- はじめに
- FireSIGHT システムへのログイン
- ダッシュボードの使用
- Context Explorer の使用法
- 再利用可能なオブジェクトの管理
- デバイスの管理
- IPS デバイスのセットアップ
- 仮想スイッチのセットアップ
- 仮想ルータのセットアップ
- ハイブリッド インターフェイスの設定
- ゲートウェイ VPN の使用
- NAT ポリシーの使用
- アクセス コントロール ポリシーの使用
- アクセス コントロール ルールの概要と作成
- 外部アラートの設定
- 接続およびセキュリティ インテリジェンス のデータの使用
- 侵入防御の概要
- 侵入イベントの操作
- インシデント対応
- 侵入ポリシーの設定
- 侵入ポリシー内のルールの管理
- 侵入ポリシーの詳細設定の使用
- 侵入ポリシーでのレイヤの使用
- 侵入ポリシーでのパフォーマンス設定の使用
- アプリケーション層プリプロセッサの使用
- トランスポート層およびネットワーク層プリプロセッサの使用
- FireSIGHT システムのコンプライアンス ツールとしての使用
- 特定の脅威の検出
- 適応型プロファイルの使用
- グローバル ルールしきい値の使用
- 侵入ルールの外部アラートの設定
- 侵入ルールの概要と作成
- マルウェアと禁止されたファイルのブロッキング
- マルウェアとファイル アクティビティの分析
- ネットワーク検出の概要
- ネットワーク マップの使用
- ホスト プロファイルの使用
- ディスカバリ イベントの使用
- 相関ポリシーおよび相関ルールの設定
- トラフィック プロファイルの作成
- 修復の設定
- ネットワーク ディスカバリの強化
- アクティブ スキャンの設定
- レポートの操作
- イベントの検索
- カスタム テーブルの使用
- ワークフローの概要と使用
- ユーザの管理
- タスクのスケジュール
- システム ポリシーの管理
- アプライアンス設定の構成
- FireSIGHT システムのライセンス
- システムソフトウェアの更新
- システムのモニタリング
- ヘルス モニタリングの使用
- システムの監査
- バックアップと復元の使用
- ユーザ プリファレンスの指定
- 設定のインポートおよびエクスポート
- データベースからの検出データの消去
- 実行時間が長いタスクのステータスの表示
- コマンドライン リファレンス
- セキュリティ、インターネット アクセス、および通信ポート
- サードパーティ製品
- エンド ユーザ ライセンス契約書
- Glossary
- Index
FireSIGHT システム ユーザ ガイド バージョン 5.3.1
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: 仮想ルータのセットアップ
仮想ルータのセットアップ
複数のインターフェイス間のトラフィックをルーティングするようにレイヤ 3 の管理対象デバイスを設定できます。各インターフェイスに IP アドレスを割り当て、トラフィックをルーティングする仮想ルータにインターフェイスを割り当てます。
宛先アドレスに従ってパケット転送の決定を行うことにより、パケットをルーティングするようにシステムを設定できます。ルーテッド インターフェイスとして設定されるインターフェイスは、レイヤ 3 トラフィックを受信し、転送します。ルータは転送基準に基づいて発信インターフェイスから宛先を取得し、アクセス コントロール ルールが、適用するセキュリティ ポリシーを指定します。
レイヤ 3 配置では、スタティック ルートを定義できます。さらに、Routing Information Protocol(RIP)および Open Shortest Path First(OSPF)のダイナミック ルーティング プロトコルを設定できます。また、スタティック ルートと RIP、またはスタティック ルートと OSPF の組み合わせを設定することもできます。
仮想デバイスまたはSourcefire Software for X-Seriesの上に仮想ルータ、物理ルーテッド インターフェイス、または論理ルーテッド インターフェイスを設定することはできません。
ルーテッド インターフェイスの設定
ルーテッド インターフェイスのセットアップは物理設定または論理設定のいずれかで行うことができます。タグなし VLAN のトラフィックを処理するために物理ルーテッド インターフェイスを設定できます。また、指定 VLAN タグを持つトラフィックを処理するために論理ルーテッド インターフェイスを作成することもできます。
レイヤ 3 配置では、システムは待機するルーテッド インターフェイスがない外部物理インターフェイスで受信されるすべてのトラフィックをドロップします。システムが VLAN タグなしのパケットを受信し、そのポートの物理ルーテッド インターフェイスを設定しなかった場合、パケットはドロップされます。システムが VLAN タグが付きパケットを受信し、論理ルーテッド インターフェイスを設定しなかった場合も、パケットはドロップされます。
システムは、すべてのルール評価または転送決定の前に、入力の最も外側の VLAN タグを取り除くことによって、スイッチド インターフェイスで受信した VLAN タグ付きのトラフィックを処理します。VLAN タグ付きの論理ルーテッド インターフェイスを通ってデバイスから離れるパケットは出力で関連付けられた VLAN タグによりカプセル化されます。システムは除去プロセスが完了した後、VLAN タグ付きで受信するすべてのトラフィックをドロップします。
親の物理インターフェイスをインラインまたはパッシブに変更すると、システムは関連するすべての論理インターフェイスを削除することに注意してください。
物理ルーテッド インターフェイスの設定
ルーテッド インターフェイスとして管理対象デバイスの 1 つ以上の物理ポートを設定できます。トラフィックをルーティングする前に、物理ルーテッド インターフェイスを仮想ルータに割り当てる必要があります。
ルーテッド インターフェイスに Address Resolution Protocol (ARP) スタティック エントリを追加できます。外部ホストがトラフィックを送信する、ローカル ネットワーク上の宛先 IP アドレスの MAC アドレスを知る必要がある場合、ARP 要求を送信します。スタティック ARP エントリを設定すると、仮想ルータは IP アドレスおよび関連付けられている MAC アドレスで応答します。
ルーテッド インターフェイスの [ICMP Enable Responses] オプションを無効にしても、すべてのシナリオで ICMP 応答を防ぐことはできません。宛先 IP がルーテッド インターフェイスの IP で、プロトコルが ICMP であるパケットをドロップするように、アクセス コントロール ポリシーにルールを追加できます。アクセス コントロール ルールの作成の詳細については、「アクセス コントロール ルールの概要と作成」を参照してください。管理対象デバイスの [Inspect Local Router Traffic] オプションを有効にした場合、パケットはホストに到達する前にドロップされるため、すべての応答を防ぐことができます。ローカル ルータ トラフィックの検査の詳細については、「高度なデバイス設定について」を参照してください。
ステップ 1
[Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 ルーテッド インターフェイスを設定するデバイスの横にある編集アイコン(
)をクリックします。
ステップ 3 ルーテッド インターフェイスとして設定するインターフェイスの横にある編集アイコン(
)をクリックします。
[Edit Interface] ポップアップ ウィンドウが表示されます。
ステップ 4 [Routed] をクリックして、ルーテッド インターフェイス オプションを表示します。
ステップ 5 オプションで、[Security Zone] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、または [New] を選択して新しいセキュリティ ゾーンを追加します。
ステップ 6 オプションで、[Virtual Router] ドロップダウン リストから既存の仮想ルータを選択するか、または [New] を選択して新しい仮想ルータを追加します。
新しい仮想ルータを追加する場合、ルーテッド インターフェイスをセットアップした後で、[Device Management] ページ([Devices] > [Device Management] > [Virtual Routers])の [Virtual Routers] タブで設定する必要があることに注意してください。「仮想ルータの追加」を参照してください。
ステップ 7 [Enabled] チェック ボックスをオンにして、ルーテッド インターフェイスがトラフィックを処理することを許可します。
チェック ボックスをオフにした場合、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりインターフェイスにアクセスできなくなります。
ステップ 8 [Mode] ドロップダウン リストからリンク モードを指定するオプションを選択するか、または [Autonegotiation] を選択して、速度とデュプレックス設定を自動的にネゴシエートするようインターフェイスを設定します。モード設定は銅インターフェイスでのみ使用可能であることに注意してください。
注 8000 シリーズ アプライアンスのインターフェイスは、半二重オプションをサポートしません。
ステップ 9 [MDI/MDIX] ドロップダウン リストから、インターフェイスの設定対象として MDI(メディア依存型インターフェイス)、MDIX(メディア依存型インターフェイス クロスオーバー)、または Auto-MDIX のいずれかを指定するオプションを選択します。[MDI/MDIX] 設定は銅線インターフェイスでのみ使用可能であることに注意してください。
通常、[MDI/MDIX] は [Auto-MDIX] に設定します。これにより、MDI と MDIX の間の切り替えが自動的に処理され、リンクが確立されます。
ステップ 10 [MTU] フィールドに、許容される最大のパケット サイズを指定する、最大伝送単位(MTU)を入力します。MTU はレイヤ 2 MTU/MRU であり、レイヤ 3 MTU ではないことに注意してください。
設定可能な MTU の範囲は、FireSIGHT システム デバイスのモデルとインターフェイスのタイプによって異なる可能性があります。詳細については、「インターフェイス MTU の設定」を参照してください。
ステップ 11 [ICMP] の横にある [Enable Responses] チェック ボックスをオンにして、インターフェイスを ping や traceroute などの ICMP トラフィックに応答可能にします。
ステップ 12 [IPv6 NDP] の横にある [Enable Router Advertisement] チェック ボックスをオンにして、インターフェイスがルータ アドバタイズメントを伝送できるようにします。
ステップ 13 IP アドレスを追加するには、[Add] をクリックします。
[Add IP Address] ポップアップ ウィンドウが表示されます。
ステップ 14 [Address] フィールドに、ルーテッド インターフェイスの IP アドレスとサブネット マスクを CIDR 表記で入力します。次の点に注意してください。
• ネットワークおよびブロードキャスト アドレス、またはスタティック MAC アドレス 00:00:00:00:00:00 および FF:FF:FF:FF:FF:FF は追加できません。
• サブネット マスクに関係なく、仮想ルータのインターフェイスに同じ IP アドレスを追加できません。
ステップ 15 オプションで、IPv6 アドレスを使用している場合は、[IPv6] フィールドの横にある [Address Autoconfiguration] チェック ボックスをオンにして、インターフェイスの IP アドレスを自動的に設定します。
ステップ 16 [Type] には、[Normal] または [SFRP] を選択します。
SFRP オプションの詳細については「SFRP の設定」を参照してください。
IP アドレスを編集するには、編集アイコン( )をクリックします。IP アドレスを削除するには、削除アイコン(
)をクリックします。
注 IP アドレスをクラスタ デバイスのルーテッド インターフェイスに追加する場合、クラスタ ピアのルーテッド インターフェイスに対応する IP アドレスを追加する必要があります。
ステップ 18 スタティック ARP エントリを追加するには、[Add] をクリックします。
[Add Static ARP Entry] ポップアップ ウィンドウが表示されます。
ステップ 19 [IP Address] フィールドに、スタティック ARP エントリの IP アドレスを入力します。
ステップ 20 [MAC Address] フィールドに、IP アドレスに関連付ける MAC アドレスを入力します。2 桁の 16 進数の 6 個のグループをコロンで区切る標準形式を使用して、アドレスを入力します(たとえば、 01:23:45:67:89:AB )。
ヒント スタティック ARP エントリを編集するには、編集アイコン()をクリックします。スタティック ARP エントリを削除するには、削除アイコン()をクリックします。
物理ルーテッド インターフェイスが設定されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
論理ルーテッド インターフェイスの追加
各物理ルーテッド インターフェイスで、複数の論理ルーテッド インターフェイスを追加できます。物理インターフェイスで受信される VLAN タグ付きトラフィックを処理するには、各論理インターフェイスをその特定のタグに関連付ける必要があります。トラフィックをルーティングする仮想ルータに論理ルーテッド インターフェイスを割り当てる必要があります。
ルーテッド インターフェイスの [ICMP Enable Responses] オプションを無効にしても、すべてのシナリオで ICMP 応答を防ぐことはできません。宛先 IP がルーテッド インターフェイスの IP で、プロトコルが ICMP であるパケットをドロップするように、アクセス コントロール ポリシーにルールを追加できます。アクセス コントロール ルールの作成の詳細については、「アクセス コントロール ルールの概要と作成」を参照してください。管理対象デバイスの [Inspect Local Router Traffic] オプションを有効にした場合、パケットはホストに到達する前にドロップされるため、すべての応答を防ぐことができます。ローカル ルータ トラフィックの検査の詳細については、「高度なデバイス設定について」を参照してください。
既存のルーテッド インターフェイスを編集するには、インターフェイスの横にある編集アイコン( )をクリックします。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 ルーテッド インターフェイスを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Add Interface] をクリックします。
[Add Interface] ポップアップ ウィンドウが表示されます。
ステップ 4 [Routed] をクリックして、ルーテッド インターフェイス オプションを表示します。
ステップ 5 [Interface] ドロップダウン リストから、論理インターフェイスを追加する物理インターフェイスを選択します。
ステップ 6 [VLAN Tag] フィールドで、このインターフェイス上のインバウンド/アウトバウンド トラフィックに割り当てるタグ値を入力します。この値には、1 ~ 4094 の任意の整数を指定できます。
ステップ 7 オプションで、[Security Zone] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、または [New] を選択して新しいセキュリティ ゾーンを追加します。
ステップ 8 オプションで、[Virtual Router] ドロップダウン リストから既存の仮想ルータを選択するか、または [New] を選択して新しい仮想ルータを追加します。
新しい仮想ルータを追加する場合、ルーテッド インターフェイスをセットアップした後で、[Device Management] ページ([Devices] > [Device Management] > [Virtual Routers])で設定する必要があることに注意してください。「仮想ルータの追加」を参照してください。
ステップ 9 [Enabled] チェック ボックスをオンにして、ルーテッド インターフェイスがトラフィックを処理することを許可します。
このチェック ボックスをオフにすると、インターフェイスは無効になり、管理上はダウンした状態になります。物理インターフェイスを無効にする場合、それに関連付けられているすべての論理インターフェイスも無効にします。
ステップ 10 [MTU] フィールドに、許容される最大のパケット サイズを指定する、最大伝送単位(MTU)を入力します。MTU はレイヤ 2 MTU/MRU であり、レイヤ 3 MTU ではないことに注意してください。
設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、「インターフェイス MTU の設定」を参照してください。
ステップ 11 [ICMP] の横にある [Enable Responses] チェック ボックスをオンにして、他のルータ、中間デバイス、またはホストに更新またはエラー情報を伝送します。
ステップ 12 [IPv6 NDP] の横にある [Enable Router Advertisement] チェック ボックスをオンにして、インターフェイスがルータ アドバタイズメントを伝送できるようにします。
