Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
インターフェイス パラメータの設定
インターフェイス パラメータの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

インターフェイス パラメータの設定

セキュリティ レベルの概要

インターフェイス パラメータの設定

インターフェイス パラメータの概要

インターフェイスのデフォルトの状態

デフォルトのセキュリティ レベル

マルチコンテキスト モードのガイドライン

インターフェイスの設定

同一セキュリティ レベルにあるインターフェイス間の通信の許可

インターフェイス パラメータの設定

この章では、各インターフェイス(物理、冗長、またはサブインターフェイス)の名前、セキュリティ レベル、IP アドレスの設定方法について説明します。

シングルコンテキスト モードの場合は、この章の手順は、 第 4 章「イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定」 で開始したインターフェイスの設定の続きとして実行します。

マルチコンテキスト モードの場合は、 第 4 章「イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定」 の手順はシステム実行スペースで実行しますが、この章の手順は各セキュリティ コンテキスト内で実行します。

この章は、次の項で構成されています。

「セキュリティ レベルの概要」

「インターフェイス パラメータの設定」

「同一セキュリティ レベルにあるインターフェイス間の通信の許可」

セキュリティ レベルの概要

各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。DMZ などその他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同一セキュリティ レベルにあるインターフェイス間の通信の許可」を参照してください。

各レベルは、次の動作を制御します。

ネットワーク アクセス:デフォルトでは、高位のセキュリティ インターフェイスから低位のセキュリティ インターフェイス(発信)へのアクセスは、暗黙的に許可されます。高位のセキュリティ インターフェイス上のホストは、それより低いセキュリティ インターフェイス上のホストすべてにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用すると制限できます。

同じレベルのセキュリティ インターフェイスの通信をイネーブルにする場合(「同一セキュリティ レベルにあるインターフェイス間の通信の許可」を参照)、同じセキュリティ レベルまたはそれより低いレベルの他のインターフェイスにアクセスするインターフェイスへのアクセスは、暗黙的に許可されます。

検査エンジン:一部のアプリケーション検査エンジンはセキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイスの場合、検査エンジンはどちらの方向のトラフィックにも適用されます。

NetBIOS 検査エンジン:発信接続だけに適用されます。

SQL*Net 検査エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に存在する場合、着信データ接続だけadaptive security applianceを通過することが許可されます。

フィルタリング:HTTP(S)フィルタリングおよび FTP フィルタリングは、発信接続(高位レベルから低位レベルへの接続)に対してだけ適用されます。

同じセキュリティ レベルのインターフェイスの場合、どちらの方向のトラフィックにもフィルタリングが適用できます。

NAT 制御:NAT 制御をイネーブルにする場合、低位のセキュリティ インターフェイス(外部)上のホストにアクセスする高位のセキュリティ インターフェイス(内部)上のホストに NAT を設定する必要があります。

NAT 制御がない場合、または同じレベルのセキュリティ インターフェイスの場合は、任意のインターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択することもできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる場合があることに留意してください。

established コマンド:このコマンドを使用すると、高位レベルのホストから低位レベルのホストに接続がすでに確立されている場合に、低位のセキュリティのホストから高位のセキュリティのホストへのリターン接続が許可されます。

同じセキュリティ レベルのインターフェイスでは、両方向に対して established コマンドが設定できます。

インターフェイス パラメータの設定

コンフィギュレーションを完了してトラフィックがadaptive security applianceを通過できるようにするには、事前にインターフェイス名と、ルーテッド モードの場合は IP アドレスを設定する必要があります。


) フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクおよびステート リンクの設定については、第 13 章「フェールオーバーの設定」を参照してください。


この項は、次の内容で構成されています。

「インターフェイス パラメータの概要」

「インターフェイスの設定」

インターフェイス パラメータの概要

この項では、インターフェイス パラメータについて説明します。次の項目を取り上げます。

「インターフェイスのデフォルトの状態」

「デフォルトのセキュリティ レベル」

「マルチコンテキスト モードのガイドライン」

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、タイプとコンテキストモードによって異なります。

マルチコンテキストモードでは、システム実行スペース内でのインターフェイスの状態に関係なく、割り当てられているインターフェイスはすべてデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過できるようにするには、インターフェイスをシステム実行スペース内でもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。

シングルモードまたはシステム実行スペースでは、インターフェイスはデフォルトで次の状態になっています。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過できるようにするには、メンバーの物理インターフェイスもイネーブルにする必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過できるようにするには、物理インターフェイスもイネーブルにする必要があります。

デフォルトのセキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに名前「inside」を付けて、明示的なセキュリティレベルを設定しないと、adaptive security applianceはセキュリティレベルを 100 に設定します。


) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。


マルチコンテキスト モードのガイドライン

マルチコンテキスト モードでは、次のガイドラインに従ってください。

各コンテキスト内でコンテキスト インターフェイスを設定します。

システム コンフィギュレーションのコンテキストにすでに割り当てられているコンテキスト インターフェイスを設定します。他のインターフェイスは設定できません

システムコンフィギュレーションに、イーサネット設定、冗長インターフェイス、およびサブインターフェイスを設定します。他のコンフィギュレーションは設定できません。例外はフェールオーバーインターフェイスで、システムコンフィギュレーションに設定されます。フェールオーバーインターフェイスは、この章の手順で設定しないでください。詳細は 第 13 章「フェールオーバーの設定」 を参照してください。

インターフェイスの設定

インターフェイスまたはサブインターフェイスを設定するには、次の手順を実行します。


ステップ 1 設定するインターフェイスを指定するには、次のコマンドを入力します。

hostname(config)# interface {{redundant number| physical_interface slot/port}[.subinterface] | mapped_name}
hostname(config-if)#
 

redundant number 引数には、冗長インターフェイス ID( redundant 1 など)を指定します。

subinterface ID は、物理または冗長インターフェイス ID の後ろに、ピリオド(.)で区切って付加します。

マルチコンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その mapped_name を入力します。

物理インターフェイスには、次のタイプがあります。

gigabitethernet

tengigabitethernet

management

インターフェイス タイプと slot / port . subinterface の間のスペースはオプションです。たとえば、次のどちらの形式でも CLI では受け入れられますが、コマンドはスペースなしでコンフィギュレーションに保存されます。

interface gigabitethernet 3/1.1
interface gigabitethernet3/1.1
 

ASA 5580 適応型セキュリティ アプライアンスで使用可能なインターフェイス アダプタおよび各アダプタ タイプをサポートするスロットの詳細については、『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。

管理インターフェイスは、管理トラフィックだけを対象に設計されている内蔵ギガビット イーサネット インターフェイスであり、 management0/0 および management0/1 と指定されます。ただし、必要に応じて、トラフィックを通すために管理インターフェイスを使用することもできます( management-only コマンドを参照)。ただし、管理インターフェイスは最大スループットをサポートするようには設計されていないため、高トラフィックの問題を解決するために、トラフィックの通過用にはイーサネット アダプタ インターフェイスを使用してください。透過ファイアウォール モードでは、トラフィックの通過が許可される 2 つのインターフェイスの他に、管理インターフェイスを(管理目的で)使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。

ステップ 2 インターフェイスに名前を付けるには、次のコマンドを入力します。

hostname(config-if)# nameif name
 

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定してこのコマンドを再入力すると名前を変更できます。 no 形式は入力しないでください。このコマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。

ステップ 3 セキュリティ レベルを設定するには、次のコマンドを入力します。

hostname(config-if)# security-level number
 

ここで、 number には、0(最下位)~ 100(最上位)の整数を指定します。

ステップ 4 (オプション)インターフェイスを管理専用モードに設定するには、次のコマンドを入力します。

hostname(config-if)# management-only
 

専用管理インターフェイス(Management 0/0 と Management 0/1)はadaptive security applianceへの管理トラフィックをサポートすることを目的としています。ただし、 management-only コマンドを使用することで、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 および 0/1 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。ただし、管理インターフェイスは最大スループットをサポートするようには設計されていないため、高トラフィックの問題を解決するために、トラフィックの通過用にはイーサネット アダプタ インターフェイスを使用してください。


) 透過ファイアウォールモードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、Management 0/0 または 0/1 インターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。


ステップ 5 IP アドレスを設定するには、次のいずれかのコマンドを使用します。

ルーテッド ファイアウォール モードでは、すべてのインターフェイスに IP アドレスを設定します。透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではなく、adaptive security appliance全体またはコンテキスト全体に IP アドレスを設定します。例外は Management 0/0 管理専用インターフェイスで、このインターフェイスはトラフィックを通過させません。透過ファイアウォール モードのadaptive security appliance全体またはコンテキスト全体の管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設定」を参照してください。Management 0/0 インターフェイスまたはサブインターフェイスの IP アドレスを設定するには、次のいずれかのコマンドを使用します。

IPv6 アドレスの設定については、「インターフェイスでの IPv6 の設定」を参照してください。

フェールオーバーで使用するために、IP アドレスとスタンバイ アドレスを手動で設定する必要があります。DHCP と PPPoE はサポートされていません。

IP アドレスを手動で設定するには、次のコマンドを入力します。

hostname(config-if)# ip address ip_address [mask] [standby ip_address]
 

ip_address 引数と mask 引数はインターフェイス IP アドレスとサブネット マスクを設定します。

standby ip_address 引数はフェールオーバーで使用します。詳細は 第 13 章「フェールオーバーの設定」 を参照してください。

DHCP サーバから IP アドレスを取得するには、次のコマンドを入力します。

hostname(config-if)# ip address dhcp [setroute]
 

setroute キーワードは、adaptive security applianceに、DHCP サーバによって指定されたデフォルトのルートを使用させます。

このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。

ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。

PPPoE サーバから IP アドレスを取得するには、 第 32 章「PPPoE クライアントの設定」 を参照してください。

PPPoE は、マルチコンテキスト モードでサポートされません。

ステップ 6 (オプション)プライベート MAC アドレスをこのインターフェイスに割り当てるには、次のコマンドを入力します。

hostname(config-if)# mac-address mac_address [standby mac_address]
 

mac_address の形式は H.H.H で、H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。冗長インターフェイスは追加された最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーション内のメンバー インターフェイスの順序を変更すると、MAC アドレスは、現在リストの先頭にあるインターフェイスの MAC アドレスと一致するように変更されます。このコマンドを使用して冗長インターフェイスに MAC アドレスを割り当てると、メンバー インターフェイスの MAC アドレスに関係なく割り当てた MAC アドレスが使用されます。

マルチコンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能を使用すれば、adaptive security applianceでは、該当するコンテキストへのパケットの分類が容易になります。固有の MAC アドレスが割り当てられていない共有インターフェイスも使用できますが、いくつか制限があります。詳細については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。コンテキストの共有インターフェイス用に手動で各 MAC アドレスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、「MAC アドレスのコンテキスト インターフェイスへの自動割り当て」 を参照してください。MAC アドレスを自動生成する場合、 mac-address コマンドを使用すれば、生成されたアドレスを上書きできます。

シングルコンテキスト モード、またはマルチコンテキスト モードでの未共有インターフェイスの場合、固有の MAC アドレスをサブインターフェイスに割り当てることができます。たとえば、サービス プロバイダーは MAC アドレスに基づいてアクセス コントロールを行っている場合があります。

フェールオーバーで使用する場合は、 スタンバイ MAC アドレスを設定します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新たなアクティブ装置はアクティブ MAC アドレスを使用して、ネットワークの中断を最小限に抑え、元のアクティブ装置はスタンバイ アドレスを使用します。

ステップ 7 インターフェイスをイネーブルにするには、次のコマンドを入力します(インターフェイスがまだイネーブルになっていない場合)。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。物理または冗長インターフェイスに対して shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。これは、コンテキスト コンフィギュレーションでこのインターフェイスがイネーブルであると表示される場合も例外ではありません。


 

次の例では、シングルモードで物理インターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet 3/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

次の例では、シングルモードでサブインターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet 3/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# mac-address 000C.F142.4CDE standby 020C.F142.4CDE
hostname(config-subif)# no shutdown
 

次の例では、システム コンフィギュレーションに対してマルチコンテキスト モードでインターフェイス パラメータを設定し、gigabitethernet 3/1.1 サブインターフェイスを contextA に割り当てます。

hostname(config)# interface gigabitethernet 3/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet 3/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# no shutdown
hostname(config-subif)# context contextA
hostname(config-ctx)# ...
hostname(config-ctx)# allocate-interface gigabitethernet 3/1.1
 

次の例では、コンテキスト コンフィギュレーションに対してマルチコンテキスト モードでパラメータを設定します。

hostname/contextA(config)# interface gigabitethernet 3/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# mac-address 030C.F142.4CDE standby 040C.F142.4CDE
hostname/contextA(config-if)# no shutdown

同一セキュリティ レベルにあるインターフェイス間の通信の許可

デフォルトでは、セキュリティ レベルが同じインターフェイスは同士では通信できません。同じセキュリティ レベルのインターフェイス間で通信を許可する利点としては、次のものがあります。

101 より多くの通信インターフェイスが設定できます。

各インターフェイスで異なるセキュリティ レベルを使用したときに、同一のセキュリティ レベルにインターフェイスを割り当てないと、各レベル(0 ~ 100)に 1 つのインターフェイスしか設定できません。

アクセスリストがなくても同じセキュリティ レベルのインターフェイスすべての間で自由にトラフィックが流れるようにできます。


) NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、「NAT および同じセキュリティ レベルのインターフェイス」を参照してください。


同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセキュリティ レベルのインターフェイスも通常どおりに設定できます。

相互通信を可能にするために同じセキュリティ レベルのインターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config)# same-security-traffic permit inter-interface
 

この設定をディセーブルにするには、このコマンドの no 形式を使用します。