Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
ルート マップの定義
ルート マップの定義
発行日;2012/05/08 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ルート マップの定義

ルート マップの概要

permit 句と deny 句

match 句と set 句の値

ルート マップのライセンス要件

ガイドラインと制限事項

ルート マップの定義

ルート マップのカスタマイズ

特定の宛先アドレスに一致するルートの定義

ルート アクションのメトリック値の設定

ルート マップの設定例

ルート マップの機能履歴

ルート マップの概要

ルート マップは、ルートを OSPF、RIP、または EIGRP ルーティング プロセスに再配布するときに使用します。また、デフォルト ルートを OSPF ルーティング プロセスに生成するときにも使用します。ルート マップは、指定されたルーティング プロトコルのどのルートを対象ルーティング プロセスに再配布できるのかを定義します。

ルート マップは、広く知られた ACL と共通の機能を数多く持っています。次のように、両方に共通の特長がいくつかあります。

いずれも、それぞれが許可または拒否の結果を持つ個々の文を一定の順序で並べたものです。ACL またはルート マップの評価は、事前に定義された順序でのリストのスキャンと、一致する各文の基準の評価で構成されています。リストのスキャンは、文の一致が初めて見つかり、その文に関連付けられたアクションが実行されると中断します。

これらは汎用メカニズムです。基準の一致と一致の解釈は、その適用方法によって指定されます。異なるタスクに適用される同じルート マップの解釈が異なることがあります。

次のように、ルート マップと ACL には違いがいくつかあります。

ルート マップでは、一致基準として ACL を頻繁に使用します。

アクセス リストの評価の主な結果は、yes または no の答えとなります。これは、ACL が入力データを許可するか、拒否するかを表します。再配布に適用された ACL は、特定のルートを再配布できるか(ルートが ACL の permit 文に一致)、再配布できないか(deny 文に一致)を判断します。一般的なルート マップでは、(一部の)再配布ルートを許可するだけではなく、別のプロトコルに再配布される場合は、ルートに関連付けられた情報も変更します。

ルート マップは ACL よりも柔軟性が高く、ACL が確認できない基準に基づいてルートを確認できます。たとえば、ルート マップはルートのタイプが内部であるかどうかを確認できます。

各 ACL は、設計の表記法により暗黙的な deny 文で終了しますが、ルート マップには同様の表記法はありません。一致試行の間にルート マップの終わりに達した場合は、そのルート マップの特定のアプリケーションによって結果が異なります。幸いなことに、再配布に適用されたルート マップの動作は ACL と同じです。ルートがルート マップのどの句とも一致しない場合は、ルート マップの最後に deny 文が含まれている場合と同様にルートの再配布は拒否されます。

ダイナミック プロトコルの redistribute コマンドを使用すると、ルート マップを適用できます。ASDM の場合、再配布用のこの機能は、新しいルート マップを追加または編集するときに使用できます(「ルート マップの定義」を参照)。ルート マップは、再配布中にルート情報を変更する場合や、ACL よりも強力な照合機能が必要な場合に推奨します。プレフィクスまたはマスクに基づいて一部のルートを選択的に許可することだけが必要な場合は、ルート マップを使用して、redistribute コマンドで ACL(または等価のプレフィクス リスト)に直接マップすることをお勧めします。ルート マップを使用して、プレフィックスまたはマスクに基づいて一部のルートを選択的に許可する場合は、通常はこれよりも多くのコンフィギュレーション コマンドを使用して同じ目標を達成します。


) ルート マップの一致基準として標準 ACL を使用する必要があります。拡張 ACL を使用すると動作しません。また、ルートも再配布されません。将来的に句を挿入する必要性が生じたときの番号の間隔を確保するために、10 単位で句に番号を指定することをお勧めします。


