BGP ピアからの 1 つ以上のネットワークをブロックする方法

BGP ピアからの 1 つ以上のネットワークをブロックする方法
目次
概要
前提条件
要件
使用するコンポーネント
表記法
NLRI ベースルートの識別とフィルタリング
ネットワーク図
標準アクセスリスト付きの配布リストを使用すたフィルタリング
拡張アクセスリスト付きの配布リストを使用したフィルタリング
ip prefix-list コマンドを使用したフィルタリング
BGPピアからのデフォルト ルートのフィルタリング
関連情報
概要
ルート フィルタリングは、ボーダー ゲートウェイ プロトコル(BGP)のポリシーを設定するための基礎です。 ネットワーク層
到達可能性情報(NLRI)、AS_Path およびコミュニティ アトリビュートなど、BGP ピアから 1 つ以上のネットワークをフィルタ
リングするさまざまな方法があります。 このドキュメントでは、NLRI だけに基づいたフィルタリングについて説明します。
AS_Path に基づいてフィルタリングする方法については、『Using Regular Expressions in BGP』を参照してください。 詳細に
ついては、『BGP Case Studies』の「BGP Filtering」の項を参照してください。
前提条件
要件
Cisco は基本的な BGP設定のナレッジがあることを推奨します。 詳細については、BGP ケース スタディーを設定 BGP 参照すれ
ば。
使用するコンポーネント
この文書に記載されている情報は Cisco IOS ソフトウェア リリース 12.2(28)に基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべ
てのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜
在的な影響を十分に理解しておく必要があります。
表記法
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
NLRI ベースルートの識別とフィルタリング
ルータが学習またはアドバタイズするルーティング情報を制限するために、ルーティング更新に基づいてフィルターを使用できま
す。 フィルターはアクセス リストか相手へのおよび相手からの更新に追加されるプレフィクスリストで構成されています。 こ
の資料はこのネットワークダイアグラムとのこれらのオプションを探索します:
ネットワーク図
標準アクセスリスト付きの配布リストを使用すたフィルタリング
ルータ 200 はピアルータ 100 にこれらのネットワークをアナウンスします:
192.168.10.0/24
10.10.10.0/24
10.10.0.0/19
この設定 例はネットワーク 10.10.10.0/24 および割り当てのためのアップデートを拒否することをルータ 100 が BGPテーブル
のネットワーク 192.168.10.0/24 および 10.10.0.0/19 の更新可能にします:
ルータ 100
hostname Router 100
!
router bgp 100
neighbor 172.16.1.2 remote-as 200
neighbor 172.16.1.2 distribute-list 1 in
!
access-list 1 deny 10.10.10.0 0.0.0.255
access-list 1 permit any
ルータ 200
hostname Router 200
!
router bgp 200
no synchronization
network 192.168.10.0
network 10.10.10.0 mask 255.255.255.0
network 10.10.0.0 mask 255.255.224.0
no auto-summary
neighbor 172.16.1.1 remote-as 100
この show ip bgp 出力はルータ 100 のアクションを確認します:
Router 100# show ip bgp
BGP table version is 3, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
Next Hop
*> 10.10.0.0/19
172.16.1.2
*> 192.168.10.0/24 172.16.1.2
Metric LocPrf Weight Path
0
0 200 i
0
0 200 i
拡張アクセスリスト付きの配布リストを使用したフィルタリング
それはスーパーネットをフィルタリングするのに標準アクセス リストを使用するように厄介である場合もあります。 ルータ
200 がこれらのネットワークをアナウンスすることを仮定して下さい:
10.10.1.0/24 10.10.31.0/24
10.10.0.0/19 (集約)
ルータ 100 は受信専用に集約ネットワークを、10.10.0.0/19、すべての特定のネットワークをフィルタ・アウトするために希望
し。
標準アクセス リストは、access-list 1 割り当て 10.10.0.0 0.0.31.255 のような、のでそれ割り当て望まれるよりより多くの
ネットワークはたらきません。 ネットワーク アドレスだけの標準アクセス リスト外観はネットワークマスクの長さをチェック
し。 標準アクセス リストは割り当て /19 集約、また /24 特定のネットワークこと。
割り当てにスーパーネットだけ 10.10.0.0/19、access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0 のよう
な拡張アクセスリストを、使用します。 拡張アクセスリスト コマンドの形式のための access-list (伸びる IP)を参照して下
さい。
例では、ソースは 10.10.0.0 であり、0.0.0.0 のソース ワイルドカードはソースの完全に一致するもののために設定されます。
255.255.224.0 のマスク、および 0.0.0.0 のマスク ワイルドカードはソース マスクの完全に一致するもののために設定されま
す。 それらのどれでも(ソースかマスク)完全に一致するものがない場合、アクセス リストはそれを拒否します。
これは拡張アクセスリスト コマンドがマスク 255.255.224.0 のソース ネットワーク番号 10.10.0.0 の完全に一致するものを可
能にするようにし、(こうして、10.10.0.0/19)。 /24 他の特定のネットワークはフィルタ・アウトされます。
注:ワイルドカードを設定するとき、0 はそれが完全に一致するビットであり、1 つが do not care ビットであることを意味し
ます。
これはルータ 100 の設定です:
ルータ 100
hostname Router 100
!
router bgp 100
!--- Output suppressed.
neighbor 172.16.1.2 remote-as 200
neighbor 172.17.1.2 distribute-list 101 in
!
!
access-list 101 permit ip 10.10.0.0 0.0.0.0 255.255.224.0 0.0.0.0
ルータ 100 からの show ip bgp 出力はアクセス リストが期待どおりにはたらいていることを確認します。
Router 100# show ip bgp
BGP table version is 2, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*> 10.10.0.0/19
Next Hop
172.16.1.2
Metric LocPrf Weight Path
0
0 200 i
このセクションに見られるように、拡張アクセスリストは拒否されるいくつかのネットワークがいくつか許可する必要がある同じ
主要なネットワークの内でとき使用してが便利であり。 これらの例は拡張アクセスリストがどのようにで状況によっては助ける
ことができるかより多くの把握を提供します:
access-list 101 permit ip 192.168.0.0 0.0.0.0 255.255.252.0 0.0.0.0
この access-list 割り当てスーパーネットだけ 192.168.0.0/22。
access-list 102 割り当て IP 192.168.10.0 0.0.0.255 255.255.255.0 0.0.0.255
この access-list 割り当て 192.168.10.0/24 のすべてのサブネット。 すなわち、それは 192.168.10.0/24 を、
192.168.10.0/25、192.168.10.128/25、等可能にします: 24 から 32 まで及ぶのマスクの 192.168.10.x ネットワーク。
access-list 103 permit ip 0.0.0.0 255.255.255.255 255.255.255.0 0.0.0.255
このアクセス リスト割り当て 24 から 32 まで及ぶマスクのネットワークプレフィクス。
ip prefix-list コマンドを使用したフィルタリング
ルータ 200 はピアルータ 100 にこれらのネットワークをアナウンスします:
192.168.10.0/24
10.10.10.0/24
10.10.0.0/19
このセクションの設定 例は 2 つの事柄をすることをルータ 100 が可能にする ip prefix-list コマンドを使用します、:
プレフィクスのあらゆるネットワークのための割り当て更新は 19 と等しいかまたはそれ以下の長さを覆います。
大きいネットワークマスク 長さのすべてのネットワーク更新をより 19 拒否して下さい。
ルータ 100
hostname Router 100
!
router bgp 100
neighbor 172.16.1.2 remote-as 200
neighbor 172.16.1.2 prefix-list cisco in
!
ip prefix-list cisco seq 10 permit 0.0.0.0/0 le 19
ルータ 200
hostname Router 200
!
router bgp 200
no synchronization
network 192.168.10.0
network 10.10.10.0 mask 255.255.255.0
network 10.10.0.0 mask 255.255.224.0
no auto-summary
neighbor 172.16.1.1 remote-as 100
show ip bgp 出力はプレフィクスリストがルータ 100 で期待どおりに動作していることを確認します。
Router 100# show ip bgp
BGP table version is 2, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*> 10.10.0.0/19
Next Hop
172.16.1.2
Metric LocPrf Weight Path
0
0 200 i
結論として、プレフィクスリストの使用は BGP のネットワークをフィルタリングするほとんどの便利な手段です。 場合によって
ははまたマスクを length 制御する間、しかし、たとえば、異様およびネットワークをフィルタリングしたいと思う場合拡張アク
セスリストはプレフィクスリストより大きなフレキシビリティを提供し、制御します。
BGPピアからのデフォルト ルートのフィルタリング
プレフィクスリスト コマンドを使用して BGPピアが、アドバタイズする 0.0.0.0/32 のようなデフォルト ルートを、フィルタリ
ングするか、またはブロックできます。 利用可能 な 0.0.0.0 エントリを表示できま show ip bgp コマンドを使用します。
Router 100#show ip bgp
BGP table version is 5, local router ID is 172.16.1.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network
*> 0.0.0.0
Next Hop
172.16.1.2
Metric LocPrf Weight Path
0
0 200 i
このセクションの設定 例は ip prefix-list コマンドを使用してルータ 100 で行われます。
ルータ 100
hostname Router 100
!
router bgp 100
neighbor 172.16.1.2 remote-as 200
neighbor 172.16.1.2 prefix-list deny-route in
!
ip prefix-list deny-route seq 5 deny 0.0.0.0/32
ip prefix-list deny-route seq 10 permit 0.0.0.0/0 le 32
この設定の後の perfom show ip bgp、前の show ip bgp output で利用可能だった 0.0.0.0 エントリを見なければ。
関連情報
トラブルシューティング テクニカルノーツ
1992 - 2014 Cisco Systems, Inc. All rights reserved.
Updated: 2014 年 12 月 25 日
http://www.cisco.com/cisco/web/support/JP/100/1001/1001803_22.html
Document ID: 13750