Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 7.2
intrface.fm
イーサネット設定およびサブインターフェイスの設定
発行日;2013/09/05 | 英語版ドキュメント(2011/04/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

イーサネット設定およびサブインターフェイスの設定

RJ-45 インターフェイスの設定とイネーブル化

ファイバ インターフェイスの設定とイネーブル化

VLAN サブインターフェイスおよび 802.1Q トランキングの設定およびイネーブル化

イーサネット設定およびサブインターフェイスの設定

この章では、物理イーサネット インターフェイスの設定とイネーブルにする方法、およびサブインターフェイスを追加する方法について説明します。ファイバと銅線の両方のイーサネット ポートがある場合(ASA 5510 以降のシリーズの適応型セキュリティ アプライアンスに搭載されている 4GE SSM など)、この章ではインターフェイス メディア タイプの設定方法について説明します。

シングル コンテキスト モードでは、この章の手順を完了した後で、「インターフェイス パラメータの設定」のインターフェイス設定を継続します。マルチ コンテキスト モードでは、システム実行スペースでこの章の手順を完了してから、「セキュリティ コンテキストの追加および管理」 に従ってインターフェイスとサブインターフェイスを割り当てた後で、「インターフェイス パラメータの設定」に従って各コンテキスト内のインターフェイス パラメータを最後に設定します。


) ASA 5505 適応型セキュリティ アプライアンスのインターフェイスを設定するには、「Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定」を参照してください。


この章は、次の項で構成されています。

「RJ-45 インターフェイスの設定とイネーブル化」

「ファイバ インターフェイスの設定とイネーブル化」

「VLAN サブインターフェイスおよび 802.1Q トランキングの設定およびイネーブル化」

RJ-45 インターフェイスの設定とイネーブル化

この項では、物理インターフェイスのイーサネット設定値を設定する方法、およびインターフェイスをイネーブルにする方法について説明します。物理インターフェイスは、デフォルトではすべてシャットダウンされます。トラフィックが物理インターフェイスまたはサブインターフェイスを通過するには、物理インターフェイスをイネーブルにする必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従ってシステム コンフィギュレーションでもインターフェイスをイネーブルにする必要があります。

デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、オートネゴシエーションに設定されます。

ASA 5550 適応型セキュリティ アプライアンスと、ASA 5510 以降の適応型セキュリティ アプライアンスの 4GE SSM には、銅線 RJ-45 とファイバ SFP の 2 つのコネクタ タイプがあります。RJ-45 がデフォルトです。ファイバ SFP コネクタを使用するようにセキュリティ アプライアンスを設定する場合は、「ファイバ インターフェイスの設定とイネーブル化」を参照してください。

ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

インターフェイスをイネーブルにするには、または特定の速度と二重通信を設定するには、次の手順を実行します。


ステップ 1 設定するインターフェイスを指定するには、次のコマンドを入力します。

hostname(config)# interface physical_interface
 

physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。

物理インターフェイスのタイプには、次のものがあります。

ethernet

gigabitethernet

PIX 500 シリーズ セキュリティ アプライアンスでは、タイプの後ろにポート番号を入力します( ethernet0 など)。

ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、タイプの後ろにスロット/ポートを入力します(例: gigabitethernet0/1 )。シャーシに組み込まれているインターフェイスはスロット 0 に割り当てられ、4GE SSM のインターフェイスはスロット 1 に割り当てられます。

ASA 5500 シリーズ適応型セキュリティ アプライアンスには、次のタイプも含まれています。

management

管理インターフェイスは、管理トラフィック専用のファスト イーサネット インターフェイスであり、 management0/0 のように指定します。ただし、必要に応じて通過トラフィック用に使用することもできます( management-only コマンドを参照)。トランスペアレント ファイアウォール モードでは、通過トラフィックに許可されている 2 つのインターフェイスに加えて、管理インターフェイスを使用できます。また、管理インターフェイスにサブインターフェイスを追加して、マルチ コンテキスト モードの各セキュリティ コンテキストでの管理を実現できます。

ステップ 2 (任意)速度を設定するには、次のコマンドを入力します。

hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}
 

auto 設定がデフォルトです。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。

ステップ 3 (任意)二重通信を設定するには、次のコマンドを入力します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。

ステップ 4 インターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

ファイバ インターフェイスの設定とイネーブル化

この項では、物理インターフェイスのイーサネット設定値を設定する方法、およびインターフェイスをイネーブルにする方法について説明します。物理インターフェイスは、デフォルトではすべてシャットダウンされます。トラフィックが物理インターフェイスまたはサブインターフェイスを通過するには、物理インターフェイスをイネーブルにする必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従ってシステム コンフィギュレーションでもインターフェイスをイネーブルにする必要があります。

デフォルトでは、4GE SSM や ASA 5550 適応型セキュリティ アプライアンスのスロット 1 の内蔵インターフェイスで使用されるコネクタは RJ-45 コネクタです。ファイバ SFP コネクタを使用するには、メディア タイプを SFP に設定する必要があります。ファイバ インターフェイスでは、速度は固定であり、二重通信はサポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォルト)またはネゴシエーションなしに設定することができます。

インターフェイスのイネーブル化、メディア タイプの設定、またはネゴシエーションの設定を行うには、次の手順を実行します。


ステップ 1 設定するインターフェイスを指定するには、次のコマンドを入力します。

hostname(config)# interface gigabitethernet 1/port
 

4GE SSM インターフェイスは構文のインターフェイス ID に示されるようにスロット 1 に割り当てられます(シャーシに組み込まれたインターフェイスはスロット 0 に割り当てられます)。

ステップ 2 メディア タイプを SFP に設定するには、次のコマンドを入力します。

hostname(config-if)# media-type sfp
 

デフォルトの RJ-45 に戻すには、 media-type rj45 コマンドを入力します。

ステップ 3 (任意)リンク ネゴシエーションをディセーブルにするには、次のコマンドを入力します。

hostname(config-if)# speed nonegotiate
 

ファイバ ギガビット イーサネット インターフェイスの場合、デフォルトは no speed nonegotiate です。このコマンドは速度を 1000 Mbps に設定し、フロー制御パラメータとリモート障害情報のリンク ネゴシエーションをイネーブルにします。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。

ステップ 4 インターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

VLAN サブインターフェイスおよび 802.1Q トランキングの設定およびイネーブル化

この項では、VLAN サブインターフェイスを設定してイネーブルにする方法について説明します。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。

イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります(「RJ-45 インターフェイスの設定とイネーブル化」または「ファイバ インターフェイスの設定とイネーブル化」を参照)。マルチ コンテキスト モードの場合、サブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従ってシステム コンフィギュレーションでもインターフェイスをイネーブルにする必要があります。

サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはセキュリティ アプライアンスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチ コンテキスト モードで特に便利です。

プラットフォームに許容されるサブインターフェイスの数を決定するには、 付録 A「機能のライセンスと仕様」 を参照してください。


) 物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるには物理的インターフェイスをイネーブルにする必要があるため、必ず nameif コマンドを除外して物理インターフェイスでトラフィックを通過させないようにします。物理インターフェイスでタグなしパケットを通過させる場合は、通常どおり nameif コマンドを設定できます。インターフェイス コンフィギュレーションの詳細については、「インターフェイス パラメータの設定」を参照してください。


サブインターフェイスを追加して、そのサブインターフェイスに VLAN を割り当てるには、次の手順を実行します。


ステップ 1 サブインターフェイスを新たに指定するには、次のコマンドを入力します。

hostname(config)# interface physical_interface.subinterface
 

物理インターフェイス ID については、「RJ-45 インターフェイスの設定とイネーブル化」の説明を参照してください。

subinterface ID は、1 ~ 4294967293 の整数です。

たとえば、次のコマンドを入力します。

hostname(config)# interface gigabitethernet0/1.100
 

ステップ 2 サブインターフェイスに VLAN を指定するには、次のコマンドを入力します。

hostname(config-subif)# vlan vlan_id
 

vlan_id は、1 ~ 4094 の整数です。VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。

1 つの VLAN をサブインターフェイスにのみ割り当てることができます。物理インターフェイスに割り当てることはできません。トラフィックがサブインターフェイスを通過するには、各サブインターフェイスに VLAN ID が必要となります。VLAN ID を変更するために no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を指定して vlan コマンドを入力すると、セキュリティ アプライアンスによって古い ID が変更されます。

ステップ 3 サブインターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config-subif)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。