Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)
インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)
発行日;2013/10/29 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)

トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)

トランスペアレント モードのブリッジ グループ

セキュリティ レベル

トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件

注意事項と制約事項

デフォルト設定

トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)

インターフェイス コンフィギュレーションを実行するためのタスク フロー

ブリッジ グループの設定

一般的なインターフェイス パラメータの設定

管理インターフェイスの設定(ASA 5510 以降)

MAC アドレス、MTU、TCP MSS の設定

IPv6 アドレッシングの設定

IPv6 に関する情報

グローバル IPv6 アドレスの設定

IPv6 ネイバー探索の設定

(任意)リンクローカル アドレスの自動設定

(任意)リンクローカル アドレスの手動設定

同じセキュリティ レベルの通信の許可

インターフェイスのオン/オフ

インターフェイスのモニタリング

ARP Table

DHCP

DHCP Server Table

DHCP Client Lease Information

DHCP Statistics

MAC Address Table

Dynamic ACLs

Interface Graphs

Graph/Table

PPPoE Client

Interface Connection

Track Status for

Monitoring Statistics for

トランスペアレント モードのインターフェイスの機能履歴

インターフェイス コンフィギュレーションの実行(トランスペアレント モード、8.4 以降)

この章では、トランスペアレント ファイアウォール モードですべてのモデルのインターフェイス コンフィギュレーションを実行するためのタスクについて説明します。

バージョン 8.3 以前については、を参照してください。

この章は、次の項で構成されています。

「トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)」

「トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件」

「注意事項と制約事項」

「デフォルト設定」

「トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)」

「インターフェイスのオン/オフ」

「インターフェイスのモニタリング」

「トランスペアレント モードのインターフェイスの機能履歴」


) マルチ コンテキスト モードでは、この項のタスクをコンテキスト実行スペースで実行してください。 [Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。


トランスペアレント モードでのインターフェイス コンフィギュレーションの実行について(8.4 以降)

この項では、次のトピックについて取り上げます。

「トランスペアレント モードのブリッジ グループ」

「セキュリティ レベル」

トランスペアレント モードのブリッジ グループ

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは ASA 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから ASA 内の他のブリッジ グループにルーティングされる前に、ASA から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。コンテキストまたはシングル モードごとに、少なくとも 1 つのブリッジ グループが必要です。

ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。別の管理方法については、の項を参照してください。


) ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。


セキュリティ レベル

各インターフェイスには、0(最下位)~ 100(最上位)のセキュリティ レベルを設定する必要があります。たとえば、内部ホスト ネットワークなど、最もセキュアなネットワークにはレベル 100 を割り当てる必要があります。一方、インターネットなどに接続する外部ネットワークにはレベル 0 が割り当てられる場合があります。DMZ など、その他のネットワークはその中間に設定できます。複数のインターフェイスを同じセキュリティ レベルに割り当てることができます。詳細については、「同じセキュリティ レベルの通信の許可」を参照してください。

レベルによって、次の動作が制御されます。

ネットワーク アクセス:デフォルトで、高いセキュリティ レベルのインターフェイスから低いセキュリティ レベルのインターフェイスへの通信(発信)は暗黙的に許可されます。高いセキュリティ レベルのインターフェイス上のホストは、低いセキュリティ レベルのインターフェイス上の任意のホストにアクセスできます。インターフェイスにアクセス リストを適用することによって、アクセスを制限できます。

同じセキュリティ レベルのインターフェイスの通信をイネーブルにすると(「同じセキュリティ レベルの通信の許可」を参照)、同じセキュリティ レベルまたはそれより低いセキュリティ レベルの他のインターフェイスにアクセスするインターフェイスは、暗黙的に許可されます。

インスペクション エンジン:一部のアプリケーション インスペクション エンジンはセキュリティ レベルに依存します。同じセキュリティ レベルのインターフェイス間では、インスペクション エンジンは発信と着信のいずれのトラフィックに対しても適用されます。

NetBIOS インスペクション エンジン:発信接続に対してのみ適用されます。

SQL*Net インスペクション エンジン:SQL*Net(旧称 OraServ)ポートとの制御接続が一対のホスト間に存在する場合、着信データ接続だけがASAを通過することが許可されます。

フィルタリング:HTTP(S) および FTP フィルタリングは、(高いレベルから低いレベルへの)発信接続にのみ適用されます。

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすると、どちらの方向のトラフィックにもフィルタリングが適用できます。

established コマンド:このコマンドを使用すると、高いレベルのホストから低いレベルのホストへの接続がすでに確立されている場合、低いセキュリティ レベルのホストから高いセキュリティ レベルのホストへの戻り接続が許可されます。

セキュリティ レベルが同じインターフェイス間の通信をイネーブルにすると、両方向に対して established コマンドを設定できます。

トランスペアレント モードでインターフェイス コンフィギュレーションを実行するためのライセンス要件

 

モデル
ライセンス要件

ASA 5505

VLAN:

基本ライセンス:3(2 つの正規ゾーンともう 1 つの制限ゾーンだけが他の 1 つのゾーンと通信可能)

Security Plus ライセンス:20

VLAN トランク:

基本ライセンス:なし。

Security Plus ライセンス:8

すべての種類のインターフェイス1

基本ライセンス:52。

Security Plus ライセンス:120。

1.VLAN、物理、冗長、およびブリッジ グループ インターフェイスなど、すべてを合わせたインターフェイスの最大数。

 

モデル
ライセンス要件

ASA 5510

VLAN:

基本ライセンス:50

Security Plus ライセンス:100

インターフェイス速度:

基本ライセンス:すべてのインターフェイスがファスト イーサネット。

Security Plus ライセンス:Ethernet 0/0 および 0/1:ギガビット イーサネット、その他すべてはファスト イーサネット。

すべての種類のインターフェイス2

基本ライセンス:52

Security Plus ライセンス:120

ASA 5520

VLAN:

基本ライセンス:150

すべての種類のインターフェイス1

基本ライセンス:640

ASA 5540

VLAN:

基本ライセンス:200

すべての種類のインターフェイス1

基本ライセンス:840

ASA 5550

VLAN:

基本ライセンス:400

すべての種類のインターフェイス1

基本ライセンス:1640

ASA 5580

VLAN:

基本ライセンス:1024

すべての種類のインターフェイス1

基本ライセンス:4176

ASA 5512-X

VLAN:

基本ライセンス:50

すべての種類のインターフェイス1

基本ライセンス:328

ASA 5515-X

VLAN:

基本ライセンス:100

すべての種類のインターフェイス1

基本ライセンス:528

ASA 5525-X

VLAN:

基本ライセンス:200

すべての種類のインターフェイス1

基本ライセンス:928

ASA 5545-X

VLAN:

基本ライセンス:300

すべての種類のインターフェイス1

基本ライセンス:1328

ASA 5555-X

VLAN:

基本ライセンス:500

すべての種類のインターフェイス1

基本ライセンス:2128

ASA 5585-X

VLAN:

基本ライセンス:1024

SSP-10 および SSP-20 のインターフェイス速度:

基本ライセンス:ファイバ インターフェイスの場合 1 ギガビット イーサネット

10 GE I/O ライセンス(Security Plus):ファイバ インターフェイスの場合 10 ギガビット イーサネット

(SSP-40 および SSP-60 は 10 ギガビット イーサネットをデフォルトでサポートします)。

すべての種類のインターフェイス1

基本ライセンス:4176

2.VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。

 

モデル
ライセンス要件

ASASM

VLAN:

基本ライセンス:1000

注意事項と制約事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでの ASA 5510 以降の場合、に従って、システム実行スペースで物理インターフェイスを設定します。次に、この章に従って、コンテキスト実行スペースで論理インターフェイス パラメータを設定します。マルチ コンテキスト モードの ASASM の場合は、スイッチのスイッチ ポートおよび VLAN を設定し、に従って VLAN を ASASM に割り当てます。

ASA 5505 はマルチ コンテキスト モードをサポートしません。

設定できるのは、システム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

ファイアウォール モードのガイドライン

シングル モードまたはマルチ モードのコンテキストごとに、最大 8 個のブリッジ グループを設定できます。少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があることに注意してください。


) ASA 5505 に複数のブリッジ グループを設定できますが、ASA 5505 のトランスペアレント モードのデータ インターフェイスは 2 つという制限は、実質的にブリッジ グループを 1 つだけ使用できることを意味します。


各ブリッジ グループには、最大 4 つのインターフェイスを含めることができます。

IPv4 の場合は、管理トラフィックと、ASA を通過するトラフィックの両方の各ブリッジ グループに対し、管理 IP アドレスが必要です。

各インターフェイスに IP アドレスが必要なルーテッド モードとは異なり、トランスペアレント ファイアウォールではブリッジ グループ全体に 1 つの IP アドレスが割り当てられています。ASAは、この IP アドレスを、システム メッセージや AAA 通信など、ASAで発信されるパケットの送信元アドレスとして使用します。ブリッジ グループ管理アドレスに加えて、一部のモデルの管理インターフェイスをオプションで設定できます。詳細については、を参照してください。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。管理 IP サブネットの詳細については、「ブリッジ グループの設定」を参照してください。

IPv6 の場合は、少なくとも通過トラフィック用に各インターフェイスにリンクローカル アドレスを設定する必要があります。ASA の管理を含むフル機能のためには、各ブリッジ グループにグローバル IPv6 アドレスを設定する必要があります。

マルチ コンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

マルチ コンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

フェールオーバーのガイドライン

フェールオーバー インターフェイスの設定は、この章の手順では完了しません。フェールオーバーおよびステート リンクの設定については、を参照してください。マルチ コンテキスト モードでは、フェールオーバー インターフェイスがシステム コンフィギュレーションに設定されます。

IPv6 のガイドライン

IPv6 をサポートします。

トランスペアレント モードでは IPv6 エニーキャスト アドレスをサポートしません。

ASASM の VLAN ID に関するガイドライン

コンフィギュレーションにはあらゆる VLAN ID を追加できますが、トラフィックを転送できるのはスイッチによって ASA に割り当てられた VLAN だけです。 show vlan コマンドを使用して、ASA に割り当てられたすべての VLAN を表示します。

スイッチによって ASA にまだ割り当てられていない VLAN にインターフェイスを追加した場合、そのインターフェイスはダウン ステートになります。ASA に VLAN を割り当てた時点で、インターフェイスはアップ ステートに変化します。インターフェイス ステートの詳細については、 show interface コマンドを参照してください。

デフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、を参照してください。

デフォルトのセキュリティ レベル

デフォルトのセキュリティ レベルは 0 です。インターフェイスに名前「inside」を付けて、明示的にセキュリティ レベルを設定しないと、ASA はセキュリティ レベルを 100 に設定します。


) インターフェイスのセキュリティ レベルを変更したときに、既存の接続がタイムアウトするまで待機せずに新しいセキュリティ情報を使用する必要がある場合は、clear local-host コマンドを使用して接続をクリアできます。


ASASM のインターフェイスのデフォルトの状態

シングル モードまたはシステム実行スペースでは、VLAN インターフェイスがデフォルトでイネーブルになります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

ジャンボ フレーム サポート

デフォルトでは、ASASM はジャンボ フレームをサポートしています。「MAC アドレス、MTU、TCP MSS の設定」に従って、目的のパケット サイズの MTU を設定します。

トランスペアレント モードでのインターフェイス コンフィギュレーションの実行(8.4 以降)

この項では、次のトピックについて取り上げます。

「インターフェイス コンフィギュレーションを実行するためのタスク フロー」

「ブリッジ グループの設定」

「一般的なインターフェイス パラメータの設定」

「管理インターフェイスの設定(ASA 5510 以降)」

「MAC アドレス、MTU、TCP MSS の設定」

「IPv6 アドレッシングの設定」

「同じセキュリティ レベルの通信の許可」

インターフェイス コンフィギュレーションを実行するためのタスク フロー


ステップ 1 モデルに応じてインターフェイスを設定します。

ASA 5510 以降:

ASA 5505:

ASASM--

ステップ 2 (マルチ コンテキスト モード)に従って、コンテキストにインターフェイスを割り当てます。

ステップ 3 (マルチ コンテキスト モード)[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

ステップ 4 IPv4 アドレスを含む、1 つ以上のブリッジ グループを設定します。「ブリッジ グループの設定」を参照してください。

ステップ 5 インターフェイス名、セキュリティ レベルなどの一般的なインターフェイス パラメータを設定します。「一般的なインターフェイス パラメータの設定」を参照してください。

ステップ 6 (任意。ASA 5505 ではサポートされていません)管理インターフェイスを設定します。「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ステップ 7 (任意)MAC アドレスと MTU を設定します。「MAC アドレス、MTU、TCP MSS の設定」を参照してください。

ステップ 8 (任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

ステップ 9 (任意)2 つのインターフェイス間の通信を許可するか、またはトラフィックが同じインターフェイスに入って同じインターフェイスから出ることを許可することで、同じセキュリティ レベルの通信を許可します。「同じセキュリティ レベルの通信の許可」を参照してください。


 

ブリッジ グループの設定

ブリッジ グループにはそれぞれ管理 IP アドレスが必要です。ASA はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、管理 IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。

注意事項と制約事項

シングル モードまたはマルチ モードのコンテキストごとに、最大 8 個のブリッジ グループを設定できます。少なくとも 1 つのブリッジ グループを使用しなければならないことに注意してください。データ インターフェイスはブリッジ グループに属している必要があります。


