NTT-X Store d払いご利用でdポイントが貯まる使える!

初めて質問させて頂きます。

今、FTPの通信で困っています。以下の内容の要件でアクセスリストを作成してFTPのGETの通信を行おうとしているのですが現状、要件通り
に行かなくて困っています。
以下に、構成と作成したアクセスリストを提示しました。
どなたかわかる方がいらっしゃいましたらご指導お願いします。
できれば具体的にどこがいけないのかを教えて頂きたいです。

構成
送信元      送信先 要件
10.90.11.20    172.15.160.4  FTPのGET
10.90.11.21    172.15.160.4  FTPのGET
10.90.11.22    172.15.160.4  FTPのGET
10.80.11.22    172.15.160.4  FTPのGET

【アクセスリスト】

interface vlan TEST
ip access-group FTP_TUUSIN_IN in
ip access-group FTP_TUUSIN_OUT out

ip access-list extended FTP_TUUSIN_OUT
permit icmp any any
permit tcp host 10.90.11.22 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.21 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.20 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.80.11.22 eq ftp host 172.15.160.4 gt 1023 established
permit tcp host 10.90.11.22 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.21 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.20 eq ftp-data host 172.15.160.4
permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4
permit tcp host 10.90.11.22 eq ftp host 172.15.160.4
permit tcp host 10.90.11.21 eq ftp host 172.15.160.4
permit tcp host 10.90.11.20 eq ftp host 172.15.160.4
permit tcp host 10.80.11.22 eq ftp host 172.15.160.4
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

ip access-list extended FTP_TUUSIN_IN
permit icmp any any
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 gt 1023 established
permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 gt 1023 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp host 10.80.11.21
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

このQ&Aに関連する最新のQ&A

A 回答 (3件)

> ということは、以下の内容を消せばいいってことですね。


> permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4

残念ながら違います。
FTPサーバ(172.15.160.4)側のftp/ftp-dataを許可する必要があります。

質問された条件に合わせて具体的に書くと以下のような内容になります。
特にOUT方向のリストが変わっていますのでご確認ください。

-------------------------------------------------------------------
ip access-list extended FTP_TUUSIN_OUT
permit icmp any any
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp-data established
permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp-data established
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.21 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.20 host 172.15.160.4 eq ftp
permit tcp host 10.80.11.22 host 172.15.160.4 eq ftp
permit udp any host 224.0.0.2 eq 1985
deny ip any any log

ip access-list extended FTP_TUUSIN_IN
permit icmp any any
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.21 established
permit tcp host 172.15.160.4 eq ftp host 10.90.11.20 established
permit tcp host 172.15.160.4 eq ftp host 10.80.11.22 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.21
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.20
permit tcp host 172.15.160.4 eq ftp-data host 10.80.11.22
permit udp any host 224.0.0.2 eq 1985
deny ip any any log
-------------------------------------------------------------------
    • good
    • 0

クラインアント4台分書くと大変なので10.90.11.22の1台として書きます。



FTPには2つモード(ポート/パッシブ)がありますので
どちらで実行されているのかわかりませんが、

■ポートモードであれば
10.90.11.22 → 172.15.160.4:21
10.90.11.22 ← 172.15.160.4:20
という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。

<アウトバウンド用フィルタ> FTP_TUUSIN_OUT
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp-data established

<インバウンド用フィルタ> FTP_TUUSIN_IN
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 eq ftp-data host 10.90.11.22


■パッシブモードであれば
10.90.11.22 → 172.15.160.4:21 
10.90.11.22 → 172.15.160.4:>1023
という接続方向(矢印の向き)になるので、設定するフィルタは以下のようになると思います。

<アウトバウンド用フィルタ> FTP_TUUSIN_OUT
permit tcp host 10.90.11.22 host 172.15.160.4 eq ftp
permit tcp host 10.90.11.22 host 172.15.160.4 gt 1023

<インバウンド用フィルタ> FTP_TUUSIN_IN
permit tcp host 172.15.160.4 eq ftp host 10.90.11.22 established
permit tcp host 172.15.160.4 gt 1023 host 10.90.11.22 established


※どちらもクラインアント側のポート指定していません

実機を使っていないのでチョット自信がないですが^^;
おそらく合っていると思います。
    • good
    • 0

(1)送信元と送信先のどちらがFTPサーバなのでしょうか?


サーバが172.15.160.4で
クライアントが10.90.11.20~10.80.11.22なのでしょうか

(2)INとOUTの関係が判りません。
内容から勝手に判断すると
内部NWが10.x.x.x
外部NWが172.x.x.x
でよいですか?

FTPには2つモード(ポート/パッシブ)があり
データセッションの張り方が変わりますので
参考URLを一度ご確認ください。

※GET/PUTはこの場合は関係しません。

参考URL:http://www.mrl.co.jp/support/nwginfo/firewall/do …

この回答への補足

invalidさん 
お返事ありがとうございます。

(1)送信元と送信先のどちらがFTPサーバなのでしょうか?
サーバが172.15.160.4で
クライアントが10.90.11.20~10.80.11.22なのでしょうか

⇒その通りです。

(2)INとOUTの関係が判りません。
内容から勝手に判断すると
内部NWが10.x.x.x
外部NWが172.x.x.x
でよいですか?

⇒ こちらもその通りです。

参考URLを参照しましたが、この場合、ポート21番がどうやら変という事はわかったのですが、具体的にどこが違うのかわかりません。

補足日時:2008/04/24 10:21
    • good
    • 0
この回答へのお礼

ということは、以下の内容を消せばいいってことですね。

permit tcp host 10.80.11.22 eq ftp-data host 172.15.160.4

一度その状態で作成し、試してみます。
またわからなければ新規でご質問させて頂きます。

本当にありがとうございます。

お礼日時:2008/04/25 14:27

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QCiscoスイッチのVLANにFTPとNTPを許可したい(ftp通信のアクセスリストについて)

FTPとNTPの通信について困っているので教えてください。
下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。
どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。

--------------------------------------------------
●構成
〔any〕- 〔スイッチVlan3〕-〔サーバ〕
             interface3


●ACL
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit udp any eq ntp any eq ntp
access-list 101 permit tcp any any eq 443
access-list 101 permit udp any any
access-list 101 permit tcp any any established

●VLANにACLを適用
interface vlan 3
ip access-group 101 in
-----------------------------------------------------

ポートが開放されているかどうかの確認方法を知らないため、httpsで確認出来るよう443を追加しました。

しかし、httpsは通信出来るのですがFTPにおいては、どうやらこれではうまく通信出来ないようなのです。

具体的に間違っているところを教えていただけると幸いです。
どうぞよろしくお願いします。

FTPとNTPの通信について困っているので教えてください。
下記内容で、アクセスリストを作成し、FTPとNTPの通信を許可したいのですが、うまく行かず困っております。
どなたかお分かりになる方がいらっしゃいましたら、ご教授お願い致します。

--------------------------------------------------
●構成
〔any〕- 〔スイッチVlan3〕-〔サーバ〕
             interface3


●ACL
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-li...続きを読む

Aベストアンサー

vlan access-map ~で設定します(と言っても、私も教科書で読んだだけですけど)。

http://ping-t.com/modules/cisco/?Cisco%A5%B3%A5%DE%A5%F3%A5%C9%BD%B8%2FV%2Fvlan%20access-map
http://www.infraexpert.com/study/acl10.htm

QciscoのASA機のアクセスリストの設定・削除方

ciscoのASA機のアクセスリストの設定・削除方法

■以下のコマンドであっているのか、知りたいです。
 また注意する点など補足あればお願いします。

まずアクセスリストを下記のように設定します。
※設定するコマンド例
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended deny ip any any
(config)#access-group A in interface B

次に設定したアクセスリストを変更する手段として、
昔からの方法ですが、
一旦、インターフェースの適用を削除してから、アクセスリストの削除、追加をして、
再度インターフェースに適用するやりかたであってますでしょうか?

