Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
マルチ コンテキスト モードの設定
マルチ コンテキスト モードの設定
発行日;2013/10/29 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

マルチ コンテキスト モードの設定

セキュリティ コンテキストに関する情報

セキュリティ コンテキストの一般的な使用方法

コンテキスト コンフィギュレーション ファイル

コンテキスト コンフィギュレーション

システム設定

管理コンテキストの設定

ASA によるパケットの分類方法

有効な分類子の基準

分類の例

セキュリティ コンテキストのカスケード接続

セキュリティ コンテキストへの管理アクセス

システム管理者のアクセス

コンテキスト管理者のアクセス

リソース管理に関する情報

リソース クラス

リソース制限値

デフォルト クラス

オーバーサブスクライブ型リソースの使用

無制限リソースの使用

MAC アドレスに関する情報

デフォルトの MAC アドレス

手動 MAC アドレスとの通信

フェールオーバー用の MAC アドレス

MAC アドレス形式

マルチ コンテキスト モードのライセンス要件

前提条件

注意事項と制限事項

デフォルト設定

マルチ コンテキストの設定

マルチ コンテキスト モードの設定のタスク フロー

マルチ コンテキスト モードのイネーブル化とディセーブル化

マルチ コンテキスト モードのイネーブル化

シングルコンテキスト モードの復元

リソース管理のクラスの設定

セキュリティ コンテキストの設定

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

コンテキストとシステム実行スペースの切り替え

セキュリティ コンテキストの管理

セキュリティ コンテキストの削除

管理コンテキストの変更

セキュリティ コンテキスト URL の変更

セキュリティ コンテキストのリロード

コンフィギュレーションのクリアによるリロード

コンテキストの削除および再追加によるリロード

セキュリティ コンテキストのモニタリング

コンテキスト リソースの使用状況のモニタ

割り当てられた MAC アドレスの表示

システム コンフィギュレーションでの MAC アドレスの表示

コンテキスト内の MAC アドレスの表示

マルチ コンテキスト モードの機能履歴

セキュリティ コンテキストに関する情報

1 台のASAを、セキュリティ コンテキストと呼ばれる複数の仮想デバイスに分割できます。各コンテキストは独立したデバイスとして動作し、独自のセキュリティ ポリシー、インターフェイス、および管理者を持ちます。マルチ コンテキストは、複数のスタンドアロン デバイスを使用することに似ています。マルチ コンテキスト モードでサポートされない機能については、「注意事項と制限事項」を参照してください。

この項では、セキュリティ コンテキストの概要について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの一般的な使用方法」

「コンテキスト コンフィギュレーション ファイル」

「ASA によるパケットの分類方法」

「セキュリティ コンテキストのカスケード接続」

「セキュリティ コンテキストへの管理アクセス」

「リソース管理に関する情報」

「MAC アドレスに関する情報」

セキュリティ コンテキストの一般的な使用方法

マルチセキュリティ コンテキストを使用する状況には次のようなものがあります。

サービス プロバイダーとして、多数のカスタマーにセキュリティ サービスを販売する。ASA上でマルチセキュリティ コンテキストをイネーブルにすることによって、費用対効果の高い、省スペース ソリューションを実装できます。このソリューションでは、カスタマーのトラフィックすべての分離とセキュリティが確保され、設定も容易です。

大企業または広大な大学の構内で、各部門の完全な独立を維持する必要がある。

企業で、部門ごとに個別のセキュリティ ポリシーの提供が求められている。

複数のASAが必要なネットワークを使用している。

コンテキスト コンフィギュレーション ファイル

ここでは、ASA でマルチコンテキスト モードのコンフィギュレーションがどのように実装されるかについて説明します。内容は次のとおりです。

「コンテキスト コンフィギュレーション」

「システム設定」

「管理コンテキストの設定」

コンテキスト コンフィギュレーション

コンテキストごとに、ASA の中に 1 つのコンフィギュレーションがあり、この中ではセキュリティ ポリシーやインターフェイスに加えて、スタンドアロン デバイスで設定できるすべてのオプションが指定されています。コンテキスト コンフィギュレーションはフラッシュ メモリ内に保存することも、TFTP、FTP、または HTTP(S)サーバからダウンロードすることもできます。

システム設定

システム管理者は、各コンテキスト コンフィギュレーションの場所、割り当てられたインターフェイス、およびその他のコンテキスト操作パラメータをシステム コンフィギュレーションに設定することで、コンテキストを追加および管理します。このコンフィギュレーションは、シングル モードのコンフィギュレーション同様、スタートアップ コンフィギュレーションです。システム コンフィギュレーションは、ASA の基本設定を識別します。システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは 管理コンテキスト として指定されているコンテキストのいずれかを使用します。システム コンフィギュレーションに含まれているものに、フェールオーバー トラフィック専用の特殊なフェールオーバー インターフェイスがあります。

管理コンテキストの設定

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。管理コンテキストは、リモートではなくフラッシュ メモリに置く必要があります。

システムがすでにマルチ コンテキスト モードになっている場合、またはシングル モードから変換された場合、管理コンテキストが admin.cfg と呼ばれるファイルとして内部フラッシュ メモリに自動的に作成されます。このコンテキストは「admin」と名付けられます。admin.cfg を管理コンテキストとして使用しない場合は、管理コンテキストを変更できます。

ASA によるパケットの分類方法

ASAに入ってくるパケットはいずれも分類する必要があります。その結果、ASAは、どのコンテキストにパケットを送信するかを決定できます。この項では、次のトピックについて取り上げます。

「有効な分類子の基準」

「分類の例」


) 宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製され、各コンテキストに送信されます。


有効な分類子の基準

この項では、分類子で使用される基準について説明します。次の項目を取り上げます。

「固有のインターフェイス」

「固有の MAC アドレス」

「NAT コンフィギュレーション」


) インターフェイス宛の管理トラフィックでは、インターフェイス IP アドレスが分類に使用されます。

ルーティング テーブルはパケット分類には使用されません。


固有のインターフェイス

入力インターフェイスに関連付けられているコンテキストが 1 つだけの場合、ASAはパケットをそのコンテキストに分類します。トランスペアレント ファイアウォール モードでは、各コンテキストに固有のインターフェイスが必要なため、この方法は、常にパケット分類の目的で使用されます。

固有の MAC アドレス

複数のコンテキストが同じインターフェイスを共有している場合は、各コンテキストでそのインターフェイスに割り当てられた一意の MAC アドレスが分類子で使用されます。固有の MAC アドレスがないと、アップストリーム ルータはコンテキストに直接ルーティングできません。デフォルトでは、MAC アドレスの自動生成がイネーブルです。各インターフェイスを設定するときに、手動で MAC アドレスを設定することもできます。

NAT コンフィギュレーション

固有の MAC アドレスの使用をディセーブルにすると、ASA は、NAT コンフィギュレーション内のマッピングされたアドレスを使用してパケットを分類します。NAT コンフィギュレーションの完全性に関係なくトラフィック分類を行うことができるように、NAT ではなく MAC アドレスを使用することをお勧めします。

