ポリシーベースのルーティング(その4)

の続きになります。

それでは、作成したポリシーがうまく機能しているかどうか検証してみましょう!

作成したポリシーで、パケットの流れが、以下のようになっているか確認します。

VLAN30、VLAN40に所属する端末のFTP通信 → Ciscoルータ → ブロードバンドルータ → ISP
VLAN30、VLAN40に所属する端末のFTP以外の通信 → ブロードバンドルータ → ISP

 ポートミラーリングを作成して、トラフィックキャプチャーソフトをインストールしたPCを接続して検証してもよいのですが、物理的にケーブルを抜き差しして検証してみます。

まず、FTPでダウンロードできるか試してみます。

インターネット上のFTPサーバへ接続します。

LinuxなどのイメージファイルをFTPでダウンロードできるサイトがあるので、そちらに接続してもよいと思います。

ブラウザで、FTP接続できるので、便利です。Web検索で、FTPダウンロードできるサイトを探しておきましょう。

問題なく、ファイルをダウンロードできます。

続いて、ブロードバンドルータ-L3SW間のケーブルを外します。

FTPによる通信は、VLAN20を経由する以下の経路をたどるため、問題なくダウンロードできるはずです。

: VLAN30、VLAN40に所属する端末のFTP通信 → Ciscoルータ → ブロードバンドルータ → ISP

Webの閲覧は、どうでしょうか?

Webの閲覧は、VLAN10を経由する以下の経路をたどるため、閲覧できなくなるはずです。

×: VLAN30、VLAN40に所属する端末のFTP以外の通信 → ブロードバンドルータ → ISP

 これで、ポート番号を基に、ポリシールーティングをしていることが分かります。今回は、ISPへの接続環境が、1つしかないことを前提に、ネットワークを構築してみましたが、実際には、下の図のようなネットワーク構成にすることで、インターネットへの接続を負荷分散することができます。

 インターネットへのトラフィックが増え、1つのISPでは、インターネット接続をまかなえ切れなくなった際に、この構成は、便利だと思います。