スタティック ルートとデフォルト ルート

この章では、ASA でスタティック ルートとデフォルト ルートを設定する方法について説明します。

スタティック ルートとデフォルト ルートについて

接続されていないホストやネットワークにトラフィックをルーティングするには、スタティックルーティングまたはダイナミックルーティングを使用して、ホストまたはネットワークへのルートを定義する必要があります。通常は、少なくとも 1 つのスタティック ルート、つまり、他の方法でデフォルトのネットワーク ゲートウェイにルーティングされていない、すべてのトラフィック用のデフォルト ルート(通常、ネクスト ホップ ルータ)を設定する必要があります。

デフォルトルート

最も単純なオプションは、すべてのトラフィックをアップストリームルータに送信するようにデフォルトスタティックルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、ASAが送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートとは、つまり宛先の IP アドレスとして 0.0.0.0/0(IPv4)または ::/0(IPv6)が指定されたスタティック ルートのことです。

デフォルト ルートを常に定義する必要があります。

ASA デバイスはデータトラフィックと管理トラフィックに個別のルーティングテーブルを使用するため、必要に応じて、データトラフィック用のデフォルトルートと管理トラフィック用の別のデフォルトルートを設定できます。デバイス間トラフィックでは、タイプに応じてデフォルトで管理専用またはデータルーティングテーブルが使用されます。ただし、ルートが見つからない場合は、他のルーティングテーブルにフォールバックします。デフォルトルートは常にトラフィックに一致するため、他のルーティングテーブルへのフォールバックが妨げられます。この場合、インターフェイスがデフォルトのルーティング テーブルになければ、出力トラフィックに使用するインターフェイスを指定する必要があります。

スタティック ルート

次の場合は、スタティックルートを使用します。

  • ネットワークでサポートされていないルータ検出プロトコルが使用されている。

  • ネットワークが小規模でスタティック ルートを容易に管理できる。

  • ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

  • デフォルトルートでは十分でない場合がある。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティックルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、ASA に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

  • ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。

不要なトラフィックをドロップするための null0 インターフェイスへのルート

アクセス ルールを使用すると、ヘッダーに含まれている情報に基づいてパケットをフィルタ処理することができます。null0 インターフェイスへのスタティック ルートは、アクセス ルールを補完するソリューションです。null0 ルートを使用して不要なトラフィックや望ましくないトラフィックを転送することで、トラフィックをドロップできます。

スタティック null0 ルートには、推奨パフォーマンス プロファイルが割り当てられます。また、スタティック null0 ルートを使用して、ルーティング ループを回避することもできます。BGP では、リモート トリガ型ブラック ホール ルーティングのためにスタティック null0 ルートを活用できます。

ルートのプライオリティ

  • 特定の宛先が特定されたルートはデフォルト ルートより優先されます。

  • 宛先が同じルートが複数存在する場合(スタティックまたはダイナミック)、ルートのアドミニストレーティブ ディスタンスによってプライオリティが決まります。スタティック ルートは 1 に設定されるため、通常、それらが最もプライオリティの高いルートです。

  • 宛先かつアドミニストレーティブ ディスタンスが同じスタティック ルートが複数存在する場合は、Equal-Cost Multipath(ECMP)ルーティングを参照してください。

  • [トンネル化(Tunneled)] オプションを使用してトンネルから出力されるトラフィックの場合、このルートが他の設定済みルートまたは学習されたデフォルト ルートをすべてオーバーライドします。

トランスペアレント ファイアウォール モードおよびブリッジ グループのルート

ブリッジ グループ メンバー インターフェイスを通じて直接には接続されていないネットワークに向かう ASA で発信されるトラフィックの場合、ASA がどのブリッジ グループ メンバー インターフェイスからトラフィックを送信するかを認識するように、デフォルト ルートまたはスタティック ルートを設定する必要があります。ASA で発信されるトラフィックには、syslog サーバーまたは SNMP サーバーへの通信が含まれることもあります。1 つのデフォルト ルートで到達できないサーバーがある場合、スタティック ルートを設定する必要があります。トランスペアレント モードの場合、ゲートウェイ インターフェイスに BVI を指定できません。メンバー インターフェイスのみが使用できます。ルーテッド モードのブリッジ グループの場合、スタティック ルートに BVI を指定する必要があります。メンバー インターフェイスを指定することはできません。詳細については、MAC アドレスとルート ルックアップを参照してください。

スタティック ルート トラッキング

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクスト ホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、ASA 上の関連付けられたインターフェイスがダウンした場合に限りルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。

ASA では、ASA が ICMP エコー要求を使用してモニタする宛先ネットワーク上でモニタリング対象スタティック ルートを関連付けることでスタティック ルート トラッキングを実装します。指定された時間内にエコー応答がない場合は、そのホストはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、メトリックが高い追跡対象外のバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。

  • ISP ゲートウェイ アドレス(デュアル ISP サポート用)

  • ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)

  • ASA が通信を行う必要のある対象ネットワーク上のサーバー(syslog サーバーなど)

  • 宛先ネットワーク上の永続的なネットワーク オブジェクト


(注)  

夜間にシャットダウンする PC は適しません。

スタティック ルート トラッキングは、スタティックに定義されたルートや、DHCP または PPPoE を通じて取得したデフォルト ルートに対して設定することができます。設定済みのルート トラッキングでは、複数のインターフェイス上の PPPoE クライアントだけを有効化することができます。

スタティック ルートとデフォルト ルートのガイドライン

ファイアウォール モードとブリッジ グループ

  • トランスペアレント モードでは、スタティック ルートはブリッジ グループ メンバー インターフェイスをゲートウェイとして使用する必要があります。BVI を指定することはできません。

  • ルーテッドモードでは、BVI をゲートウェイとして指定する必要があります。メンバーインターフェイスは指定できません。

  • スタティック ルート トラッキングは、ブリッジ グループ メンバー インターフェイスまたは BVI ではサポートされません。

サポートされるネットワークアドレス

  • IPv6 では、スタティック ルート トラッキングはサポートされません。

  • ASA はクラス E ルーティングをサポートしていないため、クラス E ネットワークはスタティックルートでルーティングできません。

クラスタリングとマルチコンテキストモード

  • クラスタリングでは、スタティック ルート トラッキングはコントロールノードでのみサポートされます。

  • スタティック ルート トラッキングはマルチコンテキストモードではサポートされません。

ASP および RIB ルートエントリ

デバイスにインストールされているすべてのルートとその距離は、ASP ルーティングテーブルにキャプチャされます。これは、すべての静的および動的ルーティングプロトコルに共通です。最適な距離のルートのみが RIB テーブルにキャプチャされます。

デフォルト ルートおよびスタティック ルートの設定

少なくとも 1 つのデフォルト ルートを設定する必要があります。また、スタティック ルートの設定が必要になる場合があります。このセクションでは、デフォルト ルートの設定、スタティック ルートの設定、スタティック ルートの追跡を行います。

デフォルト ルートの設定

デフォルト ルートは、宛先 IP アドレスが 0.0.0.0/0 のスタティック ルートです。この手順に従って手動で設定するか、DHCP サーバーや他のルーティング プロトコルから取得するかに関わらず、デフォルト ルートは必ず設定する必要があります。

始める前に

[Tunneled] オプションについては、次のガイドラインを参照してください。

  • トンネル ルートの出力インターフェイスで、ユニキャスト RPFip verify reverse-path コマンド)を有効にしないでください。この設定を行うと、セッションでエラーが発生します。

  • トンネル ルートの出力インターフェイスで、TCP 代行受信をイネーブルにしないでください。この設定を行うと、セッションでエラーが発生します。

  • これらのインスペクション エンジンはトンネル ルートを無視するため、トンネル ルートで VoIP インスペクション エンジン(CTIQBE、H.323、GTP、MGCP、RTSP、SIP、SKINNY)、DNS インスペクション エンジン、または DCE RPC インスペクション エンジンを使用しないでください。

  • tunneled オプションで複数のデフォルト ルートを定義することはできません。

  • トンネル トラフィックの ECMP はサポートされません。

  • トンネルルートは、通過トラフィックの VPN 終端をサポートしないブリッジグループではサポートされません。

手順

デフォルト ルートを追加します。

IPv4:

routeif_name 0.0.0.0 0.0.0.0 gateway_ip [distance] [tunneled]

IPv6:

ipv6 route if_name ::/0 gateway_ip [distance] [tunneled]

例:


ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 192.168.2.4
ciscoasa(config)# route inside 0.0.0.0 0.0.0.0 10.1.2.3 tunneled
ciscoasa(config)# ipv6 route inside ::/0 3FFE:1100:0:CC00::1

if_name は、特定のトラフィックの送信を行うインターフェイスです。トランスペアレント モードの場合は、ブリッジ グループのメンバー インターフェイスの名前を指定します。 ブリッジ グループでルーテッド モードを使用する場合は、BVI 名を指定します。

distance 引数は、ルートのアドミニストレーティブ ディスタンス(1 ~ 254)です。値を指定しない場合、デフォルトは 1 です。アドミニストレーティブ ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトのアドミニストレーティブ ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。OSPF で検出されるルートのデフォルトのアドミニストレーティブ ディスタンスは 110 です。スタティック ルートとダイナミック ルートのアドミニストレーティブ ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

