Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
DHCP、DDNS、WCCP サービスの設定
DHCP、DDNS、WCCP サービスの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

DHCP、DDNS、WCCP サービスの設定

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

DHCP サーバを利用する Cisco IP Phone の使用方法

DHCP リレー

ダイナミック DNS の設定

例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする

例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される

例 3:クライアントに含まれる FQDN オプションがどの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする

例 4:クライアントがサーバに両方のアップデートを実行するように要求し、サーバが PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A と PTR RR の両方がアップデートされる

例 5:クライアントが A RR をアップデートし、サーバが PTR RR をアップデートする

WCCP を使用する Web キャッシュ サービス

WCCP 機能のサポート

WCCP とその他の機能との相互作用

WCCP リダイレクションのイネーブル化

DHCP、DDNS、WCCP サービスの設定

この章では、DHCP サーバの設定方法、ダイナミック DNS(DDNS)のアップデート方式の設定方法、およびadaptive security applianceでの WCCP の設定方法について説明します。DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。adaptive security applianceは、DHCP サーバまたは DHCP リレー サービスをadaptive security applianceのインターフェイスに接続されている DHCP クライアントに提供できます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求を、別のインターフェイスの向こう側に位置する外部 DHCP サーバに渡します。

DDNS アップデートは DNS を DHCP に組み込みます。2 つのプロトコルは相互補完し合うものです。DHCP は IP アドレス割り当ての集中化と自動化を行います。DDNS アップデートは、割り当てられたアドレスとホスト名とのアソシエーションを事前に定義された間隔で自動的に記録します。DDNS は、頻繁に変わるアドレスとホスト名のアソシエーションが頻繁にアップデートされるようにします。たとえば、これにより、モバイル ホストは、ユーザや管理者の介入なしに、ネットワーク上を自由に移動できるようになります。DDNS は、DNS サーバ上で名前からアドレスへのマッピングとアドレスから名前へのマッピングをダイナミックにアップデートし、同期化します。

WCCP は、1 つまたは複数のルータ、レイヤ 3 スイッチ、またはadaptive security applianceと、1 つまたは複数の Web キャッシュ間の相互作用を指定します。この機能は、選択したタイプのトラフィックを Web キャッシュ エンジンのグループに透過的にリダイレクトして、リソースの使用状況を最適化し、応答時間を短縮します。

この章は、次の項で構成されています。

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

「ダイナミック DNS の設定」

「WCCP を使用する Web キャッシュ サービス」

DHCP サーバの設定

この項では、adaptive security applianceによって提供される DHCP サーバの設定方法について説明します。この項は、次の内容で構成されています。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用方法」

DHCP サーバのイネーブル化

adaptive security applianceは DHCP サーバとして動作できます。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定をホストに供給するプロトコルです。


) adaptive security appliance DHCP サーバは、BOOTP 要求をサポートしていません。

マルチコンテキスト モードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるインターフェイス上ではイネーブルにすることはできません。


DHCP サーバは、adaptive security applianceの各インターフェイスに設定できます。各インターフェイスには、それ自体のアドレス プールがあり、利用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。

DHCP クライアントまたは DHCP リレー サービスは、DHCP サーバがイネーブルになっているインターフェイス上では設定することはできません。これに加えて、DHCP クライアントは、DHCP サーバがイネーブルになっているインターフェイスに直接接続されている必要があります。

指定されたadaptive security applianceのインターフェイスで DHCP サーバをイネーブルにするには、次の手順を実行します。


ステップ 1 DHCP アドレス プールを作成します。次のコマンドを入力して、アドレス プールを定義します。

hostname(config)# dhcpd address ip_address-ip_address interface_name
 

adaptive security applianceは、1 つのクライアントに対して一定時間だけ使用可能なアドレスを 1 つこのプールから割り当てます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、adaptive security appliance インターフェイスと同じサブネット内にある必要があります。

ステップ 2 (オプション)クライアントが使用する DNS サーバの IP アドレスを指定するには、次のコマンドを入力します。

hostname(config)# dhcpd dns dns1 [dns2]
 

