Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
IP ルーティングおよび DHCP サービスの設定
IP ルーティングおよび DHCP サービスの設定
発行日;2012/06/24 | 英語版ドキュメント(2011/10/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

IP ルーティングおよび DHCP サービスの設定

FWSM 内でのルーティングの仕組み

出力インターフェイスの選択プロセス

ネクストホップの選択プロセス

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートの設定

デフォルト ルートの設定

スタティック ルートまたはデフォルト ルートのモニタリング

ルート モニタリングを使用したバックアップ ゲートウェイ冗長性の提供

ルート マップの定義

BGP スタブ ルーティングの設定

BGP スタブの制限事項

BGP スタブ ルーティングの設定

BGP スタブ ルーティングのモニタ

BGP スタブ ルーティング プロセスの再起動

OSPF の設定

OSPF の概要

OSPF のイネーブル化

OSPF プロセス間でのルートの再分配

OSPF インターフェイスのパラメータの設定

OSPF エリア パラメータの設定

OSPF NSSA の設定

ポイントツーポイントの非ブロードキャスト OSPF ネイバーの設定

OSPF エリア間のルート集約の設定

OSPF へのルート再分配時のルート集約の設定

デフォルト ルートの生成

ルート計算タイマーの設定

ネイバーがアップ状態またはダウン状態になった時点でのロギング

OSPF アップデート パケット ペーシングの表示

OSPF のモニタリング

OSPF プロセスの再起動

RIP の設定

RIP の概要

RIP のイネーブル化

EIGRP の設定

EIGRP ルーティングの概要

EIGRP ルーティングのイネーブル化および設定

EIGRP スタブ ルーティングのイネーブル化および設定

EIGRP 認証のイネーブル化

EIGRP ネイバーの定義

EIGRP へのルート再配布

EIGRP hello 間隔とホールド間隔の設定

自動ルート集約のディセーブル化

集約アドレスの設定

EIGRP スプリット ホライズンのディセーブル化

インターフェイス遅延値の変更

EIGRP のモニタリング

ネイバー変更およびネイバー警告メッセージのロギングのディセーブル化

非対称ルーティング サポートの設定

ASR グループへのインターフェイスの追加

非対称ルーティング サポートの例

Route Health Injection の設定

Route Health Injection の概要

RHI の注意事項

RHI のイネーブル化

DHCP の設定

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

DHCP サーバを利用する Cisco IP Phone の使用

DHCP リレー サービスの設定

DHCP リレーの概要

DHCP リレー エージェントの設定

DHCP オプション 82 の維持

DHCP リレーのコンフィギュレーションの確認

IP ルーティングおよび DHCP サービスの設定

この章では、FWSM で IP ルーティングと DHCP を設定する方法について説明します。この章では、次の内容について説明します。

「FWSM 内でのルーティングの仕組み」

「スタティック ルートおよびデフォルト ルートの設定」

「ルート マップの定義」

「BGP スタブ ルーティングの設定」

「OSPF の設定」

「RIP の設定」

「EIGRP の設定」

「非対称ルーティング サポートの設定」

「Route Health Injection の設定」

「DHCP の設定」

FWSM 内でのルーティングの仕組み

FWSM では、ルーティング テーブルと XLATE テーブルの両方を使用してルーティングを決定します。FWSM では、宛先 IP 変換の対象、つまり非変換トラフィックを処理するために、既存の XLATE またはスタティック変換を検索して出力インターフェイスを選択します。選択プロセスは次のとおりです。

出力インターフェイスの選択プロセス

宛先 IP 変換用 XLATE がすでに存在する場合、パケットの出力インターフェイスはルーティング テーブルではなく、XLATE テーブルに基づいて決定されます。

宛先 IP 変換用 XLATE が存在せず、照合用スタティック変換が存在する場合、出力インターフェイスはスタティック ルートに基づいて決定され、XLATE が作成されます。ルーティング テーブルは使用されません。

宛先 IP 変換用 XLATE も照合用スタティック変換も存在しない場合、パケットの宛先 IP 変換は実行されません。FWSM では、ルートを検索して出力インターフェイスを選択することでこのパケットを処理します。その後、(必要に応じて)送信元 IP 変換が実行されます。

したがって、標準のダイナミック発信 NAT の場合、初期発信パケットはルート テーブルに基づいてルーティングされ、XLATE が作成されます。返信された着信パケットは、既存の XLATE だけに基づいて転送されます。スタティック NAT の場合、宛先変換の着信パケットは、常に既存の XLATE またはスタティック変換ルールに基づいて転送されます。

ネクストホップの選択プロセス

前述のいずれかの方法を使用して出力インターフェイスを選択した後、さらにルート ルックアップが実行され、これまでに選択した出力インターフェイスに属する適切なネクストホップが検出されます。選択されたインターフェイスに明示的に属するルートがルーティング テーブルに存在しない場合、パケットは廃棄され、レベル 6 のエラー メッセージ 110001(「 no route to host 」)が生成されます。これは、所定の宛先ネットワーク用として、他の出力インターフェイスに属する別のルートが存在する場合でも同様です。選択した出力インターフェイスに属するルートが見つかると、パケットは対応するネクストホップに転送されます。

FWSM での負荷分散は、複数のネクストホップが利用可能で、単一の出力インターフェイスを使用している場合にだけ可能です。ロード シェアリングでは、複数の出力インターフェイスの共有はできません。

ただし、次の状況に該当する場合は例外です。

FWSM でダイナミック ルーティングが使用されており、XLATE の作成後にルート テーブルが変更されると(ルート フラップが発生した場合など)、宛先変換トラフィックは、古い XLATE がタイムアウトするまで、ルート テーブルではなく、その XLATE に基づいて転送されます。古いルートが古いインターフェイスから削除され、ルーティング プロセスによって別のインターフェイスに接続された場合、トラフィックは不適切なインターフェイスに転送されるか、または廃棄されてメッセージ 110001(「 no route to host 」)が生成される可能性があります。

FWSM 自体でルート フラップが発生しなくても、一部のルーティング プロセスが FWSM の周囲をフラッピングし、別のインターフェイスを使用して FWSM 経由の同一フローに属する送信元変換パケットを送信している場合、同じ問題が発生することがあります。宛先変換の返信パケットは、不適切な出力インターフェイスを使用して戻される可能性があります。

この問題は、ほぼすべてのトラフィックがフロー内の初期パケットの方向に基づいて送信元変換または宛先変換のどちらかになる、同一セキュリティ トラフィックのコンフィギュレーションで高い確率で発生します。

ルート フラップ後にこの問題が発生した場合、 clear xlate コマンドを使用して手動で解決するか、XLATE タイムアウトによって自動的に解決できます。XLATE のタイムアウトは、必要に応じて小さくできます。この問題がほとんど発生しないようにするには、FWSM やその周りでルート フラップが発生しないようにします。つまり、同一フローに属する宛先変換パケットが FWSM 経由で常に同じ方向に転送されるようにしてください。

スタティック ルートおよびデフォルト ルートの設定

ここでは、FWSM でスタティック ルートとデフォルト ルートを設定する方法について説明します。

マルチコンテキスト モードはダイナミック ルーティングをサポートしないので、ネットワークと FWSM の間にルータが配置されている場合など、FWSM が直接接続されていないネットワークには、スタティック ルートを使用する必要があります。

次の場合は、シングル コンテキスト モードでスタティック ルートを使用します。

ネットワークで RIP または OSPF 以外の Router Discovery Protocol を使用する場合

ネットワークが小規模でスタティック ルートを容易に管理できる。

ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルト ゲートウェイが外部の場合、FWSM に直接接続されていない内部ネットワークには、デフォルト ルートからトラフィックを転送できません。

トランスペアレント ファイアウォール モードでは、FWSM を発信元とする、直接接続されていないネットワークを宛先とするトラフィックには、どのインターフェイスからトラフィックを送信するのかを FWSM が認識できるように、デフォルト ルートまたはスタティック ルートのどちらかを設定する必要があります。FWSM が発信元になるトラフィックには、システム ログ サーバ、Websense/N2H2 サーバ、AAA サーバなどへの通信が含まれます。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。


) 管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。


FWSM は、インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまでサポートするので、ロード バランシングが可能です。

ここでは、次の内容について説明します。

「スタティック ルートの設定」

「デフォルト ルートの設定」

「スタティック ルートまたはデフォルト ルートのモニタリング」

IPv6 スタティック/デフォルト ルートの設定の詳細については、「IPv6 デフォルト/スタティック ルートの設定」を参照してください。

スタティック ルートの設定

スタティック ルートを追加するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [distance]
 

dest_ip および mask は宛先ネットワークの IP アドレスであり、 gateway_ip はネクストホップ ルータのアドレスです。

distance はルートのアドミニストレーティブ ディスタンスです。値を指定しない場合、デフォルトは 1 です。アドミニストレーティブ ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトのアドミニストレーティブ ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。OSPF で検出されるルートのデフォルトのアドミニストレーティブ ディスタンスは 110 です。スタティック ルートとダイナミック ルートのアドミニストレーティブ ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、関連するインターフェイスがダウンすると、スタティック ルートはルーティング テーブルから削除されます。インターフェイスが元に戻ると、スタティック ルートは復旧します。


) FWSM で動作中のルーティング プロトコルのアドミニストレーティブ ディスタンスよりも長いアドミニストレーティブ ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。


次に、10.1.1.0/24 宛てのすべてのトラフィックを、内部インターフェイスに接続されたルータ(10.1.2.45)に送信するスタティック ルートを作成する例を示します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
 

インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまで定義できます。ECMP は複数のインターフェイス間ではサポートされていません。ECMP では、トラフィックは必ずしもルート間で均等に分割されるわけではありません。トラフィックは、送信元 IP アドレスおよび宛先 IP アドレスをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。

次に、外部インターフェイス上の 3 台のゲートウェイにトラフィックを転送する、コストの等しいスタティック ルートの例を示します。FWSM は、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
 

デフォルト ルートの設定

デフォルト ルートでは、FWSM が、学習したルートまたはスタティック ルートのないすべての IP パケットを送信するゲートウェイ IP アドレスを識別します。デフォルト ルートは、宛先 IP アドレスが 0.0.0.0/0 のスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。

デバイスごとに、コストの等しいデフォルト ルート エントリを 3 つまで定義できます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

コストの等しいデフォルト ルート エントリを 3 つより多く定義しようとすると、または定義済みのデフォルト ルートとは異なるインターフェイスでデフォルト ルートを定義しようとすると、「ERROR: Cannot add route entry, possible conflict with existing routes.」というメッセージが表示されます。

デフォルト ルートを定義するには、次のコマンドを入力します。

hostname(config)# route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance]
 

ヒント 宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力することができます。たとえば、hostname(config)# route outside 0 0 192.168.1 1 のように入力します。

次に、コストの等しい 3 つのデフォルト ルートが設定された FWSM の例を示します。FWSM が受信したトラフィックで、スタティック ルートまたは学習したルートのないものは、IP アドレス 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイ間に分配されます。

hostname(config)# route outside 0 0 192.168.2.1
hostname(config)# route outside 0 0 192.168.2.2
hostname(config)# route outside 0 0 192.168.2.3
 

スタティック ルートまたはデフォルト ルートのモニタリング


) 現在モニタできるのは、route-monitor コマンドで規定されているように、1 つのネットワークのルートだけです。


複数のスタティック ルートまたはデフォルト ルートを設定した場合、アクティブ ルートに問題がないかどうかをモニタするように設定して、問題がある場合は、ルータがダウンしたときにネットワーク上の別のルートに切り替えることができます。

その場合、FWSM のルート モニタリング プロセスによって、設定された時間間隔(ユーザが設定可能)で ICMP クエリーが送信され、宛先ネットワークへの最良の 2 つのスタティック ルートとバックアップ ルートが決定されます。ICMP クエリーの送信間隔は interval キーワードで設定します。有効な値は 100 ~ 3,000 秒で、デフォルト値は 300 ミリ秒です。クエリーは必ず、選択されたルータの両方に送信され、現在の稼動ステータスがローカルに保持されます。

メトリック ディスタンスが最小の 2 つのルートが選択され、そのうち小さい方がトラフィックを送信する最良パスとして決定されます。FWSM では、 route-monitor コマンドによって、設定されているスタティック ルートの中から最良の 2 つのルートが自動的に選択されます。現在のルートがダウンすると、次の最良パスが必ずルーティング テーブルに組み込まれ、現在のルートはバックアップ ルートになります。

ICMP クエリーで、 failures キーワードで設定されたしきい値数(ユーザが設定可能)を受け取らなければ、そのルータは到達不能であると見なされます。 failures キーワードは、ルータがダウンしていると見なされる(デフォルト値は 5 秒)までに応答がなくても許容する ICMP クエリーの最大数です。この時点で、バックアップ ルートが優先され(到達可能であった場合)、最良ルートになります。それに伴って、元のルートがバックアップ ルートになります。

元の最良ルートが再び到達可能になると、そのルートに切り替えられ、現在の最良ルートがバックアップ ルートになります。両方のルートが到達不能になった場合は、両方ともバックアップ ルートになります。ただし、ルーティング テーブルは変更されません。

