Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
トランスペアレント ファイアウォールまたは ルーテッド ファイアウォール の 設定
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
発行日;2012/05/10 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

ファイアウォール モードの設定

ファイアウォール モードに関する情報

ルーテッド ファイアウォール モードに関する情報

トランスペアレント ファイアウォール モードに関する情報

ファイアウォール モードのライセンス要件

デフォルト設定

ガイドラインと制限事項

ファイアウォール モードの設定

ファイアウォール モードの機能履歴

トランスペアレント ファイアウォール用の ARP インスペクションの設定

ARP インスペクションに関する情報

ARP インスペクションのライセンス要件

デフォルト設定

ガイドラインと制限事項

ARP インスペクションの設定

ARP インスペクションの設定のタスク フロー

スタティック ARP エントリの追加

ARP インスペクションのイネーブル化

ARP インスペクションのモニタリング

ARP インスペクションの機能履歴

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

MAC アドレス テーブルに関する情報

MAC アドレス テーブルのライセンス要件

デフォルト設定

ガイドラインと制限事項

MAC アドレス テーブルの設定

スタティック MAC アドレスの追加

MAC アドレス タイムアウトの設定

MAC アドレス ラーニングのディセーブル化

MAC アドレス テーブルのモニタリング

MAC アドレス テーブルの機能履歴

ファイアウォール モードの例

ルーテッド ファイアウォール モードで ASA を通過するデータ

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

NAT を使用して内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールまたはルーテッド ファイアウォール設定

この章では、ファイアウォール モード(トランスペアレントまたはルーテッド)の設定方法、および各ファイアウォール モードでファイアウォールがどのように機能するかについて説明します。

マルチ コンテキスト モードでは、コンテキストごとに個別にファイアウォール モードを設定できません。ファイアウォール モードはASA全体に対してだけ設定できます。

この章は、次の項で構成されています。

「ファイアウォール モードの設定」

「トランスペアレント ファイアウォール用の ARP インスペクションの設定」

「トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ」

「ファイアウォール モードの例」

ファイアウォール モードの設定

この項では、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードについて、およびモードの設定方法について説明します。この項は、次の内容で構成されています。

「ファイアウォール モードに関する情報」

「ファイアウォール モードのライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「ファイアウォール モードの設定」

「ファイアウォール モードの機能履歴」

ファイアウォール モードに関する情報

この項では、ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードについて説明します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードに関する情報」

「トランスペアレント ファイアウォール モードに関する情報」

ルーテッド ファイアウォール モードに関する情報

ルーテッド モードでは、ASAはネットワーク内のルータ ホップと見なされます。OSPF または RIP を使用できます(シングル コンテキスト モードの場合)。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

ASAは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングル コンテキスト モードでは、ルーテッド ファイアウォールは OSPF、EIGRP、および RIP をサポートします。マルチ コンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをASAに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

トランスペアレント ファイアウォール モードに関する情報

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「bump-in-the-wire(BITW)」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

この項では、トランスペアレント ファイアウォール モードについて説明します。次の項目を取り上げます。

「トランスペアレント ファイアウォール ネットワーク」

「ブリッジ グループ」

「管理インターフェイス(ASA 5510 以降)」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「BPDU の処理」

「MAC アドレス ルックアップと ルート ルックアップ」

「ネットワークでのトランスペアレント ファイアウォールの使用」

トランスペアレント ファイアウォール ネットワーク

ASA では、そのインターフェイスには同じネットワークが接続されます。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

ブリッジ グループ

セキュリティ コンテキストのオーバーヘッドが望ましくない場合、あるいはセキュリティ コンテキストの利用を最大化する場合は、インターフェイスをブリッジ グループにまとめ、各ネットワークに 1 つのブリッジ グループを設定することができます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。


) ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。他の管理方法については、「管理インターフェイス(ASA 5510 以降)」を参照してください。

ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。


管理インターフェイス(ASA 5510 以降)

各ブリッジ グループ管理 IP アドレスに加えて、どのブリッジ グループにも属さない別の管理インターフェイスを追加できます。こうすることで、ASA に対するトラフィックのみを管理できます。この機能は、マルチ コンテキスト モードで特に有用です。コンテキスト間で管理インターフェイスを共有する場合に、単一のインターフェイスで複数のコンテキストを管理できます。管理インターフェイスとは異なり、トラフィック用のインターフェイスをコンテキスト間で共有することはできないことに注意してください。「管理インターフェイス」を参照してください。

