ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

ファイアウォール モードの設定

ファイアウォール モードに関する情報

ルーテッド ファイアウォール モードに関する情報

トランスペアレント ファイアウォール モードに関する情報

ファイアウォール モードのライセンス要件

デフォルト設定値

ガイドラインと制限事項

ファイアウォール モードの設定

ファイアウォール モードの機能履歴

トランスペアレント ファイアウォール用の ARP インスペクションの設定

ARP インスペクションに関する情報

ARP インスペクションのライセンス要件

デフォルト設定値

ガイドラインと制限事項

ARP インスペクションの設定

ARP インスペクションの設定のタスク フロー

スタティック ARP エントリの追加

ARP インスペクションのイネーブル化

ARP インスペクションの機能履歴

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

MAC アドレス テーブルに関する情報

MAC アドレス テーブルのライセンス要件

デフォルト設定値

ガイドラインと制限事項

MAC アドレス テーブルの設定

スタティック MAC アドレスの追加

MAC アドレス ラーニングのディセーブル化

MAC アドレス テーブルの機能履歴

ファイアウォール モードの例

ルーテッド ファイアウォール モードで ASA を通過するデータ

内部ユーザが Web サーバにアクセスする

外部ユーザが DMZ 上の Web サーバにアクセスする

内部ユーザが DMZ 上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

DMZ ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールを通過するデータの動き

内部ユーザが Web サーバにアクセスする

NAT を使用して内部ユーザが Web サーバにアクセスする

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

外部ユーザが内部ホストにアクセスしようとする

トランスペアレント ファイアウォールまたはルーテッド ファイアウォールの設定

この章では、ファイアウォール モードをルーテッドまたはトランスペアレントに設定する方法と、ファイアウォールが各ファイアウォール モードでどのように機能するかについて説明します。

マルチ コンテキスト モードでは、コンテキストごとに個別にファイアウォール モードを設定できません。ファイアウォール モードはASA全体に対してだけ設定できます。

この章は、次の項で構成されています。

「ファイアウォール モードの設定」

「トランスペアレント ファイアウォール用の ARP インスペクションの設定」

「トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ」

「ファイアウォール モードの例」

ファイアウォール モードの設定

この項では、ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードについて、およびモードの設定方法について説明します。この項は、次の内容で構成されています。

「ファイアウォール モードに関する情報」

「ファイアウォール モードのライセンス要件」

「デフォルト設定値」

「ガイドラインと制限事項」

「ファイアウォール モードの設定」

「ファイアウォール モードの機能履歴」

ファイアウォール モードに関する情報

この項では、ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードについて説明します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードに関する情報」

「トランスペアレント ファイアウォール モードに関する情報」

ルーテッド ファイアウォール モードに関する情報

ルーテッド モードでは、ASAはネットワーク内のルータ ホップと見なされます。OSPF または RIP を使用できます(シングル コンテキスト モードの場合)。ルーテッド モードは多数のインターフェイスをサポートしています。インターフェイスはそれぞれ異なるサブネット上に置かれます。コンテキスト間でインターフェイスを共有することもできます。

ASAは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF、EIGRP、および RIP をサポートします。マルチ コンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをASAに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

トランスペアレント ファイアウォール モードに関する情報

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「bump-in-the-wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとは見なされません。

この項では、トランスペアレント ファイアウォール モードについて説明します。次の項目を取り上げます。

「トランスペアレント ファイアウォール ネットワーク」

「ブリッジ グループ」

「管理インターフェイス(ASA 5510 以降)」

「レイヤ 3 トラフィックの許可」

「許可される MAC アドレス」

「ルーテッド モードで許可されないトラフィックの通過」

「BPDU の処理」

「MAC アドレス ルックアップと ルート ルックアップ」

「ネットワークでのトランスペアレント ファイアウォールの使用」

トランスペアレント ファイアウォール ネットワーク

ASA は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

ブリッジ グループ

セキュリティ コンテキストのオーバーヘッドをなくすか、またはセキュリティ コンテキストを最大限に使用する場合は、インターフェイスをブリッジ グループにグループ化し、複数のブリッジ グループ(ネットワークごとに 1 つ)を設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。


) 各ブリッジ グループには、管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。別の管理方法については、「管理インターフェイス(ASA 5510 以降)」を参照してください。

ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。


管理インターフェイス(ASA 5510 以降)

各ブリッジ グループの管理 IP アドレスのほかに、別の管理 スロット / ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、ASA への管理トラフィックのみを許可します。詳細については、「管理インターフェイス」を参照してください。

レイヤ 3 トラフィックの許可

IPv4 および IPv6 トラフィックは、セキュリティの高いインターフェイスから低いインターフェイスに移動する場合、アクセス リストなしで自動的にトランスペアレント ファイアウォールを通過できます。

ARP は、アクセス リストに関係なく、両方向ともトランスペアレント ファイアウォールを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

セキュリティの低いインターフェイスからセキュリティの高いインターフェイスに移動するレイヤ 3 トラフィックの場合、セキュリティの低いインターフェイスで拡張アクセス リストが必要です。詳細については、 「アクセス ルールの設定」を参照してください。

許可される MAC アドレス

次の宛先 MAC アドレスは、トランスペアレント ファイアウォールを通過できます。このリストにない MAC アドレスはドロップされます。

FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

0100.5E00.0000 ~ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

3333.0000.0000 ~ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

0100.0CCC.CCCD の BPDU マルチキャスト アドレス

0900.0700.0000 ~ 0900.07FF.FFFF までの AppleTalk マルチキャスト MAC アドレス

ルーテッド モードで許可されないトラフィックの通過

ルーテッド モードでは、アクセス リストで許可しても、いくつかのタイプのトラフィックはASAを通過できません。ただし、トランスペアレント ファイアウォールは、拡張アクセス リスト(IP トラフィックの場合)または EtherType アクセス リスト(非 IP トラフィックの場合)を使用してほとんどすべてのトラフィックを許可できます。

IP 以外のトラフィック(AppleTalk、IPX、BPDU、および MPLS など)は、EtherType アクセス リストを使用して通過するように構成できます。


) トランスペアレント モードの ASA では、CDP パケットや、0x600 以上の有効な EtherType を持たないパケットは通過できません。たとえば、IS-IS パケットは通過できません。例外として、BPDU はサポートされています。


ルーテッド モード機能のためのトラフィックの通過

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセス リストを使用して、DHCP トラフィック(サポートされない DHCP リレー機能の代わりに)または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックを拡張アクセス リストに基づいて許可できます。同様に、protocols like HSRP や VRRP などのプロトコルは ASA を通過できます。

BPDU の処理

スパニングツリー プロトコルを使用するときのループを防止するために、デフォルトで BPDU が渡されます。BPDU をブロックするには、BPDU を拒否するように EtherType アクセス リストを設定する必要があります。フェールオーバーを使用している場合、BPDU をブロックして、トポロジが変更されたときにスイッチ ポートがブロッキング ステートに移行することを回避できます。詳細については、「トランスペアレント ファイアウォール モードの要件」を参照してください。

MAC アドレス ルックアップと ルート ルックアップ

ASAがトランスペアレント モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

ASAで発信されたトラフィック:たとえば、syslog サーバがリモート ネットワークにある場合は、ASAがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

NAT がイネーブルになっている ASA から 1 ホップ以上のトラフィック:ASA はルート ルックアップを実行する必要があります。管理者は、実際のホスト アドレスのためのスタティック ルートを ASA 上に追加する必要があります。

インスペクションがイネーブルであり、エンドポイントがASAから少なくとも 1 ホップ離れている Voice over IP(VoIP)トラフィック:たとえば、CCM と H.323 ゲートウェイの間にトランスペアレント ファイアウォールを使用し、トランスペアレント ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはASAに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

インスペクションと NAT をイネーブルにしている VoIP または DNS トラフィックで、埋め込み IP アドレスが ASA から少なくとも 1 ホップ離れている場合:VoIP および DNS パケット内部の IP アドレスを正しく変換するには、ASA でルート ルックアップを実行する必要があります。パケットに埋め込まれている実際のホスト アドレスを把握するには、ASA にスタティック ルートを追加する必要があります。

ネットワークでのトランスペアレント ファイアウォールの使用

図 10-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図 10-1 トランスペアレント ファイアウォール ネットワーク

 

図 10-2 に、2 つのブリッジ グループを持つ、ASA に接続されている 2 つのネットワークを示します。

図 10-2 2 つのブリッジ グループを持つトランスペアレント ファイアウォール ネットワーク

 

ファイアウォール モードのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定値

デフォルト モードはルーテッド モードです。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

ASA 5500 シリーズ アプライアンスの場合は、ファイアウォール モードはシステム全体とすべてのコンテキストに対して設定されます。モードをコンテキストごとに個別に設定することはできません。

モードを変更すると、ASAは実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。このアクションにより、実行中のコンテキストが削除されます。その後、別のモード用に作成された既存のコンフィギュレーションがあるコンテキストを再度追加すると、そのコンテキスト コンフィギュレーションは正常に動作しないことがあります。正しいモード用のコンテキスト コンフィギュレーションを再作成してから、それらを再度追加するか、新しいコンフィギュレーション用の新しいパスがある新しいコンテキストを追加してください。

トランスペアレント ファイアウォール ガイドライン

トランスペアレント ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。

直接接続された各ネットワークは同一のサブネット上にある必要があります。

ブリッジ グループ管理 IP アドレスを、接続されたデバイスのデフォルト ゲートウェイとして指定しないでください。ASA の他方の側にあるルータをデバイスのデフォルト ゲートウェイとして指定する必要があります。

管理トラフィックのリターン パスを提供する必要のあるトランスペアレント ファイアウォールのデフォルト ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックのみに適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスだけでなく、ブリッジ グループ ネットワークのルータ IP アドレスも指定するため、1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、使用する管理トラフィックを送信するネットワークを識別するスタティック ルートを指定する必要があります。

その他のガイドラインについては、「ガイドラインと制限事項」を参照してください。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドラインと制限事項

ファイアウォール モードを変更すると、ASA は実行コンフィギュレーションをクリアします。これは、多くのコマンドが両方のモードでサポートされていないためです。スタートアップ コンフィギュレーションは変更されません。保存しないでリロードすると、スタートアップ コンフィギュレーションがロードされて、モードは元の設定に戻ります。コンフィギュレーション ファイルのバックアップについては、「ファイアウォール モードの設定」を参照してください。

firewall transparent コマンドを使用してモードを変更するテキスト コンフィギュレーションをASAにダウンロードする場合は、このコマンドをコンフィギュレーションの先頭に配置します。先頭に配置することによって、ASAでこのコマンドが読み込まれるとすぐにモードが変更され、その後引き続きダウンロードされたコンフィギュレーションが読み込まれます。このコマンドがコンフィギュレーションの後ろの方にあると、ASAはそれ以前に記述されているコンフィギュレーションの行をすべてクリアします。

トランスペアレント モードでサポートされていない機能

表 10-1 にトランスペアレント モードでサポートされていない機能を示します。

 

表 10-1 トランスペアレント モードでサポートされていない機能

機能
説明

ダイナミック DNS

--

DHCP リレー

トランスペアレント ファイアウォールは DHCP サーバとして機能することができますが、DHCP リレー コマンドはサポートしません。2 つの拡張アクセス リストを使用して DHCP トラフィックを通過させることができるので、DHCP リレーは必要ありません。1 つは内部インターフェイスから外部インターフェイスへの DHCP 要求を許可し、もう 1 つはサーバからの応答を逆方向に許可します。

ダイナミック ルーティング プロトコル

ただし、ASAで発信されたトラフィックのスタティック ルートを追加できます。拡張アクセス リストを使用して、ダイナミック ルーティング プロトコルがASAを通過できるようにすることもできます。

マルチキャスト IP ルーティング

拡張アクセス リストで許可することによって、マルチキャスト トラフィックがASAを通過できるようにすることができます。

QoS

--

通過トラフィック用の VPN ターミネーション

トランスペアレント ファイアウォールは、管理接続に対してのみサイトツーサイト VPN トンネルをサポートします。これは、ASAを通過するトラフィックに対して VPN 接続を終端しません。拡張アクセス リストを使用して VPN トラフィックに ASA を通過させることはできますが、非管理接続は終端されません。SSL VPN もサポートされていません。

ファイアウォール モードの設定

この項では、CLI を使用してファイアウォール モードを変更する方法を説明します。ASDM では、モードを変更できません。


) ファイアウォール モードを変更すると実行コンフィギュレーションがクリアされるので、他のコンフィギュレーションを行う前にファイアウォール モードを設定することをお勧めします。


前提条件

モードを変更すると、ASAは実行コンフィギュレーションをクリアします(詳細については 「ガイドラインと制限事項」を参照してください)。

設定済みのコンフィギュレーションがある場合は、モードを変更する前にコンフィギュレーションをバックアップしてください。新しいコンフィギュレーション作成時の参照としてこのバックアップを使用できます。

モードを変更するには、コンソール ポートで CLI を使用します。ASDM コマンドライン インターフェイス ツールや SSH などの他のタイプのセッションを使用すると、コンフィギュレーションがクリアされるときに切断されるので、いずれにしてもコンソール ポートを使用してASAに再接続する必要があります。

ASA 5500 シリーズ アプライアンスの場合は、モードの設定はシステム実行スペース内のシステム全体に対するものとなります。

手順の詳細

 

コマンド
目的

firewall transparent

 

 

hostname(config)# firewall transparent

ファイアウォール モードをトランスペアレントに設定します。モードをルーテッドに変更するには、 no firewall transparent コマンドを入力します。

(注) ファイアウォール モードの変更では確認は求められず、ただちに変更が行われます。

ファイアウォール モードの機能履歴

表 10-2 に、各機能変更のリリース履歴と、それが実装されたプラットフォーム リリースを示します。

 

表 10-2 ファイアウォール モードの機能履歴

機能名
リリース
機能情報

トランスペアレント ファイアウォール モード

7.0(1)

トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 のファイアウォールであり、接続デバイスにはルータ ホップとして認識されません。

firewall transparent コマンドおよび show firewall コマンドが導入されました。

ファイアウォール モードは ASDM では設定できません。コマンドライン インターフェイスを使用する必要があります。

トランスペアレント ファイアウォール ブリッジ グループ

8.4(1)

トランスペアレント ファイアウォール モードで複数のブリッジ グループを使用できるようになりました。また、インターフェイスを 4 つまで(ブリッジ グループ当たり)設定できるようになりました。以前は、トランスペアレント モードで設定できるインターフェイスは 2 つだけでした。

firewall transparent コマンドおよび show firewall コマンドが導入されました。

ファイアウォール モードは ASDM では設定できません。コマンドライン インターフェイスを使用する必要があります。

トランスペアレント ファイアウォール用の ARP インスペクションの設定

この項では、ARP インスペクションについて説明し、これをイネーブルにする方法について説明します。次の項目を取り上げます。

「ARP インスペクションに関する情報」

「ARP インスペクションのライセンス要件」

「デフォルト設定値」

「ガイドラインと制限事項」

「ARP インスペクションの設定」

「ARP インスペクションの機能履歴」

ARP インスペクションに関する情報

デフォルトでは、すべての ARP パケットがASAを通過できます。ARP パケットのフローを制御するには、ARP インスペクションをイネーブルにします。

ARP インスペクションをイネーブルにすると、ASAは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。

MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASAはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするようにASAを設定できます。


) 専用の管理インターフェイス(存在する場合)は、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。


ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

ARP インスペクションのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定値

デフォルトでは、すべての ARP パケットがASAを通過できます。

ARP インスペクションをイネーブルにした場合、デフォルト設定では、一致しないパケットはフラッドします。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マルチ コンテキスト モードで、各コンテキスト内の ARP インスペクションを設定します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

ARP インスペクションの設定

この項では、ARP インスペクションを設定する方法について説明します。次の項目を取り上げます。

「ARP インスペクションの設定のタスク フロー」

「スタティック ARP エントリの追加」

「ARP インスペクションのイネーブル化」

ARP インスペクションの設定のタスク フロー

ARP インスペクションを設定するには、次の手順を実行します。


ステップ 1 「スタティック ARP エントリの追加」に従って、スタティック ARP エントリを追加します。ARP インスペクションは ARP パケットを ARP テーブルのスタティック ARP エントリと比較するので、この機能にはスタティック ARP エントリが必要です。

ステップ 2 「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。


 

スタティック ARP エントリの追加

ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。ホストは IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、エントリは更新される前にタイムアウトします。


) トランスペアレント ファイアウォールは、ASAとの間のトラフィック(管理トラフィックなど)に、ARP テーブルのダイナミック ARP エントリを使用します。


手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [ARP] > [ARP Static Table] ペインを選択します。

ステップ 2 (任意) ダイナミック ARP エントリに ARP タイムアウトを設定するには、[ARP Timeout] フィールドに値を入力します。

このフィールドでは、ASAが ARP テーブルを再構築するまでの時間を、60 ~ 4294967 秒の範囲で設定します。デフォルトは 14400 秒です。ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報は頻繁に変更されるため、タイムアウトを短くすることが必要になる場合があります。

ステップ 3 [Add] をクリックします。

[Add ARP Static Configuration] ダイアログボックスが表示されます。

ステップ 4 [Interface] ドロップダウン リストから、ホスト ネットワークに接続されるインターフェイスを選択します。

ステップ 5 [IP Address] フィールドに、ホストの IP アドレスを入力します。

ステップ 6 [MAC Address] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。

ステップ 7 このアドレスでプロキシ ARP を実行するには、[Proxy ARP] チェックボックスをオンにします。

ASAは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。

ステップ 8 [OK]、続いて [Apply] をクリックします。


 

次の作業

「ARP インスペクションのイネーブル化」に従って、ARP インスペクションをイネーブルにします。

ARP インスペクションのイネーブル化

この項では、ARP インスペクションをイネーブルにする方法について説明します。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [ARP] > [ARP Inspection] ペインを選択します。

ステップ 2 ARP インスペクションをイネーブルにするインターフェイス行を選択し、[Edit] をクリックします。

[Edit ARP Inspection] ダイアログボックスが表示されます。

ステップ 3 ARP インスペクションをイネーブルにするには、[Enable ARP Inspection] チェックボックスをオンにします。

ステップ 4 (任意)一致しない ARP パケットをフラッドするには、[Flood ARP Packets] チェックボックスをオンにします。

デフォルトでは、スタティック ARP エントリのどの要素にも一致しないパケットが、送信元のインターフェイスを除くすべてのインターフェイスからフラッドされます。MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、ASAはパケットをドロップします。

このチェックボックスをオフにすると、一致しないパケットはすべてドロップされます。これにより、スタティック エントリにある ARP だけがASAを通過するように制限されます。


) Management 0/0 または 0/1 インターフェイスあるいはサブインターフェイスがある場合、これらのインターフェイスは、このパラメータがフラッドに設定されていてもパケットをフラッドしません。


ステップ 5 [OK]、続いて [Apply] をクリックします。


 

ARP インスペクションの機能履歴

表 10-2 に、各機能変更のリリース履歴と、それが実装されたプラットフォーム リリースを示します。

 

表 10-3 ARP インスペクションの機能履歴

機能名
リリース
機能情報

ARP インスペクション

7.0(1)

ARP インスペクションは、すべての ARP パケットの MAC アドレス、IP アドレス、および送信元インターフェイスを、ARP テーブルのスタティック エントリと比較します。

arp arp-inspection 、および show arp-inspection コマンドが導入されました。

トランスペアレント ファイアウォール用の MAC アドレス テーブルのカスタマイズ

この項では、MAC アドレス テーブルについて説明します。次の項目を取り上げます。

「MAC アドレス テーブルに関する情報」

「MAC アドレス テーブルのライセンス要件」

「デフォルト設定値」

「ガイドラインと制限事項」

「MAC アドレス テーブルの設定」

「MAC アドレス テーブルの機能履歴」

MAC アドレス テーブルに関する情報

ASAは、通常のブリッジやスイッチと同様の方法で、MAC アドレス テーブルをラーニングし、構築します。デバイスがASA経由でパケットを送信すると、ASAはこの MAC アドレスをテーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、ASAは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。

ASA 5505 には、組み込みスイッチがあります。このスイッチの MAC アドレス テーブルは、各 VLAN 内のトラフィックの MAC アドレスとスイッチ ポートのマッピングを維持します。この項では、 ブリッジ MAC アドレス テーブルのみについて説明します。このテーブルは、VLAN 間のトラフィックのための、MAC アドレスから VLAN インターフェイスへのマッピングを保持します。

ASAはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、ASAは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット:ASAは宛先 IP アドレスに対して ARP 要求を生成し、ASAは ARP 応答を受信したインターフェイスをラーニングします。

リモート デバイスへのパケット:ASAは宛先 IP アドレスへの ping を生成し、ASAは ping 応答を受信したインターフェイスをラーニングします。

元のパケットはドロップされます。

MAC アドレス テーブルのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

デフォルト設定値

ダイナミック MAC アドレス テーブルのデフォルトのタイムアウト値は 5 分です。

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。

ガイドラインと制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マルチ コンテキスト モードで、各コンテキスト内の MAC アドレス テーブルを設定します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードでだけサポートされます。ルーテッド モードはサポートされていません。

その他のガイドライン

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、 管理 インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。

MAC アドレス テーブルの設定

この項では、MAC アドレス テーブルをカスタマイズする方法について説明します。次の項目を取り上げます。

「スタティック MAC アドレスの追加」

「MAC アドレス ラーニングのディセーブル化」

スタティック MAC アドレスの追加

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。スタティック MAC アドレスは、必要に応じて MAC アドレス テーブルに追加できます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、そのスタティック エントリに一致しないインターフェイスにトラフィックを送信しようとした場合、ASAはトラフィックをドロップし、システム メッセージを生成します。スタティック ARP エントリを追加するときに(「スタティック ARP エントリの追加」を参照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。

MAC アドレス テーブルにスタティック MAC アドレスを追加するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Address Table] ペインを選択します。

ステップ 2 (任意)MAC アドレス エントリがタイムアウトするまでに MAC アドレス テーブルに残る時間を設定するには、[Dynamic Entry Timeout] フィールドに値を入力します。

この値は、5 ~ 720 分(12 時間)の範囲で指定します。5 分がデフォルトです。

ステップ 3 [Add] をクリックします。

[Add MAC Address Entry] ダイアログボックスが表示されます。

ステップ 4 [Interface Name] ドロップダウン リストから、MAC アドレスに関連付けられている送信元インターフェイスを選択します。

ステップ 5 [MAC Address] フィールドに、MAC アドレスを入力します。

ステップ 6 [OK]、続いて [Apply] をクリックします。


 

MAC アドレス ラーニングのディセーブル化

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、ASAは対応するエントリを MAC アドレス テーブルに追加します。必要に応じて MAC アドレス ラーニングをディセーブルにできますが、この場合、MAC アドレスをテーブルにスタティックに追加しないと、トラフィックがASAを通過できなくなります。

MAC アドレス ラーニングをディセーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Bridging] > [MAC Learning] ペインを選択します。

ステップ 2 MAC ラーニングをディセーブルにするには、インターフェイス行を選択して、[Disable] をクリックします。

ステップ 3 MAC ラーニングを再度イネーブルにするには、[Enable] をクリックします。

ステップ 4 [Apply] をクリックします。


 

MAC アドレス テーブルの機能履歴

表 10-2 に、各機能変更のリリース履歴と、それが実装されたプラットフォーム リリースを示します。

 

表 10-4 MAC アドレス テーブルの機能履歴

機能名
リリース
機能情報

MAC アドレス テーブル

7.0(1)

トランスペアレント ファイアウォール モードは MAC アドレス テーブルを使用します。

mac-address-table static mac-address-table aging-time mac-learn disable 、および show mac-address-table コマンドが導入されました。

ファイアウォール モードの例

この項では、トラフィックがASAを通過する例を示します。次の項目を取り上げます。

「ルーテッド ファイアウォール モードで ASA を通過するデータ」

「トランスペアレント ファイアウォールを通過するデータの動き」

ルーテッド ファイアウォール モードで ASA を通過するデータ

この項では、ルーテッド ファイアウォール モードでデータがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「外部ユーザが DMZ 上の Web サーバにアクセスする」

「内部ユーザが DMZ 上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

「DMZ ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 10-3 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 10-3 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-3 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。www.example.com IP アドレスは、コンテキスト内に最新のアドレス変換を持っていません。

3. ASAは、ローカル送信元アドレス(10.1.2.27)を、外部インターフェイス サブネット上のグローバル アドレス 209.165.201.10 に変換します。

グローバル アドレスは任意のサブネット上に置くことができますが、外部インターフェイス サブネットに置くとルーティングが簡素化されます。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. www.example.com が要求に応答すると、パケットはASAを通過します。これはすでに確立されているセッションであるため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、グローバル宛先アドレスをローカル ユーザ アドレス 10.1.2.27 に変換することによって、NAT を実行します。

6. ASAは、パケットを内部ユーザに転送します。

外部ユーザが DMZ 上の Web サーバにアクセスする

図 10-4 は、外部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 10-4 外部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-4 を参照)。

1. 外部ネットワーク上のユーザは、外部インターフェイス サブネット上にあるグローバル宛先アドレス 209.165.201.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、分類子は DMZ Web サーバ アドレスがサーバ アドレス変換のため特定のコンテキストに属すことを「認識」しています。

3. ASAは、宛先アドレスをローカル アドレス 10.1.1.3 に変換します。

4. 次に、ASAはセッション エントリを高速パスに追加し、DMZ インターフェイスからパケットを転送します。

5. DMZ Web サーバが要求に応答すると、パケットはASAを通過します。また、セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。ASAは、ローカル送信元アドレスを 209.165.201.3 に変換することによって、NAT を実行します。

6. ASAは、パケットを外部ユーザに転送します。

内部ユーザが DMZ 上の Web サーバにアクセスする

図 10-5 は、内部ユーザが DMZ Web サーバにアクセスしていることを示しています。

図 10-5 内部から DMZ へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-5 を参照)。

1. 内部ネットワーク上のユーザは、宛先アドレス 10.1.1.3 を使用して DMZ Web サーバから Web ページを要求します。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、コンテキストに関連付けられる固有なインターフェイスまたは固有な宛先アドレスに従ってパケットを分類します。宛先アドレスは、コンテキストでのアドレス変換と照合することによって関連付けられます。この場合、インターフェイスは固有です。Web サーバ IP アドレスは、最新のアドレス変換を持っていません。

3. 次に、ASAはセッションが確立されたことを記録し、DMZ インターフェイスからパケットを転送します。

4. DMZ Web サーバが要求に応答すると、パケットは高速パスを通過します。これのため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

5. ASAは、パケットを内部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 10-6 は、外部ユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 10-6 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-6 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします(ホストにルーティング可能な IP アドレスがあると想定します)。

内部ネットワークがプライベート アドレスを使用している場合、外部ユーザが NAT なしで内部ネットワークに到達することはできません。外部ユーザは既存の NAT セッションを使用して内部ユーザに到達しようとすることが考えられます。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

3. パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。

DMZ ユーザが内部ホストにアクセスしようとする

図 10-7 は、DMZ 内のユーザが内部ネットワークにアクセスしようとしていることを示しています。

図 10-7 DMZ から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-7 を参照)。

1. DMZ ネットワーク上のユーザが、内部ホストに到達しようとします。DMZ はインターネット上のトラフィックをルーティングする必要がないので、プライベート アドレッシング方式はルーティングを回避しません。

2. ASAはパケットを受信します。これは新しいセッションであるため、ASAはセキュリティ ポリシー(アクセス リスト、フィルタ、AAA)に従って、パケットが許可されているかどうかを確認します。

パケットが拒否され、ASAはパケットをドロップし、接続試行をログに記録します。

トランスペアレント ファイアウォールを通過するデータの動き

図 10-8 に、パブリック Web サーバを含む内部ネットワークを持つ一般的なトランスペアレント ファイアウォールの実装を示します。内部ユーザがインターネット リソースにアクセスできるよう、ASAにはアクセス リストがあります。別のアクセス リストによって、外部ユーザは内部ネットワーク上の Web サーバだけにアクセスできます。

図 10-8 一般的なトランスペアレント ファイアウォールのデータ パス

 

この項では、データがASAをどのように通過するかを説明します。次の項目を取り上げます。

「内部ユーザが Web サーバにアクセスする」

「NAT を使用して内部ユーザが Web サーバにアクセスする」

「外部ユーザが内部ネットワーク上の Web サーバにアクセスする」

「外部ユーザが内部ホストにアクセスしようとする」

内部ユーザが Web サーバにアクセスする

図 10-9 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 10-9 内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-9 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 209.165.201.2 です。

宛先 MAC アドレスが ASA のテーブルにない場合、ASA は MAC アドレスを検出するために ARP 要求または ping を送信します。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを内部ユーザに転送します。

NAT を使用して内部ユーザが Web サーバにアクセスする

図 10-10 は、内部ユーザが外部 Web サーバにアクセスしていることを示しています。

図 10-10 NAT を使用して内部から外部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-10 を参照)。

1. 内部ネットワークのユーザは、www.example.com から Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは実際のアドレス(10.1.2.27)をマッピング アドレス 209.165.201.10 に変換します。

マッピング アドレスは外部インターフェイスと同じネットワーク上にないため、アップストリーム ルータにASAをポイントするマッピング ネットワークへのスタティック ルートがあることを確認します。

4. 次に、ASAはセッションが確立されたことを記録し、外部インターフェイスからパケットを転送します。

5. 宛先 MAC アドレスがテーブル内にある場合、ASAは外部インターフェイスからパケットを転送します。宛先 MAC アドレスは、アップストリーム ルータのアドレス 10.1.2.1 です。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

6. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

7. ASAは、マッピング アドレスを実際のアドレス 10.1.2.27 に変換することによって、NAT を実行します。

外部ユーザが内部ネットワーク上の Web サーバにアクセスする

図 10-11 は、外部ユーザが内部 Web サーバにアクセスしていることを示しています。

図 10-11 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-11 を参照)。

1. 外部ネットワーク上のユーザは、内部 Web サーバから Web ページを要求します。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されていることを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. ASAは、セッションが確立されたことを記録します。

4. 宛先 MAC アドレスがテーブル内にある場合、ASAは内部インターフェイスからパケットを転送します。宛先 MAC アドレスは、ダウンストリーム ルータ 209.165.201.1 のアドレスです。

宛先 MAC アドレスがASAのテーブルにない場合、ASAは、ARP 要求と ping を送信して、MAC アドレスを検出しようとします。最初のパケットはドロップされます。

5. Web サーバが要求に応答します。セッションがすでに確立されているため、パケットは、新しい接続に関連する多くのルックアップをバイパスします。

6. ASAは、パケットを外部ユーザに転送します。

外部ユーザが内部ホストにアクセスしようとする

図 10-12 は、外部ユーザが内部ネットワーク上のホストにアクセスしようとしていることを示しています。

図 10-12 外部から内部へ

 

次の手順では、データがASAをどのように通過するかを示します(図 10-12 を参照)。

1. 外部ネットワーク上のユーザが、内部ホストに到達しようとします。

2. ASAはパケットを受信し、必要な場合、送信元 MAC アドレスを MAC アドレス テーブルに追加します。これは新しいセッションであるため、セキュリティ ポリシー(アクセス リスト、フィルタ、AAA)の条件に従って、パケットが許可されているかどうかを確認します。

マルチ コンテキスト モードの場合、ASAは、固有なインターフェイスに従ってパケットを分類します。

3. 外部ホストを許可するアクセス リストは存在しないため、パケットは拒否され、ASAによってドロップされます。

4. 外部ユーザが内部ネットワークを攻撃しようとした場合、ASAは多数のテクノロジーを使用して、すでに確立されたセッションに対してパケットが有効かどうかを判別します。