) (サポートされているモデルの)個別の管理インターフェイスでは、設定できないブリッジ グループ(ID 101)がコンフィギュレーションに自動的に追加されます。このブリッジ グループはブリッジ グループの制限に含まれません。


手順の詳細


ステップ 1 [Configuration] > [Interfaces] ペインを選択し、[Add] > [Bridge Group Interface] を選択します。

[Add Bridge Group] ダイアログボックスが表示されます。

 

ステップ 2 [Bridge Group ID] フィールドで、1 ~ 100 の間のブリッジ グループ ID を入力します。

ステップ 3 [IP Address] フィールドに管理 IPv4 アドレスを入力します。

ASA では、セカンダリ ネットワーク上のトラフィックはサポートされていません。管理 IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

ステップ 4 [Subnet Mask] フィールドで、サブネット マスクを入力するか、またはメニューから選択します。

トランスペアレント ファイアウォールにホスト アドレス(/32 または 255.255.255.255)を割り当てないでください。また、/30 サブネットなど(255.255.255.252)、ホスト アドレスが 3 つ未満(アップストリーム ルータ、ダウンストリーム ルータ、トランスペアレント ファイアウォールにそれぞれ 1 つずつ)の他のサブネットを使用しないでください。ASA は、サブネットの先頭アドレスと最終アドレスとの間で送受信されるすべての ARP パケットをドロップします。たとえば、/30 サブネットを使用し、そのサブネットからアップストリーム ルータへの予約アドレスを割り当てた場合、ASA はダウンストリーム ルータからアップストリーム ルータへの ARP 要求をドロップします。

ステップ 5 (任意)[Description] フィールドに、このブリッジ グループの説明を入力します。

ステップ 6 [OK] をクリックします。

ステップ 7 ブリッジ グループ仮想インターフェイス(BVI)が、物理およびサブインターフェイスとともに、インターフェイス テーブルに追加されます。

 


 

次の作業

一般的なインターフェイス パラメータを設定します。「一般的なインターフェイス パラメータの設定」を参照してください。

一般的なインターフェイス パラメータの設定

この手順は、トランスペアレント インターフェイスの名前、セキュリティ レベル、およびブリッジ グループを設定する方法について説明します。

別の管理インターフェイスを設定する方法については、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ASA 5510 以降では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

物理インターフェイス

VLAN サブインターフェイス

冗長インターフェイス

EtherChannel インターフェイス

ASA 5505 および ASASM では、次のインターフェイス タイプのインターフェイス パラメータを設定する必要があります。

VLAN インターフェイス

注意事項と制約事項

ブリッジ グループあたり最大 4 つのインターフェイスを設定できます。

ASA 5550 では、スループットを最大にするために、トラフィックを 2 つのインターフェイス スロットに分散してください。たとえば、内部インターフェイスをスロット 1 に、外部インターフェイスをスロット 0 に割り当てます。

セキュリティ レベルについては、「セキュリティ レベル」を参照してください。

フェールオーバーを使用している場合は、フェールオーバー通信およびステートフル フェールオーバー通信に予約されているインターフェイスには、この方法で名前を付けないでください。フェールオーバーおよびステート リンクの設定については、を参照してください。

前提条件

モデルに応じてインターフェイスを設定します。

ASA 5510 以降:

ASA 5505:

ASASM--

マルチ コンテキスト モードで設定できるのは、に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細

 


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

BVI は、物理インターフェイス、サブインターフェイス、冗長インターフェイス、EtherChannel ポートチャネル インターフェイスとともにテーブルに表示されます。マルチ コンテキスト モードでは、システム実行スペースでコンテキストに割り当てられたインターフェイスだけがテーブルに表示されます。

ステップ 2 非 BVI インターフェイスの行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

 

管理インターフェイスにはこの手順を使用しないでください。管理インターフェイスを設定する場合は、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

ステップ 3 [Bridge Group] ドロップダウン メニューで、このインターフェイスを割り当てるブリッジ グループを選択します。

ステップ 4 [Interface Name] フィールドに、名前を 48 文字以内で入力します。

ステップ 5 [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。

詳細については、「セキュリティ レベル」を参照してください。


) [Dedicate this interface to management only] チェックボックスをオンにしないでください。このオプションについては、「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。


ステップ 6 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。


) [Channel Group] フィールドは読み取り専用で、インターフェイスが EtherChannel の一部であるかどうかを示します。


ステップ 7 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。


) (ASA 5510 以降、シングル モード)[Configure Hardware Properties] ボタンに関する情報については、を参照してください。


 

ステップ 8 [OK] をクリックします。


 

次の作業

(任意)管理インターフェイスを設定します。「管理インターフェイスの設定(ASA 5510 以降)」を参照してください。

(任意)MAC アドレスと MTU を設定します。「MAC アドレス、MTU、TCP MSS の設定」を参照してください。

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

管理インターフェイスの設定(ASA 5510 以降)

1 つの管理インターフェイスをシングル モードで、またはコンテキストごとに、ブリッジ グループとは独立して設定できます。詳細については、を参照してください。

制約事項

を参照してください。

このインターフェイスをブリッジ グループに割り当てないでください。設定できないブリッジ グループ(ID 101)は、コンフィギュレーションに自動的に追加されます。このブリッジ グループはブリッジ グループの制限に含まれません。

モデルに管理インターフェイスが含まれていない場合、データ インターフェイスからトランスペアレント ファイアウォールを管理する必要があります。この手順はスキップします。(ASA 5505 上など)。

マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。コンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。ASA 5512-X ~ ASA 5555-X では、管理インターフェイスのサブインターフェイスは許可されないので、コンテキスト単位で管理を行うには、データ インターフェイスに接続する必要があります。

前提条件

の手順を実行します。

マルチ コンテキスト モードで設定できるのは、に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

BVI は、物理インターフェイス、サブインターフェイス、冗長インターフェイス、EtherChannel ポートチャネル インターフェイスとともにテーブルに表示されます。マルチ コンテキスト モードでは、システム実行スペースでコンテキストに割り当てられたインターフェイスだけがテーブルに表示されます。

ステップ 2 管理インターフェイス、サブインターフェイス、または管理インターフェイスからなる EtherChannel ポートチャネル インターフェイスの行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

 

ステップ 3 [Bridge Group] ドロップダウン メニューで、デフォルトの [--None--] のままにします。管理インターフェイスをブリッジ グループに割り当てることはできません。

ステップ 4 [Interface Name] フィールドに、名前を 48 文字以内で入力します。

ステップ 5 [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。

詳細については、「セキュリティ レベル」を参照してください。


) [Dedicate this interface to management only] チェックボックスは、デフォルトでイネーブルであり、設定することはできません。


ステップ 6 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

ステップ 7 IP アドレスを設定するには、次のいずれかのオプションを使用します。


) フェールオーバーとともに使用する場合は、IP アドレスとスタンバイ アドレスを手動で設定する必要があります。DHCP はサポートされません。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブのスタンバイ IP アドレスを設定します。


