この記事では、仮想ルータの基本概念から始め、具体的な設定方法、スタティックルートの設定について詳しく解説します。
仮想ルータとは何か?
仮想ルータは、その名の通りPaloalto内部で持つ「仮想的な」ルータで、物理的なハードウェアの中で複数の独立したルーティングテーブルを持つソフトウェアベースのルータを指します。
下記の図は、Palo Alto ファイアウォール内で設定された仮想ルータの一般的な構成を示しています。ここでの重要な概念は、仮想ルータがインターフェースを用いて異なるネットワークゾーン間の通信をどのように処理するかという点です。
- 仮想ルータ(1):Eth0(ゾーン0所属)とEth1(ゾーン1所属)間の通信をルーティングテーブルに基づいて転送。
- 仮想ルータ(2):Eth2(ゾーン2所属)とEth3(ゾーン3所属)間の通信をルーティングテーブルに基づいて転送。
仮想ルータは独立したルーティングテーブルを持っており、それぞれのルータは自身に割り当てられたインターフェース間でのみルーティングを担当します。
そのため、異なる仮想ルータ間の通信(例えば、Eth0(ゾーン0所属)とEth3(ゾーン3所属))は通常は行われません。
このように1つのデバイス上で、ネットワークを分離して構成したい場合に、仮想ルータは便利です。
仮想ルータ構成の確認方法
Palo Altoデバイスでは、初期設定として「default」と名付けられた仮想ルータが構成されています。特に仮想ルータを複数構成する要件がなければ、この「default」をそのまま使用することが多いです。
下記のような構成が一般的です。
インタフェースがどのゾーンや仮想ルータに所属しているのかは、「NETWORK」タブから「インタフェース」へ移動し、「Ethernet」タブにあるインタフェースの詳細から確認することができます。例えば、「ethernet1/1」の中身を確認します。
「設定」タブより、現在所属している「仮想ルータ」と「セキュリティゾーン」が確認できます。所属先を変更する際もこの画面で設定します。
また、「仮想ルータ」の観点から所属しているインタフェースを確認することもできます。
仮想ルータ「default」に所属するインタフェースを調べるには、「NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。
「全般」タブより、所属しているインタフェースを確認することができます。この画面で、インタフェースの追加、削除も可能です。
スタティックルート設定
仮想ルータへスタティックルートを設定する手順を確認します。今回は、仮想ルータ「default」に対して、デフォルトルートを設定します。
「NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。
「スタティックルート」タブより「追加」をクリックします。
下記の画面より、スタティックルートを設定します。
- 名前:任意の名前。今回は「default_route」とします。
- 宛先:宛先ネットワークを設定。今回はデフォルトルートを設定するので、「0.0.0.0/0」を設定
- インタフェース:出力インタフェースを指定。今回は「ethernet1/1」
- ネクストホップ:IPアドレスを選択し、ネクストホップとなるIPアドレスを設定。今回は「192.168.20.1」
その他は、特別な要件がない限り、デフォルト値のままとします。設定後、「OK」をクリックします。
下記のように登録されます。
仮想ルータ間のルーティング設定
通常は仮想ルータ間はネットワークが分離されており、通信はできません。ただし、一部のネットワーク間だけは、仮想ルータ間も通信をしたい場合があります。
スタティックルートの場合、ネクストホップに仮想ルータを指定することで、仮想ルータ間の通信ができるようになります。
例えば、下記のような構成を考えます。
新たに仮想ルータ「internal」を追加し、Ethernet1/2に割り当てます。通常は、仮想ルータ間は通信できませんが、それぞれに仮想ルータをネクストホップとするスタティックルートを作成することで、Ethernet1/1とEthernet1/2間が通信できるようになります。
仮想ルータからのインタフェース削除
現行、仮想ルータ「default」にすべてのインタフェースが所属しています。Ethernet1/2を仮想ルータ「default」から外します。
「NETWORK」タブから「仮想ルーター」へ移動し、今回は「default」をクリックします。
ethernet1/2 を選択し、「削除」をクリック後、インタフェースが消えたことを確認し、「OK」をクリックします。
仮想ルータの追加
まず、新しい仮想ルータ「internal」を追加します。「NETWORK」タブから「仮想ルーター」へ移動し、「追加」をクリックします。
名前は任意の名前(今回は「internal」)とし、「インタフェース」の「追加」をクリックしてから、「ethernet1/2」をクリックします。
「ethernet1/2」が選択されていることを確認し、「OK」をクリックします。
下記のように新しい仮想ルータが作成されます。
スタティックルート追加(仮想ルータ default)
仮想ルータ「default」では、内部セグメントである192.168.10.0/24に対してのネクストホップを仮想ルータ「internal」に設定します。
仮想ルータ「default」のスタティックルート追加画面へ移動し、「追加」をクリックします。
下記の画面より内部向けのスタティックルートを設定します。
- 名前:任意の名前。(今回は「To_Internal」とします。)
- 宛先:内部セグメントである「192.168.10.0/24」を設定
- インタフェース:「None」を選択
- ネクストホップ:「次のVR」を選択後、「Internal」を選択
設定完了後、「OK」をクリックします。
下記のように登録されます。
スタティックルート設定(仮想ルータ Internal)
仮想ルータ「Internal」では、デフォルトルート(0.0.0.0/0)に対してのネクストホップを仮想ルータ「default」に設定します。
仮想ルータ「Internal」のスタティックルート追加画面へ移動し、「追加」をクリックします。
下記の画面よりデフォルトルートを設定します。
- 名前:任意の名前。(今回は「Internal_to_Default」とします。)
- 宛先:デフォルトルートである「0.0.0.0/0」を設定
- インタフェース:「None」を選択
- ネクストホップ:「次のVR」を選択後、「default」を選択
設定完了後、「OK」をクリックします。
下記のように登録されます。
「Commit」を実行し、設定を反映させます。
これで、仮想ルータ間が通信できるようになります。
コメント