Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
インターフェイスの設定
インターフェイスの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

インターフェイスの設定

インターフェイスに関する情報

ASA 5505 のインターフェイス

ASA 5505 ポートおよびインターフェイスの概要

ライセンスで使用できる最大アクティブ VLAN インターフェイス数

VLAN MAC アドレス

Power Over Ethernet

SPAN を使用したトラフィックの監視

ASA 5580 のインターフェイス

Auto-MDI/MDIX 機能

セキュリティ レベル

デュアル IP スタック

管理インターフェイス(ASA 5510 以降)

インターフェイスのライセンス要件

ガイドラインと制限事項

デフォルト設定

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

インターフェイス コンフィギュレーションを開始するためのタスク フロー

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

冗長インターフェイスの設定

冗長インターフェイスの設定

アクティブ インターフェイスの変更

VLAN サブインターフェイスと 802.1Q トランキングの設定

コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)

インターフェイス コンフィギュレーションの開始(ASA 5505)

インターフェイス コンフィギュレーションを開始するためのタスク フロー

VLAN インターフェイスの設定

スイッチ ポートのアクセス ポートとしての設定とイネーブル化

スイッチ ポートのトランク ポートとしての設定とイネーブル化

インターフェイス コンフィギュレーションの実行(すべてのモデル)

インターフェイス コンフィギュレーションを実行するためのタスク フロー

インターフェイス コンフィギュレーション モードの開始

一般的なインターフェイス パラメータの設定

MAC アドレスの設定

IPv6 アドレッシングの設定

同じセキュリティ レベルの通信の許可

ジャンボ フレーム サポートのイネーブル化(ASA 5580)

インターフェイスの監視

インターフェイスの設定例

インターフェイスの機能履歴

インターフェイスの設定

この章では、イーサネット パラメータ、スイッチ ポート(ASA 5505 用)、Virtual LAN(VLAN; バーチャル LAN)サブインターフェイス、Internet Protocol(IP; インターネット プロトコル)アドレッシングなどのインターフェイスを設定する方法について説明します。

インターフェイスを設定する手順は、ASA 5505 と その他のモデル、ルーテッド モードと トランスペアレント モード、シングルモードと マルチモードなど、さまざまな要素によって異なります。この章では、 このようなさまざまな要素ごとのインターフェイスの設定 方法について説明します。


) ご使用の適応型セキュリティ アプライアンスに工場出荷時のデフォルト コンフィギュレーションが設定されている場合は、多くのインターフェイス パラメータがすでに設定されています。ここでは、工場出荷時のデフォルト コンフィギュレーションが設定されていない、またはデフォルト コンフィギュレーションが設定されているがその設定を変更する必要があることを前提としています。工場出荷時のデフォルト コンフィギュレーションについては、「工場出荷時のデフォルト コンフィギュレーション」を参照してください。


この章には、次の項があります。

「インターフェイスに関する情報」

「インターフェイスのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

「インターフェイス コンフィギュレーションの開始(ASA 5505)」

「インターフェイス コンフィギュレーションの実行(すべてのモデル)」

「同じセキュリティ レベルの通信の許可」

「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」

「インターフェイスの監視」

「インターフェイスの設定例」

「インターフェイスの機能履歴」

インターフェイスに関する情報

この項では、適応型セキュリティ アプライアンスのインターフェイスについて説明します。次の項目を取り上げます。

「ASA 5505 のインターフェイス」

「Auto-MDI/MDIX 機能」

「セキュリティ レベル」

「デュアル IP スタック」

「管理インターフェイス(ASA 5510 以降)」

ASA 5505 のインターフェイス

この項では、ASA 5505 適応型セキュリティ アプライアンスのポートおよびインターフェイスについて説明します。次の項目を取り上げます。

「ASA 5505 ポートおよびインターフェイスの概要」

「ライセンスで使用できる最大アクティブ VLAN インターフェイス数」

「VLAN MAC アドレス」

「Power Over Ethernet」

ASA 5505 ポートおよびインターフェイスの概要

ASA 5505 適応型セキュリティ アプライアンスは組み込みスイッチをサポートしています。設定を行う必要のあるポートおよびインターフェイスは、次の 2 種類です。

物理スイッチ ポート:適応型セキュリティ アプライアンスには 8 個のファスト イーサネット スイッチ ポートがあり、これらはハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。これらのポートの 2 つは Power over Ethernet(PoE; イーサネット経由の電源供給)ポートです。詳細については、「Power Over Ethernet」を参照してください。これらのインターフェイスは、PC、IP Phone、DSL モデムなどのユーザ装置に直接接続することができます。あるいは別のスイッチに接続できます。

論理 VLAN インターフェイス:これらのインターフェイスは、ルーテッド モードでファイアウォール サービスおよび Virtual Private Network(VPN; バーチャル プライベート ネットワーク)サービスに適用される設定済みセキュリティ ポリシーを使用して、VLAN ネットワーク相互間のトラフィックをレイヤ 3 で転送します。これらのインターフェイスは、トランスペアレント モードでファイアウォール サービスに適用される設定済みセキュリティ ポリシーを使用して、同一ネットワーク上の VLAN 相互間のトラフィックをレイヤ 2 で転送します。最大 VLAN インターフェイス数の詳細については、「ライセンスで使用できる最大アクティブ VLAN インターフェイス数」を参照してください。VLAN インターフェイスを使用することにより、別々の VLAN、たとえばホーム VLAN、ビジネス VLAN、インターネット VLAN などに装置を分けることができます。

スイッチ ポートを別々の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信できます。ただし、VLAN 1 のスイッチ ポートが VLAN 2 のスイッチ ポートと通信する場合、適応型セキュリティ アプライアンスは、セキュリティ ポリシーを 2 つの VLAN 間のトラフィックとルートまたはブリッジに適用します。

ライセンスで使用できる最大アクティブ VLAN インターフェイス数

透過ファイアウォール モードでは、ライセンスに応じて次の VLAN を設定できます。

基本ライセンス:2 つのアクティブ VLAN。

Security Plus ライセンス:3 つのアクティブ VLAN。そのうちの 1 つはフェールオーバー用に設定する必要があります。

ルーテッド モードでは、ライセンスに応じて次の VLAN を設定できます。

基本ライセンス:3 つのアクティブ VLAN。3 つ目の VLAN は、別の VLAN へのトラフィックを開始する目的に限り設定できます。詳細については、図 6-1 を参照してください。

Security Plus ライセンス:20 個のアクティブ VLAN。


アクティブ VLAN とは、nameif コマンドが設定された VLAN のことです。


基本ライセンスでは、3 つ目の VLAN は、別の VLAN へのトラフィックを開始する目的に限り設定できます。図 6-1 のネットワークの例では、ホーム VLAN はインターネットと通信できますが、ビジネス VLAN とは接続を開始できません。

図 6-1 基本ライセンスでの ASA 5505 適応型セキュリティ アプライアンス

 

Security Plus ライセンスでは、20 個の VLAN インターフェイスを設定できます。これには、フェールオーバー用 VLAN と Internet Service Provider(ISP; インターネット サービス プロバイダー)へのバックアップ リンクとしての VLAN も含まれます。バックアップ インターフェイスは、プライマリ インターフェイス経由のルートで障害が発生しない限り、トラフィックを通過させないように設定できます。トランク ポートを設定して、1 つのポートで複数の VLAN を使用できます。


) ASA 5505 適応型セキュリティ アプライアンスは、Active/Standby フェールオーバーをサポートしていますが、ステートフル フェールオーバーをサポートしていません。


ネットワークの例については、図 6-2 を参照してください。

図 6-2 Security Plus ライセンスでの ASA 5505 適応型セキュリティ アプライアンス

 

VLAN MAC アドレス

ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが Media Access Control(MAC; メディア アクセス制御)アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。「MAC アドレスの設定」を参照してください。

透過ファイアウォール モード:各 VLAN に固有の MAC アドレスが割り当てられます。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。「MAC アドレスの設定」を参照してください。

Power Over Ethernet

Ethernet 0/6 および Ethernet 0/7 は、IP 電話や無線アクセス ポイントなどのデバイス用に PoE をサポートしています。非 PoE デバイスをインストールした場合やこれらのスイッチ ポートに接続しない場合、適応型セキュリティ アプライアンスはスイッチ ポートに電源を供給しません。

shutdown コマンドを使用してスイッチ ポートをシャットダウンすると、デバイスへの電源がディセーブルになります。 no shutdown コマンドを使用してポートをイネーブルにすると、電源が復元します。スイッチ ポートのシャットダウンの詳細については、「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」を参照してください。

接続されているデバイスのタイプ(Cisco または IEEE 802.3af)など、PoE スイッチ ポートのステータスを確認するには、 show power inline コマンドを使用します。

SPAN を使用したトラフィックの監視

1 つまたは複数のスイッチ ポートを出入りするトラフィックを監視するには、スイッチ ポート モニタリングとも呼ばれる Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)をイネーブルにします。SPAN をイネーブルにしたポート(宛先ポートと呼ばれる)は、特定の送信元ポートで送受信するすべてのパケットのコピーを受信します。SPAN 機能を使用すれば、スニファを宛先ポートに添付して、すべてのトラフィックを監視できます。SPAN を使用しないと、監視するポートごとにスニファを添付しなければなりません。SPAN は、1 つの宛先ポートに限りイネーブルにできます。

詳細については、『 Cisco ASA 5500 Series Command Reference 』の switchport monitor コマンドを参照してください。

ASA 5580 のインターフェイス

ASA 5580 適応型セキュリティ アプライアンスは、ギガビット イーサネット速度や 10 ギガビット イーサネット速度、銅線コネクタやファイバ コネクタなど、さまざまなタイプのイーサネット インターフェイスをサポートしています。ASA 5580 適応型セキュリティ アプライアンスで使用できるインターフェイス アダプタと各アダプタ タイプをサポートするスロットの詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Getting Started Guide 』を参照してください。

Auto-MDI/MDIX 機能

ASA 5500 シリーズ適応型セキュリティ アプライアンスの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-Media-Dependent Interface(MDI; メディア依存型インターフェイス)/Media-Dependent Interface crossover(MDIX; メディア依存型インターフェイス クロスオーバー)機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルが検出されると、内部クロスオーバーを実行して、クロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、速度または二重通信のいずれかをオートネゴシエーションに設定する必要があります。速度と二重通信の両方に固定値を明示的に設定して、両方の設定に関するオートネゴシエーションをディセーブルにすると、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

セキュリティ レベル

各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。Demiliterized Zone(DMZ; 非武装地帯)など、その他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同じセキュリティ レベルの通信の許可」を参照してください。

各レベルは、次の動作を制御します。

ネットワーク アクセス:デフォルトでは、セキュリティ レベルの高いインターフェイスからセキュリティ レベルの低いインターフェイス(発信)へのアクセスは、暗黙的に許可されます。セキュリティ レベルの高いインターフェイス上のホストは、セキュリティ レベルの低いインターフェイス上のホストにアクセスできます。アクセスは、インターフェイスにアクセスリストを適用すると制限できます。

同じセキュリティ レベルのインターフェイスの通信をイネーブルにすると(「同じセキュリティ レベルの通信の許可」を参照)、同じセキュリティ レベルまたはそれより低いセキュリティ レベルの他のインターフェイスにアクセスするインターフェイスは、暗黙的に許可されます。

検査エンジン:一部のアプリケーション検査エンジンはセキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイスの場合、検査エンジンはどちらの方向のトラフィックにも適用されます。

NetBIOS 検査エンジン:発信接続だけに適用されます。

SQL*Net 検査エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に存在する場合、着信データ接続だけが適応型セキュリティ アプライアンスを通過することが許可されます。

フィルタリング:HTTP(S)フィルタリングおよび FTP フィルタリングは、発信接続(高いレベルから低いレベルへの接続)に対してだけ適用されます。

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすると、どちらの方向のトラフィックにもフィルタリングが適用できます。

NAT 制御:Network Address Translation(NAT; ネットワーク アドレス変換)制御をイネーブルにする場合、セキュリティ レベルの低いインターフェイス(外部)上のホストにアクセスするセキュリティ レベルの高いインターフェイス(内部)上のホストに NAT を設定する必要があります。

NAT 制御がない場合、または同じセキュリティ レベルのインターフェイスの場合は、任意のインターフェイス間で NAT を使用するように選択することも、NAT を使用しないように選択することもできます。外部インターフェイスに対して NAT を設定すると、特殊なキーワードが必要になる場合があることに留意してください。

established コマンド:このコマンドを使用すると、セキュリティ レベルの高いホストからセキュリティ レベルの低いホストに接続がすでに確立されている場合に、セキュリティ レベルの低いホストからセキュリティ レベルの高いホストへのリターン接続が許可されます。

セキュリティ レベルが同じインターフェイス間の通信をイネーブルにすると、両方向に対して established コマンドを設定できます。

デュアル IP スタック

適応型セキュリティ アプライアンスは、1 つのインターフェイス上で IPv6 と IPv4 の両方のコンフィギュレーションをサポートします。そのために特別なコマンドを入力する必要はありません。単純に、IPv4 コンフィギュレーション コマンドと IPv6 コンフィギュレーション コマンドを通常と同じように入力します。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。

管理インターフェイス(ASA 5510 以降)

管理インターフェイスは、管理トラフィックだけを対象に設計されているファスト イーサネット インターフェイスです。コマンドでは management 0/0 と指定されます。ただし、必要に応じて、トラフィックを通すために使用することもできます( management-only コマンドを参照)。透過ファイアウォール モードでは、トラフィックの通過が許可される 2 つのインターフェイスの他に、管理インターフェイスを(管理目的で)使用できます。サブインターフェイスを管理インターフェイスに追加して、マルチコンテキスト モードのセキュリティ コンテキストごとに管理を提供することもできます。

インターフェイスのライセンス要件

次の表に、VLAN のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンス:3(2 つの正規ゾーンともう 1 つの制限ゾーンだけが他の 1 つのゾーンと通信可能)

Security Plus ライセンス:20

ASA 5510

基本ライセンス:50

Security Plus ライセンス:100

ASA 5520

基本ライセンス:150

ASA 5540

基本ライセンス:200

ASA 5550

基本ライセンス:250

ASA 5580

基本ライセンス:250

次の表に、VLAN トランクのライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

基本ライセンス:なし

Security Plus ライセンス:8

他のすべてのモデル

該当なし

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチコンテキスト モードでは、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」に従って、システム実行スペースで物理インターフェイスを設定します。

次に、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」に従って、コンテキスト実行スペースで論理インターフェイス パラメータを設定します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 または 0/1 のインターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。

フェールオーバーのガイドライン

フェールオーバー インターフェイスの設定は、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」の手順では完了しません。フェールオーバー リンクおよびステート リンクの設定については、「Active/Standby フェールオーバー設定値の設定」または 「Active/Active フェールオーバー設定値の設定」 を参照してください。マルチコンテキスト モードでは、フェールオーバー インターフェイスがシステム コンフィギュレーションに設定されます。

IPv6 のガイドライン

IPv6 をサポートします。

トランスペアレント モードでインターフェイスごとに設定できるのは、リンクローカル アドレスだけです。グローバル アドレスは、インターフェイスごとではなく、装置全体の管理アドレスとして設定します。管理グローバル IP アドレスを設定するとリンクローカル アドレスがインターフェイスごとに自動的に設定されるため、「IPv6 アドレスの設定」に従って、実行する必要がある IPv6 コンフィギュレーションだけに管理 IP アドレスを設定します。

モデルのガイドライン

サブインターフェイスは、ASA 5505 適応型セキュリティ アプライアンスでは利用できません。

デフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、「工場出荷時のデフォルト コンフィギュレーション」を参照してください。

デフォルトのセキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに名前「inside」を付けて、明示的にセキュリティ レベルを設定しないと、適応型セキュリティ アプライアンスはセキュリティ レベルを 100 に設定します。


) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。


インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、タイプとコンテキスト モードによって異なります。

マルチコンテキスト モードでは、システム実行スペース内でのインターフェイスの状態に関係なく、割り当てられているインターフェイスはすべてデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過できるようにするには、インターフェイスをシステム実行スペース内でもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでダウンします。

シングルモードまたはシステム実行スペースでは、インターフェイスはデフォルトで次の状態になっています。

物理インターフェイスおよびスイッチ ポート:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過できるようにするには、メンバーの物理インターフェイスもイネーブルにする必要があります。

サブインターフェイスまたは VLAN:イネーブル。ただし、トラフィックがサブインターフェイスを通過できるようにするには、物理インターフェイスもイネーブルにする必要があります。

デフォルトの速度および二重通信

デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、オートネゴシエーションに設定されます。

ASA 5550 および 4GE SSM のファイバ インターフェイスでは、速度は固定であり、二重通信はサポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォルト)またはネゴシエーションなしに設定することができます。

ASA 5580 のファイバ インターフェイスでは、自動リンク ネゴシエーションの速度が設定されます。

デフォルトのコネクタ タイプ

ASA 5550 適応型セキュリティ アプライアンスと ASA 5510 以降の適応型セキュリティ アプライアンスの 4GE SSM には、銅線 RJ-45 とファイバ Small Form-Factor Pluggable(SFP; 着脱可能小型フォーム ファクタ)の 2 つのコネクタ タイプがあります。RJ-45 がデフォルトです。適応型セキュリティ アプライアンスを設定すると、ファイバ SFP コネクタを使用できます。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

この項では、ASA 5510 以降のインターフェイス コンフィギュレーションを開始するためのタスクについて説明します。


) マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。


ASA 5505 のコンフィギュレーションについては、「インターフェイス コンフィギュレーションの開始(ASA 5505)」を参照してください。

この項は、次の内容で構成されています。

「インターフェイス コンフィギュレーションを開始するためのタスク フロー」

「冗長インターフェイスの設定」

「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」

「VLAN サブインターフェイスと 802.1Q トランキングの設定」

「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」

インターフェイス コンフィギュレーションを開始するためのタスク フロー

インターフェイス コンフィギュレーションを開始するには、次の手順を実行します。


ステップ 1 (マルチコンテキスト モード)この項のタスクはすべてシステム実行スペースで実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

ステップ 2 物理インターフェイスをイネーブルにし、必要に応じてイーサネット パラメータを変更します。「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。

デフォルトでは、物理インターフェイスはディセーブルになっています。

ステップ 3 (オプション)冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの通過が開始します。

ステップ 4 (オプション)VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

ステップ 5 (マルチコンテキスト モード限定)インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」を参照してください。

ステップ 6 「インターフェイス コンフィギュレーションの実行(すべてのモデル)」に従って、インターフェイス コンフィギュレーションを実行します。


 

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

この項では、物理インターフェイスをイネーブルにする方法と、特定の速度と二重通信を設定する方法について説明します。

前提条件

マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

詳細な手順


ステップ 1 設定するインターフェイスを指定するには、次のコマンドを入力します。

hostname(config)# interface physical_interface
hostname(config-if)#
 

physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。

物理インターフェイスには、次のタイプがあります。

ethernet

gigabitethernet

tengigabitethernet

management

タイプの後ろに slot / port を入力します。たとえば、 gigabitethernet0/1 ethernet 0/1 のように入力します。

ステップ 2 (オプション)メディア タイプを SFP に設定するには(使用中のモデルで利用できる場合)、次のコマンドを入力します。

hostname(config-if)# media-type sfp
 

デフォルトの RJ-45 に戻すには、 media-type rj45 コマンドを入力します。

ステップ 3 (オプション)速度を設定するには、次のコマンドを入力します。

hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}
 

銅線インターフェイスのデフォルト設定は auto です。

SFP インターフェイスのデフォルト設定は no speed nonegotiate です。この設定では、速度が最大速度に設定され、フロー制御パラメータとリモート障害情報のリンク ネゴシエーションがイネーブルになります。 nonegotiate キーワードは、SFP インターフェイスで使用できる唯一のキーワードです。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。

ステップ 4 (オプション)銅線インターフェイスの二重通信を設定するには、次のコマンドを入力します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。

ステップ 5 インターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。 shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。


 

次の作業

オプション タスク:

冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」を参照してください。

シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスに障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの通過が開始します。冗長インターフェイスを設定して適応型セキュリティ アプライアンスの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。

この項では、冗長インターフェイスを設定する方法について説明します。次の項目を取り上げます。

「冗長インターフェイスの設定」

「アクティブ インターフェイスの変更」

冗長インターフェイスの設定

この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長インターフェイスはイネーブルになっています。

ガイドラインと制限事項

最大 8 個の冗長インターフェイス ペアを設定できます。

適応型セキュリティ アプライアンスのコンフィギュレーションはすべて、メンバーの物理インターフェイスではなく論理冗長インターフェイスを参照します。

冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、適応型セキュリティ アプライアンスはそのメンバー インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。

冗長インターフェイス ペアを構成する物理インターフェイスに対して設定できるのは、物理パラメータ(「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」で設定)、 description コマンド、 shutdown コマンド、および default help などのランタイム コマンドだけです。

アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

フェールオーバー用にメンバー インターフェイスを追加する場合は、次のガイドラインに従います。

フェールオーバー リンクまたはステート リンクに冗長インターフェイスを使用する場合、プライマリ装置だけでなくセカンダリ装置でも基本コンフィギュレーションの一部として冗長インターフェイスを設定する必要があります。

フェールオーバー リンクまたはステート リンクに冗長インターフェイスを使用する場合、2 つの装置の間にスイッチまたはハブを設置する必要があります。2 つの装置を直接接続できません。スイッチまたはハブがない場合、プライマリ装置のアクティブ ポートをセカンダリ装置のスタンバイ ポートに直接接続することもできます。

フェールオーバーが発生しているかどうか冗長インターフェイスを監視できます。 monitor-interface コマンドで、必ず論理冗長インターフェイス名を参照してください。

アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーを監視していると、冗長インターフェイスに障害が発生したことは表示されません。物理インターフェイスの両方に障害が発生した場合だけ、冗長インターフェイスに障害が発生したことが表示されます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスは、追加された最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーション内のメンバー インターフェイスの順序を変更すると、使用する MAC アドレスは、変更後の順序で先頭になるインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます(「MAC アドレスの設定」または 「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」を参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

前提条件

両方のメンバー インターフェイスの物理タイプが同じである必要があります。たとえば、両方ともイーサネットでなければなりません。

物理インターフェイスに名前を付けていると、冗長インターフェイスに追加できません。まず、その名前を削除する必要があります。名前を削除するには、 no nameif コマンドを使用します。

マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。


注意 すでにコンフィギュレーションに設定されている物理インターフェイスを使用している場合、名前を削除するとそのインターフェイスを参照しているコンフィギュレーションはすべて消去されます。

詳細な手順

最大 8 個の冗長インターフェイス ペアを設定できます。冗長インターフェイスを設定するには、次の手順を実行します。


ステップ 1 論理冗長インターフェイスを追加するには、次のコマンドを入力します。

hostname(config)# interface redundant number
hostname(config-if)#
 

number 引数には、1 ~ 8 の整数を指定します。

ステップ 2 冗長インターフェイスに最初のメンバー インターフェイスを追加するには、次のコマンドを入力します。

hostname(config-if)# member-interface physical_interface
 

物理インターフェイス ID については、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」の説明を参照してください。

インターフェイスを追加すると、インターフェイスのコンフィギュレーション(IP アドレスなど)はすべて削除されます。

ステップ 3 冗長インターフェイスに 2 つ目のメンバー インターフェイスを追加するには、次のコマンドを入力します。

hostname(config-if)# member-interface physical_interface
 

2 つ目のインターフェイスの物理タイプは、必ず最初のインターフェイスと同じにしてください。

メンバー インターフェイスを削除するには、 no member-interface physical_interface コマンドを入力します。冗長インターフェイスからメンバー インターフェイスの両方は削除できません。冗長インターフェイスには少なくとも 1 つのメンバー インターフェイスが必要です。


 

[Add Redundant Interface] ダイアログボックスが表示されます。

[Interfaces] ペインに戻ります。

次の例では、2 つの冗長インターフェイスを作成しています。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 0/0
hostname(config-if)# member-interface gigabitethernet 0/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 0/2
hostname(config-if)# member-interface gigabitethernet 0/3
 

次の作業

オプション タスク:

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」を参照してください。

シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能であれば)、アクティブ インターフェイスになります。どのインターフェイスがアクティブかを表示するには、次のコマンドを入力します。

hostname# show interface redundantnumber detail | grep Member
 

例:

hostname# show interface redundant1 detail | grep Member
Members GigabitEthernet0/3(Active), GigabitEthernet0/2
 

アクティブ インターフェイスを変更するには、次のコマンドを入力します。

hostname# redundant-interface redundantnumber active-member physical_interface
 

redundant number 引数には、冗長インターフェイス ID( redundant1 など)を指定します。

physical_interface には、アクティブにするメンバー インターフェイスの ID を指定します。

VLAN サブインターフェイスと 802.1Q トランキングの設定

サブインターフェイスを使用すると、1 つの物理インターフェイスまたは冗長インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。1 つ以上の VLAN サブインターフェイスを持つインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、指定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたは適応型セキュリティ アプライアンスを追加しなくてもネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチコンテキスト モードで特に便利です。

ガイドラインと制限事項

最大サブインターフェイス数:使用するプラットフォームで許容される VLAN サブインターフェイス数を決定するには、「インターフェイスのライセンス要件」を参照してください。

物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性はまた、冗長インターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。サブインターフェイスでトラフィックを通過させるためには物理インターフェイスまたは冗長インターフェイスをイネーブルにする必要があるため、 nameif コマンドを除外して、物理インターフェイスまたは冗長インターフェイスがトラフィックを通過させないようにしてください。物理インターフェイスまたは冗長インターフェイスでタグのないパケットを通過できるようにする場合は、通常どおりに nameif コマンドを設定できます。インターフェイス コンフィギュレーションの詳細については、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

前提条件

マルチコンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

詳細な手順

サブインターフェイスを追加して、そのサブインターフェイスに VLAN を割り当てるには、次の手順を実行します。


ステップ 1 サブインターフェイスを新たに指定するには、次のコマンドを入力します。

hostname(config)# interface {physical_interface | redundant number}.subinterface
hostname(config-subif)#
 

物理インターフェイス ID については、「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」の説明を参照してください。

redundant number 引数には、冗長インターフェイス ID( redundant 1 など)を指定します。

subinterface ID は、1 ~ 4294967293 の整数です。

次のコマンドは、サブインターフェイスをギガビット イーサネット インターフェイスに追加します。

hostname(config)# interface gigabitethernet 0/1.100
 

次のコマンドは、サブインターフェイスを冗長インターフェイスに追加します。

hostname(config)# interface redundant 1.100
 

ステップ 2 サブインターフェイスに VLAN を指定するには、次のコマンドを入力します。

hostname(config-subif)# vlan vlan_id
 

vlan_id は、1 ~ 4094 の整数です。一部の VLAN ID は接続スイッチ用に予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。

1 つの VLAN は 1 つのサブインターフェイスにだけ割り当てることができます。同じ VLAN を複数のサブインターフェイスに割り当てることはできません。VLAN を物理インターフェイスに割り当てることはできません。各サブインターフェイスは、VLAN ID がなければトラフィックを通過させることはできません。VLAN ID を変更するには、 no オプションを使用して以前の VLAN ID を削除する必要はありません。異なる VLAN ID を使用して vlan コマンドを入力すると、適応型セキュリティ アプライアンスで以前の ID が変更されます。


 

次の作業

マルチコンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)」を参照してください。

シングルコンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

コンテキストへのインターフェイスの割り当てと MAC アドレスの自動割り当て(マルチコンテキスト モード)

システム実行スペースでインターフェイス コンフィギュレーションを実行するには、「マルチコンテキスト モードの管理」に記載されている次のタスクを実行します。

インターフェイスをコンテキストに割り当てるには、「セキュリティ コンテキストの設定」を参照してください。

(オプション)固有の MAC アドレスをコンテキスト インターフェイスに自動的に割り当てるには、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

MAC アドレスは、コンテキスト内のパケットを分類するために使用します。1 つのインターフェイスを共有するときに、各コンテキストでインターフェイスに固有の MAC アドレスが指定されていない場合は、パケットの分類に宛先 IP アドレスが使用されます。また、「MAC アドレスの設定」に従って、コンテキスト内の MAC アドレスを手動で割り当てることもできます。

次の作業

インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

インターフェイス コンフィギュレーションの開始(ASA 5505)

この項では、VLAN インターフェイスを作成してスイッチ ポートに割り当てる方法など、ASA 5505 適応型セキュリティ アプライアンスのインターフェイス コンフィギュレーションを開始するためのタスクについて説明します。詳細については、「ASA 5505 ポートおよびインターフェイスの概要」を参照してください。

ASA 5510 以降のコンフィギュレーションについては、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」を参照してください。

この項は、次の内容で構成されています。

「インターフェイス コンフィギュレーションを開始するためのタスク フロー」

「VLAN インターフェイスの設定」

「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」

「スイッチ ポートのトランク ポートとしての設定とイネーブル化」

インターフェイス コンフィギュレーションを開始するためのタスク フロー

シングルモードでインターフェイスを設定するには、次の手順を実行します。


ステップ 1 VLAN インターフェイスを設定します。「VLAN インターフェイスの設定」を参照してください。

ステップ 2 スイッチ ポートをアクセス ポートとして設定し、イネーブルにします。「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」を参照してください。

ステップ 3 (Security Plus ライセンスのオプション)スイッチ ポートをトランク ポートとして設定し、イネーブルにします。「スイッチ ポートのトランク ポートとしての設定とイネーブル化」を参照してください。

ステップ 4 「インターフェイス コンフィギュレーションの実行(すべてのモデル)」に従って、インターフェイス コンフィギュレーションを実行します。


 

VLAN インターフェイスの設定

この項では、VLAN インターフェイスを設定する方法について説明します。ASA 5505 のインターフェイスの詳細については、「ASA 5505 のインターフェイス」を参照してください。

詳細な手順


ステップ 1 VLAN インターフェイスを追加するには、次のコマンドを入力します。

hostname(config)# interface vlan number
 

number には、1 ~ 4090 を指定します。

たとえば、次のコマンドを入力します。

hostname(config)# interface vlan 100
 

この VLAN インターフェイスとすべての関連コンフィギュレーションを削除するには、 no interface vlan コマンドを入力します。このインターフェイスには、インターフェイス名コンフィギュレーションも含まれており、名前は他のコマンドでも使用されているため、それらのコマンドも削除されます。

ステップ 2 (基本ライセンスのオプション)このインターフェイスに対して別の VLAN への接続開始を制限することにより、このインターフェイスを 3 つ目の VLAN として使用するには、次のコマンドを入力します。

hostname(config-if)# no forward interface vlan number
 

number には、この VLAN インターフェイスからトラフィックを開始できない VLAN ID を指定します。

基本ライセンスでは、このコマンドを使用して制限した場合だけ、3 つ目の VLAN を設定できます。

たとえば、1 つの VLAN をインターネット アクセスの外部に、もう 1 つを内部ビジネス ネットワーク内に、そして 3 つ目をホーム ネットワークにそれぞれ割り当てます。ホーム ネットワークはビジネス ネットワークにアクセスする必要がないので、ホーム VLAN で no forward interface コマンドを使用できます。ビジネス ネットワークはホーム ネットワークにアクセスできますが、その反対はできません。

nameif コマンドで 2 つの VLAN インターフェイスをすでに設定している場合、3 つ目のインターフェイスに対して nameif コマンドを使用する前に no forward interface コマンドを入力してください。適応型セキュリティ アプライアンスでは、ASA 5505 適応型セキュリティ アプライアンスの基本ライセンスで 3 つの VLAN インターフェイスがフル機能を持つことは許可されていません。


) Security Plus ライセンスにアップグレードすれば、このコマンドを削除して、このインターフェイスのフル機能を取得することができます。このコマンドを設定したままにすると、アップグレード後もインターフェイスの制限はそのまま残ります。



 

スイッチ ポートのアクセス ポートとしての設定とイネーブル化

デフォルト(コンフィギュレーションなし)では、すべてのスイッチ ポートがシャットダウンされ、VLAN 1 に割り当てられます。1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。複数の VLAN を伝送するトランク ポートを作成するには、「スイッチ ポートのトランク ポートとしての設定とイネーブル化」を参照してください。工場出荷時のデフォルト コンフィギュレーションが設定されている場合に、次の手順に従ってデフォルトのインターフェイス設定を変更する必要があるかどうかを確認するには、「ASA 5505 のデフォルト コンフィギュレーション」を参照してください。

ASA 5505 のインターフェイスの詳細については、「ASA 5505 のインターフェイス」を参照してください。


注意 ASA 5505 適応型セキュリティ アプライアンスは、ネットワーク内のループ検出用のスパニング ツリー プロトコルをサポートしていません。したがって、適応型セキュリティ アプライアンスとのすべての接続は、ネットワーク ループ内で終わらないようにする必要があります。

詳細な手順


ステップ 1 設定するスイッチ ポートを指定するには、次のコマンドを入力します。

hostname(config)# interface ethernet0/port
 

port には、0 ~ 7 を指定します。たとえば、次のコマンドを入力します。

hostname(config)# interface ethernet0/1
 

ステップ 2 VLAN にスイッチ ポートを割り当てるには、次のコマンドを入力します。

hostname(config-if)# switchport access vlan number
 

number には、VLAN ID を 1 ~ 4090 で指定します。スイッチ ポートに割り当てる VLAN インターフェイスを設定するには、「VLAN インターフェイスの設定」を参照してください。設定済みの VLAN を確認するには、


) インターネット アクセス デバイスにレイヤ 2 冗長性が含まれている場合は、複数のスイッチ ポートをプライマリ VLAN またはバックアップ VLAN に割り当てることができます。


ステップ 3 (オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信しないようにするには、次のコマンドを入力します。

hostname(config-if)# switchport protected
 

スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホストする DMZ の場合、 switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させることができます。内部および外部ネットワークはどちらも 3 つの Web サーバのすべてと通信でき、またその逆も可能ですが、Web サーバ同士は通信できません。

ステップ 4 (オプション)速度を設定するには、次のコマンドを入力します。

hostname(config-if)# speed {auto | 10 | 100}
 

auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 で速度を auto 以外に設定すると、IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出されず、電源も供給されません。

ステップ 5 (オプション)二重通信を設定するには、次のコマンドを入力します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。PoE ポート Ethernet 0/6 または 0/7 で二重通信を auto 以外に設定すると、IEEE 802.3af をサポートしていない Cisco IP Phone およびシスコの無線アクセス ポイントは検出されず、電源も供給されません。

ステップ 6 スイッチ ポートをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

スイッチ ポートをディセーブルにするには、 shutdown コマンドを入力します。


 

次の例では 5 つの VLAN インターフェイスを設定しています。これには、 failover lan コマンドを使用して設定されるフェールオーバー インターフェイスも含まれます。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport access vlan 200
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

次の作業

スイッチ ポートをトランク ポートとして設定する場合は、「スイッチ ポートのトランク ポートとしての設定とイネーブル化」を参照してください。

インターフェイス コンフィギュレーションを実行するには、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

スイッチ ポートのトランク ポートとしての設定とイネーブル化

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランク モードは、Security Plus ライセンスに限り使用できます。

インターフェイスが 1 つの VLAN にだけ割り当てられるアクセス ポートを作成するには、「スイッチ ポートのアクセス ポートとしての設定とイネーブル化」を参照してください。

ASA 5505 のインターフェイスの詳細については、「ASA 5505 のインターフェイス」を参照してください。

詳細な手順


ステップ 1 設定するスイッチ ポートを指定するには、次のコマンドを入力します。

hostname(config)# interface ethernet0/port
 

port には、0 ~ 7 を指定します。たとえば、次のコマンドを入力します。

hostname(config)# interface ethernet0/1
 

ステップ 2 複数の VLAN をこのトランクに割り当てるには、次のコマンドを 1 つ以上入力します。

ネイティブ VLAN を割り当てるには、次のコマンドを入力します。

hostname(config-if)# switchport trunk native vlan vlan_id
 

vlan_id には、1 つの VLAN ID を 1 ~ 4090 で指定します。

ネイティブ VLAN のパケットは、トランク経由で送信される場合には変更されません。たとえば、ポートに VLAN 2、3、4 が割り当てられていて、VLAN 2 が ネイティブ VLAN の場合、そのポートから出て行く VLAN 2 のパケットは、802.1Q ヘッダーが付いている場合は変更されません。このポートに入ってくるフレームは、802.1Q ヘッダーが付いていない場合は VLAN 2 に割り当てられます。

各ポートに割り当てることができるネイティブ VLAN は 1 つだけですが、すべてのポートに同じネイティブ VLAN を割り当てることも、異なるネイティブ VLAN を割り当てることもできます。

VLAN を割り当てるには、次のコマンドを入力します。

hostname(config-if)# switchport trunk allowed vlan vlan_range
 

vlan_range (1 ~ 4090 の VLAN)は、次のいずれかの方法で指定できます。

1 つの数字(n)

範囲(n-x)

数字と範囲は、次のようにカンマで区切ってください。

5,7-10,13,45-100

カンマの代わりにスペースを入力することもできますが、このコマンドはカンマ付きでコンフィギュレーションに保存されます。

このコマンドではネイティブ VLAN を指定することもできますが、必須ではありません。ネイティブ VLAN は、このコマンドで指定されているかどうかにかかわらず割り当てられます。

ネイティブまたは非ネイティブにかかわらず、少なくとも 1 つの VLAN が割り当てられないと、このスイッチ ポートはトラフィックを通過させることができません。

ステップ 3 このスイッチ ポートをトランク ポートにするには、次のコマンドを入力します。

hostname(config-if)# switchport mode trunk
 

このポートをアクセス モードに復元するには、 switchport mode access コマンドを入力します。

ステップ 4 (オプション)スイッチ ポートが他の保護されたスイッチ ポートと同じ VLAN 上で通信しないようにするには、次のコマンドを入力します。

hostname(config-if)# switchport protected
 

スイッチ ポート間で相互通信するのを防ぐのは、スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染やセキュリティ違反が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3 つの Web サーバをホストする DMZ の場合、 switchport protected コマンドを各スイッチ ポートに適用すると、Web サーバを相互に孤立させることができます。内部および外部ネットワークはどちらも 3 つの Web サーバのすべてと通信でき、またその逆も可能ですが、Web サーバ同士は通信できません。

ステップ 5 (オプション)速度を設定するには、次のコマンドを入力します。

hostname(config-if)# speed {auto | 10 | 100}
 

auto 設定がデフォルトです。

ステップ 6 (オプション)二重通信を設定するには、次のコマンドを入力します。

hostname(config-if)# duplex {auto | full | half}
 

auto 設定がデフォルトです。

ステップ 7 スイッチ ポートをイネーブルにするには、次のコマンドを入力します。

hostname(config-if)# no shutdown
 

スイッチ ポートをディセーブルにするには、 shutdown コマンドを入力します。


 

次の例では 7 つの VLAN インターフェイスを設定しています。これには、 failover lan コマンドを使用して設定されるフェールオーバー インターフェイスも含まれます。VLAN 200、201、202 は Ethernet 0/1 でトランクされます。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 201
hostname(config-if)# nameif dept1
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 202
hostname(config-if)# nameif dept2
hostname(config-if)# security-level 90
hostname(config-if)# ip address 10.2.3.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# nameif dmz
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.3.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 400
hostname(config-if)# nameif backup-isp
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# failover lan faillink vlan500
hostname(config)# failover interface ip faillink 10.4.1.1 255.255.255.0 standby 10.4.1.2 255.255.255.0
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/1
hostname(config-if)# switchport mode trunk
hostname(config-if)# switchport trunk allowed vlan 200-202
hostname(config-if)# switchport trunk native vlan 5
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/2
hostname(config-if)# switchport access vlan 300
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/3
hostname(config-if)# switchport access vlan 400
hostname(config-if)# no shutdown
 
hostname(config-if)# interface ethernet 0/4
hostname(config-if)# switchport access vlan 500
hostname(config-if)# no shutdown
 

次の作業

インターフェイス コンフィギュレーションを実行するには、「インターフェイス コンフィギュレーションの実行(すべてのモデル)」を参照してください。

インターフェイス コンフィギュレーションの実行(すべてのモデル)

この項では、すべてのモデルのインターフェイス コンフィギュレーションを実行するためのタスクについて説明します。


) マルチコンテキスト モードでは、この項のタスクをコンテキスト実行スペースで実行してください。設定するコンテキストに切り替えるには、changeto context name コマンドを入力します。


この項は、次の内容で構成されています。

「インターフェイス コンフィギュレーション モードの開始」

「一般的なインターフェイス パラメータの設定」

「MAC アドレスの設定」

「IPv6 アドレッシングの設定」

インターフェイス コンフィギュレーションを実行するためのタスク フロー


ステップ 1 「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」または 「インターフェイス コンフィギュレーションの開始(ASA 5505)」の手順を実行します。

ステップ 2 (マルチコンテキスト モード)設定するコンテキストに切り替えるには、 changeto context name コマンドを入力します。

ステップ 3 インターフェイス コンフィギュレーション モードに入ります。「インターフェイス コンフィギュレーション モードの開始」を参照してください。

ステップ 4 インターフェイス名、セキュリティ レベル、IPv4 アドレスなどの一般的なインターフェイス パラメータを設定します。「一般的なインターフェイス パラメータの設定」を参照してください。

トランスペアレント モードの場合、管理専用インターフェイス以外では、インターフェイスごとに IP アドレッシングを設定しないでください(「管理インターフェイスに関する情報」を参照)。ただし、この項では、他のパラメータを設定する必要がありません。トランスペアレント モードのグローバル管理アドレスの設定については、「IPv4 アドレスの設定」を参照してください。

ステップ 5 (オプション)MAC アドレスを設定します。「MAC アドレスの設定」を参照してください。

ステップ 6 (オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

トランスペアレント モードの場合、管理専用インターフェイス以外では、インターフェイスごとに IP アドレッシングを設定しないでください(「管理インターフェイスに関する情報」を参照)。トランスペアレント モードのグローバル管理アドレスの設定については、「IPv6 アドレスの設定」を参照してください。


 

インターフェイス コンフィギュレーション モードの開始

この項の手順は、インターフェイス コンフィギュレーション モードで実行します。

前提条件

マルチコンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。設定するコンテキストに切り替えるには、 changeto context name コマンドを入力します。

詳細な手順

まだインターフェイス コンフィギュレーション モードに入っていない場合は、 interface コマンドを使用してインターフェイス コンフィギュレーション モードに入ります。

ASA 5510 以降の場合:

hostname(config)# interface {{redundant number| physical_interface}[.subinterface] | mapped_name}
hostname(config-if)#
 

redundant number 引数には、冗長インターフェイス ID( redundant 1 など)を指定します。

物理インターフェイス ID については、「ジャンボ フレーム サポートのイネーブル化(ASA 5580)」の説明を参照してください。

subinterface ID は、物理インターフェイス ID または冗長インターフェイス ID の後ろに、ピリオド(.)で区切って付加します。

マルチコンテキスト モードで、マッピング名を allocate-interface コマンドを使用して割り当てた場合、その名前を mapped_name に入力します。

ASA 5505 の場合:

hostname(config)# interface vlan number
hostname(config-if)#
 

一般的なインターフェイス パラメータの設定

この手順では、名前、セキュリティ レベル、IPv4 アドレス、およびその他のオプションを設定する方法について説明します。

ASA 5510 以降では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

物理インターフェイス

VLAN サブインターフェイス

冗長インターフェイス

ASA 5505では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

VLAN インターフェイス

ガイドラインと制限事項

ASA 5550 適応型セキュリティ アプライアンスでは、最大のスループットを得るために、2 つのインターフェイス スロット間でトラフィックのバランスを取るようにします。たとえば、内部インターフェイスをスロット 1 に、外部インターフェイスをスロット 0 に割り当てます。

セキュリティ レベルについては、「セキュリティ レベル」を参照してください。

フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクおよびステート リンクの設定については、「Active/Standby フェールオーバー設定値の設定」または 「Active/Active フェールオーバー設定値の設定」を参照してください。

ルーテッド ファイアウォール モードでは、すべてのインターフェイスに対する IP アドレスを設定します。

透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではなく、適応型セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。トラフィックを通過させない Management 0/0 または 0/1 の管理専用インターフェイスの場合は例外となります。透過ファイアウォール モードの適応型セキュリティ アプライアンス全体またはコンテキスト全体の管理 IP アドレスを設定するには、「透過ファイアウォールの管理 IP アドレスの設定」を参照してください。Management 0/0 または 0/1 のインターフェイスまたはサブインターフェイスの IP アドレスを設定するには、この手順を使用します。

制限事項

マルチコンテキスト モードまたは透過ファイアウォール モードでは、PPP over Ethernet(PPPoE)はサポートされていません。

管理インターフェイスに関する情報

ASA 5510 以降の適応型セキュリティ アプライアンスには、使用中のモデルに応じて、Management 0/0 または Management 0/1 と呼ばれる専用の管理インターフェイスが含まれており、このインターフェイスによって、適応型セキュリティ アプライアンスへのトラフィックをサポートします。ただし、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 または 0/1 の管理専用モードをディセーブルにして、他のインターフェイスと同様にトラフィックを通過させることもできます。

透過ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを通過させることができます。ただし、ASA 5510 以降の適応型セキュリティ アプライアンスでは、Management 0/0 または 0/1 のインターフェイス(物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の第 3 のインターフェイスとして使用できます。モードはこの場合設定不能であり、常に管理専用にする必要があります。

前提条件

「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」または 「インターフェイス コンフィギュレーションの開始(ASA 5505)」の手順を実行します。

マルチコンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システム コンフィギュレーションからコンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。

「インターフェイス コンフィギュレーション モードの開始」に従って、インターフェイス コンフィギュレーション モードに入ります。

詳細な手順


ステップ 1 インターフェイスに名前を付けるには、次のコマンドを入力します。

hostname(config-if)# nameif name
 

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。新しい値を指定してこのコマンドを再入力すると名前を変更することができます。 no 形式は入力しないでください。このコマンドを入力すると、この名前を参照しているコマンドがすべて削除されます。

ステップ 2 セキュリティ レベルを設定するには、次のコマンドを入力します。

hostname(config-if)# security-level number
 

number には、0(最下位)~ 100(最上位)の整数を指定します。

ステップ 3 IP アドレスを設定するには、次のいずれかのコマンドを入力します。


) フェールオーバーで使用する場合、IP アドレスとスタンバイ アドレスを手動で設定する必要があります。Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)および PPPoE はサポートされません。

透過ファイアウォール モードでは、インターフェイスごとに IP アドレスを設定するのではなく、適応型セキュリティ アプライアンス全体またはコンテキスト全体に IP アドレスを設定します。トラフィックを通過させない Management 0/0 または 0/1 の管理専用インターフェイスの場合は例外となります。


IP アドレスを手動で設定するには、次のコマンドを入力します。

hostname(config-if)# ip address ip_address [mask] [standby ip_address]
 

ip_address 引数および mask 引数には、インターフェイスの IP アドレスとサブネット マスクを設定します。

standby ip_address 引数は、フェールオーバーで使用します。詳細については、「Active/Standby フェールオーバー設定値の設定」または 「Active/Active フェールオーバー設定値の設定」を参照してください。

DHCP サーバから IP アドレスを取得するには、次のコマンドを入力します。

hostname(config-if)# ip address dhcp [setroute]
 

setroute キーワードを指定すると、適応型セキュリティ アプライアンスが DHCP サーバの提供するデフォルト ルートを使用できるようになります。

このコマンドを再入力すると、DHCP リースがリセットされて新しいリースが要求されます。

ip address dhcp コマンドを入力する前に no shutdown コマンドを使用してインターフェイスをイネーブルにしていない場合は、一部の DHCP 要求が送信されない場合があります。

PPPoE サーバからの IP アドレスの取得については、「PPPoE クライアントの設定」を参照してください。

PPPoE は、マルチコンテキスト モードではサポートされていません。

ステップ 4 (オプション)インターフェイスを管理専用モードに設定してトラフィックが通過しないようにするには、次のコマンドを入力します。

hostname(config-if)# management-only
 

詳細については、「管理インターフェイスに関する情報」を参照してください。


 

次の作業

(オプション)MAC アドレスを設定します。「MAC アドレスの設定」を参照してください。

(オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

MAC アドレスの設定

この項では、インターフェイスの MAC アドレスを設定する方法について説明します。

MAC アドレスに関する情報

デフォルトでは、物理インターフェイスは焼き付け済み MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じ焼き付け済み MAC アドレスを使用します。冗長インターフェイスは、追加された最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーション内のメンバー インターフェイスの順序を変更すると、使用する MAC アドレスは、変更後の順序で先頭になるインターフェイスの MAC アドレスと一致するように変更されます。このコマンドを使用して冗長インターフェイスに MAC アドレスを割り当てると、メンバー インターフェイスの MAC アドレスに関係なく、割り当てた MAC アドレスが使用されます。

マルチコンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能を使用すれば、適応型セキュリティ アプライアンスで、該当するコンテキストへのパケットの分類が容易になります。固有の MAC アドレスが割り当てられていない共有インターフェイスも使用できますが、いくつか制限があります。詳細については、「セキュリティ アプライアンスによるパケットの分類方法」を参照してください。コンテキストの共有インターフェイスには、手動で各 MAC アドレスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。MAC アドレスを自動生成する場合、この手順を使用して生成されたアドレスを上書きできます。

シングルコンテキスト モードの場合、またはマルチコンテキスト モードでインターフェイスを共有していない場合、固有の MAC アドレスをサブインターフェイスに割り当てる必要が生じることもあります。たとえば、サービス プロバイダーが MAC アドレスに基づいてアクセス コントロールを行っている場合などです。

前提条件

「インターフェイス コンフィギュレーション モードの開始」に従って、インターフェイス コンフィギュレーション モードに入ります。

詳細な手順

プライベート MAC アドレスをこのインターフェイスに割り当てるには、次のコマンドを入力します。

hostname(config-if)# mac-address mac_address [standby mac_address]
 

mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

フェールオーバーで使用する場合は、 スタンバイ MAC アドレスを設定します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新たなアクティブ装置はアクティブ MAC アドレスの使用を開始してネットワークの中断を最小限に抑え、元のアクティブ装置はスタンバイ アドレスを使用します。

次の作業

(オプション)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

IPv6 アドレッシングの設定

この項では、IPv6 アドレッシングを設定する方法について説明します。IPv6 の詳細については、「IPv6 のサポートに関する情報」および「IPv6 アドレス」を参照してください。

トランスペアレント モードの場合、この項を参照して Management 0/0 または 0/1 のインターフェイスを設定します。トランスペアレント モードのグローバル IPv6 管理アドレスの設定については、「IPv6 アドレスの設定」を参照してください。

IPv6 アドレッシングに関する情報

インターフェイスの IPv6 アドレスを設定すると、一度に 1 つまたは複数の IPv6 アドレス(IPv6 リンクローカル アドレス、グローバル アドレスなど)をインターフェイスに割り当てることができます。ただし、少なくとも、リンクローカル アドレスを設定する必要があります。

IPv6 がイネーブルな各インターフェイスには、リンクローカル アドレスを少なくとも 1 つ設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。これらのリンクローカル アドレスは、同じ物理リンク上の他のホストと通信するためだけに使用できます。


) リンクローカル アドレスの設定だけを行う場合は、『Cisco ASA 5500 Series Command Reference』のipv6 enable コマンド(自動設定)または ipv6 address link-local コマンド(手動設定)を参照してください。


イーサネット ネットワークで IPv6 を使用する場合は、イーサネット MAC アドレスを使用して、ホストの 64 ビット インターフェイス ID を生成できます。これは、Extended Universal Identifier(EUI)-64 アドレスと呼ばれています。MAC アドレスで使用するビット数は 48 ビットであるため、必要な 64 ビットを埋めるために追加ビットを挿入する必要があります。最後の 64 ビットは、インターフェイス ID 用に使用されます。たとえば、FE80::/10 は、16 進形式のリンクローカルなユニキャスト IPv6 アドレス タイプです。

重複アドレス検出に関する情報

ステートレスな自動設定プロセス中、新しいユニキャスト IPv6 アドレスは Duplicate Address Detection(DAD; 重複アドレス検出)によって固有であることが検証されてから、インターフェイスに割り当てられます(重複アドレス検出の実行中、新しいアドレスは仮の状態となります)。重複アドレス検出は、最初に新しいリンクローカル アドレスに対して行われます。リンクローカル アドレスが固有であることが検証されたら、次にインターフェイス上のその他すべての IPv6 ユニキャスト アドレスに対して重複アドレス検出が行われます。

重複アドレス検出は、管理上ダウンしているインターフェイスでは一時停止しています。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられているユニキャスト IPv6 アドレスは保留状態に設定されます。管理上アップ状態に復帰したインターフェイスでは、重複アドレス検出がインターフェイス上のすべてのユニキャスト IPv6 アドレスに対して再開されます。

重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラー メッセージが生成されます。

%PIX|ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface
 

重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。ただし、その重複アドレスに関連付けられたすべての設定コマンドは、アドレスの状態が DUPLICATE に設定されている間、設定されたままになります。

インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられたその他すべての IPv6 アドレスが再生成されます(重複アドレス検出は、新しいリンクローカル アドレスに対してだけ行われます)。

適応型セキュリティ アプライアンスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。

Modified EUI-64 インターフェイス ID に関する情報

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシングアーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。適応型セキュリティ アプライアンスでは、ローカル リンクに接続されたホストにこの要件を適用できます。

このコマンドがインターフェイスでイネーブルになると、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス識別子が Modified EUI-64 形式を使用していることが確認されます。IPv6 パケットがインターフェイス識別子に Modified EUI-64 形式を使用していない場合、そのパケットはドロップされ、次のシステム ログ メッセージが生成されます。

%PIX|ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の検証は、フローが作成された場合にだけ行われます。既存のフローからのパケットはチェックされません。加えて、アドレス検証はローカル リンク上のホストに対してだけ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式検証で受け入れられず、ドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

前提条件

「インターフェイス コンフィギュレーション モードの開始」に従って、インターフェイス コンフィギュレーション モードに入ります。

制限事項

適応型セキュリティ アプライアンスは、IPv6 エニーキャスト アドレスはサポートしません。

詳細な手順

 

コマンド
目的

ステップ 1

次のいずれかを実行します。

ipv6 address autoconfig

 

例:

hostname(config-if)# ipv6 address autoconfig

インターフェイスでステートレスな自動設定をイネーブルにします。インターフェイスでステートレスな自動設定をイネーブルにすると、ルータ アドバタイズメント メッセージで受信したプレフィックスに基づいて IPv6 アドレスが設定されます。ステートレスな自動設定がイネーブルになっている場合、インターフェイスのリンクローカル アドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。

ipv6 address ipv6-prefix/prefix-length [ eui-64 ]

 

例:

hostname(config-if)# ipv6 address 2001:0DB8::BA98:0:3210/48

インターフェイスにグローバル アドレスを割り当てます。グローバル アドレスを割り当てると、インターフェイスのリンクローカル アドレスが自動的に作成されます。アドレスの下位 64 ビットに Modified EUI-64 インターフェイス ID を使用する場合は、オプションの eui-64 キーワードを使用します。

IPv6 アドレッシングの詳細については、「IPv6 アドレス」を参照してください。

ステップ 2

(オプション)

ipv6 nd suppress-ra

 

例:

hostname(config-if)# ipv6 nd suppress-ra

インターフェイスでルータ アドバタイズメント メッセージを抑止します。デフォルトでは、ルータ アドバタイズメント メッセージは、ルータ送信要求メッセージへの応答として自動的に送信されます。適応型セキュリティ アプライアンスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージをディセーブルにできます。

ステップ 3

(オプション)

ipv6 nd dad attempts value

 

例:

hostname(config-if)# ipv6 nd dad attempts 3

重複アドレス検出の試行回数を変更します。 value 引数には、0 ~ 600 の任意の値を指定できます。 value 引数を 0 に設定すると、インターフェイスの重複アドレス検出がディセーブルになります。

デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。詳細については、「重複アドレス検出に関する情報」を参照してください。

ステップ 4

(オプション)

ipv6 nd ns-interval value

 

例:

hostname(config-if)# ipv6 nd ns-interval 2000

ネイバー送信要求メッセージの送信間隔を変更します。 ipv6 nd dad attempts コマンドを使用して重複アドレス検出試行を 2 回以上送信するようにインターフェイスを設定する場合、このコマンドでネイバー送信要求メッセージの送信間隔を設定します。このメッセージは、デフォルトでは 1000 ミリ秒間に 1 回送信されます。 value 引数には、1000 ~ 3600000 ミリ秒の値を指定できます。

(注) この値を変更すると、重複アドレス検出で使用されるものだけでなく、インターフェイスで送信されるすべてのネイバー送信要求メッセージで変更されます。

ステップ 5

(オプション)

ipv6 enforce-eui64 if_name
 

例:

hostname(config)# ipv6 enforce-eui64 inside

ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用します。

if_name 引数には、 nameif コマンドで指定したインターフェイスの名前を指定します。このインターフェイスに対してアドレス形式を適用できます。

詳細については、「Modified EUI-64 インターフェイス ID に関する情報」を参照してください。

同じセキュリティ レベルの通信の許可

デフォルトでは、同じセキュリティ レベルのインターフェイスは相互に通信することができません。また、パケットは同じインターフェイスを出入りすることができません。この項では、複数のインターフェイスが同じセキュリティ レベルの場合にインターフェイス間通信をイネーブルにする方法と、インターフェイス内通信をイネーブルにする方法について説明します。

インターフェイス間通信に関する情報

同じセキュリティ レベルのインターフェイスで相互通信を許可する利点としては、次のものがあります。

101 より多くの通信インターフェイスが設定できます。

各インターフェイスで異なるセキュリティ レベルを使用したときに、同一のセキュリティ レベルにインターフェイスを割り当てないと、各レベル(0 ~ 100)に 1 つのインターフェイスしか設定できません。

アクセスリストがなくても同じセキュリティ レベルのインターフェイスすべての間で自由にトラフィックが流れるようにできます。

同じセキュリティ レベルを持つインターフェイス間の通信をイネーブルにした場合でも、異なるセキュリティ レベルのインターフェイスも通常どおりに設定できます。


) NAT 制御をイネーブルにすると、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要がなくなります。NAT および同一セキュリティ レベルのインターフェイスの詳細については、「NAT および同じセキュリティ レベルのインターフェイス」を参照してください。


インターフェイス内通信に関する情報

インターフェイス内通信は、インターフェイスに入ってくる VPN トラフィックに対して使用できますが、その場合は同じインターフェイスのルートから外されます。この場合、VPN トラフィックが暗号化されない可能性があります。または、VPN トラフィックが別の VPN 接続に対して再暗号化される可能性があります。たとえば、セキュリティ アプライアンスがハブでリモート VPN ネットワークがスポークのハブアンドスポーク VPN ネットワークを使用している場合、スポーク間で通信を行うためには、他のスポークに対するトラフィックがセキュリティ アプライアンスを経由する必要があります。


) この機能で許可されたすべてのトラフィックは、引き続きファイアウォール規則に従います。非対称ルーティングの状態にならないように注意してください。この状態になると、リターン トラフィックが適応型セキュリティ アプライアンスを経由しなくなる可能性があります。


制限事項

この機能は、ルーテッド ファイアウォール モードに限り使用できます。

詳細な手順

相互通信を可能にするために同じセキュリティ レベルのインターフェイスをイネーブルにするには、次のコマンドを入力します。

hostname(config)# same-security-traffic permit inter-interface
 

同じインターフェイスに接続されたホスト間の通信をイネーブルにするには、次のコマンドを入力します。

hostname(config)# same-security-traffic permit intra-interface
 

ジャンボ フレーム サポートのイネーブル化(ASA 5580)

ジャンボ フレームとは、標準の最大サイズである 1518 バイト(レイヤ 2 ヘッダーおよび Frame Check Sequence(FCS; フレーム チェック シーケンス)を含む)を超える、最大 9216 バイトのイーサネット パケットです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセスリストなど)の最大使用量が制限される場合があります。


) 他のプラットフォーム モデルではジャンボ フレームをサポートしていません。


前提条件

マルチコンテキスト モードでは、システム実行スペースでこのオプションを設定します。

詳細な手順

ASA 5580 適応型セキュリティ アプライアンスに対してジャンボ フレーム サポートをイネーブルにするには、次のコマンドを入力します。

hostname(config)# jumbo-frame reservation
 

ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。


) この設定の変更を行うには、セキュリティ アプライアンスをリブートする必要があります。

ジャンボ フレームを送信する必要があるインターフェイスごとに Maximum Transmission Unit(MTU; 最大伝送ユニット)を必ず設定してください。MTU は、mtu コマンドを使用して、デフォルト値の 1500 よりも大きい値(たとえば、9000)に設定します。「MAC アドレスの設定」を参照してください。マルチコンテキスト モードで、各コンテキスト内の MTU を設定します。


次の例では、ジャンボ フレーム予約のイネーブル化、コンフィギュレーションの保存、および適応型セキュリティ アプライアンスのリロードを行います。

hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted.Command accepted.
 
hostnamehostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload?[confirm] Y
 

インターフェイスの監視

インターフェイスを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show interface

インターフェイスの統計情報を表示します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

インターフェイスの設定例

次の例では、シングルモードで物理インターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

次の例では、シングルモードでサブインターフェイスのパラメータを設定します。

hostname(config)# interface gigabitethernet 0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# nameif dmz1
hostname(config-subif)# security-level 50
hostname(config-subif)# ip address 10.1.2.1 255.255.255.0
hostname(config-subif)# mac-address 000C.F142.4CDE standby 020C.F142.4CDE
hostname(config-subif)# no shutdown
 

次の例では、システム コンフィギュレーションに対してマルチコンテキスト モードでインターフェイス パラメータを設定し、gigabitethernet 0/1.1 サブインターフェイスを contextA に割り当てます。

hostname(config)# interface gigabitethernet 0/1
hostname(config-if)# speed 1000
hostname(config-if)# duplex full
hostname(config-if)# no shutdown
hostname(config-if)# interface gigabitethernet 0/1.1
hostname(config-subif)# vlan 101
hostname(config-subif)# no shutdown
hostname(config-subif)# context contextA
hostname(config-ctx)# ...
hostname(config-ctx)# allocate-interface gigabitethernet 0/1.1
 

次の例では、コンテキスト コンフィギュレーションに対してマルチコンテキスト モードでパラメータを設定します。

hostname/contextA(config)# interface gigabitethernet 0/1.1
hostname/contextA(config-if)# nameif inside
hostname/contextA(config-if)# security-level 100
hostname/contextA(config-if)# ip address 10.1.2.1 255.255.255.0
hostname/contextA(config-if)# mac-address 030C.F142.4CDE standby 040C.F142.4CDE
hostname/contextA(config-if)# no shutdown
 

次の例では、基本ライセンスの 3 つの VLAN インターフェイスを設定しています。3 つ目の home インターフェイスは、トラフィックを business インターフェイスに転送できません。

hostname(config)# interface vlan 100
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# ip address dhcp
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 200
hostname(config-if)# nameif business
hostname(config-if)# security-level 100
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface vlan 300
hostname(config-if)# no forward interface vlan 200
hostname(config-if)# nameif home
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.2.1.1 255.255.255.0
hostname(config-if)# no shutdown
 

インターフェイスの機能履歴

表 6-1 に、この機能のリリース履歴の一覧を示します。

 

表 6-1 インターフェイスの機能履歴

機能名
リリース
機能情報

VLAN 数の増加

7.0(5)

次の制限値が変更されました。

ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

ASA 5520 の VLAN 数が 25 から 100 に増えました。

ASA 5540 の VLAN 数が 100 から 200 に増えました。

VLAN 数の増加

7.2(2)

ASA 5505 適応型セキュリティ アプライアンスの Security Plus ライセンスに対する VLAN の最大数が 5(3 つはフル機能用、1 つはフェールオーバー用で、バックアップ インターフェイス用は 1 つに制限されています)から 20(フル機能のインターフェイス)に増えました。さらに、トランク ポート数が 1 から 8 に増えました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 適応型セキュリティ アプライアンスの基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 適応型セキュリティ アプライアンスでは 100 から 150 に、ASA 5550 適応型セキュリティ アプライアンスでは 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 適応型セキュリティ アプライアンスの Security Plus ライセンスで、ポート 0 と 1 に対する Gigabit Ethernet(GE; ギガビット イーサネット)がサポートされるようになりました。基本ライセンスから Security Plus ライセンスにアップグレードすると、外部の Ethernet0/0 ポートと Ethernet0/1 ポートのキャパシティが元の Fast Ethernet(FE; ファスト イーサネット)(100 Mbps)から GE(1000 Mbps)に増えます。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままになります。インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

ASA 5505 に対するネイティブ VLAN サポート

7.2(4)/8.0(4)

switchport trunk native vlan コマンドを使用して、ASA 5505 トランク ポートにネイティブ VLAN を割り当てることができるようになりました。

ASA 5510 基本ライセンスに対するギガビット イーサネット サポート

7.2(4)/8.0(4)

ASA 5510 適応型セキュリティ アプライアンスの基本ライセンスで、ポート 0 と 1 に対する GE(ギガビット イーサネット)がサポートされるようになりました(Security Plus ライセンスに対するサポートはすでに追加されています)。外部の Ethernet0/0 ポートと Ethernet0/1 ポートのキャパシティが、元の FE(ファスト イーサネット)(100 Mbps)から GE(1000 Mbps)に増えています。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままになります。インターフェイスの速度を変更するには speed コマンドを使用し、インターフェイスごとに現在設定されている速度を確認するには show interface コマンドを使用します。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

Cisco ASA 5580 では、 jumbo-frame reservation コマンドを入力すると、ジャンボ フレームがサポートされます。ジャンボ フレームとは、標準の最大サイズである 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)を超える、最大 9216 バイトのイーサネット パケットです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセスリストなど)の最大使用量が制限される場合があります。

Adaptive Security Device Manager(ASDM; 適応性がある安全装置デバイス マネージャ)で、[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [Advanced] を参照してください。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 でサポートされる VLAN 数が 100 から 250 に増えました。