Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
基本設定
基本設定
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

基本設定

ホスト名、ドメイン名、およびパスワードの設定

ログイン パスワードの変更

イネーブル パスワードの変更

ホスト名の設定

ドメイン名の設定

日付と時刻の設定

時間帯と夏時間の日付範囲の設定

NTP サーバを使用する日付と時刻の設定

手動での日付と時刻の設定

マスター パスフレーズの設定

マスター パスフレーズに関する情報

マスター パスフレーズのライセンス要件

ガイドラインと制限事項

マスター パスフレーズの追加または変更

マスター パスフレーズのディセーブル化

マスター パスフレーズの回復

マスター パスフレーズの機能履歴

DNS サーバの設定

透過ファイアウォールの管理 IP アドレスの設定

管理 IP アドレスに関する情報

透過ファイアウォールの管理 IP アドレスのライセンス要件

ガイドラインと制限事項

IPv4 アドレスの設定

IPv6 アドレスの設定

透過ファイアウォールの管理 IP アドレスの設定例

透過ファイアウォールの管理 IP アドレスの機能履歴

基本設定

この章では、適応型セキュリティ アプライアンス上で機能を果たすコンフィギュレーションに通常必要とされる基本設定を行う方法について説明します。この章には、次の項があります。

「ホスト名、ドメイン名、およびパスワードの設定」

「日付と時刻の設定」

「マスター パスフレーズの設定」

「DNS サーバの設定」

「透過ファイアウォールの管理 IP アドレスの設定」

ホスト名、ドメイン名、およびパスワードの設定

この項では、デバイス名とパスワードの変更方法を説明します。次の項目を取り上げます。

「ログイン パスワードの変更」

「イネーブル パスワードの変更」

「ホスト名の設定」

「ドメイン名の設定」

ログイン パスワードの変更

ログイン パスワードは Telnet 接続と SSH 接続に使用されます。デフォルトでは、ログイン パスワードは「cisco」です。パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的
{ passwd | password } password

 

パスワードを変更します。

passwd または password と入力します。パスワードは、最大 16 文字の英数字および特殊文字で、大文字と小文字の区別があります。パスワードには疑問符(?)とスペースを除く任意の文字を使用できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードをデフォルト設定に戻すには、no password コマンドを使用します。

イネーブル パスワードの変更

イネーブル パスワードを使用すると、特権 EXEC モードに入ることができます。デフォルトでは、イネーブル パスワードは空白に設定されています。イネーブル パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的

enable password password

イネーブル パスワードを変更します。

password は、最大 16 文字の英数字および特殊文字からなるパスワードで、大文字と小文字は区別されます。パスワードには疑問符(?)とスペースを除く任意の文字を使用できます。

このコマンドは最高の特権レベルにパスワードを変更します。ローカル コマンド認可を設定すると、0 ~ 15 の各特権レベルにイネーブル パスワードを設定できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードを指定せずに enable password コマンドを入力すると、パスワードはデフォルトの空白に設定されます。

 

ホスト名の設定

適応型セキュリティ アプライアンスのホスト名を設定すると、そのホスト名がコマンドラインのプロンプトに表示されます。このホスト名によって、複数のデバイスとのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。デフォルトのホスト名は、プラットフォームの種類によって決まります。

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンドライン プロンプトに表示されます。コンテキスト内にオプションで設定したホスト名はコマンドラインに表示されませんが、 banner コマンドの $(hostname) トークンで使用できます。

 

コマンド
目的

hostname name

 

例:

 

hostname(config)# hostname farscape

farscape(config)#

適応型セキュリティ アプライアンスまたはコンテキストのホスト名を指定します。

名前には、63 文字以下の文字を使用できます。ホスト名は英字または数字で始まり英字または数字で終わる必要があります。中の文字として使用できるのは、英字、数字、ハイフンだけです。

ドメイン名の設定

適応型セキュリティ アプライアンスは、ドメイン名を未修飾名に拡張子として追加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバに未修飾名「jupiter」を指定すると、セキュリティ アプライアンスは、この名前を「jupiter.example.com」に限定します。