(注)  

 

through-the-box トラフィックの場合、異なるメトリックを持つ個別のインターフェイス上で 2 つのデフォルトルートが設定されていると、大きい方のメトリックを持つインターフェイスから ASA への接続の確立には失敗しますが、小さい方のメトリックを持つインターフェイスから ASA への接続は予期したとおりに成功します。from-the-box トラフィックの場合、異なるメトリックを持つ個別のインターフェイス上で 2 つのデフォルトルートが設定されていると、着信接続に使用されたインターフェイスによっては、両方のインターフェイスが from-the-box トラフィックに使用されることがあります。

VPN トラフィックに非 VPN トラフィックとは別のデフォルト ルートを使用する必要がある場合は、tunneled キーワードを使用して VPN トラフィック用の別個のデフォルト ルートを定義できます。その場合、たとえば VPN 接続からの着信トラフィックは内部ネットワークに転送する一方、内部ネットワークからのトラフィックは外部に転送するといった設定を簡単に行うことができます。tunneled オプションを使用してデフォルト ルートを作成すると、ASA に着信するトンネルからのすべてのトラフィックは、学習したルートまたはスタティック ルートを使用してルーティングできない場合、このルートに送信されます。このオプションは、ブリッジグループではサポートされません。

ヒント

 

宛先ネットワーク アドレスおよびマスクとして、0.0.0.0 0.0.0.0 の代わりに 0 0 と入力できます。たとえば、routeoutside 0 0 192.168.2.4 のように入力します。

スタティック ルートの設定

スタティック ルートは、特定の宛先ネットワークのトラフィックの送信先を定義します。

手順

スタティック ルートを追加します。

IPv4:

route if_name dest_ip mask gateway_ip [distance]

IPv6:

ipv6 route if_name dest_ipv6_prefix/prefix_length gateway_ip [distance]

例:


ciscoasa(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1
ciscoasa(config)# ipv6 route outside 2001:DB8:1::0/32 2001:DB8:0:CC00::1

if_name は、特定のトラフィックの送信を行うインターフェイスです。不要なトラフィックをドロップするには、null0 インターフェイスを入力します。トランスペアレント モードの場合は、ブリッジ グループのメンバー インターフェイスの名前を指定します。 ブリッジ グループでルーテッド モードを使用する場合は、BVI 名を指定します。

dest_ip 引数と mask または dest_ipv6_prefix/prefix_length 引数は宛先ネットワークの IP アドレスであり、gateway_ip 引数はネクスト ホップ ルータのアドレスです。スタティック ルートに指定するアドレスは、ASA に到達して NAT を実行する前のパケットにあるアドレスです。

distance 引数は、ルートのアドミニストレーティブ ディスタンスです。値を指定しない場合、デフォルトは 1 です。アドミニストレーティブ ディスタンスは、複数のルーティング プロトコル間でルートを比較するのに使用されるパラメータです。スタティック ルートのデフォルトのアドミニストレーティブ ディスタンスは 1 で、ダイナミック ルーティング プロトコルで検出されるルートより優先されますが、直接には接続されていないルートです。OSPF で検出されるルートのデフォルトのアドミニストレーティブ ディスタンスは 110 です。スタティック ルートとダイナミック ルートのアドミニストレーティブ ディスタンスが同じ場合、スタティック ルートが優先されます。接続されているルートは常に、スタティック ルートおよびダイナミックに検出されたルートのどちらよりも優先されます。

次に、同じゲートウェイに移動する 3 つのネットワークと、別のゲートウェイに移動するもう 1 つのネットワークの例を示します。 


route outside 10.10.10.0 255.255.255.0 192.168.1.1
route outside 10.10.20.0 255.255.255.0 192.168.1.1
route outside 10.10.30.0 255.255.255.0 192.168.1.1
route inside 10.10.40.0 255.255.255.0 10.1.1.1

スタティック ルート トラッキングの設定

スタティック ルート トラッキングを設定するには、次の手順を実行します。

手順

ステップ 1

ネットワークに到達するために使用されるインターフェイス(1 の外に)のスタティック ルートを構成します: 


ciscoasa(config)# route outside1 172.29.139.134 255.255.255.255 10.0.0.1

ステップ 2

モニタリング プロセスを次のように定義します。

sla monitor sla_id

例:


ciscoasa(config)# sla monitor 5
ciscoasa(config-sla-monitor)#

ステップ 3

モニタリング プロトコル、追跡対象ネットワークのターゲット ホスト、ネットワークに到達するときに経由するネットワークを指定します。

type echo protocol ipicmpechotarget_ip interface if_name

例:


ciscoasa(config-sla-monitor)# type echo protocol ipicmpecho 172.29.139.134 interface outside1
ciscoasa(config-sla-monitor-echo)#

target_ip 引数は、トラッキング プロセスによって使用可能かどうかをモニターされるネットワーク オブジェクトの IP アドレスです。このオブジェクトが使用可能な場合、トラッキング プロセス ルートがルーティング テーブルにインストールされます。このオブジェクトが使用できない場合、トラッキング プロセスがルートを削除し、代わりにバックアップ ルートが使用されます。

ステップ 4

(オプション)モニタリング オプションを設定します。frequency、num-packets、request-data-size、threshold、timeout、tos の各コマンドについては、コマンド リファレンスを参照してください。

ステップ 5

モニタリング プロセスのスケジュールを設定します。

sla monitor schedule sla_id [life {forever | seconds}] [start-time {hh:mm [:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]

例:


ciscoasa(config)# sla monitor schedule 5 life forever start-time now

通常、モニタリング スケジュールには sla monitor schedule sla_id life forever start-time now コマンドを使用し、モニタリング コンフィギュレーションでテスト頻度を決定できるようにします。

ただし、このモニタリング プロセスを将来開始するようにしたり、指定した時刻だけに実行されるようにスケジュールを設定したりできます。

ステップ 6

追跡するスタティック ルートを SLA モニタリング プロセスに関連付けます。

track track_id rtr sla_id reachability

例:


ciscoasa(config)# track 6 rtr 5 reachability

track_id 引数は、このコマンドで割り当てるトラッキング番号です。sla_id 引数は SLA プロセスの ID 番号です。

ステップ 7

次のルート タイプのいずれかを追跡します。

  • スタティック ルート:

    route if_name dest_ip mask gateway_ip [distance] track track_id

    例: 

    
ciscoasa(config)# route outside 10.10.10.0 255.255.255.0 192.168.1.1 track 6

    tunneled オプションは使用できません。

  • DHCP から取得したデフォルト ルート: 

    
interface interface_id
  dhcp client route track track_id
  ip address dhcp setroute

  • PPPoE から取得したデフォルト ルート: 

    
interface interface_id
  pppoe client route track track_id
  ip address pppoe setroute

ステップ 8

追跡対象外のバックアップ ルートを作成します。

バックアップ ルートは、追跡されたルートと同じ宛先へのスタティック ルートですが、異なるインターフェイスまたはゲートウェイを経由します。このルートは、追跡されたルートより長いアドミニストレーティブ ディスタンス(メトリック)に割り当てる必要があります。

スタティック ルートまたはデフォルト ルートのモニタリング

  • show route

    ルーティング テーブルを表示します。

スタティック ルートまたはデフォルト ルートの例

次の例は、スタティック ルートの作成方法を示します。スタティック ルートは、宛先が 10.1.1.0/24 のトラフィックすべてを内部インターフェイスに接続されているルータ(10.1.2.45)に送信します。また、dmz インターフェイスで 3 つの異なるゲートウェイにトラフィックを誘導する 3 つの等コスト スタティック ルートを定義し、トンネル トラフィックのデフォルト ルートと通常のトラフィックのデフォルト ルートを追加します。 


route inside 10.1.1.0 255.255.255.0 10.1.2.45
route dmz 10.10.10.0 255.255.255.0 192.168.2.1
route dmz 10.10.10.0 255.255.255.0 192.168.2.2
route dmz 10.10.10.0 255.255.255.0 192.168.2.3
route outside 0 0 209.165.201.1
route inside 0 0 10.1.2.45 tunneled

スタティック ルートおよびデフォルト ルートの履歴

表 1. スタティック ルートおよびデフォルト ルートの機能履歴

機能名

プラットフォーム リリース

機能情報

スタティック ルート トラッキング

7.2(1)

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。

clear configure sla、frequency, num-packets、request-data-size、show sla monitor、show running-config sla、sla monitor、sla monitor schedule, threshold、timeout、tos、track rtr の各コマンドが導入されました。

スタティック null0 ルートによるトラフィックのドロップ

9.2(1)

トラフィックを null0 インターフェイスへ送信すると、指定したネットワーク宛のパケットはドロップします。この機能は、BGP の Remotely Triggered Black Hole (RTBH) の設定に役立ちます。

route コマンドが変更されました。