Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
マルチコンテキスト モードのイネーブ ル化
マルチコンテキスト モードのイネーブル化
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

マルチコンテキスト モードのイネーブル化

セキュリティ コンテキストの概要

セキュリティ コンテキストの一般的な使用方法

サポートされていない機能

コンテキスト コンフィギュレーション ファイル

セキュリティ アプライアンスによるパケットの分類方法

コンテキスト間でのインターフェイス共有

インターフェイス共有のためのガイドライン

セキュリティ コンテキストのカスケード接続

マルチコンテキスト モードでのセキュリティ アプライアンスへのログイン

マルチコンテキスト モードのイネーブル化とディセーブル化

シングルモード コンフィギュレーションのバックアップ

マルチコンテキスト モードのイネーブル化

シングルコンテキスト モードの復元

マルチコンテキスト モードのイネーブル化

この章では、セキュリティ コンテキストの使用方法とマルチコンテキスト モードをイネーブルにする方法について説明します。次の事項について説明します。

「セキュリティ コンテキストの概要」

「マルチコンテキスト モードのイネーブル化とディセーブル化」

セキュリティ コンテキストの概要

1 台のセキュリティ アプライアンスを、セキュリティ コンテキストと呼ばれる複数の仮想装置に分割することができます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立した装置です。マルチコンテキストは、複数のスタンドアロン装置を使用することに似ています。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。

マルチコンテキスト モードの場合、セキュリティ アプライアンスには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン装置で設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。システム管理者は、システム コンフィギュレーションに設定することでコンテキストを追加および管理します。このコンフィギュレーションは、シングルモードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、セキュリティ アプライアンスの基本設定を識別します。システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。

この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの一般的な使用方法」

「サポートされていない機能」

「コンテキスト コンフィギュレーション ファイル」

「セキュリティ アプライアンスによるパケットの分類方法」

「コンテキスト間でのインターフェイス共有」

「マルチコンテキスト モードでのセキュリティ アプライアンスへのログイン」

セキュリティ コンテキストの一般的な使用方法

マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。

サービス プロバイダーとして、多数の顧客にセキュリティ サービスを販売する。セキュリティ アプライアンス上でマルチセキュリティ コンテキストをイネーブルにすることによって、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、顧客のトラフィックすべての分離とセキュリティが確保され、設定も容易です。

大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。

企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。

複数のセキュリティ アプライアンスが必要なネットワークを使用している。

サポートされていない機能

マルチコンテキスト モードでサポートされていない機能は、次のとおりです。

ダイナミック ルーティング プロトコル

セキュリティ コンテキストは、スタティック ルートのみサポートします。マルチコンテキスト モードでは、OSPF または RIP をイネーブルにできません。

VPN

マルチキャスト

コンテキスト コンフィギュレーション ファイル

各コンテキストには、独自のコンフィギュレーション ファイルがあり、セキュリティ ポリシーおよびインターフェイスを識別し、サポートされている機能に対しては、スタンドアロン装置で設定できるオプションすべてを識別します。コンテキスト コンフィギュレーションは、内部フラッシュ メモリまたは外部フラッシュ メモリ カードに保存することも、TFTP サーバ、FTP サーバ、または HTTP(S)サーバからダウンロードすることもできます。

個々のセキュリティ コンテキストに加えて、セキュリティ アプライアンスには、コンテキストのリストなどセキュリティ アプライアンスの基本設定を識別するシステム コンフィギュレーション ファイルも含まれています。シングルモード コンフィギュレーション同様、このコンフィギュレーションは、スタートアップ コンフィギュレーションとして常駐しています。

システム コンフィギュレーションには、自分自身のネットワーク インターフェイスまたはネットワーク設定は含まれません。システムがネットワーク リソースにアクセスする必要が生じたとき(サーバからコンテキストをダウンロードするときなど)は、管理コンテキストとして指定されたコンテキストのいずれかを使用します。システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊なフェールオーバー インターフェイスがあります。システムがすでにマルチコンテキスト モードになっている場合、またはシングルモードから変換された場合、管理コンテキストが admin.cfg と呼ばれるファイルとして内部フラッシュ メモリに自動的に作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとして使用しない場合は、管理コンテキストを変更できます。

セキュリティ アプライアンスによるパケットの分類方法

セキュリティ アプライアンスに入ってくるパケットはいずれも分類する必要があります。その結果、セキュリティ アプライアンスは、どのコンテキストにパケットを送信するかを決定できます。分類子は、次のルールに従ってパケットをコンテキストに割り当てます。

1. 入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、セキュリティ アプライアンスはパケットをそのコンテキストに分類します。

透過ファイアウォール モードでは、各コンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用されます。

2. マルチコンテキスト モードが入力インターフェイスに関連付けられている場合は、セキュリティ アプライアンスは、宛先アドレスを次のいずれかのコンテキスト コンフィギュレーションと照合してパケットをコンテキストに分類します。

a. インターフェイスの IP アドレス( ip address コマンド)

