Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
ルーティングの概要
ルーティングの概要
発行日;2012/05/08 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ルーティングの概要

ルーティングに関する情報

スイッチング

パスの決定

サポートされるルート タイプ

スタティックとダイナミックの比較

シングルパスとマルチパスの比較

フラットと階層型の比較

リンクステートと距離ベクトル型の比較

ASA 内でのルーティングの仕組み

出力インターフェイスの選択プロセス

ネクスト ホップの選択プロセス

ルーティングにサポートされているインターネット プロトコル

ルーティング テーブルに関する情報

ルーティング テーブルの表示

ルーティング テーブルへの入力方法

バックアップ ルート

転送の決定方法

ダイナミック ルーティングとフェールオーバー

IPv6 のサポートに関する情報

IPv6 をサポートする機能

IPv6 対応のコマンド

コマンドへの IPv6 アドレスの入力

プロキシ ARP のディセーブル化

ルーティングの概要

この章では、ASA内でのルーティングの動作の概念と、サポートされているルーティング プロトコルについて説明します。

この章は、次の項目を取り上げます。

「ルーティングに関する情報」

「ASA 内でのルーティングの仕組み」

「ルーティングにサポートされているインターネット プロトコル」

「ルーティング テーブルに関する情報」

「IPv6 のサポートに関する情報」

「プロキシ ARP のディセーブル化」

ルーティングに関する情報

ルーティングは、発信元から宛先にインターネットワーク経由で情報を移動する行為のことです。その間に、通常は少なくとも 1 つの中間ノードがあります。ルーティングは、最適なルーティング パスの決定と、インターネットワーク経由での情報グループ(通常はパケットと呼ばれる)の転送という 2 つの基本的なアクティビティが含まれます。ルーティング プロセスのコンテキストでは、後者のアクティビティがパケット スイッチングと呼ばれます。パケット スイッチングは比較的単純ですが、パスの決定は非常に複雑になることがあります。

この項は、次の内容で構成されています。

「スイッチング」

「パスの決定」

「サポートされるルート タイプ」

スイッチング

スイッチング アルゴリズムは比較的単純で、ほとんどのルーティング プロトコルで同じです。ほとんどの場合は、別のホストにパケットを送信しなければならないことをホストが決定します。何らかの方法でルータのアドレスを取得すると、送信元ホストは、ルータの物理(Media Access Control(MAC; メディア アクセス コントロール)レイヤ)アドレスだけに向けてパケットを送信します。この場合は、宛先ホストのプロトコル(ネットワーク層)アドレスとともに送信されます。

パケットの宛先プロトコル アドレスを確認するときに、ルータは、ネクスト ホップへのパケットの転送方法を認識しているかどうかを確認します。ルータがパケットの転送方法を認識していない場合は、通常はパケットをドロップします。ルータがパケットの転送方法を認識している場合は、宛先の物理アドレスをネクスト ホップのアドレスに変更し、パケットを送信します。

ネクスト ホップが最終的な宛先ホストであることもあります。最終的な宛先ホストでない場合、ネクスト ホップは通常は別のルータであり、このルータが、同じスイッチング決定プロセスを実行します。パケットがインターネットワークを移動すると、その物理アドレスは変化しますが、プロトコル アドレスは一定のままです。

パスの決定

ルーティング プロトコルでは、メトリックを使用して、パケットの移動に最適なパスを評価します。メトリックは、宛先への最適なパスを決定するためにルーティング アルゴリズムが使用する、パスの帯域幅などの測定基準です。パスの決定プロセスを支援するために、ルーティング アルゴリズムは、ルート情報が含まれるルーティング テーブルを初期化して保持します。ルート情報は、使用するルーティング アルゴリズムによって異なります。

ルーティング アルゴリズムにより、さまざまな情報がルーティング テーブルに入力されます。宛先またはネクスト ホップの関連付けは、最後の宛先に達するまで、ネクスト ホップを表す特定のルータにパケットを送信することによって特定の宛先に最適に到達できることをルータに示します。ルータは、着信パケットを受信すると宛先アドレスを確認し、このアドレスとネクスト ホップとを関連付けようとします。

ルーティング テーブルには、パスの妥当性に関するデータなど、他の情報を含めることもできます。ルータは、メトリックを比較して最適なルートを決定します。これらのメトリックは、使用しているルーティング アルゴリズムの設計によって異なります。

