Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
IP ルーティングおよび DHCP サービスの設定
IP ルーティングおよび DHCP サービスの設定
発行日;2012/02/03 | 英語版ドキュメント(2010/08/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

IP ルーティングおよび DHCP サービスの設定

FWSM 内でのルーティングの仕組み

出力インターフェイスの選択プロセス

ネクストホップの選択プロセス

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートの設定

デフォルト ルートの設定

スタティック ルートまたはデフォルト ルートのモニタ

ルート マップの定義

BGP スタブ ルーティングの設定

BGP スタブの制限事項

BGP スタブ ルーティングの設定

BGP スタブ ルーティングのモニタ

BGP スタブ ルーティング プロセスの再起動

OSPF の設定

OSPF の概要

OSPF のイネーブル化

OSPF プロセス間でのルートの再分配

OSPF インターフェイス パラメータの設定

OSPF エリア パラメータの設定

OSPF NSSA の設定

ポイントツーポイントの非ブロードキャスト OSPF ネイバの設定

OSPF エリア間のルート集約の設定

OSPF へのルート再分配時のルート集約の設定

デフォルト ルートの生成

ルート計算タイマーの設定

ネイバのアップまたはダウンのロギング

OSPF アップデート パケット ペーシングの表示

OSPF のモニタ

OSPF プロセスの再起動

RIP の設定

RIP の概要

RIP のイネーブル化

EIGRP の設定

EIGRP ルーティングの概要

EIGRP ルーティングのイネーブル化および設定

EIGRP スタブ ルーティングのイネーブル化および設定

EIGRP 認証のイネーブル化

EIGRP ネイバの定義

EIGRP へのルートの再分配

EIGRP hello 間隔とホールド間隔の設定

自動ルート集約のディセーブル化

集約アドレスの設定

EIGRP スプリット ホライズンのディセーブル化

インターフェイス遅延値の変更

EIGRP のモニタ

ネイバ変更およびネイバ警告メッセージのロギングのディセーブル化

非対称ルーティング サポートの設定

ASR グループへのインターフェイスの追加

非対称ルーティング サポートの例

Route Health Injection の設定

Route Health Injection の概要

RHI の注意事項

RHI のイネーブル化

DHCP の設定

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

DHCP サーバで Cisco IP Phone を使用する方法

DHCP リレー サービスの設定

DHCP リレーの概要

DHCP リレー エージェントの設定

DHCP オプション 82 の維持

DHCP リレーのコンフィギュレーションの確認

IP ルーティングおよび DHCP サービスの設定

この章では、FWSM で IP ルーティングと DHCP を設定する方法について説明します。この章では、次の内容について説明します。

「FWSM 内でのルーティングの仕組み」

「スタティック ルートおよびデフォルト ルートの設定」

「ルート マップの定義」

「BGP スタブ ルーティングの設定」

「OSPF の設定」

「RIP の設定」

「EIGRP の設定」

「非対称ルーティング サポートの設定」

「Route Health Injection の設定」

「DHCP の設定」

FWSM 内でのルーティングの仕組み

FWSM では、ルーティング テーブルと XLATE テーブルの両方を使用してルーティングを決定します。FWSM では、宛先 IP 変換の対象、つまり非変換トラフィックを処理するために、既存の XLATE またはスタティック変換を検索して出力インターフェイスを選択します。選択プロセスは次のとおりです。

出力インターフェイスの選択プロセス

宛先 IP 変換用 XLATE がすでに存在する場合、パケットの出力インターフェイスはルーティング テーブルではなく、XLATE テーブルに基づいて決定されます。

宛先 IP 変換用 XLATE が存在せず、照合用スタティック変換が存在する場合、出力インターフェイスはスタティック ルートに基づいて決定され、XLATE が作成されます。ルーティング テーブルは使用されません。

宛先 IP 変換用 XLATE も照合用スタティック変換も存在しない場合、パケットの宛先 IP 変換は実行されません。FWSM では、ルートを検索して出力インターフェイスを選択することでこのパケットを処理します。その後、(必要に応じて)送信元 IP 変換が実行されます。

したがって、標準のダイナミック発信 NAT の場合、初期発信パケットはルート テーブルに基づいてルーティングされ、XLATE が作成されます。返信された着信パケットは、既存の XLATE だけに基づいて転送されます。スタティック NAT の場合、宛先変換の着信パケットは、常に既存の XLATE またはスタティック変換ルールに基づいて転送されます。

ネクストホップの選択プロセス

上記のいずれかの方法で出力インターフェイスが選択されたあと、追加のルート検索が実行され、以前に選択された出力インターフェイスに属する適切なネクストホップが検索されます。選択されたインターフェイスに明示的に属するルートがルーティング テーブルに存在しない場合、パケットは廃棄され、レベル 6 のエラー メッセージ 110001(「 no route to host 」)が生成されます。これは、所定の宛先ネットワーク用として、他の出力インターフェイスに属する別のルートが存在する場合でも同様です。選択された出力インターフェイスに属するルートが見つかった場合、パケットは対応するネクストホップに転送されます。

FWSM での負荷分散は、複数のネクストホップが利用可能で、単一の出力インターフェイスを使用している場合にだけ可能です。負荷分散では、複数の出力インターフェイスを共有できません。

ただし、次の状況に該当する場合は例外です。

FWSM でダイナミック ルーティングが使用されており、XLATE の作成後にルート テーブルが変更されると(ルート フラップが発生した場合など)、宛先変換トラフィックは、古い XLATE がタイムアウトするまで、ルート テーブルではなく、その XLATE に基づいて転送されます。古いルートが古いインターフェイスから削除され、ルーティング プロセスによって別のインターフェイスに接続された場合、トラフィックは不適切なインターフェイスに転送されるか、または廃棄されてメッセージ 110001(「 no route to host 」)が生成される可能性があります。

FWSM 自体でルート フラップが発生しなくても、一部のルーティング プロセスが FWSM の周囲をフラッピングし、別のインターフェイスを使用して FWSM 経由の同一フローに属する送信元変換パケットを送信している場合、同じ問題が発生することがあります。宛先変換の返信パケットは、不適切な出力インターフェイスを使用して戻される可能性があります。

この問題は、ほぼすべてのトラフィックがフロー内の初期パケットの方向に基づいて送信元変換または宛先変換のどちらかになる、同一セキュリティ トラフィックのコンフィギュレーションで高い確率で発生します。

ルート フラップ後にこの問題が発生した場合、 clear xlate コマンドを使用して手動で解決するか、XLATE タイムアウトによって自動的に解決できます。XLATE タイムアウトは、必要に応じて短くしてもかまいません。この問題を極力回避するには、FWSM とその周囲でルート フラップが発生しないようにしてください。つまり、同一フローに属する宛先変換パケットが FWSM 経由で常に同じ方向に転送されるようにしてください。

スタティック ルートおよびデフォルト ルートの設定

ここでは、FWSM でスタティック ルートとデフォルト ルートを設定する方法について説明します。

マルチコンテキスト モードはダイナミック ルーティングをサポートしないので、ネットワークと FWSM の間にルータが配置されている場合など、FWSM が直接接続されていないネットワークには、スタティック ルートを使用する必要があります。

シングルコンテキスト モードでスタティック ルートを使用する状況は、次のとおりです。

ネットワークで RIP または OSPF 以外の Router Discovery Protocol を使用する場合

ネットワークが小規模で、スタティック ルートの管理が容易な場合

ルーティング プロトコルに伴うトラフィックまたは CPU のオーバーヘッドが望ましくない場合

最も単純なオプションは、デフォルト ルートを設定してすべてのトラフィックをアップストリーム ルータへ送り、トラフィックのルーティングをルータに任せてしまうことです。ただし、デフォルト ゲートウェイが宛先ネットワークに到達できない場合もあるので、より具体的なスタティック ルートを設定することも必要です。たとえば、デフォルト ゲートウェイが外部の場合、FWSM に直接接続されていない内部ネットワークには、デフォルト ルートからトラフィックを転送できません。

トランスペアレント ファイアウォール モードでは、FWSM を発信元とする、直接接続されていないネットワークを宛先とするトラフィックには、どのインターフェイスからトラフィックを送信するのかを FWSM が認識できるように、デフォルト ルートまたはスタティック ルートのどちらかを設定する必要があります。FWSM が発信元になるトラフィックには、システム ログ サーバ、Websense/N2H2 サーバ、AAA サーバなどへの通信が含まれます。単一のデフォルト ルートから到達できないサーバがある場合は、スタティック ルートを設定しなければなりません。


) 管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。


FWSM は、インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまでサポートするので、負荷分散が可能です。

ここでは、次の内容について説明します。

「スタティック ルートの設定」

「デフォルト ルートの設定」

「スタティック ルートまたはデフォルト ルートのモニタ」

IPv6 スタティック/デフォルト ルートの設定の詳細については、「IPv6 デフォルト/スタティック ルートの設定」を参照してください。

スタティック ルートの設定

スタティック ルートを追加するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [distance]
 

dest_ip mask は宛先ネットワークの IP アドレスで、 gateway_ip はネクストホップ ルータのアドレスです。

distance はルートの管理ディスタンスです。値を指定しなかった場合、デフォルトの 1 が使用されます。管理ディスタンスは、異なるルーティング プロトコル間のルートを比較するためのパラメータです。スタティック ルートのデフォルト管理ディスタンスは 1 で、ダイナミック ルーティング プロトコルによって検出されたルートに優先します。ただし、直接接続されたルートには優先しません。OSPF によって検出されたルートのデフォルト管理ディスタンスは 110 です。スタティック ルートの管理ディスタンスがダイナミック ルートと同じ場合、スタティック ルートが優先します。接続されたルートは常に、スタティック ルートまたは動的に検出されたルートに優先します。

指定したゲートウェイが使用不能になった場合でも、スタティック ルートはルーティング テーブルに残ります。指定したゲートウェイが使用不能になった場合、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、関連するインターフェイスがダウンすると、スタティック ルートはルーティング テーブルから削除されます。インターフェイスが元に戻ると、スタティック ルートは復旧します。


) 管理ディスタンスの値を FWSM 上で実行されているルーティング プロトコルの管理ディスタンスよりも大きくしてスタティック ルートを作成すると、このルーティング プロトコルによって検出された指定の宛先へのルートは、スタティック ルートに優先します。スタティック ルートは、動的に検出されたルートがルーティング テーブルから削除された場合にだけ使用されます。


次に、10.1.1.0/24 宛てのすべてのトラフィックを、内部インターフェイスに接続されたルータ(10.1.2.45)に送信するスタティック ルートを作成する例を示します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
 

インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまで定義できます。ECMP は複数のインターフェイス間ではサポートされていません。ECMP では、トラフィックは必ずしもルート間で均等に分割されるわけではありません。トラフィックは、送信元 IP アドレスおよび宛先 IP アドレスをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。

次に、外部インターフェイス上の 3 台のゲートウェイにトラフィックを転送する、コストの等しいスタティック ルートの例を示します。FWSM は、指定したゲートウェイ間にトラフィックを分配します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
 

デフォルト ルートの設定

デフォルト ルートでは、FWSM が、学習したルートまたはスタティック ルートのないすべての IP パケットを送信するゲートウェイ IP アドレスを識別します。デフォルト ルートは、宛先 IP アドレスが 0.0.0.0/0 のスタティック ルートです。特定の宛先が識別されたルートは、デフォルト ルートに優先されます。

デバイスごとに、コストの等しいデフォルト ルート エントリを 3 つまで定義できます。コストの等しいデフォルト ルート エントリを複数定義すると、デフォルト ルートに送信されたトラフィックは、指定したゲートウェイ間に分配されます。複数のデフォルト ルートを定義する場合、各エントリに対して同じインターフェイスを指定する必要があります。

コストの等しいデフォルト ルート エントリを 3 つより多く定義しようとすると、または定義済みのデフォルト ルートとは異なるインターフェイスでデフォルト ルートを定義しようとすると、「ERROR: Cannot add route entry, possible conflict with existing routes.」というメッセージが表示されます。

デフォルト ルートを定義するには、次のコマンドを入力します。

hostname(config)# route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance]
 

ヒント 宛先ネットワーク アドレスおよびマスクに、0.0.0.0 0.0.0.0 ではなく 0 0 を入力できます。次に例を示します。hostname(config)# route outside 0 0 192.168.1 1


