Junosルーテ ィ ン グの基本
本章の内容 :
• ルーテ ィ ン グポ リ シーお よび フ ァ イ アウ ォ ール フ ィ ル タ の フ レ ーム ワー ク
• ポ リ シー と フ ァ イ アウ ォ ール フ ィ ル タ の評価
• ルーテ ィ ン グポ リ シー使用の典型的な シナ リ オ
• ルーテ ィ ン グポ リ シーの設定 と 適用
• フ ァ イ アウ ォ ール フ ィ ル タ 使用の典型的な シナ リ オ
• フ ァ イ アウ ォ ール フ ィ ル タ の設定 と 適用
• ユニキ ャ ス ト ・ リ バースパス転送
Junosルーテ ィ ン グの基本
ルーテ ィ ングポ リ シーの概要
こ のス ラ イ ド には、 こ の章で取 り 上げる ト ピ ッ ク が記載 さ れています。 最初に、
こ のス ラ イ ド で矢印で示 し てい る ト ピ ッ ク について説明 し ます。
Junosルーテ ィ ン グの基本
ルーテ ィ ングポ リ シーの概要
ルーテ ィ ン グポ リ シーは、 ルーテ ィ ン グテーブルか ら/ルーテ ィ ン グテーブルへ のルーテ ィ ン グ情報 フ ローを制御する ために使用する も ので、 ルーテ ィ ン グ情報 がルーテ ィ ン グテーブルを出入 り する際に適用する こ と がで き ます。
ルーテ ィ ン グポ リ シーは、 動的ルーテ ィ ン グプ ロ ト コ ルを実行する ネ イバーか ら の経路を許可/拒否する際の判断に使用 さ れるほか、 動的ルーテ ィ ン グプ ロ ト コ ルを実行する ネ イバーへの送信経路の決定に も使用 さ れます。 ルーテ ィ ン グポ リ シーを使用 し て、 テーブルに経路が追加や削除 さ れる際にその経路の属性を変更 する こ と も で き ます。
ルーテ ィ ン グポ リ シーは、 フ ォ ワーデ ィ ン グテーブルへのルーテ ィ ン グ情報 フ ロー も 制御 し ます。 こ れに よ り 、 フ ォ ワーデ ィ ン グテーブルに格納する経路を制 御 し た り 、 こ れ らの経路に関連付け られてい る属性を制御する こ と がで き ます。
次ページに続 く
Junosルーテ ィ ン グの基本
ルーテ ィ ングポ リ シーの概要 ( 続き )
ルーテ ィ ン グテーブルへの経路の取込みを制御するポ リ シーはイ ンポー ト ポ リ シーと 呼ばれます。 イ ン ポー ト ポ リ シーは、 経路がルーテ ィ ン グテーブルに格納 さ れる前に適用 さ れる ため、 ルーテ ィ ン グテーブルに存在する経路を変更 し た り 、 ロー カル経路選択プ ロ セスに影響を与え ます。
ルーテ ィ ン グテーブルか らの経路の送信を制御するポ リ シーはエ ク スポー ト ポ リ シーと 呼ばれます。 エ ク スポー ト ポ リ シーは、 ルーテ ィ ン グテーブルか ら動的 ルーテ ィ ン グプ ロ ト コ ルや フ ォ ワーデ ィ ン グテーブルに経路を エ ク スポー ト する 際に適用 さ れます。 ルーテ ィ ン グテーブルか ら エ ク スポー ト で き るのは有効経路 のみです。 つま り 、 エ ク スポー ト ポ リ シーは、 エ ク スポー ト 対象 と する有効経路 を選択 し た り 、 経路の属性を変更する こ と はで き ますが、 無効経路がエ ク スポー
ト さ れる よ う にする こ と はで き ません。
例えば、 同一プ レ フ ィ ッ ク スについてOSPFルー ト (プ リ フ ァ レ ン ス値10) と BGPルー ト (プ リ フ ァ レ ン ス値170)があ る場合、 エ ク スポー ト ポ リ シーは有効 なOSPFルー ト を送信するかど う かを判定 し 、 経路の送信時にその属性を変更 し ます。 ただ し 、 エ ク スポー ト ポ リ シーは、 無効なBGPルー ト が送信 さ れる よ う にする こ と はで き ません。
Junosオペ レ ーテ ィ ン グシ ス テム(Junos OS)は、 ルーテ ィ ン グテーブルか ら経路 を エ ク スポー ト する際にエ ク スポー ト ポ リ シーを適用する ため、 属性変更は、
ロー カルのルーテ ィ ン グテーブルではな く 、 エ ク スポー ト さ れる経路に対 し て行 われます。
Junosルーテ ィ ン グの基本
デ フ ォル ト のルーテ ィ ングポ リ シー
