Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
IP ルーティングの設定
IP ルーティングの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

IP ルーティングの設定

ASA セキュリティ アプライアンスでのルーティングの動作

出力インターフェイスの選択プロセス

ネクスト ホップの選択プロセス

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートの設定

デフォルト スタティック ルートの設定

スタティック ルート トラッキングの設定

ルート マップの定義

OSPF の設定

OSPF の概要

OSPF のイネーブル化

ルートの OSPF への再配布

OSPF インターフェイスのパラメータの設定

OSPF エリア パラメータの設定

OSPF NSSA の設定

OSPF エリア間のルート集約の設定

OSPF にルートを再配布する場合のルート集約の設定

スタティック OSPF ネイバーの定義

デフォルト ルートの生成

ルート計算タイマーの設定

ネイバーがアップ状態またはダウン状態になった時点でのロギング

OSPF アップデート パケットのペーシングの表示

OSPF のモニタリング

OSPF プロセスの再起動

RIP の設定

RIP のイネーブル化と設定

デフォルト RIP ルートの生成

ルートの RIP ルーティング プロセスへの再配布

インターフェイス上の RIP 送受信バージョンの設定

RIP 認証のイネーブル化

RIP のモニタリング

EIGRP の設定

EIGRP ルーティングの概要

EIGRP ルーティングのイネーブル化と設定

EIGRP スタブ ルーティングのイネーブル化と設定

EIGRP 認証のイネーブル化

デフォルト EIGRP ルートの生成

EIGRP ネイバーの定義

ルートの EIGRP への再配布

EIGRP の Hello Interval および保持時間の設定

自動ルート集約のディセーブル化

サマリー集約アドレスの設定

EIGRP スプリット ホライズンのディセーブル化

インターフェイス delay 値の変更

EIGRP のモニタリングと保持

ネイバー変更および警告メッセージ ロギングのディセーブル化

ルーティング テーブル

ルーティング テーブルの表示

ルーティング テーブルの実装方法

バックアップ ルート

転送の決定方法

ダイナミック ルーティングおよびフェールオーバー

ASA セキュリティ アプライアンスでのルーティングの動作

ASA adaptive security applianceでは、ルーティング テーブルおよび XLATE テーブルの両方を使用してルーティング決定を行います。宛先 IP 変換済みのトラフィック(つまり、変換されていないトラフィック)を処理するために、ASA は既存の XLATE を検索するか、またはスタティック変換を検索して出力インターフェイスを選択します。選択プロセスは次のようになります。

出力インターフェイスの選択プロセス

1. 宛先 IP 変換 XLATE が既に存在する場合、パケットの出力インターフェイスはルーティング テーブルからではなく、XLATE テーブルから決定されます。

2. 宛先 IP 変換 XLATE が存在せず、一致するスタティック変換が存在する場合、出力インターフェイスはスタティック ルートおよび作成された XLATE から決定されます。ルーティング テーブルは使用されません。

3. 宛先 IP 変換 XLATE が存在せず、一致するスタティック変換が存在しない場合、パケットは宛先 IP 変換されません。adaptive security applianceは出力インターフェイスを選択するためのルートの検索時にこのパケットを処理し、次に、必要に応じて送信元 IP 変換を行います。

標準的なダイナミック発信 NAT では、初期発信パケットはルート テーブルを使用してルーティングされ、次に XLATE を作成します。着信返送パケットは既存の XLATE のみを使用して転送されます。スタティック NAT では、宛先変換された着信パケットは既存の XLATE またはスタティック変換ルールを使用して常に転送されます。

ネクスト ホップの選択プロセス

上記いずれかの方法を使用して出力インターフェイスを選択すると、事前に選択した出力インターフェイスに属する適切なネクスト ホップを探すため、追加のルート ルックアップが実行されます。選択したインターフェイスに明示的に属するルートがルーティング テーブルにない場合、パケットはドロップされ、他の出力インターフェイスに属する所定の宛先ネットワークに他のルートがあったとしても、レベル 6 エラー メッセージ 110001「 no route to host 」が表示されます。選択された出力インターフェイスに属するルートが見つかった場合は、パケットが対応するネクスト ホップに転送されます。

adaptive security appliance上でのロード シェアリングは単一の出力インターフェイスを使用した複数のネクストホップのみに対して使用可能です。ロード シェアリングは複数の出力インターフェイスを共有できません。

adaptive security applianceでダイナミック ルーティングが使用中で、XLATE の作成後にルート テーブルが変更された場合(たとえばルート フラップ)、宛先変換されたトラフィックは、XLATE がタイムアウトになるまで、ルート テーブルを経由せずに古い XLATE を使用して 引き続き転送されます。ルーティング プロセスによって、古いルートが古いインターフェイスから削除されて他のインターフェイスに接続されると、誤ったインターフェイスに転送されるか、メッセージ 110001 「 no route to host 」を出力してドロップされます。

adaptive security appliance自体にはルート フラップがないものの、いくつかのルーティング プロセスが周辺に存在しており、異なるインターフェイスを使用してadaptive security applianceを通過し、同じフローに属する送信元変換パケットを送信する場合にも、同じ問題が起こる可能性があります。宛先変換された返送パケットは誤った出力インターフェイスを使用して返送されることがあります。

実質的にトラフィックが送信元で変換されるか宛先で変換されるかはフローの中の最初のパケットの方向に応じて異なるため、同じセキュリティ トラフィック設定ではこの問題は高い確率で発生します。この問題がルート フラップの後で起こる場合、 clear xlate コマンドを使用して手動で解決するか、または、XLATE タイムアウトによって自動的に解決します。XLATE タイムアウトは必要に応じて短縮されることがあります。この問題を起こりにくくするために、adaptive security appliance上およびその周辺にルート フラップがないことを確認してください。つまり、同じフローに属する宛先変換されたパケットは常に同じ方法で、adaptive security applianceを使用して転送されるようにします。

スタティック ルートおよびデフォルト ルートの設定

この項では、adaptive security applianceにスタティック ルートとデフォルト ルートを設定する方法について説明します。

マルチコンテキスト モードではダイナミック ルーティングがサポートされていないため、ネットワークadaptive security appliance間にルータが入っている場合など、adaptive security applianceに直接接続されていないネットワークでは、すべてスタティック ルートを使用する必要があります。

次の場合は、シングルコンテキスト モードでスタティック ルートを使用します。

ネットワークで EIGRP、OSPF または RIP とは異なるルータ検出プロトコルを使用している。

ネットワークが小規模でスタティック ルートを容易に管理できる。

ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに委せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、adaptive security applianceに直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

透過ファイアウォール モードでは、adaptive security applianceから直接接続されていないネットワークに宛てたトラフィック用にデフォルト ルートまたはスタティック ルートを設定して、adaptive security applianceがトラフィックの送信先インターフェイスを認識できるようにする必要があります。adaptive security applianceから発信されるトラフィックには、syslog サーバ、Websense サーバまたは N2H2 サーバ、あるいは AAA サーバとの通信もあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。

adaptive security applianceでは、ロードバランシングのために、1 つのインターフェイスあたり最大 3 つの等コスト ルートをサポートします。

この項は、次の内容で構成されています。

「スタティック ルートの設定」

「デフォルト スタティック ルートの設定」

「スタティック ルート トラッキングの設定」

IPv6 スタティック ルートおよびデフォルト ルートの設定の詳細については、「IPv6 デフォルト ルートおよびスタティック ルートの設定」を参照してください。

スタティック ルートの設定

スタティック ルートを追加するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [distance]
 

dest_ip および mask は宛先ネットワークの IP アドレスで、 gateway_ip はネクストホップ ルータです。スタティック ルートに指定するアドレスは、adaptive security applianceに到達して NAT を実行する前のパケットにあるアドレスです。

distance は、ルートの管理ディスタンスです。値を指定しない場合、デフォルトは 1 です。管理ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトの管理ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。たとえば、OSPF が 110、RIP が 120、EIGRP(内部)が 90、および EIGRP(外部)が 170 で検出されたルートのデフォルトの管理ディスタンスの詳細については、表 8-1を参照してください。スタティック ルートがダイナミック ルートと同じ管理ディスタンスである場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。しかし、スタティック ルートは、指定されたインターフェイスがダウンした場合はルーティング テーブルから削除されます。これらのルートは、インターフェイスが復旧すると再適用されます。


) adaptive security applianceで動作中のルーティング プロトコルの管理ディスタンスよりも長い管理ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。


次の例では、宛先が 10.1.1.0/24 のトラフィックがすべて、内部インターフェイスに接続されているルータ(10.1.2.45)に送信されるようにスタティック ルートを作成します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
 

インターフェイスあたり最大 3 つの等コスト ルートが同じ宛先に定義できます。複数のインターフェイス間を通る Equal Cost Multi-Path routing(ECMP; 等コスト マルチパス ルーティング)はサポートされていません。ECMP では、トラフィックはルート間で必ずしも均等に分割されません。トラフィックは、送信元と宛先の IP アドレスをハッシュするアルゴリズムに従って指定のゲートウェイ間に分散されます。

次に、外部インターフェイス上の 3 種類のゲートウェイにトラフィックを転送する等コストのスタティック ルートを設定する例を示します。adaptive security applianceは、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3

デフォルト スタティック ルートの設定

デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、adaptive security applianceが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。

デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義できます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

4 つ以上の等コスト デフォルト ルートを定義しようとした場合、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとした場合は、「ERROR: Cannot add route entry, possible conflict with existing routes.」というメッセージが表示されます。

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義できます。 tunneled オプションを使用してデフォルト ルートを作成すると、既知のルートでもスタティック ルートでもルーティングできないadaptive security appliance上で終わるトンネルからのトラフィックはすべて、このルートに送信されます。トンネルから発信されたトラフィックに対して、このルートはその他の設定されたまたは既知のデフォルト ルートを上書きします。

tunneled オプションのデフォルト ルートには、次の制約事項が適用されます。

ユニキャスト RPF( ip verify reverse-path )をトンネル ルートの出力インターフェイスでイネーブルにしないでください。トンネル ルートの出力インターフェイスで RPF をイネーブルにするとセッションが失敗します。

TCP 代行受信をトンネル ルートの出力インターフェイスでイネーブルにしないでください。セッションが失敗します。

トンネル ルートで VoIP 検査エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS 検査エンジン、または DCE RPC 検査エンジンを使用しないでください。これらの検査エンジンはトンネル ルートを無視します。

tunneled オプションでは、複数のデフォルト ルートを定義することはできません。トンネル トラフィックでは ECMP がサポートされていないためです。

デフォルト ルートを定義するには、次のコマンドを入力します。

hostname(config)# route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance | tunneled]
 

ヒント 宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力できます。たとえば、次のように入力します。hostname(config)# route outside 0 0 192.168.1 1


