Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
コンフィギュレーション例
コンフィギュレーション例
発行日;2012/02/07 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

コンフィギュレーション例

例 1:外部アクセスのあるマルチモード ファイアウォール

例 1 のシステム コンフィギュレーション

例 1 の管理コンテキスト コンフィギュレーション

例 1 のカスタマー A コンテキスト コンフィギュレーション

例 1 のカスタマー B コンテキスト コンフィギュレーション

例 1 のカスタマー C コンテキスト コンフィギュレーション

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

例 3:マルチコンテキストの共有リソース

例 3 のシステム コンフィギュレーション

例 3 の管理コンテキスト コンフィギュレーション

例 3 の部門 1 コンテキスト コンフィギュレーション

例 3 の部門 2 コンテキスト コンフィギュレーション

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

例 4 のシステム コンフィギュレーション

例 4 の管理コンテキスト コンフィギュレーション

例 4 のカスタマー A コンテキスト コンフィギュレーション

例 4 のカスタマー B コンテキスト コンフィギュレーション

例 4 のカスタマー C コンテキスト コンフィギュレーション

例 5:NAT を使用したシングルモード、透過ファイアウォール

例 6:Ipv6 コンフィギュレーション

例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート

例 8:マルチキャスト ルーティング

PIM 希薄モードの場合

PIM 双方向モードの場合

例 9:LAN ベースの Active/Standby フェールオーバー(ルーテッド モード)

例 9 のプライマリ装置のコンフィギュレーション

例 9 のセカンダリ装置のコンフィギュレーション

例 10:LAN ベースの Active/Active フェールオーバー(ルーテッド モード)

例 10 のプライマリ装置のコンフィギュレーション

例 10 のプライマリ システムのコンフィギュレーション

例 10 のプライマリ管理コンテキストのコンフィギュレーション

例 10 のプライマリ ctx1 コンテキストのコンフィギュレーション

例 10 のセカンダリ装置のコンフィギュレーション

例 11:LAN ベースの Active/Standby フェールーバー(トランスペアレント モード)

例 11 のプライマリ装置のコンフィギュレーション

例 11 のセカンダリ装置のコンフィギュレーション

例 12:LAN ベースの Active/Active フェールオーバー(トランスペアレント モード)

例 12 のプライマリ装置のコンフィギュレーション

例 12 のプライマリ システムのコンフィギュレーション

例 12 のプライマリ管理コンテキストのコンフィギュレーション

例 12 のプライマリ ctx1 コンテキストのコンフィギュレーション

例 12 のセカンダリ装置のコンフィギュレーション

例 13:ケーブルベースの Active/Standby フェールオーバー(ルーテッド モード)

例 14:ケーブルベースの Active/Standby フェールオーバー(トランスペアレント モード)

例 15:ASA 5505 基本ライセンス

例 16:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス

例 16 のプライマリ装置のコンフィギュレーション

例 16 のセカンダリ装置のコンフィギュレーション

例 17:マルチコンテキスト モードの AIP SSM

例 17 のシステム コンフィギュレーション

例 17 のコンテキスト 1 コンフィギュレーション

例 17 のコンテキスト 2 コンフィギュレーション

例 17 のコンテキスト 3 コンフィギュレーション

コンフィギュレーション例

この付録では、適応型セキュリティ アプライアンスを実装するいくつかの一般的な方法について、図を使用して説明します。次の事項を取り上げます。

「例 1:外部アクセスのあるマルチモード ファイアウォール」

「例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール」

「例 3:マルチコンテキストの共有リソース」

「例 4:外部アクセスのあるマルチモード、透過ファイアウォール」

「例 5:NAT を使用したシングルモード、透過ファイアウォール」

「例 6:Ipv6 コンフィギュレーション」

「例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート」

「例 8:マルチキャスト ルーティング」

「例 9:LAN ベースの Active/Standby フェールオーバー(ルーテッド モード)」

「例 10:LAN ベースの Active/Active フェールオーバー(ルーテッド モード)」

「例 11:LAN ベースの Active/Standby フェールーバー(トランスペアレント モード)」

「例 12:LAN ベースの Active/Active フェールオーバー(トランスペアレント モード)」

「例 13:ケーブルベースの Active/Standby フェールオーバー(ルーテッド モード)」

「例 14:ケーブルベースの Active/Standby フェールオーバー(トランスペアレント モード)」

「例 15:ASA 5505 基本ライセンス」

「例 16:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス」

「例 17:マルチコンテキスト モードの AIP SSM」

例 1:外部アクセスのあるマルチモード ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部インターフェイスと外部インターフェイスを持ちます。両方のインターフェイスは、冗長インターフェイスとして設定されています。

カスタマー C コンテキストには DMZ インターフェイスが含まれています。この DMZ インターフェイスでは、HTTP フィルタリング用の Websense サーバがサービス プロバイダー社内にあります(図 A-1 を参照)。

内部ホストはダイナミック NAT または PAT を使用して外部を介してインターネットにアクセスすることができますが、外部ホストは内部にアクセスできません。

カスタマー A コンテキストは内部ルータの背後に 2 番目のネットワークを持っています。

管理コンテキストは、1 台のホストから適応型セキュリティ アプライアンスへの SSH セッションを許可します。


) インターフェイスが固有である場合、内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。


図 A-1 例 1

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 1 のシステム コンフィギュレーション」

「例 1 の管理コンテキスト コンフィギュレーション」

「例 1 のカスタマー A コンテキスト コンフィギュレーション」

「例 1 のカスタマー B コンテキスト コンフィギュレーション」

「例 1 のカスタマー C コンテキスト コンフィギュレーション」

例 1 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname Farscape
password passw0rd
enable password chr1cht0n
mac-address auto
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/2
no shutdown
interface gigabitethernet 0/3
no shutdown
interface redundant 1
member-interface gigabitethernet 0/0
member-interface gigabitethernet 0/1
interface redundant 2
member-interface gigabitethernet 0/2
member-interface gigabitethernet 0/3
interface redundant 1.3
vlan 3
no shutdown
interface redundant 2.4
vlan 4
no shutdown
interface redundant 2.5
vlan 5
no shutdown
interface redundant 2.6
vlan 6
no shutdown
interface redundant 2.7
vlan 7
no shutdown
interface redundant 2.8
vlan 8
no shutdown
class gold
limit-resource rate conns 2000
limit-resource conns 20000
class silver
limit-resource rate conns 1000
limit-resource conns 10000
class bronze
limit-resource rate conns 500
limit-resource conns 5000
context admin
allocate-interface redundant1.3 int1
allocate-interface redundant2.4 int2
config-url disk0://admin.cfg
member default
context customerA
description This is the context for customer A
allocate-interface redundant1.3 int1
allocate-interface redundant2.5 int2
config-url disk0://contexta.cfg
member gold
context customerB
description This is the context for customer B
allocate-interface redundant1.3 int1
allocate-interface redundant2.6 int2
config-url disk0://contextb.cfg
member silver
context customerC
description This is the context for customer C
allocate-interface redundant1.3 int1
allocate-interface redundant2.7-redundant2.8 int2-int3
config-url disk0://contextc.cfg
member bronze
 

