Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
インターフェイス コンフィギュレーションの 開始(ASA 5510 以降)
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

ASA 5510 以降のインターフェイス コンフィギュレーションの開始について

Auto-MDI/MDIX 機能

トランスペアレント モードのインターフェイス

管理インターフェイス

冗長インターフェイス

冗長インターフェイスの MAC アドレス

EtherChannel

チャネル グループ インターフェイス

別のデバイス上の EtherChannel への接続

Link Aggregation Control Protocol

ロード バランシング

EtherChannel の MAC アドレス

ASA 5510 以降のインターフェイスのライセンス要件

ガイドラインと制限事項

デフォルト設定

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

インターフェイス コンフィギュレーションを開始するためのタスク フロー

使用中のインターフェイスの冗長または EtherChannel インターフェイスへの変換

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

冗長インターフェイスの設定

冗長インターフェイスの設定

アクティブ インターフェイスの変更

EtherChannel の設定

インターフェイスの EtherChannel への追加

EtherChannel のカスタマイズ

VLAN サブインターフェイスと 802.1Q トランキングの設定

ジャンボ フレームのサポートのイネーブル化(ASA 5580 および ASA 5585-X)

インターフェイスのモニタリング

ASA 5510 以降のインターフェイスの設定例

物理インターフェイス パラメータの例

サブインターフェイス パラメータの例

マルチ コンテキスト モードの例

EtherChannel の例

関連情報

ASA 5510 以降のインターフェイスの機能履歴

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

この章では、イーサネット、冗長インターフェイス、EtherChannel の設定など、ASA 5510 以降のインターフェイス コンフィギュレーションを開始するためのタスクについて説明します。


) ASA 5505 の設定については、次を参照してください。「インターフェイス コンフィギュレーションの開始(ASA 5505)」

マルチ コンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。


この章は、次の項で構成されています。

「ASA 5510 以降のインターフェイス コンフィギュレーションの開始について」

「ASA 5510 以降のインターフェイスのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

「インターフェイスのモニタリング」

「ASA 5510 以降のインターフェイスの設定例」

「関連情報」

「ASA 5510 以降のインターフェイスの機能履歴」

ASA 5510 以降のインターフェイス コンフィギュレーションの開始について

この項は、次の内容で構成されています。

「Auto-MDI/MDIX 機能」

「トランスペアレント モードのインターフェイス」

「管理インターフェイス」

「冗長インターフェイス」

「EtherChannel」

Auto-MDI/MDIX 機能

ASA 5500 シリーズASAの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

トランスペアレント モードのインターフェイス

トランスペアレント モードのインターフェイスは「ブリッジ グループ」に属し、ネットワークごとに 1 つのブリッジ グループがあります。コンテキストまたはシングル モードごとに、それぞれ 4 つのインターフェイスからなる最大 8 個のブリッジ グループを設定できます。ブリッジ グループの詳細については、「トランスペアレント モードのブリッジ グループ」を参照してください。

管理インターフェイス

任意の通過トラフィック インターフェイス(管理トラフィックを許可するように設定されている場合)に接続することで ASA を管理することに加え、専用の管理インターフェイスを使用できます。モデルに応じて、ASA には、管理トラフィック専用に設計された 1 つ以上の管理 スロット / ポート インターフェイスが含まれています。

ルーテッド モードでは、必要に応じて通過トラフィック用に管理インターフェイスを使用でき、EtherChannel インターフェイスを含め、他のインターフェイスを管理トラフィック用に設定することで、専用の管理専用インターフェイスとして使用できます( management-only コマンドを参照)。

トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(管理インターフェイスからなる物理インターフェイス、サブインターフェイス、EtherChannel インターフェイスのいずれか)を個別の管理インターフェイスとして使用できます。他のインターフェイス タイプは管理インターフェイスとして使用できません。

8.4(1) 以降では、管理インターフェイスは通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。

冗長インターフェイスでは、管理 スロット / ポート インターフェイスがメンバーとしてサポートされません。また、非管理インターフェイスからなる冗長インターフェイスを管理専用としてとして設定できません。


) トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。


冗長インターフェイス

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はデバイスレベルのフェールオーバーとともに冗長インターフェイスも設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスは、最初に追加された物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに MAC アドレスを割り当てることができます。これはメンバー インターフェイスの MAC アドレスに関係なく使用されます(「MAC アドレスと MTU の設定」または 「マルチ コンテキストの設定」を参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するとき、物理インターフェイスと同じように使用されます。

最大 48 個の EtherChannel を設定できます。

この項は、次の内容で構成されています。

「チャネル グループ インターフェイス」

「別のデバイス上の EtherChannel への接続」

「Link Aggregation Control Protocol」

「ロード バランシング」

「EtherChannel の MAC アドレス」

チャネル グループ インターフェイス

各チャネル グループには、8 個のアクティブ インターフェイスを設定できます。最大 16 個のインターフェイスをチャネル グループに割り当てられることに注意してください。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel は、チャネル内の使用可能なすべてのアクティブ インターフェイスにわたってトラフィックを集約します。ポートは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、VLAN 番号に基づいて、専用のハッシュ アルゴリズムを使用して選択されます。

別のデバイス上の EtherChannel への接続

ASA EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチに接続できます。

スイッチが Virtual Switching System(VSS)の一部である場合、同じ EtherChannel 内の ASA インターフェイスを、VSS 内の個々のスイッチに接続できます。個々のスイッチは 1 台のスイッチのように振る舞うため(図 6-1 を参照)、スイッチ インターフェイスは、同じ EtherChannel ポートチャネル インターフェイスのメンバーです。

図 6-1 VSS への接続

 

ASA をアクティブ/スタンバイ フェールオーバー配置で使用する場合、個別の EtherChannel を、ASA ごとに 1 つずつ、VSS 内のスイッチ上で作成する必要があります(図 6-1 を参照)。各 ASA では、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチ インターフェイスを、両方の ASA に接続された 1 つの EtherChannel にグループ化することはできますが(この場合、ASA システム ID が異なるため、EtherChannel は確立されません)、スタンバイ ASA にトラフィックが送信されてしまうため、EtherChannel を 1 つにすることは望ましくありません。

図 6-2 アクティブ/スタンバイ フェールオーバーと VSS

 

Link Aggregation Control Protocol

Link Aggregation Control Protocol(LACP)は、2 台のネットワーク デバイス間で Link Aggregation Control Protocol Data Unit(LACPDU)を交換することでインターフェイスを集約します。

EtherChannel 内の各物理インターフェイスは、次のように設定できます。

アクティブ:LACP アップデートを送受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックの量を最小化する必要がない限り、アクティブ モードを使用することをお勧めします。

パッシブ:LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel との接続のみを確立します。

オン:EtherChannel は常にオンで、LACP は使用されません。「オン」と設定された EtherChannel は、別の「オン」の EtherChannel としか接続を確立できません。