次の例は、adaptive security applianceに 3 つの等コスト デフォルト ルートとトンネル トラフィック用のデフォルト ルート 1 つを設定しています。adaptive security applianceで受信した非暗号化トラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレスが 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイの間に分散されます。adaptive security applianceで受信した暗号化されたトラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレス 192.168.2.4 のゲートウェイに転送されます。

hostname(config)# route outside 0 0 192.168.2.1
hostname(config)# route outside 0 0 192.168.2.2
hostname(config)# route outside 0 0 192.168.2.3
hostname(config)# route outside 0 0 192.168.2.4 tunneled
 

スタティック ルート トラッキングの設定

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクストホップ ゲートウェイが利用できなくなっても、ルーティング テーブルに保持されています。スタティック ルートは、adaptive security applianceの関連インターフェイスがダウンした場合にのみルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの可用性を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。これを利用すると、デフォルト ルートを ISP ゲートウェイに定義し、プライマリ ISP が使用できない場合に備えて、バックアップ用のデフォルト ルートをセカンダリ ISP に定義できます。

adaptive security applianceでは、定義するモニタリング対象にスタティック ルートを関連付けることにより、これを行います。対象のモニタリングは、ICMP エコー要求を使用して行います。指定された時間内にエコー応答がない場合は、そのオブジェクトがダウンしていると見なされ、関連ルートがルーティング テーブルから削除されます。削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICPM エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを考慮してください。

ISP ゲートウェイ アドレス(デュアル ISP サポート用)。

ネクストホップ ゲートウェイ アドレス(ゲートウェイの可用性を考慮する場合)。

宛先ネットワーク上の永続的なネットワーク オブジェクト(夜間にシャットダウンするデスクトップ PC やノートブック PC は適しません)。

スタティックに定義されたルートや、DHCP または PPPoE を通じて取得したデフォルト ルートのスタティック ルート トラッキングを設定できます。ルート トラッキングでは、複数のインターフェイスで PPPoE クライアントだけをイネーブルにできます。

スタティック ルート トラッキングを設定するには、次の手順を実行します。


ステップ 1 追跡されるオブジェクトのモニタリング パラメータを設定します。

a. モニタリング プロセスを定義します。

hostname(config)# sla monitor sla_id
 

新しいモニタリング プロセスを設定する場合は、SLA モニタ コンフィギュレーション モードになります。タイプが定義されていて、スケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、直接 SLA プロトコル コンフィギュレーション モードになります。

b. モニタリング プロトコルを指定します。タイプが定義されていて、スケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、直接 SLA プロトコル コンフィギュレーション モードになり、この設定は変更できません。

hostname(config-sla-monitor)# type echo protocol ipIcmpEcho target_ip interface if_name
 

target_ip はネットワーク オブジェクトの IP アドレスで、その可用性をトラッキング プロセスが監視します。このオブジェクトが利用できるときに、トラッキング プロセス ルートがルーティング テーブルにインストールされます。このオブジェクトが利用できない場合、トラッキング プロセスがルートを削除し、代わりにバックアップ ルートが使用されています。

c. モニタリング プロセスのスケジュールを設定します。

hostname(config)# sla monitor schedule sla_id [life {forever | seconds}] [start-time {hh:mm[:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]
 

一般的に、モニタリング スケジュールには sla monitor schedule sla_id life forever start-time now を使用し、モニタリング コンフィギュレーションがテスト頻度を判別できるようにします。ただし、このモニタリング プロセスが将来開始するようにしたり、指定時期だけに生じたりするようにスケジュール設定できます。

ステップ 2 次のコマンドを入力して、追跡されたスタティック ルートを SLA モニタリング プロセスに関連付けます。

hostname(config)# track track_id rtr sla_id reachability
 

track_id は、このコマンドで割り当てるトラッキング番号です。 sla_id は、ステップ 1 で定義した SLA プロセスの ID 番号です。

ステップ 3 追跡されたオブジェクトが到達可能な場合、次のいずれかのオプションを指定して、ルーティング テーブルにインストールするスタティック ルートを定義します。

スタティック ルートを追跡するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [admin_distance] track track_id
 

スタティック ルート トラッキングでは、 tunneled オプションを route コマンドに指定できません。

DHCP から取得したデフォルト ルートを追跡するには、次のコマンドを入力します。

hostname(config)# interface phy_if
hostname(config-if)# dhcp client route track track_id
hostname(config-if)# ip addresss dhcp setroute
hostname(config-if)# exit
 

setroute 引数を ip address dhcp コマンドとともに使用して、DHCP を使用したデフォルト ルートを取得する必要があります。


PPPoE から取得したデフォルト ルートを追跡するには、次のコマンドを入力します。

hostname(config)# interface phy_if
hostname(config-if)# pppoe client route track track_id
hostname(config-if)# ip addresss pppoe setroute
hostname(config-if)# exit
 

setroute 引数を ip address dhcp コマンドとともに使用して、PPPoE を使用したデフォルト ルートを取得する必要があります。


ステップ 4 次のいずれかのオプションを指定して、追跡されたオブジェクトが利用できないときに使用するバックアップ ルートを定義します。バックアップ ルートの管理ディスタンスは、追跡されたルート(つまり、DHCP または PPPoE)の管理ディスタンスよりも大きくなければなりません。これが大きくない場合は、追跡されたルートの代わりにバックアップ ルートがルーティング テーブルにインストールされます。

スタティック ルートを使用するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [admin_distance]
 

スタティック ルートの宛先とマスクは、追跡されたルートと同じものでなければなりません。DHCP または PPPoE から取得したデフォルト ルートを追跡する場合、アドレスとマスクは 0.0.0.0 0.0.0.0 です。

DHCP から取得したデフォルト ルートを使用するには、次のコマンドを入力します。

hostname(config)# interface phy_if
hostname(config-if)# dhcp client route track track_id
hostname(config-if)# dhcp client route distance admin_distance
hostname(config-if)# ip addresss dhcp setroute
hostname(config-if)# exit

setroute 引数を ip address dhcp コマンドとともに使用して、DHCP を使用したデフォルト ルートを取得する必要があります。

PPPoE から取得したデフォルト ルートを使用するには、次のコマンドを入力します。

hostname(config)# interface phy_if
hostname(config-if)# pppoe client route track track_id
hostname(config-if)# pppoe client route distance admin_distance
hostname(config-if)# ip addresss pppoe setroute
hostname(config-if)# exit
 

setroute 引数を ip address dhcp コマンドとともに使用して、PPPoE を使用したデフォルト ルートを取得する必要があります。

 


 

ルート マップの定義

ルート マップは、ルートを OSPF、RIP または EIGRP ルーティング プロセスに再配布するときに使用します。また、デフォルト ルートを OSPF ルーティング プロセスに生成するときにも使用します。ルート マップは、指定されたルーティング プロトコルのどのルートを対象ルーティング プロセスに再配布するのかを定義します。

ルートマップを定義するには、次の手順を実行します。


ステップ 1 ルートマップのエントリを作成するには、次のコマンドを入力します。

hostname(config)# route-map name {permit | deny} [sequence_number]
 

ルートマップのエントリは順番に読み取られます。順序は sequence_number オプションを使用して識別します。このオプションを使用しないと、adaptive security applianceはユーザがエントリを追加したときの順序を使用します。

ステップ 2 次に挙げる match コマンドのうち、1 つ以上を入力します。

標準の ACL に一致する宛先ネットワークを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip address acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

指定したメトリックを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match metric metric_value
 

metric_value には、0 ~ 4294967295 を指定できます。

標準の ACL に一致するネクストホップ ルータ アドレスを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip next-hop acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

指定したネクストホップ インターフェイスを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match interface if_name
 

2 つ以上のインターフェイスを指定する場合、ルートはいずれかのインターフェイスと一致します。

標準の ACL と一致するルータによってアドバタイズされている任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip route-source acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

ルート タイプを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match route-type {internal | external [type-1 | type-2]}
 

ステップ 3 1 つ以上の set コマンドを入力します。

ルートが match コマンドで一致する場合は、次の set コマンドによって、ルートを再配布する前にルートで実行するアクションが決まります。

メトリックを設定するには、次のコマンドを入力します。

hostname(config-route-map)# set metric metric_value
 

metric_value には、0 ~ 294967295 の値を指定できます。

メトリック タイプを設定するには、次のコマンドを入力します。

hostname(config-route-map)# set metric-type {type-1 | type-2}
 


 

次の例は、ホップ カウント 1 でルートを OSPF に再配布する方法を示しています。adaptive security applianceは、これらのルートをメトリック 5、タイプ 1 のメトリック タイプで外部 LSA として再配布します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

OSPF の設定

この項では、OSPF の設定方法について説明します。この項は、次の内容で構成されています。

「OSPF の概要」

「OSPF のイネーブル化」

「ルートの OSPF への再配布」

「OSPF インターフェイスのパラメータの設定」

「OSPF エリア パラメータの設定」

「OSPF NSSA の設定」

「スタティック OSPF ネイバーの定義」

「OSPF エリア間のルート集約の設定」

「OSPF にルートを再配布する場合のルート集約の設定」

「デフォルト ルートの生成」

「ルート計算タイマーの設定」

「ネイバーがアップ状態またはダウン状態になった時点でのロギング」

「OSPF アップデート パケットのペーシングの表示」

「OSPF のモニタリング」

「OSPF プロセスの再起動」

OSPF の概要

OSPF は、リンクステート アルゴリズムを使用して、すべての既知の宛先までの最短パスをビルドおよび計算します。OSPF エリア内の各ルータには、ルータが使用可能なインターフェイスと到達可能なネイバーそれぞれのリストである同一のリンクステート データベースが置かれています。

RIP に比べると OSPF は次の点で有利です。

OSPF のリンクステート データベースのアップデート送信は RIP ほど頻繁ではなく、また、古くなった情報のタイムアウトで徐々にアップデートされるのとは異なり、リンクステート データベースは瞬時にアップデートされます。

ルーティング決定はコストに基づいて行われます。これは、特定のインターフェイスを介してパケットを送信するためにオーバーヘッドが必要であることを示しています。adaptive security applianceは、インターフェイスのコストをリンク帯域幅に基づいて計算し、宛先までのホップ数は使用しません。コストは優先パスを指定するために設定される場合があります。

最短パス優先アルゴリズムの欠点は、CPU サイクルとメモリが大量に必要になることです。

adaptive security applianceは、OSPF プロトコルのプロセス 2 つを異なるインターフェイス セット上で同時に実行できます。同じ IP アドレスを使用する複数のインターフェイス(NAT ではこのようなインターフェイスは共存可能ですが、OSPF ではアドレスの重複は許しません)があるときに、2 つのプロセスを実行する場合があります。あるいは、一方のプロセスを内部で実行しながら別のプロセスを外部で実行し、ルートのサブセットをこの 2 つのプロセス間で再配布する場合もあります。同様に、プライベート アドレスをパブリック アドレスから分離する必要がある場合もあります。

OSPF ルーティング プロセスに別の OSPF、EIGRP、または RIP ルーティング プロセスからルートを再配布するか、または、OSPF 対応インターフェイスに設定されている接続されているルートまたはスタティック ルートから、ルートを再配布できます。

adaptive security applianceでは、次の OSPF の機能がサポートされています。

エリア内ルート、エリア間ルート、および外部ルート(タイプ I とタイプ II)のサポート

仮想リンクのサポート

OSPF の LSA フラッディング

OSPF パケットの認証(パスワード認証と MD5 認証の両方)

adaptive security applianceの代表ルータまたは代表バックアップ ルータとしての設定のサポート。adaptive security applianceは、ABR としてもセットアップできます。しかし、adaptive security applianceを ASBR として設定するための機能は、デフォルト情報に限定されています(デフォルト ルートの挿入など)。

スタブ エリアと not so stubby エリア(NSSA)のサポート

エリア境界ルータのタイプ 3 LSA フィルタリング

OSPF のイネーブル化

OSPF をイネーブルにするには、OSPF ルーティング プロセスを作成し、このルーティング プロセスに関連付ける IP アドレスの範囲を指定し、さらにその IP アドレスの範囲にエリア ID を割り当てる必要があります。

OSPF をイネーブルにするには、次の手順を実行します。


ステップ 1 OSPF ルーティング プロセスを作成するには、次のコマンドを入力します。

hostname(config)# router ospf process_id
 

このコマンドは、この OSPF プロセスのルータ コンフィギュレーション モードを入力します。

process_id は、このルーティング プロセス内部で使用される識別子です。任意の正の整数が使用できます。この ID は内部専用のため、他のどのデバイス上の ID とも照合する必要はありません。最大 2 つのプロセスが使用できます。

ステップ 2 OSPF が動作する IP アドレスを定義し、そのインターフェイスのエリア ID を定義するには、次のコマンドを入力します。

hostname(config-router)# network ip_address mask area area_id
 


 

OSPF をイネーブルにする方法を次に示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.0.0.0 255.0.0.0 area 0
 

ルートの OSPF への再配布

adaptive security applianceは、OSPF ルーティング プロセス間のルート再配布を制御できます。adaptive security applianceは、 redistribute コマンドまたはルートマップの設定に基づいてルートの照合および変更を行います。ルートマップのこれ以外の使用方法については、「デフォルト ルートの生成」も参照してください。

スタティック ルート、接続されているルート、EIGRP、RIP、または OSPF ルートを OSPF プロセスに再配布するには、次の手順を実行します。


ステップ 1 (オプション)ルート マップを作成して、指定されたルーティング プロトコルのどのルートを OSPF ルーティング プロセスに再配布するのかをさらに定義します。「ルート マップの定義」を参照してください。

ステップ 2 まだ移行していない場合、次のコマンドを入力して、再配布する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 3 次のいずれかのオプションを指定して、選択したルートタイプを RIP ルーティング プロセスに再配布します。

接続されているルートを OSPF ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute connected [[metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

スタティック ルートを OSPF ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute static [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

OSPF ルーティング プロセスからのルートを OSPF ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute ospf pid [match {internal | external [1 | 2] | nssa-external [1 | 2]}] [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

このコマンドにルート プロパティを照合および設定するための match オプションを使用するか、ルートマップを使用します。 tag オプションおよび subnets オプションは、 route-map コマンドで使用する場合と同じではありません。 redistribute コマンドでルートマップと match オプションの両方を使用した場合、これらは一致している必要があります。

RIP ルーティング プロセスからのルートを OSPF ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute rip [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

EIGRP ルーティング プロセスからのルートを OSPF ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute eigrp as-num [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 


 

次に、ルートをメトリック 1 と照合することによって、OSPF プロセス 1 から OSPF プロセス 2 にルートを再配布する例を示します。adaptive security applianceは、これらのルートをメトリック 5、タイプ 1 のメトリック タイプで外部 LSA として再配布します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
hostname(config-route-map)# router ospf 2
hostname(config-router)# redistribute ospf 1 route-map 1-to-2
 

次に、指定された OSPF プロセスのルートを OSPF プロセス 109 に再配布する例を示します。OSPF メトリックは 100 に再マッピングされます。

hostname(config)# router ospf 109
hostname(config-router)# redistribute ospf 108 metric 100 subnets
 

次に、リンクステート コストが 5 に指定され、メトリック タイプが 1 または 2 に設定されているルートの再配布の例を示します。外部というのは、内部メトリックより優先順位が低いことを示します。

hostname(config)# router ospf 1
hostname(config-router)# redistribute ospf 2 metric 5 metric-type 1/2
 

OSPF インターフェイスのパラメータの設定

インターフェイス固有の OSPF パラメータは、必要に応じて変更できます。これらのパラメータは必ずしも変更する必要はありませんが、 ospf hello-interval ospf dead-interval 、および ospf authentication-key というインターフェイス パラメータは、接続されているネットワーク内のすべてのルータで一致している必要があります。これらのパラメータのいずれかを設定する場合は、ネットワーク上のすべてのルータのコンフィギュレーションに適合する値にするようにしてください。

OSPF インターフェイス パラメータを設定するには、次の手順を実行します。


ステップ 1 インターフェイス コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config)# interface interface_name
 

ステップ 2 パケット送信のハードウェアを OSPF インターフェイスに明示的に指定するには、次のコマンドを入力します。

hostname(config-router)# interface HardwareID
 

HardwareID は Gigabit Ethernet 0/0 のような、システムのハードウェアです。

ステップ 3 次のいずれかのコマンドを入力します。

インターフェイスの認証タイプを指定するには、次のコマンドを入力します。

hostname(config-if)# ospf authentication [message-digest | null]
 

OSPF 簡易パスワード認証を使用中のネットワーク セグメントに存在する隣接 OSPF ルータで使用されるパスワードを割り当てるには、次のコマンドを入力します。

hostname(config-if)# ospf authentication-key key
 

key には、最大 8 バイトの連続する文字列を指定できます。

このコマンドで作成するパスワードはキーとして使用され、このキーはadaptive security applianceのソフトウェアによるルーティング プロトコル パケットの発信時に OSPF ヘッダーに直接挿入されます。各ネットワークにはインターフェイスごとに個別のパスワードを割り当てることができます。OSPF 情報が交換できるためには、同じネットワーク上の隣接ルータはすべて、同じパスワードを持つ必要があります。

 

パケット送信のコストを OSPF インターフェイスに明示的に指定するには、次のコマンドを入力します。

hostname(config-if)# ospf cost cost
 

cost は、10 ~ 65535 の整数です。デフォルトは 1 です。

hello パケットが受信されなかったために、隣接 OSPF ルータがダウンしているとデバイスが宣言する場合に必要な待機時間を秒数で設定するには、次のコマンドを入力します。

hostname(config-if)# ospf dead-interval seconds
 

この値はネットワーク上のすべてのノードで同じにする必要があります。

adaptive security applianceが OSPF インターフェイスから hello パケットを送信する時間間隔を指定するには、次のコマンドを入力します。

hostname(config-if)# ospf hello-interval seconds
 

この値はネットワーク上のすべてのノードで同じにする必要があります。

OSPF MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# ospf message-digest-key key_id md5 key
 

次の値を設定します。

key_id :範囲 1 ~ 255 の識別子

key :最大 16 バイトの英数字によるパスワード

通常は、インターフェイスあたり 1 つのキーを使用して、パケット送信時に認証情報を生成するとともに着信パケットを認証します。隣接ルータの同一キー識別子は、キー値を同一にする必要があります。

1 インターフェイスで 2 つ以上のキーを保持しないことをお勧めします。新しいキーを追加したらその都度古いキーを削除して、ローカル システムが古いキー情報を持つ悪意のあるシステムと通信を続けることのないようにしてください。古いキーを削除すると、ロールオーバー中のオーバーヘッドを減らすことにもなります。

ネットワークの OSPF 代表ルータを決定するための優先順位を設定するには、次のコマンドを入力します。

hostname(config-if)# ospf priority number_value
 

number_value は、0 ~ 255 です。

OSPF インターフェイスに属する隣接ルータに LSA を再送信する間隔を秒数で指定するには、次のコマンドを入力します。

hostname(config-if)# ospf retransmit-interval seconds
 

seconds は、接続されているネットワーク上の任意の 2 ルータ間で予想されるラウンドトリップ遅延より長い秒数でなければなりません。範囲は 1 ~ 65535 秒です。デフォルトは 5 秒です。

OSPF インターフェイスでリンクステート アップデート パケットを送信するのに必要な予想時間を秒数で設定するには、次のコマンドを入力します。

hostname(config-if)# ospf transmit-delay seconds
 

seconds は、1 ~ 65535 秒です。デフォルトは 1 秒です。

ポイントツーポイントの非ブロードキャスト ネットワークとしてインターフェイスを指定するには、次のコマンドを入力します。

hostname(config-if)# ospf network point-to-point non-broadcast
 

インターフェイスをポイントツーポイントの非ブロードキャストとして指定するには、手動で OSPF ネイバーを定義する必要があります。ダイナミック近隣探索はできません。詳細については、「スタティック OSPF ネイバーの定義」を参照してください。また、そのインターフェイスに 1 つの OSPF ネイバーを定義することだけ可能です。


 

次の例は、OSPF インターフェイスの設定方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# network 2.0.0.0 255.0.0.0 area 0
hostname(config-router)# interface HardwareID
hostname(config-if)# ospf cost 20
hostname(config-if)# ospf retransmit-interval 15
hostname(config-if)# ospf transmit-delay 10
hostname(config-if)# ospf priority 20
hostname(config-if)# ospf hello-interval 10
hostname(config-if)# ospf dead-interval 40
hostname(config-if)# ospf authentication-key cisco
hostname(config-if)# ospf message-digest-key 1 md5 cisco
hostname(config-if)# ospf authentication message-digest
 

次に、 show ospf コマンドの出力例を示します。

hostname(config)# show ospf
 
Routing Process "ospf 2" with ID 20.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Does not support opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 5. Checksum Sum 0x 26da6
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 1
Area has no authentication
SPF algorithm executed 2 times
Area ranges are
Number of LSA 5. Checksum Sum 0x 209a3
Number of opaque link LSA 0. Checksum Sum 0x 0
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0

OSPF エリア パラメータの設定

複数のエリア パラメータを設定できます。これらのエリア パラメータ(後述のタスク テーブルに表示)には、認証の設定、スタブ エリアの定義、デフォルト サマリー ルートへの特定のコストの割り当てがあります。認証では、エリアへの不正アクセスに対してパスワードベースで保護します。

スタブ エリアは、外部ルートの情報が送信されないエリアです。その代わりに、ABR で生成されるデフォルトの外部ルートがあり、このルートは自律システムの外部の宛先としてスタブ エリアに送信されます。OSPF スタブ エリアのサポートを活用するには、デフォルトのルーティングをスタブ エリアで使用する必要があります。スタブ エリアに送信される LSA の数をさらに減らすには、ABR で実行する area stub コマンドに no-summary キーワードを設定して、スタブ エリアにサマリー リンク アドバタイズメント(LSA タイプ 3)が送信されないようにします。

ネットワークにエリア パラメータを指定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 次のいずれかのコマンドを入力します。

OSPF エリアの認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication
 

OSPF エリアの MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication message-digest
 

エリアをスタブ エリアに定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id stub [no-summary]
 

スタブ エリアで使用されるデフォルト サマリー ルートに特定のコストを割り当てるには、次のコマンドを入力します。

hostname(config-router)# area area-id default-cost cost
 

cost は、1 ~ 65535 の整数です。デフォルトは 1 です。


 

次の例は、OSPF エリア パラメータの設定方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# area 0 authentication
hostname(config-router)# area 0 authentication message-digest
hostname(config-router)# area 17 stub
hostname(config-router)# area 17 default-cost 20
 

OSPF NSSA の設定

Not-So-Stubby Area(NSSA)の OSPF への実装は、OSPF のスタブ エリアに似ています。NSSA は、タイプ 5 の外部 LSA をコアからエリアにフラッディングすることはありませんが、自律システムの外部ルートをある限られた方法でエリア内にインポートできます。

NSSA は、再配布によって、タイプ 7 の自律システムの外部ルートを NSSA エリア内部にインポートします。これらのタイプ 7 の LSA は、NSSA の ABR によってタイプ 5 の LSA に変換され、ルーティング ドメイン全体にフラッディングされます。変換中は集約とフィルタリングがサポートされます。

OSPF を使用する中央サイトから異なるルーティング プロトコルを使用するリモート サイトに接続しなければならない ISP またはネットワーク管理者は、NSSA を使用することによって管理を簡略化できます。

NSSA が実装される前は、企業サイトの境界ルータとリモート ルータ間の接続では、OSPF スタブ エリアとしては実行されませんでした。これは、リモート サイト向けのルートは、スタブ エリアに再配布することができず、2 種類のルーティング プロトコルを維持する必要があったためです。RIP のようなシンプルなプロトコルを実行して再配布を処理する方法が一般的でした。NSSA が実装されたことで、企業ルータとリモート ルータ間のエリアを NSSA として定義することにより、NSSA で OSPF を拡張してリモート接続をカバーできます。

OSPF NSSA を設定するために必要なエリア パラメータをネットワークに指定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 次のいずれかのコマンドを入力します。

NSSA エリアを定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id nssa [no-redistribution] [default-information-originate][no-summary]
 

アドレスのグループを集約するには、次のコマンドを入力します。

hostname(config-router)# summary address ip_address mask [not-advertise] [tag tag]
 

このコマンドは、ルーティング テーブルのサイズを減らすのに役立ちます。OSPF でこのコマンドを使用すると、このアドレスでカバーされる再配布ルートすべての集約として、1 つの外部ルートが OSPF ASBR からアドバタイズされます。

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。

次の例では、サマリー アドレスの 10.1.0.0 に、10.1.1.0、10.1.2.0、10.1.3.0 などのアドレスが含まれます。外部のリンク状態アドバタイズメントでは、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config-router)# summary-address 10.1.0.0 255.255.0.0
 

この機能を使用する前に、次のガイドラインを参考にしてください。

外部の宛先に到達するために、タイプ 7 のデフォルト ルートを設定できる。設定すると、NSSA または NSSA エリア境界ルータまでのタイプ 7 のデフォルトがルータによって生成されます。

同じエリア内にあるルータはすべて、このエリアが NSSA であることに同意しなければなりません。そうでないと、ルータは通信できなくなります。


 

OSPF エリア間のルート集約の設定

ルート集約は、アドバタイズされるアドレスを統合することです。この機能を実行すると、1 つのサマリー ルートがエリア境界ルータを通して他のエリアにアドバタイズされます。OSPF のエリア境界ルータは、ネットワークをある 1 つのエリアから別のエリアへとアドバタイズしていきます。あるエリアにおいて連続する複数のネットワーク番号が割り当てられている場合、指定された範囲に含まれるエリア内の個別のネットワークをすべてカバーするサマリー ルートをアドバタイズするようにエリア境界ルータを設定できます。

ルート集約のアドレス範囲を定義するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 アドレス範囲を設定するには、次のコマンドを入力します。

hostname(config-router)# area area-id range ip-address mask [advertise | not-advertise]
 


 

次の例は、OSPF エリア間のルート集約の設定方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# area 17 range 12.1.0.0 255.255.0.0
 

OSPF にルートを再配布する場合のルート集約の設定

他のプロトコルからのルートを OSPF に再配布する場合、各ルートは外部 LSA で個別にアドバタイズされます。その一方で、指定したネットワーク アドレスとマスクでカバーされる再配布ルートすべてに対して 1 つのルートをアドバタイズするようにadaptive security applianceを設定できます。このコンフィギュレーションによって OSPF リンクステート データベースのサイズが小さくなります。

ネットワーク アドレスとマスクでカバーされる再配布ルートすべてに対して 1 つのサマリー ルートをアドバタイズするようにソフトウェアを設定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 サマリー アドレスを設定するには、次のコマンドを入力します。

hostname(config-router)# summary-address ip_address mask [not-advertise] [tag tag]
 

) OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。



 

次の例は、ルート集約の設定方法を示しています。サマリー アドレスの 10.1.0.0 には、10.1.1.0、10.1.2.0、10.1.3.0 などのアドレスが含まれます。外部のリンク状態アドバタイズメントでは、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config)# router ospf 1
hostname(config-router)# summary-address 10.1.0.0 255.255.0.0
 

スタティック OSPF ネイバーの定義

スタティック OSPF ネイバーを定義して、ポイントツーポイントの非ブロードキャスト ネットワークを介して OSPF ルートをアドバタイズする必要があります。これにより、OSPF アドバタイズメントを GRE トンネルにカプセル化しなくても、既存の VPN 接続でブロードキャストできます。また、OSPF パケットはユニキャストです。

スタティック OSPF ネイバーを定義するには、次のタスクを実行します。


ステップ 1 OSPF ネイバーへのスタティック ルートを作成します。スタティック ルート作成の詳細については、「スタティック ルートおよびデフォルト ルートの設定」を参照してください。

ステップ 2 OSPF ネイバーを定義するには、次のタスクを実行します。

a. OSPF プロセス用のルータ コンフィギュレーション モードに入ります。次のコマンドを入力します。

hostname(config)# router ospf pid
 

b. 次のコマンドを入力して、OSPF ネイバーを定義します。

hostname(config-router)# neighbor addr [interface if_name]
 

addr 引数は OSPF ネイバーの IP アドレスです。 if_name は、ネイバーと通信を行うためのインターフェイスです。直接接続インターフェイスと同様、OSPF ネイバーが同じネットワーク上にない場合、 interface を指定する必要があります。


 

デフォルト ルートの生成

自律システムの境界ルータによって、デフォルト ルートが OSPF ルーティング ドメインに必ず生成されるようにできます。ルートを OSPF ルーティング ドメインに再配布するように特に設定すると、ルータは自動的に自律システム境界ルータになります。しかし、自律システム境界ルータは、デフォルトでは OSPF ルーティング ドメインにデフォルト ルートを生成しません。

デフォルト ルートを生成するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 自律システム境界ルータでデフォルト ルートが必ず生成されるようにするには、次のコマンドを入力します。

hostname(config-router)# default-information originate [always] [metric metric-value] [metric-type {1 | 2}] [route-map map-name]
 


 

次の例は、デフォルト ルートの生成方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# default-information originate always
 

ルート計算タイマーの設定

OSPF によるトポロジ変更受信と最短パス優先(SPF)計算開始との間の遅延時間が設定できます。最初に SPF を計算してから次に計算するまでの保持時間も設定できます。

ルート計算タイマーを設定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 ルート計算時刻を設定するには、次のコマンドを入力します。

hostname(config-router)# timers spf spf-delay spf-holdtime
 

spf-delay は、OSPF によるトポロジ変更受信と SPF 計算開始との間の遅延時間(秒)です。0 ~ 65535 の整数を使用できます。デフォルトは 5 秒です。値の 0 は遅延がないことを意味します。つまり、SPF 計算はただちに開始されます。

spf-holdtime は、2 つの連続する SPF 計算の間の最短時間(秒)です。0 ~ 65535 の整数を使用できます。デフォルトは 10 秒です。値の 0 は遅延がないことを意味します。つまり、2 回の SPF 計算がすぐに続けて行われます。


 

次の例は、ルート計算タイマーの設定方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# timers spf 10 120

ネイバーがアップ状態またはダウン状態になった時点でのロギング

デフォルトでは、システムは OSPF ネイバーがアップ状態またはダウン状態になったときにシステム メッセージを送信します。

アップ状態またはダウン状態になった OSPF ネイバーについて、 debug ospf adjacency コマンドを実行せずに確認する必要がある場合に、このコマンドを設定します。 log-adj-changes router 設定コマンドでは、少ない出力によってピアの関係が高いレベルで表示されます。それぞれの状態変化メッセージを確認する場合は、 log-adj-changes detail を設定します。

アップ状態またはダウン状態になったネイバーをログに記録するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 アップ状態またはダウン状態になったネイバーに対するロギングを設定するには、次のコマンドを入力します。

hostname(config-router)# log-adj-changes [detail]
 

) ネイバーのアップまたはダウンのメッセージが送信されるには、ロギングがイネーブルになっている必要があります。



 

次の例は、ネイバーのアップまたはダウンのメッセージをログに記録する方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# log-adj-changes detail
 

OSPF アップデート パケットのペーシングの表示

OSPF アップデート パケットは、自動的にペーシングされるため、各パケットの送信間隔が 33 ミリ秒未満になることはありません。ペーシングを行わないと、リンクが低速の状態でアップデート パケットの一部が失われたり、ネイバーがアップデートを十分すばやく受信できなくなったり、あるいは、ルータがバッファ スペースを使い切ってしまったりすることがあります。たとえば、ペーシングを行わないと、次のいずれかのトポロジが存在した場合にパケットがドロップされる可能性があります。

高速ルータがポイントツーポイント リンクを介して低速のルータと接続している。

フラッディング中に、複数のネイバーから 1 つのルータに同時にアップデートが送信される。

ペーシングは、再送信間でも、送信効率を高めて再送信パケットの損失を最小にするために利用されます。インターフェイスへの送信を待機している LSA を表示することもできます。ペーシングの利点は、OSPF アップデートおよび再送信パケットの送信の効率をよくすることです。

この機能を設定するタスクはありません。自動的に行われます。

指定したインターフェイスを通したフラッディングを待機している LSA のリストを表示して OSPF パケットのペーシングを観察するには、次のコマンドを入力します。

hostname# show ospf flood-list if_name
 

OSPF のモニタリング

IP ルーティング テーブルの内容、キャッシュの内容、およびデータベースの内容など、特定の統計情報を表示できます。提供される情報は、リソースの使用状況を判定してネットワークの問題を解決するために使用できます。また、ノードの到達可能性情報を表示して、デバイス パケットがネットワークを通過するときにとるルーティング パスを見つけることもできます。

さまざまな OSPF ルーティング統計情報を表示するには、必要に応じて次のいずれかのタスクを実行します。

OSPF ルーティング プロセスに関する一般情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]]
 

ABR および ASBR までの内部 OSPF ルーティング テーブル エントリを表示するには、次のコマンドを入力します。

hostname# show ospf border-routers
 

特定のルータの OSPF データベースに関連する情報のリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]] database
 

インターフェイスへのフラッディングを待機している LSA のリストを表示するには(OSPF パケット ペーシングの観察のため)、次のコマンドを入力します。

hostname# show ospf flood-list if-name
 

OSPF に関連するインターフェイス情報を表示するには、次のコマンドを入力します。

hostname# show ospf interface [if_name]
 

OSPF ネイバー情報をインターフェイスごとに表示するには、次のコマンドを入力します。

hostname# show ospf neighbor [interface-name] [neighbor-id] [detail]
 

ルータで要求される LSA すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf request-list neighbor if_name
 

再送信を待機している LSA すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf retransmission-list neighbor if_name
 

OSPF プロセスで設定されているサマリー アドレスの再配布情報すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] summary-address
 

OSPF に関連する仮想リンク情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] virtual-links
 

OSPF プロセスの再起動

OSPF プロセスを再起動して、カウンタをクリアするには、次のコマンドを入力します。

hostname(config)# clear ospf pid {process | counters [neighbor [neighbor-interface] [neighbor-id]]}
 

RIP の設定

RIP をサポートしているデバイスは、ネットワークのトポロジが変更されると、ルーティングアップデート メッセージを所定の間隔で送信します。これらの RIP パケットには、デバイスが到達可能なネットワークに関する情報、さらに宛先アドレスに到達するためにパケットが通過しなければならないルータやゲートウェイの数が含まれています。RIP では、生成されるトラフィックは OSPF より多くなりますが、設定は OSPF より容易です。

RIP は、初期コンフィギュレーションが簡単で、トポロジが変更されても設定をアップデートする必要がないため、スタティック ルーティングより有利です。RIP の欠点は、ネットワーク数や処理オーバーヘッドがスタティック ルーティングより大きいことです。

adaptive security applianceは RIP バージョン 1 および 2 をサポートしています。

この項では、RIP の設定方法について説明します。この項は、次の内容で構成されています。

「RIP のイネーブル化と設定」

「デフォルト RIP ルートの生成」

「ルートの RIP ルーティング プロセスへの再配布」

「インターフェイス上の RIP 送受信バージョンの設定」

「RIP 認証のイネーブル化」

「RIP のモニタリング」

RIP のイネーブル化と設定

adaptive security applianceでは、1 つの RIP ルーティング プロセスだけをイネーブルできます。RIP ルーティング プロセスをイネーブルにした後に、 network コマンドを使用して、ルーティング プロセスに参加するインターフェイスを定義する必要があります。デフォルトでは、adaptive security applianceが RIP バージョン 1 アップデートを送信して、RIP バージョン 1 およびバージョン 2 アップデートを受け取ります。

RIP ルーティング プロセスのイネーブル化と設定を行うには、次の手順を実行します。


ステップ 1 グローバル コンフィギュレーション モードで次のコマンドを入力して、RIP ルーティング プロセスを開始します。

hostname(config): router rip
 

RIP ルーティング プロセス用のルータ コンフィギュレーション モードに入ります。

ステップ 2 RIP ルーティング プロセスに参加するインターフェイスを指定します。RIP ルーティング プロセスに参加するインターフェイスごとに、次のコマンドを入力します。

hostname(config-router): network network_address
 

インターフェイスがこのコマンドで定義されるネットワークに属していれば、そのインターフェイスは RIP ルーティング プロセスに参加します。インターフェイスがこのコマンドで定義されるネットワークに属していなければ、そのインターフェイスは RIP アップデートを送受信しません。

ステップ 3 (オプション)次のコマンドを入力して、adaptive security applianceで使用する RIP のバージョンを指定します。

hostname(config-router): version [1 | 2]
 

この設定は、インターフェイスごとに上書きできます。

ステップ 4 (オプション)デフォルト ルートを RIP に生成するには、次のコマンドを入力します。

hostname(config-router): default-information originate
 

ステップ 5 (オプション)インターフェイスをパッシブ モードで操作するように設定するには、次のコマンドを入力します。

hostname(config-router): passive-interface [default | if_name]
 

default キーワードを使用すると、すべてのインターフェイスがパッシブ モードで動作するようになります。1 つのインターフェイス名を指定すると、そのインターフェイスだけがパッシブ RIP モードに設定されます。パッシブ モードでは、RIP ルーティング アップデートは、指定されたインターフェイスにより受信されますが、そこから送信されることはありません。パッシブ モードに設定するインターフェイスごとにこのコマンドを入力できます。

ステップ 6 (オプション)次のコマンドを入力して、自動ルート集約をディセーブルにします。

hostname(config-router): no auto-summarize
 

RIP バージョン 1 では常に自動ルート集約を使用するので、ディセーブルにはできません。RIP バージョン 2 ではデフォルトでルート集約を使用するので、このコマンドを使用してディセーブルにできます。

ステップ 7 (オプション)アップデートで受信されるネットワークにフィルタをかけるには、次の手順を実行します。

a. RIP プロセスがルーティング テーブルの中で許可するネットワークを許可し、RIP プロセスが廃棄するネットワークを拒否する標準アクセスリストを作成します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスが受信するアップデートだけにフィルタを適用するインターフェイスを指定できます。

hostname(config-router): distribute-list acl in [interface if_name]
 

フィルタを適用する各インターフェイスに対してこのコマンドを入力できます。インターフェイス名を指定しない場合、フィルタは RIP アップデートに適用されます。

ステップ 8 (オプション)アップデートで送信されるネットワークにフィルタをかけるには、次の手順を実行します。

a. RIP プロセスがアドバタイズするネットワークを許可し、アドバタイズしないネットワークを拒否する標準アクセスリストを作成します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスが送信するアップデートだけにフィルタを適用するインターフェイスを指定できます。

hostname(config-router): distribute-list acl out [interface if_name]
 

フィルタを適用する各インターフェイスに対してこのコマンドを入力できます。インターフェイス名を指定しない場合、フィルタは RIP アップデートに適用されます。


 

デフォルト RIP ルートの生成

自律システムの境界ルータによって、デフォルト ルートが RIP ルーティング ドメインに必ず生成されるようにできます。ルートを RIP ルーティング ドメインに再配布するように特に設定すると、ルータは自動的に自律システム境界ルータになります。しかし、自律システム境界ルータは、デフォルトでは RIP ルーティング ドメインにデフォルト ルートを生成しません。

デフォルト ルートを生成するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する RIP プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router RIP
 

ステップ 2 自律システム境界ルータでデフォルト ルートが必ず生成されるようにするには、次のコマンドを入力します。

hostname(config-router)# default-information originate
 


 

次の例は、デフォルト ルートの生成方法を示しています。

hostname(config)# router RIP 2
hostname(config-router)# default-information originate
 

ルートの RIP ルーティング プロセスへの再配布

OSPF ルーティング プロセス、EIGRP ルーティング プロセス、スタティック ルーティング プロセス、および接続されているルーティング プロセスからのルートを RIP ルーティング プロセスに再配布できます。

ルートを RIP ルーティング プロセスに再配布するには、次の手順を実行します。


ステップ 1 (オプション)ルート マップを作成して、指定されたルーティング プロトコルのどのルートを RIP ルーティング プロセスに再配布するのかをさらに定義します。ルート マップ作成の詳細については、「ルート マップの定義」を参照してください。

ステップ 2 次のいずれかのオプションを指定して、選択したルートタイプを RIP ルーティング プロセスに再配布します。

接続されているルートを RIP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute connected [metric {metric_value | transparent}] [route-map map_name]
 

スタティック ルートを RIP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute static [metric {metric_value | transparent}] [route-map map_name]
 

OSPF ルーティング プロセスからのルートを RIP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute ospf pid [match {internal | external [1 | 2] | nssa-external [1 | 2]}] [metric {metric_value | transparent}] [route-map map_name]
 

EIGRP ルーティング プロセスからのルートを RIP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute eigrp as-num [metric {metric_value | transparent}] [route-map map_name]
 


 

インターフェイス上の RIP 送受信バージョンの設定

adaptive security applianceが RIP アップデートをインターフェイスごとに送受信するために使用する RIP のグローバルに設定されたバージョンを上書きできます。

RIP 送受信バージョンの設定を行うには、次の手順を実行します。


ステップ 1 (オプション)インターフェイスから送られる RIP アドバタイズメントのバージョンを指定するには、次の手順を実行します。

a. 次のコマンドを入力して、設定するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

b. 次のコマンドを入力して、RIP アップデートをインターフェイスから送信するときに使用する RIP のバージョンを指定します。

hostname(config-if)# rip send version {[1] [2]}
 

ステップ 2 (オプション)インターフェイスに受信が許可される RIP アドバタイズメントのバージョンを指定するには、次の手順を実行します。

a. 次のコマンドを入力して、設定するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

b. 次のコマンドを入力して、RIP アップデートをインターフェイスが受信するときに許可される RIP のバージョンを指定します。

hostname(config-if)# rip receive version {[1] [2]}
 

インターフェイスで受信した RIP アップデートが許可されているバージョンと一致しない場合は、ドロップされます。


 

RIP 認証のイネーブル化

adaptive security applianceは、RIP バージョン 2 メッセージ用に RIP メッセージ認証をサポートしています。

RIP メッセージ認証をイネーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 (オプション)認証モードを設定するには、次のコマンドを入力します。デフォルトでは、テキスト認証を使用します。MD5 認証を推奨します。

hostname(config-if)# rip authentication mode {text | md5}
 

ステップ 3 認証をイネーブルにし、次のコマンドを入力して認証キーを設定します。

hostname(config-if)# rip authentication key key key_id key-id
 


 

RIP のモニタリング

さまざまな RIP ルーティング統計情報を表示するには、必要に応じて次のいずれかのタスクを実行します。

RIP ルーティング データベースの内容を表示するには、次のコマンドを入力します。

hostname# show rip database
 

実行コンフィギュレーション内の RIP コマンドを表示するには、次のコマンドを入力します。

hostname# show running-config router rip
 

特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り次の debug コマンドを使用してください。デバッグ出力は CPU プロセスで高優先順位が割り当てられているため、デバッグ出力を行うとシステムが使用できなくなることがあります。ネットワーク トラフィック量やユーザ数が少ない場合に debug コマンドを使用することをお勧めします。このような場合にデバッグを実行すると、 debug コマンドの処理オーバーヘッドの増加によってシステムのパフォーマンスに影響が生じる可能性が低くなります。

RIP 処理イベントを表示するには、次のコマンドを入力します。

hostname# debug rip events
 

RIP データベース イベントを表示するには、次のコマンドを入力します。

hostname# debug rip database
 

RIP ルーティング トランザクションに関する情報を表示するには、次のコマンドを入力します。

hostname# debug rip
 

EIGRP の設定

この項では、EIGRP ルーティングの設定およびモニタリングについて説明します。次の項目を取り上げます。

「EIGRP ルーティングの概要」

「EIGRP ルーティングのイネーブル化と設定」

「EIGRP スタブ ルーティングのイネーブル化と設定」

「EIGRP 認証のイネーブル化」

「デフォルト EIGRP ルートの生成」

「EIGRP ネイバーの定義」

「ルートの EIGRP への再配布」

「EIGRP の Hello Interval および保持時間の設定」

「自動ルート集約のディセーブル化」

「サマリー集約アドレスの設定」

「EIGRP スプリット ホライズンのディセーブル化」

「インターフェイス delay 値の変更」

「EIGRP のモニタリングと保持」

「ネイバー変更および警告メッセージ ロギングのディセーブル化」

EIGRP ルーティングの概要

EIGRP は Cisco が開発した IGRP の拡張バージョンです。IGRP や RIP とは異なり、EIGRP は定期的なルート アップデートを送信しません。EIGRP アップデートはネットワーク トポロジが変更されたときのみ送信されます。

近隣探索はadaptive security applianceが直接接続されたネットワークの他のルータをダイナミックに取得する際に使用するプロセスです。EIGRP ルータはマルチキャスト hello パケットを送信してネットワーク上の自分の存在を通知します。adaptive security applianceが新しいネイバーから hello パケットを受信すると、そのトポロジ テーブルを初期化ビット セットと一緒にネイバーに送信します。ネイバーが初期化ビット セットとトポロジの更新を受信すると、ネイバーはそのトポロジ テーブルをadaptive security applianceに返送します。

hello パケットはマルチキャスト メッセージとして送信されます。hello メッセージに対する応答は予期されていません。スタティックに定義されたネイバーに対する応答は例外です。 neighbor コマンドを使用してネイバーを設定すると、hello メッセージはユニキャスト メッセージとしてそのネイバーに送信されます。ルーティング アップデートおよび確認はユニキャスト メッセージとして送信されます。

ネイバー関係が確立されると、ネットワーク トポロジが変更されない限り、ルーティング アップデートは交換されません。ネイバー関係は hello パケットを介して維持されます。ネイバーから受信した各 hello パケット には保持時間が含まれます。これは adaptive security applianceがネイバーから hello パケットを受信することを想定する時間です。ネイバーからアドバタイズされた保持時間内にadaptive security applianceがネイバーから hello パケットを受信しない場合、adaptive security applianceはそのネイバーが使用できないと認識します。

EIGRP はルート計算に DUAL と呼ばれるアルゴリズムを使用します。DUAL は最小コスト ルートだけでなく、トポロジ テーブルの宛先へのすべてのルートを保存します。最小コスト ルートはルーティング テーブルに保存されます。その他のルートはトポロジ テーブルに保持されます。メイン ルートに障害が起きると、他のルートが代わりの適切なルートから選ばれます。代わりのルートは、宛先への最小コスト パスを持つ、パケット転送に使用される隣接ルータです。実行可能計算では、パスがルーティング ループの一部でないことを保証します。

トポロジ テーブルに代わりの適切なルートが見つからない場合、ルートの再計算を行う必要があります。ルートの再計算中に、DUAL は次にネイバーをクエリーするルートの EIGRP ネイバーのクエリーを行います。代わりの適切なルートのないルータは到達不能メッセージを返します。

ルートの再計算中に、DUAL はルートをアクティブとマークします。デフォルトでは、adaptive security applianceはネイバーから応答を受信するまで 3 分待ちます。adaptive security applianceがネイバーから応答を受信しなかった場合、ルートはstuck-in-active としてマークされます。代わりの適切なルートとして応答しないネイバーを指定する、トポロジ テーブルのすべてのルートは削除されます。

EIGRP ルーティングのイネーブル化と設定

adaptive security applianceでは、1 つの EIGRP ルーティング プロセスだけをイネーブルできます。

EIGRP ルーティング のイネーブル化と設定を行うには、次のタスクを実行します。


ステップ 1 EIGRP ルーティング プロセスを作成し、次のコマンドを入力してそのプロセスのルータ コンフィギュレーション モードに入ります。

hostname(config)# router eigrp as-num
 

as-num 引数は EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 EIGRP ルーティングに参加するインターフェイスおよびネットワークを設定するには、次のコマンドを入力して、1 つ以上の network 文を設定します。

hostname(config-router)# network ip-addr [mask]
 

定義されたネットワーク内に含まれる直接接続ネットワークはadaptive security applianceによってアドバタイズされます。再配布スタティック ネットワークが設定されない限り、スタティック ネットワークはアドバタイズされません。また、定義されたネットワーク内に含まれる IP アドレスを持つインターフェイスだけが EIGRP ルーティング プロセスに参加します。

インターフェイスを EIGRP ルーティング プロセスに参加させたくないものの、アドバタイズしたいネットワークに接続している場合、インターフェイスが接続するネットワークをカバーする network コマンドを設定し、 passive-interface コマンドを使用して、インターフェイスが EIGRP の更新を送受信しないようにします。

ステップ 3 (オプション)インターフェイスが EIGRP ルーティング メッセージの送受信を行わないようにするには、次のコマンドを入力します。

hostname(config-router)# passive-interface {default | if-name}
 

default キーワードを使用して、すべてのインターフェイスの EIGRP ルーティング アップデートをディセーブルにします。 nameif コマンドで定義されたように、インターフェイス名を指定して、指定したインターフェイスの EIGRP ルーティング アップデートをディセーブルにします。複数の passive-interface コマンドを使用して EIGRP ルータ コンフィギュレーションを行うこともできます。

ステップ 4 (オプション)候補となるデフォルト ルート情報の送受信を制御するには、次のコマンドを入力します。

hostname(config-router)# no default-information {in | out}
 

no default-information in を設定すると、候補となるデフォルト ビットが受信ルートでブロックされます。 no default-information out を設定すると、アドバタイズされたルートのデフォルト ルート ビットの設定がディセーブルになります。

ステップ 5 (オプション)EIGRP ルーティング アップデートで送信されたネットワークにフィルタをかけるには、次の手順を実行します。

a. アドバタイズするルートを定義する標準アクセスリストを作成します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスが送信するアップデートだけにフィルタを適用するインターフェイスを指定できます。

hostname(config-router): distribute-list acl out [interface if_name]
 

複数の distribute-list コマンドを入力して EIGRP ルータ コンフィギュレーションを行うこともできます。

ステップ 6 (オプション)EIGRP ルーティング アップデートで受信したネットワークにフィルタをかけるには、次の手順を実行します。

a. 受信したアップデートからフィルタリングするルートを定義する標準アクセスリストを作成します。

b. 次のコマンドを入力して、フィルタを適用します。インターフェイスが受信するアップデートだけにフィルタを適用するインターフェイスを指定できます。

hostname(config-router): distribute-list acl in [interface if_name]
 

複数の distribute-list コマンドを入力して EIGRP ルータ コンフィギュレーションを行うこともできます。


 

EIGRP スタブ ルーティングのイネーブル化と設定

adaptive security applianceを EIGRP スタブ ルータとして設定できます。スタブ ルーティングはadaptive security applianceのメモリおよび処理要件を低下させます。スタブ ルータとして、adaptive security appliance配布ルータにすべてのローカルでないトラフィックを転送するため、完全な EIGRP ルーティング テーブルを維持する必要はありません。通常、配布ルータはデフォルト ルートからスタブ ルータへの送信以外に送信を行う必要はありません。

指定されたルートだけがスタブ ルータから配布ルータへ伝搬します。スタブ ルータとして、adaptive security applianceはサマリー、接続されたルート、再配布されたスタティック ルート外部ルート、および内部ルートへのすべてのクエリーに「inaccessible」メッセージを出力して応答します。adaptive security applianceがスタブとして設定されると、すべての隣接ルータに特別なピア情報を送信してスタブ ルータとしてのステータスを報告します。スタブ ステータスであるパケットを受信するネイバーは、スタブ ルータに任意のルートを照会せず、スタブ ピアを持つルータもピアを照会しません。スタブ ルータはすべてのピアに正しいアップデートを送信する配布ルータにより異なります。

EIGRP スタブ ルーティング プロセスのイネーブル化と設定を行うには、次の手順を実行します。


ステップ 1 EIGRP ルーティング プロセスを作成し、次のコマンドを入力してそのプロセスのルータ コンフィギュレーション モードに入ります。

hostname(config)# router eigrp as-num
 

as-num 引数は EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 次のコマンドを入力して、配布ルータに接続しているインターフェイスを設定し、EIGRP に参加します。

hostname(config-router)# network ip-addr [mask]
 

ステップ 3 次のコマンドを入力して、スタブ ルーティング プロセスを設定します。スタブ ルーティング プロセスによって、どのネットワークが配布ルータにアドバタイズされるか指定する必要があります。スタティック ネットワークおよび接続されたネットワークはスタブ ルーティング プロセスに自動的に再配布されません。

hostname(config-router)# eigrp stub {receive-only | [connected] [redistributed] [static] [summary]}
 


 

EIGRP 認証のイネーブル化

EIGRP ルート認証では、ルーティング プロトコルからのルーティング アップデートの MD5 認証を提供します。各 EIGRP パケットの MD5 用のダイジェストは、未承認の送信元からの不正または誤ったルーティング メッセージの概要をブロックします。

EIGRP ルート認証はインターフェイスごとに設定されます。EIGRP メッセージ認証用に設定されたインターフェイス上のすべての EIGRP ネイバーは、同じ認証モードで設定され、隣接関係のキーが確立される必要があります。

EIGRP ルート認証をイネーブルにする前に、EIGRP をイネーブルにする必要があります。

インターフェイス上で EIGRP 認証をイネーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、設定する EIGRP メッセージ認証のインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、EIGRP パケットの MD5 認証をイネーブルにします。

hostname(config-if)# authentication mode eigrp as-num md5
 

as-num 引数は、adaptive security applianceで設定される EIGRP ルーティング プロセスの自律システム番号です。EIGRP がイネーブルでない場合、または誤った番号を入力した場合、adaptive security applianceは次のエラー メッセージを返します。

% Asystem(100) specified does not exist
 

ステップ 3 次のコマンドを入力して、MD5 アルゴリズムが使用するキーを設定します。

hostname(config-if)# authentication key eigrp as-num key key-id key-id
 

as-num 引数は、adaptive security applianceで設定される EIGRP ルーティング プロセスの自律システム番号です。EIGRP がイネーブルでない場合、または誤った番号を入力した場合、adaptive security applianceは次のエラー メッセージを返します。

% Asystem(100) specified does not exist
 

key 引数は 16 文字まで指定できます。 key-id 引数は 0 ~ 255 の任意の数字にできます。キーの一致と同様に、 key-id は、他のルータの key-id と一致する必要があります。


 

デフォルト EIGRP ルートの生成

自律システムの境界ルータによって、デフォルト ルートが EIGRP ルーティング ドメインに必ず生成されるようにできます。ルートを EIGRP ルーティング ドメインに再配布するように特に設定すると、ルータは自動的に自律システム境界ルータになります。しかし、自律システム境界ルータは、デフォルトでは EIGRP ルーティング ドメインにデフォルト ルートを生成しません。

デフォルト ルートを生成するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する EIGRP プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router eigrp process_id
 

ステップ 2 自律システム境界ルータでデフォルト ルートが必ず生成されるようにするには、次のコマンドを入力します。

hostname(config-router)# default-information originate [always] [metric metric-value] [metric-type {1 | 2}] [route-map map-name]
 


 

次の例は、デフォルト ルートの生成方法を示しています。

hostname(config)# router eigrp 2
hostname(config-router)# default-information originate always

EIGRP ネイバーの定義

EIGRP hello パケットはマルチキャスト パケットとして送信されます。EIGRP ネイバーがトンネルのような非ブロードキャスト ネットワークを通過している場合、ネイバーを手動で定義する必要があります。EIGRP ネイバーを手動で定義すると、hello パケットはユニキャスト メッセージとしてそのネイバーに送信されます。

EIGRP がルーティング アップデートを交換するためのインターフェイスはネイバー文の中で指定する必要があります。2 つの EIGRP ネイバーのルーティング アップデートを交換するためのインターフェイスは、同じネットワークの IP アドレスを使用して設定する必要があります。

EIGRP ネイバーを手動で定義するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、EIGRP ルーティング プロセスのルータ コンフィギュレーション モードに入ります。

hostname(config)# router eigrp as-num
 

as-num 引数は EIGRP ルーティング プロセスの自律システム番号です。

ステップ 2 次のコマンドを入力して、スタティック ネイバーを定義します。

hostname(config-router)# neighbor ip-addr interface if_name
 

ip-addr 引数はネイバーの IP アドレスです。 if-name 引数は、 nameif コマンドが指定するインターフェイス名で、ネイバーを利用できるようにします。EIGRP ルーティング プロセスの複数のネイバーを定義できます。


 

ルートの EIGRP への再配布

RIP ルーティング プロセス、OSPF ルーティング プロセスが検出したルートを EIGRP ルーティング プロセスに再配布できます。また、スタティック ルーティング プロセス、および接続されているルーティング プロセスからのルートを EIGRP ルーティング プロセスに再配布することもできます。EIGRP 設定の network 文の範囲内にあれば、スタティック ルートまたは接続されているルートを再配布する必要はありません。

ルートを EIGRP ルーティング プロセスに再配布するには、次の手順を実行します。


ステップ 1 (オプション)ルート マップを作成して、指定されたルーティング プロトコルのどのルートを RIP ルーティング プロセスに再配布するのかをさらに定義します。ルート マップ作成の詳細については、「ルート マップの定義」を参照してください。

ステップ 2 EIGRP ルーティング プロセス用のルータ コンフィギュレーション モードに入ります。

hostname(config)# router eigrp as-num
 

ステップ 3 (オプション)次のコマンドを入力して、EIGRP ルーティング プロセスに再配布するルートに適用するデフォルト メトリックを指定します。

hostname(config-router)# default-metric bandwidth delay reliability loading mtu
 

EIGRP ルータ コンフィギュレーションの default-metric を指定しない場合は、各 redistribute コマンドのメトリック値を指定する必要があります。 redistribute コマンドの EIGRP メトリック値を指定し、EIGRP ルータ コンフィギュレーションの default-metric コマンドがある場合、 redistribute コマンドのメトリックが使用されます。EIGRP にスタティック ルートまたは接続されているルートを再配布する場合は、 redistribute コマンドのメトリックの指定は推奨されますが、必須ではありません。

ステップ 4 次のいずれかのオプションを指定して、選択したルートタイプを EIGRP ルーティング プロセスに再配布します。

接続されているルートを EIGRP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute connected [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

スタティック ルートを EIGRP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute static [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

OSPF ルーティング プロセスからのルートを EIGRP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute ospf pid [match {internal | external [1 | 2] | nssa-external [1 | 2]}] [metric bandwidth delay reliability loading mtu] [route-map map_name]
 

RIP ルーティング プロセスからのルートを EIGRP ルーティング プロセスに再配布するには、次のコマンドを入力します。

hostname(config-router): redistribute rip [metric bandwidth delay reliability load mtu] [route-map map_name]
 

EIGRP ルータ コンフィギュレーションの default-metric コマンドがない場合、 redistribute コマンドの EIGRP メトリック値を指定する必要があります。


 

EIGRP の Hello Interval および保持時間の設定

adaptive security applianceはネイバーを検出し、いつネイバーが到達不能または動作不能になるかを確認するために、定期的に hello パケットを送信します。デフォルトでは、hello パケットは 5 秒ごとに送信されます。

hello パケットはadaptive security applianceの保持時間をアドバタイズします。保持時間は EIGRP ネイバーに、adaptive security applianceが到達するのにネイバーが考慮するべき時間の長さを示します。ネイバーがアドバタイズされた保持時間内に hello パケットを受信しない場合、adaptive security applianceは到達不能と見なされます。デフォルトでは、アドバタイズされた保持時間は 15 秒です(hello interval が 3 回)。

hello interval およびアドバタイズされた保持時間はインターフェイスごとに設定されます。保持時間の設定は少なくとも hello interval を 3 回にすることを推奨します。

hello interval およびアドバタイズされた保持時間を設定するには、次の手順に従います。


ステップ 1 次のコマンドを入力して、hello interval またはアドバタイズされた保持時間を設定するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 hello interval を変更するには、次のコマンドを入力します。

hostname(config)# hello-interval eigrp as-num seconds
 

ステップ 3 保持時間を変更するには、次のコマンドを入力します。

hostname(config)# hold-time eigrp as-num seconds
 


 

自動ルート集約のディセーブル化

自動ルート集約はデフォルトでイネーブルです。EIGRP ルーティング プロセスはネットワーク番号の境界を要約します。非連続のネットワークが存在する場合、ルーティングの問題が起こる場合があります。

たとえば、ルータとそれに接続するネットワーク 192.168.1.0、192.168.2.0、および 192.168.3.0 があり、それらのネットワークがすべて EIGRP に参加している場合、EIGRP ルーティング プロセスはそれらのルートに対するサマリー アドレス 192.168.0.0 を作成します。ネットワーク 192.168.10.0、192.168.11.0 および EIGRP に参加するネットワークにその他のルータが追加された場合、同様に 192.168.0.0 として要約されます。トラフィックが誤った場所にルーティングされる可能性を防ぐには、競合しているサマリー アドレスを作成するルータの自動ルート集約をディセーブルにする必要があります。

自動ルート集約をディセーブルにするには、EIGRP ルーティング プロセス用のルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no auto-summary
 

) 自動サマリー アドレスの管理ディスタンスの値は 5 です。この値は設定できません。


サマリー集約アドレスの設定

インターフェイスごとにサマリー アドレスを設定できます。ネットワーク番号境界で実行されないサマリー アドレスを作成する場合、または自動ルート集約がディセーブルのadaptive security applianceでサマリー アドレスを使用する場合は、サマリー アドレスを手動で定義する必要があります。特定のルートがまだルーティング テーブルにある場合、EIGRP はサマリー アドレスを、より詳細なすべてのルートの最小値に等しいメトリックのあるインターフェイスにアドバタイズします。

サマリー アドレスを作成するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、サマリー アドレスを作成するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 次のコマンドを入力して、サマリー アドレスを作成します。

hostname(config-if)# summary-address eigrp as-num address mask [distance]
 

デフォルトでは、定義した EIGRP サマリー アドレスの管理ディスタンスの値は 5 です。 summary-address コマンドの distance 引数を指定して、この値を変更することもできます。


 

EIGRP スプリット ホライズンのディセーブル化

スプリット ホライズンは EIGRP アップデートとクエリー パケットの送信を制御します。インターフェイスでスプリット ホライズンがイネーブルの場合、このインターフェイスはネクスト ホップとなるため、アップデートおよびクエリー パケットは宛先に送信されません。このように、アップデートおよびクエリー パケットの制御はルーティング ループの可能性を減らすことができます。

デフォルトでは、スプリット ホライズンはすべてのインターフェイスでイネーブルです。

スプリット ホライズンは、その情報が発信された、どのインターフェイス上にもないルータからアドバタイズされるルート情報をブロックします。この動作は通常、複数のルーティング デバイス間の通信を、特にリンクが破損した場合に最適化します。ただし、非ブロードキャスト ネットワークでは、この動作が必要でない場合があります。そのような、EIGRP を設定したネットワークなどの場合、スプリット ホライズンをディセーブルにできます。

インターフェイスでスプリット ホライズンをディセーブルにすると、そのインターフェイスのすべてのルータおよびアクセス サーバに対してもスプリット ホライズンをディセーブルにする必要があります。

EIGRP スプリット ホライズンをディセーブルにするには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、スプリット ホライズンをディセーブルにするインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 スプリット ホライズンをディセーブルにするには、次のコマンドを入力します

hostname(config-if)# no split-horizon eigrp as-number
 


 

インターフェイス delay 値の変更

インターフェイス delay 値は EIGRP ディスタンス計算で使用されます。この値は、インターフェイスごとに変更できます。

delay 値を変更するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、EIGRP が使用する delay 値の変更するインターフェイスのインターフェイス コンフィギュレーション モードに入ります。

hostname(config)# interface phy_if
 

ステップ 2 スプリット ホライズンをディセーブルにするには、次のコマンドを入力します

hostname(config-if)# delay value
 

value は 10 マイクロ秒単位で入力されます。したがって、2000 マイクロ秒の delay を設定するには、 value に 200 を入力します。

ステップ 3 (オプション)インターフェイスに割り当てられた delay 値を表示するには、 show interface コマンドを使用します。


 

EIGRP のモニタリングと保持

EIGRP ルーティング プロセスのモニタリングを行うには、次のコマンドを使用します。コマンド出力の例と詳細については、『Cisco Security Appliance Command Reference』を参照してください。

EIGRP イベント ログを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] events [{start end} | type]
 

EIGRP ルーティングに参加するインターフェイスを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] interfaces [if-name] [detail]
 

EIGRP ネイバー テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] neighbors [detail | static] [if-name]
 

EIGRP トポロジ テーブルを表示するには、次のコマンドを入力します。

hostname# show eigrp [as-number] topology [ip-addr [mask] | active | all-links | pending | summary | zero-successors]
 

EIGRP ネイバーをクリアするには、次のコマンドを入力します。

hostname# clear eigrp [as-number] neighbors [ip-addr | interface [if-name]]
 

EIGRP トポロジ テーブルをクリアするには、次のコマンドを入力します。

hostname# clear eigrp [as-number] topology [netmask]
 

EIGRP イベント ログをクリアするには、次のコマンドを入力します。

hostname# clear eigrp [as-number] events
 

ネイバー変更および警告メッセージ ロギングのディセーブル化

デフォルトでは、ネイバー変更およびネイバー警告メッセージは記録されます。ネイバー変更メッセージおよびネイバー警告メッセージのロギングをディセーブルにできます。

ネイバー変更メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスのルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-changes
 

ネイバー警告メッセージのロギングをディセーブルにするには、EIGRP ルーティング プロセスのルータ コンフィギュレーション モードで次のコマンドを入力します。

hostname(config-router)# no eigrp log-neighbor-warnings
 

ルーティング テーブル

ここでは、次の内容について説明します。

「ルーティング テーブルの表示」

「ルーティング テーブルの実装方法」

「転送の決定方法」

ルーティング テーブルの表示

ルーティング テーブルのエントリを表示するには、次のコマンドを入力します。

hostname# show route
 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
 
Gateway of last resort is 10.86.194.1 to network 0.0.0.0
 
S 10.1.1.0 255.255.255.0 [3/0] via 10.86.194.1, outside
C 10.86.194.0 255.255.254.0 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via 10.86.194.1, outside
 

ルーティング テーブルの実装方法

adaptive security applianceのルーティング テーブルは、スタティックに定義されたルート、直接接続されているルート、および RIP、EIGRP、および OSPF ルーティング プロトコルが検出したルートにより実装できます。adaptive security applianceは、ルーティング テーブルのスタティック ルートおよび接続されているルートに加えて、マルチ ルーティング プロトコルも実行できるため、同じルートが別々の方法で検出されたり、入力されたりすることがあります。同一の宛先への 2 つのルートがルーティング テーブルに置かれた場合、次のような判定に従って一方がテーブルに残ります。

2 つのルートのネットワーク プレフィックスの長さ(ネットワーク マスク)が異なる場合、両方とも固有のものと見なされ、ルーティング テーブルに置かれます。次に、パケット転送ロジックがどちらを使用するかを判定します。

たとえば、RIP と OSPF プロセスが次のルートを検出したとします。

RIP: 192.168.32.0/24

OSPF: 192.168.32.0/19

OSPF ルートが適切な管理ディスタンスを保持していた場合でも、両者のプレフィックス長(サブネット マスク)が異なっているため、両方ともルーティング テーブルにインストールされます。両者は宛先が異なると見なされ、パケット転送ロジックがどちらを使用するかを判定します。

adaptive security applianceが RIP などのシングル ルーティング プロトコルから、同じ宛先への複数のパスを入手すると、適切なメトリックを持つルート(ルーティング プロトコルが判定)がルーティング テーブルに置かれます。

メトリックとは特定のルートに関連付けられた値のことで、最も適したものから順番にランク付けされています。メトリックの判定に使用するパラメータは、ルーティング プロトコルの違いに応じて異なります。最小のメトリックを持つパスが最適パスとして選択され、ルーティング テーブルにインストールされます。同じメトリックを持つ同じ宛先へのパスが複数ある場合、それらに対してロードバランシングが行われます。

adaptive security applianceが複数のルーティング プロトコルから 1 つの宛先を入手すると、各ルートの管理ディスタンスを比較して、最初の管理ディスタンスを持つルートをルーティング テーブルに置きます。

ルーティング プロトコルで検出されたルートまたは再配布されたルートの管理ディスタンスを変更できます。2 つの異なるルーティング プロトコルからの 2 つのルートが同じ管理ディスタンスを持つ場合、より小さい default 管理ディスタンスのルートがルーティング テーブルに入ります。EIGRP ルートおよび OSPF ルートの場合、EIGRP ルートおよび OSPF ルートは同じ管理ディスタンスを持つため、EIGRP ルートがデフォルトで選ばれます。

管理ディスタンスとは、2 つの異なるルーティング プロトコルから同じ宛先へのルートが 2 つ以上ある場合に、adaptive security applianceが最良のパスを選択するために使用するルート パラメータのことです。ルーティング プロトコルのメトリックは、他のプロトコルとは異なるアルゴリズムに基づいているので、別々のルーティング プロトコルにより生成される同じ宛先への 2 つのルートに関して、いつも「最良のパス」を判定できるわけではありません。

それぞれのルーティング プロトコルは、管理ディスタンス値を使用して優先付けされています。 表 8-1 に、adaptive security applianceでサポートされているルーティング プロトコルのデフォルト管理ディスタンス値を示します。

 

表 8-1 サポートされているルーティング プロトコルのデフォルト管理ディスタンス

ルート ソース
デフォルト管理ディスタンス

接続されているインターフェイス

0

スタティック ルート

1

EIGRP サマリー ルート

5

内部 EIGRP

90

OSPF

110

RIP

120

EIGRP 外部ルート

170

不明

255

管理ディスタンス値が小さいほど、プロトコルに与えられるプリファレンスが高くなります。たとえば、OSPF ルーティング プロセス(デフォルト管理ディスタンス:110)と RIP ルーティング プロセス(デフォルト管理ディスタンス:100)の両方からadaptive security applianceが特定のネットワークへの 1 つのルートを受け取ると、OSPF の方がプリファレンスが高いため、adaptive security applianceは OSPF ルートを選択します。つまり、ルータは、このルートの OSPF バージョンをルーティング テーブルに追加することになります。

この例で、OSPF から取得したルートのソースがなくなった場合(電源のシャットダウンなど)、それが回復するまでの間、adaptive security applianceは RIP からのルートを使用します。

管理ディスタンスはローカル設定です。たとえば、 distance-ospf コマンドを使用して、OSPF から取得したルートの管理ディスタンスを変更すると、その変更内容は、コマンドを入力したadaptive security applianceのルーティング テーブルだけに反映されます。管理ディスタンスは、ルーティング アップデートでアドバタイズされません。

管理ディスタンスはルーティング プロセスに影響を及ぼしません。OSPF と RIP ルーティング プロセスは、ルーティング プロセスが検出したルートまたはルーティング プロセスに再配布されたルートだけをアドバタイズします。たとえば、RIP ルーティング プロセスは RIP ルートをアドバタイズしますが、これは、OSPF ルーティング プロセスによって検出されたルートがadaptive security applianceのルーティング テーブルで使用されている場合であっても同じです。

バックアップ ルート

バックアップ ルートの登録は、ルートを初めてルーティング テーブルにインストールしようとして、他のルートが代わりにインストールされていることが原因で失敗した場合に行われます。ルーティング テーブルにインストールされているルートが失敗する場合、ルーティング テーブル メンテナンス プロセスは、バックアップ ルートを登録したそれぞれのルーティング プロトコルを呼び出して、ルーティング テーブルに再インストールするように要求します。失敗したルートの登録済みバックアップ ルートを持つプロトコルが複数ある場合、管理ディスタンスに基づいて、優先ルートが選ばれます。

このプロセスのため、ダイナミック ルーティング プロトコルが検出したルートが失敗する場合には、ルーティング テーブルにインストールされている「フローティング」スタティック ルートを作成できます。フローティング スタティック ルートは単に、adaptive security applianceで実行するダイナミック ルーティング プロトコルよりも大きな管理ディスタンスが設定されたスタティック ルートです。ダイナミック ルーティング プロセスにより検出された、対応するルートが失敗する場合、スタティック ルートがルーティング テーブルにインストールされています。

転送の決定方法

転送の決定は、次のように行われます。

宛先がルーティング テーブルのエントリに一致しない場合、デフォルト ルート用に指定されたインターフェイスを介してパケットが転送されます。デフォルト ルートが未設定の場合、パケットは廃棄されます。

宛先がルーティング テーブルの 1 つのエントリに一致する場合、そのルートに関連付けられたインターフェイスを介してパケットが転送されます。

宛先がルーティング テーブルの 2 つ以上のエントリに一致し、どのエントリも同じ長さのネットワーク プレフィックスである場合、その宛先へのパケットは、そのルートに関連付けられた各インターフェイスに配布されます。

宛先がルーティング テーブルの 2 つ以上のエントリに一致し、各エントリのネットワーク プレフィックスの長さが異なる場合、パケットは、より長いネットワーク プレフィックスのルートに関連付けられたインターフェイスから転送されます。

たとえば、ルーティング テーブルの次のルートを指定された、192.168.32.1 宛てのパケットがadaptive security applianceのインターフェイスに届いたとします。

hostname# show route
....
R 192.168.32.0/24 [120/4] via 10.1.1.2
O 192.168.32.0/19 [110/229840] via 10.1.1.3
....
 

この場合、192.168.32.1 宛てのパケットは、10.1.1.2 に転送されます。192.168.32.1 は 192.168.32.0/24 ネットワークの中にあるためです。ルーティング テーブル内の他のルートの中にもありますが、192.168.32.0/24 のプレフィックスは、ルーティング テーブル内で最長です(24 ビット対 19 ビット)。パケットの転送では、常にプレフィックスの長い方が優先されます。

ダイナミック ルーティングおよびフェールオーバー

ダイナミック ルートはフェールオーバー コンフィギュレーションのスタンバイ装置またはフェールオーバー グループに複製されません。したがって、フェールオーバーが発生後すぐにadaptive security applianceから受信するいくつかのパケットは、ルーティング情報がないためにドロップされるか、デフォルト スタティック ルートにルーティングされます。ルーティング テーブルは設定されたダイナミック ルーティング プロトコルにより実装されます。