Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
スタティック ルートおよびデフォルト ルート の設定
スタティック ルートおよびデフォルト ルートの設定
発行日;2012/02/02 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートとデフォルト ルートに関する情報

スタティック ルートおよびデフォルト ルートのライセンス要件

ガイドラインと制限事項

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートの設定

デフォルト スタティック ルートの設定

デフォルト スタティック ルートの設定の制限事項

IPv6 デフォルト ルートおよびスタティック ルートの設定

スタティック ルートまたはデフォルト ルートの監視

スタティック ルートまたはデフォルト ルートの設定例

スタティック ルートおよびデフォルト ルートの機能履歴

スタティック ルートおよびデフォルト ルートの設定

この章では、適応型セキュリティ アプライアンスでスタティック ルートとデフォルト ルートを設定する方法について説明します。次の項目を取り上げます。

「スタティック ルートとデフォルト ルートに関する情報」

「スタティック ルートおよびデフォルト ルートのライセンス要件」

「ガイドラインと制限事項」

「スタティック ルートおよびデフォルト ルートの設定」

「スタティック ルートまたはデフォルト ルートの監視」

「スタティック ルートまたはデフォルト ルートの設定例」

「スタティック ルートおよびデフォルト ルートの機能履歴」

スタティック ルートとデフォルト ルートに関する情報

接続されていないホストまたはネットワークにトラフィックをルーティングするには、そのホストまたはネットワークへのスタティック ルートを定義するか、または少なくとも、ネットワークと適応型セキュリティ アプライアンスの間にルータがある場合など、適応型セキュリティ アプライアンスが直接接続されていない任意のネットワークのデフォルト ルートを定義する必要があります。

スタティック ルートまたはデフォルト ルートが定義されていない場合は、接続されていないホストやネットワークへのトラフィックによって次のエラーメッセージが生成されます。

%ASA-6-110001: No route to dest_address from source_address
 

マルチコンテキスト モードではダイナミック ーティングはサポートされていません。

次の場合は、シングルコンテキスト モードでスタティック ルートを使用します。

ネットワークで EIGRP、RIP または OSPF とは異なるルータ検出プロトコルを使用している。

ネットワークが小規模でスタティック ルートを容易に管理できる。

ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、適応型セキュリティ アプライアンスに直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

透過ファイアウォール モードでは、適応型セキュリティ アプライアンスから直接接続されていないネットワークに宛てたトラフィック用にデフォルト ルートまたはスタティック ルートを設定して、適応型セキュリティ アプライアンスがトラフィックの送信先インターフェイスを認識できるようにする必要があります。適応型セキュリティ アプライアンスから発信されるトラフィックには、syslog サーバ、Websense サーバまたは N2H2 サーバ、あるいは AA サーバとの通信もあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。さらに、適応型セキュリティ アプライアンスでは、ロードバランシングのために、1 つのインターフェイスあたり最大で 3 つの等コスト ルートをサポートします。

スタティック ルートおよびデフォルト ルートのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードと透過ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

スタティック ルートおよびデフォルト ルートの設定

この項では、スタティック ルートとスタティック デフォルト ルートを設定する方法について説明します。次の項目を取り上げます。

「スタティック ルートの設定」

「デフォルト スタティック ルートの設定」

「IPv6 デフォルト ルートおよびスタティック ルートの設定」

スタティック ルートの設定

スタティック ルーティング アルゴリズムは、基本的にはルーティングの開始前にネットワーク管理者によって確立されるテーブル マッピングのことです。このようなマッピングは、ネットワーク管理者が変更するまでは変化しません。スタティック ルートを使用するアルゴリズムは設計が容易であり、ネットワーク トラフィックが比較的予想可能で、ネットワーク設計が比較的単純な環境で正しく動作します。したがって、スタティック ルーティング システムはネットワークの変更に対応できません。

スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、スタティック ルートは、指定されたインターフェイスが停止するとルーティング テーブルから削除され、インターフェイスが復旧すると最適用されます。


) 適応型セキュリティ アプライアンスで動作中のルーティング プロトコルの管理ディスタンスよりも長い管理ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。


スタティック ルートを設定するには、次の手順を実行します。

詳細な手順

 

コマンド
目的
route if_name dest_ip mask gateway_ip [ distance ]
 
例:
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1 [1]

スタティック ルートを追加できます。

dest_ip および mask は宛先ネットワークの IP アドレスで、 gateway_ip はネクストホップ ルータです。スタティック ルートに指定するアドレスは、適応型セキュリティ アプライアンスに到達して NAT を実行する前のパケットにあるアドレスです。

distance は、ルートの管理ディスタンスです。値を指定しない場合、デフォルトは 1 です。管理ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトの管理ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。

OSPF で検出されるルートのデフォルトの管理ディスタンスは 110 です。スタティック ルートとダイナミック ルートの管理ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

デフォルト スタティック ルートの設定

デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、適応型セキュリティ アプライアンスが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。


) ASA ソフトウェア バージョン 7.0 以降で、異なるメトリックを持つ個別のインターフェイス上で 2 つのデフォルト ルートが設定されている場合は、それよりも大きいメトリックを持つインターフェイスから ASA ファイアウォールへの接続は失敗しますが、小さいメトリックを持つインターフェイスからの ASA ファイアウォールへの接続は予期したとおりに成功します。


デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義することができます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

4 つ以上の等コスト デフォルト ルートを定義しようとすると、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとすると、次のメッセージが表示されます。

“ERROR: Cannot add route entry, possible conflict with existing routes.”

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、適応型セキュリティ アプライアンスで終了するトンネルからのトラフィックが既知のルートでもスタティック ルートでもルーティングできない場合、すべてこのルートに送信されます。トンネルからのトラフィックの場合、他に設定済みか既知のデフォルト ルートがあってもこのルートで上書きされます。

デフォルト スタティック ルートの設定の制限事項

tunneled オプションが指定されたデフォルト ルートには、次の制限事項が適用されます

トンネル ルートの出力インターフェイスでは Unicast RPF( ip verify reverse-path )をイネーブルにしないでください。トンネル ルートの出力インターフェイスで Unicast RPF をイネーブルにすると、セッションがエラーになります。

トンネル ルートの出力インターフェイスでは TCP 代行受信をイネーブルにしないでください。イネーブルにすると、セッションがエラーになります。

トンネル ルートで、VoIP 検査エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS 検査エンジン、または DCE RPC 検査エンジンを使用しないでください。これらの検査エンジンはトンネル ルートを無視します。

tunneled オプションでは、複数のデフォルト ルートを定義できません。トンネル トラフィックでは ECMP がサポートされていないためです。

トンネル デフォルト ルートを定義するには、次の手順を実行します。

詳細な手順

 

コマンド
目的
route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance | tunneled]
 
例:
hostname(config)# route outside 0 0 192.168.2.4 tunneled

スタティック ルートを追加できます。

dest_ip および mask は宛先ネットワークの IP アドレスであり、 gateway_ip はネクストホップ ルータのアドレスです。スタティック ルートに指定するアドレスは、適応型セキュリティ アプライアンスに到達して NAT を実行する前のパケットにあるアドレスです。

distance は、ルートの管理ディスタンスです。値を指定しない場合、デフォルトは 1 です。管理ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトの管理ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。OSPF で検出されるルートのデフォルトの管理ディスタンスは 110 です。スタティック ルートとダイナミック ルートの管理ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。


ヒント 宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力することができます。たとえば、hostname(config)# route outside 0 0 192.168.1 1 のように入力します。


IPv6 デフォルト ルートおよびスタティック ルートの設定

ホストが接続されているインターフェイスが IPv6 に対応し、IPv6 ACL でトラフィックが許可されていれば、適応型セキュリティ アプライアンスは、直接接続されているホスト間で IPv6 トラフィックを自動的にルーティングします。

IPv6 デフォルト ルートおよびスタティック ルートを設定するには、次の手順を実行します。

詳細な手順

 

