最も単純なオプションは、すべてのトラフィックを上流に位置するルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルト ルートは、ASA が既知のルートもスタティック ルートも指定されていないすべての IP パケットを送信するゲートウェイ IP アドレスを特定します。デフォルト スタティック ルートは、宛先 IP アドレスとして 0.0.0.0/0 が指定された単純なスタティック ルートです。

次の場合は、スタティック ルートを使用します。

• ネットワークがサポート対象外のルータ ディスカバリ プロトコルを使用している。

• ネットワークが小規模でスタティック ルートを容易に管理できる。

• ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。

• 場合によっては、デフォルト ルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、/Firepower Threat Defense デバイス に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。

• ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。

アクセス ルールを使用すると、ヘッダーに含まれている情報に基づいてパケットをフィルタ処理することができます。null0 インターフェイスへのスタティック ルートは、アクセス ルールを補完するソリューションです。null0 ルートを使用して、不要なトラフィックや望ましくないトラフィックを「ブラック ホール」に転送できるため、トラフィックがドロップされます。

スタティック null0 ルートには、推奨パフォーマンス プロファイルが割り当てられます。また、スタティック null0 ルートを使用して、ルーティング ループを回避することもできます。BGP では、リモート トリガ型ブラック ホール ルーティングのためにスタティック null0 ルートを活用できます。

• 特定の宛先が特定されたルートはデフォルト ルートより優先されます。

• 宛先が同じルートが複数存在する場合（スタティックまたはダイナミック）、ルートのアドミニストレーティブ ディスタンスによってプライオリティが決まります。スタティック ルートは 1 に設定されるため、通常、それらが最もプライオリティの高いルートです。

• 宛先かつアドミニストレーティブ ディスタンスが同じスタティック ルートが複数存在する場合は、ECMP ルーティングを参照してください。

• [トンネル化（Tunneled）] オプションを使用してトンネルから出力されるトラフィックの場合、このルートが他の設定済みルートまたは学習されたデフォルト ルートをすべてオーバーライドします。

ブリッジ グループ メンバー インターフェイスを通じて直接には接続されていないネットワークに向かう /Firepower Threat Defense デバイス で発信されるトラフィックの場合、/Firepower Threat Defense デバイス がどのブリッジ グループ メンバー インターフェイスからトラフィックを送信するかを認識するように、デフォルト ルートまたはスタティック ルートを設定する必要があります。/Firepower Threat Defense デバイス で発信されるトラフィックには、syslog サーバまたは SNMP サーバへの通信が含まれることもあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。トランスペアレント モードの場合、ゲートウェイ インターフェイスとして BVI を指定できません。つまり、メンバー インターフェイスのみを使用できます。ルーテッド モードのブリッジ グループの場合、スタティック ルートに BVI を指定する必要があります。つまり、メンバー インターフェイスを指定することはできません。詳細については、MAC アドレスとルート ルックアップを参照してください。

スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクスト ホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、/Firepower Threat Defense デバイス 上の関連付けられたインターフェイスがダウンした場合に限りルーティング テーブルから削除されます。

スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。

/Firepower Threat Defense デバイス では、/Firepower Threat Defense デバイス が ICMP エコー要求を使用してモニタする宛先ネットワーク上でモニタリング対象ホストにスタティック ルートを関連付けることでスタティック ルート トラッキングを実装します。指定された時間内にエコー応答がない場合は、そのホストはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、メトリックが高い追跡対象外のバックアップ ルートが使用されます。

モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。

• ISP ゲートウェイ アドレス（デュアル ISP サポート用）

• ネクスト ホップ ゲートウェイ アドレス（ゲートウェイの使用可能状況に懸念がある場合）

• /Firepower Threat Defense デバイス が通信する必要のある対象ネットワーク上のサーバ（syslog サーバなど）

• 宛先ネットワーク上の永続的なネットワーク オブジェクト

（注）	夜間にシャットダウンする PC は適しません。

スタティック ルート トラッキングは、スタティックに定義されたルートや、DHCP または PPPoE を通じて取得したデフォルト ルートに対して設定することができます。設定済みのルート トラッキングでは、複数のインターフェイス上の PPPoE クライアントだけを有効化することができます。