レイヤ 3 トラフィックの許可

IPv4 および IPv6 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場合、アクセス リストなしで自動的にトランスペアレント ファイアウォールを通過できます。

ARP は、アクセス リストに関係なく、両方向ともトランスペアレント ファイアウォールを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに移動するレイヤ 3 トラフィックの場合、セキュリティの低いインターフェイスで拡張アクセス リストが必要です。詳細については、 「拡張アクセス リストの追加」または 「IPv6 アクセス リストの追加」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、トランスペアレント ファイアウォールを通過できます。このリストに存在しない MAC アドレスはドロップされません。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャスト アドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの AppleTalk マルチキャスト MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセス リストで許可しても、いくつかのタイプのトラフィックはASAを通過できません。ただし、トランスペアレント ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(非 IP トラフィックの場合)を使用してほとんどすべてのトラフィックを許可できます。


) トランスペアレント モードのASAは、CDP パケットおよび 0x600 以上の有効な EtherType を持たないパケットの通過を拒否します。たとえば、IS-IS パケットは通過できません。例外として、BPDU はサポートされています。


たとえば、トランスペアレント ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセス リストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可できます。同様に、protocols like HSRP や VRRP などのプロトコルは ASA を通過できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセス リストを使用して通過するように構成できます。

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセス リストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

BPDU の処理

スパニング ツリー プロトコルを使用してループを防止するため、デフォルトで BPDU が渡されます。BPDU をブロックするには、BPDU を拒否するように EtherType アクセス リストを設定する必要があります。フェールオーバーを使用している場合、BPDU をブロックして、トポロジが変更されたときにスイッチ ポートがブロッキング ステートに移行することを回避できます。詳細については、「トランスペアレント ファイアウォール モードの要件」を参照してください。

MAC アドレス ルックアップと ルート ルックアップ

ASAがトランスペアレント モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

ASAで発信されたトラフィック:たとえば、syslog サーバがリモート ネットワークにある場合は、ASAがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

NAT をイネーブルにしている ASA から少なくとも 1 ホップ離れているトラフィック:ASA はルックアップを実行する必要があります。実際のホスト アドレスを把握するには、ASA にスタティック ルートを追加する必要があります。

インスペクションがイネーブルであり、エンドポイントがASAから少なくとも 1 ホップ離れている Voice over IP(VoIP)トラフィック:たとえば、CCM と H.323 ゲートウェイの間にトランスペアレント ファイアウォールを使用し、トランスペアレント ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはASAに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

インスペクションと NAT をイネーブルにしている VoIP または DNS トラフィックで、埋め込み IP アドレスが ASA から少なくとも 1 ホップ離れている場合:VoIP および DNS パケット内部の IP アドレスを正しく変換するには、ASA でルート ルックアップを実行する必要があります。パケットに埋め込まれている実際のホスト アドレスを把握するには、ASA にスタティック ルートを追加する必要があります。

ネットワークでのトランスペアレント ファイアウォールの使用

図 4-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 4-1 トランスペアレント ファイアウォール ネットワーク

 

図 4-2 に、2 つのブリッジ グループを持つ、ASA に接続されている 2 つのネットワークを示します。

図 4-2 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

 

ファイアウォール モードのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

デフォルト モードはルーテッド モードです。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ASA 5500 シリーズ アプライアンスでは、ファイアウォール モードはシステム全体およびすべてのコンテキストに設定されます。各コンテキストに個別にモードを設定することはできません。

モードを変更すると、ASAは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。このアクションにより、実行中のコンテキストが削除されます。その後、別のモード用に作成された既存のコンフィギュレーションがあるコンテキストを再度追加すると、そのコンテキスト コンフィギュレーションは正常に動作しないことがあります。正しいモード用のコンテキスト コンフィギュレーションを再作成してから、それらを再度追加するか、新しいコンフィギュレーション用の新しいパスがある新しいコンテキストを追加してください。

トランスペアレント ファイアウォール ガイドライン

トランスペアレント ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。

直接接続された各ネットワークは同一のサブネット上にある必要があります。

ブリッジ グループの管理用 IP アドレスを接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。デバイスには、ASA の反対側にあるルータをデフォルト ゲートウェイとして指定する必要があります。

管理トラフィックの戻りパスを指定するために必要な、トランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別するスタティック ルートを指定する必要があります。

詳細については、「ガイドラインと制限事項」を参照してください。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

ファイアウォール モードを変更すると、ASA は実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタートアップ コンフィギュレーションは変更されません。保存しないでリロードすると、スタートアップ コンフィギュレーションがロードされて、モードは元の設定に戻ります。コンフィギュレーション ファイルのバックアップについては、「ファイアウォール モードの設定」を参照してください。

firewall transparent コマンドを使用してモードを変更するテキスト コンフィギュレーションをASAにダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、ASAでこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。このコマンドがコンフィギュレーションの後ろの方にあると、ASAはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。テキスト ファイルのダウンロードの詳細については、「フラッシュ メモリへのソフトウェアまたはコンフィギュレーション ファイルのダウンロード」を参照してください。

トランスペアレント モードでサポートされていない機能

表 4-1 にトランスペアレント モードでサポートされていない機能を示します。

 

表 4-1 トランスペアレント モードでサポートされていない機能

機能
説明

ダイナミック DNS

--

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセス リストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、ASAで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルがASAを通過できるようにすることもできます。

マルチキャスト IP ルーティング

拡張アクセス リストで許可することによって、マルチキャスト トラフィックがASAを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

トランスペアレント ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、ASAを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセス リストを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。SSL VPN もサポートされていません。

ファイアウォール モードの設定

この項では、ファイアウォール モードを変更する方法について説明します。


) ファイアウォール モードを変更すると実行コンフィギュレーションがクリアされるので、他のコンフィギュレーションを行う前にファイアウォール モードを設定することをお勧めします。


前提条件

モードを変更すると、ASAは実行コンフィギュレーションをクリアします(詳細については 「ガイドラインと制限事項」を参照してください)。

設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。「コンフィギュレーション ファイルまたはその他のファイルのバックアップ」を参照してください。

モードを変更するには、コンソール ポートで CLI を使用します。ASDM コマンドライン インターフェイス ツールや SSH などの他のタイプのセッションを使用すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用してASAに再接続する必要があります。

ASA 5500 シリーズ アプライアンスの場合、システム実行スペースでシステム全体にモードを設定します。

手順の詳細

 

コマンド
目的

firewall transparent

 

 

hostname(config)# firewall transparent

ファイアウォール モードをトランスペアレントに設定します。モードをルーテッドに変更するには、 no firewall transparent コマンドを入力します。

(注) ファイアウォール モードの変更では確認は求められず、ただちに変更が行われます。

ファイアウォール モードの機能履歴

表 4-2 に、この機能のリリース履歴の一覧を示します。

 

表 4-2 ファイアウォール モードの機能履歴

機能名
リリース
機能情報

トランスペアレント ファイアウォール モード

7.0(1)

トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 のファイアウォールであり、接続デバイスにはルータ ホップとして認識されません。

firewall transparent show firewall の各コマンドが導入されました。

トランスペアレント ファイアウォール ブリッジ グループ

8.4(1)

トランスペアレント ファイアウォール モードで複数のブリッジ グループを使用できるようになりました。(ブリッジ グループごとに)最大 4 つのインターフェイスを設定できるようになりました。以前は、トランスペアレント モードでは 2 つのインターフェイスしか設定できませんでした。

firewall transparent show firewall の各コマンドが導入されました。

トランスペアレント ファイアウォール用の ARP インスペクションの設定

この項では、ARP インスペクションについて説明し、これをイネーブルにする方法について説明します。次の項目を取り上げます。

「ARP インスペクションに関する情報」

「ARP インスペクションのライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「ARP インスペクションの設定」

「ARP インスペクションのモニタリング」

「ARP インスペクションの機能履歴」

ARP インスペクションに関する情報

デフォルトでは、すべての ARP パケットがASAを通過できます。ARP パケットのフローを制御するには、ARP インスペクションをイネーブルにします。

ARP インスペクションをイネーブルにすると、ASAは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。

MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASAはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするようにASAを設定できます。


) 専用の管理インターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。


ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングは、「中間者」攻撃をイネーブルにすることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

ARP インスペクションのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

デフォルトでは、すべての ARP パケットがASAを通過できます。

ARP インスペクションをイネーブルにした場合、デフォルト設定では、一致しないパケットはフラッドします。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マルチ コンテキスト モードで、各コンテキスト内の ARP インスペクションを設定します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

ARP インスペクションの設定

この項では、ARP インスペクションを設定する方法について説明します。次の項目を取り上げます。

「ARP インスペクションの設定のタスク フロー」

「スタティック ARP エントリの追加」

「ARP インスペクションのイネーブル化」

ARP インスペクションの設定のタスク フロー

ARP インスペクションを設定するには、次の手順を実行します。


ステップ 1 「スタティック ARP エントリの追加」に従って、スタティック ARP エントリを追加します。ARP インスペクションは ARP パケットを ARP テーブルのスタティック ARP エントリと比較するので、この機能にはスタティック ARP エントリが必要です。

ステップ 2 「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。


 

スタティック ARP エントリの追加

ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、エントリは更新される前にタイムアウトします。


) トランスペアレント ファイアウォールは、ASAとの間のトラフィック(管理トラフィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。


手順の詳細

 

コマンド
目的

arp interface_name ip_address mac_address

 

 

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100

スタティック ARP エントリを追加します。

たとえば、外部インターフェイスで、IP アドレスが 10.1.1.1、MAC アドレスが 0009.7cbe.2100 のルータからの ARP 応答を許可するには、次のコマンドを入力します。

hostname(config)# arp outside 10.1.1.1 0009.7cbe.2100
 

次の作業

「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。

ARP インスペクションのイネーブル化

この項では、ARP インスペクションをイネーブルにする方法について説明します。

手順の詳細

 

コマンド
目的

arp-inspection interface_name enable [ flood | no-flood ]

 

 

hostname(config)# arp-inspection outside enable no-flood

ARP インスペクションをイネーブルにします。

flood キーワードは、一致しない ARP パケットをすべてのインターフェイスに転送し、 no-flood は、一致しないパケットをドロップします。

に設定します。

たとえば、外部インターフェイスで ARP インスペクションをイネーブルにして、一致しないすべての ARP パケットをドロップするには、次のコマンドを入力します。

hostname(config)# arp-inspection outside enable no-flood
 

ARP インスペクションのモニタリング

ARP インスペクションをモニタするには、次のタスクを実行します。

 

コマンド
目的
show arp-inspection

すべてのインターフェイスについて、ARP インスペクションの現在の設定を表示します。

ARP インスペクションの機能履歴

表 4-3 に、この機能のリリース履歴の一覧を示します。

 

表 4-3 ARP インスペクションの機能履歴

機能名
リリース
機能情報

ARP インスペクション

7.0(1)

ARP インスペクションは、すべての ARP パケットの MAC アドレス、IP アドレス、および送信元インターフェイスを、ARP テーブルのスタティック エントリと比較します。

arp arp-inspection show arp-inspection の各コマンドが導入されました。

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

この項では、MAC アドレス テーブルについて説明します。次の項目を取り上げます。

「MAC アドレス テーブルに関する情報」

「MAC アドレス テーブルのライセンス要件」

「デフォルト設定」

「ガイドラインと制限事項」

「MAC アドレス テーブルの設定」

「MAC アドレス テーブルのモニタリング」

「MAC アドレス テーブルの機能履歴」

MAC アドレス テーブルに関する情報

ASAは、通常のブリッジやスイッチと同様の方法で、MAC アドレス テーブルをラーニングし、構築します。デバイスがASA経由でパケットを送信すると、ASAはこの MAC アドレスをテーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、ASAは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。

ASA 5505 には、組み込みスイッチがあります。このスイッチの MAC アドレス テーブルは、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピングを維持します。この項では、VLAN 間のトラフィックの MAC アドレスと VLAN インターフェイスのマッピングを維持する、 ブリッジ の MAC アドレス テーブルについてのみ説明します。

ASAはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、ASAは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット:ASAは宛先 IP アドレスに対して ARP 要求を生成し、ASAは ARP 応答を受信したインターフェイスをラーニングします。

リモート デバイスへのパケット:ASAは宛先 IP アドレスへの ping を生成し、ASAは ping 応答を受信したインターフェイスをラーニングします。

元のパケットはドロップされます。

MAC アドレス テーブルのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分です。

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マルチ コンテキスト モードで、各コンテキスト内の MAC アドレス テーブルを設定します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

その他のガイドライン

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。

MAC アドレス テーブルの設定

この項では、MAC アドレス テーブルをカスタマイズする方法について説明します。次の項目を取り上げます。

「スタティック MAC アドレスの追加」

「MAC アドレス タイムアウトの設定」

「MAC アドレス ラーニングのディセーブル化」

スタティック MAC アドレスの追加

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。スタティック MAC アドレスは、必要に応じて MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、スタティック エントリと一致しないインターフェイスにトラフィックを送信しようとした場合、 ASA によってトラフィックがドロップされ、システム メッセージが生成されます。スタティック ARP エントリを追加するときに(「スタティック ARP エントリの追加」を参照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。

スタティック MAC アドレスを MAC アドレス テーブルに追加するには、次のコマンドを入力します。

 

コマンド
目的

mac-address-table static interface_name mac_address

 

 

hostname(config)# mac-address-table static inside 0009.7cbe.2100

スタティック MAC アドレス エントリを追加します。

interface_name は、発信元インターフェイスです。

MAC アドレス タイムアウトの設定

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分ですが、タイムアウトは変更できます。タイムアウトを変更するには、次のコマンドを入力します。

 

コマンド
目的

mac-address-table aging-time timeout_value

 

 

hostname(config)# mac-address-table aging-time 10

MAC アドレス エントリのタイムアウトを設定します。

timeout_value (分)は、5 ~ 720(12 時間)です。5 分がデフォルトです。

MAC アドレス ラーニングのディセーブル化

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレスをテーブルにスタティックに追加しないと、トラフィックがASAを通過できなくなります。

MAC アドレス ラーニングをディセーブルにするには、次のコマンドを入力します。

 

コマンド
目的

mac-learn interface_name disable

 

 

hostname(config)# mac-learn inside disable

MAC アドレス ラーニングをディセーブルにします。

このコマンドの no 形式を使用すると、MAC アドレス ラーニングが再度イネーブルになります。 clear configure mac-learn コマンドは、すべてのインターフェイスで MAC アドレス ラーニングを再度イネーブルにします。

MAC アドレス テーブルのモニタリング

すべての MAC アドレス テーブル(両方のインターフェイスのスタティック エントリとダイナミック エントリ)を表示できます。または、あるインターフェイスの MAC アドレス テーブルを表示できます。MAC アドレス テーブルを表示するには、次のコマンドを入力します。

 

コマンド
目的
show mac-address-table [ interface_name ]

MAC アドレス テーブルを表示します。

すべてのテーブルを表示する show mac-address-table コマンドの出力例を示します。

hostname# show mac-address-table
interface mac address type Time Left
-----------------------------------------------------------------------
outside 0009.7cbe.2100 static -
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10
 

内部インターフェイスのテーブルを表示する show mac-address-table コマンドの出力例を示します。

hostname# show mac-address-table inside
interface mac address type Time Left
-----------------------------------------------------------------------
inside 0010.7cbe.6101 static -
inside 0009.7cbe.5101 dynamic 10
 

MAC アドレス テーブルの機能履歴

表 4-4 に、この機能のリリース履歴の一覧を示します。

 

表 4-4 MAC アドレス テーブルの機能履歴

機能名
リリース
機能情報

MAC アドレス テーブル

7.0(1)

トランスペアレント ファイアウォール モードは MAC アドレス テーブルを使用します。

mac-address-table static mac-address-table aging-time mac-learn disable 、および show mac-address-table コマンドが導入されました。

ファイアウォール モードの例

この項では、トラフィックがASAを通過する例を示します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードで ASA を通過するデータ」

「トランスペアレント ファイアウォールを通過するデータの動き」

ルーテッド ファイアウォール モードで ASA を通過するデータ

この項では、ルーテッド ファイアウォール モードでデータがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 4-3 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-3 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-3 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. ASAは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットはASAを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. ASAは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 4-4 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 4-4 外部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-4 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. ASAは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。

4. 次に、ASAはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはASAを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. ASAは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 4-5 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 4-5 内部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-5 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、ASAはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. ASAは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 4-6 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 4-6 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-6 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 4-7 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 4-7 DMZ から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-7 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

トランスペアレント ファイアウォールを通過するデータの動き

図 4-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的なトランスペアレント ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、ASAにはアクセス リストがあります。別のアクセス リストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 4-8 一般的なトランスペアレント ファイアウォールのデータ パス

 

この項では、データがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「NAT を使用して内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 4-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-9 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが ASA のテーブルにない場合、ASA は、ARP 要求または ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを内部ユーザに転送します。

NAT を使用して内部ユーザが Web サーバにアクセスする

図 4-10 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 4-10 NAT を使用して内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-10 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータにASAをポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 10.1.2.1 です。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. ASAは、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 4-11 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 4-11 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-11 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.165.201.1 のアドレスです。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 4-12 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 4-12 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 4-12 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. 外部ホストを許可するアクセス リストは存在しないため、パケットは拒否され、ASAによってドロップされます。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。