DNS サーバは最大 2 つまで指定できます。

ステップ 3 (オプション)クライアントが使用する WINS サーバの IP アドレスを指定するには、次のコマンドを入力します。

hostname(config)# dhcpd wins wins1 [wins2]
 

WINS サーバは最大 2 つまで指定できます。

ステップ 4 (オプション)クライアントに許可するリース期間を変更するには、次のコマンドを入力します。

hostname(config)# dhcpd lease lease_length
 

リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。300 ~ 1,048,575 の間の値を入力します。デフォルト値は、3600 秒です。

ステップ 5 (オプション)クライアントが使用するドメイン名を設定するには、次のコマンドを入力します。

hostname(config)# dhcpd domain domain_name
 

ステップ 6 (オプション)DHCP に ping のタイムアウト値を設定するには、次のコマンドを入力します。

hostname(config)# dhcpd ping_timeout milliseconds
 

アドレスの衝突を避けるために、adaptive security applianceは、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7 (透過ファイアウォール モード)デフォルトのゲートウェイを定義します。DHCP クライアントに送信するデフォルトのゲートウェイを定義するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip gateway_ip
 

DHCP のオプション 3 を使用せずにデフォルトのゲートウェイを定義する場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8 adaptive security appliance内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信できるようにするには、次のコマンドを入力します。

hostname(config)# dhcpd enable interface_name
 


 

たとえば、内部インターフェイスに接続されているホストに範囲 10.0.1.101 ~ 10.0.1.110 を割り当てるには、次のコマンドを入力します。

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside
hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129
hostname(config)# dhcpd wins 209.165.201.5
hostname(config)# dhcpd lease 3000
hostname(config)# dhcpd domain example.com
hostname(config)# dhcpd enable inside
 

DHCP オプションの設定

adaptive security applianceは、RFC 2132 に記載されている DHCP オプションの情報を送信するように設定できます。DHCP オプションには次の 3 種類があります。

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

adaptive security applianceは DHCP オプションの 3 カテゴリをすべてサポートしています。DHCP オプションを設定するには、次のいずれかを実行します。

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ip addr_1 [addr_2]
 

テキスト文字列を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code ascii text
 

16 進数値を返す DHCP オプションを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option code hex value
 

) adaptive security applianceは、指定されたオプションのタイプおよび値が RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば dhcpd option 46 ascii hello コマンドを入力することは可能であり、adaptive security applianceはこのコンフィギュレーションを受け入れますが、RFC 2132 では、オプション 46 には 1 桁の 16 進数値が期待値として定義されています。オプション コードとその関連タイプおよび期待値の詳細については、RFC 2132 を参照してください。


表 9-1 に、 dhcpd option コマンドでサポートされていない DHCP オプションを示します。

 

表 9-1 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

特定のオプション、つまり DHCP オプション 3、66、および 150 は、Cisco IP Phone を設定するために使用します。これらのオプション設定の詳細については、「DHCP サーバを利用する Cisco IP Phone の使用方法」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用方法

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な機器を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。

Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。

Cisco IP Phone では、1 つの要求にオプション 150 とオプション 66 の両方が含まれることがあります。この場合、両者がadaptive security applianceで設定されていると、adaptive security applianceの DHCP サーバは、その応答で両方のオプションに対する値を提供します。

adaptive security applianceは、RFC 2132 に記載されている大部分のオプションの情報を送信するように設定できます。次に、任意のオプション番号のシンタックスと、一般的に使用されているオプション 66、150、および 3 のシンタックスを示します。

RFC-2132 に指定されているオプション番号を含む DHCP 要求の情報を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option number value
 

オプション 66 の IP アドレスまたは TFTP サーバ名を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option 66 ascii server_name
 

オプション 150 の IP アドレスあるいは 1 つまたは 2 つの TFTP サーバ名を提供するには、次のコマンドを入力します。

hostname(config)# dhcpd option 150 ip server_ip1 [server_ip2]
 

server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

デフォルト ルートを設定するには、次のコマンドを入力します。

hostname(config)# dhcpd option 3 ip router_ip1
 

DHCP リレー サービスの設定

DHCP リレー エージェントを使用すると、adaptive security applianceを介して DHCP 要求をクライアントから別のインターフェイスに接続されているルータに転送できます。


) DHCP プロキシを実行するインターフェイス上で DHCP リレーをイネーブルにすることはできません。VPN DHCP 設定を先に削除する必要があります。そうでないとエラー メッセージが表示されます。このエラーは、DHCP リレーと DHCP プロキシの両方がイネーブルの場合に発生します。DHCP リレーと DHCP プロキシの両方ではなく一方がイネーブルであることを確認してください。


DHCP リレー エージェントを使用する場合、次の制限が適用されます。

DHCP サーバもイネーブルになっている場合、リレー エージェントをイネーブルにできない。

クライアントは直接adaptive security applianceに接続する必要があり、他のリレー エージェントやルータを介して要求を送信できない。

マルチコンテキスト モードでは、複数のコンテキストによって使用されるインターフェイス上で DHCP リレーをイネーブルにできない。


) DHCP リレー サービスは透過ファイアウォール モードでは使用できません。透過ファイアウォール モードの場合、adaptive security applianceは ARP トラフィックのみ通過を許可します。他のトラフィックはすべてアクセスリストが必要です。透過モードで DHCP 要求と応答がadaptive security applianceを通過できるようにするには、2 つのアクセスリストを設定する必要があります。その 1 つは内部インターフェイスから外部への DCHP 要求を許可するもので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。

DHCP リレーがイネーブルになっていて、複数の DHCP リレー サーバが定義されている場合、セキュリティ アプライアンスは定義された各 DHCP リレー サーバにクライアントの要求を転送します。クライアントの DHCP リレー バインディングが削除されるまで、サーバからの応答もクライアントに転送されます。セキュリティ アプライアンスが ACK、NACK、または拒否のいずれかの DHCP メッセージを受け取ると、バインディングは削除されます。


DHCP リレーをイネーブルにするには、次の手順を実行します。


ステップ 1 DHCP クライアントとは異なるインターフェイス上の DHCP サーバの IP アドレスを設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay server ip_address if_name
 

このコマンドを使用して 4 つまでのサーバを 4 回まで設定できます。

ステップ 2 クライアントが接続されているインターフェイス上で DHCP リレーをイネーブルにするには、次のコマンドを入力します。

hostname(config)# dhcprelay enable interface
 

ステップ 3 (オプション)リレー アドレス ネゴシエーションに許可する時間を秒数で設定するには、次のコマンドを入力します。

hostname(config)# dhcprelay timeout seconds
 

ステップ 4 (オプション)DHCP サーバから送信されたパケットの最初のデフォルト ルータ アドレスを、adaptive security appliance インターフェイスのアドレスに変更するには、次のコマンドを入力します。

hostname(config)# dhcprelay setroute interface_name
 

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、adaptive security applianceをポイントできます。

パケット内にデフォルトのルータ オプションがなければ、adaptive security applianceは、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。


 

次の例では、adaptive security applianceは、内部インターフェイスに接続されているクライアントからの DHCP 要求を、外部インターフェイス上の DHCP サーバに転送することができるようになります。

hostname(config)# dhcprelay server 201.168.200.4
hostname(config)# dhcprelay enable inside
hostname(config)# dhcprelay setroute inside

ダイナミック DNS の設定

この項では、ダイナミック DNS をadaptive security applianceサポートするためのの設定例について説明します。DDNS アップデートは DNS を DHCP に組み込みます。2 つのプロトコルは相互補完し合うものです。DHCP は IP アドレス割り当ての集中化と自動化を行い、ダイナミック DNS アップデートは、割り当てられたアドレスとホスト名とのアソシエーションを自動的に記録します。DHCP とダイナミック DNS アップデートの使用時、ホストが IP ネットワークに接続する際に、そのホストのネットワーク アクセスを自動的に設定します。永続的で固有の DNS ホスト名を使用してホストを検索し、そこに到達できます。たとえばモバイル ホストは、ユーザや管理者の介入なしに、自由に移動できます。

DDNS はアドレスとドメイン名のマッピングを提供して、各ホストの DHCP 割り当てによる IP アドレスが頻繁に変化しても、ホスト同士が互いに検索できるようにします。DDNS の名前とアドレスのマッピングは、DHCP サーバ上の 2 つのリソース レコードにあり、A RR は、名前から IP アドレスへのマッピングを保持し、PTR RR はアドレスから名前へのマッピングを行います。DDNS アップデートを行うための 2 つの方式、つまり RFC 2136 により定義される IETF 標準と汎用 HTTP 方式のうち、adaptive security applianceは、このリリースで IETF 方式をサポートしています。

2 つの最も共通の DDNS アップデート コンフィギュレーションは次のとおりです。

DHCP クライアントは A RR をアップデートし、DHCP サーバは PTR RR をアップデートします。

DHCP サーバは、A RR と PTR RR の両方をアップデートします。

一般的に、DHCP サーバはクライアントの代わりに DNS PTR RR を保持します。クライアントは、必要なすべての DNS アップデートを実行するように設定できます。サーバは、これらのアップデートを実行するかどうかを設定できます。PTR RR をアップデートするには、DHCP サーバがクライアントの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を認識している必要があります。クライアントは、Client FQDN と呼ばれる DHCP オプションを使用して、FQDN をサーバに提供します。

次の例は、一般的な事例を示しています。

「例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする」

「例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される」

「例 3:クライアントに含まれる FQDN オプションがどの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする」

「例 4:クライアントがサーバに両方のアップデートを実行するように要求し、サーバが PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A と PTR RR の両方がアップデートされる」

「例 5:クライアントが A RR をアップデートし、サーバが PTR RR をアップデートする」

例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする

次の例は、クライアントを設定して A と PTR リソース レコードの両方をスタティック IP アドレス用にアップデートすることを要求するように設定します。この例を設定するには、次の手順を実行します。


ステップ 1 ddns-2 と呼ばれ、クライアントに A RR と PTR RR の両方をアップデートするように要求する DDNS アップデート方式を定義するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 2 方式 ddns-2 を eth1 インターフェイスに関連付けるには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface eth1
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa.example.com
 

ステップ 3 eth1 のスタティック IP アドレスを設定するには、次のコマンドを入力します。

hostname(config-if)# ip address 10.0.0.40 255.255.255.0


 

例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される

次の例では、(1)DHCP クライアントに A RR と PTR RR の両方をアップデートすることを要求し、(2)DHCP サーバがその要求を実行するように設定します。この例を設定するには、次の手順を実行します。


ステップ 1 DHCP サーバがアップデートを行わないように DHCP クライアントを設定するには、次のコマンドを入力します。

hostname(config)# dhcp-client update dns server none
 

ステップ 2 DHCP クライアントで ddns-2 と呼ばれ、クライアントに A と PTR の両方をアップデートするように要求する DDNS アップデート方式を作成するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 3 ddns-2 という名前の方式を Ethernet0 という名前のadaptive security applianceインターフェイスに関連付け、インターフェイス上の DHCP をイネーブルにするには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
hostname(if-config)# ip address dhcp
 

ステップ 4 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(if-config)# dhcpd update dns


 

例 3:クライアントに含まれる FQDN オプションがどの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする

次の例では、DHCP クライアントを設定して、A も PTR もアップデートしないように DHCP サーバに指示する FQDN オプションを含めるように設定しています。また、サーバがクライアントの要求を上書きするように設定しています。その結果、クライアントはアップデートを行わずにバックオフします。

この事例を設定するには、次の手順を実行します。


ステップ 1 ddns-2 という名前のアップデート方式を設定して、A RR と PTR RR の両方をアップデートすることを要求するように設定するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 2 インターフェイス Ethernet0 上の ddns-2 という名前の DDNS アップデート方式を割り当てて、クライアント ホスト名(asa)を付与するには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
 

ステップ 3 インターフェイスで DHCP クライアント機能をイネーブルにするには、次のコマンドを入力します。

hostname(if-config)# dhcp client update dns server none
hostname(if-config)# ip address dhcp
 

ステップ 4 DHCP サーバがクライアントのアップデート要求を上書きするように設定するには、次のコマンドを入力します。

hostname(if-config)# dhcpd update dns both override


 

例 4:クライアントがサーバに両方のアップデートを実行するように要求し、サーバが PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A と PTR RR の両方がアップデートされる

次の例では、デフォルトで PTR RR アップデートだけを行うようにサーバを設定しています。ただし、A と PTR の両方をアップデートするクライアントの要求を実行します。また、サーバは、クライアントが提供するホスト名(asa)にドメイン名(example.com)を追加することにより FQDN を形成します。

この事例を設定するには、次の手順を実行します。


ステップ 1 Ethernet0 インターフェイスで DHCP クライアントを設定するには、次のコマンドを入力します。

hostname(config)# interface Ethernet0
hostname(config-if)# dhcp client update dns both
hostname(config-if)# ddns update hostname asa
 

ステップ 2 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com


 

例 5:クライアントが A RR をアップデートし、サーバが PTR RR をアップデートする

次の例は、クライアントが A リソース レコードをアップデートし、サーバが PTR レコードをアップデートするように設定しています。また、クライアントは DHCP サーバからのドメイン名を使用して、FQDN を形成します。

この事例を設定するには、次の手順を実行します。


ステップ 1 ddns-2 という名前の DDNS アップデート方式を定義するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns
 

ステップ 2 Ethernet0 インターフェイスの DHCP クライアントを設定し、アップデート方式をインターフェイスに割り当てるには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(config-if)# dhcp client update dns
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa
 

ステップ 3 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com
 


 

WCCP を使用する Web キャッシュ サービス

Web キャッシングの目的は、遅延とネットワーク トラフィックを減らすことにあります。以前にアクセスした Web ページがキャッシュ バッファに保存されていて、再度必要な場合には、Web サーバではなくキャッシュから取得できます。

WCCP は、adaptive security applianceと外部 Web キャッシュ間の相互作用を指定します。この機能は、選択したタイプのトラフィックを Web キャッシュ エンジンのグループに透過的にリダイレクトして、リソースの使用状況を最適化し、応答時間を短縮します。adaptive security applianceは WCCP バージョン 2 だけをサポートしています。

adaptive security applianceを仲介役として使用すれば、WCCP リダイレクトを行うための個別ルータは不要です。adaptive security applianceは、キャッシュ エンジンへのリダイレクト要求を処理できるためです。adaptive security applianceはパケットにリダイレクトが必要な時期を認識すると、TCP ステート トラッキング、TCP シーケンス番号のランダム化、およびトラフィック フローでの NAT をスキップします。

この項は、次の内容で構成されています。

「WCCP 機能のサポート」

「WCCP とその他の機能との相互作用」

「WCCP リダイレクションのイネーブル化」

WCCP 機能のサポート

次の WCCPv2 機能がadaptive security applianceでサポートされています。

TCP/UDP ポート宛て複数トラフィックのリダイレクション

サービス グループ内のキャッシュ エンジンのための認証

次の WCCPv2 機能は、adaptive security applianceでサポートされていません。

サービス グループ内の複数ルータはサポートされていません。サービス グループ内の複数のキャッシュ エンジンはサポートされています。

マルチキャスト WCCP はサポートされていません。

レイヤ 2 リダイレクト方式はサポートされておらず、GRE カプセル化だけがサポートされています。

WCCP 送信元アドレス スプーフィング。

WCCP とその他の機能との相互作用

adaptive security applianceの WCCP の実装では、プロトコルと他の設定可能な機能との相互作用に次の点が適用されます。

入力アクセスリスト エントリの優先度は常に WCCP よりも上です。たとえば、アクセスリストでサーバとの通信をクライアントに許可していない場合、トラフィックはキャッシュ エンジンにリダイレクトされません。入力インターフェイス アクセスリストと出力インターフェイス アクセスリストの両方が適用されます。

