- はじめに
- ASDM の概要
- プリファレンスの定義プリファレンスの定義およびコンフィギュレーション、診断、ファイル管理ツールの使用
- はじめる前に
- Startup Wizard の使用
- インターフェイスの設定
- マルチ モードのインターフェイスの設定
- Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイスの設定値と管理の設定
- DHCP、DNS、および WCCP サービス
- AAA サーバおよびユーザ アカウントの設定
- 管理アクセスの設定
- ハイ アベイラビリティ
- ロギングの設定
- ダイナミック ルーティングおよびスタティック ルーティングの設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- EtherType ルールの設定
- AAA ルールの設定
- フィルタ ルールの設定
- サービス ポリシー ルールの設定
- アプリケーション レイヤ プロトコル インスペクションの設定
- NAT の設定
- ARP インスペクションおよびブリッジング パラメータの設定
- 高度なファイアウォール保護の設定
- QoS の設定
- VPN
- SSL VPN Wizard
- IKE
- General
- ダイナミック アクセス ポリシーの設定
- クライアントレス SSL VPN
- クライアントレス SSL VPN のエンド ユーザ設定
- 電子メール プロキシ
- SSL 設定の指定
- 証明書の設定
- IPS の設定
- Trend Micro Content Security の設定
- ロギングのモニタリング
- Trend Micro Content Security のモニタリング
- フェールオーバー動作のモニタ
- インターフェイスのモニタリング
- ルーティングのモニタリング
- VPN のモニタリング
- プロパティのモニタリング
- 機能のライセンスと仕様
- 許可および認証用の外部サーバの設定
Cisco ASDM ユーザ ガイド バージョン 6.0(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: ダイナミック ルーティングおよびスタティック ルーティングの設定
ダイナミック ルーティングおよびスタティック ルーティングの設定
スタティック ルーティング プロトコルとダイナミック ルーティング プロトコルを設定するには、ASDM インターフェイスの [Configuration] > [Device Setup] > [Routing] 領域に移動します。
セキュリティ アプライアンスでは、最大で OSPF ルーティング プロセスを 2 つ、EIGRP ルーティング プロセスを 1 つ、および RIP ルーティング プロセスを 1 つまで同時に設定できます。ダイナミック ルーティングは、ルーテッド ファイアウォール モードのセキュリティ アプライアンスでだけ使用でき、セキュリティ アプライアンスがトランスペアレント ファイアウォール モードのときには設定できません。
スタティック ルートは、ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モードのセキュリティ アプライアンスで設定できます。プライマリ スタティック ルートを使用できなくなった場合は、スタティック ルート トラッキング機能によってセキュリティ アプライアンスにバックアップ スタティック ルートを指定できます。
ダイナミック ルーティング
•
「OSPF」
• 「RIP」
• 「EIGRP」
OSPF
OSPF は、パスの選択に距離ベクトル型ではなくリンク ステートを使用する Interior Gateway Routing Protocol(IGRP)です。OSPF は、ルーティング テーブル アップデートではなく、リンクステート アドバタイズメントを伝搬します。ルーティング テーブル全体ではなく LSA だけが交換されるため、OSPF ネットワークは RIP ネットワークよりも迅速に収束します。
OSPF は、MD5 とクリア テキスト ネイバー認証をサポートしています。OSPF と他のプロトコル(RIP など)の間のルートの再配布は、攻撃者によるルーティング情報の悪用に使用される可能性があるため、できる限りすべてのルーティング プロトコルで認証を使用する必要があります。
NAT が使用されている場合、OSPF がパブリック エリアおよびプライベート エリアで動作している場合、またアドレス フィルタリングが必要な場合は、2 つの OSPF プロセス(1 つはパブリック エリア用、1 つはプライベート エリア用)を実行する必要があります。
複数のエリアにインターフェイスを持つルータは、Area Border Router(ABR; エリア境界ルータ)と呼ばれます。ゲートウェイとして動作し、OSPF を使用しているルータと他のルーティング プロトコルを使用しているルータの間でトラフィックを再配布するルータは、Autonomous System Boundary Router(ASBR; 自律システム境界ルータ)と呼ばれます。
ABR は LSA を使用して、使用可能なルータに関する情報を他の OSPF ルータに送信します。ABR タイプ 3 LSA フィルタリングを使用すれば、セキュリティ アプライアンスが ABR として動作するプライベート エリアおよびパブリック エリアを分けることができます。タイプ 3 LSA(エリア間ルート)を 1 つのエリアから他のエリアにフィルタリングできます。このことにより、プライベート ネットワークをアドバタイズしなくても、NAT と OSPF を一緒に使用できます。
(注) タイプ 3 LSA だけをフィルタリングできます。セキュリティ アプライアンスを ASBR としてプライベート ネットワークで設定している場合、プライベート ネットワークを説明するタイプ 5 LSA が送信され、パブリック エリアを含む AS 全体に対してフラッディングされます。
NAT は使用されているが、OSPF がパブリック エリアでだけ実行されている場合、パブリック ネットワークへのルートは、プライベート ネットワーク内でデフォルトまたはタイプ 5 AS External LSA として再配布できます。ただし、セキュリティ アプライアンスにより保護されているプライベート ネットワークにはスタティック ルートを設定する必要があります。また、同一のセキュリティ アプライアンス インターフェイス上で、パブリック ネットワークとプライベート ネットワークを混在させることはできません。
セキュリティ アプライアンスでは、2 つの OSPF ルーティング プロセス(1 つの RIP ルーティング プロセスと 1 つの EIGRP ルーティング プロセス)を同時に実行できます。
OSPF のイネーブル化および設定の詳細については、次の項目を参照してください。
• 「セットアップ」
セットアップ
[Setup] ペインでは、OSPF プロセスをイネーブルにし、OSPF エリアおよびネットワークを設定し、OSPF ルート集約を定義できます。
これらのエリアの設定の詳細については、次の項を参照してください。
• 「[Setup] > [Process Instances] タブ」
• 「[Setup] > [Area/Networks] タブ」
• 「[Setup] > [Route Summarization] タブ」
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Setup] > [Process Instances] タブ
最大 2 つの OSPF プロセス インスタンスをイネーブルにできます。各 OSPF プロセスには、独自のエリアとネットワークが関連付けられます。
• [OSPF Process 1] エリアおよび [OSPF Process 2] エリア:各エリアには、特定の OSPF プロセスのための設定が含まれます。
• [Enable this OSPF Process]:このチェックボックスをオンにすると、OSPF プロセスをイネーブルにします。OSPF プロセスを削除するには、このチェックボックスをオフにします。
• [OSPF Process ID]:OSPF プロセスの一意の数値 ID を入力します。このプロセス ID は内部的に使用され、他の OSPF デバイス上の OSPF プロセス ID に一致している必要はありません。有効な値は 1 ~ 65535 です。
• [Advanced]:[Edit OSPF Process Advanced Properties] ダイアログボックスが開きます。このダイアログボックスでは、[Router ID]、[Adjacency Changes]、[Administrative Route Distances]、[Timers]、および [Default Information Originate] の各種設定を実行できます。詳細については、「[Edit OSPF Process Advanced Properties]」を参照してください。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Edit OSPF Process Advanced Properties]
[Edit OSPF Process Advanced Properties] ダイアログボックスでは、[Router ID]、[Adjacency Changes]、[Administrative Route Distances]、[Timers]、および [Default Information Originate] 設定など、プロセス固有の設定を編集できます。
• [OSPF Process]:設定している OSPF プロセスを表示します。この値は変更できません。
• [Router ID]:固定ルータ ID を使用するには、[Router ID] フィールドに IP アドレス形式でルータ ID を入力します。この値を空白にすると、セキュリティ アプライアンスで最高レベルの IP アドレスがルータ ID として使用されます。
• [Ignore LSA MOSPF]:セキュリティ アプライアンスがタイプ 6(MOSPF)LSA パケットを受信したときのシステム ログ メッセージの送信を抑制するには、このチェックボックスをオンにします。デフォルトでは、この設定はオフになっています。
• [RFC 1583 Compatible]:RFC 1583 あたりのサマリー ルート コストを計算するには、このチェックボックスをオンにします。RFC 2328 あたりのサマリー ルート コストを計算するには、このチェックボックスをオフにします。ルーティング ループが発生する可能性を最小限にするため、OSPF ルーティング ドメインのすべての OSPF デバイスには、同じように RFC 互換性が設定されている必要があります。この設定は、デフォルトでオンになっています。
• [Adjacency Changes]:隣接関係の変更を定義する設定が含まれます。隣接関係が変更されると、システム ログ メッセージが送信されます。
– [Log Adjacency Changes]:OSPF ネイバーが起動またはダウンするたびにセキュリティ アプライアンスがシステム ログ メッセージを送信するようにするには、このチェックボックスをオンにします。この設定は、デフォルトでオンになっています。
– [Log Adjacency Changes Detail]:ネイバーが起動またはダウンしたときだけでなく、状態の変更が発生するたびにセキュリティ アプライアンスがシステム ログ メッセージを送信するようにするには、このチェックボックスをオンにします。デフォルトでは、この設定はオフになっています。
• [Administrative Route Distances]:ルート タイプに基づくルートのアドミニストレーティブ ディスタンスの設定を含みます。
– [Inter Area]:1 つのエリアから別のエリアへのすべてのルートのアドミニストレーティブ ディスタンスを設定します。有効値の範囲は、1 ~ 255 です。デフォルト値は 100 です。
– [Intra Area]:エリア内のすべてのルートのアドミニストレーティブ ディスタンスを設定します。有効値の範囲は、1 ~ 255 です。デフォルト値は 100 です。
– [External]:再配布を通じて取得される他のルーティング ドメインからのすべてのルートのアドミニストレーティブ ディスタンスを設定します。有効値の範囲は、1 ~ 255 です。デフォルト値は 100 です。
• [Timers]:LSA ペーシングおよび SPF 計算タイマーの設定に使用する設定が含まれます。
– [SPF Delay Time]:OSPF がトポロジの変更を受信してから SPF の計算が開始されるまでの時間を指定します。有効値の範囲は、0 ~ 65535 です。デフォルト値は 5 です。
– [SPF Hold Time]:連続する SPF 計算の間の保持時間を指定します。有効値の範囲は 1 ~ 65534 です。デフォルト値は 10 です。
– [LSA Group Pacing]:LSA がグループに収集され、更新、チェックサム、または時間経過する間隔を指定します。有効値の範囲は 10 ~ 1800 です。デフォルト値は 240 です。
• [Default Information Originate]:ASBR がデフォルトの外部ルートを OSPF ルーティング ドメインに生成するときに使用する設定を含みます。
– [Enable Default Information Originate]:OSPF ルーティング ドメインへのデフォルト ルートの生成をイネーブルにするには、このチェックボックスをオンにします。
– [Always advertise the default route]:デフォルト ルートを常にアドバタイズするには、このチェックボックスをオンにします。このオプションは、デフォルトではオフになっています。
– [Metric Value]:OSPF デフォルト メトリックを指定します。有効値の範囲は 0 ~ 16777214 です。デフォルト値は、1 です
– [Metric Type]:OSPF ルーティング ドメインにアドバタイズされたデフォルト ルートに関連付けられた外部リンク タイプを指定します。有効値は 1 または 2 です。それぞれタイプ 1 またはタイプ 2 外部ルートを示します。デフォルト値は 2 です。
– [Route Map]:(任意)適用するルート マップの名前です。ルート マップが一致すると、ルーティング プロセスによってデフォルト ルートが生成されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Setup] > [Area/Networks] タブ
[Area/Networks] タブには、セキュリティ アプライアンスの各 OSPF プロセスのエリア、およびそこに含まれるネットワークが表示されます。
• [Area/Networks]:各 OSPF プロセスに対して設定されたエリアおよびエリア ネットワークに関する情報を表示します。このテーブルの行をダブルクリックすると、選択したエリアを対象とした Add/Edit OSPF Area ダイアログボックスが開きます。
– [OSPF Process]:エリアの適用先である OSPF プロセスを表示します。
– [Area Type]:エリア タイプを表示します。エリア タイプは、[Normal]、[Stub]、[NSSA] のいずれかです。
– [Networks]:エリア ネットワークを表示します。
– [Authentication]:そのエリアに設定された認証タイプを表示します。認証タイプは、[None]、[Password]、[MD5] のいずれかです。
– [Options]:そのエリア タイプに設定されたオプションを表示します。
– [Cost]:そのエリアのデフォルト コストを表示します。
• [Add]:[ Add/Edit OSPF Area] ダイアログボックスが開きます。新しいエリア設定を追加する場合は、このボタンを使用します。
• [Edit]:[ Add/Edit OSPF Area] ダイアログボックスが開きます。選択したエリアのパラメータを変更する場合は、このボタンを使用します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit OSPF Area
[Add/Edit OSPF Area] ダイアログボックスでは、エリア パラメータ、そのエリアに含まれるネットワーク、およびエリアに関連付けられた OSPF プロセスを定義します。
• [OSPF Process]:新しいエリアを追加するときに、そのエリアが追加される OSPF プロセスの OSPF プロセス ID を選択します。セキュリティ アプライアンス上で OSPF プロセスが 1 つしかイネーブルになっていないと、そのプロセスがデフォルトで選択されます。既存のエリアを編集する場合、OSPF プロセス ID を変更することはできません。
• [Area ID]:新しいエリアを追加するときに、エリア ID を入力します。このエリア ID には、10 進数か IP アドレスを指定できます。有効な 10 進値の範囲は、0 ~ 4294967295 です。既存のエリアを編集する場合、エリア ID は変更できません。
• [Area Type]:設定しているエリアのタイプに対する設定を含みます。
– [Normal]:エリアを標準 OSPF エリアとする場合に、このオプションを選択します。エリアを最初に作成するときは、このオプションがデフォルトで選択されています。
– [Stub]:このオプションを選択すると、エリアがスタブ エリアになります。スタブ エリアには、その向こう側にルータまたはエリアはありません。スタブ エリアでは、AS External LSA(タイプ 5 LSA)がスタブ エリアにフラッディングされないようになっています。スタブ エリアを作成するとき、[Summary] チェックボックスをオフにすることでサマリー LSA(タイプ 3 および 4)がそのエリアにフラッディングされないようにするオプションがあります。
– [Summary]:定義しているエリアがスタブ エリアのときにこのチェックボックスをオフにすると、LSA がスタブ エリアに送信されません。スタブ エリアの場合、このチェックボックスはデフォルトでオンになっています。
– [NSSA]:エリアを [not so stubby] エリアにするには、このオプションを選択します。NSSA はタイプ 7 LSA を受け入れます。[NSSA] エリアを作成するときに、[Summary] チェックボックスをオフにすることでサマリー LSA がそのエリアにフラッディングされないようにするオプションがあります。また、[Redistribut]e チェックボックスをオフにして [Default Information Originate] をイネーブルにすることで、ルートの再配布をディセーブルにもできます。
– [Redistribute]:このチェックボックスをオフにすると、ルートは NSSA にインポートされません。このチェックボックスは、デフォルトでオンになっています。
– [Summary]:定義しているエリアが NSSA のとき、このチェックボックスをオフにすると、LSA がスタブ エリアに送信されません。NSSA の場合、このチェックボックスはデフォルトでオンになっています。
– [Default Information Originate]:タイプ 7 デフォルトを NSSA に生成するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオフになっています。
– [Metric Value]:デフォルト ルートの OSPF メトリック値を指定します。有効値の範囲は 0 ~ 16777214 です。デフォルト値は、1 です
– [Metric Type]:デフォルト ルートの OSPF メトリック タイプです。選択肢は 1(タイプ 1)または 2(タイプ 2)です。デフォルト値は 2 です。
• [Area Networks]:OSPF エリアを定義するための設定を含みます。
– [Enter IP Address and Mask]:そのエリア内のネットワークを定義するのに使用する設定を含みます。
[IP Address]:そのエリアに追加するネットワークまたはホストの IP アドレスを入力します。デフォルト エリアを作成するには、0.0.0.0 およびネットマスク 0.0.0.0 を使用します。0.0.0.0 は 1 つのエリア内だけで使用できます。
[Netmask]:エリアに追加する IP アドレスまたはホストのネットワーク マスクを選択します。ホストを追加する場合、255.255.255.255 マスクを選択します。
– [Add]:[Enter IP Address and Mask] エリアで定義したネットワークをエリアに追加します。追加されたネットワークは、[Area Networks] テーブルに表示されます。
– [Delete]:選択したネットワークを [Area Networks] テーブルから削除します。
– [Area Networks]:そのエリアに対して定義されたネットワークを表示します。
[IP Address]:ネットワークの IP アドレスを表示します。
[Netmask]:ネットワークのネットワーク マスクを表示します。
• [Authentication]:OSPF エリア認証の設定を含みます。
– [None]:OSPF エリア認証をディセーブルにするには、このオプションを選択します。これがデフォルト設定です。
– [Password]:エリア認証にクリア テキスト パスワードを使用するには、このオプションを選択します。セキュリティ面が懸念される場合、このオプションは推奨しません。
– [MD5]:MD5 認証を使用するには、このオプションを選択します。
• [Default Cost]:エリアのデフォルト コストを指定します。有効値の範囲は、0 ~ 65535 です。デフォルト値は、1 です
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Setup] > [Route Summarization] タブ
OSPF では、ABR が 1 つのエリアのネットワークを別のエリアにアドバタイズします。あるエリアにおいて連続する複数のネットワーク番号が割り当てられている場合、指定された範囲に含まれるエリア内の個別のネットワークをすべてカバーするサマリー ルートをアドバタイズするように ABR を設定できます。OSPF エリアに再配布される外部ルートのサマリー アドレスを定義する方法については、 Summary Addressを参照してください。
• [Route Summarization]:セキュリティ アプライアンスで定義されたルート集約についての情報を表示します。このテーブルの行をダブルクリックすると、選択したルート集約を対象とした Add/Edit Route Summarization ダイアログボックスが開きます。
– [OSPF Process]:ルート集約に関連付けられた OSPF プロセスの OSPF プロセス ID を表示します。
– [Area ID]:ルート集約に関連付けられたエリアを表示します。
– [IP Address]:サマリー アドレスを表示します。
– [Network Mask]:サマリー マスクを表示します。
– [Advertise]:アドレスとマスクのペアに一致するときにルート集約がアドバタイズされる場合は「yes」、アドレスとマスクのペアに一致するときにルート集約が抑止される場合は「no」を表示します。
• [Add]:[ Add/Edit Route Summarization] ダイアログボックスが開きます。新しいルート集約を定義するには、このボタンを使用します。
• [Edit]:[ Add/Edit Route Summarization] ダイアログボックスが開きます。選択したルート集約のパラメータを変更するには、このボタンを使用します。
• [Delete]:選択したルート集約を設定から削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Route Summarization
新しいエントリを [Route Summarization] テーブルに追加するには、[Add Route Summarization] ダイアログボックスを使用します。既存のエントリを変更するには、[Edit Route Summarization] ダイアログボックスを使用します。
• [OSPF Process]:ルート集約を適用する OSPF プロセスを選択します。既存のルート要約エントリを編集する場合、この値は変更できません。
• [Area ID]:ルート集約を適用するエリア ID を選択します。既存のルート要約エントリを編集する場合、この値は変更できません。
• [IP Address]:集約するルートのネットワーク アドレスを入力します。
• [Network Mask]:リストから共通ネットワーク マスクの 1 つを選択するか、フィールドにマスクを入力します。
• [Advertise]:アドレス範囲ステータスを「アドバタイズ」に設定するには、このチェックボックスをオンにします。これによって、タイプ 3 サマリー LSA が生成されます。指定したネットワークのタイプ 3 サマリー LSA を抑制するには、このチェックボックスをオフにします。このチェックボックスは、デフォルトでオンになっています。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Filtering
[Filtering] ペインには、各 OSPF プロセスに設定された ABR タイプ 3 LSA フィルタが表示されます。
ABR タイプ 3 LSA フィルタにより、指定したプレフィックスだけを 1 つのエリアから別のエリアに送信し、その他すべてのプレフィックスを制限できます。このタイプのエリア フィルタリングは、特定の OSPF エリアから、特定の OSPF エリアへ、または同じ OSPF エリアへ同時に適用できます。
OSPF ABR タイプ 3 LSA フィルタリングにより、OSPF エリア間のルート配布を詳細に制御できます。
フィルタリングされるのは、ABR から送信されるタイプ 3 LSA だけです。
[Filtering] テーブルには、次の情報が表示されます。テーブル エントリをダブルクリックすると、選択したエントリに対応する Add/Edit Filtering Entry ダイアログボックスが開きます。
• [OSPF Process]:フィルタ エントリに関連付けられた OSPF プロセスを表示します。
• [Area ID]:フィルタ エントリに関連付けられたエリアの ID を表示します。
• [Filtered Network]:フィルタリングされているネットワーク アドレスを表示します。
• [Traffic Direction]:OSPF エリアに着信する LSA にフィルタ エントリが適用される場合「Inbound」を、OSPF エリアから発信される LSA に適用される場合は「Outbound」を表示します。
• [Sequence #]:フィルタ エントリのシーケンス番号を表示します。複数のフィルタが LSA に適用されている場合、最もシーケンス番号の小さいフィルタが使用されます。
• [Action]:フィルタに一致する LSA が許可される場合は「Permit」を、フィルタに一致する LSA が拒否される場合は「Deny」を表示します。
• [Lower Range]:照合される最小プレフィックス長を表示します。
• [Upper Range]:照合される最大プレフィックス長を表示します。
[Filtering] テーブルのエントリでは、次のアクションを実行できます。
• [Add]:新しいエントリを [Filter] テーブルに追加するための Add/Edit Filtering Entry ダイアログボックスが開きます。
• [Edit]:選したフィルタを修正するための Add/Edit Filtering Entry ダイアログボックスが開きます。
• [Delete]:選択したフィルタを [Filter] テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Filtering Entry
[Add/Edit Filtering Entry] ダイアログボックスでは、新しいフィルタを [Filter] テーブルに追加するか、既存のフィルタを修正できます。既存のフィルタを編集するとき、一部のフィルタ情報は変更できません。
• [OSPF Process]:フィルタ エントリに関連付けられた OSPF プロセスを選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。
• [Area ID]:フィルタ エントリに関連付けられたエリアの ID を選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。
• [Filtered Network]:CIDR 表記(a.b.c.d/m)を使用して、フィルタリングしているネットワークのアドレスおよびマスクを入力します。
• [Traffic Direction]:フィルタリングされているトラフィックの方向を選択します。OSPF エリアに着信する LSA をフィルタリングするには「Inbound」を、OSPF エリアから発信される LSA をフィルタリングするには「Outbound」を選択します。既存のフィルタ エントリを編集している場合、この設定は変更できません。
• [Sequence #]:フィルタのシーケンス番号を入力します。有効値の範囲は 1 ~ 4294967294 です。複数のフィルタが LSA に適用されている場合、最もシーケンス番号の小さいフィルタが使用されます。
• [Action]:LSA トラフィックを許可する場合は「Permit」を、LSA トラフィックをブロックする場合は「Deny」を選択します。
• [Optional]:フィルタのオプション設定を含みます。
– [Lower Range]:照合される最小プレフィックス長を指定します。この設定の値は、[Filtered Network] フィールドに入力するネットワーク マスクの長さよりも大きく、[Upper Range] フィールドに入力する値(ある場合)以下である必要があります。
– [Upper Range]:照合される最大プレフィックス長を入力します。この設定の値は、[Lower Range] フィールドに入力する値(ある場合)以上である必要があります。または、[Lower Range] フィールドがブランクの場合は、[Filtered Network] フィールドに入力するネットワーク マスクの長さよりも大きい値である必要があります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Interface
[Interface] ペインでは、OSPF メッセージ認証やプロパティなどの、インターフェイス固有の OSPF ルーティング プロパティを設定できます。これらのプロパティの設定の詳細については、次の項目を参照してください。
• [Interface] > [Authentication] タブ
• [Interface] > [Properties] タブ
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Interface] > [Authentication] タブ
[Authentication] タブには、セキュリティ アプライアンス インターフェイスの OSPF 認証情報が表示されます。
• [Authentication Properties]:セキュリティ アプライアンス インターフェイスの認証情報を表示します。このテーブルの行をダブルクリックすると、選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。
– [Interface]:インターフェイス名を表示します。
– [Authentication Type]:インターフェイスでイネーブルになっている OSPF 認証のタイプを表示します。認証タイプには、次のいずれかの値を指定できます。
[Password]:クリア テキスト パスワード認証がイネーブルになります。
[Area]:エリアに対して指定された認証タイプがインターフェイスでイネーブルになります。エリア認証が、インターフェイスのデフォルト値です。ただし、エリア認証は、デフォルトではディセーブルになっています。そのため、あらかじめエリア認証タイプを指定してある場合を除いて、エリア認証を指定したインターフェイスでは認証がディセーブルになります。
• [Edit]:選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit OSPF Interface Authentication
[Edit OSPF Interface Authentication] ダイアログボックスでは、選択したインターフェイスの OSPF 認証タイプおよびパラメータを設定できます。
• [Interface]:認証を設定するインターフェイスの名前を表示します。このフィールドは編集できません。
• [Authentication]:OSPF 認証オプションを含みます。
– [None]:OSPF 認証をディセーブルにするには、このオプションを選択します。
– [Password]:クリア テキスト パスワード認証を使用するには、このオプションを選択します。セキュリティ面が懸念される場合は推奨しません。
– [MD5]:MD5 認証を使用するには、このオプションを選択します(推奨)。
– [Area]:(デフォルト)エリアに指定された認証タイプを使用するには、このオプションを選択します(エリア認証の設定の詳細については、 Add/Edit OSPF Areaを参照してください)。エリア認証はデフォルトでディセーブルになっています。したがって、それ以前にエリア認証タイプを指定していない限り、エリア認証を設定するインターフェイスでは、設定するまで認証がディセーブルになっています。
• [Authentication Password]:パスワード認証がイネーブルになっているとき、パスワードの入力のための設定が含まれます。
– [Enter Password]:最大 8 文字のテキスト文字列を入力します。
– [Re-enter Password]:パスワードを再入力します。
• [MD5 IDs and Keys]:MD5 認証がイネーブルになっているとき、MD5 キーおよびパラメータの入力のための設定が含まれます。OSPF 認証を使用するインターフェイス上のすべてのデバイスで、同じ MD5 キーおよび ID を使用する必要があります。
– [Enter MD5 ID and Key]:MD5 キー情報を入力するための設定が含まれます。
[Key ID]:数値のキー ID を入力します。有効値の範囲は、1 ~ 255 です。
– [Add]:指定した MD5 キーを [MD5 ID] および [Key] テーブルに追加します。
– [Delete]:選択した MD5 キーおよび ID を [MD5 ID] および [Key] テーブルから削除します。
– [MD5 ID and Key]:設定済みの MD5 キーおよびキー ID を表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
[Interface] > [Properties] タブ
[Properties] タブには、各インターフェイスに定義された OSPF プロパティがテーブル形式で表示されます。
• [OSPF Interface Properties]:インターフェイス固有の OSPF プロパティを表示します。このテーブルの行をダブルクリックすると、選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。
– [Interface]:OSPF 設定が適用されるインターフェイスの名前を表示します。
– [Broadcast]:インターフェイスが非ブロードキャスト(ポイントツーポイント)に設定されている場合は、「No」を表示します。インターフェイスがブロードキャストに設定されている場合は、「Yes」を表示します。「Yes」は、イーサネット インターフェイスのデフォルト設定です。
– [Cost]:インターフェイスを介したパケット送信のコストを表示します。
– [Priority]:インターフェイスに割り当てられた OSPF 優先順位を表示します。
– [MTU Ignore]:MTU ミスマッチ検出がイネーブルになっている場合は、「No」を表示します。MTU ミスマッチ検出がディセーブルになっている場合は、「Yes」を表示します。
– [Database Filter]:同期化およびフラッディングの間に発信 LSA がフィルタリングされる場合は、「Yes」を表示します。フィルタリングがイネーブルでない場合は、「No」を表示します。
• [Edit]:選択したインターフェイスを対象とした Edit OSPF Interface Properties ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit OSPF Interface Properties
• [Interface]:OSPF プロパティを設定するインターフェイスの名前を表示します。このフィールドは編集できません。
• [Broadcast]:インターフェイスがブロードキャスト インターフェイスであることを指定するには、このチェックボックスをオンにします。このチェックボックスは、イーサネット インターフェイスのデフォルトでオンになっています。インターフェイスをポイントツーポイント、非ブロードキャスト インターフェイスとして指定するには、このチェックボックスをオフにします。インターフェイスをポイントツーポイント、非ブロードキャストとして指定すると、OSPF ルートが VPN トンネルで送信されます。
インターフェイスをポイントツーポイント、非ブロードキャストとして設定すると、次の制限が適用されます。
– インターフェイスにはネイバーを 1 つだけ定義できます。
– ネイバーは手動で設定する必要があります( Static Neighborを参照)。
– クリプト ポイントを指すスタティック ルートを定義する必要があります( Static Routesを参照)。
– トンネル経由の OSPF がインターフェイスで実行中である場合は、その同じインターフェイスでは上流のルータがある通常の OSPF を実行できません。
– OSPF 更新が VPN トンネルを通過できるように、OSPF ネイバーを指定する前に、クリプト マップをインターフェイスにバインドする必要があります。OSPF ネイバーを指定した後でクリプト マップをインターフェイスにバインドする場合は、 clear local-host all コマンドを使用して OSPF 接続をクリアし、OSPF の隣接関係が VPN トンネル経由で確立されるようにします。
• [Cost]:インターフェイスを介したパケット送信のコストを指定します。デフォルト値は 10 です。
• [Priority]:OSPF ルータの優先順位を指定します。2 つのルータがネットワークに接続している場合、両方が指定ルータになろうとします。ルータ優先順位の高いデバイスが指定ルータになります。ルータ優先順位が同じ場合は、ルータ ID が高い方が指定ルータになります。
この設定の有効値の範囲は、0 ~ 255 です。デフォルト値は 1 です。この設定に 0 を入力すると、適切でないルータが指定ルータになったり、指定ルータのバックアップが行われたりします。この設定は、ポイントツーポイント、非ブロードキャスト インターフェイスとして設定されているインターフェイスには適用されません。
• [MTU Ignore]:OSPF は、ネイバーが共通インターフェイスで同じ MTU を使用しているかどうかをチェックします。このチェックは、ネイバーによる DBD パケットの交換時に行われます。DBD パケットに受信した MTU が着信インターフェイスに設定されている IP MTU より高い場合、OSPF の隣接性は確立されません。
• [Database Filter]:同期化およびフラッディングの間に発信 LSA インターフェイスをフィルタリングするには、このチェックボックスをオンにします。デフォルトでは、OSPF は、LSA が到着したインターフェイスを除き、同じエリア内のすべてのインターフェイスで新しい LSA をフラッドします。完全メッシュ化トポロジでは、この設定が帯域幅を無駄にして、過剰なリンクおよび CPU の使用につながることがあります。このチェックボックスをオンにすることで、選択したインターフェイスでの OSPF LSA のフラッディングを防ぎます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit OSPF Interface Advanced Properties
[Edit OSPF Interface Advanced Properties] ダイアログボックスでは、OSPF の hello 間隔、再送信間隔、送信遅延、dead 間隔の値を変更できます。通常は、ネットワーク上で OSPF の問題が発生した場合にだけ、これらの値をデフォルトから変更する必要があります。
• [Hello Interval]:hello パケットがインターフェイスで送信される間隔を秒数で指定します。hello 間隔を小さくすると、トポロジ変更はより高速に検出されますが、インターフェイス上で送信されるトラフィックはより多くなります。この値は、特定のインターフェイス上のすべてのルータおよびアクセス サーバで同じである必要があります。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 10 秒です。
• [Retransmit Interval]:インターフェイスに属する隣接関係の LSA 再送信の間隔を秒数で指定します。ルータはそのネイバーに LSA を送信すると、確認応答メッセージを受信するまでその LSA を保持します。確認応答を受信しなかった場合、ルータは LSA を再送信します。この値は控えめに設定する必要があります。そうしないと、不要な再送信が発生する可能性があります。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 5 秒です。
• [Transmit Delay]:インターフェイス上で LSA パケットを送信するのに必要な予想時間を秒数で指定します。更新パケット内の LSA には、送信前に、このフィールドで指定した値によって増分された経過時間が格納されます。リンクでの送信前に遅延が加算されていない場合、LSA がリンクを介して伝播する時間は考慮されません。値は、インターフェイスの送信および伝播遅延を考慮して割り当てる必要があります。この設定は、非常に低速のリンクでより重要な意味を持ちます。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 1 秒です。
• [Dead Interval]:hello パケットが受信されず、ネイバーがルータのダウンを宣言する間隔を秒数で指定します。有効な値の範囲は 1 ~ 65535 です。この設定のデフォルト値は、[Hello Interval] フィールドに設定されている時間間隔の 4 倍です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Redistribution
[Redistribution] ペインには、1 つのルーティング プロセスから OSPF ルーティング プロセスへのルートを再配布する場合のルールが表示されます。
[Redistribution] テーブルには、次の情報が表示されます。テーブル エントリをダブルクリックすると、選択したエントリに対応する Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。
• [OSPF Process]:ルート再配布エントリに関連付けられた OSPF プロセスを表示します。
• [Protocol]:ルートの再配布元であるソース プロトコルを表示します。有効なエントリは次のとおりです。
– [Static]:スタティック ルートは OSPF ルーティング プロセスに再配布されます。
– [Connected]:ルートは、インターフェイス上で IP をイネーブルにすることによって、自動的に確立されました。これらのルートは、AS の外部ルートとして OSPF ルーティング プロセスに再配布されます。
– [OSPF]:別の OSPF ルーティング プロセスからのルートは OSPF ルーティング プロセスに再配布されます。
– [EIGRP]:ルートは、EIGRP ルーティング プロセスから OSPF ルーティング プロセスに再配布されます。
– [RIP]:ルートは RIP ルーティング プロセスから OSPF ルーティング プロセスに再配布されます。
• [Match]:1 つの OSPF ルーティング プロセスから別の OSPF ルーティング プロセスにルートを再配布する場合に適用される条件を表示します。
• [Subnets]:サブネットされたルートが再配布される場合は「Yes」を表示します。サブネット化されていないルートだけが再配布される場合は、何も表示されません。
• [Metric Value]:ルートに使用されるメトリックを表示します。デフォルトのメトリックが使用される場合、このカラムは再配布エントリに対してブランクです。
• [Metric Type]:メトリックがタイプ 1 外部ルートの場合は「1」を、メトリックがタイプ 2 外部ルートの場合は「2」を表示します。
• [Tag Value]:各外部ルートに付加される 32 ビットの 10 進数値です。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。有効値の範囲は、0 ~ 4294967295 です。
• [Route Map]:再配布エントリに適用されるルート マップの名前を表示します。
[Redistribution] テーブル エントリでは次のアクションを実行できます。
• [Add]:新しい再配布エントリを追加するための Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。
• [Edit]:選択した再配布エントリを修正するための Add/Edit OSPF Redistribution Entry ダイアログボックスが開きます。
• [Delete]:選択した再配布エントリを [Redistribution] テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit OSPF Redistribution Entry
[Add/Edit OSPF Redistribution Entry] ダイアログボックスでは、[Redistribution] テーブルに新しい再配布ルールを追加したり、既存の再配布ルールを編集したりできます。既存の再配布ルールを編集するとき、一部の再配布ルール情報は変更できません。
• [OSPF Process]:ルート再配布エントリに関連付けられた OSPF プロセスを選択します。既存の再配布ルールを編集している場合、この設定は変更できません。
• [Protocol]:ルートの再配布元であるソース プロトコルを選択します。次のいずれかのオプションを選択できます。
– [Static]:スタティック ルートを OSPF ルーティング プロセスに再配布します。
– [Connected]:接続されたルート(インターフェイス上で IP をイネーブルにすることによって自動的に確立されるルート)を OSPF ルーティング プロセスに再配布します。接続済みルートは、AS の外部として再配布されます。
– [OSPF]:別の OSPF ルーティング プロセスからルートを再配布します。リストから OSPF プロセス ID を選択してください。
– [RIP]:RIP ルーティングプロセスからルートを再配布します。
– [EIGRP]:EIGRP ルーティング プロセスからルートを再配布します。リストから EIGRP ルーティング プロセスの自律システム番号を選択してください。
• [Match]:別の OSPF ルーティング プロセスから、選択した OSPF ルーティング プロセスに、ルートを再配布する場合に適用される条件を表示します。これらのオプションは、スタティック、接続済み、RIP、または EIGRP ルートを再配布するときに選択できます。ルートが再配布されるには、選択した条件と一致している必要があります。次の一致条件から 1 つ以上を選択できます。
– [Internal]:ルートは特定の AS の内部です。
– [External 1]:自律システムの外部だが、OSPF にタイプ 1 外部ルートとしてインポートされるルート。
– [External 2]:自律システムの外部だが、OSPF にタイプ 2 外部ルートとしてインポートされるルート。
– [NSSA External 1]:自律システムの外部だが、OSPF にタイプ 2 NSSA ルートとしてインポートされるルート。
– [NSSA External 2]:自律システムの外部だが、OSPF にタイプ 2 NSSA ルートとしてインポートされるルート。
• [Metric Value]:再配布するルートのメトリック値を指定します。有効値の範囲は 1 ~ 16777214 です。同じデバイス上で 1 つの OSPF プロセスから別の OSPF プロセスに再配布する場合、メトリック値を指定しないと、メトリックは 1 つのプロセスから他のプロセスへ存続します。他のプロセスを OSPF プロセスに再配布するときに、メトリック値を指定しない場合、デフォルトのメトリックは 20 です。
• [Metric Type]:メトリックがタイプ 1 外部ルートである場合は「1」を、メトリックがタイプ 2 外部ルートである場合は「2」を選択します。
• [Tag Value]:タグ値は、各外部ルートに付加される 32 ビットの 10 進数値です。これは OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。有効値の範囲は、0 ~ 4294967295 です。
• [Use Subnets]:サブネット ルートの再配布をイネーブルにするには、このチェックボックスをオンにします。サブネットされていないルートだけを再配布するには、このチェックボックスをオフにします。
• [Route Map]:再配布エントリに適用されるルート マップの名前を入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Static Neighbor
[Static Neighbor] ペインには、手動で定義されたネイバーが表示されます。検出されたネイバーは表示されません。
ポイントツーポイントの非ブロードキャスト インターフェイスごとに、スタティック ネイバーを定義する必要があります。また、[Static Neighbor] テーブルにある各スタティック ネイバーに対してスタティック ルートを定義する必要もあります。
• [Static Neighbor]:各 OSPF プロセスに定義されたスタティック ネイバーの情報を表示します。このテーブルの行をダブルクリックすると、 Add/Edit OSPF Neighbor Entry ダイアログボックスが開きます。
– [OSPF Process]:スタティック ネイバーに関連付けられた OSPF プロセスを表示します。
– [Neighbor]:スタティック ネイバーの IP アドレスを表示します。
– [Interface]:スタティック ネイバーに関連付けられたインターフェイスを表示します。
• [Add]:[ Add/Edit OSPF Neighbor Entry] ダイアログボックスが開きます。このボタンを使用して、新しいスタティック ネイバーを定義します。
• [Edit]:[ Add/Edit OSPF Neighbor Entry] ダイアログボックスが開きます。このボタンを使用して、スタティック ネイバーの設定を変更します。
• [Delete]:選択したエントリを [Static Neighbor] テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit OSPF Neighbor Entry
[Add/Edit OSPF Neighbor Entry] ダイアログボックスでは、新しいスタティック ネイバーを定義するか、既存のスタティック ネイバーの情報を変更できます。
ポイントツーポイントの非ブロードキャスト インターフェイスごとに、スタティック ネイバーを定義する必要があります。
• 異なる 2 つの OSPF プロセスに対して同じスタティック ネイバーを定義できません。
• 各スタティック ネイバーにスタティック ルートを定義する必要があります(「Static Routes」を参照)。
• [OSPF Process]:スタティック ネイバーに関連付けられた OSPF プロセスを選択します。既存のスタティック ネイバーを編集している場合、この値は変更できません。
• [Neighbor]:スタティック ネイバーの IP アドレスを入力します。
• [Interface]:スタティック ネイバーに関連付けられたインターフェイスを選択します。既存のスタティック ネイバーを編集している場合、この値は変更できません。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Summary Address
[Summary Address] ペインには、各 OSPF ルーティング プロセスに設定されたサマリー アドレスに関する情報が表示されます。
他のルーティング プロトコルから学習したルートをサマライズできます。サマリーのアドバタイズに使用されるメトリックは、具体的なルートすべての中で最小のメトリックです。サマリー ルートは、ルーティング テーブルのサイズを削減するのに役立ちます。
OSPF のサマリー ルートを使用すると、OSPF ASBR は、そのアドレスでカバーされるすべての再配布ルートの集約として、1 つの外部ルートをアドバタイズします。OSPF に再配布されている、他のルーティング プロトコルからのルートだけをサマライズできます。
[Summary Address] テーブルには、次の情報が表示されます。テーブルのエントリをダブルクリックすると、選択したエントリに対応する[ Add/Edit OSPF Summary Address Entry]ダイアログボックスが開きます。
• [OSPF Process]:サマリー アドレスに関連付けられた OSPF プロセスを表示します。
• [IP Address]:サマリー アドレスの IP アドレスを表示します。
• [Netmask]:サマリー アドレスのネットワーク マスクを表示します。
• [Advertise]:サマリー ルートがアドバタイズされる場合は、「Yes」を表示します。サマリー ルートがアドバタイズされない場合は、「No」を表示します。
• [Tag]:各外部ルートに付加される 32 ビットの 10 進数値を表示します。この値は OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。
[Summary Address] テーブルのエントリでは、次のアクションを実行できます。
• [Add]:新しいサマリー アドレス エントリを追加するための[ Add/Edit OSPF Summary Address Entry]ダイアログボックスが開きます。
• [Edit]:選択したエントリを編集するための[ Add/Edit OSPF Summary Address Entry]ダイアログボックスが開きます。
• [Delete]:選択したサマリー アドレス エントリを [Summary Address] テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit OSPF Summary Address Entry
[Add/Edit OSPF Summary Address Entry] ダイアログボックスでは、[Summary Address] テーブルに新しいエントリを追加したり、[Summary Address] テーブルの既存のエントリを変更したりできます。既存のエントリを編集するとき、一部のサマリー アドレス情報は変更できません。
• [OSPF Process]:サマリー アドレスに関連付けられた OSPF プロセスを選択します。既存のエントリを編集する場合、この情報は変更できません。
• [IP Address]:サマリー アドレスの IP アドレスを入力します。既存のエントリを編集する場合、この情報は変更できません。
• [Netmask]:サマリー アドレスのネットワーク マスクを入力するか、共通マスクのリストからネットワーク マスクを選択します。既存のエントリを編集する場合、この情報は変更できません。
• [Advertise]:サマリー ルートをアドバタイズするには、このチェックボックスをオンにします。サマリー アドレスになるルートを抑止するには、このチェックボックスをオフにします。デフォルトでは、チェックボックスがオンになっています。
• [Tag]:(任意)タグ値は、各外部ルートに付加される 32 ビットの 10 進数値です。これは OSPF 自体には使用されません。ASBR 間での情報通信に使用されることはあります。有効値の範囲は、0 ~ 4294967295 です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Virtual Link
OSPF ネットワークにエリアを追加し、そのエリアをバックボーン エリアに直接接続できない場合、仮想リンクを作成する必要があります。仮想リンクは、通過エリアと呼ばれる共通エリアを持つ 2 つの OSPF デバイスを接続します。OSPF デバイスのいずれかは、バックボーン エリアに接続されている必要があります。
[Virtual Link] テーブルには、次の情報が表示されます。テーブルのエントリをダブルクリックすると、選択したエントリに対応する[ Add/Edit Virtual Link]ダイアログボックスが開きます。
• [OSPF Process]:仮想リンクに関連付けられた OSPF プロセスを表示します。
• [Peer Router ID]:仮想リンク ネイバーのルータ ID を表示します。
• [Authentication]:仮想リンクが使用する認証のタイプを表示します。
– [Password]:クリア テキスト パスワード認証が使用されます。
[Virtual Link] テーブルのエントリでは、次のアクションを実行できます。
• [Add]:新しいエントリを [Virtual Link] テーブルに追加するための[ Add/Edit Virtual Link]ダイアログボックスが開きます。
• [Edit]:選択したエントリに対応する[ Add/Edit Virtual Link]ダイアログボックスが開きます。
• [Delete]:選択したエントリを [Virtual Link] テーブルから削除します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Virtual Link
[Add/Edit Virtual Link] ダイアログボックスでは、新しい仮想リンクを定義したり、既存の仮想リンクのプロパティを変更したりできます。
• [OSPF Process]:仮想リンクに関連付けられた OSPF プロセスを選択します。既存の仮想リンクを編集している場合、この値は変更できません。
• [Area ID]:ネイバー OSPF デバイスと共有するエリアを選択します。[NSSA] エリアまたは [Stub] エリアは選択できません。既存の仮想リンクを編集している場合、この値は変更できません。
• [Peer Router ID]:仮想リンク ネイバーのルータ ID を入力します。既存の仮想リンクを編集している場合、この値は変更できません。
• [Advanced]:[ Advanced OSPF Virtual Link Properties]ダイアログボックスが開きます。このエリアにある仮想リンクに対して、OSPF プロパティを設定できます。プロパティには、認証およびパケット間隔設定が含まれます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Advanced OSPF Virtual Link Properties
[Advanced OSPF Virtual Link Properties] ダイアログボックスでは、OSPF 認証およびパケット間隔を設定できます。
• [Authentication]:OSPF 認証オプションを含みます。
– [None]:OSPF 認証をディセーブルにするには、このオプションを選択します。
– [Password]:クリア テキスト パスワード認証を使用するには、このオプションを選択します。セキュリティ面が懸念される場合は推奨しません。
– [MD5]:MD5 認証を使用するには、このオプションを選択します(推奨)。
• [Authentication Password]:パスワード認証がイネーブルになっているとき、パスワードの入力のための設定が含まれます。
– [Enter Password]:最大 8 文字のテキスト文字列を入力します。
– [Re-enter Password]:パスワードを再入力します。
• [MD5 IDs and Keys]:MD5 認証がイネーブルになっているとき、MD5 キーおよびパラメータの入力のための設定が含まれます。OSPF 認証を使用するインターフェイス上のすべてのデバイスで、同じ MD5 キーおよび ID を使用する必要があります。
– [Enter MD5 ID and Key]:MD5 キー情報を入力するための設定が含まれます。
[Key ID]:数値のキー ID を入力します。有効値の範囲は、1 ~ 255 です。
– [Add]:指定した MD5 キーを [MD5 ID] および [Key] テーブルに追加します。
– [Delete]:選択した MD5 キーおよび ID を [MD5 ID] および [Key] テーブルから削除します。
– [MD5 ID and Key]:設定済みの MD5 キーおよびキー ID を表示します。
• [Intervals]:パケット間隔のタイミングを変更するための設定を含みます。
– [Hello Interval]:hello パケットがインターフェイスで送信される間隔を秒数で指定します。hello 間隔を小さくすると、トポロジ変更はより高速に検出されますが、インターフェイス上で送信されるトラフィックはより多くなります。この値は、特定のインターフェイス上のすべてのルータおよびアクセス サーバで同じである必要があります。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 10 秒です。
– [Retransmit Interval]:インターフェイスに属する隣接関係の LSA 再送信の間隔を秒数で指定します。ルータはそのネイバーに LSA を送信すると、確認応答メッセージを受信するまでその LSA を保持します。確認応答を受信しなかった場合、ルータは LSA を再送信します。この値は控えめに設定する必要があります。そうしないと、不要な再送信が発生する可能性があります。シリアル回線および仮想リンクの場合は、値を大きくする必要があります。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 5 秒です。
– [Transmit Delay]:インターフェイス上で LSA パケットを送信するのに必要な予想時間を秒数で指定します。更新パケット内の LSA には、送信前に、このフィールドで指定した値によって増分された経過時間が格納されます。リンクでの送信前に遅延が加算されていない場合、LSA がリンクを介して伝播する時間は考慮されません。値は、インターフェイスの送信および伝播遅延を考慮して割り当てる必要があります。この設定は、非常に低速のリンクでより重要な意味を持ちます。有効値の範囲は、1 ~ 65535 秒です。デフォルト値は 1 秒です。
– [Dead Interval]:hello パケットが受信されず、ネイバーがルータのダウンを宣言する間隔を秒数で指定します。有効な値の範囲は 1 ~ 65535 です。このフィールドのデフォルト値は、[Hello Interval] フィールドに設定されている時間間隔の 4 倍です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
RIP
RIP は、ホップ カウントをメトリックとして使用するディスタンスベクトル ルーティング プロトコルです。RIP がインターフェイス上でイネーブルの場合、そのインターフェイスは、ネイバー デバイスと RIP ブロードキャストを交換して、ルートの動的な学習およびアドバタイズを行います。
セキュリティ アプライアンスは、RIP バージョン 1 と RIP バージョン 2 の両方をサポートします。RIP バージョン 1 は、ルーティング更新でサブネット マスクを送信しません。RIP バージョン 2 は、ルーティング更新でサブネット マスクを送信し、変数長サブネット マスクをサポートします。また、RIP バージョン 2 では、ルーティング更新の交換時にネイバー認証がサポートされます。この認証により、信頼できるソースからの信頼性のあるルーティング情報が セキュリティ アプライアンス で受信されることが保証されます。
• RIP アップデートは、セキュリティ アプライアンス のインターフェイス間を通過できません。
• RIP バージョン 1 では、可変長サブネット マスクがサポートされていません。
• RIP の最大ホップ カウントは 15 です。ホップ カウントが 15 を超えるルートは、到達不能と見なされます。
• RIP の収束は、他のルーティング プロトコルと比べて時間がかかります。
• セキュリティ アプライアンス では、RIP プロセスを 1 つだけイネーブルにできます。
• ネイバー認証を使用する場合、認証キーとキー ID は、RIP バージョン 2 更新をインターフェイスに提供するすべてのネイバー デバイスで同じである必要があります。
• RIP バージョン 2 では、セキュリティ アプライアンスがマルチキャスト アドレス 224.0.0.9 を使用してデフォルト ルートの更新を送信および受信します。パッシブ モードでは、そのアドレスでルート アップデートが受信されます。
• RIP バージョン 2 がインターフェイスで設定されている場合、マルチキャスト アドレス 224.0.0.9 がそのインターフェイス上に登録されます。RIP バージョン 2 構成がインターフェイスから削除されると、そのマルチキャスト アドレスは登録解除されます。
Setup
[Setup] ペインを使用して、セキュリティ アプライアンスで RIP をイネーブルにし、グローバル RIP プロトコル パラメータを設定します。セキュリティ アプライアンス では、RIP プロセスを 1 つだけイネーブルにできます。
• [Enable RIP Routing]:セキュリティ アプライアンスでの RIP ルーティングをイネーブルにするには、このチェックボックスをオンにします。RIP をイネーブルにすると、すべてのインターフェイス上でイネーブルになります。また、このチェックボックスをオンにすると、このペインの他のフィールドもイネーブルになります。セキュリティ アプライアンスでの RIP ルーティングをディセーブルにするには、このチェックボックスをオフにします。
• [Enable Auto-summarization]:このチェックボックスをオフにすると、自動ルート集約をディセーブルにします。自動ルート集約を再度イネーブルにするには、このチェックボックスをオンにします。RIP バージョン 1 では、常に自動集約が使用されます。RIP バージョン 1 に対して自動集約をディセーブルにすることはできません。RIP バージョン 2 を使用している場合は、このチェックボックスをオフにすれば自動集約をオフにできます。切断されているサブネット間のルーティングを実行する必要がある場合は、自動サマライズをディセーブルにします。自動サマライズをディセーブルにすると、サブネットがアドバタイズされます。
• [Enable RIP version]:セキュリティ アプライアンスが使用する RIP のバージョンを指定するには、このチェックボックスをオンにします。このチェックボックスがオフになっている場合、セキュリティ アプライアンスは RIP バージョン 1 更新を送信し、RIP バージョン 1 およびバージョン 2 の更新を受け入れます。この設定は、 Interface ペインでインターフェイスごとに上書きできます。
– [Version 1]:セキュリティ アプライアンスが RIP バージョン 1 更新だけを送信および受信するように指定します。受信されたバージョン 2 更新はドロップされます。
– [Version 2]:セキュリティ アプライアンスが RIP バージョン 2 更新だけを送信および受信するように指定します。受信されたバージョン 1 更新はドロップされます。
• [Enable default information originate]:RIP ルーティング プロセスにデフォルト ルートを生成するには、このチェックボックスをオンにします。デフォルト ルートの生成前に満たす必要のあるルート マップを設定できます。
– [Route-map]:適用するルート マップの名前を入力します。ルート マップが一致すると、ルーティング プロセスによってデフォルト ルートが生成されます。
• [IP Network to Add]:RIP ルーティング プロセスのネットワークを定義します。指定されたネットワーク番号は、サブネット情報に含めないでください。セキュリティ アプライアンスの設定に追加できるネットワーク数に制限はありません。指定されたネットワーク上のインターフェイスのみを経由して、RIP ルーティング更新が送受信されます。また、インターフェイスのネットワークを指定しない場合、インターフェイスは RIP 更新でアドバタイズされません。
– [Add]:指定したネットワークをネットワークのリストに追加するには、このボタンをクリックします。
– [Delete]:選択したネットワークをネットワークのリストから削除するには、このボタンをクリックします。
• [Configure interfaces as passive globally]:セキュリティ アプライアンス上のすべてのインターフェイスをパッシブ RIP モードに設定するには、このチェックボックスをオンにします。セキュリティ アプライアンスはすべてのインターフェイス上の RIP ルーティング ブロードキャストを受信し、その情報を使用してルーティング テーブルを取り込みますが、ルーティング更新をブロードキャストすることはありません。特定のインターフェイスをパッシブ RIP に設定するには、[Passive Interfaces] テーブルを使用します。
• [Passive Interfaces] テーブル:セキュリティ アプライアンスでの設定済みインターフェイスを一覧表示します。パッシブ モードで操作するインターフェイスの [Passive] カラムにあるチェックボックスをオンにします。他のインターフェイスは、引き続き RIP ブロードキャストを送信および受信します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Interface
[Interface] ペインでは、インターフェイスが送受信する RIP のバージョン、また使用される場合には RIP ブロードキャストの認証方式など、インターフェイス固有の RIP 設定を行えます。
• [Interface] テーブル:各行に、インターフェイスのインターフェイス固有 RIP 設定が表示されます。エントリの行をダブルクリックすると、そのインターフェイスを対象とした[ Edit RIP Interface Entry]ダイアログボックスが開きます。
• [Edit]:[Interface] テーブルで選択したインターフェイスを対象とした[ Edit RIP Interface Entry]ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit RIP Interface Entry
[Edit RIP Interface Entry] ダイアログボックスでは、インターフェイス固有 RIP を設定できます。
• [Override Global Send Version]:インターフェイスが送信する RIP バージョンを指定するには、このチェックボックスをオンにします。次のオプションを選択できます。
このチェックボックスをオフにすると、グローバル設定が復元されます。
• [Override Global Receive Version]:インターフェイスが受け入れる RIP バージョンを指定するには、このチェックボックスをオンにします。サポート対象外のバージョンの RIP から更新された RIP をインターフェイスが受信すると、その RIP はドロップされます。次のオプションを選択できます。
このチェックボックスをオフにすると、グローバル設定が復元されます。
• [Enable Authentication]:RIP 認証をイネーブルにするには、このチェックボックスをオンにします。RIP ブロードキャスト認証をディセーブルにするには、このチェックボックスをオフにします。
– [Key]:認証方式で使用するキーです。最大 16 文字です。
– [Key ID]:キー ID です。有効な値は、0 ~ 255 です。
– [Authentication Mode]:次の認証モードを選択できます。
[MD5]:RIP メッセージ認証に MD5 を使用します。
[Text]:RIP メッセージ認証にクリア テキストを使用します(お勧めしません)。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Filter Rules
フィルタ ルールにより、RIP ルーティング更新で受信したネットワーク、または RIP ルーティング更新で送信したネットワークをフィルタリングできます。各フィルタ ルールは、1 つ以上のネットワーク ルールで構成されます。
• [Filter Rules] テーブル:設定済み RIP フィルタ ルールを表示します。
• [Add]:このボタンをクリックすると、[ Add/Edit Filter Rule]ダイアログボックスが開きます。新しいフィルタ ルールは、リストの最下部に追加されます。
• [Edit]:このボタンをクリックすると、選択したフィルタ ルールを対象とした [ Add/Edit Filter Rule] ダイアログボックスが開きます。
• [Delete]:このボタンをクリックすると、選択したフィルタ ルールが削除されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Filter Rule
フィルタ ルールを作成するには、[Add/Edit Filter Rule] ペインを使用します。すべてのインターフェイスに適用されるフィルタ ルール、または特定のインターフェイスに適用されるフィルタ ルールを作成できます。
• [Direction]:フィルタが動作する方向を次の中から 1 つ選択します。
– [In]:受信 RIP 更新でネットワークをフィルタリングします。
– [Out]:送信 RIP 更新からのネットワークをフィルタリングします。
• [Interface]:フィルタ ルールに対して特定のインターフェイスを選択することも、[All Interfaces] オプションを選択してフィルタをすべてのインターフェイスに適用することもできます。
• [Action]:( 表示専用 )受信または送信 RIP アドバタイズメントから指定されたネットワークがフィルタリングされない場合は、[Permit] を表示します。受信または送信 RIP アドバタイズメントから指定されたネットワークがフィルタリングされる場合は、[Deny] を表示します。
• [IP Address]:( 表示専用 )フィルタリングするネットワークの IP アドレスを表示します。
• [Netmask]:( 表示専用 )IP アドレスに適用されるネットワーク マスクを表示します。
• [Insert]:リストで選択したルールの上にネットワーク ルールを追加するには、このボタンをクリックします。このボタンをクリックすると、[ Network Rule]ダイアログボックスが開きます。
• [Edit]:選択したルールを編集するには、このボタンをクリックします。このボタンをクリックすると、[ Network Rule]ダイアログボックスが開きます。
• [Add]:リストで選択したルールの下にネットワーク ルールを追加するには、このボタンをクリックします。このボタンをクリックすると、[ Network Rule]ダイアログボックスが開きます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Network Rule
[Network Rule] ペインでは、フィルタ ルールにある特定ネットワークに対して、許可ルールと拒否ルールを設定できます。
• [Action]:RIP 更新で指定ネットワークがアドバタイズされる、または RIP ルーティング プロセスに受け入れられるのを許可するには、[Permit] を選択します。指定ネットワークが RIP 更新でアドバタイズされる、または RIP ルーティング プロセスに受け入れられるのを防ぐには、[Deny] を選択します。
• [IP Address]:許可されるまたは拒否されるネットワークの IP アドレスを入力します。
• [Netmask]:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Redistribution
[Redistribution] ペインには、他のルーティング プロセスから RIP ルーティング プロセスに再配布されるルートが表示されます。
• [Protocol]:( 表示専用 )RIP ルーティング プロセスに再配布されるルーティング プロトコルを表示します。
– [Connected]:ネットワークに直接接続されています。
– [OSPF]:指定した OSPF ルーティング プロセスで検出されたネットワークです。
– [EIGRP]:指定した EIGRP ルーティング プロセスで検出されたネットワークです。
• [Metric]:再配布されたルートに適用される RIP メトリックです。
• [Match]:( 表示専用 )RIP ルーティング プロセスに再配布される OSPF ルートのタイプを表示します。OSPF 再配布ルールに対して [Match] カラムが空白の場合、[Internal]、[External 1]、および [External 2] ルートは、RIP ルーティング プロセスに再配布されます。
• [Route Map]:( 表示専用 )再配布に適用されるルート マップの名前がある場合は、その名前を表示します。ルート マップは、どのルートが指定したルーティング プロセスから RIP に再配布されるかといった非常に詳細な内容を指定するのに使用されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Route Redistribution
新しい再配布ルールを追加するには、[Add Route Redistribution] ダイアログボックスを使用します。既存のルールを変更するには、[Edit Route Redistribution] ダイアログボックスを使用します。
• [Protocol]:RIP ルーティング プロセスに再配布するルーティング プロトコルを選択します。
– [Connected]:ネットワークに直接接続されています。
– [OSPF and OSPF ID]:OSPF ルーティング プロセスで検出されたルートです。OSPF を選択する場合、OSPF プロセス ID を入力する必要もあります。さらに、[Match] 領域から再配布する OSPF ルートの特定タイプを選択できます。
– [EIGRP and EIGRP ID]:EIGRP ルーティング プロセスで検出されたルートです。[EIGRP] を選択する場合は、[EIGRP ID] フィールドで EIGRP ルーティング プロセスの自律システム番号を指定する必要もあります。
• [Route Map]:ルートが RIP ルーティング プロセスに再配布される前に満たす必要のあるルート マップの名前を指定します。
• [Configure Metric Type]:再配布されるルートのメトリックを指定するには、このチェックボックスをオンにします。指定しない場合、ルートにはメトリック 0 が割り当てられます。
– [Transparent]:現在のルート メトリックを使用するには、このオプションを選択します。
– [Value]:特定のメトリック値を割り当てるには、このオプションを選択します。入力できる値は、0 ~ 16 です。
• [Match]:OSPF ルートを RIP ルーティング プロセスに再配布する場合、ルート タイプの隣にあるチェックボックスをオンにすれば、再配布する OSPF ルートの特定タイプを選択できます。いずれのルート タイプもオンにしない場合、デフォルトでは、[Internal]、[External 1]、および [External 2] ルートが再配布されます。
– [Internal]:AS に対して内部のルートが再配布されます。
– [External 1]:AS に対して外部のタイプ 1 ルートが再配布されます。
– [External 2]:AS に対して外部のタイプ 2 ルートが再配布されます。
– [NSSA External 1]:NSSA に対して外部のタイプ 1 ルートが再配布されます。
– [NSSA External 2]:NSSA に対して外部のタイプ 2 ルートが再配布されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
EIGRP
EIGRP は、シスコが開発した、IGRP の拡張バージョンです。IGRP や RIP と異なり、EIGRP が定期的にルート アップデートを送信することはありません。EIGRP アップデートは、ネットワーク トポロジが変更された場合にだけ送信されます。
セキュリティ アプライアンスでは、EIGRP ルーティング プロセスを 1 つだけイネーブルにすることができます。
動的に検出された EIGRP ネイバーの監視の詳細については、「EIGRP ネイバーのモニタリング」を参照してください。
EIGRP の設定
セキュリティ アプライアンスで EIGRP を設定するには、次の手順を実行します。
ステップ 1 ASDM インターフェイスの [Configuration] > [Device Setup] > [Routing] > [EIGRP] 領域に移動します。
ステップ 2 [Setup] > [Process Instances] タブで EIGRP ルーティング プロセスをイネーブルにします。詳細については、「Process Instances」を参照してください。
ステップ 3 (任意)EIGRP ルーティング プロセスのパラメータを設定します。[Setup] > [Process Instances] タブで [Advanced] をクリックします。
EIGRP ルーティング プロセスをスタブ ルーティング プロセスとして設定し、自動ルート集約をディセーブルにし、再配布されるルートのデフォルト メトリックを定義できます。また、内外 EIGRP ルートのアドミニストレーティブ ディスタンスを変更し、スタティック ルータ ID を設定し、隣接関係の変更のロギングをイネーブルまたはディセーブルにすることもできます。詳細については、「Edit EIGRP Process Advanced Properties」を参照してください。
ステップ 4 [Setup] > [Networks] タブで、EIGRP ルーティングに参加するネットワークとインターフェイスを定義します。詳細については、「Networks」を参照してください。
定義済みネットワークの範囲内にある直接接続されたスタティック ネットワークには、セキュリティ アプライアンスがアドバタイズします。また、IP アドレスが定義済みネットワークの範囲内にあるインターフェイスだけが、EIGRP ルーティング プロセスに参加します。
EIGRP ルーティングに参加させないインターフェイスがアドバタイズ先のネットワークに接続されている場合は、そのインターフェイスが接続されているネットワーク エントリを [Setup] > [Networks] タブで設定し、次にそのインターフェイスをパッシブ インターフェイスとして設定して、インターフェイスが EIGRP 更新を送受信できないようにします。パッシブに設定されたインターフェイスは、EIGRP 更新を送受信しません。詳細については、「Passive Interfaces」を参照してください。
ステップ 5 (任意)[Filter Rules] ペインでルート フィルタを定義します。ルート フィルタにより、EIGRP 更新で送受信することを許可されているルートをより細かく制御できます。詳細については、「Filter Rules」を参照してください。
ステップ 6 (任意)[Redistribution] ペインでルート再配布を定義します。
RIP および OSPF で検出されたルートを、EIGRP ルーティング プロセスに再配布することができます。スタティック ルートおよび接続されているルートも、EIGRP ルーティング プロセスに再配布できます。スタティックまたは接続されているルートが、[Setup] > [Networks] タブで設定されたネットワークの範囲内にある場合は、そのルートを再配布する必要はありません。詳細については、「Redistribution」を参照してください。
ステップ 7 (任意)[Static Neighbor] ペインでスタティック EIGRP ネイバーを定義します。
EIGRP hello パケットはマルチキャスト パケットとして送信されます。EIGRP ネイバーが、トンネルなど、非ブロードキャスト ネットワークを越えた場所にある場合、そのネイバーを手動で定義する必要があります。手動で EIGRP ネイバーを定義すると、hello パケットはユニキャスト メッセージとしてそのネイバーに送信されます。詳細については、「Static Neighbor」を参照してください。
ステップ 8 (任意)[Summary Address] ペインで、サマリー アドレスを定義します。
ネットワーク番号の境界以外でサマリー アドレスを作成する場合、または自動ルート集約がディセーブルになったセキュリティ アプライアンスでサマリー アドレスを使用する場合は、手動でサマリー アドレスを定義する必要があります。サマリー アドレスの定義の詳細については、「Summary Address」を参照してください。自動ルート集約をイネーブルおよびディセーブルにする方法については、「Edit EIGRP Process Advanced Properties」を参照してください。
ステップ 9 (任意)[Interfaces] ペインで、インターフェイス固有の EIGRP パラメータを定義します。これらのパラメータには、EIGRP メッセージ認証、保持時間、hello 間隔、遅延メトリック、スプリットホライズンの使用などがあります。詳細については、「Interface」を参照してください。
ステップ 10 (任意)[Default Information] ペインで、EIGRP 更新でのデフォルト ルート情報の送受信を制御します。デフォルトでは、デフォルト ルートが送信され、受け入れられます。詳細については、「Default Information」を参照してください。
EIGRP の各ペインのフィールド情報
• 「Setup」
Setup
[Setup] ペインでは、EIGRP プロセスをイネーブルにし、そのプロセスの基本設定を行います。[Setup] ペインには次のタブがあります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Process Instances
[Process Instances] タブでは、EIGRP ルーティング プロセスをイネーブルにすることができます。
• [Enable this EIGRP Process]:EIGRP ルーティング プロセスをイネーブルにするには、このチェックボックスをオンにします。デバイスでイネーブルにすることができる EIGRP ルーティング プロセスは 1 つだけです。変更を保存できるようにするには、まず [EIGRP Process] フィールドにルーティング プロセスの自律システム番号を入力する必要があります。
• [EIGRP Process]:EIGRP プロセスの自律システム番号を入力します。自律システム番号は 1 ~ 65535 の範囲で指定できます。
• [Advanced]:ルータ ID、デフォルト メトリック、スタブ ルーティング設定、ネイバー変更と警告ロギング、および EIGRP ルートのアドミニストレーティブ ディスタンスなどの EIGRP プロセス設定を行うには、このボタンをクリックします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Edit EIGRP Process Advanced Properties
[Edit EIGRP Process Advanced Properties] ダイアログボックスでは、EIGRP ルーティング プロセスのルータ ID、デフォルト メトリック、スタブ ルーティング設定、ネイバー変更と警告ロギング、および EIGRP ルートのアドミニストレーティブ ディスタンスを設定できます。
• [EIGRP]: 表示専用。 EIGRP ルーティング プロセスの自律システム番号を表示します。
• [Router Id]:EIGRP ルーティング プロセスでセキュリティ アプライアンスのルータ ID として使用する IP アドレスを入力します。ルータ ID は、外部ルートの発信元ルータを識別するために使用されます。IP アドレスは、セキュリティ アプライアンスで設定されたアドレスにする必要はありませんが、ルーティング ドメイン内で一意になっている必要があります。指定しない場合、セキュリティ アプライアンス上で最上位の IP アドレスがルータ ID として使用されます。
• [Auto-Summary]:自動ルート集約をイネーブルにするには、このボックスをオンにします。自動ルート集約をディセーブルにするには、このボックスをオフにします。この設定はデフォルトでイネーブルになっています。
• [Default Metrics]:デフォルトのメトリックが EIGRP ルーティング プロセスに再配布されるルートに適用されます。指定しない場合は、再配布を設定するときにメトリックを指定する必要があります(「Redistribution」を参照)。
– [Bandwidth]:ルートの最小帯域幅(キロバイト/秒)です。有効な値は、1 ~ 4294967295 です。
– [Loading]:1 ~ 255(255 は 100% の負荷)の数値で表現したルートの有効帯域幅です。
– [Reliability]:0 ~ 255 の数値として表現した、パケットが正常に伝送される見込みです。値 255 は 100 % の信頼性を意味し、0 は信頼性がないことを意味します。
– [Delay]:10 マイクロ秒単位のルート遅延です。有効な値は、1 ~ 4294967295 です。
– [MTU]:最大伝送単位の最小許容値(バイト)です。有効な値は 1 ~ 65535 です。
• [Stub]:スタブ エリアには、EIGRP スタブ ルーティング プロセスを作成するための設定があります。スタブ ルーティング プロセスでは、完全なトポロジ テーブルは維持されません。スタブ ルーティングには、ルーティングの決定を行うために、少なくとも配布ルータへのデフォルト ルートが必要です。
– [Stub Receive only]:隣接ルータからルート情報を受信しても、それらの隣接ルータにルート情報を送信しない EIGRP スタブ ルーティング プロセスを設定します。このオプションを選択する場合は、他のスタブ ルーティング オプションを選択できません。
– [Stub Connected]:接続済みルートをアドバタイズします。
– [Stub Static]:スタティック ルートをアドバタイズします。
– [Stub Redistributed]:再配布ルートをアドバタイズします。
– [Stub Summary]:サマリー ルートをアドバタイズします。
• [Adjacency Changes]:ネイバーの警告および変更メッセージのロギングを設定できます。どちらのメッセージのロギングも、デフォルトでイネーブルになっています。
– [Log Neighbor Changes]:ネイバー隣接関係の変更のロギングをイネーブルにするにはボックスをオンに、ディセーブルにするにはボックスをオフにします。
– [Log Neighbor Warnings]:ネイバー隣接関係の変更をイネーブルにするにはボックスをオンに、ディセーブルにするにはボックスをオフにします。ネイバー警告メッセージの繰り返し間隔(秒)を入力します。有効な値は 1 ~ 65535 です。この間隔内に警告が繰り返し発生した場合、それらの警告はログに記録されません。
• [Administrative Distance]:内外 EIGRP ルートのアドミニストレーティブ ディスタンスを設定できます。
– [Internal Distance]:EIGRP 内部ルートのアドミニストレーティブ ディスタンスです。内部ルートとは、同じ自律システム内の別のエンティティから学習されるルートです。有効な値は、1 ~ 255 です。デフォルトは 90 です。
– [External Distance]:EIGRP 外部ルートのアドミニストレーティブ ディスタンスです。外部ルートとは、最適パスを自律システムの外部にあるネイバーから学習するルートです。有効な値は、1 ~ 255 です。デフォルト値は 170 です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Networks
[Network] タブでは、EIGRP ルーティング プロセスで使用されるネットワークを指定できます。EIGRP ルーティングに参加するインターフェイスは、これらのネットワーク エントリで定義されるアドレスの範囲内に存在する必要があります。アドバタイズされる直接接続およびスタティックのネットワークも、これらのネットワーク エントリの範囲内である必要があります。
[Network] テーブルに、EIGRP ルーティング プロセス用に設定するネットワークが表示されます。このテーブルの各行には、指定した EIGRP ルーティング プロセス用に設定するネットワーク アドレスおよび関連するマスクが表示されます。ネットワークを追加または修正するには、次のいずれかの操作を実行します。
• 新しいネットワーク エントリを追加するには、[Add] をクリックします。[Add EIGRP Network] ダイアログボックスが表示されます。
• ネットワーク エントリを削除するには、テーブルでそのエントリを選択し、[Delete] をクリックします。
• ネットワーク エントリを変更するには、まずそのエントリを削除してから新しいエントリを追加する必要があります。既存のエントリは編集できません。
[Add EIGRP Network Entry] ダイアログボックスには、次のフィールドがあります。
• [EIGRP AS]:EIGRP ルーティング プロセスの自律システム番号を表示します。
• [IP Address]:EIGRP ルーティング プロセスに参加するネットワークの IP アドレスを入力します。
• [Network Mask]:IP アドレスに適用するネットワーク マスクを選択または入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Passive Interfaces
[Passive Interface] タブでは、1 つ以上のインターフェイスをパッシブ インターフェイスとして設定できます。EIGRP の場合、受動インターフェイスではルーティング アップデートが送受信されません。
[Passive Interface] テーブルには、パッシブ インターフェイスとして設定された各インターフェイスが一覧表示されます。インターフェイスが EIGRP ルーティングに参加するかどうかを設定するには、次のいずれかの操作を実行します。
• すべてのインターフェイスをパッシブとして指定するには、[Suppress routing updates on all interfaces] チェックボックスをオンにします。[Passive Interface] テーブルに表示されていないインターフェイスであっても、このチェックボックスをオンにするとパッシブに設定されます。
• パッシブ インターフェイス エントリを追加するには、[Add] をクリックします。[Add EIGRP Passive Interface] ダイアログボックスが表示されます。このダイアログボックスでは、パッシブにするインターフェイスを選択できます。
• パッシブ インターフェイスを削除するには、テーブルでそのインターフェイスを選択し、[Delete] をクリックします。
[Passive Interface] ペインには次のフィールドがあります。
• [EIGRP Process]:EIGRP ルーティング プロセスの自律システム番号です。
• [Suppress routing updates on all interfaces]:すべてのインターフェイスをパッシブに設定するには、このチェックボックスをオンにします。すべてのインターフェイスで EIGRP 更新を送受信できるようにするには、このチェックボックスをオフにします。また、EIGRP ルーティングに参加するには、インターフェイスにネットワーク エントリを関連付ける必要があります。
• [Passive Interfaces table]:パッシブに設定されているインターフェイスを表示します。
– [Interface]:インターフェイスの名前が表示されます。
– [EIGRP Process]:EIGRP プロセスの自律システム番号を表示します。
– [Passive]:インターフェイスがパッシブ モードで動作している場合には、「true」と表示されます。
[Add Passive Interface] ダイアログボックスには次のフィールドがあります。
• [EIGRP AS]:EIGRP ルーティング プロセスの自律システム番号です。
• [Interface]:リストからインターフェイスを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Filter Rules
[Filter Rules] ペインには、EIGRP ルーティング プロセスに設定されているルート フィルタリング ルールが表示されます。フィルタ ルールによって、EIGRP ルーティング プロセスで受け入れまたはアドバタイズされるルートを制御できます。
[Filter Rule] テーブルの各行には、特定のインターフェイスまたはルーティング プロトコルに適用されるフィルタ ルールについての情報が記載されます。たとえば、外部インターフェイスで「in」方向のフィルタ ルールの場合は、外部インターフェイスが受信する EIGRP 更新すべてにフィルタリングが適用されます。ルーティング プロトコルとして OSPF 10 が指定された「out」方向のフィルタ ルールの場合は、発信 EIGRP 更新の EIGRP ルーティング プロセスに再配布されるルートにフィルタ ルールが適用されます。
フィルタ ルールを設定するには、次のいずれかの操作を実行します。
• フィルタ ルールを追加するには、[Add] をクリックします。[Add Filter Rules] ダイアログボックスが表示されます。
• フィルタ ルールを編集するには、テーブルでそのフィルタ ルールを選択し、[Edit] をクリックします。フィルタ ルールをダブルクリックして編集することもできます。[Edit Filter Rules] ダイアログボックスが表示されます。
• フィルタ ルールを削除するには、テーブルでそのフィルタ ルールを選択し、[Delete] をクリックします。
[Add/Edit EIGRP Filter Rule] ダイアログボックスには、次のフィールドがあります。
• [EIGRP]:EIGRP ルーティング プロセスの自律システム番号です。
• [Direction]:着信 EIGRP ルーティング更新からのルートをフィルタリングするルールの場合は、「in」を選択します。セキュリティ アプライアンスによって送信される EIGRP ルーティング更新からのルートをフィルタリングするには、「out」を選択します。
• [Routing process]:(発信フィルタの場合のみ)フィルタされるルートのタイプを指定します。スタティック、接続済み、RIP、および OSPF のルーティング プロセスから再配布されるルートをフィルタリングできます。ルーティング プロセスを指定するフィルタは、すべてのインターフェイスで送信される更新からのルートをフィルタリングします。
• [Interface]:フィルタが適用されるインターフェイスです。
• [Add:Network Rule] ダイアログボックスが開きます。
• [Edit]:選択したネットワーク ルールを対象とした [Network Rule] ダイアログボックスが開きます。
[Add/Edit Network Rule] ダイアログボックスでは、フィルタ ルールのアクセス リストを定義できます。このダイアログボックスには、次のフィールドがあります。
• [Action]:指定したネットワークへのアドバタイズを許可するには、[Permit] を選択します。指定したネットワークへのアドバタイズを拒否するには、[Deny] を選択します。
• [IP Address]:許可されるまたは拒否されるネットワークの IP アドレスを入力します。すべてのアドレスを許可または禁止するには、IP アドレス 0.0.0.0 とネットワーク マスク 0.0.0.0 を使用します。
• [Netmask]:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Interface
[Interface] ペインには、EIGRP インターフェイスの設定が表示されます。[Interface Parameters] テーブルには、セキュリティ アプライアンスのインターフェイスすべてが表示され、インターフェイスごとに次の設定を修正できます。
• EIGRP メトリックの計算で使用されるインターフェイス遅延メトリック。
インターフェイスの EIGRP パラメータを設定するには、インターフェイス エントリをダブルクリックするか、そのエントリを選択して [Edit] をクリックします。[Edit EIGRP Interface Entry] ダイアログボックスが表示されます。
[Edit EIGRP Interface Entry] ダイアログボックスには、次のフィールドがあります。
• [Interface]: 表示専用。 修正されるインターフェイスを表示します。
• [Hello Interval:EIGRP hello] パケットがインターフェイスで送信される間隔を入力します。有効な値は、1 ~ 65535 秒です。デフォルト値は 5 秒です。
• [Hold Time]:保持時間を秒数で指定します。有効な値は、1 ~ 65535 秒です。デフォルト値は 15 秒です。
• [Split Horizon]:インターフェイスでスプリット ホライズンをイネーブルにするには、このチェックボックスをオンにします。スプリット ホライズンをディセーブルにするには、チェックボックスをオフにします。スプリット ホライズンはデフォルトでイネーブルになっています。
• [Delay]:このフィールドに遅延値を入力します。遅延時間は 10 マイクロ秒単位です。有効な値は、1 ~ 16777215 です。
• [Enable MD5 Authentication]:EIGRP プロセス メッセージの MD5 認証をイネーブルにするには、このチェックボックスをオンにします。
– [Key]:EIGRP 更新を認証するキーです。このキーには、最大 16 文字を含めることができます。
– [Key ID]:キー ID です。有効値の範囲は 1 ~ 255 です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Redistribution
[Redistribution] ペインには、他のルーティング プロトコルから EIGRP ルーティング プロセスにルートを再配布する場合のルールが表示されます。[Redistribution] ペインの各行には、ルート再配布エントリが表示されます。
EIGRP ルーティング プロセスにルート再配布を追加するか、または表示されるルート再配布を修正するには、次のいずれかの操作を実行します。
• 新しい再配布ルールを追加するには、[Add] をクリックします。[Add EIGRP Redistribution Entry] ダイアログボックスが開きます。
• 既存の EIGRP スタティック ネイバーを編集するには、テーブルでそのアドレスを選択し、[Edit] をクリックします。テーブルのエントリをダブルクリックして編集することもできます。[Edit EIGRP Redistribution Entry] ダイアログボックスが開きます。
[Add/Edit EIGRP Redistribution Entry] ダイアログボックスには、次のフィールドがあります。
• [AS]:エントリが適用される EIGRP ルーティング プロセスの自律システム番号を表示します。
• [Static]:スタティック ルートを EIGRP ルーティング プロセスに再配布します。ネットワーク設定の範囲内にあるスタティック ルートは EIGRP に自動的に再配布されるため、それらのルートの再配布ルールを定義する必要はありません。
• [Connected]:接続済みルートを EIGRP ルーティング プロセスに再配布します。ネットワーク設定の範囲内にある接続済みルートは EIGRP に自動的に再配布されるため、それらのルートの再配布ルールを定義する必要はありません。
• [RIP]:RIP ルーティング プロセスによって検出されたルートを EIGRP に再配布します。
• [Optional Metrics]:再配布されるルートで使用するメトリックを定義します。[Edit EIGRP Process Advanced Properties] ダイアログボックスでデフォルト メトリックをすでに定義済みの場合は、これらの値を定義する必要はありません(デフォルト メトリックの設定の詳細については、「Edit EIGRP Process Advanced Properties」を参照してください)。
– [Bandwidth]:EIGRP 帯域幅メトリック(キロビット/秒)です。有効な値は、1 ~ 4294967295 です。
– [Delay]:EIGRP 遅延メトリック(10 マイクロ秒単位)です。有効な値は、0 ~ 4294967295 です。
– [Reliability]:EIGRP 信頼性メトリックです。有効な値は、0 ~ 255 です(255 は 100% の信頼性を示します)。
– [Loading]:EIGRP 有効帯域幅(負荷)メトリックです。有効な値は、1 ~ 255 です(255 は 100% の負荷を示します)。
– [MTU]:パスの MTU です。有効な値は 1 ~ 65535 です。
• [Route Map]:EIGRP ルーティング プロセスに再配布されるルートをさらに細かく定義するには、ルート マップの名前を入力します。
• [Optional OSPF Redistribution]:これらのオプションにより、EIGRP ルーティング プロセスに再配布される OSPF ルートをさらに細かく指定できます。
– [Match Internal]:指定した OSPF プロセスに対して内部の一致ルートです。
– [Match External 1]:指定した OSPF プロセスに対して外部の一致タイプ 1 のルートです。
– [Match External 2]:指定した OSPF プロセスに対して外部の一致タイプ 2 のルートです。
– [Match NSSA-External 1]:指定した OSPF NSSA に対して外部の一致タイプ 1 のルートです。
– [Match NSSA-External 2]:指定した OSPF NSSA に対して外部の一致タイプ 2 のルートです。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Static Neighbor
[Static Neighbor] ペインには、スタティックに定義された EIGRP ネイバーが表示されます。EIGRP ネイバーは、セキュリティ アプライアンスとの間で EIGRP ルーティング情報を送受信します。通常は、ネイバー探索プロセスによってネイバーがダイナミックに検出されます。ただし、ポイントツーポイントの非ブロードキャスト ネットワークでは、ネイバーをスタティックに定義する必要があります。
[Static Neighbor] テーブルの各行には、ネイバーの EIGRP 自律システム番号、ネイバー IP アドレス、およびネイバーに接続するためのインターフェイスが表示されます。
スタティック ネイバーを設定するには、次のいずれかの操作を実行します。
• 新しい EIGRP スタティック ネイバーを追加するには、[Add] をクリックします。[Add EIGRP Neighbor Entry] ダイアログボックスが開きます。
• 既存の EIGRP スタティック ネイバーを編集するには、テーブルでそのアドレスを選択し、[Edit] をクリックします。テーブルのエントリをダブルクリックして編集することもできます。[Edit EIGRP Neighbor Entry] ダイアログボックスが開きます。
[Add/Edit EIGRP Neighbor Entry] ダイアログボックスには、次のフィールドがあります。
• [EIGRP AS]:ネイバーの設定対象となる EIGRP プロセスの自律システム番号です。
• [Interface Name]:リストから、ネイバーに接続するときに使用するインターフェイスを選択します。
• [Neighbor IP Address]:ネイバーの IP アドレスを入力します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Summary Address
[Summary Address] ペインには、スタティックに定義された EIGRP サマリー アドレスのテーブルが表示されます。デフォルトでは、EIGRP はサブネット ルートをネットワーク レベルに集約します。[Summary Address] ペインでは、サブネット レベルに集約されるスタティックに定義された EIGRP サマリー アドレスを作成できます。
サマリー アドレスを作成または修正するには、次のいずれかの操作を実行します。
• 新しい EIGRP サマリー アドレスを追加するには、[Add] をクリックします。[Add Summary Address] ダイアログボックスが開きます。
• 既存の EIGRP サマリー アドレスを編集するには、テーブルでそのアドレスを選択し、[Edit] をクリックします。テーブルのエントリをダブルクリックして編集することもできます。[Edit Summary Address] ダイアログボックスが開きます。
[Add/Edit EIGRP Summary Address Entry] ダイアログボックスには、次のフィールドがあります。これらのフィールドは、[Summary Address] テーブルにも表示されます。
• [EIGRP AS]:サマリー アドレスが適用される EIGRP ルーティング プロセスの自律システム番号を選択します。
• [Interface]:サマリー アドレスのアドバタイズ元となるインターフェイスです。
• [IP Address]:サマリー ルートの IP アドレスを入力します。
• [Netmask]:IP アドレスに適用するネットワーク マスクを選択または入力します。
• [Administrative Distance]:ルートのアドミニストレーティブ ディスタンスを入力します。空白のままにすると、ルートのアドミニストレーティブ ディスタンスはデフォルト値の 5 になります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Default Information
[Default Information] ペインには、EIGRP 更新でのデフォルト ルート情報の送受信を制御するルールのテーブルが表示されます。EIGRP ルーティング プロセスごとに、「in」ルールと「out」ルールを 1 つずつ設定できます(現在は 1 つのプロセスだけがサポートされています)。
デフォルトでは、デフォルト ルートが送信され、受け入れられます。デフォルトのルート情報の送受信を制限またはディセーブルにするには、次の手順を実行します。
ステップ 1 [Configuration] > [Device Setup] > [Routing] > [EIGRP] > [Default Information] ペインを開きます。
• 新しいエントリを作成するには、[Add] をクリックします。
• エントリを編集するには、テーブルでそのエントリをダブルクリックするか、またはテーブルでエントリを選択し、[Edit] をクリックします。
そのエントリを対象とした [Add or Edit Default Information] ダイアログボックスが開きます。[EIGRP] フィールドでは、EIGRP 自律システム番号が自動的に選択されます。
ステップ 3 [Direction] フィールドでルールの方向を設定します。
• [in]:ルールは、着信 EIGRP 更新からのデフォルト ルート情報をフィルタリングします。
• [out]:ルールは、発信 EIGRP 更新からのデフォルト ルート情報をフィルタリングします。
EIGRP プロセスごとに、「in」ルールと「out」ルールを 1 つずつ設定できます。
ステップ 4 ネットワーク ルール テーブルにネットワーク ルールを追加します。ネットワーク ルールでは、デフォルト ルート情報を送受信するときに許可されるネットワークと拒否されるネットワークを定義します。デフォルト情報フィルタ ルールに追加するネットワーク ルールごとに、次の手順を繰り返します。
a. ネットワーク ルールを追加するには [Add] をクリックします。既存のネットワーク ルールをダブルクリックしてルールを編集します。
b. [Action] フィールドで、[Permit] を選択してネットワークを許可するか、または [Deny] を選択してネットワークをブロックします。
c. [IP Address] フィールドと [Network Mask] フィールドに、ルールによって許可または拒否されるネットワークの IP アドレスとネットワーク マスクを入力します。
すべてのデフォルト ルート情報の受け入れまたは送信を拒否するには、ネットワーク アドレスとして 0.0.0.0 を使用し、ネットワーク マスクとして 0.0.0.0 を選択します。
d. 指定したネットワーク ルールをデフォルト情報フィルタ ルールに追加するには、[OK] をクリックします。
ステップ 5 デフォルト情報フィルタ ルールを受け入れるには、[OK] をクリックします。
[Add/Edit Default Information] ダイアログボックスには、次のフィールドがあります。
• [EIGRP]:デフォルト情報フィルタが適用される EIGRP ルーティング プロセスの自律システム番号を選択します。
• [Direction]:着信ルート更新からのデフォルト ルート情報をフィルタリングするには、「in」を選択します。発信ルート更新からのデフォルト ルート情報をフィルタするには、「out」を選択します。
• [Add]:デフォルト情報フィルタ ルールにネットワーク ルールを追加します。
[Network Rule] ダイアログボックス。[Default Information filter rule] テーブルの [Filter Rules] カラムには、ネットワーク ルールが表示されます。
• [Action]:指定したネットワークへのアドバタイズを許可するには、[Permit] を選択します。指定したネットワークへのアドバタイズを拒否するには、[Deny] を選択します。
• [IP Address]:許可されるまたは拒否されるネットワークの IP アドレスを入力します。すべてのアドレスを許可または禁止するには、IP アドレス 0.0.0.0 とネットワーク マスク 0.0.0.0 を使用します。
• [Netmask]:ネットワーク IP アドレスに適用されるネットワーク マスクを指定します。このフィールドにネットワーク マスクを入力するか、リストから共通マスクの 1 つを選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Static Routes
マルチ コンテキスト モードは、ダイナミック ルーティングをサポートしていません。したがって、セキュリティ アプライアンスが直接接続されないネットワークに対してスタティック ルートを定義する必要があります。
トランスペアレント ファイアウォール モードでは、セキュリティ アプライアンスから直接接続されていないネットワークに宛てたトラフィック用にデフォルト ルートまたはスタティック ルートを設定して、セキュリティ アプライアンスがトラフィックの送信先インターフェイスを認識できるようにする必要があります。セキュリティ アプライアンスから発信されるトラフィックには、syslog サーバ、Websense サーバまたは N2H2 サーバ、あるいは AAA サーバとの通信もあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。
最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。しかし、デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部インターフェイス上にある場合、デフォルト ルートは、セキュリティ アプライアンスに直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。
また、スタティック ルートをダイナミック ルーティング プロトコルと共に使用し、ダイナミックに検出されたルートがダウンしたときに使用されるフローティング スタティック ルートを提供できます。ダイナミック ルーティング プロトコルのアドミニストレーティブ ディスタンスよりも長いアドミニストレーティブ ディスタンスを指定してスタティック ルートを作成すると、ルーティング プロトコルで検出される指定の宛先へのルートがスタティック ルートより優先されます。スタティック ルートは、ダイナミックに検出されたルートがルーティング テーブルから削除された場合に限り使用されます。
スタティック ルートは、指定されたゲートウェイが利用できなくなってもルーティング テーブルに保持されています(この場合の例外については、「スタティック ルート トラッキング」を参照してください)。指定されたゲートウェイが利用できなくなった場合は、スタティック ルートをルーティング テーブルから手動で削除する必要があります。ただし、スタティック ルートは、セキュリティ アプライアンスの関連インターフェイスがダウンした場合にルーティング テーブルから削除されます。インターフェイスが元に戻ると、スタティック ルートは復旧します。
インターフェイスごとに同じ宛先でコストの等しいルートを 3 つまで定義できます。ECMP は複数のインターフェイス間ではサポートされていません。ECMP では、トラフィックは必ずしもルート間で均等に分割されるわけではありません。トラフィックは、送信元 IP アドレスおよび宛先 IP アドレスをハッシュするアルゴリズムに基づいて、指定したゲートウェイ間に分配されます。
デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてをセキュリティ アプライアンスが送信する、ゲートウェイの IP アドレスを特定するルートです。デフォルト ルートは、宛先 IP アドレスが 0.0.0.0/0 のスタティック ルートです。特定の宛先が特定されたルートはデフォルト ルートより優先されます。
デバイスあたり最大 3 つの等コスト デフォルト ルート エントリを定義することができます。複数の等コスト デフォルト ルート エントリを定義すると、デフォルト ルートに送信されるトラフィックは、指定されたゲートウェイの間に分散されます。複数のデフォルト ルートを定義する場合は、各エントリに同じインターフェイスを指定する必要があります。
4 つ以上の等コスト デフォルト ルートを定義しようとした場合、またはすでに定義されているデフォルト ルートとは別のインターフェイスでデフォルト ルートを定義しようとした場合は、エラー メッセージが表示されます。
トンネル トラフィックには、標準のデフォルト ルートの他に別のデフォルト ルートを 1 つ定義することができます。[tunneled] オ プションを使用してデフォルト ルートを作成すると、セキュリティ アプライアンスに着信し、既知のルートでもスタティック ルートでもルーティングできない暗号化されたトラフィックはすべて、このルートに送信されます。これ以外の暗号化されていないトラフィックには、標準のデフォルト ルート エントリが使用されます。 [tunneled] オ プションでは、複数のデフォルト ルートは定義できません。トンネル トラフィックでは ECMP がサポートされていません。
ASDM を使用したスタティック ルートおよびデフォルト ルートの表示と設定の詳細については、「[Static Routes] のフィールド情報」を参照してください。
スタティック ルート トラッキング
セキュリティ アプライアンスがマルチ コンテキスト モードやトランスペアレント モードの場合など、必ずしもセキュリティ アプライアンスでダイナミック ルーティング プロトコルを使用できるとは限りません。この場合、スタティック ルートを使用する必要があります。
スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。ネクスト ホップ ゲートウェイがダウンしても、ルーティング テーブルに保持されます。セキュリティ アプライアンスの関連インターフェイスがダウンした場合にのみルーティング テーブルから削除されます。
スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。これを利用すると、たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ用のデフォルト ルートを定義することができます。
セキュリティ アプライアンスでは、定義されたモニタリング対象にスタティック ルートを関連付けることで、この機能を実行します。対象のモニタリングは、ICMP エコー要求を使用して行います。指定された時間内にエコー応答がない場合は、そのオブジェクトはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。
モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には、ICMP エコー要求に応答する任意のネットワーク オブジェクトを選択できます。選択肢には、次のものがあります。
• ISP ゲートウェイ アドレス(デュアル ISP サポート用)
• ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)
• セキュリティ アプライアンスが通信を行う必要のあるサーバ(AAA サーバなど)
• 宛先ネットワーク上の永続的なネットワーク オブジェクト(夜間にシャットダウンするデスクトップ PC やノートブック PC は適しません)
スタティック ルート トラッキングの設定の詳細については、「スタティック ルート トラッキングの設定」を参照してください。スタティック ルート トラッキング プロセスのモニタリング方法については、「interface connection」を参照してください。
スタティック ルート トラッキングの設定
ここで説明する手順では、スタティック ルート トラッキングの設定の概要を示します。この機能の設定に使用するさまざまなフィールドの詳細については、「[Static Routes] のフィールド情報」を参照してください。
スタティック ルートのトラッキングを設定するには、次の手順を実行します。
ステップ 1 対象を選択します。対象がエコー要求に応答することを確認してください。
ステップ 2 [Static Routes] ページを開きます。[Configuration] > [Routing] > [Static Routes] に移動します。
ステップ 3 [Add] をクリックし、選択した対象の使用可能状況に基づいて使用されるスタティック ルートを設定します。このルートのインターフェイス、IP アドレス、マスク、ゲートウェイ、およびメトリックを入力する必要があります。これらのフィールドの詳細については、「Add/Edit Static Route」を参照してください。
ステップ 4 このルートの [Options] 領域で [Tracked] を選択します。
ステップ 5 トラッキング プロパティを設定します。一意のトラック ID、一意の SLA ID、および対象の IP アドレスを入力する必要があります。これらのフィールドの詳細については、「Add/Edit Static Route」を参照してください。
ステップ 6 (任意)モニタリング プロパティを設定するには、[Add Static Route] ダイアログボックスの [Monitoring Options] をクリックします。モニタリング プロパティに関する詳細情報については、「Route Monitoring Options」を参照してください。
追跡するルートを保存するとすぐに、モニタリング プロセスが開始されます。
ステップ 8 セカンダリ ルートを作成します。セカンダリ ルートは、追跡されたルートと同じ宛先へのスタティック ルートですが、異なるインターフェイスまたはゲートウェイを経由します。このルートは、追跡されたルートより長いアドミニストレーティブ ディスタンス(メトリック)に割り当てる必要があります。
[Static Routes] のフィールド情報
Static Routes
[Static Route] ペインでは、任意のインターフェイスのルータに接続されたネットワークにアクセスするスタティック ルートを作成することができます。デフォルトのルートを入力するには、IP アドレスとマスクを 0.0.0.0 と設定するか、または短縮形式の 0 と設定します。
1 つのセキュリティ アプライアンスインターフェイスの IP アドレスがゲートウェイの IP アドレスとして使用される場合、セキュリティ アプライアンスは、ゲートウェイ IP アドレスに ARP を実行するのではなく、パケットの指定 IP アドレスに ARP を実行します。
ゲートウェイ ルータまでのホップ数を確認できない限り、メトリックをデフォルト設定の 1 のままにします。
[Static Route] ペインには、次が含まれる [Static Route] テーブルが表示されます。
• [Interface]:( 表示専用 )インターフェイスでイネーブルになっている内部または外部のネットワーク インターフェイス名を一覧表示します。
• [IP Address]:( 表示専用 )内部または外部ネットワーク IP アドレスを一覧表示します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。 0.0.0.0 の IP アドレスは、 0 と省略できます。
• [Netmask]:( 表示専用 )IP アドレスに適用されるネットワーク マスクのアドレスを一覧表示します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。ネットマスク 0.0.0.0 は、 0 に短縮できます。
• [Gateway IP]:( 表示専用 )このルートのネクスト ホップ アドレスであるゲートウェイ ルータの IP アドレスを一覧表示します。
• [Metric]:( 表示専用 )ルートのアドミニストレーティブ ディスタンスを一覧表示します。メトリックが指定されない場合、デフォルトは 1 です。
• [Options]:( 表示専用 )スタティック ルートに指定されたオプションを表示します。
– [None]:スタティック ルートにはオプションが指定されていません。
– [Tunneled]:ルートを、VPN トラフィックのデフォルト トンネル ゲートウェイとして指定します。デフォルト ルートだけに使用されます。1 つのデバイスに設定できるのは 1 つのトンネル ルートだけです。トランスペアレント モードではトンネル オプションがサポートされていません。
– [Tracked]:ルートを追跡することを指定します。トラッキング オブジェクトの ID およびトラッキング対象のアドレスも表示されます。追跡オプションは、シングル ルーテッド モードでだけサポートされます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Add/Edit Static Route
[Add/Edit Static Route] ダイアログボックスを使用して、スタティック ルートのプロパティを設定します。このダイアログボックスは、Startup Wizard の [Static Routes] 画面、および [Configuration] > [Routing] > [Static Route] ペインの両方で使用できます。
• [Interface Name]:ルートの出力インターフェイスを選択します。
• [IP Address]:内部または外部ネットワーク IP アドレスを指定します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。 0.0.0.0 の IP アドレスは、 0 と省略できます。
• [Mask]:IP アドレスに適用するネットワーク マスク アドレスを指定します。デフォルト ルートを指定するには、 0.0.0.0 を使用します。ネットマスク 0.0.0.0 は、 0 に短縮できます。
• [Gateway IP]:このルータのネクスト ホップ アドレスであるゲートウェイ ルータの IP アドレスを指定します。
• [Metric]:ルートのアドミニストレーティブ ディスタンスを指定します。メトリックが指定されない場合、デフォルトは 1 です。
スタティック ルートでは次のオプションを使用できます。これらのいずれかのオプションのみをスタティック ルートに選択できます。デフォルトでは、オプションなし([None])が選択されています。
• [None]:スタティック ルートにはオプションが指定されていません。
• [Tunneled]:デフォルト ルートだけに使用されます。セキュリティ アプライアンスごとに、デフォルトのトンネリングされるゲートウェイが 1 つだけ許可されます。[Tunneled] オプションは、トランスペアレント モードではサポートされていません。
• [Tracked]:ルートが追跡されるよう指定するには、このオプションを選択します。このオプションを指定すると、ルート トラッキング プロセスが開始されます。
– [Track ID]:ルート トラッキング プロセスに使用される一意の識別子。
– [Track IP Address/DNS Name]:追跡される対象の IP アドレスまたはホスト名を入力します。通常、ルートのネクスト ホップはゲートウェイ IP アドレスです。ただし、そのインターフェイスの先にネットワーク オブジェクトがあれば表示されます。
(注) ルート トラッキングは、シングル ルーテッド モードでだけ使用できます。
– [SLA ID]:SLA モニタリング プロセスの一意の ID です。
– [Monitor Options]:[ Route Monitoring Options] ダイアログボックスを開くには、このボタンをクリックします。[ Route Monitoring Options] ダイアログボックスで、トラッキング対象オブジェクトのモニタリング プロセスのパラメータを設定できます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Route Monitoring Options
[Route Monitoring Options] ダイアログボックスを使用して、トラッキング オブジェクトのモニタリング プロパティを変更します。
• [Frequency]:追跡対象の存在をセキュリティ アプライアンスがテストする頻度を秒数で入力します。デフォルト値は 60 秒です。有効な値は、1 ~ 604800 秒です。
• [Threshold]:しきい値を超えたイベントを示す時間をミリ秒数で入力します。この値に、タイムアウト値より大きい値は指定できません。
• [Timeout]:ルート モニタリング操作が要求パケットからの応答を待つ時間をミリ秒数で入力します。デフォルト値は 5000 ミリ秒です。有効値の範囲は、0 ~ 604800000 ミリ秒です。
• [Data Size]:エコー要求パケットで使用するデータ ペイロードのサイズを入力します。デフォルト値は 28 です。有効な値は、0 ~ 16384 です。
(注) この設定では、ペイロードのサイズだけが指定されます。パケット全体のサイズは指定されません。
• [ToS]:エコー要求の IP ヘッダーにあるサービス バイトのタイプの値を入力します。デフォルト値は 0 です 有効な値は、0 ~ 255 です。
• [Number of Packets]:各テストに送信されるエコー要求の数です。デフォルト値は、1 です 有効な値は、1 ~ 100 です。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
ASR Group
非同期ルーティング グループ ID 番号をインターフェイスに割り当てるには、[ASR Group] 画面を使用します。
場合によっては、セッションのリターン トラフィックが送信元とは別のインターフェイスでルーティングされることがあります。フェールオーバー設定では、ある装置から発信された接続の戻りトラフィックが、ピア装置を経由して返送されることがあります。これは一般に、1 つの セキュリティ アプライアンス 上の 2 つのインターフェイス、またはフェールオーバー ペアの 2 つの セキュリティ アプライアンス が別々のサービス プロバイダーに接続され、発信接続で NAT アドレスを使用しない場合に起こります。セキュリティ アプライアンス では、戻りトラフィックは接続情報がないためデフォルトでは廃棄されます。
リターン トラフィックのドロップは、ドロップが発生する可能性のあるインターフェイスで ASR Group を使用することで防止できます。[ASR Group] で設定されたインターフェイスは、セッション情報を持っていないパケットを受信すると、同じグループにある他のインターフェイスのセッション情報をチェックします。
一致する情報が見つからない場合、パケットはドロップされます。一致する情報が見つかると、次の動作のうちいずれかが開始します。
• 着信トラフィックがフェールオーバー設定のピア装置で発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。
• 着信トラフィックが同じ装置の別のインターフェイスに発信されると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットはストリームに再注入されます。
セッション情報の Stateful Failover がスタンバイ フェールオーバー グループからアクティブ フェールオーバー グループに渡されるようにイネーブルにする必要があります。
[ASR Group] テーブルには、セキュリティ アプライアンスの各インターフェイスの次の情報が表示されます。
• [Interface]:セキュリティ アプライアンスのインターフェイスの名前を表示します。
• [ASR Group ID]:インターフェイスが属する ASR Group の数を表示します。インターフェイスに ASR Group 番号が割り当てられていない場合、このカラムには「-- None --」が表示されます。有効な値は、1 ~ 32 です。
ASR Group 番号をインターフェイスに割り当てるには、割り当てるインターフェイスの行の [ASR Group ID] セルをクリックします。有効な ASR Group 番号のリストが表示されます。希望の ASR Group 番号をリストから選択します。1 つの ASR Group には最高 8 つのインターフェイスを割り当てることができます。他のコンテキストに、ASR Group に割り当てられたインターフェイスがある場合、これらのインターフェイスは、現在設定されているコンテキストに対しても合計 8 つにカウントされます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
プロキシ ARP
まれに、グローバル アドレスに対するプロキシ ARP をディセーブルにした方がよい場合もあります。
ホストによって IP トラフィックが同じイーサネット ネットワーク上の別のデバイスに送信される場合、ホストではそのデバイスの MAC アドレスを知る必要があります。ARP は、IP アドレスを MAC アドレスに解決するレイヤ 2 プロトコルです。ホストは IP アドレスの所有者を尋ねる ARP 要求を送信します。その IP アドレスを所有するデバイスは、自分が所有者であることを自分の MAC アドレスで返答します。
プロキシ ARP は、デバイスが IP アドレスを所有していなくても、その固有の MAC アドレスで ARP 要求に応答する場合に使用します。NAT を設定し、セキュリティ アプライアンスのインターフェイスと同じネットワーク上にあるグローバル アドレスを指定すると、セキュリティ アプライアンスによってプロキシ ARP が使用されます。トラフィックがホストにアクセスできる唯一の方法は、セキュリティ アプライアンスでプロキシ ARP が使用されている場合、セキュリティ アプライアンスの MAC アドレスが宛先グローバル アドレスに割り当てられていると主張することです。
• [Interface]:インターフェイス名を一覧表示します。
• [Proxy ARP Enabled]:プロキシ ARP が NAT グローバル アドレスに対してイネーブルになっているか、ディセーブルになっているかを Yes または No で表示します。
• [Enable]:選択したインターフェイスのプロキシ ARP をイネーブルにします。デフォルトでは、プロキシ ARP はすべてのインターフェイスに対してイネーブルです。
• [Disable]:選択したインターフェイスのプロキシ ARP をディセーブルにします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フィードバック