Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Secure Firewall Device Manager バージョン 7.4 コンフィギュレーション ガイド

Chapter Title

ルーティングの基本ルートと静的ルート

検索結果

Updated:
2024年5月24日金曜日

章のタイトル: ルーティングの基本ルートと静的ルート

ルーティングの基本ルートと静的ルート

システムはルーティング テーブルを使用して、システムに入力されるパケットの出力インターフェイスを決定します。ここでは、ルーティングの基本とデバイスで静的ルーティングを設定する方法について説明します。

ルーティングのベストプラクティス

ネットワーク内のルーティングプロセスの設計は、複雑なプロセスになる可能性があります。この章では、脅威に対する防御 デバイスを、既存のネットワーク内で機能するように、およびネットワークですでに確立されているルーティングプロセスに参加するように設定していることを前提にしています。

そうではなく、新しいネットワークを作成している場合は、ルーティングプロトコルについて説明している箇所、およびネットワークに適した効果的なルーティング計画を設計する方法について説明している箇所を参照してください。この章では、プロトコルを選択するための推奨事項については説明しません。また、プロトコルの動作についても詳しく説明しません。

ネットワークが非常に小規模で、単に ISP にリンクするだけの場合は、少数のスタティックルートで十分であり、ルーティングプロトコルを実装する必要はまったくありません。

一方、多数のルータを含む大規模なネットワークを設定する場合は、内部ルーティング用に OSPF などのルーティングプロトコルを少なくとも 1 つ実装する必要があることが多く、場合によっては外部ルーティング用に BGP などのルーティングプロトコルを 1 つ実装する必要があります。サービスプロバイダーは、どのような外部ルーティングが必要になるかを理解する場合の助けになります。この状況に該当する場合は、まず 脅威に対する防御 を使用して設定可能なルーティングプロトコルを理解し、ネットワークを計画し、最後に計画に従って 脅威に対する防御 デバイスを設定します。

ルーティングの概要

ここでは、脅威に対する防御 デバイス内でルーティングがどのように動作するのかを説明します。ルーティングは、送信元から宛先にネットワーク経由で情報を移動する行為のことです。その間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングには、最適なルーティング パスの決定と、ネットワーク経由のパケットの転送という 2 つの基本的なアクティビティが含まれます。

サポートされるルーティング プロトコル

次の表では、Device Manager を使用して Threat Defense デバイスで設定できるルーティングプロトコルとテクノロジー、および設定を完了するために使用する必要があるメソッドについて説明します。

表 1. サポートされるルーティング プロトコル

ルーティング機能

コンフィギュレーション方式

注記

BGP

スマート CLI

[デバイス(Device)] > [ルーティング(Routing)] ページから BGP スマート CLI オブジェクトを設定します。

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、スマート CLI オブジェクトを使用してルートマップなどの BGP で使用されるオブジェクトを設定します。

Bidirectional Forwarding Detection(BFD)

FlexConfig

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、FlexConfig オブジェクトを使用して BFD を設定します。BFD は BGP でのみサポートされています。

EIGRP

スマートCLI

[デバイス(Device)] > [ルーティング(Routing)] ページで、EIGRP スマート CLI オブジェクトを設定します。

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、スマート CLI オブジェクトを使用してルートマップなどの EIGRP で使用されるオブジェクトを設定します。

IS-IS

FlexConfig

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、FlexConfig オブジェクトを使用して IS-IS を設定します。

マルチキャスト ルーティング

FlexConfig

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、FlexConfig オブジェクトを使用してマルチキャストルーティングを設定します。

OSPFv2

スマートCLI

[デバイス(Device)] > [ルーティング(Routing)] ページから OSPFv2 スマート CLI オブジェクトを設定します。

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、スマート CLI オブジェクトを使用してルートマップなどの OSPFv2 で使用されるオブジェクトを設定します。

OSPFv3

OSPFv3 設定はサポートされていません。

ポリシーベース ルーティング(PBR)

FlexConfig

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、FlexConfig オブジェクトを使用してポリシーベースルーティング(PBR)を設定します。

RIP

FlexConfig

[デバイス(Device)] > [詳細設定(Advanced Configuration)] ページで、FlexConfig オブジェクトを使用して RIP を設定します。

スタティック ルート

Device Manager

[デバイス(Device)] > [ルーティング(Device Routing)] ページからスタティックルートをグローバルに、または仮想ルータごとに設定します。

仮想ルータ、VRF

Device Manager

[デバイス(Device)] > [ルーティング(Device Routing)] ページから仮想ルータを設定します。

ルート タイプ

ルートには、スタティックとダイナミックという 2 つのタイプがあります。

スタティックルートは、明示的に定義するものです。これらは安定した、通常は優先順位の高いルートであり、ルートの宛先へのトラフィックが常に正しいインターフェイスから送信されるようにするために使用します。たとえば、その他のルートでカバーされていないすべてのトラフィックをカバーする、デフォルトのスタティックルート(つまり IPv4 では 0.0.0.0/0、IPv6 では ::/0)を作成する場合などです。別の例では、常に使用する内部 syslog サーバーへのスタティックルートがあります。

ダイナミックルートは、OSPF、BGP、EIGRP、IS-IS、または RIP などのルーティングプロトコルの動作を通じて学習されるものです。ルートは直接定義しません。その代わりにルーティングプロトコルを設定すると、システムはネイバールータと通信してルーティングアップデートを送信し、ルーティングアップデートを順番に受信します。

ダイナミック ルーティング プロトコルはルーティングテーブルを調整し、着信ルーティング アップデート メッセージを分析することで、ネットワーク状況の変化に対応します。ネットワークが変化したことをメッセージが示している場合は、システムはルートを再計算し、新しいルーティング アップデート メッセージを送信します。これらのメッセージはネットワーク全体に送信されるため、ルータはそのアルゴリズムを再度実行し、それに従ってルーティング テーブルを変更します。

スタティックルーティングは単純であり、基本的なルーティングの目的を果たします。ネットワークトラフィックが比較的予想しやすい環境や、ネットワーク設計が比較的単純な環境での使用に適しています。ただし、編集しない限りスタティックルートは変更できないため、ネットワークの変化に対応することはできません。

小規模ネットワークがある場合を除き、通常はスタティックルートを 1 つまたは複数のダイナミック ルーティング プロトコルと組み合わせます。明示ルートに一致しないトラフィックのデフォルトルートとして、少なくとも 1 つのスタティックルートを定義します。


(注)  

スマート CLI を使用して次のルーティングプロトコルを設定することができます:OSPF、BGP。FlexConfig を使用して、ASA ソフトウェアでサポートされるその他のルーティング プロトコルを設定します。

ルーティング テーブルとルート選択

NAT 変換(xlates)およびルールで出力インターフェイスを決定しない場合、システムはルーティングテーブルを使用してパケットのパスを決定します。

ルーティング テーブルのルートには、指定ルートに相対的な優先順位を定める「アドミニストレーティブ ディスタンス」というメトリックが含まれています。パケットが複数のルート エントリと一致する場合、最短距離のルート エントリが使用されます。直接接続されたネットワーク(インターフェイス上で定義されたネットワーク)の距離は 0 のため、これが常に優先されます。スタティック ルートのデフォルトの距離は 1 ですが、1 ~ 254 の距離で作成できます。

特定の宛先が指定されたルートは、デフォルト ルート(宛先が 0.0.0.0/0 または ::/0 のルート)よりも優先されます。

ルーティング テーブルへの入力方法

Threat Defense のルーティング テーブルには、スタティックに定義されたルート、直接接続されているルート、およびダイナミック ルーティング プロトコルで検出されたルートを入力できます。Threat Defense デバイスは、ルーティングテーブルに含まれるスタティックルートと接続されているルートに加えて、複数のルーティングプロトコルを実行できるため、同じルートが複数の方法で検出または入力される可能性があります。同じ宛先への 2 つのルートがルーティング テーブルに追加されると、ルーティング テーブルに残るルートは次のように決定されます。

  • 2 つのルートのネットワーク プレフィックス長(ネットワーク マスク)が異なる場合は、どちらのルートも固有と見なされ、ルーティング テーブルに入力されます。入力された後は、パケット転送ロジックが 2 つのうちどちらを使用するかを決定します。

    たとえば、RIP プロセスと OSPF プロセスが次のルートを検出したとします。

    • RIP:192.168.32.0/24

    • OSPF:192.168.32.0/19

    OSPF ルートのアドミニストレーティブ ディスタンスの方が適切であるにもかかわらず、これらのルートのプレフィックス長(サブネット マスク)はそれぞれ異なるため、両方のルートがルーティング テーブルにインストールされます。これらは異なる宛先と見なされ、パケット転送ロジックが使用するルートを決定します。

  • Threat Defense デバイスが、(RIP などの)1 つのルーティングプロトコルから同じ宛先に複数のパスがあることを検知すると、(ルーティングプロトコルが判定した)メトリックがよい方のルートがルーティングテーブルに入力されます。

    メトリックは特定のルートに関連付けられた値で、ルートを最も優先されるものから順にランク付けします。メトリックの判定に使用されるパラメータは、ルーティング プロトコルによって異なります。メトリックが最も小さいパスは最適パスとして選択され、ルーティング テーブルにインストールされます。同じ宛先への複数のパスのメトリックが等しい場合は、これらの等コスト パスに対してロード バランシングが行われます。

  • Threat Defense デバイスが、ある宛先へのルーティングプロトコルが複数あることを検知すると、ルートのアドミニストレーティブ ディスタンスが比較され、アドミニストレーティブ ディスタンスが最も小さいルートがルーティングテーブルに入力されます。

ルートのアドミニストレーティブ ディスタンス

ルーティング プロトコルによって検出されるルート、またはルーティング プロトコルに再配布されるルートのアドミニストレーティブ ディスタンスは変更できます。2 つの異なるルーティング プロトコルからの 2 つのルートのアドミニストレーティブ ディスタンスが同じ場合、デフォルトのアドミニストレーティブ ディスタンスが小さい方のルートがルーティング テーブルに入力されます。EIGRP ルートと OSPF ルートの場合、EIGRP ルートと OSPF ルートのアドミニストレーティブ ディスタンスが同じであれば、デフォルトで EIGRP ルートが選択されます。

アドミニストレーティブ ディスタンスは、2 つの異なるルーティング プロトコルから同じ宛先に複数の異なるルートがある場合に、Threat Defense デバイスが最適なパスの選択に使用するルート パラメータです。ルーティング プロトコルには、他のプロトコルとは異なるアルゴリズムに基づくメトリックがあるため、異なるルーティング プロトコルによって生成された、同じ宛先への 2 つのルートについて常にベスト パスを判定できるわけではありません。

各ルーティング プロトコルには、アドミニストレーティブ ディスタンス値を使用して優先順位が付けられています。次の表に、Threat Defense デバイスでサポートされているルーティングプロトコルのデフォルトのアドミニストレーティブ ディスタンス値を示します。

表 2. サポートされるルーティング プロトコルのデフォルト アドミニストレーティブ ディスタンス

ルートの送信元

デフォルト アドミニストレーティブ ディスタンス

接続されているインターフェイス

[0]

VPN ルート

1

スタティック ルート

1

EIGRP 集約ルート

5

外部 BGP

20

内部 EIGRP

90

OSPF

110

IS-IS

115

RIP

120

EIGRP 外部ルート

170

内部およびローカル BGP

200

不明(Unknown)

255

アドミニストレーティブ ディスタンス値が小さいほど、プロトコルの優先順位が高くなります。たとえば、Threat Defense デバイスが OSPF ルーティング プロセス(デフォルトのアドミニストレーティブ ディスタンスが 110)と RIP ルーティング プロセス(デフォルトのアドミニストレーティブ ディスタンスが 120)の両方から特定のネットワークへのルートを受信すると、OSPF ルーティング プロセスの方が優先度が高いため、Threat Defense デバイスは OSPF ルートを選択します。この場合、ルータは OSPF バージョンのルートをルーティング テーブルに追加します。

VPN アドバタイズされたルート(V-Route/RRI)は、デフォルトのアドミニストレーティブ ディスタンス 1 のスタティックルートと同等です。ただし、ネットワークマスク 255.255.255.255 の場合と同じように優先度が高くなります。

この例では、OSPF 導出ルートの送信元が(電源遮断などで)失われると、Threat Defense デバイスは、OSPF 導出ルートが再度現れるまで、RIP 導出ルートを使用します。

アドミニストレーティブ ディスタンスはローカルの設定値です。たとえば、OSPF を通じて取得したルートのアドミニストレーティブ ディスタンスを変更する場合、その変更は、コマンドが入力された Threat Defense デバイス のルーティング テーブルにだけ影響します。アドミニストレーティブ ディスタンスがルーティング アップデートでアドバタイズされることはありません。

アドミニストレーティブ ディスタンスは、ルーティング プロセスに影響を与えません。ルーティング プロセスは、ルーティング プロセスで検出されたか、またはルーティング プロセスに再配布されたルートだけをアドバタイズします。たとえば、RIP ルーティング プロセスは、 のルーティング テーブルで OSPF ルーティング プロセスによって検出されたルートが使用されていても、RIP ルートをアドバタイズします。

ダイナミック ルートとフローティング スタティック ルートのバックアップ

ルートを最初にルーティング テーブルにインストールしようとしたとき、他のルートがインストールされているためにインストールできなかった場合、そのルートはバックアップ ルートとして登録されます。ルーティング テーブルにインストールされたルートに障害が発生すると、ルーティング テーブル メンテナンス プロセスが、登録されたバックアップ ルートを持つ各ルーティング プロトコル プロセスを呼び出し、ルーティング テーブルにルートを再インストールするように要求します。障害が発生したルートに対して、登録されたバックアップ ルートを持つプロトコルが複数ある場合、アドミニストレーティブ ディスタンスに基づいて優先ルートが選択されます。

このプロセスのため、ダイナミック ルーティング プロトコルによって検出されたルートに障害が発生したときにルーティング テーブルにインストールされるフローティング スタティック ルートを作成できます。フローティング スタティック ルートとは、単に、Threat Defense デバイス で動作しているダイナミック ルーティング プロトコルよりも大きなアドミニストレーティブ ディスタンスが設定されているスタティック ルートです。ダイナミック ルーティング プロセスで検出された対応するルートに障害が発生すると、このスタティック ルートがルーティング テーブルにインストールされます。

転送の決定方法

転送は次のように決定されます。

  • 宛先が、ルーティング テーブル内のエントリと一致しない場合、パケットはデフォルト ルートに指定されているインターフェイスを通して転送されます。デフォルト ルートが設定されていない場合、パケットは破棄されます。

  • 宛先が、ルーティング テーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関連付けられているインターフェイスを通して転送されます。

  • 宛先が、ルーティング テーブル内の複数のエントリと一致し、パケットはネットワーク プレフィックス長がより長いルートに関連付けられているインターフェイスから転送されます。

たとえば、192.168.32.1 宛てのパケットが、ルーティング テーブルの次のルートを使用してインターフェイスに到着したとします。

  • 192.168.32.0/24 gateway 10.1.1.2

  • 192.168.32.0/19 gateway 10.1.1.3

この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケットは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティング テーブルの他のルートにも含まれますが、ルーティング テーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます(24 ビットと 19 ビット)。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先されます。


(注)  

ルートの変更が原因で新しい同様の接続が異なる動作を引き起こしたとしても、既存の接続は設定済みのインターフェイスを使用し続けます。

管理トラフィック用ルーティングテーブル

Threat Defense デバイスには、デバイス発信管理トラフィック用の次のルーティングテーブルが含まれています。

  • Linux 管理ルーティングテーブル:Device Manager 管理セッション、ライセンス通信、データベース更新などの管理インターフェイスから送信される特別な管理トラフィックは、常に Linux 管理ルーティングテーブルを使用します。

  • データルーティングテーブル:すべてのデバイス発信トラフィック(およびすべての通過トラフィック)は、デフォルトでデータルーティングテーブルを使用します。通常のデータインターフェイスはすべて、このルーティングテーブルに含まれます。ほとんどのサービスでは、特定のインターフェイスを選択できるため、そのインターフェイスに関連付けられているルートのみが使用されます。

  • 管理専用ルーティングテーブル:管理専用インターフェイスに設定した管理インターフェイスとすべてのデータインターフェイスは、このルーティングテーブルに含まれます。これらのインターフェイスのいずれかからデバイス発信トラフィックを送信するには、サービスの設定時に特定の管理専用インターフェイスを選択する必要があります。DNS ルックアップの場合は例外です。ルートが見つからない場合、Threat Defense はデータを使用して自動的に管理にフォールバックすることもあります。管理専用インターフェイスにはスタティックルートを追加できますが、特殊な管理インターフェイスには追加できません。Threat Defense デバイスは、Linux にトラフィックを転送する管理用のデフォルトルートを自動的に追加します。この場合、Linux ルーティングテーブルで別のルートルックアップが行われます。Threat Defense CLI configure network static-routes コマンドを使用して、管理インターフェイスで使用可能な Linux ルーティングテーブルにスタティックルートを追加できます。


    (注)  

    デフォルトの Linux ルートは、configure network ipv4 または configure network ipv6 コマンドで設定します。

(注)  

管理インターフェイスとレガシー診断インターフェイスをまだマージしていないデバイスについては、このガイドの 7.3 より前のバージョンを参照してください。

等コスト マルチパス(ECMP)ルーティング

Threat Defense デバイス は、等コスト マルチパス(ECMP)ルーティングをサポートしています。

インターフェイスごとに最大 8 つの等コストのスタティックルートまたはダイナミックルートを設定できます。たとえば、次のように異なるゲートウェイを指定する外部インターフェイスで複数のデフォルト ルートを設定できます。 


route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.2
route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.3
route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.4

この場合、トラフィックは、10.1.1.2、10.1.1.3 と 10.1.1.4 間の外部インターフェイスでロード バランスされます。トラフィックは、送信元 IP アドレスと宛先 IP アドレス、着信インターフェイス、プロトコル、送信元ポートと宛先ポートをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。

トラフィックゾーンを使用した複数のインターフェイス間の ECMP

インターフェイスのグループを含むようにトラフィックゾーンを設定する場合、各ゾーン内の最大 8 つのインターフェイス間に最大 8 つの等コストのスタティックルートまたはダイナミックルートを設定できます。たとえば、次のようにゾーン内の 3 つのインターフェイ間に複数のデフォルト ルートを設定できます。 


route for 0.0.0.0 0.0.0.0 through outside1 to 10.1.1.2
route for 0.0.0.0 0.0.0.0 through outside2 to 10.2.1.2
route for 0.0.0.0 0.0.0.0 through outside3 to 10.3.1.2

同様に、ダイナミック ルーティング プロトコルは、自動的に等コスト ルートを設定できます。Threat Defense デバイスでは、より堅牢なロード バランシング メカニズムを使用してインターフェイス間でトラフィックをロード バランスします。

ルートが紛失した場合、デバイスはフローをシームレスに別のルートに移動させます。

スタティック ルート

スタティック ルートを作成して、ネットワークの基本的なルーティングを提供することができます。

スタティック ルートとデフォルト ルートについて

接続されていないホストまたはネットワークにトラフィックをルーティングするには、スタティックルーティングとダイナミックルーティングのどちらかを使用して、ホストまたはネットワークへのルートを定義する必要があります。通常は、少なくとも 1 つのスタティック ルート、つまり、他の方法でデフォルトのネットワーク ゲートウェイにルーティングされていない、すべてのトラフィック用のデフォルト ルート(通常、ネクスト ホップ ルータ)を設定する必要があります。

デフォルトルート

最も単純なオプションは、すべてのトラフィックをアップストリームルータに送信するようにデフォルトスタティックルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、Threat Defense デバイスが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートとは、つまり宛先の IP アドレスとして 0.0.0.0/0(IPv4)または ::/0(IPv6)が指定されたスタティック ルートのことです。

デフォルト ルートを常に定義する必要があります。

脅威に対する防御 には、データインターフェイスと管理専用インターフェイス(特別な Linux 管理インターフェイスを含む)用の個別のルーティングテーブルがあります。データルーティングテーブルのデフォルトルートのみ追加できます。脅威に対する防御 は、Linux 管理インターフェイスにトラフィックを送信する管理専用ルーティングテーブルにデフォルトルートを自動的に追加します。このルートでは、Linux ルーティングテーブルで個別のルートルックアップが行われます。脅威に対する防御 CLI configure network static-routes コマンドを使用して、管理インターフェイスで使用可能な Linux ルーティングテーブルにスタティックルートを追加できます。


(注)  

デフォルトの Linux ルートは、configure network ipv4 または configure network ipv6 コマンドで設定します。

スタティック ルート

次の場合は、スタティック ルートを使用します。

  • ネットワークがサポート対象外のルータ ディスカバリ プロトコルを使用している。

  • ネットワークが小規模でスタティック ルートを容易に管理できる。

  • ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

  • 場合によっては、デフォルト ルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、Threat Defense デバイス に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

  • ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。

スタティック ルートのバックアップとスタティック ルートのトラッキング

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティックルートは、ネクストホップゲートウェイが使用できなくなった場合でも、ルーティングテーブルに保持されています。スタティックルートは、関連付けられたインターフェイスがダウンした場合にのみルーティングテーブルから削除されます。

ルート トラッキングを実装すると、サービス レベル契約(SLA)モニターを使用してスタティック ルートの可用性を追跡し、プライマリ ルートが失敗したら自動的にバックアップ ルートをインストールすることができます。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。

ルートトラッキングを使用する場合、トラッキング対象のルートに宛先ネットワークのターゲット IP アドレスを関連付けます。その後、システムは ICMP エコー要求を使用して、そのアドレスに到達できることを定期的に確認します。指定された時間内にエコー応答がない場合、そのホストは到達不能と見なされ、関連付けられたルートはルーティングテーブルから削除されます。削除されたルートに代わって、メトリックが高い追跡対象外のバックアップルートが使用されます。

したがって、デフォルトルートなどの特定の宛先にバックアップ スタティック ルートを使用するには、次を実行する必要があります。

  1. ゲートウェイや常時稼働サーバー(Web サーバーや syslog サーバーなど)のような、宛先ネットワーク上の信頼できる IP アドレスをモニターする SLA モニターを作成します。宛先ネットワークが正常で使用可能な間は、オフラインになる可能性があるシステムの IP アドレスをモニターしないでください。「SLA モニター オブジェクトの設定」を参照してください。

  2. 宛先へのプライマリルートを作成し、ルートの SLA モニターを選択します。このルートのメトリックは通常 1 です。「スタティック ルートの設定」を参照してください。

  3. プライマリルートが失敗した場合に使用されるバックアップ スタティック ルートを作成します。このルートには、プライマリルートより大きいメトリックが必要です。たとえば、プライマリルートが 1 の場合、バックアップルートは 10 にできます。また、通常はバックアップ ルートとは異なるインターフェイスを選択します。

スタティック ルーティングのガイドライン

ブリッジ グループ

  • ルーテッド モードでは、BVI をゲートウェイとして指定する必要があります。メンバー インターフェイスを指定することはできません。

  • ブリッジ グループ メンバー インターフェイスを通じて直接には接続されていないネットワークに向かう Threat Defense デバイス で発信されるトラフィックの場合(syslog または SNMP など)、Threat Defense デバイス がどのブリッジ グループ メンバー インターフェイスからトラフィックを送信するかを認識するように、デフォルトルートまたはスタティックルートを設定する必要があります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。

  • スタティック ルート トラッキングは、ブリッジ グループ メンバー インターフェイスまたは BVI ではサポートされません。

IPv6

  • スタティック ルート トラッキング(SLA モニター)は、IPv6 ではサポートされていません。

等コストマルチパス(ECMP)トラフィックゾーン

  • ECMP トラフィックゾーンのメンバーインターフェイスを同じセキュリティゾーンに保持して、これらのインターフェイスに異なるアクセスルール、SSL ルール、または ID ルールが適用されないようにします。

  • 特定の ECMP トラフィックゾーンのネットワークには最大 8 つの等コストルートを設定できます。

  • 最大 256 の ECMP トラフィックゾーンを作成でき、ゾーンごとに最大 8 つのインターフェイスを使用できます。

  • ECMP ゾーンには、物理インターフェイス、サブインターフェイス、および EtherChannel を含めることができます。次のものを含めることはできません。

    • ブリッジグループ(BVI)またはそのメンバー

    • EtherChannel メンバーインターフェイス

    • HA インターフェイス(フェールオーバーまたはステートリンク)

    • 管理専用インターフェイス

    • サイト間 VPN 接続またはリモートアクセス VPN 接続に使用されるインターフェイス。

    • 仮想トンネルインターフェイス(VTI)またはその送信元インターフェイス。

    • VPN 管理アクセス用に設定されたインターフェイス。

  • ゾーン内のインターフェイスで DHCP リレー を有効にできません。

スタティック ルートの設定

システムのインターフェイスに直接接続されているネットワークに向かわないパケットの送信先をシステムに伝えるため、スタティック ルートを定義します。

少なくとも 1 つのスタティック ルート、ネットワーク 0.0.0.0/0 のデフォルト ルートが必要になります。このルートは、既存の NAT xlates(変換)またはスタティック NAT ルール、またはその他のスタティック ルートでは出力インターフェイスを判別できないパケットの送信先を定義します。

デフォルト ゲートウェイを使用してもすべてのネットワークに到達できない場合、他のスタティック ルートが必要になる可能性があります。たとえば、デフォルト ルートは通常、外部インターフェイスの上流に位置するルータです。デバイスに直接接続されていない追加の内部ネットワークがあり、それらにデフォルト ゲートウェイを介してアクセスできない場合、これらそれぞれの内部ネットワークに対してスタティック ルートが必要です。

システムのインターフェイスに直接接続されたネットワークのスタティック ルートを定義することはできません。システムは自動でこれらのルートを作成します。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[ルーティング(Routing)] サマリーにあるリンクをクリックします。

ステップ 2

仮想ルータを有効にした場合は、スタティック ルートを設定しているルータの表示アイコン({2}{3}設定の表示ボタン。{3}{2})をクリックします。

ステップ 3

[ルーティングの選択(Select Routing)] ページで、次のいずれかを実行します。

  • 新しいルートを追加するには、[+] をクリックします。
  • 編集するルートの編集アイコン()をクリックします。

ルートが不要になったら、ルートの [ごみ箱(trash can)] アイコンをクリックして削除します。

ステップ 4

ルート プロパティの設定

  • [名前(Name)]:ルートの表示名です。

  • [説明(Description)]:ルートの目的に関する任意の説明です。

  • [インターフェイス(Interface)]:トラフィックの送信経路となるインターフェイスを選択します。ゲートウェイ アドレスは、このインターフェイスを介してアクセス可能である必要があります。

    ブリッジ グループの場合、メンバー インターフェイスではなくブリッジ グループ インターフェイス(BVI)のルートを設定します。

    仮想ルーティングと転送を有効にしている場合は、別の仮想ルータに属するインターフェイスを選択できます。別の仮想ルータのインターフェイスについて、仮想ルータでスタティックルートを作成すると、そのルートは仮想ルータの境界を越え、この仮想ルータからのトラフィックが別の仮想ルータにリークするリスクがあります。望ましい結果である可能性もありますが、このルートリークが必要かどうかを慎重に判断してください。インターフェイスを選択すると、インターフェイスが属する仮想ルータの名前がインターフェイスの右側に表示されます。

  • [プロトコル(Protocol)]:ルートが IPv4 アドレス用か IPv6 アドレス用かを選択します。

  • [ネットワーク(Networks)]:このルートでゲートウェイを使用する必要のある宛先ネットワークまたは宛先ホストを識別するネットワークオブジェクトを選択します。

    デフォルト ルートを定義するには、事前定義された any-ipv4 または any-ipv6set ネットワーク オブジェクトを使用するか、または 0.0.0.0/0(IPv4)または ::/0(IPv6)ネットワークのオブジェクトを作成します。

  • [ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを識別するホスト ネットワーク オブジェクトを選択します。トラフィックはこのアドレスに送信されます。複数のインターフェイス上のルートには同じゲートウェイを使用できません。

    仮想ルータでルートを定義し、そのインターフェイスが別の仮想ルータに属している場合は、ゲートウェイを空のままにしておく必要があります。これらのネットワークへのトラフィックは他の仮想ルータにルーティングされ、ターゲット仮想ルータのルーティングテーブルを使用してゲートウェイが決定されます。

  • [メトリック(Metric)]:ルートのアドミニストレーティブ ディスタンス。1 ~ 254 の範囲で指定します。スタティックルートのデフォルト値は 1 です。インターフェイスとゲートウェイの間に追加ルータがある場合、アドミニストレーティブ ディスタンスとしてホップ数を入力します。

    アドミニストレーティブ ディスタンスは、ルートを比較するために使用されるパラメータです。番号が低いほど、ルートに高い優先順位が与えられます。接続されたルート(デバイスのインターフェイスに直接接続されているネットワーク)は、スタティック ルートよりも常に優先されます。

ステップ 5

(任意、IPv4 ルートのみ)このルートの有効性を追跡する [SLAモニター(SLA Monitor)] を選択します。

SLA モニターでは、ターゲットネットワーク上の常時利用可能なホストが到達可能であることを確認できます。到達不能になった場合、システムはバックアップルートをインストールできます。したがって、SLA モニターを設定する場合は、このネットワークに対してより大きなメトリックを持つ別のスタティックルートも設定する必要があります。たとえば、このルートのメトリックが 1 である場合は、メトリック 10 のバックアップルートを作成します。詳細については、「スタティック ルートのバックアップとスタティック ルートのトラッキング」を参照してください。

SLA モニター オブジェクトがまだ存在しない場合は、リストの下部にある [SLAモニターの作成(Create SLA Monitor)] リンクをクリックしてここで作成します。

(注)  

 

モニター対象のアドレスを ping できないことが原因でモニター対象のルートが削除された場合、このルートは、ルートが到達不能であることを示す警告とともにスタティックルートテーブルに示されます。問題が一時的なものであるのか、またはルートを再設定する必要があるのかを確認します。ルートが有効でも、モニター対象のアドレスが十分に信頼できない可能性もあります。

ステップ 6

[OK] をクリックします。

SLA モニター オブジェクトの設定

スタティックルートとともに使用するためのサービスレベル契約(SLA)モニターオブジェクトを設定します。SLA モニターを使用すると、スタティックルートの状態を追跡し、失敗したルートを自動的に新しいものに交換できます。ルート トラッキングの詳細については、スタティック ルートのバックアップとスタティック ルートのトラッキングを参照してください。

モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。ターゲットには、ホスト ネットワーク オブジェクトで定義された任意の IP アドレスを指定できますが、次の使用を検討する必要があります。

  • ISP ゲートウェイアドレス(デュアル ISP サポート用)。

  • ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)。

  • システムが通信を行う必要のある対象ネットワーク上のサーバー(syslog サーバーなど)。

  • 宛先ネットワーク上の永続的な IP アドレス。夜間にシャットダウンされる可能性のあるワークステーションは、適切な選択肢ではありません。

手順

ステップ 1

[オブジェクト(Objects)] を選択し、目次から [SLAモニタ(SLA Monitors)] を選択します。

ステップ 2

次のいずれかを実行します。

  • オブジェクトを作成するには、[+] ボタンをクリックします。

  • オブジェクトを編集するには、オブジェクトの編集アイコン(edit icon)をクリックします。

参照されていないオブジェクトを削除するには、オブジェクトの [ごみ箱(trash can)] アイコン(delete icon)をクリックします。

ステップ 3

オブジェクトの名前、さらにオプションで説明を入力します。

ステップ 4

SLA モニターの必須オプションを定義します。

  • [モニターアドレス(Monitor Address)]:宛先ネットワークでモニターするアドレスを定義するホスト ネットワーク オブジェクトを選択します。必要なオブジェクトが存在しない場合は、[新しいネットワークの作成(Create New Network)] をクリックします。

    このアドレスは、SLA モニタをスタティックルートに接続している場合にのみモニタされます。

  • [ターゲットインターフェイス(Target Interface)]:エコー要求パケットを送信するインターフェイスを選択します。これは通常、スタティックルートを定義するインターフェイスになります。インターフェイス送信元アドレスが、エコー要求パケットの送信元アドレスとして使用されます。

ステップ 5

(オプション)[IP ICMPエコーオプション(IP ICMP Echo Options)] を調整します。

すべての ICMP オプションには、ほとんどの場合に適合するデフォルト値がありますが、要件に合わせて調整できます。

  • [しきい値(Threshold)]:宣言する上昇しきい値(ミリ秒)(0 ~ 2147483647 の間)。デフォルトは 5000(5 秒)です。この値は、タイムアウトに設定された値以下にする必要があります。しきい値は、しきい値超過イベントを示すためだけに使用され、到達可能性には影響しません。しきい値イベントの頻度を使用すると、タイムアウトの設定を評価できます。

  • [タイムアウト(Timeout)]:ルート監視操作が要求パケットからの応答を待つ時間(ミリ秒)(0 ~ 604800000 ミリ秒(7 日間)の間)。デフォルト値は 5,000 ミリ秒(5 秒)です。モニターがこの期間中に少なくとも 1 つのエコー要求への応答を受信しなかった場合、プロセスはバックアップルートをインストールします。

  • [頻度(Frequency)]:SLA プローブ間のミリ秒数(1,000 ~ 604,800,000、1,000 の倍数単位)。タイムアウト値未満の頻度は設定できません。デフォルトは 60,000 ミリ秒(60 秒)です。

  • [サービスタイプ(Service Type)]:ICMP エコー要求パケットの IP ヘッダーの Type of Service(ToS)タイプを定義する整数(0 ~ 255 の間)。デフォルトは 0 です。

  • [パケットの数(Number of Packets)]:各ポーリングを送信するパケットの数(1 ~ 100 の間)。デフォルトは 1 パケットです。

  • [データサイズ(Data Size)]:エコー要求パケットで使用するデータ ペイロードのサイズ(0 ~ 16384 バイトの間)。デフォルト値は 28 です。この設定では、ペイロードのサイズだけが指定されます。パケット全体のサイズは指定されません。

ステップ 6

[OK] をクリックします。

これで、スタティック ルートで SLA モニター オブジェクトを使用することができます。

ECMP トラフィックゾーンの設定

通常、同じルートメトリックを使用して特定のネットワークプレフィックスに複数のルートを設定するには、同じインターフェイスでルートを設定する必要があります。そのため、システムは、等コストマルチパス(ECMP)ルーティング計算を使用して、インターフェイス経由でゲートウェイに送信されるトラフィックのロードバランシングを実現します。

たとえば、次のように、異なるゲートウェイを指定する複数のデフォルトルートを外部インターフェイスに設定でき、この設定は追加の変更なしで許可されます。 


route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.2
route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.3
route for 0.0.0.0 0.0.0.0 through outside to 10.1.1.4

また、ECMP を使用して、同じネットワークプレフィックスおよびルートメトリックの複数のインターフェイス(仮想ルータ内)間でトラフィックのバランシングを実現することもできます。この設定は、複数の個別インターフェイスを介してゲートウェイにアクセスできる場合に必要です。たとえば、ISP が 2 つあり、ISP 間でロードバランシングを行いたいものの、ISP ゲートウェイ間で内部アドレス空間を分割したくないとします。一方の ISP には outside1 インターフェイスを介してアクセスでき、もう一方の ISP には outside2 インターフェイスを介してアクセスできます。これを実現するには、outside1 インターフェイスと outside2 インターフェイスを含むルーティング トラフィック ゾーンを作成する必要があります。 


isp-zone containing outside1 and outside2
route for 0.0.0.0 0.0.0.0 through outside1 to 10.1.1.2
route for 0.0.0.0 0.0.0.0 through outside2 to 10.1.1.3

ECMP トラフィックゾーンの使用。


(注)  

ECMP ルーティング トラフィック ゾーンはセキュリティゾーンに関連していません。outside1 インターフェイスと outside2 インターフェイスを含むセキュリティゾーンを作成しても、ECMP ルーティング用のトラフィックゾーンは実装されません。

次の手順で、インターフェイス間で ECMP 処理を利用するように ECMP ゾーンを設定する方法について説明します。

手順

ステップ 1

[デバイス(Device)] をクリックしてから、[ルーティング(Routing)] サマリーにあるリンクをクリックします。

ステップ 2

仮想ルータを有効にした場合は、スタティック ルートを設定しているルータの表示アイコン({2}{3}設定の表示ボタン。{3}{2})をクリックします。

ステップ 3

[ECMPトラフィックゾーン(ECMP Traffic Zones)] タブをクリックします。

ステップ 4

[ECMPトラフィックゾーン(ECMP Traffic Zones)] ページで、次のいずれかを実行します。

  • 新しいゾーンを追加するには、[+] または [ECMPトラフィックゾーンの追加(Add ECMP Traffic Zone)] をクリックします。
  • 編集するゾーンの編集アイコン()をクリックします。

ゾーンが不要になった場合は、ゾーンのごみ箱アイコンをクリックして削除します。ゾーンを削除する前に、そのゾーンに依存するすべての静的ルートを削除する必要があります。

ステップ 5

ゾーンの [名前(Name)] を入力し、必要に応じて説明を入力します。

ステップ 6

[インターフェイス(Interfaces)] で、ゾーンに含める最大 8 つのインターフェイス選択します。

  • [+] をクリックして、インターフェイスを追加します。

  • 削除するには、インターフェイスの右横にある [x] をクリックします。

インターフェイスを選択する際は、次の制限事項に注意してください。

  • 物理インターフェイス、サブインターフェイス、および EtherChannel を選択できます。

  • ECMP トラフィックゾーンに含めることのできないインターフェイスのタイプは、ブリッジグループ(BVI)やそのメンバー、Etherchannel メンバーインターフェイス、HA インターフェイス(フェールオーバーリンクまたはステートリンク)、管理専用インターフェイス、仮想トンネルインターフェイス(VTI)、または VPN 管理アクセス用に設定されたインターフェイスです。

  • リモートアクセスまたはサイト間 VPN 接続で使用されるインターフェイスを含めることはできません。

  • DHCP リレーが有効になっているインターフェイスは、サーバーまたはエージェントとして選択できません。

  • インターフェイスは同じ仮想ルータに割り当てる必要があります。

  • 1 つのインターフェイスは 1 つのトラフィックゾーンにのみ含まれます。

ステップ 7

[OK] をクリック

次のタスク

これで、[スタティックルート(Static Routes)] タブに移動し、これらのインターフェイスを介した同じ宛先への等コストルートを作成できます。または、動的ルーティングプロトコルがシステムを通じて配布される場合、等コストルートを自動的に設定できます。

ルーティングのモニタリング

ルーティングをモニタし、トラブルシューティングを行うには、CLI コンソールを開くか、またはデバイスの CLI にログインして、次のコマンドを使用します。また、[ルーティング(Routing)] ページの [コマンド(Commands)] メニューから、これらのコマンドの一部を選択することもできます。

  • show route はデータインターフェイスのルーティングテーブルを表示します。直接接続されたネットワークのルートが含まれます。

  • show ipv6 route はデータインターフェイスの IPv6 ルーティングテーブルを表示します。直接接続されたネットワークのルートが含まれます。

  • show network は管理インターフェイスの設定を表示します。管理ゲートウェイが含まれます。管理インターフェイスを介したルーティングは、データインターフェイスを管理ゲートウェイとして指定しない限り、データ インターフェイス ルーティング テーブルによって処理されません。

  • show network-static-routes は、configure network static-routes コマンドを使用して、管理インターフェイスに対して設定されたスタティックルートを表示します。通常、ほとんどの場合、管理ゲートウェイは管理ルーティングに対して十分機能するため、スタティック ルートは存在しません。これらのルートは、データ インターフェイス上のトラフィックには使用できません。このコマンドは、CLI コンソールでは使用できません。

  • show ospf は OSPF プロセスと学習ルートに関する情報を表示します。OSPF に関する特定の情報を表示するために含めることができるオプションのリストを取得するには、show ospf ? を使用します。

  • show bgp は BGP プロセスと学習ルートに関する情報を表示します。BGP に関する特定の情報を表示するために含めることができるオプションのリストを取得するには、show bgp ? を使用します。

  • show eigrp option は EIGRP プロセスと学習ルートに関する情報を表示します。含めることができるオプションのリストを取得するには、show eigrp ? を使用します。オプションを指定する必要があります。

  • show isis option は IS-IS プロセスと学習ルートに関する情報を表示します。含めることができるオプションのリストを取得するには、show isis ? を使用します。オプションを指定する必要があります。

  • show rip database は RIP プロセスと学習ルートに関する情報を表示します。

  • show vrf は、システムで定義されている仮想ルータの情報を表示します。

  • show zone は ECMP トラフィックゾーンに関する情報(各ゾーンに含まれるインターフェイスなど)を表示します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