ルート ポリシー

SonicOS はポリシー ベース ルーティング (PBR) を備えており、トラフィックを柔軟かつきめ細かく処理できます。以下のセクションでは、PBR について説明します。
ポリシー ベース ルーティング
ルート ポリシー テーブル
静的ルートの設定
プローブ対応ポリシー ベース ルーティングの設定
ルート ポリシーの例

ポリシー ベース ルーティング

単純な静的ルーティング エントリには、特定の条件に一致するトラフィックの処理方法を指定します。 条件には、送信先アドレス、送信先ネットマスク、トラフィックを転送するゲートウェイ、そのゲートウェイがあるインターフェース、ルート メトリックなどがあります。この静的ルーティングはほとんどの静的要件を満たしますが、送信先アドレスを指定している場合にのみ転送可能となります。

ポリシー ベース ルーティング (PBR) を使用すると、拡張静的ルートを作成して、トラフィックをさらに柔軟かつきめ細かく処理できます。SonicOS PBR では、送信元アドレス、送信元ネットマスク、送信先アドレス、送信先ネットマスク、サービス、インターフェース、およびメトリックに基づいて照合を行うことができます。このルーティングを使用すると、多数のユーザ定義変数に基づいて、転送元から転送先に至るルートを完全に制御できます。

メトリックとは、静的ルートおよび動的ルートに割り当てられる加重コストのことです。メトリックは 0 から 255 までの値で指定します。低い値の方が適切と見なされ、高い値よりも優先されます。SonicOS は、直接接続されたインターフェース、静的にエンコードされたルート、および動的な IP ルーティング プロトコルに対して Cisco が定義したメトリック値に準拠しています。

 

表 32. メトリック値の説明

メトリック値

説明

1

静的ルート

5

EIGRP Summary

20

External BGP

90

EIGRP

100

IGRP

110

OSPF

115

IS-IS

120

RIP

140

EGP

170

External EIGRP

Internal

BGP

ルート ポリシー テーブル

表示形式」メニューで表示設定のいずれかを選択して、「ルート ポリシー」テーブルに表示されるルート ポリシーの形式を変更できます。

すべてのポリシー」には、「ユーザ定義ポリシー」および「既定のポリシー」を含むすべてのルーティング ポリシーが表示されます。初めは、「表示形式」メニューで「すべてのポリシー」を選択すると、「ルート ポリシー」テーブルに「既定のポリシー」のみが表示されます。

ルート ポリシー」テーブルでは、多数のルーティング・ポリシーを簡単に閲覧できるようにページ付けがされています。「ルート ポリシー」テーブルの右上にあるナビゲーション コントロール バーを使用して、「ルート ポリシー」テーブルにリストされた多数のルーティング ポリシー エントリを参照できます。ナビゲーション コントロール バーには 4 つのボタンがあります。左端のボタンは、テーブルの最初のページを表示します。右端のボタンは、最後のページを表示します。内側の左矢印ボタンと右矢印で、それぞれ前または次のページに移動します。

表示範囲」フィールドにポリシー番号 (「#名前」列でポリシー名の前に記載されている番号) を入力すると、特定のルーティング ポリシーに移動できます。既定のテーブル設定では、ページあたり 50 個のエントリが表示されます。この既定のテーブル エントリ数は、「システム > 管理」ページで変更できます。

テーブルのエントリを並べ替えるには、列見出しを選択します。エントリは昇順または降順で並べ替えられます。列エントリの右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。

静的ルートの設定

SonicOS では、基本的なルート ポリシーを使用して静的ルートを設定します。

静的ルートを設定するには、以下の手順に従います。
1
ネットワーク > ルーティング」ページの一番下までスクロールして、「追加」ボタンを選択します。「ルート ポリシーの追加」ウィンドウが表示されます。

2
送信元」ドロップダウン メニューで、静的ルートの送信元アドレス オブジェクトを選択します。または、「アドレス オブジェクトの作成」を選択し、新しいアドレス オブジェクトを動的に作成します。
3
送信先」ドロップダウン メニューで、送信先アドレス オブジェクトを選択します。
4
サービス」ドロップダウン メニューで、サービス オブジェクトを選択します。すべての種類のトラフィックを許可する汎用静的ルートの場合は、単に「すべて」を選択します。
5
ゲートウェイ」ドロップダウン メニューで、ルートに使用するゲートウェイ アドレス オブジェクトを選択します。
6
インターフェース」ドロップダウン メニューで、ルートに使用するインターフェースを選択します。
7
メトリック」にルートのメトリックを入力します。静的ルートの既定のメトリックは 1 です。メトリックの詳細については、ポリシー ベース ルーティング を参照してください。
8
(オプション)「コメント」にルートのコメントを入力します。このフィールドには、新しい静的ルート ポリシーについて説明するコメントを入力できます。
9
(オプション)インターフェースが切断されたときにルートを自動的に無効にするには、「インターフェースが切断された時、ルートを無効にします」チェックボックスをオンにします。
10
(オプション)「VPN パスの優先を許可する」オプションを使用すると、VPN トンネルのバックアップ ルートを作成できます。既定では、静的ルートのメトリックは 1 に設定されており、VPN トラフィックよりも優先されます。「VPN パスの優先を許可する」オプションは、送信先アドレス オブジェクトが同じである VPN トラフィックに対する優先順位を、静的ルートよりも高くします。このため、以下のような動作になります。
VPN トンネルがアクティブな場合:「VPN パスの優先を許可する」オプションが有効になっている場合は、VPN トンネルの送信先アドレス オブジェクトと一致する静的ルートが自動的に無効になります。トラフィックはすべて VPN トンネル経由で送信先アドレス オブジェクトにルーティングされます。
VPN トンネルがダウンした場合: VPN トンネルの送信先アドレス オブジェクトと一致する静的ルートが自動的に有効になります。送信先アドレス オブジェクトへ向かうすべてのトラフィックが静的ルートを通ります。
11
監視」、「監視が成功したときにルートを無効にする」、および「既定の状態がアップであることを監視する」の各オプションは、プローブ対応ポリシー ベース ルーティングを設定するときに使用します。これらの設定の詳細については、プローブ対応ポリシー ベース ルーティングの設定 を参照してください。
12
OK」を選択して、ルートを追加します。

プローブ対応ポリシー ベース ルーティングの設定

静的ルートを設定するときに、必要に応じてルートのネットワーク監視ポリシーを設定できます。ネットワーク監視ポリシーを使用すると、ポリシーのプローブの状態に基づいて、静的ルートが動的に無効または有効になります。

プローブ対応ポリシー ベース ルーティングを設定するには、以下の手順を実行します。
1
静的ルートの設定 で説明した手順に従って静的ルートを設定します。
2
監視」ドロップダウン メニューで、適切なネットワーク監視オブジェクトを選択します。または、「新しいネットワーク監視オブジェクトを作成する」を選択し、新しいオブジェクトを動的に作成します。詳細については、ネットワーク > ネットワーク監視 を参照してください。
3
通常の設定では、「監視が成功したときにルートを無効にする」チェックボックスをオンにすることはありません。 一般に、管理者はルートの送信先へのプローブが失敗したときにルートを無効にしたいと考えるからです。このオプションは、ルートとプローブをより柔軟に定義できるように用意されています。
4
既定の状態がアップであることを監視する」を選択すると、連結されたネットワーク監視ポリシーの状態が UNKNOWN のときに、ルートはプローブが成功した (つまり UP 状態にある) と見なします。これは、高可用性ペアの 1 台の装置の状態が IDLE から ACTIVE に移行したときのプローブベースの動作を制御するのに役立ちます。この移行によって、ネットワーク監視ポリシーの状態がすべて UNKNOWN に設定されるからです。
5
OK」を選択して、設定を適用します。

ルート ポリシーの例

次の例では、WAN インターフェースが 2 つ同時にアクティブになった場合に対処できるようにルート ポリシーを作成します。この例を試すには、バックアップWAN インターフェースを「X3」インターフェースにセットアップし、ISP から提供された設定値で設定しておく必要があります。次に、「ネットワーク > WAN 負荷分散」ページで「負荷分散を有効にする」をオンにして、負荷が分散されるようにセキュリティ装置を設定します。この例では、「ネットワーク > WAN 負荷分散」ページで負荷分散方法として「コネクション毎に切り替える」を選択します。「承認」を選択して、「ネットワーク > WAN 負荷分散」ページで加えた変更を保存します。

1
ルート ポリシー」テーブルの下にある「追加」ボタンを選択します。「ルート ポリシーの追加」ウィンドウが表示されます。
2
X1インターフェースを経由して「X1 デフォルト ゲートウェイ」から出ていくHTTPサービスについて、送信元「LAN サブネット」を送信先「すべて」に向けるルーティング ポリシーを作成します。 この設定のために、「送信元」、「送信先」、「サービス」、「ゲートウェイ」、「インターフェース」の各メニューから適切な値を選択します。「メトリック」フィールドを既定値の 1 のままにし、「コメント」フィールドに "force http out primary" と入力します。
3
OK」を選択します。
4
X3」インターフェースを経由してX3 デフォルト ゲートウェイから出ていくTelnetサービスについて、送信元「LAN サブネット」を送信先「すべて」に向けるルーティング ポリシーを別途作成します。 この設定のために、「送信元」、「送信先」、「サービス」、「ゲートウェイ」、「インターフェース」の各メニューから適切な値を選択します。「メトリック」フィールドを既定値の 1 のままにし、「コメント」フィールドに "force telnet out backup" と入力します。
* 
補足:これらのルーティング ポリシーでは、「VPN パスの優先を許可する」オプションを有効にしないでください。「VPN パスの優先を許可する」オプションは、送信先アドレス オブジェクトが同じである VPN トラフィックに対する優先順位を、静的ルートよりも高くします。このオプションは、静的ルートをVPN トンネルのバックアップとして設定する場合に使用します。詳細については、静的ルートの設定 を参照してください。
5
OK」を選択します。

この 2 つのポリシー ベース ルートによって、HTTP ベースのアプリケーションを使用しているときには、LAN サブネットにある送信元は常にプライマリ WANに向かい、Telnet ベースのアプリケーションを使用しているときには、LAN サブネットにある送信元は常にバックアップWAN に向かいます。

HTTP のポリシー ベースのルートをテストするには、LAN インターフェースに接続したコンピュータから、パブリック ウェブ サイト http://www.whatismyip.com および http://whatismyip.everdot.org にアクセスしてください。どちらのサイトにも、バックアップWAN インターフェースではなく、プライマリWANインターフェースの IP アドレスが表示されます。

Telnet のポリシー ベースのルートをテストするには、route-server.exodus.net に telnet で接続し、ログインしたら「who」コマンドを発行します。その結果、プライマリ WANインターフェースではなく、バックアップWAN インターフェースの WAN IP アドレス (または解決された FQDN) が表示されます。