スタティック ルートとデフォルト ルートについて
トラフィックを接続されていないホストやネットワークにルーティングするには、スタティック ルーティングまたはダイナミック ルーティングして、ホストやネットワークへのルートを定義する必要があります。通常は、少なくとも 1 つのスタティック ルート、つまり、他の方法でデフォルトのネットワーク ゲートウェイにルーティングされていない、すべてのトラフィック用のデフォルト ルート(通常、ネクスト ホップ ルータ)を設定する必要があります。
Default Route
最も単純なオプションは、すべてのトラフィックをアップストリーム ルータに送信するようにデフォルト ルートを設定して、トラフィックのルーティングをルータに任せることです。デフォルト ルートは、既知のルートもスタティック ルートも指定されていない IP パケットすべてを、ASA が送信するゲートウェイの IP アドレスを特定するルートです。デフォルト スタティック ルートは、宛先の IP アドレスとして 0.0.0.0/0 が指定された単なるスタティック ルートです。
スタティック ルート
次の場合は、スタティック ルートを使用します。
-
ネットワークがサポート対象外のルータ ディスカバリ プロトコルを使用している。
-
ネットワークが小規模でスタティック ルートを容易に管理できる。
-
ルーティング プロトコルが関係するトラフィックまたは CPU のオーバーヘッドをなくす必要がある。
-
場合によっては、デフォルト ルートだけでは不十分である。デフォルトのゲートウェイでは宛先ネットワークに到達できない場合があるため、スタティック ルートをさらに詳しく設定する必要があります。たとえば、デフォルトのゲートウェイが外部の場合、デフォルト ルートは、ASA に直接接続されていない内部ネットワークにはまったくトラフィックを転送できません。
-
ダイナミック ルーティング プロトコルをサポートしていない機能を使用している。
不要なトラフィックを「ブラック ホール化」するための null0 インターフェイスへのルート
アクセス ルールを使用すると、ヘッダーに含まれている情報に基づいてパケットをフィルタ処理することができます。null0 インターフェイスへのスタティック ルートは、アクセス ルールを補完するソリューションです。null0 ルートを使用して、不要なトラフィックや望ましくないトラフィックを「ブラック ホール」に転送できるため、トラフィックがドロップされます。
スタティック null0 ルートには、望ましいパフォーマンス プロファイルがあります。また、スタティック null0 ルートを使用して、ルーティング ループ回避することもできます。BGP では、Remotely Triggered Black Hole ルーティングのためにスタティック null0 ルートを活用できます。
ルートのプライオリティ
-
特定の宛先が特定されたルートはデフォルト ルートより優先されます。
-
宛先が同じルートが複数存在する場合(スタティックまたはダイナミック)、ルートのアドミニストレーティブ ディスタンスによってプライオリティが決まります。スタティック ルートは 1 に設定されるため、通常、それらが最もプライオリティの高いルートです。
-
宛先かつアドミニストレーティブ ディスタンスが同じスタティック ルートが複数存在する場合は、ECMP ルーティングを参照してください。
-
[Tunneled] オプションを使用してトンネルから出るトラフィックの場合、このルートは、その他の設定または学習されたデフォルト ルートをすべて上書きします。
トランスペアレント ファイアウォール モードと ブリッジグループ ルート
ASA から発信され、ブリッジ グループ メンバー インターフェイス経由で非直接接続ネットワークに向かうトラフィックについては、デフォルト ルートまたはスタティック ルートのいずれかを設定して、ASA がどのブリッジ グループ メンバー インターフェイスからトラフィックを送信するのかを認識できるようにする必要があります。ASA で発信されるトラフィックは、syslog サーバまたは SNMP サーバへの通信も含むことがあります。1 つのデフォルト ルートで到達できないサーバがある場合、スタティック ルートを設定する必要があります。トランスペアレント モードの場合、ゲートウェイ インターフェイスに BVI を指定できません。メンバー インターフェイスのみが使用できます。ルーテッド モードのブリッジ グループの場合、スタティック ルートに BVI を指定する必要があります。メンバー インターフェイスを指定することはできません。詳細については、「MAC アドレスとルート ルックアップ」を参照してください。
スタティック ルート トラッキング
スタティック ルートの問題の 1 つは、ルートがアップ状態なのかダウン状態なのかを判定する固有のメカニズムがないことです。スタティック ルートは、ネクスト ホップ ゲートウェイが使用できなくなった場合でも、ルーティング テーブルに保持されています。スタティック ルートは、ASA 上の関連付けられたインターフェイスがダウンした場合に限りルーティング テーブルから削除されます。
スタティック ルート トラッキング機能には、スタティック ルートの使用可能状況を追跡し、プライマリ ルートがダウンした場合のバックアップ ルートをインストールするための方式が用意されています。たとえば、ISP ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。
ASA では、ASA が ICMP エコー要求を使用してモニタする宛先ネットワーク上でモニタリング対象スタティック ルートを関連付けることでスタティック ルート トラッキングを実装します。指定された時間内にエコー応答がない場合は、そのホストはダウンしていると見なされ、関連付けられたルートはルーティング テーブルから削除されます。削除されたルートに代わって、メトリックが高い追跡対象外のバックアップ ルートが使用されます。
モニタリング対象の選択時には、その対象が ICMP エコー要求に応答できることを確認してください。対象には任意のネットワーク オブジェクトを選択できますが、次のものを使用することを検討する必要があります。
-
ISP ゲートウェイ アドレス(デュアル ISP サポート用)
-
ネクスト ホップ ゲートウェイ アドレス(ゲートウェイの使用可能状況に懸念がある場合)
-
ASA が通信を行う必要のある対象ネットワーク上のサーバ(syslog サーバなど)
-
宛先ネットワーク上の永続的なネットワーク オブジェクト
(注) |
夜間にシャットダウンする PC は適しません。 |
スタティック ルート トラッキングは、スタティックに定義されたルートや、DHCP または PPPoE を通じて取得したデフォルト ルートに対して設定することができます。設定済みのルート トラッキングでは、複数のインターフェイス上の PPPoE クライアントだけをイネーブルにすることができます。