宛先フィルタを使用する場合の再配布プロファイルの動作について

宛先フィルタを使用する場合の再配布プロファイルの動作について

77151
Created On 09/25/18 19:50 PM - Last Modified 06/15/23 22:00 PM


Resolution


再配布プロファイルは、あるプロトコルから別のプロトコルに学んだルートを再分配するために使用されます。以下の記事を使用して、パロアルトファイアウォールでルートの再配布を構成する方法についてご確認ください。

 

ルートの再配布とフィルタリングについて

パロアルトネットワークファイアウォールにおける OSPF ルートの要約と抑制

 

再配布プロファイルのフィルタリング/照合条件の1つとして「送り先」を使用する場合は、「正確」ではなく「または長い」として宛先プレフィックスを読む必要があります。

 

シナリオ 1: OSPF でより長いプレフィックスの代わりに小さいプレフィックスを再配布する:

 

次の静的ルートがあります。

 

10.54.04 でスクリーンショット2016-03-29

あなたは10.10.0.0/16ルートではなく、10.10.1.0/24、 10.10.2.0/2410.10.3.0/24 を宣伝したい。

 

次のように再配布プロファイルを作成するだけの場合:

 

10.57.02 でスクリーンショット2016-03-29

 

次に、あなたも 10.10.1.0/24、10.10.2.0/24、10.10.3.0/24 としても再配布を終了します:

 

管理者 @ PA-200 > 表示ルーティングプロトコル ospf lsdb
仮想ルーター: デフォルト (id 1)
  ==========
 VR 領域 id RTR id LS id LSA 型配列番号チェックサム年齢サイズ
  1 0.0.0.0 1.1.1.1 1.1.1.1 タイプ 1 (ルーター) 0x80000003 0x00008B8D 497 36 
  1 0.0.0.0 2.2.2.2 2.2.2.2 タイプ 1 (ルーター) は 0x80000004 0x00004DA2 2302 36 
  1 0.0.0.0 2.2.2.2 10.1.1.12/24 タイプ 2 (ネットワーク) 0x80000001 0x0000C746 2302 32 
  1 1.1.1.1 10.10.0.0/16 タイプ 5 (外部) 0x80000001 0x0000D3E5 123       
  1 1.1.1.1 10.10.1.0/24 タイプ 5 (外部) 0x80000003 0x0000C4F1 123       
  1 1.1.1.1 10.10.2.0/24 タイプ 5 (外部) 0x80000003 0x0000B9FB 123       
  1 1.1.1.1 10.10.3.0/24 タイプ 5 (外部) 0x80000003 0x0000AE06 123  

 

むしろ2つのプロファイルを使用して、特定のルートを再配布しないための最初の、より大きなルートを再配布するための2番目。以下のように OSPF のエクスポートルールの下で使用します: (2 つのプロファイルの優先順位の値に注意してください)

 

11.22.44 でスクリーンショット2016-03-29

 

 

11.23.48 でスクリーンショット2016-03-29

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

これで、OSPF が 10.10.0.0/16 ネットワークのみをアドバタイズすることがわかります。

 

管理者 @ PA-200 > 表示ルーティングプロトコル ospf lsdb
管理者 @ PA-200 > 表示ルーティングプロトコル ospf lsdb
仮想ルーター: デフォルト (id 1)
  ==========
 VR 領域 id RTR id LS id LSA 型配列番号チェックサム年齢サイズ
  1 0.0.0.0 1.1.1.1 1.1.1.1 タイプ 1 (ルーター) は 0x80000004 0x0000898E 252 36 
  1 0.0.0.0 2.2.2.2 2.2.2.2 タイプ 1 (ルーター) 0x80000005 0x00004BA3 858 36 
  1 0.0.0.0 2.2.2.2 10.1.1.12/24 タイプ 2 (ネットワーク) 0x80000002 0x0000C547 858 32 
  1 1.1.1.1 10.10.0.0/16 タイプ 5 (外部) 0x80000002 0x0000D1E6 1312          

 

 大事な!ルートは別のプロトコルから OSPF にアドバタイズされているため、この場合、ルートの抑制は機能しません。ルートの抑制は、ある領域から別のエリアに学習したルートを広告する場合に機能します。

 

 

シナリオ 2: OSPF でより長いプレフィックスの代わりに小さいプレフィックスを再配布する

 

BGP で上記と同じようにしたい場合は、次の2つのオプションがあります。

 

  1. これらの再配布プロファイルの両方を BGP > Redist ルールに含めることができます。

    スクリーンショット2016-03-29 で 12.44.55 pm. 

  2. [BGP] > [エクスポート] で選択した [正確] チェックボックスを使用して、アドバタイズするサブネットを配置します。

    11.30.20 でスクリーンショット2016-03-29 

最終結果:

 

管理者 @ PA-200 > 表示ルーティングプロトコル bgp リブアウト
仮想ルーター: デフォルト (id 1)
   ==========
 プレフィックス Nexthop ピア発信者 Adv ステータス Aggr ステータス AS パス
 10.10.0.0/16 10.1.1.1 Peer1 0.0.0.0 アドバタイズされません 65000

合計ルートを表示: 1

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfnCAC&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language