Cisco ASDM ユーザ ガイド Version 6.0(3)
ダイナミック ルーティングおよび スタティック ルーティングの設定
ダイナミック ルーティングおよびスタティック ルーティングの設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

ダイナミック ルーティングおよびスタティック ルーティングの設定

Dynamic Routing

OSPF

Setup

Filtering

Interface

Redistribution

Static Neighbor

Summary Address

Virtual Link

RIP

Setup

Interface

Filter Rules

Redistribution

EIGRP

EIGRP の設定

EIGRP の各ペインのフィールド情報

Static Routes

スタティック ルート トラッキング

スタティック ルート トラッキングの設定

スタティック ルートのフィールド情報

Static Routes

Add/Edit Static Route

Route Monitoring Options

ASR Group

プロキシ ARPs

ダイナミック ルーティングおよびスタティック ルーティングの設定

スタティック ルーティング プロトコルとダイナミック ルーティング プロトコルを設定するには、ASDM インターフェイスの Configuration > Device Setup > Routing 領域に移動します。

セキュリティ アプライアンスでは、最大で OSPF ルーティング プロセスを 2 つ、EIGRP ルーティング プロセスを 1 つ、および RIP ルーティング プロセスを 1 つまで同時に設定できます。 ダイナミック ルーティングは、ルーテッド ファイアウォール モードのセキュリティ アプライアンスでのみ使用することができ、セキュリティ アプライアンスが透過ファイアウォール モードのときには設定できません。

スタティック ルートは、ルーテッド ファイアウォール モードまたは透過ファイアウォール モードのセキュリティ アプライアンスで設定できます。 プライマリ スタティック ルートを使用できなくなった場合は、スタティック ルート トラッキング機能によってセキュリティ アプライアンスにバックアップ スタティック ルートを指定できます。

ここでは、次の項目について説明します。

「Dynamic Routing」

「Static Routes」

「ASR Group」

「プロキシ ARPs」

Dynamic Routing

ここでは、次の項目について説明します。

「OSPF」

「RIP」

「EIGRP」

OSPF

OSPF は、パスの選択に距離ベクトルではなくリンク状態を使用する内部ゲートウェイ ルーティング プロトコルです。OSPF は、ルーティング テーブル更新ではなくリンクステート アドバタイズメントをプロパゲートします。ルーティング テーブル全体ではなく LSA のみが交換されるため、OSPF ネットワークは RIP ネットワークよりも速く収束します。

OSPF は、MD5 およびクリア テキスト ネイバー認証をサポートします。OSPF と他のプロトコル(RIP など)の間でのルート再配布は、攻撃者によるルーティング情報の悪用に使用される可能性があるため、すべてのルーティング プロトコルに可能な限り認証を使用する必要があります。

NAT が使用されている場合、パブリック エリアおよびプライベート エリアで OSPF が実行されている場合、およびアドレス フィルタリングが必須である場合、2 つの OSPF プロセスを実行する必要があります。このとき、1 つはパブリック エリアのプロセス用、もう 1 つはプライベート エリアのプロセス用になります。

複数のエリアにインターフェイスを持つルータは、Area Border Router(ABR; エリア境界ルータ)と呼ばれます。ゲートウェイとして動作し、OSPF を使用しているルータとルーティング プロトコルを使用している他のルータとの間にトラフィックを再配布するルータは、Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)と呼ばれます。

ABR は LSA を使用して、使用可能なルートに関する情報を他の OSPF ルータに送信します。ABR タイプ 3 LSA フィルタリングを使用すれば、セキュリティ アプライアンスが ABR として動作するプライベート エリアおよびパブリック エリアを分けることができます。タイプ 3 LSA(エリア間ルート)は、あるエリアから別のエリアにフィルタリングできます。このフィルタリングにより、プライベート ネットワークをアドバタイズすることなく NAT と OSPF を一緒に使用できます。


) フィルタリングできるのは、タイプ 3 LSA だけです。セキュリティ アプライアンスを ASBR としてプライベート ネットワークで設定している場合、プライベート ネットワークを説明するタイプ 5 LSA が送信され、パブリック エリアを含む AS 全体に対してフラッディングされます。


NAT は使用されているが、OSPF がパブリック エリアでのみ実行されている場合、パブリック ネットワークへのルートは、プライベート ネットワーク内でデフォルトまたはタイプ 5 AS External LSA として再配布できます。ただし、セキュリティ アプライアンスで保護されているプライベート ネットワークにスタティック ルートを設定する必要があります。また、同一セキュリティ アプライアンス インターフェイス上にパブリック ネットワークとプライベート ネットワークを混在させないでください。

セキュリティ アプライアンスでは、2 つの OSPF ルーティング プロセス、1 つの RIP ルーティング プロセス、および 1 つの EIGRP ルーティング プロセスを同時に実行できます。

OSPF のイネーブル化および設定の詳細については、次の項目を参照してください。

「Setup」

「Filtering」

「Interface」

「Redistribution」

「Static Neighbor」

「Summary Address」

「Virtual Link」

Setup

Setup ペインでは、OSPF プロセスをイネーブルにし、OSPF エリアおよびネットワークを設定し、OSPF ルート集約を定義できます。

これらのエリアの設定の詳細については、次の項を参照してください。

「Setup > Process Instances タブ」

「Setup > Area/Networks タブ」

「Setup > Route Summarization タブ」

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Setup > Process Instances タブ

OSPF プロセス インスタンスを 2 つまでイネーブルにできます。各 OSPF プロセスは、独自の関連エリアおよびネットワークを持ちます。

フィールド

OSPF Process 1 エリアおよび OSPF Process 2 エリア:各エリアには、特定の OSPF プロセスのための設定が含まれます。

Enable this OSPF Process:チェックボックスをオンにすると、OSPF プロセスをイネーブルにします。OSPF プロセスを削除するには、チェックボックスをオフにします。

OSPF Process ID:OSPF プロセスの一意の数値 ID を入力します。このプロセス ID は内部的に使用され、他の OSPF デバイス上の OSPF プロセス ID に一致している必要はありません。1 ~ 65535 の範囲の値を指定できます。

Advanced:Edit OSPF Process Advanced Properties ダイアログボックスが開きます。このダイアログボックスでは、Router ID、Adjacency Changes、Administrative Route Distances、Timers、および Default Information Originate の各種設定を実行できます。詳細については、「Edit OSPF Process Advanced Properties」を参照してください。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit OSPF Process Advanced Properties

Edit OSPF Process Advanced Properties ダイアログボックスでは、Router ID、Adjacency Changes、Administrative Route Distances、Timers、および Default Information Originate 設定など、プロセス固有の設定を編集できます。

フィールド

OSPF Process:設定している OSPF プロセスを表示します。この値は変更できません。

Router ID:固定ルータ ID を使用するには、Router ID フィールドに IP アドレス形式でルータ ID を入力します。この値を空白にすると、セキュリティ アプライアンスで最高レベルの IP アドレスがルータ ID として使用されます。

Ignore LSA MOSPF:セキュリティ アプライアンスがタイプ 6(MOSPF)LSA パケットを受信したときのシステム ログ メッセージの送信を抑制するには、このチェックボックスをオンにします。デフォルトでは、この設定はオフになっています。

RFC 1583 Compatible:RFC 1583 あたりのサマリー ルート コストを計算するには、このチェックボックスをオンにします。RFC 2328 あたりのサマリー ルート コストが計算するには、このチェックボックスをオフにします。ルーティング ループが発生する可能性を最小限にするため、OSPF ルーティング ドメインのすべての OSPF デバイスには、同じように RFC 互換性が設定されている必要があります。この設定は、デフォルトでオンになっています。

Adjacency Changes:隣接関係の変更を定義する設定が含まれます。隣接関係が変更されると、システム ログ メッセージが送信されます。

Log Adjacency Changes:OSPF ネイバーが起動またはダウンするたびにセキュリティ アプライアンスがシステム ログ メッセージを送信するようにするには、このチェックボックスをオンにします。この設定は、デフォルトでオンになっています。

Log Adjacency Changes Detail:ネイバーが起動またはダウンしたときだけでなく、状態の変更が発生するたびにセキュリティ アプライアンスがシステム ログ メッセージを送信するようにするには、このチェックボックスをオンにします。デフォルトでは、この設定はオフになっています。

Administrative Route Distances:ルート タイプに基づくルートの管理ディスタンスの設定を含みます。

Inter Area:1 つのエリアから別のエリアへのすべてのルートの管理ディスタンスを設定します。有効値の範囲は 1 ~ 255 です。デフォルト値は 100 です。

Intra Area:エリア内のすべてのルートの管理ディスタンスを設定します。有効値の範囲は 1 ~ 255 です。デフォルト値は 100 です。

External:再配布を通じて取得される他のルーティング ドメインからのすべてのルートの管理ディスタンスを設定します。有効値の範囲は 1 ~ 255 です。デフォルト値は 100 です。

Timers:LSA ペーシングおよび SPF 計算タイマーの設定に使用する設定が含まれます。

SPF Delay Time:OSPF がトポロジーの変更を受信してから SPF の計算が開始されるまでの時間を指定します。有効値の範囲は 0 ~ 65535 です。デフォルト値は 5 です。

SPF Hold Time:連続する SPF 計算の間の保持時間を指定します。有効値の範囲は 1 ~ 65534 です。デフォルト値は 10 です。

LSA Group Pacing:LSA がグループに収集され、更新、チェックサム、または時間経過する間隔を指定します。有効値の範囲は 10 ~ 1800 です。デフォルト値は 240 です。

Default Information Originate:ASBR がデフォルトの外部ルートを OSPF ルーティング ドメインに生成するときに使用する設定を含みます。

Enable Default Information Originate:OSPF ルーティング ドメインへのデフォルト ルートの生成をイネーブルにするには、このチェックボックスをオンにします。

Always advertise the default route:デフォルト ルートを常にアドバタイズするには、このチェックボックスをオンにします。デフォルトではオフになっています。

Metric Value:OSPF デフォルト メトリックを指定します。有効値の範囲は 0 ~ 16777214 です。デフォルト値は 1 です。

Metric Type:OSPF ルーティング ドメインにアドバタイズされたデフォルト ルートに関連付けられた外部リンク タイプを指定します。有効値は 1 または 2 です。それぞれタイプ 1 またはタイプ 2 外部ルートを示します。デフォルト値は 2 です。

Route Map:(オプション)適用するルート マップの名前です。ルート マップが確認された場合、ルーティング プロセスではデフォルト ルートが生成されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Setup > Area/Networks タブ

Area/Networks タブには、セキュリティ アプライアンス上の各 OSPF プロセスのエリア、およびそこに含まれるネットワークが表示されます。

フィールド

Area/Networks:各 OSPF プロセスに対して設定されたエリアおよびエリア ネットワークに関する情報を表示します。このテーブルの行をダブルクリックすると、選択したエリアを対象とした Add/Edit OSPF Area ダイアログボックスが開きます。

OSPF Process:エリアの適用先である OSPF プロセスを表示します。

Area ID:エリア ID を表示します。

Area Type:エリア タイプを表示します。エリア タイプは、通常、スタブ、NSSA のいずれかです。

Networks:エリア ネットワークを表示します。

Authentication:そのエリアに設定された認証タイプを表示します。認証タイプは、None、Password、MD5 のいずれかです。

Options:そのエリア タイプに設定されたオプションを表示します。

Cost:そのエリアのデフォルト コストを表示します。

Add: Add/Edit OSPF Area ダイアログボックスが開きます。新しいエリア設定を追加する場合は、このボタンを使用します。

Edit: Add/Edit OSPF Area ダイアログボックスが開きます。選択したエリアのパラメータを変更する場合は、このボタンを使用します。

Delete:選択したエリアを設定から削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit OSPF Area

Add/Edit OSPF Area ダイアログボックスでは、エリア パラメータ、そのエリアに含まれるネットワーク、およびエリアに関連付けられた OSPF プロセスを定義します。

フィールド

OSPF Process:新しいエリアを追加するときに、そのエリアが追加される OSPF プロセスの OSPF プロセス ID を選択します。セキュリティ アプライアンスでイネーブルになっている OSPF プロセスが 1 つのみの場合は、デフォルトでそのプロセスが選択されています。既存のエリアを編集する場合、OSPF プロセス ID は変更できません。

Area ID:新しいエリアを追加するときに、エリア ID を入力します。エリア ID は、10 進数または IP アドレスのいずれかで指定できます。有効な 10 進数値の範囲は、0 ~ 4294967295 です。既存のエリアを編集する場合、エリア ID は変更できません。

Area Type:設定しているエリアのタイプに対する設定を含みます。

Normal:エリアを標準 OSPF エリアとする場合に、このオプションを選択します。最初にエリアを設定するときは、デフォルトでこのオプションが選択されています。

Stub:このオプションを選択すると、エリアがスタブ エリアになります。スタブ エリアは、範囲外のルータまたはエリアを持つことができません。スタブ エリアでは、AS External LSA(タイプ 5 LSA)がスタブ エリアにフラッディングされないようになっています。スタブ エリアを作成するとき、Summary チェックボックスをオフにすることでサマリー LSA(タイプ 3 および 4)がそのエリアにフラッディングされないようにするオプションがあります。

