ポリシーベースのルーティング(その3)

の続きになります。

 ポリシーベースのルーティングの例として、今度は、アプリケーション(ポート番号)を基にルーティングするように設定してみます。

送信元ポート番号を基にポリシールーティングを行う設定

<作成するポリシー>

  • VLAN30、VLAN40に所属する端末のFTP通信は、ISP2経由でインターネット接続を行う。
  • VLAN30、VLAN40に所属する端末のFTP以外のその他の通信は、ISP1経由でインターネット接続を行う。

ポリシーを作成するコマンドをおさらいしておきます。

ADD IP FILTER=filter-id SOURCE=ipadd POLICY=0..15 [SMASK=ipadd] [SPORT={port-name|[port]:[port]}] [DESTINATION=ipadd [DMASK=ipadd]] [DPORT={port-name|[port]:[port]}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}]

FILTER: ポリシーフィルターの範囲である「100~199」を使用します。
POLICY: 経路選択ポリシーの範囲である「0~7」を使用します。

 使用するネットワークは、下の図のように構築したいところなのですが、各家庭で複数のISPと契約しているケースは、少ないと思います。

 そこで、下の図のように1つのISPで演習できるように、ネットワークの構成を変更して、ポリシールーティングの検証を行ってみることにします。インターネットへの接続には、ブロードバンドルータを使用します。最近のほとんどのブロードバンドルータには、スイッチが内蔵されているので、ポートが4つ程度付いています。Ciscoルータは、このポートに接続します。

通信の流れが、以下のようになるようにします。

VLAN30、VLAN40に所属する端末のFTP通信 → Ciscoルータ → ブロードバンドルータ → ISP
VLAN30、VLAN40に所属する端末のFTP以外の通信 → ブロードバンドルータ → ISP

※ただし
戻りの経路に関しては、ブロードバンドルータがポリシーベースのルーティングに対応していないので、ポリシーに応じて経路が切り替えれません。VLAN30、VLAN40宛ての戻りパケットをCiscoルータ(192.168.1.252)に渡すように設定します。

 今回、Ciscoルータを使用していますが、L3SWを使用しても代用できます。お手持ちのネットワーク機器で、ネットワークの構成をカスタマイズしてみてください。

ポリシールーティングを設定する手順は、以下の手順になります。

ポリシールーティングの定義手順

①フィルターを作成する
②フィルターをインタフェースに適用する
③ポリシーごとに経路を割り当てる

①フィルターを作成する

 VLAN30、VLAN40のIPインタフェースに適用させるポリシーフィルタを作成します。ポリシーフィルタは、フィルタ番号100~199を使う必要があります。

ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP

【注意事項】
 フィルターを作成するコマンドは、とても長くなります。一度にコマンドラインに入力できる文字数には制限があります。CentreCOM8624XLでは、最大122文字までです。長くなる場合には、コマンドやオプションの指定を省略形で、入力したり、省略してもコマンドが書ききれない場合には、コマンドを2行にわけで、setコマンドで追加するなどして対応して下さい。

②フィルターをインタフェースに適用する

作成したフィルターをインターフェースに適用します。

SET IP INT=VLAN30 POLICYFILTER=100
SET IP INT=VLAN40 POLICYFILTER=100

③ポリシーごとに経路を割り当てる

FTP通信のポリシー用のスタティックルートを定義します。

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN20 NEXT=192.168.2.254 POLICY=3

FTP以外の通信のデフォルトルートを定義します。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN10 NEXT=192.168.1.254

これで、

・FTP通信は、ポリシー3でデフォルルートで、Ciscoルータに送られる。
・FTP以外の通信は、デフォルトルートで、ブロードバンドルータに送られる。

ようになります。

●L3SWのコンフィグ


create vlan=vlan10 vid=10
create vlan=vlan20 vid=20
create vlan=vlan30 vid=30
create vlan=vlan40 vid=40

add vlan=vlan10 port=1
add vlan=vlan20 port=5
add vlan=vlan30 port=8-16
add vlan=vlan40 port=17-24

enable ip
add ip int=vlan10 ip=192.168.1.253 mask=255.255.255.0
add ip int=vlan20 ip=192.168.2.253 mask=255.255.255.0

add ip int=vlan30 ip=192.168.30.254 mask=255.255.255.0
add ip int=vlan40 ip=192.168.40.254 mask=255.255.255.0


ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP

SET IP INT=VLAN30 POLICYFILTER=100
SET IP INT=VLAN40 POLICYFILTER=100

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN20 NEXT=192.168.2.254 POLICY=3
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN10 NEXT=192.168.1.254

●Ciscoルータのコンフィグ


!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
!
ip subnet-zero
!
!
!
interface Ethernet0/0
 ip address 192.168.2.254 255.255.255.0
 no ip directed-broadcast
!
interface Ethernet0/1
 ip address 192.168.1.252 255.255.255.0
 no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 192.168.40.0 255.255.255.0 192.168.2.253
!
!
line con 0
 transport input none
line aux 0
line vty 0 4
!
no scheduler allocate
end

●ブロードバンドルータの設定

ブロードバンドルータにスタティックルートを設定します。

192.168.2.0/24 → 192.168.21.252
192.168.30.0/24 → 192.168.1.252
192.168.40.0/24 → 192.168.1.252

それでは、ポート番号を基にポリシールーティングが行われているかどうか、検証してましょう!

続きは、次の「ポリシーベースのルーティング(その4)」で検証します。