Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
マルチ コンテキスト モードの設定
マルチ コンテキスト モードの設定
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

マルチ コンテキスト モードの設定

セキュリティ コンテキストに関する情報

セキュリティ コンテキストの一般的な使用方法

コンテキスト コンフィギュレーション ファイル

コンテキスト コンフィギュレーション

システム設定

管理コンテキスト コンフィギュレーション

ASA によるパケットの分類方法

有効な分類子の基準

分類の例

セキュリティ コンテキストのカスケード接続

セキュリティ コンテキストへの管理アクセス

システム管理者のアクセス

コンテキスト管理者のアクセス

リソース管理に関する情報

リソース制限値

デフォルト クラス

クラスメンバー

MAC アドレスに関する情報

デフォルトの MAC アドレス

手動 MAC アドレスとの通信

フェールオーバー用の MAC アドレス

MAC アドレス形式

マルチ コンテキスト モードのライセンス要件

ガイドラインと制限事項

デフォルト設定

マルチ コンテキストの設定

マルチ コンテキスト モードの設定のタスク フロー

マルチ コンテキスト モードのイネーブル化とディセーブル化

マルチ コンテキスト モードのイネーブル化

シングル コンテキスト モードの復元

リソース管理のクラスの設定

セキュリティ コンテキストの設定

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

コンテキストとシステム実行スペースの切り替え

セキュリティ コンテキストの管理

セキュリティ コンテキストの削除

管理コンテキストの変更

セキュリティ コンテキスト URL の変更

セキュリティ コンテキストのリロード

コンフィギュレーションのクリアによるリロード

コンテキストの削除および再追加によるリロード

セキュリティ コンテキストのモニタリング

コンテキスト情報の表示

リソース割り当ての表示

リソースの使用状況の表示

コンテキストでの SYN 攻撃のモニタリング

割り当てられた MAC アドレスの表示

システム コンフィギュレーションでの MAC アドレスの表示

コンテキスト内の MAC アドレスの表示

マルチ コンテキスト モードの設定例

マルチ コンテキスト モードの機能履歴

セキュリティ コンテキストに関する情報

1 台のASAを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持つ独立したデバイスです。マルチ コンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチ コンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、IPS、管理など、多くの機能がサポートされます。VPN、ダイナミック ルーティング プロトコルなど、いくつかの機能はサポートされません。


) ASA がセキュリティ コンテキスト(たとえば、アクティブ/アクティブ ステートフル フェールオーバー)用に設定されている場合、IPsec または SSL VPN をイネーブルにすることはできません。したがって、これらの機能は使用できません。


この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの一般的な使用方法」

「コンテキスト コンフィギュレーション ファイル」

「ASA によるパケットの分類方法」

「セキュリティ コンテキストのカスケード接続」

「セキュリティ コンテキストへの管理アクセス」

「リソース管理に関する情報」

「MAC アドレスに関する情報」

セキュリティ コンテキストの一般的な使用方法

マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。

サービス プロバイダーとして、多数のカスタマーにセキュリティ サービスを販売する。ASA上でマルチセキュリティ コンテキストをイネーブルにすることによって、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、カスタマーのトラフィックすべての分離とセキュリティが確保され、設定も容易です。

大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。

企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。

複数のASAが必要なネットワークを使用している。

コンテキスト コンフィギュレーション ファイル

この項では、ASAがマルチ コンテキスト モードのコンフィギュレーションを実装する方法について説明します。次の項目を取り上げます。

「コンテキスト コンフィギュレーション」

「システム設定」

「管理コンテキスト コンフィギュレーション」

コンテキスト コンフィギュレーション

ASAには、セキュリティ ポリシー、インターフェイス、およびスタンドアロン デバイスで設定できるほとんどのオプションを識別するコンテキストごとのコンフィギュレーションが含まれます。コンテキスト コンフィギュレーションは、内部フラッシュ メモリまたは外部フラッシュ メモリ カードに保存できます。また、コンテキスト コンフィギュレーションを TFTP、FTP、または HTTP(S)サーバからダウンロードできます。

システム設定

システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびその他のコンテキスト操作パラメータをシステム コンフィギュレーションに設定することで、コンテキストを追加および管理します。このコンフィギュレーションは、シングル モードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、ASAの基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは 管理コンテキスト として指定されているコンテキストのいずれかを使用します。システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊なフェールオーバー インターフェイスがあります。

管理コンテキスト コンフィギュレーション

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。管理コンテキストは、リモートではなくフラッシュ メモリに置く必要があります。

システムがすでにマルチ コンテキスト モードになっている場合、またはシングル モードから変換された場合、管理コンテキストが admin.cfg と呼ばれるファイルとして内部フラッシュ メモリに自動的に作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとして使用しない場合は、管理コンテキストを変更できます。

ASA によるパケットの分類方法

ASAに入ってくるパケットはいずれも分類する必要があります。その結果、ASAは、どのコンテキストにパケットを送信するかを決定できます。この項は、次の内容で構成されています。

「有効な分類子の基準」

「分類の例」


) 宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製され、各コンテキストに送信されます。


有効な分類子の基準

この項では、分類子で使用される基準について説明します。次の項目を取り上げます。

「固有のインターフェイス」

「固有の MAC アドレス」

「NAT コンフィギュレーション」


) インターフェイス宛の管理トラフィックでは、インターフェイス IP アドレスが分類に使用されます。

ルーティング テーブルはパケット分類には使用されません。


固有のインターフェイス

入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、ASAはパケットをそのコンテキストに分類します。トランスペアレント ファイアウォール モードでは、各コンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用されます。

固有の MAC アドレス

マルチ コンテキストがインターフェイスを共有している場合、分類子はインターフェイス MAC アドレスを使用します。ASA を使用すると、各コンテキストのさまざまな MAC アドレスを同じ共有インターフェイスに割り当てることができます。デフォルトでは、共有インターフェイスには固有の MAC アドレスがありません。インターフェイスは、すべてのコンテキストのバーンドイン MAC アドレスを使用します。固有の MAC アドレスがないと、アップストリーム ルータはコンテキストに直接ルーティングできません。各インターフェイスを設定するときに、手動で MAC アドレスを設定できます(「MAC アドレスと MTU の設定」を参照)。または、MAC アドレスを自動的に生成することもできます(「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照)。

NAT コンフィギュレーション

固有の MAC アドレスを使用しない場合は、パケットの分類には NAT コンフィギュレーションのマッピング アドレスが使用されます。NAT コンフィギュレーションの完全性に関係なくトラフィック分類を行うことができるように、NAT ではなく MAC アドレスを使用することをお勧めします。

分類の例

図 5-1 に、外部インターフェイスを共有するマルチ コンテキストを示します。コンテキスト B にはルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをコンテキスト B に割り当てます。

図 5-1 MAC アドレスを使用した共有インターフェイスを持つパケット分類

 

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。 図 5-2 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 0/1.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 5-2 内部ネットワークからの着信トラフィック

 

トランスペアレント ファイアウォールでは、固有のインターフェイスを使用する必要があります。 図 5-3 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 5-3 トランスペアレント ファイアウォールのコンテキスト

 

セキュリティ コンテキストのカスケード接続

コンテキストを別のコンテキストの前に置くことを、コンテキストをカスケード接続するといいます。あるコンテキストの外部インターフェイスは、別のコンテキストの内部インターフェイスと同じインターフェイスです。いくつかのコンテキストのコンフィギュレーションを単純化する場合、最上位のコンテキストの共有パラメータを設定することで、コンテキストをカスケード接続できます。


) コンテキストをカスケード接続するには、各コンテキスト インターフェイスに固有の MAC アドレスを設定する必要があります。MAC アドレスのない共有インターフェイスのパケットを分類するには限界があるため、固有の MAC アドレスを設定しないでコンテキストのカスケード接続を使用することはお勧めしません。


図 5-4 に、ゲートウェイの背後に 2 つのコンテキストがあるゲートウェイ コンテキストを示します。

図 5-4 コンテキストのカスケード接続

 

セキュリティ コンテキストへの管理アクセス

ASAでは、マルチ コンテキスト モードでのシステム管理アクセスと、各コンテキスト管理者のアクセスを提供します。次の各項では、システム管理者またはコンテキスト管理者としてのログインについて説明します。

「システム管理者のアクセス」

「コンテキスト管理者のアクセス」

システム管理者のアクセス

ASAにシステム管理者としてアクセスするには、次の 2 つの方法があります。

ASA コンソールにアクセスする

コンソールから システム実行スペース にアクセスします。この場合、入力したコマンドは、システム コンフィギュレーションまたはシステムの実行(run-time コマンド)だけに影響します。

Telnet、SSH、または ASDM を使用して管理コンテキストにアクセスする

Telnet、SSH、および SDM アクセスをイネーブルにするには、「管理アクセスの設定」を参照してください。

システム管理者として、すべてのコンテキストにアクセスできます。

管理者またはシステムからコンテキストに変更すると、ユーザ名はデフォルトの「enable_15」に変わります。そのコンテキストでコマンド認可を設定した場合は、「enable_15」というユーザの認可特権を設定するか、またはコンテキストのコマンド認可コンフィギュレーションで十分な特権を与えられる別の名前でログインできます。ユーザ名を指定してログインするには、 login コマンドを入力します。たとえば、「admin」というユーザ名で管理コンテキストにログインします。管理コンテキストにコマンド認可コンフィギュレーションはありませんが、それ以外のすべてのコンテキストにはコマンド認可があります。便宜上、各コンテキスト コンフィギュレーションには、最大特権を持つ「admin」がユーザとして含まれています。管理コンテキストからコンテキスト A に変更したら、ユーザ名が変わるため、 login コマンドを入力して再度「admin」でログインする必要があります。コンテキスト B に変更したら、再度 login コマンドを入力して、「admin」でログインする必要があります。

システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固有のイネーブル パスワードおよびユーザ名をローカル データベースに設定することができます。

コンテキスト管理者のアクセス

Telnet、SSH、または ASDM を使用して、コンテキストにアクセスできます。管理外コンテキストにログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけになります。そのコンテキストに個別のログインを付与できます。Telnet、SSH、および SDM アクセスをイネーブルにして管理認証を設定するには、「管理アクセスの設定」を参照してください。

リソース管理に関する情報

デフォルトでは、すべてのセキュリティ コンテキストは、コンテキストあたりの最大制限が適用されている場合を除いて、ASAのリソースに無制限にアクセスできます。ただし、1 つ以上のコンテキストがリソースを大量に使用しており、他のコンテキストが接続を拒否されている場合は、リソース管理を設定してコンテキストごとのリソースの使用を制限できます。

ASAでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。

この項は、次の内容で構成されています。

「リソース制限値」

「デフォルト クラス」

「クラス メンバー」

リソース制限値

クラスを作成すると、ASAは、クラスに割り当てられる各コンテキストに対してリソースの一部を確保しなくなります。その代わりに、ASAは、コンテキストの上限を設定します。リソースをオーバーサブスクライブする場合、または一部のリソースを無制限にする場合は、少数のコンテキストがこれらのリソースを「使い果たし」、他のコンテキストへのサービスに影響する可能性があります。

個々のリソースには、割合(ハードウェアのシステム制限がある場合)または絶対値で制限を設定できます。

コンテキスト全体に渡って 100% を超えるリソースを割り当てることにより、ASAをオーバーサブスクライブすることができます。たとえば、接続がコンテキストあたり 20% までに制限されるように Bronze クラスを設定し、それから 10 個のコンテキストをそのクラスに割り当てれば、リソースの合計を 200% にできます。コンテキストがシステム制限を超えて同時に使用する場合、各コンテキストは意図した 20% を下回ります。(図 5-5を参照)。

図 5-5 リソースのオーバーサブスクライブ

 

コンテキスト全体に渡って、ASAの実際の制限を超える絶対値をリソースに割り当てると、ASAのパフォーマンスが低下する場合があります。

ASAでは、割合や絶対値ではなく、クラス内の 1 つ以上のリソースへの無制限アクセスを割り当てることができます。リソースに制限がない場合、コンテキストは、システムに存在する(実際に使用可能な)だけのリソースを使用できます。たとえば、コンテキスト A、B、C が Silver クラスに属しており、クラスの各メンバーの使用量が接続の 1% に制限されていて、合計 3% が割り当てられているが、3 つのコンテキストが現在使用しているのは合計 2% だけだとします。Gold クラスは、接続に無制限にアクセスできます。Gold クラスのコンテキストは「未割り当て」接続の 97% 以上を使用できるため、コンテキスト A、B、C で現在使用されていない接続の残りの 1% も使用できます。その場合、コンテキスト A、B、C の使用量は合計制限値である 3% 以下になります (図 5-6 を参照)。無制限アクセスの設定は、システムのオーバーサブスクライブ量を制御する機能が劣る点を除いて、ASAのオーバーサブスクライブに類似しています。

図 5-6 無制限リソース

 

デフォルト クラス

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2% の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。これとは逆に、すべてのリソースに対する制限値を設定してクラスを作成すると、そのクラスではデフォルト クラスの設定を何も使用しません。

デフォルトでは、デフォルト クラスは、すべてのコンテキストにリソースへのアクセスを無制限に提供します。ただし、次の制限が適用されます(この制限は、デフォルトではコンテキストあたりの最大許容値が設定されます)。

Telnet セッション:5 セッション。

SSH セッション:5 セッション。

IPsec セッション:5 セッション。

MAC アドレス:65,535 エントリ。

図 5-7 に、デフォルト クラスと他のクラスの関係を示します。コンテキスト A および C は、いくつかの制限が設定されたクラスに属しており、それ以外の制限はデフォルト クラスから継承します。コンテキスト B は、属している Gold クラスですべての制限が設定されているため、デフォルト クラスから制限値を継承しません。コンテキスト D はクラスに割り当てられなかったため、デフォルトでデフォルト クラスのメンバーになります。

図 5-7 リソース クラス

 

クラス メンバー

クラスの設定を使用するには、コンテキストを定義するときに、そのコンテキストをクラスに割り当てます。すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。このルールの例外は、メンバー クラスで未定義の制限はデフォルト クラスから継承されることです。そのため実際には、コンテキストがデフォルト クラスおよび別のクラスのメンバーになります。

MAC アドレスに関する情報

インターフェイスを共有するコンテキストを許可するには、固有の MAC アドレスを各共有コンテキスト インターフェイスに割り当てることを推奨します(「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照)。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。インターフェイスを共有するものの、各コンテキストにインターフェイスの固有の MAC アドレスがない場合は、宛先 IP アドレスがパケットの分類に使用されます。宛先アドレスは、コンテキスト NAT コンフィギュレーションと照合されます。この方法には、MAC アドレスの方法に比べるといくつか制限があります。パケットの分類の詳細については、「ASA によるパケットの分類方法」を参照してください。

生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスの手動設定の詳細については、「MAC アドレスと MTU の設定」を参照してください。

この項は、次の内容で構成されています。

「デフォルトの MAC アドレス」

「手動 MAC アドレスとの通信」

「フェールオーバー用の MAC アドレス」

「MAC アドレス形式」

デフォルトの MAC アドレス

ASA 5500 シリーズ アプライアンスの場合:デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

MAC アドレスのプレフィクスを指定すると、自動生成された MAC アドレスはすべて A2 で開始されます。自動生成された MAC アドレスは、リロード間で持続されます。

プレフィクスを指定しないと、MAC アドレスは次の形式で生成されます。

アクティブ ユニットの MAC アドレス:12_ slot . port _ subid . contextid .

スタンバイ ユニットの MAC アドレス:02_ slot . port _ subid . contextid .

手動 MAC アドレスとの通信

MAC アドレスを手動で割り当てた場合、自動生成がイネーブルになっていても、手動で割り当てた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。

(プレフィクスを使用する場合)自動生成されたアドレスは A2 で始まるため、手動 MAC アドレスを A2 で始めることはできません。たとえ自動生成も使用する予定であってもそれは同じです。

フェールオーバー用の MAC アドレス

フェールオーバーで使用できるように、ASAはインターフェイスごとにアクティブとスタンバイの両方の MAC アドレスを生成します。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。詳細については、「MAC アドレス形式」の項を参照してください。

prefix キーワードが導入される前のレガシー バージョンの mac-address auto コマンドを使用したフェールオーバー装置のアップグレードについては、『 Cisco ASA 5500 Series Command Reference 』の mac-address auto コマンドを参照してください。

MAC アドレス形式

形式は、プレフィクスを設定しているかどうかによって異なります。

プレフィクスを使用する場合の MAC アドレス形式

ASAは、次の形式を使用して MAC アドレスを生成します。

A2 xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィクスで、 zz.zzzz は ASA が生成した内部カウンタです。スタンバイ MAC アドレスの場合、内部カウンタが 1 増えることを除けばアドレスは同じです。

プレフィクスの使用方法を示す例の場合、プレフィクス 77 を設定すると、ASA は 77 を 16 進数値 004D( yyxx )に変換します。MAC アドレスで使用すると、プレフィクスは ASA ネイティブ形式に一致するように逆にされます( xxyy )。

A2 4D.00 zz.zzzz

プレフィクス 1009(03F1)の場合、MAC アドレスは次のようになります。

A2 F1.03 zz.zzzz

プレフィクスを使用しない場合の MAC アドレス形式

プレフィクスを指定しないと、MAC アドレスは次の形式で生成されます。

アクティブ ユニットの MAC アドレス:12_ slot . port _ subid . contextid .

スタンバイ ユニットの MAC アドレス:02_ slot . port _ subid . contextid .

インターフェイス スロットがないプラットフォームの場合、スロットは常に 0 です。 port はインターフェイス ポートです。 subid は、表示不可能なサブインターフェイスの内部 ID です。 contextid は、 show context detail コマンドで表示可能なコンテキストの内部 ID です。たとえば、ID 1 のコンテキスト内のインターフェイス GigabitEthernet 0/1.200 には、次の生成済み MAC アドレスがあります。サブインターフェイス 200 の内部 ID は 31 です。

アクティブ:1200.0131.0001

スタンバイ:0200.0131.0001

この MAC アドレス生成方法では、リロード間で MAC アドレスが持続されず、同じネットワーク セグメントに複数の ASA を配置できず(固有の MAC アドレスが保証されないため)、手動で割り当てた MAC アドレスとの MAC アドレスの重複が回避されません。これらの問題を回避するため、プレフィクスを使用して MAC アドレスを生成することをお勧めします。

マルチ コンテキスト モードのライセンス要件

 

モデル
ライセンス要件

ASA 5505

サポートしない

ASA 5510

Security Plus ライセンス:2 コンテキスト

オプション ライセンス:5 コンテキスト

ASA 5520

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、または 20 コンテキスト

ASA 5540

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、または 50 コンテキスト

ASA 5550

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、または 100 コンテキスト。

ASA 5580

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、100、または 250 コンテキスト。

ASA 5585-X(SSP-10)

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、または 100 コンテキスト。

ASA 5585-X(SSP-20、-40、および -60)

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、100、または 250 コンテキスト。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

アクティブ/アクティブ モード フェールオーバーは、マルチ コンテキスト モードでのみサポートされます。

IPv6 のガイドライン

IPv6 をサポートします。

モデルのガイドライン

ASA 5505 をサポートしません。

サポートされていない機能

マルチ コンテキスト モードでサポートされていない機能は、次のとおりです。

ダイナミック ルーティング プロトコル

セキュリティ コンテキストは、スタティック ルートのみサポートします。マルチ コンテキスト モードでは、OSPF、RIP、または EIGRP をイネーブルにできません。

VPN

マルチキャスト ルーティング。マルチキャスト ブリッジはサポートされています。

脅威の検出

電話プロキシ

QoS

その他のガイドライン

コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、新規デバイスのモードを match に設定します。

デフォルト設定

デフォルトで、ASA はシングル コンテキスト モードになります。

マルチ コンテキストの設定

この項では、マルチ コンテキスト モードを設定する方法について説明します。次の項目を取り上げます。

「マルチ コンテキスト モードの設定のタスク フロー」

「マルチ コンテキスト モードのイネーブル化とディセーブル化」

「リソース管理のクラスの設定」

「セキュリティ コンテキストの設定」

「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」

マルチ コンテキスト モードの設定のタスク フロー

マルチ コンテキスト モードを設定するには、次の手順を実行します。


ステップ 1 マルチ コンテキスト モードをイネーブルにします。「マルチ コンテキスト モードのイネーブル化とディセーブル化」を参照してください。

ステップ 2 (オプション)リソース管理のクラスを設定します。「リソース管理のクラスの設定」を参照してください。

ステップ 3 システム実行スペースでインターフェイスを設定します。「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」を参照してください。

ステップ 4 セキュリティ コンテキストを設定します。「セキュリティ コンテキストの設定」を参照してください。

ステップ 5 (オプション)コンテキスト インターフェイスに MAC アドレスを自動的に割り当てます。「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

ステップ 6 コンテキストのインターフェイス コンフィギュレーションを完成させます。「インターフェイス コンフィギュレーションの実行(ルーテッド モード)」または「インターフェイス コンフィギュレーションの実行(トランスペアレント モード)」を参照してください。


 

マルチ コンテキスト モードのイネーブル化とディセーブル化

シスコへの発注方法によっては、ASAがすでにマルチセキュリティ コンテキスト用に設定されている場合があります。ただし、アップグレードする場合は、この項で説明する手順に従ってシングル モードからマルチ モードに変換することが必要になる場合があります。

この項は、次の内容で構成されています。

「マルチ コンテキスト モードのイネーブル化」

「シングル コンテキスト モードの復元」

マルチ コンテキスト モードのイネーブル化

シングル モードからマルチ モードに変換すると、ASA は実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーションと、(内部フラッシュ メモリのルート ディレクトリの)管理コンテキストで構成される admin.cfg です。元の 実行コンフィギュレーションは、old_running.cfg として(内部フラッシュ メモリのルート ディレクトリに)保存されます。元のスタートアップ コンフィギュレーションは保存されません。ASA は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。

前提条件

シングル モードからマルチ モードに変換すると、ASAは実行コンフィギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存されないため、実行コンフィギュレーションと異なる場合は、手順を進める前にバックアップを取る必要があります。

コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、新規デバイスのモードを match に設定します。

手順の詳細

 

コマンド
目的

mode multiple

 

hostname(config)# mode multiple

マルチ コンテキスト モードに変更します。 ASAをリブートするよう求められます。

シングル コンテキスト モードの復元

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードをシングル モードに変更するには、次の手順を実行します。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

copy flash:old_running.cfg startup-config

 

hostname(config)# copy flash:old_running.cfg startup-config

元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーします。

ステップ 2

mode single

 

hostname(config)# mode single

モードを single mode に設定します。 ASAをリブートするよう求められます。

リソース管理のクラスの設定

システム コンフィギュレーションでクラスを設定するには、次の手順を実行します。新しい値を指定してコマンドを再入力すると、特定のリソース制限値を変更できます。

前提条件

この手順はシステム実行スペースで実行します。

ガイドライン

表 5-1 に、リソース タイプと制限を示します。 show resource types コマンドも参照してください。

 

表 5-1 リソース名と制限

リソース名
レートまたは同時
コンテキストあたりの最小数と最大数
システム制限1
説明

mac-addresses

同時接続数

該当なし

65,535

トランスペアレント ファイアウォール モードでは、MAC アドレス テーブルで許可される MAC アドレス数。

conns

同時またはレート

該当なし

同時接続数:プラットフォームの接続制限については、「モデルごとにサポートされている機能のライセンス」を参照してください。

レート:該当なし

任意の 2 つのホスト間の TCP または UDP 接続(1 つのホストと他の複数のホストとの間の接続を含む)。

inspects

レート

該当なし

該当なし

アプリケーション インスペクション。

hosts

同時接続数

該当なし

該当なし

ASA経由で接続可能なホスト。

asdm

同時接続数

最小 1

最大 5

32

ASDM 管理セッション。

(注) ASDM セッションでは、2 つの HTTPS 接続を使用します。1 つは常に存在するモニタリング用の接続、もう 1 つは変更時にのみ存在するコンフィギュレーション変更用の接続です。たとえば、ASDM セッションのシステム制限が 32 の場合、HTTPS セッション数は 64 に制限されます。

ssh

同時接続数

最小 1

最大 5

100

SSH セッション

syslogs

レート

該当なし

該当なし

システム ログ メッセージ。

telnet

同時接続数

最小 1

最大 5

100

Telnet セッション。

xlates

同時接続数

該当なし

該当なし

アドレス変換。

1.このカラムに「該当なし」と記述されている場合、そのリソースにはハード システム制限がないため、リソースのパーセンテージを設定できません。

手順の詳細

 

 
コマンド
目的

ステップ 1

class name

 

hostname(config)# threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0

クラス名を指定して、クラス コンフィギュレーション モードを開始します。 name は、最大 20 文字の文字列です。デフォルト クラスの制限値を設定するには、名前として default と入力します。

ステップ 2

次のいずれかまたは複数の作業を実行します。

 

limit-resource all 0

 

hostname(config)# limit-resource all 0

すべてのリソース制限( 表 5-1 を参照)を無制限に設定します。たとえば、制限のない管理コンテキストを含むクラスを作成するとします。デフォルト クラスでは、デフォルトですべてのリソースが無制限に設定されています。

 

limit-resource [ rate ] resource_name number [ % ]

 

hostname(config)# limit-resource rate inspects 10

特定のリソース制限を設定します。この特定のリソースでは、この制限値が all に設定された制限値より優先されます。 rate 引数を入力して、特定のリソースの毎秒あたりのレートを設定します。システム制限が設定されていないリソースの場合は、1 ~ 100 の割合(%)値は設定できず、絶対値だけを設定できます。毎秒あたりのレートを設定可能なリソース、およびシステム制限が設定されていないリソースについては、 表 5-1 を参照してください。