IP アドレスを手動で設定するには、[Use Static IP] オプション ボタンをクリックして IP アドレスとマスクを入力します。

DHCP サーバから IP アドレスを取得するには、[Obtain Address via DHCP] オプション ボタンをクリックします。

 

a. MAC アドレスがオプション 61 の DHCP 要求パケット内に保存されるようにするには、[Use MAC Address] オプション ボタンをクリックします。

いくつかの ISP はインターフェイスの MAC アドレスにオプション 61 が必要です。MAC アドレスが DHCP 要求パケットに含まれていない場合、IP アドレスは割り当てられません。

b. オプション 61 用に生成された文字列を使用するには、[Use "Cisco-<MAC>-<interface_name>-<host>"] をクリックします。

c. (任意)DHCP サーバからデフォルト ルートを取得するには、[Obtain Default Route Using DHCP] をオンにします。

d. (任意)DHCP クライアントが IP アドレス要求の探索を送信する場合に、DHCP パケット ヘッダーでブロードキャスト フラグを 1 に設定するには、[Enable DHCP Broadcast flag for DHCP request and discover messages] をオンにします。

DHCP サーバはこのブロードキャスト フラグをリッスンし、フラグが 1 に設定されている場合は応答パケットをブロードキャストします。

e. (任意)リースを更新するには、[Renew DHCP Lease] をクリックします。

ステップ 8 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。


) (ASA 5510 以降、シングル モード)[Configure Hardware Properties] ボタンに関する情報については、を参照してください。


ステップ 9 [OK] をクリックします。


 

次の作業

(任意)MAC アドレスと MTU を設定します。「MAC アドレス、MTU、TCP MSS の設定」を参照してください。

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

MAC アドレス、MTU、TCP MSS の設定

ここでは、インターフェイスの MAC アドレスの設定方法、MTU の設定方法、TCP MSS の設定方法を説明します。

MAC アドレスに関する情報

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

ASASM では、すべての VLAN がバックプレーンから提供される同じ MAC アドレスを使用します。

冗長インターフェイスは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。このコマンドを使用して冗長インターフェイスに MAC アドレスを割り当てると、メンバ インターフェイスの MAC アドレスに関係なく、割り当てた MAC アドレスが使用されます。

EtherChannel の場合は、そのチャネル グループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対してトランスペアレントになります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチ コンテキスト モードでは、EtherChannel ポート インターフェイスを含め、固有の MAC アドレスをインターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを手動で設定するか、またはマルチ コンテキスト モードで自動的に設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有している場合、固有の MAC アドレスをそれぞれのコンテキストのインターフェイスに割り当てることができます。この機能を使用すると、ASAはパケットを適切なコンテキストに容易に分類できます。固有の MAC アドレスがなくても共有インターフェイスを使用できますが、制限があります。詳細については、を参照してください。コンテキストの共有インターフェイスには、手動で各 MAC アドレスを割り当てることも、自動生成することもできます。MAC アドレスの自動生成については、を参照してください。MAC アドレスを自動生成する場合、この手順を使用して生成されたアドレスを上書きできます。

シングル コンテキスト モード、またはマルチ コンテキスト モードで共有されないインターフェイスの場合は、固有の MAC アドレスをサブインターフェイスに割り当てることを推奨します。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。

MTU および TCP MSS に関する情報

を参照してください。

前提条件

モデルに応じてインターフェイスを設定します。

ASA 5510 以降:

ASA 5505:

ASASM--

マルチ コンテキスト モードで設定できるのは、に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細

 


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ASA 5505 では、[Interfaces] タブがデフォルトで表示されます。

ステップ 2 インターフェイス行を選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [Advanced] タブをクリックします。

 

ステップ 4 MTU を設定する、またはジャンボ フレームのサポート(サポート対象モジュールのみ)をイネーブルにするには、[MTU] フィールドに 300 ~ 65,535 バイトの範囲の値を入力します。

デフォルトは 1500 バイトです。


) 冗長インターフェイスまたはポートチャネル インターフェイスに MTU を設定すると、ASA は、この設定をすべてのメンバ インターフェイスに適用します。


ジャンボ フレームをサポートする、シングル モードのモデルの場合:いずれかのインターフェイスに 1500 を超える値を入力すると、ジャンボ フレーム サポートがすべてのインターフェイスに対して自動的にイネーブルになります。すべてのインターフェイスの MTU の設定を 1500 未満に戻すと、ジャンボ フレーム サポートがディセーブルになります。

ジャンボ フレームをサポートしているモジュールの場合:いずれかのインターフェイスに 1500 を超える値を入力する場合は、必ずシステム コンフィギュレーションのジャンボ フレーム サポートをイネーブルにしてください。を参照してください。


) ジャンボ フレーム サポートをイネーブルまたはディセーブルにするには、ASA をリロードする必要があります。


ステップ 5 MAC アドレスをこのインターフェイスに手動で割り当てるには、[Active Mac Address] フィールドに MAC アドレスを H.H.H 形式(H は 16 ビットの 16 進数)で入力します。

たとえば、MAC アドレスが 00-0C-F1-42-4C-DE であれば、000C.F142.4CDE と入力します。自動生成された MAC アドレスも使用する場合、手動で割り当てる MAC アドレスの最初の 2 バイトには A2 を使用できません。

ステップ 6 フェールオーバーを使用する場合、[Standby Mac Address] フィールドにスタンバイ MAC アドレスを入力します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 7 TCP MSS を設定するには、[Configuration] > [Firewall] > [Advanced] > [TCP Options] の順に選択します。次のオプションを設定します。

[Force Maximum Segment Size for TCP]:最大 TCP セグメント サイズを 48 から最大数の範囲のバイト数で設定します。デフォルト値は 1380 バイトです。この機能は、0 バイトに設定することによってディセーブルにできます。

[Force Minimum Segment Size for TCP] 48 から最大数の間で、ユーザが設定したバイト数未満にならないように最大セグメント サイズを上書きします。この機能は、デフォルトでディセーブルです(0 に設定)。


 

次の作業

(任意)IPv6 アドレッシングを設定します。「IPv6 アドレッシングの設定」を参照してください。

IPv6 アドレッシングの設定

この項では、IPv6 アドレッシングを設定する方法について説明します。IPv6 の詳細については、を参照してください。

この項では、次のトピックについて取り上げます。

「IPv6 に関する情報」

「グローバル IPv6 アドレスの設定」

「IPv6 ネイバー探索の設定」

「(任意)リンクローカル アドレスの自動設定」

「(任意)リンクローカル アドレスの手動設定」

IPv6 に関する情報

ここでは、IPv6 を設定する手順について説明します。内容は次のとおりです。

「IPv6 アドレス指定」

「Modified EUI-64 インターフェイス ID」

「サポートされていないコマンド」

IPv6 アドレス指定

次の 2 種類の IPv6 のユニキャスト アドレスを設定できます。

グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。このアドレスは、インターフェイスごとに設定するのではなく、ブリッジ グループごとに設定する必要があります。また、管理インターフェイスのグローバルな IPv6 アドレスを設定することもできます。

リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などの ND 機能に使用できます。リンクローカル アドレスは 1 つのセグメント上だけで使用可能であり、インターフェイスの MAC アドレスに関連付けられているため、インターフェイスごとにリンクローカル アドレスを設定する必要があります。

最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定する場合、各インターフェイスにリンクローカル アドレスが自動的に設定されるため、特にリンクローカル アドレスを設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。

Modified EUI-64 インターフェイス ID

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシング アーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。ASAでは、ローカル リンクに接続されたホストにこの要件を適用できます。

この機能がインターフェイスでイネーブルになっていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

%ASA-3-325003: EUI-64 source address check failed.
 

アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

サポートされていないコマンド

次の IPv6 コマンドにはルータ機能が必要であるため、トランスペアレント ファイアウォール モードではサポートされません。

ipv6 address autoconfig

ipv6 nd prefix

ipv6 nd ra-interval

ipv6 nd ra-lifetime

ipv6 nd suppress-ra

グローバル IPv6 アドレスの設定

ブリッジ グループまたは管理インターフェイスのグローバル IPv6 アドレスを設定するには、次の手順を実行します。


) グローバル アドレスを設定すると、リンクローカル アドレスは自動的に設定されるため、別々に設定する必要はありません。


制約事項

ASAは、IPv6 エニーキャスト アドレスはサポートしません。

前提条件

モデルに応じてインターフェイスを設定します。

ASA 5510 以降:

ASA 5505:

ASASM--

マルチ コンテキスト モードで設定できるのは、に従ってシステム コンフィギュレーションでコンテキストにすでに割り当てられているコンテキスト インターフェイスだけです。

マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 BVI または管理インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

 

ステップ 4 [Enable IPv6] チェックボックスをオンにします。

ステップ 5 (任意)ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用するには、[Enforce EUI-64] チェックボックスをオンにします。

詳細については、「Modified EUI-64 インターフェイス ID」を参照してください。

ステップ 6 (任意)上部で、を参照して IPv6 設定をカスタマイズします。

ステップ 7 グローバル IPv6 アドレスを設定する場合:

a. [Interface IPv6 Addresses] エリアで、[Add] をクリックします。

[Add IPv6 Address for Interface] ダイアログボックスが表示されます。

 

b. [Address/Prefix Length] フィールドに、グローバル IPv6 アドレスと IPv6 プレフィックスの長さを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、を参照してください。

c. [OK] をクリックします。

ステップ 8 [OK] をクリックします。

[Configuration] > [Device Setup] > [Interfaces] ペインに戻ります。


 

IPv6 ネイバー探索の設定

IPv6 ネイバー探索を設定するには、を参照してください。

(任意)リンクローカル アドレスの自動設定

グローバル アドレスを設定する必要がなく、リンクローカル アドレスだけを設定する必要がある場合は、リンクローカル アドレスをインターフェイスの MAC アドレス(Modified EUI-64 形式。MAC アドレスで使用するビット数は 48 ビットであるため、インターフェイス ID に必要な 64 ビットを埋めるために追加ビットを挿入する必要があります。

リンクローカル アドレスを手動で割り当てる場合(非推奨)については、「(任意)リンクローカル アドレスの手動設定」を参照してください。

Modified EUI-64 形式および DAD 設定の適用などのその他の IPv6 オプションについては、「グローバル IPv6 アドレスの設定」を参照してください。

リンクローカル アドレスを管理インターフェイスまたはブリッジ グループ メンバ インターフェイスに自動的に設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 BVI または管理インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

ステップ 4 [IPv6 configuration] 領域で、[Enable IPv6] をオンにします。

このオプションでは、IPv6 をイネーブルにし、インターフェイスの MAC アドレスに基づく Modified EUI-64 インターフェイス ID を使用してリンクローカル アドレスをメンバ インターフェイスに自動的に生成します。

ステップ 5 [OK] をクリックします。


 

(任意)リンクローカル アドレスの手動設定

グローバル アドレスを設定する必要がなく、リンクローカル アドレスだけを物理インターフェイスまたはサブインターフェイスに設定する必要がある場合は、リンクローカル アドレスを手動で定義できます。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、他のデバイスが Modified EUI-64 形式の使用を必要とする場合、手動で割り当てたリンクローカル アドレスのパケットはドロップされる可能性があります。

リンクローカル アドレスを自動的に割り当てる場合(推奨)については、「(任意)リンクローカル アドレスの自動設定」を参照してください。

Modified EUI-64 形式および DAD 設定の適用などのその他の IPv6 オプションについては、「グローバル IPv6 アドレスの設定」を参照してください。

リンクローカル アドレスを、管理インターフェイスを含む物理インターフェイスまたはサブインターフェイスに割り当てるには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 3 [IPv6] タブをクリックします。

ステップ 4 リンクローカル アドレスを設定するには、[Link-local address] フィールドにアドレスを入力します。

リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。 IPv6 アドレッシングの詳細については、を参照してください。

ステップ 5 [OK] をクリックします。


 

同じセキュリティ レベルの通信の許可

デフォルトでは、同じセキュリティ レベルのインターフェイスは相互に通信することができません。また、パケットは同じインターフェイスを出入りすることができません。ここでは、複数のインターフェイスが同じセキュリティ レベルの場合にインターフェイス間通信をイネーブルにする方法について説明します。

インターフェイス間通信に関する情報

同じセキュリティ レベルのインターフェイスが互いに通信できるようにすると、アクセス リストがなくても同じセキュリティ レベルのインターフェイスすべての間で自由にトラフィックが流れるようにする場合に便利です。

同じセキュリティ インターフェイス通信をイネーブルにした場合でも、異なるセキュリティ レベルで通常どおりインターフェイスを設定できます。

手順の詳細

 

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにするには、[Configuration] > [Interfaces] ペインで、[Enable traffic between two or more interfaces which are configured with same security level] をオンにします。

インターフェイスのオン/オフ

ここでは、インターフェイスのオン/オフの方法について説明します。

デフォルトでは、すべてのインターフェイスがイネーブルです。マルチ コンテキスト モードでは、コンテキスト内でインターフェイスをディセーブルにした場合、または再度イネーブルにした場合は、そのコンテキスト インターフェイスだけが影響を受けます。ただし、システム実行スペースでインターフェイスをディセーブルにした場合、または再度イネーブルにした場合は、全コンテキストに対応するそのインターフェイスに影響します。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