スタティック ルートまたはデフォルト ルートをモニタして、ルータがダウンしたときに別のパスに切り替えるには、コマンドライン インターフェイス ツールを使用して次のコマンドを入力します。

hostname(config-if)# route-monitor network_address network_mask [query_interval interval ] [max-failures failures ]

ルート モニタリングを使用したバックアップ ゲートウェイ冗長性の提供

FWSM のルート モニタリング機能を使用すると、プライマリおよびセカンダリ(バックアップ)の両方のルートをルーティング テーブルにインストールできます。FWSM は、(ICMP ping を介して)ネクストホップ ゲートウェイが到達可能な限り、プライマリ ルートを使用します。ネクストホップ ゲートウェイが到達不能になると、プライマリ ルートは削除され、セカンダリ(バックアップ)ルートがテーブルにインストールされます。プライマリ ルートのネクストホップ ゲートウェイが再び到達可能になると、プライマリ ルートが復元されます。

ルート モニタリング機能を使用すると、プライマリ ゲートウェイが使用できなくなったときにシングル バックアップ ゲートウェイを間単に使用できます。この機能を使用するには、FWSM がバージョン 4.0(1) 以降を実行している必要があります。


) ルートモニタ機能は、スタティック ルートのみで機能します。


図 8-1 に示されるルーティング コンフィギュレーションでは、VLAN 10 インターフェイスに 203.0.113.0/24 ネットワークへの 2 つのルートがあります。最初のルートは、プライマリ ゲートウェイ 10.10.10.1 を介したルートで、バックアップ ルートは、10.10.10.2 ゲートウェイを介したルートです。

図 8-1 ルーティング設定

 

既存の設定は次のとおりです。

interface Vlan10
nameif Outside
security-level 0
ip address 10.10.10.200 255.255.255.0
!
route Outside 203.0.113.0 255.255.255.0 10.10.10.1 1
route Outside 203.0.113.0 255.255.255.0 10.10.10.2 1
 

この設定では、10.10.10.2 ゲートウェイをバックアップとして使用します。そのためには、次のコマンドを入力します。

hostname(config)# route-monitor 203.0.113.0 255.255.255.0
 

route-monitor コマンドは、追跡するデバイスの IP アドレスまたはホストではなく、追跡するルートのネットワークおよびネットマスクを使用します。識別したネットワークでは、FWSM は、static route コマンドで指定されたネクストホップ ゲートウェイへの ICMP ping の送信を開始します。


route-monitor コマンドが入力されると、FWSM は、設定のセカンド(バックアップ)ルートが使用されないように、このアドミニストレーティブ ディスタンスを増やします。また、次のメッセージが表示されます。

The Metric of 10.10.10.2 is changed to 2 due to Route Monitoring.
Route Monitor requires ICMP be permitted on the interfaces which has 203.0.113.0 Route.
 

2 つめのメッセージは、FWSM が宛先とされるすべての ICMP トラフィック(ルート モニタの echo-reply を含む)をデフォルトでドロップすることを通知する情報目的のメッセージです。そのため、 icmp permit コマンドを使用して、ゲートウェイからの echo-reply をイネーブルにする必要があります。この場合、次のコマンドを入力して、10.10.10.0/24 ネットワークの任意のデバイスからのすべての echo-reply が許可されます。

hostname(config)# icmp permit 10.10.10.0 255.255.255.0 echo-reply Outside
 

このコマンドを設定すると、 show route コマンドを入力して、ルーティング テーブルを表示できます。

hostname(config)# show route
 
C 10.10.10.0 255.255.255.0 is directly connected, Outside
C 10.36.0.0 255.255.0.0 is directly connected, inside
S 172.16.0.0 255.255.0.0 [1/0] via 10.36.1.1, inside
S 203.0.113.0 255.255.255.0 [1/0] via 10.10.10.1, Outside
 

) ルーティング テーブルにインストールされる 203.0.113.0/24 へのプライマリ ルートのみを参照できます。


次に、 show running-config route コマンドの出力例を示します。これは、203.0.113.0/24 へのバックアップ ルートが設定にあるが、そのアドミニストレーティブ ディスタンスが 2 に増加していることを示します。

hostname(config)# show run route
 
route Outside 203.0.113.0 255.255.255.0 10.10.10.1 1
route Outside 203.0.113.0 255.255.255.0 10.10.10.2 2
route inside 172.16.0.0 255.255.0.0 10.36.1.1 1
 

ルート モニタリングがイネーブルにされると、FWSM は、ICMP echo-request を 300 ミリ秒ごとにネクストホップ ゲートウェイに送信します。この値は、 route-monitor コマンドの最後にオプションの query-interval キーワードを使用して設定できます。クエリーの指定範囲は、100 ミリ秒~ 3 秒です。

ネクストホップ ゲートウェイが到達不能になり、echo-reply が 5 回返答されないと(または 1.5 秒(300 ms * 5)経過すると)、FWSM は、プライマリ ルートのアドミニストレーティブ ディスタンスを増加し、ルーティング テーブルから削除し、バックアップ ルートがインストールされます。FWSM が障害発生と判別するまでの echo-reply の返答のない回数は、 route-monitor コマンドの最後にオプションの max-failures キーワードを使用して設定することもできます。指定できる範囲は 3 ~ 10 です。

次に、 show route コマンドの出力例を示します。これは、アドミニストレーティブ ディスタンス 2 でインストールされたバックアップ ルートを示します。

hostname(config)# show route
 
C 10.10.10.0 255.255.255.0 is directly connected, Outside
C 10.36.0.0 255.255.0.0 is directly connected, inside
S 172.16.0.0 255.255.0.0 [1/0] via 10.36.1.1, inside
S 203.0.113.0 255.255.255.0 [2/0] via 10.10.10.2, Outside
 

次に、 show running-config route コマンドの出力例を示します。この例では、プライマリ ルートのアドミニストレーティブ ディスタンス(3)が、バックアップ ルートのアドミニストレーティブ ディスタンス(2)を超えています。

hostname(config)# show run route
route Outside 203.0.113.0 255.255.255.0 10.10.10.2 2
route Outside 203.0.113.0 255.255.255.0 10.10.10.1 3
route inside 172.16.0.0 255.255.0.0 10.36.1.1 1
 

ルートモニタが正しく機能しているか確認するには、 debug route-monitor コマンドをイネーブルにします。

hostname(config)# debug route-monitor
Route-Monitor Debug is on
 
RM: Sending Ping to 10.10.10.1; Success
RM: Sending Ping to 10.10.10.2; Success
RM: Sending Ping to 10.10.10.1; Success
RM: Sending Ping to 10.10.10.2; Success
RM: Sending Ping to 10.10.10.1; Success
RM: Sending Ping to 10.10.10.2; Success
 

ネクスト ホップ ゲートウェイが到達不能になると、デバッグ メッセージは次のように変わります。

RM: Sending Ping to 10.10.10.1; Failure
RM: Sending Ping to 10.10.10.2; Success
RM: Sending Ping to 10.10.10.1; Failure
RM: Sending Ping to 10.10.10.1; Failure
RM: Sending Ping to 10.10.10.2; Success
RM: Sending Ping to 10.10.10.1; Failure
RM: Sending Ping to 10.10.10.1; Failure
 

ルート マップの定義

ルート マップは、プロセス間でルートを再分配するため、または Route Health Injection(RHI)用に使用されます。ルート マップを定義して、サポートされている機能で使用できるようにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、ルート マップ エントリを作成します。

hostname(config)# route-map name {permit | deny} [sequence_number]
 

ルート マップのエントリは順番に読み取られます。この順序は、 sequence_number オプションを使用して指定できます。このオプションで指定しなければ、エントリを追加した順序が FWSM で使用されます。

ステップ 2 1 つまたは複数の match コマンドを入力します。

宛先ネットワークが標準アクセス リストと一致するルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip address acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

メトリックが指定されたルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match metric metric_value
 

metric_value には、0 ~ 4294967295 が指定できます。

ネクストホップ ルータ アドレスが標準アクセス リストと一致するルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip next-hop acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

ネクストホップ インターフェイスが指定されているルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match interface if_name
 

複数のインターフェイスを指定する場合、ルートはいずれかのインターフェイスと一致します。

標準アクセス リストと一致するルータによってアドバタイズされたルートを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match ip route-source acl_id [acl_id] [...]
 

複数のアクセス リストを指定した場合、いずれかのアクセス リストが一致するルートを検出します。

ルート タイプを照合する場合は、次のコマンドを入力します。

hostname(config-route-map)# match route-type {internal | external [type-1 | type-2]}
 

ステップ 3 1 つまたは複数の set コマンドを入力します。

ルートが match コマンドと一致すると、次の set コマンドによって、再分配の前にルートに対して実行するアクションが決まります。

メトリックを設定する場合は、次のコマンドを入力します。

hostname(config-route-map)# set metric metric_value
 

metric_value には 0 ~ 294,967,295 の任意の値を指定できます。

メトリック タイプを設定する場合は、次のコマンドを入力します。

hostname(config-route-map)# set metric-type {type-1 | type-2}
 


 

次に、ホップ カウントが 1 のルートを再分配する例を示します。FWSM は、メトリックが 5、メトリック タイプが Type 1、タグが 1 の外部 LSA として、これらのルートを再分配します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

BGP スタブ ルーティングの設定

FWSM では、BGP スタブ ルーティングがサポートされています。BGP スタブ ルーティング プロセスでは、スタティック ルートおよび直接接続されたルートをアドバタイズしますが、BGP ピアによってアドバタイズされたルートは許容されません。

BGP スタブ ルーティングはライセンス対象機能です。この機能を設定するには、BGP スタブ ルーティングをサポートするライセンス キーを保有しているか、入手する必要があります。

ここでは、次の内容について説明します。

「BGP スタブの制限事項」

「BGP スタブ ルーティングの設定」

「BGP スタブ ルーティングのモニタ」

「BGP スタブ ルーティング プロセスの再起動」

BGP スタブの制限事項

FWSM で BGP スタブ ルーティングを設定する場合、次の制限事項が適用されます。

設定できる BGP ルーティング プロセスは 1 つだけです(マルチコンテキスト モードでも同様)。

設定できる BGP ネイバーは 1 つだけです(マルチコンテキスト モードでも同様)。

FWSM では、BGP ネイバーから受信した UPDATE メッセージは処理されません。ルーティング アップデートを BGP ネイバーに送信することだけが可能です。

FWSM では、スタティック ルートおよび直接接続されたネットワークだけがアドバタイズされます。他のルーティング プロトコルからのルートを BGP ルーティング プロセスに再分配することはできません。

マルチコンテキスト モードの FWSM では、BGP ピアに到達するために経由するインターフェイスを含み、さらに network コマンドが設定されているコンテキストのスタティック ルートおよび直接接続されたネットワークだけをアドバタイズできます。BGP ネイバーに到達するために経由するインターフェイスが複数のコンテキストで共有されている場合は、そのインターフェイスを共有するコンテキスト内のすべてのスタティック ルートおよび直接接続されたネットワークを BGP ルーティング プロセスで利用できます。

BGP スタブでは、IPv6、VPN、または NLRI マルチキャストはサポートされていません。

iBGP だけがサポートされ、eBGP はサポートされていません。

BGP スタブ ルーティングの設定

FWSM で BGP スタブ ルーティングを設定する前に、次の点に注意してください。

BGP ネイバーでルート リフレクタをイネーブルにする必要があります。

FWSM がマルチコンテキスト モードの場合は、管理コンテキストで BGP スタブ ルーティングを設定する必要があります。さらに、管理コンテキストがルーテッド モードである必要もあります。


) マルチコンテキスト モードでは管理コンテキストで BGP ルーティング プロセスを設定しますが、アドバタイズできるのは、BGP ピアに到達するために経由するコンテキストのスタティック ルートおよび直接接続されたネットワークだけです。


BGP ルーティング プロセスをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、BGP ルーティング プロセスを作成します。

hostname(config)# router bgp as-number
 

as-number 引数は、他の BGP ルータに対して FWSM を識別し、転送されるルーティング情報をタグ付けする Autonomous System(AS; 自律システム)番号です。BGP ネイバーの AS 番号と同じ番号を指定する必要があります。このコマンドを入力すると、コマンド プロンプトが hostname(config-router)# に変わります。これは、指定したルーティング プロセスのルータ コンフィギュレーション モードが開始されたことを示します。

ステップ 2 (任意)次のコマンドを入力して、FWSM のルータ ID を指定します。ルータ ID を入力しなかった場合、FWSM で設定されている最上位の IP アドレスが使用されます。

hostname(config-router)# bgp router-id id
 

id には、FWSM で設定されていない IP アドレスを含め、任意の IP アドレスを指定できます。このコマンドを指定しなかった場合、FWSM で設定されている最上位の IP アドレスがルータ ID として使用されます。

ステップ 3 次のコマンドを入力して、BGP アップデートの送信先 BGP ネイバーを指定します。

hostname(config-router)# neighbor ip-addr remote-as as-number
 

ip-addr 引数は、BGP ネイバーの IP アドレスです。 as-number は、BGP ネイバーの自律システム番号です。FWSM で router コマンドを使用して設定した AS 番号と同じ番号を指定する必要があります。

ステップ 4 (任意)ネイバーへの BGP メッセージを認証するために使用するパスワードを入力します。BGP メッセージの交換を可能にするには、このパスワードをネイバーと FWSM の両方に設定する必要があります。

hostname(config-router)# neighbor ip-addr password [mode] password
 

ip-addr 引数は、 neighbor コマンドで定義した BGP ネイバーの IP アドレスです。 mode 引数には、0 ~ 7 の値を指定できます。指定する場合は、BGP ネイバーで同じモードを使用する必要があります。 password 引数は、英数字の文字列です。スペース以外のキーボード記号を含めることができます。

ステップ 5 network コマンドを使用して、BGP ルーティング プロセスでアドバタイズするネットワークを指定します。FWSM では、最大 200 の network コマンドを設定できます。

hostname(config-router)# network ip-addr mask mask
 

BGP スタブ ルーティング プロセスでは、スタティック ルートおよび直接接続されたネットワークだけがアドバタイズされます。 network コマンドでは、BGP アップデートでこれらのネットワークのうちどれをアドバタイズするかを定義します。


 

BGP スタブ ルーティングのモニタ

次のコマンドを使用して、BGP ルーティング プロセス、ネイバー、およびアドバタイズされたルートに関する情報を表示できます。マルチコンテキスト モードの場合、これらのコマンドは管理コンテキストで入力します。

BGP ルーティング プロセスに関する情報を表示するには、次のコマンドを入力します。

hostname# show ip bgp summary
 

BGP ネイバー情報を表示するには、次のコマンドを入力します。

hostname# show ip bgp neighbors
 

BGP ルーティング プロセスでアドバタイズされたルートを表示するには、次のコマンドを入力します。

hostname# show ip bgp neighbors advertised-routes
 

BGP ルーティング プロセスのデバッグ メッセージを表示するには、次のコマンドを入力します。

hostname# debug ip bgp
 

これらのコマンドの出力の詳細については、『 Catalyst 6500 Series and Cisco 7600 Series Switch Firewall Services Module Command Reference 』のコマンド情報を参照してください。

BGP スタブ ルーティング プロセスの再起動

ネイバーで確立された BGP セッションをクリアし、セッションに関連付けられている統計カウンタを消去し、ネイバーで BGP を再起動するには、次のコマンドを入力します。

hostname(config)# clear ip bgp neighbor-addr
 

OSPF の設定

ここでは、OSPF の設定方法について説明します。ここでは、次の内容について説明します。

「OSPF の概要」

「OSPF のイネーブル化」

「OSPF プロセス間でのルートの再分配」

「OSPF インターフェイスのパラメータの設定」

「OSPF エリア パラメータの設定」

「OSPF NSSA の設定」

「ポイントツーポイントの非ブロードキャスト OSPF ネイバーの設定」

「OSPF エリア間のルート集約の設定」

「OSPF へのルート再分配時のルート集約の設定」

「デフォルト ルートの生成」

「ルート計算タイマーの設定」

「ネイバーがアップ状態またはダウン状態になった時点でのロギング」

「OSPF アップデート パケット ペーシングの表示」

「OSPF のモニタリング」

「OSPF プロセスの再起動」

OSPF の概要

OSPF は、リンクステート アルゴリズムを使用して、すべての既知の宛先までの最短パスを構築および計算します。OSPF エリア内の各ルータには、ルータが使用可能なインターフェイスと到達可能なネイバーそれぞれのリストである同一のリンクステート データベースが置かれています。

RIP に比べると OSPF は次の点で有利です。

OSPF のリンクステート データベースのアップデート送信は RIP ほど頻繁ではありません。また、古くなった情報のタイムアウトで徐々にアップデートされるのではなく、リンクステート データベースは瞬時にアップデートされます。

ルーティング決定はコストに基づいて行われます。これは、特定のインターフェイスを介してパケットを送信するためにオーバーヘッドが必要であることを示しています。 FWSM は、宛先へのホップ カウントではなくリンクの帯域幅に基づいてコストを計算します。コストは優先パスを指定するために設定できます。

最短パス優先アルゴリズムの欠点は、CPU サイクルとメモリが大量に必要になることです。

FWSM は、OSPF プロトコルのプロセスを 2 つ同時に、異なるインターフェイス セット上で実行できます。同じ IP アドレスを使用する複数のインターフェイス(NAT ではこのようなインターフェイスは共存可能ですが、OSPF ではアドレスの重複は許しません)があるときに、2 つのプロセスを実行する場合があります。あるいは、一方のプロセスを内部で実行しながら別のプロセスを外部で実行し、ルートのサブセットをこの 2 つのプロセス間で再配布する場合もあります。同様に、プライベート アドレスをパブリック アドレスから分離する必要がある場合もあります。

2 つの OSPF プロセス間での再分配がサポートされます。FWSM では、OSPF がイネーブルのインターフェイス上で設定したスタティック ルートおよび接続されたルートを、OSPF プロセスに再分配することもできます。OSPF がイネーブルの場合、FWSM で RIP をイネーブルにすることはできません。RIP と OSPF 間の再分配はサポートされません。

FWSM は次の OSPF 機能をサポートします。

エリア内ルート、エリア間ルート、および外部ルート(タイプ I とタイプ II)のサポート

仮想リンクのサポート

OSPF LSA フラッディング

OSPF パケットの認証(パスワード認証と MD5 認証の両方)

FWSM を指定ルータまたは指定バックアップ ルータとして設定。 FWSM を Area Boundary Router(ABR; エリア境界ルータ)として設定することもできますが、FWSM を ASBR として設定する機能はデフォルト情報だけ(デフォルト ルートの導入など)に限定されています。

スタブ エリアと not so stubby エリア(NSSA)のサポート

ABR タイプ 3 LSA フィルタリング

スタティック アドレス変換およびグローバル アドレス変換のアドバタイズ

OSPF のイネーブル化

OSPF をイネーブルにするには、OSPF ルーティング プロセスを作成し、このルーティング プロセスに関連付ける IP アドレスの範囲を指定し、さらにその IP アドレスの範囲にエリア ID を割り当てる必要があります。


) RIP がイネーブルの場合、OSPF をイネーブルにすることはできません。


OSPF をイネーブルにする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、OSPF ルーティング プロセスを作成します。

hostname(config)# router ospf process_id
 

このコマンドによって、この OSPF プロセスに対応するルータ コンフィギュレーション モードが開始されます。

process_id は、このルーティング プロセス内部で使用される識別子です。任意の正の整数が使用できます。この ID は内部専用のため、他のどのデバイス上の ID とも照合する必要はありません。最大 2 つのプロセスが使用できます。

ステップ 2 次のコマンドを入力して、OSPF を実行する IP アドレスを定義し、さらにそのインターフェイスのエリア ID を定義します。

hostname(config-router)# network ip_address mask area area_id
 


 

次に、OSPF をイネーブルに設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.0.0.0 255.0.0.0 area 0
 

OSPF プロセス間でのルートの再分配

FWSM は、OSPF ルーティング プロセス間のルート再配布を制御できます。FWSM は、 redistribute コマンドの設定値に従って、またはルート マップを使用することによって、ルートを照合して変更します。ルート マップのその他の用途については、「デフォルト ルートの生成」も参照してください。


) 注:FWSM でサポートされているすべてのタイプのルート(接続されたルート、スタティック ルート、およびダイナミック ルート)で許容されるルート エントリの最大数は 32,768(つまり、32K)です。


ある OSPF プロセスから別の OSPF プロセスにスタティック ルート、接続されたルート、または OSPF ルートを再分配する手順は、次のとおりです。


ステップ 1 ルート マップを作成する方法については、「ルート マップの定義」を参照してください。

ステップ 2 次のコマンドを入力して、再分配先の OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 3 次のコマンドを入力して、再分配するルートを指定します。

hostname(config-router)# redistribute {ospf process_id [match {internal | external 1 | external 2}] | static | connect} [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

ospf process_id static 、および connect キーワードでは、どの場所からルートを再分配するかを指定します。

このコマンドのオプションを使用して、ルート プロパティを照合したり設定したりできます。またはルート マップを使用することもできます。 tag オプションおよび subnets オプションに相当するオプションは、 route-map コマンドにはありません。ルート マップと redistribute コマンドのオプションを両方とも使用する場合は、両方を一致させる必要があります。


 

次に、メトリックが 1 のルートと照合することによって、OSPF プロセス 1 から OSPF プロセス 2 にルートを再分配する例を示します。FWSM は、メトリックが 5、メトリック タイプが Type 1、タグが 1 の外部 LSA として、これらのルートを再分配します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
hostname(config-route-map)# set tag 1
hostname(config-route-map)# router ospf 2
hostname(config-router)# redistribute ospf 1 route-map 1-to-2
 

次に、指定した OSPF プロセスのルートが OSPF プロセス 109 に再分配される例を示します。OSPF メトリックは 100 に再マッピングされます。

hostname(config)# router ospf 109
hostname(config-router)# redistribute ospf 108 metric 100 subnets
 

次に、リンク ステート コストが 5、メトリック タイプが外部に設定されたルート再分配の例を示します。この場合、内部メトリックよりプライオリティが下がります。

hostname(config)# router ospf 1
hostname(config-router)# redistribute ospf 2 metric 5 metric-type external
 

OSPF インターフェイスのパラメータの設定

インターフェイス固有の OSPF パラメータは、必要に応じて変更できます。これらのパラメータは、特に変更する必要はありませんが、一部のインターフェイス パラメータについては、接続先ネットワーク上のすべてのルータで一致している必要があります。該当するパラメータは、 ospf hello-interval ospf dead-interval 、および ospf authentication-key です。これらのパラメータのいずれかを設定する場合は、ネットワーク上のすべてのルータのコンフィギュレーションに適合する値にするようにしてください。

OSPF インターフェイス パラメータを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、インターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface if_name
 

ステップ 2 次のコマンドを任意で入力します。

インターフェイスの認証タイプを指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf authentication [message-digest | null]
 

OSPF 簡易パスワード認証を使用中のネットワーク セグメントに存在するネイバー OSPF ルータで使用するパスワードを割り当てるには、次のコマンドを入力します。

hostname(config-interface)# ospf authentication-key key
 

key には、最大 8 バイトの連続する文字列が指定できます。

このコマンドで作成するパスワードはキーとして使用され、このキーは FWSM のソフトウェアによるルーティング プロトコル パケットの発信時に OSPF ヘッダーに直接挿入されます。別のパスワードをインターフェイス単位で各ネットワークに割り当てることができます。OSPF 情報を交換するには、同じネットワーク上のすべての隣接ルータが同じパスワードを持っている必要があります。

OSPF インターフェイス上でのパケット送信コストを明示的に指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf cost cost
 

cost は、1 ~ 65535 の整数です。

hello パケットの最後の受信から、デバイスで近接する OSPF ルータのダウンを宣言するまでの待機時間(秒)を設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf dead-interval seconds
 

この値は、ネットワーク上のすべてのノードで一致させる必要があります。

FWSM が OSPF インターフェイス上で送信する hello パケットの時間間隔を指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf hello-interval seconds
 

この値は、ネットワーク上のすべてのノードで一致させる必要があります。

OSPF MD5 認証をイネーブルにする場合は、次のコマンドを入力します。

hostname(config-interface)# ospf message-digest-key key_id md5 key
 

次の値を設定します。

key_id :範囲 1 ~ 255 の識別子

key :最大 16 バイトの英数字によるパスワード

通常は、インターフェイスあたり 1 つのキーを使用して、パケット送信時に認証情報を生成するとともに着信パケットを認証します。隣接ルータの同一キー識別子は、キー値を同一にする必要があります。

1 インターフェイスで複数のキーを保持しないことをお勧めします。新しいキーを追加したらその都度古いキーを削除して、ローカル システムが古いキー情報を持つ悪意のあるシステムと通信を続けることのないようにしてください。古いキーを削除すると、ロールオーバー中のオーバーヘッドを減らすことにもなります。

ネットワーク用の OSPF 指定ルータを決定するときに役立つプライオリティを設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf priority number_value
 

number_value は、0 ~ 255 です。

OSPF インターフェイスに属している隣接ノードへの LSA 再送信間隔(秒)を指定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf retransmit-interval seconds
 

seconds は、接続ネットワーク上の 2 つのルータ間で予期される往復遅延より大きくする必要があります。値の範囲は 1 ~ 65535 秒です。デフォルトは 5 秒です。

OSPF インターフェイス上でリンク ステート アップデート パケットを送信するときに必要な推定秒数を設定する場合は、次のコマンドを入力します。

hostname(config-interface)# ospf transmit-delay seconds
 

seconds は 1 ~ 65,535 秒です。デフォルトは 1 秒です。


 

次に、OSPF インターフェイスを設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.1.1.0 255.255.255.0 area 0
hostname(config-router)# interface inside
hostname(config-interface)# ospf cost 20
hostname(config-interface)# ospf retransmit-interval 15
hostname(config-interface)# ospf transmit-delay 10
hostname(config-interface)# ospf priority 20
hostname(config-interface)# ospf hello-interval 10
hostname(config-interface)# ospf dead-interval 40
hostname(config-interface)# ospf authentication-key cisco
hostname(config-interface)# ospf message-digest-key 1 md5 cisco
hostname(config-interface)# ospf authentication message-digest
 

次に、 show ospf コマンドの出力例を示します。

hostname(config)# show ospf
 
Routing Process "ospf 2" with ID 20.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 5. Checksum Sum 0x 26da6
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 1
Area has no authentication
SPF algorithm executed 2 times
Area ranges are
Number of LSA 5. Checksum Sum 0x 209a3
Number of opaque link LSA 0. Checksum Sum 0x 0
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
 

OSPF エリア パラメータの設定

複数のエリア パラメータを設定できます。これらのエリア パラメータ(次の作業手順を参照)には、認証の設定、スタブ エリアの定義、およびデフォルトの集約ルートへの特定コストの割り当てが含まれます。認証では、エリアへの不正アクセスに対してパスワードベースで保護します。

スタブ エリアに外部ルートに関する情報は送信されません 代わりに、自律システムの外部の宛先のスタブ エリア内には、ABR によって生成されるデフォルトの外部ルートがあります。OSPF スタブ エリアのサポートを活用するには、デフォルトのルーティングをスタブ エリアで使用する必要があります。スタブ エリアに送信される LSA 数を減らすには、ABR に area stub コマンドの no-summary キーワードを設定して、ABR からスタブ エリアへの集約リンク アドバタイズ(LSA タイプ 3)の送信を阻止できます。

ネットワークにエリア パラメータを指定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを任意で入力します。

OSPF エリアの認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication
 

OSPF エリアの MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication message-digest
 

エリアをスタブ エリアとして定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id stub [no-summary]
 

スタブ エリアで使用するデフォルトの集約ルートに、特定のコストを割り当てるには、次のコマンドを入力します。

hostname(config-router)# area area-id default-cost cost
 

cost は、1 ~ 65535 の整数です。デフォルト値は 1 です。


 

次に、OSPF エリア パラメータを設定する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# area 0 authentication
hostname(config-router)# area 0 authentication message-digest
hostname(config-router)# area 17 stub
hostname(config-router)# area 17 default-cost 20
 

OSPF NSSA の設定

Not-So-Stubby Area(NSSA)の OSPF への実装は、OSPF のスタブ エリアに似ています。NSSA では、コアからエリアへのタイプ 5 外部 LSA のフラッディングは実行されませんが、限定された方法で、AS の外部ルートをエリア内にインポートできます。

NSSA では、再分配により、NSSA エリア内にタイプ 7 AS 外部ルートをインポートします。これらのタイプ 7 LSA は、NSSA の ABR によってタイプ 5 LSA に変換され、ルーティング ドメイン全体へフラッディングされます。変換時には、集約およびフィルタリングがサポートされます。

OSPF を使用する中央サイトから異なるルーティング プロトコルを使用するリモート サイトに接続しなければならない ISP またはネットワーク管理者は、NSSA を使用することによって管理を簡略化できます。

NSSA が実装される前は、企業サイトの境界ルータとリモート ルータ間の接続では、OSPF スタブ エリアとしては実行されませんでした。これは、リモート サイト向けのルートは、スタブ エリアに再配布することができず、2 種類のルーティング プロトコルを維持する必要があったためです。一般的には RIP などの簡易プロトコルを使用し、再配布を行っていました。NSSA の実装により、企業ルータとリモート ルータ間のエリアを NSSA として定義することで、リモート接続にも OSPF を適用できます。

OSPF NSSA を設定するために必要なエリア パラメータをネットワークに指定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを任意で入力します。

NSSA エリアを定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id nssa [no-redistribution] [default-information-originate]
 

アドレス グループを集約するには、次のコマンドを入力します。

hostname(config-router)# summary address ip_address mask [not-advertise] [tag tag]
 

このコマンドは、ルーティング テーブルの容量縮小に有効です。OSPF でこのコマンドを使用すると、このアドレスでカバーされる再配布ルートすべての集約として、1 つの外部ルートが OSPF ASBR からアドバタイズされます。

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。

次の例では、集約アドレス 10.1.0.0 にアドレス 10.1.1.0、10.1.2.0、10.1.3.0 などが含まれています。外部 LSA では、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config-router)# summary-address 10.1.1.0 255.255.0.0
 

この機能を使用する前に、次のガイドラインを参考にしてください。

外部の宛先に到達するためのタイプ 7 デフォルト ルートを設定できます。この設定により、ルータは NSSA または NSSA の ABR が使用するタイプ 7 デフォルト ルートを生成します。

同じエリア内のすべてのルータは、そのエリアが NSSA であることに合意している必要があります。合意していないと、ルータ間の通信ができません。


 

ポイントツーポイントの非ブロードキャスト OSPF ネイバーの設定

ポイントツーポイントの非ブロードキャスト ネットワークを使用して OSPF ルートをアドバタイズするには、スタティック OSPF ネイバーを定義する必要があります。インターフェイスをポイントツーポイントとして設定したときには、次の制約事項が適用されます。

インターフェイスに対して定義できる OSPF ネイバーは 1 つだけです。

OSPF ネイバーが、直接接続されたネットワーク上にない場合は、OSPF ネイバーをポイントするスタティック ルートを定義する必要があります。

ネイバーを明示的に設定しない限り、インターフェイスは隣接を形成できません。

ポイントツーポイントの非ブロードキャスト ネットワークで OSPF ネイバーを定義する手順は、次のとおりです。


ステップ 1 OSPF ネイバーが、直接接続されたネットワーク上にない場合は、OSPF ネイバーへのスタティック ルートを作成します。デフォルト ルートは使用しないでください。スタティック ルートを作成する方法の詳細については、「スタティック ルートの設定」を参照してください。

ステップ 2 次の作業を行って、OSPF ネイバーを定義します。

a. その OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します。次のコマンドを入力します。

hostname(config)# router ospf pid
 

b. 次のコマンドを入力して、OSPF ネイバーを定義します。

hostname(config-router)# neighbor addr [interface if_name]
 

addr 引数には OSPF ネイバーの IP アドレスを指定します。 if_name は、ネイバーとの通信に使用するインターフェイスです。OSPF ネイバーが直接接続されているインターフェイスのいずれとも同じネットワーク上にない場合、 interface を指定する必要があります。

c. まだ設定していない場合は、次のコマンドを入力して、OSPF ネイバーに面するインターフェイスに対してネットワークとそれに対応するエリア ID を定義します。

hostname(config-router)# network addr mask area area_id
 

addr mask ペアの範囲には、インターフェイスの IP アドレスが含まれている必要があります。

ステップ 3 次のコマンドを入力して、FWSM がネイバーと通信するために使用するインターフェイスを設定します。

hostname(config)# interface vlan
hostname(config-if)# ospf network point-to-point non-broadcast
 


 

次に、ポイントツーポイントの非ブロードキャスト ネットワーク上で OSPF を設定する例を示します。直接接続されたネットワーク上に OSPF ネイバーがないため、スタティック ルートが必要です。

hostname(config)# route ospf_outside 10.3.3.0 255.255.255.0 10.1.1.99 1
 
hostname(config)# interface Vlan55
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config-if)# ospf network point-to-point non-broadcast
hostname(config-if)# exit
 
hostname(config)# router ospf 1
hostname(config-router)# network 10.1.1.0 255.255.255.0 area 100
hostname(config-router)# neighbor 10.3.3.1 interface outside
hostname(config-router)# log-adj-changes
 

OSPF エリア間のルート集約の設定

ルート集約は、アドバタイズされるアドレスを統合することです。この機能を実行すると、1 つのサマリー ルートがエリア境界ルータを通して他のエリアにアドバタイズされます。OSPF のエリア境界ルータは、ネットワークをある 1 つのエリアから別のエリアへとアドバタイズしていきます。あるエリアにおいて連続する複数のネットワーク番号が割り当てられている場合、指定された範囲に含まれるエリア内の個別のネットワークをすべてカバーするサマリー ルートをアドバタイズするようにエリア境界ルータを設定することができます。

ルート集約のアドレス範囲を定義するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、アドレス範囲を設定します。

hostname(config-router)# area area-id range ip-address mask [advertise | not-advertise]
 


 

次に、OSPF エリア間のルート集約を設定する例を示します。

hostname(config)# router ospf 1
hostname(config-router)# area 17 range 12.1.0.0 255.255.0.0
 

OSPF へのルート再分配時のルート集約の設定

他のプロトコルからのルートを OSPF に再配布する場合、各ルートは外部 LSA で個別にアドバタイズされます。その一方で、指定したネットワーク アドレスとマスクでカバーされる再配布ルートすべてに対して 1 つのルートをアドバタイズするように FWSM を設定することができます。この設定によって OSPF リンクステート データベースのサイズが小さくなります。

指定したネットワーク アドレスとマスクの範囲内のすべての再分配ルートを 1 つの集約ルートとしてアドバタイズする手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、集約アドレスを設定します。

hostname(config-router)# summary-address ip_address mask [not-advertise] [tag tag]
 

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。


 

次に、ルート集約を設定する例を示します。集約アドレス 10.1.0.0 にアドレス 10.1.1.0、10.1.2.0、10.1.3.0 などが含まれています。外部 LSA では、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config)# router ospf 1
hostname(config-router)# summary-address 10.1.0.0 255.255.0.0
 

デフォルト ルートの生成

ASBR に、OSPF ルーティング ドメインへのデフォルト ルートを強制的に生成させることができます。OSPF ルーティング ドメイン内へのルート再配布を設定すると、常にルートは自動的に ASBR になります。ただし、ASBR のデフォルトでは、OSPF ルーティング ドメインへのデフォルト ルートは生成されません。

デフォルト ルートを生成する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ASBR にデフォルト ルートを強制的に生成させます。

hostname(config-router)# default-information originate [always] [metric metric-value] [metric-type {1 | 2}] [route-map map-name]
 


 

次に、デフォルト ルートを生成する例を示します。

hostname(config)# router ospf 2
hostname(config-router)# default-information originate always
 

ルート計算タイマーの設定

OSPF によるトポロジ変更受信と最短パス優先(SPF)計算開始との間の遅延時間が設定できます。最初に SPF を計算してから次に計算するまでの保持時間も設定できます。

ルート計算タイマーを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ルート計算時間を設定します。

hostname(config-router)# timers spf spf-delay spf-holdtime
 

spf-delay は、OSPF によるトポロジ変更受信と SPF 計算開始との間の遅延時間(秒)です。0 ~ 65535 の整数に設定できます。デフォルトの時間は 5 秒です。値の 0 は遅延がないことを意味します。つまり、SPF 計算はただちに開始されます。

spf-holdtime は、2 つの連続する SPF 計算の間の最短時間(秒)です。0 ~ 65535 の整数に設定できます。デフォルトの時間は 10 秒です。値の 0 は遅延がないことを意味します。つまり、2 回の SPF 計算がすぐに続けて行われます。


 

次に、ルート計算タイマーを設定する例を示します。

hostname(config)# router ospf 1
hostname(config-router)# timers spf 10 120

ネイバーがアップ状態またはダウン状態になった時点でのロギング

デフォルトでは、OSPF ネイバーがアップまたはダウンになると、システム ログ メッセージが送信されます。

アップ状態またはダウン状態になった OSPF ネイバーについて、 debug ospf adjacency コマンドを実行せずに確認する必要がある場合に、このコマンドを設定します。 log-adj-changes router コンフィギュレーション コマンドでは、少ない出力によってピアの関係が高いレベルで表示されます。各ステート変更のメッセージを表示する場合には、 log-adj-changes detail を設定します。

アップ状態またはダウン状態になったネイバーをログに記録するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する OSPF プロセスに対応するルータ コンフィギュレーション モードを開始します(まだ開始していない場合)。

hostname(config)# router ospf process_id
 

ステップ 2 次のコマンドを入力して、ネイバーのアップ/ダウンに関するロギングを設定します。

hostname(config-router)# log-adj-changes [detail]
 

) 送信するネイバーのアップ/ダウン メッセージに対して、ロギングをイネーブルにする必要があります。



 

次に、ネイバーのアップ/ダウン メッセージをロギングする例を示します。

hostname(config)# router ospf 1
hostname(config-router)# log-adj-changes detail
 

OSPF アップデート パケット ペーシングの表示

OSPF アップデート パケットは、自動的にペーシングされるため、各パケットの送信間隔が 33 ミリ秒未満になることはありません。ペーシングを行わないと、リンクが低速の状態でアップデート パケットの一部が失われたり、ネイバーがアップデートを十分すばやく受信できなくなったり、あるいは、ルータがバッファ スペースを使い切ってしまったりすることがあります。たとえば、ペーシングを行わないと、次のいずれかのトポロジが存在する場合にパケットがドロップされる可能性があります。

高速ルータがポイントツーポイント リンクを介して低速のルータと接続している。

フラッディング中に、複数のネイバーから 1 つのルータに同時にアップデートが送信される。

ペーシングは、再送信間でも、送信効率を高めて再送信パケットの損失を最小にするために利用されます。インターフェイスへの送信を待機している LSA を表示することもできます。ペーシングの利点は、OSPF アップデートおよび再送信パケットの送信の効率をよくすることです。

この機能を設定するタスクはありません。自動的に行われます。

指定したインターフェイス上でフラッディングされる待機中 LSA のリストを表示し、OSPF パケット ペーシングを確認するには、次のコマンドを入力します。

hostname# show ospf flood-list if_name
 

OSPF のモニタリング

IP ルーティング テーブル、キャッシュ、およびデータベースの内容など、特定の統計情報を表示できます。提供された情報を使用して、リソース利用状況を判別したり、ネットワークの問題を解決したりできます。また、ノードの到達可能性情報を表示して、デバイス パケットがネットワークを通過するときのルーティング パスを見つけることもできます。

各種のルーティング統計情報を表示するには、必要に応じて、次のいずれかの作業を行います。

OSPF ルーティング プロセスに関する一般情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]]
 

ABR および ASBR への内部 OSPF ルーティング テーブルのエントリを表示するには、次のコマンドを入力します。

hostname# show ospf border-routers
 

特定のルータについて、OSPF データベース関連の情報リストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]] database
 

(OSPF パケット ペーシングを確認するために)指定したインターフェイス上でフラッディングを待機中の LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf flood-list if-name
 

OSPF 関連のインターフェイス情報を表示するには、次のコマンドを入力します。

hostname# show ospf interface [if_name]
 

OSPF ネイバー情報をインターフェイス単位で表示するには、次のコマンドを入力します。

hostname# show ospf neighbor [if-name] [neighbor-id] [detail]
 

ルータが要求したすべての LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf request-list neighbor if_name
 

再送信待ちになっているすべての LSA のリストを表示するには、次のコマンドを入力します。

hostname# show ospf retransmission-list neighbor if_name
 

OSPF プロセスに基づいて設定したすべての集約アドレス再分配情報のリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] summary-address
 

OSPF 関連の仮想リンク情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] virtual-links
 

OSPF プロセスの再起動

OSPF プロセスを再起動し、再分配またはカウンタを消去するには、次のコマンドを入力します。

hostname(config)# clear ospf pid {process | redistribution | counters [neighbor [neighbor-interface] [neighbor-id]]}
 

RIP の設定

ここでは、RIP の設定方法について説明します。ここでは、次の内容について説明します。

「RIP の概要」

「RIP のイネーブル化」

RIP の概要

RIP をサポートしているデバイスは、ネットワークのトポロジが変更されると、ルーティングアップデート メッセージを所定の間隔で送信します。これらの RIP パケットには、デバイスが到達可能なネットワークに関する情報、さらに宛先アドレスに到達するためにパケットが通過しなければならないルータやゲートウェイの数が含まれています。RIP の方が OSPF より多くのトラフィックを生成しますが、初期設定は容易です。

RIP は、初期コンフィギュレーションが簡単で、トポロジが変更されても設定をアップデートする必要がないため、スタティック ルーティングより有利です。RIP の欠点は、ネットワーク数や処理オーバーヘッドがスタティック ルーティングより大きいことです。また、RIP をグローバルにイネーブルにすることはできません。

FWSM では、限定バージョンの RIP を使用します。FWSM が到達できるネットワークを示す RIP アップデートは送信されません。ただし、次の方法の一方または両方を使用できます。

パッシブ RIP:FWSM は、RIP アップデートを待ち受けますが、インターフェイスからはネットワークに関するアップデートを送出しません。

パッシブ RIP を使用すると、FWSM は直接接続されていないネットワークについて学習できます。

デフォルト ルート アップデート:FWSM を介して到達可能なあらゆるネットワークを示した通常の RIP アップデートを送信する代わりに、FWSM は FWSM をデフォルト ゲートウェイとして認識する参加デバイスまでのデフォルト ルートを送信します。

デフォルト ルート オプションは、パッシブ RIP と組み合わせて使用することも、単独で使用することもできます。FWSM 上でスタティック ルートを使用し、なおかつダウンストリーム ルータ上でスタティック ルートを設定しない場合は、デフォルト ルート オプションを単独で使用します。通常、外部インターフェイスではデフォルト ルート オプションをイネーブルにしません。FWSM がアップストリーム ルータのデフォルト ゲートウェイになることはあまりないからです。

RIP のイネーブル化

インターフェイス上で RIP をイネーブルにするには、次のコマンドを入力します。

hostname(config)# rip if_name {default | passive} [version {1 | 2 [authentication {text | md5} key key_id]}]
 

rip コマンドをそれぞれの方法について 1 回ずつ入力することで、インターフェイス上の RIP のパッシブ モードおよびデフォルト モードの両方をイネーブルにできます。コマンドの入力例を示します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
 

すべてのインターフェイスでパッシブ RIP をイネーブルにし、デフォルト ルートに関しては内部インターフェイスに限定してイネーブルにするという場合は、次のコマンドを入力します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
hostname(config)# rip outside passive version 2 authentication md5 scorpius 1
 

) コンフィギュレーションをテストする前に、FWSM に接続されたすべてのルータ上で、ARP キャッシュをフラッシュしてください。Cisco ルータの場合、clear arp コマンドを使用して ARP キャッシュをフラッシュします。

OSPF がイネーブルの場合、RIP をイネーブルにすることはできません。


EIGRP の設定

ここでは、EIGRP ルーティングの設定とモニタリングについて説明します。内容は次のとおりです。

「EIGRP ルーティングの概要」

「EIGRP ルーティングのイネーブル化および設定」

「EIGRP スタブ ルーティングのイネーブル化および設定」

「EIGRP 認証のイネーブル化」

「EIGRP ネイバーの定義」

「EIGRP へのルート再配布」

「EIGRP hello 間隔とホールド間隔の設定」

「自動ルート集約のディセーブル化」

「集約アドレスの設定」

「EIGRP スプリット ホライズンのディセーブル化」

「インターフェイス遅延値の変更」

「EIGRP のモニタリング」

「ネイバー変更およびネイバー警告メッセージのロギングのディセーブル化」

EIGRP ルーティングの概要

EIGRP は、シスコが開発した、IGRP の拡張バージョンです。IGRP や RIP と異なり、EIGRP が定期的にルート アップデートを送信することはありません。EIGRP アップデートは、ネットワーク トポロジが変更された場合にだけ送信されます。

ネイバー探索は、FWSM が、直接接続されているネットワーク上にある他のルータをダイナミックに把握するために使用するプロセスです。EIGRP ルータは、マルチキャスト hello パケットを送信して、ネットワーク上に自分が存在していることを通知します。FWSM は、新しいネイバーから hello パケットを受信すると、トポロジー テーブルに初期化ビットを設定してそのネイバーに送信します。ネイバーは、初期化ビットが設定されたトポロジ アップデートを受信すると、自分のトポロジ テーブルを FWSM に返送します。

hello パケットはマルチキャスト メッセージとして送信されます。hello メッセージへの応答は想定されていません。ただし、スタティックに定義されたネイバーの場合は例外です。 neighbor コマンドを使用してネイバーを設定した場合、そのネイバーに送信される hello メッセージはユニキャスト メッセージとして送信されます。ルーティング アップデートと確認応答が、ユニキャスト メッセージとして送信されます。

このネイバー関係が確立した後は、ネットワーク トポロジが変更された場合にだけ、ルーティング アップデートが交換されます。ネイバー関係は、hello パケットによって維持されます。ネイバーから受信した各 hello パケットには、保持時間が含まれています。FWSM は、この時間内にそのネイバーから hello パケットを受信すると想定できます。FWSM が保持時間内にそのネイバーからアドバタイズされた hello パケットを受信しない場合、FWSM はそのネイバーを使用不能と見なします。

EIGRP では、ルート計算に DUAL というアルゴリズムが使用されます。DUAL は、最小コストのルートだけでなく、宛先へのすべてのルートをトポロジ テーブルに保存します。最小コストのルートはルーティング テーブルに挿入されます。その他のルートは、トポロジ テーブルに残ります。メイン ルートに障害が起きると、他のルートが代わりの適切なルートから選ばれます。サクセサとは、宛先への最小コスト パスを持ち、パケット転送に使用される隣接ルータです。フィジビリティ計算によって、パスがルーティング ループを形成しないことが保証されます。

フィジブル サクセサがトポロジ テーブル内にない場合、必ずルート計算が発生します。ルートの再計算中、DUAL は EIGRP ネイバーにルートを求めるクエリーを送信して、次に EIGRP ネイバーがそのネイバーにクエリーを送信します。ルートのフィジブル サクセサがないルータは、到達不能メッセージを返します。

ルートの再計算中、DUAL は、ルートをアクティブとマークします。デフォルトでは、FWSM は、ネイバーから応答が返ってくるのを 3 分間待ちます。FWSM がネイバーから応答を受信しないと、そのルートは stuck-in-active とマークされます。トポロジ テーブル内のルートのうち、応答しないネイバーをフィジブル サクセサとして指しているものはすべて削除されます。

EIGRP ルーティングのイネーブル化および設定

FWSM では、EIGRP ルーティング プロセスを 1 つだけイネーブルにできます。

EIGRP ルーティングをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスを作成し、そのプロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数には、EIGRP ルーティング プロセスの自律システム番号を指定します。

ステップ 2 EIGRP ルーティングに参加するインターフェイスとネットワークを設定するには、次のコマンドを入力して、1 つまたは複数の network ステートメントを設定します。

hostname(config-router)# network ip-addr [mask]
 

定義したネットワークに含まれる、直接接続されたネットワークが FWSM によってアドバタイズされます。さらに、定義されたネットワークに含まれる IP アドレスを持つインターフェイスだけが、EIGRP ルーティング プロセスに参加します。

アドバタイズするネットワークに接続されているインターフェイスを EIGRP ルーティングに参加させない場合は、インターフェイスが接続されているネットワークが対象に含まれるように network コマンドを設定し、 passive-interface コマンドを使用して、そのインターフェイスが EIGRP アップデートを送受信しないようにします。

ステップ 3 (任意)インターフェイスが EIGRP ルーティング メッセージを送受信しないようにするには、次のコマンドを入力します。

hostname(config-router)# passive-interface {default | if-name}
 

default キーワードを使用すると、すべてのインターフェイスで EIGRP ルーティング アップデートがディセーブルになります。 nameif コマンドで定義したインターフェイス名を指定すると、指定したインターフェイスで EIGRP ルーティング アップデートがディセーブルになります。EIGRP ルータ コンフィギュレーション内に、複数の passive-interface コマンドを設定できます。

ステップ 4 (任意)候補となるデフォルト ルート情報の送受信を制御するには、次のコマンドを入力します。

hostname(config-router)# no default-information {in | out}
 

no default-information in を設定すると、候補のデフォルト ルート ビットが受信ルート上でブロックされます。 no default-information out を設定すると、アドバタイズされるルートのデフォルト ルート ビット設定がディセーブルになります。

ステップ 5 (任意)EIGRP ルーティング アップデートで送信するネットワークをフィルタリングするには、次の手順を実行します。

a. 標準アクセス リストを作成し、その中にアドバタイズするルートを定義します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスを指定して、そのインターフェイスが送信するアップデートだけにフィルタを適用できます。

hostname(config-router): distribute-list acl out [interface if_name]
 

EIGRP ルータ コンフィギュレーション内に、複数の distribute-list コマンドを入力できます。

ステップ 6 (任意)EIGRP ルーティング アップデートで受信するネットワークをフィルタリングするには、次の手順を実行します。

a. 標準アクセス リストを作成し、その中に受信したアップデートからフィルタリングするルートを定義します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスを指定して、そのインターフェイスが受信するアップデートだけにフィルタを適用することができます。

hostname(config-router): distribute-list acl in [interface if_name]
 

EIGRP ルータ コンフィギュレーション内に、複数の distribute-list コマンドを入力できます。


 

EIGRP スタブ ルーティングのイネーブル化および設定

FWSM は EIGRP スタブ ルータとして設定できます。スタブ ルーティングを使用すると、FWSM で必要となるメモリおよび処理要件を減らすことができます。FWSM をスタブ ルータとして設定すると、ローカル以外のトラフィックがすべて配布ルータに転送されるようになり、完全な EIGRP ルーティング テーブルを維持する必要がなくなります。一般に、配布ルータからスタブ ルータに送信する必要があるのは、デフォルト ルートだけです。

スタブ ルータから配布ルータには、指定されたルートだけが伝搬されます。スタブ ルータとして、FWSM は、サマリー、接続されているルート、再配布されたスタティック ルート、外部ルート、および内部ルートを求めるすべてのクエリーに、「inaccessible」というメッセージで応答します。FWSM は、スタブとして設定されると、特殊なピア情報パケットをすべての隣接ルータに送信し、スタブ ルータとしてのステータスを報告します。スタブ ステータスの情報を伝えるパケットを受信したネイバーはすべて、スタブ ルータにルートのクエリーを送信しなくなり、スタブ ピアを持つルータはそのピアのクエリーを送信しなくなります。スタブ ルータは、配布ルータに依存して適切なアップデートをすべてのピアに送信します。

EIGRP スタブ ルーティング プロセスをイネーブルにして設定する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスを作成し、そのプロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数には、EIGRP ルーティング プロセスの自律システム番号を指定します。

ステップ 2 次のコマンドを入力して、配布ルータに接続されているインターフェイスが EIGRP に参加するように設定します。

hostname(config-router)# network ip-addr [mask]
 

ステップ 3 次のコマンドを入力して、スタブ ルーティング プロセスを設定します。スタブ ルーティング プロセスから配布ルータにアドバタイズされるネットワークを指定する必要があります。スタティック ルートおよび接続されているネットワークが、自動的にスタブ ルーティング プロセスに再配布されることはありません。

hostname(config-router)# eigrp stub {receive-only | [connected] [redistributed] [static] [summary]}
 


 

EIGRP 認証のイネーブル化

EIGRP ルート認証では、EIGRP ルーティング プロトコルからのルーティング アップデートに対する MD5 認証を提供します。各 EIGRP パケット内の MD5 キー付きダイジェストによって、承認されていない送信元からの未認証のルーティング メッセージや不正なルーティング メッセージの送信を防止します。

EIGRP ルート認証は、インターフェイスごとに設定します。EIGRP メッセージ認証対象として設定されたインターフェイス上にあるすべての EIGRP ネイバーには、隣接関係を確立できるように同じ認証モードとキーを設定する必要があります。

EIGRP ルート認証をイネーブルにするには、事前に EIGRP をイネーブルにする必要があります。

インターフェイスでの EIGRP 認証をイネーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、EIGRP メッセージ認証を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、EIGRP パケットの MD5 認証をイネーブルにします。

hostname(config-if)# authentication mode eigrp as-num md5
 

as-num 引数には、FWSM に設定されている EIGRP ルーティング プロセスの自律システム番号を指定します。EIGRP がイネーブルになっていないか、誤った番号を入力した場合、FWSM は次のエラー メッセージを返します。

% Asystem(100) specified does not exist
 

ステップ 3 次のコマンドを入力して、MD5 アルゴリズムで使用されるキーを設定します。

hostname(config-if)# authentication key eigrp as-num key key-id key-id
 

as-num 引数には、FWSM に設定されている EIGRP ルーティング プロセスの自律システム番号を指定します。EIGRP がイネーブルになっていないか、誤った番号を入力した場合、FWSM は次のエラー メッセージを返します。

% Asystem(100) specified does not exist
 

key 引数には、最大 16 文字を指定できます。 key-id 引数には、0 ~ 255 の数字を指定します。


 

EIGRP ネイバーの定義

EIGRP hello パケットはマルチキャスト パケットとして送信されます。EIGRP ネイバーが、トンネルなど、非ブロードキャスト ネットワークを越えた場所にある場合、そのネイバーを手動で定義する必要があります。手動で EIGRP ネイバーを定義すると、hello パケットはユニキャスト メッセージとしてそのネイバーに送信されます。

手動で EIGRP ネイバーを定義するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

as-num 引数には、EIGRP ルーティング プロセスの自律システム番号を指定します。

ステップ 2 次のコマンドを入力して、スタティック ネイバーを定義します。

hostname(config-router)# neighbor ip-addr interface if_name
 

ip-addr 引数には、ネイバーの IP アドレスを指定します。 if-name 引数には、インターフェイスの名前を指定します。ネイバーを使用可能にしている nameif コマンドで指定した名前を使用します。1 つの EIGRP ルーティング プロセスに対して複数のネイバーを定義できます。


 

EIGRP へのルート再配布

OSPF で検出されたルートを EIGRP ルーティング プロセスに再分配できます。スタティック ルートおよび接続されているルートも、EIGRP ルーティング プロセスに再配布できます。スタティック ルートまたは接続されたルートが、EIGRP コンフィギュレーション内の network ステートメントで指定された範囲に含まれている場合は、再分配の必要はありません。

ルートを EIGRP ルーティング プロセスに再配布するには、次の手順を実行します。


ステップ 1 (任意)ルート マップを作成して、指定されたルーティング プロトコルのどのルートを RIP ルーティング プロセスに再分配するのかを詳細に定義します。ルート マップを作成する方法の詳細については、「ルート マップの定義」を参照してください。

ステップ 2 EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードを開始します。

hostname(config)# router eigrp as-num
 

ステップ 3 (任意)次のコマンドを入力して、EIGRP ルーティング プロセスに再分配するルートに適用するデフォルト メトリックを指定します。

hostname(config-router)# default-metric bandwidth delay reliability loading mtu
 

EIGRP ルータ コンフィギュレーション内に default-metric を指定しない場合、各 redistribute コマンドにメトリック値を指定する必要があります。 redistribute コマンドで EIGRP メトリックを指定し、EIGRP ルータ コンフィギュレーション内に default-metric コマンドが含まれている場合、 redistribute コマンドのメトリックが使用されます。

ステップ 4 選択したルート タイプを EIGRP ルーティング プロセスに再分配するには、次のいずれかのオプションを選択します。

接続されたルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute connected [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

スタティック ルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute static [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

OSPF ルーティング プロセスのルートを EIGRP ルーティング プロセスに再分配するには、次のコマンドを入力します。

hostname(config-router): redistribute ospf pid [match {internal | external [1 | 2] | nssa-external [1 | 2]}] [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

EIGRP ルータ コンフィギュレーション内に default-metric コマンドが含まれていない場合、 redistribute コマンドに EIGRP メトリック値を指定する必要があります。

EIGRP hello 間隔とホールド間隔の設定

FWSM は、定期的に hello パケットを送信して、ネイバーを検出したり、ネイバーが到達不能または動作不能になったことを把握したりします。デフォルトでは、hello パケットは 5 秒ごとに送信されます。

hello パケットは、FWSM の保持時間をアドバタイズします。保持時間によって、EIGRP ネイバーに、FWSM を到達可能と見なす時間の長さを知らせます。アドバタイズされた保持時間内にネイバーが hello パケットを受信しなかった場合、FWSM は到達不能と見なされます。デフォルトでは、アドバタイズされる保持時間は 15 秒です(hello 間隔の 3 倍)。

hello 間隔とアドバタイズされる保持時間のいずれも、インターフェイスごとに設定します。保持時間は hello 間隔の 3 倍以上に設定することをお勧めします。

hello 間隔とアドバタイズされる保持時間を設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、hello 間隔またはアドバタイズされるホールド間隔を設定するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 hello 間隔を変更するには、次のコマンドを入力します。

hostname(config)# hello-interval eigrp as-num seconds
 

ステップ 3 ホールド間隔を変更するには、次のコマンドを入力します。

hostname(config)# hold-time eigrp as-num seconds
 


 

自動ルート集約のディセーブル化

自動ルート集約は、デフォルトでイネーブルになっています。EIGRP ルーティング プロセスは、ネットワーク番号の境界で集約を行います。ネットワークが連続していない場合、これによってルーティングの問題が発生する可能性があります。

たとえば、ネットワーク 192.168.1.0、192.168.2.0、192.168.3.0 が接続されているルータがあり、それらのネットワークがすべて EIGRP に参加しているとすると、EIGRP ルーティング プロセスはそれらのルートに対しサマリー アドレス 192.168.0.0 を作成します。さらにネットワーク 192.168.10.0 と 192.168.11.0 が接続されているルータがこのネットワークに追加され、それらのネットワークが EIGRP に参加すると、これらもまた 192.168.0.0 として集約されます。トラフィックが誤った場所にルーティングされる可能性をなくすために、競合するサマリー アドレスを作成するルータでの自動ルート集約をディセーブルにする必要があります。

自動ルート集約をディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no auto-summary
 

) 自動集約アドレスのアドミニストレーティブ ディスタンスは 5 です。この値は設定できません。


集約アドレスの設定

サマリー アドレスはインターフェイスごとに設定できます。ネットワーク番号の境界以外でサマリー アドレスを作成する場合、または自動ルート集約がディセーブルになった FWSM でサマリー アドレスを使用する場合は、手動でサマリー アドレスを定義する必要があります。ルーティング テーブルに他にも個別のルートがある場合、EIGRP は、それらすべての個別ルートのメトリックのうち最小のメトリックを使用して、集約アドレスをインターフェイスからアドバタイズします。

サマリー アドレスを作成するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、集約アドレスを作成するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、集約アドレスを作成します。

hostname(config-if)# summary-address eigrp as-num address mask [distance]
 

デフォルトでは、定義する EIGRP サマリー アドレスのアドミニストレーティブ ディスタンスは 5 になります。この値は、 summary-address コマンドにオプションの引数 distance を指定して変更できます。


 

EIGRP スプリット ホライズンのディセーブル化

スプリット ホライズンは、EIGRP のアップデート パケットとクエリー パケットの送信を制御します。スプリット ホライズンがインターフェイスでイネーブルになっている場合、アップデート パケットとクエリー パケットは、このインターフェイスがネクスト ホップである宛先に送信されません。この方法でアップデート パケットとクエリー パケットを制御すると、ルーティング ループが発生する可能性が低くなります。

デフォルトでは、スプリット ホライズンはすべてのインターフェイスでイネーブルになっています。

スプリット ホライズンは、ルート情報がルータによってその情報の送信元であるインターフェイスからアドバタイズされるのを防ぎます。通常、特にリンクが切断された場合には、この動作によって複数のルーティング デバイス間の通信が最適化されます。ただし、非ブロードキャスト ネットワークでは、この動作が望ましくない場合があります。このような状況では(EIGRP が設定されているネットワークなど)、スプリット ホライズンをディセーブルにすることもできます。

インターフェイスでのスプリット ホライズンをディセーブルにする場合、そのインターフェイス上のすべてのルータとアクセス サーバに対してディセーブルにする必要があります。

EIGRP スプリット ホライズンをディセーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、スプリット ホライズンをディセーブルにするインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 スプリット ホライズンをディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no split-horizon eigrp as-number
 


 

インターフェイス遅延値の変更

インターフェイス遅延値は、EIGRP ディスタンス計算で使用されます。この値は、インターフェイスごとに変更できます。

遅延値を変更する手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、EIGRP で使用される遅延値を変更するインターフェイスのインターフェイス コンフィギュレーション モードを開始します。

hostname(config)# interface phy_if
 

ステップ 2 遅延値を変更するには、次のコマンドを入力します。

hostname(config-if)# delay value
 

value は 10 マイクロ秒単位で入力します。つまり、2000 マイクロ秒の遅延を設定するには、 value に 200 を入力します。

ステップ 3 (任意)インターフェイスに割り当てられている遅延値を表示するには、 show interface コマンドを使用します。


 

EIGRP のモニタリング

次のコマンドを使用して、EIGRP ルーティング プロセスをモニタできます。コマンド出力の例と説明については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。

EIGRP イベント ログを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] events [{start end} | type]
 

EIGRP ルーティングに参加しているインターフェイスを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] interfaces [if-name] [detail]
 

EIGRP ネイバー テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] neighbors [detail | static] [if-name]
 

EIGRP トポロジー テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] topology [ip-addr [mask] | active | all-links | pending | summary | zero-successors]
 

EIGRP トラフィックの統計情報を表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] traffic
 

ネイバー変更およびネイバー警告メッセージのロギングのディセーブル化

デフォルトでは、ネイバー変更メッセージとネイバー警告メッセージはロギングされます。ネイバー変更メッセージとネイバー警告メッセージのロギングはディセーブルにできます。

ネイバー変更メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-changes
 

ネイバー警告メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスに対応するルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-warnings
 

非対称ルーティング サポートの設定

セッションの戻りトラフィックが、発信元と異なるインターフェイスを経由してルーティングされることもあります。フェールオーバー設定では、ある装置から発信された接続の戻りトラフィックが、ピア装置を経由して返送されることがあります。これは一般に、1 つの FWSM 上の 2 つのインターフェイス、またはフェールオーバー ペアの 2 つの FWSM が別々のサービス プロバイダーに接続され、発信接続で NAT アドレスを使用しない場合に起こります。FWSM では、戻りトラフィックは接続情報がないためデフォルトでは廃棄されます。

廃棄が発生する可能性のあるインターフェイス上で asr-group コマンドを使用して、戻りトラフィックの廃棄を阻止できます。 asr-group コマンドで設定したインターフェイスがセッション情報のないパケットを受信すると、同一グループ内の他のインターフェイスのセッション情報を確認します。


) フェールオーバー設定では、スタンバイ ユニットやフェールオーバー グループからアクティブ ユニットやフェールオーバー グループに転送されるセッション情報について、ステートフル フェールオーバーをイネーブルにする必要があります。


一致する情報が見つからない場合、パケットはドロップされます。一致する情報が見つかると、次の動作のうちいずれかが開始します。

着信トラフィックがフェールオーバー設定のピア装置で発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。

着信トラフィックが同一装置上の異なるインターフェイスで発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは再度ストリームに入れられます。

次の事項について説明します。

「ASR グループへのインターフェイスの追加」

「非対称ルーティング サポートの例」

ASR グループへのインターフェイスの追加

次のコマンドを入力して、インターフェイスを非対象ルーティング グループに追加します。フェールオーバー設定の装置間で非対象ルーティング サポートを適切に機能させるためには、ステートフル フェールオーバーをイネーブルにする必要があります。

hostname/ctx1(config)# interface if
hostname/ctx1(config-if)# asr-group num
 

num 範囲に有効な値は、1 ~ 32 です。ASR グループに参加するインターフェイスごとに、コマンドを入力する必要があります。最大 32 個の ASR グループを作成し、各グループに最大 8 個のインターフェイスを割り当てることができます。


) フェールオーバー設定のスタンバイ ユニットからアクティブ ユニットへのパケットのリダイレクションを可能にするために、アップストリーム ルータおよびダウンストリーム ルータは、VLAN ごとに 1 つの MAC アドレスを使用し、異なる VLAN には異なる MAC アドレスを使用する必要があります。


非対称ルーティング サポートの例

図 8-2 に、アクティブ/アクティブ フェールオーバー設定での非対称ルーティング サポートに asr-group コマンドを使用する例を示します。

図 8-2 アクティブ/アクティブ フェールオーバーでの ASR の例

 

一方の装置でコンテキスト A がアクティブで、もう一方の装置でコンテキスト B がアクティブです。各コンテキストには「outside」という名前のインターフェイスがあり、両方とも asr-group 1 の一部として設定されています。発信トラフィックは、コンテキスト A がアクティブな装置を経由してルーティングされています。ただし、戻りトラフィックはコンテキスト B がアクティブな装置を経由してルーティングされます。通常、装置上に戻りトラフィックのセッション情報はないため、戻りトラフィックは廃棄されます。ただし、インターフェイスは asr-group 番号を使用して設定されているため、装置は同じ asr-group が割り当てられた他のインターフェイスのセッション情報を検索します。そして、装置上でスタンバイ ステートのコンテキスト A の外部インターフェイスでセッション情報を見つけて、戻りトラフィックをコンテキスト A がアクティブな装置に転送します。

トラフィックは、コンテキスト A がスタンバイ ステートの装置上でコンテキスト A の外部インターフェイスを経由して転送され、コンテキスト A がアクティブ ステートの装置上でコンテキスト A の外部インターフェイスを経由して返送されます。この転送は、必要に応じて、セッションが終了するまで続行されます。

Route Health Injection の設定


) この機能は、Cisco IOS Release 12.2(33)SXI 以降に依存し、Catalyst 6500 スイッチでだけ使用可能です。


Route Health Injection(RHI)は、FWSM で設定されている、接続されたルート、スタティック ルート、および NAT アドレスを MSFC ルーティング テーブルに注入するために使用します。マルチコンテキスト モードでは、ダイナミック ルーティング プロトコルがサポートされていないため、この機能は特に役立ちます。その後、MSFC では、ルートを他のルーティング テーブルに再分配できます。

ここでは、次の内容について説明します。

「Route Health Injection の概要」

「RHI の注意事項」

「RHI のイネーブル化」

Route Health Injection の概要

接続されたルート、スタティック ルート、および NAT アドレスについては、FWSM でルートをスイッチのルーティング テーブルに注入できます。これらのルートでは、FWSM インターフェイスの IP アドレスがこれらの各 FWSM ネットワークのネクストホップ IP アドレスとして指定されます。

たとえば、FWSM で NAT を設定した場合、MSFC 上のスタティック ルートを、FWSM インターフェイスをポイントするように設定しないかぎり、MSFC および他の外部ルータでこれらの NAT アドレスが FWSM に接続されていることを把握できません。ただし、RHI を利用すると、FWSM インターフェイスをポイントする NAT アドレスを注入して、MSFC によってそのトラフィックが FWSM に自動的に転送されるようにできます。

FWSM ではシングルコンテキスト モードでしか OSPF または他のダイナミック ルーティング プロトコルをサポートしていないため、RHI をマルチモードで使用することで、ルートを MSFC に注入できます。その後、MSFC で、これらのルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できます。つまり、MSFC ルーティング プロトコルと RHI を利用することで、FWSM をマルチモードで実行していても、FWSM ルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できるようになります。

FWSM ではシングルコンテキスト モードでしか OSPF または他のダイナミック ルーティング プロトコルをサポートしていないため、RHI をマルチモードで使用することで、ルートを MSFC に注入できます。その後、MSFC で、これらのルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できます。つまり、MSFC ルーティング プロトコルと RHI を利用することで、FWSM をマルチモードで実行していても、FWSM ルートを OSPF または他のダイナミック ルーティング プロトコル経由で再分配できるようになります。

フェールオーバー設定においては、RHI ルートはアクティブ FWSM からだけ注入されます(これは、アクティブ/スタンバイおよびアクティブ/アクティブの両方の設定に適用されます)。2 つのシャーシ間でアクティブ/アクティブ フェールオーバー モードの FWSM フェールオーバーを使用している場合、両方の FWSM ネットワークにより、アクティブ ステートのコンテキストに対応するルートがそれぞれの MSFC に注入されます。

また、2 つの FWSM のいずれかを宛先としたトラフィックを受信する他のインターフェイス上の 2 つの MSFC 間に HSRP を設定している場合、2 つの MSFC 間に設定されたルーティング プロトコルを選択する必要があります。これにより、各 MFSC で、同じシャーシにないもう一方の FWSM 経由で到達可能なルートを把握できるようになります。2 つの MSFC 間でルーティング情報が交換されない場合、情報の受信は行われず、システムは応答しません。これは、HSRP アクティブ MFSC で、もう一方のシャーシの FWSM 経由で到達可能なネットワークを宛先としたパケットの受信が行われるためです。その場合、HSRP アクティブ MSFC ともう一方の MSFC の間で対象のルートに関する情報が伝達されていないため、パケットは廃棄されるか、デフォルト ゲートウェイに誤って転送される可能性があります。

FWSM では、SCP メッセージを使用して、ルートを MSFC に注入します。

RHI の注意事項

RHI は、シングルコンテキスト モードとマルチコンテキスト モードの両方でサポートされています。

RHI は、ルーテッド ファイアウォール モードではサポートされていますが、トランスペアレント モードではサポートされていません。

RHI は、フェールオーバー設定(アクティブ/スタンバイおよびアクティブ/アクティブ)でサポートされています。

ネクストホップ インターフェイスとして指定する FWSM インターフェイスは、FWSM と MSFC の間にある SVI にする必要があります。「MSFC へのスイッチ仮想インターフェイスの追加」を参照してください。

RHI のイネーブル化

RHI を設定する手順は、次のとおりです。


ステップ 1 (任意)タイプ(接続されたルート、スタティック ルート、および NAT アドレス)ごとに注入するルートを制限する場合は、注入するルートを次のオブジェクトのいずれかと一致するルートに制限できます。

route-map「ルート マップの定義」を参照してください。ルート マップは、シングルコンテキスト モードでだけ使用可能です。

access-list standard「標準アクセス リストの追加」を参照してください。

(NAT だけ) global「ダイナミック NAT または PAT の設定」を参照してください。

ステップ 2 次のコマンドを入力して、RHI をイネーブルにします。

hostname(config)# route-inject
 

CLI はルート注入コンフィギュレーション モードを開始します。 route-inject コマンドは 1 つだけ設定できます。

ステップ 3 NAT アドレス ルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute nat [route-map map_name | access-list acl_id | global-pool pool_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、 static および global コマンドで定義するすべてのマップ アドレスが注入されます。

注入する NAT アドレスを制限する場合は、 route-map access-list 、または global-pool 引数を指定できます。その場合、一致するアドレスだけが注入されます。 global-pool 引数を使用する場合は、指定する global コマンドの NAT ID が redistribute コマンドと同じインターフェイス上にあることを確認してください。複数のインターフェイス上の複数の global コマンドで同じ NAT ID を使用した場合、 redistribute コマンドと同じインターフェイス上のコマンドだけが使用されます。

redistribute nat コマンドは 1 つだけ入力できます。

ステップ 4 接続されたルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute connected [route-map map_name | access-list acl_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、接続されたすべてのルートが注入されます。

注入するルートを制限する場合は、 route-map または access-list 引数を指定できます。その場合、一致するアドレスだけが注入されます。

redistribute connected コマンドは 1 つだけ入力できます。

ステップ 5 スタティック ルートを注入にするには、次のコマンドを入力します。

hostname(config-route-inject)# redistribute static [route-map map_name | access-list acl_id] interface interface_name
 

interface interface_name 引数では、FWSM インターフェイスを指定します。このインターフェイス IP アドレスは、注入するルートでネクストホップ IP アドレスとして使用されます。

デフォルトでは、すべてのスタティック ルートが注入されます。

注入するルートを制限する場合は、 route-map または access-list 引数を指定できます。その場合、一致するアドレスだけが注入されます。

redistribute static コマンドは 1 つだけ入力できます。


 

次に、アクセス リスト acl1 と一致する NAT アドレスを注入する例を示します。この例では、VLAN 20 上の 209.165.200.225(外部インターフェイスのアクティブ IP アドレス)をネクストホップとして、209.165.201.0/30 を注入しています。209.165.201.10 ~ .16 のアドレスは注入されません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.225 255.255.255.224 standby 209.165.200.226
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 209.165.201.0 255.255.255.252
hostname(config)# global (outside) 10 209.165.201.1-209.165.201.2 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.201.10-209.165.201.16 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat access-list acl1 interface outside
 

次に、VLAN 20 上の 209.165.200.250 をネクストホップとして、209.165.202.129 ~ .131 および 209.165.202.140 ~ .146 を注入する例を示します。DMZ インターフェイス上のグローバル プールおよび外部インターフェイス上のグローバル プール 20 は含まれません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.250 255.255.255.224 standby 209.165.200.251
hostname(config-if)# exit
hostname(config)# global (dmz) 10 209.165.201.1-209.165.201.10 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.202.129-209.165.202.131 netmask 255.255.255.0
hostname(config)# global (outside) 10 209.165.202.140-209.165.202.146 netmask 255.255.255.0
hostname(config)# global (outside) 20 209.165.202.150-209.165.202.155 netmask 255.255.255.0
hostname(config)# route-inject
hostname(config-route-inject)# redistribute nat global-pool 10 interface outside
 

次に、VLAN 20 上の 209.165.200.225 をネクストホップとして、209.165.201.0/27 および 192.0.2.0/24 を注入する例を示します。209.165.202.128/27 は注入されません。

hostname(config)# interface vlan20
hostname(config-if)# nameif outside
hostname(config-if)# ip address 209.165.200.225 255.255.255.224 standby 209.165.200.226
hostname(config-if)# exit
hostname(config)# access-list acl1 standard permit 209.165.201.0 255.255.255.224
hostname(config)# access-list acl2 standard permit 192.0.2.0 255.255.255.0
hostname(config)# route-map map1 permit 10
hostname(config-route-map)# match ip address acl1 acl2
hostname(config-route-map)# exit
hostname(config)# route inside 209.165.201.0 255.255.255.224 10.1.1.1
hostname(config)# route inside 192.0.2.0 255.255.255.0 10.1.1.1
hostname(config)# route inside 209.165.202.128 255.255.255.224 10.1.1.1
hostname(config)# route-inject
hostname(config-route-inject)# redistribute static route-map map1 interface outside

DHCP の設定

DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。FWSM は、DHCP サーバまたは DHCP リレー サービスを FWSM のインターフェイスに接続されている DHCP クライアントに提供することができます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求を、別のインターフェイスの背後に位置する外部 DHCP サーバに渡します。

ここでは、次の内容について説明します。

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

DHCP サーバの設定

ここでは、FWSM の DHCP サーバを設定する方法について説明します。ここでは、次の内容について説明します。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用」

DHCP サーバのイネーブル化

FWSM は DHCP サーバとして動作可能です。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定値をホストに供給するプロトコルです。


) FWSM DHCP サーバは、BOOTP 要求をサポートしていません。

マルチ コンテキスト モードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるインターフェイス上ではイネーブルにはできません。


DHCP サーバは、FWSM の各インターフェイスに設定することができます。各インターフェイスには、それ自体のアドレス プールがあり、利用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。


) インターフェイスあたり最大 4 つの DHCP リレー サーバを追加できますが、FWSM に設定できる DHCP リレー サーバは 10 までという制限があります。dhcprelay enable コマンドを入力する前に、少なくとも 1 つの dhcprelay server コマンドを FWSM コンフィギュレーションに追加する必要があります。DHCP リレー サーバが設定されているインターフェイス上には、DHCP クライアントを設定できません。


DHCP クライアントまたは DHCP リレー サービスを、サーバがイネーブル化されたインターフェイス上で設定することはできません。また、DHCP クライアントは、サーバがイネーブルになっているインターフェイスに直接接続する必要があります。

特定の FWSM インターフェイス上で DHCP サーバをイネーブルにする手順は、次のとおりです。


ステップ 1 DHCP アドレス プールを作成します。次のコマンドを入力して、アドレス プールを定義します。

hostname(config)# dhcpd address ip_address-ip_address interface_name
 

FWSM は、1 つのクライアントに対して一定時間だけ使用可能なアドレスを 1 つ、このプールから割り当てます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、FWSM インターフェイスと同じサブネット内にある必要があります。

ステップ 2 (任意)次のコマンドを入力して、クライアントに使用させる DNS サーバ(複数可)の IP アドレス(複数可)を指定します。

hostname(config)# dhcpd dns dns1 [dns2]
 

DNS サーバを 2 つまで指定できます。

ステップ 3 (任意)次のコマンドを入力して、クライアントに使用させる WINS サーバ(複数可)の IP アドレス(複数可)を指定します。

hostname(config)# dhcpd wins wins1 [wins2]
 

WINS サーバは最大 2 つまで指定できます。

ステップ 4 (任意)次のコマンドを入力して、クライアントに付与するリース期間を変更します。

hostname(config)# dhcpd lease lease_length
 

リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。0 ~ 1,048,575 の間の値を入力します。デフォルト値は 3600 秒です。

ステップ 5 (任意)次のコマンドを入力して、クライアントが使用するドメイン名を設定します。

hostname(config)# dhcpd domain domain_name
 

ステップ 6 (任意)次のコマンドを入力して、DHCP の ping タイムアウト値を設定します。

hostname(config)# dhcpd ping_timeout milliseconds
 

アドレスの衝突を避けるために、FWSM は、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7 (トランスペアレント ファイアウォール モード)デフォルト ゲートウェイを定義します。DHCP クライアントに送信するデフォルト ゲートウェイを定義するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip gateway_ip
 

DHCP のオプション 3 を使用せずにデフォルトのゲートウェイを定義する場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8 次のコマンドを入力して、FWSM 内の DHCP デーモンがイネーブルになったインターフェイス上で DHCP クライアント要求を待ち受けるようにします。

hostname(config)# dhcpd enable interface_name
 


 

たとえば、内部インターフェイスに接続されたホストに 10.0.1.101 ~ 10.0.1.110 の範囲を割り当てる場合、次のコマンドを入力します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129
hostname(config)# dhcpd wins 209.165.201.5
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

DHCP オプションの設定

RFC 2132 に示されている DHCP オプションの情報を送信するように FWSM を設定できます。DHCP オプションは次の 3 つのいずれかのカテゴリに属します。

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

FWSM は、DHCP オプションの 3 つのカテゴリすべてをサポートします。DHCP オプションを設定するには、次のいずれかを実行します。

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ip addr_1 [addr_2]
 

テキスト文字列を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ascii text
 

16 進数値を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code hex value
 

) FWSM は、指定されたオプションのタイプおよび値が、RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello を入力した場合、オプション 46 は RFC 2132 で 1 桁の 16 進数値として定義されているにもかかわらず、FWSM はこのコンフィギュレーションを受け付けます。オプション コードとオプション コードに対応付けられたタイプおよび予測値の詳細については、RFC 2132 を参照してください。


表 8-1 に、 dhcpd option コマンドでサポートされない DHCP オプションを示します。

 

表 8-1 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

特定オプション(DHCP オプション 3、66、150)を使用して Cisco IP Phone を設定します。これらのオプションの設定については、「DHCP サーバを利用する Cisco IP Phone の使用」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な装置を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。

Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 が要求に含まれることもあります。

Cisco IP Phone は、1 つの要求にオプション 150 と 66 の両方を含めることがあります。この場合、FWSM DHCP サーバは、FWSM 上で値が設定されていれば、両方のオプションに対応する値を応答として提供します。

RFC 2132 に記載されているオプションの大部分の情報を送信するように FWSM を設定できます。次に、オプション番号の構文とともに、よく使用されるオプション 66、150、および 3 の構文を示します。

次のコマンドを入力して、RFC 2132 の指定に従って、オプション番号が含まれている DHCP 要求に対応する情報を提供します。

hostname(config)# dhcpd option number value
 

次のコマンドを入力して、オプション 66 に対応する TFTP サーバの IP アドレスまたは名前を提供します。

hostname(config)# dhcpd option 66 ascii server_name
 

次のコマンドを入力して、オプション 150 に対応する 1 つまたは 2 つの TFTP サーバの IP アドレスまたは名前を提供します。

hostname(config)# dhcpd option 150 ip server_ip1 [server_ip2]
 

server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。 オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

デフォルト ルートを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip router_ip1

DHCP リレー サービスの設定

ここでは、FWSM の DHCP リレー サービスを設定する方法について説明します。ここでは、次の内容について説明します。

「DHCP リレーの概要」

「DHCP リレー エージェントの設定」

「DHCP オプション 82 の維持」

「DHCP リレーのコンフィギュレーションの確認」

DHCP リレーの概要

インターフェイスで受信した DHCP 要求を 1 つまたは複数の DHCP サーバに転送するように DHCP リレー エージェントを設定できます。インターフェイスに DHCP 要求が届くと、ユーザの設定に基づいて、FWSM からその要求がリレーされる DHCP サーバが決定されます。設定できるサーバのタイプは次のとおりです。

インターフェイス固有の DHCP サーバ:特定のインターフェイスに要求が届くと、その要求はインターフェイス固有のサーバにだけリレーされます。

グローバル DHCP サーバ:インターフェイス固有のサーバが設定されていないインターフェイスに要求が届くと、その要求はすべてのグローバル サーバにリレーされます。インターフェイスにインターフェイス固有のサーバが設定されている場合、グローバル サーバは使用されません。

DHCP リレー エージェントを使用する場合、次の制限が適用されます。

DHCP サーバ機能もイネーブルになっている場合、リレー エージェントをイネーブルにできません。

DHCP リレー サービスはトランスペアレント ファイアウォール モードでは使用できません。ただし、アクセス リストを使用して DHCP トラフィックを通過させることはできます。トランスペアレント モードで DHCP 要求と応答が FWSM を通過できるようにするには、2 つのアクセス リストを設定する必要があります。1 つは内部インターフェイスから外部への DHCP 要求を許可するもので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。

FWSM にクライアントを直接接続する必要があります。クライアントから別のリレー エージェントまたはルータを介して要求を送ることはできません。

マルチ コンテキスト モードでは、複数のコンテキストによって使用されるインターフェイス上で DHCP リレーをイネーブルにできません。

DHCP リレー エージェントの設定

DHCP リレーをイネーブルにするには、次の手順を実行します。


ステップ 1 次のいずれかまたは両方の方法を使用して、DHCP サーバの IP アドレスを設定します。

インターフェイス固有のサーバを設定するには、次のコマンドを入力します。

hostname(config)# interface {vlan vlan_id | mapped_name}
hostname(config-if)# dhcprelay server ip_address
 

vlan vlan_id または mapped_interface 引数は、DHCP リレーをイネーブルにするインターフェイスです。

dhcprelay server コマンドは、インターフェイスごとに最大で 4 回入力できます。各コンテキストまたはシングルモードで許容されるサーバ数は、グローバル サーバを含め、最大 10 台です。

インターフェイス固有のサーバは、設定されているグローバル サーバより優先されます。

DHCP リレーをイネーブルにするインターフェイスに DHCP サーバが存在していてはなりません (FWSM では、ルーティング テーブルを使用して、DHCP サーバに接続されているインターフェイスが判別されます)。


) クライアントと既存のグローバル DHCP サーバの間ですでに接続が確立されている状況で、インターフェイス固有のサーバ アドレスを設定した場合、サーバ アドレスのリース期限が切れるまで、クライアントではグローバル サーバが引き続き使用されます。リース期限が切れると、新しい接続でインターフェイス固有のサーバが使用されます。


グローバル サーバを設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay server ip_address if_name
 

if_name 引数は、DHCP サーバに接続されたインターフェイスです。DHCP サーバは、DHCP リレーをイネーブルにする DHCP クライアントとは別のインターフェイスに存在している必要があります。

このコマンドは 10 回まで使用でき、最大 10 サーバ(インターフェイス固有のサーバを含む)を指定できます。

ステップ 2 次のコマンドを入力して、クライアントに接続されたインターフェイス上で DHCP リレーをイネーブルにします。

hostname(config)# dhcprelay enable interface
 

DHCP リレーは複数のインターフェイスでイネーブルにできます。ただし、DHCP サーバに接続されているインターフェイスで DHCP リレーを設定することはできません。たとえば、内部 1 および内部 2 インターフェイスで DHCP リレーを設定し、外部インターフェイスおよび DMZ インターフェイスで DHCP サーバを設定できます。内部 1 または内部 2 ではどのサーバも設定できません。

ステップ 3 (任意)次のコマンドを入力して、リレー アドレス ネゴシエーションが可能な秒数を設定します。

hostname(config)# dhcprelay timeout seconds
 

ステップ 4 (任意)次のコマンドを入力して、DHCP サーバから FWSM インターフェイスのアドレスに送信されるパケットに組み込む、最初のデフォルト ルータ アドレスを変更します。

hostname(config)# dhcprelay setroute if_name
 

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、FWSM をポイントすることができます。

パケット内にデフォルトのルータ オプションがなければ、FWSM は、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。


 

次に、FWSM が、内部 1 および内部 2 インターフェイスに接続されたクライアントからの DHCP 要求を、外部インターフェイス上のグローバル DHCP サーバおよび DMZ インターフェイス上のグローバル DHCP サーバに転送できるようにする例を示します。

hostname(config)# dhcprelay server 209.165.200.225 outside
hostname(config)# dhcprelay server 209.165.201.4 dmz
hostname(config)# dhcprelay enable inside1
hostname(config)# dhcprelay setroute inside1
hostname(config)# dhcprelay enable inside2
hostname(config)# dhcprelay setroute inside2
 

次に、FWSM が、(VLAN 20 上の)内部 1 インターフェイスに接続されたクライアントからの DHCP 要求を、(外部インターフェイス上の)インターフェイス固有の DHCP サーバに転送できるようにする例を示します。内部 2 インターフェイスでは、外部インターフェイスおよび DMZ インターフェイス上のグローバル DHCP サーバが使用されます。外部インターフェイス上のグローバル DHCP サーバは、内部 1 インターフェイス用のインターフェイス固有のサーバと同一です。

hostname(config)# interface vlan 20
hostname(config-if)# dhcprelay server 209.165.200.225
hostname(config)# dhcprelay server 209.165.200.225 outside
hostname(config)# dhcprelay server 209.165.201.4 dmz
hostname(config)# dhcprelay enable inside1
hostname(config)# dhcprelay setroute inside1
hostname(config)# dhcprelay enable inside2
hostname(config)# dhcprelay setroute inside2

DHCP オプション 82 の維持

ここでは、DHCP オプション 82 の機能について説明します。この機能では、DHCP リレー エージェントで DHCP クライアントからの DHCP 要求を DHCP サーバに転送するときに、リレー エージェント自体および接続されたクライアントに関する情報を付加できるようにします。

DHCP リレー エージェントで信頼できない送信元からの DHCP パケットを受信した場合、そのパケットにオプション 82 がすでに設定されていても、giaddr(パケットをサーバに転送する前にリレー エージェントで設定される DHCP リレー エージェント アドレス)フィールドが 0 に設定されていれば、パケットはデフォルトでドロップされます。また、DHCP リレー エージェントが DSLAM デバイスの背後にある場合も、パケットはドロップされます。 必要に応じて、インターフェイスを信頼できるインターフェイスとして指定することで、オプション 82 を維持したままパケットを転送できます。この機能により、スイッチ上の DHCP スヌーピングおよび IP ソース ガード機能が FWSM と連動するようになります。

DHCP スヌーピングは、信頼できない DHCP メッセージをフィルタリングし、DHCP スヌーピング バインディング テーブルを作成および管理することで、ネットワーク セキュリティを実現する DHCP セキュリティ機能です。

IPv4 および IPv6 アドレスで設定されたインターフェイス上でこの機能をイネーブルにできます。

特定のインターフェイスを信頼できるインターフェイスとして設定し、オプション 82 を維持するには、次のコマンドを入力します。

hostname(config)# interface interface {vlan vlan_id | mapped_name}
hostname(config-if)# dhcprelay information trusted
 

すべてのインターフェイスを信頼できるインターフェイスとして設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay information trust-all
 

共有されているインターフェイスおよび DHCP サーバが設定されているインターフェイスを除き、すべてのインターフェイスが信頼できるインターフェイスとして設定されます。

インターフェイス固有の信頼できるコンフィギュレーションと、グローバルの信頼できるコンフィギュレーションは共存させることができます。たとえば、3 つのインターフェイス A、B、C が存在し、ユーザがインターフェイス固有のコマンドを使用してインターフェイス A を信頼できるインターフェイスとして設定するとします。さらに、ユーザはグローバル コマンドも設定します。

ここで A、B、C の 3 つすべてのインターフェイスが信頼できるインターフェイスになっています。no dhcprelay information trust-all コマンドを入力した場合、インターフェイス B と C は信頼できないインターフェイスになります。インターフェイス固有の信頼できるコンフィギュレーションは削除されないため、インターフェイス A は信頼できるインターフェイスのまま残ります。

DHCP リレーのコンフィギュレーションの確認

インターフェイス固有の DHCP リレーのコンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config dhcprelay interface [vlan vlan_id | mapped_name]
 

グローバル DHCP リレーのコンフィギュレーションを表示するには、次のコマンドを入力します。

hostname# show running-config dhcprelay global