ステップ 13 IP アドレスを追加するには、[Add] をクリックします。
[Add IP Address] ポップアップ ウィンドウが表示されます。
ステップ 14 [Address] フィールドに、IP アドレスを CIDR 表記で入力します。次の点に注意してください。
• ネットワークおよびブロードキャスト アドレス、またはスタティック MAC アドレス 00:00:00:00:00:00 および FF:FF:FF:FF:FF:FF は追加できません。
• サブネット マスクに関係なく、仮想ルータのインターフェイスに同じ IP アドレスを追加できません。
ステップ 15 オプションで、IPv6 アドレスを使用している場合は、[IPv6] フィールドの横にある [Address Autoconfiguration] チェック ボックスをオンにして、インターフェイスの IP アドレスを自動的に設定します。
ステップ 16 [Type] には、[Normal] または [SFRP] を選択します。
SFRP オプションの詳細については「SFRP の設定」を参照してください。
IP アドレスを編集するには、編集アイコン( )をクリックします。IP アドレスを削除するには、削除アイコン( )をクリックします。
注 IP アドレスをクラスタ デバイスのルーテッド インターフェイスに追加する場合、クラスタ ピアのルーテッド インターフェイスに対応する IP アドレスを追加する必要があります。
ステップ 18 スタティック ARP エントリを追加するには、[Add] をクリックします。
[Add Static ARP Entry] ポップアップ ウィンドウが表示されます。
ステップ 19 [IP Address] フィールドに、スタティック ARP エントリの IP アドレスを入力します。
ステップ 20 [MAC Address] フィールドに、IP アドレスに関連付ける MAC アドレスを入力します。2 桁の 16 進数の 6 個のグループをコロンで区切る標準形式を使用して、アドレスを入力します(たとえば、 01:23:45:67:89:AB )。
ヒント スタティック ARP エントリを編集するには、編集アイコン()をクリックします。スタティック ARP エントリを削除するには、削除アイコン()をクリックします。
論理ルーテッド インターフェイスが追加されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
論理ルーテッド インターフェイスの削除
論理ルーテッド インターフェイスを削除すると、帰属する物理インターフェイスのほか、割り当てられた仮想ルータおよびセキュリティ ゾーンからも削除されます。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 ルーテッド インターフェイスを削除するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 削除する論理ルーテッド インターフェイスの横にある削除アイコン( )をクリックします。
ステップ 4 入力を求められた場合、インターフェイスを削除することを確認します。
インターフェイスが削除されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
SFRP の設定
シスコ冗長プロトコル(SFRP)を設定して、デバイスのクラスタまたは個別のデバイスのハイ アベイラビリティを得るためのネットワーク冗長性を実現できます。SFRP は IPv4 と IPv6 の両方のアドレスのゲートウェイ冗長性を提供します。ルーテッド インターフェイスおよびハイブリッド インターフェイスの SFRP を設定できます。
インターフェイスが個別のデバイスに設定される場合、同じブロードキャスト ドメインに存在する必要があります。インターフェイスのうち少なくとも 1 つをマスターに指定し、同じ数のバックアップを指定する必要があります。システムは IP アドレスごとに 1 つのマスターと 1 つのバックアップのみをサポートします。ネットワーク接続が失われた場合、システムは自動的にバックアップをマスターに昇格し、接続を維持します。
SFRP に設定するオプションは、SFRP インターフェイス グループのすべてのインターフェイスで同じにする必要があります。グループ内の複数の IP アドレスのマスターとバックアップの状態は同じである必要があります。そのため、 IP アドレスを追加または編集する場合、そのアドレスに設定する状態はグループ内のすべてのアドレスに適用されます。セキュリティのために、グループ内のインターフェイス間で共有される [Group ID] と [Shared Secret] の値を入力する必要があります。
仮想ルータの SFRP の IP アドレスを有効にするには、少なくとも 1 つの非 SFRP IP アドレスを設定する必要があります。
クラスタ デバイスの場合、共有秘密を指定すると、SFRP の IP 設定とともにクラスタ ピアにコピーされます。共有秘密は、ピアのデータを認証します。
クラスタ デバイスの詳細については、「デバイスのクラスタリング」を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 SFRP を設定するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 SFRP を設定するインターフェイスの横にある編集アイコン( )をクリックします。
[Edit Interface] ポップアップ ウィンドウが表示されます。
ステップ 4 SFRP を設定するインターフェイスのタイプを選択します。
• [Routed] をクリックして、ルーテッド インターフェイス オプションを表示します。
• [Hybrid] をクリックして、ハイブリッド インターフェイス オプションを表示します。
ステップ 5 IP アドレスを追加または編集するときに SFRP を設定できます。
• IP アドレスを追加するには、[Add] をクリックします。
• IP アドレスを編集するには、編集アイコン( )をクリックします。
[Add IP Address] ポップアップ ウィンドウまたは [Edit IP Address] ポップアップ ウィンドウが表示されます。
ステップ 6 [Type] に [SFRP] を選択して SFRP オプションを表示します。
ステップ 7 [Group ID] フィールドに、SFRP 用に設定されたマスターまたはバックアップ インターフェイス グループを指定する値を入力します。
ステップ 8 [Priority] に [Master] または [Backup] のどちらかを選択して、優先するインターフェイスを指定します。
• 個別のデバイスの場合、1 つのデバイスにマスターへのインターフェイスを 1 個設定し、2 番目のデバイスにバックアップへのインターフェイスを設定する必要があります。
• デバイスのクラスタの場合、マスターとして 1 個のインターフェイスを設定すると、もう 1 個のインターフェイスは自動的にバックアップになります。
ステップ 9 [Shared Secret] フィールドに、共有秘密を入力します。
[Shared Secret] フィールドには、デバイスのクラスタ内のグループに関するデータが自動的に入力されます。
ステップ 10 [Adv. Interval (seconds)] フィールドに、レイヤ 3 トラフィックのルート アドバタイズメントの間隔を入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
仮想ルータの設定
レイヤ 3 配置でルーテッド インターフェイスを使用する前に、仮想ルータを設定し、ルーテッド インターフェイスを割り当てる必要がありす。仮想ルータはレイヤ 3 トラフィックをルーティングするルーテッド インターフェイスのグループです。
仮想ルータの設定の詳細については、次の項を参照してください。
仮想ルータの表示
[Device Management] ページ([Devices] > [Device Management] > [Virtual Routers])の [Virtual Routers] タブには、デバイスに設定されているすべての仮想ルータのリストが表示されます。このテーブルには次の表に示すように、各ルータに関するサマリー情報が含まれます。
|
|
|
|---|---|
仮想ルータに割り当てられたすべてのルーテッド インターフェイスのリスト。[Interfaces] タブからインターフェイスを無効にすると削除されます。 |
|
仮想ルータの追加
[Device Management] ページの [Virtual Routers] タブから仮想ルータを追加できます。ルーテッド インターフェイスを設定するときに、ルータを追加することもできます。
1 つの仮想ルータに割り当てることができるのは、ルーテッド インターフェイスとハイブリッド インターフェイスのみです。管理対象デバイスのインターフェイスを設定する前に仮想ルータを作成する場合は、空の仮想ルータを作成し、後でインターフェイスを追加できます。
