ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)
インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)

トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)

トランスペアレント モードのブリッジ グループ

セキュリティ レベル

トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件

ガイドラインと制限事項

デフォルト設定値

トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)

インターフェイス コンフィギュレーションを実行するためのタスク フロー

ブリッジ グループの設定

一般的なインターフェイス パラメータの設定

管理インターフェイスの設定(ASA 5510 以降)

MAC アドレスおよび MTU の設定

IPv6 アドレッシングの設定

IPv6 について

グローバル IPv6 アドレスとその他のオプションの設定

(任意)リンクローカル アドレスの自動設定

(任意)リンクローカル アドレスの手動設定

同じセキュリティ レベルの通信の許可

インターフェイスのモニタリング

ARP Table

DHCP

DHCP Server Table

DHCP Client Lease Information

DHCP Statistics

MAC Address Table

Dynamic ACLs

Interface Graphs

Graph/Table

PPPoE Client

Interface Connection

Track Status for

Monitoring Statistics for

トランスペアレント モードのインターフェイスの機能履歴

インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)

この章では、トランスペアレント ファイアウォール モードですべてのモデルのインターフェイス コンフィギュレーションを実行するためのタスクについて説明します。

バージョン 8.3 以前については、「インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.3 以前)」を参照してください。

この章は、次の項で構成されています。

「トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)」

「トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定値」

「トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)」

「インターフェイスのモニタリング」

「トランスペアレント モードのインターフェイスの機能履歴」


) マルチ コンテキスト モードでは、この項のタスクをコンテキスト実行スペースで実行してください。 [Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。


トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)

この項は、次の内容で構成されています。

「トランスペアレント モードのブリッジ グループ」

「セキュリティ レベル」

トランスペアレント モードのブリッジ グループ

セキュリティ コンテキストのオーバーヘッドをなくすか、またはセキュリティ コンテキストを最大限に使用する場合は、インターフェイスをブリッジ グループにグループ化し、複数のブリッジ グループ(ネットワークごとに 1 つ)を設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。コンテキストまたはシングル モードごとに、少なくとも 1 つのブリッジ グループが必要です。

各ブリッジ グループには、管理 IP アドレスが必要です。別の管理方法については、「管理インターフェイス」の項を参照してください。


) ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。


セキュリティ レベル

各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。DMZ など、その他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同じセキュリティ レベルの通信の許可」を参照してください。

レベルによって、次の動作が制御されます。

ネットワーク アクセス:デフォルトで、高いセキュリティ レベルのインターフェイスから低いセキュリティ レベルのインターフェイスへの通信(発信)は暗黙的に許可されます。高いセキュリティ レベルのインターフェイス上のホストは、低いセキュリティ レベルのインターフェイス上の任意のホストにアクセスできます。インターフェイスにアクセス リストを適用することによって、アクセスを制限できます。

同じセキュリティ レベルのインターフェイスの通信をイネーブルにすると(「同じセキュリティ レベルの通信の許可」を参照)、同じセキュリティ レベルまたはそれより低いセキュリティ レベルの他のインターフェイスにアクセスするインターフェイスは、暗黙的に許可されます。

インスペクション エンジン:一部のアプリケーション インスペクション エンジンはセキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイス間では、インスペクション エンジンは発信と着信のいずれのトラフィックに対しても適用されます。

NetBIOS インスペクション エンジン:発信接続に対してのみ適用されます。

SQL*Net インスペクション エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に存在する場合、着信データ接続だけがASAを通過することが許可されます。

フィルタリング:HTTP(S) および FTP フィルタリングは、(高いレベルから低いレベルへの)発信接続にのみ適用されます。

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすると、どちらの方向のトラフィックにもフィルタリングが適用できます。

established コマンド:このコマンドを使用すると、高いレベルのホストから低いレベルのホストへの接続がすでに確立されている場合、低いセキュリティ レベルのホストから高いセキュリティ レベルのホストへの戻り接続が許可されます。

セキュリティ レベルが同じインターフェイス間の通信をイネーブルにすると、両方向に対して established コマンドを設定できます。

トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件

 

モデル
ライセンス要件

ASA 5505

VLAN:

基本ライセンス:3(2 つの正規ゾーンともう 1 つの制限ゾーンだけが他の 1 つのゾーンと通信可能)

Security Plus ライセンス:20

VLAN トランク:

基本ライセンス:なし。

Security Plus ライセンス:8

すべての種類のインターフェイス1

基本ライセンス:52。

Security Plus ライセンス:120。

1.VLAN、物理、冗長、およびブリッジ グループ インターフェイスなど、すべてを合わせたインターフェイスの最大数。

 

モデル
ライセンス要件

ASA 5510

VLAN:

基本ライセンス:50

Security Plus ライセンス:100

インターフェイス速度:

基本ライセンス:すべてのインターフェイスがファスト イーサネット。

Security Plus ライセンス:Ethernet 0/0 および 0/1:ギガビット イーサネット、その他すべてはファスト イーサネット。

すべての種類のインターフェイス2

基本ライセンス:52

Security Plus ライセンス:120

ASA 5520

VLAN:

基本ライセンス:150。

すべての種類のインターフェイス1

基本ライセンス:640

ASA 5540

VLAN:

基本ライセンス:200

すべての種類のインターフェイス1

基本ライセンス:840

ASA 5550

VLAN:

基本ライセンス:400

すべての種類のインターフェイス1

基本ライセンス:1640

ASA 5580

VLAN:

基本ライセンス:1024

すべての種類のインターフェイス1

基本ライセンス:4176

ASA 5512-X

VLAN:

基本ライセンス:50

すべての種類のインターフェイス1

基本ライセンス:328

ASA 5515-X

VLAN:

基本ライセンス:100

すべての種類のインターフェイス1

基本ライセンス:528

ASA 5525-X

VLAN:

基本ライセンス:200

すべての種類のインターフェイス1

基本ライセンス:928

ASA 5545-X

VLAN:

基本ライセンス:300

すべての種類のインターフェイス1

基本ライセンス:1328

ASA 5555-X

VLAN:

基本ライセンス:500

すべての種類のインターフェイス1

基本ライセンス:2128

ASA 5585-X

VLAN:

基本ライセンス:1024

SSP-10 および SSP-20 のインターフェイス速度:

基本ライセンス:ファイバ インターフェイスの場合 1 ギガビット イーサネット

10 GE I/O ライセンス:ファイバ インターフェイスの場合 10 ギガビット イーサネット

(SSP-40 および SSP-60 はデフォルトで 10 ギガビット イーサネットをサポートします)。

すべての種類のインターフェイス1

基本ライセンス:4176

2.VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。

 

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでの ASA 5510 以降の場合、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」に従って、システム実行スペースで物理インターフェイスを設定します。次に、この章に従って、コンテキスト実行スペースで論理インターフェイス パラメータを設定します。

ASA 5505 は、マルチ コンテキスト モードをサポートしません。

設定できるコンテキスト インターフェイスは、すでにシステム コンフィギュレーションでそのコンテキストに割り当てられているものだけです。

ファイアウォール モードのガイドライン

シングル モードまたはマルチ モードのコンテキストごとに、最大 8 個のブリッジ グループを設定できます。少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があることに注意してください。


) 複数のブリッジ グループを ASA 5505 上で設定できますが、ASA 5505 ではトランスペアレント モードでのデータ インターフェイスは 2 つまでという制約があるため、使用できるブリッジ グループは実際は 1 つだけです。


各ブリッジ グループには、最大 4 つのインターフェイスを含めることができます。

IPv4 の場合は、管理トラフィックと、ASA を通過するトラフィックの両方の各ブリッジ グループに対し、管理 IP アドレスが必要です。

各インターフェイスに IP アドレスが必要なルーテッド モードとは異なり、トランスペアレント ファイアウォールにはブリッジ グループ全体に割り当てられた IP アドレスがあります。ASAは、この IP アドレスを、システム メッセージや AAA 通信など、ASAで発信されるパケットの送信元アドレスとして使用します。ブリッジ グループ管理アドレスに加えて、一部のモデルの管理インターフェイスをオプションで設定できます。詳細については、「管理インターフェイス」を参照してください。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。管理 IP サブネットの詳細については、「ブリッジ グループの設定」を参照してください。

IPv6 の場合は、少なくとも通過トラフィック用に各インターフェイスにリンクローカル アドレスを設定する必要があります。ASA の管理を含むフル機能のためには、各ブリッジ グループにグローバル IPv6 アドレスを設定する必要があります。

マルチ コンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

マルチ コンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

フェールオーバーのガイドライン

フェールオーバー インターフェイスの設定は、この章の手順では完了しません。フェールオーバー リンクおよびステート リンクの設定については、「アクティブ/スタンバイ フェールオーバーの設定」または「アクティブ/アクティブ フェールオーバーの設定」を参照してください。マルチ コンテキスト モードでは、フェールオーバー インターフェイスがシステム コンフィギュレーションに設定されます。

IPv6 のガイドライン

IPv6 をサポートします。

トランスペアレント モードでは IPv6 エニーキャスト アドレスはサポートされません。

デフォルト設定値

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、「工場出荷時のデフォルト設定」を参照してください。

デフォルトのセキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに名前「inside」を付けて、明示的にセキュリティ レベルを設定しないと、ASA はセキュリティ レベルを 100 に設定します。


) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。


トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)

この項は、次の内容で構成されています。

「インターフェイス コンフィギュレーションを実行するためのタスク フロー」

「ブリッジ グループの設定」

「一般的なインターフェイス パラメータの設定」

「管理インターフェイスの設定(ASA 5510 以降)」

「MAC アドレスおよび MTU の設定」

「IPv6 アドレッシングの設定」

「同じセキュリティ レベルの通信の許可」

インターフェイス コンフィギュレーションを実行するためのタスク フロー


ステップ 1 モデルに応じて、インターフェイスを次のように設定します。

ASA 5510 以降:「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

ASA 5505:「インターフェイス コンフィギュレーションの開始(ASA 5505)」

ステップ 2 (マルチ コンテキスト モード)「マルチ コンテキストの設定」に従って、インターフェイスをコンテキストに割り当てます。

ステップ 3 (マルチ コンテキスト モード)[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

ステップ 4 IPv4 アドレスを含む、1 つ以上のブリッジ グループを設定します。「ブリッジ グループの設定」を参照してください。

ステップ 5 一般的なインターフェイス パラメータ(インターフェイス名、セキュリティ レベルなど)を設定します。「一般的なインターフェイス パラメータの設定」を参照してください。

ステップ 6 (任意。ASA 5505 ではサポートされていません)管理インターフェイスを設定します。「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ステップ 7 (任意)MAC アドレスと MTU を設定します。「MAC アドレスおよび MTU の設定」を参照してください。

ステップ 8 (任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

ステップ 9 (任意)2 つのインターフェイス間の通信を許可するか、またはトラフィックが同じインターフェイスに入って同じインターフェイスから出ることを許可することで、同じセキュリティ レベルの通信を許可します。「同じセキュリティ レベルの通信の許可」を参照してください。


 

ブリッジ グループの設定

各ブリッジ グループには、管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、管理 IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。

ガイドラインと制限事項

シングル モードまたはマルチ モードのコンテキストごとに、最大 8 個のブリッジ グループを設定できます。少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があることに注意してください。


) (サポートされているモデルの)個別の管理インターフェイスでは、設定できないブリッジ グループ(ID 101)がコンフィギュレーションに自動的に追加されます。このブリッジ グループは、ブリッジ グループ制限には含まれません。


手順の詳細


ステップ 1 [Configuration] > [Interfaces] ペインを選択し、[Add] > [Bridge Group Interface] を選択します。

[Add Bridge Group] ダイアログボックスが表示されます。

 

ステップ 2 [Bridge Group ID] フィールドで、1 ~ 100 の間のブリッジ グループ ID を入力します。

ステップ 3 [IP Address] フィールドに管理 IPv4 アドレスを入力します。

ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

ステップ 4 [Subnet Mask] フィールドで、サブネット マスクを入力するか、またはメニューから選択します。

トランスペアレント ファイアウォールにホスト アドレス(/32 または 255.255.255.255)を割り当てないでください。また、/30 サブネットなど(255.255.255.252)、ホスト アドレスが 3 つ未満(アップストリーム ルータ、ダウンストリーム ルータ、トランスペアレント ファイアウォールにそれぞれ 1 つずつ)の他のサブネットを使用しないでください。ASA は、サブネットの先頭アドレスと最終アドレスとの間で送受信されるすべての ARP パケットをドロップします。たとえば、/30 サブネットを使用し、そのサブネットからアップストリーム ルータへの予約アドレスを割り当てた場合、ASA はダウンストリーム ルータからアップストリーム ルータへの ARP 要求をドロップします。

ステップ 5 (任意)[Description] フィールドに、このブリッジ グループの説明を入力します。

 

ステップ 6 [OK] をクリックします。

ステップ 7 ブリッジ グループ仮想インターフェイス(BVI)が、物理およびサブインターフェイスとともに、インターフェイス テーブルに追加されます。

 


 

次の作業

一般的なインターフェイス パラメータを設定します。「一般的なインターフェイス パラメータの設定」を参照してください。

一般的なインターフェイス パラメータの設定

この手順では、各トランスペアレント インターフェイスの名前、セキュリティ レベル、およびブリッジ グループを設定する方法について説明します。

別の管理インターフェイスを設定する方法については、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ASA 5510 以降では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

物理インターフェイス

VLAN サブインターフェイス

冗長インターフェイス

EtherChannel インターフェイス

ASA 5505 では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

VLAN インターフェイス

ガイドラインと制限事項

ブリッジ グループあたり最大 4 つのインターフェイスを設定できます。

ASA 5550 では、最大のスループットを得るために、2 つのインターフェイス スロット間でトラフィックのバランスを取るようにします。たとえば、内部インターフェイスをスロット 1 に、外部インターフェイスをスロット 0 に割り当てます。

セキュリティ レベルについては、「セキュリティ レベル」を参照してください。

フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバー リンクおよびステート リンクの設定については、「アクティブ/スタンバイ フェールオーバーの設定」または「アクティブ/アクティブ フェールオーバーの設定」を参照してください。

前提条件

モデルに応じて、インターフェイスを次のように設定します。

ASA 5510 以降:「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

ASA 5505:「インターフェイス コンフィギュレーションの開始(ASA 5505)」

マルチ コンテキスト モードで設定できるのは、「マルチ コンテキストの設定」に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細

 


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

BVI がテーブル内に、物理インターフェイス、サブインターフェイス、冗長インターフェイス、EtherChannel ポートチャネル インターフェイスとともに表示されます。マルチ コンテキスト モードでは、システム実行スペースでコンテキストに割り当てられたインターフェイスだけがテーブルに表示されます。

ステップ 2 非 BVI インターフェイスの行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

 

管理インターフェイスにはこの手順を使用しないでください。管理インターフェイスを設定する場合は、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ステップ 3 [Bridge Group] ドロップダウン メニューで、このインターフェイスを割り当てるブリッジ グループを選択します。

ステップ 4 [Interface Name] フィールドに、名前を 48 文字以内で入力します。

ステップ 5 [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。

詳細については、「セキュリティ レベル」を参照してください。


) [Dedicate this interface to management only] チェックボックスをオンにしないでください。このオプションについては、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。


ステップ 6 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。


) [Channel Group] フィールドは読み取り専用で、インターフェイスが EtherChannel の一部であるかどうかを示します。


ステップ 7 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。


) (ASA 5510 以降、シングル モード)[Configure Hardware Properties] ボタンの詳細については、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。


 

ステップ 8 [OK] をクリックします。


 

次の作業

(任意)管理インターフェイスを設定します。「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

(任意)MAC アドレスと MTU を設定します。「MAC アドレスおよび MTU の設定」を参照してください。

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

管理インターフェイスの設定(ASA 5510 以降)

1 つの管理インターフェイスをシングル モードで、またはコンテキストごとに、ブリッジ グループとは独立して設定できます。詳細については、「管理インターフェイス」を参照してください。

制約事項

「管理インターフェイス」を参照してください。

このインターフェイスをブリッジ グループに割り当てないでください。設定できないブリッジ グループ(ID 101)は、コンフィギュレーションに自動的に追加されます。このブリッジ グループは、ブリッジ グループ制限には含まれません。

モデルに管理インターフェイスが含まれていない場合、データ インターフェイスからトランスペアレント ファイアウォールを管理する必要があります。この手順はスキップします。(ASA 5505 上など)。

マルチ コンテキスト モードでは、管理インターフェイスを含むすべてのインターフェイスをコンテキスト間で共有できません。コンテキストごとに管理する場合は、管理インターフェイスのサブインターフェイスを作成し、各コンテキストに管理サブインターフェイスを割り当てることができます。ASA 5512-X ~ ASA 5555-X では、管理インターフェイスのサブインターフェイスは許可されないため、コンテキストごとの管理を行う場合は、データ インターフェイスに接続する必要があります。

前提条件

「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」の手順を実行します。

マルチ コンテキスト モードで設定できるのは、「マルチ コンテキストの設定」に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

BVI がテーブル内に、物理インターフェイス、サブインターフェイス、冗長インターフェイス、EtherChannel ポートチャネル インターフェイスとともに表示されます。マルチ コンテキスト モードでは、システム実行スペースでコンテキストに割り当てられたインターフェイスだけがテーブルに表示されます。

ステップ 2 管理インターフェイス、サブインターフェイス、または管理インターフェイスからなる EtherChannel ポートチャネル インターフェイスの行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

 

ステップ 3 [Bridge Group] ドロップダウン メニューで、デフォルトの [--None--] のままにします。管理インターフェイスをブリッジ グループに割り当てることはできません。

ステップ 4 [Interface Name] フィールドに、名前を 48 文字以内で入力します。

ステップ 5 [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。

詳細については、「セキュリティ レベル」を参照してください。


) [Dedicate this interface to management only] チェックボックスはデフォルトでイネーブルになっており、設定を変更することはできません。


ステップ 6 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

ステップ 7 IP アドレスを設定するには、次のいずれかのオプションを使用します。


) フェールオーバーで使用する場合は、IP アドレスとスタンバイ アドレスを手動で設定する必要があります。DHCP はサポートされません。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブでスタンバイ IP アドレスを設定します。


IP アドレスを手動で設定するには、[Use Static IP] オプション ボタンをクリックして IP アドレスとマスクを入力します。

DHCP サーバから IP アドレスを取得するには、[Obtain Address via DHCP] オプション ボタンをクリックします。

 

a. オプション 61 の DHCP 要求パケットに MAC アドレスが保存されるよう強制するには、[Use MAC Address] オプション ボタンをクリックします。

一部の ISP では、オプション 61 がインターフェイス MAC アドレスであると見なされます。MAC アドレスが DHCP 要求パケットに含まれていない場合、IP アドレスは割り当てられません。

b. オプション 61 用の生成文字列を使用するには、[Use "Cisco-<MAC>-<interface_name>-<host>"] をクリックします。

c. (任意)DHCP サーバからデフォルト ルートを取得するには、[Obtain Default Route Using DHCP] をオンにします。

d. (任意)DHCP クライアントが検出を送信して IP アドレスを要求するときに、DHCP パケット ヘッダーでブロードキャスト フラグを 1 に設定するには、[Enable DHCP Broadcast flag for DHCP request and discover messages] をオンにします。

DHCP サーバはこのブロードキャスト フラグをリッスンし、フラグが 1 に設定されている場合は応答パケットをブロードキャストします。

e. (任意)リースを更新するには、[Renew DHCP Lease] をクリックします。

ステップ 8 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。


) (ASA 5510 以降、シングル モード)[Configure Hardware Properties] ボタンの詳細については、「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。


ステップ 9 [OK] をクリックします。


 

次の作業

(任意)MAC アドレスと MTU を設定します。「MAC アドレスおよび MTU の設定」を参照してください。

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

MAC アドレスおよび MTU の設定

この項では、インターフェイスに MAC アドレスおよび MTU を設定する方法について説明します。

MAC アドレスに関する情報

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

冗長インターフェイスは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。このコマンドを使用して冗長インターフェイスに MAC アドレスを割り当てると、メンバ インターフェイスの MAC アドレスに関係なく、割り当てた MAC アドレスが使用されます。

EtherChannel の場合、1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能により、ネットワーク アプリケーションとユーザに対して EtherChannel がトランスペアレントになります。これは、ネットワーク アプリケーションとユーザは 1 つの論理接続のみを認識し、個別のリンクは認識しないためです。ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチ コンテキスト モードでは、EtherChannel ポート インターフェイスを含め、一意の MAC アドレスをインターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを手動で設定するか、またはマルチ コンテキスト モードで自動的に設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能を使用すると、ASAはパケットを適切なコンテキストに容易に分類できます。固有の MAC アドレスがなくても共有インターフェイスを使用できますが、制限があります。詳細については、「ASA によるパケットの分類方法」を参照してください。コンテキストの共有インターフェイスには、手動で各 MAC アドレスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。MAC アドレスを自動生成する場合、この手順を使用して生成されたアドレスを上書きできます。

シングル コンテキスト モード、またはマルチ コンテキスト モードで共有されないインターフェイスの場合は、固有の MAC アドレスをサブインターフェイスに割り当てることを推奨します。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。

MTU に関する情報

MTU は、接続で送信される最大データグラム サイズです。MTU 値よりも大きいデータは、送信前にフラグメント化されます。

ASAは、IP パス MTU ディスカバリを(RFC 1191 での規定に従って)サポートします。これにより、ホストはパスに沿ったさまざまなリンクで許容される最大 MTU サイズをダイナミックに検出し、各サイズの差に対処できます。パケットのサイズがインターフェイスに対して設定されている MTU を超えていても「Don't Fragment」(DF)ビットが設定されていることが理由で ASA がデータグラムを転送できないことがあります。ネットワーク ソフトウェアは、メッセージを送信ホストに送信して、問題を警告します。送信ホストは、パスに沿ったすべてのリンクのうち最小のパケット サイズに適合するように、宛先へのパケットをフラグメント化する必要があります。

デフォルトの MTU は、イーサネット インターフェイスのブロックでは 1500 バイトです。ほとんどのアプリケーションではこの値で十分ですが、ネットワーク状況によってはこれよりも小さい値にすることもできます。

ジャンボ フレームをイネーブルするには、「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」を参照してください。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。ジャンボ フレームでは、処理を行うためにさらにメモリが必要となります。また、ジャンボ フレームに割り当てるメモリが多くなると、アクセス リストなどの他の機能が制限され最大限に利用できなくなる場合があります。ジャンボ フレームを使用するには、値を大きくします(たとえば 9000 バイト)。

前提条件

モデルに応じて、インターフェイスを次のように設定します。

ASA 5510 以降:「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

ASA 5505:「インターフェイス コンフィギュレーションの開始(ASA 5505)」

マルチ コンテキスト モードで設定できるのは、「マルチ コンテキストの設定」に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細

 


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ASA 5505 では、[Interfaces] タブがデフォルトで表示されます。

ステップ 2 インターフェイス行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [Advanced] タブをクリックします。

 

ステップ 4 MTU を設定する、またはジャンボ フレームのサポート(サポートされているモードのみ)をイネーブルにするには、[MTU] フィールドに 300 ~ 65,535 バイトの範囲の値を入力します。

デフォルトは 1500 バイトです。


) 冗長インターフェイスまたはポートチャネル インターフェイスに MTU を設定すると、ASA は、この設定をすべてのメンバ インターフェイスに適用します。


ジャンボ フレームをサポートする、シングル モードのモデルの場合:いずれかのインターフェイスに 1500 を超える値を入力すると、ジャンボ フレーム サポートがすべてのインターフェイスに対して自動的にイネーブルになります。すべてのインターフェイスの MTU の設定を 1500 未満に戻すと、ジャンボ フレーム サポートがディセーブルになります。

ジャンボ フレームをサポートする、マルチ モードのモデルの場合:いずれかのインターフェイスに 1500 を超える値を入力する場合は、必ずシステム コンフィギュレーションのジャンボ フレーム サポートをイネーブルにしてください。「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」を参照してください。


) ジャンボ フレーム サポートをイネーブルまたはディセーブルにするには、ASA をリロードする必要があります。


ステップ 5 MAC アドレスをこのインターフェイスに手動で割り当てるには、[Active Mac Address] フィールドに MAC アドレスを H.H.H 形式(H は 16 ビットの 16 進数)で入力します。

たとえば、MAC アドレスが 00-0C-F1-42-4C-DE であれば、000C.F142.4CDE と入力します。自動生成された MAC アドレスも使用する場合、手動で割り当てる MAC アドレスの最初の 2 バイトには A2 を使用できません。

ステップ 6 フェールオーバーを使用する場合、[Standby Mac Address] フィールドにスタンバイ MAC アドレスを入力します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。


 

次の作業

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

IPv6 アドレッシングの設定

この項では、IPv6 アドレッシングを設定する方法について説明します。IPv6 の詳細については、「IPv6 のサポートに関する情報」および「IPv6 形式のアドレス」を参照してください。

この項は、次の内容で構成されています。

「IPv6 について」

「グローバル IPv6 アドレスとその他のオプションの設定」

「(任意)リンクローカル アドレスの自動設定」

「(任意)リンクローカル アドレスの手動設定」

IPv6 について

ここでは、IPv6 を設定する手順について説明します。内容は次のとおりです。

「IPv6 アドレス指定」

「重複アドレスの検出」

「Modified EUI-64 インターフェイス ID」

「サポート対象外のコマンド」

IPv6 アドレス指定

次の 2 種類の IPv6 のユニキャスト アドレスを設定できます。

グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。このアドレスは、インターフェイスごとに設定するのではなく、ブリッジ グループごとに設定する必要があります。管理インターフェイス用のグローバル IPv6 アドレスを設定することもできます。

リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などの ND 機能に使用できます。リンクローカル アドレスは 1 つのセグメント上だけで使用可能であり、インターフェイスの MAC アドレスに関連付けられているため、インターフェイスごとにリンクローカル アドレスを設定する必要があります。

IPv6 を動作させるには、最低でもリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定する場合、各インターフェイスにリンクローカル アドレスが自動的に設定されるため、特にリンクローカル アドレスを設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。

重複アドレスの検出

ステートレスな自動設定プロセス中、新しいユニキャスト IPv6 アドレスは Duplicate Address Detection(DAD; 重複アドレス検出)によって固有であることが検証されてから、インターフェイスに割り当てられます(重複アドレス検出の実行中、新しいアドレスは仮の状態となります)。重複アドレス検出は、最初に新しいリンクローカル アドレスに対して行われます。リンクローカル アドレスが固有であることが検証されたら、次にインターフェイス上のその他すべての IPv6 ユニキャスト アドレスに対して重複アドレス検出が行われます。

重複アドレス検出は、管理上ダウンしているインターフェイスでは停止します。インターフェイスが管理上ダウンしている間、そのインターフェイスに割り当てられたユニキャスト IPv6 アドレスは保留状態に設定されます。管理上アップ状態に復帰したインターフェイスでは、重複アドレス検出がインターフェイス上のすべてのユニキャスト IPv6 アドレスに対して再開されます。

重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラー メッセージが生成されます。

%ASA-4-325002: Duplicate address ipv6_address/MAC_address on interface
 

重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。ただし、その重複アドレスに関連付けられたすべてのコンフィギュレーション コマンドは、アドレスの状態が DUPLICATE に設定されている間、設定されたままになります。

インターフェイスのリンクローカル アドレスが変更された場合、新しいリンクローカル アドレスで重複アドレス検出が実行され、インターフェイスに関連付けられた他のすべての IPv6 アドレスが再生成されます(重複アドレス検出は新規のリンクローカル アドレスでのみ実行されます)。

ASAは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。デフォルトでは、インターフェイスが重複アドレス検出を行う回数は 1 回です。

Modified EUI-64 インターフェイス ID

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシング アーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。ASAでは、ローカル リンクに接続されたホストにこの要件を適用できます。

この機能がインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして検証されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

%ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

サポート対象外のコマンド

次の IPv6 コマンドにはルータ機能が必要であるため、トランスペアレント ファイアウォール モードではサポートされません。

ipv6 address autoconfig

ipv6 nd prefix

ipv6 nd ra-interval

ipv6 nd ra-lifetime

ipv6 nd suppress-ra

トランスペアレント モードが VPN をサポートしていないため、 ipv6 local pool VPN コマンドはサポートされません。

グローバル IPv6 アドレスとその他のオプションの設定

ブリッジ グループまたは管理インターフェイスのグローバル IPv6 アドレスおよびその他のオプションを設定するには、次の手順を実行します。


) グローバル アドレスを自動的に設定すると、リンクローカル アドレスが設定されるため、リンクローカル アドレスを個別に設定する必要がありません。


制約事項

ASAは、IPv6 エニーキャスト アドレスはサポートしません。

前提条件

モデルに応じて、インターフェイスを次のように設定します。

ASA 5510 以降:「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

ASA 5505:「インターフェイス コンフィギュレーションの開始(ASA 5505)」

マルチ コンテキスト モードで設定できるのは、「マルチ コンテキストの設定」に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 BVI または管理インターフェイスを選択して、[Edit] をクリックします 。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

 

ステップ 4 (任意)ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用するには、[Enforce EUI-64] チェックボックスをオンにします。

詳細については、「Modified EUI-64 インターフェイス ID」を参照してください。

ステップ 5 グローバル IPv6 アドレスを設定するには、次の手順を実行します。

a. [Interface IPv6 Addresses] エリアで、[Add] をクリックします。

[Add IPv6 Address for Interface] ダイアログボックスが表示されます。

 

b. [Address/Prefix Length] フィールドに、グローバル IPv6 アドレスと IPv6 プレフィックスの長さを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、「IPv6 形式のアドレス」を参照してください。

c. [OK] をクリックします。

ステップ 6 (任意)最上部のエリアで、次のオプションを設定して IPv6 設定をカスタマイズします。

[DAD Attempts]:この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。0 ~ 600 の範囲の値を指定できます。この値がゼロの場合、指定されたインターフェイスでの DAD 処理がディセーブルになります。デフォルトは 1 メッセージです。

[NS Interval]:ネイバー送信要求メッセージの間隔を入力します。ネイバー送信要求メッセージは、ターゲット ノードのリンク層アドレスを要求します。有効値の範囲は、1000 ~ 3600000 ミリ秒です。デフォルトは 1000 ミリ秒です。

[Reachable Time]:到達可能性確認イベントの発生後、リモート IPv6 ノードが到達可能と見なされる秒単位の時間を入力します。有効値の範囲は、0 ~ 3600000 ミリ秒です。デフォルトは 0 です。設定時間によって、使用不可のネイバーを検知できます。時間を短く設定すればするほど、速く検知できますが、通常の IPv6 の動作では、極端に短い時間を設定することはお勧めしません。

ステップ 7 [OK] をクリックします。

[Configuration] > [Device Setup] > [Interfaces] ペインに戻ります。


 

(任意)リンクローカル アドレスの自動設定

グローバル アドレスを設定する必要がなく、リンクローカル アドレスだけを設定する必要がある場合は、リンクローカル アドレスをインターフェイスの MAC アドレス(Modified EUI-64 形式。MAC アドレスで使用するビット数は 48 ビットであるため、インターフェイス ID に必要な 64 ビットを埋めるために追加ビットを挿入する必要があります)に基づいて生成できます。

リンクローカル アドレスを手動で割り当てる場合(非推奨)については、「(任意)リンクローカル アドレスの手動設定」を参照してください。

Modified EUI-64 形式の適用、DAD 設定などのその他の IPv6 オプションについては、「グローバル IPv6 アドレスとその他のオプションの設定」を参照してください。

リンクローカル アドレスを管理インターフェイスまたはブリッジ グループ メンバ インターフェイスに自動的に設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 BVI または管理インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

ステップ 4 [IPv6 configuration] 領域で、[Enable IPv6] をオンにします。

このオプションでは、IPv6 をイネーブルにし、インターフェイスの MAC アドレスに基づく Modified EUI-64 インターフェイス ID を使用してリンクローカル アドレスをメンバ インターフェイスに自動的に生成します。


) IPv6 アドレス(グローバルまたはリンクローカル)を設定する場合は、このオプションをオンにする必要はありません。IPv6 アドレスを割り当てるとただちに、IPv6 サポートが自動的にイネーブルになります。また、IPv6 アドレスを設定した場合は、このオプションをオフにしても IPv6 はディセーブルになりません。


ステップ 5 [OK] をクリックします。


 

(任意)リンクローカル アドレスの手動設定

グローバル アドレスを設定する必要がなく、リンクローカル アドレスだけを物理インターフェイスまたはサブインターフェイスに設定する必要がある場合は、リンクローカル アドレスを手動で定義できます。Modified EUI-64 形式に基づいたリンクローカル アドレスの自動割り当てが推奨されることに注意してください。たとえば、他のデバイスで Modified EUI-64 形式の使用が強制適用される場合、手動で割り当てたリンクローカル アドレスが原因でパケットがドロップされる可能性があります。

リンクローカル アドレスを自動的に割り当てる場合(推奨)については、「(任意)リンクローカル アドレスの自動設定」を参照してください。

Modified EUI-64 形式の適用、DAD 設定などのその他の IPv6 オプションについては、「グローバル IPv6 アドレスとその他のオプションの設定」を参照してください。

リンクローカル アドレスを、管理インターフェイスを含む物理インターフェイスまたはサブインターフェイスに割り当てるには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

ステップ 4 リンクローカル アドレスを設定するには、[Link-local address] フィールドにアドレスを入力します。

リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。 IPv6 アドレッシングの詳細については、「IPv6 形式のアドレス」を参照してください。

ステップ 5 [OK] をクリックします。


 

同じセキュリティ レベルの通信の許可

デフォルトでは、同じセキュリティ レベルのインターフェイスは相互に通信することができません。また、パケットは同じインターフェイスを出入りすることができません。この項では、複数のインターフェイスが同じセキュリティ レベルの場合にインターフェイス間通信をイネーブルにする方法について説明します。

インターフェイス間通信に関する情報

同じセキュリティ レベルのインターフェイスどうしの通信を許可することが役に立つのは、同じセキュリティのすべてのインターフェイスの間で、アクセス リストなしでトラフィックが自由に流れるようにする必要がある場合です。

同じセキュリティ インターフェイス通信をイネーブルにした場合でも、異なるセキュリティ レベルで通常どおりインターフェイスを設定できます。

手順の詳細

 

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにするには、[Configuration] > [Interfaces] ペインで、[Enable traffic between two or more interfaces which are configured with same security level] をオンにします。

インターフェイスのモニタリング

この項は、次の内容で構成されています。

「ARP Table」

「DHCP」

「MAC Address Table」

「Dynamic ACLs」

「Interface Graphs」

「PPPoE Client」

「Interface Connection」

ARP Table

[Monitoring] > [Interfaces] > [ARP Table] ペインには、スタティック エントリとダイナミック エントリが含まれた ARP テーブルが表示されます。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

フィールド

[Interface] :マッピングに関連付けられているインターフェイス名を一覧表示します。

[IP Address] :IP アドレスを表示します。

[MAC Address] :MAC アドレスを表示します。

[Proxy ARP]:インターフェイスでプロキシ ARP がイネーブルになっている場合は Yes と表示します。インターフェイスでプロキシ ARP がイネーブルになっていない場合は No と表示します。

[Clear] :ダイナミック ARP テーブルのエントリをクリアします。 スタティック エントリはクリアされません。

[Refresh] :ASAの現在の情報でテーブルをリフレッシュし、 [Last Updated] の日付と時刻を更新します。

[Last Updated] 表示専用 。表示が更新された日付と時刻を示します。

DHCP

ASAでは、クライアントに割り当てられているアドレス、ASA インターフェイスのリース情報、および DHCP 統計情報を含む DHCP の統計情報を監視できます。

DHCP Server Table

[Monitoring] > [Interfaces] > [DHCP] > [DHCP Server Table] には、DHCP クライアントに割り当てられている IP アドレスが一覧表示されます。

フィールド

[IP Address]:クライアントに割り当てられている IP アドレスを表示します。

[Client-ID]:クライアントの MAC アドレスまたは ID を表示します。

[Lease Expiration]:DHCP リースの期限が満了する日付を表示します。リースは、クライアントが割り当てられている IP アドレスを使用できる期間を示します。また、残り時間は、[Last Updated] 表示専用フィールドのタイムスタンプを基準に秒数で表示されます。

[Number of Active Leases]:DHCP リースの合計数を表示します。

[Refresh]:ASAの情報をリフレッシュします。

[Last Updated]:テーブルのデータが最後に更新された日付を表示します。

DHCP Client Lease Information

DHCP サーバから ASA インターフェイス IP アドレスを取得すると、[Monitoring] > [Interfaces] > [DHCP] > [DHCP Server Table] > [DHCP Client Lease Information] ペインに、DHCP リースに関する情報が表示されます。

フィールド

[Select an interface]:ASAのインターフェイスを一覧表示します。DHCP リースを表示するインターフェイスを選択します。インターフェイスに DHCP リースが複数ある場合、表示するインターフェイスと IP アドレスのペアを選択します。

[Attribute and Value]:インターフェイス DHCP リースの属性と値を一覧表示します。

[Temp IP addr]: 表示専用 。インターフェイスに割り当てられている IP アドレス。

[Temp sub net mask]: 表示専用 。インターフェイスに割り当てられているサブネット マスク。

[DHCP lease server]: 表示専用 。DHCP サーバ アドレス。

[state]: 表示専用 。DHCP リースの状態で、次のとおりです。

[Initial]:初期化状態で、ASAがリースを取得するプロセスを開始します。この状態は、リースが終了したか、リースのネゴシエーションに失敗したときにも表示されます。

[Selecting]:ASAは 1 つ以上の DHCP サーバから DHCPOFFER メッセージを受信することを待機しており、メッセージを選択できます。

[Requesting]:ASAは、要求を送信した送信先サーバからの応答を待機しています。

[Purging]:ASA は、エラーが発生したためリースを削除しています。

[Bound]:ASAは有効なリースを保持し、正常に動作しています。

[Renewing]:ASAはリースを更新しようとしています。DHCPREQUEST メッセージを現在の DHCP サーバに定期的に送信し、応答を待機します。

[Rebinding]:ASAは元のサーバのリースを更新することに失敗したため、いずれかのサーバから応答を受け取るかリースが終了するまで DHCPREQUEST メッセージを送信します。

[Holddown]:ASAはリースを削除するプロセスを開始しました。

[Releasing]:ASAは IP アドレスが不要になったことを示すリリース メッセージをサーバに送信します。

[Lease]: 表示専用 。DHCP サーバによって指定される、インターフェイスがこの IP アドレスを使用できる時間の長さ。

[Renewal]: 表示専用 。インターフェイスがこのリースを自動的に更新しようとするまでの時間の長さ。

[Rebind]: 表示専用 。ASAが DHCP サーバに再バインドしようとするまでの時間の長さ。再バインドが発生するのは、ASAが元の DHCP サーバと通信できず、リース期間の 87.5% を経過した場合です。ASAは、DHCP 要求をブロードキャストすることによって、使用可能な任意の DHCP サーバに接続を試みます。

[Next timer fires after]: 表示専用 。内部タイマーがトリガーするまでの秒数。

[Retry count]: 表示専用 。ASAがリースを設定しようとしているとき、このフィールドは、ASAが DHCP メッセージの送信を試行した回数を示します。たとえば、ASAが Selecting 状態の場合、この値はASAが探索メッセージを送信した回数を示します。ASAが Requesting 状態の場合、この値はASAが要求メッセージを送信した回数を示します。

[Client-ID]: 表示専用 。サーバとのすべての通信に使用したクライアント ID。

[Proxy]: 表示専用 。このインターフェイスが VPN クライアント用のプロキシ DHCP クライアントかどうかを True または False で指定します。

[Hostname]: 表示専用 。クライアントのホスト名。

DHCP Statistics

[Monitoring] > [Interfaces] > [DHCP] > [DHCP Statistics] ペインには、DHCP サーバ機能の統計情報が表示されます。

フィールド

[Message Type]:送受信された DHCP メッセージのタイプを一覧表示します。

BOOTREQUEST

DHCPDISCOVER

DHCPREQUEST

DHCPDECLINE

DHCPRELEASE

DHCPINFORM

BOOTREPLY

DHCPOFFER

DHCPACK

DHCPNAK

[Count]:特定のメッセージが処理された回数を表示します。

[Direction]:メッセージ タイプが Sent か Received かを示します。

[Total Messages Received]:ASAで受信したメッセージの合計数を表示します。

[Total Messages Sent]:ASAで送信したメッセージの合計数を表示します。

[Counter]:次のような DHCP の全般的な統計データを表示します。

DHCP UDP Unreachable Errors

DHCP Other UDP Errors

Address Pools

Automatic Bindings

Expired Bindings

Malformed Messages

[Value]:各カウンタ項目の数を表示します。

[Refresh]:DHCP テーブルのリストを更新します。

[Last Updated]:テーブルのデータが最後に更新された日付を表示します。

MAC Address Table

[Monitoring] > [Interfaces] > [MAC Address Table] ペインには、スタティック MAC アドレス エントリおよびダイナミック MAC アドレス エントリが表示されます。MAC アドレス テーブルおよびスタティック エントリの追加の詳細については、「MAC Address Table」を参照してください。

フィールド

[Interface]:エントリに関連付けられているインターフェイス名を表示します。

[MAC Address]:MAC アドレスを表示します。

[Type]:エントリがスタティックかダイナミックかを表示します。

[Age]:エントリの経過時間を分数で表示します。タイムアウトを設定するには、 「MAC Address Table」 を参照してください。

[Refresh]:ASAの現在の情報でテーブルをリフレッシュします。

Dynamic ACLs

[Monitoring] > [Interfaces] > [Dynamic ACLs] ペインには、ダイナミック ACL のテーブルが表示されます。ダイナミック ACL は、ASA によって自動的に作成、アクティブ化、および削除される点を除いて、ユーザ設定の ACL と機能的に同じです。これらの ACL はコンフィギュレーションには表示されず、このテーブルだけに表示されます。ダイナミック ACL は、ACL ヘッダーの「(dynamic)」キーワードで区別されます。

このテーブルで ACL を選択すると、その ACL の内容が下部のテキスト フィールドに表示されます。

フィールド

[ACL]:ダイナミック ACL の名前を表示します。

[Element Count]:ACL の要素の数を表示します。

[Hit Count]:ACL のすべての要素に対する合計ヒット数を表示します。

Interface Graphs

[Monitoring] > [Interfaces] > [Interface Graphs] ペインでは、インターフェイスの統計情報をグラフ形式またはテーブル形式で表示できます。インターフェイスをコンテキスト間で共有している場合、ASAには現在のコンテキストの統計情報だけが表示されます。サブインターフェイスに表示される統計情報の数は、物理インターフェイスに表示される統計情報の数のサブセットです。

フィールド

[Available Graphs for]:モニタリングに使用可能な統計情報のタイプを一覧表示します。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

[Byte Counts]:インターフェイスのバイト入力およびバイト出力の数を表示します。

[Packet Counts]:インターフェイスのパケット入力およびパケット出力の数を表示します。

[Packet Rates]:インターフェイスのパケット入力およびパケット出力のレートを表示します。

[Bit Rates]:インターフェイスの入出力のビット レートを表示します。

[Drop Packet Count]:インターフェイスでドロップされたパケットの数を表示します。

物理インターフェイスに追加して表示できる統計情報は次のとおりです。

[Buffer Resources]:次の統計情報を表示します。

[Overruns]:入力速度が、ASAのデータ処理能力を超えたため、ASAがハードウェア バッファに受信したデータを処理できなかった回数。

[Underruns]:ASAで処理できる速度より速くトランスミッタが動作した回数。

[No Buffer]:メイン システムにバッファ スペースがなかったために廃棄された受信パケットの数。この数を、無視された数と比較してください。イーサネット ネットワーク上のブロードキャスト ストームは、多くの場合、入力バッファ イベントがないことに原因があります。

[Packet Errors]:次の統計情報を表示します。

[CRC]:Cyclical Redundancy Check(CRC; 巡回冗長検査)エラーの数。ステーションがフレームを送信すると、フレームの末尾に CRC を付加します。この CRC は、フレーム内のデータに基づくアルゴリズムから生成されます。送信元と宛先の間でフレームが変更された場合、ASAは CRC が一致しないことを通知します。CRC の数値が高いことは、通常、コリジョンの結果であるか、ステーションが不良データを送信することが原因です。

[Frame]:フレーム エラーの数。不良フレームには、長さが正しくないパケットや、フレーム チェックサムが正しくないパケットがあります。このエラーは通常、コリジョンまたはイーサネット デバイスの誤動作が原因です。

[Input Errors]:ここにリストされている他のタイプのものも含めた入力エラーの合計数。また、その他の入力関連のエラーによって入力エラー数が増えたり、一部のデータグラムに複数のエラーが存在していたりする可能性があります。したがって、この合計は、他のタイプにリストされているエラーの数を超えることがあります。

[Runts]:最小パケット サイズの 64 バイトよりも小さかったために廃棄されたパケットの数。ラントは通常、コリジョンによって発生します。不適切な配線や電気干渉によって発生することもあります。

[Giants]:最大パケット サイズを超えたために廃棄されたパケットの数。たとえば、1518 バイトよりも大きいイーサネット パケットはジャイアントと見なされます。

[Deferred]:FastEthernet インターフェイスだけ。リンク上のアクティビティが原因で送信前に保留されたフレームの数。

[Miscellaneous]:受信したブロードキャストの統計情報を表示します。

[Collision Counts]:FastEthernet インターフェイスだけ。次の統計情報を表示します。

[Output Errors]:設定されている衝突の最大数を超えたために伝送されなかったフレームの数。このカウンタは、ネットワーク トラフィックが多い場合にのみ増加します。

[Collisions]:イーサネット衝突(1 つまたは複数の衝突)が原因で、再度伝送されたメッセージ数。これは通常、過渡に延長した LAN で発生します(イーサネット ケーブルまたはトランシーバ ケーブルが長すぎる、ステーション間のリピータが 2 つよりも多い、またはマルチポート トランシーバのカスケードが多すぎる場合)。衝突するパケットは、出力パケットによって 1 回だけカウントされます。

[Late Collisions]:通常の衝突ウィンドウの外で衝突が発生したために伝送されなかったフレームの数。レイト コリジョンは、パケットの送信中に遅れて検出されるコリジョンです。これは通常発生しません。2 つのイーサネット ホストが同時に通信しようとした場合、早期にパケットが衝突して両者がバックオフするか、2 番めのホストが 1 番めのホストの通信状態を確認して待機します。レイト コリジョンが発生すると、デバイスは割り込みを行ってイーサネット上にパケットを送信しようとしますが、ASAはパケットの送信を部分的に完了しています。ASAは、パケットの最初の部分を保持するバッファを解放した可能性があるため、パケットを再送しません。このことはあまり問題になりません。その理由は、ネットワーキング プロトコルはパケットを再送することでコリジョンを処理する設計になっているためです。ただし、レイト コリジョンはネットワークに問題が存在することを示しています。一般的な問題は、リピータで接続された大規模ネットワーク、および仕様の範囲を超えて動作しているイーサネット ネットワークです。

[Input Queue]:入力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Input Queue]:ハードウェア キューのパケット数。

[Software Input Queue]:ソフトウェア キューのパケット数。

[Output Queue]:出力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Output Queue]:ハードウェア キューのパケット数。

[Software Output Queue]:ソフトウェア キューのパケット数。

[Add]:選択した統計タイプを、選択したグラフ ウィンドウに追加します。

[Remove]:選択したグラフ ウィンドウから、選択した統計タイプを削除します。削除している項目が他のパネルから追加され、[Available Graphs] ペインに戻されていない場合、このボタン名は [Delete] に変わります。

[Show Graphs]:統計タイプを追加するグラフ ウィンドウ名を表示します。すでにグラフ ウィンドウを開いている場合は、デフォルトで新しいグラフ ウィンドウがリストされます。すでに開いているグラフに統計タイプを追加する場合は、開いているグラフ ウィンドウの名前を選択します。すでにグラフに含まれている統計情報が [Selected Graphs] ペインに表示され、タイプを追加できます。グラフ ウィンドウには ASDM、インターフェイスの IP アドレス、および「Graph」という順番で名前が付けられます。後続のグラフは、「Graph (2)」のように名前が付けられます。

[Selected Graphs]:選択したグラフ ウィンドウに表示する統計タイプを表示します。タイプを 4 つまで含めることができます。

[Show Graphs]:グラフ ウィンドウを表示するか、または、追加した場合は追加の統計タイプでグラフを更新します。

Graph/Table

[Monitoring] > [Interfaces] > [Interface Graphs] > [Graph/Table] ウィンドウに、選択した統計情報のグラフが表示されます。[Graph] ウィンドウには、最大 4 つのグラフおよびテーブルを同時に表示することができます。デフォルトで、グラフまたはテーブルにリアルタイムな統計情報が表示されます。[History Metrics] をイネーブルにすると(「履歴メトリックのイネーブル化」を参照)、過去の期間の統計情報を表示できます。

フィールド

[View]:グラフまたはテーブルを表示する期間を設定します。リアルタイム以外の期間を表示する場合は、[History Metrics] をイネーブルにします(「履歴メトリックのイネーブル化」を参照)。次のオプションの指定に従ってデータが更新されます。

Real-time, data every 10 sec

Last 10 minutes, data every 10 sec

Last 60 minutes, data every 1 min

Last 12 hours, data every 12 min

Last 5 days, data every 2 hours

[Export]:グラフをカンマ区切り形式でエクスポートします。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Export Graph Data] ダイアログボックスが表示されます。名前の横のチェックボックスを選択して、リストされているグラフおよびテーブルを 1 つ以上選択します。

[Print]:グラフまたはテーブルを印刷します。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Print Graph] ダイアログボックスが表示されます。[Graph/Table Name] リストから印刷するグラフまたはテーブルを選択します。

[Bookmark]:ブラウザ ウィンドウに、[Graph] ウィンドウ上のすべてのグラフおよびテーブルへのリンク 1 つと、各グラフまたはテーブルへの個別のリンクが表示されます。ブラウザでこれらの URL をブックマークとしてコピーできますグラフの URL を開くときに、 ASDM を実行している必要はありません。ブラウザによって ASDM が起動され、グラフが表示されます。

PPPoE Client

[Monitoring] > [Interfaces] > [PPPoE Client] > [PPPoE Client Lease Information] ペインには、現在の PPPoE 接続に関する情報が表示されます。

フィールド

[Select a PPPoE interface]:PPPoE クライアントのリース情報を表示するインターフェイスを選択します。

[Refresh]:ASAから最新の PPPoE 接続情報をロードして表示します。

Interface Connection

[Monitoring] > [Interfaces] ツリーの [Monitoring] > [Interfaces] > interface connection ノードは、スタティック ルート トラッキングが設定されている場合にだけ表示されます。複数のルートを追跡している場合、追跡されるルートが含まれている各インターフェイスにノードがあります。

ルート トラッキングに関する詳細については、次の項を参照してください。

「Track Status for」

「Monitoring Statistics for」

Track Status for

[Monitoring] > [Interfaces] > [interface connection] > [Track Status for] ペインには、追跡されたオブジェクトに関する情報が表示されます。

フィールド

[Tracked Route]: 表示専用 。トラッキング プロセスに関連付けられているルートを表示します。

[Route Statistics]: 表示専用 。オブジェクトの到達性情報を表示します。到達性情報で最後に変更があった場合は、オペレーションのリターンコード、およびトラッキングを実行するプロセスを表示します。

Monitoring Statistics for

[Monitoring] > [Interfaces] > [interface connection] > [Monitoring Statistics for] ペインには、SLA モニタリング プロセスの統計情報が表示されます。

フィールド

[SLA Monitor ID]: 表示専用 。SLA モニタリング プロセスの ID を表示します。

[SLA statistics]: 表示専用 。プロセスが変更された最後の時刻、試行されたオペレーション回数、スキップされたオペレーション回数などの SLA モニタリング統計情報を表示します。

トランスペアレント モードのインターフェイスの機能履歴

表 15-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 15-1 トランスペアレント モードのインターフェイスの機能履歴

機能名
プラットフォーム リリース
機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

ASA 5520 の VLAN 数が 25 から 100 に増えました。

ASA 5540 の VLAN 数が 100 から 200 に増えました。

VLAN 数の増加

7.2(2)

ASA 5505 上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、GE(ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の Fast Ethernet(FE; ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

ASA 5505 に対するネイティブ VLAN サポート

7.2(4)/8.0(4)

ネイティブ VLAN を ASA 5505 トランク ポートに割り当てることができるようになりました。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Switch Ports] > [Edit Switch Port]。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

Cisco ASA 5580 はジャンボ フレームをサポートしています。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [Advanced]。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

トランスペアレント モードの IPv6 のサポート

8.2(1)

トランスペアレント ファイアウォール モードの IPv6 サポートが導入されました。

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

次の画面が変更されました。
(シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General]
(マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface]。

トランスペアレント モードのブリッジ グループ

8.4(1)

セキュリティ コンテキストのオーバーヘッドをなくすか、またはセキュリティ コンテキストを最大限に使用する場合は、インターフェイスをブリッジ グループにグループ化し、複数のブリッジ グループ(ネットワークごとに 1 つ)を設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離されます。シングル モードまたはコンテキストごとに、それぞれ 4 つのインターフェイスからなる最大 8 個のブリッジ グループを設定できます。

次の画面が変更または導入されました。
[Configuration] > [Device Setup] > [Interfaces]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface]