Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
マルチ コンテキスト モードのイネーブル化
マルチ コンテキスト モードのイネーブル化
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

マルチ コンテキスト モードのイネーブル化

セキュリティ コンテキストの概要

セキュリティ コンテキストの一般的な使用方法

サポートされていない機能

コンテキスト コンフィギュレーション ファイル

コンテキスト コンフィギュレーション

システム コンフィギュレーション

管理コンテキスト コンフィギュレーション

セキュリティ アプライアンスによるパケットの分類方法

有効な分類子の基準

無効な分類子の基準

分類の例

セキュリティ コンテキストのカスケード接続

セキュリティ コンテキストへの管理アクセス

システム管理者のアクセス

コンテキスト管理者のアクセス

マルチコンテキスト モードのイネーブル化とディセーブル化

シングルモード コンフィギュレーションのバックアップ

マルチコンテキスト モードのイネーブル化

シングルコンテキスト モードの復元

マルチ コンテキスト モードのイネーブル化

この章では、セキュリティ コンテキストの使用方法とマルチコンテキスト モードをイネーブルにする方法について説明します。この章は、次の項で構成されています。

「セキュリティ コンテキストの概要」

「マルチコンテキスト モードのイネーブル化とディセーブル化」

セキュリティ コンテキストの概要

1 台のadaptive security applianceを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置です。マルチ コンテキストは、複数のスタンドアロン装置を使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの一般的な使用方法」

「サポートされていない機能」

「コンテキスト コンフィギュレーション ファイル」

「セキュリティ アプライアンスによるパケットの分類方法」

「セキュリティ コンテキストのカスケード接続」

「セキュリティ コンテキストへの管理アクセス」

セキュリティ コンテキストの一般的な使用方法

マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。

サービス プロバイダーとして、多数の顧客にセキュリティ サービスを販売する。adaptive security appliance上でマルチセキュリティ コンテキストをイネーブルにすることによって、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、顧客のトラフィックすべての分離とセキュリティが確保され、設定も容易です。

大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。

企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。

複数のadaptive security applianceが必要なネットワークを使用している。

サポートされていない機能

マルチコンテキスト モードでサポートされていない機能は、次のとおりです。

ダイナミック ルーティング プロトコル

セキュリティ コンテキストは、スタティック ルートだけをサポートします。マルチコンテキスト モードでは、OSPF、RIP または EIGRP をイネーブルにできません。

VPN

マルチキャスト ルーティング マルチキャスト ブリッジングはサポートされています。

脅威検出

コンテキスト コンフィギュレーション ファイル

この項では、adaptive security applianceがマルチコンテキスト モード コンフィギュレーションを実装する方法について説明します。次の項目を取り上げます。

「コンテキスト コンフィギュレーション」

「システム コンフィギュレーション」

「管理コンテキスト コンフィギュレーション」

コンテキスト コンフィギュレーション

adaptive security applianceには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。コンテキスト コンフィギュレーションは、internal Flash memoryまたはexternal Flash memory cardに保存することも、TFTP サーバ、FTP サーバ、または HTTP(S)サーバからダウンロードすることもできます。

システム コンフィギュレーション

システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびその他の操作パラメータをシステム コンフィギュレーションに設定することで、コンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、adaptive security applianceの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、 管理コンテキスト として指定されたコンテキストのいずれかを使用します。システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊なフェールオーバー インターフェイスがあります。

管理コンテキスト コンフィギュレーション

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないので、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインするとすべてのコンテキストに管理者の特権が許可されるので、管理コンテキストへのアクセスを適切なユーザに制限しなければならないことがあります。管理コンテキストは、リモートではなくフラッシュ メモリ上に置く必要があります。

システムがすでにマルチコンテキスト モードになっている場合、またはシングルモードから変換された場合、管理コンテキストが admin.cfg と呼ばれるファイルとしてinternal Flash memoryに自動的に作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとして使用しない場合は、管理コンテキストを変更できます。

セキュリティ アプライアンスによるパケットの分類方法

adaptive security applianceに入ってくるパケットはいずれも分類する必要があります。その結果、adaptive security applianceは、どのコンテキストにパケットを送信するかを決定できます。この項は、次の内容で構成されています。

「有効な分類子の基準」

「無効な分類子の基準」

「分類の例」


) 宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製されて、各コンテキストに送信されます。


有効な分類子の基準

この項では、分類子が使用する基準について説明します。次の事項を取り上げます。

「固有のインターフェイス」

「固有の MAC アドレス」

「NAT コンフィギュレーション」

固有のインターフェイス

入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、adaptive security applianceはパケットをそのコンテキストに分類します。透過ファイアウォール モードでは、各コンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用されます。

固有の MAC アドレス

マルチコンテキストがインターフェイスを共有している場合、分類子はインターフェイス MAC アドレスを使用します。adaptive security applianceでは、各コンテキストで異なる MAC アドレスを同一の共有インターフェイス(共有物理インターフェイスまたは共有サブインターフェイス)に割り当てることができます。デフォルトでは、共有インターフェイスには固有の MAC アドレスがありません。インターフェイスは、すべてのコンテキストの焼き付け済み MAC アドレスを使用します。固有の MAC アドレスがないと、アップストリーム ルータは直接コンテキストにルーティングできません。それぞれのインターフェイスを設定するときに、手動で MAC アドレスを設定できます(「インターフェイス パラメータの設定」を参照してください)。または、自動的に MAC アドレスを設定することもできます(「MAC アドレスのコンテキスト インターフェイスへの自動割り当て」を参照してください)。

