ID:4476について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
uvlan
投稿数: 40
投稿数: 40
お世話になります。
解説に、
>access-list 10 では暗黙のdenyによりBGPピア
>(209.65.200.225)が送信元のトラフィックも破棄するため、ピ>ア関係が構築されません。
とありますが、
RouterAのshow runで
「neighbor 209.65.200.226 remote-as 65002」とBGPピアを設定しているので、RoterAとしては対向とピアが確立しているので、暗黙のdenyによりピアが構築されないというのが、ちょっとわかりません。対向側のRouterAに対してのneighborの設定が間違っているのなら判りますが。webサーバセグメントからのパケットをpermit 209.65.200.240 0.0.0.7で許可しているので、クライアント1はWebサーバに接続はできて問題ないのではと思っていました。自分はピアとアクセスリストの関連が良く判っていないと思いますので、解説お願いします。
解説に、
>access-list 10 では暗黙のdenyによりBGPピア
>(209.65.200.225)が送信元のトラフィックも破棄するため、ピ>ア関係が構築されません。
とありますが、
RouterAのshow runで
「neighbor 209.65.200.226 remote-as 65002」とBGPピアを設定しているので、RoterAとしては対向とピアが確立しているので、暗黙のdenyによりピアが構築されないというのが、ちょっとわかりません。対向側のRouterAに対してのneighborの設定が間違っているのなら判りますが。webサーバセグメントからのパケットをpermit 209.65.200.240 0.0.0.7で許可しているので、クライアント1はWebサーバに接続はできて問題ないのではと思っていました。自分はピアとアクセスリストの関連が良く判っていないと思いますので、解説お願いします。
hyperspace
投稿数: 47
投稿数: 47
BGPではピアを張る前提として、ピアとの間にTCPコネクションが確立されなければなりません。
(BGPはTCP179番ポートを使用します)
RouterAのコンフィグ上ではAS65002側の対向ルータとピアを張ろうとする設定にはなっていますが、
実際にピアを確立できるかどうかは別問題です。
実際にピアが確立できているかどうかは、解説にあるようにshow ip bgp summaryや
show ip bgp neighborsのStateで確認します。
ここではActiveとなっているので、ピアは確立できていません。
この問題では、RouterAのSerial0/1において、access-list10により
送信元が209.65.200.240/29以外のトラフィックは全て拒否されます。
つまり、対向ルータ(209.65.200.226/30)からのトラフィックが拒否されるので
RouterAと対向ルータ間でTCPコネクションを確立できません。
従ってRouterAは対向ルータとBGPピアを確立できません。
このためRouterAはAS65002側の経路情報を学習できず、Webサーバへのルートも知らないため、
クライアント1はWebサーバへ接続できません。
この状況を解決するにはaccess-list 10で209.65.200.226/30を許可する必要があります。
(access-list 10 permit 209.65.200.224 0.0.0.3)
そうすることで、RouterAは対向ルータとTCPコネクションを確立でき、BGPピアを確立できるようになります。
BGPピアを確立できれば、RouterAはAS65002の経路情報を学習できるので、Webサーバへの経路も
学習でき、クライアント1とWebサーバ間の接続が可能になるものと思われます。
以上、冗長的になってしまいましたが、伝わりましたでしょうか。
※余談ですが、この問題の解説にある以下の文は誤りがあるようですね。
誤:access-list 10 では暗黙のdenyによりBGPピア(209.65.200.225)が送信元のトラフィックも破棄するため、ピア関係が構築されません。
正:access-list 10 では暗黙のdenyによりBGPピア(209.65.200.226)が送信元のトラフィックも破棄するため、ピア関係が構築されません。
(BGPはTCP179番ポートを使用します)
RouterAのコンフィグ上ではAS65002側の対向ルータとピアを張ろうとする設定にはなっていますが、
実際にピアを確立できるかどうかは別問題です。
実際にピアが確立できているかどうかは、解説にあるようにshow ip bgp summaryや
show ip bgp neighborsのStateで確認します。
ここではActiveとなっているので、ピアは確立できていません。
この問題では、RouterAのSerial0/1において、access-list10により
送信元が209.65.200.240/29以外のトラフィックは全て拒否されます。
つまり、対向ルータ(209.65.200.226/30)からのトラフィックが拒否されるので
RouterAと対向ルータ間でTCPコネクションを確立できません。
従ってRouterAは対向ルータとBGPピアを確立できません。
このためRouterAはAS65002側の経路情報を学習できず、Webサーバへのルートも知らないため、
クライアント1はWebサーバへ接続できません。
この状況を解決するにはaccess-list 10で209.65.200.226/30を許可する必要があります。
(access-list 10 permit 209.65.200.224 0.0.0.3)
そうすることで、RouterAは対向ルータとTCPコネクションを確立でき、BGPピアを確立できるようになります。
BGPピアを確立できれば、RouterAはAS65002の経路情報を学習できるので、Webサーバへの経路も
学習でき、クライアント1とWebサーバ間の接続が可能になるものと思われます。
以上、冗長的になってしまいましたが、伝わりましたでしょうか。
※余談ですが、この問題の解説にある以下の文は誤りがあるようですね。
誤:access-list 10 では暗黙のdenyによりBGPピア(209.65.200.225)が送信元のトラフィックも破棄するため、ピア関係が構築されません。
正:access-list 10 では暗黙のdenyによりBGPピア(209.65.200.226)が送信元のトラフィックも破棄するため、ピア関係が構築されません。
uvlan
投稿数: 40
投稿数: 40
hyperspaceさん
ご丁寧な回答感謝いたします。
質問をしてから私なりに調べまして、BGPピアが確立するまでのプ
ロセスが判っていませんでした。
あと、暗黙のdenyなのでRoterAでは、おっしゃられますように、
209.65.200.240/29以外のトラフィックは全て拒否されます。
当然、拒否されれば、対向ルータとは、BGPセッション確立後の
プロセスである、自分が知っている全てのルーティングテーブルを
交換するので、その際、暗黙のdenyで交換・アップデートできない
ため、ピアの確立には至らないということだったのですね。
今後ともよろしくお願いいたします。
ご丁寧な回答感謝いたします。
質問をしてから私なりに調べまして、BGPピアが確立するまでのプ
ロセスが判っていませんでした。
あと、暗黙のdenyなのでRoterAでは、おっしゃられますように、
209.65.200.240/29以外のトラフィックは全て拒否されます。
当然、拒否されれば、対向ルータとは、BGPセッション確立後の
プロセスである、自分が知っている全てのルーティングテーブルを
交換するので、その際、暗黙のdenyで交換・アップデートできない
ため、ピアの確立には至らないということだったのですね。
今後ともよろしくお願いいたします。
hyperspace
投稿数: 47
投稿数: 47
uvlanさん、こんにちは。
蛇足かもしれませんが、少し補足させてください。
>当然、拒否されれば、対向ルータとは、BGPセッション確立後の
>プロセスである、自分が知っている全てのルーティングテーブルを
>交換するので、その際、暗黙のdenyで交換・アップデートできない
>ため、ピアの確立には至らないということだったのですね。
順を追って書くと以下のようになります。
1、RouterAとAS65002の対向ルータでTCPコネクションが確立できない
2、1によりRouterAと対向ルータでBGPピアを確立できない
3、2によりRouterAと対向ルータはBGPの経路情報を交換できない
この問題でRouterAの暗黙のdenyが直接的に影響しているのは、1の部分です。
つまり、209.65.200.240/29以外のトラフィックが拒否されているので、
RouterAと対向ルータでTCPコネクションを確立できないことが根本的な問題です。
RouterAと対向ルータでTCPコネクションが確立できない以上、
BGPピアも確立できないので、RouterAと対向ルータで
BGPの経路情報の交換自体ができないということになります。
