ポリシーベースルーティングの構成例と設定例

IPv4ポリシーベースルーティングを使用する場合の構成例と設定例を示します。この例では以下のように設定しています。

• ルートマップの名前は［PBR］で、VLAN 10インターフェースに適用。
• シーケンス番号［10］のdeny指定のルートマップエントリーで、宛先ネットワークが自装置に直接接続されているネットワークの場合は、ポリシーベースルーティングの対象外になるように設定。
• シーケンス番号［20］のpermit指定のルートマップエントリーで、送信元ネットワークが172.16.1.0/24の場合は、172.16.4.100にポリシーベースルーティングするように設定。

IPv4ポリシーベースルーティングの構成例

• VLAN 10、VLAN 20、VLAN 30、およびVLAN 40を作成します。

  sw1# configure terminal
  sw1(config)# vlan 10
  sw1(config-vlan)# exit
  sw1(config)# vlan 20
  sw1(config-vlan)# exit
  sw1(config)# vlan 30
  sw1(config-vlan)# exit
  sw1(config)# vlan 40
  sw1(config-vlan)# exit
  sw1(config)#

• ポート1/0/1をトランクポートとして設定し、トランクポートに［VLAN 10］および［VLAN 20］を割り当てます。また、ポート1/0/3およびポート1/0/4をアクセスポートとして設定し、アクセスポートに［VLAN 30］および［VLAN 40］を割り当てます。

  sw1(config)# interface port 1/0/1
  sw1(config-if-port)# switchport mode trunk
  sw1(config-if-port)# switchport trunk allowed vlan 10,20
  sw1(config-if-port)# exit
  sw1(config)# interface port 1/0/3
  sw1(config-if-port)# switchport access vlan 30
  sw1(config-if-port)# exit
  sw1(config)# interface port 1/0/4
  sw1(config-if-port)# switchport access vlan 40
  sw1(config-if-port)# exit
  sw1(config)#

• VLAN 10のIPアドレスを［172.16.1.1/24］に、VLAN 20のIPアドレスを［172.16.2.1/24］に、VLAN 30のIPアドレスを［172.16.3.1/24］に、VLAN 40のIPアドレスを［172.16.4.1/24］に設定します。

  sw1(config)# interface vlan 10
  sw1(config-if-vlan)# ip address 172.16.1.1/24
  sw1(config-if-vlan)# exit
  sw1(config)# interface vlan 20
  sw1(config-if-vlan)# ip address 172.16.2.1/24
  sw1(config-if-vlan)# exit
  sw1(config)# interface vlan 30
  sw1(config-if-vlan)# ip address 172.16.3.1/24
  sw1(config-if-vlan)# exit
  sw1(config)# interface vlan 40
  sw1(config-if-vlan)# ip address 172.16.4.1/24
  sw1(config-if-vlan)# exit
  sw1(config)#

• デフォルトルート（スタティック）［宛先ネットワーク：0.0.0.0/0 ネクストホップ：172.16.3.100］を設定します。

  sw1(config)# ip route 0.0.0.0/0 172.16.3.100
  sw1(config)#

• シーケンス番号［10］のdeny指定のルートマップエントリーに適用する標準IPアクセスリスト［PBR-DENY-LIST］を、以下の内容で設定します。

  ルール10（permit）：送信元IPアドレス［any］、宛先IPアドレス［172.16.1.0 0.0.0.255］

  ルール20（permit）：送信元IPアドレス［any］、宛先IPアドレス［172.16.2.0 0.0.0.255］

  ルール30（permit）：送信元IPアドレス［any］、宛先IPアドレス［172.16.3.0 0.0.0.255］

  ルール40（permit）：送信元IPアドレス［any］、宛先IPアドレス［172.16.4.0 0.0.0.255］

  sw1(config)# ip access-list PBR-DENY-LIST
  sw1(config-ip-acl)# 10 permit any 172.16.1.0 0.0.0.255
  sw1(config-ip-acl)# 20 permit any 172.16.2.0 0.0.0.255
  sw1(config-ip-acl)# 30 permit any 172.16.3.0 0.0.0.255
  sw1(config-ip-acl)# 40 permit any 172.16.4.0 0.0.0.255
  sw1(config-ip-acl)# exit
  sw1(config)#

• シーケンス番号［20］のpermit指定のルートマップエントリーに適用する標準IPアクセスリスト［PBR-LIST］を、以下の内容で設定します。

  ルール10（permit）：送信元IPアドレス［172.16.1.0 0.0.0.255］、宛先IPアドレス［any］

  sw1(config)# ip access-list PBR-LIST
  sw1(config-ip-acl)# 10 permit 172.16.1.0 0.0.0.255 any 
  sw1(config-ip-acl)# exit
  sw1(config)#

• ルートマップ［PBR］を作成し、以下の内容で設定します。

  シーケンス番号10（deny）：関連付ける標準IPアクセスリスト［PBR-DENY-LIST］

  シーケンス番号20（permit）：関連付ける標準IPアクセスリスト［PBR-LIST］、アクション［set ip next-hop 172.16.4.100］

  sw1(config)# route-map PBR deny 10
  sw1(config-route-map)# match ip address PBR-DENY-LIST
  sw1(config-route-map)# exit
  sw1(config)# route-map PBR permit 20
  sw1(config-route-map)# match ip address PBR-LIST
  sw1(config-route-map)# set ip next-hop 172.16.4.100
  sw1(config-route-map)# exit
  sw1(config)#

• VLAN 10インターフェースにおいて、ルートマップ［PBR］を指定してIPv4ポリシーベースルーティングを適用します。

  sw1(config)# interface vlan 10
  sw1(config-if-vlan)# ip policy route-map PBR
  sw1(config-if-vlan)# end
  sw1#

• 実施後のポリシーベースルーティング関連の設定を以下に抜粋します。

  # ACL
  
  ip access-list PBR-DENY-LIST 1999
   10 permit any 172.16.1.0 0.0.0.255
   20 permit any 172.16.2.0 0.0.0.255
   30 permit any 172.16.3.0 0.0.0.255
   40 permit any 172.16.4.0 0.0.0.255
  ip access-list PBR-LIST 1998
   10 permit 172.16.1.0 0.0.0.255 any
  
  # ROUTEFILTER
  
  route-map PBR deny 10
   match ip address PBR-DENY-LIST
  route-map PBR permit 20
   set ip next-hop 172.16.4.100
   match ip address PBR-LIST
  
  # PBR
  
  interface vlan 10
   ip policy route-map PBR