分類の例

図 8-1 に、外部インターフェイスを共有するマルチ コンテキストを示します。コンテキスト B にはルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをコンテキスト B に割り当てます。

図 8-1 インターフェイスを共有しているときの MAC アドレスを使用したパケット分類

 

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。図 8-2 に、内部ネットワークのコンテキスト B 上のホストがインターネットにアクセスしている場合を示します。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 0/1.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 8-2 内部ネットワークからの着信トラフィック

 

トランスペアレント ファイアウォールでは、固有のインターフェイスを使用する必要があります。図 8-3 に示すパケットは、インターネットから、内部ネットワークのコンテキスト B 上のホスト宛てです。分類子は、パケットをコンテキスト B に割り当てます。これは、入力インターフェイスがギガビット イーサネット 1/0.3 で、このイーサネットがコンテキスト B に割り当てられているためです。

図 8-3 トランスペアレント ファイアウォールのコンテキスト

 

セキュリティ コンテキストのカスケード接続

コンテキストを別のコンテキストのすぐ前に置くことを、「 コンテキストをカスケード接続する 」といいます。一方のコンテキストの外部インターフェイスは、他方のコンテキストの内部インターフェイスと同じインターフェイスです。いくつかのコンテキストのコンフィギュレーションを単純化する場合、最上位のコンテキストの共有パラメータを設定することで、コンテキストをカスケード接続できます。


) コンテキストをカスケード接続するには、各コンテキスト インターフェイスに固有の MAC アドレスが必要です(デフォルト設定)。MAC アドレスのない共有インターフェイスのパケットを分類するには限界があるため、固有の MAC アドレスを設定しないでコンテキストのカスケード接続を使用することはお勧めしません。


図 8-4 に、ゲートウェイの背後に 2 つのコンテキストがあるゲートウェイ コンテキストを示します。

図 8-4 コンテキストのカスケード接続

 

セキュリティ コンテキストへの管理アクセス

ASAでは、マルチ コンテキスト モードでのシステム管理アクセスと、各コンテキスト管理者のアクセスを提供します。次の各項では、システム管理者またはコンテキスト管理者としてのログインについて説明します。

「システム管理者のアクセス」

「コンテキスト管理者のアクセス」

システム管理者のアクセス

ASAにシステム管理者としてアクセスするには、次の 2 つの方法があります。

ASA コンソールにアクセスする

コンソールから システム実行スペース にアクセスします。この場合、入力したコマンドは、システム コンフィギュレーションまたはシステムの実行(run-time コマンド)だけに影響します。

Telnet、SSH、または ASDM を使用して管理コンテキストにアクセスする

Telnet、SSH、および ASDM アクセスをイネーブルにする方法については、を参照してください。

システム管理者として、すべてのコンテキストにアクセスできます。

管理やシステムのコンテキストから別のコンテキストに変更すると、ユーザ名はデフォルトの「enable_15」に変わります。そのコンテキストでコマンド許可を設定した場合は、「enable_15」というユーザの許可特権を設定する必要があります。または、十分な特権が与えられた別の名前でログインします。新しいユーザ名でログインするには、 login コマンドを入力します。たとえば、「admin」というユーザ名で管理コンテキストにログインします。管理コンテキストにコマンド許可コンフィギュレーションはありませんが、それ以外のすべてのコンテキストにはコマンド許可があります。便宜を図るために、各コンテキスト コンフィギュレーションには、最大特権を持つ「admin」ユーザが含まれています。管理コンテキストからコンテキスト A に変更したときは、ユーザ名が enable_15 に変更されるので、 login コマンドを入力して再度「admin」としてログインする必要があります。コンテキスト B に変更したときは、再度 login コマンドを入力して「admin」としてログインする必要があります。

システム実行スペースでは AAA コマンドはサポートされていませんが、個別のログインのために、固有のイネーブル パスワードおよびユーザ名をローカル データベースに設定することができます。

コンテキスト管理者のアクセス

Telnet、SSH、または ASDM を使用して、コンテキストにアクセスできます。管理外コンテキストにログインすると、アクセスできるのはそのコンテキストのコンフィギュレーションだけになります。そのコンテキストに個別のログインを付与できます。Telnet、SSH、および ASDM アクセスをイネーブルにする方法、また管理認証を設定する方法については、を参照してください。

リソース管理に関する情報

デフォルトでは、すべてのセキュリティ コンテキストは ASA のリソースに無制限でアクセスできますが、コンテキストあたりの上限が定められている場合を除きます。唯一の例外は、VPN のリソース(デフォルトでディセーブルになっています)です。特定のコンテキストが使用しているリソースが多すぎることが原因で、他のコンテキストが接続を拒否されるといった現象が発生した場合は、コンテキストあたりのリソースの使用量を制限するようにリソース管理を設定できます。VPN のリソースについては、VPN トンネルを許可するようにリソース管理を設定する必要があります。

この項では、次のトピックについて取り上げます。

「リソース クラス」

「リソース制限値」

「デフォルト クラス」

「オーバーサブスクライブ型リソースの使用」

「無制限リソースの使用」

リソース クラス

ASAでは、リソース クラスにコンテキストを割り当てることによって、リソースを管理します。各コンテキストでは、クラスによって設定されたリソース制限が使用されます。クラスの設定を使用するには、コンテキストを定義するときに、そのコンテキストをクラスに割り当てます。すべてのコンテキストは、別のクラスに割り当てられていなければ、デフォルト クラスに属します。したがって、コンテキストをデフォルト クラスに割り当てる必要は特にありません。コンテキストは 1 つのリソース クラスにだけ割り当てることができます。このルールの例外は、メンバ クラスで未定義の制限はデフォルト クラスから継承されることです。そのため実際には、コンテキストがデフォルト クラスおよび別のクラスのメンバになります。

リソース制限値

個々のリソースの制限値は、パーセンテージ(ハード システム制限がある場合)または絶対値として設定できます。

ほとんどのリソースについては、ASA は、クラスに割り当てられたコンテキストごとにリソースの一部を確保することはしません。代わりに、ASA はコンテキストごとに上限を設定します。リソースをオーバーサブスクライブする場合や、または一部のリソースを無制限にする場合は、少数のコンテキストがそのリソースを「使い果たす」ことがあり、他のコンテキストへのサービスに影響する可能性があります。例外は、VPN リソース タイプです。このリソースはオーバーサブスクライブできないため、各コンテキストに割り当てられたリソースは保証されます 割り当てられた量を超える、VPN セッションの一時的なバーストに対応できるように、ASA は「burst」という VPN リソース タイプをサポートしています。このリソースは、残りの未割り当て VPN セッションに等しくなります。バースト セッションはオーバーサブスクライブでき、コンテキストが先着順で使用できます。

デフォルト クラス

すべてのコンテキストは、別のクラスに割り当てられていない場合はデフォルト クラスに属します。コンテキストをデフォルト クラスに積極的に割り当てる必要はありません。

コンテキストがデフォルト クラス以外のクラスに属する場合、それらのクラス設定は常にデフォルト クラス設定を上書きします。ただし、他のクラスに定義されていない設定がある場合、メンバ コンテキストはそれらの制限にデフォルト クラスを使用します。たとえば、すべての同時接続に 2% の制限を設定したがその他の制限を設定せずにクラスを作成した場合、他のすべての制限はデフォルト クラスから継承されます。これとは逆に、すべてのリソースに対する制限値を設定してクラスを作成すると、そのクラスではデフォルト クラスの設定を何も使用しません。

ほとんどのリソースについては、デフォルト クラスではすべてのコンテキストがリソースに無制限でアクセスできます。ただし、次の制限を除きます。

Telnet セッション:5 セッション。(コンテキストあたりの最大値)。

SSH セッション:5 セッション。(コンテキストあたりの最大値)。

IPsec セッション:5 セッション。(コンテキストあたりの最大値)。

MAC アドレス:65,535 エントリ。(コンテキストあたりの最大値)。

VPN サイトツーサイト トンネル:0 セッション。(VPN セッションを許可するようにクラスを手動で設定する必要があります)。

図 8-5 に、デフォルト クラスと他のクラスの関係を示します。コンテキスト A および C は、いくつかの制限が設定されたクラスに属しており、それ以外の制限はデフォルト クラスから継承します。コンテキスト B は、属している Gold クラスですべての制限が設定されているため、デフォルト クラスから制限値を継承しません。コンテキスト D はクラスに割り当てられなかったため、デフォルトでデフォルト クラスのメンバになります。

図 8-5 リソース クラス

 

オーバーサブスクライブ型リソースの使用

ASA をオーバーサブスクライブするには、あるリソースをコンテキストに割り当てた率の合計が 100% を超えるように割り当てます(非バーストの VPN リソースを除く)。たとえば、接続がコンテキストあたり 20% までに制限されるように Bronze クラスを設定し、それから 10 個のコンテキストをそのクラスに割り当てれば、リソースの合計を 200% にできます。コンテキストがシステム制限を超えて同時に使用する場合、各コンテキストは意図した 20% を下回ります。(図 8-6 を参照)。

図 8-6 リソースのオーバーサブスクライブ

 

無制限リソースの使用

ASAでは、割合や絶対値ではなく、クラス内の 1 つ以上のリソースへの無制限アクセスを割り当てることができます。リソースが無制限の場合、コンテキストはシステムで使用可能な量までリソースを使用できます。たとえば、コンテキスト A、B、C が Silver クラスに属しており、クラスの各メンバの使用量が接続の 1% に制限されていて、合計 3% が割り当てられているが、3 つのコンテキストが現在使用しているのは合計 2% だけだとします。Gold クラスは、接続に無制限にアクセスできます。Gold クラスのコンテキストは、「未割り当て」接続のうち 97% を超える分も使用できます。つまり、現在コンテキスト A、B、C で使用されていない、接続の 1% も使用できます。その場合は、コンテキスト A、B、C の使用量が、この 3 つの制限の合計である 3% に達することは不可能になります。(図 8-7 を参照)。無制限アクセスの設定は、システムのオーバーサブスクライブ量を制御する機能が劣る点を除いて、ASAのオーバーサブスクライブに類似しています。

図 8-7 無制限リソース

 

MAC アドレスに関する情報

コンテキストがインターフェイスを共有できるようにするために、デフォルトでASA各共有コンテキスト インターフェイスに仮想 MAC アドレスを割り当てます。自動生成をカスタマイズまたはディセーブルにするには、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。あるインターフェイスを共有させる場合に、コンテキストごとにそのインターフェイスの固有 MAC アドレスを設定していなかった場合は、他の分類方法が試行されますが、その方法では十分にカバーされないことがあります。パケットの分類の詳細については、「ASA によるパケットの分類方法」を参照してください。

生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスの手動設定の詳細については、を参照してください。

この項では、次のトピックについて取り上げます。

「デフォルトの MAC アドレス」

「手動 MAC アドレスとの通信」

「フェールオーバー用の MAC アドレス」

「MAC アドレス形式」

デフォルトの MAC アドレス

(8.5(1.7)以降) MAC アドレスの自動生成はデフォルトでイネーブルです。ASA は、インターフェイス(ASA 5500)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。必要に応じて、プレフィックスをカスタマイズできます。

MAC アドレスの生成をディセーブルにした場合は、デフォルトの MAC アドレスは次のようになります。

ASA 5500 シリーズ アプライアンスの場合:物理インターフェイスはバーンドイン MAC アドレスを使用し、1 つの物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

ASASM の場合:すべての VLAN インターフェイスが同じ MAC アドレスを使用します。これは、バックプレーンの MAC アドレスから導出されたものです。

「MAC アドレス形式」も参照してください。


) (8.5(1.6)以前)中断のないフェールオーバーペアのアップグレードを維持するために、フェイルオーバーがイネーブルの場合には、ASAはリロードに対する既存のレガシーの自動生成の設定を変換しません。ただし、フェールオーバーを使用するときは、プレフィックスによる生成方式に手動で変更することを強く推奨します(特に ASASM の場合)。プレフィックス方式を使用しない場合、異なるスロット番号にインストールされた ASASM では、フェールオーバーが発生した場合に MAC アドレスの変更が行われ、トラフィックの中断が発生することがあります。アップグレード後に、プレフィックス方式での MAC アドレス生成を使用するには、MAC アドレス自動生成を再度イネーブルにすると、プレフィックスが使用されるようになります。従来の方法についての詳細については、コマンド リファレンスの mac-address auto コマンドを参照してください。


手動 MAC アドレスとの通信

MAC アドレスを手動で割り当てた場合、自動生成がイネーブルになっていても、手動で割り当てた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。

自動生成されたアドレス(プレフィックスを使用するとき)は A2 で始まるため、自動生成も使用する予定のときは手動 MAC アドレスを A2 で始めることはできません。

フェールオーバー用の MAC アドレス

フェールオーバーで使用できるように、ASAはインターフェイスごとにアクティブとスタンバイの両方の MAC アドレスを生成します。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。詳細については、「MAC アドレス形式」を参照してください。

MAC アドレス形式

ASAは、次の形式を使用して MAC アドレスを生成します。

A2 xx.yyzz.zzzz

xx.yy はユーザ定義プレフィックスまたはインターフェイス(ASA 5500)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいて自動生成されたプレフィックス、 zz.zzzz は ASA によって生成される内部カウンタです。スタンバイ MAC アドレスの場合、内部カウンタが 1 増えることを除けばアドレスは同じです。

プレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、ASA は 77 を 16 進数値 004D( yyxx )に変換します。MAC アドレスで使用すると、プレフィックスは ASA ネイティブ形式に一致するように逆にされます( xxyy )。

A2 4D.00 zz.zzzz

プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

A2 F1.03 zz.zzzz


) プレフィックスのない MAC アドレス形式はレガシー バージョンであり、新しいバージョンの ASA ではサポートされません。従来の形式に関する詳細については、コマンド リファレンスの mac-address auto コマンドを参照してください。


マルチ コンテキスト モードのライセンス要件

 

