RIP

この章では、ルーティング情報プロトコル(RIP)を使用してデータをルーティングし、認証を実行し、ルーティング情報を再配布するように Threat Defense を設定する方法について説明します。仮想ルーティングを使用しているデバイスの場合、ユーザ定義の仮想ルータではなく、グローバル仮想ルータに対してのみ RIP を設定できます。

RIP について

RIP と呼ばれることが多い Routing Information Protocol は、すべてのルーティング プロトコルの中で最も堅牢なものの 1 つです。RIP には、ルーティング アップデート プロセス、RIP ルーティング メトリック、ルーティング安定性、ルーティング タイマーの 4 つの基本的なコンポーネントがあります。RIP をサポートしているデバイスは、ルーティング アップデート メッセージを定期的に、またネットワーク トポロジが変更されたときに送信します。これらの RIP パケットには、デバイスが到達可能なネットワークに関する情報、さらに宛先アドレスに到達するためにパケットが通過しなければならないルータやゲートウェイの数が含まれています。RIP では、生成されるトラフィックは OSPF より多くなりますが、設定は OSPF より容易です。

RIP は、ホップ カウントをパス選択のメトリックとして使用するディスタンス ベクター ルーティング プロトコルです。インターフェイス上で RIP が有効になっている場合、インターフェイスは、ネイバー デバイスと RIP ブロードキャストを交換して、ルートの動的な学習およびアドバタイズを行います。

Secure Firewall Threat Defense デバイス は、RIP バージョン 1 と RIP バージョン 2 の両方をサポートしています。RIP バージョン 1 では、ルーティング アップデートでサブネットマスクは送信されません。RIP バージョン 2 では、ルーティング アップデートでサブネットマスクが送信され、可変長サブネット マスクがサポートされています。さらに、RIP バージョン 2 では、ルーティング アップデートを交換するときのネイバー認証がサポートされています。この認証により、信頼性の高い送信元から信頼できるルーティング情報が Secure Firewall Threat Defense デバイス で受信できるようになります。

RIP は、初期設定が簡単で、トポロジが変更されても設定を更新する必要がないため、スタティック ルーティングより有利です。RIP の欠点は、スタティック ルーティングよりネットワークや処理オーバーヘッドが大きいことです。

ルーティング アップデート プロセス

RIP は、ルーティングアップデート メッセージを定期的に送信するだけでなく、ネットワーク トポロジが変更された場合にも送信します。ルータは、エントリの変更が含まれるルーティング アップデートを受け取ると、新しいルートを反映するようにそのルーティング テーブルを更新します。パスのメトリック値は 1 ずつ大きくなり、送信者はネクスト ホップとして示されます。RIP ルータは、宛先に対する最適なルート(メトリック値が最も小さいルート)だけを保持します。ルータは、そのルーティング テーブルを更新した後、他のネットワーク ルータに変更を通知するために、ルーティング アップデートの送信をただちに開始します。これらのアップデートは、RIP ルータが送信する定期的にスケジュールされたアップデートとは独立して送信されます。

RIP のルーティング メトリック

RIP は、1 つのルーティング メトリック(ホップ カウント)を使用して発信元と宛先ネットワークとの距離を測定します。発信元から宛先までのパスの各ホップにはホップ カウント値(通常は 1)が割り当てられます。ルータが、新しいまたは変更された宛先ネットワーク エントリが含まれるルーティング アップデートを受け取ると、アップデートで示されたメトリック値に 1 を加算し、そのネットワークをルーティング テーブルに入れます。送信者の IP アドレスがネクスト ホップとして使用されます。

RIP 安定性機能

RIP は、送信元から宛先へのパスで許可されるホップ数に制限を導入することにより、ルーティング ループが無限に続くことを防止しています。パス内のホップの最大数は 15 です。新しいまたは変更されたエントリが含まれるルーティング アップデートをルータが受信し、メトリック値に 1 を加えた結果、メトリックが無限(つまり 16)になる場合は、ネットワークの宛先は到達不能と見なされます。この安定性機能の欠点は、この機能によって RIP ネットワークの直径の最大値が 16 ホップ未満に制限されることです。

RIP には、その他にも、多くのルーティング プロトコルに共通の安定性機能がいくつか含まれます。ネットワーク トポロジは急激に変化する可能性がありますが、これらの機能は、安定性を提供するように設計されています。たとえば、RIP では、スプリット ホライズンとホールドダウン メカニズムを実装して、間違ったルーティング情報が伝搬されることを防止しています。