LACP は、ユーザの介入なしに、EtherChannel へのリンクの自動的な追加と削除と調整します。また、LACP は、設定ミスに対処し、メンバー インターフェイスの両端が正しいチャネル グループに接続されていることを確認します。「オン」モードでは、インターフェイスがダウンしている場合、チャネル グループ内のスタンバイ インターフェイスを使用できず、接続性と設定は確認されません。

ロード バランシング

ASA は、パケットの送信元と宛先 IP アドレスをハッシュすることで、EtherChannel 内のインターフェイスにパケットを分散させます(この条件は設定可能です。「EtherChannel のカスタマイズ」を参照してください)。ハッシュ結果は 3 ビット値(0 ~ 7)です。

ハッシュ結果の 8 つの値は、ID(スロット/ポート)が最も小さいインターフェイスから、チャネル グループ インターフェイス間でラウンド ロビンで分散されます。たとえば、ハッシュ結果が 0 のすべてのパケットは GigabitEthernet 0/0 に、ハッシュ結果が 1 のパケットは GigabitEthernet 0/1 に、ハッシュ結果が 2 のパケットは GigabitEthernet 0/2 に、というように送られます。

EtherChannel 内のアクティブ インターフェイスの数にかかわらず、ハッシュ結果値は 8 個あるため、アクティブ インターフェイスの数によってはパケットが均等に分散されません。

表 6-1 に、アクティブなインターフェイスの数ごとの、インターフェイスあたりのロード バランシングの量を示します。 太字 のアクティブ インターフェイスでは、分散が均等になっています。

 

表 6-1 インターフェイスあたりの負荷分散

アクティブ インターフェイス数
インターフェイスあたりの分散(%)
1
2
3
4
5
6
7
8

1

100%

--

--

--

--

--

--

--

2

50%

50%

--

--

--

--

--

--

3

37.5%

37.5%

25%

--

--

--

--

--

4

25%

25%

25%

25%

--

--

--

--

5

25%

25%

25%

12.5%

12.5%

--

--

--

6

25%

25%

12.5%

12.5%

12.5%

12.5%

--

--

7

25%

12.5%

12.5%

12.5%

12.5%

12.5%

12.5%

--

8

12.5%

12.5%

12.5%

12.5%

12.5%

12.5%

12.5%

12.5%

アクティブ インターフェイスがダウンし、スタンバイ インターフェイスで置き換えられない場合、トラフィックは残りのリンクで再バランスされます。障害はレイヤ 2 のスパニング ツリーとレイヤ 3 のルーティング テーブルの両方でマスクされるため、スイッチオーバーは他のネットワーク デバイスに対してトランスペアレントです。

EtherChannel の MAC アドレス

チャネル グループに属するすべてのインターフェイスは同じ MAC アドレスを共有します。この特徴により、ネットワーク アプリケーションとユーザに対して EtherChannel がトランスペアレントになります。これは、ネットワーク アプリケーションとユーザは 1 つの論理接続のみを認識し、個別のリンクは認識しないためです。

ポートチャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。また、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチ コンテキスト モードでは、EtherChannel ポート インターフェイスを含め、一意の MAC アドレスをインターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバシップが変化した場合には、一意の MAC アドレスを手動で設定するか、マルチ コンテキスト モードでは自動的に設定することをお勧めします。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

ASA 5510 以降のインターフェイスのライセンス要件

 

モデル
ライセンス要件

ASA 5510

VLAN:

基本ライセンス:50

Security Plus ライセンス:100

インターフェイス速度:

基本ライセンス:すべてのインターフェイスがファスト イーサネット。

Security Plus ライセンス:Ethernet 0/0 および 0/1:ギガビット イーサネット、その他すべてはファスト イーサネット。

すべての種類のインターフェイス1

基本ライセンス:52。

Security Plus ライセンス:120。

ASA 5520

VLAN:

基本ライセンス:150

すべての種類のインターフェイス1

基本ライセンス:640

ASA 5540

VLAN:

基本ライセンス:200

すべての種類のインターフェイス1

基本ライセンス:840

ASA 5550

VLAN:

基本ライセンス:400

すべての種類のインターフェイス1

基本ライセンス:1640

ASA 5580

VLAN:

基本ライセンス:1024

すべての種類のインターフェイス1

基本ライセンス:4176

ASA 5585-X

VLAN:

基本ライセンス:1024

SSP-10 および SSP-20 のインターフェイス速度:

基本ライセンス:ファイバ インターフェイスの場合 1 ギガビット イーサネット

10 GE I/O ライセンス:ファイバ インターフェイスの場合 10 ギガビット イーサネット

(SSP-40 および SSP-60 は、デフォルトで 10 ギガビット イーサネットをサポートします)。

すべての種類のインターフェイス1

基本ライセンス:4176

1.VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでは、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」に従って、システム実行スペースで物理インターフェイスを設定します。次に、「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」に従って、コンテキスト実行スペースで論理インターフェイス パラメータを設定します。

ファイアウォール モードのガイドライン

トランスペアレント モードの場合、コンテキストごとまたはシングル モード デバイスに対して、最大 8 個のブリッジ グループを設定できます。

各ブリッジ グループは、最大 4 つのインターフェイスを含むことができます。

マルチ コンテキスト トランスペアレント モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

フェールオーバーのガイドライン

冗長インターフェイスまたは EtherChannel インターフェイスをフェールオーバー リンクとして使用する場合、フェールオーバー ペア内の両方のユニット上であらかじめ設定する必要があります。プライマリ ユニット上での設定がセカンダリ ユニットに複製されることを期待することはできません。これは、 複製のためにフェールオーバー リンク自体が必要なためです。

冗長インターフェイスまたは EtherChannel インターフェイスをステート リンク用に使用する場合、特別な設定は必要ありません。設定はプライマリ ユニットから通常どおり複製されます。

monitor-interface コマンドを使用して、フェールオーバーの冗長インターフェイスまたは EtherChannel インターフェイスをモニタできます。その際、論理冗長インターフェイス名を参照してください。アクティブ メンバー インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーをモニタしているときには、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているように見えません。すべての物理インターフェイスが障害になった場合のみ、冗長インターフェイスまたは EtherChannel インターフェイスが障害になったと見なされます(EtherChannel インターフェイスの場合、障害になることができるメンバー インターフェイスの数は設定可能です)。

EtherChannel インターフェイスをフェールオーバー リンクまたはステート リンクに使用する場合、順序が不正なパケットを防ぐために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスに障害が発生した場合は、EtherChannel の次のインターフェイスが使用されます。EtherChannel がフェールオーバー リンクとして使用されているときは、EtherChannel の設定を変更することはできません。設定を変更するには、設定中は EtherChannel をシャットダウンするか、またはフェールオーバーを一時的にディセーブルにします。これにより、設定中にフェールオーバーが発生することはなくなります。

冗長インターフェイスのガイドライン

最大 8 個の冗長インターフェイス ペアを設定できます。

すべてのASA コンフィギュレーションは、メンバー物理インターフェイスではなく論理冗長インターフェイスを参照します。

EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、冗長インターフェイスと EtherChannel インターフェイスが同じ物理インターフェイスを使用しない場合は、両方のタイプを ASA に設定できます。

アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

冗長インターフェイスでは、管理 スロット / ポート インターフェイスがメンバーとしてサポートされません。また、非管理インターフェイスからなる冗長インターフェイスを管理専用としてとして設定できません。

フェールオーバーの注意事項については、「フェールオーバーのガイドライン」を参照してください。

EtherChannel の注意事項

最大 48 個の EtherChannel を設定できます。

各チャネル グループには、8 個のアクティブ インターフェイスを設定できます。最大 16 個のインターフェイスをチャネル グループに割り当てられることに注意してください。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

ASA 5500 EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチに接続できます。

すべての ASA コンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、冗長インターフェイスと EtherChannel インターフェイスが同じ物理インターフェイスを使用しない場合は、両方のタイプを ASA に設定できます。

ASA 5550 のスロット 1 の内蔵 4GE SSM を含め、4GE SSM 上のインターフェイスは EtherChannel の一部として使用できません。

フェールオーバーの注意事項については、「フェールオーバーのガイドライン」を参照してください。

デフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、「工場出荷時のデフォルト コンフィギュレーション」を参照してください。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバー物理インターフェイスもイネーブルになっている必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

EtherChannel ポートチャネル インターフェイス:イネーブル。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

デフォルトの速度および二重通信

デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、オートネゴシエーションに設定されます。

ASA 5550(スロット 1)および 4GE SSM のファイバ インターフェイスでは、速度は固定であり、二重通信はサポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォルト)またはネゴシエーションなしに設定することができます。

ASA 5580 および 5585-X のファイバ インターフェイスでは、自動リンク ネゴシエーションの速度が設定されます。

デフォルトのコネクタ タイプ

ASA 5550(スロット 1)4GE SSMと ASA 5510 以降のの ASA には、銅線 RJ-45 とファイバ SFP の 2 つのコネクタ タイプがあります。RJ-45 がデフォルトです。ASAを設定すると、ファイバ SFP コネクタを使用できます。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

この項は、次の内容で構成されています。

「インターフェイス コンフィギュレーションを開始するためのタスク フロー」

「使用中のインターフェイスの冗長または EtherChannel インターフェイスへの変換」

「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」

「冗長インターフェイスの設定」

「EtherChannel の設定」

「VLAN サブインターフェイスと 802.1Q トランキングの設定」

「ジャンボ フレームのサポートのイネーブル化(ASA 5580 および ASA 5585-X)」

インターフェイス コンフィギュレーションを開始するためのタスク フロー


) 既存のコンフィギュレーションがあり、使用中のインターフェイスを冗長インターフェイスまたは EtherChannel インターフェイスに変換する場合、中断を最小化するためにオフラインで設定を行います。「使用中のインターフェイスの冗長または EtherChannel インターフェイスへの変換」を参照してください。


インターフェイス コンフィギュレーションを開始するには、次の手順を実行します。


ステップ 1 (マルチ コンテキスト モード)この項のタスクはすべてシステム実行スペースで実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

ステップ 2 物理インターフェイスをイネーブルにし、必要に応じてイーサネット パラメータを変更します。「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。

デフォルトでは、物理インターフェイスはディセーブルになっています。

ステップ 3 (オプション)冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。

ステップ 4 (オプション)EtherChannel を設定します。「EtherChannel の設定」を参照してください。

EtherChannel は、複数のイーサネット インターフェイスを 1 つの論理インターフェイスにグループ化します。

ステップ 5 (オプション)VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

ステップ 6 (オプション)「ジャンボ フレームのサポートのイネーブル化(ASA 5580 および ASA 5585-X)」に従って、ASA 5580 および 5585-X 上でジャンボ フレームのサポートをイネーブルにします。

ステップ 7 (マルチ コンテキスト モードのみ)システム実行スペースでインターフェイス コンフィギュレーションを実行するには、「マルチ コンテキスト モードの設定」に記載されている次のタスクを実行します。

インターフェイスをコンテキストに割り当てるには、「セキュリティ コンテキストの設定」を参照してください。

(オプション)固有の MAC アドレスをコンテキスト インターフェイスに自動的に割り当てるには、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。インターフェイスを共有するものの、各コンテキストにインターフェイスの固有の MAC アドレスがない場合は、宛先 IP アドレスがパケットの分類に使用されます。また、「MAC アドレスと MTU の設定」に従って、コンテキスト内の MAC アドレスを手動で割り当てることもできます。

ステップ 8 「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」に従って、インターフェイス コンフィギュレーションを実行します。


 

使用中のインターフェイスの冗長または EtherChannel インターフェイスへの変換

既存のコンフィギュレーションがあり、現在使用中のインターフェイスで冗長インターフェイスまたは EtherChannel インターフェイス機能を利用する場合、論理インターフェイスに変換するときにある程度のダウンタイムが発生します。

ここでは、既存のインターフェイスを冗長インターフェイスまたは EtherChannel インターフェイスに最小限のダウンタイムで変換する方法の概要について説明します。詳細については、「冗長インターフェイスの設定」および「EtherChannel の設定」を参照してください。

「詳細な手順(シングル モード)」

「詳細な手順(マルチ モード)」

詳細な手順(シングル モード)

次の理由から、コンフィギュレーションをテキスト ファイルとしてオフラインで更新し、コンフィギュレーション全体を再インポートすることをお勧めします。

名前付きインターフェイスを冗長インターフェイスまたは EtherChannel インターフェイスのメンバーとして追加できないため、インターフェイスから名前を削除する必要があります。インターフェイスから名前を削除すると、その名前を参照していたコマンドがすべて削除されます。インターフェイス名を参照するコマンドはコンフィギュレーション全体にわたっており、複数の機能に影響するため、CLI または ASDM で使用中のインターフェイス名を削除すると、新しいインターフェイス名に関係するすべての機能を再設定する間の重大なダウンタイムは言うまでもなく、コンフィギュレーションが大きく破壊されます。

コンフィギュレーションをオフラインで変更することにより、新しい論理インターフェイスで同じインターフェイス名を使用できるため、インターフェイス名を参照する機能コンフィギュレーションを変更する必要がありません。インターフェイス コンフィギュレーションのみを変更する必要があります。

実行コンフィギュレーションをクリアし、すぐに新しいコンフィギュレーションを適用することにより、インターフェイスのダウンタイムが最小化されます。インターフェイスをリアルタイムで設定するのを待つことがありません。


ステップ 1 ASA に接続します。フェールオーバーを使用している場合は、アクティブな ASA に接続します。

ステップ 2 フェールオーバーを使用している場合、 no failover コマンドを使用してフェールオーバーをディセーブルにします。

ステップ 3 more system:running-config コマンドを入力し、表示出力をテキスト エディタにコピーすることで、実行コンフィギュレーションをコピーします。