各プ ロ ト コ ルには、 デ フ ォ ル ト のイ ンポー ト ポ リ シー と エ ク スポー ト ポ リ シーが あ り ます。こ のス ラ イ ド に掲載 さ れてい る表は、 一般的な各種ルーテ ィ ン グプ ロ
ト コ ルのデ フ ォ ル ト のイ ンポー ト ポ リ シー/エ ク スポー ト ポ リ シーを ま と めた も のです。
BGPのデ フ ォ ル ト ・ イ ンポー ト ポ リ シーでは、BGPネ イバーか らの全経路を許 可 し 、 ルーテ ィ ン グテーブルに格納する よ う に規定 さ れています。 BGPのデ フ ォ ル ト ・ エ ク スポー ト ポ リ シーでは、 すべての有効BGPルー ト を ア ド バ タ イ ズ (広告)する よ う に規定 さ れています。 BGPでは、 イ ンポー ト ポ リ シー/エ ク ス ポー ト ポ リ シーを、 プ ロ ト コ ル、 グループ、 ネ イバーの各レ ベルで設定する こ と がで き ます。
OSPFのデ フ ォ ル ト ・ イ ンポー ト ポ リ シーでは、 すべてのOSPFルー ト を イ ン ポー ト する よ う に規定 さ れています。リ ン ク ス テー ト 型プ ロ ト コ ルであ るOSPF は、 リ ン ク ス テー ト 広告(LSA)の フ ラ ッ デ ィ ン グに よ り 、 各OSPFエ リ ア で一貫 し た リ ン ク ス テー ト ・ デー タ ベース を維持 し ます。し たが っ て、 ロー カルの リ ン ク ス テー ト ・ デー タ ベース維持やLSAの フ ラ ッ デ ィ ン グに影響を与え る よ う な ポ リ シーを適用する こ と はで き ません。ま た、 ルーテ ィ ン グテーブルへの内部 ルー ト (エ リ ア間ルー ト を含む)の格納を禁止する よ う なポ リ シー も 適用で き ま せん。 (リ ン ク ス テー ト 型プ ロ ト コ ルは、 一貫性のあ る転送決定を行 う ために全 デバイ スが内部ルー ト に関 し て同 じ ルーテ ィ ン グ情報を持つ こ と を前提 と し てい ます。ルーテ ィ ン グテーブルへの内部ルー ト の追加を禁止する と 、 ルーテ ィ ン グ ループが発生 し た り 、 特定プ レ フ ィ ッ ク スが到達不能にな る おそれがあ り ます。
) ただ し 、 外部ルー ト を ブ ロ ッ ク するポ リ シーを適用する こ と は可能です。
Junosルーテ ィ ン グの基本
デ フ ォル ト のルーテ ィ ングポ リ シー ( 続き )
OSPFのデ フ ォ ル ト ・ エ ク スポー ト ポ リ シー(すべて拒否する よ う に規定)では、
エ リ ア内のLSAの フ ラ ッ デ ィ ン グはブ ロ ッ ク さ れません。 シ ス テムは、 常に OSPFエ リ ア全域でLSAの フ ラ ッ デ ィ ン グ を実行 し 、 ルーテ ィ ン グポ リ シーに よ
り こ の動作を制御する こ と はで き ません。 デ フ ォ ル ト のエ ク スポー ト ポ リ シーで は、 他の送信元か らのOSPFネ イバーに対する追加経路のア ド バ タ イ ズ(広告) を ブ ロ ッ ク し ます。 OSPFを通 じ て他の経路を ア ド バ タ イ ズ(広告)する場合は、
明示的な エ ク スポー ト ポ リ シーを設定する必要があ り ます。
リ ン ク ス テー ト 型プ ロ ト コ ルは、 すべての参加デバイ スが一貫 し た リ ン ク ス テー ト ・ デー タ ベース を持つ こ と を前提 と し てい る ため、 イ ンポー ト ポ リ シー/エ ク スポー ト ポ リ シーはプ ロ ト コ ルレ ベルでのみ設定可能です。
RIPのデ フ ォ ル ト ポ リ シーでは、 明示的に設定 さ れている ネ イバーか ら 学習 し た 全経路を イ ンポー ト する よ う に規定 さ れています。 設定内で明示的に定義 さ れて いないネ イバーか ら学習 し た経路は無視 さ れます。 Junos OSは、 デ フ ォ ル ト で、
RIPネ イバーに対する経路(RIPルー ト を含む)のエ ク スポー ト は行いません。 し たが っ て、RIPネ イバーに対する任意の経路を ア ド バ タ イ ズ(広告)する ために は、 次の コ マ ン ド 出力例に示すよ う に、RIPルー ト に合致 し 、RIPルー ト を許可 する エ ク スポー ト ポ リ シーを設定する必要があ り ます。
[edit policy-options]
user@host# show
policy-statement export-rip-routes { term match-rip-routes {
from protocol rip;
then accept;
} }
RIPでは、 イ ンポー ト ポ リ シーはプ ロ ト コ ルレ ベルお よびネ イバーレ ベルで適用 で き ますが、 エ ク スポー ト ポ リ シーは次の出力例に示すよ う にグループ レ ベルで のみ適用可能です。
[edit protocols rip]
user@host# show group my-rip-group {
export export-rip-routes;
neighbor ge-0/0/1.0;
neighbor se-1/0/0.0;
}
Junosルーテ ィ ン グの基本
ルーテ ィ ングポ リ シーの構成要素
ルーテ ィ ン グポ リ シーは、 順序付け られた条件のグループ で構成 さ れます。 ルー テ ィ ン グポ リ シーに名前を付けておけば、 設定内の さ ま ざ ま な場所でポ リ シーを 簡単に識別する こ と がで き ます。
条件は、Junos OSにおけるすべてのポ リ シーの基本構成要素であ り 、 基本的に
if...thenス テー ト メ ン ト で定義 さ れます。 fromス テー ト メ ン ト で指定 さ れた一致 基準がすべて真であ る(またはfromス テー ト メ ン ト が指定 さ れていない)場合、
thenス テー ト メ ン ト で指定 さ れているすべてのア ク シ ョ ンが実行 さ れます。 条件 に も名前を付ける こ と がで き ますが、 付けた名前が条件の評価に影響を及ぼす こ
と はな く 、 条件を参照する際に便利な識別子 と し て機能 し ます。
Junos OSは、fromス テー ト メ ン ト の評価時に、 単一の一致基準に対する引数間
の論理和(OR) と し て評価を行い、 さ ら に複数の一致基準間の論理積(AND) と し て評価を行います。 つま り 、fromス テー ト メ ン ト が真 と みな さ れる ためには、 評 価対象のア イ テムで、 所定の各一致基準に対 し て少な く と も1つの引数が一致
し ている必要があ り ます。
次ページに続 く
Junosルーテ ィ ン グの基本
ルーテ ィ ングポ リ シーの構成要素 ( 続き )
あ る経路が、 条件のfromス テー ト メ ン ト に指定 さ れているすべての基準に一致 する場合、Junos OSは当該条件のthenス テー ト メ ン ト に指定 さ れているすべて のア ク シ ョ ン を実行 し ます。 指定ア ク シ ョ ン に終了ア ク シ ョ ンが含まれてい る場 合には、 ポ リ シー評価は停止 し ます。
経路の許可および拒否を制御する ア ク シ ョ ン(accept、reject)は、 終了ア ク シ ョ ン です。 こ れ らの終了ア ク シ ョ ン を使用する と 、first-matchポ リ シー評価が 有効にな り ます。 つま り 、Junos OSは指定ア ク シ ョ ン を即座に実行 し 、 ポ リ シーの他の評価は実行 し ません。
Junos OSのポ リ シー評価では、 各条件を順番に評価 し てい き ます。 条件の順番
は、 必要に応 じ て、CLIの設定モー ド でinsert コ マ ン ド を使用 し て変更する こ と がで き ます。
Junosルーテ ィ ン グの基本
一般的な選択基準
こ のス ラ イ ド には、fromス テー ト メ ン ト で指定で き る経路選択基準を示 し てい ます。 経路は、 プ レ フ ィ ッ ク ス、 プ ロ ト コ ル、 一部のルーテ ィ ン グプ ロ ト コ ル属 性、 ネ ク ス ト ホ ッ プ情報に基づいて選択する こ と がで き ます。 以降のページ で は、 一致基準オプ シ ョ ンroute-filterおよびprefix-listについて説明 し ます。
ポ リ シーやポ リ シーの条件でfromス テー ト メ ン ト を省略 し た場合は、 全経路が thenス テー ト メ ン ト で指定 さ れている ア ク シ ョ ンの対象 と な り ます。
一致基準の一覧は、 CLIの イ ン タ ラ ク テ ィ ブ ヘルプ お よ び 『Junos Policy Framework Configuration Guide (Junosポ リ シー フ レ ームワー ク 設定ガ イ ド )』
で ご確認いた だけ ます。