Summary:定義しているエリアがスタブ エリアのときにこのチェックボックスをオフにすると、LSA がスタブ エリアに送信されません。このチェックボックスは、スタブ エリアのデフォルトでオンになっています。

NSSA:エリアを not so stubby エリアにするには、このオプションを選択します。NSSA はタイプ 7 LSA を受け入れます。NSSA エリアを作成するときに、Summary チェックボックスをオフにすることでサマリー LSA がそのエリアにフラッディングされないようにするオプションがあります。また、Redistribute チェックボックスをオフにして Default Information Originate をイネーブルにすることで、ルートの再配布をディセーブルにもできます。

Redistribute:このチェックボックスをオフにすると、ルートは NSSA にインポートされません。このチェックボックスは、デフォルトでオンになっています。

Summary:定義しているエリアが NSSA のとき、このチェックボックスをオフにすると、LSA がスタブ エリアに送信されません。このチェックボックスは、NSSA のデフォルトでオンになっています。

Default Information Originate:タイプ 7 デフォルトを NSSA に生成するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオフになっています。

Metric Value:デフォルト ルートの OSPF メトリック値を指定します。有効値の範囲は 0 ~ 16777214 です。デフォルト値は 1 です。

Metric Type:デフォルト ルートの OSPF メトリック タイプです。選択肢は 1(タイプ 1)または 2(タイプ 2)です。デフォルト値は 2 です。

Area Networks:OSPF エリアを定義するための設定を含みます。

Enter IP Address and Mask:そのエリア内のネットワークを定義するのに使用する設定を含みます。

IP Address:そのエリアに追加するネットワークまたはホストの IP アドレスを入力します。デフォルト エリアの作成には、0.0.0.0 およびネットマスク 0.0.0.0 を使用します。0.0.0.0 は 1 つのエリアでのみ使用できます。

Netmask:エリアに追加する IP アドレスまたはホストのネットワーク マスクを選択します。ホストを追加する場合、255.255.255.255 マスクを選択します。

Add:Enter IP Address and Mask 領域で定義したネットワークをエリアに追加します。追加されたネットワークは、Area Networks テーブルに表示されます。

Delete:選択したネットワークを Area Networks テーブルから削除します。

Area Networks:そのエリアに対して定義されたネットワークを表示します。

IP Address:ネットワークの IP アドレスを表示します。

Netmask:ネットワークのネットワーク マスクを表示します。

Authentication:OSPF エリア認証の設定を含みます。

None:このオプションを選択すると、OSPF エリア認証をディセーブルにします。これはデフォルトの設定です。

Password:このオプションを選択すると、エリア認証にクリア テキスト パスワードを使用します。セキュリティが重要な場合、このオプションはお勧めできません。

MD5:MD5 認証を使用するには、このオプションを選択します。

Default Cost:エリアのデフォルト コストを指定します。有効値の範囲は 0 ~ 65535 です。デフォルト値は 1 です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Setup > Route Summarization タブ

OSPF では、ABR が 1 つのエリアから別のエリアにネットワークをアドバタイズします。あるエリアにおいて連続する複数のネットワーク番号が割り当てられている場合、指定された範囲に含まれるエリア内の個別のネットワークをすべてカバーするサマリー ルートをアドバタイズするように ABR を設定できます。OSPF エリアに再配布される外部ルートのサマリー アドレスを定義するには、「Summary Address」を参照してください。

フィールド

Route Summarization:セキュリティ アプライアンスで定義されたルート集約についての情報を表示します。このテーブルの行をダブルクリックすると、選択したルート集約を対象とした Add/Edit Route Summarization ダイアログボックスが開きます。

OSPF Process:ルート集約に関連付けられた OSPF プロセスの OSPF プロセス ID を表示します。

Area ID:ルート集約に関連付けられたエリアを表示します。

IP Address:サマリー アドレスを表示します。

Network Mask:サマリー マスクを表示します。

Advertise:アドレスとマスクのペアに一致するときにルート集約がアドバタイズされる場合は「yes」、アドレスとマスクのペアに一致するときにルート集約が抑止される場合は「no」を表示します。

Add: Add/Edit Route Summarization ダイアログボックスが開きます。新しいルート集約を定義するには、このボタンを使用します。

Edit: Add/Edit Route Summarization ダイアログボックスが開きます。選択したルート集約のパラメータを変更するには、このボタンを使用します。

Delete:選択したルート集約を設定から削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Route Summarization

新しいエントリを Route Summarization テーブルに追加するには、Add Route Summarization ダイアログボックスを使用します。既存のエントリを変更するには、Edit Route Summarization ダイアログボックスを使用します。

フィールド

OSPF Process:ルート集約を適用する OSPF プロセスを選択します。既存のルート集約エントリを編集するときは、この値を変更できません。

Area ID:ルート集約を適用するエリア ID を選択します。既存のルート集約エントリを編集するときは、この値を変更できません。

IP Address:集約するルートのネットワーク アドレスを入力します。

Network Mask:リストから共通ネットワーク マスクの 1 つを選択するか、フィールドにマスクを入力します。

Advertise:アドレス範囲ステータスを「アドバタイズ」に設定するには、このチェックボックスをオンにします。これによって、タイプ 3 サマリー LSA が生成されます。指定したネットワークのタイプ 3 サマリー LSA を抑制するには、このチェックボックスをオフにします。このチェックボックスは、デフォルトでオンになっています。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Filtering

Filtering ペインには、各 OSPF プロセスに設定された ABR タイプ 3 LSA フィルタが表示されます。

ABR タイプ 3 LSA フィルタにより、指定したプレフィックスのみを 1 つのエリアから別のエリアに送信し、その他すべてのプレフィックスを制限できます。このタイプのエリア フィルタリングは、特定の OSPF エリアから特定の OSPF エリアに、または OSPF エリアから同一の OSPF エリアに同時に適用できます。

利点

OSPF ABR タイプ 3 LSA フィルタリングにより、OSPF エリア間のルート配布を詳細に制御できます。

制約事項

ABR から発信されたタイプ 3 LSA のみがフィルタリングされます。

フィールド

Filtering テーブルには、次の情報が表示されます。テーブル エントリをダブルクリックすると、選択したエントリを対象とした Add/Edit Filtering Entry ダイアログボックスが開きます。

OSPF Process:フィルタ エントリに関連付けられた OSPF プロセスを表示します。

Area ID:フィルタ エントリに関連付けられたエリアの ID を表示します。

Filtered Network:フィルタリングされているネットワーク アドレスを表示します。

Traffic Direction:OSPF エリアに着信する LSA にフィルタ エントリが適用される場合「Inbound」を、OSPF エリアから発信される LSA に適用される場合は「Outbound」を表示します。

Sequence #:フィルタ エントリのシーケンス番号を表示します。複数のフィルタが LSA に適用されているとき、最も低いシーケンス番号のフィルタが使用されます。

Action:フィルタに一致する LSA が許可される場合は「Permit」を、フィルタに一致する LSA が拒否される場合は「Deny」を表示します。

Lower Range:照合される最小プレフィックス長を表示します。

Upper Range:照合される最大プレフィックス長を表示します。

Filtering テーブルのエントリでは、次のアクションを実行できます。

Add:新しいエントリを Filter テーブルに追加するための Add/Edit Filtering Entry ダイアログボックスが開きます。

Edit:選択したフィルタを修正するための Add/Edit Filtering Entry ダイアログボックスが開きます。

Delete:選択したフィルタを Filter テーブルから削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Filtering Entry

Add/Edit Filtering Entry ダイアログボックスでは、新しいフィルタを Filter テーブルに追加するか、既存のフィルタを修正できます。既存のフィルタを編集するとき、一部のフィルタ情報は変更できません。

フィールド

OSPF Process:フィルタ エントリに関連付けられた OSPF プロセスを選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。

Area ID:フィルタ エントリに関連付けられたエリアの ID を選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。

Filtered Network:CIDR 表記(a.b.c.d/m)を使用して、フィルタリングしているネットワークのアドレスおよびマスクを入力します。

Traffic Direction:フィルタリングされているトラフィックの方向を選択します。OSPF エリアに着信する LSA をフィルタリングするには「Inbound」を、OSPF エリアから発信される LSA をフィルタリングするには「Outbound」を選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。

Sequence #:フィルタのシーケンス番号を入力します。有効値の範囲は 1 ~ 4294967294 です。複数のフィルタが LSA に適用されているとき、最も低いシーケンス番号のフィルタが使用されます。

Action:LSA トラフィックを許可する場合は「Permit」を、LSA トラフィックをブロックする場合は「Deny」を選択します。

Optional:フィルタのオプション設定を含みます。

Lower Range:照合される最小プレフィックス長を指定します。この設定の値は、Filtered Network フィールドに入力したネットワーク マスクの長さより大きく、Upper Range フィールドに入力した値がある場合は、その値と同じか小さい必要があります。

Upper Range:照合される最大プレフィックス長を入力します。この設定の値は、Lower Range フィールドに入力した値がある場合は、その値と同じかより大きい必要があります。Lower Range フィールドを空白のままにした場合は、Filtered Network フィールドに入力したネットワーク マスク長の長さより大きい必要があります。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Interface

Interface ペインでは、OSPF メッセージ認証やプロパティなどの、インターフェイス固有の OSPF ルーティング プロパティを設定できます。これらのプロパティの設定の詳細については、次の項目を参照してください。

Interface > Authentication タブ

Interface > Properties タブ

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Interface > Authentication タブ

Authentication タブには、セキュリティ アプライアンス インターフェイスの OSPF 認証情報が表示されます。

フィールド

Authentication Properties:セキュリティ アプライアンス インターフェイスの認証情報を表示します。このテーブルの行をダブルクリックすると、選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。

Interface:インターフェイス名を表示します。

Authentication Type:インターフェイスでイネーブルになっている OSPF 認証のタイプを表示します。認証タイプは、次のいずれかです。

None:OSPF 認証はディセーブルです。

Password:クリア テキスト パスワード認証がイネーブルです。

MD5:MD5 認証がイネーブルです。

Area:エリアに指定した認証タイプがインターフェイス上でイネーブルです。インターフェイスでは、エリア認証がデフォルト値です。ただし、エリア認証はデフォルトでディセーブルです。したがって、それ以前にエリア認証タイプを指定していない限り、エリア認証が表示されているインターフェイスでは、認証がディセーブルになっています。

Edit:選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit OSPF Interface Authentication

Edit OSPF Interface Authentication ダイアログボックスでは、選択したインターフェイスの OSPF 認証タイプおよびパラメータを設定できます。

フィールド

Interface:認証を設定するインターフェイスの名前を表示します。このフィールドは編集できません。

Authentication:OSPF 認証オプションを含みます。

None:OSPF 認証をディセーブルにするには、このオプションを選択します。

Password:クリア テキスト パスワード認証を使用するには、このオプションを選択します。セキュリティが重要な場合、このオプションはお勧めできません。

MD5:MD5 認証を使用するには、このオプションを選択します(推奨)。

Area:(デフォルト)エリアに指定された認証タイプを使用するには、このオプションを選択します(エリア認証の設定の詳細については、「Add/Edit OSPF Area」を参照してください)。エリア認証はデフォルトでディセーブルになっています。したがって、それ以前にエリア認証タイプを指定していない限り、エリア認証を設定するインターフェイスでは、設定するまで認証がディセーブルになっています。

Authentication Password:パスワード認証がイネーブルになっているとき、パスワードの入力のための設定が含まれます。

Enter Password:8 文字までのテキスト文字列を入力します。

Re-enter Password:パスワードを再入力します。

MD5 IDs and Keys:MD5 認証がイネーブルになっているとき、MD5 キーおよびパラメータの入力のための設定が含まれます。OSPF 認証を使用しているインターフェイス上のすべてのデバイスが、同じ MD5 キーおよび ID を使用する必要があります。

Enter MD5 ID and Key:MD5 キー情報を入力するための設定が含まれます。

Key ID:数字キー ID を入力します。有効値の範囲は 1 ~ 255 です。

Key:16 バイトまでの英数字の文字列です。

Add:指定した MD5 キーを MD5 ID および Key テーブルに追加します。

Delete:選択した MD5 キーおよび ID を MD5 ID および Key テーブルから削除します。

MD5 ID and Key:設定済みの MD5 キーおよびキー ID を表示します。

Key ID:選択したキーのキー ID を表示します。

Key:選択したキー ID のキーを表示します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Interface > Properties タブ

Properties タブには、各インターフェイスに定義された OSPF プロパティがテーブル形式で表示されます。

フィールド

OSPF Interface Properties:インターフェイス固有の OSPF プロパティを表示します。このテーブルの行をダブルクリックすると、選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。

Interface:OSPF 設定が適用されるインターフェイスの名前を表示します。

Broadcast:インターフェイスが非ブロードキャスト(ポイントツーポイント)に設定されている場合は、「No」を表示します。インターフェイスがブロードキャストに設定されている場合は、「Yes」を表示します。「Yes」は、イーサネット インターフェイスのデフォルト設定です。

Cost:インターフェイスを介したパケットの送信のコストを表示します。

Priority:インターフェイスに割り当てられた OSPF 優先順位を表示します。

MTU Ignore:MTU ミスマッチ検出がイネーブルになっている場合は、「No」を表示します。MTU ミスマッチ検出がディセーブルになっている場合は、「Yes」を表示します。

Database Filter:同期化およびフラッディングの間に発信 LSA がフィルタリングされる場合は、「Yes」を表示します。フィルタリングがイネーブルでない場合は、「No」を表示します。

Edit:選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit OSPF Interface Properties

フィールド

Interface:OSPF プロパティを設定するインターフェイスの名前を表示します。このフィールドは編集できません。

Broadcast:インターフェイスがブロードキャスト インターフェイスであることを指定するには、このチェックボックスをオンにします。このチェックボックスは、イーサネット インターフェイスのデフォルトでオンになっています。インターフェイスをポイントツーポイント、非ブロードキャスト インターフェイスとして指定するには、このチェックボックスをオフにします。インターフェイスをポイントツーポイント、非ブロードキャストとして指定すると、OSPF ルートが VPN トンネルで送信されます。

インターフェイスをポイントツーポイント、非ブロードキャストとして設定すると、次の制限が適用されます。

インターフェイスに定義できるネイバーは 1 つのみです。

ネイバーは手動で設定する必要があります(「Static Neighbor」を参照)。

暗号化エンドポイントを指定しているスタティック ルートを定義する必要があります(「Static Routes」を参照)。

トンネル経由の OSPF がインターフェイス上で実行されている場合、アップストリーム ルータを使用した通常の OSPF は、同一インターフェイス上で実行できません。

OSPF の更新が VPN トンネルを通過するように OSPF ネイバーを指定する前に、暗号マップをインターフェイスにバインドする必要があります。OSPF ネイバーを指定した後で暗号マップをインターフェイスにバインドする場合は、 clear local-host all コマンドを使用して OSPF 接続をクリアし、OSPF の隣接関係が VPN トンネル経由で確立されるようにします。

Cost:インターフェイスを介したパケット送信のコストを指定します。デフォルト値は 10 です。

Priority:OSPF ルータの優先順位を指定します。2 つのルータがネットワークに接続している場合、両方が代表ルータになろうとします。ルータ優先順位の高いデバイスが代表ルータになります。ルータ優先順位が同じ場合は、ルータ ID が高い方が代表ルータになります。

この設定の有効値の範囲は、0 ~ 255 です。デフォルト値は 1 です。この設定に 0 を入力すると、適切でないルータが代表ルータになったり、代表ルータのバックアップが行われたりします。この設定は、ポイントツーポイント、非ブロードキャスト インターフェイスとして設定されているインターフェイスには適用されません。

MTU Ignore:OSPF は、ネイバーが共通インターフェイスで同じ MTU を使用しているかどうかをチェックします。このチェックは、ネイバーが DBD パケットを交換したときに実行されます。DBD パケットで受信される MTU が受信インターフェイスで設定された IP MTU より高い場合、OSPF 隣接関係は確立されません。

Database Filter:同期化およびフラッディングの間に発信 LSA インターフェイスをフィルタリングするには、このチェックボックスをオンにします。デフォルトでは、OSPF は、LSA が到達するインターフェイスを除き、同一エリア内のすべてのインターフェイスで新しい LSA をフラッディングします。完全メッシュ化トポロジでは、この設定が帯域幅を無駄にして、過剰なリンクおよび CPU の使用につながることがあります。このチェックボックスをオンにすることで、選択したインターフェイスでの OSPF LSA のフラッディングを防ぎます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit OSPF Interface Advanced Properties

Edit OSPF Interface Advanced Properties ダイアログボックスでは、OSPF の hello 間隔、再送信間隔、送信遅延、dead 間隔の値を変更できます。通常は、ネットワーク上で OSPF の問題が発生した場合にのみ、これらの値をデフォルトから変更する必要があります。

フィールド

Hello Interval:hello パケットがインターフェイスで送信される間隔を秒数で指定します。hello 間隔が小さいほど、トポロジの変更が速く検出されますが、インターフェイス上にはより多くのトラフィックが送信されることになります。この値は、すべてのルータに対して同じで、特定のインターフェイス上でサーバにアクセスする必要があります。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、10 秒です。

Retransmit Interval:インターフェイスに属する隣接関係の LSA 再送信の間隔を秒数で指定します。ルータが LSA をネイバーに送信するとき、確認応答メッセージを受信するまで LSA を保持します。ルータが確認応答を受信しない場合、LSA を再送信します。この値の設定は慎重に行ってください。不要な再送信につながることがあります。値は、シリアル回線と仮想リンクに対して十分な大きさにしてください。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、5 秒です。

Transmit Delay:インターフェイス上で LSA パケットを送信するのに必要な予想時間を秒数で指定します。更新パケットの LSA は、送信前にこのフィールドで指定された時間により、有効期限が長くなります。リンクでの送信前に遅延が追加されない場合、LSA がリンクでプロパゲートする時間は考慮されません。割り当てられた値では、インターフェイスの送信およびプロパゲート遅延を考慮に入れる必要があります。この設定は、超低速リンクで顕著に現れます。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、1 秒です。

Dead Interval:hello パケットが受信されず、ネイバーがルータのダウンを宣言する間隔を秒数で指定します。有効値の範囲は、1 ~ 65535 です。この設定のデフォルト値は、Hello Interval フィールドで設定した間隔の 4 倍です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Redistribution

Redistribution ペインには、1 つのルーティング プロセスから OSPF ルーティング プロセスへのルートを再配布する場合のルールが表示されます。

フィールド

Redistribution テーブルには、次の情報が表示されます。テーブル エントリをダブルクリックすると、選択したエントリを対象とした Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。

OSPF Process:ルート再配布エントリに関連付けられた OSPF プロセスを表示します。

Protocol:ルートの再配布元であるソース プロトコルを表示します。有効なエントリは次のとおりです。

Static:スタティック ルートは OSPF ルーティング プロセスに再配布されます。

Connected:インターフェイス上で IP をイネーブルにしたことで、ルートが自動的に確立されました。 これらのルートは、AS の外部ルートとして OSPF ルーティング プロセスに再配布されます。

OSPF:別の OSPF ルーティング プロセスからのルートは OSPF ルーティング プロセスに再配布されます。

EIGRP:ルートは、EIGRP ルーティング プロセスから OSPF ルーティング プロセスに再配布されます。

RIP:ルートは RIP ルーティング プロセスから OSPF ルーティング プロセスに再配布されます。

Match:1 つの OSPF ルーティング プロセスから別の OSPF ルーティング プロセスにルートを再配布する場合に適用される条件を表示します。

Subnets:サブネットされたルートが再配布される場合は「Yes」を表示します。サブネットされていないルートだけが再配布される場合は何も表示しません。

Metric Value:ルートに使用されるメトリックを表示します。デフォルトのメトリックを使用する場合、再配布エントリに対してこのカラムは空白です。

Metric Type:メトリックがタイプ 1 外部ルートの場合は「1」を、メトリックがタイプ 2 外部ルートの場合は「2」を表示します。

Tag Value:各外部ルートに付加される 32 ビットの 10 進数値です。この値を OSPF 自身が使用することはありません。ASBR 間の情報の通信に使用されます。有効値の範囲は 0 ~ 4294967295 です。

Route Map:再配布エントリに適用されるルート マップの名前を表示します。

Redistribution テーブル エントリでは次のアクションを実行できます。

Add:新しい再配布エントリを追加するための Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。

Edit:選択した再配布エントリを修正するための Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。

Delete:選択した再配布エントリを Redistribution テーブルから削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit OSPF Redistribution Entry

Add/Edit OSPF Redistribution Entry ダイアログボックスでは、Redistribution テーブルに新しい再配布ルールを追加したり、既存の再配布ルールを編集したりできます。既存の再配布ルールを編集するとき、一部の再配布ルール情報は変更できません。

フィールド

OSPF Process:ルート再配布エントリに関連付けられた OSPF プロセスを選択します。既存の再配布ルールを編集している場合、この設定は変更できません。

Protocol:ルートの再配布元であるソース プロトコルを選択します。次のいずれかのオプションを選択できます。

Static:スタティック ルートを OSPF ルーティング プロセスに再配布します。

Connected:接続されたルート(インターフェイス上で IP をイネーブルにすることによって自動的に確立されるルート)を OSPF ルーティング プロセスに再配布します。接続済みルートは、AS の外部として再配布されます。

OSPF:別の OSPF ルーティング プロセスからルートを再配布します。 リストから OSPF プロセス ID を選択してください。

RIP:RIP ルーティングプロセスからルートを再配布します。

EIGRP:EIGRP ルーティング プロセスからルートを再配布します。 リストから EIGRP ルーティング プロセスの自律システム番号を選択してください。

Match:別の OSPF ルーティング プロセスから、選択した OSPF ルーティング プロセスに、ルートを再配布する場合に適用される条件を表示します。 これらのオプションは、スタティック、接続済み、RIP、または EIGRP ルートを再配布するときに選択できます。ルートが再配布されるには、選択した条件に一致する必要があります。次の一致条件から 1 つまたは複数を選択できます。

Internal:特定の AS に対してルートは内部的です。

External 1:ルートは自律システムに対して外部的ですが、タイプ 1 外部ルートとして OSPF にインポートされます。

External 2:ルートは自律システムに対して外部的ですが、タイプ 2 外部ルートとして OSPF にインポートされます。

NSSA External 1:ルートは自律システムに対して外部的ですが、タイプ 1 NSSA ルートとして OSPF にインポートされます。

NSSA External 2:ルートは自律システムに対して外部的ですが、タイプ 2 NSSA ルートとして OSPF にインポートされます。

Metric Value:再配布するルートのメトリック値を指定します。有効値の範囲は 1 ~ 16777214 です。同じデバイス上で、ある OSPF プロセスから別の OSPF プロセスに再配布を行うとき、メトリック値が指定されていない場合は、あるプロセスから別のプロセスにメトリック値が引き継がれます。別のプロセスから 1 つの OSPF プロセスに再配布するとき、メトリック値が指定されていない場合のデフォルト値は 20 です。

Metric Type:メトリックがタイプ 1 外部ルートである場合は「1」を、メトリックがタイプ 2 外部ルートである場合は「2」を選択します。

Tag Value:タグ値は、各外部ルートに付加される 32 ビットの 10 進数値です。この値を OSPF 自身が使用することはありません。ASBR 間の情報の通信に使用されます。有効値の範囲は 0 ~ 4294967295 です。

Use Subnets:サブネット ルートの再配布をイネーブルにするには、このチェックボックスをオンにします。サブネットされていないルートのみを再配布するには、このチェックボックスをオフにします。

Route Map:再配布エントリに適用されるルート マップの名前を入力します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Static Neighbor

Static Neighbor ペインには、手動で定義されたネイバーが表示されます。検出されたネイバーは表示されません。

ポイントツーポイント、非ブロードキャスト インターフェイスのそれぞれに、スタティック ネイバーを定義する必要があります。また、Static Neighbor テーブルにある各スタティック ネイバーに対してスタティック ルートを定義する必要もあります。

フィールド

Static Neighbor:各 OSPF プロセスに定義されたスタティック ネイバーの情報を表示します。このテーブルの行をダブルクリックすると、 Add/Edit OSPF Neighbor Entry ダイアログボックスが開きます。

OSPF Process:スタティック ネイバーに関連付けられた OSPF プロセスを表示します。

Neighbor:スタティック ネイバーの IP アドレスを表示します。

Interface:スタティック ネイバーに関連付けられたインターフェイスを表示します。

Add: Add/Edit OSPF Neighbor Entry ダイアログボックスが開きます。このボタンを使用して、新しいスタティック ネイバーを定義します。

Edit: Add/Edit OSPF Neighbor Entry ダイアログボックスが開きます。このボタンを使用して、スタティック ネイバーの設定を変更します。

Delete:選択したエントリを Static Neighbor テーブルから削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit OSPF Neighbor Entry

Add/Edit OSPF Neighbor Entry ダイアログボックスでは、新しいスタティック ネイバーを定義するか、既存のスタティック ネイバーの情報を変更できます。

ポイントツーポイント、非ブロードキャスト インターフェイスのそれぞれに、スタティック ネイバーを定義する必要があります。

制約事項

異なる 2 つの OSPF プロセスに対して同じスタティック ネイバーを定義できません。

各スタティック ネイバーにスタティック ルートを定義する必要があります(「Static Routes」を参照)。

フィールド

OSPF Process:スタティック ネイバーに関連付けられた OSPF プロセスを選択します。既存のスタティック ネイバーを編集している場合、この値は変更できません。

Neighbor:スタティック ネイバーの IP アドレスを入力します。

Interface:スタティック ネイバーに関連付けられたインターフェイスを選択します。既存のスタティック ネイバーを編集している場合、この値は変更できません。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Summary Address