この項は、次の内容で構成されています。

「permit 句と deny 句」

「match 句と set 句の値」

permit 句と deny 句

ルート マップでは permit 句と deny 句を使用できます。route-map ospf-to-eigrp コマンドには、1 つの deny 句(シーケンス番号は 10)と 2 つの permit 句だけがあります。deny 句は、ルートの照合の再配布を拒否します。したがって、次のルールが適用されます。

permit 句を使用したルート マップで ACL を使用すると、ACL で許可されるルートが再配布されます。

ルート マップの deny 句で ACL を使用すると、ACL で許可されるルートは再配布されません。

ルート マップの permit または deny 句で ACL を使用し、ACL がルートを拒否すると、route-map 句の一致は見つからず、次の route-map 句が評価されます。

match 句と set 句の値

各ルート マップ句には、次の 2 種類の値があります。

match 値は、この句を適用するルートを選択します。

set 値は、ターゲット プロトコルに再配布される情報を変更します。

再配布される各ルートについて、ルータは最初にルート マップの句の一致基準を評価します。一致基準が満たされると、そのルートは、permit 句または deny 句に従って再配布または拒否され、そのルートの一部の属性が、ASDM の [Set Value] タブ、または set コマンドによって設定された値に変更されます。一致基準が満たされないと、この句はルートに適用されず、ソフトウェアはルート マップの次の句でルートを評価します。ルート マップのスキャンは、ルートが match コマンド(または ASDM の [Match Clause] タブで設定された [Match Clause])と一致する句が見つかるまで、またはルート マップの終わりに達するまで続行します。

次のいずれかの条件が満たされる場合は、各句の match 値または set 値を省略したり、何回か繰り返したりできます。

1 つの句に複数の match コマンドまたは ASDM の [Match Clause] 値が含まれている場合、与えられたルートがその句と一致するには、そのルートに対して条件がすべて一致する必要があります(つまり、複数の match コマンドに対して論理積のアルゴリズムが適用されます)。

1 つのコマンド内で複数のオブジェクトが match コマンドまたは ASDM の [Match Clause] 値によって参照されている場合、そのうちのいずれかが一致する必要があります(論理和のアルゴリズムが適用されます)。たとえば、match ip address 101 121 コマンドでは、アクセス リスト 101 またはアクセス リスト 121 により許可される場合は、そのルートは許可されます。

match コマンドまたは ASDM の [Match Clause] 値が存在しない場合、すべてのルートがその句に一致します。前の例では、句 30 に達したすべてのルートが一致しているため、ルート マップの終わりには達しません。

ルート マップの permit 句に set コマンド(または ASDM の [Set Value])が存在しない場合、ルートは、その現在の属性を変更されずに再配布されます。


) ルート マップの deny 句では set コマンドを設定しないでください。これは、deny 句によってルートの再配布が禁止され、変更する情報がないためです。


match コマンドまたは set コマンド(または ASDM の [Match] タブまたは [Set Value] タブで設定される [Match] または [Set Value])がないルート マップ句はアクションを実行します。空の permit 句を使用すると、変更を加えずに残りのルートの再配布が可能になります。空の deny 句では、他のルートの再配布はできません。これは、ルート マップがすべてスキャンされたときに、明示的な一致が見つからなかったときのデフォルト アクションです。

ルート マップのライセンス要件

次の表に、ルート マップのライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードでだけサポートされています。トランスペアレント ファイアウォール モードはサポートされていません。

IPv6 のガイドライン

IPv6 はサポートされません。

ルート マップの定義

指定されたルーティング プロトコルから、ターゲット ルーティング プロセスに再配布できるルートを指定する場合、ルート マップを定義する必要があります。

ルート マップを定義するには、次のコマンドを入力します。

 

コマンド
目的
route-map name { permit | deny } [ sequence_number ]
 
hostname(config)# route-map name {permit} [ 12 ]

ルート マップのエントリを作成します。

ルート マップのエントリは順番に読み取られます。この順序は、 sequence_number 引数を使用して指定できます。このオプションで指定しなければ、エントリを追加した順序が ASA で使用されます。

ルート マップのカスタマイズ

この項では、ルート マップをカスタマイズする方法について説明します。次の項目を取り上げます。

「特定の宛先アドレスに一致するルートの定義」

「ルート アクションのメトリック値の設定」

特定の宛先アドレスに一致するルートの定義

指定した宛先アドレスに一致するルートを定義するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

route-map name { permit | deny } [ sequence_number ]
 
hostname(config)# route-map name {permit} [ 12 ]

ルート マップのエントリを作成します。

ルート マップのエントリは順番に読み取られます。この順序は、 sequence_number オプションを使用して指定できます。このオプションで指定しなければ、エントリを追加した順序が ASA で使用されます。

ステップ 2

ルートを指定した宛先アドレスと照合するには、次のいずれかの match コマンドを入力します。

match ip address acl_id [ acl_id ] [...]
 
hostname(config-route-map)# match ip address acl_id [ acl_id ] [...]

標準の ACL に一致する宛先ネットワークを持つ任意のルートを照合します。

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

match metric metric_value
 
hostname(config-route-map)# match metric 200

指定されたメトリックを持つ任意のルートを照合します。

metric_value には、0 ~ 4294967295 が指定できます。

match ip next-hop acl_id [ acl_id ] [...]
 
hostname(config-route-map)# match ip next-hop acl_id [ acl_id ] [...]

標準の ACL に一致するネクスト ホップ ルータ アドレスを持つ任意のルートを照合します。

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

match interface if_name
 
hostname(config-route-map)# match interface if_name

指定されたネクスト ホップ インターフェイスを持つ任意のルートを照合します。

2 つ以上のインターフェイスを指定する場合、ルートはいずれかのインターフェイスと一致します。

match ip route-source acl_id [ acl_id ] [...]
 
hostname(config-route-map)# match ip route-source acl_id [ acl_id ] [...]

標準の ACL と一致するルータによってアドバタイズされている任意のルートを照合します。

複数の ACL を指定する場合、ルートは任意の ACL を照合できます。

match route-type { internal | external [ type-1 | type-2 ]}
 
hostname(config-route-map)# match route-type internal type-1

ルート タイプを照合します。

ルート アクションのメトリック値の設定

ルートが match コマンドで一致する場合は、次の set コマンドによって、ルートを再配布する前にルートで実行するアクションが決まります。

ルート アクションのメトリック値を設定するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

route-map name { permit | deny } [ sequence_number ]
 
hostname(config)# route-map name {permit} [ 12 ]

ルート マップのエントリを作成します。

ルート マップのエントリは順番に読み取られます。この順序は、 sequence_number 引数を使用して指定できます。このオプションで指定しなければ、エントリを追加した順序が ASA で使用されます。

ステップ 2

ルート マップのメトリックを設定するには、次の set コマンドを 1 つ以上入力します。

set metric metric_value
 
hostname(config-route-map)# set metric 200

メトリック値を設定します。

metric_value 引数の範囲は 0 ~ 294967295 です。

set metric-type { type-1 | type-2 }
 
hostname(config-route-map)# set metric-type type-2

メトリック タイプを設定します。

metric-type 引数には type-1 と type-2 があります。

ルート マップの設定例

次の例は、ホップ カウント 1 でルートを OSPF に再配布する方法を示しています。

ASA は、これらのルートをメトリック 5、メトリック タイプ 1 で外部 LSA として再配布します。

hostname(config)# route-map 1-to-2 permit
hostname(config-route-map)# match metric 1
hostname(config-route-map)# set metric 5
hostname(config-route-map)# set metric-type type-1
 

次の例は、設定されたメトリック値を持つ eigrp プロセス 1 に、10.1.1.0 のスタティック ルートを再配布する方法を示しています。

hostname(config)# route outside 10.1.1.0 255.255.255.0 192.168.1.1
hostname(config-route-map)# access-list mymap2 line 1 permit 10.1.1.0 255.255.255.0
hostname(config-route-map)# route-map mymap2 permit 10
hostname(config-route-map)# match ip address mymap2
hostname(config-route-map)# router eigrp 1
hostname(config)# redistribute static metric 250 250 1 1 1 route-map mymap2
 

ルート マップの機能履歴

表 23-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 23-1 ルート マップの機能履歴

機能名
プラットフォーム リリース
機能情報

ルート マップ

7.0(1)

この機能が導入されました。

route-map コマンドが導入されました。

スタティックおよびダイナミック ルート マップのサポートの強化

8.0(2)

ダイナミックおよびスタティック ルート マップのサポートが強化されました。

ダイナミック ルーティング プロトコル(EIGRP、OSPF、および RIP)のステートフル フェールオーバー、および一般的なルーティング関連操作のデバッグのサポート

8.4(1)

debug route および show debug route コマンドが導入されました。

show route コマンドが変更されました。