Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
設定例
設定例
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

設定例

例 1:外部アクセスのあるマルチモード ファイアウォール

例 1 のシステム コンフィギュレーション

例 1 の管理コンテキスト コンフィギュレーション

例 1 の顧客 A コンテキスト コンフィギュレーション

例 1 の顧客 B コンテキスト コンフィギュレーション

例 1 の顧客 C コンテキスト コンフィギュレーション

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

例 3:マルチコンテキストの共有リソース

例 3 のシステム コンフィギュレーション

例 3 の管理コンテキスト コンフィギュレーション

例 3 の部門 1 コンテキスト コンフィギュレーション

例 3 の部門 2 コンテキスト コンフィギュレーション

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

例 4 のシステム コンフィギュレーション

例 4 の管理コンテキスト コンフィギュレーション

例 4 の顧客 A コンテキスト コンフィギュレーション

例 4 の顧客 B コンテキスト コンフィギュレーション

例 4 の顧客 C コンテキスト コンフィギュレーション

例 5:NAT によるシングル モード透過ファイアウォール

例 6:IPv6 コンフィギュレーション

例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート

例 8:マルチキャスト ルーティング(ルーテッド モード)

PIM 希薄モードの場合

PIM 双方向モードの場合

例 9:Active/Standby フェールオーバー(ルーテッド モード)

例 9 のプライマリ装置のコンフィギュレーション

例 9 のセカンダリ装置のコンフィギュレーション

例 10:Active/Active フェールオーバー(ルーテッド モード)

例 10 のプライマリ装置のコンフィギュレーション

例 10 のプライマリ システムのコンフィギュレーション

例 10 のプライマリ管理コンテキスト コンフィギュレーション

例 10 のプライマリ ctx1 コンテキスト コンフィギュレーション

例 10 のセカンダリ装置のコンフィギュレーション

例 11:Active/Standby フェールオーバー(透過モード)

例 11 のプライマリ装置のコンフィギュレーション

例 11 のセカンダリ装置のコンフィギュレーション

例 12:Active/Active フェールオーバー(透過モード)

例 12 のプライマリ装置のコンフィギュレーション

例 12 のプライマリ システムのコンフィギュレーション

例 12 のプライマリ管理コンテキスト コンフィギュレーション

例 12 のプライマリ ctx1 コンテキスト コンフィギュレーション

例 12 のセカンダリ装置のコンフィギュレーション

設定例

この付録では、適応型セキュリティ アプライアンスを実装するいくつかの一般的な方法について、図を使用して説明します。次の事項について説明します。

「例 1:外部アクセスのあるマルチモード ファイアウォール」

「例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール」

「例 3:マルチコンテキストの共有リソース」

「例 4:外部アクセスのあるマルチモード、透過ファイアウォール」

「例 5:NAT によるシングル モード透過ファイアウォール」

「例 6:IPv6 コンフィギュレーション」

「例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート」

「例 8:マルチキャスト ルーティング(ルーテッド モード)」

「例 9:Active/Standby フェールオーバー(ルーテッド モード)」

「例 10:Active/Active フェールオーバー(ルーテッド モード)」

「例 11:Active/Standby フェールオーバー(透過モード)」

「例 12:Active/Active フェールオーバー(透過モード)」

例 1:外部アクセスのあるマルチモード ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部インターフェイスと外部インターフェイスを持ちます。両方のインターフェイスが冗長インターフェイスとして設定されています。

顧客 C コンテキストには DMZ インターフェイスが含まれています。この DMZ インターフェイスでは、HTTP フィルタリング用の Websense サーバがサービス プロバイダー社内にあります(図 B-1 を参照)。

内部ホストはダイナミック NAT または PAT を使用して外部を通じインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

顧客 A コンテキストは内部ルータの背後に 2 番目のネットワークを持っています。

管理コンテキストは、1 台のホストから適応型セキュリティ アプライアンスへの SSH セッションを許可します。


) インターフェイスが固有である場合、内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。


図 B-1 例 1

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 1 のシステム コンフィギュレーション」

「例 1 の管理コンテキスト コンフィギュレーション」

「例 1 の顧客 A コンテキスト コンフィギュレーション」

「例 1 の顧客 B コンテキスト コンフィギュレーション」

「例 1 の顧客 C コンテキスト コンフィギュレーション」

例 1 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。現在のモードを表示するには、 show mode コマンドを入力します。

hostname Farscape
password passw0rd
enable password chr1cht0n
mac-address auto
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/2
no shutdown
interface gigabitethernet 0/3
no shutdown
interface redundant 1
member-interface gigabitethernet 0/0
member-interface gigabitethernet 0/1
interface redundant 2
member-interface gigabitethernet 0/2
member-interface gigabitethernet 0/3
interface redundant 1.3
vlan 3
no shutdown
interface redundant 2.4
vlan 4
no shutdown
interface redundant 2.5
vlan 5
no shutdown
interface redundant 2.6
vlan 6
no shutdown
interface redundant 2.7
vlan 7
no shutdown
interface redundant 2.8
vlan 8
no shutdown
class gold
limit-resource rate conns 2000
limit-resource conns 20000
class silver
limit-resource rate conns 1000
limit-resource conns 10000
class bronze
limit-resource rate conns 500
limit-resource conns 5000
context admin
allocate-interface redundant1.3 int1
allocate-interface redundant2.4 int2
config-url disk0://admin.cfg
member default
context customerA
description This is the context for customer A
allocate-interface redundant1.3 int1
allocate-interface redundant2.5 int2
config-url disk0://contexta.cfg
member gold
context customerB
description This is the context for customer B
allocate-interface redundant1.3 int1
allocate-interface redundant2.6 int2
config-url disk0://contextb.cfg
member silver
context customerC
description This is the context for customer C
allocate-interface redundant1.3 int1
allocate-interface redundant2.7-redundant2.8 int2-int3
config-url disk0://contextc.cfg
member bronze
 

例 1 の管理コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

10.1.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキーを生成する必要があります。

hostname Admin
domain example.com
interface int1
nameif outside
security-level 0
ip address 209.165.201.2 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
route outside 0 0 209.165.201.1 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.10-209.165.201.29
! The host at 10.1.1.75 has access to the Websense server in Customer C, so
! it needs a static translation for use in Customer C’s access list
static (inside,outside) 209.165.201.30 10.1.1.75 netmask 255.255.255.255
 

例 1 の顧客 A コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
passwd hell0!
enable password enter55
route outside 0 0 209.165.201.1 1
! The Customer A context has a second network behind an inside router that requires a
! static route. All other traffic is handled by the default route pointing to the router.
route inside 192.168.1.0 255.255.255.0 10.1.2.2 1
nat (inside) 1 10.1.2.0 255.255.255.0
! This context uses dynamic PAT for inside users that access that outside. The outside
! interface address is used for the PAT address
global (outside) 1 interface
 

例 1 の顧客 B コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
passwd tenac10us
enable password defen$e
route outside 0 0 209.165.201.1 1
nat (inside) 1 10.1.3.0 255.255.255.0
! This context uses dynamic PAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
access-list INTERNET remark Inside users only access HTTP and HTTPS servers on the outside
access-list INTERNET extended permit tcp any any eq http
access-list INTERNET extended permit tcp any any eq https
access-group INTERNET in interface inside
 

例 1 の顧客 C コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.4.1 255.255.255.0
no shutdown
interface int3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
passwd fl0wer
enable password treeh0u$e
route outside 0 0 209.165.201.1 1
url-server (dmz) vendor websense host 192.168.2.2 url-block block 50
url-cache dst 128
filter url http 10.1.4.0 255.255.255.0 0 0
! When inside users access an HTTP server, the 適応型セキュリティ アプライアンス consults with a
! Websense server to determine if the traffic is allowed
nat (inside) 1 10.1.4.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! A host on the admin context requires access to the Websense server for management using
! pcAnywhere, so the Websense server uses a static translation for its private address
static (dmz,outside) 209.165.201.6 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to use pcAnywhere on the Websense server
access-list MANAGE extended permit tcp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-data
access-list MANAGE extended permit udp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-status
access-group MANAGE in interface outside
 

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

このコンフィギュレーションでは、3 つの内部インターフェイスを作成します。2 つのインターフェイスは同じセキュリティ レベルの部門に接続します。これにより、すべてのホストがアクセスリストを使用せずに通信できます。DMZ インターフェイスは syslog サーバをホスティングします。外部インターフェイス上の管理ホストは、Syslog サーバと適応型セキュリティ アプライアンスにアクセスできる必要があります。適応型セキュリティ アプライアンスは内部インターフェイス上の RIP を使用してルートを認識します。適応型セキュリティ アプライアンスはルートを RIP でアドバタイズしないので、アップストリーム ルータは適応型セキュリティ アプライアンスのトラフィック用のスタティック ルートを使用する必要があります(図 B-2 を参照)。

部門ネットワークは、インターネットへのアクセスと PAT の使用を許可されています。

脅威の検出がイネーブルになっています。

図 B-2 例 2

 

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif dept2
security-level 100
ip address 10.1.2.1 255.255.255.0
mac-address 000C.F142.4CDE standby 000C.F142.4CDF
no shutdown
rip authentication mode md5
rip authentication key scorpius key_id 1
interface gigabitethernet 0/2
nameif dept1
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
interface gigabitethernet 0/3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
same-security-traffic permit inter-interface
route outside 0 0 209.165.201.1 1
nat (dept1) 1 10.1.1.0 255.255.255.0
nat (dept2) 1 10.1.2.0 255.255.255.0
! The dept1 and dept2 networks use PAT when accessing the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! Because we perform dynamic NAT on these addresses for outside access, we need to perform
! NAT on them for all other interface access. This identity static statement just
! translates the local address to the same address.
static (dept1,dept2) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
static (dept2,dept1) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
! The syslog server uses a static translation so the outside management host can access
! the server
static (dmz,outside) 209.165.201.5 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to access the syslog server
access-list MANAGE extended permit tcp host 209.165.200.225 host 209.165.201.5 eq ssh
access-group MANAGE in interface outside
! Advertises the 適応型セキュリティ アプライアンス IP address as the default gateway for the downstream
! router. The 適応型セキュリティ アプライアンス does not advertise a default route to the upstream
! router. Listens for RIP updates from the downstream router. The 適応型セキュリティ アプライアンス does
! not listen for RIP updates from the upstream router because a default route to the
! upstream router is all that is required.
router rip
network 10.0.0.0
default information originate
version 2
ssh 209.165.200.225 255.255.255.255 outside
logging trap 5
! System messages are sent to the syslog server on the DMZ network
logging host dmz 192.168.2.2
logging enable
! Enable basic threat detection:
threat-detection basic-threat
threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
! Enables scanning threat detection and automatically shun attackers,
! except for hosts on the 10.1.1.0 network:
threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20
! Enable statistics for access-lists:
threat-detection statistics access-list

例 3:マルチコンテキストの共有リソース

このコンフィギュレーションには、社内の複数の部門用のマルチコンテキストが含まれています。それぞれの部門が独自のセキュリティ ポリシーを持つことができるように、各部門には独自のセキュリティ コンテキストがあります。ただし、syslog サーバ、メール サーバ、および AAA サーバはすべての部門で共有されます。これらのサーバは、共有インターフェイス上に置かれます(図 B-3 を参照)。

部門 1 には、AAA サーバで認証された外部ユーザがアクセスできる Web サーバがあります。

図 B-3 例 3

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 3 のシステム コンフィギュレーション」

「例 3 の管理コンテキスト コンフィギュレーション」

「例 3 の部門 1 コンテキスト コンフィギュレーション」

「例 3 の部門 2 コンテキスト コンフィギュレーション」

例 3 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。現在のモードを表示するには、 show mode コマンドを入力します。

hostname Ubik
password pkd55
enable password deckard69
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
mac-address auto
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.200
! This is the shared outside interface
vlan 200
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/1.201
! This is the inside interface for admin
vlan 201
no shutdown
interface gigabitethernet 0/1.202
! This is the inside interface for department 1
vlan 202
no shutdown
interface gigabitethernet 0/1.203
! This is the inside interface for department 2
vlan 203
no shutdown
interface gigabitethernet 0/1.300
! This is the shared inside interface
vlan 300
no shutdown
context admin
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.201
allocate-interface gigabitethernet 0/1.300
config-url disk0://admin.cfg
context department1
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.202
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept1.cfg
context department2
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.203
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept2.cfg
 

例 3 の管理コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

hostname Admin
interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/0.201
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd v00d00
enable password d011
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.0.0 255.255.255.0
! This context uses PAT for inside users that access the outside
global (outside) 1 209.165.201.6 netmask 255.255.255.255
! This context uses PAT for inside users that access the shared network
global (shared) 1 10.1.1.30
! Because this host can access the web server in the Department 1 context, it requires a
! static translation
static (inside,outside) 209.165.201.7 10.1.0.15 netmask 255.255.255.255
! Because this host has management access to the servers on the Shared interface, it
! requires a static translation to be used in an access list
static (inside,shared) 10.1.1.78 10.1.0.15 netmask 255.255.255.255
access-list SHARED remark -Allows only mail traffic from inside to exit shared interface
access-list SHARED remark -but allows the admin host to access any server.
access-list SHARED extended permit ip host 10.1.1.78 any
access-list SHARED extended permit tcp host 10.1.1.30 host 10.1.1.7 eq smtp
! Note that the translated addresses are used.
access-group SHARED out interface shared
! Allows 10.1.0.15 to access the admin context using Telnet. From the admin context, you
! can access all other contexts.
telnet 10.1.0.15 255.255.255.255 inside
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! The host at 10.1.0.15 must authenticate with the AAA server to log in
aaa authentication telnet console AAA-SERVER
aaa authorization command AAA-SERVER LOCAL
aaa accounting command AAA-SERVER
logging trap 6
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3 の部門 1 コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/0.202
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.2 255.255.255.0
no shutdown
passwd cugel
enable password rhialto
nat (inside) 1 10.1.2.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.8 netmask 255.255.255.255
! The inside network uses dynamic NAT when accessing the shared network
global (shared) 1 10.1.1.31-10.1.1.37
! The web server can be accessed from outside and requires a static translation
static (inside,outside) 209.165.201.9 10.1.2.3 netmask 255.255.255.255
access-list WEBSERVER remark -Allows the management host (its translated address) on the access-list WEBSERVER remark -admin context to access the web server for management
access-list WEBSERVER remark -it can use any IP protocol
access-list WEBSERVER extended permit ip host 209.165.201.7 host 209.165.201.9
access-list WEBSERVER remark -Allows any outside address to access the web server
access-list WEBSERVER extended permit tcp any eq http host 209.165.201.9 eq http
access-group WEBSERVER in interface outside
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
! Note that the translated addresses are used.
access-list MAIL extended permit tcp host 10.1.1.31 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.32 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.33 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.34 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.35 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.36 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.37 eq smtp host 10.1.1.7 eq smtp
access-group MAIL out interface shared
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! All traffic matching the WEBSERVER access list must authenticate with the AAA server
aaa authentication match WEBSERVER outside AAA-SERVER
logging trap 4
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3 の部門 2 コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/0.203
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.3 255.255.255.0
no shutdown
passwd maz1r1an
enable password ly0ne$$e
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.3.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.10 netmask 255.255.255.255
! The inside network uses PAT when accessing the shared network
global (shared) 1 10.1.1.38
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
access-list MAIL extended permit tcp host 10.1.1.38 host 10.1.1.7 eq smtp
! Note that the translated PAT address is used.
access-group MAIL out interface shared
logging trap 3
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部ルータと外部ルータの間で OSPF トラフィックの通過を許可します( 図 B-4 を参照)。

内部ホストは外部を介してインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

アウトオブバンド管理ホストは Management 0/0 インターフェイスに接続します。

管理コンテキストは、1 台のホストから適応型セキュリティ アプライアンスへの SSH セッションを許可します。

管理コンテキストを除く各コンテキストの接続制限設定で、接続数を制限して、DoS 攻撃を防止します。


) 内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。


図 B-4 例 4

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 4 のシステム コンフィギュレーション」

「例 4 の管理コンテキスト コンフィギュレーション」

「例 4 の顧客 A コンテキスト コンフィギュレーション」

「例 4 の顧客 B コンテキスト コンフィギュレーション」

「例 4 の顧客 C コンテキスト コンフィギュレーション」

例 4 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。現在のモードを表示するには、 show mode コマンドを入力します。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
mac-address auto
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.150
vlan 150
no shutdown
interface gigabitethernet 0/0.151
vlan 151
no shutdown
interface gigabitethernet 0/0.152
vlan 152
no shutdown
interface gigabitethernet 0/0.153
vlan 153
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
interface management 0/0
no shutdown
context admin
allocate-interface gigabitethernet 0/0.150
allocate-interface gigabitethernet 0/1.4
allocate-interface management 0/0
config-url disk0://admin.cfg
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.151
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.152
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.153
allocate-interface gigabitethernet 0/1.7
config-url disk0://contextc.cfg
 

例 4 の管理コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

10.2.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキー ペアを生成する必要があります。

hostname Admin
domain example.com
interface gigabitethernet 0/0.150
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
no shutdown
interface management 0/0
nameif manage
security-level 50
! Unlike other transparent interfaces, the management interface
! requires an IP address:
ip address 10.2.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
ssh 10.2.1.75 255.255.255.255 manage
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4 の顧客 A コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface gigabitethernet 0/0.151
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
no shutdown
passwd hell0!
enable password enter55
ip address 10.1.2.1 255.255.255.0
route outside 0 0 10.1.2.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4 の顧客 B コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface gigabitethernet 0/0.152
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
no shutdown
passwd tenac10us
enable password defen$e
ip address 10.1.3.1 255.255.255.0
route outside 0 0 10.1.3.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
! The following commands add connection limits to the global policy.
class-map conn_limits
match any
policy-map global_policy
class conn_limits
set connection conn-max 5000 embryonic-conn-max 2000
set connection timeout tcp 2:0:0 reset half-close 0:5:0 embryonic 0:0:20 dcd 20 3
service-policy global_policy global
 

例 4 の顧客 C コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

interface gigabitethernet 0/0.153
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
no shutdown
passwd fl0wer
enable password treeh0u$e
ip address 10.1.4.1 255.255.255.0
route outside 0 0 10.1.4.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
! The following commands add connection limits to the global policy.
class-map conn_limits
match any
policy-map global_policy
class conn_limits
set connection conn-max 5000 embryonic-conn-max 2000
set connection timeout tcp 2:0:0 reset half-close 0:5:0 embryonic 0:0:20 dcd 20 3
service-policy global_policy global
 

例 5:NAT によるシングル モード透過ファイアウォール

このコンフィギュレーションでは、NAT を透過モードで設定する方法を示します( 図 B-5 を参照)。

図 B-5 例 5

 

10.1.1.75 のホストは SSH を使用して適応型セキュリティ アプライアンスにアクセスします。そのためには、 crypto key generate コマンドを使用してキー ペアを生成する必要があります。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
hostname Moya
domain example.com
interface gigabitethernet 0/0
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1
nameif inside
security-level 100
no shutdown
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
! The following route is required when you perform NAT
! on non-directly-connected networks:
route inside 192.168.1.0 255.255.255.0 10.1.1.3 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
nat (inside) 1 198.168.1.0 255.255.255.0
global (outside) 1 209.165.201.1-209.165.201.15
 

例 6:IPv6 コンフィギュレーション

このコンフィギュレーションの例では、適応型セキュリティ アプライアンスでの IPv6 サポートの機能をいくつか示します。

各インターフェイスに IPv6 と IPv4 の両方のアドレスが設定されています。

ipv6 route コマンドで IPv6 デフォルト ルートが設定されています。

IPv6 アクセスリストが外部インターフェイスに適用されています。

内部インターフェイスのホストの IPv6 アドレスにおける Modified-EUI64 形式インターフェイス識別子を使用します。

外部インターフェイスは、ルータ アドバタイズメント メッセージを抑止します。

IPv6 スタティック ルート。

図 B-6 IPv6 デュアル スタック コンフィギュレーション

 

enable password myenablepassword
passwd mypassword
hostname coyupix
asdm image flash:/asdm.bin
boot system flash:/image.bin
interface Ethernet0
nameif outside
security-level 0
ip address 10.142.10.100 255.255.255.0
ipv6 address 2001:400:3:1::100/64
ipv6 nd suppress-ra
ospf mtu-ignore auto
no shutdown
interface Ethernet1
nameif inside
security-level 100
ip address 10.140.10.100 255.255.255.0
ipv6 address 2001:400:1:1::100/64
ospf mtu-ignore auto
no shutdown
access-list allow extended permit icmp any any
ssh 10.140.10.75 255.255.255.255 inside
logging enable
logging buffered debugging
ipv6 enforce-eui64 inside
ipv6 route outside 2001:400:6:1::/64 2001:400:3:1::1
ipv6 route outside ::/0 2001:400:3:1::1
ipv6 access-list outacl permit icmp6 2001:400:2:1::/64 2001:400:1:1::/64
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq telnet
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq ftp
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq www
access-group allow in interface outside
access-group outacl in interface outside
route outside 0.0.0.0 0.0.0.0 16.142.10.1 1
 

例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート

このコンフィギュレーションは、プライマリ ISP ルートがダウンした場合に、スタティック ルート トラッキングを使用して、バックアップの ISP ルートを利用するリモート オフィスを示します。リモート オフィスの適応型セキュリティ アプライアンスは、ICMP エコー要求を使用して、メイン オフィス ゲートウェイの可用性を監視します。デフォルト ルートを通じてこのゲートウェイが利用できなくなると、デフォルト ルートがルーティング テーブルから削除されて、代わりにバックアップ ISP へのフローティング ルートが使用されます。

図 B-7 デュアル ISP サポート

 

passwd password1
enable password password2
hostname myfirewall
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
!
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
no shutdown
!
interface gigabitethernet 0/1
description backup isp link
nameif backupisp
security-level 100
ip address 172.16.2.2 255.255.255.0
no shutdown
!
sla monitor 123
type echo protocol ipIcmpEcho 10.2.1.2 interface outside
num-packets 3
timeout 1000
frequency 3
sla monitor schedule 123 life forever start-time now
!
track 1 rtr 123 reachability
!
route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1
! The above route is used while the tracked object, router 10.2.1.2
! is available. It is removed when the router becomes unavailable.
!
route backupisp 0.0.0.0 0.0.0.0 172.16.2.1 254
! The above route is a floating static route that is added to the
! routing table when the tracked route is removed.
 

例 8:マルチキャスト ルーティング(ルーテッド モード)

このコンフィギュレーションでは、メッセージを視聴している受話者が 2 人いるマルチキャスト トラフィック送信している送信元を示します。発信元と受信者間にネットワークが設置され、すべてのデバイスで、トラフィックが流れるように、PIM ツリーを正しく構築する必要があります。これには、すべての IOS ルータが含まれます。

図 B-8 マルチキャスト ルーティング コンフィギュレーション

 


) マルチキャスト ルーティングは、単一のルーテッド モードでのみ動作します。


「PIM 希薄モードの場合」

「PIM 双方向モードの場合」

PIM 希薄モードの場合

このコンフィギュレーションでは、PIM 希薄モードに対してマルチキャスト ルーティングをイネーブルにします。

hostname asa
multicast-routing
 
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
 
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
 
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.1.3.1 255.255.255.0
igmp join-group 227.1.2.3
 
! Specify the RP
pim rp-address 10.1.1.2
 
! Specify ACL configuration on the interfaces
access-list mcast permit pim any any
access-list mcast permit igmp any any
access-list mcast permit ospf any any
access-list mcast permit icmp any any
access-list mcast permit tcp any any eq 80
access-list mcast permit udp any 224.0.0.0 240.0.0.0
 
no failover
access-group mcast in interface outside
access-group mcast in interface inside
access-group mcast in interface dmz
 
! Configures unicast routing
router ospf 1
network 10.1.1.0 255.255.255.0 area 0
network 10.1.2.0 255.255.255.0 area 0
network 10.1.3.0 255.255.255.0 area 0
log-adj-changes
!

PIM 双方向モードの場合

hostname asa
multicast-routing
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
!
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.1.3.1 255.255.255.0
igmp join-group 227.1.2.3
 

!Specify the RP

pim rp-address 10.1.1.2 bidir
 
 
! Specify ACL configuration on the interfaces
access-list mcast permit pim any any
access-list mcast permit igmp any any
access-list mcast permit ospf any any
access-list mcast permit icmp any any
access-list mcast permit tcp any any eq 80
access-list mcast permit udp any 224.0.0.0 240.0.0.0
 
no failover
access-group mcast in interface outside
access-group mcast in interface inside
access-group mcast in interface dmz
 
! Configures unicast routing
router ospf 1
network 10.1.1.0 255.255.255.0 area 0
network 10.1.2.0 255.255.255.0 area 0
network 10.1.3.0 255.255.255.0 area 0
log-adj-changes
 

例 9:Active/Standby フェールオーバー(ルーテッド モード)

図 B-9 に、イーサネット フェールオーバー リンクを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、すぐにフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 B-9 フェールオーバー コンフィギュレーション

 

プライマリ装置またはセカンダリ装置のコンフィギュレーション事例については、次の項を参照してください。

「例 9 のプライマリ装置のコンフィギュレーション」

「例 9 のセカンダリ装置のコンフィギュレーション」

例 9 のプライマリ装置のコンフィギュレーション

hostname pixfirewall
enable password myenablepassword
password mypassword
interface Ethernet0
nameif outside
ip address 209.165.201.1 255.255.255.224 standby 209.165.201.2
no shutdown
interface Ethernet1
nameif inside
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
no shutdown
interface Ethernet2
description LAN Failover Interface
no shutdown
interface ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
failover
failover lan unit primary
failover lan interface failover Ethernet2
failover lan enable
! The failover lan enable command is required on the PIX 適応型セキュリティ アプライアンス only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state Ethernet3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 9 のセカンダリ装置のコンフィギュレーション

failover
failover lan unit secondary
failover lan interface failover ethernet2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 10:Active/Active フェールオーバー(ルーテッド モード)

次の例は、Active/Active フェールオーバーの設定方法を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 B-10 に、このコンフィギュレーション例のネットワーク図を示します。

図 B-10 Active/Active フェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 10 のプライマリ装置のコンフィギュレーション」

「例 10 のセカンダリ装置のコンフィギュレーション」

例 10 のプライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 10 のプライマリ システムのコンフィギュレーション」

「例 10 のプライマリ管理コンテキスト コンフィギュレーション」

「例 10 のプライマリ ctx1 コンテキスト コンフィギュレーション」

例 10 のプライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。現在のモードを表示するには、 show mode コマンドを入力します。

hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface Ethernet0
description LAN/STATE Failover Interface
interface Ethernet1
no shutdown
interface Ethernet2
no shutdown
interface Ethernet3
no shutdown
interface Ethernet4
no shutdown
interface Ethernet5
no shutdown
interface Ethernet6
no shutdown
interface Ethernet7
no shutdown
interface Ethernet8
no shutdown
interface Ethernet9
no shutdown
failover
failover lan unit primary
failover lan interface folink Ethernet0
failover link folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt 60
failover group 2
secondary
preempt 60
admin-context admin
context admin
description admin
allocate-interface Ethernet1
allocate-interface Ethernet2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface Ethernet3
allocate-interface Ethernet4
config-url flash:/ctx1.cfg
join-failover-group 2

例 10 のプライマリ管理コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

enable password frek
password elixir
hostname admin
interface Ethernet1
nameif outside
security-level 0
ip address 192.168.5.101 255.255.255.0 standby 192.168.5.111
interface Ethernet2
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0 standby 192.168.0.11
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.0.2 255.255.255.255 inside
 

例 10 のプライマリ ctx1 コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

enable password quadrophenia
password tommy
hostname ctx1
interface Ethernet3
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0 standby 192.168.20.11
interface Ethernet4
nameif outside
security-level 0
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.41
asr-group 1
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.71 1
 

例 10 のセカンダリ装置のコンフィギュレーション

セカンダリ 適応型セキュリティ アプライアンスについて必要な点は、フェールオーバー リンクを認識するように設定することだけです。セカンダリ 適応型セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ 適応型セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループ コンフィギュレーション内の preempt コマンドにより、コンフィギュレーションが同期化され、プリエンプション遅延が経過した後に、フェールオーバー グループは指定された装置上でアクティブになります。

failover
failover lan unit secondary
failover lan interface folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

例 11:Active/Standby フェールオーバー(透過モード)

図 B-11 に、イーサネット フェールオーバー リンクを使用した透過モードのフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、すぐにフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 B-11 透過モードのフェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 11 のプライマリ装置のコンフィギュレーション」

「例 11 のセカンダリ装置のコンフィギュレーション」

例 11 のプライマリ装置のコンフィギュレーション

firewall transparent
hostname pixfirewall
enable password myenablepassword
password mypassword
interface Ethernet0
nameif outside
no shutdown
interface Ethernet1
nameif inside
no shutdown
interface Ethernet2
description LAN Failover Interface
no shutdown
interface ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
ip address 209.165.201.1 255.255.255.0 standby 209.165.201.2
failover
failover lan unit primary
failover lan interface failover Ethernet2
failover lan enable
! The failover lan enable command is required on the PIX 適応型セキュリティ アプライアンス only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state Ethernet3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 11 のセカンダリ装置のコンフィギュレーション

firewall transparent
failover
failover lan unit secondary
failover lan interface failover ethernet2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 12:Active/Active フェールオーバー(透過モード)

次の例は、透過モードの Active/Active フェールオーバーの設定方法を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 B-12 に、このコンフィギュレーション例のネットワーク図を示します。

図 B-12 透過モード Active/Active フェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 12 のプライマリ装置のコンフィギュレーション」

「例 12 のセカンダリ装置のコンフィギュレーション」

例 12 のプライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 12 のプライマリ システムのコンフィギュレーション」

「例 12 のプライマリ管理コンテキスト コンフィギュレーション」

「例 12 のプライマリ ctx1 コンテキスト コンフィギュレーション」

例 12 のプライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。現在のモードを表示するには、 show mode コマンドを入力します。

firewall transparent
hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface Ethernet0
description LAN/STATE Failover Interface
interface Ethernet1
no shutdown
interface Ethernet2
no shutdown
interface Ethernet3
no shutdown
interface Ethernet4
no shutdown
interface Ethernet5
no shutdown
interface Ethernet6
no shutdown
interface Ethernet7
no shutdown
interface Ethernet8
no shutdown
interface Ethernet9
no shutdown
failover
failover lan unit primary
failover lan interface folink Ethernet0
failover link folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt
failover group 2
secondary
preempt
admin-context admin
context admin
description admin
allocate-interface Ethernet1
allocate-interface Ethernet2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface Ethernet3
allocate-interface Ethernet4
config-url flash:/ctx1.cfg
join-failover-group 2

例 12 のプライマリ管理コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

enable password frek
password elixir
hostname admin
interface Ethernet1
nameif outside
security-level 0
interface Ethernet2
nameif inside
security-level 100
ip address 192.168.5.31 255.255.255.0 standby 192.168.5.32
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.5.72 255.255.255.255 inside
 

例 12 のプライマリ ctx1 コンテキスト コンフィギュレーション

あるコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system コマンドを入力します。

enable password quadrophenia
password tommy
hostname ctx1
interface Ethernet3
nameif inside
security-level 100
interface Ethernet4
nameif outside
security-level 0
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.32
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
 

例 12 のセカンダリ装置のコンフィギュレーション

セカンダリ 適応型セキュリティ アプライアンスについて必要な点は、フェールオーバー リンクを認識するように設定することだけです。セカンダリ 適応型セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ 適応型セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループ コンフィギュレーション内の preempt コマンドにより、コンフィギュレーションが同期化され、プリエンプション遅延が経過した後に、フェールオーバー グループは指定された装置上でアクティブになります。

firewall transparent
failover
failover lan unit secondary
failover lan interface folink Ethernet0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11