RIP タイマー

RIP では、多数のタイマーを使用してそのパフォーマンスを調整しています。RIP のタイマーステージは次のとおりです。

  • 更新:ルーティングアップデート タイマーは、定期的なルーティングアップデートの間隔を測ります。これは、デバイスがルーティングアップデートを送信する頻度です。通常は 30 秒に設定されており、タイマーがリセットされたときにはランダムな時間がわずかに追加されます。これは、すべてのルータがそのネイバーを同時にアップデートしようとした結果発生する輻輳を防ぐためです。

  • 無効:ルーティングテーブルの各エントリには、ルートタイムアウトタイマーが関連付けられています。これは、デバイスが最後の有効な更新を受信してからの秒数です。ルートタイムアウト タイマーが期限切れになると、ルートには無効のマークが付きますが、ルートフラッシュ タイマーが期限切れになるまではテーブル内に保持されます。このタイマーが期限切れになると、ルートはホールドダウン状態になります。デフォルト値は 180 秒(3 分)です。

  • ホールドダウン:ホールドダウン期間は、ホールドダウン状態のルート(つまり、無効とマークされたルート)の新しい更新を受け入れる前にシステムが待機する秒数です。デフォルト値は 180 秒(3 分)です。

  • フラッシュ:ルートフラッシュタイマーは、システムが最後の有効な更新を受信してから、ルートが破棄されてルーティングテーブルから削除されるまでの秒数です。デフォルトは 240 秒(4 分)です。

たとえば、隣接ルータのインターフェイスがダウンすると、システムは隣接ルータからルーティングアップデートを受信しなくなります。この時点で、無効タイマーとフラッシュタイマーが増加し始めます。最初の 180 秒間は何も起こりません。180 秒後、無効タイマーが期限切れになり、ルートが無効になりますが、ホールドダウンタイマーが開始され、ルートはさらに 60 秒間保持されます。隣接ルータのインターフェイスステータスに関する更新がまだない場合(つまり、まだダウンしている場合)、ルートはフラッシュ状態になり、システムは最後の更新から合計 240 秒(無効タイマーの 180 秒とホールドダウンタイマーの 60 秒)待機してから、ルートをフラッシュします。隣接ルータインターフェイスがすぐに起動しても、ホールドダウンタイマーが残りの 120 秒を完了するまで、システムはルーティングアップデートを受け入れません。

RIP の要件と前提条件

モデルのサポート

Threat Defense

Threat Defense Virtual

サポートされるドメイン

任意

ユーザの役割

管理者

ネットワーク管理者

RIP のガイドライン

IPv6 のガイドライン

IPv6 はサポートされません。

その他のガイドライン

次の情報は、RIP バージョン 2 だけに適用されます。

  • ネイバー認証を使用する場合、認証キーとキー ID は、RIP バージョン 2 アップデートをそのインターフェイスに提供するすべてのネイバー デバイス上で同じにする必要があります。

  • RIP バージョン 2 の場合、Secure Firewall Threat Defense デバイス は、マルチキャスト アドレス 224.0.0.9 を使用してデフォルト ルート アップデートを送受信します。パッシブ モードでは、そのアドレスでルート アップデートが受信されます。

  • RIP バージョン 2 がインターフェイス上で設定されると、マルチキャスト アドレス 224.0.0.9 がそのインターフェイス上で登録されます。RIP バージョン 2 設定がインターフェイスから削除されると、そのマルチキャスト アドレスの登録は解除されます。

制限事項

  • RIP アップデートは、Secure Firewall Threat Defense デバイス のインターフェイス間を通過できません。

  • RIP バージョン 1 では、可変長サブネット マスクがサポートされていません。

  • RIP の最大ホップ カウントは 15 です。ホップ カウントが 15 を超えるルートは、到達不能と見なされます。

  • RIP の収束は、他のルーティング プロトコルと比べて時間がかかります。

  • Secure Firewall Threat Defense デバイス では、RIP プロセスを 1 つだけイネーブルにできます。

RIP の設定

RIP は、ホップ カウントをメトリックとして使用するディスタンスベクトル ルーティング プロトコルです。

手順

ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)] を選択し、Threat Defense デバイスを編集します。

ステップ 2

[ルーティング(Routing)] を選択します。

ステップ 3

コンテンツ テーブルから [RIP] を選択します。

ステップ 4

[RIPを有効にする(Enable RIP)] チェックボックスをオンにして、RIP を設定します。

ステップ 5

[RIPバージョン(RIP Version)] ドロップダウンリストから、RIP の更新を送受信するための RIP バージョンを選択します。

ステップ 6

(オプション)[デフォルトルートの生成(Generate Default Route)] チェックボックスをオンにして、指定したルートマップに基づく配布用のデフォルトルートを生成します。