ルータは互いに通信し、さまざまなメッセージの送信によりそのルーティング テーブルを保持しています。ルーティング アップデート メッセージはそのようなメッセージの 1 つで、通常はルーティング テーブル全体か、その一部で構成されています。ルーティング アップデートを他のすべてのルータから分析することで、ルータはネットワーク トポロジの詳細な全体像を構築できます。ルータ間で送信されるメッセージのもう 1 つの例であるリンクステート アドバタイズメントは、他のルータに送信元のリンクのステートを通知します。リンク情報も、ネットワークの宛先に対する最適なルートをルータが決定できるように、ネットワーク トポロジの全体像の構築に使用できます。


) マルチモードでのアクティブ/アクティブ フェールオーバーに対しては、非対称ルーティングだけがサポートされています。詳細については、「アクティブ/アクティブ フェールオーバーの設定」(P.62-9)を参照してください。


サポートされるルート タイプ

ルータで使用可能なルート タイプは数種類あります。ASAでは、次のルート タイプが使用されます。

「スタティックとダイナミックの比較」

「シングルパスとマルチパスの比較」

「フラットと階層型の比較」

「リンクステートと距離ベクトル型の比較」

スタティックとダイナミックの比較

スタティック ルーティング アルゴリズムは実際にはアルゴリズムではなく、ルーティングの開始前にネットワーク管理者によって確立されるテーブル マッピングです。このようなマッピングは、ネットワーク管理者が変更するまでは変化しません。スタティック ルートを使用するアルゴリズムは設計が容易であり、ネットワーク トラフィックが比較的予想可能で、ネットワーク設計が比較的単純な環境で正しく動作します。

スタティック ルーティング システムはネットワークの変更に対応できないため、一般に、変化を続ける大規模なネットワークには不向きであると考えられています。主なルーティング アルゴリズムのほとんどはダイナミック ルーティング アルゴリズムであり、受信したルーティング アップデート メッセージを分析することで、変化するネットワーク環境に適合します。メッセージがネットワークが変化したことを示している場合は、ルーティング ソフトウェアはルートを再計算し、新しいルーティング アップデート メッセージを送信します。これらのメッセージはネットワーク全体に送信されるため、ルータはそのアルゴリズムを再度実行し、それに従ってルーティング テーブルを変更します。

ダイナミック ルーティング アルゴリズムは、必要に応じてスタティック ルートで補足できます。たとえば、ラスト リゾート ルータ(ルーティングできないすべてのパケットが送信されるルータ)を、ルーティングできないすべてのパケットのリポジトリとして機能するように指定し、すべてのメッセージを少なくとも何らかの方法で確実に処理することができます。


) マルチ コンテキスト モードでは、ダイナミック ルーティングはサポートされません。そのため、ルート トラッキングはありません。


シングルパスとマルチパスの比較

一部の高度なルーティング プロトコルは、同じ宛先に対する複数のパスをサポートしています。シングルパス アルゴリズムとは異なり、これらのマルチパス アルゴリズムでは、複数の回線でトラフィックを多重化できます。マルチパス アルゴリズムの利点は明白です。このパスにより、スループットと信頼性が大幅に向上します。通常は、これをロード シェアリングと呼びます。

フラットと階層型の比較

ルーティング アルゴリズムには、フラットなスペースで動作するものと、ルーティング階層を使用するものがあります。フラット ルーティング システムでは、ルータは他のすべてのルータのピアになります。階層型ルーティング システムでは、一部のルータが実質的なルーティング バックボーンを形成します。バックボーン以外のルータからのパケットはバックボーン ルータに移動し、宛先の一般エリアに達するまでバックボーンを通じて送信されます。この時点で、パケットは、最後のバックボーン ルータから、1 つ以上のバックボーン以外のルータを通じて最終的な宛先に移動します。

多くの場合、ルーティング システムは、ドメイン、自律システム、またはエリアと呼ばれるノードの論理グループを指定します。階層型のシステムでは、ドメイン内の一部のルータは他のドメインのルータと通信できますが、他のルータはそのドメイン内のルータ以外とは通信できません。非常に大規模なネットワークでは、他の階層レベルが存在することがあり、最も高い階層レベルのルータがルーティング バックボーンを形成します。

