🌐 vDMZでのデフォルトルート問題
概要: vDMZ 環境におけるデフォルトルート設定の誤りが原因で、特定セグメントの端末がインターネットへ到達できない問題と、その対応策を整理します。
🗺️ ネットワーク構成図
+----------------------+
| ASA |
| 192.168.100.254 |
+----------+-----------+
|
===========================+================================ 192.168.100.0/24
.100 | .241
+------+ +-----------+
| PC1 | | ISR-G2 |---- DMVPN ---- PC3
+------+ +-----------+
|
| .254
===========================+================================ 192.168.110.0/24
| .100
+--------+
| PC2 |
+--------+| 機器名 | インターフェース | IPアドレス | 備考 |
|---|---|---|---|
| ASA | outside | 192.168.100.254 | インターネット向けNAT実施 |
| PC1 | NIC | 192.168.100.100 | DGW = ASA |
| ISR-G2 | Gi0/0 | 192.168.100.241 | DMVPNルータ |
| PC2 | NIC | 192.168.110.100 | DGW = ISR-G2 |
⚙️ 動作のポイント
PC1側
- デフォルトゲートウェイ (DGW): ASA
- ASA で NAT が設定されており、インターネットアクセス可能
PC2側
- デフォルトゲートウェイ (DGW): ISR-G2
- ISR-G2 は DMVPN 用の mGRE トンネルを確立しており、デフォルトルートは mGRE 確立のために使用中
- 結果として、ASA経由でNAT通信ができない
ヒント: SharePointのダークテーマでも読めるよう、背景は白、文字色は黒の固定としています。
🧭 対応方法
✅ 方法1:L3スイッチを新規導入(推奨)
+-----------+
| ASA |
| 100.254 |
+-----+-----+
|
+------+------+
| L3 Switch |
| DGW → ASA |
+---+-----+---+
| |
+---+ +---+
| PC1| |PC2|
+----+ +---+新規L3SWを導入し、デフォルトルートをASA方向へ設定。PC2はL3SWをDGWに指定することで、ASA経由でのインターネット通信が可能。
メリット: シンプルかつ保守性が高い / ルーティング統一化が容易
デメリット: 機器追加コストが発生
⚠️ 方法2:ISR-G2でmGRE専用ルートを設定(非推奨)
ISR-G2 のデフォルトルートは ASA 方向に設定し、mGRE トンネル確立用の IP アドレス範囲を個別スタティックルートとして指定。
この方法は、ユーザごとに異なるプロバイダIPレンジ情報を事前に入手する必要があり、運用が煩雑で推奨されません。
📘 まとめ
| 項目 | 方法1:L3SW導入 | 方法2:ISR-G2調整 |
|---|---|---|
| コスト | 中 | 低 |
| 保守性 | 高 | 低 |
| 推奨度 | 高 | 低 |
結論: vDMZ構成では、ASAとDMVPNルータ間でのデフォルトルート競合を避けるため、L3スイッチを導入して ASA 経由のルーティングを統一する構成が最も安定的です。