※入力するコマンド例
(config)#no access-group A in interface B
(config)#no access-list A
(config)#
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended deny ip any any
(config)#access-group A in interface B

※Aはアクセスリストの名前、Bはインターフェースグループの名前です。

以上、よろしくお願いします。

ciscoのASA機のアクセスリストの設定・削除方法

■以下のコマンドであっているのか、知りたいです。
 また注意する点など補足あればお願いします。

まずアクセスリストを下記のように設定します。
※設定するコマンド例
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended permit ip ・・・
(config)#access-list A extended deny ip any any
(config)#access-group A in interface B

次に設定したアクセスリストを変更する手段として、
昔からの方法ですが、
一旦、インターフ...続きを読む

Aベストアンサー

こんにちは。hirasakuです。

まだ、解決してませんか?
コマンドのやり方はそれでいいと思いますよ。

ただ、ASAだとASDMでGUIで設定したほうが楽な気がしますが。

では。

QFTPエラー425

FTPで425エラーが出て困っています。
今まで繋がっていたのが突然繋がらなくなりました。
調べてみると20番ポートが遮断されている可能性が高く、
どこで遮断されているか調べる良い方法があれば教えて下さい。

・クライアント
OS:Windows 8.1、ファイアウォール: Norton Inernet Security
・サーバー(AWS)
OS:Red Hat Enterprise Linux Server release 7.1 (Maipo)
ファイアウォール:AWSのネットワークルール設定

接続は出来ていて、lsを打つとエラーになります。
サーバーにTertermでログインしてlocalhostにftpするとlsできるので、
ftpd自体に問題はなさそうです。
また、サーバー側の設定は直しておらず、突如動かなくなったので、
クライアントのファイアウォール設定が変わったのを疑っていますが、
ファイアウォールを一時停止しても解消しませんでした。
どこが悪いか原因を切り分けられるずに困っています。
原因箇所を調べる良い方法があればご教示ください。

FTPで425エラーが出て困っています。
今まで繋がっていたのが突然繋がらなくなりました。
調べてみると20番ポートが遮断されている可能性が高く、
どこで遮断されているか調べる良い方法があれば教えて下さい。

・クライアント
OS:Windows 8.1、ファイアウォール: Norton Inernet Security
・サーバー(AWS)
OS:Red Hat Enterprise Linux Server release 7.1 (Maipo)
ファイアウォール:AWSのネットワークルール設定

接続は出来ていて、lsを打つとエラーになります。
サーバーにTerterm...続きを読む

Aベストアンサー

>FFFTPで繋いでいて拡張オプションのPASVモードにチェックをつけていないのでpassiveモードではないはずですが、

クライアントソフトはActive FTPで接続しようとしているのは間違いないですね。

>WireSharkで見たところ、後ろにPASVと書かれていました。
>Wireshark結果
>3967 345.551600000 52.27.XX.XXX 192.168.0.4 FTP 105 Response: 200 PORT command> successful. Consider using PASV. ← パッシブモードになっている?

良く読んで下さい。単に「Passiveモードでの使用を検討して下さい」というメッセージです。

クライアントソフトはActive FTPで接続しようとしているものの、サーバ側がActive FTPを恐らくサポートしていないので、「Passiveモードに移行してよ」とメッセージを出した。にも関わらずクライアントはPASVコマンドを実行することもなく、LISTコマンドを実行したので「425 Failed to establish connection」、つまり「だぁかぁらぁ、データセション張ってないんだから」と返したわけです。

「Passiveモードでの使用を検討して下さい」というメッセージは柔らかな表現ですが「いいか、俺はPassiveモードしか受け付けないからな。次はPASVコマンドを打てよな。それ以外は知らんからな」と等価です。まぁ、QUITやBINARYやASCII等は受け付けてくれるとは思いますが。

>またサーバーが20番ポートにセッションを張ろうとしている形跡がありませんでした。
>これはPASVモードになっているのでしょうか?

サーバは少なくともPassiveモードしかサポートしていないようです。なので、サーバからクライアントの20/TCPにはコネクションを張らずに、21/TCPでクライアントからのPASVコマンド待ちです。PASVコマンドがクライアントから来れば、21/TCPでEntering Passive Mode (X,X,X,X,A,B)を返しますので、クライアントはサーバの(A*256+B)/TCPポートに対してSYNを送信、所謂3ウェイハンドシェイクでデータセションが繋がるという流れになります。

>FFFTPで繋いでいて拡張オプションのPASVモードにチェックをつけていないのでpassiveモードではないはずですが、

クライアントソフトはActive FTPで接続しようとしているのは間違いないですね。

>WireSharkで見たところ、後ろにPASVと書かれていました。
>Wireshark結果
>3967 345.551600000 52.27.XX.XXX 192.168.0.4 FTP 105 Response: 200 PORT command> successful. Consider using PASV. ← パッシブモードになっている?