Summary Address ペインには、各 OSPF ルーティング プロセスに設定されたサマリー アドレスに関する情報が表示されます。

他のルーティング プロトコルから取得したルートは、集約が可能です。サマリーのアドバタイズに使用されるメトリックは、すべての特定ルートの中で最も小さいメトリックです。サマリー ルートは、ルーティング テーブルのサイズを減らすのに役立ちます。

OSPF でサマリー ルートを使用すると、このアドレスでカバーされる再配布ルートすべての集約として、1 つの外部ルートが OSPF ASBR からアドバタイズされます。OSPF に再配布される他のルーティング プロトコルからのルートのみ集約可能です。

フィールド

Summary Address テーブルには、次の情報が表示されます。テーブルのエントリをダブルクリックすると、選択したエントリを対象とした Add/Edit OSPF Summary Address Entry ダイアログボックスが開きます。

OSPF Process:サマリー アドレスに関連付けられた OSPF プロセスを表示します。

IP Address:サマリー アドレスの IP アドレスを表示します。

Netmask:サマリー アドレスのネットワーク マスクを表示します。

Advertise:サマリー ルートがアドバタイズされる場合は、「Yes」を表示します。サマリー ルートがアドバタイズされない場合は、「No」を表示します。

Tag:各外部ルートに付加される 32 ビットの 10 進数値を表示します。この値を OSPF 自身が使用することはありません。ASBR 間の情報の通信に使用されます。

Summary Address テーブルのエントリでは、次のアクションを実行できます。

Add:新しいサマリー アドレス エントリを追加するための Add/Edit OSPF Summary Address Entry ダイアログボックスが開きます。

Edit:選択したエントリを編集するための Add/Edit OSPF Summary Address Entry ダイアログボックスが開きます。

Delete:選択したサマリー アドレス エントリを Summary Address テーブルから削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit OSPF Summary Address Entry

Add/Edit OSPF Summary Address Entry ダイアログボックスでは、Summary Address テーブルに新しいエントリを追加したり、Summary Address テーブルの既存のエントリを変更したりできます。既存のエントリを編集するとき、一部のサマリー アドレス情報は変更できません。

フィールド

OSPF Process:サマリー アドレスに関連付けられた OSPF プロセスを選択します。既存のエントリを編集するときは、この情報を変更できません。

IP Address:サマリー アドレスの IP アドレスを入力します。既存のエントリを編集するときは、この情報を変更できません。

Netmask:サマリー アドレスのネットワーク マスクを入力するか、共通マスクのリストからネットワーク マスクを選択します。既存のエントリを編集するときは、この情報を変更できません。

Advertise:サマリー ルートをアドバタイズするには、このチェックボックスをオンにします。サマリー アドレスになるルートを抑止するには、このチェックボックスをオフにします。デフォルトでは、チェックボックスがオンになっています。

Tag:(オプション)タグ値は、各外部ルートに付加される 32 ビットの 10 進数値です。この値を OSPF 自身が使用することはありません。ASBR 間の情報の通信に使用されます。有効値の範囲は 0 ~ 4294967295 です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Virtual Link

OSPF ネットワークにエリアを追加するとき、そのエリアをバックボーン エリアに直接接続することができない場合は、仮想リンクを作成する必要があります。仮想リンクは、通過エリアと呼ばれる共通エリアを持つ 2 つの OSPF デバイスを接続します。いずれかの OSPF デバイスがバックボーン エリアに接続されている必要があります。

フィールド

Virtual Link テーブルには、次の情報が表示されます。テーブルのエントリをダブルクリックすると、選択したエントリを対象とした Add/Edit Virtual Link ダイアログボックスが開きます。

OSPF Process:仮想リンクに関連付けられた OSPF プロセスを表示します。

Area ID:通過エリアの ID を表示します。

Peer Router ID:仮想リンク ネイバーのルータ ID を表示します。

Authentication:仮想リンクが使用する認証のタイプを表示します。

None:認証は使用されません。

Password:クリア テキスト パスワード認証が使用されます。

MD5:MD5 認証が使用されます。

Virtual Link テーブルのエントリでは、次のアクションを実行できます。

Add:新しいエントリを Virtual Link テーブルに追加するための Add/Edit Virtual Link ダイアログボックスが開きます。

Edit:選択したエントリを対象とした Add/Edit Virtual Link ダイアログボックスが開きます。

Delete:選択したエントリを Virtual Link テーブルから削除します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Virtual Link

Add/Edit Virtual Link ダイアログボックスでは、新しい仮想リンクを定義したり、既存の仮想リンクのプロパティを変更したりできます。

フィールド

OSPF Process:仮想リンクに関連付けられた OSPF プロセスを選択します。既存の仮想リンクを編集している場合、この値は変更できません。

Area ID:ネイバー OSPF デバイスと共有するエリアを選択します。NSSA エリアまたはスタブ エリアを選択することはできません。既存の仮想リンクを編集している場合、この値は変更できません。

Peer Router ID:仮想リンク ネイバーのルータ ID を入力します。既存の仮想リンクを編集している場合、この値は変更できません。

Advanced: Advanced OSPF Virtual Link Properties ダイアログボックスが開きます。このエリアにある仮想リンクに対して、OSPF プロパティを設定できます。プロパティには、認証およびパケット間隔設定が含まれます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Advanced OSPF Virtual Link Properties

Advanced OSPF Virtual Link Properties ダイアログボックスでは、OSPF 認証およびパケット間隔を設定できます。

フィールド

Authentication:OSPF 認証オプションを含みます。

None:OSPF 認証をディセーブルにするには、このオプションを選択します。

Password:クリア テキスト パスワード認証を使用するには、このオプションを選択します。セキュリティが重要な場合、このオプションはお勧めできません。

MD5:MD5 認証を使用するには、このオプションを選択します(推奨)。

Authentication Password:パスワード認証がイネーブルになっているとき、パスワードの入力のための設定が含まれます。

Enter Password:8 文字までのテキスト文字列を入力します。

Re-enter Password:パスワードを再入力します。

MD5 IDs and Keys:MD5 認証がイネーブルになっているとき、MD5 キーおよびパラメータの入力のための設定が含まれます。OSPF 認証を使用しているインターフェイス上のすべてのデバイスが、同じ MD5 キーおよび ID を使用する必要があります。

Enter MD5 ID and Key:MD5 キー情報を入力するための設定が含まれます。

Key ID:数字キー ID を入力します。有効値の範囲は 1 ~ 255 です。

Key:16 バイトまでの英数字の文字列です。

Add:指定した MD5 キーを MD5 ID および Key テーブルに追加します。

Delete:選択した MD5 キーおよび ID を MD5 ID および Key テーブルから削除します。

MD5 ID and Key:設定済みの MD5 キーおよびキー ID を表示します。

Key ID:選択したキーのキー ID を表示します。

Key:選択したキー ID のキーを表示します。

Intervals:パケット間隔のタイミングを変更するための設定を含みます。

Hello Interval:hello パケットがインターフェイスで送信される間隔を秒数で指定します。hello 間隔が小さいほど、トポロジの変更が速く検出されますが、インターフェイス上にはより多くのトラフィックが送信されることになります。この値は、すべてのルータに対して同じで、特定のインターフェイス上でサーバにアクセスする必要があります。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、10 秒です。

Retransmit Interval:インターフェイスに属する隣接関係の LSA 再送信の間隔を秒数で指定します。ルータが LSA をネイバーに送信するとき、確認応答メッセージを受信するまで LSA を保持します。ルータが確認応答を受信しない場合、LSA を再送信します。この値の設定は慎重に行ってください。不要な再送信につながることがあります。値は、シリアル回線と仮想リンクに対して十分な大きさにしてください。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、5 秒です。

Transmit Delay:インターフェイス上で LSA パケットを送信するのに必要な予想時間を秒数で指定します。更新パケットの LSA は、送信前にこのフィールドで指定された時間により、有効期限が長くなります。リンクでの送信前に遅延が追加されない場合、LSA がリンクでプロパゲートする時間は考慮されません。割り当てられた値では、インターフェイスの送信およびプロパゲート遅延を考慮に入れる必要があります。この設定は、超低速リンクで顕著に現れます。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、1 秒です。

Dead Interval:hello パケットが受信されず、ネイバーがルータのダウンを宣言する間隔を秒数で指定します。有効値の範囲は、1 ~ 65535 です。このフィールドのデフォルト値は、Hello Interval フィールドで設定した間隔の 4 倍です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

RIP

RIP とは、パスの選択のためのメトリックとしてホップ カウントを使用する距離ベクトル ルーティング プロトコルです。インターフェイス上で RIP がイネーブルになっているとき、インターフェイスはネイバーのデバイスと RIP ブロードキャストを交換し、ダイナミックにルートを取得してアドバタイズします。

セキュリティ アプライアンスは、RIP バージョン 1 と RIP バージョン 2 の両方をサポートします。RIP バージョン 1 は、ルーティング更新でサブネット マスクを送信しません。RIP バージョン 2 は、ルーティング更新でサブネット マスクを送信し、変数長サブネット マスクをサポートします。さらに、RIP バージョン 2 は、ルーティング更新が交換されるときのネイバー認証をサポートします。認証により、セキュリティ アプライアンスは信頼できるルーティング情報を信頼の置けるソースから受け取ることができます。

制約事項

RIP には次の制約事項があります。

セキュリティ アプライアンスは、インターフェイス間に RIP 更新を渡すことができません。

RIP バージョン 1 は、変数長サブネット マスクをサポートしません。

RIP の最大ホップ カウントは 15 です。ホップ カウントが 15 以上のルートは、到達不能と見なされます。

RIP コンバージェンスは、他のルーティング プロトコルに比べ、低速です。

セキュリティ アプライアンスでは、1 つの RIP プロセスだけをイネーブルにできます。

RIP バージョン 2 の注意点

次の情報は、RIP バージョン 2 にのみ該当します。

ネイバー認証を使用する場合、認証キーおよびキー ID は、RIP バージョン 2 更新をインターフェイスに提供するすべてのネイバー デバイスで同じになっている必要があります。

RIP バージョン 2 では、セキュリティ アプライアンスがマルチキャスト アドレス 224.0.0.9 を使用してデフォルト ルートの更新を送信および受信します。パッシブ モードでは、そのアドレスでルート更新を受信します。

RIP バージョン 2 がインターフェイス上に設定されているとき、マルチキャスト アドレス 224.0.0.9 がそのインターフェイス上で登録されます。RIP バージョン 2 のコンフィギュレーションがインターフェイスから移動されると、マルチキャスト アドレスの登録は解除されます。

Setup

Setup ペインを使用して、セキュリティ アプライアンスで RIP をイネーブルにし、グローバル RIP プロトコル パラメータを設定します。セキュリティ アプライアンスでは、1 つの RIP プロセスだけをイネーブルにできます。

フィールド

Enable RIP Routing:セキュリティ アプライアンスでの RIP ルーティングをイネーブルにするには、このチェックボックスをオンにします。RIP をイネーブルにすると、すべてのインターフェイス上でイネーブルになります。また、このチェックボックスをオンにすると、このペインの他のフィールドもイネーブルになります。セキュリティ アプライアンスでの RIP ルーティングをディセーブルにするには、このチェックボックスをオフにします。

Enable Auto-summarization:このチェックボックスをオフにすると、自動ルート集約をディセーブルにします。自動ルート集約を再度イネーブルにするには、このチェックボックスをオンにします。RIP バージョン 1 は常に自動集約を使用します。RIP バージョン 1 の自動集約をディセーブルにすることはできません。RIP バージョン 2 を使用している場合は、このチェックボックスをオフにすれば自動集約をオフにできます。切断されたサブネット間でルーティングを実行する必要がある場合、自動集約はディセーブルにします。自動集約がディセーブルになっているとき、サブネットがアドバタイズされます。

Enable RIP version:セキュリティ アプライアンスが使用する RIP のバージョンを指定するには、このチェックボックスをオンにします。このチェックボックスがオフになっている場合、セキュリティ アプライアンスは RIP バージョン 1 更新を送信し、RIP バージョン 1 およびバージョン 2 の更新を受け入れます。この設定は、 Interface ペインでインターフェイスごとに上書きできます。

Version 1:セキュリティ アプライアンスが RIP バージョン 1 更新のみを送信および受信するように指定します。受信されたバージョン 2 更新はドロップされます。

Version 2:セキュリティ アプライアンスが RIP バージョン 2 更新のみを送信および受信するように指定します。受信されたバージョン 1 更新はドロップされます。

Enable default information originate:RIP ルーティング プロセスにデフォルト ルートを生成するには、このチェックボックスをオンにします。デフォルト ルートの生成前に満たす必要のあるルート マップを設定できます。

Route-map:適用するルート マップの名前を入力します。ルート マップが確認された場合、ルーティング プロセスではデフォルト ルートが生成されます。

IP Network to Add:RIP ルーティング プロセスのネットワークを定義します。指定するネットワーク数に、サブネット情報を含めることはできません。セキュリティ アプライアンスの設定に追加できるネットワーク数に制限はありません。RIP ルーティング更新は、指定したネットワーク上のインターフェイスを介してのみ送信および受信されます。また、インターフェイスのネットワークが指定されていない場合、そのインターフェイスは RIP 更新でアドバタイズされません。

Add:指定したネットワークをネットワークのリストに追加するには、このボタンをクリックします。

Delete:選択したネットワークをネットワークのリストから削除するには、このボタンをクリックします。

Configure interfaces as passive globally:セキュリティ アプライアンス上のすべてのインターフェイスをパッシブ RIP モードに設定するには、このチェックボックスをオンにします。セキュリティ アプライアンスはすべてのインターフェイス上の RIP ルーティング ブロードキャストを受信し、その情報を使用してルーティング テーブルを取り込みますが、ルーティング更新をブロードキャストすることはありません。特定のインターフェイスをパッシブ RIP に設定するには、Passive Interfaces テーブルを使用します。

Passive Interfaces テーブル:セキュリティ アプライアンスでの設定済みインターフェイスを一覧表示します。パッシブ モードで操作するインターフェイスの Passive カラムにあるチェックボックスをオンにします。他のインターフェイスは、引き続き RIP ブロードキャストを送信および受信します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Interface

Interface ペインでは、インターフェイスが送受信する RIP のバージョン、また使用される場合には RIP ブロードキャストの認証方式など、インターフェイス固有の RIP 設定を行えます。

フィールド

Interface テーブル:各行に、インターフェイスのインターフェイス固有 RIP 設定が表示されます。エントリの行をダブルクリックすると、そのインターフェイスを対象とした Edit RIP Interface Entry ダイアログボックスが開きます。

Edit:Interface テーブルで選択したインターフェイスを対象とした Edit RIP Interface Entry ダイアログボックスが開きます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit RIP Interface Entry

Edit RIP Interface Entry ダイアログボックスでは、インターフェイス固有 RIP を設定できます。

フィールド

Override Global Send Version:インターフェイスが送信する RIP バージョンを指定するには、このチェックボックスをオンにします。次のオプションを選択できます。

バージョン 1

バージョン 2

バージョン 1 および 2

このチェックボックスをオフにすると、グローバル設定が復元されます。

Override Global Receive Version:インターフェイスが受け入れる RIP バージョンを指定するには、このチェックボックスをオンにします。サポート対象外のバージョンの RIP から更新された RIP をインターフェイスが受信すると、その RIP はドロップされます。次のオプションを選択できます。

バージョン 1

バージョン 2

バージョン 1 および 2

このチェックボックスをオフにすると、グローバル設定が復元されます。

Enable Authentication:RIP 認証をイネーブルにするには、このチェックボックスをオンにします。RIP ブロードキャスト認証をディセーブルにするには、このチェックボックスをオフにします。

Key:認証方式で使用するキーです。16 文字までの範囲で指定できます。

Key ID:キー ID です。有効値の範囲は 0 ~ 255 です。

Authentication Mode:次の認証モードを選択できます。

MD5:RIP メッセージ認証に MD5 を使用します。

Text:RIP メッセージ認証にクリア テキストを使用します(お勧めしません)。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Filter Rules

フィルタ ルールにより、RIP ルーティング更新で受信したネットワーク、または RIP ルーティング更新で送信したネットワークをフィルタリングできます。各フィルタ ルールは、1 つ以上のネットワーク ルールで構成されます。

フィールド

Filter Rules テーブル:設定済み RIP フィルタ ルールを表示します。

Add:このボタンをクリックすると、 Add/Edit Filter Rule ダイアログボックスが開きます。新しいフィルタ ルールは、リストの最下部に追加されます。

Edit:このボタンをクリックすると、選択したフィルタ ルールを対象とした Add/Edit Filter Rule ダイアログボックスが開きます。

Delete:このボタンをクリックすると、選択したフィルタ ルールが削除されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Filter Rule

フィルタ ルールを作成するには、Add/Edit Filter Rule ペインを使用します。すべてのインターフェイスに適用されるフィルタ ルール、または特定のインターフェイスに適用されるフィルタ ルールを作成できます。

フィールド

Direction:フィルタが動作する方向を次の中から 1 つ選択します。

In:受信 RIP 更新でネットワークをフィルタリングします。

Out:送信 RIP 更新からのネットワークをフィルタリングします。

Interface:フィルタ ルールに対して特定のインターフェイスを選択することも、All Interfaces オプションを選択してフィルタをすべてのインターフェイスに適用することもできます。

Action:( 表示のみ )受信または送信 RIP アドバタイズメントから指定されたネットワークがフィルタリングされない場合は、Permit を表示します。受信または送信 RIP アドバタイズメントから指定されたネットワークがフィルタリングされる場合、Deny を表示します。

IP Address:( 表示のみ )フィルタリングするネットワークの IP アドレスを表示します。

Netmask:( 表示のみ )IP アドレスに適用されるネットワーク マスクを表示します。

Insert:リストで選択したルールの上にネットワーク ルールを追加するには、このボタンをクリックします。このボタンをクリックすると、 Network Rule ダイアログボックスが開きます。

Edit:選択したルールを編集するには、このボタンをクリックします。このボタンをクリックすると、 Network Rule ダイアログボックスが開きます。

Add:リストで選択したルールの下にネットワーク ルールを追加するには、このボタンをクリックします。このボタンをクリックすると、 Network Rule ダイアログボックスが開きます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Network Rule

Network Rule ペインでは、フィルタ ルールにある特定ネットワークに対して、許可ルールと拒否ルールを設定できます。

フィールド

Action:RIP 更新で指定ネットワークがアドバタイズされる、または RIP ルーティング プロセスに受け入れられるのを許可するには、Permit を選択します。指定ネットワークが RIP 更新でアドバタイズされる、または RIP ルーティング プロセスに受け入れられるのを防ぐには、Deny を選択します。

IP Address:許可されるまたは拒否されるネットワークの IP アドレスを入力します。

Netmask:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Redistribution

Redistribution ペインには、他のルーティング プロセスから RIP ルーティング プロセスに再配布されるルートが表示されます。

フィールド

Protocol:( 表示のみ )RIP ルーティング プロセスに再配布されるルーティング プロトコルを表示します。

Static:スタティック ルートです。

Connected:ネットワークに直接接続されています。

OSPF:指定した OSPF ルーティング プロセスで検出されたネットワークです。

EIGRP:指定した EIGRP ルーティング プロセスで検出されたネットワークです。

Metric:再配布されたルートに適用される RIP メトリックです。

Match:( 表示のみ )RIP ルーティング プロセスに再配布される OSPF ルートのタイプを表示します。OSPF 再配布ルールに対して Match カラムが空白の場合、内部、外部 1、および外部 2 ルートは、RIP ルーティング プロセスに再配布されます。

Route Map:( 表示のみ )再配布に適用されるルート マップの名前がある場合は、その名前を表示します。ルート マップは、どのルートが指定したルーティング プロセスから RIP に再配布されるかといった非常に詳細な内容を指定するのに使用されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Add/Edit Route Redistribution

新しい再配布ルールを追加するには、Add Route Redistribution ダイアログボックスを使用します。既存のルールを変更するには、Edit Route Redistribution ダイアログボックスを使用します。

フィールド

Protocol:RIP ルーティング プロセスに再配布するルーティング プロトコルを選択します。

Static:スタティック ルートです。

Connected:ネットワークに直接接続されています。

OSPF and OSPF ID:OSPF ルーティング プロセスで検出されたルートです。OSPF を選択する場合、OSPF プロセス ID を入力する必要もあります。さらに、Match 領域から再配布する OSPF ルートの特定タイプを選択できます。

EIGRP and EIGRP ID:EIGRP ルーティング プロセスで検出されたルートです。 EIGRP を選択する場合は、EIGRP ID フィールドで EIGRP ルーティング プロセスの自律システム番号を指定する必要もあります。

Route Map:ルートが RIP ルーティング プロセスに再配布される前に満たす必要のあるルート マップの名前を指定します。

Configure Metric Type:再配布されるルートのメトリックを指定するには、このチェックボックスをオンにします。指定しない場合、ルートにはメトリック 0 が割り当てられます。

Transparent:現在のルート メトリックを使用するには、このオプションを選択します。

Value:特定のメトリック値を割り当てるには、このオプションを選択します。入力できる値は、0 ~ 16 です。

Match:OSPF ルートを RIP ルーティング プロセスに再配布する場合、ルート タイプの隣にあるチェックボックスをオンにすれば、再配布する OSPF ルートの特定タイプを選択できます。いずれのルート タイプもオンにしない場合、デフォルトでは、内部、外部 1、および外部 2 ルートが再配布されます。

Internal:AS に対して内部のルートが再配布されます。

External 1:AS に対して外部のタイプ 1 ルートが再配布されます。

External 2:AS に対して外部のタイプ 2 ルートが再配布されます。

NSSA External 1:NSSA に対して外部のタイプ 1 ルートが再配布されます。

NSSA External :NSSA に対して外部のタイプ 2 ルートが再配布されます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

EIGRP

EIGRP は、シスコが開発した IGRP の拡張バージョンです。 IGRP や RIP と異なり、EIGTP は定期的なルート更新を送信しません。 EIGRP 更新は、ネットワーク トポロジが変更された場合にのみ送信されます。

セキュリティ アプライアンスでは、EIGRP ルーティング プロセスを 1 つだけイネーブルにすることができます。

ここでは、次の情報を提供します。

「EIGRP の設定」

「EIGRP の各ペインのフィールド情報」

ダイナミックに検出された EIGRP ネイバーの監視の詳細については、「EIGRP ネイバーのモニタリング」を参照してください。

EIGRP の設定

セキュリティ アプライアンスで EIGRP を設定するには、次の手順を実行します。


ステップ 1 ASDM インターフェイスの Configuration > Device Setup > Routing > EIGRP 領域に移動します。

ステップ 2 Setup > Process Instances タブで EIGRP ルーティング プロセスをイネーブルにします。詳細については、「Process Instances」を参照してください。

ステップ 3 (オプション)EIGRP ルーティング プロセスのパラメータを設定します。 Setup > Process Instances タブで Advanced をクリックします。

EIGRP ルーティング プロセスをスタブ ルーティング プロセスとして設定し、自動ルート集約をディセーブルにし、再配布されるルートのデフォルト メトリックを定義できます。また、内外 EIGRP ルートの管理ディスタンスを変更し、スタティック ルータ ID を設定し、隣接関係の変更のロギングをイネーブルまたはディセーブルにすることもできます。詳細については、「Edit EIGRP Process Advanced Properties」を参照してください。

ステップ 4 Setup > Networks タブで、EIGRP ルーティングに参加するネットワークとインターフェイスを定義します。詳細については、「Networks」を参照してください。

定義済みネットワークの範囲内にある直接接続されたスタティック ネットワークには、セキュリティ アプライアンスがアドバタイズします。 また、IP アドレスが定義済みネットワークの範囲内にあるインターフェイスのみが、EIGRP ルーティング プロセスに参加します。

EIGRP ルーティングに参加させないインターフェイスがアドバタイズ先のネットワークに接続されている場合は、そのインターフェイスが接続されているネットワーク エントリを Setup > Networks タブで設定し、次にそのインターフェイスをパッシブ インターフェイスとして設定して、インターフェイスが EIGRP 更新を送受信できないようにします。 パッシブに設定されたインターフェイスは、EIGRP 更新を送受信しません。詳細については、「Passive Interfaces」を参照してください。

ステップ 5 (オプション) Filter Rules ペインでルート フィルタを定義します。 ルート フィルタにより、EIGRP 更新で送受信することを許可されているルートをより細かく制御できます。詳細については、「Filter Rules」を参照してください。

ステップ 6 (オプション) Redistribution ペインでルート再配布を定義します。

RIP および OSPF によって検出されたルートを EIGRP ルーティング プロセスに再配布できます。 また、スタティック ルートや接続済みルートを EIGRP ルーティング プロセスに再配布することもできます。 スタティック ルートまたは接続済みルートが Setup > Networks タブで設定したネットワークの範囲内にある場合は、それらのルートを再配布する必要はありません。詳細については、「Redistribution」を参照してください。

ステップ 7 (オプション) Static Neighbor ペインでスタティック EIGRP ネイバーを定義します。

EIGRP hello パケットは、マルチキャスト パケットとして送信されます。 EIGRP ネイバーがトンネルなどの非ブロードキャスト ネットワークを挟んで存在する場合は、そのネイバーを手動で定義する必要があります。 EIGRP ネイバーを手動で定義すると、hello パケットはユニキャスト メッセージとしてネイバーに送信されます。詳細については、「Static Neighbor」を参照してください。

ステップ 8 (オプション) Summary Address ペインで、サマリー アドレスを定義します。

ネットワーク番号境界では発生しないサマリー アドレスを作成する場合、または自動ルート集約がディセーブルになっているセキュリティ アプライアンスでサマリー アドレスを使用する場合は、サマリー アドレスを手動で定義する必要があります。 サマリー アドレスの定義の詳細については、「Summary Address」を参照してください。 自動ルート集約をイネーブルおよびディセーブルにする方法については、「Edit EIGRP Process Advanced Properties」を参照してください。

ステップ 9 (オプション) Interfaces ペインで、インターフェイス固有の EIGRP パラメータを定義します。 これらのパラメータには、EIGRP メッセージ認証、保持時間、hello 間隔、遅延メトリック、スプリットホライズンの使用などがあります。詳細については、「Interface」を参照してください。

ステップ 10 (オプション) Default Information ペインで、EIGRP 更新でのデフォルト ルート情報の送受信を制御します。 デフォルトでは、デフォルト ルートが送信され、受け入れられます。詳細については、「Default Information」を参照してください。


 

EIGRP の各ペインのフィールド情報

ここでは、次の項目について説明します。

「Setup」

「Filter Rules」

「Interface」

「Redistribution」

「Static Neighbor」

「Summary Address」

「Default Information」

Setup

Setup ペインでは、EIGRP プロセスをイネーブルにし、そのプロセスの基本設定を行います。 Setup ペインには次のタブがあります。

「Process Instances」

「Networks」

「Passive Interfaces」

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Process Instances

Process Instances タブでは、EIGRP ルーティング プロセスをイネーブルにすることができます。

フィールド

Enable this EIGRP Process:EIGRP ルーティング プロセスをイネーブルにするには、このチェックボックスをオンにします。 デバイスでイネーブルにすることができる EIGRP ルーティング プロセスは 1 つのみです。 変更を保存できるようにするには、まず EIGRP Process フィールドにルーティング プロセスの自律システム番号を入力する必要があります。

EIGRP Process:EIGRP プロセスの自律システム番号を入力します。 自律システム番号は 1 ~ 65535 の範囲で指定できます。

Advanced:ルータ ID、デフォルト メトリック、スタブ ルーティング設定、ネイバー変更と警告ロギング、および EIGRP ルートの管理ディスタンスなどの EIGRP プロセス設定を行うには、このボタンをクリックします。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Edit EIGRP Process Advanced Properties

Edit EIGRP Process Advanced Properties ダイアログボックスでは、EIGRP ルーティング プロセスのルータ ID、デフォルト メトリック、スタブ ルーティング設定、ネイバー変更と警告ロギング、および EIGRP ルートの管理ディスタンスを設定できます。

フィールド

EIGRP: 表示のみ。 EIGRP ルーティング プロセスの自律システム番号を表示します。

Router Id:EIGRP ルーティング プロセスでセキュリティ アプライアンスのルータ ID として使用する IP アドレスを入力します。 ルータ ID は、外部ルートの発信元ルータを識別するために使用されます。 IP アドレスは、セキュリティ アプライアンスで設定されたアドレスにする必要はありませんが、ルーティング ドメイン内で一意になっている必要があります。指定しない場合は、セキュリティ アプライアンスで最高レベルの IP アドレスがルータ ID として使用されます。

Auto-Summary:自動ルート集約をイネーブルにするには、このボックスをオンにします。 自動ルート集約をディセーブルにするには、このボックスをオフにします。この設定はデフォルトでイネーブルになっています。

Default Metrics:デフォルトのメトリックが EIGRP ルーティング プロセスに再配布されるルートに適用されます。 指定しない場合は、再配布を設定するときにメトリックを指定する必要があります(「Redistribution」を参照)。

Bandwidth:ルートの最小帯域幅(キロバイト/秒)です。1 ~ 4294967295 の範囲の値を指定できます。

Loading:1 ~ 255(255 は 100% の負荷)の数値で表現したルートの有効帯域幅です。

Reliability:0 ~ 255 の数値として表現した、パケットが正常に伝送される見込みです。値 255 は 100% の信頼性を意味し、0 は信頼できないことを意味します。

Delay:10 マイクロ秒単位のルート遅延です。有効値の範囲は 1 ~ 4294967295 です。

MTU:最大伝送ユニットの最小許容値(バイト)です。1 ~ 65535 の範囲の値を指定できます。

Stub:スタブ エリアには、EIGRP スタブ ルーティング プロセスを作成するための設定があります。 スタブ ルーティング プロセスでは、完全なトポロジ テーブルを保持しません。 スタブ ルーティングでは、ルーティングの決定を下す配布ルータへのデフォルト ルートが最低限必要です。

Stub Receive only:ネイバー ルータからルート情報を受信しても、それらのネイバーにルート情報を送信しない EIGRP スタブ ルーティング プロセスを設定します。 このオプションを選択する場合は、他のスタブ ルーティング オプションを選択できません。

Stub Connected:接続済みルートをアドバタイズします。

Stub Static:スタティック ルートをアドバタイズします。

Stub Redistributed:再配布ルートをアドバタイズします。

Stub Summary:サマリー ルートをアドバタイズします。

Adjacency Changes:ネイバーの警告および変更メッセージのロギングを設定できます。 どちらのメッセージのロギングも、デフォルトでイネーブルになっています。

Log Neighbor Changes:ネイバー隣接関係の変更のロギングをイネーブルにするにはボックスをオンに、ディセーブルにするにはボックスをオフにします。

Log Neighbor Warnings:ネイバー隣接関係の変更をイネーブルにするにはボックスをオンに、ディセーブルにするにはボックスをオフにします。 ネイバー警告メッセージの繰り返し間隔(秒)を入力します。 有効値は 1 ~ 65535 です。この区間は、警告が繰り返されてもログに記録されません。

Administrative Distance:内外 EIGRP ルートの管理ディスタンスを設定できます。

Internal Distance:EIGRP 内部ルートの管理ディスタンスです。 内部ルートとは、同じ自律システム内の別のエンティティから取得するルートです。有効値は 1 ~ 255 です。デフォルト値は 90 です。

External Distance:EIGRP 外部ルートの管理ディスタンスです。 外部ルートとは、自律システムに対して外部のネイバーから最善のパスが取得されるルートです。有効値は 1 ~ 255 です。デフォルト値は 170 です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Networks

Network タブでは、EIGRP ルーティング プロセスで使用されるネットワークを指定できます。 EIGRP ルーティングに参加するインターフェイスの場合は、ネットワーク エントリによって定義されるアドレス範囲内に存在する必要があります。 アドバタイズされる直接接続されたネットワークやスタティック ネットワークの場合も、ネットワーク エントリの範囲内に存在する必要があります。

Network テーブルには、EIGRP ルーティング プロセスに設定されているネットワークが表示されます。 テーブルの各行には、指定された EIGRP ルーティング プロセスに設定されているネットワーク アドレスおよび関連付けられたマスクが表示されます。 ネットワークを追加または修正するには、次のいずれかの操作を実行します。

新しいネットワーク エントリを追加するには、 Add をクリックします。 Add EIGRP Network ダイアログボックスが表示されます。

ネットワーク エントリを削除するには、テーブルでそのエントリを選択し、 Delete をクリックします。

ネットワーク エントリを変更するには、まずそのエントリを削除してから新しいエントリを追加する必要があります。 既存のエントリを編集することはできません。

フィールド

Add EIGRP Network Entry ダイアログボックスには、次のフィールドがあります。

EIGRP AS:EIGRP ルーティング プロセスの自律システム番号を表示します。

IP Address:EIGRP ルーティング プロセスに参加するネットワークの IP アドレスを入力します。

Network Mask:IP アドレスに適用するネットワーク マスクを選択または入力します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

Passive Interfaces

Passive Interface タブでは、1 つ以上のインターフェイスをパッシブ インターフェイスとして設定できます。 EIGRP の場合、パッシブ インターフェイスはルーティング更新を送受信しません。

Passive Interface テーブルには、パッシブ インターフェイスとして設定された各インターフェイスが一覧表示されます。 インターフェイスが EIGRP ルーティングに参加するかどうかを設定するには、次のいずれかの操作を実行します。

すべてのインターフェイスをパッシブとして指定するには、Suppress routing updates on all interfaces チェックボックスをオンにします。 Passive Interface テーブルに表示されていないインターフェイスであっても、このチェックボックスをオンにするとパッシブに設定されます。

パッシブ インターフェイス エントリを追加するには、 Add をクリックします。 Add EIGRP Passive Interface ダイアログボックスが表示されます。 このダイアログボックスでは、パッシブにするインターフェイスを選択できます。

パッシブ インターフェイスを削除するには、テーブルでそのインターフェイスを選択し、 Delete をクリックします。

フィールド

Passive Interface ペインには次のフィールドがあります。

EIGRP Process:EIGRP ルーティング プロセスの自律システム番号です。

Suppress routing updates on all interfaces:すべてのインターフェイスをパッシブに設定するには、このチェックボックスをオンにします。 すべてのインターフェイスで EIGRP 更新を送受信できるようにするには、このチェックボックスをオフにします。 また、EIGRP ルーティングに参加するには、インターフェイスにネットワーク エントリを関連付ける必要があります。

Passive Interfaces table:パッシブに設定されているインターフェイスを表示します。

Interface:インターフェイスの名前を表示します。

EIGRP Process:EIGRP プロセスの自律システム番号を表示します。

Passive:インターフェイスがパッシブ モードで動作している場合には、「true」と表示されます。

Add Passive Interface ダイアログボックスには次のフィールドがあります。

EIGRP AS:EIGRP ルーティング プロセスの自律システム番号です。

Interface:リストからインターフェイスを選択します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Filter Rules

Filter Rules ペインには、EIGRP ルーティング プロセスに設定されているルート フィルタリング ルールが表示されます。 フィルタ ルールによって、EIGRP ルーティング プロセスで受け入れまたはアドバタイズされるルートを制御できます。

Filter Rule テーブルの各行には、特定のインターフェイスまたはルーティング プロトコルに適用されるフィルタ ルールについての情報が記載されます。 たとえば、外部インターフェイスで「in」方向のフィルタ ルールの場合は、外部インターフェイスが受信する EIGRP 更新すべてにフィルタリングが適用されます。 ルーティング プロトコルとして OSPF 10 が指定された「out」方向のフィルタ ルールの場合は、発信 EIGRP 更新の EIGRP ルーティング プロセスに再配布されるルートにフィルタ ルールが適用されます。

フィルタ ルールを設定するには、次のいずれかの操作を実行します。

フィルタ ルールを追加するには、 Add をクリックします。 Add Filter Rules ダイアログボックスが表示されます。

フィルタ ルールを編集するには、テーブルでそのフィルタ ルールを選択し、 Edit をクリックします。 フィルタ ルールをダブルクリックして編集することもできます。Edit Filter Rules ダイアログボックスが表示されます。

フィルタ ルールを削除するには、テーブルでそのフィルタ ルールを選択し、 Delete をクリックします。

フィールド

Add/Edit EIGRP Filter Rule ダイアログボックスには、次のフィールドがあります。

EIGRP:EIGRP ルーティング プロセスの自律システム番号です。

Direction:着信 EIGRP ルーティング更新からのルートをフィルタリングするルールの場合は、「in」を選択します。 セキュリティ アプライアンスによって送信される EIGRP ルーティング更新からのルートをフィルタリングするには、「out」を選択します。

Routing process:(発信フィルタの場合のみ)フィルタされるルートのタイプを指定します。 スタティック、接続済み、RIP、および OSPF のルーティング プロセスから再配布されるルートをフィルタリングできます。 ルーティング プロセスを指定するフィルタは、すべてのインターフェイスで送信される更新からのルートをフィルタリングします。

Id:OSPF プロセス ID です。

Interface:フィルタが適用されるインターフェイスです。

Add:Network Rule ダイアログボックスが開きます。

Edit:選択したネットワーク ルールを対象とした Network Rule ダイアログボックスが開きます。

Add/Edit Network Rule ダイアログボックスでは、フィルタ ルールのアクセス リストを定義できます。このダイアログボックスには、次のフィールドがあります。

Action:指定したネットワークへのアドバタイズを許可するには、Permit を選択します。 指定したネットワークへのアドバタイズを拒否するには、Deny を選択します。

IP Address:許可されるまたは拒否されるネットワークの IP アドレスを入力します。 すべてのアドレスを許可または拒否するには、ネットワーク マスクが 0.0.0.0 の IP アドレス 0.0.0.0 を使用します。

Netmask:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Interface

Interface ペインには、EIGRP インターフェイスの設定が表示されます。 Interface Parameters テーブルには、セキュリティ アプライアンスのインターフェイスすべてが表示され、インターフェイスごとに次の設定を修正できます。

認証キーとモード。

EIGRP hello 間隔と保持時間。

EIGRP メトリックの計算で使用されるインターフェイス遅延メトリック。

インターフェイスでのスプリットホライズンの使用。

インターフェイスの EIGRP パラメータを設定するには、そのインターフェイス エントリをダブルクリックするか、またはそのエントリを選択し、 Edit をクリックします。 Edit EIGRP Interface Entry ダイアログボックスが表示されます。

フィールド

Edit EIGRP Interface Entry ダイアログボックスには、次のフィールドがあります。

Interface: 表示のみ。 修正されるインターフェイスを表示します。

AS:EIGRP 自律システム番号です。

Hello Interval:EIGRP hello パケットがインターフェイスで送信される間隔を入力します。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、5 秒です。

Hold Time:保持時間を秒数で指定します。有効値の範囲は 1 ~ 65535 秒です。デフォルト値は、15 秒です。

Split Horizon:インターフェイスでスプリット ホライズンをイネーブルにするには、このチェックボックスをオンにします。 スプリット ホライズンをディセーブルにするには、チェックボックスをオフにします。 スプリット ホライズンはデフォルトでイネーブルになっています。

Delay:このフィールドに遅延値を入力します。 遅延時間は 10 マイクロ秒単位です。1 ~ 16777215 の範囲の値を指定できます。

Enable MD5 Authentication:EIGRP プロセス メッセージの MD5 認証をイネーブルにするには、このチェックボックスをオンにします。

Key:EIGRP 更新を認証するキーです。 キーは 16 文字までの範囲で指定できます。

Key ID:キー ID です。有効値の範囲は 1 ~ 255 です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Redistribution

Redistribution ペインには、他のルーティング プロトコルから EIGRP ルーティング プロセスにルートを再配布する場合のルールが表示されます。 Redistribution ペインの各行には、ルート再配布エントリが表示されます。

EIGRP ルーティング プロセスにルート再配布を追加するか、または表示されるルート再配布を修正するには、次のいずれかの操作を実行します。

新しい再配布ルールを追加するには、 Add をクリックします。 Add EIGRP Redistribution Entry ダイアログボックスが開きます。

既存の EIGRP スタティック ネイバーを編集するには、テーブルでそのアドレスを選択し、 Edit をクリックします。 テーブルのエントリをダブルクリックして編集することもできます。 Edit EIGRP Redistribution Entry ダイアログボックスが開きます。

フィールド

Add/Edit EIGRP Redistribution Entry ダイアログボックスには、次のフィールドがあります。

AS:エントリが適用される EIGRP ルーティング プロセスの自律システム番号を表示します。

Static:スタティック ルートを EIGRP ルーティング プロセスに再配布します。 ネットワーク設定の範囲内にあるスタティック ルートは EIGRP に自動的に再配布されるため、それらのルートの再配布ルールを定義する必要はありません。

Connected:接続済みルートを EIGRP ルーティング プロセスに再配布します。 ネットワーク設定の範囲内にある接続済みルートは EIGRP に自動的に再配布されるため、それらのルートの再配布ルールを定義する必要はありません。

RIP:RIP ルーティング プロセスによって検出されたルートを EIGRP に再配布します。

Optional Metrics:再配布されるルートで使用するメトリックを定義します。 Edit EIGRP Process Advanced Properties ダイアログボックスでデフォルト メトリックをすでに定義済みの場合は、これらの値を定義する必要はありません(デフォルト メトリックの設定の詳細については、「Edit EIGRP Process Advanced Properties」を参照してください)。

Bandwidth:EIGRP 帯域幅メトリック(キロビット/秒)です。1 ~ 4294967295 の範囲の値を指定できます。

Delay:EIGRP 遅延メトリック(10 マイクロ秒単位)です。0 ~ 4294967295 の範囲の値を指定できます。

Reliability:EIGRP 信頼性メトリックです。 有効値は 0 ~ 255 で、255 は 100% の信頼性を示します。

Loading:EIGRP 有効帯域幅(負荷)メトリックです。 有効値は 1 ~ 255 で、255 は負荷 100% を示します。

MTU:パスの MTU です。1 ~ 65535 の範囲の値を指定できます。

Route Map:EIGRP ルーティング プロセスに再配布されるルートをさらに細かく定義するには、ルート マップの名前を入力します。

Optional OSPF Redistribution:これらのオプションにより、EIGRP ルーティング プロセスに再配布される OSPF ルートをさらに細かく指定できます。

Match Internal:指定した OSPF プロセスに対して内部の一致ルートです。

Match External 1:指定した OSPF プロセスに対して外部の一致タイプ 1 のルートです。

Match External 2:指定した OSPF プロセスに対して外部の一致タイプ 2 のルートです。

Match NSSA-External 1:指定した OSPF NSSA に対して外部の一致タイプ 1 のルートです。

Match NSSA-External 2:指定した OSPF NSSA に対して外部の一致タイプ 2 のルートです。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Static Neighbor

Static Neighbor ペインには、スタティックに定義された EIGRP ネイバーが表示されます。 EIGRP ネイバーは、セキュリティ アプライアンスとの間で EIGRP ルーティング情報を送受信します。 通常は、ネイバー検出プロセスによってネイバーがダイナミックに検出されます。 ただし、ポイントツーポイントの非ブロードキャスト ネットワークでは、ネイバーをスタティックに定義する必要があります。

Static Neighbor テーブルの各行には、ネイバーの EIGRP 自律システム番号、ネイバー IP アドレス、およびネイバーに接続するためのインターフェイスが表示されます。

スタティック ネイバーを設定するには、次のいずれかの操作を実行します。

新しい EIGRP スタティック ネイバーを追加するには、 Add をクリックします。 Add EIGRP Neighbor Entry ダイアログボックスが開きます。

既存の EIGRP スタティック ネイバーを編集するには、テーブルでそのアドレスを選択し、 Edit をクリックします。 テーブルのエントリをダブルクリックして編集することもできます。 Edit EIGRP Neighbor Entry ダイアログボックスが開きます。

フィールド

Add/Edit EIGRP Neighbor Entry ダイアログボックスには、次のフィールドがあります。

EIGRP AS:ネイバーの設定対象となる EIGRP プロセスの自律システム番号です。

Interface Name:リストから、ネイバーに接続するときに使用するインターフェイスを選択します。

Neighbor IP Address:ネイバーの IP アドレスを入力します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Summary Address

Summary Address ペインには、スタティックに定義された EIGRP サマリー アドレスのテーブルが表示されます。 デフォルトでは、EIGRP によりサブネット ルートがネットワーク レベルに集約されます。 Summary Address ペインでは、サブネット レベルに集約されるスタティックに定義された EIGRP サマリー アドレスを作成できます。

サマリー アドレスを作成または修正するには、次のいずれかの操作を実行します。

新しい EIGRP サマリー アドレスを追加するには、 Add をクリックします。 Add Summary Address ダイアログボックスが開きます。

既存の EIGRP サマリー アドレスを編集するには、テーブルでそのアドレスを選択し、 Edit をクリックします。 テーブルのエントリをダブルクリックして編集することもできます。 Edit Summary Address ダイアログボックスが開きます。

フィールド

Add/Edit EIGRP Summary Address Entry ダイアログボックスには、次のフィールドがあります。 これらのフィールドは、Summary Address テーブルにも表示されます。

EIGRP AS:サマリー アドレスが適用される EIGRP ルーティング プロセスの自律システム番号を選択します。

Interface:サマリー アドレスのアドバタイズ元となるインターフェイスです。

IP Address:サマリー ルートの IP アドレスを入力します。

Netmask:IP アドレスに適用するネットワーク マスクを選択または入力します。

Administrative Distance:ルートの管理ディスタンスを入力します。 空白のままにすると、ルートの管理ディスタンスはデフォルト値の 5 になります。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Default Information

Default Information ペインには、EIGRP 更新でのデフォルト ルート情報の送受信を制御するルールのテーブルが表示されます。 EIGRP ルーティング プロセスごとに、「in」ルールと「out」ルールを 1 つずつ設定できます(現在は 1 つのプロセスのみがサポートされています)。

デフォルトでは、デフォルト ルートが送信され、受け入れられます。 デフォルトのルート情報の送受信を制限またはディセーブルにするには、次の手順を実行します。


ステップ 1 Configuration > Device Setup > Routing > EIGRP > Default Information ペインを開きます。

ステップ 2 次のいずれかの操作を実行します。

新しいエントリを作成するには、 Add をクリックします。

エントリを編集するには、テーブルでそのエントリをダブルクリックするか、またはテーブルでエントリを選択し、 Edit をクリックします。

そのエントリを対象とした Add or Edit Default Information ダイアログボックスが開きます。 EIGRP フィールドでは、EIGRP 自律システム番号が自動的に選択されます。

ステップ 3 Direction フィールドでルールの方向を設定します。

in:ルールは、着信 EIGRP 更新からのデフォルト ルート情報をフィルタリングします。

out:ルールは、発信 EIGRP 更新からのデフォルト ルート情報をフィルタリングします。

EIGRP プロセスごとに、「in」ルールと「out」ルールを 1 つずつ設定できます。

ステップ 4 ネットワーク ルール テーブルにネットワーク ルールを追加します。 ネットワーク ルールでは、デフォルト ルート情報を送受信するときに許可されるネットワークと拒否されるネットワークを定義します。 デフォルト情報フィルタ ルールに追加するネットワーク ルールごとに、次の手順を繰り返します。

a. Add をクリックしてネットワーク ルールを追加します。 既存のネットワーク ルールをダブルクリックしてルールを編集します。

b. Action フィールドで、 Permit を選択してネットワークを許可するか、または Deny を選択してネットワークをブロックします。

c. IP Address フィールドと Network Mask フィールドに、ルールによって許可または拒否されるネットワークの IP アドレスとネットワーク マスクを入力します。

すべてのデフォルト ルート情報の受け入れまたは送信を拒否するには、ネットワーク アドレスとして 0.0.0.0 を使用し、ネットワーク マスクとして 0.0.0.0 を選択します。

d. 指定したネットワーク ルールをデフォルト情報フィルタ ルールに追加するには、 OK をクリックします。

ステップ 5 デフォルト情報フィルタ ルールを受け入れるには、 OK をクリックします。


 

フィールド

Add/Edit Default Information ダイアログボックスには、次のフィールドがあります。

EIGRP:デフォルト情報フィルタが適用される EIGRP ルーティング プロセスの自律システム番号を選択します。

Direction:着信ルート更新からのデフォルト ルート情報をフィルタリングするには、「in」を選択します。 発信ルート更新からのデフォルト ルート情報をフィルタするには、「out」を選択します。

Add:デフォルト情報フィルタ ルールにネットワーク ルールを追加します。

Edit:既存のネットワーク ルールを修正します。

Network Rule ダイアログボックス。 Default Information filter rule テーブルの Filter Rules カラムには、ネットワーク ルールが表示されます。

Action:指定したネットワークへのアドバタイズを許可するには、Permit を選択します。 指定したネットワークへのアドバタイズを拒否するには、Deny を選択します。

IP Address:許可されるまたは拒否されるネットワークの IP アドレスを入力します。 すべてのアドレスを許可または拒否するには、ネットワーク マスクが 0.0.0.0 の IP アドレス 0.0.0.0 を使用します。

Netmask:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

詳細情報

「EIGRP の設定」

Static Routes

マルチコンテキスト モードは、ダイナミック ルーティングをサポートしていません。したがって、セキュリティ アプライアンスが直接接続されないネットワークに対してスタティック ルートを定義する必要があります。

透過ファイアウォール モードでは、セキュリティ アプライアンスから直接接続されていないネットワークに宛てたトラフィック用にデフォルト ルートまたはスタティック ルートを設定して、セキュリティ アプライアンスがトラフィックの送信先インターフェイスを認識できるようにする必要があります。セキュリティ アプライアンスから発信されるトラフィックには、syslog サーバ、Websense サーバまたは N2H2 サーバ、あるいは AAA サーバとの通信もあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。

最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに委せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部インターフェイス上にある場合、デフォルト ルートは、セキュリティ アプライアンスに直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

また、スタティック ルートをダイナミック ルーティング プロトコルと共に使用し、ダイナミックに検出されたルートがダウンしたときに使用されるフローティング スタティック ルートを提供できます。ダイナミック ルーティング プロトコルの管理ディスタンスよりも長い管理ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。

指定したゲートウェイが使用できなくなっても、スタティック ルートはルーティング テーブルに残ります(この場合の例外については、「スタティック ルート トラッキング」を参照してください)。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、スタティック ルートは、セキュリティ アプライアンスの関連インターフェイスがダウンした場合にルーティング テーブルから削除されます。これらのルートは、インターフェイスが復旧すると再適用されます。

インターフェイスあたり最大 3 つの等コスト ルートが同じ宛先に定義できます。複数のインターフェイス間を通る Equal Cost Multi-Path routing(ECMP; 等コスト マルチパス ルーティング)はサポートされていません。ECMP では、トラフィックはルート間で必ずしも均等に分割されません。トラフィックは、送信元と宛先の IP アドレスをハッシュするアルゴリズムに従って指定のゲートウェイ間に分散されます。

デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてをセキュリティ アプライアンスが送信する、ゲートウェイの IP アドレスを特定するルートです。デフォルト ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。

デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義することができます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。

4 つ以上の等コスト デフォルト ルートを定義しようとした場合、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとした場合は、エラー メッセージが表示されます。

トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。 tunneled オプションを使用してデフォルト ルートを作成すると、セキュリティ アプライアンスに着信し、既知のルートでもスタティック ルートでもルーティングできない暗号化されたトラフィックはすべて、このルートに送信されます。これ以外の暗号化されていないトラフィックには、標準のデフォルト ルート エントリが使用されます。 tunneled オプションでは、複数のデフォルト ルートを定義することはできません。トンネル トラフィックでは ECMP がサポートされていません。

ASDM を使用したスタティック ルートおよびデフォルト ルートの表示と設定の詳細については、「スタティック ルートのフィールド情報」を参照してください。

スタティック ルート トラッキング

セキュリティ アプライアンスがマルチコンテキスト モードや透過モードの場合など、必ずしもセキュリティ アプライアンスでダイナミック ルーティング プロトコルを使用できるとは限りません。この場合、スタティック ルートを使用する必要があります。

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクストホップ ゲートウェイがダウンしても、ルーティング テーブルに保持されています。スタティック ルートは、セキュリティ アプライアンスの関連インターフェイスがダウンした場合にのみルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの可用性を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。これを利用すると、デフォルト ルートを ISP ゲートウェイに定義し、プライマリ ISP が使用できない場合に備えて、バックアップ用のデフォルト ルートをセカンダリ ISP に定義することができます。

セキュリティ アプライアンスでは、定義するモニタリング対象にスタティック ルートを関連付けることにより、これを行います。対象のモニタリングは、ICMP エコー要求を使用して行います。指定された時間内にエコー応答がない場合は、そのオブジェクトがダウンしているとみなされ、関連ルートがルーティング テーブルから削除されます。削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICPM エコー要求に応答できることを確認してください。対象には、ICMP エコー要求に応答する任意のネットワーク オブジェクトを選択できます。選択肢として考えられるのは次のとおりです。

ISP ゲートウェイ アドレス(デュアル ISP サポート用)。

ネクストホップ ゲートウェイ アドレス(ゲートウェイの可用性を考慮する場合)。

AAA サーバなど、セキュリティ アプライアンスが通信を行う必要のあるサーバ。

宛先ネットワーク上の永続的なネットワーク オブジェクト(夜間にシャットダウンするデスクトップ PC やノートブック PC は適しません)。

スタティック ルート トラッキングの設定の詳細については、「スタティック ルート トラッキングの設定」を参照してください。スタティック ルート トラッキング プロセスの監視方法については、「interface connection」を参照してください。

スタティック ルート トラッキングの設定

ここで説明する手順では、スタティック ルート トラッキングの設定の概要を示します。この機能の設定に使用するさまざまなフィールドの詳細については、「スタティック ルートのフィールド情報」を参照してください。

スタティック ルートのトラッキングを設定するには、次の手順を実行します。


ステップ 1 対象を選択します。対象がエコー要求に応答することを確認してください。

ステップ 2 Static Routes ページを開きます。 Configuration > Routing > Static Routes の順に移動します。

ステップ 3 Add をクリックし、選択した対象の使用可能状況に基づいて使用されるスタティック ルートを設定します。このルートのインターフェイス、IP アドレス、マスク、ゲートウェイ、およびメトリックを入力する必要があります。これらのフィールドの詳細については、「Add/Edit Static Route」を参照してください。

ステップ 4 このルートには、Options 領域で Tracked を選択します。

ステップ 5 トラッキング プロパティを設定します。一意のトラック ID、一意の SLA ID、および対象の IP アドレスを入力する必要があります。これらのフィールドの詳細については、「Add/Edit Static Route」を参照してください。

ステップ 6 (オプション)監視プロパティを設定するには、Add Static Route ダイアログボックスの Monitoring Options をクリックします。監視プロパティの詳細については、「Route Monitoring Options」を参照してください。

ステップ 7 OK をクリックして変更内容を保存します。

追跡するルートを保存するとすぐに、モニタリング プロセスが開始されます。

ステップ 8 セカンダリ ルートを作成します。セカンダリ ルートは、追跡されたルートと同じ宛先へのスタティック ルートですが、異なるインターフェイスまたはゲートウェイを経由します。このルートは、追跡されたルートより長い管理ディスタンス(メトリック)に割り当てる必要があります。


 

スタティック ルートのフィールド情報

特定のペインの詳細については、次の項目を参照してください。

「Static Routes」

「Add/Edit Static Route」

「Route Monitoring Options」

Static Routes

Static Route ペインでは、任意のインターフェイス上のルータに接続されたネットワークにアクセスするスタティック ルートを作成できます。デフォルトのルートを入力するには、IP アドレスとマスクを 0.0.0.0 と設定するか、または短縮形式の 0 と設定します。

1 つのセキュリティ アプライアンス インターフェイスの IP アドレスがゲートウェイの IP アドレスとして使用される場合、セキュリティ アプライアンスは、ゲートウェイ IP アドレスに ARP を実行するのではなく、パケットの指定 IP アドレスに ARP を実行します。

ゲートウェイ ルータまでのホップ数を確認できない限り、Metric はデフォルトの 1 にします。

フィールド

Static Route ペインには、Static Route テーブルが表示されます。

Interface:( 表示のみ )インターフェイスでイネーブルになっている内部または外部ネットワーク インターフェイス名を一覧表示します。

IP Address:( 表示のみ )内部または外部ネットワーク IP アドレスを一覧表示します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。IP アドレス 0.0.0.0 は、 0 に短縮できます。

Netmask:( 表示のみ )IP アドレスに適用されるネットワーク マスク アドレスを一覧表示します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。ネットマスク 0.0.0.0 は、 0 に短縮できます。

Gateway IP:( 表示のみ )このルートの次のホップ アドレスであるゲートウェイ ルータの IP アドレスを一覧表示します。

Metric:( 表示のみ )ルートの管理ディスタンスを一覧表示します。メトリックが指定されない場合、デフォルトは 1 です。

Options:( 表示のみ )スタティック ルートに指定されたオプションを表示します。

None:スタティック ルートにはオプションが指定されていません。

Tunneled:ルートを VPN トラフィックのデフォルト トンネル ゲートウェイとして指定します。デフォルト ルートにのみ使用されます。1 つのデバイスに設定できるのは 1 つのトンネル ルートのみです。透過モードではトンネル オプションがサポートされていません。

Tracked:ルートを追跡することを指定します。追跡するオブジェクトの ID および追跡対象のアドレスも表示されます。追跡オプションは、シングル ルーテッド モードでのみサポートされます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit Static Route

スタティック ルートのプロパティを設定するには、Add/Edit Static Route ダイアログボックスを使用します。このダイアログボックスは、Startup ウィザードの Static Routes 画面と Configuration > Routing > Static Route ペインの両方から開くことができます。

フィールド

Interface Name:ルートの出力インターフェイスを選択します。

IP Address:内部または外部ネットワーク IP アドレスを指定します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。IP アドレス 0.0.0.0 は、 0 に短縮できます。

Mask:IP アドレスに適用されるネットワーク マスク アドレスを指定します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。ネットマスク 0.0.0.0 は、 0 に短縮できます。

Gateway IP:このルータの次のホップ アドレスであるゲートウェイ ルータの IP アドレスを指定します。

Metric:ルートの管理ディスタンスを指定できます。メトリックが指定されない場合、デフォルトは 1 です。

スタティック ルートには次のオプションを使用できます。1 つのスタティック ルートには、これらのオプションから 1 つのみ選択できます。デフォルトでは、オプションなし(None)が選択されています。

None:スタティック ルートにはオプションが指定されていません。

Tunneled:デフォルト ルートにのみ使用されます。セキュリティ アプライアンスごとに、デフォルト トンネル ゲートウェイが 1 つだけ許可されます。透過モードではトンネル オプションがサポートされていません。

Tracked:ルートを追跡するように指定するには、このオプションを選択します。このオプションを指定すると、ルート トラッキング プロセスが開始されます。

Track ID:ルート トラッキング プロセスに使用される一意の識別子です。

Track IP Address/DNS Name:追跡される対象の IP アドレスまたはホスト名を入力します。通常、ルートの次のホップはゲートウェイ IP アドレスです。ただし、そのインターフェイスの先にネットワーク オブジェクトがあれば表示されます。

SLA ID:SLA モニタリング プロセスの一意の ID です。

Monitor Options: Route Monitoring Options ダイアログボックスを開きます。 Route Monitoring Options ダイアログボックスで、トラッキングされたオブジェクトのモニタリング プロセスのパラメータを設定できます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Route Monitoring Options

追跡するオブジェクトの監視プロパティを変更するには、Route Monitoring Options ダイアログボックスを使用します。

フィールド

Frequency:追跡対象の存在をセキュリティ アプライアンスがテストする頻度を秒数で入力します。デフォルト値は、60 秒です。有効値の範囲は 1 ~ 604800 秒です。

Threshold:しきい値を超えたイベントを示す時間をミリ秒数で入力します。この値に、タイムアウト値より大きい値を指定することはできません。

Timeout:ルート監視操作が要求パケットからの応答を待つ時間をミリ秒数で入力します。デフォルト値は 5000 ミリ秒です。有効値の範囲は、0 ~ 604800000 ミリ秒です。

Data Size:エコー要求パケットで使用するデータ ペイロードのサイズを入力します。デフォルト値は 28 です。有効値の範囲は 0 ~ 16384 です。


) この設定では、ペイロードのサイズのみが指定されます。パケット全体のサイズは指定されません。


ToS:エコー要求の IP ヘッダーにあるサービス バイトのタイプの値を入力します。デフォルト値は 0 です。有効値の範囲は 0 ~ 255 です。

Number of Packets:各テストに送信されるエコー要求の数です。デフォルト値は 1 です。有効値の範囲は 1 ~ 100 です。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

ASR Group

非同期ルーティング グループ ID 番号をインターフェイスに割り当てるには、ASR Group 画面を使用します。

一部の場合では、セッションのリターン トラフィックが送信元とは異なるインターフェイスを経由してルート指定されることがあります。フェールオーバー コンフィギュレーションでは、1 つの装置で送信元となった接続のリターン トラフィックが、ピア装置を経由して戻る場合があります。これが最もよく発生するのは、1 つのセキュリティ アプライアンス上の 2 つのインターフェイス、またはフェールオーバー ペアの 2 つのセキュリティ アプライアンスが、異なるサービス プロバイダーに接続されており、発信接続で NAT アドレスが使用されていない場合です。デフォルトでは、セキュリティ アプライアンスはリターン トラフィックをドロップします。これは、トラフィックの接続情報がないためです。

リターン トラフィックのドロップは、ドロップが発生する可能性のあるインターフェイスで ASR Group を使用することで防止できます。ASR Group で設定されたインターフェイスは、 セッション情報を持っていないパケットを受信すると、同じグループにある他のインターフェイスのセッション情報をチェックします。

一致する情報が見つからないと、パケットはドロップされます。一致する情報が見つかると、次のいずれかの処理が行われます。

着信トラフィックがフェールオーバー コンフィギュレーションのピア装置で発信すると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。

着信トラフィックが同じ装置の別のインターフェイスで発信すると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットはストリームにリダイレクトされます。

前提条件

セッション情報の Stateful Failover がスタンバイ フェールオーバー グループからアクティブ フェールオーバー グループに渡されるようにイネーブルにする必要があります。

フィールド

ASR Group テーブルには、セキュリティ アプライアンスの各インターフェイスの次の情報が表示されます。

Interface:セキュリティ アプライアンスのインターフェイスの名前を表示します。

ASR Group ID:インターフェイスが属する ASR Group の数を表示します。インターフェイスに ASR Group 番号が割り当てられていない場合、このカラムには「-- None --」が表示されます。有効値の範囲は 1 ~ 32 です。

ASR Group 番号をインターフェイスに割り当てるには、割り当てるインターフェイスの行の ASR Group ID セルをクリックします。有効な ASR Group 番号のリストが表示されます。希望の ASR Group 番号をリストから選択します。1 つの ASR Group には最高 8 つのインターフェイスを割り当てることができます。他のコンテキストに ASR Group に割り当てられたインターフェイスがある場合、これらのインターフェイスは、現在設定されているコンテキストに対しても合計 8 つにカウントされます。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

プロキシ ARPs

状況によっては、グローバル アドレスのプロキシ ARP をディセーブルにする場合があります。

ホストが同じイーサネット ネットワーク上の別のデバイスに IP トラフィックを送信するとき、ホストはそのデバイスの MAC アドレスを知っている必要があります。ARP は、MAC アドレスに対して IP アドレスを解決するレイヤ 2 プロトコルです。ホストは、「この IP アドレスはだれのものか」と尋ねる ARP 要求を送信します。その IP アドレスを持つデバイスは「その IP アドレスは自分のもので、これが MAC アドレスである」と応答します。

プロキシ ARP は、デバイスが自身の IP アドレスを持たなくても、ARP 要求に自身の MAC アドレスで応答する場合に使用されます。NAT を設定し、セキュリティ アプライアンス インターフェイスと同じネットワーク上にあるグローバル アドレスを指定するとき、セキュリティ アプライアンスはプロキシ ARP を使用します。セキュリティ アプライアンスがプロキシ ARP を使用する場合、トラフィックがホストに到達するためには、セキュリティ アプライアンスの MAC アドレスが宛先グローバル アドレスに割り当てられている必要があります。

フィールド

Interface:インターフェイス名を一覧表示します。

Proxy ARP Enabled:プロキシ ARP が NAT グローバル アドレスに対してイネーブルになっているか、ディセーブルになっているかを Yes または No で表示します。

Enable:選択したインターフェイスのプロキシ ARP をイネーブルにします。デフォルトでは、すべてのインターフェイスでプロキシ ARP がイネーブルになっています。

Disable:選択したインターフェイスのプロキシ ARP をディセーブルにします。

モード

次の表に、この機能を使用できるモードを示します。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--