階層型ルーティングの第一の利点は、ほとんどの企業の組織に類似しているため、そのトラフィック パターンもサポートするという点です。ほとんどのネットワーク通信は、小さい企業グループ(ドメイン)内で発生します。ドメイン内ルータは、そのドメイン内の他のルータだけを認識していれば済むため、そのルーティング アルゴリズムを簡素化できます。また、使用しているルーティング アルゴリズムに応じて、ルーティング アップデート トラフィックを減少させることができます。

リンクステートと距離ベクトル型の比較

リンクステート アルゴリズム(最短パス優先アルゴリズムとも呼ばれる)は、インターネットワークのすべてのノードにルーティング情報をフラッドします。ただし、各ルータは、それ自体のリンクのステートを記述するルーティング テーブルの一部だけを送信します。リンクステート アルゴリズムでは、各ルータはネットワークの全体像をそのルーティング テーブルに構築します。距離ベクトル型アルゴリズム(Bellman-Ford アルゴリズムとも呼ばれる)では、各ルータが、そのネイバーだけに対してそのルーティング テーブル全体または一部を送信するように要求されます。つまり、リンクステート アルゴリズムは小規模なアップデートを全体に送信しますが、距離ベクトル型アルゴリズムは、大規模なアップデートを隣接ルータだけに送信します。距離ベクトル型アルゴリズムは、そのネイバーだけを認識します。通常は、このタイプのアルゴリズムは OSPF ルーティング プロトコルとともに使用されます。

ASA 内でのルーティングの仕組み

ASAは、ルーティング テーブルと XLATE テーブルの両方をルーティングの決定に使用します。宛先 IP 変換トラフィック、つまり、変換されていないトラフィックを処理するために、ASAは既存の XLATE またはスタティック変換を検索して出力インターフェイスを選択します。

この項は、次の内容で構成されています。

「出力インターフェイスの選択プロセス」

「ネクスト ホップの選択プロセス」

出力インターフェイスの選択プロセス

選択プロセスは次のとおりです。

1. 宛先 IP を変換する XLATE がすでに存在する場合は、パケットの出力インターフェイスは、ルーティング テーブルではなく XLATE テーブルから決定されます。

2. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換が存在する場合は、出力インターフェイスはスタティック ルートから決定されて XLATE が作成され、ルーティング テーブルは使用されません。

3. 宛先 IP を変換する XLATE が存在せず、一致するスタティック変換も存在しない場合は、パケットの宛先 IP 変換は実行されません。ASA は、ルートをルックアップして出力インターフェイスを選択することでこのパケットを処理し、次に発信元 IP 変換が(必要に応じて)実行されます。

通常のダイナミック発信 NAT では、最初の発信パケットは、ルート テーブルを使用し、XLATE を作成することでルーティングされます。着信返送パケットは、既存の XLATE だけを使用して転送されます。スタティック NAT では、宛先変換された着信パケットは、常に既存の XLATE またはスタティック変換ルールを使用して転送されます。

ネクスト ホップの選択プロセス

前述のいずれかの方法を使用して出力インターフェイスを選択した後、さらにルート ルックアップが実行され、これまでに選択した出力インターフェイスに属する適切なネクスト ホップが検出されます。選択したインターフェイスに明示的に属するルートがルーティング テーブルにないと、別の出力インターフェイスに属する指定の宛先ネットワークに別のルートがある場合でも、レベル 6 の syslog メッセージ 110001(ホストへのルートなし)が生成されてパケットはドロップされます。選択した出力インターフェイスに属するルートが見つかると、パケットは対応するネクスト ホップに転送されます。

ASA でのロード シェアリングは、1 つの出力インターフェイスを使用して複数のネクスト ホップが使用できる場合に限り可能です。ロード シェアリングでは、複数の出力インターフェイスの共有はできません。

ダイナミック ルーティングが ASA で使用されており、XLATE の作成後にルート テーブルが変更された場合も(ルート フラップなど)、宛先変換トラフィックは、XLATE がタイムアウトするまでは、ルート テーブルではなく古い XLATE を使用して転送されます。古いルートが古いインターフェイスから削除され、ルーティング プロセスによって別のインターフェイスに接続されている場合は、間違ったインターフェイスに転送されるか、レベル 6 の syslog メッセージ 110001(ホストへのルートなし)が生成されてドロップされます。

ASA 自体でルート フラップが発生していないにもかかわらず、その周りで一部のルーティング プロセスがフラッピングし、発信元変換された、同じフローに属するパケットを、別のインターフェイスを使用して ASA 経由で送信する場合は、同様の問題が発生することがあります。宛先変換された返送パケットは、間違った出力インターフェイスを使用して戻されることがあります。

この問題は、フローの最初のパケットの方向に応じて、実質的にすべてのトラフィックを発信元変換または宛先変換できる一部のセキュリティ トラフィック構成では、高い確率で発生します。ルート フラップの後にこの問題が発生した場合は、 clear xlate コマンドを使用して手動で解決することも、XLATE のタイムアウトによって自動的に解決することもできます。XLATE のタイムアウトは、必要に応じて小さくできます。この問題がほとんど発生しないようにするには、ASA やその周りでルート フラップが発生しないようにします。つまり、同じフローに属する宛先変換されたパケットが、ASA を通じて常に同じ方法で転送されるようにします。

ルーティングにサポートされているインターネット プロトコル

ASA は、ルーティングに複数のインターネット プロトコルをサポートしています。この項では、各プロトコルについて簡単に説明します。

Enhanced Interior Gateway Routing Protocol(EIGRP)

EIGRP は、IGRP ルータとの互換性とシームレスな相互運用性を提供します。自動再配布メカニズムにより、IGRP ルートを Enhanced IGRP に、または Enhanced IGRP からインポートできるため、Enhanced IGRP を既存の IGRP ネットワークに徐々に追加できます。

EIGRP の設定方法の詳細については、「EIGRP の設定」を参照してください。

Open Shortest Path First(OSPF)

Open Shortest Path First(OSPF)は、Internet Protocol(IP; インターネット プロトコル)ネットワーク向けに、Internet Engineering Task Force(IETF; インターネット技術特別調査委員会)の Interior Gateway Protocol(IGP)作業部会によって開発されたルーティング プロトコルです。OSPF は、リンクステート アルゴリズムを使用して、すべての既知の宛先までの最短パスを構築および計算します。OSPF エリア内の各ルータには、ルータが使用可能なインターフェイスと到達可能なネイバーそれぞれのリストである同一のリンクステート データベースが置かれています。

OSPF の設定方法の詳細については、「OSPF の設定」を参照してください。

Routing Information Protocol

Routing Information Protocol(RIP; ルーティング情報プロトコル)は、ホップ カウントをメトリックとして使用する距離ベクトル型のプロトコルです。RIP は、グローバルなインターネットでトラフィックのルーティングに広く使用されている Interior Gateway Protocol(IGP)です。つまり、1 つの自律システム内部でルーティングを実行します。

RIP の設定方法の詳細については、「RIP の設定」を参照してください。

ルーティング テーブルに関する情報

この項は、次の内容で構成されています。

「ルーティング テーブルの表示」

「ルーティング テーブルへの入力方法」

「転送の決定方法」

「ダイナミック ルーティングとフェールオーバー」

ルーティング テーブルの表示

ルーティング テーブルのエントリを表示するには、次のコマンドを入力します。

hostname# show route
 
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
 
Gateway of last resort is 10.86.194.1 to network 0.0.0.0
 
S 10.1.1.0 255.255.255.0 [3/0] via 10.86.194.1, outside
C 10.86.194.0 255.255.254.0 is directly connected, outside
S* 0.0.0.0 0.0.0.0 [1/0] via 10.86.194.1, outside
 

ASA 5505 では、次のルートも表示されます。これは、内部ループバック インターフェイスであり、VPN ハードウェア クライアント機能によって個々のユーザ認証に使用されます。

C 127.1.0.0 255.255.0.0 is directly connected, _internal_loopback
 

ルーティング テーブルへの入力方法

ASAのルーティング テーブルには、スタティックに定義されたルート、直接接続されているルート、および RIP、EIGRP、OSPF の各ルーティング プロトコルで検出されたルートを入力できます。ASAは、ルーティング テーブルに含まれるスタティック ルートと接続されているルートに加えて、複数のルーティング プロトコルを実行できるため、同じルートが複数の方法で検出または入力される可能性があります。同じ宛先への 2 つのルートがルーティング テーブルに追加されると、ルーティング テーブルに残るルートは次のように決定されます。

2 つのルートのネットワーク プレフィクス長(ネットワーク マスク)が異なる場合、どちらのルートも固有と見なされ、ルーティング テーブルに入力されます。入力された後は、パケット転送ロジックが 2 つのうちどちらを使用するかを決定します。