次に、コストの等しい 3 つのデフォルト ルートが設定された FWSM の例を示します。FWSM が受信したトラフィックで、スタティック ルートまたは学習したルートのないものは、IP アドレス 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイ間に分配されます。

hostname(config)# route outside 0 0 192.168.2.1
hostname(config)# route outside 0 0 192.168.2.2
hostname(config)# route outside 0 0 192.168.2.3
 

スタティック ルートまたはデフォルト ルートのモニタ


) 現在モニタできるのは、route-monitor コマンドで規定されているように、1 つのネットワークのルートだけです。


複数のスタティック ルートまたはデフォルト ルートを設定した場合、アクティブ ルートに問題がないかどうかをモニタするように設定して、問題がある場合は、ルータがダウンしたときにネットワーク上の別のルートに切り替えることができます。

その場合、FWSM のルート モニタリング プロセスによって、設定された時間間隔(ユーザが設定可能)で ICMP クエリーが送信され、宛先ネットワークへの最良の 2 つのスタティック ルートとバックアップ ルートが決定されます。ICMP クエリーの送信間隔は interval キーワードで設定します。有効な値は 100 ~ 3,000 秒で、デフォルト値は 300 ミリ秒です。クエリーは必ず、選択されたルータの両方に送信され、現在の稼動ステータスがローカルに保持されます。

メトリック ディスタンスが最小の 2 つのルートが選択され、そのうち小さい方がトラフィックを送信する最良パスとして決定されます。FWSM では、 route-monitor コマンドによって、設定されているスタティック ルートの中から最良の 2 つのルートが自動的に選択されます。現在のルートがダウンすると、次の最良パスが必ずルーティング テーブルに組み込まれ、現在のルートはバックアップ ルートになります。

ICMP クエリーで、 failures キーワードで設定されたスレッシュホールド数(ユーザが設定可能)を受け取らなければ、そのルータは到達不能であると見なされます。 failures キーワードは、ルータがダウンしていると見なされる(デフォルト値は 5 秒)までに応答がなくても許容する ICMP クエリーの最大数です。この時点で、バックアップ ルートが優先され(到達可能であった場合)、最良ルートになります。それに伴って、元のルートがバックアップ ルートになります。

元の最良ルートが再び到達可能になると、そのルートに切り替えられ、現在の最良ルートがバックアップ ルートになります。両方のルートが到達不能になった場合は、両方ともバックアップ ルートになります。ただし、ルーティング テーブルは変更されません。

スタティック ルートまたはデフォルト ルートをモニタして、ルータがダウンしたときに別のパスに切り替えるには、コマンドライン インターフェイス ツールを使用して次のコマンドを入力します。

hostname(config-if)# route-monitor network_address network_mask [query_interval interval ] [max-failures failures ]

ルート マップの定義

ルート マップは、プロセス間でルートを再分配するため、または Route Health Injection(RHI)用に使用されます。ルート マップを定義して、サポートされている機能で使用できるようにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、ルート マップ エントリを作成します。

hostname(config)# route-map name {permit | deny} [sequence_number]
 

ルート マップ エントリは順番に読み取られます。 sequence_number オプションを使用すると、順番を指定できます。順番を指定しなかった場合、FWSM はエントリが追加された順番に従います。

ステップ 2 1 つまたは複数の match コマンドを入力します。

宛先ネットワークが標準アクセス リストと一致するルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip address acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

メトリックが指定されたルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match metric metric_value
 

metric_value には 0 ~ 4,294,967,295 を指定できます。

ネクストホップ ルータ アドレスが標準アクセス リストと一致するルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip next-hop acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

ネクストホップ インターフェイスが指定されているルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match interface if_name
 

複数のインターフェイスを指定した場合、いずれかのインターフェイスが一致するルートを検出します。

標準アクセス リストと一致するルータによってアドバタイズされたルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip route-source acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

ルート タイプを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match route-type {internal | external [type-1 | type-2]}
 

ステップ 3 1 つまたは複数の set コマンドを入力します。

ルートが match コマンドと一致すると、次の set コマンドによって、再分配の前にルートに対して実行するアクションが決まります。

メトリックを設定する場合は、次のコマンドを入力します。

hostname(config-route-map)# set metric metric_value
 

metric_value には 0 ~ 294,967,295 の任意の値を指定できます。

メトリック タイプを設定する場合は、次のコマンドを入力します。

hostname(config-route-map)# set metric-type {type-1 | type-2}
 


 

次に、ホップ カウントが 1 のルートを再分配する例を示します。FWSM は、メトリックが 5、メトリック タイプが Type 1、タグが 1 の外部 LSA として、これらのルートを再分配します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

BGP スタブ ルーティングの設定

FWSM では、BGP スタブ ルーティングがサポートされています。BGP スタブ ルーティング プロセスでは、スタティック ルートおよび直接接続されたルートをアドバタイズしますが、BGP ピアによってアドバタイズされたルートは許容されません。

BGP スタブ ルーティングはライセンス対象機能です。この機能を設定するには、BGP スタブ ルーティングをサポートするライセンス キーを保有しているか、入手する必要があります。

ここでは、次の内容について説明します。

「BGP スタブの制限事項」

「BGP スタブ ルーティングの設定」

「BGP スタブ ルーティングのモニタ」

「BGP スタブ ルーティング プロセスの再起動」

BGP スタブの制限事項

FWSM で BGP スタブ ルーティングを設定する場合、次の制限事項が適用されます。

設定できる BGP ルーティング プロセスは 1 つだけです(マルチコンテキスト モードでも同様)。

設定できる BGP ネイバは 1 つだけです(マルチコンテキスト モードでも同様)。

FWSM では、BGP ネイバから受信した UPDATE メッセージは処理されません。ルーティング アップデートを BGP ネイバに送信することだけが可能です。

FWSM では、スタティック ルートおよび直接接続されたネットワークだけがアドバタイズされます。他のルーティング プロトコルからのルートを BGP ルーティング プロセスに再分配することはできません。

マルチコンテキスト モードの FWSM では、BGP ピアに到達するために経由するインターフェイスを含み、さらに network コマンドが設定されているコンテキストのスタティック ルートおよび直接接続されたネットワークだけをアドバタイズできます。BGP ネイバに到達するために経由するインターフェイスが複数のコンテキストで共有されている場合は、そのインターフェイスを共有するコンテキスト内のすべてのスタティック ルートおよび直接接続されたネットワークを BGP ルーティング プロセスで利用できます。

BGP スタブでは、IPv6、VPN、または NLRI マルチキャストはサポートされていません。

iBGP だけがサポートされ、eBGP はサポートされていません。

BGP スタブ ルーティングの設定

FWSM で BGP スタブ ルーティングを設定する前に、次の点に注意してください。

BGP ネイバでルート リフレクタをイネーブルにする必要があります。

FWSM がマルチコンテキスト モードの場合は、管理コンテキストで BGP スタブ ルーティングを設定する必要があります。さらに、管理コンテキストがルーテッド モードである必要もあります。


) マルチコンテキスト モードでは管理コンテキストで BGP ルーティング プロセスを設定しますが、アドバタイズできるのは、BGP ピアに到達するために経由するコンテキストのスタティック ルートおよび直接接続されたネットワークだけです。


BGP ルーティング プロセスをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、BGP ルーティング プロセスを作成します。

hostname(config)# router bgp as-number
 

as-number 引数は、他の BGP ルータに対して FWSM を識別し、転送されるルーティング情報をタグ付けする Autonomous System(AS; 自律システム)番号です。BGP ネイバの AS 番号と同じ番号を指定する必要があります。このコマンドを入力すると、コマンド プロンプトが hostname(config-router)# に変わります。これは、指定したルーティング プロセスのルータ コンフィギュレーション モードが開始されたことを示します。

ステップ 2 (任意)次のコマンドを入力して、FWSM のルータ ID を指定します。ルータ ID を入力しなかった場合、FWSM で設定されている最上位の IP アドレスが使用されます。

hostname(config-router)# bgp router-id id
 

id には、FWSM で設定されていない IP アドレスを含め、任意の IP アドレスを指定できます。このコマンドを指定しなかった場合、FWSM で設定されている最上位の IP アドレスがルータ ID として使用されます。

ステップ 3 次のコマンドを入力して、BGP アップデートの送信先 BGP ネイバを指定します。

hostname(config-router)# neighbor ip-addr remote-as as-number
 

ip-addr 引数は、BGP ネイバの IP アドレスです。 as-number は、BGP ネイバの自律システム番号です。FWSM で router コマンドを使用して設定した AS 番号と同じ番号を指定する必要があります。

ステップ 4 (任意)ネイバへの BGP メッセージを認証するために使用するパスワードを入力します。BGP メッセージの交換を可能にするには、このパスワードをネイバと FWSM の両方に設定する必要があります。

hostname(config-router)# neighbor ip-addr password [mode] password
 

ip-addr 引数は、 neighbor コマンドで定義した BGP ネイバの IP アドレスです。 mode 引数には、0 ~ 7 の値を指定できます。指定する場合は、BGP ネイバで同じモードを使用する必要があります。 password 引数は、英数字の文字列です。スペース以外のキーボード記号を含めることができます。

ステップ 5 network コマンドを使用して、BGP ルーティング プロセスでアドバタイズするネットワークを指定します。FWSM では、最大 200 の network コマンドを設定できます。

hostname(config-router)# network ip-addr mask mask
 

BGP スタブ ルーティング プロセスでは、スタティック ルートおよび直接接続されたネットワークだけがアドバタイズされます。 network コマンドでは、BGP アップデートでこれらのネットワークのうちどれをアドバタイズするかを定義します。


 

BGP スタブ ルーティングのモニタ

次のコマンドを使用して、BGP ルーティング プロセス、ネイバ、およびアドバタイズされたルートに関する情報を表示できます。マルチコンテキスト モードの場合、これらのコマンドは管理コンテキストで入力します。

BGP ルーティング プロセスに関する情報を表示するには、次のコマンドを入力します。

hostname# show ip bgp summary
 

BGP ネイバ情報を表示するには、次のコマンドを入力します。

hostname# show ip bgp neighbors
 

BGP ルーティング プロセスでアドバタイズされたルートを表示するには、次のコマンドを入力します。

hostname# show ip bgp neighbors advertised-routes
 

BGP ルーティング プロセスのデバッグ メッセージを表示するには、次のコマンドを入力します。

hostname# debug ip bgp
 

これらのコマンドの出力の詳細については、『 Catalyst 6500 Series and Cisco 7600 Series Switch Firewall Services Module Command Reference 』のコマンド情報を参照してください。

BGP スタブ ルーティング プロセスの再起動

ネイバで確立された BGP セッションをクリアし、セッションに関連付けられている統計カウンタを消去し、ネイバで BGP を再起動するには、次のコマンドを入力します。

hostname(config)# clear ip bgp neighbor-addr
 

OSPF の設定

ここでは、OSPF の設定方法について説明します。ここでは、次の内容について説明します。

「OSPF の概要」

「OSPF のイネーブル化」

「OSPF プロセス間でのルートの再分配」

「OSPF インターフェイス パラメータの設定」

「OSPF エリア パラメータの設定」

「OSPF NSSA の設定」

「ポイントツーポイントの非ブロードキャスト OSPF ネイバの設定」

「OSPF エリア間のルート集約の設定」

「OSPF へのルート再分配時のルート集約の設定」

「デフォルト ルートの生成」

「ルート計算タイマーの設定」

「ネイバのアップまたはダウンのロギング」

「OSPF アップデート パケット ペーシングの表示」

「OSPF のモニタ」

「OSPF プロセスの再起動」

OSPF の概要

OSPF では、リンク ステート アルゴリズムを使用し、既知のすべての宛先に到達する最短経路を作成して算出します。OSPF エリア内の各ルータには同じリンク ステート データベースが与えられます。このデータベースは、ルータが使用できるインターフェイスと到達できるネイバを個々に指定したリストです。

OSPF over RIP の利点は、次のとおりです。

OSPF リンク ステート データベースのアップデートは、RIP のアップデートほど頻繁には送信されません。また、リンク ステート データベースの場合、古い情報は期限切れになるので、アップデートが緩慢ではなく瞬間的に行われます。

ルーティングはコストに基づいて決定されます。コストとは、パケットを特定のインターフェイスを介して送信するために必要なオーバーヘッドを指します。FWSM は、宛先へのホップ数ではなくリンクの帯域幅に基づいてコストを計算します。優先経路を指定する目的で、コストを設定できます。

