パロアルトネットワークファイアウォールは、OSPF 経由で個々の IP アドレスを再配布しない

問題

パロアルトネットワークファイアウォールは、個々のインターフェイスまたはループバックインターフェイスに割り当てられた/32 IP アドレスを持つことができます。ただし、これらのアドレスは、ospf 再配布プロファイルにインターフェイスが追加されている場合でも、ospf を介して配布されません。

原因

a/32 アドレスは "ホスト" アドレスと見なされ、"接続された" アドレスではありません。パロアルトネットワークファイアウォールは、次の種類のルートのみを再配布できます。

• Bgp
• 接続
• Ospf
• リッピング
• 静的

"host" は選択ではないので、任意の/32 アドレスは再配布プロファイルを使用して配布されません。

解決方法

PAN-OS 5.0 以降では、単一の IP アドレスを仮想ルーターのエクスポートルールに追加できます。

1. [ネットワーク] > [仮想ルーター] に移動します。
2. 仮想ルーターを選択します。
3. [OSPF] > [ルールのエクスポート] タブに移動します。
4. 適切な IP アドレスを追加します。特定の IP アドレスを追加することができます/32 表記をエクスポートします。
   

これは厳密な再配布ではないことに注意してください。これは、ルートをアドバタイズしますが、非ホスト (学習) ルートは、この方法で再配布することはできません。

所有者: gwesson