TCP 代行受信、認可、URL フィルタリング、検査エンジン、および IPS 機能は、トラフィックのリダイレクト フローに適用されません。

キャッシュ エンジンが要求に対してサービスを行わずパケットが戻される場合、または、キャッシュ エンジンでキャッシュ ミスが生じて Web サーバにデータを要求した場合、トラフィック フローの内容がadaptive security applianceのその他すべての設定機能に反映されます。

フェールオーバーでは、WCCP リダイレクト テーブルはスタンバイ装置に複製されません。フェールオーバー後、テーブルが再構築されるまでパケットはリダイレクトされません。フェールオーバー前にリダイレクトされたセッションは、多くの場合、Web サーバからリセットされます。

WCCP リダイレクションのイネーブル化

adaptive security applianceで WCCP リダイレクションを設定するには、2 つの手順があります。まず wccp コマンドでリダイレクトするサービスを特定し、次に wccp redirect コマンドでリダイレクションを行うインターフェイスを定義します。オプションを指定することにより wccp コマンドは、サービス グループに参加するキャッシュ エンジンや、そのキャッシュ エンジンにリダイレクトされるトラフィックも定義できます。

WCCP リダイレクトは、インターフェイスの入力側でのみサポートされています。adaptive security applianceでサポートされる唯一のトポロジは、クライアントとキャッシュ エンジンがadaptive security applianceの同じインターフェイスの背後にあり、キャッシュ エンジンがadaptive security applianceを介さずに、直接クライアントと通信を行う場合です。

次のコンフィギュレーション タスクは、ネットワークに含めるキャッシュ エンジンがすでにインストールされ、設定されていることを想定しています。

WCCP リダイレクションを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、WCCPサービス グループをイネーブルにします。

hostname(config)# wccp {web-cache | service_number} [redirect-list access_list] [group-list access_list] [password password]

 

標準サービスは web-cache で、TCP ポート 80(HTTP)トラフィックを代行受信してキャッシュ エンジンにリダイレクトします。必要であれば、0 ~ 254 までのサービス番号を特定できます。たとえば、ネイティブの FTP トラフィックをキャッシュ エンジンに透過的にリダイレクトするには、WCCP サービス 60 を使用します。このコマンドは、イネーブルにするサービス グループごとに繰り返し入力できます。

redirect-list access_list 引数は、このサービス グループにリダイレクトするトラフィックを制御します。

group-list access_list 引数は、サービス グループに参加が許可される Web キャッシュ IP アドレスを判別します。

password password 引数は、サービス グループから受け取るメッセージの MD5 認証を指定します。認証で受け入れられないメッセージは廃棄されます。

ステップ 2 インターフェイスで WCCP リダイレクションをイネーブルにするには、次のコマンドを入力します。

hostname(config)# wccp interface interface_name {web-cache | service_number} redirect in

 

標準サービスは web-cache で、TCP ポート 80(HTTP)トラフィックを代行受信してキャッシュ エンジンにリダイレクトします。必要であれば、0 ~ 254 までのサービス番号を特定できます。たとえば、ネイティブの FTP トラフィックをキャッシュ エンジンに透過的にリダイレクトするには、WCCP サービス 60 を使用します。このコマンドは、参加するサービス グループごとに繰り返し入力できます。


 

たとえば、標準の web-cache サービスをイネーブルにして、インターフェイス内部に入る HTTP トラフィックを Web キャッシュにリダイレクトするには、次のコマンドを入力します。

hostname(config)# wccp web-cache
hostname(config)# wccp interface inside web-cache redirect in