eBGPピア確立の設定¶
| 動作確認バージョン: | vSRX Version20.4R2, vSRX Version22.4R1 |
|---|
ファイアウォール(vSRX) は、BGPの設定が可能です。ここでは、eBGPの設定例を紹介します。
外部ASのBGPピアと隣接関係確立¶
サンプル設定のシナリオ
vSRX-03(AS65100)とvSRX-04(AS65200)の間でeBGPピアを確立し経路交換できる状態にしたい
シナリオにおける設定のながれ
vSRX-03 の設定
1.vSRX-03のASナンバーはASを 65100 と設定
2.bgp設定はグループ名 EBGP で設定
3.eBGPになるためTypeをexternalと設定
4.ピアを確立したい機器(vSRX-04)のIPアドレスとAS番号を設定
vSRX-04 の設定
1.vSRX-04のASナンバーはASを 65200 と設定
2.bgp設定はグループ名 EBGP で設定
2.eBGPになるためTypeをexternalと設定
3.ピアを確立したい機器(vSRX-03)のIPアドレスとAS番号を設定
注釈
ASナンバーは割り当てられた正しい番号でご利用お願いします。このチュートリアルではインターネット側との経路交換を実施しませんので、プライベートAS番号を使って確認をしています。
CLIにて入力するコマンド
vSRX-03 側の設定
user01@vSRX-03# set routing-options autonomous-system 65100
user01@vSRX-03# set protocols bgp group EBGP type external
user01@vSRX-03# set protocols bgp group EBGP neighbor 10.0.40.2 peer-as 65200
vSRX-04 側の設定
user01@vSRX-04# set routing-options autonomous-system 65200
user01@vSRX-04# set protocols bgp group EBGP type external
user01@vSRX-04# set protocols bgp group EBGP neighbor 10.0.40.1 peer-as 65100
正しく設定が完了したときのコンフィグレーションは次のとおりです。
vSRX-03 の設定
routing-options {
autonomous-system 65100;
}
protocols {
bgp {
group EBGP {
type external;
neighbor 10.0.40.2 {
peer-as 65200;
}
}
}
}
vSRX-04 の設定
routing-options {
autonomous-system 65200;
}
protocols {
bgp {
group EBGP {
type external;
neighbor 10.0.40.1 {
peer-as 65100;
}
}
}
}
動作確認結果
show bgp neighborコマンドで、(state: Established )が確認できましたので、vSRX-04とピアを確立できました。
vSRX-03 のshow bgp neighborコマンド結果
user01@vSRX-03> show bgp neighbor
Peer: 10.0.40.2+179 AS 65200 Local: 10.0.40.1+56141 AS 65100
Type: External State: Established Flags: <Sync>
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: Hold Timer Expired Error
Options: <Preference PeerAS Refresh>
Holdtime: 90 Preference: 170
Number of flaps: 2
Last flap event: HoldTime
Error: 'Hold Timer Expired Error' Sent: 1 Recv: 1
Peer ID: 10.4.4.4 Local ID: 10.3.3.3 Active Holdtime: 90
Keepalive Interval: 30 Group index: 0 Peer index: 0
BFD: disabled, down
Local Interface: ge-0/0/2.0
(省略)
vSRX-04 のshow bgp neighborコマンド結果
user01@vSRX-04> show bgp neighbor
Peer: 10.0.40.1+179 AS 65100 Local: 10.0.40.2+59897 AS 65200
Type: External State: Established Flags: <Sync>
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: Cease
Options: <Preference PeerAS Refresh>
Holdtime: 90 Preference: 170
Number of flaps: 5
Last flap event: Stop
Error: 'Hold Timer Expired Error' Sent: 1 Recv: 1
Error: 'Cease' Sent: 3 Recv: 0
Peer ID: 10.3.3.3 Local ID: 10.4.4.4 Active Holdtime: 90
Keepalive Interval: 30 Group index: 0 Peer index: 0
BFD: disabled, down
Local Interface: ge-0/0/0.0
(省略)
MD5パスワードによるピア間の認証設定¶
サンプル設定のシナリオ
vSRX-03とvSRX-04の間でeBGPのピアを確立する際に、MD5パスワードを利用した認証をしたい
シナリオにおける設定のながれ
1.ピア確立のためのMD5パスワード( Test123 )を設定
CLIにて入力するコマンド
vSRX-03 ならびに vSRX-04 で設定コマンドは同じです。
user01@vSRX-03# set protocols bgp group EBGP authentication-key Test123
user01@vSRX-04# set protocols bgp group EBGP authentication-key Test123
正しく設定が完了したときのコンフィグレーションは次のとおりです。
vSRX-03 の設定
protocols {
bgp {
group EBGP {
type external;
authentication-key "$9$pQOtORcKvL-b2KM2aZU.m0B1EreWLx"; ## SECRET-DATA
neighbor 10.0.40.2 {
peer-as 65200;
}
}
}
}
vSRX-04 の設定
protocols {
bgp {
group EBGP {
type external;
authentication-key "$9$QWmm39t1IceMX1RX-VwaJFn6C0BEcy"; ## SECRET-DATA
neighbor 10.0.40.1 {
peer-as 65100;
}
}
}
}
動作確認結果
show bgp neighborコマンドで( Authentication key is configured )が確認できており、かつネイバーの状態が( Established )になっていることが確認できましたので、MD5パスワードを用いてピア確立ができました。
vSRX-03 のshow bgp neighborコマンド結果
user01@vSRX-03> show bgp neighbor
Peer: 10.0.40.2+179 AS 65200 Local: 10.0.40.1 AS 65100
Type: External State: Established Flags: <Sync>
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: Cease
Options: <Preference AuthKey PeerAS Refresh>
Authentication key is configured
Holdtime: 90 Preference: 170
(省略)
vSRX-04 のshow bgp neighborコマンド結果
user01@vSRX-04> show bgp neighbor
Peer: 10.0.40.1+61072 AS 65100 Local: 10.0.40.2+179 AS 65200
Type: External State: Established Flags: <Sync>
Last State: OpenConfirm Last Event: RecvKeepAlive
Last Error: Cease
Options: <Preference AuthKey PeerAS Refresh>
Authentication key is configured
Holdtime: 90 Preference: 170
(省略)