モデル
ライセンス要件

ASA 5505

サポートしない

ASA 5510

基本ライセンス:サポートされない。

Security Plus ライセンス:2 コンテキスト

オプション ライセンス:5 コンテキスト

ASA 5520

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、または 20 コンテキスト

ASA 5540

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、または 50 コンテキスト

ASA 5550

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、または 100 コンテキスト。

ASA 5580

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、100、または 250 コンテキスト。

ASA 5512-X

基本ライセンス:サポートされない。

Security Plus ライセンス:2 コンテキスト

オプション ライセンス:5 コンテキスト

ASA 5515-X

基本ライセンス:2 コンテキスト

オプション ライセンス:5 コンテキスト

ASA 5525-X

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、または 20 コンテキスト

ASA 5545-X

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、または 50 コンテキスト

ASA 5555-X

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、または 100 コンテキスト。

ASA 5585-X(SSP-10)

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、または 100 コンテキスト。

ASA 5585-X(SSP-20、-40、および -60)

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、100、または 250 コンテキスト。

ASASM

基本ライセンス:2 コンテキスト

オプション ライセンス:5、10、20、50、100、または 250 コンテキスト。

前提条件

マルチ コンテキスト モードに切り替えた後で、システム コンフィギュレーションにアクセスするために管理コンテキストに接続します。管理以外のコンテキストからシステムを設定することはできません。デフォルトでは、マルチ コンテキスト モードをイネーブルにした後はデフォルトの管理 IP アドレスを使用して管理コンテキストに接続できます。ASA に接続する方法の詳細については、を参照してください。

注意事項と制限事項

この項では、この機能のガイドラインと制限事項について説明します。

ファイアウォール モードのガイドライン

ルーテッドおよびトランスペアレント ファイアウォール モードでサポートされます。コンテキストごとにファイアウォール モードを設定します。

フェールオーバーのガイドライン

アクティブ/アクティブ モード フェールオーバーは、マルチ コンテキスト モードでのみサポートされます。

IPv6 のガイドライン

IPv6 をサポートします。

モデルのガイドライン

ASA 5505 をサポートしません。

サポートされていない機能

マルチ コンテキスト モードでサポートされていない機能は、次のとおりです。

RIP

OSPFv3。(OSPFv2 がサポートされます)。

マルチキャスト ルーティング

脅威の検出

ユニファイド コミュニケーション

QoS

リモート アクセス VPN。(サイトツーサイト VPN がサポートされます)。

その他のガイドライン

コンテキスト モード(シングルまたはマルチ)は、リブートされても持続されますが、コンフィギュレーション ファイルには保存されません。コンフィギュレーションを別のデバイスにコピーする必要がある場合は、新規デバイスのモードを match に設定します。

デフォルト設定

デフォルトで、ASA はシングル コンテキスト モードになります。

「デフォルト クラス」を参照してください。

「デフォルトの MAC アドレス」を参照してください。

マルチ コンテキストの設定

この項では、マルチ コンテキスト モードを設定する方法について説明します。次の項目を取り上げます。

「マルチ コンテキスト モードの設定のタスク フロー」

「マルチ コンテキスト モードのイネーブル化とディセーブル化」

「リソース管理のクラスの設定」

「セキュリティ コンテキストの設定」

「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」

マルチ コンテキスト モードの設定のタスク フロー

マルチ コンテキスト モードを設定するには、次の手順を実行します。


ステップ 1 マルチ コンテキスト モードをイネーブルにします。「マルチ コンテキスト モードのイネーブル化とディセーブル化」を参照してください。

ステップ 2 (任意)リソース管理のクラスを設定します。「リソース管理のクラスの設定」を参照してください。

ステップ 3 システム実行スペースでインターフェイスを設定します。

ASA 5500:

ASASM:

ステップ 4 セキュリティ コンテキストを設定します。「セキュリティ コンテキストの設定」を参照してください。

ステップ 5 (任意)MAC アドレス割り当てをカスタマイズします。「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

ステップ 6 コンテキストのインターフェイス コンフィギュレーションを完成させます。またはを参照してください。


 

マルチ コンテキスト モードのイネーブル化とディセーブル化

シスコへの発注方法によっては、ASAがすでにマルチセキュリティ コンテキスト用に設定されている場合があります。シングル モードからマルチ モードに変換する必要がある場合は、この項の手順に従ってください。

ASDM では、High Availability and Scalability Wizard を使用し、Active/Active フェールオーバーをイネーブルにした場合、シングル モードからマルチ モードへの変更をサポートします。詳細については、を参照してください。アクティブ/アクティブ フェールオーバーを使用するか、またはシングル モードに戻す場合は、CLI を使用してモードを変更する必要があります。モードの変更には確認を必要とするため、コマンドライン インターフェイス ツールは使用できません。この項では、CLI でのモード変更について説明します。

この項では、次のトピックについて取り上げます。

「マルチ コンテキスト モードのイネーブル化」

「シングルコンテキスト モードの復元」

マルチ コンテキスト モードのイネーブル化

シングル モードからマルチ モードに変換すると、ASA は実行コンフィギュレーションを 2 つのファイルに変換します。システム コンフィギュレーションで構成される新規スタートアップ コンフィギュレーションと、(内部フラッシュ メモリのルート ディレクトリの)管理コンテキストで構成される admin.cfg です。元の 実行コンフィギュレーションは、old_running.cfg として(内部フラッシュ メモリのルート ディレクトリに)保存されます。元のスタートアップ コンフィギュレーションは保存されません。ASA は、管理コンテキストのエントリをシステム コンフィギュレーションに「admin」という名前で自動的に追加します。

前提条件

スタートアップ コンフィギュレーションをバックアップします。シングル モードからマルチ モードに変換すると、ASAは実行コンフィギュレーションを 2 つのファイルに変換します。元のスタートアップ コンフィギュレーションは保存されません。 を参照してください。

手順の詳細

 

コマンド
目的

mode multiple

 

hostname(config)# mode multiple

マルチ コンテキスト モードに変更します。ASA をリブートするよう求められます。

シングルコンテキスト モードの復元

以前の実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーしてモードをシングル モードに変更するには、次の手順を実行します。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

copy disk0:old_running.cfg startup-config

 

hostname(config)# copy disk0:old_running.cfg startup-config

元の実行コンフィギュレーションのバックアップ バージョンを現在のスタートアップ コンフィギュレーションにコピーします。

ステップ 2

mode single

 

hostname(config)# mode single

モードを single mode に設定します。ASA をリブートするよう求められます。

リソース管理のクラスの設定

システム コンフィギュレーションでクラスを設定するには、次の手順を実行します。新しい値を指定してコマンドを再入力すると、特定のリソース制限値を変更できます。

前提条件

この手順はシステム実行スペースで実行します。

ガイドライン

表 8-1 に、リソース タイプと制限を示します。

 

