プレフィックスリストを使用したルートアップデートの交換プロセスの管理

1.プレフィックスリストの概要

配布リストやプレフィックスリストなど、ルーティングアップデートにさまざまなフィルタリング方法を使用して、Cisco IOSでルーティング情報の交換、受信、送信、または再配布を管理できます。

配布リストの使用には、次のような特定の欠点があります。

• 配布リストで使用されるACL（Access-List）は、元々、ルートをフィルターするのではなく、パケットをフィルターするために設計されました
• 標準ACLを使用しているときにルートマスクを一致させることができない
• 拡張ACLを使用すると、設定が面倒になる場合があります
• ACLはルーティング更新の各エントリに順番に適用されるため、非常に低速です。

プレフィックスのリストは、ACLを使用する代わりに開発されたもので、ルートをフィルタリングするために設計された多くのコマンドで使用できます。



プレフィックスリストを使用する主な利点は次のとおりです。

• ACLおよびレコードの大きなリストの表示と比較して、パフォーマンスが大幅に向上します。 ルータはプレフィックスのリストをツリー構造に変換します。ツリー構造では、ツリーの各ブランチが特定の条件を表します。これにより、Cisco IOSは必要なアクション、許可または禁止をより迅速に決定できます
• 増分変更をサポートします。 標準の番号付きACLは編集をサポートしていません;それらでは、1つのnoコマンドがACL全体を削除します。 プレフィックスのリストは変更できます。 プレフィックスリストの各行にシリアル番号を割り当てることができ、ルーターはこれらのシリアル番号を使用してエントリをソートします。 一定のマージン（10、20、30）で連続した番号を割り当てると、後で既存のエントリの間に新しいエントリを追加できます。 番号で個々のエントリを削除することもできます

注 ：名前付きACLは増分変更をサポートします。

• より柔軟性。 たとえば、ルーターは、アドレスの必要なビット数（マスクの長さで決定）でプレフィックスのリストと一致するネットワークの数をチェックします。 マスクは、標準バージョンと範囲を使用して定義できます

プレフィックスリストには、ACLとの特定の類似点もあります。 プレフィックスリストには任意の数のエントリを含めることができ、各エントリには条件とアクションが含まれます。 ルーターがプレフィックスのリストを使用してルートのコンプライアンスをチェックする場合、条件と最初に一致したことにより、ルートに適用されるアクション（許可または禁止）が決定されます。 ルートがどのエントリとも一致しない場合、暗黙のデフォルトポリシーdeny anyが適用されます。

2.プレフィックスリストを使用してルートをフィルタリングするための一般的なルール

ルートは、次のルールに基づいて許可または拒否されます。

• 空のリストはすべてのプレフィックスを許可します。
• プレフィックスが有効な場合、ルートが使用され、そうでない場合は使用されません
• プレフィックスリストには番号付きのエントリが含まれ、ルーターはリストの先頭からコンプライアンスのチェックを開始し、最小番号のエントリを使用します。
• 一致が見つかった場合、プレフィックスのリストは停止します。 効率を上げるには、一致する確率が最も高いレコードを、より低いシーケンス番号のリストの一番上に配置します
• 一致が発生しなかった場合、暗黙のデフォルトポリシーが適用され、 拒否されます

3.プレフィックスリストの設定

プレフィックスのリストを作成するには、 ip prefix-list { list-name | リスト番号 } [ seq seq-value ] { 拒否 | permit } network / length [ ge ge-value ] [ le le-value ]グローバルコンフィギュレーションモード。 このコマンドのパラメーターについては、表1で説明しています。



表1. ip prefix-listコマンドのパラメーターの説明

パラメータ	説明
リスト名	作成されるプレフィックスリストの名前は大文字と小文字が区別されます
リスト番号	作成するプレフィックスリストの番号
seq seq-value	プレフィックスリスト内のエントリの32ビット数。フィルタリング中のコンプライアンスチェックの順序を決定するために使用されます。 デフォルトは5増加
拒否する | 許可する	マッチングアクション
ネットワーク / 長さ	記録条件は、プレフィックス（ネットワーク番号）とそのマスクの長さです。 ネットワーク番号はIPアドレスとして指定され、マスクの長さはその中のユニットビット数として指定されます
ge ge-value	network / lengthパラメーターで指定されたよりも長いマスクを持つネットワークのマスク長一致範囲。 geパラメーターのみを使用する場合、範囲はge-valueから32と見なされます
le le-value	network / lengthパラメーターで指定されたよりも長いマスクを持つネットワークのマスク長一致範囲。 leパラメーターのみを使用する場合、範囲は長さからge-valueまでと見なされます

