シングルエリアOSPFの設定¶
| 動作確認バージョン: | vSRX Version20.4R2, vSRX Version22.4R1 |
|---|
ファイアウォール(vSRX) は、OSPFの設定が可能です。ここではシングルエリアでのOSPFの設定例を紹介します。
シングルエリアOSPFの設定¶
シングルエリアでOSPFを利用する設定を行います。OSPFは通常バックボーンエリアと呼ばれるエリア0(コンフィグ表記では0.0.0.0)を必ず設定する必要があります。
サンプル設定のシナリオ
- シングルエリアだけでOSPFを利用したい
- OSPFを用いて経路交換をしたい
シナリオにおける設定のながれ
1.OSPFのエリア0(area 0.0.0.0)を設定
2.OSPFのエリア0(area 0.0.0.0)で経路交換をするインターフェイスを指定
CLIにて入力するコマンド
[vSRX-01,vSRX-02,vSRX-03 共通の設定]※下記「vSRX-01」への入力コマンドを例示していますが、同一の設定をvSRX-02,vSRX-03に入力してください。
user01@vSRX-01# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0
user01@vSRX-01# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0
正しく設定が完了したときのコンフィグレーションは次のとおりです。
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
}
}
}
動作確認結果
各装置で2台のvSRXと隣接関係(State FULL )が確立できており、OSPF経由で経路を受信できていることから正しくOSPF設定ができていることが確認できました。
vSRX-01でのOSPFネイバーの確認結果(vSRX-02,vSRX-03とネイバー確立できている)
user01@vSRX-01> show ospf neighbor
Address Interface State ID Pri Dead
10.0.20.30 ge-0/0/0.0 Full 10.0.0.103 128 33
10.0.10.20 ge-0/0/1.0 Full 10.0.0.102 128 36
vSRX-02でのOSPFネイバーの確認結果(vSRX-02,vSRX-03とネイバー確立できている)
user01@vSRX-02> show ospf neighbor
Address Interface State ID Pri Dead
10.0.10.10 ge-0/0/0.0 Full 10.0.0.101 128 37
10.0.30.30 ge-0/0/1.0 Full 10.0.0.103 128 37
vSRX-03でのOSPFネイバーの確認結果(vSRX-02,vSRX-03とネイバー確立できている)
user01@vSRX-03> show ospf neighbor
Address Interface State ID Pri Dead
10.0.20.10 ge-0/0/0.0 Full 10.0.0.101 128 33
10.0.30.20 ge-0/0/1.0 Full 10.0.0.102 128 32
vSRX-01のルーティングテーブル確認(OSPFで経路10.0.30.0/24)が正しく受信できています。
user01@vSRX-01> show route
inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 10:13:03
> via fxp0.0
10.0.0.101/32 *[Local/0] 10:13:03
Local via fxp0.0
10.0.10.0/24 *[Direct/0] 03:05:00
> via ge-0/0/1.0
10.0.10.10/32 *[Local/0] 03:05:00
Local via ge-0/0/1.0
10.0.20.0/24 *[Direct/0] 03:04:12
> via ge-0/0/0.0
10.0.20.10/32 *[Local/0] 03:04:12
Local via ge-0/0/0.0
10.0.30.0/24 *[OSPF/10] 00:11:08, metric 2
> to 10.0.20.30 via ge-0/0/0.0
to 10.0.10.20 via ge-0/0/1.0
224.0.0.5/32 *[OSPF/10] 00:14:51, metric 1
MultiRecv
vSRX-02のルーティングテーブル確認(OSPFで経路10.0.20.0/24)が正しく受信できています。
user01@vSRX-02> show route
inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 02:48:26
> via fxp0.0
10.0.0.102/32 *[Local/0] 02:48:26
Local via fxp0.0
10.0.10.0/24 *[Direct/0] 02:48:23
> via ge-0/0/0.0
10.0.10.20/32 *[Local/0] 02:48:23
Local via ge-0/0/0.0
10.0.20.0/24 *[OSPF/10] 00:09:29, metric 2
> to 10.0.10.10 via ge-0/0/0.0
to 10.0.30.30 via ge-0/0/1.0
10.0.30.0/24 *[Direct/0] 02:48:23
> via ge-0/0/1.0
10.0.30.20/32 *[Local/0] 02:48:23
Local via ge-0/0/1.0
224.0.0.5/32 *[OSPF/10] 00:11:33, metric 1
MultiRecv
vSRX-03のルーティングテーブル確認(OSPFで経路10.0.10.0/24)が正しく受信できています。
user01@vSRX-03> show route
inet.0: 8 destinations, 8 routes (8 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.0.0/24 *[Direct/0] 02:08:24
> via fxp0.0
10.0.0.103/32 *[Local/0] 02:08:24
Local via fxp0.0
10.0.10.0/24 *[OSPF/10] 00:08:12, metric 2
to 10.0.20.10 via ge-0/0/0.0
> to 10.0.30.20 via ge-0/0/1.0
10.0.20.0/24 *[Direct/0] 02:07:57
> via ge-0/0/0.0
10.0.20.30/32 *[Local/0] 02:07:59
Local via ge-0/0/0.0
10.0.30.0/24 *[Direct/0] 02:07:57
> via ge-0/0/1.0
10.0.30.30/32 *[Local/0] 02:07:59
Local via ge-0/0/1.0
224.0.0.5/32 *[OSPF/10] 00:08:27, metric 1
MultiRecv
MD5パスワードによる認証設定¶
MD5パスワードを利用してOSPFのネイバー確立をする際に認証する設定を行います。
サンプル設定のシナリオ
- OSPFのネイバー確立をする際にMD5パスワードを利用したい
シナリオにおける設定のながれ
1.OSPF設定で認証を実行するインターフェイスを決定
2.MD5パスワード設定でKey idを 5 パスワードを Test123 に設定
CLIにて入力するコマンド
[vSRX-01]
user01@vSRX-01# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 authentication md5 5 key Test123
[vSRX-02]
user01@vSRX-02# set protocols ospf area 0.0.0.0 interface ge-0/0/0.0 authentication md5 5 key Test123
正しく設定が完了したときのコンフィグレーションは次のとおりです。
[vSRX-01]
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0
interface ge-0/0/1.0 {
authentication {
md5 5 key "$9$9CMstOIyrvXNbylb24aiHApuBhSevW"; ## SECRET-DATA
}
}
}
}
}
[vSRX-02]
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0 {
authentication {
md5 5 key "$9$6PMyCuBcSe8xdcyds24Dj9At0Rhrev"; ## SECRET-DATA
}
}
interface ge-0/0/1.0
}
}
}
動作確認結果
vSRX-01の「show ospf interface detail」コマンドの結果よりMD5パスワードを利用して認証できていることが確認できました。
user01@vSRX-01> show ospf interface detail
Interface State Area DR ID BDR ID Nbrs
ge-0/0/0.0 BDR 0.0.0.0 10.0.0.103 10.0.0.101 1
Type: LAN, Address: 10.0.20.10, Mask: 255.255.255.0, MTU: 1500, Cost: 1
DR addr: 10.0.20.30, BDR addr: 10.0.20.10, Priority: 128
Adj count: 1
Hello: 10, Dead: 40, ReXmit: 5, Not Stub
Auth type: None
Protection type: None
Topology default (ID 0) -> Cost: 1
ge-0/0/1.0 BDR 0.0.0.0 10.0.0.102 10.0.0.101 1
Type: LAN, Address: 10.0.10.10, Mask: 255.255.255.0, MTU: 1500, Cost: 1
DR addr: 10.0.10.20, BDR addr: 10.0.10.10, Priority: 128
Adj count: 1
Hello: 10, Dead: 40, ReXmit: 5, Not Stub
Auth type: MD5, Active key ID: 5, Start time: 1970 Jan 1 00:00:00 UTC
Protection type: None
Topology default (ID 0) -> Cost: 1
DR/BDRを選出するためのプライオリティ設定¶
vSRX-01とvSRX-02が10.0.10.0/24のネットワークでDR/BDRを選出する際に、プライオリティ値を変更してvSRX-01をDRにする設定を行います。
注釈
DR/BDRを選出する際の留意事項
あらかじめネイバー関係が確立している状態において、Pirority値を変更してコンフィグレーションを有効化してもOSPFのプロトコルの動作仕様上 自動的にDR/BDRの役割が変更されません。Priority値によりDR/BDR変更が必要な場合は、DR/BDRでネイバーをクリアする必要があります。 クリアすると再度ネイバー確立までOSPF経路交換が停止しますので、クリアの際にはご注意願います。
OSPFネイバークリアコマンド (コマンド入力後にネイバーが切断しますのでご注意ください。)
> clear ospf neighbor
サンプル設定のシナリオ
- vSRX-01をDRに選出したい
シナリオにおける設定のながれ
1.vSRX-01のOSPFインターフェイス(ge-0/0/1.0)でプライオリティ値を 200 に設定
CLIにて入力するコマンド
user01@vSRX-01# set protocols ospf area 0.0.0.0 interface ge-0/0/1.0 priority 200
正しく設定が完了したときのコンフィグレーションは次のとおりです。
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0
interface ge-0/0/1.0 {
priority 200;
}
}
}
}
動作確認結果
以下の検証結果より、vSRX-02でvSRX-01のPriorityが200に設定されておりDRに選出されていることが確認できました。
vSRX-02での「show ospf neighbor detail」出力結果からvSRX-01のPriorityが200であることが確認できます。
user01@vSRX-02> show ospf neighbor detail
Address Interface State ID Pri Dead
10.0.10.10 ge-0/0/0.0 Full 10.0.0.101 200 37
Area 0.0.0.0, opt 0x52, DR 10.0.10.10, BDR 10.0.10.20
Up 00:00:37, adjacent 00:00:32
10.0.30.30 ge-0/0/1.0 Full 10.0.0.103 128 37
Area 0.0.0.0, opt 0x52, DR 10.0.30.30, BDR 10.0.30.20
Up 00:00:37, adjacent 00:00:37
vSRX-01での「show ospf neighbor detail」出力結果からvSRX-02はデフォルトPriorityの128であることが確認できます。
user01@vSRX-01> show ospf neighbor detail
Address Interface State ID Pri Dead
10.0.20.30 ge-0/0/0.0 Full 10.0.0.103 128 37
Area 0.0.0.0, opt 0x52, DR 10.0.20.30, BDR 10.0.20.10
Up 00:00:19, adjacent 00:00:10
10.0.10.20 ge-0/0/1.0 Full 10.0.0.102 128 37
Area 0.0.0.0, opt 0x52, DR 10.0.10.10, BDR 10.0.10.20
Up 00:00:19, adjacent 00:00:19
OSPFで利用されるルーターIDを設定¶
vSRXではインターフェイス(lo0.0)にIPアドレスを設定することが可能です。lo0.0はループバックアドレスと呼ばれ装置の論理的なインターフェイスになります。 インターフェイス(lo0.0)にIPアドレスを設定するとOSPFで識別するルーターIDを装置に利用することが可能です。
注釈
ルーターIDを設定する上での留意事項
OSPF等のダイナミックルーティングプロトコルではルーターを識別するためのID(ルーターID)を設定する必要があります。本来は明示的に設定する必要がございますが OS等の仕様で装置に設定されているIPアドレスから自動的に選択し設定されるルールがありますので、ルーターIDを明確に設定したい場合に以下の設定例をご参照ください。
ルーターIDを設定するためには2種類の方法があります。
インターフェイスに利用しているIPアドレスから自動設定する
こちらは特に意識せず装置が自動設定いたします。ルーターIDに選出されるルールですが、インターフェイス(lo0)を設定している場合は、こちらがルーターIDとして利用されます。 インターフェイス(lo0)が設定されてない場合は、インターフェイス(ge-0/0/0~ge-0/0/7)に設定されている一番小さいIPアドレスをルーターIDに設定いたします。
コンフィグレーションで明示的に指定する
コンフィグレーションで設定した場合は、上記の自動設定のプロセスは無視され強制的に設定した内容がルーターIDになります。 この設定の場合は、OSPF以外のルーティングプロトコル等でも設定したルーターIDに変更されますので設定の際にはご注意願います。 次のコマンドで設定が可能です。# set routing-options router-id X.X.X.X
サンプル設定のシナリオ
- インターフェイス(lo0.0)にIPアドレスを設定してこれをルーターIDとして利用したい
- インターフェイス(lo0.0)のIPアドレスもOSPFで通信できるようにしたい
シナリオにおける設定のながれ
1.vSRX-01のインターフェイス(lo0.0)にIPアドレス 10.1.1.1 を設定
2.OSPFにインターフェイス(lo0.0)を追加設定
3.同様の設定を vSRX-02,vSRX-03で設定
CLIにて入力するコマンド
- vSRX-01に設定するコマンド
user01@vSRX-01# set interfaces lo0 unit 0 family inet address 10.1.1.1/32
user01@vSRX-01# set protocols ospf area 0.0.0.0 interface lo0.0
- vSRX-02に設定するコマンド
user01@vSRX-02# set interfaces lo0 unit 0 family inet address 10.2.2.2/32
user01@vSRX-02# set protocols ospf area 0.0.0.0 interface lo0.0
- vSRX-03に設定するコマンド
user01@vSRX-03# set interfaces lo0 unit 0 family inet address 10.3.3.3/32
user01@vSRX-03# set protocols ospf area 0.0.0.0 interface lo0.0
正しく設定が完了したときのコンフィグレーションは次のとおりです。
- vSRX-01コンフィグ表示結果
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.20.10/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.10.10/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.1.1.1/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface lo0.0;
}
}
}
- vSRX-02コンフィグ表示結果
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.10.20/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.30.20/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.2.2.2/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface lo0.0;
}
}
}
- vSRX-03コンフィグ表示結果
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.0.20.30/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 10.0.30.30/24;
}
}
}
lo0 {
unit 0 {
family inet {
address 10.3.3.3/32;
}
}
}
}
protocols {
ospf {
area 0.0.0.0 {
interface ge-0/0/0.0;
interface ge-0/0/1.0;
interface lo0.0;
}
}
}
動作確認結果
検証結果より、OSPFネイバーのルーターIDが指定した値に設定されていることが確認できました。
- vSRX-01の設定変更後の表示結果
user01@vSRX-01> show ospf neighbor detail
Address Interface State ID Pri Dead
10.0.20.30 ge-0/0/0.0 Full 10.3.3.3 128 31
Area 0.0.0.0, opt 0x52, DR 10.0.20.30, BDR 10.0.20.10
Up 00:14:42, adjacent 00:14:42
10.0.10.20 ge-0/0/1.0 Full 10.2.2.2 128 39
Area 0.0.0.0, opt 0x52, DR 10.0.10.20, BDR 10.0.10.10
Up 00:24:01, adjacent 00:24:01
- vSRX-01のOSPF受信経路の確認結果
user01@vSRX-01> show route protocol ospf
inet.0: 14 destinations, 14 routes (14 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.30.0/24 *[OSPF/10] 00:47:56, metric 2
to 10.0.20.30 via ge-0/0/0.0
> to 10.0.10.20 via ge-0/0/1.0
10.2.2.2/32 *[OSPF/10] 00:56:25, metric 1
> to 10.0.10.20 via ge-0/0/1.0
10.3.3.3/32 *[OSPF/10] 00:47:56, metric 1
> to 10.0.20.30 via ge-0/0/0.0
224.0.0.5/32 *[OSPF/10] 04:15:34, metric 1
MultiRecv
- vSRX-02の設定変更後の表示結果
user01@vSRX-02> show ospf neighbor detail
Address Interface State ID Pri Dead
10.0.10.10 ge-0/0/0.0 Full 10.1.1.1 128 33
Area 0.0.0.0, opt 0x52, DR 10.0.10.20, BDR 10.0.10.10
Up 00:24:09, adjacent 00:24:09
10.0.30.30 ge-0/0/1.0 Full 10.3.3.3 128 38
Area 0.0.0.0, opt 0x52, DR 10.0.30.30, BDR 10.0.30.20
Up 00:19:46, adjacent 00:19:46
- vSRX-02のOSPF受信経路の確認結果
user01@vSRX-02> show route protocol ospf
inet.0: 14 destinations, 14 routes (14 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.20.0/24 *[OSPF/10] 00:47:53, metric 2
to 10.0.10.10 via ge-0/0/0.0
> to 10.0.30.30 via ge-0/0/1.0
10.1.1.1/32 *[OSPF/10] 00:47:54, metric 1
> to 10.0.10.10 via ge-0/0/0.0
10.3.3.3/32 *[OSPF/10] 00:52:42, metric 1
> to 10.0.30.30 via ge-0/0/1.0
224.0.0.5/32 *[OSPF/10] 04:15:13, metric 1
MultiRecv
- vSRX-03の設定変更後の表示結果
user01@vSRX-03> show ospf neighbor detail
Address Interface State ID Pri Dead
10.0.20.10 ge-0/0/0.0 Full 10.1.1.1 128 34
Area 0.0.0.0, opt 0x52, DR 10.0.20.30, BDR 10.0.20.10
Up 00:14:53, adjacent 00:14:53
10.0.30.20 ge-0/0/1.0 Full 10.2.2.2 128 38
Area 0.0.0.0, opt 0x52, DR 10.0.30.20, BDR 10.0.30.30
Up 00:19:50, adjacent 00:19:50
- vSRX-03のOSPF受信経路の確認結果
user01@vSRX-03> show route protocol ospf
inet.0: 14 destinations, 14 routes (14 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.0.10.0/24 *[OSPF/10] 00:47:50, metric 2
to 10.0.20.10 via ge-0/0/0.0
> to 10.0.30.20 via ge-0/0/1.0
10.1.1.1/32 *[OSPF/10] 00:47:50, metric 1
> to 10.0.20.10 via ge-0/0/0.0
10.2.2.2/32 *[OSPF/10] 00:52:47, metric 1
> to 10.0.30.20 via ge-0/0/1.0
224.0.0.5/32 *[OSPF/10] 1w4d 20:17:04, metric 1
MultiRecv