  1. [ルート マップ(Route map)] フィールドで、デフォルト ルートの生成に使用するルート マップ名を指定します。

    [ルート マップ(Route map)] フィールドで指定したルート マップが存在する場合、特定のインターフェイスで配布されるデフォルト ルート 0.0.0.0/0 が生成されます。

ステップ 7

[RIP バージョン(RIP Version)] として [バージョン 2 の送受信(Send and Receive Version 2)] を選択した場合、[自動集約の有効化(Enable Auto Summary)] オプションが使用可能になります。[自動集約の有効化(Enable Auto Summary)] チェックボックスをオンにすると、自動ルート集約が有効になります。切断されているサブネット間のルーティングを実行する必要がある場合は、自動サマライズを無効にします。自動サマライズを無効にすると、サブネットがアドバタイズされます。

(注)  

 

RIP バージョン 1 では、常に自動サマライズが使用されます。無効にすることはできません。

ステップ 8

[Networks] をクリックします。RIP ルーティングに対して 1 つ以上のネットワークを定義します。IP アドレスを入力するか、目的のネットワーク/ホスト オブジェクトを入力または選択します。セキュリティ アプライアンスの設定に追加できるネットワーク数に制限はありません。このコマンドで定義されるネットワークに属しているインターフェイスは、RIP ルーティング プロセスに参加します。RIP ルーティング更新は、指定したネットワークのインターフェイスだけを介して送受信されます。また、インターフェイスのネットワークを指定しない場合、インターフェイスは RIP 更新でアドバタイズされません。

(注)  

 

RIP では、IPv4 オブジェクトのみがサポートされます。

ステップ 9

(オプション)[パッシブインターフェイス(Passive Interfaces)] をクリックします。このオプションを使用して、アプライアンスでパッシブ インターフェイスを指定してから、アクティブ インターフェイスを指定します。デバイスは、そのルーティング テーブルを入力するための情報を使用して、パッシブ インターフェイスでの RIP ルートのブロードキャストをリッスンしますが、パッシブ インターフェイスでのルーティング更新はブロードキャストしません。パッシブとして指定されていないインターフェイスは、更新を送受信します。

ステップ 10

[再配布(Redistribution)] をクリックして、再配布ルートを管理します。これらは、他のルーティング プロセスから RIP ルーティング プロセスに再配布されているルートです。

  1. [追加(Add)] をクリックして、再配布ルートを指定します。

  2. [プロトコル(Protocol)] ドロップダウンリストから、RIP ルーティングプロセスに再配布するルーティングプロトコルを選択します。

    (注)  

     

    OSPF プロトコルの場合は、プロセス ID を指定します。同様に、BGP の場合は AS パスとして指定します。[プロトコル(Protocol)] ドロップダウン リストで [接続済み(Connected)] オプションを選択すると、直接接続されたネットワークを RIP ルーティング プロセスに再配布できます。

  3. (オプション)OSPF ルートを RIP ルーティング プロセスに再配布する場合、[一致(Match)] ドロップダウン リストで、再配布する特定のタイプの OSPF ルートを選択できます。複数のタイプを選択するには、Ctrl を押しながらクリックします。

    • [内部(Internal)]:自律システム(AS)に対して内部のルートが再配布されます。

    • [外部1(External 1)]:AS に対して外部のタイプ 1 ルートが再配布されます。

    • [外部2(External 2)]:AS に対して外部のタイプ 2 ルートが再配布されます。

    • [NSSA外部1(NSSA External 1)]:Not-So-Stubby Area(NSSA)の外部のタイプ 1 ルートが再配布されます。

    • [NSSA外部2(NSSA External 2)]:NSSA の外部のタイプ 2 ルートが再配布されます。

    (注)  

     

    デフォルトの一致は、[内部(Internal)]、[外部 1(External 1)]、および [外部 2(External 2)] です。

  4. [メトリック(Metric)] ドロップダウン リストから、再配布されたルートに適用する RIP メトリック タイプを選択します。選択肢は次の 2 つです。

    • [トランスペアレント(Transparent)]:現在のルートメトリックを使用します。

    • [指定値(Specified Value)]:特定のメトリック値を割り当てます。[メトリック値(Metric Value)] フィールドに 0 ~ 16 の特定の値を入力します。

    • [なし(None)]:メトリックが指定されません。再配布されたルートに適用するメトリック値を使用しないでください。

    (注)  