表 8-1 リソース名と制限

リソース名
レートまたは同時
コンテキストあたりの最小数と最大数
システム制限1
説明

ASDM Sessions

同時接続数

最小 1

最大 5

32

ASDM 管理セッション。

(注) ASDM セッションでは、2 つの HTTPS 接続を使用します。1 つは常に存在するモニタリング用の接続、もう 1 つは変更時にのみ存在するコンフィギュレーション変更用の接続です。たとえば、ASDM セッションのシステム制限が 32 の場合、HTTPS セッション数は 64 に制限されます。

Connections

Conns/Sec2

同時またはレート

N/A

同時接続数:モデルごとの接続制限については、を参照してください。

レート:該当なし

任意の 2 つのホスト間の TCP または UDP 接続(1 つのホストと他の複数のホストとの間の接続を含む)。

Hosts

同時接続数

N/A

N/A

ASA経由で接続可能なホスト。

Inspects/sec

レート

N/A

N/A

アプリケーション インスペクション数/秒。

MAC Entries

同時接続数

N/A

65,535

トランスペアレント ファイアウォール モードでは、MAC アドレス テーブルで許可される MAC アドレス数。

Routes

同時接続数

N/A

N/A

ダイナミック ルート。

Site-to-Site VPN Burst

同時接続数

N/A

モデルに応じた Other VPN セッション数から、Site-to-Site VPN 用にすべてのコンテキストに割り当てられたセッション数の合計を差し引いた値。

Site-to-Site VPN でコンテキストに割り当てられた数を超えて許可されるサイトツーサイト VPN セッションの数。たとえばモデルが 5000 セッションをサポートしており、Site-to-Site VPN のすべてのコンテキスト全体で 4000 セッションを割り当てると、残りの 1000 セッションは Site-to-Site VPN Burst に使用できます。コンテキストに対するセッションを保証する Site-to-Site VPNとは異なり Site-to-Site VPN Burst はオーバーサブスクライブが可能です。すべてのコンテキストは、先着順にバースト プールを使用できます。

Site-to-Site VPN

同時接続数

N/A

モデルごとの使用可能な Other VPN セッション数については、を参照してください。

サイトツーサイト VPN セッション。このリソースはオーバーサブスクライブできません。すべてのコンテキストへの割り当て合計がモデルの制限を超えてはなりません。このリソースに割り当てたセッションは、そのコンテキストに対して保証されます。

SSH

同時接続数

最小 1

最大 5

100

SSH セッション

Syslogs/sec

レート

N/A

N/A

Syslog メッセージ数/秒。

Telnet

同時接続数

最小 1

最大 5

100

Telnet セッション。

xlates2

同時接続数

N/A

N/A

ネットワーク アドレス変換。

1.このカラムに「該当なし」と記述されている場合、そのリソースにはハード システム制限がないため、リソースのパーセンテージを設定できません。

2.syslog メッセージは、xlates または conns のいずれか制限が低い方に対して生成されます。たとえば、xlates の制限を 7、conns の制限を 9 に設定した場合、ASA は syslog メッセージ 321001(「Resource 'xlates' limit of 7 reached for context 'ctx1'」)のみ生成し、321002(「Resource 'conn rate' limit of 5 reached for context 'ctx1'」)は生成しません。

手順の詳細


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Resource Class] の順に選択し、[Add] をクリックします。

[Add Resource Class] ダイアログボックスが表示されます。

 

ステップ 3 [Resource Class] フィールドに、クラスの名前を 20 文字以内で入力します。

ステップ 4 [Count Limited Resources] 領域で、リソースの同時接続制限を設定します。

各リソース タイプの説明については、表 8-1を参照してください。

システム制限のないリソースは、パーセント(%)で設定できません。設定できるのは絶対値だけです。制限を設定しない場合、デフォルト クラスの制限値が継承されます。制限値がデフォルト クラスにない場合は、リソースは無制限またはシステム制限値(使用できる場合)に設定されます。ほとんどのリソースについて、0 を指定すると無制限と設定されます。VPN タイプについて、0 を指定すると制限なしと設定されます。

ステップ 5 [Rate Limited Resources] 領域で、リソースのレート制限を設定します。

各リソース タイプの説明については、表 8-1を参照してください。

制限を設定しない場合、デフォルト クラスの制限値が継承されます。制限値がデフォルト クラスにない場合は、デフォルトでは無制限になります。0 は制限を無制限と設定

ステップ 6 [OK] をクリックします。


 

セキュリティ コンテキストの設定

システム コンフィギュレーションのセキュリティ コンテキスト定義では、コンテキスト名、コンフィギュレーション ファイルの URL、コンテキストが使用できるインターフェイス、およびその他の設定値を指定します。

前提条件

この手順はシステム実行スペースで実行します。

ASASM では、に従ってスイッチ上の ASASM に VLAN を割り当てます。

ASA 5500 では、物理インターフェイス パラメータ、VLAN サブインターフェイス、EtherChannel、および冗長インターフェイスをに従って設定します。

手順の詳細


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Security Contexts] の順に選択し、[Add] をクリックします。

[Add Context] ダイアログボックスが表示されます。

 

ステップ 3 [Security Context] フィールドに、コンテキストの名前を 32 文字以内の文字列で入力します。

この名前では大文字と小文字が区別されるため、たとえば、「customerA」および「CustomerA」という 2 つのコンテキストを保持できます。「System」および「Null」(大文字と小文字の両方)は予約されている名前であり、使用できません。

ステップ 4 [Interface Allocation] 領域で、[Add] ボタンをクリックし、コンテキストにインターフェイスを割り当てます。

 

a. [Interfaces] > [Physical Interface] ドロップダウン リストからインターフェイスを選択します。

メイン インターフェイスを割り当てる場合、サブインターフェイス ID を空白にします。サブインターフェイスまたはその範囲を指定すると、このインターフェイスに設定されます。トランスペアレント ファイアウォール モードでは、他のコンテキストに割り当てられていないインターフェイスだけが表示されます。メイン インターフェイスが他のコンテキストに割り当てられている場合、サブインターフェイスを選択する必要があります。

b. (任意)[Interfaces] > [Subinterface Range] (optional) ドロップダウン リストで、サブインターフェイス ID を選択します。

サブインターフェイス ID の範囲を指定する場合、2 つ目のドロップダウン リストが有効であれば、そこから最後の ID を選択します。

トランスペアレント ファイアウォール モードでは、他のコンテキストに割り当てられていないサブインターフェイスだけが表示されます。

a. (任意)[Aliased Names] 領域で、[Use Aliased Name in Context] をオンにして、このインターフェイスに対して、コンテキスト コンフィギュレーションでインターフェイス ID の代わりに使用するエイリアス名を設定します。

[Name] フィールドに、エイリアス名を設定します。

エイリアス名の先頭および最後は英字にします。間の文字として使用できるのは、英字、数字、下線だけです。このフィールドで名前の最後を英字または下線にした場合、その名前の後に追加する数字を [Range] フィールドで設定できます。

(任意)[Range] フィールドで、エイリアス名のサフィックスを数字で設定します。

サブインターフェイスに範囲がある場合、範囲の数字を入力して名前の後に追加できます。

b. (任意)エイリアス名を設定した場合でもコンテキスト ユーザが物理インターフェイスのプロパティを表示できるようにするには、[Show Hardware Properties in Context] をオンにします。

c. [OK] をクリックして、[Add Context] ダイアログボックスに戻ります。

ステップ 5 (任意)IPS 仮想センサーを使用する場合、センサーを [IPS Sensor Allocation] 領域のコンテキストに割り当てます。

IPS および仮想センサーの詳細については、ファイアウォール コンフィギュレーション ガイドを参照してください。

ステップ 6 (任意)このコンテキストをリソース クラスに割り当てるには、[Resource Assignment] > [Resource Class] ドロップダウン リストからクラス名を選択します。

この領域から直接リソース クラスを追加または編集できます。詳細については、「リソース管理のクラスの設定」を参照してください。

ステップ 7 コンテキスト コンフィギュレーションの場所を設定するには、[Config URL] ドロップダウン リストからファイル システム タイプを選択し、フィールドにパスを入力して URL を指定します。

FTP の場合、URL は次の形式になります。

ftp://server.example.com/configs/admin.cfg

a. (任意)外部ファイルシステムの場合、[Login] をクリックしてユーザ名とパスワードを設定します。

ステップ 8 (任意)アクティブ/アクティブ フェールオーバーのフェールオーバー グループを設定するには、[Failover Group] ドロップダウン リストでグループ名を選択します。

ステップ 9 (任意)このコンテキストの ScanSafe インスペクションをイネーブルにするには、[Enable] をクリックします。システム コンフィギュレーションに設定されたライセンスを上書きする場合は、[License] フィールドにライセンスを入力します。

ステップ 10 (任意)[Description] フィールドに説明を追加します。

ステップ 11 [OK] をクリックして、[Security Contexts] ペインに戻ります。

 

ステップ 12 (任意)ファイアウォール モードをトランスペアレントに設定するには、コンテキストを選択し、[Change Firewall Mode] をクリックします。

次の確認ダイアログボックスが表示されます。

 

新しいコンテキストの場合は、消去するための設定はありません。[Change Mode] をクリックして、トランスペアレント ファイアウォール モードに変更します。

既存のコンテキストの場合は、モードを変更する前に設定をバックアップするのを忘れないでください。

ステップ 13 MAC アドレスの自動生成をカスタマイズするには、「コンテキスト インターフェイスへの MAC アドレスの自動割り当て」を参照してください。

ステップ 14 デバイスに対して最大 TLS プロキシ セッション数を指定するには、[Specify the maximum number of TLS Proxy sessions that the ASA needs to support] チェックボックスをオンにしてください。TLS プロキシに関する詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください。


 

コンテキスト インターフェイスへの MAC アドレスの自動割り当て

この項では、MAC アドレスの自動生成の設定方法について説明します。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。詳細については、「MAC アドレスに関する情報」を参照してください(特に、以前の ASA バージョンからアップグレードする場合)。「割り当てられた MAC アドレスの表示」も参照してください。

ガイドライン

特定のコンテキスト内でインターフェイスの名前を設定すると、新しい MAC アドレスがただちに生成されます。コンテキスト インターフェイスを設定した後でこの機能をイネーブルにした場合は、イネーブルにした直後に、すべてのインターフェイスの MAC アドレスが生成されます。この機能をディセーブルにすると、各インターフェイスの MAC アドレスはデフォルトの MAC アドレスに戻ります。たとえば、GigabitEthernet 0/1 のサブインターフェイスは GigabitEthernet 0/1 の MAC アドレスを使用するようになります。

生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、コンテキスト内のインターフェイスの MAC アドレスを手動で設定できます。MAC アドレスの手動設定の詳細については、を参照してください。

手順の詳細

 


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Security Contexts] の順に選択し、[Mac-Address auto] をオンにします。プレフィックスを入力しない場合は、ASA によって、インターフェイス(ASA 5500)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいてプレフィックスが自動生成されます。

ステップ 3 (任意)[Prefix] チェックボックスをオンにしてから、フィールドに 0 ~ 65535 の範囲内の 10 進数値を入力します。

このプレフィックスは 4 桁の 16 進数値に変換され、MAC アドレスの一部として使用されます。プレフィックスの使用方法の詳細については、「MAC アドレス形式」を参照してください。


 

コンテキストとシステム実行スペースの切り替え

システム実行スペース(または管理コンテキスト)にログインした場合は、コンテキストを切り替えながら、各コンテキスト内でコンフィギュレーションやタスクのモニタリングを実行することができます。コンフィギュレーション モードで編集する実行コンフィギュレーション 、地域によって異なります。システム実行スペースにログインした場合、実行コンフィギュレーションはシステム コンフィギュレーションのみで構成され、コンテキストにログインした場合は、実行コンフィギュレーションはそのコンテキストのみで構成されます。

手順の詳細


ステップ 1 [Device List] ペインでシステムを設定するには、アクティブなデバイスの IP アドレスの下にある [System] をダブル クリックします。

 

ステップ 2 コンテキストを変更するには、[Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

 


 

セキュリティ コンテキストの管理

この項では、セキュリティ コンテキストを管理する方法について説明します。次の項目を取り上げます。

「セキュリティ コンテキストの削除」

「管理コンテキストの変更」

「セキュリティ コンテキスト URL の変更」

「セキュリティ コンテキストのリロード」

セキュリティ コンテキストの削除

現在の管理コンテキストは削除できません。


) フェールオーバーを使用すると、アクティブ装置でコンテキストを削除した時刻と、スタンバイ装置でコンテキストが削除された時刻との間で遅延が生じます。


前提条件

この手順はシステム実行スペースで実行します。

手順の詳細


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Security Contexts] の順に選択します。

ステップ 3 削除するユーザを選択し、[Delete] をクリックします。

[Delete Context] ダイアログボックスが表示されます。

 

ステップ 4 このコンテキストの再追加するかもしれず、再使用できるようにコンフィギュレーション ファイルを保持する場合は、[Also delete config URL file from the disk] チェックボックスをオフにします。

コンフィギュレーション ファイルを削除するには、チェックボックスをオンにしたままにします。

ステップ 5 [Yes] をクリックします。


 

管理コンテキストの変更

システム コンフィギュレーションには、ネットワーク インターフェイスやネットワーク設定は含まれません。その代わりに、ネットワーク リソースにアクセスする必要が生じたときに(サーバからコンテキストをダウンロードするなど)、システムは管理コンテキストとして指定されているコンテキストのいずれかを使用します。

管理コンテキストは、他のコンテキストとまったく同じです。ただ、ユーザが管理コンテキストにログインすると、システム管理者権限を持つので、システム コンテキストおよび他のすべてのコンテキストにアクセス可能になる点が異なります。管理コンテキストは制限されていないため、通常のコンテキストとして使用できます。ただし、管理コンテキストにログインすると、すべてのコンテキストへの管理者特権が付与されるため、場合によっては、管理コンテキストへのアクセスを適切なユーザに制限する必要があります。


) ASDM の場合、ASDM セッションが切断されるため、ASDM 内の管理コンテキストを変更できません。新しい管理コンテキストに再割り当てなければならないことに注意するコマンドライン インターフェイス ツールを使用してこの手順を実行できます。


ガイドライン

コンフィギュレーション ファイルが内部フラッシュ メモリに保存されている限り、任意のコンテキストを管理コンテキストとして設定できます。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Tools] > [Command Line Interface] を選択します。

[Command Line Interface] ダイアログボックスが表示されます。

 

ステップ 3 次のコマンドを入力します。

admin-context context_name
 

ステップ 4 [Send] をクリックします。

Telnet、SSH、HTTPS(ASDM)など、管理コンテキストに接続しているリモート管理セッションはすべて終了します。新しい管理コンテキストに再接続する必要があります。


) いくつかのシステム コンフィギュレーション コマンド、たとえば ntp server では、管理コンテキストに所属するインターフェイス名が指定されます。管理コンテキストを変更した場合に、そのインターフェイス名が新しい管理コンテキストに存在しないときは、そのインターフェイスを参照するシステム コマンドはすべて、アップデートしてください。



 

セキュリティ コンテキスト URL の変更

この項では、コンテキスト URL を変更する方法について説明します。

ガイドライン

セキュリティ コンテキスト URL は、新しい URL からコンフィギュレーションをリロードしないと変更できません。ASAは、新しいコンフィギュレーションを現在の実行コンフィギュレーションにマージします。

同じ URL を再入力した場合でも、保存されたコンフィギュレーションが実行コンフィギュレーションにマージされます。

マージによって、新しいコンフィギュレーションから実行コンフィギュレーションに新しいコマンドが追加されます。

コンフィギュレーションが同じ場合、変更は発生しません。

コマンドが衝突する場合、またはコマンドがコンテキストの実行に影響を与える場合、マージの結果はコマンドによって異なります。エラーが発生することも、予期できない結果が生じることもあります。実行コンフィギュレーションが空白の場合(たとえば、サーバが使用不可でコンフィギュレーションがダウンロードされなかった場合)は、新しいコンフィギュレーションが使用されます。

コンフィギュレーションをマージしない場合は、コンテキストを経由する通信を妨げる実行コンフィギュレーションをクリアしてから、新しい URL からコンフィギュレーションをリロードすることができます。

前提条件

この手順はシステム実行スペースで実行します。

手順の詳細


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Security Contexts] の順に選択します。

ステップ 3 編集するコンテキストを選択して、[Edit] をクリックします。

[Edit Context] ダイアログボックスが表示されます。

 

ステップ 4 [Config URL] フィールドに新しい URL を入力して、[OK] をクリックします。

システムは、動作中になるように、ただちにコンテキストをロードします。


 

セキュリティ コンテキストのリロード

セキュリティ コンテキストは、次の 2 つの方法でリロードできます。

実行コンフィギュレーションをクリアしてからスタートアップ コンフィギュレーションをインポートする。

このアクションでは、セキュリティ コンテキストに関連付けられている接続や NAT テーブルなどの属性の大部分がクリアされます。

セキュリティ コンテキストをシステム コンフィギュレーションから削除する。

このアクションでは、トラブルシューティングに役立つ可能性のあるメモリ割り当てなど補足的な属性がクリアされます。しかし、コンテキストをシステムに戻して追加するには、URL とインターフェイスを再指定する必要があります。

この項では、次のトピックについて取り上げます。

「コンフィギュレーションのクリアによるリロード」

「コンテキストの削除および再追加によるリロード」

コンフィギュレーションのクリアによるリロード

コンテキストをリロードするために、コンテキスト コンフィギュレーションをクリアしてコンフィギュレーションを URL からリロードするには、次の手順を実行します。

手順の詳細


ステップ 1 [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

ステップ 2 [Tools] > [Command Line Interface] を選択します。

[Command Line Interface] ダイアログボックスが表示されます。

 

ステップ 3 次のコマンドを入力します。

clear configure all
 

ステップ 4 [Send] をクリックします。

コンテキストの設定が削除されます。

ステップ 5 [Tools] > [Command Line Interface] を再度選択します。

[Command Line Interface] ダイアログボックスが表示されます。

 

ステップ 6 次のコマンドを入力します。

copy startup-config running-config
 

ステップ 7 [Send] をクリックします。

ASAが設定をリロードします。ASAは、システム コンフィギュレーションに指定された URL からコンフィギュレーションをコピーします。コンテキスト内で URL を変更することはできません。


 

コンテキストの削除および再追加によるリロード

コンテキストを削除し、その後再追加することによってコンテキストをリロードするには、次の各項で説明してある手順を実行してください。

1. 「セキュリティ コンテキストの削除」。[Also delete config URL file from the disk] チェックボックスがオフになっていることを確認します。

2. 「セキュリティ コンテキストの設定」

セキュリティ コンテキストのモニタリング

この項では、コンテキスト情報の表示およびモニタの方法について説明します。次の項目を取り上げます。

「コンテキスト リソースの使用状況のモニタ」

「割り当てられた MAC アドレスの表示」

コンテキスト リソースの使用状況のモニタ

システム実行スペースからすべてのコンテキストのリソース使用状況を監視するには、次の手順を実行します。


ステップ 1 まだシステム モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 ツールバーの [Monitoring] ボタンをクリックします。

ステップ 3 [Context Resource Usage] をクリックします。

すべてのコンテキストのリソース使用状況を表示するには、次の各リソース タイプをクリックします。

[ASDM/Telnet/SSH]:ASDM、Telnet、SSH 接続状況を表示します。

[Context]:各コンテキストの名前を表示します。

各アクセス方式に対して、次の使用状況統計が表示されます。

[Existing Connections (#)]:既存の接続の数を表示します。

[Existing Connections (%)]:このコンテキストで使用されている接続数を、すべてのコンテキストで使用されている接続の総数のパーセントとして表示します。

[Peak Connections (#)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のピーク接続数を表示します。

[Routes]:ダイナミック ルートの使用状況を表示します。

[Context]:各コンテキストの名前を表示します。

[Existing Connections (#)]:既存の接続の数を表示します。

[Existing Connections (%)]:このコンテキストで使用されている接続数を、すべてのコンテキストで使用されている接続の総数のパーセントとして表示します。

[Peak Connections (#)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のピーク接続数を表示します。

[Xlates]:ネットワーク アドレス変換の使用状況を表示します。

[Context]:各コンテキストの名前を表示します。

[Xlates (#)]:現在の xlate の数を表示します。

[Xlates (%)]:このコンテキストで使用されている xlate 数を、すべてのコンテキストで使用されている xlate の総数のパーセントとして表示します。

[Peak (#)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のピーク xlate 数を表示します。

[NATs]:NAT ルールの数を表示します。

[Context]:各コンテキストの名前を表示します。

[NATs (#)]:現在の NAT ルールの数を表示します。

[NATs (%)]:このコンテキストで使用されている NAT ルール数を、すべてのコンテキストで使用されている NAT ルールの総数のパーセントとして表示します。

[Peak NATs (#)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のピーク NAT ルール数を表示します。