デフォルトでは、すべての物理インターフェイスが一覧表示されます。

ステップ 2 設定する VLAN インターフェイスをクリックし、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

 

ステップ 3 インターフェイスをイネーブルまたはディセーブルにするには、[Enable Interface] チェックボックスをオンまたはオフにします。


 

インターフェイスのモニタリング

この項では、次のトピックについて取り上げます。

「ARP Table」

「DHCP」

「MAC Address Table」

「Dynamic ACLs」

「Interface Graphs」

「PPPoE Client」

「Interface Connection」

ARP Table

[ Monitoring] > [Interfaces] > [ARP Table] ペインには、スタティックとダイナミック エントリを含む ARP テーブルが表示されます。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

フィールド

[Interface] :マッピングに関連付けられているインターフェイス名を一覧表示します。

[IP Address] :IP アドレスを表示します。

[MAC Address] :MAC アドレスを表示します。

[Proxy ARP]:インターフェイスでプロキシ ARP がイネーブルになっている場合は Yes と表示します。インターフェイスでプロキシ ARP がイネーブルになっていない場合は No と表示します。

[Clear] :ダイナミック ARP テーブルのエントリをクリアします。 スタティック エントリはクリアされません。

[Refresh] :ASAの現在の情報でテーブルをリフレッシュし、 [Last Updated] の日付と時刻を更新します。

[Last Updated] 表示専用 。表示が更新された日付と時刻を示します。

DHCP

ASAでは、クライアントに割り当てられているアドレス、ASA インターフェイスのリース情報、および DHCP 統計情報を含む DHCP の統計情報を監視できます。

DHCP Server Table

[Monitoring] > [Interfaces] > [DHCP] > [DHCP Server Table] には、DHCP クライアントに割り当てられている IP アドレスが一覧表示されます。

フィールド

[IP Address]:クライアントに割り当てられている IP アドレスを表示します。

[Client-ID]:クライアントの MAC アドレスまたは ID を表示します。

[Lease Expiration]:DHCP リースの期限が満了する日付を表示します。リースは、クライアントが割り当てられている IP アドレスを使用できる期間を示します。また、残り時間は、[Last Updated] 表示専用フィールドのタイムスタンプを基準に秒数で表示されます。

[Number of Active Leases]:DHCP リースの合計数を表示します。

[Refresh]:ASAの情報をリフレッシュします。

[Last Updated]:テーブルのデータが最後に更新された日付を表示します。

DHCP Client Lease Information

DHCP サーバから ASA インターフェイスの IP アドレスを取得すると、[Monitoring] > [Interfaces] > [DHCP] > [DHCP Server Table] > [DHCP Client Lease Information] ペインには、DHCP リースに関する情報が表示されます。

フィールド

[Select an interface]:ASAのインターフェイスを一覧表示します。DHCP リースを表示するインターフェイスを選択します。インターフェイスに DHCP リースが複数ある場合、表示するインターフェイスと IP アドレスのペアを選択します。

[Attribute and Value]:インターフェイス DHCP リースの属性と値を一覧表示します。

[Temp IP addr]: 表示専用 。インターフェイスに割り当てられている IP アドレス。

[Temp sub net mask]: 表示専用 。インターフェイスに割り当てられているサブネット マスク。

[DHCP lease server]: 表示専用 。DHCP サーバ アドレス。

[state]: 表示専用 。DHCP リースの状態で、次のとおりです。

[Initial]:初期化状態で、ASAがリースを取得するプロセスを開始します。この状態は、リースが終了したか、リースのネゴシエーションに失敗したときにも表示されます。

[Selecting]:ASAは 1 つ以上の DHCP サーバから DHCPOFFER メッセージを受信することを待機しており、メッセージを選択できます。

[Requesting]:ASAは、要求を送信した送信先サーバからの応答を待機しています。

[Purging]:ASAは、エラーが発生したためリースを削除しています。

[Bound]:ASAは有効なリースを保持し、正常に動作しています。

[Renewing]:ASAはリースを更新しようとしています。DHCPREQUEST メッセージを現在の DHCP サーバに定期的に送信し、応答を待機します。

[Rebinding]:ASAは元のサーバのリースを更新することに失敗したため、いずれかのサーバから応答を受け取るかリースが終了するまで DHCPREQUEST メッセージを送信します。

[Holddown]:ASAはリースを削除するプロセスを開始しました。

[Releasing]:ASAは IP アドレスが不要になったことを示すリリース メッセージをサーバに送信します。

[Lease]: 表示専用 。DHCP サーバによって指定される、インターフェイスがこの IP アドレスを使用できる時間の長さ。

[Renewal]: 表示専用 。インターフェイスがこのリースを自動的に更新しようとするまでの時間の長さ。

[Rebind]: 表示専用 。ASAが DHCP サーバに再バインドしようとするまでの時間の長さ。再バインドが発生するのは、ASAが元の DHCP サーバと通信できず、リース期間の 87.5% を経過した場合です。ASAは、DHCP 要求をブロードキャストすることによって、使用可能な任意の DHCP サーバに接続を試みます。

[Next timer fires after]: 表示専用 。内部タイマーがトリガーするまでの秒数。

[Retry count]: 表示専用 。ASAがリースを設定しようとしているとき、このフィールドは、ASAが DHCP メッセージの送信を試行した回数を示します。たとえば、ASAが Selecting 状態の場合、この値はASAが探索メッセージを送信した回数を示します。ASAが Requesting 状態の場合、この値はASAが要求メッセージを送信した回数を示します。

[Client-ID]: 表示専用 。サーバとのすべての通信に使用したクライアント ID。

[Proxy]: 表示専用 。このインターフェイスが VPN クライアント用のプロキシ DHCP クライアントかどうかを True または False で指定します。

[Hostname]: 表示専用 。クライアントのホスト名。

DHCP Statistics

[Monitoring] > [Interfaces] > [DHCP] > [DHCP Statistics] ペインは DHCP サーバ機能の統計情報を表示します。

フィールド

[Message Type]:送受信された DHCP メッセージのタイプを一覧表示します。

BOOTREQUEST

DHCPDISCOVER

DHCPREQUEST

DHCPDECLINE

DHCPRELEASE

DHCPINFORM

BOOTREPLY

DHCPOFFER

DHCPACK

DHCPNAK

[Count]:特定のメッセージが処理された回数を表示します。

[Direction]:メッセージ タイプが Sent か Received かを示します。

[Total Messages Received]:ASAで受信したメッセージの合計数を表示します。

[Total Messages Sent]:ASAで送信したメッセージの合計数を表示します。

[Counter]:次のような DHCP の全般的な統計データを表示します。

DHCP UDP Unreachable Errors

DHCP Other UDP Errors

Address Pools

Automatic Bindings

Expired Bindings

Malformed Messages

[Value]:各カウンタ項目の数を表示します。

[Refresh]:DHCP テーブルのリストを更新します。

[Last Updated]:テーブルのデータが最後に更新された日付を表示します。

MAC Address Table

[Monitoring] > [Interfaces] > [MAC Address Table] ペインには、スタティックおよびダイナミック MAC アドレス エントリが表示されます。MAC アドレス テーブルおよび追加のスタティック エントリに関する詳細情報については、 「MAC Address Table」 を参照してください。

