この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、ACE をルーテッド モードにして、ネットワーク内でルータ ホップとして認識されるようにする方法について説明します。Admin コンテキストまたはユーザ コンテキストの場合、ACE はスタティック ルートのみをサポートします。また、ACE では最大 8 つの等価コスト ルートでロード バランシングを実行できます。
この章では、ACE にデフォルト ルートまたはスタティック ルートを設定する方法について説明します。この章の主な内容は、次のとおりです。
インターフェイスに IP アドレスを割り当てると、インターフェイスは自動的にルーテッド モードになります。VLAN インターフェイスに IP アドレスを割り当てるには、インターフェイス コンフィギュレーション モードで ip address コマンドを使用します。このコマンドの構文は次のとおりです。
ip_address mask 引数では、VLAN インターフェイスに割り当てる IP アドレスとマスクを指定します。
(注) ACE のどのインターフェイスでもセカンダリ IP アドレスはサポートされません。
ACE が単一のコンテキスト(Admin)で動作している場合、各インターフェイス アドレスを一意のサブネットに設定する必要があります。ACE が複数のコンテキストで動作しており、インターフェイスが共有 VLAN に属している場合、IP アドレスは一意のものにする必要があり、共有 VLAN 内の別のコンテキストで使用することはできません。共有 VLAN でない場合、IP アドレスは他のコンテキストで使用することができます。
たとえば、VLAN インターフェイス 200 の IP アドレスを 192.168.1.1 255.255.255.0 に設定するには、次のように入力します。
このコマンドの入力時に誤った設定を行った場合、正しい情報でコマンドを再度入力してください。
(注) ルーテッド モードでは、トラフィックを通過させるために Access Control List(ACL; アクセス コントロール リスト)を設定する必要があります。インターフェイスのインバウンドまたはアウトバウンド方向に対して ACL を割り当て、ACL を動作させるには、インターフェイス VLAN コンフィギュレーション モードで access-group コマンドを使用します。ACL の詳細については、『Cisco Application Control Engine Module Security Configuration Guide』を参照してください。
Admin コンテキストおよびユーザ コンテキストでは、ダイナミック ルーティングはサポートされません。ACE と直接接続していないネットワークに対しては、スタティック ルートを使用する必要があります。たとえば、ネットワークと ACE の間にルータがある場合、スタティック ルートを使用する必要があります。
ACE から発信されるトラフィックまたは ACE を介してルーティングされるトラフィックで、直接接続されていないネットワークを宛先とするものについては、ACE でトラフィックの送信先を判別できるようデフォルト ルートまたはスタティック ルートを設定します。ACE から発信されるトラフィックには、Syslog サーバ、Websense または N2H2 サーバ、AAA サーバへの通信が含まれます。
最も単純なオプションは、デフォルト ルートを設定して、1 台の上流のルータにすべてのトラフィックを送信する方法です。ACE がルートを持たないすべての IP パケットは、デフォルト ルートで指定されるルータの IP アドレスに送信されます。
(注) 特定の宛先アドレスが指定されたルートは、デフォルト ルートより優先されます。
デフォルト ルートまたはスタティック ルートを設定するには、コンフィギュレーション モードで ip route コマンドを使用します。このコマンドの構文は次のとおりです。
ip route dest_ip_prefix netmask gateway_ip_address
• dest_ip_prefix ― ルートの IP アドレス。ドット付き 10 進表記で IP アドレスを入力します(たとえば、192.168.20.1)。
• netmask ― ルートのサブネット マスク。ドット付き 10 進表記でサブネット マスクを入力します(たとえば、255.255.255.0)。
• gateway_ip_address ― ゲートウェイ ルータの IP アドレス(このルートのネクストホップ アドレス)。ゲートウェイのアドレスは、 ip address コマンドで VLAN インターフェイスに指定したネットワークと同じネットワークに属している必要があります。アドレスの設定方法の詳細については、「インターフェイスへのトラフィック ルーティング用の IP アドレスの割り当て」を参照してください。
(注) ACE に着信する管理トラフィックは、no normalization コマンド(非対称ルートをサポートしない)の影響を受けません。正規化の詳細については、『Cisco Application Control Engine Module Security Configuration Guide』を参照してください。
たとえば、宛先が 10.1.1.0/24 のすべてのトラフィックをルータ(10.1.2.45)に送信するスタティック ルートを設定するには、次のように入力します。
デフォルト ルートを設定するには、ルートの IP アドレスとサブネット マスクを 0.0.0.0 に設定します。たとえば、ACE がルートのないトラフィックを受信した場合に、ACE のインターフェイスから 192.168.4.8 のルータにトラフィックが送信されるようにするには、次のように入力します。
設定からデフォルト IP ルートまたはスタティック IP ルートを削除するには、 ip route コマンドの no 形式を使用します。たとえば、次のように入力します。
VIP インターフェイス VLAN と異なる VLAN を Route Health Injection(RHI)のためにアドバタイズするには、インターフェイス コンフィギュレーション モードで ip route inject vlan コマンドを使用します。デフォルトでは、ACE は RHI のために VIP インターフェイスの VLAN をアドバタイズします。
ACE と Catalyst 6500 シリーズ スーパーバイザ エンジンの間で直接共有する VLAN がない場合に、このコマンドを使用します。このようなトポロジに該当するのは、ACE とスーパーバイザ エンジンの間に Cisco Firewall Services Module(FWSM)などのデバイスが介在する構成の場合です。
(注) このコマンドは、必ず ACE の VIP インターフェイスに設定してください。
vlan_id は、スーパーバイザ エンジンと介在しているデバイスで共有するインターフェイスです。2 ~ 4090 の整数値を入力します。
たとえば、RHI のためにルート 200 をアドバタイズするには、次のように入力します。
ACE のデフォルトの動作に戻し、RHI のために VIP インターフェイス VLAN をアドバタイズするには、次のように入力します。
EXEC モードで ping コマンドを使用して ACE からエコー メッセージを送信することで、リモート ホストまたはサーバの接続性を確認できます。
system_address 引数は、ping を送信するリモート ホストまたはサーバの IP アドレスです。ドット付き 10 進表記で IP アドレスを入力します(たとえば、172.27.16.10)。
次に、IP アドレスが 192.168.219.140 のサーバに ping を送信する例を示します。
ping セッションを強制的に終了するには、 Ctrl-C を押します。
(注) リモート ホストまたはサーバの MAC アドレスが ARP テーブルに入力されていないために、最初の ping は失敗する場合があります。
ping コマンドには、リモート ホストまたはサーバの接続性を確認するための追加オプションがあります。これらの追加パラメータを指定するには、CLI の ACE プロンプトで ping と入力して Enter キーを押します。
表2-1 に、 ping コマンドのオプションとデフォルトの要約を示します。
|
|
|
---|---|---|
ping 要求が失敗したと判断されるまでのタイムアウト間隔。ping は中断されず、次の ping パケット(存在する場合)が送信されます。 |
||
ping パケットが廃棄されるまでの存続期間を決める、IP ヘッダーの Time To Live(TTL; 存続可能期間)フィールドの値。TTL 値は、ホップごとに 1 減ります。 |
特定の IP アドレスへのルートをトレースするには、EXEC モードで traceroute コマンドを使用します。
traceroute [ ip_address [size packet ]]
• ip_address ― ルートの IP アドレス。ドット付き 10 進表記で IP アドレスを入力します(たとえば、172.27.16.10)。この引数をコマンドと一緒に指定しなくても問題はありませんが、IP アドレスを入力するよう指示されます。
• size packet ― (任意)パケット サイズを指定します。40 ~ 452 の数値を入力します。デフォルト値は 40 です。
たとえば、IP アドレス 192.168.173.140 をトレースするには、次のように入力します。
traceroute セッションを終了するには、 Ctrl-C を押します。
ACE に設定された IP アドレスに対して traceroute を使用することはできますが、いくつかの制限があります。ACE に設定された IP インターフェイスに対して traceroute を使用する場合、以下に注意してください。
• 次の例のように、ICMP トラフィックを許可する管理ポリシーを設定しないと、ICMP traceroute は機能しません。
(注) ほとんどの traceroute ではデフォルトのプロトコルである UDP を使用します。traceroute を ICMP に変更するには、コマンドライン オプションを使用します。たとえば、Linux では -I オプションを使用します。
• UDP または TCP ベースの traceroute は機能しません。ACE への一時的なポートで UDP または TCP トラフィックを許可する方法はありません。
ACE の背後にあるホストに対して UDP、TCP、または ICMP ベースの traceroute を使用する場合は、予期したとおりに機能します。ただし、ACE は traceroute でホップとして表示されません。ACE によって、転送する IP パケットの TTL は減りません。
ACE に設定された VIP アドレスに対して traceroute を使用する場合、ACE は VIP アドレスに送信される traceroute パケットを代行受信しません。ACE は、パケットをロード バランス ポリシーと照合します。プロトコルの一致がある場合、ACE は traceroute に適宜応答する実サーバへパケットを送信します。
ACE に設定された IP ルートを表示するには、EXEC モードで show ip route コマンドを使用します。たとえば、次のように入力します。
表2-2 に show ip route コマンドの出力フィールドを示します。
|
|
---|---|
ルートの種類と状態を識別するフラグ。次のいずれかのコードが出力情報の上に表示されます。 |
現在のコンテキストのルート要約情報を表示するには、 show ip route summary コマンドを使用します。たとえば、次のように入力します。
表2-3 に show ip route summary コマンドの出力フィールドを示します。
|
|
---|---|
IP トラフィック情報を表示するには、EXEC モードで show ip traffic コマンドを使用します。このコマンドの構文は次のとおりです。
表2-4 に show ip traffic コマンドの出力フィールドを示します。
|
|
---|---|
ACE が受信した総パケット数、ACE が受信した総バイト数、入力エラー数、ACE が受信したルートのないパケット数、ACE が受信したプロトコルの不明なパケット数 |
|
ACE が再構成したフラグメント数、ACE が再構成できなかったフラグメント数、ACE がフラグメント化したパケット数、ACE がフラグメント化できなかったパケット数 |
|
show ip route internal コマンドはデバッグに使用します。このコマンドの出力は、訓練を受けたシスコの保守担当者が ACE のデバッグとトラブルシューティングを行う際に活用するためのものです。このコマンド構文の詳細については、『 Cisco Application Control Engine Module Command Reference 』を参照してください。
Forwarding Information Base(FIB; 転送情報ベース)テーブルには、転送プロセッサが IP 転送の判断を行うのに必要な情報が含まれています。このテーブルは、ルート テーブルと ARP テーブルを基に構築されます。コンテキストの FIB テーブルを表示するには、 show ip fib コマンドを使用します。たとえば、次のように入力します。
表2-5 に show ip fib コマンドの出力フィールドを示します。
|
|
---|---|
ルートの種類と状態を識別するフラグ。次のいずれかのコードが出力情報の上に表示されます。 |
コンテキストの FIB テーブルの要約を表示するには、 show ip fib summary コマンドを使用します。たとえば、次のように入力します。
表2-6 に show ip fib summary コマンドの出力フィールドを示します。
|
|
---|---|
show ip fib コマンドはデバッグに使用します。このコマンドの出力は、訓練を受けたシスコの保守担当者が ACE のデバッグとトラブルシューティングを行う際に活用するためのものです。このコマンド構文の詳細については、『 Cisco Application Control Engine Module Command Reference 』を参照してください。