Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよ び VLAN インターフェイスの設定
Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定

インターフェイスの概要

ASA 5505 ポートおよびインターフェイスの概要

ライセンスで使用できる最大アクティブ VLANインターフェイス

デフォルト インターフェイス コンフィギュレーション

VLAN MAC アドレス

Power Over Ethernet

SPAN を使用したトラフィックの監視

セキュリティ レベルの概要

VLAN インターフェイスの設定

アクセス ポートとしてのスイッチ ポートの設定

トランク ポートとしてのスイッチ ポートの設定

同一セキュリティ レベルにある VLAN インターフェイス間の通信の許可

Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定

この章では、ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定方法について説明します。


) 他のモデルのインターフェイス設定については、第 5 章「イーサネットとサブインターフェイスの設定」および第 7 章「インターフェイス パラメータの設定」を参照してください。


次の事項について説明します。

「インターフェイスの概要」

「VLAN インターフェイスの設定」

「アクセス ポートとしてのスイッチ ポートの設定」

「トランク ポートとしてのスイッチ ポートの設定」

「同一セキュリティ レベルにある VLAN インターフェイス間の通信の許可」

インターフェイスの概要

この項では、ASA 5505 適応型セキュリティ アプライアンスのポートおよびインターフェイスについて説明します。次の事項を取り上げます。

「ASA 5505 ポートおよびインターフェイスの概要」

「ライセンスで使用できる最大アクティブ VLANインターフェイス」

「デフォルト インターフェイス コンフィギュレーション」

「VLAN MAC アドレス」

「Power Over Ethernet」

「セキュリティ レベルの概要」

ASA 5505 ポートおよびインターフェイスの概要

ASA 5505 適応型セキュリティ アプライアンスは内蔵スイッチをサポートしています。設定を行う必要のあるポートおよびインターフェイスは、次の 2 種類です。

物理スイッチ ポート:適応型セキュリティ アプライアンスには 8 個のファースト イーサネット スイッチ ポートがあり、これらはハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。 これらのポートの 2 つは PoE ポートです。詳細については、「Power Over Ethernet」を参照してください。このようなインターフェイスは、PC、IP 電話、DSL モデムなどのユーザ機器に直接接続することができます。あるいは別のスイッチに接続できます。

論理 VLAN インターフェイス:ルーテッド モードで、このインターフェイスは、ファイアウォールおよび VPN サービスに適用される設定済みセキュリティ ポリシーを使用して、VLAN ネットワーク相互間のトラフィックをレイヤ 3 で転送します。これらのインターフェイスは、透過モードでファイアウォール サービスに適用される設定済みセキュリティ ポリシーを使用して、同一ネットワーク上の VLAN 相互間のトラフィックをレイヤ 2 で転送します。最大 VLAN インターフェイスの詳細については、「ライセンスで使用できる最大アクティブ VLANインターフェイス」の項を参照してください。VLAN インターフェイスを使用することにより、別々の VLAN、たとえば自宅用 VLAN、仕事用 VLAN、インターネット用 VLAN などに装置を分けることができます。

スイッチ ポートを個別の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信できます。しかし、VLAN 1 のスイッチ ポートが VLAN 2 のスイッチ ポートと通信する場合、適応型セキュリティ アプライアンスは、セキュリティ ポリシーを 2 つの VLAN 間のトラフィックとルートまたはブリッジに適用します。


) サブインターフェイスは、ASA 5505 適応型セキュリティ アプライアンスでは利用できません。


ライセンスで使用できる最大アクティブ VLANインターフェイス

透過ファイアウォール モードでは、基本ライセンスはアクティブ VLAN を 2 つ、Security Plus ライセンスは 3 つ設定できます。そのうちの 1 つはフェールオーバー用です。

ルーテッド モードでは、基本ライセンスはアクティブ VLAN を最大 3 つまで、Security Plus ライセンスは 20 まで設定できます。

アクティブ VLAN とは、 nameif コマンドが設定された VLAN のことです。

基本ライセンスでは、3 つ目の VLAN は、別の VLAN へのトラフィックを開始する目的でのみ設定できます。ネットワークの例については、図4-1 を参照してください。このネットワークで、ホーム VLAN はインターネットと通信できますが、ビジネスとの接続は開始できません。

図4-1 基本ライセンスでの ASA 5505 適応型セキュリティ アプライアンス

 

Security Plus ライセンスでは、20 の VLAN インターフェイスを設定できます。ポートごとに複数の VLAN に対応するようにトランク ポートを設定することができます。


) ASA 5505 適応型セキュリティ アプライアンスは、Active/Standby フェールオーバーをサポートしますが、ステートフル フェールオーバーをサポートしていません。


ネットワークの例については、図4-2 を参照してください。

図4-2 Security Plus ライセンスでの ASA 5505 適応型セキュリティ アプライアンス

 

デフォルト インターフェイス コンフィギュレーション

ご使用の適応型セキュリティ アプライアンスに工場出荷時のデフォルト コンフィギュレーションが含まれている場合、インターフェイスは次のように設定されます。

外部インターフェイス(セキュリティ レベル 0)は VLAN 2 です。

Ethernet 0/0 が VLAN 2 に割り当てられ、イネーブルになります。

VLAN 2 IP アドレスは DHCP サーバから取得します。

内部インターフェイス(セキュリティ レベル 100)は VLAN 1 です。

Ethernet 0/1 ~ Ethernet 0/7 が VLAN 1 に割り当てられ、イネーブルになります。

VLAN 1 の IP アドレスは 192.168.1.1 です。

configure factory-default コマンドを使用して、工場出荷時のデフォルト コンフィギュレーションを復元します。

この章の手順に従い、デフォルト コンフィギュレーションを変更します。たとえば、VLAN インターフェイスの追加を行います。

工場出荷時のデフォルト コンフィギュレーションになっていない場合は、すべてのスイッチ ポートが VLAN 1 ですが、その他のパラメータは未設定です。

VLAN MAC アドレス

ルーテッド ファイアウォール モードでは、すべての VLAN インターフェイスが MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。

透過ファイアウォール モードでは、各 VLAN に固有の MAC アドレスがあります。手動で MAC アドレスを割り当てたいのであれば、生成された MAC アドレスを上書きできます。

Power Over Ethernet

Ethernet 0/6 および Ethernet 0/7 は、IP 電話や無線アクセス ポイントなどのデバイス用に PoE をサポートしています。非 PoE デバイスをインストールしたり、それらのスイッチ ポートに接続しない場合、適応型セキュリティ アプライアンスはスイッチ ポートに電源を供給しません。

shutdown コマンドでスイッチ ポートをシャットダウンすると、デバイスへの電源がディセーブルになります。 no shutdown を入力すれば、電源が復元します。スイッチ ポートのシャットダウンの詳細については、「アクセス ポートとしてのスイッチ ポートの設定」を参照してください。

接続されているデバイスの種類(Cisco または IEEE 802.3af)など、PoE スイッチ ポートの状態を確認するには、 show power inline コマンドを使用します。

SPAN を使用したトラフィックの監視

1 つまたは複数のスイッチ ポートを出入りするトラフィックを監視するには、スイッチ ポート モニタリングとも呼ばれる SPAN をイネーブルにします。SPAN をイネーブルにしたポート(宛先ポートと呼ばれる)は、特定の送信元ポートで送受信するすべてのパケットのコピーを受信します。SPAN 機能を使用すれば、スニファを宛先ポートに添付して、すべてのトラフィックを監視できます。SPAN を使用しないと、監視するポートごとにスニファを添付しなければなりません。SPAN は、1 つの宛先ポートにのみイネーブルにできます。

詳細については、『 Cisco Security Appliance Command Reference 』の switchport monitor コマンドを参照してください。

セキュリティ レベルの概要

各 VLAN インターフェイスには、0 ~ 100(最小~最大)までのセキュリティ レベルを割り当てる必要があります。たとえば、内部ビジネス ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。自宅などその他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同一セキュリティ レベルにある VLAN インターフェイス間の通信の許可」を参照してください。

各レベルは、次の動作を制御します。

ネットワーク アクセス:デフォルトでは、高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイス(発信)へのアクセスは、暗黙的に許可されます。高位のセキュリティ インターフェイス上のホストは、それより低いセキュリティ インターフェイス上のホストすべてにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用すると制限できます。

同じレベルのセキュリティ インターフェイスの場合、同じセキュリティ レベルまたはそれより低いレベルの他のインターフェイスにアクセスするインターフェイスへのアクセスは、暗黙的に許可されます。

検査エンジン:一部のアプリケーション検査エンジンはセキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイスの場合、検査エンジンはどちらの方向のトラフィックにも適用されます。

NetBIOS 検査エンジン:発信接続のみに適用されます。

SQL*Net 検査エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に存在する場合、着信データ接続のみ適応型セキュリティ アプライアンスを通過することが許可されます。

フィルタリング:HTTP(S)フィルタリングおよび FTP フィルタリングは、発信接続(高位レベルから低位レベルへの接続)に対してのみ適用されます。

同じセキュリティ レベルのインターフェイスの場合、どちらの方向のトラフィックにもフィルタリングが適用できます。

NAT 制御:NAT 制御をイネーブルにする場合、低位のセキュリティ インターフェイス(外部)上のホストにアクセスする高位のセキュリティ インターフェイス(内部)上のホストに NAT を設定する必要があります。

NAT 制御がない場合、または同じレベルのセキュリティ インターフェイスの場合は、任意のインターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択することもできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる場合があることに留意してください。

established コマンド:このコマンドを使用すると、高セキュリティ ホストから低セキュリティ ホストへの接続が確立済みの場合に、低セキュリティ ホストから高セキュリティ ホストへのリターン接続が許可されます。

同じセキュリティ レベルのインターフェイスでは、両方向に対して established コマンドが設定できます。

VLAN インターフェイスの設定

トラフィックが各 VLAN を通過できるようにするには、事前にインターフェイス名( nameif コマンド)と、ルーテッド モードの場合は IP アドレスを設定する必要があります。また、セキュリティ レベルをデフォルトの 0 から変更する必要もあります。インターフェイス名を「inside」にし、セキュリティ レベルを明示的に設定しない場合は、適応型セキュリティ アプライアンスによってセキュリティ レベルが 100 に設定されます。

VLAN の設定できる数については、「ライセンスで使用できる最大アクティブ VLANインターフェイス」を参照してください。


) フェールオーバーを使用している場合、フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクの設定については、第 14 章「フェールオーバーの設定」を参照してください。

インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。


VLAN インターフェイスを設定するには、次の手順を実行します。


ステップ 1 VLAN ID を指定するには、次のコマンドを入力します。

hostname(config)# interface vlan number
 

ここで、 number は 1 ~ 1001 になります。

たとえば、次のコマンドを入力します。

hostname(config)# interface vlan 100
 

この VLAN インターフェイスとすべての関連コンフィギュレーションを削除するには、 no interface vlan コマンドを入力します。このインターフェイスにはインターフェイス名コンフィギュレーションも含まれており、名前が他のコマンドで使用されているため、これらのコマンドも削除されます。

ステップ 2 (オプション)基本ライセンスでは、次のコマンドを使用して、別の VLAN への接続開始からこのインターフェイス制限することにより、このインターフェイスを 3 番目の VLAN にすることができます。

hostname(config-if)# no forward interface vlan number
 

ここで、 number は VLAN ID を指定し、その ID に対してこの VLAN インターフェイスはトラフィックを開始できません。

基本ライセンスでは、このコマンドを使用して制限を課す場合、3 番目の VLAN だけを設定できます。

たとえば、1 つの VLAN をインターネット アクセスの外部に、もう 1 つを内部ビジネス ネットワークに、そして 3 番目を自宅のネットワークにそれぞれ割り当てます。自宅のネットワークはビジネス ネットワークにアクセスする必要がないので、自宅の VLAN で no forward interface コマンドを使用できます。ビジネス ネットワークは自宅のネットワークにアクセスできますが、その反対はできません。

nameif コマンドで 2 つの VLAN インターフェイスをすでに設定している場合、3 番目のインターフェイスで nameif コマンドを使用する前に、 no forward interface コマンドを入力してください。ASA 5505 適応型セキュリティ アプライアンスの基本ライセンスでは、3 つの VLAN インターフェイスがフル機能を持つことは許可されていません。


) Security Plus ライセンスにアップグレードすれば、このコマンドを削除して、このインターフェイスのフル機能を取得することができます。このコマンドをそのままにしておくと、アップグレード後もインターフェイスの制限もそのまま残ります。


ステップ 3 インターフェイスに名前を付けるには、次のコマンドを入力します。

hostname(config-if)# nameif name
 

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定してこのコマンドを再入力すると名前を変更することができます。 no 形式は入力しないでください。このコマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。

ステップ 4 セキュリティ レベルを設定するには、次のコマンドを入力します。

hostname(config-if)# security-level number
 

ここで、 number には、0(最下位)~ 100(最上位)の整数を指定します。

ステップ 5 (ルーテッド モードのみ)IP アドレスを設定するには、次のコマンドのいずれかを入力します。


) IPv6 アドレスの設定については、「インターフェイスでの IPv6 の設定」を参照してください。

透過ファイアウォール モードの管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設定」を参照してください。透過モードでは、インターフェイスごとに IP アドレスを設定するのではなく、適応型セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。

フェールオーバーについては、手動で IP アドレスにスタンバイ アドレスを設定する必要があります。DHCP と PPPoE はサポートされていません。


IP アドレスを手動で設定するには、次のコマンドを入力します。

hostname(config-if)# ip address ip_address [mask] [standby ip_address]
 

standby キーワードおよびアドレスはフェールオーバーで使用します。詳細については、 第 14 章「フェールオーバーの設定」 を参照してください。

DHCP サーバから IP アドレスを取得するには、次のコマンドを入力します。

hostname(config-if)# ip address dhcp [setroute]
 

このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。

ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。

PPPoE サーバから IP アドレスを取得するには、 第 35 章「PPPoE クライアントの設定」 を参照してください。

ステップ 6 (オプション)プライベート MAC アドレスをこのインターフェイスに割り当てるには、次のコマンドを使用します。

hostname(config-if)# mac-address mac_address [standby mac_address]
 

ルーテッド モードではデフォルトで、すべての VLAN が同じ MAC アドレスを使用します。透過モードでは、VLAN は固有の MAC アドレスを使用します。スイッチに必要な場合、またはアクセス コントロールの目的で、固有の VLAN を設定したり、生成された VLAN を変更したりすることができます。

ステップ 7 (オプション)インターフェイスを管理専用モードに設定して、トラフィックを通過できないようにするには、次のコマンドを入力します。

hostname(config-if)# management-only
 

ステップ 8 デフォルトでは、VLAN インターフェイスはイネーブルになっています。インターフェイスをイネーブルにするには、次のコマンドを入力します(インターフェイスがまだイネーブルになっていない場合)。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。


 

次の例では、7 つの VLAN インターフェイスを設定しています。これには、 failover lan コマンドを使用して別個に設定されるフェールオーバー インターフェイスが含まれています。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 201
hostname(config-if)# nameif dept1
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 202
hostname(config-if)# nameif dept2
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.3.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 

次の例は、基本ライセンスでの 3 つの VLAN インターフェイスの設定を示します。3 番目の home インターフェイスは business インターフェイスにトラフィックを転送できません。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address dhcp
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif business
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200
hostname(config-if)# nameif home
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

アクセス ポートとしてのスイッチ ポートの設定

デフォルトでは、スイッチ ポートはすべてシャットダウンされています。1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。複数の VLAN を伝送するトランク ポートを作成するには、「トランク ポートとしてのスイッチ ポートの設定」を参照してください。

デフォルトでは、スイッチ ポートの速度と二重通信は自動ネゴシエーションに設定されます。デフォルトの自動ネゴシエーション設定には Auto-MDI/MDIX 機能もあります。Auto-MDI/MDIX は、自動ネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のいずれかを自動ネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的に設定して、両方の設定に関する自動ネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。


注意 ASA 5505 適応型セキュリティ アプライアンスは、ネットワーク内のループ検索用のスパニング ツリー プロトコルをサポートしていません。したがって、適応型セキュリティ アプライアンスとのすべての接続は、ネットワーク ループ内で終わらないようにする必要があります。

スイッチ ポートを設定するには、次の手順を実行します。


ステップ 1 設定するスイッチ ポートを指定するには、次のコマンドを入力します。

hostname(config)# interface ethernet0/port
 

port は 0 ~ 7 です。たとえば、次のコマンドを入力します。

hostname(config)# interface ethernet0/1
 

ステップ 2 このスイッチ ポートを VLAN に割り当てるには、次のコマンドを使用します。

hostname(config-if)# switchport access vlan number
 

ここで、 number は 1 ~ 1001 までの VLAN ID になります。


) インターネット アクセス デバイスにレイヤ 2 冗長性が含まれている場合、複数のスイッチ ポートをプライマリ VLAN またはバックアップ VLAN に割り当てることができます。


ステップ 3 (オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信するのを防ぐには、次のコマンドを入力します。

hostname(config-if)# switchport protected
 

スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホスティングする DMZ の場合、 switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させることができます。内部および外部ネットワークは 3 つの Web サーバと通信でき、またその逆も可能ですが、Web サーバどうしが通信することができません。

ステップ 4 (オプション)速度を設定するには、次のコマンドを使用します。

hostname(config-if)# speed {auto | 10 | 100}
 

auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 の auto 以外のものに速度を設定すると、IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出されず、電源も供給されません。

ステップ 5 (オプション)二重通信を設定するには、次のコマンドを使用します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 の auto 以外のものに二重通信を設定すると、IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出されず、電源も供給されません。

ステップ 6 スイッチ ポートがまだイネーブルになっていない場合にイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

スイッチ ポートをディセーブルにするには、 shutdown コマンドを入力します。


 

次の例では、5 つの VLAN インターフェイスを設定しています。これには、 failover lan コマンドを使用して設定されるフェールオーバー インターフェイスが含まれています。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

トランク ポートとしてのスイッチ ポートの設定

デフォルトでは、スイッチ ポートはすべてシャットダウンされています。ここでは、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランク モードは、Security Plus ライセンスでのみご利用いただけます。

インターフェイスが 1 つの VLAN にだけ割り当てられるアクセス ポートを作成するには、「アクセス ポートとしてのスイッチ ポートの設定」を参照してください。

デフォルトでは、スイッチ ポートの速度と二重通信は自動ネゴシエーションに設定されます。デフォルトの自動ネゴシエーション設定には Auto-MDI/MDIX 機能もあります。Auto-MDI/MDIX は、自動ネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のいずれかを自動ネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的に設定して、両方の設定に関する自動ネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。

トランク ポートを設定するには、次の手順を実行します。


ステップ 1 設定するスイッチ ポートを指定するには、次のコマンドを入力します。

hostname(config)# interface ethernet0/port
 

port は 0 ~ 7 です。たとえば、次のコマンドを入力します。

hostname(config)# interface ethernet0/1
 

ステップ 2 VLAN をこのトランクに割り当てるには、次のコマンドを使用します。

hostname(config-if)# switchport trunk allowed vlan vlan_range
 

vlan_range (VLAN は 1 ~ 1001)は、次のいずれかの方法で指定できます。

1 つの数字(n)

範囲(n-x)

数字と範囲は、次のようにカンマで区切ってください。

5,7-10,13,45-100

カンマの代わりにスペースを入力することもできますが、このコマンドはカンマ付きで設定に保存されます。

VLAN が少なくとも 1 つ割り当てられないと、このスイッチ ポートはトラフィックを通過さません。トランク ポートはタグのないパケットをサポートしていません。ネイティブの VLAN のサポートはなく、このコマンドに特定のタグが指定されていないパケットをすべてドロップします。

ステップ 3 このスイッチ ポートをトランク ポートにするには、次のコマンドを使用します。

hostname(config-if)# switchport mode trunk
 

このポートをアクセス モードに復元するには、 switchport mode access コマンドを使用します。

ステップ 4 (オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信するのを防ぐには、次のコマンドを入力します。

hostname(config-if)# switchport protected
 

スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホスティングする DMZ の場合、 switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させることができます。内部および外部ネットワークは 3 つの Web サーバと通信でき、またその逆も可能ですが、Web サーバどうしが通信することができません。

ステップ 5 (オプション)速度を設定するには、次のコマンドを使用します。

hostname(config-if)# speed {auto | 10 | 100}
 

auto 設定がデフォルトです。

ステップ 6 (オプション)二重通信を設定するには、次のコマンドを使用します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。

ステップ 7 スイッチ ポートがまだイネーブルになっていない場合にイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

スイッチ ポートをディセーブルにするには、 shutdown コマンドを入力します。


 

次の例では、7 つの VLAN インターフェイスを設定しています。これには、 failover lan コマンドを使用して設定されるフェールオーバー インターフェイスが含まれています。VLAN 200、201、および 202 は、Ethernet 0/1 上でトランキングされます。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 201
hostname(config-if)# nameif dept1
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 202
hostname(config-if)# nameif dept2
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.3.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport mode trunk
hostname(config-if)# switchport trunk allowed vlan 200-202
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

同一セキュリティ レベルにある VLAN インターフェイス間の通信の許可

デフォルトでは、セキュリティ レベルが同じインターフェイスは同士では通信できません。同じセキュリティ レベルのインターフェイスの間で通信を許可すると、同じセキュリティ レベルのインターフェイスすべての間で自由にトラフィックが流れるようになります。


) NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、「NAT および同じセキュリティ レベルのインターフェイス」を参照してください。


同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセキュリティ レベルのインターフェイスも通常どおりに設定できます。

相互通信を可能にするために同じセキュリティ レベルのインターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config)# same-security-traffic permit inter-interface
 

この設定をディセーブルにするには、このコマンドの no 形式を使用します。