この章

CHAPTER
19
スタティックルートおよびデフォルトルート
の設定
この章では、適応型セキュリティアプライアンスでスタティックルートとデフォルトルートを設定す
る方法について説明します。次の項目を取り上げます。
• 「スタティックルートとデフォルトルートに関する情報」（P.19-1）
• 「スタティックルートおよびデフォルトルートのライセンス要件」（P.19-2）
• 「ガイドラインと制限事項」（P.19-2）
• 「スタティックルートおよびデフォルトルートの設定」（P.19-2）
• 「スタティックルートまたはデフォルトルートの監視」（P.19-6）
• 「スタティックルートまたはデフォルトルートの設定例」（P.19-8）
• 「スタティックルートおよびデフォルトルートの機能履歴」（P.19-9）
スタティックルートとデフォルトルートに関する情報
接続されていないホストまたはネットワークにトラフィックをルーティングするには、そのホストまた
はネットワークへのスタティックルートを定義するか、または少なくとも、ネットワークと適応型セ
キュリティアプライアンスの間にルータがある場合など、適応型セキュリティアプライアンスが直接
接続されていない任意のネットワークのデフォルトルートを定義する必要があります。
スタティックルートまたはデフォルトルートが定義されていない場合は、接続されていないホストや
ネットワークへのトラフィックによって次のエラーメッセージが生成されます。
%ASA-6-110001: No route to dest_address from source_address
マルチコンテキストモードではダイナミックーティングはサポートされていません。
次の場合は、シングルコンテキストモードでスタティックルートを使用します。
• ネットワークで EIGRP、RIP または OSPF とは異なるルータ検出プロトコルを使用している。
• ネットワークが小規模でスタティックルートを容易に管理できる。
• ルーティングプロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要があ
る。
最も単純なオプションは、すべてのトラフィックをアップストリームルータに送信するようにデフォ
ルトルートを設定して、トラフィックのルーティングをルータに任せることです。しかし、デフォル
トのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティックルートをさら
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
19-1
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートのライセンス要件
に詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト
ルートは、適応型セキュリティアプライアンスに直接接続されていない内部ネットワークにはまった
くトラフィックを転送できません。
透過ファイアウォールモードでは、適応型セキュリティアプライアンスから直接接続されていない
ネットワークに宛てたトラフィック用にデフォルトルートまたはスタティックルートを設定して、適
応型セキュリティアプライアンスがトラフィックの送信先インターフェイスを認識できるようにする
必要があります。適応型セキュリティアプライアンスから発信されるトラフィックには、syslog サー
バ、Websense サーバまたは N2H2 サーバ、あるいは AA サーバとの通信もあります。1 つのデフォル
トルートで到達できないサーバがある場合、スタティックルートを設定する必要があります。さらに、
適応型セキュリティアプライアンスでは、ロードバランシングのために、1 つのインターフェイスあた
り最大で 3 つの等コストルートをサポートします。
スタティックルートおよびデフォルトルートのライセンス
要件
モデル
ライセンス要件
すべてのモデル
基本ライセンス
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
シングルコンテキストモードとマルチコンテキストモードでサポートされています。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードと透過ファイアウォールモードでサポートされています。
IPv6 のガイドライン
IPv6 をサポートします。
スタティックルートおよびデフォルトルートの設定
この項では、スタティックルートとスタティックデフォルトルートを設定する方法について説明しま
す。次の項目を取り上げます。
• 「スタティックルートの設定」（P.19-3）
• 「デフォルトスタティックルートの設定」（P.19-3）
• 「IPv6 デフォルトルートおよびスタティックルートの設定」（P.19-5）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
19-2