たとえば、接続のデフォルト クラス制限を、無制限ではなく 10% に設定するには、次のコマンドを入力します。

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 

他のリソースはすべて無制限のままです。

gold というクラスを追加するには、次のコマンドを入力します。

hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 

セキュリティ コンテキストの設定

システム コンフィギュレーション内のセキュリティ コンテキストの定義によって、コンテキストの名前、コンフィギュレーション ファイルの URL、コンテキストが使用できるインターフェイスが識別されます。

前提条件

この手順はシステム実行スペースで実行します。

ASA 5500 シリーズ アプライアンスでは、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」の説明に従って物理インターフェイス パラメータ、VLAN サブインターフェイス、冗長インターフェイスを設定します。

管理コンテキストがない場合(コンフィギュレーションをクリアした場合など)は、最初に次のコマンドを入力して管理コンテキスト名を指定する必要があります。

hostname(config)# admin-context name

このコンテキスト名はコンフィギュレーションにまだ存在しませんが、続いて context name コマンドを入力すると、指定した名前との照合が行われて、管理コンテキスト コンフィギュレーションを続行できます。

手順の詳細

 

 
コマンド
目的

ステップ 1

context name

 

hostname(config)# context administrator

コンテキストを追加または編集します。 name は最大 32 文字の文字列です。コンテキスト名は、大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。文字、数字、またはハイフンを使用できますが、名前の先頭または末尾にハイフンは使用できません。

「System」および「Null」(大文字と小文字の両方)は予約されている名前であり、使用できません。

ステップ 2

(オプション)

description text

 

hostname(config)# description Administrator Context

このコンテキストの説明を追加します。

ステップ 3

物理インターフェイスを割り当てるには:

allocate-interface physical_interface [ mapped_name ] [ visible | invisible ] [ service-shared ]

 

1 つまたは複数のサブインターフェイスを割り当てるには:

allocate-interface physical_interface . subinterface [ - physical_interface . subinterface ] [ mapped_name [ - mapped_name ]] [ visible | invisible ] [ service-shared ]

 
hostname(config-ctx)# allocate-interface gigabitethernet0/1.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/2.300-gigabitethernet0/2.305 int3-int8

コンテキストで使用できるインターフェイスを指定します。インターフェイス タイプとポート番号の間にスペースを含めないでください。

これらのコマンドを複数回入力して複数の範囲を指定します。このコマンドの no 形式を使用して割り当てを削除すると、このインターフェイスを含むコンテキスト コマンドすべてが実行コンフィギュレーションから削除されます。

トランスペアレント ファイアウォール モードでは、限られた数のインターフェイスのみがトラフィックを通過することができます。ただし、専用の管理インターフェイス Management slot / port (物理インターフェイスまたはサブインターフェイス)を管理トラフィック用の追加インターフェイスとして使用できます。トランスペアレント モードの管理インターフェイスは、MAC アドレス テーブルにないパケットをインターフェイスにフラッディングしません。

ルーテッド モードでは、必要に応じて同じインターフェイスを複数のコンテキストに割り当てることができます。トランスペアレント モードでは、Service Insertion Architecture(SIA)のデータプレーンまたはコントロールプレーンのインターフェイスを共有したい場合を除き、共有インターフェイスは使用できません。これらのインターフェイスを共有するには、 service-shared キーワードを指定します。

mapped_name は、インターフェイスの英数字のエイリアスで、インターフェイス ID の代わりにコンテキスト内で使用できます。マッピング名を指定しない場合、インターフェイス ID がコンテキスト内で使用されます。セキュリティのために、コンテキストで使用されているインターフェイスをコンテキスト管理者に知らせない場合があります。

マッピング名はアルファベットで始まり、アルファベットまたは数字で終わる必要があります。その間の文字には、アルファベット、数字、または下線のみを使用できます。たとえば、次の名前を使用できます。

int0 , inta , int_0
 

サブインターフェイスの範囲を指定する場合は、マッピング名の一致範囲を指定できます。範囲については、次のガイドラインに従ってください。

マッピング名は、アルファベット部分と、それに続く数値部分で構成する必要があります。マッピング名のアルファベット部分は、範囲の両端で一致している必要があります。たとえば、次のような範囲を入力します。

int0-int10
 

たとえば、 gig0/1.1-gig0/1.5 happy 1- sad 5 と入力した場合、コマンドは失敗します。

 

 

マッピング名の数値部分には、サブインターフェイスの範囲と同じ個数の数値を含める必要があります。たとえば、次の例では、両方の範囲に 100 個のインターフェイスが含まれています。

gigabitethernet0/0.100-gigabitethernet0/0.199 int1-int100
 

たとえば、 gig0/0. 100 -gig0/0. 199 int 1 -int 15 と入力した場合、コマンドは失敗します。

マッピング名を設定している場合に show interface コマンドで実際のインターフェイス ID を参照するには、 visible を指定します。デフォルトの invisible キーワードでは、マッピング名のみが表示されます。

ステップ 4

config-url url

 
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg

システムがコンテキスト コンフィギュレーションをダウンロードする URL を指定します。コンテキストの URL を追加すると、そのコンテキストをただちにロードし、コンフィギュレーションが使用可能であればコンテキストを実行できるようにします。

コマンドを入力した場合、ASAはただちにコンテキスト コンフィギュレーションをロードします。(まだ設定されていない)インターフェイスを示すコマンドがコンテキストに含まれている場合、それらのコマンドは失敗します。

ファイル名にファイル拡張子は必要ありませんが、「.cfg」を使用することを推奨します。管理コンテキストからサーバにアクセス可能である必要があります。コンフィギュレーション ファイルが存在しない場合は、次のメッセージが表示されます。

WARNING: Could not fetch the URL disk:/ url
INFO: Creating context with default config
 

HTTP(S)以外の URL の場合、対象 URL にファイルを書き込むには、URL を指定した後、そのコンテキストに変更し、CLI に設定して、 write memory コマンドを入力します。(HTTP(S)は読み取り専用です)。

(注) 管理コンテキスト ファイルは内部フラッシュ メモリに保存する必要があります。

次の URL 構文を参照してください。

disk:/ [ path / ] filename

この URL は、内部フラッシュ メモリを指定します。

ftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;type= xx ]

type には次のキーワードのいずれかを指定できます。

ap :ASCII 受動モード

an :ASCII 通常モード

ip :(デフォルト)バイナリ受動モード

in :バイナリ通常モード

http [ s ] :// [ user [ : password ] @ ] server [: port ] / [ path / ] filename

コンテキストに変更を加え、CLI でコンテキストを設定する場合は、 write memory コマンドを使用して HTTP または HTTPS サーバに変更を保存することはできません。ただし、 copy tftp コマンドを使用して実行コンフィギュレーションを TFTP サーバにコピーできます。

tftp:// [ user [ : password ] @ ] server [: port ] / [ path / ] filename [ ;int= interface_name ]

URL を変更するには、新しい URL で config-url コマンドを再入力します。URL の変更の詳細については、「セキュリティ コンテキスト URL の変更」を参照してください。

ステップ 5

(オプション)

member class_name

 
hostname(config-ctx)# member gold

コンテキストをリソース クラスに割り当てます。クラスを指定しない場合、コンテキストはデフォルト クラスに属します。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。

ステップ 6

(オプション)

allocate-ips sensor_name [ mapped_name ] [ default ]

 
hostname(config-ctx)# allocate-ips sensor1 highsec

AIP SSM をインストールしている場合、IPS 仮想センサーをこのコンテキストに割り当てます。

仮想センサーの詳細については、「セキュリティ コンテキストへの仮想センサーの割り当て(ASA 5510 以降)」を参照してください。

次に、管理コンテキストに「administrator」を設定し、内部フラッシュ メモリに「administrator」というコンテキストを作成してから、FTP サーバから 2 つのコンテキストを追加する例を示します。

hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
 
hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member silver
 

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

ここでは、MAC アドレスの自動生成を設定する方法について説明します。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。詳細については、「MAC アドレスに関する情報」を参照してください。「割り当てられた MAC アドレスの表示」も参照してください。

ガイドライン

コンテキストのインターフェイスに nameif コマンドを設定すると、新しい MAC アドレスがただちに生成されます。コンテキスト インターフェイスを設定した後でこの機能をイネーブルにした場合、イネーブルにするとただちにすべてのインターフェイスの MAC アドレスが生成されます。この機能をディセーブルにすると、各インターフェイスの MAC アドレスはデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは GigabitEthernet 0/1 の MAC アドレスを使用するようになります。

生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスの手動設定の詳細については、「MAC アドレスと MTU の設定」を参照してください。