NAT コンフィギュレーション

固有の MAC アドレスがないと、分類子はパケットを代行受信し、宛先 IP アドレス ルックアップを実行します。その他すべてのフィールドは無視され、宛先 IP アドレスだけが使用されます。分類に宛先アドレスを使用するには、各セキュリティ コンテキストの背後にあるサブネットを分類子が認識できなければなりません。分類子は、NAT コンフィギュレーションに基づいて各コンテキストのサブネットを判別します。分類子は、宛先 IP アドレスを static コマンドまたは global コマンドのいずれかと照合します。 global コマンドの場合、分類子は、 nat コマンドまたはアクティブの NAT セッションを照合してパケットを分類する必要がありません。分類後に、パケットが宛先 IP アドレスとの通信ができるかどうかは、NAT および NAT 制御の設定方法によります。

たとえば、コンテキスト管理者が各コンテキストの static コマンドを次のように設定した場合、分類子はサブネット 10.10.10.0、10.20.10.0 および 10.30.10.0 を認識します。

コンテキスト A:

static (inside,shared) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
 

コンテキスト B:

static (inside,shared) 10.20.10.0 10.20.10.0 netmask 255.255.255.0
 

コンテキスト C:

static (inside,shared) 10.30.10.0 10.30.10.0 netmask 255.255.255.0
 

) インターフェイス用管理トラフィックでは、インターフェイス IP アドレスが分類用として使用されます。


無効な分類子の基準

次のコンフィギュレーションは、パケットの分類に使用されません。

NAT 免除:分類子は、分類の目的では NAT 免除コンフィギュレーションを使用しません。これは、NAT 免除がマッピング インターフェイスを識別しないためです。

ルーティング テーブル:あるサブネットへのネクストホップとして外部ルータをポイントするスタティック ルートがコンテキストに含まれていて、同じサブネットに対する static コマンドが別のコンテキストに含まれている場合、分類子は、 static コマンドを使用してそのサブネットを宛先とするパケットを分類し、スタティック ルートを無視します。

分類の例

図 3-1 に、外部インターフェイスを共有するマルチコンテキストを示します。ルータがパケットを送信する MAC アドレスがコンテキスト B に含まれているため、分類子は、パケットをコンテキスト B に割り当てます。

図 3-1 MAC アドレスを使用した共有インターフェイスを持つパケット分類

 

図 3-2 に、MAC アドレスが割り当てられていない外部インターフェイスを共有するマルチコンテキストを示します。コンテキスト B には宛先アドレスに一致するアドレス変換が含まれるため、分類子はパケットをコンテキスト B に割り当てます。

図 3-2 NAT を使用した共有インターフェイスを持つパケット分類

 

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。図 3-3 は、インターネットにアクセスしているコンテキスト B 内部ネットワークのホストを示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスが Gigabit Ethernet 0/1.3 で、このイーサネットがコンテキスト B に割り当てられているためです。


内部インターフェイスを共有し、固有の MAC アドレスを使用していない場合、分類子には重要な制限事項がいくつかあります。分類子は、アドレス変換コンフィギュレーションに基づいてコンテキスト内のパケットを分類します。トラフィックの宛先アドレスを変換する必要があります。通常、外部アドレスに対して NAT を実行しないので、パケットを共有インターフェイスの内部から外部へ送信できない場合もあります。これは、Web のように巨大な外部ネットワークは、外部 NAT コンフィギュレーションのアドレスが予測できないためです。内部インターフェイスを共有する場合、固有の MAC アドレスを使用することを推奨します。


図 3-3 内部ネットワークからの着信トラフィック

 

透過ファイアウォールでは、固有のインターフェイスを使用する必要があります。図 3-4 は、インターネットにアクセスしているコンテキスト B 内部ネットワークのホストを示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスが Gigabit Ethernet 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 3-4 透過ファイアウォールのコンテキスト

 

セキュリティ コンテキストのカスケード接続

コンテキストを別のコンテキストの前に直接置くことをコンテキストをカスケードするといいます。あるコンテキストの外部インターフェイスは、別のコンテキストの内部インターフェイスと同じインターフェイスです。いくつかのコンテキストのコンフィギュレーションを単純化する場合、最上位のコンテキストの共有パラメータを設定することにより、コンテキストをカスケードできます。


) コンテキストをカスケードするには、コンテキスト インターフェイスごとに固有の MAC アドレスを設定する必要があります。MAC アドレスのない共有インターフェイスのパケットを分類するには限界があるため、固有の MAC アドレスを指定せずにカスケード コンテキストを使用することはお勧めできません。


図 3-5 は、ゲートウェイの背後に 2 つのコンテキストがあるゲートウェイ コンテキストを示します。

図 3-5 コンテキストのカスケード接続

 

セキュリティ コンテキストへの管理アクセス

adaptive security applianceでは、マルチコンテキスト モードでのシステム管理者のアクセスと各コンテキスト管理者のアクセスを利用できます。次の各項では、システム管理者またはコンテキスト管理者としてのログインについて説明します。

「システム管理者のアクセス」

「コンテキスト管理者のアクセス」

システム管理者のアクセス

システム管理者としてadaptive security applianceにアクセスするには、次の 2 つの方法があります。

adaptive security applianceコンソールへのアクセス

コンソールから、 システム実行スペース にアクセスします。これは、入力したコマンドがシステム設定またはシステムの動作だけに影響することを意味します(実行時のコマンド)。

Telnet、SSH、または ASDM を使用する管理者コンテキストへのアクセス

Telnet、SSH、および SDM アクセスをイネーブルにするには、 第 37 章「システム アクセスの管理」 を参照してください。

システム管理者として、すべてのコンテキストにアクセスできます。

管理者またはシステムからコンテキストに変更する場合、ユーザ名はデフォルトの「enable_15」に変わります。そのコンテキストでコマンド認可を設定した場合は、「enable_15」というユーザの認可特権を設定するか、またはコンテキストのコマンド認可コンフィギュレーションで必要な特権を付与できる別のユーザ名でログインします。ユーザ名を指定してログインするには、 login コマンドを入力します。たとえば、「admin」というユーザ名で管理者コンテキストにログインします。管理者コンテキストにはコマンド認可コンフィギュレーションがありませんが、それ以外のすべてのコンテキストにはコマンド認可があります。便宜上、各コンテキスト コンフィギュレーションには、最大特権を持つ「admin」がユーザとして含まれています。管理者コンテキストからコンテキスト A に変更する場合、ユーザ名が変わりますので、 login コマンドを入力して、再度「admin」でログインする必要があります。コンテキスト B に変更する場合には、 login コマンドを入力して、「admin」でログインする必要があります。

システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固有のイネーブル パスワードおよびユーザ名をローカル データベースに設定できます。

コンテキスト管理者のアクセス

Telnet、SSH、または ASDM を使用して、コンテキストにアクセスできます。管理外コンテキストにログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけです。そのコンテキストに個別のログインを付与できます。Telnet、SSH、および SDM をイネーブルにして管理認証を設定するには、 第 37 章「システム アクセスの管理」 を参照してください。

マルチコンテキスト モードのイネーブル化とディセーブル化

シスコへの発注方法によっては、adaptive security applianceがすでにマルチセキュリティ コンテキスト用に設定されている場合があります。ただし、アップグレードする場合は、この項で説明する手順に従ってシングルモードからマルチモードに変換することが必要になる場合があります。ASDM はモードの変更をサポートしていないため、CLI を使用してモードを変更する必要があります。

この項は、次の内容で構成されています。

「シングルモード コンフィギュレーションのバックアップ」

「マルチコンテキスト モードのイネーブル化」

「シングルコンテキスト モードの復元」

シングルモード コンフィギュレーションのバックアップ

シングルモードからマルチモードに変換すると、adaptive security applianceは実行コンフィギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存されないため、実行コンフィギュレーションと異なる場合は、手順を進める前にバックアップを取る必要があります。

マルチコンテキスト モードのイネーブル化

コンテキスト モード(シングルまたはマルチ)は、リブートしても保持されますが、コンフィギュレーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要がある場合、 mode コマンドを実行して新しい装置のモードを一致するように設定します。

シングルモードからマルチモードに変換すると、adaptive security applianceは、実行コンフィギュレーションを 2 つのファイルに変換します。その 2 つは、システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg です(internal Flash memoryのルート ディレクトリに作成されます)。元の実行コンフィギュレーションは、old_running.cfg として保存されます(internal Flash memoryのルート ディレクトリに保存されます)。元のスタートアップ コンフィギュレーションは保存されません。管理コンテキストのエントリは、「admin」という名前でシステム コンフィギュレーションにadaptive security applianceによって自動的に追加されます。

マルチモードをイネーブルにするには、次のコマンドを入力します。

hostname(config)# mode multiple
 

adaptive security applianceをリブートするよう求められます。

シングルコンテキスト モードの復元

マルチモードからシングルモードに変換する場合、最初にスタートアップ コンフィギュレーション全体をadaptive security applianceにコピーします(可能な場合)。これは、シングルモードの装置にとって、マルチモードから継承されるシステム コンフィギュレーションは完全に機能を果たすコンフィギュレーションではないためです。システム コンフィギュレーションは、自身のコンフィギュレーションの一部としてネットワーク インターフェイスを持たないため、コンソールからadaptive security applianceにアクセスしてコピーをとる必要があります。

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードをシングルモードに変更するには、システム実行スペースで次の手順を実行します。


ステップ 1 元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーするには、システムの実行スペースで次のコマンドを入力します。

hostname(config)# copy flash:old_running.cfg startup-config
 

ステップ 2 モードをシングルモードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# mode single
 

adaptive security applianceがリブートします。