セキュアファイアウォール上のループバックインターフェイスを使用したeBGPの設定
はじめに
このドキュメントでは、Cisco Secure Firewallのループバックインターフェイスを使用してeBGPを設定する方法について説明します。
前提条件
要件
次の項目に関する専門知識があることが推奨されます。
- BGPプロトコル
BGPのループバックインターフェイスのサポートは、バージョン7.4.0で導入されました。これは、Secure Firewall Management CenterおよびCisco Secure Firepower Threat Defenseに必要な最小バージョンです。
使用するコンポーネント
- Secure Firewall Management Center for VMwareバージョン7.4.1
- 2 Cisco Secure Firepower Threat Defense for VMwareバージョン7.4.1
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
ボーダーゲートウェイプロトコル(BGP)は、拡張性、柔軟性、およびネットワークの安定性を提供するExterior Gateway Protocol(EGP)標準パスベクタールーティングプロトコルです。同じ自律システム(AS)を持つ2つのピア間のBGPセッションは、内部BGP(iBGP)と呼ばれます。異なる自律システム(AS)を持つ2つのピア間のBGPセッションは、外部BGP(eBGP)と呼ばれます。
通常、ピア関係は、ピアに最も近いインターフェイスのIPアドレスで確立されますが、BGPセッションを確立するためにループバックインターフェイスを使用することは、BGPピア間に複数のパスが存在する場合にBGPセッションをダウンさせないために有用です。
ループバックインターフェイスを使用したeBGP設定
シナリオ
この設定では、ファイアウォールSFTD-1にIPアドレス10.1.1.1/32およびAS 64000のループバックインターフェイスがあり、ファイアウォールSFTD-2にIPアドレス10.2.2.2/32およびAS 64001のループバックインターフェイスがあります。両方のファイアウォールは、他方のファイアウォールのループバックインターフェイスに到達するために外部インターフェイスを使用します(このシナリオでは、両方のファイアウォールで外部インターフェイスが事前に設定されています)。
ネットワーク図
このドキュメントでは、次のネットワーク セットアップを使用します。
画像 1.シナリオ図
ループバック設定
ステップ 1:Devices > Device Managementの順にクリックし、ループバックを設定するデバイスを選択します。
ステップ 2:Interfaces > All Interfacesの順にクリックします。
ステップ 3:Add Interface > Loopback Interfaceの順にクリックします。
画像 2.インターフェイスループバックの追加
ステップ 4: Generalセクションで、ループバックの名前を設定し、Enabledボックスにチェックマークを入れて、Loopback IDを設定します。
画像 3.基本的なループバックインターフェイス設定
ステップ 5:IPv4セクションのIP TypeセクションでUse Static IPオプションを選択し、ループバックIPを設定してから、OKをクリックして変更を保存します。
図 4.ループバックIPアドレスの設定
手順 6:[Save] をクリックします。
図 5.ループバックインターフェイス設定の保存
手順 7:2つ目のファイアウォールでこのプロセスを繰り返します。
図 6.ピアのループバックインターフェイス設定
スタティックルートの設定
スタティックルートは、ピアリングに使用されるリモートピアアドレス(ループバック)が目的のインターフェイスを介して到達可能であることを確認するように設定する必要があります。
ステップ 1:Devices > Device Management の順にクリックし、スタティックルートを設定するデバイスを選択します。
ステップ2.Routing > Manage Virtual Routers > Static Routeの順にクリックし、Add Routeをクリックします。
図 7.新しいスタティックルートの追加
手順 3:TypeのIPv4オプションをチェックします。Interfaceオプションでリモートピアのループバックに到達するために使用する物理インターフェイスを選択してから、Gatewayセクションで、ループバックに到達するためのネクストホップを指定します。
図 8.スタティックルートの設定
ステップ4. Available Networkセクションの横にあるアイコン(+)をクリックします。
図 9.新しいネットワークオブジェクトの追加
ステップ5:参照用に名前を設定し、リモートピアのループバックのIPを設定して、保存します。
図 10.スタティックルートでのネットワーク宛先の設定
ステップ 6:検索バーで作成した新しいオブジェクトを検索して選択し、AddをクリックしてからOKをクリックします。
図 11.スタティックルートでのネクストホップの設定
手順 7:[Save] をクリックします。
図 12.スタティックルートインターフェイス設定の保存
ステップ 8:2つ目のファイアウォールでこのプロセスを繰り返します。
図 13.ピアでのスタティックルートの設定
BGPの設定
ステップ 1:Devices > Device Managementの順にクリックし、BGPをイネーブルにするデバイスを選択します。
ステップ2. Routing > Manage Virtual Routers > General Settingsの順にクリックし、BGPをクリックします。
手順 3:Enable BGPボックスにチェックマークを入れてから、ファイアウォールのローカルASをAS Numberセクションで設定します。
図 14.BGPをグローバルに有効にする
ステップ4.Saveボタンをクリックして、変更を保存します。
図 15.BGP有効化の変更の保存
ステップ 5:Manage Virtual Routersセクションで、BGP オプションに移動し、IPv4をクリックします。
手順 6:Enable IPv4ボックスにチェックマークを入れてから、Neighborをクリックし、+ Addをクリックする。
図 16.新しいBGPピアの追加
手順 7:「IP Address」セクションでリモートピアのIPアドレスを設定し、「Remote AS」セクションでリモートピアのASを設定して、「Enable address」ボックスにチェックマークを入れます。
ステップ 8:Update Source セクションでローカルインターフェイスループバックを選択します。
図 17.基本的なBGPピアパラメータ
ステップ 9:Advancedをクリックし、TTL Hopsオプションに番号2を設定して、OKをクリックします。
図 18.TTLsホップ番号の設定
ステップ 10:Saveをクリックして、変更を展開します。
図 19.BGP設定の保存
ステップ 112つ目のファイアウォールでこのプロセスを繰り返します。
図 20.ピアでのBGPの設定
確認
ステップ 1:ループバックとスタティックルートの設定を確認し、pingテストを使用してBGPピア間の接続を確認します。
show running-config interface interface_name(隠しコマンド)
show running-config route
show destination_ip(宛先IPの表示)
| SFTD-1 |
SFTD-2 |
| show running-config interfaceループバック1 interface Loopback1 nameifループバック1 ip address 10.1.1.1 255.255.255.255 show running-config route 10.2.2.2 255.255.255.255 10.10.10.2 1以外のルート ping 10.2.2.2 Sending 5, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms |
show running-config interfaceループバック1 interface Loopback1 nameif Looback2 ip address 10.2.2.2 255.255.255.255 show running-config route 10.1.1.1 255.255.255.255 10.10.1.1以外のルート ping 10.1.1.1 Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms |
ステップ 2:BGP設定を確認し、BGPピアリングが確立されていることを確認します。
show running-config router bgpコマンド
show bgp neighbors(隠しコマンド)
show bgp summary
| SFTD-1 |
SFTD-2 |
| show running-config router bgpコマンド router bgp 64000 bgp log-neighbor-changes bgp router-id vrf auto-assign(VRF自動割り当て) address-family ipv4 unicast neighbor 10.2.2.2 remote-as 64001 ネイバー10.2.2.2 ebgpマルチホップ2 neighbor 10.2.2.2 transport path-mtu-discoveryの無効化 neighbor 10.2.2.2 update-sourceループバック1 neighbor 10.2.2.2 activate no auto-summary no synchronization exit-address-family ! show bgp neighbors(隠しコマンド) | i BGP(i BGP) BGPネイバーは10.2.2.2、vrf single_vf、リモートAS 64001、外部リンク BGPバージョン4、リモートルータID 10.2.2.2 BGP状態= Established、アップ(1d15h) BGPテーブルバージョン7、ネイバーバージョン7/0 外部BGPネイバーは最大2ホップ離れている可能性があります。 show bgp summary BGP router identifier 10.1.1.1, local AS number 64000 BGPテーブルバージョン7、メインルーティングテーブルバージョン7 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.2.2.2 4 64001 2167 2162 7 0 0 1d15h 0 |
show running-config router bgpコマンド router bgp 64001 bgp log-neighbor-changes bgp router-id vrf auto-assign(VRF自動割り当て) address-family ipv4 unicast neighbor 10.1.1.1 remote-as 64000 ネイバー10.1.1.1 ebgp-multihop 2 neighbor 10.1.1.1 transport path-mtu-discovery disable(ネイバー10.1.1.1 transport path-mtu-discoveryがディセーブル) neighbor 10.1.1.1 update-source Looback2 neighbor 10.1.1.1 activate no auto-summary no synchronization exit-address-family ! show bgp neighbors(隠しコマンド) | i BGP(i BGP) BGPネイバーは10.1.1.1、vrf single_vf、リモートAS 64000、外部リンク BGPバージョン4、リモートルータID 10.1.1.1 BGP状態= Established、アップ(1d16h用) BGPテーブルバージョン1、ネイバーバージョン1/0 外部BGPネイバーは最大2ホップ離れている可能性があります。 show bgp summary BGP router identifier 10.2.2.2, local AS number 64001 BGP table version is 1, main routing table version 1 Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.1.1.1 4 64000 2168 2173 1 0 0 1d16h 0 |
トラブルシューティング
処理中に問題が発生した場合は、次の記事を参照してください。
•Border Gateway Protocol(BGP)
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
22-Jul-2024 |
初版 |
フィードバック