仮想ルータ間のピアリング BGP
95261
Created On 09/25/18 17:42 PM - Last Modified 06/12/23 21:27 PM
Resolution
パロ ・ アルトのネットワーク ファイアウォールの構成は、BGP インスタンスの独立した仮想ルーター (VR) 単一のデバイスまたはクラスター内で実行している間ピア リレーションシップを確立できます。これにより、ファイアウォールはそれに応じて仮想ルータと直接のトラフィックのプレフィックスをアドバタイズします。
2 つの BGP インスタンス各インターフェイスが別の仮想ルータには 2 つのインターフェイス間のネットワーク通信が必要です。これは、両方の VRs を同じ物理ネットワークと同じ IP サブネットに属していることを確認に接続することによって実現できます。インスタンス間の通信はファイアウォールを 1 つのインターフェイスから物理ネットワーク上に 1 つの VR で葉し、他の VR の別のインターフェイスを返します。別の可能性は、BGP インスタンス間で発生する内部通信をしています。
2 つのループバック インターフェイスをそれぞれ、32 を構成することによって仮想ルータ間の内部通信を行うことができますネットワーク各 VR のアドレス。静的ホスト ルートを構成して、(/32 ルート) 各 VR 次ホップとして他の VR を使用して他のループバック インターフェイスのアドレスに到達するために。で静的ルートを構成する場合は、次ホップとして次-VR オプションを選択し、他の VR を付けます。BGP ピアによって受け入れられ、ルーティング テーブルのインストール ルートでお越しの際にもその他 VR ループバック インターフェイスの IP アドレスの次ホップの IP アドレス。次の VR をその次のホップに到達するルートが存在するので、他の VR にパケットがルーティングされます。
注:
- ループバック インタ フェースが異なるゾーンに設定されている場合、セキュリティ ポリシーはこれらの領域でこれらのインターフェイス間通信を許可する必要があります。またはピア間の通信は失敗します。
- 移動先のゾーンは、他に VR が遅れて次の VR のルーティングの決定を行い最終的な宛先インターフェイスを決定するまでセッションからの最初のパケットのルーティング先の決定。
スナップショット構成を描いたします。
ループバック インターフェイス: (任意の 32 を使用することができますループバック インターフェイスの IP アドレス)
までは、BGP ルーティング必須です。
インターフェイスは、別のゾーンから BGP トラフィックを許可するようにセキュリティ ポリシーが必要です。
BGP トラフィックのトラフィックのログを監視します。