最大の TCP セキュリティを実現するには、厳密な強制を有効にできます。この機能は、3 ウェイ ハンドシェイクが完了していない接続をブロックします。厳密な適用では次のパケットもブロックされます。
• 3 ウェイ ハンドシェイクが完了していない接続の非 SYN TCP パケット
• 応答側が SYN-ACK を送信する前に TCP 接続の発信側から送信された非 SYN/RST パケット
• SYN の後ではあるがセッションの確立前に TCP 接続の応答側から送信された非 SYN-ACK/RST パケット
• 発信側または応答側のどちらかから送信された、確立された TCP 接続の SYN パケット
レイヤ 3 インターフェイスの設定を非レイヤ 3 インターフェイスに変更したり、仮想ルータからレイヤ 3 インターフェイスを削除したりすると、ルータは無効な状態になる場合があることに注意してください。たとえば、DHCPv6 で使用されている場合、アップストリームとダウンストリームの不一致が生じることがあります。既存の仮想ルータに対する変更により、デバイスのトラフィックが中断される可能性があります。
ヒント 既存の仮想ルータを編集するには、ルータの横にある編集アイコン()をクリックします。
一般的なオプションに加え、いくつかの異なる方法で仮想ルータを設定できます。これらの設定の詳細については、次の項を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 仮想ルータを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ヒント デバイスがクラスタ スタック配置にある場合、[Selected Device] ドロップダウン リストから、変更するスタックを選択します。
ステップ 4 [Add Virtual Router] をクリックします。
[Add Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Name] フィールドに仮想ルータの名前を入力します。英数字とスペースを使用できます。
ステップ 6 仮想ルータで IPv6 スタティック ルーティング、OSPFv3、および RIPng を有効にするには、[IPv6 Support] チェック ボックスをオンにします。これらの機能を無効にするには、チェック ボックスをオフにします。
ステップ 7 オプションで、厳密な TCP 適用を有効にしない場合は、[Strict TCP Enforcement] をオフにします。
ステップ 8 [Interfaces] の下の [Available] リストには、仮想ルータに割り当てることが可能なデバイス上のすべての有効なレイヤ 3 インターフェイス(ルーテッドおよびハイブリッド)が含まれます。仮想ルータに割り当てる 1 つ以上のインターフェイスを選択して、[Add] をクリックします。
ヒント 仮想ルータからルーテッドまたはハイブリッド インターフェイスを削除するには、削除アイコン()をクリックします。[Interfaces] タブで、設定したインターフェイスを無効にすることによっても削除できます。
仮想ルータが追加されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
DHCP リレーのセットアップ
DHCP はインターネット ホストに設定パラメータを提供します。IP アドレスを未取得のDHCP クライアントは、ブロードキャスト ドメインの外にある DHCP サーバと直接通信できません。DHCP クライアントが DHCP サーバと通信できるようにするには、クライアントがサーバと同じブロードキャスト ドメイン内にない状況に対応できるように DHCP リレー インスタンスを設定します。
ユーザが設定した各仮想ルータの DHCP リレーを設定できます。デフォルトでは、この機能は無効になっています。DHCPv4 リレーまたは DHCPv6 リレーのどちらかを有効にできます。
DHCPv4 リレーのセットアップ
次の手順は、仮想ルータで DHCPv4 リレーを設定する方法について説明します。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 DHCP リレーを設定するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 DHCP リレーを設定する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 DHCPv4 の DHCP リレーを設定するには、[DHCPv4] チェック ボックスをオンにします。
ステップ 6 [Servers] フィールドの下に、サーバの IP アドレスを入力します。
[Servers] フィールドにIP アドレスが追加されます。最大 4 台の DHCP サーバを追加できます。
ヒント DHCP サーバを削除するには、サーバの IP アドレスの横にある削除アイコン()をクリックします。
ステップ 8 [Max Hops] フィールドに 1 ~ 255 の最大ホップ カウントを入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
DHCPv6 リレーのセットアップ
次の手順は、仮想ルータで DHCPv6 リレーを設定する方法について説明します。
注 同じデバイスで実行中の複数の仮想ルータを介して DHCPv6 リレー チェーンを実行することはできません。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 DHCP リレーを設定するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 DHCP リレーを設定する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 DHCPv6 の DHCP リレーを設定するには、[DHCPv6] チェック ボックスをオンにします。
ステップ 6 [Interfaces] フィールドで、仮想ルータに割り当てられている 1 つ以上のインターフェイスの横にあるチェック ボックスをオンにします。
ヒント DHCPv6 リレー用に設定されているインターフェイスは、[Interfaces] タブから無効にできません。最初に [DHCPv6 Relay interfaces] チェック ボックスをオフにして、設定を保存する必要があります。
ステップ 7 選択したインターフェイスの横にあるドロップダウン アイコンをクリックし、インターフェイスが DHCP 要求をリレーする方式として、[Upstream]、[Downstream]、または [Both] を選択します。
少なくとも 1 つのダウンストリーム インターフェイスと 1 つのアップストリーム インターフェイスを含める必要があることに注意してください。両方を選択することは、インターフェイスはダウンストリームおよびアップストリームの両方であることを意味します。
ステップ 8 [Max Hops] フィールドに 1 ~ 255 の最大ホップ カウントを入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
スタティック ルートのセットアップ
スタティック ルーティングにより、ルータを通過するトラフィックの IP アドレスに関するルールを作成することができます。これはネットワークの現在のトポロジに関して他のルータとの通信がないため、仮想ルータのパス選択を設定する最も簡単な方法です。
スタティック ルート テーブル ビューについて
仮想ルータ エディタの [Static Routes] タブには、仮想ルータに設定されているすべてのスタティック ルートのリストが表示されます。このテーブルには次の表に示すように、各ルートに関するサマリー情報が含まれます。
スタティック ルートの追加
次の手順は、スタティック ルートを追加する方法について説明します。
スタティック ルートを編集するには、編集アイコン( )をクリックします。スタティック ルートを削除するには、削除アイコン( )をクリックします。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 スタティック ルートを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 スタティック ルートを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Static] をクリックして、スタティック ルートのオプションを表示します。
ステップ 6 [Add Static Route] をクリックします。
[Add Static Route] ポップアップ ウィンドウが表示されます。
ステップ 7 [Route Name] フィールドに、スタティック ルートの名前を入力します。英数字とスペースを使用できます。