OL-18970-01-J
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートの設定
スタティックルートの設定
スタティックルーティングアルゴリズムは、基本的にはルーティングの開始前にネットワーク管理者
によって確立されるテーブルマッピングのことです。このようなマッピングは、ネットワーク管理者
が変更するまでは変化しません。スタティックルートを使用するアルゴリズムは設計が容易であり、
ネットワークトラフィックが比較的予想可能で、ネットワーク設計が比較的単純な環境で正しく動作
します。したがって、スタティックルーティングシステムはネットワークの変更に対応できません。
スタティックルートは、指定されたゲートウェイが利用できなくなってもルーティングテーブルに保
持されています。指定されたゲートウェイが利用できなくなった場合は、スタティックルートをルー
ティングテーブルから手動で削除する必要があります。ただし、スタティックルートは、指定された
インターフェイスが停止するとルーティングテーブルから削除され、インターフェイスが復旧すると
最適用されます。
（注）
適応型セキュリティアプライアンスで動作中のルーティングプロトコルの管理ディスタンスよりも長
い管理ディスタンスを指定してスタティックルートを作成すると、ルーティングプロトコルで検出さ
れる指定の宛先へのルートがスタティックルートより優先されます。スタティックルートは、ダイナ
ミックに検出されたルートがルーティングテーブルから削除された場合に限り使用されます。
スタティックルートを設定するには、次の手順を実行します。
詳細な手順
コマンド
目的
route if_name dest_ip mask gateway_ip
[distance]
スタティックルートを追加できます。
例:
hostname(config)# route outside 10.10.10.0
255.255.255.0 192.168.1.1 [1]
ネクストホップルータです。スタティックルートに指定するアドレスは、
適応型セキュリティアプライアンスに到達して NAT を実行する前のパ
ケットにあるアドレスです。
dest_ip および mask は宛先ネットワークの IP アドレスで、gateway_ip は
distance は、ルートの管理ディスタンスです。値を指定しない場合、デ
フォルトは 1 です。管理ディスタンスは、複数のルーティングプロトコ
ル間でルートを比較するのに使用されるパラメータです。スタティック
ルートのデフォルトの管理ディスタンスは 1 で、ダイナミックルーティ
ングプロトコルで検出されるルートより優先されますが、直接には接続
されていないルートです。
OSPF で検出されるルートのデフォルトの管理ディスタンスは 110 です。
スタティックルートとダイナミックルートの管理ディスタンスが同じ場
合、スタティックルートが優先されます。接続されているルートは常に、
スタティックルートおよびダイナミックに検出されたルートのどちらよ
りも優先されます。
デフォルトスタティックルートの設定
デフォルトルートは、既知のルートもスタティックルートも指定されていない IP パケットすべてを、
適応型セキュリティアプライアンスが送信するゲートウェイの IP アドレスを特定するルートです。デ
フォルトスタティックルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティッ
クルートです。特定の宛先が特定されたルートはデフォルトルートより優先されます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
19-3
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートの設定
（注）
ASA ソフトウェアバージョン 7.0 以降で、異なるメトリックを持つ個別のインターフェイス上で 2 つ
のデフォルトルートが設定されている場合は、それよりも大きいメトリックを持つインターフェイス
から ASA ファイアウォールへの接続は失敗しますが、小さいメトリックを持つインターフェイスから
の ASA ファイアウォールへの接続は予期したとおりに成功します。
デバイスあたり最大 3 つの等コストデフォルトルートエントリを定義することができます。複数の等
コストデフォルトルートエントリを定義すると、デフォルトルートに送信されるトラフィックは、指
定されたゲートウェイの間に分散されます。複数のデフォルトルートを定義する場合は、各エントリ
に同じインターフェイスを指定する必要があります。
4 つ以上の等コストデフォルトルートを定義しようとすると、またはすでに定義されているデフォル
トルートとは別のインターフェイスでデフォルトルートを定義しようとすると、次のメッセージが表
示されます。
“ERROR: Cannot add route entry, possible conflict with existing routes.”
