ポリシーベースのルーティング（その3）

ポリシーベースのルーティング（その3）

• ポリシーベースのルーティング（その1）
• ポリシーベースのルーティング（その2）

の続きになります。

　ポリシーベースのルーティングの例として、今度は、アプリケーション（ポート番号）を基にルーティングするように設定してみます。

送信元ポート番号を基にポリシールーティングを行う設定

＜作成するポリシー＞

• VLAN30、VLAN40に所属する端末のFTP通信は、ISP2経由でインターネット接続を行う。
• VLAN30、VLAN40に所属する端末のFTP以外のその他の通信は、ISP1経由でインターネット接続を行う。

ポリシーを作成するコマンドをおさらいしておきます。

ADD IP FILTER=filter-id SOURCE=ipadd POLICY=0..15 [SMASK=ipadd] [SPORT={port-name|[port]:[port]}] [DESTINATION=ipadd [DMASK=ipadd]] [DPORT={port-name|[port]:[port]}] [PROTOCOL={protocol|ANY|ICMP|OSPF|TCP|UDP}]

FILTER: ポリシーフィルターの範囲である「100～199」を使用します。
POLICY: 経路選択ポリシーの範囲である「0～7」を使用します。

　使用するネットワークは、下の図のように構築したいところなのですが、各家庭で複数のISPと契約しているケースは、少ないと思います。

　そこで、下の図のように1つのISPで演習できるように、ネットワークの構成を変更して、ポリシールーティングの検証を行ってみることにします。インターネットへの接続には、ブロードバンドルータを使用します。最近のほとんどのブロードバンドルータには、スイッチが内蔵されているので、ポートが4つ程度付いています。Ciscoルータは、このポートに接続します。

通信の流れが、以下のようになるようにします。

VLAN30、VLAN40に所属する端末のFTP通信　→　Ciscoルータ　→　ブロードバンドルータ　→　ISP
VLAN30、VLAN40に所属する端末のFTP以外の通信　→　ブロードバンドルータ　→　ISP

※ただし
戻りの経路に関しては、ブロードバンドルータがポリシーベースのルーティングに対応していないので、ポリシーに応じて経路が切り替えれません。VLAN30、VLAN40宛ての戻りパケットをCiscoルータ（192.168.1.252）に渡すように設定します。

　今回、Ciscoルータを使用していますが、L3SWを使用しても代用できます。お手持ちのネットワーク機器で、ネットワークの構成をカスタマイズしてみてください。

ポリシールーティングを設定する手順は、以下の手順になります。

ポリシールーティングの定義手順

①フィルターを作成する
②フィルターをインターフェイスに適用する
③ポリシーごとに経路を割り当てる

①フィルターを作成する

　VLAN30、VLAN40のIPインターフェイスに適用させるポリシーフィルタを作成します。ポリシーフィルタは、フィルタ番号100～199を使う必要があります。

ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP

【注意事項】
　フィルターを作成するコマンドは、とても長くなります。一度にコマンドラインに入力できる文字数には制限があります。CentreCOM8624XLでは、最大122文字までです。長くなる場合には、コマンドやオプションの指定を省略形で、入力したり、省略してもコマンドが書ききれない場合には、コマンドを2行にわけで、setコマンドで追加するなどして対応して下さい。

②フィルターをインターフェイスに適用する

作成したフィルターをインターフェイスに適用します。

SET IP INT=VLAN30 POLICYFILTER=100
SET IP INT=VLAN40 POLICYFILTER=100

③ポリシーごとに経路を割り当てる

FTP通信のポリシー用のスタティックルートを定義します。

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN20 NEXT=192.168.2.254 POLICY=3

FTP以外の通信のデフォルトルートを定義します。
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN10 NEXT=192.168.1.254

これで、

・FTP通信は、ポリシー3でデフォルルートで、Ciscoルータに送られる。
・FTP以外の通信は、デフォルトルートで、ブロードバンドルータに送られる。

ようになります。

●L3SWのコンフィグ

create vlan=vlan10 vid=10
create vlan=vlan20 vid=20
create vlan=vlan30 vid=30
create vlan=vlan40 vid=40

add vlan=vlan10 port=1
add vlan=vlan20 port=5
add vlan=vlan30 port=8-16
add vlan=vlan40 port=17-24

enable ip
add ip int=vlan10 ip=192.168.1.253 mask=255.255.255.0
add ip int=vlan20 ip=192.168.2.253 mask=255.255.255.0

add ip int=vlan30 ip=192.168.30.254 mask=255.255.255.0
add ip int=vlan40 ip=192.168.40.254 mask=255.255.255.0


ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.30.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=20 POLICY=3 PROTOCOL=TCP
ADD IP FILTER=100 SOURCE=192.168.40.0 SMASK=255.255.255.0 DESTINATION=0.0.0.0
 DMASK=0.0.0.0 DPORT=21 POLICY=3 PROTOCOL=TCP

SET IP INT=VLAN30 POLICYFILTER=100
SET IP INT=VLAN40 POLICYFILTER=100

ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN20 NEXT=192.168.2.254 POLICY=3
ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=VLAN10 NEXT=192.168.1.254

●Ciscoルータのコンフィグ

!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router
!
ip subnet-zero
!
interface Ethernet0/0
 ip address 192.168.2.254 255.255.255.0
 no ip directed-broadcast
!
interface Ethernet0/1
 ip address 192.168.1.252 255.255.255.0
 no ip directed-broadcast
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 192.168.40.0 255.255.255.0 192.168.2.253
!
line con 0
 transport input none
line aux 0
line vty 0 4
!
no scheduler allocate
end

●ブロードバンドルータの設定

ブロードバンドルータにスタティックルートを設定します。

192.168.2.0/24　→　192.168.21.252
192.168.30.0/24　→　192.168.1.252
192.168.40.0/24　→　192.168.1.252

それでは、ポート番号を基にポリシールーティングが行われているかどうか、検証してましょう！

続きは、次の「ポリシーベースのルーティング（その4）」で検証します。