     

    [なし(None)] オプションは、静的プロトコルと接続済みプロトコルにのみ適用されます。

  5. (オプション)[ルート マップ(Route Map)] フィールドに、ルートが RIP ルーティング プロセスに再配布される前に満たす必要のあるルート マップの名前を指定します。ルートは、IP アドレスがルートマップ アドレス リストの許可文と一致する場合にのみ再配布されます。新しいルートマップオブジェクトを作成するには、Add ( add icon) をクリックします。新しいルートマップを追加する手順については、「ルートマップエントリの設定」を参照してください。

  6. [OK] をクリックします。

ステップ 11

(オプション)[フィルタリング(Filtering)] をクリックして、RIP ポリシーのフィルタを管理します。このセクションでは、インターフェイスでのルーティング更新の回避、ルーティング更新でのルートのアドバタイズ制御、ルーティング更新の処理制御、およびルーティング更新の送信元フィルタリングに、フィルタを使用します。

  1. [追加(Add)] をクリックして、RIP フィルタを追加します。

  2. [トラフィックの方向(Traffic Direction)] フィールドでフィルタリングされるトラフィックのタイプ([着信(Inbound)] または [発信(Outbound)])を選択します。

    (注)  

     

    トラフィックの方向が着信の場合、インターフェイス フィルタだけを定義できます。

  3. [フィルタオン(Filter On)] フィールドで適切な項目を選択して、フィルタがインターフェイスまたはルートのいずれに基づくかを指定します。[インターフェイス(Interface)] をクリックした場合、ルーティング更新がフィルタリングされるインターフェイスの名前を入力または選択します。[ルート(Route)] をクリックした場合、ルートタイプを選択します。

    • [スタティック(Static)]:スタティックルートだけがフィルタリングされます。

    • [接続済み(Connected)]:接続されたルートだけがフィルタリングされます。

    • [OSPF]:指定した OSPF プロセスによって検出された OSPFv2 ルートだけがフィルタリングされます。フィルタリングされる OSPF プロセスの [プロセス ID(Process ID)] を入力します。

    • [BGP]:指定した BGP プロセスによって検出された BGPv4 ルートだけがフィルタリングされます。フィルタリングされる BGP プロセスの AS パスを入力します。

  4. [アクセスリスト(Access List)] フィールドで、許可されるネットワークまたは RIP ルートアドバタイズメントから削除されるネットワークを定義する 1 つ以上のアクセスコントロールリスト(ACL)の名前を入力または選択します。新しい標準アクセスリストオブジェクトを追加するには、Add ( add icon) をクリックし、標準 ACL オブジェクトの設定を参照してください。

  5. [OK] をクリックします。

ステップ 12

(オプション)[ブロードキャスト(Broadcast)] をクリックして、インターフェイス設定を追加または編集します。[ブロードキャスト(Broadcast)] を使用して、インターフェイスごとに送受信するグローバル RIP バージョンをオーバーライドできます。また、有効な RIP アップデートを確認するための認証を実装する場合は、インターフェイスごとの認証パラメータを定義できます。

  1. [追加(Add)] をクリックして、インターフェイス設定を追加します。

  2. [インターフェイス(Interface)] フィールドで、このアプライアンスで定義されるインターフェイスを入力または選択します。

  3. [送信(Send)] オプションで、該当するボックスを選択して、RIP バージョン 1、バージョン 2、または両方を使用して更新を送信するように指定します。これらのオプションを使用して、指定されたインターフェイスについて、指定したグローバルな送信バージョンをオーバーライドできます。

  4. [受信(Receive)] オプションで、該当するボックスを選択して、RIP バージョン 1、バージョン 2、または両方を使用して更新を受け入れるように指定します。これらのオプションを使用して、指定されたインターフェイスについて、指定したグローバルな受信バージョンをオーバーライドできます。

  5. RIP ブロードキャストに対してこのインターフェイスで使用される認証を選択します。

    • [なし(None)]:認証はありません。

    • [MD5]:MD5 を使用します。

    • [クリアテキスト(Clear Text)]:クリアテキスト認証を使用します。

    [MD5] または [クリア テキスト(Clear Text)] を選択した場合、次の認証パラメータも指定する必要があります。

    • [キー ID(Key ID)]:認証キーの ID。有効な値は 0 ~ 255 です。

    • [キー(Key)]:選択した認証方式で使用されるキー。最大 16 文字まで使用できます

    • [確認(Confirm)]:確認のために、認証キーを再度入力します。

  6. [OK] をクリックします。