Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
DHCP、DDNS、および WCCP サービスの 設定
DHCP、DDNS、および WCCP サービスの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/10/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

DHCP、DDNS、および WCCP サービスの設定

DHCP、DDNS、および WCCP に関する情報

DHCP、DDNS、WCCP のライセンス要件

DHCP、DDNS、および WCCP の設定

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

DHCP サーバを利用する Cisco IP Phone の使用

DHCP リレー サービスの設定

DHCPv6 の設定

ダイナミック DNS の設定

設定例

例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする

例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される

例 3:クライアントに含まれる FQDN オプションがいずれの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする

例 4:クライアントはサーバに両方のアップデートの実行を要求し、サーバは PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A RR と PTR RR の両方がアップデートされる

例 5:クライアントは A RR をアップデートし、サーバは PTR RR をアップデートする

WCCP を使用する Web キャッシュ サービスの設定

WCCP 機能のサポート

WCCP とその他の機能との相互作用

WCCP リダイレクションのイネーブル化

DHCP、DDNS、および WCCP サービスの機能履歴

DHCP、DDNS、および WCCP サービスの設定

この章では、DHCP サーバ、ダイナミック DNS のアップデート方式、および適応型セキュリティ アプライアンスでの WCCP の設定方法について説明します。

次の項目について説明します。

「DHCP、DDNS、および WCCP に関する情報」

「DHCP、DDNS、WCCP のライセンス要件」

「ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。」

「ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。」

「設定例」

「DHCP、DDNS、および WCCP サービスの機能履歴」

DHCP、DDNS、および WCCP に関する情報

DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。適応型セキュリティ アプライアンスは、DHCP サーバまたは DHCP リレー サービスを適応型セキュリティ アプライアンスのインターフェイスに接続されている DHCP クライアントに提供することができます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求を、別のインターフェイスの背後に位置する外部 DHCP サーバに渡します。

DDNS アップデートでは、DNS を DHCP に組み込みます。これら 2 つのプロトコルは相互補完します。DHCP は、IP アドレス割り当てを集中化および自動化します。DDNS アップデートは、割り当てられたアドレスとホスト名の間のアソシエーションを事前定義された間隔で自動的に記録します。DDNS は、頻繁に変わるアドレスとホスト名のアソシエーションを頻繁にアップデートできるようにします。たとえば、モバイル ホストは、ユーザや管理者の介入なしで、ネットワーク上を自由に移動できるようになります。DDNS は、DNS サーバ上で、名前からアドレスへのマッピングと、アドレスから名前へのマッピングをダイナミックにアップデートして、同期化します。

WCCP では、1 つまたは複数のルータ、レイヤ 3 スイッチ、または適応型セキュリティ アプライアンスと、1 つ以上の Web キャッシュの間の相互作用を指定します。この機能は、選択したタイプのトラフィックを Web キャッシュ エンジンのグループに透過的にリダイレクトして、リソースの使用状況を最適化し、応答時間を短縮します。

DHCP、DDNS、WCCP のライセンス要件

表 7-1 に、DHCP、DDNS、および WCCP のライセンス要件を示します。

表 7-1 ライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

Cisco ASA 5505 適応型セキュリティ アプライアンスの場合、DHCP クライアント アドレスの最大数はライセンスによって異なります。

ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。

ホストの制限が 50 ホストの場合、DHCP プールは 128 アドレスに制限されます。

ホストの制限が無制限の場合、DHCP プールは 256 アドレスに制限されます。


) デフォルトでは、Cisco ASA 5505 適応型セキュリティ アプライアンスには 10 ユーザ ライセンスが付属しています。


DHCP、DDNS、および WCCP の設定

この項は、次の内容で構成されています。

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

「DHCPv6 の設定」

「WCCP を使用する Web キャッシュ サービスの設定」

DHCP サーバの設定

この項では、適応型セキュリティ アプライアンスによって提供される DHCP サーバの設定方法について説明します。この項は、次の内容で構成されています。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用」

DHCP サーバのイネーブル化

適応型セキュリティ アプライアンスは DHCP サーバとして動作することができます。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定をホストに供給するプロトコルです。


) 適応型セキュリティ アプライアンス DHCP サーバは、BOOTP 要求をサポートしていません。マルチコンテキスト モードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるインターフェイス上ではイネーブルにはできません。


ガイドラインと制限事項

次のガイドラインを使用して、DHCP サーバを設定します。

DHCP サーバは、適応型セキュリティ アプライアンスの各インターフェイスに設定することができます。各インターフェイスには、それ自体のアドレス プールがあり、利用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。

DHCP クライアントまたは DHCP リレー サービスは、DHCP サーバがイネーブルになっているインターフェイス上では設定することはできません。これに加えて、DHCP クライアントは、DHCP サーバがイネーブルになっているインターフェイスに直接接続されている必要があります。

適応型セキュリティ アプライアンスは、DHCP プロキシで使用する QIP DHCP サーバをサポートしません。

セキュリティ アプライアンスは、DHCP リクエストを受信すると、検出メッセージを DHCP サーバに送信します。このメッセージには、グループ ポリシー内の dhcp-network-scope コマンドで設定されている(サブネットワーク内の)IP アドレスが含まれます。そのサブネットワークに含まれるアドレス プールがサーバにある場合、サーバは、プール情報を含む提供メッセージを、検出メッセージの送信元 IP アドレスではなく、その IP アドレスに送信します。

たとえば、サーバに範囲が 209.165.200.225 ~ 209.165.200.254 でマスクが 255.255.255.0 のプールがあり、 dhcp-network-scope コマンドで指定されている IP アドレスが 209.165.200.1 である場合、サーバは提供メッセージでそのプールをセキュリティ アプライアンスに送信します。

指定された適応型セキュリティ アプライアンスのインターフェイスで DHCP サーバをイネーブルにするには、次の手順を実行します。

次のコマンドを入力して、アドレス プールを定義します。

コマンド
目的

ステップ 1

dhcpd address ip_address - ip_address interface_name
 
 
 
 
例:
hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside

DHCP アドレス プールを作成します。適応型セキュリティ アプライアンスは、1 つのクライアントに対して一定時間だけ使用可能なアドレスを 1 つ、このプールから割り当てます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、適応型セキュリティ アプライアンス インターフェイスと同じサブネット内にある必要があります。

ステップ 2

dhcpd dns dns1 [ dns2 ]
 
例:
hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129

(オプション)DNS サーバの IP アドレスを指定します。

ステップ 3

dhcpd wins wins1 [ wins2 ]
 
 
例:
hostname(config)# dhcpd wins 209.165.201.5

(オプション)WINS サーバの IP アドレスを指定します。WINS サーバは最大 2 つまで指定できます。

ステップ 4

dhcpd lease lease_length
 
 
 
例:
hostname(config)# dhcpd lease 3000

(オプション)クライアントに許可するリース期間を変更します。リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。0 ~ 1,048,575 の間の値を入力します。デフォルト値は 3600 秒です。

ステップ 5

dhcpd domain domain_name
 
例:
hostname(config)# dhcpd domain example.com

(オプション)ドメイン名を設定します。

ステップ 6

dhcpd ping_timeout milliseconds

(オプション)DHCP に ping のタイムアウト値を設定します。アドレスの衝突を避けるために、適応型セキュリティ アプライアンスは、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7

dhcpd option 3 ip gateway_ip

(透過ファイアウォール モード)DHCP クライアントに送信するデフォルトのゲートウェイを定義します。DHCP のオプション 3 を使用せずにデフォルトのゲートウェイを定義する場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8

dhcpd enable interface_name

適応型セキュリティ アプライアンス内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信します。

DHCP オプションの設定

適応型セキュリティ アプライアンスは、RFC 2132 に記載されている DHCP オプションの情報を送信するように設定できます。DHCP オプションには次の 3 種類があります。

適応型セキュリティ アプライアンスは DHCP オプションの 3 カテゴリをすべてサポートしています。DHCP オプションを設定するには、次のいずれかを実行します。

IP アドレスを返すオプション

 

コマンド
目的
dhcpd option code ip addr_1 [ addr_2 ]
 

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。

テキスト文字列を返すオプション

 

コマンド
目的
dhcpd option code ascii text
 

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。

16 進数値を返すオプション

 

コマンド
目的
dhcpd option code hex value
 

16 進数値を返す DHCP オプションを設定します。


) 適応型セキュリティ アプライアンスは、指定されたオプションのタイプおよび値が RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello コマンドを入力することは可能であり、適応型セキュリティ アプライアンスはこのコンフィギュレーションを受け入れますが、RFC 2132 では、オプション 46 には 1 桁の 16 進数値が期待値として定義されています。オプション コードとその関連タイプおよび期待値の詳細については、RFC 2132 を参照してください。


表 7-2 に、 dhcpd option コマンドでサポートされていない DHCP オプションを示します。

 

表 7-2 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

特定のオプション、つまり DHCP オプション 3、66、および 150 は、Cisco IP Phone を設定するために使用します。これらのオプション設定の詳細については、「DHCP サーバを利用する Cisco IP Phone の使用」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な装置を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。

Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。

Cisco IP Phone では、1 つの要求にオプション 150 とオプション 66 の両方が含まれることがあります。この場合、両者が適応型セキュリティ アプライアンスで設定されていると、適応型セキュリティ アプライアンスの DHCP サーバは、その応答で両方のオプションに対する値を提供します。

RFC 2132 に記載されているオプションの大部分の情報を送信するように適応型セキュリティ アプライアンスを設定できます。次に、任意のオプション番号のシンタックスと、一般的に使用されているオプション 66、150、および 3 のシンタックスを示します。

 

コマンド
目的
dhcpd option number value
 

RFC-2132 で指定されているオプション番号を含む DHCP 要求の情報を提供します。

 

コマンド
目的
dhcpd option 66 ascii server_name
 

オプション 66 の IP アドレスまたは TFTP サーバ名を提供します。

 

コマンド
目的
dhcpd option 150 ip server_ip1 [ server_ip2 ]

オプション 150 の IP アドレスあるいは 1 つまたは 2 つの TFTP サーバ名を提供します。

server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

 

コマンド
目的
dhcpd option 3 ip router_ip1

デフォルト ルートを設定します。

DHCP リレー サービスの設定

DHCP リレー エージェントを使用すると、適応型セキュリティ アプライアンスを介して DHCP 要求をクライアントから別のインターフェイスに接続されているルータに転送することができます。

DHCP リレー エージェントを使用する場合、次の制限が適用されます。

DHCP サーバもイネーブルになっている場合、リレー エージェントをイネーブルにできません。

DHCP クライアントは直接適応型セキュリティ アプライアンスに接続する必要があり、他のリレー エージェントやルータを介して要求を送信できません。

マルチコンテキスト モードでは、複数のコンテキストによって使用されるインターフェイス上で DHCP リレーをイネーブルにできません。

DHCP リレー サービスは透過ファイアウォール モードでは使用できません。透過ファイアウォール モードの場合、適応型セキュリティ アプライアンスは ARP トラフィックだけ通過を許可します。他のトラフィックはすべてアクセスリストが必要です。トランスペアレント モードで DHCP 要求と応答が適応型セキュリティ アプライアンスを通過できるようにするには、2 つのアクセスリストを設定する必要があります。1 つは内部インターフェイスから外部への DCHP 要求を許可するもので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。

DHCP リレーがイネーブルになっていて、複数の DHCP リレー サーバが定義されている場合、セキュリティ アプライアンスは定義された各 DHCP リレー サーバにクライアントの要求を転送します。また、クライアントの DHCP リレー バインディングが削除されるまで、サーバからの応答もクライアントに転送されます。セキュリティ アプライアンスが Acknowledgement(ACK; 確認応答)、Negative Acknowledgement(NACK; 否定応答)、または拒否のいずれかの DHCP メッセージを受け取ると、バインディングは削除されます。


) DHCP プロキシを実行するインターフェイスで DHCP リレーをイネーブルにできません。最初に VPN DHCP の設定を削除する必要があります。そうしないと、エラー メッセージが表示されます。このエラーは、DHCP リレーと DHCP プロキシの両方がイネーブルになっている場合に発生します。DHCP リレーまたは DHCP プロキシのどちらか一方だけがイネーブルであり、両方ともイネーブルになっていないことを確認してください。


DHCP リレーをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

dhcprelay server ip_address if_name
 
例:
hostname(config)# dhcprelay server 201.168.200.4
 

DHCP クライアントとは異なるインターフェイス上の DHCP サーバの IP アドレスを設定します。

このコマンドを使用して 4 つまでのサーバを 4 回まで設定できます。

ステップ 2

dhcprelay enable interface
 
例:
hostname(config)# dhcprelay enable inside

クライアントが接続されているインターフェイス上で DHCP リレーをイネーブルにします。

ステップ 3

dhcprelay timeout seconds

(オプション)リレー アドレス ネゴシエーションに許可する時間を秒数で設定します。

ステップ 4

dhcprelay setroute interface_name
 
例:
hostname(config)# dhcprelay setroute inside

(オプション)DHCP サーバから送信されたパケットの最初のデフォルト ルータ アドレスを、適応型セキュリティ アプライアンス インターフェイスのアドレスに変更します。

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、適応型セキュリティ アプライアンス をポイントすることができます。

パケット内にデフォルトのルータ オプションがなければ、適応型セキュリティ アプライアンスは、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。

DHCPv6 の設定

DHCPv6 を設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

ipv6 dhcprelay server ipv6_address
 
例:
hostname(config)# ipv6 dhcprelay server 201.168.200.4
 

クライアント メッセージを転送する IPv6 DHCP サーバの宛先アドレスを指定します。

ステップ 2

ipv6 dhcprelay enable interface
 
例:
hostname(config)# ipv6 dhcprelay enable inside

インターフェイス上で DHCPv6 リレー サービスをイネーブルにします。マルチコンテキスト モードでは、共有インターフェイス上で DHCP リレーをイネーブルにできません。

ステップ 3

ipv6 dhcprelay timeout seconds
 
例:
hostname(config)# ipv6 dhcprelay 60

(オプション)DHCPv6 リレー アドレス ネゴシエーションに許可する時間を秒数で指定します。最小/最大/デフォルト値は 1/3600/60 です。

ダイナミック DNS の設定

この項では、ダイナミック DNS を適応型セキュリティ アプライアンスサポートするためのの設定例について説明します。DDNS アップデートでは、DNS を DHCP に組み込みます。これら 2 つのプロトコルは相互補完します。つまり、DHCP は、IP アドレス割り当てを集中化および自動化し、ダイナミック DNS アップデートは、割り当てられたアドレスとホスト名の間のアソシエーションを自動的に記録します。DHCP とダイナミック DNS アップデートを使用する場合、ホストが IP ネットワークに接続するときに、必ずそのホストのネットワーク アクセスを自動的に設定します。永続的で固有の DNS ホスト名を使用してホストを検索し、そこに到達できます。たとえば、モバイル ホストは、ユーザや管理者の介入なしで、自由に移動できるようになります。

DDNS は、アドレスとドメイン名のマッピングを提供して、各ホストの DHCP 割り当てによる IP アドレスが頻繁に変化しても、ホスト同士が互いに検索できるようにします。DDNS の名前とアドレスのマッピングは、2 つのリソース レコードの DHCP サーバ上で行われます。Address(A)Resource Record(RR; リソース レコード)は名前から IP アドレスへのマッピングを保持し、Pointer(PTR)RR はアドレスから名前へのマッピングを行います。DDNS アップデートを行うための 2 つの方式、つまり、RFC 2136 によって定義される IETF 標準と汎用 HTTP 方式のうち、このリリースで適応型セキュリティ アプライアンスは IETF 方式をサポートしています。

2 つの最も一般的な DDNS アップデート コンフィギュレーションは次のとおりです。

DHCP クライアントは A RR をアップデートし、DHCP サーバは PTR RR をアップデートします。

DHCP サーバは、A RR と PTR RR の両方をアップデートします。

通常、DHCP サーバはクライアントの代わりに DNS PTR RR を保持します。クライアントは、必要なすべての DNS アップデートを実行するように設定できます。サーバは、これらのアップデートを実行するかどうかを設定できます。PTR RR をアップデートするには、DHCP サーバがクライアントの Fully Qualified Domain Name(FQDN; 完全修飾ドメイン名)を認識している必要があります。クライアントは Client FQDN と呼ばれる DHCP オプションを使用して、サーバに FQDN を提供します。

設定例

次に、一般的な事例を示します。

「例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする」

「例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される」

「例 3:クライアントに含まれる FQDN オプションがいずれの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする」

「例 4:クライアントはサーバに両方のアップデートの実行を要求し、サーバは PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A RR と PTR RR の両方がアップデートされる」

「例 5:クライアントは A RR をアップデートし、サーバは PTR RR をアップデートする」

例 1:クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートする

次の例では、クライアントを設定して A リソース レコードと PTR リソース レコードの両方をスタティック IP アドレス用にアップデートすることを要求するように設定します。この例を設定するには、次の手順を実行します。


ステップ 1 クライアントに A RR と PTR RR の両方をアップデートするように要求する DDNS アップデート方式(ddns-2 と呼ばれる)を定義するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 2 方式 ddns-2 を eth1 インターフェイスに関連付けるには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface eth1
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa.example.com
 

ステップ 3 eth1 のスタティック IP アドレスを設定するには、次のコマンドを入力します。

hostname(config-if)# ip address 10.0.0.40 255.255.255.0


 

例 2:クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される

次の例では、(1)DHCP クライアントに A RR と PTR RR の両方をアップデートすることを要求し、(2)DHCP サーバがその要求を実行するように設定します。この例を設定するには、次の手順を実行します。


ステップ 1 DHCP サーバがアップデートを行わないように DHCP クライアントを設定するには、次のコマンドを入力します。

hostname(config)# dhcp-client update dns server none
 

ステップ 2 DHCP クライアントで、クライアントに A と PTR の両方のアップデートを実行するように指示する ddns-2 という名前の DDNS アップデート方式を作成するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 3 ddns-2 という名前の方式を Ethernet0 という名前の適応型セキュリティ アプライアンス インターフェイスに関連付け、インターフェイス上で DHCP をイネーブルにするには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
hostname(if-config)# ip address dhcp
 

ステップ 4 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(if-config)# dhcpd update dns


 

例 3:クライアントに含まれる FQDN オプションがいずれの RR もアップデートしないようにサーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする

次の例では、A と PTR のいずれもアップデートしないように DHCP サーバに指示する FQDN オプションを含めるように、DHCP クライアントを設定します。また、クライアントの要求を上書きするようにサーバを設定します。その結果、クライアントはアップデートを行わずにバックオフします。

この事例を設定するには、次の手順を実行します。


ステップ 1 ddns-2 という名前のアップデート方式を、A RR と PTR RR の両方のアップデートを要求するように設定するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
 

ステップ 2 インターフェイス Ethernet0 で ddns-2 という名前の DDNS アップデート方式を割り当て、クライアント ホスト名(asa)を付与するには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
 

ステップ 3 インターフェイスで DHCP クライアント機能をイネーブルにするには、次のコマンドを入力します。

hostname(if-config)# dhcp client update dns server none
hostname(if-config)# ip address dhcp
 

