BGP ピアからの 1 つ以上のネットワークをブロックする方法目次概要前提条件要件使用するコンポーネント表記法 NLRI ベースルートの識別とフィルタリングネットワーク図標準アクセスリスト付きの配布リストを使用すたフィルタリング拡張アクセスリスト付きの配布リストを使用したフィルタリング ip prefix-list コマンドを使用したフィルタリング BGPピアからのデフォルトルートのフィルタリング関連情報概要ルートフィルタリングは、ボーダーゲートウェイプロトコル（BGP）のポリシーを設定するための基礎です。ネットワーク層到達可能性情報（NLRI）、AS_Path およびコミュニティアトリビュートなど、BGP ピアから 1 つ以上のネットワークをフィルタリングするさまざまな方法があります。このドキュメントでは、NLRI だけに基づいたフィルタリングについて説明します。 AS_Path に基づいてフィルタリングする方法については、『Using Regular Expressions in BGP』を参照してください。詳細については、『BGP Case Studies』の「BGP Filtering」の項を参照してください。前提条件要件 Cisco は基本的な BGP設定のナレッジがあることを推奨します。詳細については、BGP ケーススタディーを設定 BGP 参照すれば。使用するコンポーネントこの文書に記載されている情報は Cisco IOS ソフトウェアリリース 12.2(28)に基づいています。このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。表記法ドキュメント表記の詳細は、『シスコテクニカルティップスの表記法』を参照してください。 NLRI ベースルートの識別とフィルタリングルータが学習またはアドバタイズするルーティング情報を制限するために、ルーティング更新に基づいてフィルターを使用できます。フィルターはアクセスリストか相手へのおよび相手からの更新に追加されるプレフィクスリストで構成されています。この資料はこのネットワークダイアグラムとのこれらのオプションを探索します: ネットワーク図標準アクセスリスト付きの配布リストを使用すたフィルタリングルータ 200 はピアルータ 100 にこれらのネットワークをアナウンスします: 192.168.10.0/24 10.10.10.0/24 10.10.0.0/19 この設定例はネットワーク 10.10.10.0/24 および割り当てのためのアップデートを拒否することをルータ 100 が BGPテーブルのネットワーク 192.168.10.0/24 および 10.10.0.0/19 の更新可能にします: ルータ 100 hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 distribute-list 1 in ! access-list 1 deny 10.10.10.0 0.0.0.255 access-list 1 permit any ルータ 200 hostname Router 200 ! router bgp 200 no synchronization network 192.168.10.0 network 10.10.10.0 mask 255.255.255.0 network 10.10.0.0 mask 255.255.224.0 no auto-summary neighbor 172.16.1.1 remote-as 100 この show ip bgp 出力はルータ 100 のアクションを確認します: Router 100# show ip bgp BGP table version is 3, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network Next Hop *> 10.10.0.0/19 172.16.1.2 *> 192.168.10.0/24 172.16.1.2 Metric LocPrf Weight Path 0 0 200 i 0 0 200 i 拡張アクセスリスト付きの配布リストを使用したフィルタリングそれはスーパーネットをフィルタリングするのに標準アクセスリストを使用するように厄介である場合もあります。ルータ 200 がこれらのネットワークをアナウンスすることを仮定して下さい: 10.10.1.0/24 10.10.31.0/24 10.10.0.0/19 （集約）ルータ 100 は受信専用に集約ネットワークを、10.10.0.0/19、すべての特定のネットワークをフィルタ・アウトするために希望し。標準アクセスリストは、access-list 1 割り当て 10.10.0.0 0.0.31.255 のような、のでそれ割り当て望まれるよりより多くのネットワークはたらきません。ネットワークアドレスだけの標準アクセスリスト外観はネットワークマスクの長さをチェックし。標準アクセスリストは割り当て /19 集約、また /24 特定のネットワークこと。割り当てにスーパーネットだけ 10.10.0.0/19、access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0 のような拡張アクセスリストを、使用します。拡張アクセスリストコマンドの形式のための access-list （伸びる IP）を参照して下さい。例では、ソースは 10.10.0.0 であり、0.0.0.0 のソースワイルドカードはソースの完全に一致するもののために設定されます。 255.255.224.0 のマスク、および 0.0.0.0 のマスクワイルドカードはソースマスクの完全に一致するもののために設定されます。それらのどれでも（ソースかマスク）完全に一致するものがない場合、アクセスリストはそれを拒否します。これは拡張アクセスリストコマンドがマスク 255.255.224.0 のソースネットワーク番号 10.10.0.0 の完全に一致するものを可能にするようにし、（こうして、10.10.0.0/19）。 /24 他の特定のネットワークはフィルタ・アウトされます。注：ワイルドカードを設定するとき、0 はそれが完全に一致するビットであり、1 つが do not care ビットであることを意味します。これはルータ 100 の設定です: ルータ 100 hostname Router 100 ! router bgp 100 !--- Output suppressed. neighbor 172.16.1.2 remote-as 200 neighbor 172.17.1.2 distribute-list 101 in ! ! access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0 ルータ 100 からの show ip bgp 出力はアクセスリストが期待どおりにはたらいていることを確認します。 Router 100# show ip bgp BGP table version is 2, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network *> 10.10.0.0/19 Next Hop 172.16.1.2 Metric LocPrf Weight Path 0 0 200 i このセクションに見られるように、拡張アクセスリストは拒否されるいくつかのネットワークがいくつか許可する必要がある同じ主要なネットワークの内でとき使用してが便利であり。これらの例は拡張アクセスリストがどのようにで状況によっては助けることができるかより多くの把握を提供します: access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.252.0 0.0.0.0 この access-list 割り当てスーパーネットだけ 192.168.0.0/22。 access-list 102 割り当て IP 192.168.10.0 0.0.0.255 255.255.255.0 0.0.0.255 この access-list 割り当て 192.168.10.0/24 のすべてのサブネット。すなわち、それは 192.168.10.0/24 を、 192.168.10.0/25、192.168.10.128/25、等可能にします: 24 から 32 まで及ぶのマスクの 192.168.10.x ネットワーク。 access-list 103 permit ip 0.0.0.0 255.255.255.255 255.255.255.0 0.0.0.255 このアクセスリスト割り当て 24 から 32 まで及ぶマスクのネットワークプレフィクス。 ip prefix-list コマンドを使用したフィルタリングルータ 200 はピアルータ 100 にこれらのネットワークをアナウンスします: 192.168.10.0/24 10.10.10.0/24 10.10.0.0/19 このセクションの設定例は 2 つの事柄をすることをルータ 100 が可能にする ip prefix-list コマンドを使用します、: プレフィクスのあらゆるネットワークのための割り当て更新は 19 と等しいかまたはそれ以下の長さを覆います。大きいネットワークマスク長さのすべてのネットワーク更新をより 19 拒否して下さい。ルータ 100 hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 prefix-list cisco in ! ip prefix-list cisco seq 10 permit 0.0.0.0/0 le 19 ルータ 200 hostname Router 200 ! router bgp 200 no synchronization network 192.168.10.0 network 10.10.10.0 mask 255.255.255.0 network 10.10.0.0 mask 255.255.224.0 no auto-summary neighbor 172.16.1.1 remote-as 100 show ip bgp 出力はプレフィクスリストがルータ 100 で期待どおりに動作していることを確認します。 Router 100# show ip bgp BGP table version is 2, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal Origin codes: i - IGP, e - EGP, ? - incomplete Network *> 10.10.0.0/19 Next Hop 172.16.1.2 Metric LocPrf Weight Path 0 0 200 i 結論として、プレフィクスリストの使用は BGP のネットワークをフィルタリングするほとんどの便利な手段です。場合によってははまたマスクを length 制御する間、しかし、たとえば、異様およびネットワークをフィルタリングしたいと思う場合拡張アクセスリストはプレフィクスリストより大きなフレキシビリティを提供し、制御します。 BGPピアからのデフォルトルートのフィルタリングプレフィクスリストコマンドを使用して BGPピアが、アドバタイズする 0.0.0.0/32 のようなデフォルトルートを、フィルタリングするか、またはブロックできます。利用可能な 0.0.0.0 エントリを表示できま show ip bgp コマンドを使用します。 Router 100#show ip bgp BGP table version is 5, local router ID is 172.16.1.1 Status codes: s suppressed, d damped, h history, * valid, > best, i - internal, r RIB-failure, S Stale Origin codes: i - IGP, e - EGP, ? - incomplete Network *> 0.0.0.0 Next Hop 172.16.1.2 Metric LocPrf Weight Path 0 0 200 i このセクションの設定例は ip prefix-list コマンドを使用してルータ 100 で行われます。ルータ 100 hostname Router 100 ! router bgp 100 neighbor 172.16.1.2 remote-as 200 neighbor 172.16.1.2 prefix-list deny-route in ! ip prefix-list deny-route seq 5 deny 0.0.0.0/32 ip prefix-list deny-route seq 10 permit 0.0.0.0/0 le 32 この設定の後の perfom show ip bgp、前の show ip bgp output で利用可能だった 0.0.0.0 エントリを見なければ。関連情報トラブルシューティングテクニカルノーツ 1992 - 2014 Cisco Systems, Inc. All rights reserved. Updated: 2014 年 12 月 25 日 http://www.cisco.com/cisco/web/support/JP/100/1001/1001803_22.html Document ID: 13750