この章

CHAPTER
18
ルーティングに関する情報
この章では、適応型セキュリティアプライアンスでのルーティングの動作の概念と、サポートされて
いるルーティングプロトコルについて説明します。以降の章では、個々の特定のルーティングプロト
コルについて詳細に説明します。
この章には、次の項があります。
• 「ルーティングに関する情報」（P.18-1）
• 「適応型セキュリティアプライアンス内部でのルーティングの動作」（P.18-4）
• 「ルーティングにサポートされているインターネットプロトコル」（P.18-5）
• 「ルーティングテーブルに関する情報」（P.18-5）
• 「IPv6 のサポートに関する情報」（P.18-9）
ルーティングに関する情報
ルーティングは、発信元から宛先にインターネットワーク経由で情報を移動する行為のことです。その
間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングは、最適なルーティングパスの
決定と、インターネットワーク経由での情報グループ（通常はパケットと呼ばれる）の転送という 2 つ
の基本的なアクティビティが含まれます。ルーティングプロセスのコンテキストでは、後者のアク
ティビティがパケットスイッチングと呼ばれます。パケットスイッチングは比較的単純ですが、パス
の決定は非常に複雑になることがあります。
スイッチング
スイッチングアルゴリズムは比較的単純で、ほとんどのルーティングプロトコルで同じです。ほとん
どの場合は、別のホストにパケットを送信しなければならないことをホストが決定します。何らかの方
法でルータのアドレスを取得すると、送信元ホストは、ルータの物理（Media Access Control （MAC;
メディアアクセス制御）レイヤ）アドレスだけに向けてパケットを送信します。この場合は、宛先ホ
ストのプロトコル（ネットワークレイヤ）アドレスとともに送信されます。
パケットの宛先プロトコルアドレスを確認するときに、ルータは、ネクストホップへのパケットの転
送方法を認識しているかどうかを確認します。ルータがパケットの転送方法を認識していない場合は、
通常はパケットをドロップします。ルータがパケットの転送方法を認識している場合は、宛先の物理ア
ドレスをネクストホップのアドレスに変更し、パケットを送信します。
ネクストホップが最終的な宛先ホストであることもあります。最終的な宛先ホストでない場合、ネクス
トホップは通常は別のルータであり、このルータが、同じスイッチング決定プロセスを実行します。パ
ケットがインターネットワークを移動すると、その物理アドレスは変化しますが、プロトコルアドレ
スは一定のままです。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-1
第 18 章
ルーティングに関する情報
ルーティングに関する情報
パスの決定
ルーティングプロトコルでは、メトリックを使用して、パケットの移動に最適なパスを評価します。
メトリックは、宛先への最適なパスを決定するためにルーティングアルゴリズムが使用する、パスの
帯域幅などの測定基準です。パスの決定プロセスを支援するために、ルーティングアルゴリズムは、
ルート情報が含まれるルーティングテーブルを初期化して保持します。ルート情報は、使用するルー
ティングアルゴリズムによって異なります。
ルーティングアルゴリズムにより、さまざまな情報がルーティングテーブルに入力されます。宛先 /
ネクストホップの関連付けは、最後の宛先に達するまで、「ネクストホップ」を表す特定のルータにパ
ケットを送信することによって特定の宛先に最適に到達できることをルータに示します。ルータは、着
信パケットを受信すると宛先アドレスを確認し、このアドレスとネクストホップとを関連付けようとし
ます。
ルーティングテーブルには、パスの妥当性に関するデータなど、他の情報を含めることもできます。
ルータは、メトリックを比較して最適なルートを決定します。これらのメトリックは、使用している
ルーティングアルゴリズムの設計によって異なります。
ルータは互いに通信し、さまざまなメッセージの送信によりそのルーティングテーブルを保持してい
ます。ルーティングアップデートメッセージはそのようなメッセージの 1 つで、通常はルーティング
テーブル全体か、その一部で構成されています。ルーティングアップデートを他のすべてのルータか
ら分析することで、ルータはネットワークトポロジの詳細な全体像を構築できます。ルータ間で送信
されるメッセージのもう 1 つの例であるリンクステートアドバタイズメントは、他のルータに送信元
のリンクのステートを通知します。リンク情報も、ネットワークの宛先に対する最適なルートをルータ
が決定できるように、ネットワークトポロジの全体像の構築に使用できます。
（注）
非対称ルーティングは、適応型セキュリティアプライアンスではサポートされていません。
サポートされるルートのタイプ
ルータで使用できるルートにはいくつかのタイプがあります。適応型セキュリティアプライアンスが
使用するルートタイプを次に示します。
• 「スタティックとダイナミックの比較」（P.18-2）
• 「シングルパスとマルチパスの比較」（P.18-3）
