BGP

この項では、Border Gateway Protocol(BGP)を使用してデータのルーティング、認証の実行、ルーティング情報の再配布を行うように Firewall Threat Defense を設定する方法について説明します。

About BGP

BGP is an inter and intra autonomous system routing protocol. An autonomous system is a network or group of networks under a common administration and with common routing policies. BGP is used to exchange routing information for the Internet and is the protocol used between Internet service providers (ISP).

Routing Table Changes

BGP neighbors exchange full routing information when the TCP connection between neighbors is first established. When changes to the routing table are detected, the BGP routers send to their neighbors only those routes that have changed. BGP routers do not send periodic routing updates, and BGP routing updates advertise only the optimal path to a destination network.


(注)  

AS loop detection is done by scanning the full AS path (as specified in the AS_PATH attribute), and checking that the AS number of the local system does not appear in the AS path. By default, EBGP advertises the learned routes to the same peer to prevent additional CPU cycles on the device in performing loop checks and to avoid delays in the existing outgoing update tasks.

Routes learned via BGP have properties that are used to determine the best route to a destination, when multiple paths exist to a particular destination. These properties are referred to as BGP attributes and are used in the route selection process:

  • Weight—This is a Cisco-defined attribute that is local to a router. The weight attribute is not advertised to neighboring routers. If the router learns about more than one route to the same destination, the route with the highest weight is preferred.

  • Local preference—The local preference attribute is used to select an exit point from the local AS. Unlike the weight attribute, the local preference attribute is propagated throughout the local AS. If there are multiple exit points from the AS, the exit point with the highest local preference attribute is used as an exit point for a specific route.

  • Multi-exit discriminator—The multi-exit discriminator (MED) or metric attribute is used as a suggestion to an external AS regarding the preferred route into the AS that is advertising the metric. It is referred to as a suggestion because the external AS that is receiving the MEDs may also be using other BGP attributes for route selection. The route with the lower MED metric is preferred.

  • Origin—The origin attribute indicates how BGP learned about a particular route. The origin attribute can have one of three possible values and is used in route selection.

    • IGP—The route is interior to the originating AS. This value is set when the network router configuration command is used to inject the route into BGP.

    • EGP—The route is learned via the Exterior Border Gateway Protocol (EBGP).

    • Incomplete—The origin of the route is unknown or learned in some other way. An origin of incomplete occurs when a route is redistributed into BGP.

  • AS_path—When a route advertisement passes through an autonomous system, the AS number is added to an ordered list of AS numbers that the route advertisement has traversed. Only the route with the shortest AS_path list is installed in the IP routing table.

  • Next hop—The EBGP next-hop attribute is the IP address that is used to reach the advertising router. For EBGP peers, the next-hop address is the IP address of the connection between the peers. For IBGP, the EBGP next-hop address is carried into the local AS. However, when the next hop is in the same subnet as the peering address of the eBGP peer, the next hop is not modified. This behavior is referred to as the third party next hop.

    Use the next-hop-self command when redistributing VPN-advertised routes to iBGP peers to ensure that the routes are redistributed with the correct next hop IP.

  • Community—The community attribute provides a way of grouping destinations, called communities, to which routing decisions (such as acceptance, preference, and redistribution) can be applied. Route maps are used to set the community attribute. The predefined community attributes are as follows:

    • no-export—Do not advertise this route to EBGP peers.

    • no-advertise—Do not advertise this route to any peer.

    • internet—Advertise this route to the Internet community; all routers in the network belong to it.

When to Use BGP

Customer networks, such as universities and corporations, usually employ an Interior Gateway Protocol (IGP) such as OSPF for the exchange of routing information within their networks. Customers connect to ISPs, and ISPs use BGP to exchange customer and ISP routes. When BGP is used between autonomous systems (AS), the protocol is referred to as External BGP (EBGP). If a service provider is using BGP to exchange routes within an AS, then the protocol is referred to as Interior BGP (IBGP).

BGP can also be used for carrying routing information for IPv6 prefix over IPv6 networks.

BGP Path Selection

BGP may receive multiple advertisements for the same route from different sources. BGP selects only one path as the best path. When this path is selected, BGP puts the selected path in the IP routing table and propagates the path to its neighbors. BGP uses the following criteria, in the order presented, to select a path for a destination:

  • If the path specifies a next hop that is inaccessible, drop the update.

  • Prefer the path with the largest weight.

  • If the weights are the same, prefer the path with the largest local preference.

  • If the local preferences are the same, prefer the path that was originated by BGP running on this router.

  • If no route was originated, prefer the route that has the shortest AS_path.

  • If all paths have the same AS_path length, prefer the path with the lowest origin type (where IGP is lower than EGP, and EGP is lower than incomplete).

  • If the origin codes are the same, prefer the path with the lowest MED attribute.

  • If the paths have the same MED, prefer the external path over the internal path.

  • If the paths are still the same, prefer the path through the closest IGP neighbor.

  • Determine if multiple paths require installation in the routing table for BGP Multipath.

  • If both paths are external, prefer the path that was received first (the oldest one).

  • Prefer the path with the lowest IP address, as specified by the BGP router ID.

  • If the originator or router ID is the same for multiple paths, prefer the path with the minimum cluster list length.

  • Prefer the path that comes from the lowest neighbor address.

BGP Multipath

BGP Multipath allows installation into the IP routing table of multiple equal-cost BGP paths to the same destination prefix. Traffic to the destination prefix is then shared across all installed paths.

These paths are installed in the table together with the best path for load-sharing. BGP Multipath does not affect best-path selection. For example, a router still designates one of the paths as the best path, according to the algorithm, and advertises this best path to its BGP peers.

In order to be candidates for multipath, paths to the same destination need to have these characteristics equal to the best-path characteristics:

  • Weight

  • Local preference

  • AS-PATH length

  • Origin code

  • Multi Exit Discriminator (MED)

  • One of these:

    • Neighboring AS or sub-AS (before the addition of the BGP Multipaths)

    • AS-PATH (after the addition of the BGP Multipaths)

Some BGP Multipath features put additional requirements on multipath candidates:

  • The path should be learned from an external or confederation-external neighbor (eBGP).

  • The IGP metric to the BGP next hop should be equal to the best-path IGP metric.

These are the additional requirements for internal BGP (iBGP) multipath candidates:

  • The path should be learned from an internal neighbor (iBGP).

  • The IGP metric to the BGP next hop should be equal to the best-path IGP metric, unless the router is configured for unequal-cost iBGP multipath.

BGP inserts up to n most recently received paths from multipath candidates into the IP routing table, where n is the number of routes to install to the routing table, as specified when you configure BGP Multipath. The default value, when multipath is disabled, is 1.

For unequal-cost load balancing, you can also use BGP Link Bandwidth.


(注)  

The equivalent next-hop-self is performed on the best path that is selected among eBGP multipaths before it is forwarded to internal peers.

BGP の要件と前提条件

Model support

Firewall Threat Defense

Firewall Threat Defense Virtual

Supported domains

Any

User roles

Admin

Network Admin

Guidelines for BGP

Firewall Mode Guidelines

Does not support transparent firewall mode. BGP is supported only in routed mode.

IPv6 Guidelines

Supports IPv6.

Additional Guidelines

  • For BGP, the next hop IP address for the routes is the network IP address and not 0.0.0.0.

  • The system does not add route entry for the IP address received over PPPoE in the CP route table. BGP always looks into CP route table for initiating the TCP session, hence BGP does not form TCP session.

    Thus, BGP over PPPoE is not supported.

  • BGP is not supported on management-only or BVI interfaces.

  • To avoid adjacency flaps due to route updates being dropped if the route update is larger than the minimum MTU on the link, ensure that you configure the same MTU on the interfaces on both sides of the link.

  • BGP with PATH MTU (PMTU) can cause adjacency flaps if MTU discovery fails, especially with ECMP routing. Hence, be cautious while using BGP, PMTU, and ECMP as packet drops can occur if MTU discovery fails due to any reason.

  • The BGP table of the member unit is not synchronized with the control unit table. Only its routing table is synchronized with the control unit routing table.

  • When you configure a route-based site-to-site VPN using static or dynamic VTI interfaces, ensure that the value of the TTL hop is more than one if you use BGP as the routing protocol.

BGP の設定

BGP を設定するには、以下のトピックを参照してください。

手順

ステップ 1

BGP 基本設定

ステップ 2

BGP 一般設定

ステップ 3

BGP ネイバーの設定

ステップ 4

BGP 集約アドレス設定の設定

ステップ 5

BGPv4 フィルタリング設定

(注)  

 

フィルタリング セクションは、IPv4 設定にのみ適用されます。

ステップ 6

BGP ネットワーク設定

ステップ 7

BGP 再配布設定

ステップ 8

BGP ルート注入の設定

ステップ 9

BGP ルートのインポート/エクスポート設定の設定

BGP 基本設定

BGP の多くの基本設定が可能です。

仮想ルーティングを使用するデバイスの場合、このセクションで説明する基本設定は、[BGP] ページの [一般設定(General Settings)] で設定する必要があります。詳細については、Firewall Management Center Web インターフェイスの変更:[ルーティング(Routing)] ページを参照してください。

手順

ステップ 1

[Devices > Device Management] を選択し、Firewall Threat Defense デバイスを編集します。

ステップ 2

[ルーティング(Routing)] を選択します。

ステップ 3

(仮想ルータ対応デバイスの場合)[一般設定(General Settings)] で [BGP] をクリックします。

ステップ 4

[BGP の有効化(Enable BGP)] チェックボックスをオンにして、BGP ルーティングプロセスを有効にします。

ステップ 5

[AS 番号(AS Number)] フィールドに、BGP プロセスの自律システム(AS)番号を入力します。AS 番号内部には、複数の自律番号が含まれます。AS 番号には、1 ~ 4294967295 または 1.0 ~ 65535.65535 を指定できます。AS 番号は固有に割り当てられた値であるため、インターネットの各ネットワークが識別されます。

ステップ 6

[ルータID(Router ID)] ドロップダウンリストで、[自動(Automatic)] または [手動(Manual)](非クラスタおよびスパンド EtherChannel モードのクラスタの場合に表示)または [クラスタプール(Cluster Pool)](個別インターフェイスモードのクラスタの場合に表示)を選択します。自動を選択すると、Firewall Threat Defense デバイス上で最上位の IP アドレスがルータ ID として使用されます。[手動(Manual)] を選択した場合は、[IPアドレス(IP Address)] フィールドに IP アドレスを入力します。[クラスタプール(Cluster Pool)] を選択した場合は、[クラスタプール(Cluster Pool)] フィールドにクラスタプール値を入力します。クラスタプールアドレスの作成については、アドレス プールを参照してください。

ステップ 7

固定ルータ ID を使用するには、[手動(Manual)] を選択して、[IPアドレス(IP Address)] フィールドに IPv4 アドレスを入力します。デフォルト値は [自動(Automatic)] です。仮想ルータ対応デバイスの場合は、[仮想ルータ(Virtual Routers)] > [BGP] ページでルータ ID の設定をオーバーライドできます。

ステップ 8

(オプション)[General] でさまざまな BGP 設定を編集します。これらの設定のデフォルトはほとんどの場合で適切ですが、ネットワークのニーズに合わせて調整できます。Edit (edit icon)をクリックして、グループの設定を編集します。

  1. ネクストホップの検証用に BGP ルータのスキャン間隔を入力します。有効な値は 5 ~ 60 秒です。デフォルト値は 60 です。

  2. [AS_PATH属性のAS番号の数(Number of AS numbers in AS_PATH attribute)] を入力します。AS パス属性は、移動パケットの最短ルートになる送信元と宛先のルータ間の中間 AS 番号のシーケンスです。有効な値は、1 ~ 254 です。デフォルト値は None です。

  3. [ログ ネイバー変更(Log Neighbor Changes)] チェックボックスをオンにして、BGP ネイバーの変更(アップ状態またはダウン状態)およびリセットのロギングをイネーブルにします。これは、ネットワーク接続の問題をトラブルシューティングしたり、ネットワークの安定性を評価する際に役に立ちます。この設定はデフォルトで有効になっています。

  4. [TCP パス MTU ディスカバリ使用(Use TCP path MTU discovery)] チェックボックスをオンにし、パス MTU 手法を使用して 2 つの IP ホスト間のネットワーク パスにおける最大伝送単位(MTU)のサイズを決定します。これにより、IP フラグメンテーションが回避されます。この設定はデフォルトで有効になっています。

  5. [フェールオーバー後すぐにセッションをリセット(Reset session upon Failover)] チェックボックスをオンにして、リンク障害の発生時に外部 BGP セッションをただちにリセットします。この設定はデフォルトで有効になっています。

  6. [最初の AS を EBGP ルートのピアの AS として実行(Enforce that first AS is peer’s AS for EBGP routes)] チェックボックスをオンにして、その AS 番号を AS_path 属性の 1 つ目のセグメントとしてリストしていない外部 BGP ピアから受信した着信アップデートを破棄します。これにより、誤って設定されたピアや許可されていないピアが、別の自律システムから送信されたかのようにルートをアドバイタイズしてトラフィックを誤った宛先に送信することがなくなります。この設定はデフォルトで有効になっています。

  7. [AS 番号のドット表記を使用(Use dot notation for AS numbers)] チェックボックスをオンにして、完全なバイナリ 4 バイトの AS 番号を、ドットで区切られた 16 ビットの 2 文字ずつに分割します。0 ~ 65553 の AS 番号は 10 進数で表され、65535 を超える AS 番号はドット付き表記を使用して表されます。これは、デフォルトでは無効になっています。

  8. [OK] をクリックします。

ステップ 9

(オプション)[ベスト パス選択(Best Path Selection)] セクションを編集します。

  1. [デフォルトローカル優先度(Default Local Preference)] で 0 ~ 4294967295 の値を入力します。デフォルト値は 100 です。値が大きいほど、優先度が高いことを示します。この優先度は、ローカル自律システム内のすべてのルータおよびアクセス サーバに送信されます。

  2. [異なるネイバーからの MED 比較を許可(Allow comparing MED from different neighbors)] チェックボックスをオンにして、さまざまな自律システムのネイバーからのパスにおいて Multi-exit discriminator(MED)の比較ができるようにします。これは、デフォルトでは無効になっています。

  3. [同一 EBGP パスのルータ ID を比較(Compare Router ID for identical EBGP paths)] チェックボックスをオンにして、最適なパスの選択プロセス中に、外部 BGP ピアから受信した類似のパスを比較し、最適なパスをルータ ID が最も小さいルートに切り替えます。これは、デフォルトでは無効になっています。

  4. [隣接する AS がアドバタイズしたパス間の最適 MED を選別(Pick the best MED path among paths advertised from the neighboring AS)] チェックボックスをオンにして、連合ピアから学習したパス間における MED 比較を有効にします。MED 間の比較は、外部の自律システムがパスに存在しない場合にのみ行われます。これは、デフォルトでは無効になっています。

  5. [欠落 MED を最低優先度として処理(Treat missing MED as the least preferred one)] チェックボックスをオンにして、欠落している MED 属性は無限大の値を持つものとみなし、このパスを最も推奨度の低いパスにします。したがって、MED が欠落しているパスが最も優先度が低くなります。これは、デフォルトでは無効になっています。

  6. [OK] をクリックします。

ステップ 10

(オプション)[ネイバー タイマー(Neighbor Timers)] セクションを編集します。

  1. [キープアライブインターバル(Keep alive interval)] フィールドに、BGP ネイバーがキープアライブメッセージを送信しなくなった後アクティブな状態を継続する時間を入力します。このキープアライブ インターバルが終わると、メッセージが送信されない場合、BGP ピアはデッドとして宣言されます。デフォルト値は 60 秒です。

  2. [維持時間(Hold Time)] フィールドで、BGP 接続が開始、設定されている間、BGP ネイバーがアクティブな状態を維持する時間間隔を入力します。デフォルト値は 180 秒です。0 ~ 65535 の値を指定します。

  3. (オプション)[最小維持時間(Min Hold time)] フィールドで、BGP 接続が開始、設定されている間、BGP ネイバーがアクティブな状態を維持する最小時間間隔を入力します。3 ~ 65535 の値を指定します。

    (注)  

     

    ホールドタイムが 20 秒未満の場合、ピアフラッピングの可能性が高くなります。

  4. [OK] をクリックします。

ステップ 11

[ネクストホップ(Next Hop)] セクションで、必要に応じて BGP ネクストホップアドレス追跡を有効にする [アドレス追跡を有効にする(Enable address tracking)] チェックボックスをオンにし、ルーティングテーブルにインストールされた更新ネクストホップルートのチェック間隔として [遅延インターバル(Delay Interval)] を入力します。[OK] をクリックします。

(注)  

 

[ネクスト ホップ(Next Hop)] セクションは、IPv4 設定にのみ適用されます。

ステップ 12

(オプション)[グレースフル リスタート(Graceful Restart)] セクションを編集します。

(注)  

 

このセクションは、Firewall Threat Defenseデバイスがフェールオーバーまたはスパンドクラスタモードになっているときにのみ使用できます。フェールオーバー設定のデバイスの 1 つが失敗した場合に、トラフィック フローのパケットでドロップがないように行われるものです。

  1. [グレースフルリスタートを有効にする(Enable Graceful Restart)] チェックボックスをオンにして、Firewall Threat Defense ピアがスイッチオーバー後のルートフラップを回避できるようにします。

  2. [リスタート時間(Restart Time)] フィールドで BGP オープン メッセージが受信される前に、Firewall Threat Defenseピアが古いルートを削除するまでの待機時間を入力します。デフォルト値は 120 秒です。有効な値は 1 ~ 3600 秒です。

  3. [Stalepath時間(Stalepath Time)] フィールドで、リスタートする Firewall Threat Defenseから End Of Record(EOR)メッセージを受信した後、Firewall Threat Defenseが古いルートを削除するまでの待機時間を入力します。デフォルト値は 360 秒です。有効な値は 1 ~ 3600 秒です。

  4. [OK] をクリックします。

ステップ 13

[保存(Save)] をクリックします。

ステップ 14

BGP の基本設定を表示するには、[仮想ルータ(Virtual Routers)] ドロップダウンから目的のルータを選択し、[BGP] をクリックします。

このページには、[設定(Settings)] ページで設定された基本設定が表示されます。このページでルータ ID の設定を編集できます。

ステップ 15

ルータ ID の設定を編集するには、[IPアドレス(IP Address)] フィールドの IP アドレスを変更します。変更された値で、[BGP] ページの [一般設定(General Settings)] で設定されたルータ ID の設定がオーバーライドされます。

BGP 一般設定

ルートマップ、アドミニストレーティブ ルート ディスタンス、同期、ネクストホップ、パケット転送を設定します。これらの設定のデフォルトはほとんどの場合で適切ですが、ネットワークのニーズに合わせて調整できます。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[General] をクリックします。

ステップ 5

[一般(General)] で、次のセクションを更新します。

  1. [設定(Settings)] セクションの [ルートマップ(Route Map)] でルートマップオブジェクトを入力または選択し、[OK] をクリックします。

    (注)  

     

    [ルート マップ(Route Map)] フィールドは、IPv4 設定にのみ適用されます。

  2. [アドミニストレーティブルートディスタンス(Administrative Route Distances)] セクションで、必要に応じて以下を更新し、[OK] をクリックします。

    • [外部(External)]:外部 BGP ルートのアドミニストレーティブ ディスタンスを入力します。外部自律システムから学習されたルートは、外部ルートです。この引数の値の範囲は 1 ~ 255 です。デフォルト値は 20 です。

    • [内部(Internal)]:内部 BGP ルートのアドミニストレーティブ ディスタンスを入力します。ローカル自律システムのピアから学習されたルートは、内部ルートです。この引数の値の範囲は 1 ~ 255 です。デフォルト値は 200 です。

    • [ローカル(Local)]:ローカル BGP ルートのアドミニストレーティブ ディスタンスを入力します。ローカル ルートは、別のプロセスから再配布されているルータまたはネットワークの、多くの場合バック ドアとして、ネットワーク ルータ表示コマンドによりリストされるネットワークです。この引数の値の範囲は 1 ~ 255 です。デフォルト値は 200 です。

  3. [ルートと同期化(Routes and Synchronization)] セクションで、必要に応じて以下を更新し、[OK] をクリックします。

    • (オプション)[デフォルトルートの生成(Generate default routes)]:デフォルトの情報発信元を設定するには、このオプションのチェックボックスをオンにします。

    • (オプション)[サブネットルートのネットワークレベルルートへの集約(Summarize subnet routes into network-level routes)]:このオプションのチェックボックスをオンにして、ネットワークレベルのルートへのサブネットルートの自動集約を設定します。このチェックボックスは、IPv4 設定にのみ適用されます。

    • (オプション)[非アクティブなルートのアドバタイズ(Advertise inactive routes)]:このオプションのチェックボックスをオンにして、ルーティング情報ベース(RIB)にインストールされていないルートをアドバタイズします。

    • (オプション)[BGPとIGPシステム間の同期化(Synchronize between BGP and IGP system)]:このオプションのチェックボックスをオンにして、BGP と内部ゲートウェイプロトコル(IGP)システムの間の同期を有効にします。通常、ルートがローカルであるか IGP に存在する場合を除き、BGP スピーカーは外部ネイバーにルートをアドバタイズしません。この機能により、自律システム内のルータおよびアクセス サーバは、BGP が他の自律システムでルートを使用可能にする前にルートを確保できるようになります。

    • (オプション)[IBGPのIGPへの再配布(Redistribute IBGP into IGP)]:このオプションのチェックボックスをオンにして、OSPF などの内部ゲートウェイプロトコル(IGP)への iBGP の再配布を設定します。

  4. [多重パスでパケットを転送(Forward Packets over Multiple Paths)] セクションで、必要に応じて以下を更新し、[OK] をクリックします。

    • (オプション)[パスの数(Number of Paths)]:ルーティングテーブルにインストール可能な Border Gateway Protocol ルートの最大数を入力します。値の範囲は 1 ~ 8 です。デフォルト値は 1 です。

    • (オプション)[IBGPパスの数(IBGP Number of Paths)]:ルーティングテーブルにインストール可能な並行内部ボーダー ゲートウェイ プロトコル(IBGP)ルートの最大数を入力します。値の範囲は 1 ~ 8 です。デフォルト値は 1 です。

ステップ 6

[保存(Save)] をクリックします。

BGP ネイバーの設定

BGP ルータは、更新を交換する前に各ピアと接続する必要があります。これらのピアは BGP ネイバーと呼ばれます。この手順を実行して、BGP IPv4 または IPv6 ネイバーとネイバーの設定を定義します。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンリストから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[Neighbor] クリックします。

ステップ 5

[追加(Add)] をクリックして、BGP ネイバーとネイバーの設定を定義します。

ステップ 6

BGP ネイバーの IP アドレスを入力します。この IP アドレスは、BGP ネイバー テーブルに追加されます。静的 VTI で BGP IPv6 を設定する場合は、ネイバーの仮想トンネル IP アドレスを入力します。

ステップ 7

BGP ネイバーのインターフェイスを選択します。

(注)  

 

[インターフェイス(Interface)] フィールドは、IPv6 の設定にのみ適用されます。

ステップ 8

[リモート AS(Remote AS)] フィールドに、BGP ネイバーが属する自律システムを入力します。

ステップ 9

[有効アドレス(Enabled address)] チェックボックスをオンにして、この BGP ネイバーとの通信を有効にします。[有効アドレス(Enabled address)] チェックボックスがオンの場合にのみ、追加のネイバー設定が行われます。

ステップ 10

(このオプションは、ルーティングでループが発生しない場合にのみ使用します。)発信元ルータの AS 番号で送信元 BGP ルータの AS 番号をオーバーライドする場合には、[ASオーバーライド(AS Override)] チェックボックスをオンにします。

(注)  

 

BGP でのループ防止は、AS パスの AS 番号を確認することで実現されます。AS パス属性に独自の AS 番号が含まれている場合、BGP はルート更新を拒否します。ただし、同じ ASN が不連続ネットワークセグメントで使用される状況では、エンドツーエンドの到達可能性を確立するために、送信元 BGP ルータの AS 番号で AS 番号をオーバーライドすることを選択できます。

ステップ 11

(オプション)[管理シャットダウン(Shutdown administratively)] チェックボックスをオンにして、ネイバーまたはピアグループを無効化します。

ステップ 12

(オプション)[グレースフルリスタート(フェールオーバー/スパンドモード)の設定(Configure graceful restart(failover/spanned mode))] チェックボックスをオンにして、このネイバーの BGP グレースフルリスタート機能の設定を有効にします。このオプションを選択した後、[グレースフルリスタートの有効化(Enable graceful restart)] チェックボックスを使用して、このネイバーに対してグレースフルリスタートを有効にするか、無効にするかを指定する必要があります。

(注)  

 

  • グレースフルリスタートは、デバイスが HA モードの場合、または L2 クラスタ(同じネットワークのすべてのノード)が設定されている場合にのみ有効になります。

  • BGPv6 のグレースフル リスタート オプションは、Firewall Threat Defense バージョン 7.3 以降でのみ有効です。

  • グレースフルリスタートを一般設定でのみ構成し、BGP IPv6 では構成しない場合、グローバルな一般設定構成が保持されます。

  • 一般設定と BGP IPv6 の両方でグレースフルリスタートを構成すると、グローバルな一般設定構成が BGP IPv6 構成設定によってオーバーライドされます。

ステップ 13

(オプション)BGP の BFD サポートの設定を有効にするには、[BFDフェールオーバー(BFD Failover)] ドロップダウンリストから BFD タイプ(single-hop、multi-hop、auto-detect-hop)を選択します。この選択により、BFD から転送パス検出失敗メッセージを受信するように BGP ネイバーが登録されます。BFD サポートが必要ない場合は、[なし(None)] を選択します。

ステップ 14

(オプション)BGP ネイバーの説明を入力します。

ステップ 15

(オプション)[更新の送信元(Update Source)] ドロップダウンリストから、BGP パケットの送信元インターフェイスを選択します。

パス障害を克服するために、ループバックアドレスをこのインターフェイスとして選択できます。任意の物理インターフェイス、ポートチャネル、またはサブインターフェイスを選択することもできます。

ステップ 16

(オプション)[ルートのフィルタリング(Filtering Routes)] で、必要に応じてアクセスリスト、ルートマップ、プレフィックスリスト、および AS パスのフィルタを使用して、BGP ネイバー情報を配布します。次の各セクションを更新します。

  1. 適切な着信または発信アクセスリストを入力または選択して、BGP ネイバー情報を配布します。

    (注)  

     

    アクセスリストは、IPv4 の設定にのみ適用されます。

  2. 適切な着信または発信ルートマップを入力または選択して、着信または発信ルートにルートマップを適用します。

  3. 適切な着信または発信プレフィックスリストを入力または選択して、BGP ネイバー情報を配布します。

  4. 適切な着信または発信 AS パスフィルタを入力または選択して、BGP ネイバー情報を配布します。

  5. [ネイバーから許可されるプレフィックスの数を制限する(Limit the number of prefixes allowed from the neighbor)] チェックボックスをオンにして、ネイバーから受信できるプレフィックスの数を制御します。

    • [最大プレフィックス数(Maximum Prefixes)] フィールドに、特定のネイバーからの許可される最大プレフィックス数を入力します。

    • [しきい値レベル(Threshold Level)] フィールドに、ルータが警告メッセージの生成を開始するパーセンテージ(最大数に対する割合)を入力します。有効な値は 1 ~ 100 の整数です。デフォルト値は 75 です。

  6. [ピアから受信したプレフィックスの制御(Control prefixes received from the peer)] チェックボックスをオンにし、ピアから受信したプレフィックスに対する追加の制御を指定します。次のいずれかを実行します。

    • プレフィックス数の制限値に到達したときに BGP ネイバーを停止するには、[プレフィックス数の制限値を超えたときにピアリングを停止する(Terminate peering when prefix limit is exceeded)] チェックボックスをオンにします。[再起動間隔(Restart interval)] フィールドで、BGP ネイバーが再起動するまでの時間を指定します。

    • 最大プレフィックス数の制限値を超えたときにログメッセージを生成するには、[プレフィックス数の制限値を超えたときに警告メッセージのみを表示する(Give only warning message when prefix limit is exceeded)] チェックボックスをオンにします。この場合、BGP ネイバーは終了しません。

  7. [OK] をクリックします。

ステップ 17

(オプション)[ルート(Routes)] で、その他のネイバールートパラメータを指定します。次を更新します。

  1. [Advertisement Interval] フィールドに、BGP ルーティング アップデートが送信される最小間隔(秒)を入力します。有効な値は、1 ~ 600 です。

  2. [発信ルーティング更新からプライベートAS番号を削除する(Remove private AS numbers from outbound routing updates)] チェックボックスをオンにして、プライベート AS 番号を発信ルートにおけるアドバタイズ対象から除外します。

  3. [デフォルトルートの生成(Generate default routes)] チェックボックスをオンにして、ローカルルータにネイバーへのデフォルトルート 0.0.0.0 の送信を許可して、このルートがデフォルトルートとして使用されるようにします。[ルート マップ(Route map)] フィールドで、ルート 0.0.0.0 が条件に応じて注入されるように許可するルート マップを入力または選択します。

  4. 条件に応じてアドバタイズされるルートを追加するには、[行を追加(Add Row)](+)をクリックします。[アドバタイズ対象ルートの追加(Add Advertised Route)] ダイアログボックスで、次の手順を実行します。

    1. [アドバタイズマップ(Advertise Map)] フィールドで、exist-map または非存在マップの条件が満たされた場合にアドバタイズされるルートマップを追加または選択します。

    2. [存在マップ(Exist Map)] をクリックし、[ルートマップ オブジェクト セレクタ(Route Map Object Selector)] からルートマップを選択します。このルートマップは、アドバタイズマップルートがアドバタイズされるかどうかを判断するために BGP テーブル内のルートと比較されます。

    3. [非存在マップ(Non-Exist Map)] をクリックし、[ルートマップ オブジェクト セレクタ(Route Map Object Selector)] からルートマップを選択します。このルートマップは、アドバタイズマップルートがアドバタイズされるかどうかを判断するために BGP テーブル内のルートと比較されます。

    4. [OK] をクリックします。

ステップ 18

[タイマー(Timers)] で [BGPピアのタイマーを設定する(Set timers for the BGP peer)] チェックボックスをオンにし、キープアライブ頻度、保留時間、最小保留時間を設定します

  • [キープアライブインターバル(Keep alive interval)]Firewall Threat Defense がキープアライブメッセージをネイバーに送信する頻度(秒)を入力します。有効な値は、0 ~ 65535 です。デフォルト値は 60 秒です。

  • [保留時間(Hold time)]:キープアライブメッセージを受信できない状態が継続し、ピアがデッドであると Firewall Threat Defense が宣言するまでの間隔(秒)を入力します。有効な値は、0 ~ 65535 です。デフォルト値は 180 秒です。

  • [最小保留時間(Min hold time)]:(オプション)キープアライブメッセージを受信できない状態が継続して、ピアがデッドであると Firewall Threat Defense が宣言するまでの最小間隔(秒)を入力します。有効な値は、3 ~ 65535 です。デフォルト値は 3 秒です。

    (注)  

     

    ホールドタイムが 20 秒未満の場合、ピアフラッピングの可能性が高くなります。

ステップ 19

[詳細(Advanced)] で、次を更新します。

  1. (オプション)[認証を有効にする(Enable Authentication)] チェックボックスをオンにして、2 つの BGP ピア間の TCP 接続で MD5 認証を有効にします。

    1. [暗号化を有効にする(Enable Encryption)] ドロップダウン リストから暗号化タイプを選択します。

    2. パスワードを [パスワード(Password)] フィールドに入力します。[Confirm Password] フィールドにパスワードを再入力します。パスワードは大文字と小文字を区別し、service password-encryption コマンドが有効な場合は最大 25 文字、service password-encryption コマンドが有効でない場合は最大 81 文字まで指定できます。この文字列には、スペースも含め、あらゆる英数字を使用できます。

      (注)  

       

      数字-スペース-任意の文字の形式でパスワードを指定することはできません。数字の後にスペースを使用すると、認証に失敗する原因となることがあります。

  2. (オプション)[このネイバーにコミュニティ属性を送信する(Send Community attribute to this neighbor)] チェックボックスをオンにして、コミュニティ属性を BGP ネイバーに送信することを指定します。

  3. (オプション)[このネイバーのネクスト ホップとして FTD を使用する(Use FTD as next hop for this neighbor)] チェックボックスをオンにし、ルータを BGP スピーキング ネイバーまたはピア グループのネクスト ホップとして設定します。

  4. [接続の検証を無効にする(Disable Connection Verification)] チェックボックスをオンにして、シングルホップで到達可能な eBGP ピアリング セッションについての接続の検証プロセスを無効にします。これにより、ループバック インターフェイスで設定されたピアや直接接続されない IP アドレスが設定されたピアとの間でセッションを確立することができます。オフ(デフォルト)にすると、シングルホップ eBGP ピアリング セッション(TTL=254)について、BGP ルーティング プロセスで接続が検証され、eBGP ピアが同じネットワーク セグメントに直接接続されているかどうか確認されます。ピアが同じネットワーク セグメントに直接接続されていない場合、ピアリング セッションは確立されません。

  5. [直接接続されていないネイバーとの接続を許可する(Allow connections with neighbor that is not directly connected)] を選択して、直接接続されていないネットワーク上で外部ピアからの BGP 接続を受け入れ、またそのピアへの BGP 接続を試みます。(オプション)[TTL ホップ(TTL hops)] フィールドに存続可能時間を入力します。有効な値は、1 ~ 255 です。または、[ネイバーへのTTLホップの制限数(Limited number of TTL hops to neighbor)] を選択して、BGP ピアリングセッションを保護します。[TTL hops] フィールドに、eBGP ピアを区切るホップの最大数を入力します。有効な値は、1 ~ 254 です。

  6. (オプション)[TCP MTU パス検出の使用(Use TCP MTU path discovery)] チェックボックスをオンにして、BGP セッションの TCP トランスポート セッションを有効にします。

  7. [TCPトランスポートモード(TCP Transport Mode)] ドロップダウンリストから TCP 接続モードを選択します。オプションは [デフォルト(Default)]、[アクティブ(Active)]、または [パッシブ(Passive)] です。

  8. (オプション)BGP ネイバー接続のウェイトを入力します。

  9. ドロップダウンリストから Firewall Threat Defense が受け入れる [BGP バージョン(BGP version)] を選択します。[4 のみ(4-Only)] に設定すると、指定されたネイバーとの間でバージョン 4 だけが使用されます。デフォルトでは、バージョン 4 が使用され、要求された場合は動的にネゴシエートしてバージョン 2 に下がります。

ステップ 20

AS 移行を考慮する場合にのみ [移行(Migration)] を更新します。

(注)  

 

AS 移行カスタマイズは、遷移の完了後に削除される必要があります。

  1. (オプション)[ネイバーから受信したルータのAS番号をカスタマイズ(Customize the AS number for routes received from the neighbor)] チェックボックスをオンにし、eBGP ネイバーから受信したルートの AS_path 属性をカスタマイズします。

  2. [ローカル AS 番号(Local AS number)] フィールドにローカル自律システム番号を入力します。有効な値は、1 ~ 4294967295 または 1.0 ~ 65535.65535 の有効な自律システム番号です。

  3. (オプション)[ローカルAS番号をネイバーから受信したルートの前に付加しない(Do not prepend local AS number to routes received from neighbor)] チェックボックスをオンにして、ローカル AS 番号が eBGP ピアから受信したルートの前に付加されないようにします。

  4. (オプション)[実AS番号をネイバーから受信したルートのローカルAS番号に置き換える(Replace real AS number with local AS number in routes received from neighbor)] チェックボックスをオンにして、実自律システム番号を eBGP 更新のローカル自律システム番号に置き換えます。ローカル BGP ルーティング プロセスからの自律システム番号は、追加されません。

  5. (オプション)[実AS番号またはネイバーから受信したルートのローカルAS番号を受け入れる(Accept either real AS number or local AS number in routesreceived from neighbor)] チェックボックスをオンにして、実自律システム番号(ローカル BGP ルーティングプロセスより)またはローカル自律システム番号を使用するピアリングセッションを確立するように eBGP ネイバーを設定します。

ステップ 21

[OK] をクリックします。

ステップ 22

[保存(Save)] をクリックします。

BGP 集約アドレス設定の設定

BGP ネイバーはルーティング情報を格納し、交換しますが、設定される BGP スピーカーの数が増えるに従って、ルーティング情報の量が増えます。ルート集約は、複数の異なるルートの属性を合成し、1 つのルートだけがアドバタイズされるようにするプロセスです。集約プレフィックスは、クラスレス ドメイン間ルーティング(CIDR)の原則を使用して、複数の隣接するネットワークを、ルーティング テーブルに要約できる IP アドレスのクラスレス セット 1 つに合成します。結果として、アドバタイズの必要なルートは少なくなります。[集約アドレスの追加/編集(Add/Edit Aggregate Address)] ダイアログボックスで、特定のルートの 1 つのルートへの集約を定義します。

手順

ステップ 1

Firewall Threat Defense デバイスを編集する場合は、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[集約アドレスの追加(Add Aggregate Address)] をクリックします。

ステップ 5

[集約タイマー(Aggregate Timer)] フィールドで、集約タイマーの値(秒)を入力します。有効な値は、0 または 6 ~ 60 の値です。デフォルト値は 30 です。

ステップ 6

(add icon)[追加(Add)] をクリックして、[集約アドレスの追加(Add Aggregate Address)] ダイアログボックスを更新します。

  1. [ネットワーク(Network)]:IPv4 アドレスを入力するか、任意のネットワーク/ホスト オブジェクトを選択します。

  2. [集約マップ(Attribute Map)]:(オプション)集約ルートの属性の設定に使用されるルート マップを入力または選択します。

  3. [アドバタイズ マップ(Advertise Map)]:(オプション)AS 設定の元のコミュニティを作成するルートの選択に使用されるルート マップを入力または選択します。

  4. [抑制マップ(Suppress Map)]:(オプション)抑制するルートの選択に使用されるルート マップを入力または選択します。

  5. [AS設定パス情報の生成(Generate AS set path Information)]:(オプション)自律システム設定パス情報の生成を有効にするには、チェックボックスをオンにします。

  6. [更新から全ルートをフィルタ処理(Filter all routes from updates)]:(オプション)更新からのすべての特定のルートをフィルタ処理するには、チェックボックスをオンにします。

  7. [OK] をクリックします。

次のタスク

BGPv4 フィルタリング設定

フィルタリング設定は、受信される BGP 更新プログラムのフィルタ処理ルートまたはネットワークに使用されます。フィルタリングは、ルータが学習またはアドバタイズするルーティング情報を制限するために使用されます。

始める前に

フィルタリングは、BGP の IPv4 ルーティング ポリシーでのみ適用されます。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] を選択します。

ステップ 4

[Filtering] をクリックします。

(注)  

 

[フィルタリング(Filtering)] フィールドは、IPv4 設定にのみ適用されます。

ステップ 5

(add icon)[追加(Add)] をクリックして、[フィルタの追加(Add Filter)] ダイアログボックスを更新します。

  1. [アクセスリスト(Access List)]:受信されるネットワークとルーティングアップデートで抑制されるネットワークを定義するアクセス制御リストを選択します。

  2. [指示(Direction)]:(オプション)インバウンド更新、アウトバウンド更新のどちらにフィルタを適用するかを指定する指示を選択します。

  3. [プロトコル(Protocol)]:(オプション)なし、BGP、接続中、OSPF、RIP または静的のルーティングプロセスのうち、フィルタ処理するものを選択します。

  4. [プロセス ID(Process ID)]:(オプション)OSPF ルーティング プロトコルのプロセス ID を入力します。

  5. [OK] をクリックします。

ステップ 6

[保存(Save)] をクリックします。

BGP ネットワーク設定

ネットワーク設定は、BGP ルーティング プロセスによってアドバタイズされるネットワーク、アドバタイズされるネットワークのフィルタ処理で確認されるルートマップを追加するために使用されます。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[Networks] をクリックします。

ステップ 5

[追加(Add)] をクリックして、[ネットワークの追加(Add Networks)] ダイアログボックスを更新します。

  1. [ネットワーク(Network)]:BGP ルーティングプロセスによってアドバタイズされるネットワークを選択します。

    (注)  

     

    ネットワークプレフィックスをアドバタイズするには、デバイスへのルートがルーティングテーブルに存在する必要があります。

    新しいネットワークオブジェクトを追加するには、ネットワーク オブジェクトの作成を参照してください。

  2. (オプション)[ルートマップ(Route Map)]:アドバタイズされるネットワークをフィルタ処理するために調べる必要のあるルートマップを入力または選択します。この値を指定しない場合、すべてのネットワークが再配布されます。新しいルートマップオブジェクトを追加するには、ルート マップを参照してください。

  3. [OK] をクリックします。

ステップ 6

[保存(Save)] をクリックします。

BGP 再配布設定

再配布設定により、別のルーティング ドメインから BGP にルートを再配布する条件を定義できます。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[Redistribution] をクリックします。

ステップ 5

[追加(Add)] をクリックして、[再配布の追加(Add Redistribution)] ダイアログを更新します。

  1. [送信元プロトコル(Source Protocol)]:送信元プロトコル ドロップダウンリストから、どのプロトコルからルートを BGP ドメインに再配布するかを選択します。

    (注)  

     

    ユーザ定義の仮想ルータは、RIP からのトラフィックの再配布をサポートしていません。

  2. [プロセス ID(Process ID)]:選択されている送信元プロトコルの識別子を入力します。OSPF プロトコルに適用されます。仮想ルーティングを使用しているデバイスの場合、このドロップダウンリストには、BGP 設定を設定する仮想ルータに割り当てられたプロセス ID が表示されます。

  3. [メトリック(Metric)]:(オプション)再配布されているルートのメトリックを入力します。

  4. [ルート マップ(Route Map)]:再配布されるネットワークをフィルタ処理するために調べる必要のあるルート マップを入力または選択します。この値を指定しない場合、すべてのネットワークが再配布されます。新しいルートマップオブジェクトを作成するには、Add (add icon) をクリックします。新しいルートマップを追加する手順については、「ルートマップエントリの設定」を参照してください。

  5. [一致(Match)]:1 つのルーティング プロトコルから別のルーティング プロトコルへのルート再配布に使用される条件。ルートが再配布されるには、選択した条件と一致している必要があります。次の一致条件から 1 つ以上を選択できます。これらのオプションは、OSPF が送信元プロトコルとして選択されているときにのみ有効になります。

    • 内線

    • 外部 1

    • 外部 2

    • NSSA 外部 1

    • NSSA 外部 2

  6. [OK] をクリックします。

BGP ルート注入の設定

ルート注入設定により、条件に応じて BGP ルーティングテーブルに注入されるルートを定義できます。

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

[Route Injection] をクリックします。

ステップ 5

[追加(Add)] をクリックして、[ルート注入の追加(Add Route Injection)] ダイアログボックスを更新します。

  1. [マップ注入(Inject Map)]:ローカル BGP ルーティング テーブルに注入するプレフィックスを指定するルート マップを入力または選択します。新しいルートマップオブジェクトを作成するには、Add (add icon) をクリックします。新しいルートマップを追加する手順については、「ルートマップエントリの設定」を参照してください。

  2. [マップ存在(Exist Map)]:BGP スピーカーが追跡するプレフィックスを含むルート マップを入力または選択します。

  3. [注入されたルートが集約ルートの属性を継承(Injected routes will inherit the attributes of the aggregate route)]:このチェックボックスをオンにして、集約ルートの属性を継承するよう注入されたルートを設定します。

  4. [OK] をクリックします。

ステップ 6

[保存(Save)] をクリックします。

BGP ルートのインポート/エクスポート設定の設定

BGP では、宛先仮想ルータと送信元仮想ルータの各ルートターゲット拡張コミュニティを使用してルートをインポートまたはエクスポートすることで、仮想ルータ間ルートリークを実装できます。ルーティングテーブル全体をリークする代わりに、ルートマップを使用して目的のルートターゲットをフィルタ処理できます。また、グローバル仮想ルータのルートをユーザ定義の仮想ルータにリークすることも、その逆も可能です。

  • ルートターゲット拡張コミュニティを使用して、2 つのユーザ定義の仮想ルータ間でルートをリークするように BGP を設定できます。

    • ルート ターゲット エクスポートを使用して、送信元仮想ルータからのルートターゲットでルートにタグを付けます。

    • ルートターゲットインポートを使用して、ルートターゲットに一致するルートを宛先仮想ルータにインポートします。

    • オプションで、エクスポートルートマップまたはインポートルートマップをそれぞれ使用して、送信元仮想ルータからのルート、または宛先仮想ルータへのルートをフィルタ処理できます。ルートをフィルタリングするために、一致拡張コミュニティリストを使用してルートマップを設定できます。同様に、拡張コミュニティ ルート ターゲットを設定してルートマップを設定し、ルートターゲット拡張コミュニティにルートをタグ付けできます。

  • グローバル仮想ルータからユーザ定義の仮想ルータにルートをインポートするには、[グローバル仮想ルータのインポートルートマップ(Global Virtual Router Import Route Map)] で IPv4/IPv6 ルートマップを指定して、ユーザ定義の仮想ルータにインポートします。

  • ユーザ定義の仮想ルータからグローバル仮想ルータにルートをエクスポートするには、ルートターゲットのエクスポートに加えて、[グローバル仮想ルータのエクスポートルートマップ(Global Virtual Router Export Route Map)] を指定して、ユーザ定義の仮想ルータからエクスポートすることもできます。

BGP 仮想ルータ間ルートリークは、IPv4 と IPv6 の両方のプレフィックスをサポートします。

始める前に

手順

ステップ 1

[デバイス管理(Device Management)] ページで、[ルーティング(Routing)] をクリックします。

ステップ 2

(仮想ルータ対応デバイスの場合)[仮想ルータ(Virtual Routers)] ドロップダウンから、BGP を設定する仮想ルータを選択します。

ステップ 3

[BGP] > [IPv4] または [IPv6] を選択します。

ステップ 4

(仮想ルータでのみサポート)[ルートのインポート/エクスポート(Route Import/Export)] をクリックします。

ステップ 5

[ルートターゲットのインポート(Route Targets Import)] フィールドに、インポートするルートに一致するルートターゲット拡張コミュニティを入力します。展開時に、この値に一致する宛先仮想ルータのルートが送信元仮想ルータの BGP テーブルにインポートされます。

(注)  

 

  • ルートターゲットは ASN:nn 形式である必要があります。

  • 複数のルートターゲットをカンマ区切り値として入力できます。

  • この値の範囲は 0:1 〜 65534:65535 です。

ステップ 6

[ルートターゲットのエクスポート(Route Targets Export)] フィールドに、ルートターゲット拡張コミュニティを入力して、送信元仮想ルータのルートにルートターゲット値をタグ付けします。展開時に、送信元仮想ルータのルートはこの値でタグ付けされます。

(注)  

 

  • ルートターゲットは ASN:nn 形式である必要があります。

  • 複数のルートターゲットをカンマ区切り値として入力できます。

  • この値の範囲は 0:1 〜 65534:65535 です。

ステップ 7

ルートマップを使用すると、ルーティングテーブル全体をリークすることなく、共有するルートを絞り込めます。ルートマップフィルタリングは、指定されたルートターゲット値で取得されたルートのリストに適用されます。

  1. (オプション)[ユーザ仮想ルータ(User Virtual Router)] で、[インポートルートマップ(Import Route Map)] ドロップダウンリストからルートマップを選択し、宛先仮想ルータでルートをフィルタ処理します。

    (注)  

     

    ユーザ仮想ルータのインポートルートマップは、ルートターゲットのインポートが設定されている場合にのみ有効です。

  2. (オプション)[ユーザー仮想ルータ(User Virtual Router)] で、[エクスポートルートマップ(Export Route Map)] ドロップダウンリストからルートマップを選択し、ルートが他の仮想ルータにエクスポートされる前に、送信元仮想ルータでルートをフィルタ処理します。

    (注)  

     

    ルートマップの match 句と set 句をルートターゲット拡張コミュニティリストとともに使用して、他の基準に基づいてフィルタリングしたり、ルート ターゲット コミュニティ値でルートにタグ付けしたりできます。詳細については、ルート マップを参照してください。

ステップ 8

ユーザ定義の仮想ルータとグローバル仮想ルータの間でルートを共有するには、[グローバル仮想ルータ(Global Virtual Router)] でルートマップを指定します。

  1. グローバル仮想ルータルートをユーザ定義の仮想ルータにリークするには、[インポートルートマップ(Import Route Map)] ドロップダウンリストからルートマップを選択します。IPv4 または IPv6 ルートマップがユーザ定義の仮想ルータにインポートされます。

  2. ユーザ定義の仮想ルータルートをグローバル仮想ルータにリークするには、[エクスポートルートマップ(Export Route Map)] ドロップダウンリストからルートマップを選択します。IPv4 または IPv6 ルートマップがグローバル仮想ルータにエクスポートされます。

    (注)  

     

    ルートマップの指定とは別に、エクスポートのルートターゲットを指定する必要があります。

(注)  

 

ルートマップオブジェクトの match 句を使用して、リークのルートをフィルタ処理できます。詳細については、ルート マップを参照してください。

ステップ 9

手順(ステップ 3 〜 8)に従って、他の仮想ルータの関連する BGP ルートインポートおよびエクスポート設定も設定します。ステップ 3ステップ 8

ステップ 10

[保存して展開(Save and Deploy)] をクリックします。

パケットが入力仮想ルータに流れると、BGP は一致するルートターゲット値を持つ宛先仮想ルータからルートをインポートします。ルートマップも設定されている場合、ルートはさらにフィルタ処理され、パケットをルーティングするベストパスルートを特定するために使用されます。

BGP の履歴

機能

Minimum Firewall Management Center

Minimum Firewall Threat Defense

詳細
BGP AS オーバーライド 7.7 7.7 同じ AS 番号が不連続ネットワークセグメントで使用されている場合、受信側 BGP ルータを有効にして、発信元ルータ(つまり、受信側ルータと同じ)の AS 番号を送信側 BGP ルータの AS 番号で上書きできます。

新規/変更された画面:[ルーティング(Routing)] > [BGP] > [IPv4またはIPv6(IPv4 or IPv6)] > [ネイバーの追加/編集(Add/Edit Neighbor)]

BGPv6 でのグレースフルリスタートのサポート

7.4

任意(Any)

Secure Firewall Threat Defense バージョン 7.3 以降では、BGPv6 でグレースフルリスタートを設定できます。

新規/変更された画面:[ルーティング(Routing)] > [BGP] > [IPv6] > [ネイバーの追加/編集(Add/Edit Neighbor)]

BGP のループバック インターフェイス サポート

7.4

任意(Any)

BGP にループバック インターフェイスを使用できます。

新規/変更された画面:[ルーティング(Routing)] > [BGP] > [IPv4またはIPv6(IPv4 or IPv6)] > [ネイバーの追加/編集(Add/Edit Neighbor)]

仮想ルータを相互接続するための BGP 設定

7.1

任意(Any)

ユーザー定義の仮想ルータ間、およびグローバル仮想ルータとユーザー定義の仮想ルータ間でルートを動的にリークするように BGP 設定を構成できます。ルートのインポートおよびエクスポート機能が導入され、仮想ルータにルートターゲットのタグを付け、必要に応じて、一致したルートをルートマップでフィルタリングすることにより、仮想ルータ間でルートを交換します。この BGP 機能は、ユーザー定義の仮想ルータを選択した場合にのみ利用できます。

新規/変更された画面:選択したユーザー定義の仮想ルータについて、[デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [BGPv4/v6] > [ルートのインポート/エクスポート(Route Import/Export)] タブ。

ユーザー定義の仮想ルータでの BGPv6 サポート

7.1

任意(Any)

Secure Firewall Threat Defense は、ユーザー定義の仮想ルータでの BGPv6 の設定をサポートするようになりました。

新規/変更された画面:選択したユーザー定義の仮想ルータについて、[デバイス(Devices)] > [デバイス管理(Device Management)] > [ルーティング(Routing)] > [BGPv6] ページ。