フィールド

[Interface]:エントリに関連付けられているインターフェイス名を表示します。

[MAC Address]:MAC アドレスを表示します。

[Type]:エントリがスタティックかダイナミックかを表示します。

[Age]:エントリの経過時間を分数で表示します。タイムアウトを設定するには、 「MAC Address Table」 を参照してください。

[Refresh]:ASAの現在の情報でテーブルをリフレッシュします。

Dynamic ACLs

[Monitoring] > [Interfaces] > [Dynamic ACLs] ペインには、ダイナミック ACL のテーブルが表示されます。ダイナミック ACL は、ASAによって自動的に作成、アクティブ化、削除される点を除いて、ユーザ設定の ACL と機能上同じです。これらの ACL はコンフィギュレーションには表示されず、このテーブルだけに表示されます。ダイナミック ACL は、ACL ヘッダーの「(dynamic)」キーワードで区別されます。

このテーブルで ACL を選択すると、その ACL の内容が下部のテキスト フィールドに表示されます。

フィールド

[ACL]:ダイナミック ACL の名前を表示します。

[Element Count]:ACL の要素の数を表示します。

[Hit Count]:ACL のすべての要素に対する合計ヒット数を表示します。

Interface Graphs

[Monitoring] > [Interfaces] > [Interface Graphs] ペインには、インターフェイス統計情報をグラフ形式またはテーブル形式で表示できます。インターフェイスをコンテキスト間で共有している場合、ASAには現在のコンテキストの統計情報だけが表示されます。サブインターフェイスに表示される統計情報の数は、物理インターフェイスに表示される統計情報の数のサブセットです。

フィールド

[Available Graphs for]:モニタリングに使用可能な統計情報のタイプを一覧表示します。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

[Byte Counts]:インターフェイスのバイト入力およびバイト出力の数を表示します。

[Packet Counts]:インターフェイスのパケット入力およびパケット出力の数を表示します。

[Packet Rates]:インターフェイスのパケット入力およびパケット出力のレートを表示します。

[Bit Rates]:インターフェイスの入出力のビット レートを表示します。

[Drop Packet Count]:インターフェイスでドロップされたパケットの数を表示します。

物理インターフェイスに追加して表示できる統計情報は次のとおりです。

[Buffer Resources]:次の統計情報を表示します。

[Overruns]:入力速度が、ASAのデータ処理能力を超えたため、ASAがハードウェア バッファに受信したデータを処理できなかった回数。

[Underruns]:ASAで処理できる速度より速くトランスミッタが動作した回数。

[No Buffer]:メイン システムにバッファ スペースがなかったために廃棄された受信パケットの数。この数を、無視された数と比較してください。イーサネット ネットワーク上のブロードキャスト ストームは、多くの場合、入力バッファ イベントがないことに原因があります。

[Packet Errors]:次の統計情報を表示します。

[CRC]:巡回冗長検査エラーの数。ステーションがフレームを送信すると、フレームの末尾に CRC を付加します。この CRC は、フレーム内のデータに基づくアルゴリズムから生成されます。送信元と宛先の間でフレームが変更された場合、ASAは CRC が一致しないことを通知します。CRC の数値が高いことは、通常、コリジョンの結果であるか、ステーションが不良データを送信することが原因です。

[Frame]:フレーム エラーの数。不良フレームには、長さが正しくないパケットや、フレーム チェックサムが正しくないパケットがあります。このエラーは通常、コリジョンまたはイーサネット デバイスの誤動作が原因です。

[Input Errors]:ここにリストされている他のタイプのものも含めた入力エラーの合計数。また、その他の入力関連のエラーによって入力エラー数が増えたり、一部のデータグラムに複数のエラーが存在していたりする可能性があります。したがって、この合計は、他のタイプにリストされているエラーの数を超えることがあります。

[Runts]:最小パケット サイズの 64 バイトよりも小さかったために廃棄されたパケットの数。ラントは通常、コリジョンによって発生します。不適切な配線や電気干渉によって発生することもあります。

[Giants]:最大パケット サイズを超えたために廃棄されたパケットの数。たとえば、1518 バイトよりも大きいイーサネット パケットはジャイアントと見なされます。

[Deferred]:FastEthernet インターフェイスだけ。リンク上のアクティビティが原因で送信前に保留されたフレームの数。

[Miscellaneous]:受信したブロードキャストの統計情報を表示します。

[Collision Counts]:FastEthernet インターフェイスだけ。次の統計情報を表示します。

[Output Errors]:設定されている衝突の最大数を超えたために伝送されなかったフレームの数。このカウンタは、ネットワーク トラフィックが多い場合にのみ増加します。

[Collisions]:イーサネット衝突(1 つまたは複数の衝突)が原因で、再度伝送されたメッセージ数。これは通常、過渡に延長した LAN で発生します(イーサネット ケーブルまたはトランシーバ ケーブルが長すぎる、ステーション間のリピータが 2 つよりも多い、またはマルチポート トランシーバのカスケードが多すぎる場合)。衝突するパケットは、出力パケットによって 1 回だけカウントされます。

[Late Collisions]:通常の衝突ウィンドウの外で衝突が発生したために伝送されなかったフレームの数。レイト コリジョンは、パケットの送信中に遅れて検出されるコリジョンです。これは通常発生しません。2 つのイーサネット ホストが同時に通信しようとした場合、早期にパケットが衝突して両者がバックオフするか、2 番目のホストが 1 番目のホストの通信状態を確認して待機します。レイト コリジョンが発生すると、デバイスは割り込みを行ってイーサネット上にパケットを送信しようとしますが、ASAはパケットの送信を部分的に完了しています。ASAは、パケットの最初の部分を保持するバッファを解放した可能性があるため、パケットを再送しません。このことはあまり問題になりません。その理由は、ネットワーキング プロトコルはパケットを再送することでコリジョンを処理する設計になっているためです。ただし、レイト コリジョンはネットワークに問題が存在することを示しています。一般的な問題は、リピータで接続された大規模ネットワーク、および仕様の範囲を超えて動作しているイーサネット ネットワークです。

[Input Queue]:入力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Input Queue]:ハードウェア キューのパケット数。

[Software Input Queue]:ソフトウェア キューのパケット数。

[Output Queue]:出力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Output Queue]:ハードウェア キューのパケット数。