たとえば、RIP プロセスと OSPF プロセスが次のルートを検出したとします。

RIP:192.168.32.0/24

OSPF:192.168.32.0/19

OSPF ルートのアドミニストレーティブ ディスタンスの方が適切であるにもかかわらず、これらのルートのプレフィックス長(サブネット マスク)はそれぞれ異なるため、両方のルートがルーティング テーブルにインストールされます。これらは異なる宛先と見なされ、パケット転送ロジックが使用するルートを決定します。

ASAが、1 つのルーティング プロトコル(RIP など)から同じ宛先に複数のパスがあることを検知すると、(ルーティング プロトコルが判定した)メトリックがよい方のルートがルーティング テーブルに入力されます。

メトリックは特定のルートに関連付けられた値で、ルートを最も優先されるものから順にランク付けします。メトリックスの判定に使用されるパラメータは、ルーティング プロトコルによって異なります。メトリックが最も小さいパスは最適パスとして選択され、ルーティング テーブルにインストールされます。同じ宛先への複数のパスのメトリックが等しい場合は、これらの等コスト パスに対してロード バランシングが行われます。

ASAが、ある宛先へのルーティング プロトコルが複数あることを検知すると、ルートのアドミニストレーティブ ディスタンスが比較され、アドミニストレーティブ ディスタンスが最も小さいルートがルーティング テーブルに入力されます。

ルーティング プロトコルによって検出されるルート、またはルーティング プロトコルに再配布されるルートのアドミニストレーティブ ディスタンスは変更できます。2 つの異なるルーティング プロトコルからの 2 つのルートのアドミニストレーティブ ディスタンスが同じ場合、 デフォルト のアドミニストレーティブ ディスタンスが小さい方のルートがルーティング テーブルに入力されます。EIGRP ルートと OSPF ルートの場合、EIGRP ルートと OSPF ルートのアドミニストレーティブ ディスタンスが同じであれば、デフォルトで EIGRP ルートが選択されます。

アドミニストレーティブ ディスタンスは、2 つの異なるルーティング プロトコルから同じ宛先に複数の異なるルートがある場合に、ASAが最適なパスの選択に使用するルート パラメータです。ルーティング プロトコルには、他のプロトコルとは異なるアルゴリズムに基づくメトリックがあるため、異なるルーティング プロトコルによって生成された、同じ宛先への 2 つのルートについて常に最適パスを判定できるわけではありません。

各ルーティング プロトコルには、アドミニストレーティブ ディスタンス値を使用して優先順位が付けられています。 表 21-1 に、ASAがサポートするルーティング プロトコルのデフォルトのアドミニストレーティブ ディスタンス値を示します。

 

表 21-1 サポートされるルーティング プロトコルのデフォルトのアドミニストレーティブ ディスタンス

ルートの送信元
デフォルトのアドミニストレーティブ ディスタンス

接続されているインターフェイス

0

スタティック ルート

1

EIGRP サマリー ルート

5

内部 EIGRP

90

OSPF

110

RIP

120

EIGRP 外部ルート

170

不明

255

アドミニストレーティブ ディスタンス値が小さいほど、プロトコルの優先順位が高くなります。たとえば、ASAが OSPF ルーティング プロセス(デフォルトのアドミニストレーティブ ディスタンスが 110)と RIP ルーティング プロセス(デフォルトのアドミニストレーティブ ディスタンスが 120)の両方から特定のネットワークへのルートを受信すると、OSPF ルーティング プロセスの方が優先度が高いため、ASAは OSPF ルートを選択します。この場合、ルータは OSPF バージョンのルートをルーティング テーブルに追加します。

この例では、OSPF 導出ルートの送信元が(電源遮断などで)失われると、ASAは、OSPF 導出ルートが再度現れるまで、RIP 導出ルートを使用します。

アドミニストレーティブ ディスタンスはローカルの設定値です。たとえば、OSPF を通して取得したルートのアドミニストレーティブ ディスタンスを変更するために distance-ospf コマンドを使用する場合、その変更は、コマンドが入力された ASA のルーティング テーブルにだけ影響します。アドミニストレーティブ ディスタンスがルーティング アップデートでアドバタイズされることはありません。

