- APRESIA knowledge > 技術情報 > 企業・DC向けL2/L3スイッチ > Apresia13000/15000シリーズ > Ap15k PRB設定について
APRESIA knowledge
Ap15k PRB設定について
【質問内容】PRB設定についてご教示ください。
首記の件、お客様から以下の問い合わせを受けております。
(現在在宅勤務で実機確認できないため、急ぎ机上の設計で問合せさせていただきます)
以下、質問事項記載します。
お客様のやりたいことは以下。
・192.168.1.0/24宛のstaticルートを4宛先に向けて設定する(4 ECMP)
・10.1.0.0/24→192.168.1.0/24のパケットは、10.1.1.2宛にPBRする。
・10.1.1.2の死活監視がNGになったら、10.1.2.2宛にPBRする。
・10.2.0.0/24→192.168.1.0/24のパケットは、10.2.1.2宛にPBRする。
・10.2.1.2の死活監視がNGになったら、10.2.2.2宛にPBRする。
構成図を添付します。
図中に机上で書いたstatic routeとPF2の想定設定を記載します。
(机上なのでコマンド間違ってたらスミマセン)
要は、緑のVLANからのパケットはできるだけ緑のラインでルーティングしたい、
同様に赤のVLANからのパケットはできるだけ赤のラインでルーティングしたい、
ということです。
なお、図の上から下へのパケットがどこを通って戻ってくるかは考慮不要です。
ここで、以下を確認させていただきたく。
[質問1]
・同じ宛先に対して、添付に記載したような同一宛先に対する複数のPBRは記述可能か?
[質問2]
・可能な場合、conditionが同一であれば上位のルールが優先されるか?
[質問3]
・上位のルールが死活監視でNGになった場合、下位のルールでヒットするルールの通りにPBRされるか?
[質問4]
・PBRのルールにヒットしなくなったパケットは、staticルートの通りに ルーティングされるか?
(この場合はECMPで、振り分けは装置のアルゴリズムによる)
[質問5]
回答4ですが、例えば緑のL3間リンクが両方ともダウンした場合を考えますと、
10.1.0.0/24→192.168.1.0/24宛のパケットは、
PF2の1 1 , 1 2 も無効になっているためPBRのルールにはヒットせず、
4つ書いたstatic routeのうち、この時点で有効である下2行の
ip route 192.168.1.0/24 10.2.1.2
ip route 192.168.1.0/24 10.2.2.2
でECMPされるか?と想定しました。
認識合っておりますでしょうか?
(現地ではDGWは記述せず、業務上必要となるルートのみゴリゴリ書いていくようです)
[質問6]
コマレフのPBR章直下の注意書きに以下があるかと思います。
(!) action routing で指定したnexthop『以外』の、宛先に対する動的・静的な経路が
57.3 show ip route cache に登録されている必要があります。
この注意書きについてですが、
action routing で指定したnexthop『以外』の経路がshow ip route cacheにあれば、
action routing で指定したnexthop『そのもの』の経路がshow ip route cacheにあっても
よいのでしょうか?
それとも後者がshow ip route cacheにあると、PBRはうまく動かなくなりますでしょうか?
デフォルトルートなどの代替ルートが存在することでも回避策にはなりますでしょうか?
[質問7]
注意書き
ポリシーベースルーティングと併用する場合、本装置は仮想IP アドレス宛PING
をポリシーベースルーティング優先で処理します。これを回避するために77.1
action routing 設定ルールより前のルールで仮想IP アドレス宛PING に50.5
action none(表50-18)を設定してください。
について
「本装置は仮想IP アドレス宛PINGをポリシーベースルーティング優先で処理します。」
ですが、ここでいう仮想IPはPBRを動作させているL3上で動いているVRRPの
仮想IPの意味でしょうか?
ですが、ここでいう仮想IPはPBRを動作させているL3上で動いているVRRPの
仮想IPの意味でしょうか?
質問11までが関連質問です。
[質問8]
質問7がそうだとして、この仮想IP宛のpingを受信してもPBRのルールのconditionにヒットしなければ
問題ないのでは?と思いました。
問題ないのでは?と思いました。
[質問9]
PBRが設定されているPF2のGr内での若番ルールである必要があるでしょうか?
[質問10]
・PBRが設定されているPF2のGrが複数あったら、そのGr全てに定義する必要があるか?
・PBRが設定されているPF2のGrより若番Grでもよいのか?
・PBRが設定されているPF2のGrより若番Grでもよいのか?
[質問11]
その他の注意点はあるか?