[Software Output Queue]:ソフトウェア キューのパケット数。

[Add]:選択した統計タイプを、選択したグラフ ウィンドウに追加します。

[Remove]:選択したグラフ ウィンドウから、選択した統計タイプを削除します。削除している項目が他のパネルから追加され、[Available Graphs] ペインに戻されていない場合、このボタン名は [Delete] に変わります。

[Show Graphs]:統計タイプを追加するグラフ ウィンドウ名を表示します。すでにグラフ ウィンドウを開いている場合は、デフォルトで新しいグラフ ウィンドウがリストされます。すでに開いているグラフに統計タイプを追加する場合は、開いているグラフ ウィンドウの名前を選択します。すでにグラフに含まれている統計情報が [Selected Graphs] ペインに表示され、タイプを追加できます。グラフ ウィンドウには ASDM、インターフェイスの IP アドレス、および「Graph」という順番で名前が付けられます。後続のグラフは、「Graph (2)」のように名前が付けられます。

[Selected Graphs]:選択したグラフ ウィンドウに表示する統計タイプを表示します。タイプを 4 つまで含めることができます。

[Show Graphs]:グラフ ウィンドウを表示するか、または、追加した場合は追加の統計タイプでグラフを更新します。

Graph/Table

[Monitoring] > [Interfaces] > [Interface Graphs] > [Graph/Table] ウィンドウには、選択した統計情報のグラフが表示されます。[Graph] ウィンドウには、最大 4 つのグラフおよびテーブルを同時に表示することができます。デフォルトで、グラフまたはテーブルにリアルタイムな統計情報が表示されます。履歴メトリック( を参照)をイネーブルにすると、過去の期間の統計情報を表示できます。

フィールド

[View]:グラフまたはテーブルを表示する期間を設定します。リアルタイム以外の期間を表示するには、[History Metrics]( を参照)をイネーブルにします。次のオプションの指定に従ってデータが更新されます。

Real-time, data every 10 sec

Last 10 minutes, data every 10 sec

Last 60 minutes, data every 1 min

Last 12 hours, data every 12 min

Last 5 days, data every 2 hours

[Export]:グラフをカンマ区切り形式でエクスポートします。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Export Graph Data] ダイアログボックスが表示されます。名前の横のチェックボックスを選択して、リストされているグラフおよびテーブルを 1 つ以上選択します。

[Print]:グラフまたはテーブルを印刷します。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Print Graph] ダイアログボックスが表示されます。[Graph/Table Name] リストから印刷するグラフまたはテーブルを選択します。

[Bookmark]:ブラウザ ウィンドウに、[Graph] ウィンドウ上のすべてのグラフおよびテーブルへのリンク 1 つと、各グラフまたはテーブルへの個別のリンクが表示されます。ブラウザでこれらの URL をブックマークとしてコピーできますグラフの URL を開くときに、 ASDM を実行している必要はありません。ブラウザによって ASDM が起動され、グラフが表示されます。

PPPoE Client

[Monitoring] > [Interfaces] > [PPPoE Client] > [PPPoE Client Lease Information] ペインには、現在の PPPoE 接続に関する情報が表示されます。

フィールド

[Select a PPPoE interface]:PPPoE クライアントのリース情報を表示するインターフェイスを選択します。

[Refresh]:ASAから最新の PPPoE 接続情報をロードして表示します。

Interface Connection

[Monitoring] > [Interfaces] ツリーの [Monitoring] > [Interfaces] > インターフェイス 接続ノードは、スタティック ルート トラッキングが設定されている場合にだけ表示されます。複数のルートを追跡している場合、追跡されるルートが含まれている各インターフェイスにノードがあります。

ルート トラッキングに関する詳細については、次の項を参照してください。

「Track Status for」

「Monitoring Statistics for」

Track Status for

[Monitoring] > [Interfaces] > インターフェイス接続 > [Track Status for] ペインには、トラッキング対象オブジェクトに関する情報が表示されます。

フィールド

[Tracked Route]: 表示専用 。トラッキング プロセスに関連付けられているルートを表示します。

[Route Statistics]: 表示専用 。オブジェクトの到達性情報を表示します。到達性情報で最後に変更があった場合は、オペレーションのリターンコード、およびトラッキングを実行するプロセスを表示します。

Monitoring Statistics for

[Monitoring] > [Interfaces] > インターフェイス接続 > [Monitoring Statistics for] ペインには、SLA モニタリング プロセスの統計情報が表示されます。

フィールド

[SLA Monitor ID]: 表示専用 。SLA モニタリング プロセスの ID を表示します。

[SLA statistics]: 表示専用 。プロセスが変更された最後の時刻、試行されたオペレーション回数、スキップされたオペレーション回数などの SLA モニタリング統計情報を表示します。

トランスペアレント モードのインターフェイスの機能履歴

表 14-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 14-1 トランスペアレント モードのインターフェイスの機能履歴

機能名
プラットフォーム リリース
機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

ASA 5520 の VLAN 数が 25 から 100 に増えました。

ASA 5540 の VLAN 数が 100 から 200 に増えました。

VLAN 数の増加

7.2(2)

ASA 5505 上の Security Plus ライセンスに対する VLAN 最大数が、5(3 つのフル機能インターフェイス、1 つのフェールオーバー インターフェイス、1 つのバックアップ インターフェイスに制限されるインターフェイス)から 20 のフル機能インターフェイスに増加されました。また、トランク ポート数も 1 から 8 に増加されました。フル機能のインターフェイスの数が 20 になり、バックアップ ISP インターフェイスを停止するために backup interface コマンドを使用する必要がなくなりました。つまり、バックアップ ISP インターフェイス用にフル機能のインターフェイスを使用できるようになりました。backup interface コマンドは、これまでどおり Easy VPN 設定用に使用できます。

VLAN の制限値も変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、GE(ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の FE(ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

ASA 5505 に対するネイティブ VLAN サポート

7.2(4)/8.0(4)

ネイティブ VLAN を ASA 5505 トランク ポートに割り当てることができるようになりました。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Switch Ports] > [Edit Switch Port]。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

Cisco ASA 5580 はジャンボ フレームをサポートしています。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [Advanced]。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

トランスペアレント モードの IPv6 のサポート

8.2(1)

トランスペアレント ファイアウォール モードの IPv6 サポートが導入されました。

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

次の画面が変更されました。
(シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General]
(マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface]

トランスペアレント モードのブリッジ グループ

8.4(1)

セキュリティ コンテキストのオーバーヘッドを避けたい場合、またはセキュリティ コンテキストを最大限に使用したい場合、インターフェイスをブリッジ グループにグループ化し、各ネットワークに 1 つずつ複数のブリッジ グループを設定できます。ブリッジ グループのトラフィックは他のブリッジ グループから隔離されます。シングル モードまたはコンテキストごとに、それぞれ 4 つのインターフェイスからなる最大 8 個のブリッジ グループを設定できます。

次の画面が変更または導入されました。
[Configuration] > [Device Setup] > [Interfaces]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface]