ルータ(L3SW)でVLANインターフェース作成時に、VLANインターフェースにACLを設定することがあるかと思います。
この時VLANインターフェースで各種プロトコルを使用している場合、そのプロトコルを使用するのに必要な通信をACLで許可してあげないと、プロトコルがうまく動かなかったりします。
例えば2台のルータで同じVLANインターフェースを設定し、冗長化のためVRRP(あるいはHSRP)を使用することがあるかと思います。VRRPではお互いのルータに設定されているVLANインターフェースの生存確認のため、定期的にHelloパケットを送信し、返答があるか確認しています。そのためACLでそのHelloパケットが破棄されていると、返答がないためお互いに相方がダウンしたとみなし自分がActive機に昇格します。結果外のネットワークから見ると同じIPプレフィックスが2ヶ所から広報しているように聞こえてしまいます。
なので各プロトコルごとに必要なACLを開けるべき通信の内容をまとめました(備忘録的に)。
| プロトコル | 許可すべきIPアドレス | 補足 |
|---|---|---|
| HSRPv1(IPv4) | 224.0.0.1 | 生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| HSRPv2(IPv4) | 224.0.0.102 | 生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| HSRPv2(IPv6) | FF02::66 | 生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| VRRP(IPv4) | 224.0.0.18 | 生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| VRRP(IPv6) | FF02::12 | 生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| OSPF | 224.0.0.5 | すべてのOSPFネイバーの生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| OSPF | 224.0.0.6 | BR/BDRのOSPFネイバーの生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| OSPFv3 | FF02::5 | すべてのOSPFネイバーの生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| OSPFv3 | FF02::6 | BR/BDRのOSPFネイバーの生存確認のためのHelloパケットを送出するために用いられるマルチキャストアドレス |
| BGP | ネイバーからのTCP179番の通信 | BGPネイバーを確立するためには、ネイバー同士でTCP179番のセッションを確立する必要があるため |