ステップ 4 クライアントのアップデート要求を上書きするように DHCP サーバを設定するには、次のコマンドを入力します。

hostname(if-config)# dhcpd update dns both override


 

例 4:クライアントはサーバに両方のアップデートの実行を要求し、サーバは PTR RR だけをアップデートするように設定されている。クライアントの要求が実行され、A RR と PTR RR の両方がアップデートされる

次の例では、デフォルトで PTR RR アップデートだけを実行するようにサーバを設定します。ただしサーバは、A と PTR の両方をアップデートするクライアントの要求を実行します。また、サーバは、クライアントが提供するホスト名(asa)にドメイン名(example.com)を追加することで FQDN を形成します。

この事例を設定するには、次の手順を実行します。


ステップ 1 インターフェイス Ethernet0 で DHCP クライアントを設定するには、次のコマンドを入力します。

hostname(config)# interface Ethernet0
hostname(config-if)# dhcp client update dns both
hostname(config-if)# ddns update hostname asa
 

ステップ 2 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com


 

例 5:クライアントは A RR をアップデートし、サーバは PTR RR をアップデートする

次の例では、クライアントが A リソース レコードをアップデートし、サーバが PTR レコードをアップデートするように設定します。また、クライアントは DHCP サーバからのドメイン名を使用して、FQDN を形成します。

この事例を設定するには、次の手順を実行します。


ステップ 1 ddns-2 という名前の DDNS アップデート方式を定義するには、次のコマンドを入力します。

hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns
 

ステップ 2 インターフェイス Ethernet0 の DHCP クライアントを設定し、アップデート方式をインターフェイスに割り当てるには、次のコマンドを入力します。

hostname(DDNS-update-method)# interface Ethernet0
hostname(config-if)# dhcp client update dns
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa
 

ステップ 3 DHCP サーバを設定するには、次のコマンドを入力します。

hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com
 


 

WCCP を使用する Web キャッシュ サービスの設定

Web キャッシングの目的は、遅延とネットワーク トラフィックを減らすことです。以前アクセスした Web ページがキャッシュ バッファに保存されているため、ページが再度必要になったときに、Web サーバではなくキャッシュから取得できます。

WCCP は、適応型セキュリティ アプライアンスと外部 Web キャッシュの間の相互作用を指定します。この機能は、選択したタイプのトラフィックを Web キャッシュ エンジンのグループに透過的にリダイレクトして、リソースの使用状況を最適化し、応答時間を短縮します。適応型セキュリティ アプライアンスは、WCCP バージョン 2 だけをサポートしています。

適応型セキュリティ アプライアンスを仲介役として使用すると、WCCP リダイレクトを行うために個別のルータが不要になります。これは、適応型セキュリティ アプライアンスがキャッシュ エンジンへのリダイレクト要求を処理できるためです。適応型セキュリティ アプライアンスは、パケットにリダイレクトが必要な時期を認識すると、TCP ステート トラッキング、TCP シーケンス番号のランダム化、およびトラフィック フローでの Network Address Translation(NAT; ネットワーク アドレス変換)をスキップします。

この項は、次の内容で構成されています。

「WCCP 機能のサポート」

「WCCP とその他の機能との相互作用」

「WCCP リダイレクションのイネーブル化」

WCCP 機能のサポート

適応型セキュリティ アプライアンスでは、次の WCCPv2 機能がサポートされています。

TCP/UDP ポート宛ての複数のトラフィックのリダイレクション。

サービス グループ内のキャッシュ エンジンのための認証。

次の WCCPv2 機能は、適応型セキュリティ アプライアンスでサポートされていません。

サービス グループ内の複数のルータはサポートされていません。サービス グループ内の複数のキャッシュ エンジンはサポートされています。

マルチキャスト WCCP はサポートされていません。

レイヤ 2 リダイレクト方式はサポートされていません。GRE カプセル化だけがサポートされています。

WCCP 送信元アドレス スプーフィング。

WCCP とその他の機能との相互作用

適応型セキュリティ アプライアンスの WCCP の実装では、プロトコルと他の設定可能な機能との相互作用に次の点が適用されます。

入力アクセスリスト エントリの優先度は常に WCCP よりも上です。たとえば、アクセスリストでサーバとの通信をクライアントに許可していない場合、トラフィックはキャッシュ エンジンにリダイレクトされません。入力インターフェイス アクセスリストと出力インターフェイス アクセスリストの両方が適用されます。

TCP 代行受信、認可、URL フィルタリング、検査エンジン、および IPS 機能は、トラフィックのリダイレクト フローに適用されません。

キャッシュ エンジンが要求に対してサービスを行わずパケットが戻された場合、またはキャッシュ エンジンでキャッシュ ミスが生じて Web サーバからデータを要求した場合、トラフィック フローの内容が適応型セキュリティ アプライアンスのその他すべての設定機能に反映されます。

フェールオーバーでは、WCCP リダイレクト テーブルはスタンバイ装置に複製されません。フェールオーバー後、テーブルが再構築されるまでパケットはリダイレクトされません。多くの場合、フェールオーバー前にリダイレクトされたセッションは、Web サーバによってリセットされます。

WCCP リダイレクションのイネーブル化

適応型セキュリティ アプライアンスで WCCP リダイレクションを設定するには、2 つの手順があります。まず wccp コマンドでリダイレクトするサービスを特定し、次に wccp redirect コマンドでリダイレクションを行うインターフェイスを定義します。また、オプションで wccp コマンドは、サービス グループに参加するキャッシュ エンジンや、そのキャッシュ エンジンにリダイレクトされるトラフィックを定義することもできます。

WCCP リダイレクトは、インターフェイスの入力側でだけサポートされています。適応型セキュリティ アプライアンスでサポートされている唯一のトポロジは、クライアントとキャッシュ エンジンが適応型セキュリティ アプライアンスの同じインターフェイスの背後にあり、キャッシュ エンジンが適応型セキュリティ アプライアンスを介さずに直接クライアントと通信を行う場合です。

次のコンフィギュレーション タスクは、ネットワークに含めるキャッシュ エンジンがすでにインストールおよび設定されていることを前提としています。

WCCP リダイレクションを設定するには、次の手順を実行します。

コマンド
目的

ステップ 1

wccp {web-cache | service_number } [redirect-list access_list ] [group-list access_list ] [ password password ]
 
例:
hostname(config)# wccp web-cache
 

WCCP サービス グループをイネーブルにします。

redirect-list access_list 引数は、このサービス グループにリダイレクトするトラフィックを制御します。

group-list access_list 引数は、サービス グループに参加が許可される Web キャッシュ IP アドレスを判別します。

password password 引数は、サービス グループから受け取るメッセージの MD5 認証を指定します。認証で受け入れられないメッセージは廃棄されます。

ステップ 2

wccp interface interface_name { web-cache | service_number} redirect in
 
例:
hostname(config)# wccp interface inside web-cache redirect in

インターフェイスでの WCCP リダイレクションをイネーブルにします。


) 標準サービスは web-cache で、TCP ポート 80(HTTP)トラフィックを代行受信してキャッシュ エンジンにリダイレクトします。ただし、必要に応じて、0 ~ 254 のサービス番号を特定できます。たとえば、ネイティブの FTP トラフィックをキャッシュ エンジンに透過的にリダイレクトするには、WCCP サービス 60 を使用します。このコマンドは、イネーブルにするサービス グループごとに何度も入力できます。


DHCP、DDNS、および WCCP サービスの機能履歴

表 7-3 に、この機能のリリース履歴の一覧を示します。

 

表 7-3 DHCP、DDNS、および WCCP サービスの機能履歴

機能名
リリース
機能情報

DHCP

7.0(1)

この機能が導入されました。

DDNS

7.0(1)

この機能が導入されました。

WCCP

7.2(1)

この機能が導入されました。