ステップ 8 [Enabled] チェック ボックスをオンにして、ルートが現在有効であることを指定します。
ステップ 9 [Preference] フィールドに、ルート選択を決定するための 1 ~ 65535 の数値を入力します。
同じ宛先に対する複数のルートが存在する場合、より高い優先順位のルートが選択されます。
ステップ 10 [Type] ドロップダウン リストから、設定するスタティック ルートのタイプを選択します。
ステップ 11 [Destination] フィールドに、トラフィックがルーティングされる宛先ネットワークの IP アドレスを入力します。
ステップ 12 [Gateway] フィールドでは、次の 2 つの選択肢があります。
• スタティック ルート タイプとして [IP] を選択した場合は、IP アドレスを入力します。
• スタティック ルート タイプとして [Interface] を選択した場合は、ドロップダウン リストから有効なインターフェイスを選択します。
ヒント [Interfaces] タブから無効にしたインターフェイスは使用できません。追加したインターフェイスを無効にすると、設定から削除されます。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
ダイナミック ルーティングのセットアップ
ダイナミックつまり適応型のルーティングは、ルーティング プロトコルを使用して、ルートが取るパスをネットワーク条件の変化に応じて変更します。この適応は、できるだけ多くのルートの有効性を維持し、変更に応じて宛先に到達可能とすることを目的としたものです。このため、他のパスを選択できる限り、ネットワークはノードまたはノード間の接続の損失といった障害を「迂回」することができます。ダイナミック ルーティングなしでルータを設定することも、Routing Information Protocol(RIP)または Open Shortest Path First(OSPF)のルーティング プロトコルを設定することもできます。
RIP 設定のセットアップ
Routing Information Protocol(RIP)はホップ カウントを使用してルートを決定する、小規模な IP ネットワーク向けのダイナミック ルーティング プロトコルです。最適なルートは最小数のホップを使用します。RIP で許可されるホップの最大数は 15 です。このホップ制限により、RIP がサポートできるネットワークのサイズも制限されます。
RIP 設定用インターフェイスの追加
RIP を設定する際、RIP を設定する仮想ルータにすでに含まれているインターフェイスを選択する必要があります。無効になっているインターフェイスを使用することはできません。
RIP インターフェイスを編集するには、編集アイコン( )をクリックします。RIP インターフェイスを削除するには、削除アイコン( )をクリックします。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 RIP インターフェイスを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 RIP インターフェイスを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [RIP] をクリックして、RIP オプションを表示します。
ステップ 7 [Interfaces] の下で、追加アイコン(
)をクリックします。
[Add an Interface] ポップアップ ウィンドウが表示されます。
ステップ 8 [Name] ドロップダウン リストから、RIP を設定するインターフェイスを選択します。
ヒント [Interfaces] タブから無効にしたインターフェイスは使用できません。追加したインターフェイスを無効にすると、設定から削除されます。
ステップ 9 [Metric] フィールドに、インターフェイスのメトリックを入力します。異なる RIP インスタンスからのルートを使用可能で、すべてが同じ設定である場合、メトリックが最小のルートが優先ルートになります。
ステップ 10 [Mode] ドロップダウン リストから、次のいずれかのオプションを選択します。
• [Multicast]:RIP が指定されたアドレスですべての隣接ルータにルーティング テーブル全体をマルチキャストするデフォルトのモード。
• [Broadcast]:マルチキャスト モードが可能な場合でも、RIP にブロードキャスト(RIPv1 など)の使用を強制します。
• [Quiet]:RIP は、このインターフェイスに定期メッセージを送信しません。
• [No Listen]:RIP は、このインターフェイスに送信しますが、リッスンしません。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
RIP 設定の認証設定
RIP 認証では、仮想ルータに設定した認証プロファイルの 1 つが使用されます。認証プロファイルの設定に関する詳細については、「仮想ルータ認証プロファイルの追加」を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 RIP 認証プロファイルを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 RIP 認証プロファイルを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [RIP] をクリックして、RIP オプションを表示します。
ステップ 7 [Authentication] の下の [Profile] ドロップダウン リストを使用して、既存の仮想ルータ認証プロファイルを選択するか、または [None] を選択します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
RIP の高度な設定
プロトコルの動作に影響するさまざまなタイムアウト値およびその他の機能に関していくつかの高度な RIP 設定を構成できます。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 RIP の詳細設定を編集するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 RIP の詳細設定を編集する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [RIP] をクリックして、RIP オプションを表示します。
ステップ 7 [Preference] フィールドに、ルーティング プロトコルの優先度の数値(高いほど優先される)を入力します。システムはスタティック ルートよりも RIP を使用して学習したルートを優先します。
ステップ 8 [Period] フィールドに、定期的な更新間隔(秒単位)を入力します。低い数値は高速なコンバージェンスを示しますが、ネットワーク負荷が大きくなります。
ステップ 9 [Timeout Time] フィールドに、到達不能とみなされるまでのルートの存続時間(秒単位)を指定する数値を入力します。
ステップ 10 [Garbage Time] フィールドに、破棄されるまでのルートの存続時間(秒単位)を指定する数値を入力します。
ステップ 11 [Infinity] フィールドに、コンバージェンスの計算で無限間隔の値を指定する数値を入力します。値が大きいほど、プロトコル コンバージェンスが遅くなります。
ステップ 12 [Honor] ドロップダウン リストから、ルーティング テーブルをダンプする要求がいつ実行されるかを指定する、次のいずれかのオプションを選択します。
• [Neighbor]:直接接続されたネットワーク上のホストから送信された要求のみを実行する
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
RIP 設定のインポート フィルタの追加
ルート テーブルに対して RIP からの受け入れまたは拒否を行うルートを指定するために、インポート フィルタを追加できます。インポート フィルタはテーブルに表示される順に適用されます。
インポート フィルタを追加するときは、仮想ルータに設定したフィルタの 1 つを使用します。フィルタの設定の詳細については、「仮想ルータ フィルタのセットアップ」を参照してください。
ヒント RIP インポート フィルタを編集するには、編集アイコン()をクリックします。RIP インポート フィルタを削除するには、削除アイコン()をクリックします。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 RIP 仮想ルータ フィルタを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 RIP 仮想ルータ フィルタを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [RIP] をクリックして、RIP オプションを表示します。
