発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
VLAN サブインターフェイスおよび 802.1Q トランキングの設定とイネーブル化
イーサネットとサブインターフェイスの設定
この章では、物理イーサネット インターフェイスを設定し、イネーブルにする方法、およびサブインターフェイスを追加する方法について説明します。イーサネット ポートとしてファイバと銅線の両方を使用している場合(たとえば、ASA 5510 シリーズ以降の適応型セキュリティ アプライアンスの 4GE SSM など)、インターフェイスのメディア タイプを設定する方法について、この章を参照してください。
シングルコンテキスト モードの場合は、この章で説明する手順をすべて実行してから、 第 7 章「インターフェイス パラメータの設定」 で説明するインターフェイス設定に進んでください。マルチコンテキスト モードの場合は、システム実行スペースでこの章の手順をすべて実行してから、 第 6 章「セキュリティ コンテキストの追加と管理」 の説明に従ってインターフェイスとサブインターフェイスをコンテキストに割り当て、最後に、 第 7 章「インターフェイス パラメータの設定」 の説明に従って各コンテキスト内にインターフェイス パラメータを設定してください。
(注) ASA 5505 適応型セキュリティ アプライアンスのインターフェイスを設定するには、第 4 章「Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定」を参照してください。
RJ-45 インターフェイスの設定とイネーブル化
この項では、物理インターフェイスのイーサネット設定値を設定する方法、およびインターフェイスをイネーブルにする方法について説明します。デフォルトでは、物理インターフェイスはすべてシャットダウンされています。インターフェイスまたはサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチコンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従って、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。
デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、自動ネゴシエーションに設定されます。
ASA 5550 適応型セキュリティ アプライアンスと ASA 5510 以降の適応型セキュリティ アプライアンス用の 4GE SSM には、銅線 RJ-45 とファイバ SFP の 2 種類のコネクタ タイプがあります。RJ-45 がデフォルトです。ファイバ SFP コネクタを使用するようにセキュリティ アプライアンスを設定する場合は、「ファイバ インターフェイスの設定とイネーブル化」を参照してください。
ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、自動ネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のいずれかを自動ネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的に設定して、両方の設定に関する自動ネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。
インターフェイスをイネーブルにするには、または特定の速度と二重通信を設定するには、次の手順を実行します。
ステップ 1
設定するインターフェイスを指定するには、次のコマンドを入力します。
physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。
PIX 500 シリーズ セキュリティ アプライアンスでは、タイプの後ろにポート番号を入力します( ethernet0 など)。
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、タイプの後ろにスロット/ポートを入力します( gigabitethernet0/1 など)。シャーシに組み込まれているインターフェイスはスロット 0 に割り当てられていますが、4GE SSM 上のインターフェイスはスロット 1 に割り当てられています。
ASA 5500 シリーズ適応型セキュリティ アプライアンスには、次のタイプもあります。
管理インターフェイスは、管理トラフィックのみを対象に設計されているファースト イーサネット インターフェイスであり、 management0/0 と指定されます。ただし、必要であれば、トラフィックを通すために使用することもできます( management-only コマンドを参照)。透過ファイアウォール モードでは、トラフィックの通過を許可する 2 つのインターフェイスの他に、管理インターフェイスを使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。
ステップ 2
auto 設定がデフォルトです。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。
ステップ 3
ステップ 4
インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。
ファイバ インターフェイスの設定とイネーブル化
この項では、物理インターフェイスのイーサネット設定値を設定する方法、およびインターフェイスをイネーブルにする方法について説明します。デフォルトでは、物理インターフェイスはすべてシャットダウンされています。インターフェイスまたはサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチコンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従って、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。
デフォルトでは、4GE SSM や ASA 5550 適応型セキュリティ アプライアンスのスロット 1 の内蔵インターフェイスで使用されているコネクタは RJ-45 コネクタです。ファイバ SFP コネクタを使用するには、メディア タイプを SFP に設定する必要があります。ファイバ インターフェイスでは、速度は固定であり、二重通信はサポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォルト)またはネゴシエーションなしに設定することができます。
インターフェイスのイネーブル化、メディア タイプの設定、またはネゴシエーションの設定を行うには、次の手順を実行します。
ステップ 1
4GE SSM インターフェイスは、このシンタックスのインターフェイス ID に示されているように、スロット 1 に割り当てられています(シャーシに組み込まれているインターフェイスはスロット 0 に割り当てられています)。
ステップ 2
デフォルトの RJ-45 に戻すには、 media-type rj45 コマンドを入力します。
ステップ 3
ファイバ ギガビット イーサネット インターフェイスの場合、デフォルトは no speed nonegotiate です。このコマンドは速度を 1000 Mbps に設定し、フロー制御パラメータとリモート障害情報のリンク ネゴシエーションをイネーブルにします。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。
ステップ 4
インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。
VLAN サブインターフェイスおよび 802.1Q トランキングの設定とイネーブル化
この項では、VLAN サブインターフェイスを設定し、イネーブルにする方法について説明します。1 つまたは複数の VLAN サブインターフェイスがあるインターフェイスは、自動的に 802.1Q トランクとして設定されます。
イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります(詳細については、「RJ-45 インターフェイスの設定とイネーブル化」または 「ファイバ インターフェイスの設定とイネーブル化」を参照してください)。マルチコンテキスト モードの場合、サブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。しかし、トラフィックがコンテキスト インターフェイスを通過するためには、この手順に従って、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。
サブインターフェイスを使用すると、1 つの物理インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN では、指定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはセキュリティ アプライアンスを追加しなくても、ネットワークで使用可能なインターフェイスの数を増やすことができます。この機能は、マルチコンテキスト モードで特に有効なため、各コンテキストにそれぞれ固有のインターフェイスを割り当てることができます。
プラットフォームに許容されるサブインターフェイスの数を決定するには、 付録 A「機能のライセンスと仕様」 を参照してください。
(注) サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。サブインターフェイスでトラフィックを通過させるためには物理インターフェイスをイネーブルにする必要があるため、nameif コマンドを除外して、物理インターフェイスがトラフィックを通過させないようにしてください。物理インターフェイスでタグのないパケットを通過できるようにする場合は、通常どおりに nameif コマンドを設定します。インターフェイス設定の詳細については、「インターフェイス パラメータの設定」を参照してください。
サブインターフェイスを追加して、そのサブインターフェイスに VLAN を割り当てるには、次の手順を実行します。
ステップ 1
物理インターフェイス ID については、「RJ-45 インターフェイスの設定とイネーブル化」の説明を参照してください。
subinterface ID は、1 ~ 4294967293 の整数です。
ステップ 2
vlan_id は、1 ~ 4094 の整数です。一部の VLAN ID は接続スイッチ用に予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。
VLAN は 1 つだけサブインターフェイスに割り当てることができ、物理インターフェイスには割り当てることはできません。各サブインターフェイスは、VLAN ID がなければトラフィックを通過させることはできません。VLAN ID を変更するには、 no オプションを使用して以前の VLAN ID を削除する必要はありません。異なる VLAN ID を使用して vlan コマンドを入力すると、セキュリティ アプライアンスで以前の ID が変更されます。
ステップ 3
インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。