編集ミスに備えて、古いコンフィギュレーションの追加のコピーを必ず保存してください。

ステップ 4 冗長インターフェイスまたは EtherChannel インターフェイスに追加する使用中の各インターフェイスについて、 interface コマンドの下のすべてのコマンドを、新しい論理インターフェイスを作成するときに使用する、インターフェイス コンフィギュレーション セクションの最後にカット アンド ペーストします。唯一の例外は、次のコマンドを物理インターフェイス コンフィギュレーションに残す必要があることです。

media-type

speed

duplex

flowcontrol


) EtherChannel インターフェイスまたは冗長インターフェイスに追加できるのは物理インターフェイスのみです。物理インターフェイスには VLAN を設定できません。

上の値を、特定の EtherChannel インターフェイスまたは冗長インターフェイスで必ず一致させてください。EtherChannel インターフェイスの二重通信設定は Full または Auto にする必要があることに注意してください。


たとえば、次のインターフェイス コンフィグレーションがあるとします。太字のコマンドは、3 つの新しい EtherChannel インターフェイスで使用し、インターフェイス セクションの最後にカット アンド ペーストするコマンドです。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
no shutdown
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
no shutdown
!
interface Management0/1
shutdown
no nameif
no security-level
no ip address
 

ステップ 5 貼り付けた各コマンド セクションの上に、次のいずれかのコマンドを入力して新しい論理インターフェイスを作成します。

interface redundant number [1-8]

interface port-channel channel_id [1-48]

次の例を参考にしてください。

...
 
interface port-channel 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
no shutdown
!
interface port-channel 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface port-channel 3
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
no shutdown
 

ステップ 6 物理インターフェイスを新しい論理インターフェイスに割り当てます。

冗長なインターフェイス:次のコマンドを新しい interface redundant コマンドの下に入力します。

member-interface physical_interface1
member-interface physical_interface2
 

ここで、物理インターフェイスは同じ種類の任意の 2 つのインターフェイスです(以前使用していたか以前使用していないもの)。管理インターフェイスを冗長インターフェイスに割り当てることはできません。

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを、以前の役割で、内部および外部の冗長インターフェイスの一部として引き続き使用します。

interface redundant 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
member-interface GigabitEthernet0/0
member-interface GigabitEthernet0/2
 
interface redundant 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
member-interface GigabitEthernet0/1
member-interface GigabitEthernet0/3
 

EtherChannel インターフェイス:EtherChannel に追加する各インターフェイスの下に、次のコマンドを入力します(以前使用していたか以前使用していないもの)。EtherChannel あたり最大 16 個のインターフェイスを割り当てることができますが、アクティブにできるのは 8 個のみです。他のインターフェイスは障害に備えてスタンバイ状態になります。

channel-group channel_id mode active
 

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを、以前の役割で、内部および外部の EtherChannel インターフェイスの一部として引き続き使用します。

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
channel-group 1 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
channel-group 2 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
channel-group 2 mode active
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
shutdown
no nameif
no security-level
no ip address
 
...
 

ステップ 7 no shutdown コマンドの前に追加することで、今回論理インターフェイスの一部となる、以前使用していなかった各インターフェイスをイネーブルにします。

たとえば、最終的な EtherChannel のコンフィギュレーションは次のようになります。

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
channel-group 1 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
channel-group 2 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
channel-group 2 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface port-channel 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
!
interface port-channel 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
!
interface port-channel 3
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
 

) 他のオプションの EtherChannel パラメータは、新しいコンフィギュレーションをインポートした後で設定できます。「EtherChannel の設定」を参照してください。


ステップ 8 ASA CLI プロンプトで、接続(コンソールまたはリモート)に応じて次の手順を実行します。

コンソール接続の場合

a. 変更したインターフェイス セクションを含め、新しいコンフィギュレーション全体をクリップボードにコピーします。

b. 次のコマンドを入力して実行コンフィギュレーションをクリアします。

hostname(config)# clear configure all
 

ASA を通過するトラフィックはこの時点で停止します。

c. プロンプトで新しいコンフィギュレーションを貼り付けます。

ASA を通過するトラフィックが再開されます。

リモート接続の場合

a. 新しいコンフィギュレーションを TFTP サーバまたは FTP サーバに保存し、ASA のスタートアップ コンフィギュレーションにコピーできるようにします。たとえば、PC 上で TFTP サーバまたは FTP サーバを実行できます。

b. 次のコマンドを入力してスタートアップ コンフィギュレーションをクリアします。

hostname(config)# write erase
 

c. 次のコマンドを実行して新しいコンフィギュレーションををスタートアップ コンフィギュレーションにコピーします。

hostname(config)# copy url startup-config
 

「特定の場所へのファイルのダウンロード」を参照してください。

d. reload コマンドを使用して、ASA をリロードします。実行コンフィギュレーションは保存しないでください。

ステップ 9 failover コマンドを入力して、フェールオーバーを再度イネーブルにします。


 

詳細な手順(マルチ モード)

次の理由から、システムとコンテキストのコンフィギュレーションはオフラインでテキスト ファイルとして更新し、再インポートすることをお勧めします。

割り当てたインターフェイスを、冗長インターフェイスまたは EtherChannel インターフェイスの一部として追加できないため、すべてのコンテキストからインターフェイスを割り当て解除する必要があります。インターフェイスを割り当て解除すると、そのインターフェイスを参照していたすべてのコンテキスト コマンドが削除されます。インターフェイスを参照するコマンドはコンフィギュレーション全体にわたっており、複数の機能に影響するため、CLI または ASDM で使用中のインターフェイスの割り当てを削除すると、新しいインターフェイスに関係するすべての機能を再設定する間の重大なダウンタイムは言うまでもなく、コンフィギュレーションが大きく破壊されます。

コンフィギュレーションをオフラインで変更することにより、新しい論理インターフェイスで同じインターフェイス名を使用できるため、インターフェイス名を参照する機能コンフィギュレーションを変更する必要がありません。インターフェイス コンフィギュレーションのみを変更する必要があります。

実行システム コンフィギュレーションをクリアし、すぐに新しいコンフィギュレーションを適用することにより、インターフェイスのダウンタイムが最小化されます。インターフェイスをリアルタイムで設定するのを待つことがありません。


ステップ 1 ASA に接続し、システムに変更します。フェールオーバーを使用している場合は、アクティブな ASA に接続します。

ステップ 2 フェールオーバーを使用している場合、 no failover コマンドを使用してフェールオーバーをディセーブルにします。

ステップ 3 システムで、 more system:running-config コマンドを入力し、表示出力をテキスト エディタにコピーすることで、実行コンフィギュレーションをコピーします。

編集ミスに備えて、古いコンフィギュレーションの追加のコピーを必ず保存してください。

たとえば、2 つのコンテキストの間の共有インターフェイスとともに、次のインターフェイス コンフィギュレーションと割り当てがシステム コンフィギュレーション中にあります。

システム

interface GigabitEthernet0/0
no shutdown
interface GigabitEthernet0/1
no shutdown
interface GigabitEthernet0/2
shutdown
interface GigabitEthernet0/3
shutdown
interface GigabitEthernet0/4
shutdown
interface GigabitEthernet0/5
shutdown
interface Management0/0
no shutdown
interface Management1/0
shutdown
!
context customerA
allocate-interface gigabitethernet0/0 int1
allocate-interface gigabitethernet0/1 int2
allocate-interface management0/0 mgmt
context customerB
allocate-interface gigabitethernet0/0
allocate-interface gigabitethernet0/1
allocate-interface management0/0
 

ステップ 4 新しい EtherChannel インターフェイスまたは冗長インターフェイスを使用する すべての コンテキスト コンフィギュレーションのコピーを取得します。 「フラッシュ メモリ内のコンテキスト コンフィギュレーション ファイルまたはその他のファイルのバックアップ」を参照してください。

たとえば、次のコンテキスト コンフィギュレーションをダウンロードします(インターフェイス コンフィギュレーションが表示されています)。

CustomerA コンテキスト

interface int1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
!
interface int2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface mgmt
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
management-only
 

CustomerB コンテキスト

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.20.15.5 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.6.78 255.255.255.0
!
interface Management0/0
nameif mgmt
security-level 100
ip address 10.8.1.8 255.255.255.0
management-only
 

ステップ 5 システム コンフィギュレーションで、「冗長インターフェイスの設定」または「EtherChannel の設定」に従い新しい論理インターフェイスを作成します。 no shutdown コマンドを、論理インターフェイスの一部として使用する追加の物理インターフェイスに対して必ず入力します。


) EtherChannel インターフェイスまたは冗長インターフェイスに追加できるのは物理インターフェイスのみです。物理インターフェイスには VLAN を設定できません。

特定の EtherChannel インターフェイスまたは冗長インターフェイス内のすべてのインターフェイスについて、速度や二重通信などの物理インターフェイス パラメータを必ず一致させてください。EtherChannel インターフェイスの二重通信設定は Full または Auto にする必要があることに注意してください。


たとえば、新しいコンフィギュレーションは次のようになります。

システム

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/3
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/4
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/5
channel-group 2 mode active
no shutdown
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
no shutdown
!
interface port-channel 1
interface port-channel 2
interface port-channel 3
 

ステップ 6 コンテキストごとのインターフェイス割り当てを、新しい EtherChannel インターフェイスまたは冗長インターフェイスを使用するように変更します。「セキュリティ コンテキストの設定」を参照してください。

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを、以前の役割で、内部および外部の冗長インターフェイスの一部として引き続き使用します。

context customerA
allocate-interface port-channel1 int1
allocate-interface port-channel2 int2
allocate-interface port-channel3 mgmt
context customerB
allocate-interface port-channel1
allocate-interface port-channel2
allocate-interface port-channel3
 

) まだマップされた名前をインターフェイスに割り当てていない場合は、この機会に割り当てることができます。たとえば、customerA のコンフィギュレーションはまったく変更する必要がありません。ASA に対して再適用するだけです。しかし、customerB のコンフィギュレーションでは、すべてのインターフェイス ID を変更する必要があります。customerB のマップされた名前を割り当てた場合、引き続きコンテキスト コンフィギュレーションのインターフェイス ID を変更する必要がありますが、マップされた名前は、将来のインターフェイス変更に役立ちます。


ステップ 7 マップされた名前を使用しないコンテキストの場合、新しい EtherChannel インターフェイス ID または冗長インターフェイス ID を使用するようにコンテキスト コンフィギュレーションを変更します。(マップされたインターフェイス名を使用するコンテキストは変更する必要がありません)。

次の例を参考にしてください。

CustomerB コンテキスト

interface port-channel1
nameif outside
security-level 0
ip address 10.20.15.5 255.255.255.0
!
interface port-channel2
nameif inside
security-level 100
ip address 192.168.6.78 255.255.255.0
!
interface port-channel3
nameif mgmt
security-level 100
ip address 10.8.1.8 255.255.255.0
management-only
 

ステップ 8 新しいコンテキスト コンフィギュレーション ファイルを古いファイルの上にコピーします。たとえば、コンテキストが FTP サーバ上にある場合、FTP を使用して既存のファイルの上にコピーします(必要に応じてバックアップを作成します)。コンテキストがフラッシュ メモリ内にある場合、 copy コマンドを使用し TFTP サーバまたは FTP サーバを PC 上で実行するか、セキュア コピーを使用します。「特定の場所へのファイルのダウンロード」を参照してください。この変更は、スタートアップ コンフィギュレーションのみに影響します。実行コンフィギュレーションはまだ古いコンテキスト コンフィギュレーションを使用しています。

ステップ 9 ASA のシステム CLI プロンプトで、接続(コンソールまたはリモート)に応じて次の手順を実行します。

コンソール接続の場合

a. 変更したインターフェイス セクションを含め、新しいシステム コンフィギュレーション全体をクリップボードにコピーします。

b. 次のコマンドを入力して、実行コンフィギュレーション(システムとコンテキストの両方)をクリアします。

hostname(config)# clear configure all
 

ASA を通過するトラフィックはこの時点で停止します。

c. プロンプトで新しいシステム コンフィギュレーションを貼り付けます。

新しいコンテキスト コンフィギュレーションがすべてリロードされます。リロードが終了すると、ASA を通過するトラフィックが再開されます。

リモート接続の場合

a. 新しいシステム コンフィギュレーションを TFTP サーバまたは FTP サーバに保存し、ASA のスタートアップ コンフィギュレーションにコピーできるようにします。たとえば、PC 上で TFTP サーバまたは FTP サーバを実行できます。

b. 次のコマンドを入力してスタートアップ コンフィギュレーションをクリアします。

hostname(config)# write erase
 

c. 次のコマンドを実行して新しいシステム コンフィギュレーションををスタートアップ コンフィギュレーションにコピーします。

hostname(config)# copy url startup-config
 

「特定の場所へのファイルのダウンロード」を参照してください。

d. reload コマンドを使用して、ASA をリロードします。実行コンフィギュレーションは保存しないでください。

ステップ 10 failover コマンドを入力して、フェールオーバーを再度イネーブルにします。


 

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

ここでは、次の方法について説明します。

物理インターフェイスをイネーブルにする。

特定の速度と二重通信(使用できる場合)を設定する。

フロー制御のポーズ フレームをイネーブルにする。

前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface physical_interface

 

hostname(config)# interface gigabitethernet 0/0

設定するインターフェイスを指定します。

physical_interface ID には、タイプ、スロット、およびポート番号を type [ slot / ] port という形式で指定します。

物理インターフェイスのタイプには、次のものがあります。

ethernet

gigabitethernet

tengigabitethernet

management

タイプの後ろに slot / port を入力します。たとえば、 gigabitethernet0/1 ethernet 0/1 のように入力します。タイプとスロット/ポートの間のスペースは任意です。

ステップ 2

(オプション)

media-type sfp

 

hostname(config-if)# media-type sfp

使用しているモデルで利用できる場合には、メディア タイプを SFP に設定します。デフォルトの RJ-45 に戻すには、 media-type rj45 コマンドを入力します。

ステップ 3

(オプション)

speed { auto | 10 | 100 | 1000 | nonegotiate }

 

hostname(config-if)# speed 100

速度を設定します。

銅線インターフェイスのデフォルト設定は auto です。

SFP インターフェイスのデフォルト設定は no speed nonegotiate です。この設定では、速度が最大速度に設定され、フロー制御パラメータとリモート障害情報のリンク ネゴシエーションがイネーブルになります。 nonegotiate キーワードは、SFP インターフェイスで使用できる唯一のキーワードです。 speed nonegotiate コマンドは、リンク ネゴシエーションをディセーブルにします。

ステップ 4

(オプション)

duplex { auto | full | half }

 

hostname(config-if)# duplex full

銅線インターフェイスの二重通信を設定します。 auto 設定がデフォルトです。

(注) EtherChannel インターフェイスの二重通信設定は Full または Auto にする必要があります。

ステップ 5

(オプション)

flowcontrol send on [ low_water high_water pause_time ] [ noconfirm ]

 

hostname(config-if)# flowcontrol send on 95 200 10000

1 ギガビットおよび 10 ギガビット イーサネット インターフェイス上でフロー制御のポーズ(XOFF)フレームをイネーブルにします。

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。ポーズ(XOFF)および XON フレームは、FIFO バッファ使用量に基づいて、NIC ハードウェアによって自動的に生成されます。バッファ使用量が高ウォーター マークを超えると、ポーズ フレームが送信されます。デフォルトの high_water 値は 128 KB(10 GigabitEthernet)および 24 KB(1 GigabitEthernet)です。0 ~ 511(10 GigabitEthernet)または 0 ~ 47 KB(1 GigabitEthernet)の間で設定できます。ポーズの送信後、バッファ使用量が低ウォーター マークよりも下回ると、XON フレームを送信できます。デフォルトの low_water 値は 64 KB(10 GigabitEthernet)および 16 KB(1 GigabitEthernet)です。0 ~ 511(10 GigabitEthernet)または 0 ~ 47 KB(1 GigabitEthernet)の間で設定できます。リンク パートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズ フレーム内のタイマー値によって制御されます。デフォルトの pause_time 値は 26624 です。この値は 0 ~ 65535 に設定できます。バッファの使用量が継続的に高基準値を超えている場合は、ポーズ リフレッシュのしきい値に指定された間隔でポーズ フレームが繰り返し送信されます。

このコマンドを使用すると、次の警告が表示されます。

Changing flow-control parameters will reset the interface. Packets may be lost during the reset.
Proceed with flow-control changes?
 

プロンプトを表示しないでパラメータを変更するには、 noconfirm キーワードを使用します。

(注) 802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。

ステップ 6

no shutdown

 

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。インターフェイスをディセーブルにするには、 shutdown コマンドを入力します。 shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。

次の作業

オプション タスク:

冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

EtherChannel を設定します。「EtherChannel の設定」を参照してください。

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「マルチ コンテキストの設定」を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。

この項では、冗長インターフェイスを設定する方法について説明します。次の項目を取り上げます。

「冗長インターフェイスの設定」

「アクティブ インターフェイスの変更」

冗長インターフェイスの設定

この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長インターフェイスはイネーブルになっています。

ガイドラインと制限事項

最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、ASA はそのメンバー インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。

「冗長インターフェイスのガイドライン」も参照してください。

前提条件

両方のメンバー インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。まず、その名前を削除する必要があります。名前を削除するには、 no nameif コマンドを使用します。

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface redundant number

 

hostname(config)# interface redundant 1

論理冗長インターフェイスを追加します。 number 引数は 1 ~ 8 の範囲の整数です。

(注) 冗長インターフェイスの名前などの論理パラメータを設定する前に、少なくとも 1 つのメンバー インターフェイスを冗長インターフェイスに追加する必要があります。

ステップ 2

member-interface physical_interface

 

hostname(config-if)# member-interface management 0/0

最初のメンバー インターフェイスを冗長インターフェイスに追加します。

物理インターフェイス ID については、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」の説明を参照してください。

冗長インターフェイスでは、管理 スロット / ポート インターフェイスがメンバーとしてサポートされません。

インターフェイスを追加すると、インターフェイスのコンフィギュレーション(IP アドレスなど)はすべて削除されます。

ステップ 3

member-interface physical_interface

 

hostname(config-if)# member-interface management 1/0

2 番目のメンバー インターフェイスを冗長インターフェイスに追加します。

2 つ目のインターフェイスの物理タイプは、必ず最初のインターフェイスと同じにしてください。

メンバー インターフェイスを削除するには、 no member-interface physical_interface コマンドを入力します。冗長インターフェイスから両方のメンバ インターフェイスは削除できません。冗長インターフェイスには、少なくとも 1 つのメンバ インターフェイスが必要です。

次の例では、2 つの冗長インターフェイスを作成します。

hostname(config)# interface redundant 1
hostname(config-if)# member-interface gigabitethernet 0/0
hostname(config-if)# member-interface gigabitethernet 0/1
hostname(config-if)# interface redundant 2
hostname(config-if)# member-interface gigabitethernet 0/2
hostname(config-if)# member-interface gigabitethernet 0/3
 

次の作業

オプション タスク:

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「マルチ コンテキストの設定」を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能であれば)、アクティブ インターフェイスになります。どのインターフェイスがアクティブかを表示するには、次のコマンドを入力します。

hostname# show interface redundantnumber detail | grep Member
 

次の例を参考にしてください。

hostname# show interface redundant1 detail | grep Member
Members GigabitEthernet0/3(Active), GigabitEthernet0/2
 

アクティブ インターフェイスを変更するには、次のコマンドを入力します。

hostname# redundant-interface redundantnumber active-member physical_interface
 

redundant number 引数には、冗長インターフェイス ID( redundant1 など)を指定します。

physical_interface には、アクティブにするメンバー インターフェイスの ID を指定します。

EtherChannel の設定

ここでは、EtherChannel ポートチャネル インターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

この項は、次の内容で構成されています。

「インターフェイスの EtherChannel への追加」

「EtherChannel のカスタマイズ」

インターフェイスの EtherChannel への追加

ここでは、EtherChannel ポートチャネル インターフェイスを作成しインターフェイスを EtherChannel に割り当てる方法について説明します。デフォルトでは、ポートチャネル インターフェイスはイネーブルになっています。

ガイドラインと制限事項

最大 48 個の EtherChannel を設定できます。

各チャネル グループには、8 個のアクティブ インターフェイスを設定できます。最大 16 個のインターフェイスをチャネル グループに割り当てられることに注意してください。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

「EtherChannel の注意事項」も参照してください。

前提条件

チャネル グループのすべてのインターフェイスの、タイプ、速度、二重通信は同じである必要があります。半二重はサポートされていません。

名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。まず、その名前を削除する必要があります。名前を削除するには、 no nameif コマンドを使用します。

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface physical_interface

 

hostname(config)# interface gigabitethernet 0/0

チャネル グループに追加するインターフェイスを指定します。 physical_interface ID には、タイプ、スロット、ポート番号が、 type [ slot / ] port として含まれています。チャネル グループ内のこの最初のインターフェイスによって、グループ内の他のすべてのインターフェイスのタイプと速度が決まります。

トランスペアレント モードでは、複数の管理インターフェイスを使用してチャネル グループを作成した場合、この EtherChannel を管理専用インターフェイスとして使用できます。

ステップ 2

channel-group channel_id mode { active | passive | on }

 

hostname(config-if)# channel-group 1 mode active

この物理インターフェイスを、 channel_id が 1 ~ 48 の範囲の EtherChannel に割り当てます。このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。

interface port-channel channel_id

 

アクティブ モードを使用することをお勧めします。アクティブ モード、パッシブ モード、オン モードについては、「Link Aggregation Control Protocol」を参照してください。

ステップ 3

(オプション)

lacp port-priority number

 

hostname(config-if)# lacp port-priority 12345

チャネル グループ内の物理インターフェイスのプライオリティを、1 ~ 65535 の範囲で設定します。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。使用できる数よりも多くのインターフェイスを割り当てた場合、ASA は、この設定を使用して、どのインターフェイスがアクティブでどのインターフェイスがスタンバイであるかを判定します。ポート プライオリティ設定がすべてのインターフェイスで同じ場合、プライオリティはインターフェイス ID(スロット/ポート)で決まります。最も小さいインターフェイス ID のプライオリティが最も高くなります。たとえば、GigabitEthernet 0/0 のプライオリティは GigabitEthernet 0/1 よりも高くなります。

大きなインターフェイス ID を持つインターフェイスを優先的にアクティブにする場合は、このコマンドを使用してより小さい値を設定します。たとえば、GigabitEthernet 1/3 を GigabitEthernet 0/7 よりも前にアクティブにするには、1/3 インターフェイスに対して lacp port-priority 値を 12345 にし、 0/7 インターフェイスに対してデフォルトの 32768 にします。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。「EtherChannel のカスタマイズ」 lacp system-priority コマンドを参照してください。

ステップ 4

チャネル グループに追加するインターフェイスごとに、手順 1 ~ 5 を繰り返します。

チャネル グループの各インターフェイスは、同じタイプと速度である必要があります。半二重はサポートされていません。一致しないインターフェイスを追加した場合、中断状態になります。

次の作業

オプション タスク:

EtherChannel インターフェイスをカスタマイズします。「EtherChannel のカスタマイズ」を参照してください。

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「マルチ コンテキストの設定」を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。

EtherChannel のカスタマイズ

ここでは、EtherChannel 内のインターフェイスの最大数、EtherChannel でアクティブになる動作インターフェイスの最小数、ロード バランシング アルゴリズム、その他のオプション パラメータの設定方法について説明します。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface port-channel channel_id

 

hostname(config)# interface port-channel 1

ポートチャネル インターフェイスを指定します。このインターフェイスは、チャネル グループにインターフェイスを追加したときに自動的に作成されました。まだインターフェイスを追加していない場合、このコマンドはポートチャネル インターフェイスを作成します。

(注) ポートチャネル インターフェイスの名前などの論理パラメータを設定する前に、少なくとも 1 つのメンバー インターフェイスをポートチャネル インターフェイスに追加する必要があります。

ステップ 2

lacp max-bundle number

 

hostname(config-if)# lacp max-bundle 6

チャネル グループ内でアクティブになることができるインターフェイスの最大数を、1 ~ 8 の範囲で指定します。デフォルトは 8 です。

ステップ 3

port-channel min-bundle number

 

hostname(config-if)# port-channel min-bundle 2

ポートチャネル インターフェイスがアクティブになるために必要な、アクティブ インターフェイスの最小数を、1 ~ 8 の範囲で指定します。デフォルトは 1 です。チャネル グループ内のアクティブ インターフェイス数がこの値よりも小さい場合、ポートチャネル インターフェイスがダウンし、デバイスレベル フェールオーバーが開始されます。

ステップ 4

port-channel load-balance { dst-ip | dst-ip-port | dst-mac | dst-port | src-dst-ip | src-dst-ip-port | src-dst-mac | src-dst-port | src-ip | src-ip-port | src-mac | src-port | vlan-dst-ip | vlan-dst-ip-port | vlan-only | vlan-src-dst-ip | vlan-src-dst-ip-port | vlan-src-ip | vlan-src-ip-port }

 

hostname(config-if)# port-channel load-balance src-dst-mac

ロードバランシング アルゴリズムを設定します。デフォルトでは、ASA は、パケットの送信元および宛先 IP アドレス( src-dst-ip )に従って、インターフェイスにパケット負荷を分散させます。パケットを分類するプロパティを変更する場合、このコマンドを使用します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。異なるアルゴリズムに変更することで、トラフィックがより均等に分散されることがあります。ロード バランシングの詳細については、「ロード バランシング」を参照してください。

ステップ 5

lacp system-priority number

 

hostname(config)# lacp system-priority 12345

LACP システム プライオリティを 1 ~ 65535 の範囲で設定します。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。このコマンドは ASA に対してグローバルです。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。EtherChannel 内のインターフェイス プライオリティについては、「インターフェイスの EtherChannel への追加」 lacp port-priority コマンドを参照してください。

ステップ 6

(オプション)

ポートチャネル インターフェイスのイーサネット プロパティを設定し、個別のインターフェイスに設定されてプロパティを上書きできます。

これらのパラメータは、チャネル グループ内のすべてのインターフェイスで一致する必要があるため、この方法により、これらのパラメータを簡単に設定できます。イーサネット コマンドについては、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。

次の作業

オプション タスク:

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「マルチ コンテキストの設定」を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。

VLAN サブインターフェイスと 802.1Q トランキングの設定

サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはASAを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチ コンテキスト モードで特に便利です。

ガイドラインと制限事項

最大サブインターフェイス数:使用するプラットフォームで許容される VLAN サブインターフェイス数を決定するには、「ASA 5510 以降のインターフェイスのライセンス要件」を参照してください。

物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。サブインターフェイスでトラフィックを通過させるためには物理インターフェイスまたは冗長インターフェイスをイネーブルにする必要があるため、 nameif コマンドを除外して、物理インターフェイスまたは冗長インターフェイスがトラフィックを通過させないようにしてください。物理インターフェイスまたは冗長インターフェイスでタグのないパケットを通過できるようにする場合は、通常どおりに nameif コマンドを設定できます。インターフェイス コンフィギュレーションの詳細については、「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。

前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface { physical_interface | redundant number | port-channel number } . subinterface

 

hostname(config)# interface gigabitethernet 0/1.100

新しいサブインターフェイスを指定します。物理インターフェイス ID については、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」の説明を参照してください。

redundant number 引数には、冗長インターフェイス ID( redundant 1 など)を指定します。

port-channel number 引数は、 port-channel 1 などの EtherChannel インターフェイス ID です。

subinterface ID は、1 ~ 4294967293 の整数です。

ステップ 2

vlan vlan_id

 

hostname(config-subif)# vlan 101

サブインターフェイスの VLAN を指定します。 vlan_id は、1 ~ 4094 の整数です。VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。

1 つの VLAN は 1 つのサブインターフェイスにだけ割り当てることができます。同じ VLAN を複数のサブインターフェイスに割り当てることはできません。VLAN を物理インターフェイスに割り当てることはできません。トラフィックがサブインターフェイスを通過するには、各サブインターフェイスに VLAN ID が必要となります。VLAN ID を変更するために no オプションで古い VLAN ID を削除する必要はありません。別の VLAN ID を指定して vlan コマンドを入力すると、ASAによって古い ID が変更されます。

次の作業

(オプション)ASA 5580 および 5585-X の場合、「ジャンボ フレームのサポートのイネーブル化(ASA 5580 および ASA 5585-X)」に従ってジャンボ フレームのサポートをイネーブルにします。

ジャンボ フレームのサポートのイネーブル化(ASA 5580 および ASA 5585-X)

ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。


) 他のプラットフォーム モデルではジャンボ フレームをサポートしていません。


前提条件

マルチ コンテキスト モードでは、システム実行スペースでこのオプションを設定します。

この設定を変更した場合は、ASA のリロードが必要です。

ジャンボ フレームを送信する必要があるインターフェイスごとに MTU を必ず設定してください。 MTU は、 mtu コマンドを使用して、デフォルト値の 1500 よりも大きい値(たとえば 9000)に設定します。 「MAC アドレスと MTU の設定」を参照してください。マルチ コンテキスト モードでは、各コンテキスト内で MTU を設定します。

手順の詳細

 

コマンド
目的

jumbo-frame reservation

 

hostname(config)# jumbo-frame reservation

ASA 5580 および 5585-X のジャンボ フレームのサポートをイネーブルにします。ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。

次に、ジャンボ フレームの予約をイネーブルにし、コンフィギュレーションを保存してASAをリロードする例を示します。

hostname(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted.Command accepted.
 
hostnamehostname(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5
 
70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
hostname(config)# reload
Proceed with reload?[confirm] Y
 

インターフェイスのモニタリング

インターフェイスをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show interface

インターフェイス統計情報を表示します。

show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

show lacp {[ channel_group_number ] { counters | internal | neighbor } | sys-id }

EtherChannel について、トラフィック統計情報、システム識別子、ネイバーの詳細など、LACP 情報を表示します。

show port-channel [ channel_group_number ] [ brief | detail | port | protocol | summary ]

EtherChannel について、EtherChannel 情報を、詳細に 1 行のサマリー形式で表示します。このコマンドは、ポートおよびポートチャネル情報も表示します。

show port-channel channel_group_number load-balance [ hash-result { ip | ipv6 | l4port | mac | mixed | vlan-only } parameters ]

EtherChannel について、ポートチャネル ロードバランス情報と、ハッシュ結果および指定したパラメータ セット用に選択されたメンバー インターフェイスを表示します。

ASA 5510 以降のインターフェイスの設定例

この項は、次の内容で構成されています。

「物理インターフェイス パラメータの例」

「サブインターフェイス パラメータの例」

「マルチ コンテキスト モードの例」

「EtherChannel の例」

物理インターフェイス パラメータの例

次に、シングル モードで物理インターフェイスのパラメータを設定する例を示します。

interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown
 

サブインターフェイス パラメータの例

次に、シングル モードでサブインターフェイスのパラメータを設定する例を示します。

interface gigabitethernet 0/1.1
vlan 101
no shutdown
 

マルチ コンテキスト モードの例

次に、システム コンフィギュレーション用にマルチ コンテキスト モードでインターフェイス パラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。

interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown
interface gigabitethernet 0/1.1
vlan 101
context contextA
allocate-interface gigabitethernet 0/1.1
 

EtherChannel の例

次の例では、3 つのインターフェイスを EtherChannel の一部として設定します。また、システム プライオリティをより高いプライオリティとして設定し、EtherChannel に 9 個以上のインターフェイスが割り当てられた場合に、GigabitEthernet 0/2 のプライオリティを他のインターフェイスよりも高くします。

lacp system-priority 1234
interface GigabitEthernet0/0
channel-group 1 mode active
interface GigabitEthernet0/1
channel-group 1 mode active
interface GigabitEthernet0/2
lacp port-priority 1234
channel-group 1 mode passive
interface Port-channel1
lacp max-bundle 4
port-channel min-bundle 2
port-channel load-balance dst-ip
 

関連情報

マルチ コンテキスト モードの場合

a. インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。「マルチ コンテキスト モードの設定」を参照してください。

b. 「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」に従って、インターフェイス コンフィギュレーションを実行します。

シングル コンテキスト モードの場合は、「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」に従って、インターフェイス コンフィギュレーションを実行します。

ASA 5510 以降のインターフェイスの機能履歴

表 6-2 に、この機能のリリース履歴の一覧を示します。

 

表 6-2 インターフェイスの機能履歴

機能名
リリース
機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

ASA 5520 の VLAN 数が 25 から 100 に増えました。

ASA 5540 の VLAN 数が 100 から 200 に増えました。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。

VLAN 数の増加

7.2(2)

VLAN の制限値が変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 ASAは、Gigabit Ethernet(GE; ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の Fast Ethernet(FE; ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。 speed コマンドを使用してインターフェイスの速度を変更します。また、 show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

Cisco ASA 5580 はジャンボ フレームをサポートしています。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。

この機能は、ASA 5585-X でもサポートされています。

jumbo-frame reservation コマンドが導入されました。

 

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

この機能は、ASA 5585-X でもサポートされています。

flowcontrol コマンドが導入されました。

 

1 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(5)/8.4(2)

すべてのモデル上で 1 ギガビット インターフェイスでのフロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

lowcontrol コマンドが変更されました。

 

EtherChannel のサポート

8.4(1)

それぞれ 8 個のアクティブなインターフェイスを持つ、最大 48 個の 802.3ad EtherChannel を設定できます。

channel-group lacp port-priority interface port-channel lacp max-bundle port-channel min-bundle port-channel load-balance lacp system-priority clear lacp counters show lacp show port-channel コマンドが導入されました。

(注) EtherChannel は ASA 5505 ではサポートされません。