最短経路を優先させるアルゴリズムの短所は、多くの CPU サイクルとメモリが必要になることです。

FWSM は、OSPF プロトコルのプロセスを 2 つ同時に、異なるインターフェイス セット上で実行できます。複数のインターフェイスで同じ IP アドレスを使用する場合に、2 つのプロセスを実行しなければならない場合があります(NAT はこのようなインターフェイスの共存を認めますが、OSPF はアドレスのオーバーラップを認めません)。または、一方のプロセスを内部で、他方を外部で実行し、2 つのプロセス間でルートのサブセットを再分配したいという場合もあります。プライベート アドレスをパブリック アドレスから隔離しなければならないこともあります。

2 つの OSPF プロセス間での再分配がサポートされます。FWSM では、OSPF がイネーブルのインターフェイス上で設定したスタティック ルートおよび接続されたルートを、OSPF プロセスに再分配することもできます。OSPF がイネーブルの場合、FWSM で RIP をイネーブルにすることはできません。RIP と OSPF 間の再分配はサポートされません。

FWSM は次の OSPF 機能をサポートします。

エリア内ルート、エリア間ルート、および外部(タイプ I、タイプ II)ルートのサポート

仮想リンクのサポート

OSPF LSA フラッディング

OSPF パケットの認証(パスワードおよび MD5 認証の両方)

FWSM を指定ルータまたは指定バックアップ ルータとして設定。FWSM を Area Boundary Router(ABR; エリア境界ルータ)として設定することもできますが、FWSM を ASBR として設定する機能はデフォルト情報だけ(デフォルト ルートの導入など)に限定されています。

スタブ エリアおよび Not-So-Stubby-Area のサポート

ABR タイプ 3 LSA フィルタリング

スタティック アドレス変換およびグローバル アドレス変換のアドバタイズ

OSPF のイネーブル化

OSPF をイネーブルにするには、OSPF ルーティング プロセスを作成し、ルーティング プロセスに対応する IP アドレス範囲を指定し、さらに IP アドレス範囲に対応するエリア ID を割り当てる必要があります。


) RIP がイネーブルの場合、OSPF をイネーブルにすることはできません。


OSPF をイネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、OSPF ルーティング プロセスを作成します。

hostname(config)# router ospf process_id
 

このコマンドによって、この OSPF プロセスに対応するルータ コンフィギュレーション モードが開始されます。

process_id は、このルーティング プロセスを識別するための内部 ID です。任意の正の整数を指定できます。内部で使用するだけなので、この ID を他のデバイスの ID と一致させる必要はありません。最大 2 つのプロセスを使用できます。

ステップ 2 次のコマンドを入力して、OSPF を実行する IP アドレスを定義し、さらにそのインターフェイスのエリア ID を定義します。

hostname(config-router)# network ip_address mask area area_id
 


 

次に、OSPF をイネーブルに設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.0.0.0 255.0.0.0 area 0
 

OSPF プロセス間でのルートの再分配

FWSM は、OSPF ルーティング プロセス間におけるルートの再分配を制御できます。FWSM は、 redistribute コマンドの設定値に従って、またはルート マップを使用することによって、ルートを照合して変更します。ルート マップのその他の用途については、「デフォルト ルートの生成」も参照してください。


) 注:FWSM でサポートされているすべてのタイプのルート(接続されたルート、スタティック ルート、およびダイナミック ルート)で許容されるルート エントリの最大数は 32,768(つまり、32K)です。


ある OSPF プロセスから別の OSPF プロセスにスタティック ルート、接続されたルート、または OSPF ルートを再分配する手順は、次のとおりです。


ステップ 1 ルート マップを作成する方法については、「ルート マップの定義」を参照してください。

ステップ 2 次のコマンドを入力して、再分配先の OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 3 次のコマンドを入力して、再分配するルートを指定します。

hostname(config-router)# redistribute {ospf process_id [match {internal | external 1 | external 2}] | static | connect} [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

ospf process_id static 、および connect キーワードでは、どの場所からルートを再分配するかを指定します。

このコマンドのオプションを使用して、ルート プロパティを照合したり設定したりできます。またはルート マップを使用することもできます。 tag オプションおよび subnets オプションに相当するオプションは、 route-map コマンドにはありません。ルート マップと redistribute コマンドのオプションを両方とも使用する場合は、両方を一致させる必要があります。


 

次に、メトリックが 1 のルートと照合することによって、OSPF プロセス 1 から OSPF プロセス 2 にルートを再分配する例を示します。FWSM は、メトリックが 5、メトリック タイプが Type 1、タグが 1 の外部 LSA として、これらのルートを再分配します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
hostname(config-route-map)# set tag 1
hostname(config-route-map)# router ospf 2
hostname(config-router)# redistribute ospf 1 route-map 1-to-2
 

次に、指定した OSPF プロセスのルートが OSPF プロセス 109 に再分配される例を示します。OSPF メトリックは 100 に再マッピングされます。

hostname(config)# router ospf 109
hostname(config-router)# redistribute ospf 108 metric 100 subnets
 

次に、リンク ステート コストが 5、メトリック タイプが外部に設定されたルート再分配の例を示します。この場合、内部メトリックよりプライオリティが下がります。

hostname(config)# router ospf 1
hostname(config-router)# redistribute ospf 2 metric 5 metric-type external
 

OSPF インターフェイス パラメータの設定

必要に応じて、インターフェイス固有の OSPF パラメータを一部変更できます。これらのパラメータは、特に変更する必要はありませんが、一部のインターフェイス パラメータについては、接続先ネットワーク上のすべてのルータで一致している必要があります。該当するパラメータは、 ospf hello-interval ospf dead-interval 、および ospf authentication-key です。これらのパラメータを設定する場合には、ネットワーク上のすべてのルータのコンフィギュレーションに矛盾しない値が設定されていることを確認してください。

OSPF インターフェイス パラメータを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、インターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface if_name
 

ステップ 2 次のコマンドを任意で入力します。

インターフェイスの認証タイプを指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf authentication [message-digest | null]
 

OSPF 簡易パスワード認証を使用するネットワーク セグメント上で、近接する OSPF ルータが使用するパスワードを割り当てる場合は、次のコマンドを入力します。

hostname(config-interface)# ospf authentication-key key
 

key には、長さ 8 バイトまでの連続する任意の文字列を指定できます。

このコマンドによって作成されたパスワードは、FWSM のソフトウェアがルーティング プロトコル パケットを発信するときに、OSPF ヘッダーに直接挿入するキーとして使用されます。インターフェイス単位で、ネットワークごとに異なるパスワードの割り当てが可能です。OSPF 情報を交換できるように、同一ネットワーク上のすべての近接ルータに、同じパスワードを与える必要があります。

OSPF インターフェイス上でのパケット送信コストを明示的に指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf cost cost
 

cost は 1 ~ 65,535 の整数です。

hello パケットの最後の受信から、デバイスで近接する OSPF ルータのダウンを宣言するまでの待機時間(秒)を設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf dead-interval seconds
 

この値は、ネットワーク上のすべてのノードで一致させる必要があります。

FWSM が OSPF インターフェイス上で送信する hello パケットの時間間隔を指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf hello-interval seconds
 

この値は、ネットワーク上のすべてのノードで一致させる必要があります。

OSPF MD5 認証をイネーブルにする場合は、次のコマンドを入力します。

hostname(config-interface)# ospf message-digest-key key_id md5 key
 

次の値を設定します。

key_id :1 ~ 255 の範囲の ID

key :最大 16 バイトの英数字パスワード

通常、1 つのインターフェイスに 1 つのキーを使用して、パケットの送信時に認証情報を生成し、着信パケットを認証します。近接するルータの同じキー ID には同じキー値を与える必要があります。

1 つのインターフェイスに複数のキーを使用しないことを推奨します。新しいキーを追加するたびに古いキーを削除し、ローカル システムが、古いキーを知っている好ましくないシステムといつまでも通信しないようにしてください。古いキーを削除することによって、ロールオーバー時のオーバーヘッドも軽減されます。

ネットワーク用の OSPF 指定ルータを決定するときに役立つプライオリティを設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf priority number_value
 

number_value は 0 ~ 255 です。

OSPF インターフェイスに属している隣接ノードへの LSA 再送信間隔(秒)を指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf retransmit-interval seconds
 

seconds は、接続ネットワーク上の 2 つのルータ間で予期される往復遅延より大きくする必要があります。値の範囲は 1 ~ 65,535 秒です。デフォルトは 5 秒です。

OSPF インターフェイス上でリンク ステート アップデート パケットを送信するときに必要な推定秒数を設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf transmit-delay seconds
 

seconds は 1 ~ 65,535 秒です。デフォルトは 1 秒です。


 

次に、OSPF インターフェイスを設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.1.1.0 255.255.255.0 area 0
hostname(config-router)# interface inside
hostname(config-interface)# ospf cost 20
hostname(config-interface)# ospf retransmit-interval 15
hostname(config-interface)# ospf transmit-delay 10
hostname(config-interface)# ospf priority 20
hostname(config-interface)# ospf hello-interval 10
hostname(config-interface)# ospf dead-interval 40
hostname(config-interface)# ospf authentication-key cisco
hostname(config-interface)# ospf message-digest-key 1 md5 cisco
hostname(config-interface)# ospf authentication message-digest
 

次に、 show ospf コマンドの出力例を示します。

hostname(config)# show ospf
 
Routing Process "ospf 2" with ID 20.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 5. Checksum Sum 0x 26da6
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 1
Area has no authentication
SPF algorithm executed 2 times
Area ranges are
Number of LSA 5. Checksum Sum 0x 209a3
Number of opaque link LSA 0. Checksum Sum 0x 0
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
 

OSPF エリア パラメータの設定

複数のエリア パラメータを設定できます。これらのエリア パラメータ(次の作業手順を参照)には、認証の設定、スタブ エリアの定義、およびデフォルトの集約ルートへの特定コストの割り当てが含まれます。認証により、エリアへの不正アクセスに対して、パスワード ベースの保護が提供されます。

スタブ エリアは、外部ルートの情報が送信されないエリアです。その代わりに、スタブ エリアには、自律システムの外部にある宛先について、ABR が生成したデフォルトの外部ルートが設定されます。OSPF のスタブ エリア サポートを有効に利用するには、スタブ エリアでデフォルトのルーティングを使用する必要があります。スタブ エリアに送信される LSA 数を減らすには、ABR に area stub コマンドの no-summary キーワードを設定して、ABR からスタブ エリアへの集約リンク アドバタイズ(LSA タイプ 3)の送信を阻止できます。

ネットワークのエリア パラメータを指定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを任意で入力します。

OSPF エリアの認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication
 

OSPF エリアの MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication message-digest
 

エリアをスタブ エリアとして定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id stub [no-summary]
 

スタブ エリアで使用するデフォルトの集約ルートに、特定のコストを割り当てるには、次のコマンドを入力します。

hostname(config-router)# area area-id default-cost cost
 

cost は 1 ~ 65,535 の整数です。デフォルトは 1 です。


 

次に、OSPF エリア パラメータを設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# area 0 authentication
hostname(config-router)# area 0 authentication message-digest
hostname(config-router)# area 17 stub
hostname(config-router)# area 17 default-cost 20
 

OSPF NSSA の設定

OSPF NSSA は OSPF スタブ エリアと似ています。NSSA では、コアからエリアへのタイプ 5 外部 LSA のフラッディングは実行されませんが、限定された方法で、AS の外部ルートをエリア内にインポートできます。

NSSA では、再分配により、NSSA エリア内にタイプ 7 AS 外部ルートをインポートします。これらのタイプ 7 LSA は、NSSA の ABR によってタイプ 5 LSA に変換され、ルーティング ドメイン全体へフラッディングされます。変換時には、集約およびフィルタリングがサポートされます。

OSPF を使用している中央サイトから別のルーティング プロトコルを使用しているリモート サイトに接続する必要がある ISP またはネットワーク管理者は、NSSA を使用して管理を簡素化できます。

スタブ エリアにはリモート サイトのルートが再分配されないので、NSSA が実装される前は、企業サイトの境界ルータとリモート ルータ間の接続に OSPF スタブ エリアを利用できず、2 つのルーティング プロトコルを維持する必要がありました。一般的には RIP などの簡易プロトコルを使用し、再分配を行っていました。NSSA の実装により、企業ルータとリモート ルータ間のエリアを NSSA として定義することで、リモート接続にも OSPF を適用できます。

OSPF NSSA の設定に必要なネットワークのエリア パラメータを指定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを任意で入力します。

NSSA エリアを定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id nssa [no-redistribution] [default-information-originate]
 

アドレス グループを集約するには、次のコマンドを入力します。

hostname(config-router)# summary address ip_address mask [not-advertise] [tag tag]
 

このコマンドは、ルーティング テーブルの容量縮小に有効です。OSPF にこのコマンドを使用すると、OSPF ASBR によって、アドレスに含まれるすべての再分配ルートを集約したものとして、外部ルートが 1 つアドバタイズされます。

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。

次の例では、集約アドレス 10.1.0.0 にアドレス 10.1.1.0、10.1.2.0、10.1.3.0 などが含まれています。外部 LSA では、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config-router)# summary-address 10.1.1.0 255.255.0.0
 

この機能を使用する前に、次の注意事項を考慮してください。

外部の宛先に到達するためのタイプ 7 デフォルト ルートを設定できます。この設定により、ルータは NSSA または NSSA の ABR が使用するタイプ 7 デフォルト ルートを生成します。

同じエリア内のすべてのルータは、そのエリアが NSSA であることを認識している必要があります。認識していないと、ルータ間の通信ができません。


 

ポイントツーポイントの非ブロードキャスト OSPF ネイバの設定

ポイントツーポイントの非ブロードキャスト ネットワークを使用して OSPF ルートをアドバタイズするには、スタティック OSPF ネイバを定義する必要があります。インターフェイスがポイントツーポイントとして設定されている場合、次の制限事項が適用されます。

インターフェイスに対して定義できる OSPF ネイバは 1 つだけです。

OSPF ネイバが、直接接続されたネットワーク上にない場合は、OSPF ネイバをポイントするスタティック ルートを定義する必要があります。

ネイバが明示的に設定されていない場合、インターフェイスでは隣接関係を形成できません。

ポイントツーポイントの非ブロードキャスト ネットワークで OSPF ネイバを定義する手順は、次のとおりです。


ステップ 1 OSPF ネイバが、直接接続されたネットワーク上にない場合は、OSPF ネイバへのスタティック ルートを作成します。デフォルト ルートは使用しないでください。スタティック ルートを作成する方法の詳細については、「スタティック ルートの設定」を参照してください。

ステップ 2 次の作業を行って、OSPF ネイバを定義します。

a. その OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します。次のコマンドを入力します。

hostname(config)# router ospf pid
 

b. 次のコマンドを入力して、OSPF ネイバを定義します。

hostname(config-router)# neighbor addr [interface if_name]
 

addr 引数は、OSPF ネイバの IP アドレスです。 if_name は、ネイバと通信するために使用するインターフェイスです。OSPF ネイバが、直接接続されたどのインターフェイスとも同じネットワーク上にない場合は、 interface を指定する必要があります。

c. まだ設定していない場合は、次のコマンドを入力して、OSPF ネイバに面するインターフェイスに対してネットワークとそれに対応するエリア ID を定義します。

hostname(config-router)# network addr mask area area_id
 

addr mask ペアの範囲には、インターフェイスの IP アドレスが含まれている必要があります。

ステップ 3 次のコマンドを入力して、FWSM がネイバと通信するために使用するインターフェイスを設定します。

hostname(config)# interface vlan
hostname(config-if)# ospf network point-to-point non-broadcast
 


 

次に、ポイントツーポイントの非ブロードキャスト ネットワーク上で OSPF を設定する例を示します。直接接続されたネットワーク上に OSPF ネイバがないため、スタティック ルートが必要です。

hostname(config)# route ospf_outside 10.3.3.0 255.255.255.0 10.1.1.99 1
 
hostname(config)# interface Vlan55
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config-if)# ospf network point-to-point non-broadcast
hostname(config-if)# exit
 
hostname(config)# router ospf 1
hostname(config-router)# network 10.1.1.0 255.255.255.0 area 100
hostname(config-router)# neighbor 10.3.3.1 interface outside
hostname(config-router)# log-adj-changes
 

OSPF エリア間のルート集約の設定

ルート集約は、アドバタイズされたアドレスの統合を意味します。この機能により、ABR から他のエリアに、1 つの集約ルートだけをアドバタイズできます。OSPF では、ABR が 1 つのエリアのネットワークを別のエリアにアドバタイズします。1 つのエリア内のネットワーク番号が連続して割り当てられている場合、そのエリア内のすべてのネットワークが指定範囲内に収まる 1 つの集約ルートを生成し、そのルートだけがアドバタイズされるように、ABR を設定できます。

ルート集約のアドレス範囲を定義する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、アドレス範囲を設定します。

hostname(config-router)# area area-id range ip-address mask [advertise | not-advertise]
 


 

次に、OSPF エリア間のルート集約を設定する例を示します。

hostname(config)# router ospf 1
hostname(config-router)# area 17 range 12.1.0.0 255.255.0.0
 

OSPF へのルート再分配時のルート集約の設定

他のプロトコルからのルートが OSPF に再分配される場合、各ルートは外部 LSA により個別にアドバタイズされます。ただし、ネットワーク アドレスとマスクの範囲を指定することにより、範囲内のすべての再分配ルートを含む単一ルートがアドバタイズされるように、FWSM を設定できます。この設定により、OSPF リンク ステート データベースのサイズを縮小できます。

指定したネットワーク アドレスとマスクの範囲内のすべての再分配ルートを 1 つの集約ルートとしてアドバタイズする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、集約アドレスを設定します。

hostname(config-router)# summary-address ip_address mask [not-advertise] [tag tag]
 

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。


 

次に、ルート集約を設定する例を示します。集約アドレス 10.1.0.0 にアドレス 10.1.1.0、10.1.2.0、10.1.3.0 などが含まれています。外部 LSA では、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config)# router ospf 1
hostname(config-router)# summary-address 10.1.0.0 255.255.0.0
 

デフォルト ルートの生成

ASBR に、OSPF ルーティング ドメインへのデフォルト ルートを強制的に生成させることができます。OSPF ルーティング ドメインへのルート再分配を明確に設定すると、ルータは自動的に ASBR になります。ただし、ASBR のデフォルトでは、OSPF ルーティング ドメインへのデフォルト ルートは生成されません。

デフォルト ルートを生成する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ASBR にデフォルト ルートを強制的に生成させます。

hostname(config-router)# default-information originate [always] [metric metric-value] [metric-type {1 | 2}] [route-map map-name]
 


 

次に、デフォルト ルートを生成する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# default-information originate always
 

ルート計算タイマーの設定

OSPF がトポロジー変更を受信してから、SPF の計算を開始するまでの遅延時間を設定できます。また、2 つの連続する SPF 計算の間隔となるホールド間隔を設定できます。

ルート計算タイマーを設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ルート計算時間を設定します。

hostname(config-router)# timers spf spf-delay spf-holdtime
 

spf-delay には、OSPF がトポロジー変更を受信してから、SPF 計算を開始するまでの遅延時間(秒)を指定します。0 ~ 65,535 の整数を指定できます。デフォルトの時間は 5 秒です。0 の値は遅延がないことを意味するので、SPF 計算がただちに開始されます。

spf-holdtime で、連続する 2 回の SPF 計算の最小間隔(秒)を指定します。0 ~ 65,535 の整数を指定できます。デフォルトの時間は 10 秒です。0 を指定すると遅延は発生しません。1 つの SPF 計算の終了後、ただちに次の SPF 計算が開始されます。


 

次に、ルート計算タイマーを設定する例を示します。

hostname(config)# router ospf 1
hostname(config-router)# timers spf 10 120

ネイバのアップまたはダウンのロギング

デフォルトでは、OSPF ネイバがアップまたはダウンになると、システム ログ メッセージが送信されます。

debug ospf adjacency コマンドを実行しないで、OSPF ネイバのアップまたはダウンを調べる場合には、ロギングを設定します。 log-adj-changes ルータ コンフィギュレーション コマンドを使用すると、少ない出力で、高いレベルのピア関係情報が得られます。各ステート変更のメッセージを表示する場合には、 log-adj-changes detail を設定します。

ネイバのアップまたはダウンをロギングする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ネイバのアップ/ダウンに関するロギングを設定します。

hostname(config-router)# log-adj-changes [detail]
 

) 送信するネイバのアップ/ダウン メッセージに対して、ロギングをイネーブルにする必要があります。



 

次に、ネイバのアップ/ダウン メッセージをロギングする例を示します。

hostname(config)# router ospf 1
hostname(config-router)# log-adj-changes detail
 

OSPF アップデート パケット ペーシングの表示

OSPF アップデート パケットは、自動的にペーシングされるので、最低 33 ミリ秒の間隔をあけて送信されます。ペーシングが実行されないと、リンクが遅い状況で一部のアップデート パケットが失われたり、ネイバが適切な速度でアップデートを受信できなかったり、ルータのバッファ スペースが不足したりする可能性があります。たとえば、次のいずれかのトポロジーの場合、ペーシングを行わないと、パケットが廃棄されることがあります。

ポイントツーポイント リンクを使用して高速ルータを低速ルータに接続する場合

フラッディング中に、複数のネイバが 1 つのルータに同時にアップデートを送信する場合

再送信の場合にも、効率を向上させて再送信時の損失を最小限に抑えるために、ペーシングが使用されます。インターフェイスからの送出を待機している LSA を表示することもできます。ペーシングには、OSPF のアップデート パケットと再送信パケットをより効率的に送信できるという利点があります。

この機能は自動的にサポートされるので、設定を行う必要はありません。

指定したインターフェイス上でフラッディングされる待機中 LSA のリストを表示し、OSPF パケット ペーシングを確認するには、次のコマンドを入力します。

hostname# show ospf flood-list if_name
 

OSPF のモニタ

IP ルーティング テーブル、キャッシュ、およびデータベースの内容など、特定の統計情報を表示できます。提供された情報を使用して、リソース利用状況を判別したり、ネットワークの問題を解決したりできます。また、ノードへの到達可能性情報を表示したり、デバイスのパケットがネットワーク上で使用しているルーティング パスを検出したりすることもできます。

各種のルーティング統計情報を表示するには、必要に応じて、次のいずれかの作業を行います。

OSPF ルーティング プロセスに関する一般情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]]
 

ABR および ASBR への内部 OSPF ルーティング テーブルのエントリを表示するには、次のコマンドを入力します。

hostname# show ospf border-routers
 

特定のルータについて、OSPF データベース関連の情報リストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]] database
 

(OSPF パケット ペーシングを確認するために)指定したインターフェイス上でフラッディングを待機中の LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf flood-list if-name
 

OSPF 関連のインターフェイス情報を表示するには、次のコマンドを入力します。

hostname# show ospf interface [if_name]
 

OSPF ネイバ情報をインターフェイス単位で表示するには、次のコマンドを入力します。

hostname# show ospf neighbor [if-name] [neighbor-id] [detail]
 

ルータが要求したすべての LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf request-list neighbor if_name
 

再送信待ちになっているすべての LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf retransmission-list neighbor if_name
 

OSPF プロセスに基づいて設定したすべての集約アドレス再分配情報のリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] summary-address
 

OSPF 関連の仮想リンク情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] virtual-links
 

OSPF プロセスの再起動

OSPF プロセスを再起動し、再分配またはカウンタを消去するには、次のコマンドを入力します。

hostname(config)# clear ospf pid {process | redistribution | counters [neighbor [neighbor-interface] [neighbor-id]]}
 

RIP の設定

ここでは、RIP の設定方法について説明します。ここでは、次の内容について説明します。

「RIP の概要」

「RIP のイネーブル化」

RIP の概要

RIP をサポートするデバイスは、定期的におよびネットワーク トポロジー変更時に、ルーティング アップデート メッセージを送信します。これらの RIP パケットには、デバイスが到達できるネットワークに関する情報とともに、パケットが宛先アドレスに到達するまでの間に通過するルータまたはゲートウェイの数が含まれます。RIP の方が OSPF より多くのトラフィックを生成しますが、初期設定は容易です。

RIP は、初期設定が容易であり、トポロジーの変更時にコンフィギュレーションを更新する必要がないので、スタティック ルートより有利です。RIP の短所は、スタティック ルーティングよりネットワークおよび処理のオーバーヘッドが増えることです。また、RIP をグローバルにイネーブルにすることはできません。

FWSM では、限定バージョンの RIP を使用します。FWSM が到達できるネットワークを示す RIP アップデートは送信されません。ただし、次の方法の一方または両方を使用できます。

パッシブ RIP:FWSM は、RIP アップデートを待ち受けますが、インターフェイスからはネットワークに関するアップデートを送出しません。

パッシブ RIP を使用すると、FWSM は直接接続されていないネットワークについて学習できます。

デフォルト ルート アップデート:FWSM を介して到達可能なあらゆるネットワークを示した通常の RIP アップデートを送信する代わりに、FWSM は FWSM をデフォルト ゲートウェイとして認識する参加デバイスまでのデフォルト ルートを送信します。

デフォルト ルート オプションは、パッシブ RIP と組み合わせて使用することも、単独で使用することもできます。FWSM 上でスタティック ルートを使用し、なおかつダウンストリーム ルータ上でスタティック ルートを設定しない場合は、デフォルト ルート オプションを単独で使用します。通常、外部インターフェイスではデフォルト ルート オプションをイネーブルにしません。FWSM がアップストリーム ルータのデフォルト ゲートウェイになることはあまりないからです。

RIP のイネーブル化

インターフェイス上で RIP をイネーブルにするには、次のコマンドを入力します。

hostname(config)# rip if_name {default | passive} [version {1 | 2 [authentication {text | md5} key key_id]}]
 

rip コマンドをそれぞれの方法について 1 回ずつ入力することで、インターフェイス上の RIP のパッシブ モードおよびデフォルト モードの両方をイネーブルにできます。コマンドの入力例を示します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
 

すべてのインターフェイスでパッシブ RIP をイネーブルにし、デフォルト ルートに関しては内部インターフェイスに限定してイネーブルにするという場合は、次のコマンドを入力します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
hostname(config)# rip outside passive version 2 authentication md5 scorpius 1
 

) コンフィギュレーションをテストする前に、FWSM に接続されたすべてのルータ上で、ARP キャッシュをフラッシュしてください。Cisco ルータの場合、clear arp コマンドを使用して ARP キャッシュをフラッシュします。

OSPF がイネーブルの場合、RIP をイネーブルにすることはできません。


EIGRP の設定

ここでは、EIGRP ルーティングの設定とモニタリングについて説明します。内容は次のとおりです。

「EIGRP ルーティングの概要」

「EIGRP ルーティングのイネーブル化および設定」

「EIGRP スタブ ルーティングのイネーブル化および設定」

「EIGRP 認証のイネーブル化」

「EIGRP ネイバの定義」

「EIGRP へのルートの再分配」

「EIGRP hello 間隔とホールド間隔の設定」

「自動ルート集約のディセーブル化」

「集約アドレスの設定」

「EIGRP スプリット ホライズンのディセーブル化」

「インターフェイス遅延値の変更」

「EIGRP のモニタ」

「ネイバ変更およびネイバ警告メッセージのロギングのディセーブル化」

EIGRP ルーティングの概要

EIGRP は、シスコが開発した拡張バージョンの IGRP です。IGRP および RIP とは異なり、EIGRP では定期ルート アップデートは送信されません。EIGRP アップデートは、ネットワーク トポロジーが変更された場合にだけ送信されます。

FWSM では、ネイバ検出というプロセスを使用して、直接接続されたネットワーク上の他のルータについて動的に学習できます。EIGRP ルータは、マルチキャスト hello パケットを送信して、ネットワークにおける自身の存在を通知します。FWSM は、新しいネイバから hello パケットを受信すると、トポロジー テーブルに初期化ビットを設定してそのネイバに送信します。ネイバは、初期化ビットが設定されたトポロジー アップデートを受信すると、自身のトポロジー テーブルを FWSM に返送します。

hello パケットはマルチキャスト メッセージとして送信されます。hello メッセージに対する応答は想定されていません。ただし、スタティックに定義されたネイバの場合は例外です。 neighbor コマンドを使用してネイバを設定した場合、そのネイバに送信される hello メッセージはユニキャスト メッセージとして送信されます。ルーティング アップデートと確認応答が、ユニキャスト メッセージとして送信されます。

このネイバ関係が確立されると、ネットワーク トポロジーが変更されないかぎり、ルーティング アップデートは交換されません。ネイバ関係は、hello パケットによって維持されます。ネイバから受信した各 hello パケットには、ホールド間隔が設定されています。FWSM は、この時間内にそのネイバから hello パケットを受信すると想定できます。そのネイバによってアドバタイズされたホールド間隔内に、FWSM でそのネイバからの hello パケットを受信しないと、FWSM はそのネイバを到達不能と見なします。

EIGRP では、ルート計算に DUAL というアルゴリズムが使用されます。DUAL では、最小コストのルートだけでなく、宛先へのすべてのルートをトポロジー テーブルに保存します。最小コストのルートはルーティング テーブルに挿入されます。その他のルートはトポロジー テーブルに残ります。メインのルートに障害が発生したら、フィジブル サクセサから別のルートが選択されます。サクセサとは、宛先への最小コスト パスを持ち、パケット転送に使用される隣接ルータです。フィジビリティ計算によって、パスがルーティング ループを形成しないことが保証されます。

フィジブル サクセサがトポロジー テーブル内にない場合、必ずルートの再計算が実行されます。ルートの再計算中、DUAL は EIGRP ネイバにルートを求めるクエリーを送信して、次に EIGRP ネイバがそのネイバにクエリーを送信します。そのルート用のフィジブル サクセサがないルータからは、到達不能メッセージが返されます。

ルートの再計算中、DUAL はルートをアクティブとマーク付けします。デフォルトでは、FWSM は、ネイバから応答が返ってくるのを 3 分間待ちます。FWSM でネイバからの応答を受信しないと、そのルートは stuck-in-active とマーク付けされます。トポロジー テーブル内のルートのうち、応答のないネイバをフィジブル サクセサとしてポイントしているルートはすべて削除されます。

EIGRP ルーティングのイネーブル化および設定

FWSM では、EIGRP ルーティング プロセスを 1 つだけイネーブルにできます。

EIGRP ルーティングをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスを作成し、そのプロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数は、EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 EIGRP ルーティングに参加するインターフェイスとネットワークを設定するには、次のコマンドを入力して、1 つまたは複数の network ステートメントを設定します。

hostname(config-router)# network ip-addr [mask]
 

定義したネットワークに含まれる、直接接続されたネットワークが FWSM によってアドバタイズされます。さらに、定義したネットワークに含まれる IP アドレスを持つインターフェイスだけが EIGRP ルーティング プロセスに参加します。

アドバタイズするネットワークに接続されているインターフェイスを EIGRP ルーティングに参加させない場合は、インターフェイスが接続されているネットワークが対象に含まれるように network コマンドを設定し、 passive-interface コマンドを使用して、そのインターフェイスが EIGRP アップデートを送受信しないようにします。

ステップ 3 (任意)インターフェイスが EIGRP ルーティング メッセージを送受信しないようにするには、次のコマンドを入力します。

hostname(config-router)# passive-interface {default | if-name}
 

default キーワードを使用すると、すべてのインターフェイスで EIGRP ルーティング アップデートがディセーブルになります。 nameif コマンドで定義したインターフェイス名を指定すると、指定したインターフェイスで EIGRP ルーティング アップデートがディセーブルになります。EIGRP ルータ コンフィギュレーションには、複数の passive-interface コマンドを設定できます。

ステップ 4 (任意)候補となるデフォルト ルート情報の送受信を制御するには、次のコマンドを入力します。

hostname(config-router)# no default-information {in | out}
 

no default-information in を設定すると、候補となるデフォルト ルート ビットが受信ルート上でブロックされます。 no default-information out を設定すると、アドバタイズされるルートのデフォルト ルート ビットの設定がディセーブルになります。

ステップ 5 (任意)EIGRP ルーティング アップデートで送信するネットワークをフィルタリングするには、次の手順を実行します。

a. 標準アクセス リストを作成し、その中にアドバタイズするルートを定義します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスを指定して、そのインターフェイスが送信するアップデートだけにフィルタを適用できます。

hostname(config-router): distribute-list acl out [interface if_name]
 

EIGRP ルータ コンフィギュレーションには、複数の distribute-list コマンドを入力できます。

ステップ 6 (任意)EIGRP ルーティング アップデートで受信するネットワークをフィルタリングするには、次の手順を実行します。

a. 標準アクセス リストを作成し、その中に受信したアップデートからフィルタリングするルートを定義します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスを指定して、そのインターフェイスが受信するアップデートだけにフィルタを適用できます。

hostname(config-router): distribute-list acl in [interface if_name]
 

EIGRP ルータ コンフィギュレーションには、複数の distribute-list コマンドを入力できます。


 

EIGRP スタブ ルーティングのイネーブル化および設定

FWSM は EIGRP スタブ ルータとして設定できます。スタブ ルーティングを使用すると、FWSM でのメモリ要件および処理要件を軽減できます。FWSM をスタブ ルータとして設定すると、ローカル以外のトラフィックがすべて配布ルータに転送されるようになり、完全な EIGRP ルーティング テーブルを維持する必要がなくなります。一般に、配布ルータからスタブ ルータに送信する必要があるのは、デフォルト ルートだけです。

スタブ ルータから配布ルータには、指定されたルートだけが伝搬されます。スタブ ルータとして設定された FWSM は、集約ルート、接続されたルート、再分配されたスタティック ルート、外部ルート、および内部ルートを求めるすべてのクエリーに対して、「inaccessible」というメッセージで応答します。FWSM は、スタブとして設定されていると、特殊なピア情報パケットをすべての隣接ルータに送信し、スタブ ルータとしてのステータスを報告します。スタブ ステータスの情報を伝えるパケットを受信したネイバはすべて、スタブ ルータにルートのクエリーを送信しなくなり、スタブ ピアを持つルータはそのピアにクエリーを送信しなくなります。スタブ ルータは、配布ルータに依存して適切なアップデートをすべてのピアに送信します。

EIGRP スタブ ルーティング プロセスをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスを作成し、そのプロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数は、EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 次のコマンドを入力して、配布ルータに接続されているインターフェイスが EIGRP に参加するように設定します。

hostname(config-router)# network ip-addr [mask]
 

ステップ 3 次のコマンドを入力して、スタブ ルーティング プロセスを設定します。スタブ ルーティング プロセスによって配布ルータにアドバタイズされるネットワークを指定する必要があります。スタティック ネットワークおよび接続されたネットワークが自動的にスタブ ルーティング プロセスに再分配されることはありません。

hostname(config-router)# eigrp stub {receive-only | [connected] [redistributed] [static] [summary]}
 


 

EIGRP 認証のイネーブル化

EIGRP ルート認証では、EIGRP ルーティング プロトコルからのルーティング アップデートに対して MD5 認証を実行できます。承認されていない送信元からの不正なルーティング メッセージや虚偽のルーティング メッセージが取り込まれないように、各 EIGRP パケットには MD5 キーを使用したダイジェストが含まれています。

EIGRP ルート認証は、インターフェイスごとに設定します。EIGRP メッセージ認証用として設定されたインターフェイス上にあるすべての EIGRP ネイバには、隣接関係を確立できるように同じ認証モードとキーを設定する必要があります。

EIGRP ルート認証をイネーブルにするには、事前に EIGRP をイネーブルにする必要があります。

インターフェイス上で EIGRP 認証をイネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP メッセージ認証を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、EIGRP パケットの MD5 認証をイネーブルにします。

hostname(config-if)# authentication mode eigrp as-num md5
 

as-num 引数は、FWSM で設定されている EIGRP ルーティング プロセスの自律システム番号です。EIGRP がイネーブルになっていない場合、または不適切な番号を入力した場合、FWSM によって次のエラー メッセージが返されます。

% Asystem(100) specified does not exist
 

ステップ 3 次のコマンドを入力して、MD5 アルゴリズムで使用されるキーを設定します。

hostname(config-if)# authentication key eigrp as-num key key-id key-id
 

as-num 引数は、FWSM で設定されている EIGRP ルーティング プロセスの自律システム番号です。EIGRP がイネーブルになっていない場合、または不適切な番号を入力した場合、FWSM によって次のエラー メッセージが返されます。

% Asystem(100) specified does not exist
 

key 引数には、最大 16 文字を指定できます。 key-id 引数は、0 ~ 255 の数値です。


 

