発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章 , ドキュメント全体
目次
同一セキュリティ レベルにあるインターフェイス間の通信の許可
インターフェイス パラメータの設定
この章では、各インターフェイスおよびサブインターフェイスの名前、セキュリティ レベル、IP アドレスの設定方法について説明します。シングルコンテキスト モードの場合は、この章の手順は、 第 5 章「イーサネットとサブインターフェイスの設定」 で開始したインターフェイスの設定の続きとして実行します。マルチコンテキスト モードの場合は、 第 5 章「イーサネットとサブインターフェイスの設定」 の手順はシステム実行スペースで実行しますが、この章の手順は各セキュリティ コンテキスト内で実行します。
(注) ASA 5505 適応型セキュリティ アプライアンスのインターフェイスを設定するには、第 4 章「Cisco ASA 5505 適応型セキュリティ アプライアンス用スイッチ ポートおよび VLAN インターフェイスの設定」を参照してください。
セキュリティ レベルの概要
各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。DMZ などその他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同一セキュリティ レベルにあるインターフェイス間の通信の許可」を参照してください。
•
ネットワーク アクセス:デフォルトでは、高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイス(発信)へのアクセスは、暗黙的に許可されます。高位のセキュリティ インターフェイス上のホストは、それより低いセキュリティ インターフェイス上のホストすべてにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用すると制限できます。
同じレベルのセキュリティ インターフェイスの場合、同じセキュリティ レベルまたはそれより低いレベルの他のインターフェイスにアクセスするインターフェイスへのアクセスは、暗黙的に許可されます。
•
–
–
•
同じセキュリティ レベルのインターフェイスの場合、どちらの方向のトラフィックにもフィルタリングが適用できます。
•
NAT 制御がない場合、または同じレベルのセキュリティ インターフェイスの場合は、任意のインターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択することもできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる場合があることに留意してください。
•
インターフェイスの設定
デフォルトでは、物理インターフェイスはすべてシャットダウンされています。イネーブルになっているサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチコンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスをコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。
コンフィギュレーションを完了してトラフィックがセキュリティ アプライアンスを通過できるようにするには、事前にインターフェイス名と、ルーテッド モードの場合は IP アドレスを設定する必要があります。また、セキュリティ レベルをデフォルトの 0 から変更する必要もあります。インターフェイス名を「inside」にし、セキュリティ レベルを明示的に設定しない場合は、セキュリティ アプライアンスによってセキュリティ レベルが 100 に設定されます。
(注) フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクおよびステート リンクの設定については、第 14 章「フェールオーバーの設定」を参照してください。
マルチコンテキスト モードでは、次のガイドラインに従ってください。
•
•
•
(注) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。
インターフェイスまたはサブインターフェイスを設定するには、次の手順を実行します。
ステップ 1
physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。
PIX 500 シリーズ セキュリティ アプライアンスでは、タイプの後ろにポート番号を入力します( ethernet0 など)。
ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、タイプの後ろにスロット/ポートを入力します( gigabitethernet0/1 など)。シャーシに組み込まれているインターフェイスはスロット 0 に割り当てられていますが、4GE SSM 上のインターフェイスはスロット 1 に割り当てられています。ASA 5550 適応型セキュリティ アプライアンス用の最大スループットでは、2 つのインターフェイス スロット間のトラフィックのバランスを取るようにします。たとえば、内部インターフェイスにスロット 1 を、外部インターフェイスにスロット 0 を割り当てます。
ASA 5510 以降の適応型セキュリティ アプライアンスには、次のタイプもあります。
管理インターフェイスは、管理トラフィックのみを対象に設計されているファースト イーサネット インターフェイスであり、 management0/0 と指定されます。ただし、必要であれば、トラフィックを通すために使用することもできます( management-only コマンドを参照)。透過ファイアウォール モードでは、トラフィックの通過を許可する 2 つのインターフェイスの他に、管理インターフェイスを使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。
subinterface ID は、物理インターフェイス ID の後ろに、ピリオド(.)で区切って付加します。
マルチコンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を入力します。
ステップ 2
name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定してこのコマンドを再入力すると名前を変更することができます。 no 形式は入力しないでください。このコマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。
ステップ 3
ここで、 number には、0(最下位)~ 100(最上位)の整数を指定します。
ステップ 4
ASA 5510 以降の適応型セキュリティ アプライアンスには、Management 0/0 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによってセキュリティ アプライアンスへのトラフィックをサポートします。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。
(注) 透過ファイアウォール モードでは、2 つのインターフェイスのみがトラフィックを通過できます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。
ステップ 5
ルーテッド ファイアウォール モードでは、すべてのインターフェイスに IP アドレスを設定します。透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではなく、セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。例外は Management 0/0 管理専用インターフェイスで、このインターフェイスはトラフィックを通過させません。透過ファイアウォール モードの管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設定」を参照してください。Management 0/0 インターフェイスまたはサブインターフェイスの IP アドレスを設定するには、次のいずれかのコマンドを使用します。
IPv6 アドレスの設定については、「インターフェイスでの IPv6 の設定」を参照してください。
フェールオーバーでは、IP アドレスとスタンバイ アドレスを手動で設定する必要があります。DHCP と PPPoE はサポートされていません。
•
standby キーワードおよびアドレスはフェールオーバーで使用します。詳細については、 第 14 章「フェールオーバーの設定」 を参照してください。
•
このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。
ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。
•
ステップ 6
mac_address の形式は H.H.H で、H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。
フェールオーバーで使用する場合は、 standby mac_address を設定します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新たなアクティブ装置はアクティブ MAC アドレスを使用して、ネットワークの中断を最小限に抑え、元のアクティブ装置はスタンバイ アドレスを使用します。
マルチコンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能を使用すれば、セキュリティ アプライアンスでは、該当するコンテキストへのパケットの分類が容易になります。固有の MAC アドレスが割り当てられていない共有インターフェイスも使用できますが、いくつか制限があります。詳細については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。コンテキストの共有インターフェイス用に手動で各 MAC アドレスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、「MAC アドレスのコンテキスト インターフェイスへの自動割り当て」 を参照してください。MAC アドレスを自動生成する場合、 mac-address コマンドを使用すれば、生成されたアドレスを上書きできます。
シングルコンテキスト モード、またはマルチコンテキスト モードでの未共有インターフェイスの場合、固有の MAC アドレスをサブインターフェイスに割り当てることができます。たとえば、サービス プロバイダーは MAC アドレスに基づいてアクセス コントロールを行っている場合があります。
ステップ 7
インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。これは、コンテキスト コンフィギュレーションでこのインターフェイスがイネーブルであると表示される場合も例外ではありません。
次の例では、シングルモードで物理インターフェイスのパラメータを設定します。
次の例では、シングルモードでサブインターフェイスのパラメータを設定します。
次の例では、システム コンフィギュレーションに対してマルチコンテキスト モードでインターフェイス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。
同一セキュリティ レベルにあるインターフェイス間の通信の許可
デフォルトでは、セキュリティ レベルが同じインターフェイスは同士では通信できません。同じセキュリティ レベルのインターフェイス間で通信を許可する利点としては、次のものがあります。
各インターフェイスで異なるセキュリティ レベルを使用したときに、同一のセキュリティ レベルにインターフェイスを割り当てないと、各レベル(0 ~ 100)に 1 つのインターフェイスしか設定できません。
•
(注) NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、「NAT および同じセキュリティ レベルのインターフェイス」を参照してください。
同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセキュリティ レベルのインターフェイスも通常どおりに設定できます。