PANEL_ospfSettings

OSPF の設定

Note OSPF デザインの概念は、このドキュメントの範囲外です。以下のセクションでは、既存または新規に実装されたものでデザイン ガイドラインが提供されていない SonicWALL を設定して OSPFネットワークに統合する方法を説明します。このセクションで使用する用語については、上記の「OSPF の条件」セクションを参照してください。

以下のような、簡単なネットワークの例を考えてみます。

バックボーン (エリア 0.0.0.0) が SonicWALL 上の X0 インターフェースとルータ A 上の int1 インターフェースで構成される OSPF ネットワークがあります。残りの 2 つのエリア、0.0.0.1 と 100.100.100.100 は、それぞれ ABR ルータ A のインターフェース int2 と、SonicWALL 上の X4:100 VLAN サブインターフェースを経由してバックボーンに接続されています。

X0 および X4:100 インターフェース上で OSPF ルーティングを設定するには、インターフェースの行の「OSPF 設定」列にある icon_edit00110.jpg (「設定」) アイコンを選択します。これにより、以下のウィンドウが表示されます。

OSPFv2 設定

• 無効 - このインターフェースでは OSPF ルータは無効です。

• 有効 - このインターフェースでは OSPF ルータは有効です。

• パッシブ - このインターフェースでは OSPF ルータは有効ですが、タイプ 1 LSA のルータ リンク通知を使用して接続ネットワークのみをローカル エリアに通知します。これは、OSPF ルータをASBR として動作させ、タイプ 5 LSA (AS 外部リンク通知) を使用してスタブ エリア以外のすべてに通知を送信する「接続されたネットワークを再配布する」オプションとは異なります。詳細については、「OSPF の条件」セクションを参照してください。

Dead 判断間隔 - Hello を受け取らない場合の LSDB のエントリを削除以降の期間。既定値は 40秒で、最小値は 1、最大値は 65,535 です。近隣関係が正しく確立されるように、この値はセグメント上の他の OSPF ルータと一致させてください。

Hello 送出間隔 - Hello パケット間の間隔。既定値は 10 秒で、最小値は 1、最大値は 65,535 です。近隣関係が正しく確立されるように、この値はセグメント上の他の OSPF ルータと一致させてください。

認証 - 近隣関係が正しく確立されるように、この設定はセグメント上の他の OSPF ルータと一致させてください。

• 無効 - このインターフェースでは認証は使用されません。

• 単純パスワード - このインターフェースの OSPF ルータによる識別用にテキスト形式のパスワードが使用されます。

• メッセージ ダイジェスト - MD5 ハッシュを使用してこのインターフェースの OSPF ルータが安全に識別されます。

OSPF エリア - OSPF エリアは IP または 10 進法で表示できます。例えば、X4:100 に接続されたエリアは、100.100.100.100 または 1684300900 と表示できます。

OSPFv2 エリア種別 - これらの設定の詳細については、上記の「OSPF の条件」セクションを参照してください。

• 標準 - すべての適用可能な LSA 種別を送受信します。

• スタブ エリア - タイプ 5 LSA (AS 外部リンク通知) は受け取りません。

• 完全スタブ エリア - LSA のタイプ 3、4、5 は受け取りません。

• 半スタブ エリア - タイプ 7 LSA (NSSA AS 外部ルート) を受け取ります。

インターフェース コスト - このインターフェース上でのパケット送信のオーバーヘッドを指定します。既定値は 10 で、通常イーサネット インターフェースを示す場合に使用します。最小値は 1 (高速イーサネットなど) で、最大値は 65,535 です (パディングなど)。

ルータ優先度 - ルータ優先順位の値はセグメントの指定ルータ (DR) を決定する際に使用します。値が高いほど、優先順位は高くなります。優先順位が同じ場合は、ルータ ID がタイブレーカとして機能します。値を 0 に設定すると、このインターフェースの OSPF ルータは DR 状況に対して不適格となります。既定値は 1 で、最大値は 255 です。

OSPF ルータ ID - ルータ ID は IP アドレス表記した任意の値に設定できます。SonicWALL 上の IP アドレスのいずれとも無関係で、OSPF ネットワーク内の任意の一意の値に設定できます。

ABR 種別 - 互換性を維持するために、この OSPF ルータを参加させるトポロジを指定できます。以下のオプションがあります。

• スタンダード - RFC2328 に完全に準拠した ABR OSPF 動作です。

• Cisco - ABR フラグを設定する前にバックボーンを設定してアクティブにする、Cisco の ABR 動作との相互運用性用。

• IBM - ABR フラグを設定する前にバックボーンを設定してアクティブにする、IBM の ABR 動作との相互運用性用。

• ショートカット - 「ショートカット エリア」では、ABR ルータがエリア 0 に接続されているかどうかにかかわらず、バックボーン以外のエリアにトラフィックを低メトリックで送信できます。

既定のメトリック - ルートを他の (既定、静的、接続、RIP、または VPN) ルーティング情報ソースから再配布する際に使用するメトリックの指定に使用します。既定値 (未定義) は 1 で、最大値は16,777,214 です。

デフォルト ルートを登録する - このインターフェース上の OSPF システムへの SonicWALL の既定のルートの通知を制御します。以下のオプションがあります。

• 無効 - OSPF システムへの既定のルートの通知を無効にします。

• WAN 動作時 - WAN がオンラインのときに、OSPF システムへ既定のルートを通知します。既定のルートは、常にLSA 種別 5 を使用して外部種別 2 として通知されます。

• 常に有効 - OSPF システムへの既定のルートの通知を有効にします。既定のルートは、常にLSA 種別 5 を使用して外部種別 2 として通知されます。

Note 以下が、再配布されたすべてのルートに適用されます。 メトリックはこの再配布に明示的に設定、または「既定のメトリック」設定で指定した値 (既定値) を使用できます。オプションのルート タグ値を追加して、他のルータがこの再配布されたルートを識別しやすくすることができます (既定のタグ値は 0 です)。再配布されたルート通知は LSA 種別 5 で、種別は種別 1 (内部リンク コストを追加) または種別 2 (外部リンク コストのみを使用) として選択できます。

静的ルートを再配布する - OSPF システムへの静的 (ポリシー ベース ルーティング) ルートの通知を有効または無効にします。

接続されたネットワークを再配布する - OSPF システムへのローカルに接続されたネットワークの通知を有効または無効にします。

RIP ルートを再配布する - RIP 経由で取得したルートの OSPF システムへの通知を有効または無効にします。

リモート VPN ネットワークを再配布する - RIP システムへの静的 (ポリシー ベース ルーティング) ルートの通知を有効または無効にします。

「ルーティング プロトコル」セクションには、すべてのアクティブな OSPF ルータの状況がインターフェース別に表示されます。

Network_Routing00111.jpglight_green.gifNetwork_Routing00114.jpglight_red.gif 状況 LED はアクティブな近隣があるかどうかを示すもので、その上にカーソルを置くと詳細が表示されます。

「ルーティング ポリシー」セクションには、OSPF が「OSPF または RIP ルート」として取得したルートが表示されます。

トンネル インターフェースに対する高度なルーティング設定

VPN トンネル インターフェースを高度なルーティングのために設定できます。そうするには、トンネル インターフェース設定の詳細タブで、高度なルーティングを有効にする必要があります。詳細については、トンネル インターフェースの追加 を参照してください。

トンネル インターフェースに対する高度なルーティングを有効にすると、「ネットワーク > ルーティング」 ページの「高度なルーティング」テーブルのリスト内に、他のインターフェースと一緒に表示されます。

advanced_routing.jpg

 

高度なルーティングのオプションを設定するには、設定したいトンネル インターフェースの 「RIP 設定」 または 「OSPF 設定」 アイコンを選択します。

トンネル インターフェースに対するこの RIP と OSPF の設定は、従来のインターフェースに対する設定と、よく似ていますが、RIP と OSPF の設定ウィンドウの新しい 「グローバル多種設定」 見出しの下に追加で 2 つの新しいオプションがあります。

グローバル多種設定

トンネル インターフェースは物理インターフェースではなく固有の IP アドレスを持たないため、別のインターフェースの IP アドレスを "借りる" 必要があります。その結果、トンネル インターフェースに対する高度なルーティング設定には、トンネルの送信元と送信先の IP アドレスを指定するための、以下のオプションが含まれます。

• IP アドレスの借用元 - IP アドレスがトンネル インターフェースに対する送信元 IP アドレスとして使用されているインターフェースです。

Note 借用した IP アドレスは静的アドレスである必要があります。

• リモート IP アドレス - トンネル インターフェースが接続されるリモート ピアの IP アドレスです。別のトンネル インターフェースを持つ SonicWALL 対 SonicWALL の設定の場合は、これはリモート ピア上のトンネル インターフェースの借用するインターフェースの IP アドレスになります。

tunnel_advanced_routing.jpg

 

Note 「IP アドレスの借用元」 と 「リモート IP アドレス」 の値は、トンネル インターフェースの RIP と OSPF 両方に適用されます。RIP に対するこれらの値の 1 つを変更すると、OSPF に対する値も変更され、逆もまた同じです。

高度なルーティングのためのトンネル インターフェース設定のガイドライン

高度なルーティングのためにトンネル インターフェースを設定する際に、以下のガイドラインが成功の手助けになります。

• 借用元のインターフェースには、静的 IP アドレス割り当てが必要です。

• 借用元のインターフェースでは、RIP または OSPF 有効の設定を持てません。

Tip SonicWALL は、単独で借用元のインターフェースとして使うためだけの VLAN インターフェースの作成を推奨します。これにより、有線接続インターフェースの使用時に競合を避けます。

• 借用元のインターフェースの IP アドレスは、プライベート アドレス空間のものである必要があり、すべてのリモート トンネル インターフェースのエンドポイントの中で一意の IP アドレスを持つ必要があります。

• トンネル インターフェースのエンドポイントのリモート IP アドレスは、借用元のインターフェースと同じネットワーク サブネット内にある必要があります。

• トンネル インターフェースがすべて異なるリモート機器に接続されるならば、複数のトンネル インターフェースに対して同じ借用元のインターフェースが使うことができます。

• 1 台の装置の 2 つ以上のトンネル インターフェースが同一のリモート機器に接続される場合は、それぞれのトンネル インターフェースは、別々の借用元のインターフェースを使う必要があります。

ネットワーク設定の特定の状況によっては、トンネル インターフェースが正しく機能することを確実にするために、これらのガイドラインは完全ではないことがあります。しかしこれらのガイドラインは、潜在的なネットワーク接続性の問題を回避するであろう SonicWALL の最良の手順です。

BGP の高度なルーティングの設定

Border Gateway Protocol (BGP) は、明確に定義され、個別に管理されるネットワーク ドメインである自律システム (AS) 間でルーティング情報を伝達するために使用される、大規模ルーティング プロトコルです。BGP のサポートにより、ネットワークの AS のエッジにある従来の BGP ルータの代わりに SonicWALL セキュリティ装置を配置できます。現在の SonicWALL の BGP 実装は、ネットワークが 1 つの ISP をインターネット プロバイダとして利用し、そのプロバイダに対して単一の接続を持つ「シングルプロバイダ/シングルホーム」環境に最も適しています。SonicWALL BGP は、ネットワークが単一の ISP を利用するが、そのプロバイダに対して少数のルートを別々に持つ「シングルプロバイダ/マルチホーム」環境もサポートできます。BGP は、SonicOS GUI の「ネットワーク > ルーティング」ページで有効にしてから、SonicOS のコマンド ライン インターフェース (CLI) を通じて完全に設定します。

SonicWALL の BGP 実装の詳細については、BGP の高度なルーティングを参照してください。

BGP セッション用 IPSec トンネルの設定

BGP は、パケットを平文で転送します。したがって、セキュリティを強化するため、BGP セッションに使用する IPSec トンネルを設定することをお勧めします。この設定の例は、BGP の IPSec 設定BGP の高度なルーティングを参照してください。

BGP の有効化

Dell SonicWALL セキュリティ装置で BGP を有効にするには、以下の作業を実行します。

1. SonicOS GUI で、「ネットワーク > ルーティング」ページに移動します。

2. 「ルーティング モード」プルダウン メニューで、「高度なルーティング」を選択します。

3. 「BGP」プルダウン メニューで、「有効 (CLI での設定)」を選択します。

GUI から BGP が有効になった後、SonicOS のコマンドライン インターフェース (CLI) を使用して、BGP 設定の仕様が実行されます。Dell SonicWALL セキュリティ装置の BGP 実装の詳細については、BGP の高度なルーティングを参照してください。