分類子は、管理トラフィックなど、1 つのインターフェイス宛てのトラフィックに対するインターフェイス IP アドレスを検査します。

b. スタティック NAT 文( static コマンド)のグローバル アドレス

分類子は、グローバル インターフェイスとパケットの入力インターフェイスが一致する場合に限り、 static コマンドを検査します。

c. グローバル NAT プール アドレス( global コマンド)

分類子は、入力インターフェイスに対してグローバル プールで識別された IP アドレスを検査します。


) 分類子は、分類の目的では NAT 免除コンフィギュレーションは使用しません。これは、NAT 免除がグローバル インターフェイスを識別しないためです。

パケットは、上記の方法のいずれか 1 つに基づいてコンテキストに分類される必要があります。たとえば、あるサブネットへのネクストホップとして外部ルータをポイントするスタティック ルートがコンテキストに含まれていて、同じサブネットに対する static コマンドが別のコンテキストに含まれている場合、分類子は、そのサブネットを宛先とするパケットを static コマンドを使用して分類し、スタティック ルートを無視します。


たとえば、各コンテキストが固有のインターフェイスを持つ場合、分類子は入力インターフェイスに基づいてパケットとコンテキストを関連付けます。しかし、コンテキスト全体で 1 つのインターフェイスを共有する場合は、分類子は宛先アドレスを使用します。

宛先アドレスの分類では、(トラフィックを通すために)NAT が必要です。したがって、NAT を使用しない場合は、各コンテキストで固有のインターフェイスを使用してください。あるいは、コンテキストに実際のアドレスを指定する global コマンドを入力インターフェイスに追加します。この場合、照合を行う nat コマンドを分類目的で使用する必要はありません。

図3-1 に、外部インターフェイスを共有する一方で、固有の内部インターフェイスを持ち、IP アドレスの重複が許容されているマルチコンテキストを示します。コンテキスト B には宛先アドレスに一致するアドレス変換が含まれるため、分類子はパケットをコンテキスト B に割り当てます。

図3-1 共有インターフェイスを持つパケット分類

 

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。図3-2 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 0/1.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図3-2 内部ネットワークからの着信トラフィック

 

透過ファイアウォールでは、固有のインターフェイスを使用する必要があります。分類子にとって、透過モードで NAT のサポートがない場合、固有のインターフェイスが唯一の分類の手段になります。図3-3 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図3-3 透過ファイアウォールのコンテキスト

 

コンテキスト間でのインターフェイス共有

ルーテッド モードのみ

セキュリティ アプライアンスでは、コンテキスト間でインターフェイスを共有することができます。たとえば、インターフェイスを節約するために外部インターフェイスを共有する場合があります。また、コンテキスト間でリソースを共有するために内部インターフェイスを共有することもできます。

ここでは、次の項目について説明します。

「インターフェイス共有のためのガイドライン」

「セキュリティ コンテキストのカスケード接続」

インターフェイス共有のためのガイドライン

共有インターフェイスからのトラフィックにセキュリティ アプライアンスを通過するのを許可する場合、トラフィックの 宛先 アドレスを変換する必要があります。これは、分類子がアドレス変換コンフィギュレーションに基づいてコンテキスト内のパケットを分類するためです。NAT を実行しない場合でも、共有インターフェイスに global コマンドを指定すると、パケットを確実にコンテキストに分類できます。これは、 global コマンドで実宛先アドレスが指定されるので、照合を行う nat コマンドが不要になるためです(インターフェイスを共有し、管理トラフィックに対してのみそのインターフェイスとの行き来を許可する場合、分類子はそのインターフェイスの IP アドレス コンフィギュレーションを使用してパケットを分類します。NAT コンフィギュレーションはこのプロセスには加わりません)。

宛先アドレスに設定された NAT のタイプによって、トラフィックが共有インターフェイスから発信できるか、または既存の接続に対する応答のみ可能なのかが決定されます。宛先アドレスにダイナミック NAT を使用する場合は、これらのアドレスへの接続は開始できません。したがって、共有インターフェイスからのトラフィックは、既存の接続への応答内に存在しなければなりません。しかし、スタティック NAT を使用すると接続が開始できるため、宛先アドレスにスタティック NAT を使用すると、共有インターフェイスへの接続が開始できます。

外部インターフェイスを共有する場合(インターネットと接続する場合など)は、内部の宛先アドレスが限定され、またシステム管理者がこれを把握しているため、このアドレスへの NAT 設定は、スタティック NAT を設定する場合でも容易に実行できます。

しかし、共有インターフェイスと宛先アドレスが無限にあるインターネットの間の通信を許可する場合は、内部の共有インターフェイスの設定で問題が発生します。たとえば、共有インターフェイス上の内部ホストからインターネットへのトラフィックを許可する場合、各インターネット アドレスにスタティック NAT 文を設定する必要があります。この必要条件のため、共有する内部インターフェイス上のユーザに提供可能なインターネット アクセスの種類は必然的に制限されます(インターネット サーバのアドレスをスタティックに変換する予定の場合は、DNS エントリ アドレスとそれに対する NAT の影響についても検討が必要です。たとえば、あるサーバが www.example.com にパケットを送信する場合、DNS サーバは変換したアドレスを返す必要があります。NAT コンフィギュレーションによって DNS エントリ管理が決まります)。

図3-4 では、内部共有インターフェイス上に 2 台のサーバがあります。1 つのサーバが Web サーバの変換アドレスにパケットを送信すると、セキュリティ アプライアンスがこのパケットを分類して、このアドレスのスタティック変換が含まれているコンテキスト C にパケットを転送します。もう 1 つのサーバが未変換の実アドレスにパケットを送信すると、そのパケットは、セキュリティ アプライアンスが分類できないために、ドロップされます。

図3-4 共有インターフェイス上でのトラフィックの発信

 

セキュリティ コンテキストのカスケード接続

共有インターフェイス上でのトラフィック発信に制約があるため、あるコンテキストを別のコンテキストの背後に設定するシナリオでは、最下位のコンテキストのユーザがアクセスを希望する外部アドレスすべてに対して、最上位のコンテキストにスタティック文を設定する必要があります。

図3-5 では、最下位のコンテキスト(コンテキスト A)のユーザが www.example.com にアクセスしようとしています。ゲートウェイのコンテキストには www.example.com のスタティック変換がないために、このユーザはこの Web サーバにアクセスできません。これは、共有インターフェイス上のどのコンテキストを使用してパケットを割り当てるかを分類子が把握していないためです。

図3-5 コンテキストのカスケード接続

 

マルチコンテキスト モードでのセキュリティ アプライアンスへのログイン

セキュリティ アプライアンスのコンソールにアクセスする場合は、システム実行スペースにアクセスします。その後、Telnet または SSH にコンテキストへのアクセスを設定すると、特定のコンテキストにログインできるようになります。特定のコンテキストにログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけになります。しかし、管理コンテキストまたはシステム実行スペースにログインすると、すべてのコンテキストにアクセスできます。

管理コンテキストからコンテキストに変更しても、管理コンテキストに設定されているユーザ名とコマンド認可の設定を引き続き使用します。

システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固有のイネーブル パスワードおよびユーザ名をローカル データベースに設定することができます。

マルチコンテキスト モードのイネーブル化とディセーブル化

シスコへの発注方法によっては、セキュリティ アプライアンスがすでにマルチセキュリティ コンテキスト用に設定されている場合があります。ただし、アップグレードする場合は、この項で説明する手順に従ってシングルモードからマルチモードに変換することが必要になる場合があります。ASDM はモードの変更をサポートしていないため、CLI を使用してモードを変更する必要があります。

ここでは、次の項目について説明します。

「シングルモード コンフィギュレーションのバックアップ」

「マルチコンテキスト モードのイネーブル化」

「シングルコンテキスト モードの復元」

シングルモード コンフィギュレーションのバックアップ

シングルモードからマルチモードに変換すると、セキュリティ アプライアンスは実行コンフィギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存されないため、実行コンフィギュレーションと異なる場合は、手順を進める前にバックアップを取る必要があります。

マルチコンテキスト モードのイネーブル化

コンテキスト モード(シングルまたはマルチ)は、リブートしても保持されますが、コンフィギュレーション ファイルには保存されません。別の装置にコンフィギュレーションをコピーする必要がある場合、 mode コマンドを実行して新しい装置のモードを一致するように設定します。

シングルモードからマルチモードに変換すると、セキュリティ アプライアンスは、実行コンフィギュレーションを 2 つのファイルに変換します。その 2 つは、システム コンフィギュレーションを構成する新しいスタートアップ コンフィギュレーションと、管理コンテキストを構成する admin.cfg です(内部フラッシュ メモリのルート ディレクトリに作成されます)。元の実行コンフィギュレーションは、old_running.cfg として保存されます(内部フラッシュ メモリのルート ディレクトリに保存されます)。元のスタートアップ コンフィギュレーションは保存されません。管理コンテキストのエントリは、「admin」という名前でシステム コンフィギュレーションにセキュリティ アプライアンスによって自動的に追加されます。

マルチモードをイネーブルにするには、次のコマンドを入力します。

hostname(config)# mode multiple
 

セキュリティ アプライアンスをリブートするよう求められます。

シングルコンテキスト モードの復元

マルチモードからシングルモードに変換する場合、最初にスタートアップ コンフィギュレーション全体をセキュリティ アプライアンスにコピーします(可能な場合)。これは、シングルモードの装置にとって、マルチモードから継承されるシステム コンフィギュレーションは完全に機能を果たすコンフィギュレーションではないためです。システム コンフィギュレーションは、自身のコンフィギュレーションの一部としてネットワーク インターフェイスを持たないため、コンソールからセキュリティ アプライアンスにアクセスしてコピーをとる必要があります。

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードをシングルモードに変更するには、システム実行スペースで次の手順を実行します。


ステップ 1 元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーするには、システムの実行スペースで次のコマンドを入力します。

hostname(config)# copy flash:old_running.cfg startup-config
 

ステップ 2 モードをシングルモードに設定するには、システム実行スペースで次のコマンドを入力します。

hostname(config)# mode single
 

セキュリティ アプライアンスがリブートします。