以上により、
ルーティングテーブルを交換・アップデートできないためピアの確立に至らないのではなく、
ピアの確立ができないためルーティングテーブルを交換・アップデートできないということになります。
引用部分を拝見して、補足しました。
もしご理解されているということでしたら、ご容赦ください。
蛇足かもしれませんが、少し補足させてください。
>当然、拒否されれば、対向ルータとは、BGPセッション確立後の
>プロセスである、自分が知っている全てのルーティングテーブルを
>交換するので、その際、暗黙のdenyで交換・アップデートできない
>ため、ピアの確立には至らないということだったのですね。
順を追って書くと以下のようになります。
1、RouterAとAS65002の対向ルータでTCPコネクションが確立できない
2、1によりRouterAと対向ルータでBGPピアを確立できない
3、2によりRouterAと対向ルータはBGPの経路情報を交換できない
この問題でRouterAの暗黙のdenyが直接的に影響しているのは、1の部分です。
つまり、209.65.200.240/29以外のトラフィックが拒否されているので、
RouterAと対向ルータでTCPコネクションを確立できないことが根本的な問題です。
RouterAと対向ルータでTCPコネクションが確立できない以上、
BGPピアも確立できないので、RouterAと対向ルータで
BGPの経路情報の交換自体ができないということになります。
以上により、
ルーティングテーブルを交換・アップデートできないためピアの確立に至らないのではなく、
ピアの確立ができないためルーティングテーブルを交換・アップデートできないということになります。
引用部分を拝見して、補足しました。
もしご理解されているということでしたら、ご容赦ください。
uvlan
投稿数: 40
投稿数: 40
回答、ありがとうございます。
また、話を戻してしまい申し訳ございません。
暗黙のdenyなので、209.65.200.240/29以外のトラフィックは全て拒否されるのは理解できるのですが、TCPコネクションも確立できないのでしょうか?
TCPコネクションは確立できるが、ルーティングテーブルの交換・アップデートは出来ないと思っておりました。TCP/IPの復讐しないとだめですね・・。
また、話を戻してしまい申し訳ございません。
暗黙のdenyなので、209.65.200.240/29以外のトラフィックは全て拒否されるのは理解できるのですが、TCPコネクションも確立できないのでしょうか?
TCPコネクションは確立できるが、ルーティングテーブルの交換・アップデートは出来ないと思っておりました。TCP/IPの復讐しないとだめですね・・。
hyperspace
投稿数: 47
投稿数: 47
>暗黙のdenyなので、209.65.200.240/29以外のトラフィックは全て拒否されるのは理解できるのですが、>TCPコネクションも確立できないのでしょうか?
はい。TCPコネクションも確立できません。
暗黙のdenyにより209.65.200.240/29以外のIPトラフィックが、文字通り全て拒否されます。
IPトラフィックが拒否されれば、その上のレイヤであるTCPの通信もできません。
ですので、RouterAとAS65002の対向ルータはTCPコネクションを確立できないということになります。
はい。TCPコネクションも確立できません。
暗黙のdenyにより209.65.200.240/29以外のIPトラフィックが、文字通り全て拒否されます。
IPトラフィックが拒否されれば、その上のレイヤであるTCPの通信もできません。
ですので、RouterAとAS65002の対向ルータはTCPコネクションを確立できないということになります。
uvlan
投稿数: 40
投稿数: 40
>IPトラフィックが拒否されれば、その上のレイヤであるTCPの通信もできません。
TCPコネクションは、レイヤ3のIPパケットトラフィックよりも上位のレイヤ4なので、下位のレイヤ3のパケットトラフィックが拒否されれば、当然、上位のTCPもセッションを張り確立などできないですものね・・。
TCPコネクションは、レイヤ3のIPパケットトラフィックよりも上位のレイヤ4なので、下位のレイヤ3のパケットトラフィックが拒否されれば、当然、上位のTCPもセッションを張り確立などできないですものね・・。
staff_koba
居住地: 涼しい場所
投稿数: 501
居住地: 涼しい場所
投稿数: 501
hyperspaceさん
ご指摘の点を修正致しました。
ご報告、誠にありがとうございました。
ご指摘の点を修正致しました。
ご報告、誠にありがとうございました。