手順の詳細

 

コマンド
目的

mac-address auto [ prefix prefix ]

 

hostname(config)# mac-address auto prefix 19

プライベート MAC アドレスを各コンテキスト インターフェイスに自動的に割り当てます。

prefix は、0 ~ 65535 の 10 進数です。このプレフィクスは 4 桁の 16 進数値に変換され、MAC アドレスの一部として使用されます。プレフィクスにより、各ASAはそれぞれ固有の MAC アドレスを使用するようになるため、次のように 1 つのネットワーク セグメントに複数のASAを配置できます。プレフィクスの使用方法の詳細については、「MAC アドレス形式」を参照してください。

コンテキストとシステム実行スペースの切り替え

システム実行スペースにログインした場合(または Telnet や SSH を使用して管理コンテキストにログインした場合)は、コンテキスト間の切り替えが可能であり、各コンテキスト内でコンフィギュレーション タスクやモニタリング タスクを実行できます。実行コンフィギュレーションが、コンフィギュレーション モードで編集するか、 copy コマンドまたは write コマンドに使用されるかは、ログインした場所で決まります。システム実行スペースにログインした場合、実行コンフィギュレーションはシステム コンフィギュレーションのみで構成され、コンテキストにログインした場合は、実行コンフィギュレーションはそのコンテキストのみで構成されます。たとえば、 show running-config コマンドを入力しても、すべての実行コンフィギュレーション(システム コンテキストとすべてのコンテキスト)を表示することはできません。現在のコンフィギュレーションだけが表示されます。

システム実行スペースとコンテキスト間の切り替え、またはコンテキスト間の切り替えを行うには、次のコマンドを使用します。

 

コマンド
目的

changeto context name

コンテキストに変更します。プロンプトは、次のように変化します。

hostname/ name #
 

changeto system

システム実行スペースに切り替えます。プロンプトは、次のように変化します。

hostname#
 

セキュリティ コンテキストの管理

この項では、セキュリティ コンテキストを管理する方法について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの削除」

「管理コンテキストの変更」

「セキュリティ コンテキスト URL の変更」

「セキュリティ コンテキストのリロード」

セキュリティ コンテキストの削除

コンテキストは、システム コンフィギュレーションを編集することによってのみ削除できます。現在の管理コンテキストは、 clear context コマンドを実行してすべてのコンテキストを削除しない限り、削除できません。


) フェールオーバーを使用すると、アクティブ装置でコンテキストを削除した時刻と、スタンバイ装置でコンテキストが削除された時刻との間で遅延が生じます。アクティブ装置とスタンバイ装置の間でインターフェイス数が一致していないことを示すエラー メッセージが表示される場合があります。このエラーは一時的に表示されるもので、無視できます。


前提条件

この手順はシステム実行スペースで実行します。

手順の詳細

 

コマンド
目的

no context name

シングル コンテキストを削除します。すべてのコンテキスト コマンドを削除することもできます。

clear context

すべてのコンテキスト(管理コンテキストを含みます)を削除します。

管理コンテキストの変更

システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。

ガイドライン

コンフィギュレーション ファイルが内部フラッシュ メモリに保存されている限り、任意のコンテキストを管理コンテキストとして設定できます。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細

 

コマンド
目的

admin-context context_name

 

hostname(config)# admin-context administrator

管理コンテキストを設定します。Telnet、SSH、HTTPS など、管理コンテキストに接続しているリモート管理セッションはすべて終了します。新しい管理コンテキストに再接続する必要があります。

を含むいくつかのシステム コマンドは、管理コンテキストに所属するインターフェイス名を識別します。管理コンテキストを変更した場合に、そのインターフェイス名が新しい管理コンテキストに存在しないときは、そのインターフェイスを参照するシステム コマンドはすべて、アップデートしてください。

セキュリティ コンテキスト URL の変更

この項では、コンテキスト URL を変更する方法について説明します。

ガイドライン

セキュリティ コンテキスト URL は、新しい URL からコンフィギュレーションをリロードしないと変更できません。ASAは、新しいコンフィギュレーションを現在の実行コンフィギュレーションにマージします。

同じ URL を再入力した場合でも、保存されたコンフィギュレーションが実行コンフィギュレーションにマージされます。

このマージでは、新しいコンフィギュレーションの新しいすべてのコマンドが実行コンフィギュレーションに追加されます。

コンフィギュレーションが同一であれば、変更はありません。

コマンドが競合しているか、コマンドがコンテキストの実行に影響する場合、マージの影響はコマンドによって異なります。エラーが出される場合もあれば、予期しない結果になる場合もあります。実行コンフィギュレーションが空白の場合(たとえば、サーバが使用不可でコンフィギュレーションがダウンロードされなかった場合)は、新しいコンフィギュレーションが使用されます。

コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションをクリアしてから、新しい URL からコンフィギュレーションをリロードすることができます。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

(オプション、マージを実行しない場合)

changeto context name
clear configure all
 

hostname(config)# changeto context ctx1

hostname/ctx1(config)# clear configure all

コンテキストに変更し、そのコンフィギュレーションをクリアします。マージを実行する場合は、ステップ 2 にスキップします。

ステップ 2

changeto system

 

hostname/ctx1(config)# changeto system

hostname(config)#

システム実行スペースに切り替えます。

ステップ 3

context name

 

hostname(config)# context ctx1

変更するコンテキストのコンテキスト コンフィギュレーション モードを開始します。

ステップ 4

config-url new_url

 

hostname(config)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/ctx1.cfg

新しい URL を入力します。システムは、動作中になるように、ただちにコンテキストをロードします。

セキュリティ コンテキストのリロード

セキュリティ コンテキストは、次の 2 つの方法でリロードできます。

実行コンフィギュレーションをクリアしてからスタートアップ コンフィギュレーションをインポートする。

このアクションでは、セキュリティ コンテキストに関連付けられている接続や NAT テーブルなどの属性の大部分がクリアされます。

セキュリティ コンテキストをシステム コンフィギュレーションから削除する。

このアクションでは、トラブルシューティングに役立つ可能性のあるメモリ割り当てなど補足的な属性がクリアされます。しかし、コンテキストをシステムに戻して追加するには、URL とインターフェイスを再指定する必要があります。

この項は、次の内容で構成されています。

「コンフィギュレーションのクリアによるリロード」

「コンテキストの削除および再追加によるリロード」

コンフィギュレーションのクリアによるリロード

コンテキスト コンフィギュレーションをクリアし、URL からコンフィギュレーションをリロードすることによってコンテキストをリロードするには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

changeto context name

 

hostname(comfig)# changeto context ctx1

hostname/ctx1(comfig)#

リロードするコンテキストに変更します。

ステップ 2

clear configure all

 

hostname/ctx1(config)# clear configure all

実行コンフィギュレーションをクリアします。このコマンドを実行するとすべての接続がクリアされます。

ステップ 3

copy startup-config running-config

 

hostname/ctx1(config)# copy startup-config running-config

コンフィギュレーションをリロードします。ASAは、システム コンフィギュレーションに指定された URL からコンフィギュレーションをコピーします。コンテキスト内で URL を変更することはできません。

コンテキストの削除および再追加によるリロード

コンテキストを削除し、その後再追加することによってコンテキストをリロードするには、次の各項で説明してある手順を実行してください。

1. 「セキュリティ コンテキストの削除」

2. 「セキュリティ コンテキストの設定」

セキュリティ コンテキストのモニタリング

この項では、コンテキスト情報の表示およびモニタの方法について説明します。次の項目を取り上げます。

「コンテキスト情報の表示」

「コンテキスト情報の表示」

「リソース割り当ての表示」

「リソースの使用状況の表示」

「コンテキストでの SYN 攻撃のモニタリング」

「割り当てられた MAC アドレスの表示」

コンテキスト情報の表示

システム実行スペースから、名前、割り当てられているインターフェイス、コンフィギュレーション ファイル URL を含むコンテキストのリストを表示できます。

システム実行スペースから次のコマンドを入力すると、すべてのコンテキストが表示されます。

 

コマンド
目的

show context [ name | detail | count ]

すべてのコンテキストを表示します。

detail オプションを指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。

特定のコンテキストの情報を表示する場合は、 name にコンテキスト名を指定します。

count オプションを指定すると、コンテキストの合計数が表示されます。

次に、 show context コマンドの出力例を示します。この出力例では、3 つのコンテキストが表示されています。

hostname# show context
 
Context Name Interfaces URL
*admin GigabitEthernet0/1.100 disk0:/admin.cfg
GigabitEthernet0/1.101
contexta GigabitEthernet0/1.200 disk0:/contexta.cfg
GigabitEthernet0/1.201
contextb GigabitEthernet0/1.300 disk0:/contextb.cfg
GigabitEthernet0/1.301
Total active Security Contexts: 3
 

表 5-2 に各フィールドの説明を示します。

 

表 5-2 show context のフィールド

フィールド
説明

Context Name

すべてのコンテキスト名が表示されます。アスタリスク(*)の付いているコンテキスト名は、管理コンテキストです。

Interfaces

このコンテキストに割り当てられたインターフェイス。

URL

ASAがコンテキストのコンフィギュレーションをロードする URL。

次に、 show context detail コマンドの出力例を示します。

hostname# show context detail
 
Context "admin", has been created, but initial ACL rules not complete
Config URL: disk0:/admin.cfg
Real Interfaces: Management0/0
Mapped Interfaces: Management0/0
Flags: 0x00000013, ID: 1
 
Context "ctx", has been created, but initial ACL rules not complete
Config URL: ctx.cfg
Real Interfaces: GigabitEthernet0/0.10, GigabitEthernet0/1.20,
GigabitEthernet0/2.30
Mapped Interfaces: int1, int2, int3
Flags: 0x00000011, ID: 2
 
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Control0/0, GigabitEthernet0/0,
GigabitEthernet0/0.10, GigabitEthernet0/1, GigabitEthernet0/1.10,
GigabitEthernet0/1.20, GigabitEthernet0/2, GigabitEthernet0/2.30,
GigabitEthernet0/3, Management0/0, Management0/0.1
Flags: 0x00000019, ID: 257
 
Context "null", is a system resource
Config URL: ... null ...
Real Interfaces:
Mapped Interfaces:
Flags: 0x00000009, ID: 258
 

detail の出力の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。

次に、 show context count コマンドの出力例を示します。

hostname# show context count
Total active contexts: 2

リソース割り当ての表示

システム実行スペースから、すべてのクラスおよびクラス メンバーに渡るリソースごとの割り当て状況を表示できます。

リソース割り当てを表示するには、次のコマンドを入力します。

 

コマンド
目的

show resource allocation [ detail ]

リソース割り当てを表示します。このコマンドは、リソース割り当てを表示しますが、実際に使用されているリソースは表示しません。実際のリソース使用状況の詳細については、「リソースの使用状況の表示」を参照してください。

detail 引数を指定すると、追加情報が表示されます。詳細については、次の出力例を参照してください。

次の出力例には、各リソースの合計割り当て量が絶対値および使用可能なシステム リソースの割合として示されています。

hostname# show resource allocation
Resource Total % of Avail
Conns [rate] 35000 N/A
Inspects [rate] 35000 N/A
Syslogs [rate] 10500 N/A
Conns 305000 30.50%
Hosts 78842 N/A
SSH 35 35.00%
Telnet 35 35.00%
Xlates 91749 N/A
All unlimited
 

表 5-3 に各フィールドの説明を示します。

 

表 5-3 show resource allocation のフィールド

フィールド
説明

Resource

制限を課すことのできるリソースの名前。

Total

すべてのコンテキストで割り当てられるリソースの総量。この数量は、同時発生インスタンスまたは 1 秒あたりのインスタンスの絶対量です。クラス定義でパーセンテージを指定した場合、ASAはこの表示のためにパーセンテージを絶対数に変換します。

% of Avail

リソースにハードウェア システム制限がある場合に、コンテキスト全体に渡って割り当てられている合計システム リソースの割合。リソースにシステム制限がない場合、このカラムには N/A と表示されます。

次に、 show resource allocation detail コマンドの出力例を示します。

hostname# show resource allocation detail
Resource Origin:
A Value was derived from the resource 'all'
C Value set in the definition of this class
D Value set in default class
Resource Class Mmbrs Origin Limit Total Total %
Conns [rate] default all CA unlimited
gold 1 C 34000 34000 N/A
silver 1 CA 17000 17000 N/A
bronze 0 CA 8500
All Contexts: 3 51000 N/A
 
Inspects [rate] default all CA unlimited
gold 1 DA unlimited
silver 1 CA 10000 10000 N/A
bronze 0 CA 5000
All Contexts: 3 10000 N/A
 
Syslogs [rate] default all CA unlimited
gold 1 C 6000 6000 N/A
silver 1 CA 3000 3000 N/A
bronze 0 CA 1500
All Contexts: 3 9000 N/A
 
Conns default all CA unlimited
gold 1 C 200000 200000 20.00%
silver 1 CA 100000 100000 10.00%
bronze 0 CA 50000
All Contexts: 3 300000 30.00%
 
Hosts default all CA unlimited
gold 1 DA unlimited
silver 1 CA 26214 26214 N/A
bronze 0 CA 13107
All Contexts: 3 26214 N/A
 
SSH default all C 5
gold 1 D 5 5 5.00%
silver 1 CA 10 10 10.00%
bronze 0 CA 5
All Contexts: 3 20 20.00%
 
Telnet default all C 5
gold 1 D 5 5 5.00%
silver 1 CA 10 10 10.00%
bronze 0 CA 5
All Contexts: 3 20 20.00%
 
Xlates default all CA unlimited
gold 1 DA unlimited
silver 1 CA 23040 23040 N/A
bronze 0 CA 11520
All Contexts: 3 23040 N/A
 
mac-addresses default all C 65535
gold 1 D 65535 65535 100.00%
silver 1 CA 6553 6553 9.99%
bronze 0 CA 3276
All Contexts: 3 137623 209.99%
 

表 5-4 に各フィールドの説明を示します。

 

表 5-4 show resource allocation detail のフィールド

フィールド
説明

Resource

制限を課すことのできるリソースの名前。

Class

デフォルト クラスを含む、各クラスの名前。

すべてのコンテキスト フィールドには、すべてのクラス全体での合計値が表示されます。

Mmbrs

各クラスに割り当てられるコンテキストの数。

Origin

リソース制限の生成元。値は次のとおりです。

A:この制限を個々のリソースとしてではなく、 all オプションを使用して設定します。

C:この制限はメンバー クラスから生成されます。

D:この制限はメンバー クラスでは定義されたのではなく、デフォルト クラスから生成されました。デフォルト クラスに割り当てられたコンテキストの場合、値は「D」ではなく「C」になります。

ASA では、「A」を「C」または「D」と組み合わせることができます。

Limit

コンテキストごとのリソース制限(絶対数として)。クラス定義でパーセンテージを指定した場合、ASAはこの表示のためにパーセンテージを絶対数に変換します。

Total

クラス内のすべてのコンテキストにわたって割り当てられているリソースの合計数。この数量は、同時発生インスタンスまたは 1 秒あたりのインスタンスの絶対量です。リソースが無制限の場合、この表示は空白です。

% of Avail

クラス内のコンテキスト全体に渡って割り当てられている合計システム リソースの割合。リソースが無制限の場合、この表示は空白です。リソースにシステム制限がない場合、このカラムの表示は N/A になります。

リソースの使用状況の表示

システム実行スペースで、コンテキストごとのリソースの使用状況やシステム リソースの使用状況を表示できます。

システム実行スペースでコンテキストごとのリソースの使用状況を表示するには、次のコマンドを入力します。

 

コマンド
目的

show resource usage [ context context_name | top n | all | summary | system ] [ resource { resource_name | all } | detail ] [ counter counter_name [ count_threshold ]]

デフォルトでは、 all (すべての)コンテキストの使用状況が表示されます。各コンテキストは個別にリスト表示されます。

指定したリソースの上位 n 人のユーザとなっているコンテキストを表示するには、 top n キーワードを入力します。このオプションでは、 resource all ではなく、リソース タイプを 1 つのみ指定する必要があります。

summary オプションを指定すると、すべてのコンテキストの使用状況が組み合されて表示されます。

system オプションでは、すべてのコンテキストの使用状況が組み合されて表示されますが、組み合されたコンテキスト制限ではなく、リソースに対するシステムの制限が表示されます。

resource resource_name で使用可能なリソース名については、 表 5-1 を参照してください。 show resource type コマンドも参照してください。すべてのタイプを表示するには all (デフォルト)を指定します。

detail オプションを指定すると、管理できないリソースを含むすべてのリソースの使用状況が表示されます。たとえば、TCP 代行受信の数を表示できます。

counter counter_name には、次のいずれかのキーワードを指定します。

current :リソースのアクティブな同時発生インスタンス数、またはリソースの現在のレートを表示します。

denied :Limit カラムに示されるリソース制限を超えたため拒否されたインスタンスの数を表示します。

peak :ピーク時のリソースの同時発生インスタンス数、またはピーク時のリソースのレートを表示します。これは、統計情報が clear resource usage コマンドまたはデバイスのリブートによって最後にクリアされた時点から計測されます。

all :(デフォルト)すべての統計情報を表示します。

count_threshold は、表示するリソースの下限を設定します。デフォルトは 1 です。リソースの使用状況がここで設定する回数を下回っている場合、そのリソースは表示されません。カウンタ名に all を指定した場合、 count_threshold は現在の使用状況に適用されます。

に設定します。

次に、 show resource usage context コマンドの出力例を示します。ここでは、admin コンテキストのリソース使用状況を表示する例を示しています。

hostname# show resource usage context admin
 
Resource Current Peak Limit Denied Context
Telnet 1 1 5 0 admin
Conns 44 55 N/A 0 admin
Hosts 45 56 N/A 0 admin
 

次に、 show resource usage summary コマンドの出力例を示します。ここでは、すべてのコンテキストとすべてのリソースのリソース使用状況を表示する例を示しています。ここでは、6 コンテキスト分の制限値が表示されています。

hostname# show resource usage summary
 
Resource Current Peak Limit Denied Context
Syslogs [rate] 1743 2132 N/A 0 Summary
Conns 584 763 280000(S) 0 Summary
Xlates 8526 8966 N/A 0 Summary
Hosts 254 254 N/A 0 Summary
Conns [rate] 270 535 N/A 1704 Summary
Inspects [rate] 270 535 N/A 0 Summary
S = System: Combined context limits exceed the system limit; the system limit is shown.
 

次に、 show resource usage summary コマンドの出力例を示します。このコマンドでは、25 コンテキストの制限が示されます。Telnet 接続および SSH 接続のコンテキストの限界がコンテキストごとに 5 であるため、合計の限界は 125 です。システムの限界が単に 100 であるため、システムの限界が表示されています。

hostname# show resource usage summary
 
Resource Current Peak Limit Denied Context
Telnet 1 1 100[S] 0 Summary
SSH 2 2 100[S] 0 Summary
Conns 56 90 N/A 0 Summary
Hosts 89 102 N/A 0 Summary
S = System: Combined context limits exceed the system limit; the system limit is shown.
 

次に、 show resource usage system コマンドの出力例を示します。このコマンドは、すべてのコンテキストのリソース使用状況を表示しますが、組み合わせたコンテキストの限界ではなく、システムの限界を表示しています。現在使用中でないリソースを表示するには、 counter all 0 オプションを指定します。Denied の統計情報は、システム制限がある場合に、その制限によってリソースが拒否された回数を示します。

hostname# show resource usage system counter all 0
 
Resource Current Peak Limit Denied Context
Telnet 0 0 100 0 System
SSH 0 0 100 0 System
ASDM 0 0 32 0 System
Syslogs [rate] 1 18 N/A 0 System
Conns 0 1 280000 0 System
Xlates 0 0 N/A 0 System
Hosts 0 2 N/A 0 System
Conns [rate] 1 1 N/A 0 System
Inspects [rate] 0 0 N/A 0 System
 

コンテキストでの SYN 攻撃のモニタリング

ASA は、TCP 代行受信を使用して SYN 攻撃を防ぎます。TCP 代行受信では、SYN クッキー アルゴリズムを使用して TCP SYN フラッディング攻撃を防ぎます。SYN フラッディング攻撃は、通常スプーフされた IP アドレスから発信された一連の SYN パケットによって行われます。SYN パケットが継続的にフラッディングされることにより、サーバの SYN キューがいっぱいになり、サーバで接続要求を処理できなくなります。初期接続しきい値を超えると、ASAはサーバのプロキシとして動作し、クライアントの SYN 要求に対して SYN-ACK 応答を返します。ASAは、クライアントから ACK を受信すると、クライアントを認証してサーバへの接続を許可できます。

次のコマンドを使用して、SYN 攻撃をモニタリングします。

 

コマンド
目的

show perfmon

各コンテキストについて、攻撃の割合をモニタリングします。

show resource usage detail

各コンテキストについて、TCP 代行受信によって使用されるリソースの量をモニタリングします。

show resource usage summary detail

システム全体の TCP 代行受信で使用されるリソースをモニタリングします。

次に、 show perfmon コマンドの出力例を示します。このコマンドは、admin というコンテキストの TCP 代行受信レートを表示します。

hostname/admin# show perfmon
 
Context:admin
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 0/s
TCP Conns 0/s 0/s
UDP Conns 0/s 0/s
URL Access 0/s 0/s
URL Server Req 0/s 0/s
WebSns Req 0/s 0/s
TCP Fixup 0/s 0/s
HTTP Fixup 0/s 0/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
TCP Intercept 322779/s 322779/s
 

次に、 show resource usage detail コマンドの出力例を示します。このコマンドは、個々のコンテキストの TCP 代行受信で使用されるリソース量を表示します (イタリック体のサンプル テキストは、TCP 代行受信情報を示します)。

hostname(config)# show resource usage detail
Resource Current Peak Limit Denied Context
memory 843732 847288 unlimited 0 admin
chunk:channels 14 15 unlimited 0 admin
chunk:fixup 15 15 unlimited 0 admin
chunk:hole 1 1 unlimited 0 admin
chunk:ip-users 10 10 unlimited 0 admin
chunk:list-elem 21 21 unlimited 0 admin
chunk:list-hdr 3 4 unlimited 0 admin
chunk:route 2 2 unlimited 0 admin
chunk:static 1 1 unlimited 0 admin
tcp-intercepts 328787 803610 unlimited 0 admin
np-statics 3 3 unlimited 0 admin
statics 1 1 unlimited 0 admin
ace-rules 1 1 unlimited 0 admin
console-access-rul 2 2 unlimited 0 admin
fixup-rules 14 15 unlimited 0 admin
memory 959872 960000 unlimited 0 c1
chunk:channels 15 16 unlimited 0 c1
chunk:dbgtrace 1 1 unlimited 0 c1
chunk:fixup 15 15 unlimited 0 c1
chunk:global 1 1 unlimited 0 c1
chunk:hole 2 2 unlimited 0 c1
chunk:ip-users 10 10 unlimited 0 c1
chunk:udp-ctrl-blk 1 1 unlimited 0 c1
chunk:list-elem 24 24 unlimited 0 c1
chunk:list-hdr 5 6 unlimited 0 c1
chunk:nat 1 1 unlimited 0 c1
chunk:route 2 2 unlimited 0 c1
chunk:static 1 1 unlimited 0 c1
tcp-intercept-rate 16056 16254 unlimited 0 c1
globals 1 1 unlimited 0 c1
np-statics 3 3 unlimited 0 c1
statics 1 1 unlimited 0 c1
nats 1 1 unlimited 0 c1
ace-rules 2 2 unlimited 0 c1
console-access-rul 2 2 unlimited 0 c1
fixup-rules 14 15 unlimited 0 c1
memory 232695716 232020648 unlimited 0 system
chunk:channels 17 20 unlimited 0 system
chunk:dbgtrace 3 3 unlimited 0 system
chunk:fixup 15 15 unlimited 0 system
chunk:ip-users 4 4 unlimited 0 system
chunk:list-elem 1014 1014 unlimited 0 system
chunk:list-hdr 1 1 unlimited 0 system
chunk:route 1 1 unlimited 0 system
block:16384 510 885 unlimited 0 system
block:2048 32 34 unlimited 0 system
 

次の出力例は、システム全体の TCP 代行受信で使用されるリソースを示します (イタリック体のサンプル テキストは、TCP 代行受信情報を示します)。

hostname(config)# show resource usage summary detail
Resource Current Peak Limit Denied Context
memory 238421312 238434336 unlimited 0 Summary
chunk:channels 46 48 unlimited 0 Summary
chunk:dbgtrace 4 4 unlimited 0 Summary
chunk:fixup 45 45 unlimited 0 Summary
chunk:global 1 1 unlimited 0 Summary
chunk:hole 3 3 unlimited 0 Summary
chunk:ip-users 24 24 unlimited 0 Summary
chunk:udp-ctrl-blk 1 1 unlimited 0 Summary
chunk:list-elem 1059 1059 unlimited 0 Summary
chunk:list-hdr 10 11 unlimited 0 Summary
chunk:nat 1 1 unlimited 0 Summary
chunk:route 5 5 unlimited 0 Summary
chunk:static 2 2 unlimited 0 Summary
block:16384 510 885 unlimited 0 Summary
block:2048 32 35 unlimited 0 Summary
tcp-intercept-rate 341306 811579 unlimited 0 Summary
globals 1 1 unlimited 0 Summary
np-statics 6 6 unlimited 0 Summary
statics 2 2 N/A 0 Summary
nats 1 1 N/A 0 Summary
ace-rules 3 3 N/A 0 Summary
console-access-rul 4 4 N/A 0 Summary
fixup-rules 43 44 N/A 0 Summary

割り当てられた MAC アドレスの表示

システム コンフィギュレーション内またはコンテキスト内の自動生成された MAC アドレスを表示できます。この項は、次の内容で構成されています。

「システム コンフィギュレーションでの MAC アドレスの表示」

「コンテキスト内の MAC アドレスの表示」

システム コンフィギュレーションでの MAC アドレスの表示

この項では、システム コンフィギュレーション内の MAC アドレスを表示する方法について説明します。

ガイドライン

MAC アドレスをインターフェイスに手動で割り当てるものの、その際に自動生成がイネーブルになっていると、手動 MAC アドレスが使用中のアドレスとなりますが、コンフィギュレーションには自動生成されたアドレスが引き続き表示されます。後で手動 MAC アドレスを削除すると、表示されている自動生成アドレスが使用されます。

手順の詳細

 

コマンド
目的

show running-config all context [ name ]

システム実行スペースから割り当てられた MAC アドレスを表示します。

割り当てられた MAC アドレスを表示するには、 all オプションが必要です。このコマンドはグローバル コンフィギュレーション モードでのみユーザによる設定が可能ですが、 mac-address auto コマンドは割り当てられた MAC アドレスとともに各コンテキストのコンフィギュレーションに読み取り専用エントリとして表示されます。コンテキスト内で nameif コマンドで設定される割り当て済みのインターフェイスだけに MAC アドレスが割り当てられます。

show running-config all context admin コマンドからの次の出力には、Management0/0 インターフェイスに割り当てられたプライマリおよびスタンバイ MAC アドレスが表示されます。

hostname# show running-config all context admin
 
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a24d.0000.1440 a24d.0000.1441
config-url disk0:/admin.cfg
 

show running-config all context コマンドからの次の出力には、すべてのコンテキスト インターフェイスのすべての MAC アドレス(プライマリおよびスタンバイ)が表示されます。GigabitEthernet0/0 と GigabitEthernet0/1 の各メイン インターフェイスはコンテキスト内部に nameif コマンドで設定されないため、それらのインターフェイスの MAC アドレスは生成されていないことに注意してください。

 
hostname# show running-config all context
 
admin-context admin
context admin
allocate-interface Management0/0
mac-address auto Management0/0 a2d2.0400.125a a2d2.0400.125b
config-url disk0:/admin.cfg
!
 
context CTX1
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11bc a2d2.0400.11bd
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11c0 a2d2.0400.11c1
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c4 a2d2.0400.11c5
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c8 a2d2.0400.11c9
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11cc a2d2.0400.11cd
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120c a2d2.0400.120d
mac-address auto GigabitEthernet0/1.2 a2d2.0400.1210 a2d2.0400.1211
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1214 a2d2.0400.1215
config-url disk0:/CTX1.cfg
!
 
context CTX2
allocate-interface GigabitEthernet0/0
allocate-interface GigabitEthernet0/0.1-GigabitEthernet0/0.5
mac-address auto GigabitEthernet0/0.1 a2d2.0400.11ba a2d2.0400.11bb
mac-address auto GigabitEthernet0/0.2 a2d2.0400.11be a2d2.0400.11bf
mac-address auto GigabitEthernet0/0.3 a2d2.0400.11c2 a2d2.0400.11c3
mac-address auto GigabitEthernet0/0.4 a2d2.0400.11c6 a2d2.0400.11c7
mac-address auto GigabitEthernet0/0.5 a2d2.0400.11ca a2d2.0400.11cb
allocate-interface GigabitEthernet0/1
allocate-interface GigabitEthernet0/1.1-GigabitEthernet0/1.3
mac-address auto GigabitEthernet0/1.1 a2d2.0400.120a a2d2.0400.120b
mac-address auto GigabitEthernet0/1.2 a2d2.0400.120e a2d2.0400.120f
mac-address auto GigabitEthernet0/1.3 a2d2.0400.1212 a2d2.0400.1213
config-url disk0:/CTX2.cfg
!

コンテキスト内の MAC アドレスの表示

この項では、コンテキスト内で MAC アドレスを表示する方法について説明します。

手順の詳細

 

コマンド
目的

show interface | include (Interface)|(MAC)

コンテキスト内で各インターフェイスに使用されている MAC アドレスを表示します。

次の例を参考にしてください。

hostname/context# show interface | include (Interface)|(MAC)
 
Interface GigabitEthernet1/1.1 "g1/1.1", is down, line protocol is down
MAC address a201.0101.0600, MTU 1500
Interface GigabitEthernet1/1.2 "g1/1.2", is down, line protocol is down
MAC address a201.0102.0600, MTU 1500
Interface GigabitEthernet1/1.3 "g1/1.3", is down, line protocol is down
MAC address a201.0103.0600, MTU 1500
...
 

show interface コマンドは、使用中の MAC アドレスを表示します。MAC アドレスを手動で割り当てた場合に、自動生成がイネーブルになっていたときは、システム コンフィギュレーション内の未使用の自動生成アドレスのみを表示できます。


マルチ コンテキスト モードの設定例

次に例を示します。

コンテキストの MAC アドレスを自動的に設定します。

接続のデフォルト クラス制限を、無制限ではなく 10% に設定します。

gold リソース クラスを作成します。

管理コンテキストに「administrator」を設定します。

デフォルト リソース クラスの一部に、内部フラッシュ メモリの「administrator」というコンテキストを作成します。

gold リソース クラスの一部として、FTP サーバから 2 つのコンテキストを追加します。

hostname(config)# mac-address auto prefix 19

 

hostname(config)# class default
hostname(config-class)# limit-resource conns 10%
 
hostname(config)# class gold
hostname(config-class)# limit-resource mac-addresses 10000
hostname(config-class)# limit-resource conns 15%
hostname(config-class)# limit-resource rate conns 1000
hostname(config-class)# limit-resource rate inspects 500
hostname(config-class)# limit-resource hosts 9000
hostname(config-class)# limit-resource asdm 5
hostname(config-class)# limit-resource ssh 5
hostname(config-class)# limit-resource rate syslogs 5000
hostname(config-class)# limit-resource telnet 5
hostname(config-class)# limit-resource xlates 36000
 
hostname(config)# admin-context administrator
hostname(config)# context administrator
hostname(config-ctx)# allocate-interface gigabitethernet0/0.1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.1
hostname(config-ctx)# config-url flash:/admin.cfg
 
hostname(config-ctx)# context test
hostname(config-ctx)# allocate-interface gigabitethernet0/0.100 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/0.102 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/0.110-gigabitethernet0/0.115 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/test.cfg
hostname(config-ctx)# member gold
 
hostname(config-ctx)# context sample
hostname(config-ctx)# allocate-interface gigabitethernet0/1.200 int1
hostname(config-ctx)# allocate-interface gigabitethernet0/1.212 int2
hostname(config-ctx)# allocate-interface gigabitethernet0/1.230-gigabitethernet0/1.235 int3-int8
hostname(config-ctx)# config-url ftp://user1:passw0rd@10.1.1.1/configlets/sample.cfg
hostname(config-ctx)# member gold
 

マルチ コンテキスト モードの機能履歴

表 5-5 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 5-5 マルチ コンテキスト モードの機能履歴

機能名
プラットフォーム リリース
機能情報

マルチ セキュリティ コンテキスト

7.0(1)

マルチ コンテキスト モードが導入されました。

context mode class の各コマンドが導入されました。

 

MAC アドレス自動割り当て

7.2(1)

MAC アドレスのコンテキスト インターフェイスへの自動割り当てが導入されました。

mac-address auto コマンドが導入されました。

 

リソース管理

7.2(1)

リソース管理が導入されました。

class limit-resource member の各コマンドが導入されました。

 

IPS 仮想センサー

8.0(2)

IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行できます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキストまたはシングル モードASAを 1 つまたは複数の仮想センサーに割り当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。

allocate-ips コマンドが導入されました。

 

MAC アドレス自動割り当ての機能拡張

8.0(5)/8.2(2)

MAC アドレス形式は、プレフィクス、固定開始値(A2)、およびフェールオーバー ペアでプライマリ装置とセカンダリ装置の MAC アドレスに対して異なるスキームを使用するように変更されました。MAC アドレスは現在、リロード間で持続されるようになっています。コマンド パーサーは現在、自動生成がイネーブルになっているかどうかをチェックします。MAC アドレスを手動でも割り当てることができるようにする場合は、A2 を含む手動 MAC アドレスは開始できません。

mac-address auto prefix コマンドが変更されました。

 

ASA 5550 および 5580 の最大コンテキストが増加されました。

8.4(1)

ASA 5550 の最大セキュリティ コンテキストが 50 から 100 に増加されました。ASA 5580 の最大セキュリティ コンテキストが 50 から 250 に増加されました。