デフォルトのドメイン名は、default.domain.invalid です。

マルチコンテキスト モードでは、システム実行スペース内と同様、各コンテキストにドメイン名を設定することができます。

 

コマンド
目的

domain-name name

 

例:

 

hostname(config)# domain-name example.com

適応型セキュリティ アプライアンスのドメイン名を指定します。

たとえば、ドメインに example.com という名前を指定します。

日付と時刻の設定

この項では、日付と時刻の設定方法として、手動で行う方法と NTP サーバを使用するダイナミックな方法について説明します。手動で設定した時刻はすべて、NTP サーバから取得された時刻によって上書きされます。この項では、時間帯および夏時間の日付範囲の設定方法についても説明します。


) マルチコンテキスト モードでは、時刻はシステム コンフィギュレーションのみに設定してください。


この項は、次の内容で構成されています。

「時間帯と夏時間の日付範囲の設定」

「NTP サーバを使用する日付と時刻の設定」

「手動での日付と時刻の設定」

時間帯と夏時間の日付範囲の設定

デフォルトでは、時間帯は UTC(協定世界時)であり、夏時間の日付範囲は 4 月の第一日曜日の午前 2 時~ 10 月の最終日曜日の午前 2 時です。時間帯および夏時間の日付範囲を変更するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

clock timezone zone [ - ] hours [ minutes ]

時間帯を設定します。

ここで、 zone 値は、時間帯を文字列で指定します。たとえば、 PST は太平洋標準時(Pacific Standard Time)を表します。

[ - ] hours 値は、UTC との時差を時間で設定します。たとえば、PST は -8 時間です。

minutes 値は、UTC との時差を分で設定します。

ステップ 2

夏時間の日付範囲をデフォルトから変更するには、次のいずれかのコマンドを入力します。定期的な日付範囲のデフォルト値は、3 月の第二日曜日の午前 2 時~ 11 月の第一日曜日の午前 2 時です。

clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]

夏時間の開始日と終了日を特定の年の特定の日付に設定します。このコマンドを使用する場合は、日付を毎年再設定する必要があります。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

day 値は、月の日付として 1 ~ 31 を設定します。使用する標準日付形式に合せて月日を April 1 または 1 April のように入力することができます。

month 値は、月を文字列で設定します。使用する標準日付形式に合せて月日を April 1 または 1 April のように入力することができます。

year 値は、4 桁で年を設定します( 2004 など)。西暦年の範囲は 1993 ~ 2035 です。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分です。

clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]

夏時間の開始日と終了日を、ある年の特定の日付ではなく、ある月の日付および時刻という形式で指定します。

このコマンドによって定期的な日付範囲が設定されるため、毎年変更する必要はありません。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

week 値は、月の特定の週を 1 から 4 までの整数で指定するか、 first または last という単語で指定します。たとえば、日付が半端な第 5 週にあたる場合は、 last と指定します。

weekday 値は、 Monday Tuesday Wednesday などのように曜日を指定します。

month 値は、月を文字列で設定します。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルトでは、60 分です。

NTP サーバを使用する日付と時刻の設定

NTP サーバから日付と時刻を取得するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

ntp authenticate

NTP サーバに関する認証をイネーブルにします。

ステップ 2

ntp trusted-key key_id

認証キー ID が信頼できるキーであると指定します。この信頼できるキーは、NTP サーバに関する認証に必要です。

ここで、 key_id は、1 ~ 4294967295 の数字です。複数のサーバで使用する場合は複数の信頼できるキーを入力することができます。

ステップ 3

ntp authentication-key key_id md5 key

NTP サーバで認証を行うためのキーを設定します。

ここで、 key_id には、 ntp trusted-key コマンドを実行してステップ 2 で設定した ID を指定し、key には最大 32 文字の文字列を指定します。

ステップ 4

ntp server ip_address [ key key_id ] [source interface_name] [ prefer ]

NTP サーバを識別します。

ここで、 key_id には、ステップ 2 ntp trusted-key コマンドを実行して設定した ID を指定します。

source interface_name には、ルーティング テーブル内のデフォルトのインターフェイスを使用しない場合に、NTP パケットを転送する発信インターフェイスを指定します。システムにはマルチコンテキスト モードのインターフェイスが含まれていないため、管理コンテキストに定義されているインターフェイス名を指定します。

prefer キーワードは、精度が類似する複数のサーバがある場合に、この NTP サーバを優先サーバに設定します。NTP は、アルゴリズムを使用して最も精度の高いサーバを判別し、そのサーバに同期します。複数のサーバの精度が類似している場合は、 prefer キーワードを使用して使用するサーバを指定します。ただし、優先サーバよりはるかに精度の高いサーバがある場合は、適応型セキュリティ アプライアンス はその精度の高いサーバを使用します。たとえば、適応型セキュリティ アプライアンスは、優先サーバの stratum 3 の代わりに、サーバ stratum 2 を使用します。

サーバは複数指定することができ、適応型セキュリティ アプライアンスがその中から最も精度の高いサーバを使用します。

手動での日付と時刻の設定

 

コマンド
目的

clock set hh : mm : ss { month day | day month } year

 

日付と時刻を手動で設定します。

ここで、 hh : mm : ss には、24 時間形式で、時間、分、秒を設定します。たとえば、午後 8 時 54 分は 20:54:00 と設定します。

day 値は、月の日付として 1 ~ 31 を設定します。使用する標準日付形式に合せて月日を april 1 または 1 april のように入力することができます。

month 値は、月を設定します。使用する標準日付形式に合せて、月日を april 1 または 1 april のように入力することができます。

year 値は、4 桁で年を設定します( 2004 など)。西暦年の範囲は 1993 ~ 2035 です。

デフォルトの時間帯は UTC です。 clock set コマンドを使用した後に、 clock timezone コマンドを使用して時間帯を変更すると、設定した時刻は新しい時間帯に自動的に合せられます。

このコマンドは時刻をハードウェア チップに設定し、コンフィギュレーション ファイルには時刻を保存しません。この時刻はリブートしても保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックを再設定するには、 clock set コマンドに新しい時刻を設定する必要があります。

マスター パスフレーズの設定

この項では、マスター パスフレーズの設定方法を説明します。この項は、次の内容で構成されています。

「マスター パスフレーズに関する情報」

「マスター パスフレーズのライセンス要件」

「ガイドラインと制限事項」

「マスター パスフレーズの追加または変更」

「マスター パスフレーズのディセーブル化」

「マスター パスフレーズの回復」

「マスター パスフレーズの機能履歴」

マスター パスフレーズに関する情報

マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。マスター パスフレーズは、機能を変更することなく、すべてのパスワードを一般的に暗号化またはマスキングするために使用するキーです。この機能を活かしたパスワードには、次のものがあります。

OSPF

EIGRP

VPN ロードバランシング

VPN(リモート アクセスおよびサイトツーサイト)

フェールオーバー

AAA サーバ

ロギング

共有ライセンス

その他多数...

マスター パスフレーズのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マスター パスフレーズの追加または変更

この項では、マスター パスフレーズ機能の設定方法について説明します。

前提条件

フェールオーバーがイネーブルであっても、フェールオーバー共有キーが設定されていない場合に、マスター パスフレーズを変更すると、エラー メッセージが表示されます。このメッセージには、マスター パスフレーズの変更がプレーン テキストとして送信されないよう、フェールオーバー共有キーを入力する必要があることが示されます。

この手順を実行できるのは、HTTPS を介したコンソール、SSH、ASDM などによるセキュア セッションにおいてのみです。

手順の詳細

 

コマンド
目的

ステップ 1

key config-key password-encryption [ new_passphrase [ old_passphrase ]]

 

例:

hostname(config)# key config-key password-encryption
Old key: bumblebee
New key: haverford
Confirm key: haverford
 

暗号化キーの生成に使用するパスフレーズを 8 ~ 128 文字の長さで設定します。パスフレーズには、バック スペースと二重引用符を除くすべての文字を使用できます。

コマンドに新しいパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

パスフレーズを変更する際は、現在のパスフレーズも入力する必要があります。

インタラクティブ プロンプトの例については、「例」を参照してください。

(注) パスワードがコマンド履歴バッファに記録されないよう、パスワードの入力にはインタラクティブ プロンプトを使用することをお勧めします。

暗号化されたパスワードがプレーン テキスト パスワードに変換されるため、no key config-key password-encrypt コマンドの使用には注意が必要です。パスワードの暗号化がサポートされていないソフトウェア バージョンにダウングレードするときは、このコマンドの no 形式を使用できます。

ステップ 2

password encryption aes

 

例:

hostname(config)# password encryption aes

パスワードの暗号化をイネーブルにします。パスワードの暗号化が有効になり、マスター パスワードが使用可能になると、ただちにすべてのユーザ パスワードが暗号化されます。実行コンフィギュレーションには、パスワードが暗号化された形式で表示されます。

パスワードの暗号化をイネーブルにしたときに、パスフレーズが設定されていないと、パスフレーズが将来的に使用可能になるものとしてコマンドは正常に実行されます。

後から no password encryption aes コマンドを使用してパスワードの暗号化をディセーブルにすると、暗号化された既存のパスワードは変更されず、マスター パスフレーズが存在する限り、暗号化されたパスワードはアプリケーションによって必要に応じて復号化されます。

ステップ 3

write memory

 

 

例:

hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。そうしないと、以前保存するときに暗号化しなかった場合に、スタートアップ コンフィギュレーションでパスワードが可視のままになる場合があります。

さらに、マルチモードでは、システム コンテキスト コンフィギュレーション内のマスター パスフレーズが変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。または、システム コンテキストで write memory all コマンドを使用して、すべてのコンフィギュレーションを保存します。

次の設定例には、以前のキーがありません。

hostname (config)# key config-key password-encryption 12345678
 

次の設定例には、以前のキーがありません。

hostname (config)# key config-key password-encryption 12345678
 

次の設定例には、キーがすでに存在しています。

Hostname (config)# key config-key password-encryption 23456789
Old key: 12345678
hostname (config)#
 

次の設定例では、ユーザは対話形式の入力を求めていますが、キーはすでに存在しています。 key config-key password-encryption コマンドを入力して Enter キーを押し、インタラクティブ モードに入ると、[Old key]、[New key]、および [Confirm key] のプロンプトが画面に表示されます。

hostname (config)# key config-key password-encryption
Old key: 12345678
New key: 23456789
Confirm key: 23456789
 

次の例では、ユーザは対話形式の入力を求めていますが、キーは存在しません。インタラクティブ モードに入ると、[New key] および [Confirm key] のプロンプトが表示されます。

hostname (config)# key config-key password-encryption
New key: 12345678
Confirm key: 12345678

マスター パスフレーズのディセーブル化

マスター パスフレーズをディセーブルにすると、暗号化されたパスワードがプレーン テキスト パスワードに戻ります。暗号化されたパスワードをサポートしていない以前のソフトウェア バージョンにダウングレードする場合は、パスフレーズを削除しておくと便利です。

前提条件

ディセーブルにする現在のマスター パスフレーズがわかっていなければなりません。パスフレーズが不明の場合は、「マスター パスフレーズの回復」を参照してください。

この手順を実行できるのは、HTTPS を介したコンソール、SSH、ASDM などによるセキュア セッションにおいてのみです。

手順の詳細

 

コマンド
目的

ステップ 1

no key config-key password-encryption [ old_passphrase ]]

 

例:

hostname(config)# no key config-key password-encryption
 
Warning! You have chosen to revert the encrypted passwords to plain text. This operation will expose passwords in the configuration and therefore exercise caution while viewing, storing, and copying configuration.
 
Old key: bumblebee

マスター パスフレーズを削除します。

コマンドにパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

ステップ 2

write memory

 

例:

hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。パスフレーズを含む不揮発性メモリーは消去され、0xFF パターンで上書きされます。

マルチモードでは、システム コンテキスト コンフィギュレーション内のマスター パスフレーズが変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。または、システム コンテキストで write memory all コマンドを使用して、すべてのコンフィギュレーションを保存します。


 

マスター パスフレーズの回復

マスター パスフレーズは回復できません。

マスター パスフレーズをなくした場合や不明な場合は、write erase コマンドに続けて reload コマンドを使用すると削除できます。これにより、暗号化されたパスワードを含むコンフィギュレーションと一緒にマスター キーが削除されます。

マスター パスフレーズの機能履歴

表 7-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 7-1 マスター パスフレーズの機能履歴

機能名
プラットフォーム リリース
機能情報

マスター パスフレーズ

8.3(1)

この機能が導入されました。

key config-key password-encryption コマンド、 password encryption aes コマンド、 clear configure password encryption aes コマンド、および show running-config password encryption aes コマンドが導入されました。

DNS サーバの設定

一部の適応型セキュリティ アプライアンス機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。他の機能( ping コマンドや traceroute コマンドなど)では、トレースルートのために ping する名前を入力できます。適応型セキュリティ アプライアンスは、DNS サーバと通信してこの名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。


) 適応型セキュリティ アプライアンスでは、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。


ダイナミック DNS の詳細については、「DDNS の設定」を参照してください。

前提条件

DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティングを設定し、DNS サーバに到達できるようにしてください。ルーティングの詳細については、「ルーティングに関する情報」を参照してください。

手順の詳細

 

コマンド
目的

ステップ 1

dns domain-lookup interface_name

 

例:

hostname(config)# dns domain-lookup inside

適応型セキュリティ アプライアンスが DNS サーバに DNS 要求を送信して、サポートされているコマンドの名前ルックアップを実行できるようにします。

ステップ 2

dns server-group DefaultDNS

 

例:

hostname(config)# dns server-group DefaultDNS

適応型セキュリティ アプライアンスが from-the-box 要求に使用する DNS サーバ グループを指定します。

VPN トンネル グループ用に他の DNS サーバ グループを設定できます。詳細については、『 Cisco ASA 5500 Series Command Reference 』の tunnel-group コマンドを参照してください。

ステップ 3

name-server ip_address [ip_address2] [...] [ip_address6]

 

例:

hostname(config-dns-server-group)# name-server 10.1.1.5 192.168.1.67 209.165.201.6

1 つまたは複数の DNS サーバを指定します。同じコマンドで 6 つの IP アドレスすべてをスペースで区切って入力するか、各コマンドを別々に入力できます。セキュリティ アプライアンスは、応答が受信されるまで各 DNS サーバが順に試されます。

透過ファイアウォールの管理 IP アドレスの設定

この項では、透過ファイアウォール モードの管理 IP アドレスを設定する方法について説明します。次の項目を取り上げます。

「管理 IP アドレスに関する情報」

「透過ファイアウォールの管理 IP アドレスのライセンス要件」

「ガイドラインと制限事項」

「IPv4 アドレスの設定」

「IPv6 アドレスの設定」

「透過ファイアウォールの管理 IP アドレスの設定例」

「透過ファイアウォールの管理 IP アドレスの機能履歴」

管理 IP アドレスに関する情報

透過ファイアウォールは、IP ルーティングに参加しません。適応型セキュリティ アプライアンスで必要とされる唯一の IP コンフィギュレーションは、管理 IP アドレスの設定です。このアドレスは、システム メッセージまたは AAA サーバとの通信など、適応型セキュリティ アプライアンス上で発信されるトラフィックの送信元アドレスとして適応型セキュリティ アプライアンスが使用するために必要です。このアドレスは、リモート管理アクセスにも使用できます。

IPv4 トラフィックの場合、管理 IP アドレスでは、すべてのトラフィックを通過させる必要があります。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。


) デバイスの管理 IP アドレスに加えて、Management 0/0 または 0/1 の管理専用インターフェイスの IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定できます。「一般的なインターフェイス パラメータの設定」を参照してください。

他のインターフェイスの IPv4 アドレスまたはグローバル IPv6 アドレスは設定しませんが、「一般的なインターフェイス パラメータの設定」に従って、セキュリティ レベルとインターフェイス名を設定する必要があります。


透過ファイアウォールの管理 IP アドレスのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。マルチコンテキスト モードでは、管理 IP アドレスを各コンテキスト内に設定します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードでサポートされています。ルーテッド モードの場合は、「一般的なインターフェイス パラメータの設定」に従って、インターフェイスごとに IP アドレスを設定します。

IPv6 のガイドライン

IPv6 をサポートします。

次の IPv6 アドレス関連のコマンドにはルータ機能が必要であるため、トランスペアレント モードではサポートされません。

ipv6 address autoconfig

ipv6 nd suppress-ra

トランスペアレント モードでサポートされない IPv6 コマンドの完全なリストについては、「IPv6 対応のコマンド」を参照してください。

IPv6 エニーキャスト アドレスはサポートしません。

IPv6 アドレスと IPv4 アドレスの両方を設定できます。

その他のガイドラインと制限事項

デバイスの管理 IP アドレスに加えて、Management 0/0 または 0/1 の管理専用インターフェイスの IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定できます。「一般的なインターフェイス パラメータの設定」を参照してください。

他のインターフェイスの IP アドレスは設定しませんが、「一般的なインターフェイス パラメータの設定」に従って、セキュリティ レベルとインターフェイス名を設定する必要があります。

IPv4 アドレスの設定

この項では、IPv4 アドレスの設定方法について説明します。

手順の詳細

 

コマンド
目的

ip address ip_address [ mask ] [ standby ip_address ]

 

例:

hostname(config)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2

このアドレスは、アップストリーム ルータおよびダウンストリーム ルータと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。フェールオーバーには、 standby キーワードおよびアドレスを使用します。詳細については、「Active/Standby フェールオーバーの設定」または 「Active/Active フェールオーバーの設定」を参照してください。

IPv6 アドレスの設定

グローバル アドレスを設定すると、リンクローカル アドレスが各インターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。


) リンクローカル アドレスの設定だけを行う場合は、『Cisco ASA 5500 Series Command Reference』の ipv6 enable コマンドまたは ipv6 address link-local コマンドを参照してください。


手順の詳細

 

コマンド
目的

ipv6 address ipv6-prefix/prefix-length

 

例:

hostname(config)# ipv6 address 2001:0DB8::BA98:0:3210/48

グローバル アドレスを割り当てます。グローバル アドレスを割り当てると、各インターフェイスのリンクローカル アドレスが自動的に作成されます。

キーワードは、トランスペアレント モードでは使用できません。EUI アドレスは、ユニキャスト アドレスを適応型セキュリティ アプライアンス インターフェイスの MAC アドレスに関連付けます。ただし、トランスペアレント モード IP アドレスはインターフェイスに関連付けられないため、インターフェイスの MAC アドレスは使用できません。

IPv6 アドレッシングの詳細については、「IPv6 アドレス」を参照してください。

透過ファイアウォールの管理 IP アドレスの設定例

次の例では、IPv4 および IPv6 のグローバル管理 IP アドレスを設定し、内部インターフェイス、外部インターフェイス、および管理インターフェイスを設定しています。

hostname(config)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2
hostname(config)# ipv6 address 2001:0DB8::BA98:0:3210/48
 
hostname(config)# interface gigabitethernet 0/0
hostname(config-if)# nameif inside
hostname(config-if)# security-level 100
hostname(config-if)# no shutdown
 
hostname(config-if)# interface gigabitethernet 0/1
hostname(config-if)# nameif outside
hostname(config-if)# security-level 0
hostname(config-if)# no shutdown
 
hostname(config-if)# interface management 0/0
hostname(config-if)# nameif management
hostname(config-if)# security-level 50
hostname(config-if)# ip address 10.1.2.1 255.255.255.0
hostname(config-if)# ipv6 address 2001:0DB8::BA98:0:3211/48
hostname(config-if)# no shutdown
 

透過ファイアウォールの管理 IP アドレスの機能履歴

表 7-2 に、この機能のリリース履歴の一覧を示します。

 

表 7-2 トランスペアレント モード管理アドレスの機能履歴

機能名
リリース
機能情報

IPv6 サポート

8.2(1)

透過ファイアウォール モードの IPv6 サポートが導入されました。