良く読んで下さい。単に「Passiveモードでの使用を検討して下さい」というメッ...続きを読む

QSNMPのポート番号について

現在、ネットワークを構築しており各Routerにaccess-listを設定したいのですがSNMPのポート番号がよくわかりません。とりあえず161は使っているという事はわかったのですが、他には何番のポート番号を使っているのでしょうか?

御存知の方がいらっしゃれば是非教えていただけないでしょうか?
宜しくお願い致します。

Aベストアンサー

>OpenViewではTCPも使っているのでしょうか? もし使っているとすれば、このポ>ート番号は何番になるのでしょうか?

このバージョンから推測ですが(間違ってたらごめんなさい)NT もしくは Win2k を使用の場合と、UNIX(Solaris、HP-UX)の場合と違います。

デフォルトの 161、162と返しの 1024以上で問題ないと思います。

NT(2000を含む)の場合、サーバに MS IIS(今セキュリティホールで騒がれているやつ)が前提ですので、HTTP 80(OpenView 本体の画面表示に使用)、MS-RPC(135UDP/TCP) です。使用については、このポートは複数の OpenView サーバをたてて、同期をとっていなければ、ルータ側では Open の必要はありません。
このとき、間違って、135、137、138、139、445(Win2kのみ)はサーバから落とさないように。IISそのものが動かなくなります。

UNIX の場合、Solaris だったら、RPC が 111(UDP/TCP)を使いますが、NT ほど私は理解はしてないのが現状です........

それと、SNMP コミュニティ名は、ReadOnly の場合、デフォルトの「Private」は変更すること!(ルータのコミュニティ名も、[private RO] を、[XXXXXX RO]に変更して、標準アクセスリスト(10くらいでいいんじゃないですか)をネットワーク管理者と相談して決めてください。

それと、HP OpenView、NT、Solaris とも、セキュリティホールがありますので、こまめにセキュリティサイトをみながらチェックすることを薦めます。

セキュリティ関連の参考 URL は、以下のとおりです。
(Ciscoルータもセキュリティホールを閉じる手立てはあるみたいですが、日本のサイトでは確認した!という事例はありません)

参考URL:http://winsec.toranoana.ne.jp/ http://www.reasoning.org/jp/cert/index.html

>OpenViewではTCPも使っているのでしょうか? もし使っているとすれば、このポ>ート番号は何番になるのでしょうか?

このバージョンから推測ですが(間違ってたらごめんなさい)NT もしくは Win2k を使用の場合と、UNIX(Solaris、HP-UX)の場合と違います。

デフォルトの 161、162と返しの 1024以上で問題ないと思います。

NT(2000を含む)の場合、サーバに MS IIS(今セキュリティホールで騒がれているやつ)が前提ですので、HTTP 80(OpenView 本体の画面表示に使用)、MS-RPC(135UDP/T...続きを読む

QNTP の TCPポートは?

NTPは123/UDPでようは足りると思うのですが、
WELL KNOWN PORTとかいろいろな資料に「123/TCP」ポートが割当たってます。
ntpd,ntpdate等でNTPを使う場合、実際には123/TCPは使われているのでしょうか?

Aベストアンサー

RFC1305では「ntpには123/udpを割り当てる」となっていますが、RFC1700では「123 ntp」となっており、「123/udp」と明示されているわけではありません。
よって、「123/tcp ntp」が間違っている(または使えない)という明確な根拠にはなりません。

「現状では『123/tcp ntp』を実装するための定義が存在しない」程度に考えた方が良いと思います。

ただ、将来的にRFC2030のSNTPが(IPv6対応などの点で)主流になる可能性があるので、「123/tcp ntp」は定義されない可能性もあります。

Qルータでのフィルタリング設定

Ciscoのルータの設定をしていますが、うまくいかないのでおしえてください。
ネットワーク構成は、host1-ルータ-host2ですべてLANです。
やりたいことはtelnetだけ通過させるということです。
access-list 100 permit tcp any any eq telnet
をポートに適用すればよいと思っていましたが、うまくいきません。
ほかに何かpermitしなければいけないのでしょうか?
ちなみにhost1からルータにtelnetし、そこからhost2にtelnetはできます。
しかし、host1からhost2に直接telnetしようとするとできません。
なぜでしょうか?
おしえてください。

Aベストアンサー

アクセスリストを適用したいインターフェイスにかけます。

router(config-if)#access-group 100 in ← この場合 Inbaound
router(config-if)#access-group 100 out ← この場合 outbaound

あと、多分返しの1024以上のポートが閉ざされているため、以下のようにかけたインターフェイスにアクセスリストを追加します。

router(config)#access-list 100 permit tcp any any established
router(config)#access-list 100 permit tcp any any gt 1023

でも、あんまし、any - any でかけるより、特定のホストで access-list はかけたほうがいいですよ。

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Q標準/拡張アクセスリストのインバウンド・アウトバウンドの違い

CCNAの資格を取得中です。
標準/拡張アクセスリストのインバウンド・アウトバウンドの設定の理解があまりできておりません。
どうしても、逆(インバウンドをアウトバウンド)
に設定したりします。
インバウンドは中でアウトバウンドは外である理解
はできますが・・・・
理解する方法があれば、教えていただければ幸いです。

Aベストアンサー

はい・・私も、最初、よく、逆に設定しました(^^;

端的に言うと・・
インバウンドは、装置へ入ってくるパケット
アウトバウンドは、装置から出て行くパケット
です。繋がっているセグメントが内側か、外側か、というのとは、関係ありません。

たとえば、セグメントAとセグメントB、セグメントCの間にルーターがあるとすると・・
Aから、BとCへのアクセスを禁止する場合は(複雑にならないよう・・tcpとします)、Aのインバウンドか、BとCのアウトバウンドでsynを止めればよいことになります。
また、AからBは禁止、AからCは許可の場合は、Bのアウトバウンド、ということになります。

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QOSPFのコスト値が同じ場合

目的ホストまでOSPFで構築されたネットワークが2系統ある場合でリンクコスト値が同じ場合どのようにルートが決定されるのでしょうか?

Aベストアンサー

こんばんは
等価コストでのルーティングの経路選択は、大きくは以下の2つの動作に分けられます。

1)コストが同一のため、ルーティング時にロードバランスされる
2)コストが同一でも、ルーティング時には特定の経路を使用し、片方をバックアップ経路とする

以上の2つのどちらを採用するかは、各メーカーや機器、設定によっても異なります。
しかし、多くの機器では、前者を採用しているのが現状です。
ロードバランスについては、以下のページの中盤あたりの説明が判りやすいと思います。
http://www5e.biglobe.ne.jp/~aji/30min/14.html


そして、実際のロードバランス方法ですが、これも大きくは2つの種類があります。

1-A)通信先のホスト単位で振り分けられ、そのホストとは必ず決まった経路を通る
1-B)通信先のホストにはとらわれず、パケット単位で経路を振り分けられる

前者は、ロードバランスはホスト単位で行われるため、特定のホストとの通信は、
必ず特定の経路をたどるため、ホスト単位で通信量が大幅に異なると、
トラフィックが偏る傾向があります。
セッション管理を行うNW 機器がある場合には、こちらが採用されます。

後者は、パケット単位で1パケット目は経路A、2パケット目は経路B と言った振り分けが行われるため、
パケット単位ではトラフィックが偏ることはありません。
しかし、通信経路が等価コスト経路内でランダムに近い状況となるため、
予期せぬ障害が発生した場合に、通信経路が特定できず、
原因究明が困難となってしまう可能性があります。

一般的には、前者の方法[1-A]が採られることが多いです。

また、今回のような”コスト値”が同じ複数経路のことを、
”ECMP:Equal Cost Multi Path”と呼びます。


参考までにCisco での”ロード バランシングの機能”についての説明は、
以下のページに掲載されています。
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/105/46-j.shtml

最後に、等価コストでのロードバランスは、
OSPF 以外でのルーティングプロトコル(IGRP,EIGRP)でも対応しています。

こんばんは
等価コストでのルーティングの経路選択は、大きくは以下の2つの動作に分けられます。

1)コストが同一のため、ルーティング時にロードバランスされる
2)コストが同一でも、ルーティング時には特定の経路を使用し、片方をバックアップ経路とする

以上の2つのどちらを採用するかは、各メーカーや機器、設定によっても異なります。
しかし、多くの機器では、前者を採用しているのが現状です。
ロードバランスについては、以下のページの中盤あたりの説明が判りやすいと思います。
http://ww...続きを読む


人気Q&Aランキング