Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
イーサネット設定値、冗長インターフェイス、 およびサブインターフェイスの設定
イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定

インターフェイスの設定とイネーブル化

インターフェイスの概要

イーサネット アダプタのサポート

物理インターフェイスのデフォルトの状態

Auto-MDI/MDIX の機能

インターフェイスの設定

冗長インターフェイスの設定

冗長インターフェイスの概要

冗長インターフェイスのデフォルトの状態

冗長インターフェイスとフェールオーバーのガイドライン

冗長インターフェイスの MAC アドレス

物理インターフェイスのガイドライン

冗長インターフェイスの追加

アクティブ インターフェイスの変更

VLAN サブインターフェイスおよび 802.1Q トランキングの設定

サブインターフェイスの概要

サブインターフェイスのデフォルトの状態

最大サブインターフェイス数

物理インターフェイス上のタグなしパケットの禁止

サブインターフェイスの追加

ジャンボ フレーム サポートのイネーブル化

イーサネット設定値、冗長インターフェイス、およびサブインターフェイスの設定

この章では、物理イーサネット インターフェイスを設定してイネーブルにする方法、冗長インターフェイス ペアを作成する方法、およびサブインターフェイスを追加する方法について説明します。

シングルコンテキスト モードの場合は、この章で説明する手順をすべて実行してから、 第 6 章「インターフェイス パラメータの設定」 で説明するインターフェイス設定に進んでください。

マルチコンテキスト モードの場合は、システム実行スペースでこの章の手順をすべて実行してから、 第 5 章「セキュリティ コンテキストの追加と管理」 の説明に従ってインターフェイスとサブインターフェイスをコンテキストに割り当て、最後に、 第 6 章「インターフェイス パラメータの設定」 の説明に従って各コンテキスト内にインターフェイス パラメータを設定してください。

この章は、次の項で構成されています。

「インターフェイスの設定とイネーブル化」

「冗長インターフェイスの設定」

「VLAN サブインターフェイスおよび 802.1Q トランキングの設定」

「ジャンボ フレーム サポートのイネーブル化」

インターフェイスの設定とイネーブル化

この項では、物理インターフェイスのイーサネット設定値を設定する方法、およびインターフェイスをイネーブルにする方法について説明します。次の項目について説明します。

「インターフェイスの概要」

「インターフェイスの設定」

インターフェイスの概要

この項では、使用可能なインターフェイスについて説明します。次の項目を取り上げます。

「イーサネット アダプタのサポート」

「物理インターフェイスのデフォルトの状態」

「Auto-MDI/MDIX の機能」

イーサネット アダプタのサポート

ASA 5580 適応型セキュリティ アプライアンスでは、ギガビット イーサネットや 10 ギガビット イーサネットの速度、銅線およびファイバ コネクタなど、複数のタイプのイーサネット インターフェイスをサポートしています。ASA 5580 適応型セキュリティ アプライアンスで使用可能なインターフェイス アダプタおよび各アダプタ タイプをサポートするスロットの詳細については、『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。

イーサネット インターフェイスのタイプに応じて、物理オプションの設定が異なる場合があります。

物理インターフェイスのデフォルトの状態

デフォルトでは、物理インターフェイスはすべてシャットダウンされています。トラフィックが物理インターフェイス(単独か冗長インターフェイス ペアの一部)またはサブインターフェイスを通過できるようにするには、物理インターフェイスを事前にイネーブルにしておく必要があります。マルチコンテキスト モードの場合、インターフェイス(物理、冗長、またはサブインターフェイス)をコンテキストに割り当てると、インターフェイスはデフォルトではそのコンテキスト内でイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、まずこの手順に従って、その物理インターフェイスをシステム コンフィギュレーションでイネーブルにする必要があります。

デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、自動ネゴシエーションに設定されます。

ファイバ インターフェイスでは、速度は自動リンク ネゴシエーションに設定されます。

Auto-MDI/MDIX の機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、自動ネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のいずれかを自動ネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的に設定して、両方の設定に関する自動ネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットでは、速度と二重通信が 1000 およびフルに設定されると、インターフェイスは常に自動ネゴシエーションになります。このため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにはできません。

インターフェイスの設定

インターフェイスをイネーブルにするには、または特定の速度と二重通信を設定するには、次の手順を実行します。


ステップ 1 設定するインターフェイスを指定するには、次のコマンドを入力します。

hostname(config)# interface physical_interface slot/port
hostname(config-if)#
 

物理インターフェイスには、次のタイプがあります。

gigabitethernet

tengigabitethernet

management

インターフェイス タイプと slot / port の間のスペースはオプションです。たとえば、次のどちらの形式でも CLI では受け入れられますが、コマンドはスペースなしでコンフィギュレーションに保存されます。

interface gigabitethernet 3/1
interface gigabitethernet3/1
 

ASA 5580 適応型セキュリティ アプライアンスで使用可能なインターフェイス アダプタおよび各アダプタ タイプをサポートするスロットの詳細については、『 Cisco ASA 5500 Series Adaptive Security Appliance Getting Started Guide 』を参照してください。

管理インターフェイスは、管理トラフィックだけを対象に設計されている内蔵ギガビット イーサネット インターフェイスであり、 management0/0 および management0/1 と指定されます。ただし、必要に応じて、トラフィックを通すために管理インターフェイスを使用することもできます( management-only コマンドを参照)。ただし、管理インターフェイスは最大スループットをサポートするようには設計されていないため、高トラフィックの問題を解決するために、トラフィックの通過用にはイーサネット アダプタ インターフェイスを使用してください。透過ファイアウォール モードでは、トラフィックの通過が許可される 2 つのインターフェイスの他に、管理インターフェイスを(管理目的で)使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。

ステップ 2 (オプション)銅線インターフェイスの速度を設定するには、次のコマンドを入力します。

hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}
 

auto 設定がデフォルトです。

ステップ 3 (オプション)銅線インターフェイスの二重通信を設定するには、次のコマンドを入力します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。

ステップ 4 インターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。 shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

冗長インターフェイスの設定

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの通過を開始します。冗長インターフェイスを設定してadaptive security applianceの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

adaptive security applianceのコンフィギュレーションはすべて、メンバーの物理インターフェイスではなく論理冗長インターフェイスを参照します。

この項では、冗長インターフェイスを設定する方法について説明します。次の項目を取り上げます。

「冗長インターフェイスの概要」

「冗長インターフェイスの追加」

「アクティブ インターフェイスの変更」

冗長インターフェイスの概要

この項では、冗長インターフェイスの概要を説明します。次の項目を取り上げます。

「冗長インターフェイスのデフォルトの状態」

「冗長インターフェイスとフェールオーバーのガイドライン」

「冗長インターフェイスの MAC アドレス」

「物理インターフェイスのガイドライン」

冗長インターフェイスのデフォルトの状態

追加された冗長インターフェイスは、デフォルトでイネーブルになっています。ただし、トラフィックを通過させるには、メンバー インターフェイスもイネーブルにする必要があります。

冗長インターフェイスとフェールオーバーのガイドライン

メンバー インターフェイスを追加する場合は次のガイドラインに従います。

フェールオーバーまたはステート リンクに冗長インターフェイスを使用する場合、プライマリ装置だけでなくセカンダリ装置でも基本コンフィギュレーションの一部として冗長インターフェイスを設定する必要があります。

フェールオーバーまたはステート リンクに冗長インターフェイスを使用する場合、2 つの装置の間にスイッチまたはハブを設置する必要があります。2 つの装置を直接接続することはできません。スイッチまたはハブがない場合、プライマリ装置のアクティブ ポートをセカンダリ装置のスタンバイ ポートに直接接続できます。

monitor-interface コマンドを使用して、フェールオーバーが発生しているかどうか冗長インターフェイスを監視できます。必ず論理冗長インターフェイス名を参照してください。

アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーを監視していると、冗長インターフェイスに障害が発生したことは表示されません。物理インターフェイスの両方に障害が発生した場合だけ、冗長インターフェイスに障害が発生したことが表示されます。

冗長インターフェイスの delay 値は設定可能ですが、デフォルトでは装置はメンバー インターフェイスの物理タイプに基づいてデフォルトの delay 値を継承します。

冗長インターフェイスの MAC アドレス

冗長インターフェイスは追加された最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーション内のメンバー インターフェイスの順序を変更すると、MAC アドレスは、現在リストの先頭にあるインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます(「インターフェイス パラメータの設定」または「MAC アドレスのコンテキスト インターフェイスへの自動割り当て」を参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

物理インターフェイスのガイドライン

メンバー インターフェイスを追加する場合は次のガイドラインに従います。

両方のメンバー インターフェイスの物理タイプが同じである必要があります。たとえば、両方ともイーサネットでなければなりません。

物理インターフェイスに名前を付けていると、冗長インターフェイスに追加できません。まず、 no nameif コマンドを使用して名前を削除する必要があります。


注意 すでにコンフィギュレーション内で設定されている物理インターフェイスを使用している場合、名前を削除するとそのインターフェイスを参照しているコンフィギュレーションはすべて消去されます。

冗長インターフェイス ペアを構成する物理インターフェイスに対して設定できるのは、物理パラメータ(「インターフェイスの設定とイネーブル化」で設定)、 description コマンド、および shutdown コマンドだけです。 default help のようなランタイム コマンドも入力できます。

アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

冗長インターフェイスの追加

最大 8 個の冗長インターフェイス ペアを設定できます。冗長インターフェイスを設定するには、次の手順を実行します。


ステップ 1 論理冗長インターフェイスを追加するには、次のコマンドを入力します。

hostname(config)# interface redundant number
hostname(config-if)#
 

number 引数には、1 ~ 8 の整数を指定します。

ステップ 2 冗長インターフェイスに最初のメンバー インターフェイスを追加するには、次のコマンドを入力します。

hostname(config-if)# member-interface physical_interfaceID
 

物理インターフェイス ID については、「インターフェイスの設定」の説明を参照してください。

インターフェイスを追加すると、インターフェイスのコンフィギュレーション(IP アドレスなど)はすべて削除されます。

ステップ 3 冗長インターフェイスに 2 番目のメンバー インターフェイスを追加するには、次のコマンドを入力します。

hostname(config-if)# member-interface physical_interfaceID
 

2 番目のインターフェイスの物理タイプは、必ず最初のインターフェイスと同じにしてください。

メンバー インターフェイスを削除するには、 no member-interface physical_interfaceID コマンドを入力します。冗長インターフェイスからメンバー インターフェイスを両方とも削除することはできません。冗長インターフェイスには少なくとも 1 つのメンバー インターフェイスが必要です。

ステップ 4 インターフェイスをイネーブルにするには(以前ディセーブルにしていた場合)、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

デフォルトでは、インターフェイスはイネーブルになっています。インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。 shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

次の例では、2 つの冗長インターフェイスを作成しています。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 3/0
hostname(config-if)# member-interface gigabitethernet 3/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 3/2
hostname(config-if)# member-interface gigabitethernet 3/3
 

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが使用可能であれば、そのインターフェイスがアクティブ インターフェイスになります。どのインターフェイスがアクティブかを表示するには、次のコマンドを入力します。

hostname# show interface redundantnumber detail | grep Member
 

次の例を参考にしてください。

hostname# show interface redundant1 detail | grep Member
Members GigabitEthernet3/3(Active), GigabitEthernet3/2
 

アクティブ インターフェイスを変更するには、次のコマンドを入力します。

hostname# redundant-interface redundantnumber active-member physical_interface
 

redundant number 引数には、冗長インターフェイス ID( redundant1 など)を指定します。

physical_interface には、アクティブにするメンバー インターフェイスの ID を指定します。

VLAN サブインターフェイスおよび 802.1Q トランキングの設定

この項では、サブインターフェイスを設定する方法について説明します。次の項目を取り上げます。

「サブインターフェイスの概要」

「サブインターフェイスの追加」

サブインターフェイスの概要

サブインターフェイスを使用すると、1 つの物理インターフェイスまたは冗長インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。1 つまたは複数の VLAN サブインターフェイスがあるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、指定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはadaptive security applianceを追加しなくてもネットワークで使用可能なインターフェイスの数を増やすことができます。この機能は、マルチコンテキスト モードで特に有効なため、各コンテキストにそれぞれ固有のインターフェイスを割り当てることができます。

この項は、次の内容で構成されています。

「サブインターフェイスのデフォルトの状態」

「最大サブインターフェイス数」

「物理インターフェイス上のタグなしパケットの禁止」

サブインターフェイスのデフォルトの状態

追加されたサブインターフェイスは、デフォルトでイネーブルになっています。ただし、トラフィックを通過させるためには物理インターフェイスまたは冗長インターフェイスもイネーブルにする必要があります(「インターフェイスの設定とイネーブル化」または「冗長インターフェイスの設定」を参照)。

最大サブインターフェイス数

プラットフォームに許容されるサブインターフェイスの数を決定するには、 付録 A「機能のライセンスと仕様」 を参照してください。

物理インターフェイス上のタグなしパケットの禁止

サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。このプロパティは、冗長インターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。サブインターフェイスでトラフィックを通過させるためには物理インターフェイスまたは冗長インターフェイスをイネーブルにする必要があるため、 nameif コマンドを除外して、物理インターフェイスまたは冗長インターフェイスでトラフィックを通過させないようにしてください。物理インターフェイスまたは冗長インターフェイスでタグのないパケットを通過できるようにする場合は、通常どおりに nameif コマンドを設定します。インターフェイス設定の詳細については、「インターフェイス パラメータの設定」を参照してください。

サブインターフェイスの追加

サブインターフェイスを追加して、そのサブインターフェイスに VLAN を割り当てるには、次の手順を実行します。


ステップ 1 サブインターフェイスを新たに指定するには、次のコマンドを入力します。

hostname(config)# interface {physical_interface slot/port| redundant number}.subinterface
hostname(config-subif)#
 

物理インターフェイス ID については、「インターフェイスの設定」の説明を参照してください。

redundant number 引数には、冗長インターフェイス ID( redundant 1 など)を指定します。

subinterface ID は、1 ~ 4294967293 の整数です。

次に、サブインターフェイスをギガビット イーサネット インターフェイスに追加するコマンドを示します。

hostname(config)# interface gigabitethernet 3/1.100
 

次に、サブインターフェイスを冗長インターフェイスに追加するコマンドを示します。

hostname(config)# interface redundant 1.100
 

ステップ 2 サブインターフェイスに VLAN を指定するには、次のコマンドを入力します。

hostname(config-subif)# vlan vlan_id
 

vlan_id は 1 ~ 4094 の整数です。一部の VLAN ID は接続スイッチ用に予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。

VLAN は 1 つだけサブインターフェイスに割り当てることができ、物理インターフェイスには割り当てることはできません。各サブインターフェイスは、VLAN ID がなければトラフィックを通過させることはできません。VLAN ID を変更するには、 no オプションを使用して以前の VLAN ID を削除する必要はありません。異なる VLAN ID を使用して vlan コマンドを入力すると、adaptive security applianceで以前の ID が変更されます。

ステップ 3 サブインターフェイスをイネーブルにするには(以前ディセーブルにしていた場合)、次のコマンドを入力します。

hostname(config-subif)# no shutdown
 

デフォルトでは、サブインターフェイスはイネーブルになっています。インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

ジャンボ フレーム サポートのイネーブル化

ジャンボ フレームとは、標準の最大フレーム サイズである 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)を超えるイーサネット パケットのことであり、最大は 9216 バイトになります。イーサネット フレームを処理するメモリの量を増やすことによって、すべてのインターフェイスでジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームにより多くのメモリを割り当てると、アクセスリストなどのその他の機能の最大使用量が制限される場合があります。

ジャンボ フレームのサポートをイネーブルにするには、次のコマンドを入力します。

hostname(config)# jumbo-frame reservation
 

ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。

この設定を変更する場合、セキュリティ アプライアンスをリブートする必要があります。

次の例では、ジャンボ フレームの予約をイネーブルにし、設定を保存してadaptive security applianceをリロードします。

hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted. Command accepted.
 
hostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload? [confirm] Y
 

) ジャンボ フレームの受け入れを必要とする各インターフェイスには、MTU をデフォルトの 1500 よりも高い値に設定してください。たとえば、mtu コマンドを使用して値を 9000 に設定します。マルチコンテキスト モードでは、各コンテキスト内で MTU を設定します。