FortiGateのOSPFの設定について

OSPFの基本

OSPF（Open Shortest Path First）は、リンクステート型のIGPであり、最短経路計算にDijkstraアルゴリズムを用います。

FortiGateでも一般的なOSPFの概念は同じですが、インターフェースベースの設定やGUI操作に独自の特徴があります。

設定手順の流れ

FortiGateでOSPFを構成する際の基本的な流れは以下です。

1. OSPFプロセスの有効化
   • Router IDを設定（ループバックIPや固定IPを推奨）。
2. エリアの作成
   • Area 0（バックボーン）は必須。複数エリアを構成する場合はすべてがArea 0と接続する必要があります。
3. インターフェースの参加
   • どのポートをOSPFに参加させるかを指定。
   • ネットワークタイプやHello/Deadタイマーを調整可能。
4. 認証の設定（任意）
   • バージョンによってMD5認証の書式が異なるので要注意（後述）。
5. 再配布の設定（必要に応じて）
   • 静的ルートや他プロトコル（BGPなど）のルートをOSPFへ注入。
   • access-list + route-mapで制御するのが推奨。
6. 確認・検証
   • 隣接関係、LSDB、ルーティングテーブルを確認。

CLIでの基本設定例

単純なバックボーン参加例

config router ospf
    set router-id 1.1.1.1
    config area
        edit 0.0.0.0
        next
    end
    config network
        edit 1
            set prefix 192.168.1.0 255.255.255.0
            set area 0.0.0.0
        next
    end
end

インターフェースベースの設定

config router ospf
    set router-id 2.2.2.2
    config area
        edit 0.0.0.0
        next
    end
    config ospf-interface
        edit "port2"
            set interface "port2"
            set area 0.0.0.0
            set hello-interval 10
            set dead-interval 40
        next
    end
end

認証の設定方法（バージョン別）

• FortiOS 6.0以前 config router ospf config ospf-interface edit "port2" set interface "port2" set authentication md5 set md5-key 1 key123 next end end
• FortiOS 6.2〜6.4 config router ospf config ospf-interface edit "port2" set interface "port2" set authentication md5 config md5-keys edit 1 set key-string "key123" next end next end end
• FortiOS 7.0以降（推奨方式：key-chain） config router key-chain edit "OSPF-KEY" config key edit 1 set key-string "key123" next end next end config router ospf config ospf-interface edit "port2" set interface "port2" set authentication message-digest set keychain "OSPF-KEY" next end end

再配布の設定例

静的ルートをOSPFに再配布する場合

config router access-list
    edit "wanted-static"
        config rule
            edit 1
                set prefix 192.168.33.0/24
                set exact-match enable
                set action permit
            next
        end
    next
end

config router route-map
    edit "static-to-ospf"
        config rule
            edit 1
                set match-ip-address "wanted-static"
            next
        end
    next
end

config router ospf
    config redistribute "static"
        set status enable
        set routemap "static-to-ospf"
        set metric-type 1
    end
end

動作確認コマンド

• 隣接関係確認 get router info ospf neighbor
• インターフェース情報 get router info ospf interface <ifname>
• LSDB確認 get router info ospf database [brief|self-originate|router lsa]
• OSPFルート確認 get router info routing-table ospf
• デバッグ（終了時は必ずdisableする） diagnose ip router ospf all enable diagnose ip router ospf level info diagnose debug console timestamp enable diagnose debug enable ... diagnose ip router ospf all disable diagnose debug disable

設計上の注意点

• Router IDはネットワーク全体で一意にする。
• エリア設計はできる限りシンプルに。複数エリアを作る場合、Area 0をハブにする。
• 認証は必ず導入し、平文ではなくMD5またはkey-chainを推奨。
• 再配布はフィルタをかけ、不要な経路を流さない。
• OSPFデバッグは通信障害に直結するため、運用時は短時間に限定。

以上、FortiGateのOSPFの設定についてでした。

最後までお読みいただき、ありがとうございました。