例 1 の管理コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

10.1.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキーを生成する必要があります。

hostname Admin
domain example.com
interface int1
nameif outside
security-level 0
ip address 209.165.201.2 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
route outside 0 0 209.165.201.1 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.10-209.165.201.29
! The host at 10.1.1.75 has access to the Websense server in Customer C, so
! it needs a static translation for use in Customer C’s access list
static (inside,outside) 209.165.201.30 10.1.1.75 netmask 255.255.255.255
 

例 1 のカスタマー A コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
passwd hell0!
enable password enter55
route outside 0 0 209.165.201.1 1
! The Customer A context has a second network behind an inside router that requires a
! static route. All other traffic is handled by the default route pointing to the router.
route inside 192.168.1.0 255.255.255.0 10.1.2.2 1
nat (inside) 1 10.1.2.0 255.255.255.0
! This context uses dynamic PAT for inside users that access that outside. The outside
! interface address is used for the PAT address
global (outside) 1 interface
 

例 1 のカスタマー B コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
passwd tenac10us
enable password defen$e
route outside 0 0 209.165.201.1 1
nat (inside) 1 10.1.3.0 255.255.255.0
! This context uses dynamic PAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
access-list INTERNET remark Inside users only access HTTP and HTTPS servers on the outside
access-list INTERNET extended permit tcp any any eq http
access-list INTERNET extended permit tcp any any eq https
access-group INTERNET in interface inside
 

例 1 のカスタマー C コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface int1
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface int2
nameif inside
security-level 100
ip address 10.1.4.1 255.255.255.0
no shutdown
interface int3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
passwd fl0wer
enable password treeh0u$e
route outside 0 0 209.165.201.1 1
url-server (dmz) vendor websense host 192.168.2.2 url-block block 50
url-cache dst 128
filter url http 10.1.4.0 255.255.255.0 0 0
! When inside users access an HTTP server, the adaptive security appliance consults with a
! Websense server to determine if the traffic is allowed
nat (inside) 1 10.1.4.0 255.255.255.0
! This context uses dynamic NAT for inside users that access the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! A host on the admin context requires access to the Websense server for management using
! pcAnywhere, so the Websense server uses a static translation for its private address
static (dmz,outside) 209.165.201.6 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to use pcAnywhere on the Websense server
access-list MANAGE extended permit tcp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-data
access-list MANAGE extended permit udp host 209.165.201.30 host 209.165.201.6 eq pcanywhere-status
access-group MANAGE in interface outside
 

例 2:同じセキュリティ レベルを使用したシングルモード ファイアウォール

このコンフィギュレーションでは、3 つの内部インターフェイスを作成します。2 つのインターフェイスは同じセキュリティ レベルの部門に接続します。これにより、すべてのホストがアクセスリストを使用せずに通信できます。DMZ インターフェイスは syslog サーバをホスティングします。外部インターフェイス上の管理ホストは、Syslog サーバと適応型セキュリティ アプライアンスにアクセスできる必要があります。適応型セキュリティ アプライアンスは内部インターフェイス上の RIP を使用してルートを認識します。適応型セキュリティ アプライアンスはルートを RIP でアドバタイズしません。したがって、アップストリーム ルータは適応型セキュリティ アプライアンス トラフィック用のスタティック ルートを使用する必要があります(図 A-2 を参照)。

部門ネットワークは、インターネットへのアクセスと PAT の使用を許可されています。

脅威の検出はイネーブルになっています。

図 A-2 例 2

 

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif dept2
security-level 100
ip address 10.1.2.1 255.255.255.0
mac-address 000C.F142.4CDE standby 000C.F142.4CDF
no shutdown
rip authentication mode md5
rip authentication key scorpius key_id 1
interface gigabitethernet 0/2
nameif dept1
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
interface gigabitethernet 0/3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
same-security-traffic permit inter-interface
route outside 0 0 209.165.201.1 1
nat (dept1) 1 10.1.1.0 255.255.255.0
nat (dept2) 1 10.1.2.0 255.255.255.0
! The dept1 and dept2 networks use PAT when accessing the outside
global (outside) 1 209.165.201.9 netmask 255.255.255.255
! Because we perform dynamic NAT on these addresses for outside access, we need to perform
! NAT on them for all other interface access. This identity static statement just
! translates the local address to the same address.
static (dept1,dept2) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
static (dept2,dept1) 10.1.2.0 10.1.2.0 netmask 255.255.255.0
! The syslog server uses a static translation so the outside management host can access
! the server
static (dmz,outside) 209.165.201.5 192.168.2.2 netmask 255.255.255.255
access-list MANAGE remark Allows the management host to access the syslog server
access-list MANAGE extended permit tcp host 209.165.200.225 host 209.165.201.5 eq ssh
access-group MANAGE in interface outside
! Advertises the adaptive security appliance IP address as the default gateway for the downstream
! router. The adaptive security appliance does not advertise a default route to the upstream
! router. Listens for RIP updates from the downstream router. The adaptive security appliance does
! not listen for RIP updates from the upstream router because a default route to the
! upstream router is all that is required.
router rip
network 10.0.0.0
default information originate
version 2
ssh 209.165.200.225 255.255.255.255 outside
logging trap 5
! System messages are sent to the syslog server on the DMZ network
logging host dmz 192.168.2.2
logging enable
! Enable basic threat detection:
threat-detection basic-threat
threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
! Enables scanning threat detection and automatically shun attackers,
! except for hosts on the 10.1.1.0 network:
threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20
! Enable statistics for access-lists:
threat-detection statistics access-list

例 3:マルチコンテキストの共有リソース

このコンフィギュレーションには、社内の複数の部門用のマルチコンテキストが含まれています。それぞれの部門が独自のセキュリティ ポリシーを持つことができるように、各部門には独自のセキュリティ コンテキストがあります。ただし、syslog サーバ、メール サーバ、および AAA サーバはすべての部門で共有されます。これらのサーバは、共有インターフェイス上に置かれます(図 A-3 を参照)。

部門 1 には、AAA サーバで認証された外部ユーザがアクセスできる Web サーバがあります。

図 A-3 例 3

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 3 のシステム コンフィギュレーション」

「例 3 の管理コンテキスト コンフィギュレーション」

「例 3 の部門 1 コンテキスト コンフィギュレーション」

「例 3 の部門 2 コンテキスト コンフィギュレーション」

例 3 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname Ubik
password pkd55
enable password deckard69
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
mac-address auto
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.200
! This is the shared outside interface
vlan 200
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/1.201
! This is the inside interface for admin
vlan 201
no shutdown
interface gigabitethernet 0/1.202
! This is the inside interface for department 1
vlan 202
no shutdown
interface gigabitethernet 0/1.203
! This is the inside interface for department 2
vlan 203
no shutdown
interface gigabitethernet 0/1.300
! This is the shared inside interface
vlan 300
no shutdown
context admin
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.201
allocate-interface gigabitethernet 0/1.300
config-url disk0://admin.cfg
context department1
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.202
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept1.cfg
context department2
allocate-interface gigabitethernet 0/0.200
allocate-interface gigabitethernet 0/1.203
allocate-interface gigabitethernet 0/1.300
config-url ftp://admin:passw0rd@10.1.0.16/dept2.cfg
 

例 3 の管理コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

hostname Admin
interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.3 255.255.255.224
no shutdown
interface gigabitethernet 0/0.201
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd v00d00
enable password d011
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.0.0 255.255.255.0
! This context uses PAT for inside users that access the outside
global (outside) 1 209.165.201.6 netmask 255.255.255.255
! This context uses PAT for inside users that access the shared network
global (shared) 1 10.1.1.30
! Because this host can access the web server in the Department 1 context, it requires a
! static translation
static (inside,outside) 209.165.201.7 10.1.0.15 netmask 255.255.255.255
! Because this host has management access to the servers on the Shared interface, it
! requires a static translation to be used in an access list
static (inside,shared) 10.1.1.78 10.1.0.15 netmask 255.255.255.255
access-list SHARED remark -Allows only mail traffic from inside to exit shared interface
access-list SHARED remark -but allows the admin host to access any server.
access-list SHARED extended permit ip host 10.1.1.78 any
access-list SHARED extended permit tcp host 10.1.1.30 host 10.1.1.7 eq smtp
! Note that the translated addresses are used.
access-group SHARED out interface shared
! Allows 10.1.0.15 to access the admin context using Telnet. From the admin context, you
! can access all other contexts.
telnet 10.1.0.15 255.255.255.255 inside
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! The host at 10.1.0.15 must authenticate with the AAA server to log in
aaa authentication telnet console AAA-SERVER
aaa authorization command AAA-SERVER LOCAL
aaa accounting command AAA-SERVER
logging trap 6
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3 の部門 1 コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.4 255.255.255.224
no shutdown
interface gigabitethernet 0/0.202
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.2 255.255.255.0
no shutdown
passwd cugel
enable password rhialto
nat (inside) 1 10.1.2.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.8 netmask 255.255.255.255
! The inside network uses dynamic NAT when accessing the shared network
global (shared) 1 10.1.1.31-10.1.1.37
! The web server can be accessed from outside and requires a static translation
static (inside,outside) 209.165.201.9 10.1.2.3 netmask 255.255.255.255
access-list WEBSERVER remark -Allows the management host (its translated address) on the access-list WEBSERVER remark -admin context to access the web server for management
access-list WEBSERVER remark -it can use any IP protocol
access-list WEBSERVER extended permit ip host 209.165.201.7 host 209.165.201.9
access-list WEBSERVER remark -Allows any outside address to access the web server
access-list WEBSERVER extended permit tcp any eq http host 209.165.201.9 eq http
access-group WEBSERVER in interface outside
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
! Note that the translated addresses are used.
access-list MAIL extended permit tcp host 10.1.1.31 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.32 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.33 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.34 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.35 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.36 eq smtp host 10.1.1.7 eq smtp
access-list MAIL extended permit tcp host 10.1.1.37 eq smtp host 10.1.1.7 eq smtp
access-group MAIL out interface shared
aaa-server AAA-SERVER protocol tacacs+
aaa-server AAA-SERVER (shared) host 10.1.1.6
key TheUauthKey
server-port 16
! All traffic matching the WEBSERVER access list must authenticate with the AAA server
aaa authentication match WEBSERVER outside AAA-SERVER
logging trap 4
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 3 の部門 2 コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface gigabitethernet 0/0.200
nameif outside
security-level 0
ip address 209.165.201.5 255.255.255.224
no shutdown
interface gigabitethernet 0/0.203
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
interface gigabitethernet 0/0.300
nameif shared
security-level 50
ip address 10.1.1.3 255.255.255.0
no shutdown
passwd maz1r1an
enable password ly0ne$$e
route outside 0 0 209.165.201.2 1
nat (inside) 1 10.1.3.0 255.255.255.0
! The inside network uses PAT when accessing the outside
global (outside) 1 209.165.201.10 netmask 255.255.255.255
! The inside network uses PAT when accessing the shared network
global (shared) 1 10.1.1.38
access-list MAIL remark -Allows only mail traffic from inside to exit out the shared int
access-list MAIL extended permit tcp host 10.1.1.38 host 10.1.1.7 eq smtp
! Note that the translated PAT address is used.
access-group MAIL out interface shared
logging trap 3
! System messages are sent to the syslog server on the Shared network
logging host shared 10.1.1.8
logging enable
 

例 4:外部アクセスのあるマルチモード、透過ファイアウォール

このコンフィギュレーションでは、3 つのセキュリティ コンテキストに加え、管理コンテキストを作成します。各コンテキストは、内部ルータと外部ルータの間で OSPF トラフィックの通過を許可します( 図 A-4 を参照)。

内部ホストは外部を介してインターネットにアクセスできますが、外部ホストは内部にアクセスできません。

アウトオブバンド管理ホストは、管理 0/0 インターフェイスに接続されています。

管理コンテキストは、1 台のホストから適応型セキュリティ アプライアンスへの SSH セッションを許可します。

管理を除く各コンテキストの接続制限値の設定は、DoS 攻撃から保護する接続の数を制限します。


) 内部 IP アドレスはコンテキスト間で同一にすることができますが、それぞれを固有にした方が管理が容易です。


図 A-4 例 4

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 4 のシステム コンフィギュレーション」

「例 4 の管理コンテキスト コンフィギュレーション」

「例 4 のカスタマー A コンテキスト コンフィギュレーション」

「例 4 のカスタマー B コンテキスト コンフィギュレーション」

「例 4 のカスタマー C コンテキスト コンフィギュレーション」

例 4 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
mac-address auto
admin-context admin
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/0.150
vlan 150
no shutdown
interface gigabitethernet 0/0.151
vlan 151
no shutdown
interface gigabitethernet 0/0.152
vlan 152
no shutdown
interface gigabitethernet 0/0.153
vlan 153
no shutdown
interface gigabitethernet 0/1
shutdown
interface gigabitethernet 0/1.4
vlan 4
no shutdown
interface gigabitethernet 0/1.5
vlan 5
no shutdown
interface gigabitethernet 0/1.6
vlan 6
no shutdown
interface gigabitethernet 0/1.7
vlan 7
no shutdown
interface management 0/0
no shutdown
context admin
allocate-interface gigabitethernet 0/0.150
allocate-interface gigabitethernet 0/1.4
allocate-interface management 0/0
config-url disk0://admin.cfg
context customerA
description This is the context for customer A
allocate-interface gigabitethernet 0/0.151
allocate-interface gigabitethernet 0/1.5
config-url disk0://contexta.cfg
context customerB
description This is the context for customer B
allocate-interface gigabitethernet 0/0.152
allocate-interface gigabitethernet 0/1.6
config-url disk0://contextb.cfg
context customerC
description This is the context for customer C
allocate-interface gigabitethernet 0/0.153
allocate-interface gigabitethernet 0/1.7
config-url disk0://contextc.cfg
 

例 4 の管理コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

10.2.1.75 のホストは SSH を使用してコンテキストにアクセスします。そのためには、 crypto key generate コマンドを使用してキー ペアを生成する必要があります。

hostname Admin
domain example.com
interface gigabitethernet 0/0.150
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.4
nameif inside
security-level 100
no shutdown
interface management 0/0
nameif manage
security-level 50
! Unlike other transparent interfaces, the management interface
! requires an IP address:
ip address 10.2.1.1 255.255.255.0
no shutdown
passwd secret1969
enable password h1andl0
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
ssh 10.2.1.75 255.255.255.255 manage
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4 のカスタマー A コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface gigabitethernet 0/0.151
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.5
nameif inside
security-level 100
no shutdown
passwd hell0!
enable password enter55
ip address 10.1.2.1 255.255.255.0
route outside 0 0 10.1.2.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
 

例 4 のカスタマー B コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface gigabitethernet 0/0.152
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.6
nameif inside
security-level 100
no shutdown
passwd tenac10us
enable password defen$e
ip address 10.1.3.1 255.255.255.0
route outside 0 0 10.1.3.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
! The following commands add connection limits to the global policy.
class-map conn_limits
match any
policy-map global_policy
class conn_limits
set connection conn-max 5000 embryonic-conn-max 2000
set connection timeout tcp 2:0:0 reset half-close 0:5:0 embryonic 0:0:20 dcd 20 3
service-policy global_policy global
 

例 4 のカスタマー C コンテキスト コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

interface gigabitethernet 0/0.153
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1.7
nameif inside
security-level 100
no shutdown
passwd fl0wer
enable password treeh0u$e
ip address 10.1.4.1 255.255.255.0
route outside 0 0 10.1.4.2 1
access-list OSPF remark -Allows OSPF
access-list OSPF extended permit 89 any any
access-group OSPF in interface outside
! The following commands add connection limits to the global policy.
class-map conn_limits
match any
policy-map global_policy
class conn_limits
set connection conn-max 5000 embryonic-conn-max 2000
set connection timeout tcp 2:0:0 reset half-close 0:5:0 embryonic 0:0:20 dcd 20 3
service-policy global_policy global
 

例 5:NAT を使用したシングルモード、透過ファイアウォール

このコンフィギュレーションは、トランスペアレント モードで NAT を設定する方法を示します( 図 A-5 を参照)。

図 A-5 例 5

 

10.1.1.75 のホストは SSH を使用して適応型セキュリティ アプライアンスにアクセスします。そのためには、 crypto key generate コマンドを使用してキー ペアを生成する必要があります。

firewall transparent
hostname Farscape
password passw0rd
enable password chr1cht0n
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
hostname Moya
domain example.com
interface gigabitethernet 0/0
nameif outside
security-level 0
no shutdown
interface gigabitethernet 0/1
nameif inside
security-level 100
no shutdown
ip address 10.1.1.1 255.255.255.0
route outside 0 0 10.1.1.2 1
! The following route is required when you perform NAT
! on non-directly-connected networks:
route inside 192.168.1.0 255.255.255.0 10.1.1.3 1
ssh 10.1.1.75 255.255.255.255 inside
nat (inside) 1 10.1.1.0 255.255.255.0
nat (inside) 1 198.168.1.0 255.255.255.0
global (outside) 1 209.165.201.1-209.165.201.15
 

例 6:Ipv6 コンフィギュレーション

このコンフィギュレーション例では、適応型セキュリティ アプライアンスでの IPv6 サポートの機能をいくつか示します。

各インターフェイスに IPv6 と IPv4 の両方のアドレスが設定されています。

ipv6 route コマンドで IPv6 デフォルト ルートが設定されています。

IPv6 アクセスリストが外部インターフェイスに適用されています。

内部インターフェイスのホストの IPv6 アドレスにおける Modified-EUI64 形式インターフェイス識別子を使用します。

外部インターフェイスは、ルータ アドバタイズメント メッセージを抑止します。

IPv6 スタティック ルート。

図 A-6 IPv6 デュアル スタック コンフィギュレーション

 

enable password myenablepassword
passwd mypassword
hostname coyupix
asdm image flash:/asdm.bin
boot system flash:/image.bin
interface gigabitethernet0/0
nameif outside
security-level 0
ip address 10.142.10.100 255.255.255.0
ipv6 address 2001:400:3:1::100/64
ipv6 nd suppress-ra
ospf mtu-ignore auto
no shutdown
interface gigabitethernet0/1
nameif inside
security-level 100
ip address 10.140.10.100 255.255.255.0
ipv6 address 2001:400:1:1::100/64
ospf mtu-ignore auto
no shutdown
access-list allow extended permit icmp any any
ssh 10.140.10.75 255.255.255.255 inside
logging enable
logging buffered debugging
ipv6 enforce-eui64 inside
ipv6 route outside 2001:400:6:1::/64 2001:400:3:1::1
ipv6 route outside ::/0 2001:400:3:1::1
ipv6 access-list outacl permit icmp6 2001:400:2:1::/64 2001:400:1:1::/64
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq telnet
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq ftp
ipv6 access-list outacl permit tcp 2001:400:2:1::/64 2001:400:1:1::/64 eq www
access-group allow in interface outside
access-group outacl in interface outside
route outside 0.0.0.0 0.0.0.0 16.142.10.1 1
 

例 7:スタティック ルート トラッキングを使用したデュアル ISP サポート

このコンフィギュレーションは、プライマリ ISP ルートがダウンした場合に、スタティック ルート トラッキングを使用して、バックアップの ISP ルートを利用するリモート オフィスを示します。リモート オフィスの適応型セキュリティ アプライアンスは、ICMP エコー要求を使用して、メイン オフィス ゲートウェイの可用性を監視します。このゲートウェイがデフォルト ルートを通じて利用できなくなると、デフォルト ルートがルーティング テーブルから削除されて、代わりにバックアップ ISP へのフローティング ルートが使用されます。

図 A-7 デュアル ISP サポート

 

passwd password1
enable password password2
hostname myfirewall
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
!
interface gigabitethernet 0/0
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
no shutdown
!
interface gigabitethernet 0/1
description backup isp link
nameif backupisp
security-level 100
ip address 172.16.2.2 255.255.255.0
no shutdown
!
sla monitor 123
type echo protocol ipIcmpEcho 10.2.1.2 interface outside
num-packets 3
timeout 1000
frequency 3
sla monitor schedule 123 life forever start-time now
!
track 1 rtr 123 reachability
!
route outside 0.0.0.0 0.0.0.0 10.1.1.1 track 1
! The above route is used while the tracked object, router 10.2.1.2
! is available. It is removed when the router becomes unavailable.
!
route backupisp 0.0.0.0 0.0.0.0 172.16.2.1 254
! The above route is a floating static route that is added to the
! routing table when the tracked route is removed.
 

例 8:マルチキャスト ルーティング

このコンフィギュレーションは、メッセージを視聴している受話者が 2 人いるマルチキャスト トラフィックを送信している送信元を示します。ネットワークは送信元と受信者の間にあり、すべてのデバイスでは、流れるトラフィックに PIM ツリーを正しく構築する必要があります。これには、ASA 5505 適応型セキュリティ アプライアンスとすべての IOS ルータが含まれます。

図 A-8 マルチキャスト ルーティング コンフィギュレーション

 


) マルチキャスト ルーティングは、シングル ルーテッド モードでだけ動作します。


「PIM 希薄モードの場合」

「PIM 双方向モードの場合」

PIM 希薄モードの場合

このコンフィギュレーションでは、PIM 希薄モードに対してマルチキャスト ルーティングをイネーブルにします。

hostname asa
multicast-routing
 
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
 
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
 
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.1.3.1 255.255.255.0
igmp join-group 227.1.2.3
 
! Specify the RP
pim rp-address 10.1.1.2
 
! Specify ACL configuration on the interfaces
access-list mcast permit pim any any
access-list mcast permit igmp any any
access-list mcast permit ospf any any
access-list mcast permit icmp any any
access-list mcast permit tcp any any eq 80
access-list mcast permit udp any 224.0.0.0 240.0.0.0
 
no failover
access-group mcast in interface outside
access-group mcast in interface inside
access-group mcast in interface dmz
 
! Configures unicast routing
router ospf 1
network 10.1.1.0 255.255.255.0 area 0
network 10.1.2.0 255.255.255.0 area 0
network 10.1.3.0 255.255.255.0 area 0
log-adj-changes
!

PIM 双方向モードの場合

hostname asa
multicast-routing
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
!
interface GigabitEthernet0/2
nameif dmz
security-level 50
ip address 10.1.3.1 255.255.255.0
igmp join-group 227.1.2.3
 

!Specify the RP

pim rp-address 10.1.1.2 bidir
 
 
! Specify ACL configuration on the interfaces
access-list mcast permit pim any any
access-list mcast permit igmp any any
access-list mcast permit ospf any any
access-list mcast permit icmp any any
access-list mcast permit tcp any any eq 80
access-list mcast permit udp any 224.0.0.0 240.0.0.0
 
no failover
access-group mcast in interface outside
access-group mcast in interface inside
access-group mcast in interface dmz
 
! Configures unicast routing
router ospf 1
network 10.1.1.0 255.255.255.0 area 0
network 10.1.2.0 255.255.255.0 area 0
network 10.1.3.0 255.255.255.0 area 0
log-adj-changes
 

例 9:LAN ベースの Active/Standby フェールオーバー(ルーテッド モード)

図 A-9 に、イーサネット フェールオーバー リンクを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、セカンダリ装置にフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 A-9 LAN ベースのフェールオーバー コンフィギュレーション

 

プライマリ装置またはセカンダリ装置のコンフィギュレーション事例については、次の項を参照してください。

「例 9 のプライマリ装置のコンフィギュレーション」

「例 9 のセカンダリ装置のコンフィギュレーション」

例 9 のプライマリ装置のコンフィギュレーション

hostname pixfirewall
enable password myenablepassword
password mypassword
interface gigabitethernet0/0
nameif outside
ip address 209.165.201.1 255.255.255.224 standby 209.165.201.2
no shutdown
interface gigabitethernet0/1
nameif inside
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
no shutdown
interface gigabitethernet0/2
description LAN Failover Interface
no shutdown
interface gigabitethernet0/3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
failover
failover lan unit primary
failover lan interface failover gigabitethernet0/2
failover lan enable
! The failover lan enable command is required on the PIX 適応型セキュリティ アプライアンス only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state gigabitethernet0/3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 9 のセカンダリ装置のコンフィギュレーション

failover
failover lan unit secondary
failover lan interface failover gigabitethernet0/2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 10:LAN ベースの Active/Active フェールオーバー(ルーテッド モード)

次の例は、Active/Active フェールオーバーの設定方法を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 A-10 に、ネットワーク図の例を示します。

図 A-10 Active/Active フェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 10 のプライマリ装置のコンフィギュレーション」

「例 10 のセカンダリ装置のコンフィギュレーション」

例 10 のプライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 10 のプライマリ システムのコンフィギュレーション」

「例 10 のプライマリ管理コンテキストのコンフィギュレーション」

「例 10 のプライマリ ctx1 コンテキストのコンフィギュレーション」

例 10 のプライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface gigabitethernet0/0
description LAN/STATE Failover Interface
interface gigabitethernet0/1
no shutdown
interface gigabitethernet0/2
no shutdown
interface gigabitethernet0/3
no shutdown
interface gigabitethernet1/0
no shutdown
interface gigabitethernet1/1
no shutdown
interface gigabitethernet1/2
no shutdown
interface gigabitethernet1/3
no shutdown
failover
failover lan unit primary
failover lan interface folink gigabitethernet0/0
failover link folink gigabitethernet0/0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt 60
failover group 2
secondary
preempt 60
admin-context admin
context admin
description admin
allocate-interface gigabitethernet0/1
allocate-interface gigabitethernet0/2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface gigabitethernet0/3
allocate-interface gigabitethernet1/0
config-url flash:/ctx1.cfg
join-failover-group 2

例 10 のプライマリ管理コンテキストのコンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

enable password frek
password elixir
hostname admin
interface gigabitethernet0/1
nameif outside
security-level 0
ip address 192.168.5.101 255.255.255.0 standby 192.168.5.111
interface gigabitethernet0/2
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0 standby 192.168.0.11
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.0.2 255.255.255.255 inside
 

例 10 のプライマリ ctx1 コンテキストのコンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

enable password quadrophenia
password tommy
hostname ctx1
interface gigabitethernet0/3
nameif inside
security-level 100
ip address 192.168.20.1 255.255.255.0 standby 192.168.20.11
interface gigabitethernet1/0
nameif outside
security-level 0
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.41
asr-group 1
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.71 1
 

例 10 のセカンダリ装置のコンフィギュレーション

セカンダリ適応型セキュリティ アプライアンスに必要なコンフィギュレーションは、フェールオーバー リンクの認識だけです。セカンダリ適応型セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ適応型セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループ コンフィギュレーション内の preempt コマンドによって、コンフィギュレーションが同期化され、プリエンプション遅延が経過した後に、フェールオーバー グループは指定された装置上でアクティブになります。

failover
failover lan unit secondary
failover lan interface folink gigabitethernet0/0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

例 11:LAN ベースの Active/Standby フェールーバー(トランスペアレント モード)

図 A-11 に、イーサネット フェールオーバー リンクを使用したトランスペアレント モードのフェールオーバー コンフィギュレーションのネットワーク図を示します。これらの装置は、装置の障害を検出すると、セカンダリ装置にフェールオーバーするように設定されています(プライマリ装置のコンフィギュレーションの failover polltime unit コマンドを参照)。

図 A-11 トランスペアレント モードの LAN ベースのフェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 11 のプライマリ装置のコンフィギュレーション」

「例 11 のセカンダリ装置のコンフィギュレーション」

例 11 のプライマリ装置のコンフィギュレーション

firewall transparent
hostname pixfirewall
enable password myenablepassword
password mypassword
interface gigabitethernet0/0
nameif outside
no shutdown
interface gigabitethernet0/1
nameif inside
no shutdown
interface gigabitethernet0/2
description LAN Failover Interface
no shutdown
interface gigabitethernet0/3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_out permit tcp any host 209.165.201.5 eq 80
ip address 209.165.201.1 255.255.255.0 standby 209.165.201.2
failover
failover lan unit primary
failover lan interface failover gigabitethernet0/2
failover lan enable
! The failover lan enable command is required on the PIX 適応型セキュリティ アプライアンス only.
failover polltime unit msec 200 holdtime msec 800
failover key key1
failover link state gigabitethernet0/3
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 11 のセカンダリ装置のコンフィギュレーション

firewall transparent
failover
failover lan unit secondary
failover lan interface failover gigabitethernet0/2
failover lan enable
failover key key1
failover interface ip failover 192.168.254.1 255.255.255.0 standby 192.168.254.2

例 12:LAN ベースの Active/Active フェールオーバー(トランスペアレント モード)

次の例は、トランスペアレント モードの Active/Active フェールオーバーの設定方法を示します。この例では、admin と ctx1 という名前の 2 つのユーザ コンテキストがあります。図 A-12 に、ネットワーク図の例を示します。

図 A-12 トランスペアレント モードの Active/Active フェールオーバー コンフィギュレーション

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 12 のプライマリ装置のコンフィギュレーション」

「例 12 のセカンダリ装置のコンフィギュレーション」

例 12 のプライマリ装置のコンフィギュレーション

プライマリ装置のコンフィギュレーションについては、次の項を参照してください。

「例 12 のプライマリ システムのコンフィギュレーション」

「例 12 のプライマリ管理コンテキストのコンフィギュレーション」

「例 12 のプライマリ ctx1 コンテキストのコンフィギュレーション」

例 12 のプライマリ システムのコンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

firewall transparent
hostname ciscopix
enable password farscape
password crichton
asdm image flash:/asdm.bin
boot system flash:/cdisk.bin
mac-address auto
interface gigabitethernet0/0
description LAN/STATE Failover Interface
interface gigabitethernet0/1
no shutdown
interface gigabitethernet0/2
no shutdown
interface gigabitethernet0/3
no shutdown
interface gigabitethernet1/0
no shutdown
interface gigabitethernet1/1
no shutdown
interface gigabitethernet1/2
no shutdown
interface gigabitethernet1/3
no shutdown
failover
failover lan unit primary
failover lan interface folink gigabitethernet0/0
failover link folink gigabitethernet0/0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
preempt
failover group 2
secondary
preempt
admin-context admin
context admin
description admin
allocate-interface gigabitethernet0/1
allocate-interface gigabitethernet0/2
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface gigabitethernet0/3
allocate-interface gigabitethernet1/0
config-url flash:/ctx1.cfg
join-failover-group 2

例 12 のプライマリ管理コンテキストのコンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

enable password frek
password elixir
hostname admin
interface gigabitethernet0/1
nameif outside
security-level 0
interface gigabitethernet0/2
nameif inside
security-level 100
ip address 192.168.5.31 255.255.255.0 standby 192.168.5.32
monitor-interface outside
monitor-interface inside
route outside 0.0.0.0 0.0.0.0 192.168.5.1 1
ssh 192.168.5.72 255.255.255.255 inside
 

例 12 のプライマリ ctx1 コンテキストのコンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

enable password quadrophenia
password tommy
hostname ctx1
interface gigabitethernet0/3
nameif inside
security-level 100
interface gigabitethernet1/0
nameif outside
security-level 0
access-list 201 extended permit ip any any
access-group 201 in interface outside
logging enable
logging console informational
ip address 192.168.10.31 255.255.255.0 standby 192.168.10.32
monitor-interface inside
monitor-interface outside
route outside 0.0.0.0 0.0.0.0 192.168.10.1 1
 

例 12 のセカンダリ装置のコンフィギュレーション

セカンダリ適応型セキュリティ アプライアンスに必要なコンフィギュレーションは、フェールオーバー リンクの認識だけです。セカンダリ適応型セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ適応型セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。フェールオーバー グループ コンフィギュレーション内の preempt コマンドによって、コンフィギュレーションが同期化され、プリエンプション遅延が経過した後に、フェールオーバー グループは指定された装置上でアクティブになります。

firewall transparent
failover
failover lan unit secondary
failover lan interface folink gigabitethernet0/0
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
 

例 13:ケーブルベースの Active/Standby フェールオーバー(ルーテッド モード)

図 A-13 に、シリアル フェールオーバー ケーブルを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。このコンフィギュレーションは、PIX 適応型セキュリティ アプライアンスでだけ使用できます。また、この例では、ステートフル フェールオーバー コンフィギュレーションも示します。

図 A-13 ケーブルベースのフェールオーバー コンフィギュレーション

 

次に、ケーブルベースのフェールオーバー コンフィギュレーションにおける代表的なコマンドを示します。

enable password myenablepassword
passwd mypassword
hostname pixfirewall
asdm image flash:/asdm.bin
boot system flash:/image.bin
interface Ethernet0
nameif outside
security-level 0
speed 100
duplex full
ip address 209.165.201.1 255.255.255.224 standby 209.165.201.2
no shutdown
interface Ethernet1
nameif inside
security-level 100
speed 100
duplex full
ip address 192.168.2.1 255.255.255.0 standby 192.168.2.2
no shutdown
interface Ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 inside
access-list acl_in permit tcp any host 209.165.201.5 eq 80
access-group acl_in in interface outside
failover
! Enables cable-based failover on the PIX security appliance
failover link state Ethernet3
failover interface ip state 192.168.253.1 255.255.255.252 standby 192.168.253.2
! The previous two lines are necessary for a stateful failover
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 14:ケーブルベースの Active/Standby フェールオーバー(トランスペアレント モード)

図 A-14 に、シリアル フェールオーバー ケーブルを使用したトランスペアレント モードのフェールオーバー コンフィギュレーションのネットワーク図を示します。このコンフィギュレーションは、PIX 500 シリーズ適応型セキュリティ アプライアンスでだけ使用できます。

図 A-14 トランスペアレント モードのケーブルベースのフェールオーバー コンフィギュレーション

 

 

次に、ケーブルベースの透過ファイアウォール フェールオーバー コンフィギュレーションにおける代表的なコマンドを示します。

enable password myenablepassword
passwd mypassword
hostname pixfirewall
asdm image flash:/asdm.bin
boot system flash:/image.bin
firewall transparent
interface Ethernet0
speed 100
duplex full
nameif outside
security-level 0
no shutdown
interface Ethernet1
speed 100
duplex full
nameif inside
security-level 100
no shutdown
interface Ethernet3
description STATE Failover Interface
telnet 192.168.2.45 255.255.255.255 mgmt
access-list acl_in permit tcp any host 209.165.201.5 eq 80
access-group acl_in in interface outside
ip address 209.165.201.1 255.255.255.0 standby 209.165.201.2
failover
failover link state Ethernet3
failover interface ip state 192.168.253.1 255.255.255.0 standby 192.168.253.2
route outside 0.0.0.0 0.0.0.0 209.165.201.4 1
 

例 15:ASA 5505 基本ライセンス

このコンフィギュレーションでは、内部(ビジネス)、外部(インターネット)、ホームの 3 つの VLAN を作成します(図 A-15 を参照)。ホーム VLAN と内部 VLAN も外部にアクセスできますが、ホーム VLAN から内部 VLAN にはアクセスできません。内部 VLAN からはホーム VLAN にアクセスできるため、1 台のプリンタを共有できます。外部 IP アドレスは DHCP を使用して設定されているため、内部 VLAN とホーム VLAN は、インターネット アクセス時にインターフェイス PAT を使用します。

図 A-15 ASA 5505 基本ライセンス

 

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface vlan 2
nameif outside
security-level 0
ip address dhcp setroute
no shutdown
interface vlan 1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface vlan 3
! This interface cannot communicate with the inside interface. This is required using
! the Base license
no forward interface vlan 1
nameif home
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
interface ethernet 0/0
switchport access vlan 2
no shutdown
interface ethernet 0/1
switchport access vlan 1
no shutdown
interface ethernet 0/2
switchport access vlan 1
no shutdown
interface ethernet 0/3
switchport access vlan 3
no shutdown
interface ethernet 0/4
switchport access vlan 3
no shutdown
interface ethernet 0/5
switchport access vlan 3
no shutdown
interface ethernet 0/6
description PoE for IP phone1
switchport access vlan 1
no shutdown
interface ethernet 0/7
description PoE for IP phone2
switchport access vlan 1
no shutdown
nat (inside) 1 0 0
nat (home) 1 0 0
global (outside) 1 interface
! The previous NAT statements match all addresses on inside and home, so you need to
! also perform NAT when hosts access the inside or home networks (as well as the outside). ! Or you can exempt hosts from NAT for inside <--> home traffic, as effected by the
! following:
access-list natexmpt-inside extended permit ip any 192.168.2.0 255.255.255.0
access-list natexmpt-home extended permit ip any 192.168.1.0 255.255.255.0
nat (inside) 0 access-list natexmpt-inside
nat (home) 0 access-list natexmpt-home
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
ssh 192.168.1.0 255.255.255.0 inside

例 16:フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス

このコンフィギュレーションでは、内部、外部、dmz、バックアップ ISP、および faillink の 5 つの VLAN を作成します(図 A-16 を参照)。

図 A-16 フェールオーバーおよびデュアル ISP バックアップでの ASA 5505 Security Plus ライセンス

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 16 のプライマリ装置のコンフィギュレーション」

「例 16 のセカンダリ装置のコンフィギュレーション」

例 16 のプライマリ装置のコンフィギュレーション

passwd g00fba11
enable password gen1u$
hostname Buster
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
interface vlan 2
description Primary ISP interface
nameif outside
security-level 0
ip address 209.165.200.224 standby 209.165.200.225
backup interface vlan 4
no shutdown
interface vlan 1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
interface vlan 3
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
no shutdown
interface vlan 4
description Backup ISP interface
nameif backup-isp
security-level 0
ip address 209.168.202.128 standby 209.168.202.129
no shutdown
interface vlan 5
description LAN Failover Interface
interface ethernet 0/0
switchport access vlan 2
no shutdown
interface ethernet 0/1
switchport access vlan 4
no shutdown
interface ethernet 0/2
switchport access vlan 1
no shutdown
interface ethernet 0/3
switchport access vlan 3
no shutdown
interface ethernet 0/4
switchport access vlan 5
no shutdown
failover
failover lan unit primary
failover lan interface faillink vlan5
failover lan faillink vlan5
failover polltime unit 3 holdtime 10
failover key key1
failover interface ip faillink 10.1.1.1 255.255.255.0 standby 10.1.1.2
nat (inside) 1 0 0
nat (home) 1 0 0
global (outside) 1 interface
! The previous NAT statements match all addresses on inside and home, so you need to
! also perform NAT when hosts access the inside or home networks (as well as the outside). ! Or you can exempt hosts from NAT for inside <--> home traffic, as effected by the
! following:
access-list natexmpt-inside extended permit ip any 192.168.2.0 255.255.255.0
access-list natexmpt-home extended permit ip any 192.168.1.0 255.255.255.0
nat (inside) 0 access-list natexmpt-inside
nat (home) 0 access-list natexmpt-home
sla monitor 123
type echo protocol ipIcmpEcho 209.165.200.234 interface outside
num-packets 2
frequency 5
sla monitor schedule 123 life forever start-time now
track 1 rtr 123 reachability
route outside 0 0 209.165.200.234 1 track 1
! This route is for the primary ISP.
route backup-isp 0 0 209.165.202.154 2
! If the link goes down for the primary ISP, either due to a hardware failure
! or unplugged cable, then this route will be used.
http server enable
http 192.168.1.0 255.255.255.0 inside
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd auto_config outside
dhcpd enable inside
logging asdm informational
ssh 192.168.1.0 255.255.255.0 inside
 

例 16 のセカンダリ装置のコンフィギュレーション

セカンダリ適応型セキュリティ アプライアンスに必要なコンフィギュレーションは、フェールオーバー リンクの認識だけです。セカンダリ適応型セキュリティ アプライアンスは、ブート時またはフェールオーバーが初めてイネーブルになったときに、プライマリ適応型セキュリティ アプライアンスからコンテキスト コンフィギュレーションを取得します。

interface ethernet 0/4
switchport access vlan 5
no shutdown
failover
failover lan unit secondary
failover lan interface faillink vlan5
failover polltime unit 3 holdtime 10
failover key key1
failover interface ip faillink 10.1.1.1 255.255.255.0 standby 10.1.1.2
 

例 17:マルチコンテキスト モードの AIP SSM

このコンフィギュレーションでは、3 つのコンテキストに 2 つの仮想 IPS センサーを割り当てます。コンテキスト 1 はセンサー 1 を使用し、コンテキスト 2 はセンサー 2(高度なセキュリティのため)を使用します。また、コンテキスト 3 はほとんどのトラフィックにセンサー 2 を使用しますが、より信頼の高い外部ネットワークにはセンサー 1 を使用します(図 A-17 を参照)。

コンテキスト 1 では、信頼されたネットワークだけが SSH を使用した Web サーバへのアクセスとコンテキストの管理を許可されます。

コンテキスト 2 では、外部ユーザは FTP サーバにアクセスできます。

コンテキスト 3 では、外部ユーザは Web サーバにアクセスできますが、信頼されたネットワークからは内部ネットワーク上のすべてにアクセスできます。

図 A-17 セキュリティ コンテキストと仮想センサー

 

この事例のコンフィギュレーションについては、次の項を参照してください。

「例 17 のシステム コンフィギュレーション」

「例 17 のコンテキスト 1 コンフィギュレーション」

「例 17 のコンテキスト 2 コンフィギュレーション」

「例 17 のコンテキスト 3 コンフィギュレーション」

例 17 のシステム コンフィギュレーション

まず、 mode multiple コマンドを使用して、マルチコンテキスト モードをイネーブルにする必要があります。モードはリブートしても保持されますが、コンフィギュレーション ファイルには保存されません。 show mode コマンドを入力して、現在のモードを表示します。

hostname Farscape
password passw0rd
enable password chr1cht0n
mac-address auto
asdm image disk0:/asdm.bin
boot system disk0:/image.bin
admin-context context 1
interface gigabitethernet 0/0
no shutdown
interface gigabitethernet 0/1
no shutdown
interface gigabitethernet 0/2
no shutdown
interface gigabitethernet 0/3
no shutdown
context 1
allocate-interface gigabitethernet0/0
allocate-interface gigabitethernet0/3
allocate-ips sensor1
config-url ftp://user1:passw0rd@10.1.1.1/configlets/context1.cfg
context 2
allocate-interface gigabitethernet0/1
allocate-interface gigabitethernet0/3
allocate-ips sensor2
config-url ftp://user1:passw0rd@10.1.1.1/configlets/context2.cfg
context 3
allocate-interface gigabitethernet0/2
allocate-interface gigabitethernet0/3
allocate-ips sensor1
allocate-ips sensor2 default
config-url ftp://user1:passw0rd@10.1.1.1/configlets/context3.cfg

例 17 のコンテキスト 1 コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

hostname context1
domain example.com
interface gigabitethernet 0/3
nameif outside
security-level 0
ip address 209.165.200.225 255.255.255.224
no shutdown
interface gigabitethernet 0/0
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
no shutdown
passwd seaandsand
enable password pinballwizard
route outside 0 0 209.165.200.230 1
ssh 209.165.201.0 255.255.255.224 outside
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 209.165.200.252
! Trusted network can access the web server at 10.1.1.7
access-list INBOUND extended permit tcp 209.165.201.0 255.255.255.224 host 10.1.1.7 eq http
access-group INBOUND in interface outside
! Any traffic allowed to the inside of context 1 must go through
! the IPS sensor assigned to the context.
! Traffic is in promiscuous mode (a separate stream is sent
! to the IPS sensor. If the sensor fails, traffic continues.
access-list IPS extended permit ip any any
class-map my-ips-class
match access-list IPS
policy-map my-ips-policy
class my-ips-class
ips promiscous fail-open
service-policy my-ips-policy interface outside
 

例 17 のコンテキスト 2 コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

hostname context2
domain example.com
interface gigabitethernet 0/3
nameif outside
security-level 0
ip address 209.165.200.226 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif inside
security-level 100
ip address 10.1.2.1 255.255.255.0
no shutdown
passwd drjimmy
enable password acidqueen
route outside 0 0 209.165.200.230 1
ssh 10.1.2.67 255.255.255.255 inside
nat (inside) 1 10.1.2.0 255.255.255.0
global (outside) 1 209.165.200.253
! All users can access the FTP server at 10.1.2.10
access-list FTP extended permit tcp any any eq ftp
access-group FTP in interface outside
! Any traffic allowed to the inside of context 2 must go through
! the IPS sensor assigned to the context.
! Traffic is in inline mode (traffic is sent
! to the IPS sensor before continuing to the inside.)
! If the sensor fails, traffic stops.
access-list IPS permit ip any any
class-map my-ips-class
match access-list IPS
policy-map my-ips-policy
class my-ips-class
ips inline fail-close
service-policy my-ips-policy interface outside
 

例 17 のコンテキスト 3 コンフィギュレーション

コンテキスト コンフィギュレーションに切り替えるには、 changeto context name コマンドを入力します。システムに戻るには、 changeto system を入力します。

hostname context3
domain example.com
interface gigabitethernet 0/3
nameif outside
security-level 0
ip address 209.165.200.227 255.255.255.224
no shutdown
interface gigabitethernet 0/1
nameif inside
security-level 100
ip address 10.1.3.1 255.255.255.0
no shutdown
passwd lovereign
enable password underture
route outside 0 0 209.165.200.230 1
ssh 209.165.201.0 255.255.255.224 outside
nat (inside) 1 10.1.3.0 255.255.255.0
global (outside) 1 209.165.200.254
! All users can access the web server at 10.1.3.21
! The trusted network 209.165.201.0/27 can access all of the inside nw.
access-list IN_CONTEXT3 extended permit ip 209.165.201.0 255.255.255.224 any
access-list IN_CONTEXT3 extended permit tcp any host 10.1.3.21 eq http
access-group IN_CONTEXT3 in interface outside
! Traffic from 209.165.201.0/27 goes through IPS sensor 1.
! Traffic is in promiscuous mode (a separate stream is sent
! to the IPS sensor. If the sensor fails, traffic continues.
! All other traffic allowed to the inside of context 1 must go
! through sensor 2. Traffic is in inline mode (traffic is sent
! to the IPS sensor before continuing to the inside.)
! If the sensor fails, traffic stops.
access-list my-ips-acl permit ip 209.165.201.0 255.255.255.224 any
class-map my-ips-class
match access-list my-ips-acl
access-list my-ips-acl2 permit ip any any
class-map my-ips-class2
match access-list my-ips-acl2
policy-map my-ips-policy
class my-ips-class
ips promiscuous fail-open sensor sensor1
class my-ips-class2
ips inline fail-close sensor sensor2
service-policy my-ips-policy interface outside