップの状態確認について
(1) トラッキング機能による宛先の状態確認
ポリシーベースルーティングのトラッキング機能を使用している場合、show track-object コマンドにてトラック
対象の現在の状況を確認することができます。show track-object コマンド単体では、サマリ情報を表示し、トラッ
ク ID を指定した場合はそのトラック ID に関する詳細情報を表示します。
C1# show track-object
Date 2012/02/20 16:49:58 JST
Track State
Type
100
DOWN(Active) ICMP
101
UP(Active)
ICMP
C1# トラック ID と状態
タイプ
Target
10.0.0.10
10.0.0.11
トラッキング対象
(ICMP のみ)
図 4.2-1 show track-object 実行結果 (3.1 節構成での装置 C1 にて)
この例ではトラッキングのサマリ情報を表示しています。その内容として、トラッキング対象には 10.0.0.10(トラ
ック ID は 100)と 10.0.0.11(トラック ID は 101)の 2 つが設定されており、いずれもトラッキング動作中(Active)で
すが、10.0.0.10 は DOWN 状態(いわゆる ping 応答が無いため Down と見なされている状態)、10.0.0.11 は UP
状態(ping 応答があり稼動中と見なされている)にあることが表示されています。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
30
AX シリーズポリシーベースルーティング設定ガイド（初版）
(2) ネクストホップの ARP/MAC アドレステーブルへのエントリ確認
3 章の設定のポイントや 5 章の留意事項(1)でも解説の通り、AX3600S シリーズなどボックスモデルにおける
ポリシーベースルーティングでは、ネクストホップとなる装置の ARP および MAC アドレスの情報が装置に登録
されていないと、ネクストホップへの転送がおこなえず廃棄されます。
トラッキング機能を使ってネクストホップの状態確認をおこなっている場合は(ICMP による状態確認の通信を
定期的におこなうため)、ネクストホップの ARP テーブルおよび MAC アドレステーブルへのエントリ状態を気に
する必要はありませんが、ネクストホップを直接 ARP テーブルおよび MAC アドレステーブルにエントリしている
(スタティックにエントリしている)ような場合は、その内容が各テーブルに正しく登録されているか確認することを
推奨します。
C1# show ip arp
Date 2012/02/20 16:50:18 JST
Total: 4 entries
IP Address
Linklayer Address
10.0.0.11
0000.2000.0011
10.0.0.251
0060.b946.dd2a
192.168.0.15
0024.8142.c104
C1#
C1#
C1# show mac-address-table
Date 2012/02/20 16:50:31 JST
MAC address
VLAN
Type
0000.2000.0011
10
Dynamic
0012.e242.6a2c
10
Dynamic
0060.b946.dd2a
10
Dynamic
0012.e242.6a2f
100
Dynamic
0024.8142.c104
100
Dynamic
0000.5e00.0102
101
Dynamic
0012.e242.6a2f
101
Dynamic
ネクストホップの ARP テーブルエントリ
Netif
VLAN0010
VLAN0010
VLAN0100
Expire
3h59m31s
3h54m22s
3h54m29s
Type
arpa
arpa
arpa
Port-list
0/3-4
ネクストホップの MAC アドレステーブルエントリ
0/3-4
0/3-4
0/3-4
0/3-4
0/3-4
0/3-4
図 4.2-2 show ip arp および show mac-address-table 実行結果 (3.1 節構成での装置 C1 にて)
この例では、ネクストホップである IP アドレス 10.0.0.11 の装置の ARP テーブルと MAC アドレステーブルの
確認をおこなっています。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
31
AX シリーズポリシーベースルーティング設定ガイド（初版）
5. 留意事項
ここでは、ポリシーベースルーティングを使うにあたり、特に留意しておきたい項目について示しています。
以下およびその他の留意事項や注意事項については、AX6000S ファミリまたは AX3640S、AX3650S 各シリ
ーズでのソフトウェアマニュアル「コンフィグレーションガイド Vol.3」のポリシーベースルーティングの章を参照く
ださい。
(1) ボックスモデルでの中継先の経路設定について
AX3600S シリーズなどボックスモデルでのポリシーベースルーティングでは、ネクストホップとなる装置の
ARP および MAC アドレスの情報が装置に登録されていないとポリシーベースルーティング対象のパケットは廃
棄されます。このため、ボックスモデルでポリシーベースルーティングを使用する際は、次のいずれかを実施し
てください。
• ネクストホップアドレスに関する MAC アドレスおよび ARP テーブルをスタティックに設定する。
• ポリシーベースルーティングリスト情報に登録する経路をトラッキング機能のポーリング監視と連携させる
(2) ポリシーベースルーティングで中継できないパケットについて
次に示すパケットはポリシーベースルーティングリスト情報を設定しているアクセスリストでパケットを検出して
統計情報にカウントされますが、ポリシーベースルーティングで中継できないため廃棄されます。
• レイヤ 2 認証によって廃棄したフレーム
• DHCP snooping によって廃棄したフレーム
• フロー制御によって廃棄したパケット
(3) ポリシーベースルーティングの対象外となるパケットについて
次に示すパケットはポリシーベースルーティングリスト情報を設定しているアクセスリストでパケットを検出でき
ないため，ポリシーベースルーティングの対象外となります。
• VLAN のポートのデータ転送状態が Blocking（データ転送停止中）のため廃棄したフレーム
• ポリシーベースルーティングリスト情報を設定したアクセスリストを適用している受信側インタフェースと、
ポリシーベースルーティングの送信先インタフェースをポート間中継遮断機能によって遮断した場合
に廃棄したフレーム
• ネイティブ VLAN をトランクポートで受信する VLAN に設定しないで受信した Untagged フレーム
• トランクポートで受信する VLAN に設定していない Tagged フレーム
• アクセスポート，プロトコルポートおよび MAC ポートで受信した Tagged フレーム
• MAC アドレス学習機能によって廃棄したフレーム
• IP パケットヘッダの有効性チェックでチェック異常のため廃棄したパケット
• アドレス未解決パケットのハードウェア廃棄によって廃棄したパケット
• NULL インタフェースによって廃棄したパケット
• コンフィグレーションコマンド no ip routing で IPv4 および IPv6 中継機能を無効にしたため廃棄した
パケット
(4) ICMP リダイレクトパケットをポリシーベースルーティング対象とした場合について
ボックスモデルにおいて、ポリシーベースルーティングの中継先がリダイレクト先となる ICMP リダイレクトパケ
ットをポリシーベースルーティングの対象とした場合、CPU が高負荷となる可能性があります。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
32
AX シリーズポリシーベースルーティング設定ガイド（初版）
(5) 受信 VLAN と同一 VLAN への転送をポリシーベースルーティング対象とした場合について
受信 VLAN と同じ VLAN にある別ルータにポリシーベースルーティングで転送する設定をおこない、その通
信が発生すると、本装置はその通信をリダイレクト処理と判断し本装置から ICMP リダイレクトパケットを送信しま
す。そのため ICMP リダイレクトパケットを受信した端末が別ルータに直接パケットを送信するようになり、本装置
を経由しなくなる場合があります。また本装置の CPU の使用率も上がります。
この対策として、受信 VLAN と同じ VLAN 内へポリシーベースルーティングで転送する設定をおこなう場合、
装置全体での ICMP リダイレクトの送信を無効(グローバルモードにて no ip redirets を設定)とする設定の追加を
推奨します。
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
33
AX シリーズポリシーベースルーティング設定ガイド（初版）
付録：コンフィグレーションファイル
本ガイドにて紹介した構成のコンフィグレーション例です。
3 章の各ネットワーク構成における各装置の全コンフィグレーションについて、テキスト形式のファイルとして
本ファイルに添付しております。(添付ファイルを抽出するには、Adobe Acrobat 5.0 以降もしくは Adobe Reader
6.0 以降が必要です。)
各コンフィグレーションについては、以下に示すファイル名と同じ名前の添付ファイルを参照下さい。
3.1 特定サービスの経路を分けるシステムの例
L3 コアスイッチ
L2 アクセススイッチ
装置名と対象装置
C1 (AX3650S-48T4XW)
C2 (AX3650S-24T6XW)
A1 (AX1240S-24T2C)
A2 (AX1240S-24T2C)
対象ファイル
3-1_PBR_C1.txt
3-1_PBR_C2.txt
3-1_PBR_A1.txt
3-1_PBR_A2.txt
3.2 仮想ネットワークでのポリシーベースルーティング利用例
L3 コアスイッチ
L2 アクセススイッチ
装置名と対象装置
C1 (AX3650S-48T4XW)
C2 (AX3650S-24T6XW)
A1 (AX1240S-24T2C)
A2 (AX1240S-24T2C)
Copyright © 2012-2014, ALAXALA Networks Corporation. All rights reserved.
対象ファイル
3-2_PBR_C1.txt
3-2_PBR_C2.txt
3-2_PBR_A1.txt
3-2_PBR_A2.txt
34
2014 年 9 月 18 日初版(Rev.1)発行
資料 No. NTS-11-R-041
アラクサラネットワークス株式会社
ネットワークテクニカルサポート
〒212-0058
川崎市幸区鹿島田一丁目 1 番 2 号新川崎三井ビル西棟
http://www.alaxala.com/

Download Report