トンネルトラフィックには、標準のデフォルトルートの他に別のデフォルトルートを 1 つ定義するこ
とができます。tunneled オプションを使用してデフォルトルートを作成すると、適応型セキュリティ
アプライアンスで終了するトンネルからのトラフィックが既知のルートでもスタティックルートでも
ルーティングできない場合、すべてこのルートに送信されます。トンネルからのトラフィックの場合、
他に設定済みか既知のデフォルトルートがあってもこのルートで上書きされます。
デフォルトスタティックルートの設定の制限事項
tunneled オプションが指定されたデフォルトルートには、次の制限事項が適用されます。
• トンネルルートの出力インターフェイスでは Unicast RPF（ip verify reverse-path）をイネーブル
にしないでください。トンネルルートの出力インターフェイスで Unicast RPF をイネーブルにす
ると、セッションがエラーになります。
• トンネルルートの出力インターフェイスでは TCP 代行受信をイネーブルにしないでください。イ
ネーブルにすると、セッションがエラーになります。
• トンネルルートで、VoIP 検査エンジン（CTIQBE、H.323、GTP、MGCP、RTSP、SIP、
SKINNY）、DNS 検査エンジン、または DCE RPC 検査エンジンを使用しないでください。これら
の検査エンジンはトンネルルートを無視します。
tunneled オプションでは、複数のデフォルトルートを定義できません。トンネルトラフィックでは
ECMP がサポートされていないためです。
トンネルデフォルトルートを定義するには、次の手順を実行します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
19-4
OL-18970-01-J
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートの設定
詳細な手順
コマンド
目的
route if_name 0.0.0.0 0.0.0.0 gateway_ip
[distance | tunneled]
スタティックルートを追加できます。
例:
hostname(config)# route outside 0 0
192.168.2.4 tunneled
dest_ip および mask は宛先ネットワークの IP アドレスであり、
gateway_ip はネクストホップルータのアドレスです。スタティックルー
トに指定するアドレスは、適応型セキュリティアプライアンスに到達し
て NAT を実行する前のパケットにあるアドレスです。
distance は、ルートの管理ディスタンスです。値を指定しない場合、デ
フォルトは 1 です。管理ディスタンスは、複数のルーティングプロトコ
ル間でルートを比較するのに使用されるパラメータです。スタティック
ルートのデフォルトの管理ディスタンスは 1 で、ダイナミックルーティ
ングプロトコルで検出されるルートより優先されますが、直接には接続
されていないルートです。OSPF で検出されるルートのデフォルトの管理
ディスタンスは 110 です。スタティックルートとダイナミックルートの
管理ディスタンスが同じ場合、スタティックルートが優先されます。接
続されているルートは常に、スタティックルートおよびダイナミックに
検出されたルートのどちらよりも優先されます。
ヒント
宛先ネットワークアドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力することができ
ます。たとえば、hostname(config)# route outside 0 0 192.168.1 1 のように入力します。
IPv6 デフォルトルートおよびスタティックルートの設定
ホストが接続されているインターフェイスが IPv6 に対応し、IPv6 ACL でトラフィックが許可されて
いれば、適応型セキュリティアプライアンスは、直接接続されているホスト間で IPv6 トラフィックを
自動的にルーティングします。
IPv6 デフォルトルートおよびスタティックルートを設定するには、次の手順を実行します。
詳細な手順
コマンド
目的
ステップ 1 ipv6 route if_name ::/0 next_hop_ipv6_addr この手順では、デフォルトの IPv6 ルートを追加します。
例:
hostname(config)#ipv6 route inside
7fff::0/32 3FFE:1100:0:CC00::1
この例では、ネットワーク 7fff::0/32 のパケットを、
3FFE:1100:0:CC00::1 の内部インターフェイス上のネットワーキ
ングデバイスにルーティングします。
アドレス ::/0 は、IPv6 で「any」と同じです。
ステップ 2
ipv6 route if_name destination
next_hop_ipv6_addr [admin_distance]
この手順では、IPv6 ルーティングテーブルに IPv6 スタティック
ルートを追加します。
例:
hostname(config)# ipv6 route inside
7fff::0/32 3FFE:1100:0:CC00::1 [110]
この例では、ネットワーク 7fff::0/32 のパケットを、
3FFE:1100:0:CC00::1 の内部インターフェイス上にあり、管理
ディスタンスが 110 のネットワーキングデバイスにルーティン
グします。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
19-5
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートまたはデフォルトルートの監視
（注）
ipv6 route コマンドは、IPv4 スタティックルートの定義に使用する route コマンドと同じように機能
します。
スタティックルートまたはデフォルトルートの監視
スタティックルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有の
メカニズムがないことです。スタティックルートは、ネクストホップゲートウェイが使用できなく
なった場合でも、ルーティングテーブルに保持されています。スタティックルートは、適応型セキュ
リティアプライアンス上の関連付けられたインターフェイスがダウンした場合に限りルーティング
テーブルから削除されます。
スタティックルートトラッキング機能には、スタティックルートの使用可能状況を追跡し、プライマ
リルートがダウンした場合のバックアップルートをインストールするための方式が用意されています。
これを利用すると、たとえば、ISP ゲートウェイへのデフォルトルートを定義し、プライマリ ISP が
使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ用のデフォルトルートを定義す
ることができます。
適応型セキュリティアプライアンスでは、定義されたモニタリング対象にスタティックルートを関連
付けることで、この機能を実行します。対象のモニタリングは、ICMP エコー要求を使用して行いま
す。指定された時間内にエコー応答がない場合は、そのオブジェクトはダウンしていると見なされ、関
連付けられたルートはルーティングテーブルから削除されます。削除されたルートに代わって、すで
に定義されているバックアップルートが使用されます。
モニタリング対象の選択時には、その対象が ICPM エコー要求に応答できることを確認してください。
対象には任意のネットワークオブジェクトを選択できますが、次のものを使用することを検討する必
要があります。
• ISP ゲートウェイアドレス（デュアル ISP サポート用）
• ネクストホップゲートウェイアドレス（ゲートウェイの使用可能状況に懸念がある場合）
• 適応型セキュリティアプライアンスが通信を行う必要のある対象ネットワーク上のサーバ（AAA
サーバなど）
• 宛先ネットワーク上の永続的なネットワークオブジェクト（夜間にシャットダウンするデスク
トップ PC やノートブック PC は適しません）
スタティックルートトラッキングは、スタティックに定義されたルートや、DHCP または PPPoE を通
じて取得したデフォルトルートに対して設定することができます。ルートトラッキングでは、複数の
インターフェイス上の PPPoE クライアントだけをイネーブルにすることができます。
スタティックルートトラッキングを設定するには、次の手順を実行します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
19-6
OL-18970-01-J
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートまたはデフォルトルートの監視
詳細な手順
ステップ 1
コマンド
目的
sla monitor sla_id
モニタリングプロセスを定義することにより、追跡されるオブ
ジェクトのモニタリングパラメータを設定します。
例:
hostname(config)# sla monitor sla_id
新しいモニタリングプロセスを設定する場合は、SLA モニタコ
ンフィギュレーションモードに入ります。
タイプが定義済みでスケジュールが未設定のモニタリングプロ
セスのモニタリングパラメータを変更する場合は、自動的に
SLA プロトコルコンフィギュレーションモードに入ります。
ステップ 2 type echo protocol ipIcmpEcho target_ip
interface if_name
例:
hostname(config-sla-monitor)# type echo
protocol ipIcmpEcho target_ip interface
if_name
モニタリングプロトコルを指定します。
タイプが定義済みでスケジュールが未設定のモニタリングプロ
セスのモニタリングパラメータを変更する場合は、自動的に
SLA プロトコルコンフィギュレーションモードに入り、この設
定は変更できません。
target_ip は、トラッキングプロセスによって使用可能かどうか
を監視されるネットワークオブジェクトの IP アドレスです。こ
のオブジェクトが使用可能な場合、トラッキングプロセスルー
トがルーティングテーブルにインストールされます。このオブ
ジェクトが使用できない場合、トラッキングプロセスがルート
を削除し、代わりにバックアップルートが使用されます。
ステップ 3 sla monitor sla_id
モニタリングプロセスを定義することにより、追跡されるオブ
ジェクトのモニタリングパラメータを設定します。
例:
hostname(config)# sla monitor sla_id
新しいモニタリングプロセスを設定する場合は、SLA モニタコ
ンフィギュレーションモードに入ります。
タイプが定義済みでスケジュールが未設定のモニタリングプロ
セスのモニタリングパラメータを変更する場合は、自動的に
SLA プロトコルコンフィギュレーションモードに入ります。
ステップ 4 type echo protocol ipIcmpEcho target_ip
interface if_name
例:
hostname(config-sla-monitor)# type echo
protocol ipIcmpEcho target_ip interface
if_name
モニタリングプロトコルを指定します。
タイプが定義済みでスケジュールが未設定のモニタリングプロ
セスのモニタリングパラメータを変更する場合は、自動的に
SLA プロトコルコンフィギュレーションモードに入り、この設
定は変更できません。
target_ip は、トラッキングプロセスによって使用可能かどうか
を監視されるネットワークオブジェクトの IP アドレスです。こ
のオブジェクトが使用可能な場合、トラッキングプロセスルー
トがルーティングテーブルにインストールされます。このオブ
ジェクトが使用できない場合、トラッキングプロセスがルート
を削除し、代わりにバックアップルートが使用されます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
19-7
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートまたはデフォルトルートの設定例
コマンド
目的
ステップ 5 sla monitor schedule sla_id [life {forever
| seconds}] [start-time {hh:mm[:ss] [month
day | day month] | pending | now | after
hh:mm:ss}] [ageout seconds] [recurring]
例:
hostname(config)# sla monitor schedule
sla_id [life {forever | seconds}]
[start-time {hh:mm[:ss] [month day | day
month] | pending | now | after hh:mm:ss}]
[ageout seconds] [recurring]
ステップ 6 track track_id rtr sla_id reachability
例:
hostname(config)# track track_id rtr
sla_id reachability
モニタリングプロセスのスケジュールを設定します。
一般に、モニタリングスケジュールには sla monitor schedule
sla_id life forever start-time now を使用し、モニタリングコン
フィギュレーションがテスト頻度を判別できるようにします。
ただし、このモニタリングプロセスを将来開始するようにした
り、指定した時刻だけに実行されるようにスケジュールを設定
したりできます。
追跡されるスタティックルートを SLA モニタリングプロセスに
関連付けます。
track_id は、このコマンドで割り当てるトラッキング番号です。
sla_id は SLA プロセスの ID 番号です。
ステップ 7 追跡されるオブジェクトが到達可能なときに、ルーティングテーブルにインストールするスタティックルートを
定義するには、次のいずれかの手順を実行します。
これらのオプションによって、スタティックルート、または DHCP または PPPoE を通じて取得されたデフォルト
ルートを追跡できます。
route if_name dest_ip mask gateway_ip
[admin_distance] track track_id
例:
hostname(config)# route if_name dest_ip
mask gateway_ip [admin_distance] track
track_id
hostname(config)# interface phy_if
hostname(config-if)# dhcp client route
track track_id
hostname(config-if)# ip addresss dhcp
setroute
hostname(config-if)# exit
hostname(config)# interface phy_if
hostname(config-if)# pppoe client route
track track_id
hostname(config-if)# ip addresss pppoe
setroute
hostname(config-if)# exit
このオプションではスタティックルートが追跡されます。
スタティックルートトラッキングでは、route コマンドに
tunneled オプションを使用できません。
このオプションでは、DHCP を使用して取得されたデフォルト
ルートが追跡されます。
DHCP を使用してデフォルトルートを取得するには、ip
address dhcp コマンドで setroute 引数を使用する必要があるこ
とに注意してください。
このオプションでは、PPPoE を通じて取得されたデフォルト
ルートが追跡されます。
PPPoE を使用してデフォルトルートを取得するには、ip
address pppoe コマンドで setroute 引数を使用する必要があり
ます。
スタティックルートまたはデフォルトルートの設定例
ステップ 1
スタティックルートを作成します。
hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
この手順では、宛先が 10.1.1.0/24 のトラフィックがすべて、内部インターフェイスに接続されている
ルータ（10.1.2.45）に送信されるようにスタティックルートを作成します。
ステップ 2
外部インターフェイス上の 3 つの異なるゲートウェイにトラフィックを転送し、トンネルトラフィッ
クのデフォルトルートを追加する 3 つの等コストのスタティックルートを定義します。適応型セキュ
リティアプライアンスは、指定された複数のゲートウェイ間にトラフィックを分散します。
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
19-8
OL-18970-01-J
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートの機能履歴
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
hostname(config)# route outside 0 0 192.168.2.4 tunneled
適応型セキュリティアプライアンスで受信した非暗号化トラフィックは、スタティックルートも既知
のルートも指定されていない場合、IP アドレスが 192.168.2.1、192.168.2.2、192.168.2.3 のゲート
ウェイの間に分散されます。適応型セキュリティアプライアンスで受信した暗号化されたトラフィッ
クは、スタティックルートも既知のルートも指定されていない場合、IP アドレス 192.168.2.4 のゲー
トウェイに転送されます。
スタティックルートおよびデフォルトルートの機能履歴
表 19-1 に、この機能のリリース履歴の一覧を示します。
表 19-1
スタティックルートおよびデフォルトルートの機能履歴
機能名
リリース
機能情報
route コマンド
7.0
route コマンドは、指定されたインターフェイスのスタ
ティックルートまたはデフォルトルートを指定するため
に使用します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
19-9
第 19 章
スタティックルートおよびデフォルトルートの設定
スタティックルートおよびデフォルトルートの機能履歴
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
19-10
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz