Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
IP ルーティングと DHCP サービスの 設定
IP ルーティングと DHCP サービスの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

IP ルーティングと DHCP サービスの設定

スタティック ルートおよびデフォルト ルートの設定

スタティック ルートの設定

デフォルト ルートの設定

OSPF の設定

OSPF の概要

OSPF のイネーブル化

OSPF プロセス間のルート再配布

ルートマップの追加

スタティック ルート、接続されているルート、または OSPF ルートを OSPF プロセスに再配布する方法

OSPF インターフェイスのパラメータの設定

OSPF エリア パラメータの設定

OSPF NSSA の設定

OSPF エリア間のルート集約の設定

OSPF にルートを再配布する場合のルート集約の設定

デフォルト ルートの生成

ルート計算タイマーの設定

ネイバーがアップ状態またはダウン状態になった時点でのロギング

OSPF アップデート パケットのペーシングの表示

OSPF のモニタリング

OSPF プロセスの再始動

RIP の設定

RIP の概要

RIP のイネーブル化

マルチキャスト ルーティングの設定

マルチキャスト ルーティングの概要

マルチキャスト ルーティングのイネーブル化

IGMP 機能の設定

インターフェイスにおける IGMP のディセーブル化

グループ メンバーシップの設定

グループのスタティック加入の設定

マルチキャスト グループへのアクセスの制御

インターフェイスにおける IGMP 状態の数の制限

クエリー間隔およびクエリー タイムアウトの修正

クエリー応答時間の変更

IGMP バージョンの変更

スタブ マルチキャスト ルーティングの設定

スタティック マルチキャスト ルートの設定

PIM 機能の設定

インターフェイスにおける PIM のディセーブル化

スタティック ランデブー ポイント アドレスの設定

代表ルータの優先順位の設定

PIM 登録メッセージのフィルタリング

PIM メッセージ間隔の設定

マルチキャスト ルーティングの参考資料

DHCP の設定

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

DHCP サーバを利用する Cisco IP Phone の使用方法

DHCP リレー サービスの設定

DHCP クライアントの設定

IP ルーティングと DHCP サービスの設定

この章では、セキュリティ アプライアンスの IP ルーティングおよび DHCP の設定方法について説明します。次の事項について説明します。

「スタティック ルートおよびデフォルト ルートの設定」

「OSPF の設定」

「RIP の設定」

「マルチキャスト ルーティングの設定」

「DHCP の設定」

スタティック ルートおよびデフォルト ルートの設定

この項では、セキュリティ アプライアンスにスタティック ルートを設定する方法について説明します。

マルチコンテキスト モードではダイナミック ルーティングがサポートされていないため、ネットワークとセキュリティ アプライアンスとの間にルータが入っている場合など、セキュリティ アプライアンスに直接接続されていないネットワークでは、すべてスタティック ルートを使用する必要があります。

次の場合は、シングルコンテキスト モードでスタティック ルートを使用します。

ネットワークで RIP または OSPF とは異なるルータ検出プロトコルを使用している。

ネットワークが小規模でスタティック ルートを容易に管理できる。

ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに委せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、セキュリティ アプライアンスに直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

透過ファイアウォール モードでは、セキュリティ アプライアンスから直接接続されていないネットワークに宛てたトラフィック用にデフォルト ルートまたはスタティック ルートを設定して、セキュリティ アプライアンスがトラフィックの送信先インターフェイスを認識できるようにする必要があります。セキュリティ アプライアンスから発信されるトラフィックには、syslog サーバ、Websense サーバまたは N2H2 サーバ、あるいは AAA サーバとの通信もあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。

セキュリティ アプライアンスでは、ロードバランシングのために、1 つのインターフェイスあたり最大 3 つの等コスト ルートをサポートします。

ここでは、次の項目について説明します。

「スタティック ルートの設定」

「デフォルト ルートの設定」

IPv6 スタティック ルートおよびデフォルト ルートの設定の詳細については、「IPv6 デフォルト ルートおよびスタティック ルートの設定」を参照してください。

スタティック ルートの設定

スタティック ルートを追加するには、次のコマンドを入力します。

hostname(config)# route if_name dest_ip mask gateway_ip [distance]
 

dest_ip および mask は宛先ネットワークの IP アドレスで、 gateway_ip はネクストホップ ルータです。スタティック ルートに指定するアドレスは、セキュリティ アプライアンスに到達して NAT を実行する前のパケットにあるアドレスです。

distance は、ルートの管理ディスタンスです。値を指定しない場合、デフォルトは 1 です。管理ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトの管理ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。OSPF で検出されるデフォルトの管理ディスタンスは 110 です。スタティック ルートとダイナミック ルートの管理ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。しかし、スタティック ルートは、指定されたインターフェイスがダウンした場合はルーティング テーブルから削除されます。これらのルートは、インターフェイスが復旧すると再適用されます。


) セキュリティ アプライアンスで動作中のルーティング プロトコルの管理ディスタンスよりも長い管理ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。


次の例では、宛先が 10.1.1.0/24 のトラフィックがすべて、内部インターフェイスに接続されているルータ(10.1.2.45)に送信されるようにスタティック ルートを作成します。

hostname(config)# route inside 10.1.1.0 255.255.255.0 10.1.2.45 1
 

インターフェイスあたり最大 3 つの等コスト ルートが同じ宛先に定義できます。複数のインターフェイス間を通る Equal Cost Multi-Path routing(ECMP; 等コスト マルチパス ルーティング)はサポートされていません。ECMP では、トラフィックはルート間で必ずしも均等に分割されません。トラフィックは、送信元と宛先の IP アドレスをハッシュするアルゴリズムに従って指定のゲートウェイ間に分散されます。

次に、外部インターフェイス上の 3 種類のゲートウェイにトラフィックを転送する等コストのスタティック ルートを設定する例を示します。セキュリティ アプライアンスは、指定された複数のゲートウェイ間にトラフィックを分散します。

hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.2
hostname(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.3
 

デフォルト ルートの設定

デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、セキュリティ アプライアンスが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。

デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義することができます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

4 つ以上の等コスト デフォルト ルートを定義しようとした場合、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとした場合は、「ERROR: Cannot add route entry, possible conflict with existing routes.」というメッセージが表示されます。

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、セキュリティ アプライアンスに着信し、既知のルートでもスタティック ルートでもルーティングできない暗号化されたトラフィックはすべて、このルートに送信されます。これ以外の暗号化されていないトラフィックには、標準のデフォルト ルート エントリが使用されます。 tunneled オプションでは、複数のデフォルト ルートを定義することはできません。トンネル トラフィックでは ECMP がサポートされていないためです。

デフォルト ルートを定義するには、次のコマンドを入力します。

hostname(config)# route if_name 0.0.0.0 0.0.0.0 gateway_ip [distance | tunneled]
 

ヒント 宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力することができます。たとえば、次のように入力します。hostname(config)# route outside 0 0 192.168.1 1


次の例は、セキュリティ アプライアンスに 3 つの等コスト デフォルト ルートとトンネル トラフィック用のデフォルト ルート 1 つを設定しています。セキュリティ アプライアンスで受信した非暗号化トラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレスが 192.168.2.1、192.168.2.2、192.168.2.3 のゲートウェイの間に分散されます。セキュリティ アプライアンスで受信した暗号化されたトラフィックは、スタティック ルートも既知のルートも指定されていない場合、IP アドレス 192.168.2.4 のゲートウェイに転送されます。

hostname(config)# route outside 0 0 192.168.2.1
hostname(config)# route outside 0 0 192.168.2.2
hostname(config)# route outside 0 0 192.168.2.3
hostname(config)# route outside 0 0 192.168.2.4 tunneled
 

OSPF の設定

この項では、OSPF の設定方法について説明します。ここでは、次の項目について説明します。

「OSPF の概要」

「OSPF のイネーブル化」

「OSPF プロセス間のルート再配布」

「OSPF インターフェイスのパラメータの設定」

「OSPF エリア パラメータの設定」

「OSPF NSSA の設定」

「OSPF エリア間のルート集約の設定」

「OSPF にルートを再配布する場合のルート集約の設定」

「デフォルト ルートの生成」

「ルート計算タイマーの設定」

「ネイバーがアップ状態またはダウン状態になった時点でのロギング」

「OSPF アップデート パケットのペーシングの表示」

「OSPF のモニタリング」

「OSPF プロセスの再始動」

OSPF の概要

OSPF は、リンクステート アルゴリズムを使用して、すべての既知の宛先までの最短パスをビルドおよび計算します。OSPF エリア内の各ルータには、ルータが使用可能なインターフェイスと到達可能なネイバーそれぞれのリストである同一のリンクステート データベースが置かれています。

RIP に比べると OSPF は次の点で有利です。

OSPF のリンクステート データベースのアップデート送信は RIP ほど頻繁ではなく、また、古くなった情報のタイムアウトで徐々にアップデートされるのとは異なり、リンクステート データベースは瞬時にアップデートされます。

ルーティング決定はコストに基づいて行われます。これは、特定のインターフェイスを介してパケットを送信するためにオーバーヘッドが必要であることを示しています。セキュリティ アプライアンスは、インターフェイスのコストをリンク帯域幅に基づいて計算し、宛先までのホップ数は使用しません。コストは優先パスを指定するために設定される場合があります。

最短パス優先アルゴリズムの欠点は、CPU サイクルとメモリが大量に必要になることです。

セキュリティ アプライアンスは、OSPF プロトコルのプロセス 2 つを異なるインターフェイス セット上で同時に実行することができます。同じ IP アドレスを使用する複数のインターフェイス(NAT ではこのようなインターフェイスは共存可能ですが、OSPF ではアドレスの重複は許しません)があるときに、2 つのプロセスを実行する場合があります。あるいは、一方のプロセスを内部で実行しながら別のプロセスを外部で実行し、ルートのサブセットをこの 2 つのプロセス間で再配布する場合もあります。同様に、プライベート アドレスをパブリック アドレスから分離する必要がある場合もあります。

2 つの OSPF プロセス間の再配布はサポートされています。セキュリティ アプライアンスの OSPF 対応インターフェイスに設定されているスタティック ルートおよび接続されているルートも OSPF プロセスに再配布できます。OSPF がイネーブルになっている場合は、セキュリティ アプライアンスで RIP をイネーブルにすることはできません。RIP と OSPF の間での再配布はサポートされていません。

セキュリティ アプライアンスでは、次の OSPF の機能がサポートされています。

エリア内ルート、エリア間ルート、および外部ルート(タイプ I とタイプ II)のサポート

仮想リンクのサポート

OSPF の LSA フラッディング

OSPF パケットの認証(パスワード認証と MD5 認証の両方)

セキュリティ アプライアンスの代表ルータまたは代表バックアップ ルータとしての設定のサポート。セキュリティ アプライアンスは、ABR としてもセットアップできます。しかし、セキュリティ アプライアンスを ASBR として設定するための機能は、デフォルト情報に限定されています(デフォルト ルートの挿入など)。

スタブ エリアと not so stubby エリア(NSSA)のサポート

エリア境界ルータのタイプ 3 LSA フィルタリング

スタティック アドレス変換およびグローバル アドレス変換のアドバタイズメント

OSPF のイネーブル化

OSPF をイネーブルにするには、OSPF ルーティング プロセスを作成し、このルーティング プロセスに関連付ける IP アドレスの範囲を指定し、さらにその IP アドレスの範囲にエリア ID を割り当てる必要があります。


) RIP がイネーブルになっている場合は、OSPF をイネーブルにすることはできません。


OSPF をイネーブルにするには、次の手順を実行します。


ステップ 1 OSPF ルーティング プロセスを作成するには、次のコマンドを入力します。

hostname(config)# router ospf process_id
 

このコマンドは、この OSPF プロセスのルータ コンフィギュレーション モードを入力します。

process_id は、このルーティング プロセス内部で使用される識別子です。任意の正の整数が使用できます。この ID は内部専用のため、他のどのデバイス上の ID とも照合する必要はありません。最大 2 つのプロセスが使用できます。

ステップ 2 OSPF が動作する IP アドレスを定義し、そのインターフェイスのエリア ID を定義するには、次のコマンドを入力します。

hostname(config-router)# network ip_address mask area area_id
 


 

OSPF をイネーブルにする方法を次に示します。

hostname(config)# router ospf 2
hostname(config-router)# network 10.0.0.0 255.0.0.0 area 0
 

OSPF プロセス間のルート再配布

セキュリティ アプライアンスは、OSPF ルーティング プロセス間のルート再配布を制御できます。セキュリティ アプライアンスは、 redistribute コマンドまたはルートマップの設定に基づいてルートの照合および変更を行います。ルートマップのこれ以外の使用方法については、「デフォルト ルートの生成」も参照してください。


) セキュリティ アプライアンスは、ルーティング プロトコル間ではルートを再配布できません。しかし、セキュリティ アプライアンスは、スタティック ルートおよび接続されているルートは再配布できます。


ここでは、次の項目について説明します。

「ルートマップの追加」

「スタティック ルート、接続されているルート、または OSPF ルートを OSPF プロセスに再配布する方法」

ルートマップの追加

ルートマップを定義するには、次の手順を実行します。


ステップ 1 ルートマップのエントリを作成するには、次のコマンドを入力します。

hostname(config)# route-map name {permit | deny} [sequence_number]
 

ルートマップのエントリは順番に読み取られます。順序は sequence_number オプションを使用して識別します。このオプションを使用しないと、セキュリティ アプライアンスはユーザがエントリを追加したときの順序を使用します。

ステップ 2 次に挙げる match コマンドのうち、1 つ以上を入力します。

標準の ACL に一致する宛先ネットワークを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip address acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

指定したメトリックを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match metric metric_value
 

metric_value には、0 ~ 4294967295 が指定できます。

標準の ACL に一致するネクストホップ ルータ アドレスを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip next-hop acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

指定したネクストホップ インターフェイスを持つ任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match interface if_name
 

2 つ以上のインターフェイスを指定する場合、ルートはいずれかのインターフェイスと一致します。

標準の ACL と一致するルータによってアドバタイズされている任意のルートを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match ip route-source acl_id [acl_id] [...]
 

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

ルート タイプを照合するには、次のコマンドを入力します。

hostname(config-route-map)# match route-type {internal | external [type-1 | type-2]}
 

ステップ 3 1 つ以上の set コマンドを入力します。

ルートが match コマンドで一致する場合は、次の set コマンドによって、ルートを再配布する前にルートで実行するアクションが決まります。

メトリックを設定するには、次のコマンドを入力します。

hostname(config-route-map)# set metric metric_value
 

metric_value には、0 ~ 294967295 の値が指定できます。

メトリック タイプを設定するには、次のコマンドを入力します。

hostname(config-route-map)# set metric-type {type-1 | type-2}
 


 

次の例は、ホップ カウント 1 でルートを再配布する方法を示します。セキュリティ アプライアンスは、これらのルートをメトリック 5、メトリック タイプ 1、およびタグ 1 で外部 LSA として再配布します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

スタティック ルート、接続されているルート、または OSPF ルートを OSPF プロセスに再配布する方法

スタティック ルート、接続されているルート、または OSPF ルートをあるプロセスから別の OSPF プロセスに再配布するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、再配布する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 再配布するルートを指定するには、次のコマンドを入力します。

hostname(config-router)# redistribute {ospf process_id [match {internal | external 1 | external 2}] | static | connect} [metric metric-value] [metric-type {type-1 | type-2}] [tag tag_value] [subnets] [route-map map_name]
 

ospf process_id キーワード、 static キーワード、および connect キーワードは、ルートの再配布元を指定します。

このコマンドにルート プロパティを照合および設定するためのオプションを使用するか、ルートマップを使用します。 tag オプションおよび subnets オプションは、 route-map コマンドで使用する場合と同じではありません。 redistribute コマンドでルートマップとオプションの両方を使用した場合、これらは一致している必要があります。


 

次に、ルートをメトリック 1 と照合することによって、OSPF プロセス 1 から OSPF プロセス 2 にルートを再配布する例を示します。セキュリティ アプライアンスは、これらのルートを、メトリック 5、メトリック タイプ 1、およびタグ 1 で外部 LSA として再配布します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
hostname(config-route-map)# set tag 1
hostname(config-route-map)# router ospf 2
hostname(config-router)# redistribute ospf 1 route-map 1-to-2
 

次に、指定された OSPF プロセスのルートを OSPF プロセス 109 に再配布する例を示します。OSPF メトリックは 100 に再マッピングされます。

hostname(config)# router ospf 109
hostname(config-router)# redistribute ospf 108 metric 100 subnets
 

次に、リンクステート コストが 5 に指定され、メトリック タイプが外部に設定されているルートの再配布の例を示します。外部というのは、内部メトリックより優先順位が低いことを示します。

hostname(config)# router ospf 1
hostname(config-router)# redistribute ospf 2 metric 5 metric-type external
 

OSPF インターフェイスのパラメータの設定

インターフェイス固有の OSPF パラメータは、必要に応じて変更することができます。これらのパラメータは必ずしも変更する必要はありませんが、 ospf hello-interval ospf dead-interval 、および ospf authentication-key というインターフェイス パラメータは、接続されているネットワーク内のすべてのルータで一致している必要があります。これらのパラメータのいずれかを設定する場合は、ネットワーク上のすべてのルータのコンフィギュレーションに適合する値にするようにしてください。

OSPF インターフェイス パラメータを設定するには、次の手順を実行します。


ステップ 1 インターフェイス コンフィギュレーション モードに入るには、次のコマンドを入力します。

hostname(config)# interface interface_name
 

ステップ 2 次のいずれかのコマンドを入力します。

インターフェイスの認証タイプを指定するには、次のコマンドを入力します。

hostname(config-interface)# ospf authentication [message-digest | null]
 

OSPF 簡易パスワード認証を使用中のネットワーク セグメントに存在する隣接 OSPF ルータで使用されるパスワードを割り当てるには、次のコマンドを入力します。

hostname(config-interface)# ospf authentication-key key
 

key には、最大 8 バイトの連続する文字列が指定できます。

このコマンドで作成するパスワードはキーとして使用され、このキーはセキュリティ アプライアンスのソフトウェアによるルーティング プロトコル パケットの発信時に OSPF ヘッダーに直接挿入されます。各ネットワークにはインターフェイスごとに個別のパスワードを割り当てることができます。OSPF 情報が交換できるためには、同じネットワーク上の隣接ルータはすべて、同じパスワードを持つ必要があります。

パケット送信のコストを OSPF インターフェイスに明示的に指定するには、次のコマンドを入力します。

hostname(config-interface)# ospf cost cost
 

cost は、1 ~ 65535 の整数です。

hello パケットが受信されなかったために、隣接 OSPF ルータがダウンしているとデバイスが宣言する場合に必要な待機時間を秒数で設定するには、次のコマンドを入力します。

hostname(config-interface)# ospf dead-interval seconds
 

この値はネットワーク上のすべてのノードで同じにする必要があります。

セキュリティ アプライアンスが OSPF インターフェイスから hello パケットを送信する時間間隔を指定するには、次のコマンドを入力します。

hostname(config-interface)# ospf hello-interval seconds
 

この値はネットワーク上のすべてのノードで同じにする必要があります。

OSPF MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-interface)# ospf message-digest-key key_id md5 key
 

次の値を設定します。

key_id :範囲 1 ~ 255 の識別子

key :最大 16 バイトの英数字によるパスワード

通常は、インターフェイスあたり 1 つのキーを使用して、パケット送信時に認証情報を生成するとともに着信パケットを認証します。隣接ルータの同一キー識別子は、キー値を同一にする必要があります。

1 インターフェイスで 2 つ以上のキーを保持しないことをお勧めします。新しいキーを追加したらその都度古いキーを削除して、ローカル システムが古いキー情報を持つ悪意のあるシステムと通信を続けることのないようにしてください。古いキーを削除すると、ロールオーバー中のオーバーヘッドを減らすことにもなります。

ネットワークの OSPF 代表ルータを決定するための優先順位を設定するには、次のコマンドを入力します。

hostname(config-interface)# ospf priority number_value
 

number_value は、0 ~ 255 です。

OSPF インターフェイスに属する隣接ルータに LSA を再送信する間隔を秒数で指定するには、次のコマンドを入力します。

hostname(config-interface)# ospf retransmit-interval seconds
 

seconds は、接続されているネットワーク上の任意の 2 ルータ間で予想されるラウンドトリップ遅延より長い秒数でなければなりません。範囲は 1 ~ 65535 秒です。デフォルトは、5 秒です。

OSPF インターフェイスでリンクステート アップデート パケットを送信するのに必要な予想時間を秒数で設定するには、次のコマンドを入力します。

hostname(config-interface)# ospf transmit-delay seconds
 

seconds は、1 ~ 65535 秒です。デフォルトは 1 秒です。


 

次の例は、OSPF インターフェイスの設定方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# network 2.0.0.0 255.0.0.0 area 0
hostname(config-router)# interface inside
hostname(config-interface)# ospf cost 20
hostname(config-interface)# ospf retransmit-interval 15
hostname(config-interface)# ospf transmit-delay 10
hostname(config-interface)# ospf priority 20
hostname(config-interface)# ospf hello-interval 10
hostname(config-interface)# ospf dead-interval 40
hostname(config-interface)# ospf authentication-key cisco
hostname(config-interface)# ospf message-digest-key 1 md5 cisco
hostname(config-interface)# ospf authentication message-digest
 

次に、 show ospf コマンドの出力例を示します。

hostname(config)# show ospf
 
Routing Process "ospf 2" with ID 20.1.89.2 and Domain ID 0.0.0.2
Supports only single TOS(TOS0) routes
Supports opaque LSA
SPF schedule delay 5 secs, Hold time between two SPFs 10 secs
Minimum LSA interval 5 secs. Minimum LSA arrival 1 secs
Number of external LSA 5. Checksum Sum 0x 26da6
Number of opaque AS LSA 0. Checksum Sum 0x 0
Number of DCbitless external and opaque AS LSA 0
Number of DoNotAge external and opaque AS LSA 0
Number of areas in this router is 1. 1 normal 0 stub 0 nssa
External flood list length 0
Area BACKBONE(0)
Number of interfaces in this area is 1
Area has no authentication
SPF algorithm executed 2 times
Area ranges are
Number of LSA 5. Checksum Sum 0x 209a3
Number of opaque link LSA 0. Checksum Sum 0x 0
Number of DCbitless LSA 0
Number of indication LSA 0
Number of DoNotAge LSA 0
Flood list length 0
 

OSPF エリア パラメータの設定

複数のエリア パラメータを設定することができます。これらのエリア パラメータ(後述のタスク テーブルに表示)には、認証の設定、スタブ エリアの定義、デフォルト サマリー ルートへの特定のコストの割り当てがあります。認証では、エリアへの不正アクセスに対してパスワードベースで保護します。

スタブ エリアは、外部ルートの情報が送信されないエリアです。その代わりに、ABR で生成されるデフォルトの外部ルートがあり、このルートは自律システムの外部の宛先としてスタブ エリアに送信されます。OSPF スタブ エリアのサポートを活用するには、デフォルトのルーティングをスタブ エリアで使用する必要があります。スタブ エリアに送信される LSA の数をさらに減らすには、ABR で実行する area stub コマンドに no-summary キーワードを設定して、スタブ エリアにサマリー リンク アドバタイズメント(LSA タイプ 3)が送信されないようにします。

ネットワークにエリア パラメータを指定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 次のいずれかのコマンドを入力します。

OSPF エリアの認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication
 

OSPF エリアの MD5 認証をイネーブルにするには、次のコマンドを入力します。

hostname(config-router)# area area-id authentication message-digest
 

エリアをスタブ エリアに定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id stub [no-summary]
 

スタブ エリアで使用されるデフォルト サマリー ルートに特定のコストを割り当てるには、次のコマンドを入力します。

hostname(config-router)# area area-id default-cost cost
 

cost は、1 ~ 65535 の整数です。デフォルトは 1 です。


 

次の例は、OSPF エリア パラメータの設定方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# area 0 authentication
hostname(config-router)# area 0 authentication message-digest
hostname(config-router)# area 17 stub
hostname(config-router)# area 17 default-cost 20
 

OSPF NSSA の設定

Not-So-Stubby Area(NSSA)の OSPF への実装は、OSPF のスタブ エリアに似ています。NSSA は、タイプ 5 の外部 LSA をコアからエリアにフラッディングすることはありませんが、自律システムの外部ルートをある限られた方法でエリア内にインポートできます。

NSSA は、再配布によって、タイプ 7 の自律システムの外部ルートを NSSA エリア内部にインポートします。これらのタイプ 7 の LSA は、NSSA の ABR によってタイプ 5 の LSA に変換され、ルーティング ドメイン全体にフラッディングされます。変換中は集約とフィルタリングがサポートされます。

OSPF を使用する中央サイトから異なるルーティング プロトコルを使用するリモート サイトに接続しなければならない ISP またはネットワーク管理者は、NSSA を使用することによって管理を簡略化できます。

NSSA が実装される前は、企業サイトの境界ルータとリモート ルータ間の接続では、OSPF スタブ エリアとしては実行されませんでした。これは、リモート サイト向けのルートは、スタブ エリアに再配布することができず、2 種類のルーティング プロトコルを維持する必要があったためです。RIP のようなシンプルなプロトコルを実行して再配布を処理する方法が一般的でした。NSSA が実装されたことで、企業ルータとリモート ルータ間のエリアを NSSA として定義することにより、NSSA で OSPF を拡張してリモート接続をカバーすることができます。

OSPF NSSA を設定するために必要なエリア パラメータをネットワークに指定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 次のいずれかのコマンドを入力します。

NSSA エリアを定義するには、次のコマンドを入力します。

hostname(config-router)# area area-id nssa [no-redistribution] [default-information-originate]
 

アドレスのグループを集約するには、次のコマンドを入力します。

hostname(config-router)# summary address ip_address mask [not-advertise] [tag tag]
 

このコマンドは、ルーティング テーブルのサイズを減らすのに役立ちます。OSPF でこのコマンドを使用すると、このアドレスでカバーされる再配布ルートすべての集約として、1 つの外部ルートが OSPF ASBR からアドバタイズされます。

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。

次の例では、サマリー アドレスの 10.1.0.0 に、10.1.1.0、10.1.2.0、10.1.3.0 などのアドレスが含まれます。外部のリンク状態アドバタイズメントでは、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config-router)# summary-address 10.1.1.0 255.255.0.0
 

この機能を使用する前に、次のガイドラインを参考にしてください。

外部の宛先に到達するために、タイプ 7 のデフォルト ルートを設定できる。設定すると、NSSA または NSSA エリア境界ルータまでのタイプ 7 のデフォルトがルータによって生成されます。

同じエリア内にあるルータはすべて、このエリアが NSSA であることに同意しなければなりません。そうでないと、ルータは通信できなくなります。


 

OSPF エリア間のルート集約の設定

ルート集約は、アドバタイズされるアドレスを統合することです。この機能を実行すると、1 つのサマリー ルートがエリア境界ルータを通して他のエリアにアドバタイズされます。OSPF のエリア境界ルータは、ネットワークをある 1 つのエリアから別のエリアへとアドバタイズしていきます。あるエリアにおいて連続する複数のネットワーク番号が割り当てられている場合、指定された範囲に含まれるエリア内の個別のネットワークをすべてカバーするサマリー ルートをアドバタイズするようにエリア境界ルータを設定することができます。

ルート集約のアドレス範囲を定義するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 アドレス範囲を設定するには、次のコマンドを入力します。

hostname(config-router)# area area-id range ip-address mask [advertise | not-advertise]
 


 

次の例は、OSPF エリア間のルート集約の設定方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# area 17 range 12.1.0.0 255.255.0.0
 

OSPF にルートを再配布する場合のルート集約の設定

他のプロトコルからのルートを OSPF に再配布する場合、各ルートは外部 LSA で個別にアドバタイズされます。その一方で、指定したネットワーク アドレスとマスクでカバーされる再配布ルートすべてに対して 1 つのルートをアドバタイズするようにセキュリティ アプライアンスを設定することができます。このコンフィギュレーションによって OSPF リンクステート データベースのサイズが小さくなります。

ネットワーク アドレスとマスクでカバーされる再配布ルートすべてに対して 1 つのサマリー ルートをアドバタイズするようにソフトウェアを設定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 サマリー アドレスを設定するには、次のコマンドを入力します。

hostname(config-router)# summary-address ip_address mask [not-advertise] [tag tag]
 

OSPF は summary-address 0.0.0.0 0.0.0.0 をサポートしません。


 

次の例は、ルート集約の設定方法を示しています。サマリー アドレスの 10.1.0.0 には、10.1.1.0、10.1.2.0、10.1.3.0 などのアドレスが含まれます。外部のリンク状態アドバタイズメントでは、アドレス 10.1.0.0 だけがアドバタイズされます。

hostname(config)# router ospf 1
hostname(config-router)# summary-address 10.1.0.0 255.255.0.0
 

デフォルト ルートの生成

自律システムの境界ルータによって、デフォルト ルートが OSPF ルーティング ドメインに必ず生成されるようにすることができます。ルートを OSPF ルーティング ドメインに再配布するように特に設定すると、ルータは自動的に自律システム境界ルータになります。しかし、自律システム境界ルータは、デフォルトでは OSPF ルーティング ドメインにデフォルト ルートを生成しません。

デフォルト ルートを生成するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 自律システム境界ルータでデフォルト ルートが必ず生成されるようにするには、次のコマンドを入力します。

hostname(config-router)# default-information originate [always] [metric metric-value] [metric-type {1 | 2}] [route-map map-name]
 


 

次の例は、デフォルト ルートの生成方法を示しています。

hostname(config)# router ospf 2
hostname(config-router)# default-information originate always
 

ルート計算タイマーの設定

OSPF によるトポロジ変更受信と最短パス優先(SPF)計算開始との間の遅延時間が設定できます。最初に SPF を計算してから次に計算するまでの保持時間も設定できます。

ルート計算タイマーを設定するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 ルート計算時刻を設定するには、次のコマンドを入力します。

hostname(config-router)# timers spf spf-delay spf-holdtime
 

spf-delay は、OSPF によるトポロジ変更受信と SPF 計算開始との間の遅延時間(秒)です。0 ~ 65535 の整数を使用できます。デフォルトの時間は 5 秒です。値の 0 は遅延がないことを意味します。つまり、SPF 計算はただちに開始されます。

spf-holdtime は、2 つの連続する SPF 計算の間の最短時間(秒)です。0 ~ 65535 の整数を使用できます。デフォルトの時間は 10 秒です。値の 0 は遅延がないことを意味します。つまり、2 回の SPF 計算がすぐに続けて行われます。


 

次の例は、ルート計算タイマーの設定方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# timers spf 10 120

ネイバーがアップ状態またはダウン状態になった時点でのロギング

デフォルトでは、システムは OSPF ネイバーがアップ状態またはダウン状態になったときにシステム メッセージを送信します。

アップ状態またはダウン状態になった OSPF ネイバーについて、 debug ospf adjacency コマンドを実行せずに確認する必要がある場合に、このコマンドを設定します。 log-adj-changes router 設定コマンドでは、少ない出力によってピアの関係が高いレベルで表示されます。それぞれの状態変化メッセージを確認する場合は、 log-adj-changes detail を設定します。

アップ状態またはダウン状態になったネイバーをログに記録するには、次の手順を実行します。


ステップ 1 まだ移行していない場合、次のコマンドを入力して、設定する OSPF プロセスのルータ コンフィギュレーション モードに移行します。

hostname(config)# router ospf process_id
 

ステップ 2 アップ状態またはダウン状態になったネイバーに対するロギングを設定するには、次のコマンドを入力します。

hostname(config-router)# log-adj-changes [detail]
 

) ネイバーのアップまたはダウンのメッセージが送信されるには、ロギングがイネーブルになっている必要があります。



 

次の例は、ネイバーのアップまたはダウンのメッセージをログに記録する方法を示しています。

hostname(config)# router ospf 1
hostname(config-router)# log-adj-changes detail
 

OSPF アップデート パケットのペーシングの表示

OSPF アップデート パケットは、自動的にペーシングされるため、各パケットの送信間隔が 33 ミリ秒未満になることはありません。ペーシングを行わないと、リンクが低速の状態でアップデート パケットの一部が失われたり、ネイバーがアップデートを十分すばやく受信できなくなったり、あるいは、ルータがバッファ スペースを使い切ってしまったりすることがあります。たとえば、ペーシングを行わないと、次のいずれかのトポロジが存在した場合にパケットがドロップされる可能性があります。

高速ルータがポイントツーポイント リンクを介して低速のルータと接続している。

フラッディング中に、複数のネイバーから 1 つのルータに同時にアップデートが送信される。

ペーシングは、再送信間でも、送信効率を高めて再送信パケットの損失を最小にするために利用されます。インターフェイスへの送信を待機している LSA を表示することもできます。ペーシングの利点は、OSPF アップデートおよび再送信パケットの送信の効率をよくすることです。

この機能を設定するタスクはありません。自動的に行われます。

指定したインターフェイスを通したフラッディングを待機している LSA のリストを表示して OSPF パケットのペーシングを観察するには、次のコマンドを入力します。

hostname# show ospf flood-list if_name
 

OSPF のモニタリング

IP ルーティング テーブルの内容、キャッシュの内容、およびデータベースの内容など、特定の統計情報を表示することができます。提供される情報は、リソースの使用状況を判定してネットワークの問題を解決するために使用することができます。また、ノードの到達可能性情報を表示して、デバイス パケットがネットワークを通過するときにとるルーティング パスを見つけることもできます。

さまざまなルーティング統計情報を表示するには、必要に応じて次のいずれかのタスクを実行します。

OSPF ルーティング プロセスに関する一般情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]]
 

ABR および ASBR までの内部 OSPF ルーティング テーブル エントリを表示するには、次のコマンドを入力します。

hostname# show ospf border-routers
 

特定のルータの OSPF データベースに関連する情報のリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id [area-id]] database
 

インターフェイスへのフラッディングを待機している LSA のリストを表示するには(OSPF パケット ペーシングの観察のため)、次のコマンドを入力します。

hostname# show ospf flood-list if-name
 

OSPF に関連するインターフェイス情報を表示するには、次のコマンドを入力します。

hostname# show ospf interface [if_name]
 

OSPF ネイバー情報をインターフェイスごとに表示するには、次のコマンドを入力します。

hostname# show ospf neighbor [interface-name] [neighbor-id] [detail]
 

ルータで要求される LSA すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf request-list neighbor if_name
 

再送信を待機している LSA すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf retransmission-list neighbor if_name
 

OSPF プロセスで設定されているサマリー アドレスの再配布情報すべてのリストを表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] summary-address
 

OSPF に関連する仮想リンク情報を表示するには、次のコマンドを入力します。

hostname# show ospf [process-id] virtual-links
 

OSPF プロセスの再始動

OSPF プロセスを再始動して、再配布またはカウンタをクリアするには、次のコマンドを入力します。

hostname(config)# clear ospf pid {process | redistribution | counters [neighbor [neighbor-interface] [neighbor-id]]}
 

RIP の設定

この項では、RIP の設定方法について説明します。ここでは、次の項目について説明します。

「RIP の概要」

「RIP のイネーブル化」

RIP の概要

RIP をサポートしているデバイスは、ネットワークのトポロジが変更されると、ルーティングアップデート メッセージを所定の間隔で送信します。これらの RIP パケットには、デバイスが到達可能なネットワークに関する情報、さらに宛先アドレスに到達するためにパケットが通過しなければならないルータやゲートウェイの数が含まれています。RIP では、生成されるトラフィックは OSPF より多くなりますが、初期設定は OSPF より容易です。

RIP は、初期コンフィギュレーションが簡単で、トポロジが変更されても設定をアップデートする必要がないため、スタティック ルーティングより有利です。RIP の欠点は、ネットワーク数や処理オーバーヘッドがスタティック ルーティングより大きいことです。

セキュリティ アプライアンスは、一部のバージョンの RIP のみ使用します。このバージョンの RIP は、セキュリティ アプライアンスが到達可能なネットワークを識別する RIP アップデートを送信しません。ただし、次のいずれかまたは両方の方法をイネーブルにすることができます。

パッシブ RIP:セキュリティ アプライアンスは RIP アップデートを受信しますが、ネットワークに関するいかなるアップデートもインターフェイスから送信しません。

パッシブ RIP では、セキュリティ アプライアンスは、直接接続されていないネットワークについて知ることができます。

デフォルト ルート アップデート:セキュリティ アプライアンスを通じて到達可能なすべてのネットワークが記述された通常の RIP アップデートを送信するのではなく、セキュリティ アプライアンスは、セキュリティ アプライアンスをデフォルトのゲートウェイとして識別する、参加デバイスへのデフォルト ルートを送信します。

デフォルト ルート オプションは、パッシブ RIP とともに使用することも、単独で使用することもできます。セキュリティ アプライアンスでスタティック ルートを使用するがダウンストリーム ルータにはスタティック ルートを設定しない場合は、デフォルト ルート オプションを単独で使用します。一般に、外部インターフェイスではデフォルト ルート オプションをイネーブルにしません。これは、通常、セキュリティ アプライアンスはアップストリーム ルータに対するデフォルト ゲートウェイではないためです。

RIP のイネーブル化

インターフェイスで RIP をイネーブルにするには、次のコマンドを入力します。

hostname(config)# rip interface_name {default | passive} [version {1 | 2 [authentication {text | md5} key key_id]}]
 

rip コマンドを 2 回入力することで、1 つのインターフェイスでパッシブとデフォルトの両モードの RIP をイネーブルにすることができます。このとき、それぞれのモードを 1 回ずつ入力します。たとえば、次のコマンドを入力します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
 

すべてのインターフェイスでパッシブ RIP をイネーブルにするが、内部インターフェイスではデフォルト ルートをイネーブルにするだけの場合は、次のコマンドを入力します。

hostname(config)# rip inside default version 2 authentication md5 scorpius 1
hostname(config)# rip inside passive version 2 authentication md5 scorpius 1
hostname(config)# rip outside passive version 2 authentication md5 scorpius 1
 

) コンフィギュレーションをテストする前に、セキュリティ アプライアンスに接続されているルータすべての ARP キャッシュを消去してください。シスコ ルータに clear arp コマンドを発行して ARP キャッシュを消去します。

OSPF がイネーブルになっている場合は、RIP をイネーブルにすることはできません。


マルチキャスト ルーティングの設定

この項では、マルチキャスト ルーティングの設定方法について説明します。ここでは、次の項目について説明します。

「マルチキャスト ルーティングの概要」

「マルチキャスト ルーティングのイネーブル化」

「IGMP 機能の設定」

「スタブ マルチキャスト ルーティングの設定」

「スタティック マルチキャスト ルートの設定」

「PIM 機能の設定」

「マルチキャスト ルーティングの参考資料」

マルチキャスト ルーティングの概要

セキュリティ アプライアンスは、スタブ マルチキャスト ルーティングと PIM マルチキャスト ルーティングの両方をサポートしています。しかし、1 つのセキュリティ アプライアンスに両方を同時に設定することはできません。

スタブ マルチキャスト ルーティングは、ダイナミック ホスト登録の機能を提供して、マルチキャスト ルーティングを容易にします。スタブ マルチキャスト ルーティングを設定すると、セキュリティ アプライアンスは IGMP のプロキシ エージェントとして動作します。セキュリティ アプライアンスは、マルチキャスト ルーティングに全面的に参加するのではなく、IGMP メッセージをアップストリームのマルチキャスト ルータに転送し、そのルータがマルチキャスト データの送信をセットアップします。スタブ マルチキャスト ルーティングを設定する場合は、セキュリティ アプライアンスを PIM として設定することはできません。

セキュリティ アプライアンスは、PIM-SM および双方向 PIM の両方をサポートしています。PIM-SM は、基盤となるユニキャスト ルーティング情報ベースまたは別のマルチキャスト対応ルーティング情報ベースを使用するマルチキャスト ルーティング プロトコルです。このプロトコルは、マルチキャスト グループあたり 1 つのランデブー ポイントをルートにした単方向の共有ツリーを構築し、オプションでマルチキャストの発信元ごとに最短パス ツリーを作成します。

双方向 PIM は PIM-SM の変形で、マルチキャストの発信元と受信者を接続する双方向の共有ツリーを構築します。双方向ツリーは、マルチキャスト トポロジの各リンクで動作する DF 選定プロセスを使用して構築されます。DF に支援されたマルチキャスト データは発信元からランデブー ポイントに転送されます。この結果、マルチキャスト データは発信元固有の状態を必要せず、共有ツリーをたどって受信者に送信されます。DF 選定はランデブー ポイントの検出中に行われ、これによってデフォルト ルートがランデブー ポイントに提供されます。


セキュリティ アプライアンスが PIM RP の場合は、セキュリティ アプライアンスの変換されていない外部アドレスを RP アドレスとして使用してください。


マルチキャスト ルーティングのイネーブル化

マルチキャスト ルーティングをイネーブルにすると、セキュリティ アプライアンスからマルチキャスト パケットが転送されます。マルチキャスト ルーティングをイネーブルにすると、すべてのインターフェイスで PIM および IGMP が自動的にイネーブルになります。マルチキャスト ルーティングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# multicast-routing
 

マルチキャスト ルーティング テーブルのエントリ数は、システムの RAM の量によって制限されます。 表8-1 は、セキュリティ アプライアンスの RAM の量に基づいて、固有のマルチキャスト テーブルの最大エントリ数を示しています。この上限に達すると、新しいエントリは廃棄されます。

 

表8-1 マルチキャスト テーブルのエントリ数の上限

テーブル
16 MB
128 MB
128 + MB
MFIB

1000

3000

5000

IGMP グループ

1000

3000

5000

PIM ルート

3000

7000

12000

IGMP 機能の設定

IP ホストは、自身のグループ メンバーシップを直接接続されているマルチキャスト ルータに報告するために IGMP を使用します。IGMP は、グループ アドレス(Class D IP アドレス)をグループ識別子として使用します。ホスト グループ アドレスは、224.0.0.0 ~ 239.255.255.255 の範囲で使用できます。アドレス 224.0.0.0 がグループに割り当てられることはありません。アドレス 224.0.0.1 は、サブネットのシステムすべてに割り当てられます。アドレス 224.0.0.2 は、サブネットのルータすべてに割り当てられます。

セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにすると、IGMP バージョン 2 がすべてのインターフェイスで自動的にイネーブルになります。


show run コマンドを使用すると、インターフェイス コンフィギュレーションには no igmp コマンドだけが表示されます。デバイス コンフィギュレーションに multicast-routing コマンドがあると、IGMP がすべてのインターフェイスで自動的にイネーブルになります。


この項では、インターフェイスごとにオプションの IGMP 設定を行う方法について説明します。ここでは、次の項目について説明します。

「インターフェイスにおける IGMP のディセーブル化」

「グループ メンバーシップの設定」

「グループのスタティック加入の設定」

「マルチキャスト グループへのアクセスの制御」

「インターフェイスにおける IGMP 状態の数の制限」

「クエリー間隔およびクエリー タイムアウトの修正」

「クエリー応答時間の変更」

「IGMP バージョンの変更」

インターフェイスにおける IGMP のディセーブル化

IGMP は、特定のインターフェイスでディセーブルにできます。この機能は、マルチキャスト ホストが存在しないことが分かっている特定のインターフェイスにセキュリティ アプライアンスからホスト クエリー メッセージを送信しないようにする場合に便利です。

インターフェイスで IGMP をディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no igmp
 

インターフェイスで IGMP を再度イネーブルにするには、次のコマンドを入力します。

hostname(config-if)# igmp
 

) インターフェイス コンフィギュレーションには、no igmp コマンドだけが表示されます。


グループ メンバーシップの設定

セキュリティ アプライアンスをマルチキャスト グループのメンバーとして設定できます。マルチキャスト グループに加入するようにセキュリティ アプライアンスを設定すると、アップストリーム ルータはそのグループのマルチキャスト ルーティング テーブル情報を維持して、このグループをアクティブにするパスを保持します。

セキュリティ アプライアンスがマルチキャスト グループに加入するように設定するには、次のコマンドを入力します。

hostname(config-if)# igmp join-group group-address
 

グループのスタティック加入の設定

ときには、グループ メンバーがグループにおける自分のメンバーシップを報告できなかったり、あるいは、ネットワーク セグメントにメンバーが存在しなかったりすることもあります。それでも、そのグループのマルチキャスト トラフィックをそのネットワーク セグメントに送信することが必要になる場合があります。このようなグループのマルチキャスト トラフィックは、次のいずれかの方法でそのセグメントに送信することができます。

igmp join-group コマンドを使用する(「グループ メンバーシップの設定」を参照)。これによって、セキュリティ アプライアンスはマルチキャスト パケットを受け入れ、転送します。

igmp static-group コマンドを使用する。セキュリティ アプライアンスは、マルチキャスト パケットを受け入れないものの、指定したインターフェイスに転送します。

インターフェイス上のマルチキャスト グループにスタティックに加入する設定を行うには、次のコマンドを入力します。

hostname(config-if)# igmp static-group group-address
 

マルチキャスト グループへのアクセスの制御

セキュリティ アプライアンス インターフェイスのホストが加入可能なマルチキャスト グループを制御するには、次の手順を実行します。


ステップ 1 マルチキャスト トラフィックのアクセスリストを作成します。1 つのアクセスリストに複数のエントリを作成することができます。拡張アクセスリストまたは標準アクセスリストが使用できます。

標準アクセスリストを作成するには、次のコマンドを入力します。

hostname(config)# access-list name standard [permit | deny] ip_addr mask
 

ip_addr 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

拡張アクセスリストを作成するには、次のコマンドを入力します。

hostname(config)# access-list name extended [permit | deny] protocol src_ip_addr src_mask dst_ip_addr dst_mask
 

dst_ip_addr 引数は、許可または拒否されるマルチキャスト グループの IP アドレスです。

ステップ 2 インターフェイスにアクセスリストを適用するには、次のコマンドを入力します。

hostname(config-if)# igmp access-group acl
 

acl 引数は、標準 IP アクセスリストまたは拡張 IP アクセスリストの名前です。


 

インターフェイスにおける IGMP 状態の数の制限

IGMP メンバーシップ報告の結果の IGMP 状態の数は、インターフェイスごとに制限することができます。設定された上限を超過したメンバーシップ報告は IGMP キャッシュに入力されず、超過した分のメンバーシップ報告のトラフィックは転送されません。

インターフェイスでの IGMP 状態の数を制限するには、次のコマンドを入力します。

hostname(config-if)# igmp limit number
 

有効な値の範囲は 0 ~ 500 です。デフォルト値は 500 です。この値を 0 に設定すると、既知のグループは追加されなくなりますが、手動で定義したメンバーシップ( igmp join-group コマンドおよび igmp static-group コマンドを使用)は引き続き許可されます。このコマンドの no 形式を使用するとデフォルト値が復元されます。

クエリー間隔およびクエリー タイムアウトの修正

セキュリティ アプライアンスは、クエリー メッセージを送信して、インターフェイスに接続されているネットワークにメンバーを持つマルチキャスト グループを検出します。メンバーは、IGMP 報告メッセージで応答して、特定のグループに対するマルチキャスト パケットの受信を希望していることを示します。クエリー メッセージは、アドレスが 224.0.0.1 で存続可能時間値が 1 の全システム マルチキャスト グループ宛に送信されます。

これらのメッセージが定期的に送信されることにより、セキュリティ アプライアンスに保存されているメンバーシップ情報はリフレッシュされます。セキュリティ アプライアンスで、ローカル メンバーがいなくなったマルチキャスト グループがまだインターフェイスに接続されていることが分かると、そのグループへのマルチキャスト パケットを接続されているネットワークに転送するのを停止し、そのパケットの送信元にプルーニング メッセージを戻します。

デフォルトでは、サブネット上の PIM 代表ルータがクエリー メッセージの送信を担当します。このメッセージは、デフォルトでは 125 秒間に 1 回送信されます。この間隔を変更するには、次のコマンドを入力します。

hostname(config-if)# igmp query-interval seconds
 

セキュリティ アプライアンスは、インターフェイスでクエリー メッセージが指定されているタイムアウト値(デフォルトでは 255 秒)の間に検出できなかった場合は、代表ルータとなってクエリー メッセージの送信を開始します。このタイムアウト値を変更するには、次のコマンドを入力します。

hostname(config-if)# igmp query-timeout seconds
 

igmp query-timeout コマンドおよび igmp query-interval コマンドを実行するには、IGMP バージョン 2 が必要です。


クエリー応答時間の変更

デフォルトでは、IGMP クエリーでアドバタイズされる最大クエリー応答時間は 10 秒です。セキュリティ アプライアンスがこの時間内にホスト クエリーの応答を受信しなかった場合、グループを削除します。

最大クエリー応答時間を変更するには、次のコマンドを入力します。

hostname(config-if)# igmp query-max-response-time seconds
 

IGMP バージョンの変更

デフォルトでは、セキュリティ アプライアンスは IGMP バージョン 2 を実行します。このバージョンでは、 igmp query-timeout コマンドや igmp query-interval コマンドなどのいくつかの追加機能が使用できます。

サブネットのマルチキャスト ルータはすべて、同じ IGMP バージョンをサポートしている必要があります。セキュリティ アプライアンスは、バージョン 1 のルータを自動的に検出し、バージョン 1 に切り替えることはありません。しかし、サブネットに IGMP のバージョン 1 のホストとバージョン 2 のホストが混在しても問題はありません。IGMP バージョン 2 を実行しているセキュリティ アプライアンスは、IGMP バージョン 1 のホストが存在しても正常に動作します。

インターフェイスで動作中の IGMP のバージョンを制御するには、次のコマンドを入力します。

hostname(config-if)# igmp version {1 | 2}
 

スタブ マルチキャスト ルーティングの設定

スタブ エリアへのゲートウェイとして動作しているセキュリティ アプライアンスは、PIM に参加する必要はありません。その代わりに、そのセキュリティ アプライアンスを IGMP プロキシ エージェントして設定すると、あるインターフェイスに接続されているホストから、別のインターフェイスのアップストリーム マルチキャスト ルータに IGMP メッセージを転送することができます。セキュリティ アプライアンスを IGMP プロキシ エージェントとして設定するには、ホスト加入(join)メッセージおよびホスト脱退(leave)メッセージをスタブ エリアからアップストリーム インターフェイスに転送します。

ホスト加入メッセージおよびホスト脱退メッセージを転送するには、スタブ エリアに接続されているインターフェイスから次のコマンドを入力します。

hostname(config-if)# igmp forward interface if_name
 

) スタブ マルチキャスト ルーティングと PIM は、同時にはサポートされません。


スタティック マルチキャスト ルートの設定

PIM を使用する場合、セキュリティ アプライアンスは、ユニキャスト パケットを発信元に返送するのと同じインターフェイスでパケットを受信することを想定しています。マルチキャスト ルーティングをサポートしていないルートをバイパスする場合などは、ユニキャスト パケットで 1 つのパスを使用し、マルチキャスト パケットで別の 1 つのパスを使用することもあります。

スタティック マルチキャスト ルートはアドバタイズも再配布もされません。

PIM のスタティック マルチキャスト ルートを設定するには、次のコマンドを入力します。

hostname(config)# mroute src_ip src_mask input_if_name [distance]
 

スタブ エリアのスタティック マルチキャスト ルートを設定するには、次のコマンドを入力します。

hostname(config)# mroute src_ip src_mask input_if_name [dense output_if_name] [distance]
 

dense output_if_name キーワードと引数のペアは、スタブ マルチキャスト ルーティングでのみサポートされます。


PIM 機能の設定

ルータは、PIM を使用してマルチキャスト ダイアグラムを転送する転送テーブルを維持します。セキュリティ アプライアンスでマルチキャスト ルーティングをイネーブルにすると、PIM および IGMP がすべてのインターフェイスで自動的にイネーブルになります。


) PIM は、PAT ではサポートされません。PIM プロトコルはポートを使用せず、PAT はポートを使用するプロトコルに対してのみ動作します。


この項では、オプションの PIM 設定を行う方法について説明します。ここでは、次の項目について説明します。

「インターフェイスにおける PIM のディセーブル化」

「スタティック ランデブー ポイント アドレスの設定」

「代表ルータの優先順位の設定」

「PIM 登録メッセージのフィルタリング」

「PIM メッセージ間隔の設定」

インターフェイスにおける PIM のディセーブル化

PIM は、特定のインターフェイスでディセーブルにできます。インターフェイスで PIM をディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# no pim
 

インターフェイスで PIM を再度イネーブルにするには、次のコマンドを入力します。

hostname(config-if)# pim
 

) インターフェイス コンフィギュレーションには、no pim コマンドだけが表示されます。


スタティック ランデブー ポイント アドレスの設定

共通の PIM 希薄モードまたは双方向ドメイン内のルータはすべて、PIM RP アドレスを認識している必要があります。このアドレスは、 pim rp-address コマンドを使用してスタティックに設定されます。


) セキュリティ アプライアンスは、Auto-RP または PIM BSR をサポートしていません。RP アドレスを指定するには、pim rp-address コマンドを使用する必要があります。


セキュリティ アプライアンスを複数のグループの RP として機能するように設定することができます。アクセスリストに指定されているグループ範囲によって、PIM RP のグループ マッピングが決まります。アクセスリストが指定されていない場合は、マルチキャスト グループ全体の範囲(224.0.0.0/4)にグループの RP が適用されます。

PIM PR のアドレスを設定するには、次のコマンドを入力します。

hostname(config)# pim rp-address ip_address [acl] [bidir]
 

ip_address 引数は、PIM RP となるルータのユニキャスト IP アドレスです。 acl 引数は、RP とともに使用する必要があるマルチキャスト グループを定義しているアクセスリストの名前または番号です。 bidir キーワードを除外すると、グループは PIM 希薄モードで動作するようになります。


) セキュリティ アプライアンスは、実際の双方向構成にかかわらず、PIM の hello メッセージを使用して双方向の機能を常時アドバタイズします。


代表ルータの優先順位の設定

Designated Router(DR; 代表ルータ)は、PIM 登録メッセージ、PIM 加入メッセージ、およびプルーニング メッセージの RP への送信を担当します。ネットワーク セグメントに 2 つ以上のマルチキャスト ルータがある場合、DR の優先順位に基づいて DR を選定するプロセスがあります。複数のデバイスの DR 優先順位が等しい場合、最上位の IP アドレスを持つデバイスが DR になります。

デフォルトでは、セキュリティ アプライアンスには優先順位 1 の DR があります。この値は、次のコマンドを入力すると変更できます。

hostname(config-if)# pim dr-priority num
 

num は 1 ~ 4294967294 の任意の数字にできます。

PIM 登録メッセージのフィルタリング

PIM 登録メッセージをフィルタリングするようにセキュリティ アプライアンスを設定することができます。PIM 登録メッセージをフィルタリングするには、次のコマンドを入力します。

hostname(config)# pim accept-register {list acl | route-map map-name}
 

PIM メッセージ間隔の設定

ルータ クエリー メッセージは PIM DR を選定するために使用されます。PIM DR は、ルータ クエリー メッセージの送信を担当します。デフォルトでは、ルータ クエリー メッセージは 30 秒間隔で送信されます。この値は、次のコマンドを入力すると変更できます。

hostname(config-if)# pim hello-interval seconds
 

seconds 引数の有効な値は、1 ~ 3600 秒です。

60 秒ごとに、セキュリティ アプライアンスは PIM 加入メッセージおよびプルーニング メッセージを送信します。この値を変更するには、次のコマンドを入力します。

hostname(config-if)# pim join-prune-interval seconds
 

seconds 引数の有効な値は、10 ~ 600 秒です。

マルチキャスト ルーティングの参考資料

SMR 機能の実装に使用される IGMP およびマルチキャスト ルーティングの規格の技術詳細については、IETF 発行の次の RFC を参照してください。

RFC 2236 IGMPv2

RFC 2362 PIM-SM

RFC 2588 IP Multicast and Firewalls

RFC 2113 IP Router Alert Option

IETF draft-ietf-idmr-igmp-proxy-01.txt

DHCP の設定

DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。セキュリティ アプライアンスは、DHCP サーバまたは DHCP リレー サービスをセキュリティ アプライアンスのインターフェイスに接続されている DHCP クライアントに提供することができます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求を、別のインターフェイスの向こう側に位置する外部 DHCP サーバに渡します。

ここでは、次の項目について説明します。

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

DHCP サーバの設定

この項では、セキュリティ アプライアンスによって提供される DHCP サーバの設定方法について説明します。ここでは、次の項目について説明します。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用方法」

DHCP サーバのイネーブル化

セキュリティ アプライアンスは DHCP サーバとして動作することができます。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定をホストに供給するプロトコルです。


) セキュリティ アプライアンス DHCP サーバは、BOOTP 要求をサポートしていません。

マルチコンテキスト モードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるインターフェイス上ではイネーブルにすることはできません。


DHCP サーバは、セキュリティ アプライアンスの各インターフェイスに設定することができます。各インターフェイスには、それ自体のアドレス プールがあり、利用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。

DHCP クライアントまたは DHCP リレー サービスは、DHCP サーバがイネーブルになっているインターフェイス上では設定することはできません。これに加えて、DHCP クライアントは、DHCP サーバがイネーブルになっているインターフェイスに直接接続されている必要があります。

指定されたセキュリティ アプライアンスのインターフェイスで DHCP サーバをイネーブルにするには、次の手順を実行します。


ステップ 1 DHCP アドレス プールを作成します。次のコマンドを入力して、アドレス プールを定義します。

hostname(config)# dhcpd address ip_address-ip_address interface_name
 

セキュリティ アプライアンスは、1 つのクライアントに対して一定時間だけ使用可能なアドレスを 1 つこのプールから割り当てます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、セキュリティ アプライアンス インターフェイスと同じサブネット内にある必要があります。

ステップ 2 (オプション)クライアントが使用する DNS サーバの IP アドレスを指定するには、次のコマンドを入力します。

hostname(config)# dhcpd dns dns1 [dns2]
 

DNS サーバは最大 2 つまで指定できます。

ステップ 3 (オプション)クライアントが使用する WINS サーバの IP アドレスを指定するには、次のコマンドを入力します。

hostname(config)# dhcpd wins wins1 [wins2]
 

WINS サーバは最大 2 つまで指定できます。

ステップ 4 (オプション)クライアントに許可するリース期間を変更するには、次のコマンドを入力します。

hostname(config)# dhcpd lease lease_length
 

リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。0 ~ 1,048,575 の間の値を入力します。デフォルト値は 3600 秒です。

ステップ 5 (オプション)クライアントが使用するドメイン名を設定するには、次のコマンドを入力します。

hostname(config)# dhcpd domain domain_name
 

ステップ 6 (オプション)DHCP に ping のタイムアウト値を設定するには、次のコマンドを入力します。

hostname(config)# dhcpd ping_timeout milliseconds
 

アドレスの衝突を避けるために、セキュリティ アプライアンスは、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7 (透過ファイアウォール モード)デフォルトのゲートウェイを定義します。DHCP クライアントに送信するデフォルトのゲートウェイを定義するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip gateway_ip
 

DHCP のオプション 3 を使用せずにデフォルトのゲートウェイを定義する場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8 セキュリティ アプライアンス内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信できるようにするには、次のコマンドを入力します。

hostname(config)# dhcpd enable interface_name
 


 

たとえば、内部インターフェイスに接続されているホストに範囲 10.0.1.101 ~ 10.0.1.110 を割り当てるには、次のコマンドを入力します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129
hostname(config)# dhcpd wins 209.165.201.5
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

DHCP オプションの設定

セキュリティ アプライアンスは、RFC 2132 に記載されている DHCP オプションの情報を送信するように設定することができます。DHCP オプションには次の 3 種類があります。

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

セキュリティ アプライアンスは DHCP オプションの 3 カテゴリをすべてサポートしています。DHCP オプションを設定するには、次のいずれかを実行します。

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ip addr_1 [addr_2]
 

テキスト文字列を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ascii text
 

16 進数値を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code hex value
 

) セキュリティ アプライアンスは、指定されたオプションのタイプおよび値が RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello と入力することは可能であり、セキュリティ アプライアンスはこのコンフィギュレーションを受け入れますが、RFC 2132 では、オプション 46 には 1 桁の 16 進数値が期待値として定義されています。オプション コードとその関連タイプおよび期待値の詳細については、RFC 2132 を参照してください。


表8-2 に、 dhcpd option コマンドでサポートされていない DHCP オプションを示します。

 

表8-2 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

特定のオプション、つまり DHCP オプション 3、66、および 150 は、Cisco IP Phone を設定するために使用します。これらのオプション設定の詳細については、「DHCP サーバを利用する Cisco IP Phone の使用方法」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用方法

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な機器を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。

Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。

Cisco IP Phone では、1 つの要求にオプション 150 とオプション 66 の両方が含まれることがあります。この場合、両者がセキュリティ アプライアンスで設定されていると、セキュリティ アプライアンスの DHCP サーバは、その応答で両方のオプションに対する値を提供します。

RFC 2132 に記載されているオプションの大部分の情報を送信するようにセキュリティ アプライアンスを設定することができます。次に、任意のオプション番号のシンタックスと、一般的に使用されているオプション 66、150、および 3 のシンタックスを示します。

RFC-2132 に指定されているオプション番号を含む DHCP 要求の情報を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option number value
 

オプション 66 の IP アドレスまたは TFTP サーバ名を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option 66 ascii server_name
 

オプション 150 の IP アドレスあるいは 1 つまたは 2 つの TFTP サーバ名を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option 150 ip server_ip1 [server_ip2]
 

server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

デフォルト ルートの設定を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip router_ip1
 

DHCP リレー サービスの設定

DHCP リレー エージェントを使用すると、セキュリティ アプライアンスを介して DHCP 要求をクライアントから別のインターフェイスに接続されているルータに転送することができます。

DHCP リレー エージェントを使用する場合、次の制限が適用されます。

DHCP サーバもイネーブルになっている場合、リレー エージェントをイネーブルにできない。

クライアントは直接セキュリティ アプライアンスに接続する必要があり、他のリレー エージェントやルータを介して要求を送信できない。

マルチコンテキスト モードでは、複数のコンテキストによって使用されるインターフェイス上で DHCP リレーをイネーブルにできない。


) DHCP リレー サービスは透過ファイアウォール モードでは使用できません。透過ファイアウォール モードの場合、セキュリティ アプライアンスは ARP トラフィックのみ通過を許可します。他のトラフィックはすべて ACL が必要です。透過モードで DHCP 要求と応答がセキュリティ アプライアンスを通過できるようにするには、2 つの ACL を設定する必要があります。その 1 つは内部インターフェイスから外部への DCHP 要求を許可するもので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。


DHCP リレーをイネーブルにするには、次の手順を実行します。


ステップ 1 DHCP クライアントとは異なるインターフェイス上の DHCP サーバの IP アドレスを設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay server ip_address if_name
 

このコマンドを使用して 4 つまでのサーバを 4 回まで設定できます。

ステップ 2 クライアントが接続されているインターフェイス上で DHCP リレーをイネーブルにするには、次のコマンドを入力します。

hostname(config)# dhcprelay enable interface
 

ステップ 3 (オプション)リレー アドレス ネゴシエーションに許可する時間を秒数で設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay timeout seconds
 

ステップ 4 (オプション)DHCP サーバから送信されたパケットの最初のデフォルト ルータ アドレスを、セキュリティ アプライアンス インターフェイスのアドレスに変更するには、次のコマンドを入力します。

hostname(config)# dhcprelay setroute interface_name
 

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、セキュリティ アプライアンスをポイントすることができます。

パケット内にデフォルトのルータ オプションがなければ、セキュリティ アプライアンスは、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。


 

次の例では、セキュリティ アプライアンスは、内部インターフェイスに接続されているクライアントからの DHCP 要求を、外部インターフェイス上の DHCP サーバに転送することができるようになります。

hostname(config)# dhcprelay server 201.168.200.4
hostname(config)# dhcprelay enable inside
hostname(config)# dhcprelay setroute inside
 

DHCP クライアントの設定

セキュリティ アプライアンスのインターフェイスを DHCP クライアントとして設定するには、次の手順を実行します。

hostname(config-if)# ip address dhcp [retry num] [setroute]
 

オプションの retry num 引数は、そのインターフェイスが DHCP サーバにアクセスを試行する回数を指定します。デフォルト値は 4 で最大値は 48 です。 setroute キーワードを使用すると、セキュリティ アプライアンスは、DHCP サーバが返すデフォルト ゲートウェイを使用してデフォルト ルートを設定します。


) DHCP クライアントとして設定されているインターフェイス上では、DHCP サーバまたは DHCP リレー サービスをイネーブルにすることはできません。