BGP の設定


	補足：IPSec 経由の BGP には、サイト間 VPN トンネルを使用する必要があります。トンネルインターフェースは BGP に対して機能しません。

使用する「認証方式」を選択します。この例では、「IKE (事前共有鍵を使用)」を使用します。

VPN ポリシーの「名前」を入力します。

「プライマリ IPSec ゲートウェイ名またはアドレス」フィールドで、リモートピアの IP アドレスを入力します (この例では 192.168.168.35)。

「セカンダリ IPSec ゲートウェイ名またはアドレス」フィールドで、0.0.0.0 と入力します。

「共有鍵」を入力し、確認します。

「ローカル IKE ID」フィールドで、SonicWALL の IP アドレス (この例では 192.168.168.75) を入力します。

「ピア IKE ID」フィールドで、リモートピアの IP アドレス (192.168.168.35) を入力します。

「ネットワーク」タブを選択します。

ローカルネットワークに対して、「ローカルネットワークをリストより選択」ドロップダウンメニューから「X0 IP」を選択します。

リモートネットワークに対して、「対象先ネットワークをリストより選択」ドロップダウンメニューからリモートピアの IP アドレス (この例では 192.168.168.35) を選択します。リモート IP アドレスがリストにない場合は、「アドレスオブジェクトの作成」を選択して、その IP アドレスのアドレスオブジェクトを作成します。

「プロポーザル」タブを選択します。既定の IPSec プロポーザルを使用することも、それをカスタマイズすることもできます。

「詳細」タブを選択します。

「キープアライブを有効にする」チェックボックスをオンにします。

「OK」を選択します。

これで、ファイアウォールに対して VPN ポリシーが設定されました。今度は、リモートピアに対して対応する IPSec 設定を行います。IPSec 設定が完了したら、「VPN > 設定」ページに戻り、VPN ポリシーの「有効」チェックボックスをオンにして、IPSec トンネルを開始します。

SonicWALL の ping 診断を使用して BGP ピアの IP アドレスに ping を行い、Wireshark を使用して要求と応答が ESP パケットにカプセル化されていることを確認します。


	補足：この例の設定では、ルーティングされたトラフィックは BGP 用の IPSec トンネルを通りません。ルーティングされたトラフィックは、平文で送受信されます。ルーティングされたすべてのネットワークトラフィックではなく BGP を保護することが目的なので、ほとんどの場合、これが望ましい動作です。

BGP の基本設定

SonicWALL セキュリティ装置上で BGP を設定するには、以下の手順に従います。

SonicOS GUI で、「ネットワーク > ルーティング」ページに移動します。

「ルーティングモード」ドロップダウンメニューで、「高度なルーティング」を選択します。

「BGP」ドロップダウンメニューで、「有効 (CLI での設定)」を選択します。


	補足：GUI から BGP が有効になった後、SonicOS のコマンドラインインターフェース (CLI) を使用して、BGP 設定の仕様が実行されます。SonicOS CLI への接続方法の詳細については、次のリンクの『SonicOS コマンドラインインターフェースガイド』を参照してください: http://www.sonicwall.com/us/support/230_3623.html

コンソールインターフェースから SonicOS CLI にログインします。

configure コマンドを入力して、設定モードに入ります。

route ars-bgp コマンドを入力して、BGP CLI に入ります。次のプロンプトが表示されます。

ZebOS version 7.7.0 IPIRouter 7/2009

ARS BGP>

これで、BGP の非設定モードに入りました。非設定コマンドの一覧が表示されます。

show running-config と入力して、現在の BGP 動作設定を確認します。

BGP 設定モードに入るには、configure terminal コマンドを入力します。設定コマンドの一覧が表示されます。

設定が完了したら、write file コマンドを入力します。装置が高可用性ペアまたはクラスタの一部である場合は、設定の変更が他の装置に自動的に伝達されます。

BGP パス選択プロセス

以下の属性を使用して、BGP パス選択プロセスを設定できます。

表 175. BGP パス選択プロセスの属性
項目	説明
重み	近隣から取得したルートの中で、最も高い重みが設定されているものが優先されます。ローカルルータにのみ関係します。
ローカルプリファレンス	管理上、ある近隣から取得したルートが優先されます。AS 全体で共有されます。
ネットワークまたは統合パス	network コマンドおよび aggregate-address コマンドからローカルに開始されたパスが優先されます。
AS_PATH	AS_PATH が最も短いパスが優先されます。
起点	(UPDATE メッセージで通知される) 起点タイプが最も低いパスが優先されます。IGP < EGP < 不完全の順になります。
Multi Exit Discriminator (MED)	起点 AS へのパスについて、パスのプリファレンス情報を近隣に提供します。
最新性	最近受信したパスが優先されます。
ルータ ID	最も低いルータ ID を持つルータからのパスが優先されます。

重み

weight コマンドは、アドレスファミリごとに 1 つの重み値を、近隣から取得したすべてのルートに割り当てます。複数のピアから同じプレフィックスが取得された場合は、最も高い重みを持つルートが優先されます。重みはローカルルータにのみ関係します。

set weight コマンドで割り当てられる重みは、このコマンドで割り当てられる重みより優先されます。

ピアグループに対して重みを設定すると、そのピアグループのすべてのメンバーが同じ重みを持ちます。weight コマンドを使用して、特定のピアグループメンバーに異なる重みを割り当てることもできます。

以下に重み設定の例を示します。

router bgp 12345

: neighbor 12.34.5.237 remote-as 12345

: neighbor 12.34.5.237 weight 60

router bgp 12345

: neighbor group1 peer-group

: neighbor 12.34.5.237 peer-group group1

: neighbor 67.78.9.237 peer-group group1

: neighbor group1 weight 60

ローカルプリファレンス

ローカルプリファレンス属性は、装置のルーティングテーブルにある各外部ルートの優先度を示すのに使用されます。ローカルプリファレンス属性は、同一 AS 内の機器に送信されるすべての UPDATE メッセージに含まれます。ローカルプリファレンスは、外部 AS には伝達されません。次の図は、ローカルプリファレンスが近隣 AS 間のルートにどのように影響を与えるかを説明するトポロジの例を示しています。

図 71. BGP のローカルプリファレンストポロジ

SNWL1 および SNWL2 に以下の BGP 設定が入力されています。SNWL2 のローカルプリファレンスの方が高いので、SNWL2 が AS 12345 (SonicWALL AS) によって外部 AS に通知される優先ルートになります。

表 176. SNWL1 および SNWL2 の設定
SNWL1 の設定	SNWL2 の設定
x0 = 12.34.5.228 x1 = 172.16.228.45 ------------------ router bgp 12345 neighbor 172.16.228.228 remote-as 7675 neighbor 12.34.5.237 remote-as 12345 bgp default local-preference 150	x0 = 12.34.5.237 x1 = 10.1.1.2 ------------------ router bgp 12345 neighbor 10.1.1.1 remote-as 8888 neighbor 12.34.5.228 remote-as 12345 bgp default local-preference 200

ルートマップで使用されるローカルプリファレンス

ルートマップはアクセス制御リストに似ています。ルートマップは、装置によるルートの処理方法を決定する一連の許可文や拒否文で構成されます。ルートマップは、送信トラフィックではなく受信トラフィックに適用されます。次の図は、ローカルプリファレンスの設定にルートマップを使用するトポロジの例を示しています。

図 72. ルートマップを使用した BGP ローカルプリファレンストポロジ

SNWL1 および SNWL2 に以下の BGP 設定が入力されています。

表 177. SNWL1 および SNWL2 の設定
SNWL1 の設定	SNWL2 の設定
x1 = 172.16.228.45 ------------------ router bgp 12345 neighbor 172.16.228.228 remote-as 7675 neighbor 12.34.5.237 remote-as 12345 bgp default local-preference 150	x0 = 12.34.5.237 x1 = 10.1.1.2 x4 = 10.4.4.1 ------------------ router bgp 12345 neighbor 10.1.1.1 remote-as 9999 neighbor 10.1.1.1 route-map rmap1 in neighbor 12.34.5.237 remote-as 12345 .... ip as-path access-list 100 permit ^8888$ ... route-map rmap1 permit 10 match as-path 100 set local-preference 200 route-map rmap1 permit 20 set local-preference 150

SNWL2 (rmap1) に設定されているルートマップは、近隣 10.1.1.1 からの受信ルートに適用するように設定されています。次の 2 つの許可条件があります。

•

route-map rmap1 permit 10:この許可条件は、AS 8888 からのトラフィックを許可し、AS 8888 からのルートをローカルプリファレンス 200 に設定するように構成されているアクセスリスト 100 に一致します。

•

route-map rmap1 permit 10:この許可条件は、アクセスリスト 100 に一致しないその他すべてのトラフィック (すなわち 8888 以外の AS から受信するトラフィック) をローカルプリファレンス 150 に設定します。

AS_PATH プリペンド

AS_PATH プリペンドは、パス更新の先頭に AS 番号を追加する方法です。これによって、このルートのパスが長くなるため、優先度が低くなります。

AS_PATH プリペンドは、送信パスにも受信パスにも適用できます。近隣によって無効にされる場合、AS_PATH プリペンドが適用されないことがあります。

表 178. 送信パスと受信パスの設定
送信パスの設定	受信パスの設定
router bgp 12345 bgp router-id 10.50.165.233 network 12.34.5.0/24 neighbor 10.50.165.228 remote-as 7675 neighbor 10.50.165.228 route-map long out ! route-map long permit 10 set as-path prepend 12345 12345	router bgp 7675 bgp router-id 10.50.165.228 network 7.6.7.0/24 neighbor 10.50.165.233 remote-as 12345 neighbor 10.50.165.233 route-map prepend in ! route-map prepend permit 10 set as-path prepend 12345 12345