コマンド
目的

ステップ 1

ipv6 route if_name ::/0 next_hop_ipv6_addr
 
例:
hostname(config) # ipv6 route inside 7fff::0/32 3FFE:1100:0:CC00::1

この手順では、デフォルトの IPv6 ルートを追加します。

この例では、ネットワーク 7fff::0/32 のパケットを、3FFE:1100:0:CC00::1 の内部インターフェイス上のネットワーキング デバイスにルーティングします。

アドレス ::/0 は、IPv6 で「any」と同じです。

ステップ 2

ipv6 route if_name destination next_hop_ipv6_addr [ admin_distance ]
 
例:
hostname(config)# ipv6 route i nside 7fff::0/32 3FFE:1100:0:CC00::1 [ 110 ]

この手順では、IPv6 ルーティング テーブルに IPv6 スタティック ルートを追加します。

この例では、ネットワーク 7fff::0/32 のパケットを、3FFE:1100:0:CC00::1 の内部インターフェイス上にあり、管理ディスタンスが 110 のネットワーキング デバイスにルーティングします。

 


ipv6 route コマンドは、IPv4 スタティック ルートの定義に使用する route コマンドと同じように機能します。


スタティック ルートまたはデフォルト ルートの監視

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクストホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、適応型セキュリティ アプライアンス上の関連付けられたインターフェイスがダウンした場合に限りルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。これを利用すると、たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ用のデフォルト ルートを定義することができます。

適応型セキュリティ アプライアンスでは、定義されたモニタリング対象にスタティック ルートを関連付けることで、この機能を実行します。対象のモニタリングは、ICMP エコー要求を使用して行います。指定された時間内にエコー応答がない場合は、そのオブジェクトはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICPM エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。

ISP ゲートウェイ アドレス(デュアル ISP サポート用)

ネクストホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)

適応型セキュリティ アプライアンスが通信を行う必要のある対象ネットワーク上のサーバ(AAA サーバなど)

宛先ネットワーク上の永続的なネットワーク オブジェクト(夜間にシャットダウンするデスクトップ PC やノートブック PC は適しません)

スタティック ルート トラッキングは、スタティックに定義されたルートや、DHCP または PPPoE を通じて取得したデフォルト ルートに対して設定することができます。ルート トラッキングでは、複数のインターフェイス上の PPPoE クライアントだけをイネーブルにすることができます。

スタティック ルート トラッキングを設定するには、次の手順を実行します。

詳細な手順

 

コマンド
目的

ステップ 1

sla monitor sla_id
 
例:
hostname(config)# sla monitor sla_id
 

モニタリング プロセスを定義することにより、追跡されるオブジェクトのモニタリング パラメータを設定します。

新しいモニタリング プロセスを設定する場合は、SLA モニタ コンフィギュレーション モードに入ります。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入ります。

ステップ 2

type echo protocol ipIcmpEcho target_ip interface if_name
 
例:
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho target_ip interface if_name

モニタリング プロトコルを指定します。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入り、この設定は変更できません。

target_ip は、トラッキング プロセスによって使用可能かどうかを監視されるネットワーク オブジェクトの IP アドレスです。このオブジェクトが使用可能な場合、トラッキング プロセス ルートがルーティング テーブルにインストールされます。このオブジェクトが使用できない場合、トラッキング プロセスがルートを削除し、代わりにバックアップ ルートが使用されます。

ステップ 3

sla monitor sla_id
 
例:
hostname(config)# sla monitor sla_id
 

モニタリング プロセスを定義することにより、追跡されるオブジェクトのモニタリング パラメータを設定します。

新しいモニタリング プロセスを設定する場合は、SLA モニタ コンフィギュレーション モードに入ります。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入ります。

ステップ 4

type echo protocol ipIcmpEcho target_ip interface if_name
 
例:
hostname(config-sla-monitor)# type echo protocol ipIcmpEcho target_ip interface if_name

モニタリング プロトコルを指定します。

タイプが定義済みでスケジュールが未設定のモニタリング プロセスのモニタリング パラメータを変更する場合は、自動的に SLA プロトコル コンフィギュレーション モードに入り、この設定は変更できません。

target_ip は、トラッキング プロセスによって使用可能かどうかを監視されるネットワーク オブジェクトの IP アドレスです。このオブジェクトが使用可能な場合、トラッキング プロセス ルートがルーティング テーブルにインストールされます。このオブジェクトが使用できない場合、トラッキング プロセスがルートを削除し、代わりにバックアップ ルートが使用されます。

ステップ 5

sla monitor schedule sla_id [ life { forever | seconds }] [ start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ ageout seconds ] [ recurring ]
 
例:
hostname(config)# sla monitor schedule sla_id [life {forever | seconds }] [start-time { hh : mm [: ss ] [ month day | day month ] | pending | now | after hh : mm : ss }] [ageout seconds ] [recurring]

モニタリング プロセスのスケジュールを設定します。

一般に、モニタリング スケジュールには sla monitor schedule sla_id life forever start-time now を使用し、モニタリング コンフィギュレーションがテスト頻度を判別できるようにします。

ただし、このモニタリング プロセスを将来開始するようにしたり、指定した時刻だけに実行されるようにスケジュールを設定したりできます。

ステップ 6

track track_id rtr sla_id reachability
 
例:
hostname(config)# track track_id rtr sla_id reachability

追跡されるスタティック ルートを SLA モニタリング プロセスに関連付けます。

track_id は、このコマンドで割り当てるトラッキング番号です。 sla_id は SLA プロセスの ID 番号です。

ステップ 7

追跡されるオブジェクトが到達可能なときに、ルーティング テーブルにインストールするスタティック ルートを定義するには、次のいずれかの手順を実行します。
これらのオプションによって、スタティック ルート、または DHCP または PPPoE を通じて取得されたデフォルト ルートを追跡できます。

route if_name dest_ip mask gateway_ip [ admin_distance ] track track_id
 
例:
hostname(config)# route if_name dest_ip mask gateway_ip [ admin_distance ] track track_id

このオプションではスタティック ルートが追跡されます。

スタティック ルート トラッキングでは、 route コマンドに tunneled オプションを使用できません。

hostname(config)# interface phy_if
hostname(config-if)# dhcp client route track track_id
hostname(config-if)# ip addresss dhcp setroute
hostname(config-if)# exit
 

このオプションでは、DHCP を使用して取得されたデフォルト ルートが追跡されます。

DHCP を使用してデフォルト ルートを取得するには、 ip address dhcp コマンドで setroute 引数を使用する必要があることに注意してください。

hostname(config)# interface phy_if
hostname(config-if)# pppoe client route track track_id
hostname(config-if)# ip addresss pppoe setroute
hostname(config-if)# exit

このオプションでは、PPPoE を通じて取得されたデフォルト ルートが追跡されます。

PPPoE を使用してデフォルト ルートを取得するには、 ip address pppoe コマンドで setroute 引数を使用する必要があります。

スタティック ルートまたはデフォルト ルートの設定例


ステップ 1 スタティック ルートを作成します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
 

この手順では、宛先が 10.1.1.0/24 のトラフィックがすべて、内部インターフェイスに接続されているルータ(10.1.2.45)に送信されるようにスタティック ルートを作成します。

ステップ 2 外部インターフェイス上の 3 つの異なるゲートウェイにトラフィックを転送し、トンネル トラフィックのデフォルト ルートを追加する 3 つの等コストのスタティック ルートを定義します。適応型セキュリティ アプライアンスは、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
hostname(config)# route outside 0 0 192.168.2.4 tunneled


 

適応型セキュリティ アプライアンスで受信した非暗号化トラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレスが 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイの間に分散されます。適応型セキュリティ アプライアンスで受信した暗号化されたトラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレス 192.168.2.4 のゲートウェイに転送されます。

スタティック ルートおよびデフォルト ルートの機能履歴

表 19-1 に、この機能のリリース履歴の一覧を示します。

 

表 19-1 スタティック ルートおよびデフォルト ルートの機能履歴

機能名
リリース
機能情報

route コマンド

7.0

route コマンドは、指定されたインターフェイスのスタティック ルートまたはデフォルト ルートを指定するために使用します。