【Paloalto】仮想ルータの概要とスタティックルート設定 PANOS 10.2.4

この記事では、仮想ルータの基本概念から始め、具体的な設定方法、スタティックルートの設定について詳しく解説します。

スポンサーリンク

仮想ルータとは何か?

仮想ルータは、その名の通りPaloalto内部で持つ「仮想的な」ルータで、物理的なハードウェアの中で複数の独立したルーティングテーブルを持つソフトウェアベースのルータを指します。

下記の図は、Palo Alto ファイアウォール内で設定された仮想ルータの一般的な構成を示しています。ここでの重要な概念は、仮想ルータがインターフェースを用いて異なるネットワークゾーン間の通信をどのように処理するかという点です。

  • 仮想ルータ(1):Eth0(ゾーン0所属)とEth1(ゾーン1所属)間の通信をルーティングテーブルに基づいて転送。
  • 仮想ルータ(2):Eth2(ゾーン2所属)とEth3(ゾーン3所属)間の通信をルーティングテーブルに基づいて転送。

仮想ルータは独立したルーティングテーブルを持っており、それぞれのルータは自身に割り当てられたインターフェース間でのみルーティングを担当します。

そのため、異なる仮想ルータ間の通信(例えば、Eth0(ゾーン0所属)とEth3(ゾーン3所属))は通常は行われません。

このように1つのデバイス上で、ネットワークを分離して構成したい場合に、仮想ルータは便利です。

スポンサーリンク

仮想ルータ構成の確認方法

Palo Altoデバイスでは、初期設定として「default」と名付けられた仮想ルータが構成されています。特に仮想ルータを複数構成する要件がなければ、この「default」をそのまま使用することが多いです。

下記のような構成が一般的です。

インタフェースがどのゾーンや仮想ルータに所属しているのかは、「NETWORK」タブから「インタフェース」へ移動し、「Ethernet」タブにあるインタフェースの詳細から確認することができます。例えば、「ethernet1/1」の中身を確認します。

設定」タブより、現在所属している「仮想ルータ」と「セキュリティゾーン」が確認できます。所属先を変更する際もこの画面で設定します。

また、「仮想ルータ」の観点から所属しているインタフェースを確認することもできます。

仮想ルータ「default」に所属するインタフェースを調べるには、「NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。

全般」タブより、所属しているインタフェースを確認することができます。この画面で、インタフェースの追加、削除も可能です。

スポンサーリンク

スタティックルート設定

仮想ルータへスタティックルートを設定する手順を確認します。今回は、仮想ルータ「default」に対して、デフォルトルートを設定します。

NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。

スタティックルート」タブより「追加」をクリックします。

下記の画面より、スタティックルートを設定します。

  • 名前:任意の名前。今回は「default_route」とします。
  • 宛先:宛先ネットワークを設定。今回はデフォルトルートを設定するので、「0.0.0.0/0」を設定
  • インタフェース:出力インタフェースを指定。今回は「ethernet1/1
  • ネクストホップ:IPアドレスを選択し、ネクストホップとなるIPアドレスを設定。今回は「192.168.20.1

その他は、特別な要件がない限り、デフォルト値のままとします。設定後、「OK」をクリックします。

下記のように登録されます。

スポンサーリンク

仮想ルータ間のルーティング設定

通常は仮想ルータ間はネットワークが分離されており、通信はできません。ただし、一部のネットワーク間だけは、仮想ルータ間も通信をしたい場合があります。

スタティックルートの場合、ネクストホップに仮想ルータを指定することで、仮想ルータ間の通信ができるようになります。

例えば、下記のような構成を考えます。

新たに仮想ルータ「internal」を追加し、Ethernet1/2に割り当てます。通常は、仮想ルータ間は通信できませんが、それぞれに仮想ルータをネクストホップとするスタティックルートを作成することで、Ethernet1/1Ethernet1/2間が通信できるようになります。

仮想ルータからのインタフェース削除

現行、仮想ルータ「default」にすべてのインタフェースが所属しています。Ethernet1/2を仮想ルータ「default」から外します

NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。

ethernet1/2 を選択し、「削除」をクリック後、インタフェースが消えたことを確認し、「OK」をクリックします。

仮想ルータの追加

まず、新しい仮想ルータ「internal」を追加します。「NETWORK」タブから「仮想ルーター」へ移動し、「追加」をクリックします。

名前は任意の名前(今回は「internal」)とし、「インタフェース」の「追加」をクリックしてから、「ethernet1/2」をクリックします。

ethernet1/2」が選択されていることを確認し、「OK」をクリックします。

下記のように新しい仮想ルータが作成されます。

スタティックルート追加(仮想ルータ default)

仮想ルータ「default」では、内部セグメントである192.168.10.0/24に対してのネクストホップを仮想ルータ「internal」に設定します。

仮想ルータ「default」のスタティックルート追加画面へ移動し、「追加」をクリックします。

下記の画面より内部向けのスタティックルートを設定します。

  • 名前:任意の名前。(今回は「To_Internal」とします。)
  • 宛先:内部セグメントである「192.168.10.0/24」を設定
  • インタフェース:「None」を選択
  • ネクストホップ:「次のVR」を選択後、「Internal」を選択

設定完了後、「OK」をクリックします。

下記のように登録されます。

スタティックルート設定(仮想ルータ Internal)

仮想ルータ「Internal」では、デフォルトルート(0.0.0.0/0)に対してのネクストホップを仮想ルータ「default」に設定します。

仮想ルータ「Internal」のスタティックルート追加画面へ移動し、「追加」をクリックします。

下記の画面よりデフォルトルートを設定します。

  • 名前:任意の名前。(今回は「Internal_to_Default」とします。)
  • 宛先:デフォルトルートである「0.0.0.0/0」を設定
  • インタフェース:「None」を選択
  • ネクストホップ:「次のVR」を選択後、「default」を選択

設定完了後、「OK」をクリックします。

下記のように登録されます。

Commit」を実行し、設定を反映させます。

これで、仮想ルータ間が通信できるようになります。

コメント