EIGRP ネイバの定義

EIGRP hello パケットはマルチキャスト パケットとして送信されます。EIGRP ネイバが、トンネルなど、非ブロードキャスト ネットワークを越えた場所にある場合、そのネイバを手動で定義する必要があります。手動で EIGRP ネイバを定義すると、hello パケットはユニキャスト メッセージとしてそのネイバに送信されます。

EIGRP ネイバを手動で定義する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数は、EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 次のコマンドを入力して、スタティック ネイバを定義します。

hostname(config-router)# neighbor ip-addr interface if_name
 

ip-addr 引数は、ネイバの IP アドレスです。 if-name 引数は、そのネイバに到達するために経由するインターフェイスの名前( nameif コマンドで指定したもの)です。1 つの EIGRP ルーティング プロセスに対して複数のネイバを定義できます。


 

EIGRP へのルートの再分配

OSPF で検出されたルートを EIGRP ルーティング プロセスに再分配できます。スタティック ルートおよび接続されたルートも、EIGRP ルーティング プロセスに再分配できます。スタティック ルートまたは接続されたルートが、EIGRP コンフィギュレーション内の network ステートメントで指定された範囲に含まれている場合は、再分配の必要はありません。

ルートを EIGRP ルーティング プロセスに再分配する手順は、次のとおりです。


ステップ 1 (任意)ルート マップを作成して、指定されたルーティング プロトコルのどのルートを RIP ルーティング プロセスに再分配するのかを詳細に定義します。ルート マップを作成する方法の詳細については、「ルート マップの定義」を参照してください。

ステップ 2 EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

ステップ 3 (任意)次のコマンドを入力して、EIGRP ルーティング プロセスに再分配するルートに適用するデフォルト メトリックを指定します。

hostname(config-router)# default-metric bandwidth delay reliability loading mtu
 

EIGRP ルータ コンフィギュレーションに default-metric を指定しない場合、各 redistribute コマンドにメトリック値を指定する必要があります。 redistribute コマンドに EIGRP メトリックを指定し、EIGRP ルータ コンフィギュレーションに default-metric コマンドが含まれている場合、 redistribute コマンドのメトリックが使用されます。

ステップ 4 選択したルート タイプを EIGRP ルーティング プロセスに再分配するには、次のいずれかのオプションを選択します。

接続されたルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute connected [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

スタティック ルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute static [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

OSPF ルーティング プロセスのルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute ospf pid [match {internal | external [1 | 2] | nssa-external [1 | 2]}] [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

EIGRP ルータ コンフィギュレーションに default-metric コマンドが含まれていない場合、 redistribute コマンドに EIGRP メトリック値を指定する必要があります。

EIGRP hello 間隔とホールド間隔の設定

FWSM は、定期的に hello パケットを送信して、ネイバを検出したり、ネイバが到達不能または動作不能になったことを把握したりします。デフォルトでは、hello パケットは 5 秒ごとに送信されます。

hello パケットは、FWSM のホールド間隔をアドバタイズします。ホールド間隔は、EIGRP ネイバに対して、FWSM を到達可能と見なす時間の長さを知らせるものです。アドバタイズされたホールド間隔内にネイバで hello パケットを受信しないと、FWSM は到達不能と見なされます。デフォルトでは、アドバタイズされるホールド間隔は 15 秒です(hello 間隔の 3 倍)。

hello 間隔とアドバタイズされるホールド間隔はどちらもインターフェイスごとに設定します。ホールド間隔は hello 間隔の 3 倍以上に設定することを推奨します。

hello 間隔とアドバタイズされるホールド間隔を設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、hello 間隔またはアドバタイズされるホールド間隔を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 hello 間隔を変更するには、次のコマンドを入力します。

hostname(config)# hello-interval eigrp as-num seconds
 

ステップ 3 ホールド間隔を変更するには、次のコマンドを入力します。

hostname(config)# hold-time eigrp as-num seconds
 


 

自動ルート集約のディセーブル化

自動ルート集約はデフォルトではイネーブルです。EIGRP ルーティング プロセスでは、ネットワーク番号の境界で集約が行われます。そのため、ネットワークが連続していない場合、ルーティングの問題が発生する可能性があります。

たとえば、ネットワーク 192.168.1.0、192.168.2.0、および 192.168.3.0 に接続されているルータがあり、それらのネットワークがすべて EIGRP に参加している場合、EIGRP ルーティング プロセスによってそれらのルートに対して集約アドレス 192.168.0.0 が作成されます。さらにネットワーク 192.168.10.0 と 192.168.11.0 に接続されているルータがこのネットワークに追加され、それらのネットワークが EIGRP に参加すると、これらもまた 192.168.0.0 として集約されます。トラフィックが不適切な場所にルーティングされる可能性をなくすために、競合する集約アドレスを作成するルータでの自動ルート集約をディセーブルにする必要があります。

自動ルート集約をディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no auto-summary
 

) 自動集約アドレスの管理ディスタンスは 5 です。この値は設定できません。


集約アドレスの設定

集約アドレスはインターフェイスごとに設定できます。ネットワーク番号の境界以外で集約アドレスを作成する場合、または自動ルート集約をディセーブルにした FWSM で集約アドレスを使用する場合は、手動で集約アドレスを定義する必要があります。ルーティング テーブルに他にも個別のルートがある場合、EIGRP は、それらすべての個別ルートのメトリックのうち最小のメトリックを使用して、集約アドレスをインターフェイスからアドバタイズします。

集約アドレスを作成する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、集約アドレスを作成するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、集約アドレスを作成します。

hostname(config-if)# summary-address eigrp as-num address mask [distance]
 

デフォルトでは、定義する EIGRP 集約アドレスの管理ディスタンスは 5 になります。この値は、 summary-address コマンドに省略可能な引数 distance を指定することで変更できます。


 

EIGRP スプリット ホライズンのディセーブル化

スプリット ホライズンは、EIGRP アップデート パケットとクエリー パケットの送信を制御します。スプリット ホライズンがインターフェイスでイネーブルになっていると、アップデート パケットとクエリー パケットは、このインターフェイスがネクストホップとなる宛先には送信されません。この方法でアップデート パケットとクエリー パケットを制御すると、ルーティング ループの可能性が低くなります。

デフォルトでは、スプリット ホライズンはすべてのインターフェイスでイネーブルになっています。

スプリット ホライズンは、ルート情報が、その情報の発信元となるインターフェイスからルータによってアドバタイズされないようにします。この動作は、通常、複数のルーティング デバイス間の通信を最適化します(特に、リンクが切断された場合)。ただし、非ブロードキャスト ネットワークでは、この動作が望ましくない場合があります。このような場合は、EIGRP を設定したネットワークを含め、スプリット ホライズンをディセーブルにする必要が生じることもあります。

インターフェイスでスプリット ホライズンをディセーブルにする場合、そのインターフェイス上のすべてのルータとアクセス サーバに対してディセーブルにする必要があります。

EIGRP スプリット ホライズンをディセーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、スプリット ホライズンをディセーブルにするインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 スプリット ホライズンをディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no split-horizon eigrp as-number
 


 

インターフェイス遅延値の変更

インターフェイス遅延値は、EIGRP ディスタンス計算で使用されます。この値はインターフェイスごとに変更できます。

遅延値を変更する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP で使用される遅延値を変更するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 遅延値を変更するには、次のコマンドを入力します。

hostname(config-if)# delay value
 

value は、10 マイクロ秒単位で入力します。つまり、2,000 マイクロ秒の遅延を設定するには、 value に 200 を入力します。

ステップ 3 (任意)インターフェイスに割り当てられている遅延値を表示するには、 show interface コマンドを使用します。


 

EIGRP のモニタ

次のコマンドを使用して、EIGRP ルーティング プロセスをモニタできます。コマンド出力の例と説明については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

EIGRP イベント ログを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] events [{start end} | type]
 

EIGRP ルーティングに参加しているインターフェイスを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] interfaces [if-name] [detail]
 

EIGRP ネイバ テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] neighbors [detail | static] [if-name]
 

EIGRP トポロジー テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] topology [ip-addr [mask] | active | all-links | pending | summary | zero-successors]
 

EIGRP トラフィックの統計情報を表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] traffic
 

ネイバ変更およびネイバ警告メッセージのロギングのディセーブル化

デフォルトでは、ネイバ変更メッセージとネイバ警告メッセージはロギングされます。ネイバ変更メッセージとネイバ警告メッセージのロギングはディセーブルにできます。

ネイバ変更メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-changes
 

ネイバ警告メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-warnings
 

非対称ルーティング サポートの設定

セッションの戻りトラフィックが、発信元と異なるインターフェイスを経由してルーティングされることもあります。フェールオーバー設定では、ある装置から発信された接続の戻りトラフィックが、ピア装置を経由して返送されることがあります。これは一般に、1 つの FWSM 上の 2 つのインターフェイス、またはフェールオーバー ペアの 2 つの FWSM が別々のサービス プロバイダーに接続され、発信接続で NAT アドレスを使用しない場合に起こります。FWSM では、戻りトラフィックは接続情報がないためデフォルトでは廃棄されます。

廃棄が発生する可能性のあるインターフェイス上で asr-group コマンドを使用して、戻りトラフィックの廃棄を阻止できます。 asr-group コマンドで設定したインターフェイスがセッション情報のないパケットを受信すると、同一グループ内の他のインターフェイスのセッション情報を確認します。


) フェールオーバー設定では、スタンバイ ユニットまたはフェールオーバー グループからアクティブ ユニットまたはフェールオーバー グループに転送されるセッション情報について、ステートフル フェールオーバーをイネーブルにする必要があります。


一致が見つからない場合、パケットは廃棄されます。一致が見つかった場合、次のいずれかの処理が行われます。

着信トラフィックがフェールオーバー設定のピア装置で発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは他の装置にリダイレクトされます。このリダイレクションは、セッションがアクティブなかぎり継続します。

着信トラフィックが同一装置上の異なるインターフェイスで発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは再度ストリームに入れられます。

ここでは、次の内容について説明します。

「ASR グループへのインターフェイスの追加」

「非対称ルーティング サポートの例」

ASR グループへのインターフェイスの追加

次のコマンドを入力して、インターフェイスを非対象ルーティング グループに追加します。フェールオーバー設定の装置間で非対象ルーティング サポートを適切に機能させるためには、ステートフル フェールオーバーをイネーブルにする必要があります。

hostname/ctx1(config)# interface if
hostname/ctx1(config-if)# asr-group num
 

num の有効値の範囲は 1 ~ 32 です。ASR グループに参加するインターフェイスごとに、コマンドを入力する必要があります。最大 32 個の ASR グループを作成し、各グループに最大 8 個のインターフェイスを割り当てることができます。


) フェールオーバー設定のスタンバイ ユニットからアクティブ ユニットへのパケットのリダイレクションを可能にするために、アップストリーム ルータおよびダウンストリーム ルータは、VLAN ごとに 1 つの MAC アドレスを使用し、異なる VLAN には異なる MAC アドレスを使用する必要があります。


非対称ルーティング サポートの例

図 8-1 に、アクティブ/アクティブ フェールオーバー設定での非対称ルーティング サポートに asr-group コマンドを使用する例を示します。

図 8-1 アクティブ/アクティブ フェールオーバーでの ASR の例

 

一方の装置でコンテキスト A がアクティブで、もう一方の装置でコンテキスト B がアクティブです。各コンテキストには「outside」という名前のインターフェイスがあり、両方とも asr-group 1 の一部として設定されています。発信トラフィックは、コンテキスト A がアクティブな装置を経由してルーティングされています。ただし、戻りトラフィックはコンテキスト B がアクティブな装置を経由してルーティングされます。通常、装置上に戻りトラフィックのセッション情報はないため、戻りトラフィックは廃棄されます。ただし、インターフェイスは asr-group 番号を使用して設定されているため、装置は同じ asr-group が割り当てられた他のインターフェイスのセッション情報を検索します。そして、装置上でスタンバイ ステートのコンテキスト A の外部インターフェイスでセッション情報を見つけて、戻りトラフィックをコンテキスト A がアクティブな装置に転送します。

トラフィックは、コンテキスト A がスタンバイ ステートの装置上でコンテキスト A の外部インターフェイスを経由して転送され、コンテキスト A がアクティブ ステートの装置上でコンテキスト A の外部インターフェイスを経由して返送されます。転送は、セッションが終了するまで継続します。

Route Health Injection の設定


) この機能は、Cisco IOS Release 12.2(33)SXI 以降に依存し、Catalyst 6500 スイッチでだけ使用可能です。


Route Health Injection(RHI)は、FWSM で設定されている、接続されたルート、スタティック ルート、および NAT アドレスを MSFC ルーティング テーブルに注入するために使用します。マルチコンテキスト モードでは、ダイナミック ルーティング プロトコルがサポートされていないため、この機能は特に役立ちます。その後、MSFC では、ルートを他のルーティング テーブルに再分配できます。

ここでは、次の内容について説明します。

「Route Health Injection の概要」

「RHI の注意事項」

「RHI のイネーブル化」

Route Health Injection の概要

接続されたルート、スタティック ルート、および NAT アドレスについては、FWSM でルートをスイッチのルーティング テーブルに注入できます。これらのルートでは、FWSM インターフェイスの IP アドレスがこれらの各 FWSM ネットワークのネクストホップ IP アドレスとして指定されます。

たとえば、FWSM で NAT を設定した場合、MSFC 上のスタティック ルートを、FWSM インターフェイスをポイントするように設定しないかぎり、MSFC および他の外部ルータでこれらの NAT アドレスが FWSM に接続されていることを把握できません。ただし、RHI を利用すると、FWSM インターフェイスをポイントする NAT アドレスを注入して、MSFC によってそのトラフィックが FWSM に自動的に転送されるようにできます。

FWSM ではシングルコンテキスト モードでしか OSPF または他のダイナミック ルーティング プロトコルをサポートしていないため、RHI をマルチモードで使用することで、ルートを MSFC に注入できます。その後、MSFC で、これらのルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できます。つまり、MSFC ルーティング プロトコルと RHI を利用することで、FWSM をマルチモードで実行していても、FWSM ルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できるようになります。

フェールオーバー設定においては、RHI ルートはアクティブ FWSM からだけ注入されます(これは、アクティブ/スタンバイおよびアクティブ/アクティブの両方の設定に適用されます)。2 つのシャーシ間でアクティブ/アクティブ フェールオーバー モードの FWSM フェールオーバーを使用している場合、両方の FWSM ネットワークにより、アクティブ ステートのコンテキストに対応するルートがそれぞれの MSFC に注入されます。

また、2 つの FWSM のいずれかを宛先としたトラフィックを受信する他のインターフェイス上の 2 つの MSFC 間に HSRP を設定している場合、2 つの MSFC 間に設定されたルーティング プロトコルを選択する必要があります。これにより、各 MFSC で、同じシャーシにないもう一方の FWSM 経由で到達可能なルートを把握できるようになります。2 つの MSFC 間でルーティング情報が交換されない場合、情報の受信は行われず、システムは応答しません。これは、HSRP アクティブ MFSC で、もう一方のシャーシの FWSM 経由で到達可能なネットワークを宛先としたパケットの受信が行われるためです。その場合、HSRP アクティブ MSFC ともう一方の MSFC の間で対象のルートに関する情報が伝達されていないため、パケットは廃棄されるか、デフォルト ゲートウェイに誤って転送される可能性があります。

FWSM では、SCP メッセージを使用して、ルートを MSFC に注入します。

RHI の注意事項

RHI は、シングルコンテキスト モードとマルチコンテキスト モードの両方でサポートされています。

RHI は、ルーテッド ファイアウォール モードではサポートされていますが、トランスペアレント モードではサポートされていません。

RHI は、フェールオーバー設定(アクティブ/スタンバイおよびアクティブ/アクティブ)でサポートされています。

ネクストホップ インターフェイスとして指定する FWSM インターフェイスは、FWSM と MSFC の間にある SVI にする必要があります。「MSFC へのスイッチ仮想インターフェイスの追加」を参照してください。

RHI のイネーブル化

RHI を設定する手順は、次のとおりです。


ステップ 1 (任意)タイプ(接続されたルート、スタティック ルート、および NAT アドレス)ごとに注入するルートを制限する場合は、注入するルートを次のオブジェクトのいずれかと一致するルートに制限できます。

route-map「ルート マップの定義」を参照してください。ルート マップは、シングルコンテキスト モードでだけ使用可能です。

access-list standard「標準アクセス リストの追加」を参照してください。

(NAT だけ) global「ダイナミック NAT または PAT の設定」を参照してください。

ステップ 2 次のコマンドを入力して、RHI をイネーブルにします。

hostname(config)# route-inject
 

CLI はルート注入コンフィギュレーション モードを開始します。 route-inject コマンドは 1 つだけ設定できます。

ステップ 3 NAT アドレス ルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute nat [route-map map_name | access-list acl_id | global-pool pool_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、 static および global コマンドで定義するすべてのマップ アドレスが注入されます。

注入する NAT アドレスを制限する場合は、 route-map access-list 、または global-pool 引数を指定できます。その場合、一致するアドレスだけが注入されます。 global-pool 引数を使用する場合は、指定する global コマンドの NAT ID が redistribute コマンドと同じインターフェイス上にあることを確認してください。複数のインターフェイス上の複数の global コマンドで同じ NAT ID を使用した場合、 redistribute コマンドと同じインターフェイス上のコマンドだけが使用されます。

redistribute nat コマンドは 1 つだけ入力できます。

ステップ 4 接続されたルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute connected [route-map map_name | access-list acl_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、接続されたすべてのルートが注入されます。

注入するルートを制限する場合は、 route-map または access-list 引数を指定できます。その場合、一致するアドレスだけが注入されます。

redistribute connected コマンドは 1 つだけ入力できます。

ステップ 5 スタティック ルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute static [route-map map_name | access-list acl_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、すべてのスタティック ルートが注入されます。

注入するルートを制限する場合は、 route-map または access-list 引数を指定できます。その場合、一致するアドレスだけが注入されます。

redistribute static コマンドは 1 つだけ入力できます。


 

次に、アクセス リスト acl1 と一致する NAT アドレスを注入する例を示します。この例では、VLAN 20 上の 209.165.200.225(外部インターフェイスのアクティブ IP アドレス)をネクストホップとして、209.165.201.0/30 を注入しています。209.165.201.10 ~ .16 のアドレスは注入されません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.225 255.255.255.224 standby 209.165.200.226
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 209.165.201.0 255.255.255.252
hostname(config)# global (outside) 10 209.165.201.1-209.165.201.2 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.201.10-209.165.201.16 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat access-list acl1 interface outside
 

次に、VLAN 20 上の 209.165.200.250 をネクストホップとして、209.165.202.129 ~ .131 および 209.165.202.140 ~ .146 を注入する例を示します。DMZ インターフェイス上のグローバル プールおよび外部インターフェイス上のグローバル プール 20 は含まれません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.250 255.255.255.224 standby 209.165.200.251
hostname(config-if)# exit
hostname(config)# global (dmz) 10 209.165.201.1-209.165.201.10 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.202.129-209.165.202.131 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.202.140-209.165.202.146 netmask 255.255.255.0
hostname(config)# global (outside) 20 209.165.202.150-209.165.202.155 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat global-pool 10 interface outside
 

次に、VLAN 20 上の 209.165.200.225 をネクストホップとして、209.165.201.0/27 および 192.0.2.0/24 を注入する例を示します。209.165.202.128/27 は注入されません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.225 255.255.255.224 standby 209.165.200.226
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 209.165.201.0 255.255.255.224
hostname(config)# access-list acl2 standard permit 192.0.2.0 255.255.255.0
hostname(config)# route-map map1 permit 10
hostname(config-route-map)# match ip address acl1 acl2
hostname(config-route-map)# exit
hostname(config)# route inside 209.165.201.0 255.255.255.224 10.1.1.1
hostname(config)# route inside 192.0.2.0 255.255.255.0 10.1.1.1
hostname(config)# route inside 209.165.202.128 255.255.255.224 10.1.1.1
hostname(config)# route-inject
hostname(config-route-inject)# redistribute static route-map map1 interface outside

DHCP の設定

DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。FWSM は DHCP サーバまたは DHCP リレー サービスを、FWSM インターフェイスに接続された DHCP クライアントに提供します。DHCP サーバはネットワーク コンフィギュレーション パラメータを直接 DHCP クライアントに提供します。DHCP リレーでは、あるインターフェイスで受信した DHCP 要求を、別のインターフェイスの背後に配置された外部 DHCP サーバに転送します。

ここでは、次の内容について説明します。

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

DHCP サーバの設定

ここでは、FWSM の DHCP サーバを設定する方法について説明します。ここでは、次の内容について説明します。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバで Cisco IP Phone を使用する方法」

DHCP サーバのイネーブル化

FWSM は DHCP サーバとして動作可能です。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定値をホストに供給するプロトコルです。


) FWSM の DHCP サーバは BOOTP 要求をサポートしません。

マルチコンテキスト モードの場合、複数のコンテキストが使用するインターフェイス上で DHCP サーバまたは DHCP リレーをイネーブルにすることはできません。


FWSM の各インターフェイス上で DHCP サーバを設定できます。各インターフェイスは、アドレスを抽出する固有のアドレス プールを持つことができます。ただし、DNS サーバ、ドメイン名、オプション、ping タイムアウト、WINS サーバなどのその他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバで使用されます。

DHCP クライアントまたは DHCP リレー サービスを、サーバがイネーブル化されたインターフェイス上で設定することはできません。また、DHCP クライアントは、サーバがイネーブル化されたインターフェイスに直接接続する必要があります。

特定の FWSM インターフェイス上で DHCP サーバをイネーブルにする手順は、次のとおりです。


ステップ 1 DHCP アドレス プールを作成します。次のコマンドを入力して、アドレス プールを定義します。

hostname(config)# dhcpd address ip_address-ip_address interface_name
 

FWSM は、このプールからアドレスを 1 つクライアントに割り当て、一定時間だけ使用できるようにします。これらのアドレスは、直接接続されたネットワークで使用する、変換されないローカル アドレスです。

アドレス プールは、FWSM インターフェイスと同じサブネットになければなりません。

ステップ 2 (任意)次のコマンドを入力して、クライアントに使用させる DNS サーバ(複数可)の IP アドレス(複数可)を指定します。

hostname(config)# dhcpd dns dns1 [dns2]
 

DNS サーバを 2 つまで指定できます。

ステップ 3 (任意)次のコマンドを入力して、クライアントに使用させる WINS サーバ(複数可)の IP アドレス(複数可)を指定します。

hostname(config)# dhcpd wins wins1 [wins2]
 

WINS サーバを 2 つまで指定できます。

ステップ 4 (任意)次のコマンドを入力して、クライアントに付与するリース期間を変更します。

hostname(config)# dhcpd lease lease_length
 

このリースとは、リース期限が切れるまでに、割り当てられた IP アドレスをクライアントが使用できる時間の長さ(秒)です。0 ~ 1,048,575 の値を入力します。デフォルト値は 3,600 秒です。

ステップ 5 (任意)次のコマンドを入力して、クライアントが使用するドメイン名を設定します。

hostname(config)# dhcpd domain domain_name
 

ステップ 6 (任意)次のコマンドを入力して、DHCP の ping タイムアウト値を設定します。

hostname(config)# dhcpd ping_timeout milliseconds
 

アドレスの競合を防ぐために、FWSM はアドレスを DHCP クライアントに割り当てる前に、アドレスに 2 つの ICMP ping パケットを送信します。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7 (トランスペアレント ファイアウォール モード)デフォルト ゲートウェイを定義します。DHCP クライアントに送信するデフォルト ゲートウェイを定義するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip gateway_ip
 

DHCP オプション 3 を使用してデフォルト ゲートウェイを定義しない場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8 次のコマンドを入力して、FWSM 内の DHCP デーモンがイネーブルになったインターフェイス上で DHCP クライアント要求を待ち受けるようにします。

hostname(config)# dhcpd enable interface_name
 


 

たとえば、内部インターフェイスに接続されたホストに 10.0.1.101 ~ 10.0.1.110 の範囲を割り当てる場合、次のコマンドを入力します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129
hostname(config)# dhcpd wins 209.165.201.5
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

DHCP オプションの設定

RFC 2132 に示されている DHCP オプションの情報を送信するように FWSM を設定できます。DHCP オプションは次の 3 つのいずれかのカテゴリに属します。

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

FWSM は、DHCP オプションの 3 つのカテゴリすべてをサポートします。DHCP オプションを設定するには、次のいずれかを実行します。

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ip addr_1 [addr_2]
 

テキスト文字列を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ascii text
 

16 進数値を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code hex value
 

) FWSM は、ユーザが指定したオプション タイプおよび値が RFC 2132 で定義されたオプション コードの予測タイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello を入力した場合、オプション 46 は RFC 2132 で 1 桁の 16 進数値として定義されているにもかかわらず、FWSM はこのコンフィギュレーションを受け付けます。オプション コードとオプション コードに対応付けられたタイプおよび予測値の詳細については、RFC 2132 を参照してください。


表 8-1 に、 dhcpd option コマンドでサポートされない DHCP オプションを示します。

 

表 8-1 サポート対象外の DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

特定オプション(DHCP オプション 3、66、150)を使用して Cisco IP Phone を設定します。これらのオプションの設定については、「DHCP サーバで Cisco IP Phone を使用する方法」を参照してください。

DHCP サーバで Cisco IP Phone を使用する方法

小規模な支社で構成される企業が Cisco IP Telephony Voice over IP(VoIP)ソリューションを実装する場合、通常、セントラル オフィスに Cisco CallManager を配置して、小規模な支社の Cisco IP Phone を制御します。この方式によって、コール処理を一元化し、必要な装置数を減らし、支社で Cisco CallManager やその他のサーバを管理する余分な負担を排除できます。

Cisco IP Phone は、TFTP サーバからコンフィギュレーションをダウンロードします。Cisco IP Phone が起動したときに、IP アドレスと TFTP サーバの IP アドレスの両方があらかじめ設定されていなかった場合、Cisco IP Phone はオプション 150 または 66 を指定した要求を DHCP サーバへ送り、この情報を取得します。

DHCP オプション 150 を指定すると、TFTP サーバ リストの IP アドレスが得られます。

DHCP オプション 66 を指定すると、単一 TFTP サーバの IP アドレスまたはホスト名が得られます。

Cisco IP Phone は、要求に DHCP オプション 3 を含めることもあります。この場合、デフォルト ルートが設定されます。

Cisco IP Phone は、1 つの要求にオプション 150 と 66 の両方を含めることがあります。この場合、FWSM DHCP サーバは、FWSM 上で値が設定されていれば、両方のオプションに対応する値を応答として提供します。

RFC 2132 で指定されている大部分のオプションに対応する情報を送信するように、FWSM を設定できます。次に、オプション番号の構文とともに、よく使用されるオプション 66、150、および 3 の構文を示します。

次のコマンドを入力して、RFC 2132 の指定に従って、オプション番号が含まれている DHCP 要求に対応する情報を提供します。

hostname(config)# dhcpd option number value
 

次のコマンドを入力して、オプション 66 に対応する TFTP サーバの IP アドレスまたは名前を提供します。

hostname(config)# dhcpd option 66 ascii server_name
 

次のコマンドを入力して、オプション 150 に対応する 1 つまたは 2 つの TFTP サーバの IP アドレスまたは名前を提供します。

hostname(config)# dhcpd option 150 ip server_ip1 [server_ip2]
 

server_ip1 は、プライマリ TFTP サーバの IP アドレスまたは名前です。 server_ip2 は、セカンダリ TFTP サーバの IP アドレスまたは名前です。オプション 150 を使用して、最大 2 つの TFTP サーバを指定できます。

デフォルト ルートを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip router_ip1
 

DHCP リレー サービスの設定

ここでは、FWSM の DHCP リレー サービスを設定する方法について説明します。ここでは、次の内容について説明します。

「DHCP リレーの概要」

「DHCP リレー エージェントの設定」

「DHCP オプション 82 の維持」

「DHCP リレーのコンフィギュレーションの確認」

DHCP リレーの概要

インターフェイスで受信した DHCP 要求を 1 つまたは複数の DHCP サーバに転送するように DHCP リレー エージェントを設定できます。インターフェイスに DHCP 要求が届くと、ユーザの設定に基づいて、FWSM からその要求がリレーされる DHCP サーバが決定されます。設定できるサーバのタイプは次のとおりです。

インターフェイス固有の DHCP サーバ:特定のインターフェイスに要求が届くと、その要求はインターフェイス固有のサーバにだけリレーされます。

グローバル DHCP サーバ:インターフェイス固有のサーバが設定されていないインターフェイスに要求が届くと、その要求はすべてのグローバル サーバにリレーされます。インターフェイスにインターフェイス固有のサーバが設定されている場合、グローバル サーバは使用されません。

DHCP リレー エージェントの利用には、次の制約があります。

DHCP サーバ機能がイネーブルのときに、リレー エージェントをイネーブルにすることはできません。

DHCP リレー サービスは、トランスペアレント ファイアウォール モードでは使用できません。ただし、アクセス リストを使用して DHCP トラフィックを通過させることはできます。トランスペアレント モードで DHCP 要求および応答が FWSM を通過できるようにするには、内部インターフェイスから外部インターフェイスへの DHCP 要求を許可するアクセス リストと別方向のサーバからの応答を許可するアクセス リストの 2 つのアクセス リストを設定する必要があります。

FWSM にクライアントを直接接続する必要があります。クライアントから別のリレー エージェントまたはルータを介して要求を送ることはできません。

マルチコンテキスト モードの場合、複数のコンテキストが使用するインターフェイス上で DHCP リレーをイネーブルにすることはできません。

DHCP リレー エージェントの設定

DHCP リレーをイネーブルにする手順は、次のとおりです。


ステップ 1 次のいずれかまたは両方の方法を使用して、DHCP サーバの IP アドレスを設定します。

インターフェイス固有のサーバを設定するには、次のコマンドを入力します。

hostname(config)# interface {vlan vlan_id | mapped_name}
hostname(config-if)# dhcprelay server ip_address
 

vlan vlan_id または mapped_interface 引数は、DHCP リレーをイネーブルにするインターフェイスです。

dhcprelay server コマンドは、インターフェイスごとに最大で 4 回入力できます。各コンテキストまたはシングルモードで許容されるサーバ数は、グローバル サーバを含め、最大 10 台です。

インターフェイス固有のサーバは、設定されているグローバル サーバより優先されます。

DHCP リレーをイネーブルにするインターフェイスに DHCP サーバが存在していてはなりません (FWSM では、ルーティング テーブルを使用して、DHCP サーバに接続されているインターフェイスが判別されます)。


) クライアントと既存のグローバル DHCP サーバの間ですでに接続が確立されている状況で、インターフェイス固有のサーバ アドレスを設定した場合、サーバ アドレスのリース期限が切れるまで、クライアントではグローバル サーバが引き続き使用されます。リース期限が切れると、新しい接続でインターフェイス固有のサーバが使用されます。


グローバル サーバを設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay server ip_address if_name
 

if_name 引数は、DHCP サーバに接続されたインターフェイスです。DHCP サーバは、DHCP リレーをイネーブルにする DHCP クライアントとは別のインターフェイスに存在している必要があります。

このコマンドは 10 回まで使用でき、最大 10 サーバ(インターフェイス固有のサーバを含む)を指定できます。

ステップ 2 次のコマンドを入力して、クライアントに接続されたインターフェイス上で DHCP リレーをイネーブルにします。

hostname(config)# dhcprelay enable interface
 

DHCP リレーは複数のインターフェイスでイネーブルにできます。ただし、DHCP サーバに接続されているインターフェイスで DHCP リレーを設定することはできません。たとえば、内部 1 および内部 2 インターフェイスで DHCP リレーを設定し、外部インターフェイスおよび DMZ インターフェイスで DHCP サーバを設定できます。内部 1 または内部 2 ではどのサーバも設定できません。

ステップ 3 (任意)次のコマンドを入力して、リレー アドレス ネゴシエーションが可能な秒数を設定します。

hostname(config)# dhcprelay timeout seconds
 

ステップ 4 (任意)次のコマンドを入力して、DHCP サーバから FWSM インターフェイスのアドレスに送信されるパケットに組み込む、最初のデフォルト ルータ アドレスを変更します。

hostname(config)# dhcprelay setroute if_name
 

この作業によって、DHCP サーバで別のルータが指定されている場合でも、クライアントは FWSM に接続できるデフォルト ルートを設定できます。

パケットにデフォルト ルータ オプションが指定されていない場合、FWSM はインターフェイス アドレスが含まれているオプションを 1 つ追加します。


 

次に、FWSM が、内部 1 および内部 2 インターフェイスに接続されたクライアントからの DHCP 要求を、外部インターフェイス上のグローバル DHCP サーバおよび DMZ インターフェイス上のグローバル DHCP サーバに転送できるようにする例を示します。

hostname(config)# dhcprelay server 209.165.200.225 outside
hostname(config)# dhcprelay server 209.165.201.4 dmz
hostname(config)# dhcprelay enable inside1
hostname(config)# dhcprelay setroute inside1
hostname(config)# dhcprelay enable inside2
hostname(config)# dhcprelay setroute inside2
 

次に、FWSM が、(VLAN 20 上の)内部 1 インターフェイスに接続されたクライアントからの DHCP 要求を、(外部インターフェイス上の)インターフェイス固有の DHCP サーバに転送できるようにする例を示します。内部 2 インターフェイスでは、外部インターフェイスおよび DMZ インターフェイス上のグローバル DHCP サーバが使用されます。外部インターフェイス上のグローバル DHCP サーバは、内部 1 インターフェイス用のインターフェイス固有のサーバと同一です。

hostname(config)# interface vlan 20
hostname(config-if)# dhcprelay server 209.165.200.225
hostname(config)# dhcprelay server 209.165.200.225 outside
hostname(config)# dhcprelay server 209.165.201.4 dmz
hostname(config)# dhcprelay enable inside1
hostname(config)# dhcprelay setroute inside1
hostname(config)# dhcprelay enable inside2
hostname(config)# dhcprelay setroute inside2

DHCP オプション 82 の維持

ここでは、DHCP オプション 82 の機能について説明します。この機能では、DHCP リレー エージェントで DHCP クライアントからの DHCP 要求を DHCP サーバに転送するときに、リレー エージェント自体および接続されたクライアントに関する情報を付加できるようにします。

DHCP リレー エージェントで信頼できない送信元からの DHCP パケットを受信した場合、そのパケットにオプション 82 がすでに設定されていても、giaddr(パケットをサーバに転送する前にリレー エージェントで設定される DHCP リレー エージェント アドレス)フィールドが 0 に設定されていれば、パケットはデフォルトで廃棄されます。また、DHCP リレー エージェントが DSLAM デバイスの背後にある場合も、パケットは廃棄されます。必要に応じて、インターフェイスを信頼できるインターフェイスとして指定することで、オプション 82 を維持したままパケットを転送できます。この機能により、スイッチ上の DHCP スヌーピングおよび IP ソース ガード機能が FWSM と連動するようになります。

DHCP スヌーピングは、信頼できない DHCP メッセージをフィルタリングし、DHCP スヌーピング バインディング テーブルを作成および管理することで、ネットワーク セキュリティを実現する DHCP セキュリティ機能です。

この機能は、IPv4 および IPv6 アドレスが設定されたインターフェイス上でイネーブルにできます。

特定のインターフェイスを信頼できるインターフェイスとして設定し、オプション 82 を維持するには、次のコマンドを入力します。

hostname(config)# interface interface {vlan vlan_id | mapped_name}
hostname(config-if)# dhcprelay information trusted
 

すべてのインターフェイスを信頼できるインターフェイスとして設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay information trust-all
 

共有されているインターフェイスおよび DHCP サーバが設定されているインターフェイスを除き、すべてのインターフェイスが信頼できるインターフェイスとして設定されます。

インターフェイス固有の信頼できるコンフィギュレーションとグローバルな信頼できるコンフィギュレーションは共存できます。たとえば、3 つのインターフェイス A、B、C が存在し、ユーザがインターフェイス固有のコマンドを使用してインターフェイス A を信頼できるインターフェイスとして設定するとします。さらに、ユーザはグローバル コマンドも設定します。

その場合、A、B、C の 3 つすべてのインターフェイスが信頼できるインターフェイスになります。no dhcprelay information trust-all コマンドを入力した場合、インターフェイス B と C は信頼できないインターフェイスになります。インターフェイス固有の信頼できるコンフィギュレーションは削除されないため、インターフェイス A は信頼できるインターフェイスのまま残ります。

DHCP リレーのコンフィギュレーションの確認

インターフェイス固有の DHCP リレーのコンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config dhcprelay interface [vlan vlan_id | mapped_name]
 

グローバル DHCP リレーのコンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config dhcprelay global