パラメータgeおよびleはオプションであり、ルートマスクの長さの範囲を決定するために使用できます。その範囲内で、ルートがプレフィックスのリストを作成する条件を満たしていると見なされます。 length 、 ge-value、およびle-valueパラメーターの値は、 長 さ < ge-value < le-value <= 32のルールを満たす必要があります。

プレフィックスリストを削除するには、グローバルコンフィギュレーションモードのno ip prefix-list list-nameコマンドを使用します。

[ no ] ip prefix-list list-name description textコマンドは、テキストコメントをプレフィックスリストに追加または削除するために使用されます。

geおよびleパラメーターが指定されていない場合、記録条件を満たすために完全に一致する必要があります。

geオプションとleオプションを使用すると、混乱を招き、理解しづらくなる場合があります。 以下にいくつかの実際の実験を示します。その分析により、これらのパラメーターを使用する可能性を理解しやすくなります。

図1は、 geおよびleパラメーターの操作を示すために使用されるトポロジーを示しています。



図1. ip prefix-listコマンドのgeおよびleパラメーターの動作を示すために使用されるネットワーク



初期状態では、プレフィックスリストは使用されず、ルーターAは次のネットワークへのルートでルーターBから情報を受信しました。

  172.16.0.0サブネット化：
 172.16.10.0/24
 172.16.11.0/24

この例では、いくつかのBGPコマンドを使用しますが、 ip prefix-listコマンドパラメーターの例を理解するために、これらのコマンドの動作に関する詳細情報は必要ありません。 重要な情報は次のとおりです。元々/ 24マスクの2つのルートがあったルーターBは、それらを1つのエントリ172.16.0.0/16にまとめたため、IPアドレス10.1.1.1の隣接ルーターCへの送信に使用できる3つのルートがあります。 実際に送信されるルートは、プレフィックスのリストの使用方法によって異なります。

5つの構成シナリオを想定できます。

最初のシナリオでは、ルーターBの構成は次のとおりです。

 ルーターbgp 65000
集約アドレス172.16.0.0 255.255.0.0
ネイバー10.1.1.1プレフィックスリストtest1出力
 ip prefix-list test1 permit 172.16.10.0/8 le 24

show running-configコマンドを使用してルータの現在の設定を表示すると、最後の行が次の行に自動的に置き換えられることがわかります。

  ip prefix-list test permit 172.0.0.0/8 le 24 

これは、IPアドレスの最初の8ビットのみが/ 8マスクで重要と見なされるためです。 この場合、3つのネットワークすべてへのルートは、隣接するルーター172.16.0.0/16、172.16.10.0/24および172.16.11.0/24に送信されます。 これらのすべてのルートは、同じ適切な最初の8ビットを持ち、8〜24の範囲の長さにつながるマスクを持っています。

2番目のシナリオでは、ルーターBの構成は次のとおりです。

ルーターbgp 65000
集約アドレス172.16.0.0 255.255.0.0
ネイバー10.1.1.1プレフィックスリストtest2出力
 ip prefix-list test2 permit 172.16.10.0/8 le 16

この場合、1つのルートのみが隣接ルーターに送信され、ネットワークへのルートは172.16.0.0/16です。 彼だけが適切な最初の8ビットと、8〜16の長さの範囲につながるマスクを持っています。

3番目のシナリオでは、ルーターBの構成は次のとおりです。

ルーターbgp 65000
集約アドレス172.16.0.0 255.255.0.0
ネイバー10.1.1.1プレフィックスリストtest3出力
 ip prefix-list test3 permit 172.16.10.0/8 ge 17

この場合、ネットワークへのルートは隣接するルーター172.16.10.0/24および172.16.11.0/24に送信されます。 この場合、マスクパラメーター/ 8は、IPアドレスのチェックされたビットを強調するためだけに使用され、マスクの長さのチェックでは無視されます。つまり、geマスク範囲ge 17 le 32-from / 17 to / 32に対してチェックが行われます。

4番目のシナリオでは、ルーターBの構成は次のとおりです。

ルーターbgp 65000
集約アドレス172.16.0.0 255.255.0.0
ネイバー10.1.1.1プレフィックスリストtest4出力
 ip prefix-list test4 permit 172.16.10.0/8 ge 16 le 24

この場合、すべてのネットワークへのルートは、隣接するルーター172.16.0.0/16、172.16.10.0/24および172.16.11.0/24に送信されます。 この場合、マスクパラメーター/ 8は、IPアドレスのチェック済みビットを強調表示するためにのみ使用され、マスクの長さのチェックでは無視されます。つまり、ge 16 le 24マスクの範囲に対してチェックが行われます。

5番目のシナリオでは、ルーターBの構成は次のとおりです。

ルーターbgp 65000
集約アドレス172.16.0.0 255.255.0.0
ネイバー10.1.1.1プレフィックスリストtest5出力
 ip prefix-list test5 permit 172.16.10.0/8 ge 17 le 24

この場合、ネットワークへのルートは隣接するルーター172.16.10.0/24および172.16.11.0/24に送信されます。 この場合、マスクパラメーター/ 8は、IPアドレスのチェックされたビットを強調するためにのみ使用され、マスク長のチェックでは無視されます。つまり、geマスク範囲ge 17 le 24-from / 17 to / 24に対してチェックが行われます。

4.プレフィックスリストのエントリの番号付け

この機能を無効にしない場合、プレフィックスリストのエントリの番号付けは自動的に行われます。 自動番号付けを無効にした場合、各レコードを作成するときに、 seq seq-valueパラメーターを使用する必要があります。

プレフィックスリストはソートされたリストです。 ルートがプレフィックスリスト内の複数のエントリと一致できる場合、レコード番号は重要なパラメーターです。その場合、このルートが一致したすべての番号のうち最も小さい番号でレコードに定義されたアクションが実行されます。

コンプライアンスチェックは、常に最も小さい番号のレコードから開始され、一致が見つかるまで番号の昇順でリストを下っていきます。 一致するものが見つかった場合、ルートは許可または拒否されます。これは、プレフィックスリストの対応するエントリで指定されているアクションに応じて、 許可または拒否になります。

エントリのデフォルトの番号付けを使用するかどうかに関係なく、特定の構成アイテムを削除するために番号を指定する必要はありません。

デフォルトでは、プレフィックスリストアイテムには、5、10、15などの番号が付けられます。 シーケンス番号のいずれかが存在しない場合、新しいレコードは欠落している番号を受信せず、番号は最大値より5大きくなります。 したがって、最後のレコードの番号が23である場合、次の番号は28、33、38などを受け取ります。

出力のshow ip prefix-listコマンドは、すべてのエントリのシーケンス番号を表示します。

プレフィックスリストエントリの自動番号付けをオフにするには、グローバルコンフィギュレーションモードのno ip prefix-list sequence-numberコマンドを使用します。 再度有効にするには、 ip prefix-list sequence-numberコマンドを使用します。

5.プレフィックスリストの使用例

ip prefix-list filter1 permit 192.168.0.0/16 prefix listを検討してください。 このエントリに対応するルートはどれですか：ネットワーク192.168.0.0/16へのルート、ネットワーク192.168.0.0/20へのルート、ネットワーク192.168.2.0/24へのルート？

ネットワーク192.168.0.0/16へのルートのみがこのエントリに対応します。これは、アドレスとマスクを照合するための条件が正常に満たされるとすぐに発生するためです。

さらに2つのプレフィックスリストを検討します。

• ip prefix-list filter2 permit 192.168.0.0/16 le 20
• ip prefix-list filter3 permit 192.168.0.0/16 ge 18

最初のケースでは、ネットワークへのルートはコンプライアンス条件に適しています： 192.168.0.0/16および192.168.0.0/20 、ネットワーク192.168.2.0/24へのルートは必要以上に長いマスクを持っています。

2番目の場合、ネットワークへのルートはコンプライアンス条件に適しています： 192.168.0.0/20および192.168.2.0/24 、ネットワーク192.168.0.0/16へのルートのマスクが短すぎます。

別の例は、 ip prefix-list filter4 0.0.0.0/0 prefix listです。 接頭辞「すべてゼロ」はすべてのネットワークに対応しますが、この場合、パラメーターgeおよびleは使用されないため、ゼロマスク/ 0も一致させる必要があります。 このプレフィックスのリストには 、 デフォルトルートのみが適しています 。

プレフィックスリストip prefix-list filter5 0.0.0.0/0 ge 32を使用する場合、/ 32マスクを持つルートはすべてそれに対応します。

または、そのようなプレフィックスのリスト ： ip prefix-list filter6 0.0.0.0/0 le 32は 、 任意のルート 、任意のネットワーク、および任意のマスク長に対応します 。

/ 1から/ 24までのマスクを持つすべてのルートを選択する場合、次のプレフィックスのリストを使用する必要があります。ip prefix-list filter7 0.0.0.0/1 le 24 。

6.プレフィックスリストを使用した再配布の管理

図2に示すネットワークについて考えます。あるプロトコルから別のプロトコルへのルーティング情報の再配布を特定のネットワークのみに制限する必要があるとします。

RIPv2プロトコルのルーティングドメインからOSPFv2プロトコルのルーティングドメインに、ネットワークに関する情報のみを転送する必要があります。

• 10.1.0.0
• 10.2.0.0
• 10.3.0.0

OSPFv2プロトコルのルーティングドメインからRIPv2プロトコルのルーティングドメインに、ネットワークに関する情報のみを転送する必要があります。

• 10.8.0.0
• 10.9.0.0
• 10.10.0.0
• 10.11.0.0

図2.プレフィックスリストを使用した再配布制御を示すために使用されるネットワーク



ルーターR2の構成は次のとおりです。

ルーターospf 1
ネットワーク10.0.0.8 0.0.0.0エリア0
 rip route-mapをOSPFサブネットに再配布します
ルーターリッピング
ネットワーク10.0.0.0
バージョン2
パッシブインターフェイスs0 / 0/0
 OSPF 1ルートマップをRIPメトリック5に再配布します
 route-map intoOSPF permit 10
一致するIPアドレスのプレフィックスリストPFX1
ルートマップintoRIP許可10
一致するIPアドレスのプレフィックスリストPFX2
 ip prefix-list PFX1 permit 10.0.0.0/14
 ip prefix-list PFX2 permit 10.8.0.0/14

IntoOSPF Route Mapは、 PFX1プレフィックスリストを使用します 。 したがって、 10.0.0.0 / 14-10.0.0.0から10.3.0.0の範囲内のすべてのネットワークは、RIPからOSPFに再配布できます。他のネットワークは、このプレフィックスのリストによって禁止され、再配布されません。

IntoRIP Route Mapは、 PFX2プレフィックスリストを使用します 。 したがって、 10.8.0.0 / 14-10.8.0.0から10.11.0.0の範囲内のすべてのネットワークは、 OSPFからRIPに再配布できますが、他のネットワークはこのプレフィックスのリストによって禁止され、再配布されません。

特定のルートを再配布するかどうかの決定は、 route-mapコマンドの許可または拒否アクションのみに基づいており、 ip prefix-listコマンドの許可または拒否アクションには基づいていないことに注意してください。 ip prefix-list ipコマンドの許可または拒否アクションは、ルートがルートマップの条件に一致するかどうかにのみ影響します。

バックアップパスのあるネットワークでは、プレフィックスリストを使用すると、ルートループの可能性がなくなります。 ただし、配布リストと同様に、プレフィックスリストを使用すると、ルート更新から一部のルートを完全にフィルタリングできます。 したがって、ネットワーク上の一部のルーターは、一部のネットワークに到達するための代替方法を認識しないため、これらの技術をバックアップパスのあるネットワークで使用する場合は注意が必要です。

7.プレフィックスリストの確認

プレフィックスリストの確認と診断に使用される主なコマンドを表2に示します。ipprefix-list help ？ 使用可能なパラメーターとその目的に関する完全な情報。



表2プレフィックスリストを確認および診断するためのコマンド

パラメータ	説明
show ip prefix-list [ 詳細 | 概要 ]	すべてのプレフィックスリストに関する情報を表示します。 detailパラメータを使用すると、プレフィックスリストの各エントリの説明とカウンタが表示されます。
show ip prefix-list [ 詳細 | 要約 ] プレフィックスリスト名	指定されたプレフィックスリストのエントリを表示します
show ip prefix-list prefix-listname [ ネットワーク / 長さ ]	指定されたネットワーク/マスクペアのプレフィックスのこのリストで定義されたポリシーを表示します
show ip prefix-list prefix-listname [ seq sequence-number ]	このプレフィックスのリストの指定された数のレコードを表示します
show ip prefix-list prefix-listname [ network / length ] 長い	指定されたネット/マスクのペアよりも適切で正確なすべてのプレフィックスリストエントリを表示します
show ip prefix-list prefix-listname [ network / length ] firstmatch	指定されたネットワーク/マスクペアの最初に一致するプレフィックスリスト/マスクペアの表示
clear ip prefix-list prefix-listname [ ネットワーク / 長さ ]	指定されたプレフィックスのリストのすべてのカウンターをリセットします

次に、 show ip prefix-list detailコマンドの出力を示す例を示します。 プレフィックス5のエントリを1つ持つ「superonly」という名前の単一のプレフィックスリストがルータ上に作成されました。値「ヒットカウント：0」は、このエントリに単一の一致がなかったことを意味します。



show ip prefix-list detailコマンドの出力は次のとおりです。

ルータ＃show ip prefix-list detail
最後の削除/挿入のプレフィックスリスト：superonly ip prefix-list superonly：
説明：スーパーネットのみを許可
カウント：1、範囲エントリ：0、シーケンス：5-5、参照カウント：1
シーケンス5許可172.0.0.0/8（ヒットカウント：0、参照カウント：1）