アドミニストレーティブ ディスタンスは、ルーティング プロセスに影響を与えません。OSPF および RIP ルーティング プロセスは、ルーティング プロセスで検出されたか、ルーティング プロセスに再配布されたルートだけをアドバタイズします。たとえば、RIP ルーティング プロセスは、ASAのルーティング テーブルで OSPF ルーティング プロセスによって検出されたルートが使用されていても、RIP ルートをアドバタイズします。

バックアップ ルート

ルートを最初にルーティング テーブルにインストールしようとしたとき、他のルートがインストールされてしまい、インストールできなかった場合に、そのルートはバックアップ ルートとして登録されます。ルーティング テーブルにインストールされたルートに障害が発生すると、ルーティング テーブル メンテナンス プロセスが、登録されたバックアップ ルートを持つ各ルーティング プロトコル プロセスを呼び出し、ルーティング テーブルにルートを再インストールするように要求します。障害が発生したルートに対して、登録されたバックアップ ルートを持つプロトコルが複数ある場合、アドミニストレーティブ ディスタンスに基づいて優先順位の高いルートが選択されます。

このプロセスのため、ダイナミック ルーティング プロトコルによって検出されたルートに障害が発生したときにルーティング テーブルにインストールされるフローティング スタティック ルートを作成できます。フローティング スタティック ルートとは、単に、ASAで動作しているダイナミック ルーティング プロトコルよりも大きなアドミニストレーティブ ディスタンスが設定されているスタティック ルートです。ダイナミック ルーティング プロセスで検出された対応するルートに障害が発生すると、このスタティック ルートがルーティング テーブルにインストールされます。

転送の決定方法

転送は次のように決定されます。

宛先が、ルーティング テーブル内のエントリと一致しない場合、パケットはデフォルト ルートに指定されているインターフェイスを通して転送されます。デフォルト ルートが設定されていない場合、パケットは破棄されます。

宛先が、ルーティング テーブル内の 1 つのエントリと一致した場合、パケットはそのルートに関連付けられているインターフェイスを通して転送されます。

宛先が、ルーティング テーブル内の複数のエントリと一致し、そのエントリのネットワーク プレフィックス長がすべて同じ場合、その宛先へのパケットはそのルートに関連付けられているインターフェイスに配布されます。

宛先が、ルーティング テーブル内の複数のエントリと一致し、そのエントリのネットワーク プレフィックス長が異なる場合、パケットはネットワーク プレフィックス長がより長いルートに関連付けられているインターフェイスから転送されます。

たとえば、192.168.32.1 宛てのパケットが、ルーティング テーブルの次のルートを使用してASAのインターフェイスに到着したとします。

hostname# show route
....
R 192.168.32.0/24 [120/4] via 10.1.1.2
O 192.168.32.0/19 [110/229840] via 10.1.1.3
....
 

この場合、192.168.32.1 は 192.168.32.0/24 ネットワークに含まれるため、192.168.32.1 宛てのパケットは 10.1.1.2 宛てに送信されます。このアドレスはまた、ルーティング テーブルの他のルートにも含まれますが、ルーティング テーブル内では 192.168.32.0/24 の方が長いプレフィックスを持ちます(24 ビットと 19 ビット)。パケットを転送する場合、プレフィックスが長い方が常に短いものより優先されます。

ダイナミック ルーティングとフェールオーバー

スタティック ルーティング システムはネットワークの変更に対応できないため、一般に、変化を続ける大規模なネットワークには不向きであると考えられています。主なルーティング アルゴリズムのほとんどはダイナミック ルーティング アルゴリズムであり、受信したルーティング アップデート メッセージを分析することで、変化するネットワーク環境に適合します。メッセージがネットワークが変化したことを示している場合は、ルーティング ソフトウェアはルートを再計算し、新しいルーティング アップデート メッセージを送信します。これらのメッセージはネットワーク全体に送信されるため、ルータはそのアルゴリズムを再度実行し、それに従ってルーティング テーブルを変更します。

ダイナミック ルーティング アルゴリズムは、必要に応じてスタティック ルートで補足できます。たとえば、ラスト リゾート ルータ(ルーティングできないすべてのパケットが送信されるルータ)を、ルーティングできないすべてのパケットのリポジトリとして機能するように指定し、すべてのメッセージを少なくとも何らかの方法で確実に処理することができます。