• 「フラットと階層型の比較」（P.18-3）
• 「リンクステートと距離ベクトル型の比較」（P.18-3）
スタティックとダイナミックの比較
スタティックルーティングアルゴリズムは実際にはアルゴリズムではなく、ルーティングの開始前に
ネットワーク管理者によって確立されるテーブルマッピングです。このようなマッピングは、ネット
ワーク管理者が変更するまでは変化しません。スタティックルートを使用するアルゴリズムは設計が
容易であり、ネットワークトラフィックが比較的予想可能で、ネットワーク設計が比較的単純な環境
で正しく動作します。
スタティックルーティングシステムはネットワークの変更に対応できないため、一般に、今日の変化
を続ける大規模なネットワークには不向きであると考えられています。今日の主なルーティングアル
ゴリズムのほどんどはダイナミックルーティングアルゴリズムであり、受信したルーティングアップ
デートメッセージを分析することで、変化するネットワーク環境に適合します。メッセージがネット
ワークが変化したことを示している場合は、ルーティングソフトウェアはルートを再計算し、新しい
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-2
OL-18970-01-J
第 18 章
ルーティングに関する情報
ルーティングに関する情報
ルーティングアップデートメッセージを送信します。これらのメッセージはネットワーク全体に送信
されるため、ルータはそのアルゴリズムを再度実行し、それに従ってルーティングテーブルを変更し
ます。
ダイナミックルーティングアルゴリズムは、必要に応じてスタティックルートで補足できます。たと
えば、ラストリゾートルータ（ルーティングできないすべてのパケットが送信されるルータ）を、
ルーティングできないすべてのパケットのリポジトリとして機能するように指定し、すべてのメッセー
ジを少なくとも何らかの方法で確実に処理することができます。
シングルパスとマルチパスの比較
一部の高度なルーティングプロトコルは、同じ宛先に対する複数のパスをサポートしています。シン
グルパスアルゴリズムとは異なり、これらのマルチパスアルゴリズムでは、複数の回線でトラフィッ
クを多重化できます。マルチパスアルゴリズムの利点は明白です。このパスにより、スループットと
信頼性が大幅に向上します。通常は、これをロードシェアリングと呼びます。
フラットと階層型の比較
ルーティングアルゴリズムには、フラットなスペースで動作するものと、ルーティング階層を使用す
るものがあります。フラットルーティングシステムでは、ルータは他のすべてのルータのピアになり
ます。階層型ルーティングシステムでは、一部のルータが実質的なルーティングバックボーンを形成
します。バックボーン以外のルータからのパケットはバックボーンルータに移動し、宛先の一般エリ
アに達するまでバックボーンを通じて送信されます。この時点で、パケットは、最後のバックボーン
ルータから、1 つ以上のバックボーン以外のルータを通じて最終的な宛先に移動します。
多くの場合、ルーティングシステムは、ドメイン、自律システム、またはエリアと呼ばれるノードの
論理グループを指定します。階層型のシステムでは、ドメイン内の一部のルータは他のドメインのルー
タと通信できますが、他のルータはそのドメイン内のルータ以外とは通信できません。非常に大規模な
ネットワークでは、他の階層レベルが存在することがあり、最も高い階層レベルのルータがルーティン
グバックボーンを形成します。
階層型ルーティングの第一の利点は、ほとんどの企業の組織に類似しているため、そのトラフィック
パターンもサポートするという点です。ほとんどのネットワーク通信は、小さい企業グループ（ドメイ
ン）内で発生します。ドメイン内ルータは、そのドメイン内の他のルータだけを認識していれば済むた
め、そのルーティングアルゴリズムを簡素化できます。また、使用しているルーティングアルゴリズ
ムに応じて、ルーティングアップデートトラフィックを減少させることができます。
リンクステートと距離ベクトル型の比較
リンクステートアルゴリズム（最短パス優先アルゴリズムとも呼ばれる）は、インターネットワークの
すべてのノードにルーティング情報をフラッドします。ただし、各ルータは、それ自体のリンクのス
テートを記述するルーティングテーブルの一部だけを送信します。リンクステートアルゴリズムでは、
各ルータはネットワークの全体像をそのルーティングテーブルに構築します。距離ベクトル型アルゴリ
ズム（Bellman-Ford アルゴリズムとも呼ばれる）では、各ルータが、そのネイバーだけに対してその
ルーティングテーブル全体または一部を送信するように要求されます。つまり、リンクステートアルゴ
リズムは小規模なアップデートを全体に送信しますが、距離ベクトル型アルゴリズムは、大規模なアッ
プデートを隣接ルータだけに送信します。距離ベクトル型アルゴリズムは、そのネイバーだけを認識し
ます。通常は、このタイプのアルゴリズムは OSPF ルーティングプロトコルとともに使用されます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-3
第 18 章
ルーティングに関する情報
適応型セキュリティアプライアンス内部でのルーティングの動作
適応型セキュリティアプライアンス内部でのルーティングの
動作
適応型セキュリティアプライアンスは、ルーティングテーブルと XLATE テーブルの両方をルーティ
ングの決定に使用します。宛先 IP 変換トラフィック、つまり、変換されていないトラフィックを処理
するために、適応型セキュリティアプライアンスは既存の XLATE またはスタティック変換を検索し
て出力インターフェイスを選択します。選択プロセスは次のとおりです。
出力インターフェイスの選択プロセス
1. 宛先 IP を変換する XLATE が既に存在する場合は、パケットの出力インターフェイスは、ルー
ティングテーブルではなく XLATE テーブルから決定されます。
2. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換が存在する場合は、出力イン
ターフェイスはスタティックルートから決定されて XLATE が作成され、ルーティングテーブル
は使用されません。
3. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換も存在しない場合は、パケッ
トの宛先 IP 変換は実行されません。適応型セキュリティアプライアンスは、ルートをルックアッ
プして出力インターフェイスを選択することでこのパケットを処理し、次に発信元 IP 変換が（必
要に応じて）実行されます。
通常のダイナミック発信 NAT では、最初の発信パケットは、ルートテーブルを使用し、XLATE
を作成することでルーティングされます。着信返送パケットは、既存の XLATE だけを使用して転
送されます。スタティック NAT では、宛先変換された着信パケットは、常に既存の XLATE また
はスタティックトランスレーションルールを使用して転送されます。
ネクストホップの選択プロセス
前述のいずれかの方法を使用して出力インターフェイスを選択した後、さらにルートルックアップが
実行され、これまでに選択した出力インターフェイスに属する適切なネクストホップが検出されます。
選択したインターフェイスに明示的に属するルートがルーティングテーブルにないと、パケットはド
ロップされ、別の出力インターフェイスに属する指定の宛先ネットワークに別のルートがある場合で
も、レベル 6 のエラーメッセージ 110001「no route to host」が表示されます。選択した出力イン
ターフェイスに属するルートが見つかると、パケットは対応するネクストホップに転送されます。
適応型セキュリティアプライアンスでのロードシェアリングは、1 つの出力インターフェイスを使用
して複数のネクストホップが使用できる場合に限り可能です。ロードシェアリングでは、複数の出力
インターフェイスの共有はできません。
ダイナミックルーティングが適応型セキュリティアプライアンスで使用されており、XLATE の作成
後にルートテーブルが変更された場合も（ルートフラップなど）、宛先変換トラフィックは、XLATE
がタイムアウトするまでは、ルートテーブルではなく古い XLATE を使用して転送されます。古い
ルートが古いインターフェイスから削除され、ルーティングプロセスによって別のインターフェイス
に接続されている場合は、間違ったインターフェイスに転送されるか、メッセージ 110001「no route
to host」が表示されてドロップされます。
適応型セキュリティアプライアンス自体でルートフラップが発生していないにもかかわらず、その周
りで一部のルーティングプロセスがフラッピングし、発信元変換された、同じフローに属するパケッ
トを、別のインターフェイスを使用して適応型セキュリティアプライアンス経由で送信する場合は、
同様の問題が発生することがあります。宛先変換された返送パケットは、間違った出力インターフェイ
スを使用して戻されることがあります。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-4
OL-18970-01-J
第 18 章
ルーティングに関する情報
ルーティングにサポートされているインターネットプロトコル
この問題は、フローの最初のパケットの方向に応じて、実質的にすべてのトラフィックを発信元変換ま
たは宛先変換できる同じセキュリティトラフィック構成では、高い確率で発生します。ルートフラッ
プの後にこの問題が発生した場合は、clear xlate コマンドを使用して手動で解決することも、
XLATE のタイムアウトによって自動的に解決することもできます。XLATE のタイムアウトは、必要
に応じて小さくできます。この問題がほとんど発生しないようにするには、適応型セキュリティアプ
ライアンスやその周りでルートフラップが発生しないようにします。つまり、同じフローに属する宛
先変換されたパケットが、適応型セキュリティアプライアンスを通じて常に同じ方法で転送されるよ
うにします。
ルーティングにサポートされているインターネットプロトコル
適応型セキュリティアプライアンスは、ルーティングに複数のインターネットプロトコルをサポート
しています。この項では、各プロトコルについて簡単に説明します。
• Enhanced Interior Gateway Routing Protocol（EIGRP）
Enhanced IGRP は、IGRP ルータとの互換性とシームレスな相互運用性を提供します。自動再配布
メカニズムにより、IGRP ルートを Enhanced IGRP に、または Enhanced IGRP からインポートで
きるため、Enhanced IGRP を既存の IGRP ネットワークに徐々に追加できます。
EIGRP の設定の詳細については、「EIGRP の設定」の章を参照してください。
• Open Shortest Path First （OSPF）
Open Shortest Path First（OSPF）は、Internet Protocol（IP; インターネットプロトコル）ネットワー
ク向けに、Internet Engineering Task Force（IETF; インターネット技術特別調査委員会）の Interior
Gateway Protocol（IGP）作業部会によって開発されたルーティングプロトコルです。OSPF は、す
べての既知の宛先までの最短パスを構築および計算するために、リンクステートアルゴリズムを使
用します。OSPF エリア内の各ルータには、ルータが使用可能なインターフェイスと到達可能なネイ
バーそれぞれのリストである同一のリンクステートデータベースが置かれています。
OSPF の設定の詳細については、「OSPF の設定」の章を参照してください。
• Routing Information Protocol
Routing Information Protocol（RIP; ルーティング情報プロトコル）は、ホップカウントをメト
リックとして使用する距離ベクトル型のプロトコルです。RIP は、グローバルなインターネットで
トラフィックのルーティングに広く使用されている Interior Gateway Protocol（IGP）です。つま
り、1 つの自律システム内部でルーティングを実行します。
RIP の設定の詳細については、「RIP の設定」の章を参照してください。
ルーティングテーブルに関する情報
ここでは、次の項目について説明します。
• 「ルーティングテーブルの表示」（P.18-5）
• 「ルーティングテーブルへの入力方法」（P.18-6）
• 「転送の決定方法」（P.18-8）
ルーティングテーブルの表示
ルーティングテーブルのエントリを表示するには、次のコマンドを入力します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-5
第 18 章
ルーティングに関する情報
ルーティングテーブルに関する情報
hostname# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 10.86.194.1 to network 0.0.0.0
S
C
S*
10.1.1.0 255.255.255.0 [3/0] via 10.86.194.1, outside
10.86.194.0 255.255.254.0 is directly connected, outside
0.0.0.0 0.0.0.0 [1/0] via 10.86.194.1, outside
ASA 5505 適応型セキュリティアプライアンスでは、次のルートも表示されます。これは、内部ループ
バックインターフェイスであり、VPN ハードウェアクライアント機能によって個々のユーザ認証に使
用されます。
C 127.1.0.0 255.255.0.0 is directly connected, _internal_loopback
ルーティングテーブルへの入力方法
適応型セキュリティアプライアンスのルーティングテーブルには、スタティックに定義されたルート、
直接接続されているルート、および RIP、EIGRP、OSPF の各ルーティングプロトコルで検出された
ルートを入力できます。適応型セキュリティアプライアンスは、ルーティングテーブルに含まれるスタ
ティックルートと接続されているルートに加えて、複数のルーティングプロトコルを実行できるため、
同じルートが複数の方法で検出または入力される可能性があります。同じ宛先への 2 つのルートがルー
ティングテーブルに追加されると、ルーティングテーブルに残るルートは次のように決定されます。
• 2 つのルートのネットワークプレフィックス長（ネットワークマスク）が異なる場合、どちらの
ルートも固有と見なされ、ルーティングテーブルに入力されます。入力された後は、パケット転
送ロジックが 2 つのうちどちらを使用するかを決定します。
たとえば、RIP プロセスと OSPF プロセスが次のルートを検出したとします。
– RIP：192.168.32.0/24
– OSPF：192.168.32.0/19
OSPF ルートの管理ディスタンスの方が適切であるにもかかわらず、これらのルートのプレフィッ
クス長（サブネットマスク）はそれぞれ異なるため、両方のルートがルーティングテーブルにイ
ンストールされます。これらは異なる宛先と見なされ、パケット転送ロジックが使用するルートを
決定します。
• 適応型セキュリティアプライアンスが、1 つのルーティングプロトコル（RIP など）から同じ宛
先に複数のパスがあることを検知すると、（ルーティングプロトコルが判定した）メトリックがよ
い方のルートがルーティングテーブルに入力されます。
メトリックは特定のルートに関連付けられた値で、ルートを最も優先されるものから順にランク付
けします。メトリックスの判定に使用されるパラメータは、ルーティングプロトコルによって異
なります。メトリックが最も小さいパスは最適パスとして選択され、ルーティングテーブルにイ
ンストールされます。同じ宛先への複数のパスのメトリックが等しい場合は、これらの等コスト
パスに対してロードバランシングが行われます。
• 適応型セキュリティアプライアンスが、ある宛先へのルーティングプロトコルが複数あることを
検知すると、ルートの管理ディスタンスが比較され、管理ディスタンスが最も小さいルートがルー
ティングテーブルに入力されます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-6
OL-18970-01-J
第 18 章
ルーティングに関する情報
ルーティングテーブルに関する情報
ルーティングプロトコルによって検出されるルート、またはルーティングプロトコルに再配布さ
れるルートの管理ディスタンスは変更できます。2 つの異なるルーティングプロトコルからの 2 つ
のルートの管理ディスタンスが同じ場合、デフォルトの管理ディスタンスが小さい方のルートが
ルーティングテーブルに入力されます。EIGRP ルートと OSPF ルートの場合、EIGRP ルートと
OSPF ルートの管理ディスタンスが同じであれば、デフォルトで EIGRP ルートが選択されます。
管理ディスタンスは、2 つの異なるルーティングプロトコルから同じ宛先に複数の異なるルートがある
場合に、適応型セキュリティアプライアンスが最適なパスの選択に使用するルートパラメータです。
ルーティングプロトコルには、他のプロトコルとは異なるアルゴリズムに基づくメトリックがあるた
め、異なるルーティングプロトコルによって生成された、同じ宛先への 2 つのルートについて常に
「最適パス」を判定できるわけではありません。
各ルーティングプロトコルには、管理ディスタンス値を使用して優先順位が付けられています。
表 18-1 に、適応型セキュリティアプライアンスがサポートするルーティングプロトコルのデフォルト
の管理ディスタンス値を示します。
表 18-1
サポートされるルーティングプロトコルのデフォルトの管理ディスタンス
ルートの送信元
デフォルトの管理ディスタンス
接続されているインターフェイス
0
スタティックルート
1
EIGRP サマリールート
5
内部 EIGRP
90
OSPF
110
RIP
120
EIGRP 外部ルート
170
不明
255
管理ディスタンス値が小さいほど、プロトコルの優先順位が高くなります。たとえば、適応型セキュリ
ティアプライアンスが OSPF ルーティングプロセス（デフォルトの管理ディスタンスが 110）と RIP
ルーティングプロセス（デフォルトの管理ディスタンスが 120）の両方から特定のネットワークへの
ルートを受信すると、OSPF ルーティングプロセスの方が優先度が高いため、適応型セキュリティア
プライアンスは OSPF ルートを選択します。つまり、ルータは OSPF バージョンのルートをルーティ
ングテーブルに追加します。
上の例では、OSPF 導出ルートの送信元が（電源遮断などで）失われると、適応型セキュリティアプ
ライアンスは、OSPF 導出ルートが再度現れるまで、RIP 導出ルートを使用します。
管理ディスタンスはローカルの設定値です。たとえば、OSPF を通して取得したルートの管理ディスタ
ンスを変更するために distance-ospf コマンドを使用する場合、その変更は、コマンドが入力された適
応型セキュリティアプライアンスのルーティングテーブルにだけ影響します。管理ディスタンスが
ルーティングアップデートでアドバタイズされることはありません。
管理ディスタンスは、ルーティングプロセスに影響を与えません。OSPF および RIP ルーティングプ
ロセスは、ルーティングプロセスで検出されたか、ルーティングプロセスに再配布されたルートだけ
をアドバタイズします。たとえば、RIP ルーティングプロセスは、適応型セキュリティアプライアン
スのルーティングテーブルで OSPF ルーティングプロセスによって検出されたルートが使用されてい
ても、RIP ルートをアドバタイズします。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-7
第 18 章
ルーティングに関する情報
ルーティングテーブルに関する情報
バックアップルート
ルートを最初にルーティングテーブルにインストールしようとしたとき、他のルートがインストール
されてしまい、インストールできなかった場合に、そのルートはバックアップルートとして登録され
ます。ルーティングテーブルにインストールされたルートに障害が発生すると、ルーティングテーブ
ルメンテナンスプロセスが、登録されたバックアップルートを持つ各ルーティングプロトコルプロ
セスを呼び出し、ルーティングテーブルにルートを再インストールするように要求します。障害が発
生したルートに対して、登録されたバックアップルートを持つプロトコルが複数ある場合、管理ディ
スタンスに基づいて優先順位の高いルートが選択されます。
このプロセスのため、ダイナミックルーティングプロトコルによって検出されたルートに障害が発生
したときにルーティングテーブルにインストールされる「フローティング」スタティックルートを作
成できます。フローティングスタティックルートとは、単に、適応型セキュリティアプライアンスで
動作しているダイナミックルーティングプロトコルよりも大きな管理ディスタンスが設定されている
スタティックルートです。ダイナミックルーティングプロセスで検出された対応するルートに障害が
発生すると、このスタティックルートがルーティングテーブルにインストールされます。
転送の決定方法
転送は次のように決定されます。
• 宛先が、ルーティングテーブル内のエントリと一致しない場合、パケットはデフォルトルートに
指定されているインターフェイスを通して転送されます。デフォルトルートが設定されていない
場合、パケットは破棄されます。
• 宛先が、ルーティングテーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関
連付けられているインターフェイスを通して転送されます。
• 宛先が、ルーティングテーブル内の複数のエントリと一致し、そのエントリのネットワークプレ
フィックス長がすべて同じ場合、その宛先へのパケットはそのルートに関連付けられているイン
ターフェイスに配布されます。
• 宛先が、ルーティングテーブル内の複数のエントリと一致し、そのエントリのネットワークプレ
フィックス長が異なる場合、パケットはネットワークプレフィックス長がより長いルートに関連
付けられているインターフェイスから転送されます。
たとえば、192.168.32.1 宛てのパケットが、ルーティングテーブルの次のルートを使用して適応型セ
キュリティアプライアンスのインターフェイスに到着したとします。
hostname# show route
....
R
192.168.32.0/24 [120/4] via 10.1.1.2
O
192.168.32.0/19 [110/229840] via 10.1.1.3
....
この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケッ
トは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティングテーブルの他のルートにも含
まれますが、ルーティングテーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます（24
ビットと 19 ビット）。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先され
ます。
ダイナミックルーティングとフェールオーバー
スタティックルーティングシステムはネットワークの変更に対応できないため、一般に、今日の変化
を続ける大規模なネットワークには不向きであると考えられています。今日の主なルーティングアル
ゴリズムのほどんどはダイナミックルーティングアルゴリズムであり、受信したルーティングアップ
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-8
OL-18970-01-J
第 18 章
ルーティングに関する情報
IPv6 のサポートに関する情報
デートメッセージを分析することで、変化するネットワーク環境に適合します。メッセージがネット
ワークが変化したことを示している場合は、ルーティングソフトウェアはルートを再計算し、新しい
ルーティングアップデートメッセージを送信します。これらのメッセージはネットワーク全体に送信
されるため、ルータはそのアルゴリズムを再度実行し、それに従ってルーティングテーブルを変更し
ます。
ダイナミックルーティングアルゴリズムは、必要に応じてスタティックルートで補足できます。たと
えば、ラストリゾートルータ（ルーティングできないすべてのパケットが送信されるルータ）を、
ルーティングできないすべてのパケットのリポジトリとして機能するように指定し、すべてのメッセー
ジを少なくとも何らかの方法で確実に処理することができます。
ダイナミックルートは、フェールオーバーコンフィギュレーションのスタンバイ装置またはフェール
オーバーグループには複製されません。したがって、フェールオーバーの発生直後、適応型セキュリ
ティアプライアンスが受信したパケットの一部は、設定されているダイナミックルーティングプロト
コルがルーティングテーブルに再入力される間、ルーティング情報がないためにドロップされるか、
デフォルトスタティックルートにルーティングされることがあります。
スタティックルートとその設定方法の詳細については、「スタティックルートおよびデフォルトルー
トの設定」を参照してください。
IPv6 のサポートに関する情報
すべてではありませんが、適応型セキュリティアプライアンスの多くの機能は IPv6 トラフィックをサ
ポートしています。この項では、IPv6 をサポートするコマンドと機能について説明します。次の項目
を取り上げます。
• 「IPv6 をサポートする機能」（P.18-9）
• 「IPv6 対応のコマンド」（P.18-10）
• 「コマンドへの IPv6 アドレスの入力」（P.18-11）
IPv6 をサポートする機能
次の機能が IPv6 をサポートしています。
（注）
モジュラポリシーフレームワークを使用する機能では、必ず match any コマンドを使用して IPv6 ト
ラフィックを照合してください。他の match コマンドは IPv6 をサポートしていません。
• IPv6 トラフィックをサポートするアプリケーション検査
– FTP
– HTTP
– ICMP
– SIP
– SMTP
– IPSec-pass-thru
• IPS
• NetFlow セキュアイベントロギングのフィルタリング
• 接続の制限値、タイムアウト、および TCP のランダム化
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-9
第 18 章
ルーティングに関する情報
IPv6 のサポートに関する情報
• TCP 正規化
• TCP ステートバイパス
• IPv6 アクセスリストを使用したアクセスグループ
• スタティックルート
• VPN（すべてのタイプ）
（注）
フェールオーバーは IPv6 をサポートしません。ipv6 address コマンドは、フェールオーバーコンフィ
ギュレーションのスタンバイアドレスの設定をサポートしません。failover interface ip コマンドは、
フェールオーバーインターフェイスおよびステートフルフェールオーバーインターフェイスでの IPv6
アドレスの使用をサポートしません。
IPv6 対応のコマンド
次に示す適応型セキュリティアプライアンスのコマンドは、IPv6 アドレスの受け入れと表示が可能で
す。
• capture
• configure
• copy
• http
• name
• object-group
• ping
• show conn
• show local-host
• show tcpstat
• ssh
• telnet
• tftp-server
• who
• write
次のコマンドは、IPv6 で動作するように変更されました。
• debug
• fragment
• ip verify
• mtu
• icmp（ipv6 icmp と入力されます）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-10
OL-18970-01-J
第 18 章
ルーティングに関する情報
IPv6 のサポートに関する情報
透過ファイアウォールモードでの IPv6 コマンドのガイドライン
ipv6 address および ipv6 enable コマンドは、インターフェイスコンフィギュレーションモードでは
なく、グローバルコンフィギュレーションモードで使用できます。ipv6 address コマンドは eui キー
ワードをサポートしていません。ipv6 address link-local コマンドは、インターフェイスコンフィギュ
レーションモードでも使用できます。
次の IPv6 コマンドにはルータ機能が必要であるため、透過ファイアウォールモードではサポートされ
ません。
• ipv6 address autoconfig
• ipv6 nd prefix
• ipv6 nd ra-interval
• ipv6 nd ra-lifetime
• ipv6 nd suppress-ra
トランスペアレントモードが VPN をサポートしていないため、次の VPN コマンドはサポートされま
せん。
• ipv6 local pool
コマンドへの IPv6 アドレスの入力
IPv6 アドレスをサポートするコマンドに IPv6 アドレスを入力するときは、単純に、標準 IPv6 表記で
IPv6 アドレスを入力します（ping fe80::2e0:b6ff:fe01:3b7a など）。適応型セキュリティアプライ
アンスは、IPv6 アドレスを正しく認識し、処理します。ただし、次の場合は、IPv6 アドレスを角カッ
コ（[ ]）で囲む必要があります。
• アドレスと一緒にポート番号を指定する必要がある場合（例 : [fe80::2e0:b6ff:fe01:3b7a]:8080
など）。
• write net コマンドや config net コマンドなど、コマンドが区切り文字としてコロンを使用する場
合（configure net [fe80::2e0:b6ff:fe01:3b7a]:/tftp/config/pixconfig など）。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
18-11
第 18 章
ルーティングに関する情報
IPv6 のサポートに関する情報
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
18-12
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz