セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

適応型セキュリティ アプライアンス等コスト マルチパスの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、インターフェイスごとに同じ宛先ネットワークへの最大 3 つまでの等コスト ルートで適応型セキュリティ アプライアンス(ASA)を設定する方法を示します。 ASA は、送信パケットの送信元および宛先の IP アドレスをハッシュして、パケットのネクスト ホップを決定するためにどのルートを使用するかを決めます(ASA はネクスト ホップを選択するためにラウンド ロビン アルゴリズムを使用しません)。 ラウンド ロビン ロード バランシングとは対照的に、同じ送信元と宛先のペアを持つパケットは、計算されたハッシュによって同じネクスト ホップに常に送信されます。

注: 著者:Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

このドキュメントでは、以下の設定について説明します。

  • ECMP を実現するために使用するスタティック ルート

  • ECMP を実現するために使用する Open Shortest Path First ルーティング プロトコル

ECMP を実現するために使用するスタティック ルート

以下に、外部インターフェイス上の 3 台のゲートウェイにトラフィックを転送する、コストの等しいスタティック ルートの例を示します。 セキュリティ アプライアンスは、パケットの送信元および宛先 IP アドレスに基づいて指定されたゲートウェイ間のトラフィックを配信します。

ECMP を使用する複数のスタティック ルートは、同じインターフェイスでのみ使用できます。 ECMP は複数のインターフェイス間ではサポートされていません。

ASA の設定例:

route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.10.0 255.255.255.0 192.168.1.2
route outside 10.10.10.0 255.255.255.0 192.168.1.3

ASA でのルート出力の表示:

S 10.10.10.0 255.255.255.0 [1/0] via 192.168.1.1, outside
                                    [1/0] via 192.168.1.2, outside
                                    [1/0] via 192.168.1.3, outside

ECMP を実現するために使用する Open Shortest Path First ルーティング プロトコル

Open Shortest Path First(OSPF)は同じコスト パスを持つルートのプロビジョニングによって ECMP を使用するように設定できます。 以下は、ASA と 2 台の隣接ルータ間での OSPF の使用例です。

この例では、外部の 2 台のルータが、ASA にデフォルト ルートを注入するように設定された OSPF を実行します。 デフォルト ルートは ASA のルーティング テーブルに追加されます。それらは同じメトリックを送信するため、ASA はそれらを ECMP としてデフォルトの宛先ネットワークに追加します。

OSPF は、このドキュメントで取り上げられています。 ただし、Enhanced Interior Gateway Routing Protocol(EIGRP)など ASA がサポートしているすべてのルーティング プロトコルを使用できます。

設定例

ASA:

router ospf 10
 network 10.10.10.0 255.255.255.0 area 0
 log-adj-changes

ルータ 1:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

ルータ 2:

router ospf 10
 network 10.10.10.0 0.0.0.255 area 0 
 default-information originate metric 10

default-information originate コマンドは、メトリックを 10 に設定します。この設定では、ASA によって受信された場合に、同じコスト パスを持つルートをインストールします。

ASA でのルート出力の表示:

O*E2 0.0.0.0 0.0.0.0 [110/1] via 10.10.10.1, 0:10:18, outside
                            [110/1] via 10.10.10.2, 0:10:18, outside

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ECMP を実現するために EIGRP が使用されている場合、Cisco Bug ID CSCti54545登録ユーザ専用)を参照してください。EIGRP メトリックは ASA では適切に更新されません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115986