[Syslogs] :システム ログ メッセージのレートを表示します。

[Context]:各コンテキストの名前を表示します。

[Syslog Rate (#/sec)]:システム ログ メッセージの現在のレートを表示します。

[Syslog Rate (%)]:このコンテキストで生成されたシステム ログ メッセージ数を、すべてのコンテキストで生成されたシステム ログ メッセージの総数のパーセントとして表示します。

[Peak Syslog Rate (#/sec)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のシステム ログ メッセージのピーク レートを表示します。

[VPN]:VPN サイトツーサイト トンネルの使用状況を表示します。

[Context]:各コンテキストの名前を表示します。

[VPN Connections]:保証された VPN セッションの使用状況を表示します。

[VPN Burst Connections]:バースト VPN セッションの使用状況を表示します。

[Existing (#)]:既存トンネルの数を表示します。

[Peak (#)]: clear resource usage コマンドの使用またはデバイスのリブートにより統計情報が最後にクリアされて以降のピーク トンネル数を表示します。

ステップ 4 表示をリフレッシュするには、[Refresh] をクリックします。


 

 

 

 

割り当てられた MAC アドレスの表示

システム コンフィギュレーション内またはコンテキスト内の自動生成された MAC アドレスを表示できます。この項では、次のトピックについて取り上げます。

「システム コンフィギュレーションでの MAC アドレスの表示」

「コンテキスト内の MAC アドレスの表示」

システム コンフィギュレーションでの MAC アドレスの表示

この項では、システム コンフィギュレーション内の MAC アドレスを表示する方法について説明します。

ガイドライン

MAC アドレスをインターフェイスに手動で割り当てるものの、その際に自動生成がイネーブルになっていると、手動 MAC アドレスが使用中のアドレスとなりますが、コンフィギュレーションには自動生成されたアドレスが引き続き表示されます。後で手動 MAC アドレスを削除すると、表示されている自動生成アドレスが使用されます。

手順の詳細

 


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Context Management] > [Security Contexts] を選択し、[Primary MAC] カラムと [Secondary MAC] カラムを表示します。


 

コンテキスト内の MAC アドレスの表示

この項では、コンテキスト内で MAC アドレスを表示する方法について説明します。

手順の詳細

 


ステップ 1 まだシステム コンフィギュレーション モードに入っていない場合、[Device List] ペインで、アクティブなデバイス IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 [Configuration] > [Interfaces] を選択し、[MAC Address] アドレス カラムを表示します。

このテーブルには、使用中の MAC アドレスが表示されます。MAC アドレスを手動で割り当てており、自動生成もイネーブルになっている場合は、システム コンフィギュレーションからは未使用の自動済み生成アドレスのみを表示できます。


 

マルチ コンテキスト モードの機能履歴

表 8-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 8-2 マルチ コンテキスト モードの機能履歴

機能名
プラットフォーム リリース
機能情報

マルチセキュリティ コンテキスト

7.0(1)

マルチ コンテキスト モードが導入されました。

次の画面が導入されました。[Configuration] > [Context Management]。

MAC アドレス自動割り当て

7.2(1)

コンテキスト インターフェイスへの MAC アドレス自動割り当てが導入されました。

次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts]。

リソース管理

7.2(1)

リソース管理が導入されました。

次の画面が導入されました。[Configuration] > [Context Management] > [Resource Management]。

IPS 仮想センサー

8.0(2)

IPS ソフトウェアのバージョン 6.0 以降を実行している AIP SSM では、複数の仮想センサーを実行できます。つまり、AIP SSM に複数のセキュリティ ポリシーを設定することができます。各コンテキストまたはシングル モードASAを 1 つまたは複数の仮想センサーに割り当てる、または複数のセキュリティ コンテキストを同じ仮想センサーに割り当てることができます。

次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts]。

MAC アドレス自動割り当ての機能強化

8.0(5)/8.2(2)

MAC アドレス形式が変更されました。プレフィックスが使用され、固定開始値(A2)が使用されます。また、フェールオーバー ペアのプライマリ装置とセカンダリ装置の MAC アドレスそれぞれに異なるスキームが使用されます。MAC アドレスはリロード後も維持されるようになりました。コマンド パーサーは現在、自動生成がイネーブルになっているかどうかをチェックします。MAC アドレスを手動でも割り当てることができるようにする場合は、A2 を含む手動 MAC アドレスは開始できません。

次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts]。

ASA 5550 および 5580 の最大コンテキスト数の増加

8.4(1)

ASA 5550 の最大セキュリティ コンテキスト数が 50 から 100 に増加しました。ASA 5580 での最大数が 50 から 250 に増加しました。

MAC アドレスの自動割り当てのデフォルトでのイネーブル化

8.5(1)

MAC アドレスの自動割り当てが、デフォルトでイネーブルになりました。

次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts]。

MAC アドレス プレフィックスの自動生成

8.6(1)

マルチ コンテキスト モードでは、現在、ASA は、MAC アドレスの自動生成設定をデフォルトのプレフィックスを使用するように変換します。ASA は、インターフェイス(ASA 5500)またはバックプレーン(ASASM)MAC アドレスの最後の 2 バイトに基づいてプレフィックスを自動生成します。この変換は、リロード時または MAC アドレス生成を再度イネーブルにすると、自動的に行われます。生成のプレフィックス方式は、セグメント上で一意の MAC アドレスがより適切に保証されるなど、多くの利点をもたらします。プレフィックスを変更する場合、カスタム プレフィックスによって機能を再設定できます。MAC アドレス生成の従来の方法は使用できなくなります。

。ただし、フェールオーバーを使用するときは、プレフィックスによる生成方式に手動で変更することを強く推奨します(特に ASASM の場合)。プレフィックス方式を使用しない場合、異なるスロット番号にインストールされた ASASM では、フェールオーバーが発生した場合に MAC アドレスの変更が行われ、トラフィックの中断が発生することがあります。アップグレード後に、MAC アドレス生成のプレフィックス方式を使用するには、デフォルトのプレフィックスを使用する MAC アドレス生成を再びイネーブルにします。

次の画面が変更されました。[Configuration] > [Context Management] > [Security Contexts]

セキュリティ コンテキストでのダイナミック ルーティング

9.0(1)

EIGRP と OSPFv2 ダイナミック ルーティング プロトコルが、マルチ コンテキスト モードでサポートされるようになりました。OSPFv3、RIP、およびマルチキャスト ルーティングはサポートされません。

ルーティング テーブル エントリのための新しいリソース タイプ

9.0(1)

新規リソース タイプ routes が作成されました。これは、各コンテキストでのルーティング テーブル エントリの最大数を設定するためです。

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

マルチ コンテキスト モードのサイトツーサイト VPN

9.0(1)

サイトツーサイト VPN トンネルが、マルチ コンテキスト モードでサポートされるようになりました。

サイトツーサイト VPN トンネルのための新しいリソース タイプ

9.0(1)

新しいリソース タイプ vpn other と vpn burst other が作成されました。これは、各コンテキストでのサイトツーサイト VPN トンネルの最大数を設定するためです。

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]