FortiGateにおけるBGP(Border Gateway Protocol)の設定は、企業ネットワークやサービスプロバイダー間で広く使用されている重要な機能です。
BGPは、複数のネットワーク間でルーティング情報を交換するための標準プロトコルで、大規模なネットワークやマルチホーム環境での最適なルート選択を行います。
FortiGateは、BGPをサポートしており、柔軟かつ詳細なルーティング制御が可能です。
以下では、FortiGateのBGP設定について、GUIとCLIの両方の手順を説明します。
BGPとは
BGP(Border Gateway Protocol)は、インターネット上で広く使用されるルーティングプロトコルで、自律システム(AS: Autonomous System)間でルーティング情報を交換します。
FortiGateでは、BGPを使用して動的にルーティングを行い、冗長性やルート最適化を実現することが可能です。
主な用途には以下のものがあります。
- 複数のISP(インターネットサービスプロバイダ)との接続(マルチホーム環境)
- 大規模な企業ネットワーク間のルーティング
- 異なるAS間のトラフィック制御
FortiGateでのBGP設定手順
FortiGateでBGPを設定する際は、まずBGPを有効化し、次にBGPネイバー(隣接ルータ)との関係を設定して、ルーティング情報の交換を行います。
BGPの設定は、GUI(グラフィカルユーザーインターフェース)とCLI(コマンドラインインターフェース)のどちらでも可能です。
BGPの基本設定項目
BGP設定に必要な基本項目は以下の通りです。
- AS番号: 自分のネットワークを識別するための自律システム番号(AS番号)。
- BGPネイバー: ルーティング情報を交換する隣接ルータ。
- ネットワーク広告: FortiGateが管理しているネットワークを他のルータに広告する設定。
- フィルタとポリシー: ルートをフィルタリングするためのポリシーやルール。
GUIによるBGP設定方法
FortiGateのGUI(Webインターフェース)でのBGP設定手順は次の通りです。
BGPの有効化
- FortiGateにログインして、Network → Static & Dynamic → Dynamic Routingに移動します。
- Dynamic Routingメニュー内で、BGPを選択して、BGP設定を有効化します。
BGPのグローバル設定
- BGP Settingsを開き、次の項目を設定します。
- Router ID: BGPルータID(通常はFortiGateのIPアドレスが使われます)。
- AS Number: 自身のネットワークのAS番号を入力します。
BGPネイバーの追加
- Neighborsセクションで、Create NewをクリックしてBGPネイバーを追加します。
- BGPネイバーに必要な項目を設定します。
- Neighbor IP: 隣接するBGPルータのIPアドレス。
- Remote AS: 隣接ルータのAS番号を設定。
- Password(任意): BGPセッションにセキュリティを追加するためにパスワードを設定します(オプション)。
ネットワークの広告
- Networkセクションで、FortiGateが管理しているネットワークをBGPを介して他のルータに広告する設定を行います。
- Create Newをクリックして、広告するネットワークのIPプレフィックス(例: 192.168.1.0/24)を指定します。
フィルタとポリシーの設定(オプション)
BGPルートの送信や受信に関するフィルタやポリシーを設定することが可能です。
これはBGPセッションを通して交換されるルーティング情報を制御するために使用されます。
- ルートマップ: 特定の条件に基づいて、ルートを許可または拒否するためのルールを設定します。
- ディストリビューションリスト: 特定のルート広告を制限します。
設定の保存と確認
- 設定が完了したら、ApplyをクリックしてBGP設定を適用します。
- Routing MonitorでBGPセッションの状態や学習されたルートを確認できます。
CLIによるBGP設定方法
CLIを使ってBGPを設定する場合は、以下の手順を実行します。
BGPの有効化と基本設定
まず、BGPを有効にして基本的な設定を行います。
config router bgp
set as <自分のAS番号>
set router-id <FortiGateのルータID>
endBGPネイバーの追加
BGPネイバーを追加し、BGPセッションを確立します。
config router bgp
config neighbor
edit <ネイバーのIPアドレス>
set remote-as <ネイバーのAS番号>
next
end
endネットワーク広告の設定
FortiGateが管理しているネットワークをBGPで広告するための設定です。
config router bgp
config network
edit 1
set prefix 192.168.1.0 255.255.255.0
next
end
endルートマップの設定(オプション)
特定のルートに対して条件を設定するためのルートマップを作成する方法です。
config router route-map
edit "route-map-name"
config rule
edit 1
set match-ip-address "prefix-list-name"
set action permit
next
end
endBGPステータスの確認
BGPの動作状況を確認するためには、次のコマンドを使用します。
get router info bgp summaryこのコマンドにより、BGPセッションのステータスやネイバーとの接続状況が確認できます。
BGP設定のベストプラクティス
- AS番号の管理: 正しいAS番号を使用し、内部と外部のルーティングを区別することが重要です。
- ルートフィルタリング: 不必要なルートの受け入れや広告を防ぐために、ルートマップやプレフィックスリストを活用します。
- 冗長性の確保: マルチホーム環境などでは、複数のBGPネイバーを設定し、ネットワークの冗長性を確保します。
- タイマーの調整: BGPセッションのKeepaliveやHoldタイマーを適切に設定し、セッションの安定性を保ちます。
まとめ
FortiGateでのBGP設定は、動的ルーティングを実現するために必要不可欠なステップで、特に複数のネットワークやプロバイダとの接続が必要な場合に非常に有効です。
GUIまたはCLIを使用してBGPを設定し、適切なネイバー設定やルート広告、フィルタリングポリシーを実装することで、ネットワークの効率と冗長性を確保できます。
また、BGPセッションのステータスを定期的に監視し、問題が発生した際には迅速に対応することも重要です。
以上、FortiGateのBGP設定方法についてでした。
最後までお読みいただき、ありがとうございました。