アクティブ装置上でルーティング テーブルの変更がある場合、ダイナミック ルートはスタンバイ装置上で同期化されます。これは、アクティブ装置上のすべての追加、削除、または変更がすぐにスタンバイ装置に伝播されることを意味します。プライマリ装置が一定期間アクティブであった後にスタンバイ装置がアクティブになると、ルートがフェールオーバー バルク同期プロセスの一部として同期化されます。そのためアクティブ/スタンバイ フェールオーバー ペア上では、ルーティング テーブルが同じように表示されます。

スタティック ルートとそれらの設定方法の詳細については、「スタティック ルートおよびデフォルト ルートの設定」を参照してください。

IPv6 のサポートに関する情報

すべてではありませんが、ASA の多くの機能は IPv6 トラフィックをサポートしています。この項では、IPv6 をサポートするコマンドと機能について説明します。次の項目を取り上げます。

「IPv6 をサポートする機能」

「IPv6 対応のコマンド」

「コマンドへの IPv6 アドレスの入力」

IPv6 をサポートする機能

次の機能が IPv6 をサポートしています。


) モジュラ ポリシー フレームワークを使用する機能では、必ず match any コマンドを使用して IPv6 トラフィックを照合してください。他の match コマンドは IPv6 をサポートしていません。


IPv6 トラフィックをサポートするアプリケーション インスペクション

FTP

HTTP

ICMP

SIP

SMTP

IPsec-pass-thru

IPS

NetFlow セキュア イベント ロギングのフィルタリング

接続の制限値、タイムアウト、および TCP のランダム化

TCP 正規化

TCP ステート バイパス

IPv6 アクセス リストを使用したアクセス グループ

スタティック ルート

VPN(すべてのタイプ)

フェールオーバー

トランスペアレント ファイアウォール モード

IPv6 対応のコマンド

次に示すASAのコマンドは、IPv6 アドレスの受け入れと表示が可能です。

capture

configure

copy

failover interface ip

http

name

object-group

ping

show conn

show local-host

show tcpstat

ssh

telnet

tftp-server

who

write

次のコマンドは、IPv6 で動作するように変更されました。

debug

fragment

ip verify

mtu

icmp ipv6 icmp と入力されます)

コマンドへの IPv6 アドレスの入力

IPv6 アドレスをサポートするコマンドに IPv6 アドレスを入力する場合は、次のように、IPv6 アドレスを標準 IPv6 表記で入力します。

ping fe80::2e0:b6ff:fe01:3b7a.
 

ASA は、IPv6 アドレスを正しく認識し、処理します。ただし、次の場合は、IPv6 アドレスを角カッコ([ ])で囲む必要があります。

次のように、アドレスと一緒にポート番号を指定する必要がある場合。

[fe80::2e0:b6ff:fe01:3b7a]:8080.
 

次のように、コマンドが区切り文字としてコロンを使用する場合( write net コマンドや config net コマンドなど)。

configure net [fe80::2e0:b6ff:fe01:3b7a]:/tftp/config/asaconfig.

プロキシ ARP のディセーブル化

あるホストから同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信する場合、そのホストは送信先のデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。

プロキシ ARP は、デバイスが ARP 要求に対してその IP アドレスを所有しているかどうかに関係なく自分の MAC アドレスで応答するときに使用されます。NAT を設定し、ASA インターフェイスと同じネットワーク上のマッピング アドレスを指定する場合、ASAでプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、ASA でプロキシ ARP が使用されている場合、MAC アドレスが宛先アドレスに割り当てられていると主張することです。

まれに、NAT アドレスに対してプロキシ ARP をディセーブルにしなければならない場合があります。

既存のネットワークと重なる VPN クライアント アドレス プールがある場合、ASAは、デフォルトにより、すべてのインターフェイス上でプロキシ ARP を送信します。同じレイヤ 2 ドメイン上にもう 1 つインターフェイスがあると、そのインターフェイスは ARP 要求を検出し、自分の MAC アドレスで応答します。その結果、内部ホストへの VPN クライアントのリターン トラフィックは、その誤ったインターフェイスに送信され、破棄されます。この場合、プロキシ ARP が不要なインターフェイスに対してプロキシ ARP をディセーブルにする必要があります。

プロキシ ARP をディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的

sysopt noproxyarp interface

 

hostname(config)# sysopt noproxyarp exampleinterface

プロキシ ARP をディセーブルにします。