コンテンツにスキップ
ページの一部またはすべては機械翻訳されました。
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=CLI-route-configuration-OSPF-filter-routes

OSPF ルートに対するアウトバウンドフィルタリング

CLIを使用してOSPFでのアウトバウンドフィルタリングを構成し、特定のインターフェースサブネットが隣接するルータに広告されないようにします。LSA(リンクステートアドバタイズメント)に入る経路を制御するために、アクセスリストとルートマップを作成できます。

OSPFエリア内のすべてのルーターは、リンクステート広告(LSA)を使用して、同じリンクステートデータベース(LSDB)を構築および維持し、目的地に到達するための最短経路ファースト(SPF)を決定します。

ルートをフィルタリングする方法

LSA には、OSPF ネットワークに属するインターフェイスサブネットが含まれています。OSPFがインターフェイスのサブネットを広告しないようにするには、次のオプションのいずれかを使用してください:

  • インターフェイスのサブネットがOSPFネットワークのサブネットに含まれていないことを確認してください。
  • OSPF ルートの広告を防ぐために、アクセス制御リスト(ACL)とルートマップを使用してください。隣接するルーティングテーブルにインターフェイスサブネットが入るのを防ぎます。

導入例

次の例は、特定のインターフェイスのサブネットをOSPFが広告しないようにする方法を示しています。

ネットワークトポロジに基づいて、実際のネットワーク、エリア、およびルーターIDを使用する必要があります。この例では、広告したくないインターフェース用に次のアドレスを使用しています: 10.10.10.1/24

設定のサマリー

インターフェースアドレスのサブネットを広告しないようにLSAを防ぐために、他のすべての接続されたインターフェースのサブネットを広告しつつ、以下の手順を実行してください:

  1. インターフェースサブネットを除外するルールを持つアクセスリストを作成してください。
  2. 他のサブネットを許可するためにアクセスリストにルールを追加してください。
  3. ルートマップを作成し、ルートを一致させます。
  4. ルートマップを使用して、接続されたインターフェイスを再配布します。

詳細な構成

アウトバウンドフィルタリングを構成するには、必要なルールを持つアクセスリストを作成し、その後、そのアクセスリストを参照するルートマップを定義して、希望するルートに一致させるように適用してください。最後に、経路マップを使用して接続されたインターフェイスを再配布してください。

  1. OSPF モードに入るには、次のオプションを入力します:

    1. ルート設定の場合: 3
    2. ユニキャストルート設定の場合: 1
    3. OSPFについて:2

  2. OSPF設定モードに入るには、次のコマンドを実行します。

    1. グローバル構成モードに入力します: enable
    2. OSPF設定モードに入力します: conf t または conf terminal

  3. アクセスリストを作成するには、次のコマンドを実行します:

    1. インターフェースサブネット用のアクセスリストを作成し、denyルールを追加します。

    2. ネットワークの他のサブネットを許可します: access-list <acl name> permit any

      デフォルトでは、アクセスリストには拒否するすべてのルールがあります。OSPF ルートを許可するには、このコマンドを追加する必要があります。

      ファイアウォールは、リストされた順にアクセスリストを評価します。

  4. ルートマップを作成し、ルートを一致させるには、次のコマンドを実行します:

    1. ルートマップエントリを作成します: route-map <route map's name> permit <sequence number>

      ファイアウォールは、リストされた順序でルートマップを読み取ります。シーケンス番号が順序を決定します。鍵 ID は 1~65535 の範囲で指定できます。

    2. ACL内の接続されたインターフェイスにルートをマッチさせます。

  5. ルートマップと接続されたインターフェイスを再配布するには、次のコマンドを実行してください。

    1. ルートマップ構成を終了します: exit
    2. OSPF 設定モードに入力します: router ospf
    3. ルートマップを再配布する:redistribute connected route-map <route map's name>

  6. 設定を終了して保存するには、次のコマンドを実行してください:

    1. OSPF 設定モードを終了します: exit
    2. 構成の保存: write
    ospf> enable
ospf# config t
ospf(config)#
ospf(config)# access-list testacl deny 10.10.10.0/24
ospf(config)# access-list testacl permit any
ospf(config)# route-map testmap permit 20
ospf(config-route-map)# match ip address testacl
ospf(config-route-map)# exit
ospf(config)# router ospf
ospf(config-router)# redistribute connected route-map testmap
ospf(config-router)# exit
ospf(config)# write
Configuration saved to /conf/routing/ospfd.conf