- カテゴリー :
回答
【回答内容】個々のご質問へ下記回答をさせていただきます。
机上の点承知しました。
資料もわかりやすく例にまとめていただいていると想像しておりますので
実際のassignポートやIPは環境に応じて適宜ご検討いただけますと幸いです。
[回答1]
可能です。
[回答2]
優先されます。
※実機にて試しにいただいたサンプルの1 1と1 2、1 3と1 4の
組で老番若番入れ替えてみましたがどちらの組も実通信は若番ルール優先でした。
[回答3]
下位ルールでヒットしてPBRされます。
※L2スイッチを挟み、L3-1,L3-2からの戻りicmpを破棄して、
監視を戻らなくすると老番に切り替わりました。切戻りも問題ありません。
また、全ルールにaction counterを追加して動作を確認してみますと、
切り替わり前後共に、意図したルール側でカウント増分しておりました。
[回答4]
こちらは、いただいたサンプル設定としては
route設定は192.168.1.0/24宛しかなく、condition dstも
192.168.1.0/24と同じ内容しかなく他に有効経路がありませんでした。
具体的にどのようにヒットしなくなるか思い浮かびませんでしたが、
宛先が192.168.1.3以外ではPBRにならないような設定に変更して
同時にDGWのECMP動作も確認できるようにして動作を確認しました。
※一応サンプルの主旨通りip routeとconditonの宛先設定はそろえております
結果、複数PBRのルールがある状態でも、マッチする通信はPBR動作、
死活監視による老番へ切り替わり・切戻りも可能でした。
また、マッチしない通信はPBR状態に関わらずDGW宛のECMP動作でした。
設定内容)
ip route 0.0.0.0/0 10.2.1.2
ip route 0.0.0.0/0 10.2.2.2
ip route 192.168.1.3/32 10.1.1.2
ip route 192.168.1.3/32 10.1.2.2
ip route 192.168.1.3/32 10.2.1.2
ip route 192.168.1.3/32 10.2.2.2
!
packet-filter2
1 assign port 1/5-6
1 1 action permit
1 1 action counter 1
1 1 action routing ipv4 10.1.1.2
1 1 condition ipv4 src ip 10.1.0.0/24
1 1 condition ipv4 dst ip 192.168.1.3/32
1 2 action permit
1 2 action counter 2
1 2 action routing ipv4 10.1.2.2
1 2 condition ipv4 src ip 10.1.0.0/24
1 2 condition ipv4 dst ip 192.168.1.3/32
1 3 action permit
1 3 action counter 3
1 3 action routing ipv4 10.2.1.2
1 3 condition ipv4 src ip 10.2.0.0/24
1 3 condition ipv4 dst ip 192.168.1.3/32
1 4 action permit
1 4 action counter 4
1 4 action routing ipv4 10.2.2.2
1 4 condition ipv4 src ip 10.2.0.0/24
1 4 condition ipv4 dst ip 192.168.1.3/32
[回答5]
詳細条件ご提示ありがとうございました。
上記ご認識の通りで合っております。
※こちらも、念のため当初設定の戻して
実機で確認しましたが上記ご指摘の動作です。
[回答6]
nexthop『以外』のとの記載については、
PBRが無い状態での本来のL3経路を指しております。
本注意書きの記載経緯からご説明させていただきますと、
action routingが動作する条件として目的の宛先に対する経路が
そもそもshow ip route cache上に載っている必要がある点を
明示するための記載となります。
そのため、もしあればといいますよりも、PBRのご利用には
action routing で指定したnexthop『以外』の目的の宛先に対する
本来のL3経路は必ずshow ip route cacheに存在する必要がございます。
また、本来のL3経路とPBRのnexthopとで重複するip route cacheが
あれば「action routing で指定したnexthop『そのもの』の経路が
show ip route cacheにある場合」という状態になりますが
この状態はPBR動作に影響しません。
[回答7]
ご認識の通りです。
[回答8]
ご認識の通り、マッチしなければそもそも問題ありません。
ただ、例えば全IPやprotocol icmpなどのcondtionで
PBRしているような場合は意識せず、うっかりマッチしてしまう
ケースがあります。実IP宛は応答可能ですが、VIPの場合ですと
マッチしてPBRされ、応答できなくなるため注意喚起となります。
ただ、例えば全IPやprotocol icmpなどのcondtionで
PBRしているような場合は意識せず、うっかりマッチしてしまう
ケースがあります。実IP宛は応答可能ですが、VIPの場合ですと
マッチしてPBRされ、応答できなくなるため注意喚起となります。
[回答9]
はい。マッチするルールより若番である必要があります。
[回答10]
PBR設定自体が存在するというだけの意味ではなく、
上記の通りマッチするPBRあることが条件ですが、
マッチするGroup毎に若番ルールへの設定が必要です。
また、若番Grで入れても効果ありません。
上記の通りマッチするPBRあることが条件ですが、
マッチするGroup毎に若番ルールへの設定が必要です。
また、若番Grで入れても効果ありません。
[回答11]
特にありませんが、
condtionで目視的には想定しないまま、実際にはマッチする
といったことがないか検討漏れがないようにご注意いただけると幸いです。
condtionで目視的には想定しないまま、実際にはマッチする
といったことがないか検討漏れがないようにご注意いただけると幸いです。
- 機能分類(AEOSシリーズ)
- ポリシーベースルーティング