ステップ 7 [Import Filters] の下で、追加アイコン( )をクリックします。
[Add an Import Filter] ポップアップ ウィンドウが表示されます。
ステップ 8 [Name] ドロップダウン リストから、インポート フィルタとして追加するフィルタを選択します。
ステップ 9 [Action] の横にある [Accept] または [Reject] を選択します。
ヒント インポート フィルタの順序を変更するには、必要に応じて、上へ移動するアイコン(
)または下へ移動するアイコン()をクリックします。リスト内でフィルタを上下にドラッグすることもできます。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
RIP 設定へのエクスポート フィルタの追加
ルート テーブルから RIP に対しての受け入れまたは拒否を行うルートを定義するために、エクスポート フィルタを追加できます。エクスポート フィルタはテーブルに表示される順に適用されます。
エクスポート フィルタを追加するときは、仮想ルータに設定したフィルタの 1 つを使用します。フィルタの設定の詳細については、「仮想ルータ フィルタのセットアップ」を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 RIP 仮想ルータ フィルタを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 RIP 仮想ルータ フィルタを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [RIP] をクリックして、RIP オプションを表示します。
ステップ 7 [Export Filters] の下で、追加アイコン( )をクリックします。
[Add an Export Filter] ポップアップ ウィンドウが表示されます。
ステップ 8 [Name] ドロップダウン リストから、エクスポート フィルタとして追加するフィルタを選択します。
ステップ 9 [Action] の横にある [Accept] または [Reject] を選択します。
ヒント エクスポート フィルタの順序を変更するには、必要に応じて、上へ移動するアイコン()または下へ移動するアイコン()をクリックします。リスト内でフィルタを上下にドラッグすることもできます。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
OSPF 設定のセットアップ
Open Shortest Path First(OSPF)は、他のルータから情報を取得し、リンク ステート アドバタイズメントを使用してルートを他のルータにアドバタイズすることで、ルートを動的に定義する適応型ルーティング プロトコルです。ルータは、それ自体と宛先との間のリンクに関する情報を維持し、ルーティングを決定します。OSPF は、各ルーテッド インターフェイスにコストを割り当て、コストが最低のルータを最適であるとみなします。
OSPF ルーティング エリアのセットアップ
OSPF ネットワークは、管理を簡略化し、トラフィックおよびリソースの使用を最適化するために、ルーティング エリアに構造化つまり分割することができます。エリアは、単純な 10 進数またはよく使用されるオクテットベースのドット付き 10 進数表記のいずれかで表現される 32 ビットの数字により識別されます。
慣習により、エリア ゼロつまり 0.0.0.0 は OSPF ネットワークのコアまたはバックボーン エリアを表します。他のエリアも指定できます。多くの場合、管理者はエリアのメイン ルータの IP アドレスをエリア ID として選択します。追加の各エリアはバックボーンの OSPF エリアに直接または仮想接続できる必要があります。そうした接続は、エリア境界ルータ(ABR)と呼ばれる相互接続ルータによって保持されます。ABR は、管轄する各エリアの個々のリンクステート データベースを管理し、ネットワーク内のすべてのエリアの集約ルートを保守します。
OSPF エリアの追加
次の手順は、OSPF エリアを追加し、一般設定を構成する方法について説明します。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 OSPF の一般オプションを編集するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 OSPF の一般オプションを編集する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [OSPF] をクリックして、OSPF オプションを表示します。
ステップ 7 [Areas] の下で、追加アイコン( )をクリックします。
[Add OSPF Area] ポップアップ ウィンドウが表示されます。
ステップ 8 [Area Id] フィールドに、エリアを表す数値を入力します。この値には整数または IPv4 アドレスを指定できます。
ステップ 9 オプションで、[Stubnet] チェック ボックスをオンにし、エリアが自律システムの外部のルータ アドバタイズメントを受信せず、エリア内のルーティングは完全にデフォルト ルートに基づくことを指定します。チェック ボックスをオフにすると、このエリアはバックボーン エリアになります。それ以外の場合は、非スタブ エリアになります。
[Default cost] フィールドと [Stubnet] フィールドが表示されます。
ステップ 10 [Default cost] フィールドに、エリアのデフォルト ルートに関連付けられたコストを入力します。
ステップ 11 [Stubnets] の下で、追加アイコン( )をクリックします。
ステップ 12 [IP Address] フィールドに、IP アドレスを CIDR 表記で入力します。
ステップ 13 [Hidden] チェック ボックスをオンにして、スタブネットが非表示であることを示します。非表示のスタブネットは別のエリアに伝播されません。
ステップ 14 [Summary] チェック ボックスをオンにして、このスタブネットのサブネットワークであるデフォルトのスタブネットが非表示となるように指定します。
ステップ 15 [Stub cost] フィールドに、このスタブ ネットワークへのルーティングに関連付けられたコストを定義する値を入力します。
ヒント スタブネットを編集するには、編集アイコン()をクリックします。スタブネットを削除するには、削除アイコン()をクリックします。
ステップ 17 オプションで、[Networks] の下の追加アイコン( )をクリックします。
ステップ 18 [IP Address] フィールドに、ネットワークの IP アドレスを CIDR 表記で入力します。
ステップ 19 [Hidden] チェック ボックスをオンにして、ネットワークが非表示であることを示します。非表示のネットワークは別のエリアに伝播されません。
ヒント ネットワークを編集するには、編集アイコン()をクリックします。ネットワークを削除するには、削除アイコンをクリックします()。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
OSPF エリア インターフェイスの追加
OSPF 用に仮想ルータに割り当てられたインターフェイスのサブセットを設定できます。次のリストに、各インターフェイスで指定できるオプションを示します。
OSPF を設定するインターフェイスを選択します。[Interfaces] タブから無効にしたインターフェイスは使用できません。
次のオプションから、OSPF インターフェイスのタイプを選択します。
– Broadcast:ブロードキャスト ネットワークでは、フラッディングおよび hello メッセージはマルチキャストを使用し、すべてのネイバーに対して 1 つのパケットで送信されます。このオプションは、ルータがリンク ステート データベースと同期し、ネットワーク リンク ステート アドバタイズメントを発信するように指定します。このネットワーク タイプは、物理的なノンブロードキャスト マルチプル アクセス(NBMP)ネットワークと適切な IP プレフィクスなしのアンナンバード ネットワークには使用できません。
– Point-to-Point (PtP):ポイントツーポイント ネットワークでは、2 台のルータのみを接続します。選定は実行されず、ネットワーク リンク ステート アドバタイズメントは発生しないので、より単純かつ高速に確立されます。このネットワーク タイプは物理的な PtP インターフェイスだけでなく、PtP リンクとして使用されるブロードキャスト ネットワークにも役立ちます。このネットワーク タイプは物理的な NBMP ネットワークでは使用できません。
– Non-Broadcast:NBMP ネットワークで、パケットはマルチキャスト機能がないために各ネイバーに別々に送信されます。ブロードキャスト ネットワークと同様に、このオプションはリンク ステート アドバタイズメント伝播で中心的な役割を果たすルータを指定します。このネットワーク タイプはアンナンバード ネットワークでは使用できません。
– Autodetect:システムは指定されたインターフェイスに基づいて正しいタイプを判別します。
インターフェイスが OSPF トラフィックをリッスンし、独自のトラフィックを送信する必要があるかどうかを指定します。
指定ルータの選定に使用される優先度を示す数値を入力します。多重アクセス ネットワークごとに、システムはルータおよびバックアップ ルータを指定します。これらのルータには、フラッディング プロセスでの特別な機能があります。優先度を高くすると、この選定での優先順位が上がります。優先度 0 でルータを設定することはできません。
hello パケットが任意の未定義のネイバーに送信されるかどうかを指定します。このスイッチは、任意の NBMA ネットワークでは無視されます。
仮想ルータに設定した認証プロファイルの 1 つからこのインターフェイスが使用する OSPF 認証プロファイルを選択するか、または [None] を選択します。認証プロファイルの設定に関する詳細については、「仮想ルータ認証プロファイルの追加」を参照してください。
NBMA ネットワーク上の一部のネイバーに対する hello メッセージの送信間隔(秒単位)を入力します。
確認応答されていないアップデートの再送信間隔(秒単位)を入力します。
インターフェイス経由でのリンクステート アップデート パケットの送信に要する推定秒数を入力します。
ルータが選定の開始と隣接関係の構築の間で待機する秒数を入力します。
ルータがネイバーからのメッセージを受信しない場合に、ネイバーの停止を宣言するまで待機する秒数を入力します。この値が定義されている場合、dead カウントから計算された値はオーバーライドされます。
hello 間隔と乗算されるときに、ルータがネイバーからのメッセージを受信しない場合に、ネイバーの停止を宣言するまで待機する秒数を指定する、数値を入力します。
OSPF エリア インターフェイスを編集するには、編集アイコン( )をクリックします。OSPF エリア インターフェイスを削除するには、削除アイコン( )をクリックします。[Interfaces] タブで設定されたインターフェイスを無効にすると削除されます。
(注) OSPF エリアで使用するインターフェイスは 1 つのみ選択できます。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 OSPF インターフェイスを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 OSPF インターフェイスを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [OSPF] をクリックして、OSPF オプションを表示します。
ステップ 7 [Areas] の下で、追加アイコン( )をクリックします。
[Add OSPF Area] ポップアップ ウィンドウが表示されます。
[Add OSPF Area Interface] ポップアップ ウィンドウが表示されます。
ステップ 10 「OSPF エリア インターフェイスの追加」で説明されているアクションのいずれかを実行します。
ステップ 11 オプションで、[Neighbors] の下の追加アイコン( )をクリックします。
ステップ 12 [IP address] フィールドに、このインターフェイスから非ブロードキャスト ネットワークの hello メッセージを受信するネイバーの IP アドレスを入力します。
ステップ 13 [Eligible] チェック ボックスをオンにして、ネイバーがメッセージを受け取る資格があることを示します。
ヒント ネイバーを編集するには、編集アイコン()をクリックします。ネイバーを削除するには、削除アイコン()をクリックします。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
OSPF エリア vlink の追加
OSPF 自律システムのすべてのエリアは、物理的にバックボーン エリアと接続されている必要があります。この物理接続が不可能である場合は、vlink を使用して、非バックボーン エリアを経由してバックボーンに接続できます。また vlink を使用して、非バックボーン エリアを経由し、分割されたバックボーンの 2 つの部分を接続することもできます。
vlink を追加するには、最低 2 つの OSPF エリアを追加しておく必要があります。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 OSPF vlink を追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 OSPF インターフェイスを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [OSPF] をクリックして、OSPF オプションを表示します。
ステップ 7 [Areas] の下で、追加アイコン( )をクリックします。
[Add OSPF Area] ポップアップ ウィンドウが表示されます。
[Add OSPF Area Vlink] ポップアップ ウィンドウが表示されます。
ステップ 10 [Router ID] フィールドに、ルータの IP アドレスを入力します。
ステップ 11 [Authentication] ドロップダウン リストから、vlink が使用する認証プロファイルを選択します。
ステップ 12 [Hello Interval] フィールドに、hello メッセージの送信間隔(秒単位)を入力します。
ステップ 13 [Retrans Interval] フィールドに、確認応答されていないアップデートの再送信間隔(秒単位)を入力します。
ステップ 14 [Wait Time] フィールドに、ルータが選定の開始と隣接関係の構築の間で待機する秒数を入力します。
ステップ 15 [Dead Interval] フィールドに、ルータがネイバーからのメッセージを受信しない場合に、ネイバーの停止を宣言するまで待機する秒数を入力します。この値が定義されている場合、dead カウントから計算された値はオーバーライドされます。
ステップ 16 [Dead Count] フィールドに、hello 間隔と乗算されるときに、ルータがネイバーからのメッセージを受信しない場合に、ネイバーの停止を宣言するまで待機する秒数を指定する、数値を入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
OSPF 設定のインポート フィルタの追加
ルート テーブルに対して OSPF からの受け入れまたは拒否を行うルートを定義するために、インポート フィルタを追加できます。インポート フィルタはテーブルに表示される順に適用されます。
インポート フィルタを追加するときは、仮想ルータに設定したフィルタの 1 つを使用します。フィルタの設定の詳細については、「仮想ルータ フィルタのセットアップ」を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 OSPF 仮想ルータ フィルタを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 OSPF 仮想ルータ フィルタを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [OSPF] をクリックして、OSPF オプションを表示します。
ステップ 7 [Import Filters] の下で、追加アイコン( )をクリックします。
[Add Import Filter] ポップアップ ウィンドウが表示されます。
ステップ 8 [Name] ドロップダウン リストから、インポート フィルタとして追加するフィルタを選択します。
ステップ 9 [Action] の横にある [Accept] または [Reject] を選択します。
ヒント インポート フィルタの順序を変更するには、必要に応じて、上へ移動するアイコン()または下へ移動するアイコン()をクリックします。リスト内でフィルタを上下にドラッグすることもできます。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
OSPF 設定へのエクスポート フィルタの追加
ルート テーブルから OSPF に対しての受け入れまたは拒否を行うルートを定義するために、エクスポート フィルタを追加できます。エクスポート フィルタはテーブルに表示される順に適用されます。
エクスポート フィルタを追加するときは、仮想ルータに設定したフィルタの 1 つを使用します。フィルタの設定の詳細については、「仮想ルータ フィルタのセットアップ」を参照してください。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 OSPF 仮想ルータ フィルタを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 OSPF 仮想ルータ フィルタを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Dynamic Routing] をクリックして、ダイナミック ルーティングのオプションを表示します。
ステップ 6 [OSPF] をクリックして、OSPF オプションを表示します。
ステップ 7 [Export Filters] の下で、追加アイコン( )をクリックします。
[Add an Export Filter] ポップアップ ウィンドウが表示されます。
ステップ 8 [Name] ドロップダウン リストから、エクスポート フィルタとして追加するフィルタを選択します。
ステップ 9 [Action] の横にある [Accept] または [Reject] を選択します。
ヒント エクスポート フィルタの順序を変更するには、必要に応じて、上へ移動するアイコン()または下へ移動するアイコン()をクリックします。リスト内でフィルタを上下にドラッグすることもできます。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
仮想ルータ フィルタのセットアップ
フィルタは、仮想ルータのルート テーブルへのインポートおよびルートのダイナミック プロトコルへのエクスポートを行うために、ルートを照合する方法を提供します。フィルタのリストを作成および管理できます。各フィルタは特定の基準を定義し、静的に定義されるか、またはダイナミック プロトコルから受信したルートを検索します。
ヒント 仮想ルータ フィルタを編集するには、編集アイコン()をクリックします。仮想ルータ フィルタを削除するには、削除アイコンをクリックします()。
仮想ルータ エディタの [Filter] タブには、仮想ルータに設定したすべてのフィルタを含むテーブルが表示されます。このテーブルには次の表に示すように、各フィルタに関するサマリー情報が含まれます。
|
|
|
|---|---|
| • |
|
このフィルタがルートで一致を試みるルータの IP アドレス。スタティック フィルタおよび RIP フィルタに対してこの値を入力する必要があります。 |
|
このルートを使用するパケットが転送されるネクスト ホップ。スタティック フィルタおよび RIP フィルタに対してこの値を入力する必要があります。 |
|
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 仮想フィルタ ルータを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 仮想フィルタ ルータを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Filter] をクリックして、フィルタ オプションを表示します。
[Create Filter] ポップアップ ウィンドウが表示されます。
ステップ 7 [Name] フィールドにフィルタの名前を入力します。英数字のみを使用できます。
ステップ 8 [Protocol] で、[All] を選択するか、フィルタに適用するプロトコルを選択します。
ステップ 9 プロトコルとして [All]、[Static]、または [RIP] を選択した場合、[From Router] で、このフィルタがルートで一致を試みるルータ IP アドレスを入力します。
IPv4 アドレスに対する /32 の CIDR ブロックと IPv6 アドレスに対する /128 のプレフィクス長も入力可能であることに注意してください。他のすべてのアドレス ブロックは、このフィールドでは無効です。
ステップ 11 プロトコルとして [All]、[Static]、または [RIP] を選択した場合、[Next Hop] で、このフィルタがルートで一致を試みるゲートウェイの IP アドレスを入力します。
IPv4 アドレスに対する /32 の CIDR ブロックと IPv6 アドレスに対する /128 のプレフィクス長も入力可能であることに注意してください。他のすべてのアドレス ブロックは、このフィールドでは無効です。
ステップ 13 [Destination Type] で、フィルタに適用するオプションを選択します。
ステップ 14 [Destination Network] で、このフィルタがルートで一致を試みるネットワークの IP アドレスを入力します。
[Destination Network] フィールドに値が入力されます。
ステップ 16 プロトコルとして [All] または [OSPF] を選択した場合、[Path Type] で、フィルタに適用するオプションを選択します。
ステップ 17 プロトコルとして [OSPF] を選択した場合、[Router ID] で、ルート/ネットワークをアドバタイズするルータのルータ ID の役割を持つ IP アドレスを入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
仮想ルータ認証プロファイルの追加
RIP および OSPF の設定で使用する認証プロファイルをセットアップできます。簡易パスワードを設定するか、共有暗号キーを指定できます。簡易パスワードでは、すべてのパケットが 8 バイトのパスワードを伝送できます。システムはこのパスワードが欠如している受信パケットを無視します。暗号キーでは検証が可能で、パスワードから生成される 16 バイト長のダイジェストがすべてのパケットに付加されます。
OSPF の場合、各エリアは異なる認証方式を使用できることに注意してください。そのため、多くのエリア間で共有できる認証プロファイルを作成します。OSPFv3 の認証は追加できません。
ヒント 認証プロファイルを編集するには、編集アイコン()をクリックします。認証プロファイルを削除するには、削除アイコン()をクリックします。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 仮想ルータ認証プロファイルを追加するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 仮想ルータ認証プロファイルを追加する仮想ルータの横にある編集アイコン( )をクリックします。
[Edit Virtual Router] ポップアップ ウィンドウが表示されます。
ステップ 5 [Authentication Profile] をクリックします。
[Authentication Profile] タブが表示されます。
ステップ 6 [Add Authentication Profile] をクリックします。
[Add Authentication Profile] ポップアップ ウィンドウが表示されます。
ステップ 7 [Authentication Profile Name] フィールドに、認証プロファイルの名前を入力します。
ステップ 8 [Authentication Type] ドロップダウン リストから、[simple] または [cryptographic] を選択します。
ステップ 9 [Password] フィールドに、安全なパスワードを入力します。
ステップ 10 確認のために [Confirm Password] フィールドにもう一度パスワードを入力します。
変更が保存されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
仮想ルータ統計情報の表示
各仮想ルータの実行時統計情報を表示できます。統計情報にはユニキャスト パケット、ドロップされたパケット、IPv4 および IPv6 アドレスの個別のルーティング テーブルが表示されます。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 仮想ルータ統計情報を表示するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 ルータ統計情報を表示する仮想ルータの横にある表示アイコン(
)をクリックします。
[Statistics] ポップアップ ウィンドウが表示されます。
ステップ 5 [OK] をクリックしてウィンドウを閉じます。
仮想ルータの削除
仮想ルータを削除すると、ルータに割り当てられているすべてのルーテッド インターフェイスを他のルータに含めることができるようになります。
ステップ 1 [Devices] > [Device Management] を選択します。
[Device Management] ページが表示されます。
ステップ 2 仮想ルータを削除するデバイスの横にある編集アイコン( )をクリックします。
ステップ 3 [Virtual Routers] をクリックします。
ステップ 4 削除する仮想ルータの横にある削除アイコン( )をクリックします。
ステップ 5 入力を求められた場合、仮想ルータを削除することを確認します。
仮想ルータが削除されます。デバイス設定を適用するまで、変更は有効になりません。「デバイスへの変更の適用」を参照してください。
フィードバック