Cisco Security Manager 4.0 ユーザ ガイド
PIX/ASA/FWSM プラットフォームのユーザ インターフェイス リファレンス
PIX/ASA/FWSM プラットフォームのユーザ インターフェイス リファレンス
発行日;2012/02/02 | 英語版ドキュメント(2011/01/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

PIX/ASA/FWSM プラットフォームのユーザ インターフェイス リファレンス

[Interfaces] ページ - PIX および ASA

[Add Interface]/[Edit Interface] ダイアログボックス

[Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)

[Add/Edit Interface] ダイアログボックス(ASA 5505)

[Add/Edit Interface] ダイアログボックス(PIX 6.3)

[Advanced Interface Settings] ダイアログボックス

[Add VPND Group] ダイアログボックス

[PPPoE Users] ダイアログボックス

[Interfaces] ページ - FWSM

[FWSM Add/Edit Interface] ダイアログボックス

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

[ASA 5505 Ports and Interfaces] ページ

[Configure Hardware Ports] ダイアログボックス

[Bridging]

[ARP Table] ページ

[Add/Edit ARP Configuration] ダイアログボックス

[ARP Inspection] ページ

[Add/Edit ARP Inspection] ダイアログボックス

[MAC Address Table] ページ

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

[MAC Learning] ページ

[Add/Edit MAC Learning] ダイアログボックス

[Management IP] ページ

[AAA] ページ

[Authentication] タブ

[Authorization] タブ

[Accounting] タブ

[Banner] ページ

[Boot Image/Configuration] ページ

[Images] ダイアログボックス

[Clock] ページ

[Credentials] ページ

[CPU Threshold] ページ

PIX/ASA/FWSM プラットフォームのユーザ インターフェイス リファレンス

ここでは、PIX ファイアウォール、Catalyst 6500 シリーズ スイッチ上の Firewall Services Module(FWSM; ファイアウォール サービス モジュール)、Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)のセキュリティ サービスとポリシーを設定および管理するために使用できるオプションについて説明します。

各項は、デバイス ビューに表示される順序で編成されています。動作モードおよび設定に応じて、これらの要素の中には現在選択しているデバイスに適用されないものがある場合があります。

[Interfaces]

「[Interfaces] ページ - PIX および ASA」

「[Interfaces] ページ - FWSM」

「[ASA 5505 Ports and Interfaces] ページ」

[Platform]

「[Bridging]」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

[Device Admin]

「[AAA] ページ」

「[Authentication] タブ」

「[Authorization] タブ」

「[Accounting] タブ」

「[Banner] ページ」

「[Boot Image/Configuration] ページ」

「[Clock] ページ」

「[Credentials] ページ」

「[CPU Threshold] ページ」

[Interfaces] ページ - PIX および ASA

[Interfaces] ページには、設定されているインターフェイス、サブインターフェイス、および冗長インターフェイスが表示されており、それらを追加、編集、および削除できます。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを渡すことができます。ただし、専用の管理インターフェイスがプラットフォームに含まれている場合は、そのインターフェイス(物理インターフェイスまたはサブインターフェイスのどちらか)を、管理トラフィック用の第三のインターフェイスとして使用できます。

新しいセキュリティ デバイスをブートストラップした場合、設定機能で設定されるのは、内部インターフェイスに関連付けられたアドレスおよび名前だけです。そのファイアウォール デバイスを通過するトラフィックのアクセスおよび変換規則を指定する前に、そのデバイス上の残りのインターフェイスを定義する必要があります。

[Interfaces] ページの設定は、選択したデバイス タイプおよびバージョン、動作モード(ルーテッドまたはトランスペアレント)、およびデバイスで単一のコンテキストがホストされるか複数のコンテキストがホストされるかによって異なります。そのため、設定しているデバイスによって、次の表の一部のフィールドは該当しない場合があります。

ナビゲーション パス

[Interfaces] ページにアクセスするには、デバイス ビューでセキュリティ デバイスを選択し、デバイス ポリシー セレクタから [Interfaces] を選択します。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Add/Edit Interface] ダイアログボックスの使用方法」

フィールド リファレンス

 

表 48-1 [Interfaces] ページ

要素
説明
[Interfaces] テーブル

[Interface Type]

インターフェイスの種類。この値は、選択したインターフェイスのハードウェア ID 設定、または [Redundant Interface] オプションの選択内容から取得されます。有効なオプションは次のとおりです。

[Ethernet]

[GigabitEthernet]

[TenGigabitEthernet (ASA 5580 only)]

[Redundant]

[Name]

インターフェイス ID。すべての物理インターフェイスが自動的に表示されます。ASA/PIX 7.0 デバイスの場合、サブインターフェイスは、インターフェイス ID とそれに続く .n で示されます。 n はサブインターフェイス番号です。

[IP Address]

インターフェイスの IP アドレス。または、トランスペアレント モードでは「native」という単語。トランスペアレント モードのインターフェイスでは、IP アドレスは使用されません。

[IP Address Type]

IP アドレスが提供される方式。有効なオプションは次のとおりです。

[static]:IP アドレスは手動で定義されます。

[dhcp]:IP アドレスは DHCP リース経由で取得されます。

[pppoe]:IP アドレスは PPPoE を使用して取得されます。

[Interface Role]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

有効なオプションは次のとおりです。

[All-Interfaces]:インターフェイスは、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーです。

[Internal]:このインターフェイスは、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーです。

[External]:このインターフェイスは、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーです。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[Hardware Port]

デバイスにインストールされているインターフェイスのタイプ、およびインターフェイスがインストールされているポートまたはスロットを示します。

サブインターフェイスの場合、この値はサブインターフェイスが関連付けられている物理インターフェイスを示します。

[Enabled]

インターフェイスがイネーブルになっているかどうかを true または false で示します。

デフォルトでは、すべての物理インターフェイスがシャットダウンされています。イネーブルにしたサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスをイネーブルにする必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過できるようには、システム設定でそのインターフェイスをイネーブルにしておく必要もあります。システム実行スペースでインターフェイスをシャットダウンすると、そのインターフェイスを共有しているすべてのコンテキストでこのインターフェイスがダウンします。

[VLAN ID]

サブインターフェイスの場合、これは VLAN ID(1 ~ 4094 の整数)です。一部の VLAN ID は接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。マルチ コンテキスト モードの場合、VLAN ID はシステム設定でだけ設定できます。

この値を指定しない場合、カラムには native と表示されます。

[Security Level]

インターフェイスのセキュリティ レベル。0 ~ 100 の値です。

[Management Only]

管理目的でだけセキュリティ アプライアンスへのトラフィックを許可するかどうかを示します。true または false です。

[MTU]

Maximum Transmission Unit(MTU; 最大伝送ユニット)。つまり、インターフェイスで処理できる最大パケット サイズ(バイト単位)です。デフォルトでは、MTU は 1500 です。

[Member]

このインターフェイスが冗長インターフェイス ペアのメンバーかどうかを示します。true または false です。

[Description]

インターフェイスの説明。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。

[ASR Group]

このインターフェイスが非対称ルーティング グループの一部である場合、その ASR グループ番号です。非対称ルーティングのサポートがフェールオーバー設定の装置間で適切に機能するようにするには、ステートフル フェールオーバーをイネーブルにする必要があります。ASR グループの有効な値の範囲は 1 ~ 32 です。

[Add Interface]/[Edit Interface] ダイアログボックス

[Add Interface]/[Edit Interface] ダイアログボックスを使用して、インターフェイス、サブインターフェイス、または冗長インターフェイスを追加または編集します。冗長インターフェイスの詳細については、「冗長インターフェイスについて」を参照してください。

同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすることができます。非アクティブ インターフェイスをディセーブルにすることができます。ディセーブルになっている場合、インターフェイスはデータの送受信を行いませんが、設定情報は保持されます。

マルチ コンテキスト モードの場合、インターフェイスはシステム設定でだけ追加できます。コンテキストへのインターフェイスの割り当てについては、「ファイアウォール デバイスでのセキュリティ コンテキストの設定」ページを参照してください。

フェールオーバーに物理インターフェイスを使用する場合は、このダイアログボックスでインターフェイスを設定しないでください。代わりに、[Failover] ページを使用してください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。その他のパラメータは無視されます。

インターフェイスをフェールオーバー リンクまたはステート リンクとして割り当てたあとで、そのインターフェイスを [Interfaces] ページから編集または削除することはできません。ただし、例外として、物理インターフェイスをステート リンクとして設定している場合だけは、速度とデュプレックスを設定できます。

[Add Interface]/[Edit Interface] ダイアログボックスに表示されるオプションは、選択したデバイス タイプ、デバイスのモード(ルーテッドまたはトランスペアレント)、および定義するインターフェイスのタイプ(物理、仮想、論理、サブインターフェイスなど)によって異なります。詳細については、次の項を参照してください。

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)」

「[Add/Edit Interface] ダイアログボックス(ASA 5505)」

「[Add/Edit Interface] ダイアログボックス(PIX 6.3)」

ナビゲーション パス

[Add Interface]/[Edit Interface] ダイアログボックスには、[Interfaces] ページからアクセスできます。詳細については、「[Interfaces] ページ - PIX および ASA」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - PIX および ASA」

「[ASA 5505 Ports and Interfaces] ページ」

「[Advanced Interface Settings] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

[Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)

[Add Interface]/[Edit Interface] ダイアログボックスは、インターフェイスの定義および設定に使用します。

 

表 48-2 [Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)

要素
説明

[Enable Interface]

このインターフェイスでトラフィックを渡せるようにします。この設定に加えて、セキュリティ ポリシーに従ってトラフィックが通過できるように、(ルーテッド モードの)IP アドレスおよび名前を設定する必要があります。

デフォルトでは、すべての物理インターフェイスがシャットダウンされています。イネーブルにしたサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスをイネーブルにする必要があります。マルチ コンテキスト モードの場合、物理インターフェイスまたはサブインターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過できるようには、システム設定でそのインターフェイスをイネーブルにしておく必要もあります。システム実行スペースでインターフェイスをシャットダウンすると、そのインターフェイスを共有しているすべてのコンテキストでこのインターフェイスがダウンします。

[Management Only]

このインターフェイスをデバイス管理用に予約します。このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。プライマリまたはセカンダリ ISP インターフェイスは管理専用に設定できません。

[Redundant Interface]

このオプションを選択して、「冗長インターフェイス」を定義します。このオプションがオンの場合、[Type] オプションがディセーブルになり、[Hardware Port]、[Duplex]、および [Speed] オプションが表示されなくなり、[Redundant ID]、[Primary Interface]、および [Secondary Interface] オプションが表示されます。

[Redundant ID]:この冗長インターフェイスの ID を指定します。有効な ID は、1 ~ 8 の整数です。

[Primary Interface]:この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのプライマリ メンバーを選択します。指定済みのインターフェイスは冗長インターフェイス ペアに使用できないため、使用可能なインターフェイスがハードウェア ポート ID 別に表示されます。

[Secondary Interface]:この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのセカンダリ メンバーを選択します。指定済みのインターフェイスは冗長インターフェイス ペアに使用できないため、使用可能なインターフェイスがハードウェア ポート ID 別に表示されます。

(注) メンバー インターフェイスは、イネーブルであり、同じタイプ(GigabitEthernet など)である必要があり、[Name]、[IP Address]、または [Security Level] を割り当てることはできません。実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。

詳細については、「冗長インターフェイスについて」を参照してください。

[Type]

インターフェイスのタイプ。有効な値は次のとおりです。

[Interface]:設定は、物理インターフェイスを表します。

[Subinterface]:設定は、基礎となる物理インターフェイスと同じネットワークに接続された論理インターフェイスを表します。

(注) このオプションは、[Redundant Interface] が選択されている場合には使用できません。

[Name]

最長 48 文字のインターフェイス名を設定します。名前は、その用途に関係するインターフェイスの論理名である必要があります。サポートされるインターフェイス名は、次のとおりです。

Inside:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

DMZ:中間インターフェイスに接続された「非武装地帯」。DMZ は境界ネットワークとも呼ばれます。DMZ インターフェイスに任意の名前を付けることができます。一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「 DMZ 」というプレフィクスを付けます。

Outside:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

(注) このインターフェイスをデバイス フェールオーバーに使用するか、または冗長インターフェイスのメンバーとして使用する場合は、名前を付けないでください。

[Hardware Port]

物理インターフェイスの場合、これはインターフェイスに割り当てられた特定のハードウェア ポートです。この値は、サブインターフェイスをインターフェイスに関連付けるために使用できる名前でもあります。

有効な値は次のとおりです。

Ethernet0 ~ Ethernet n

GigabitEthernet0 ~ GigabitEthernet n

GigabitEthernet s / n

TenGigabitEthernet s / n (ASA 5580 だけ)

s はスロット番号、 n はポート番号を表し、スロットまたはデバイスのネットワーク ポートの最大数を上限とします。

サブインターフェイスの場合は、サブインターフェイスの割り当て先となる、イネーブルにされた任意の物理インターフェイスを選択します。インターフェイス ID が表示されない場合は、インターフェイスが定義済みで、イネーブルにされていることを確認してください。

(注) このオプションは、[Redundant Interface] が選択されている場合には表示されません。

[Subinterface ID]

サブインターフェイス ID を 1 ~ 4294967293 の整数として設定します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。

(注) 設定後は ID を変更できません。

[Media Type]

[Hardware Port] フィールドにハードウェア ポート ID とスロット番号/ポート番号を入力すると、[Media Type] オプションがイネーブルになります。インターフェイスのメディア タイプを指定します。

[RJ45]:ポートは RJ-45 コネクタを使用します。

[SFP]:ポートはファイバ SFP コネクタを使用します。TenGigabitEthernet インターフェイス カードの場合に必要です。

[IP Type]

インターフェイスのアドレッシングを指定します。次の方式のいずれかを選択し、関連するパラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。IP アドレスは、インターフェイスごとに一意である必要があります。

サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止するためです。[Subnet Mask] の値を省略すると、「クラスフル」ネットワークが想定されます。

(注) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[DHCP Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 で、デフォルトは 1 です。

すべてのルートに、その使用プライオリティを示す値または「メトリック」があります(このメトリックは「管理ディスタンス」とも呼ばれます)。同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスは管理ディスタンスを使用して使用するルートを決定します。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように DHCP サーバからデフォルト ルートを取得するには、このオプションを選択します。「スタティック ルートの設定」も参照してください。

[Enable Tracking for DHCP Learned Route]:[Obtain Default Route using DHCP] を選択した場合、このオプションを選択し、特定の Service Level Agreement(SLA; サービス レベル契約)モニタによるルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力または選択します。詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

[IP Type](続き)

[PPPoE (PIX and ASA 7.2+)]:Point-to-Point Protocol over Ethernet(PPPoE)をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。このオプションは、フェールオーバーではサポートされません。次のオプションが使用可能になります。

[VPDN Group Name](必須):ネットワーク接続、ネゴシエーション、および認証に使用する認証方式とユーザ名/パスワードが含まれる Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループ。詳細については、「VPDN グループの管理」を参照してください。

[IP Address]:指定した場合、ネゴシエートされたアドレスではなく、このスタティック IP アドレスが、接続および認証に使用されます。

[Subnet Mask]:指定した IP アドレスとともに使用されるサブネットマスク。

[PPPoE Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 で、デフォルトは 1 です。

すべてのルートに、その使用プライオリティを示す値または「メトリック」があります(このメトリックは「管理ディスタンス」とも呼ばれます)。同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスは管理ディスタンスを使用して使用するルートを決定します。

[Obtain Default Route using PPPoE]:PPPoE サーバからデフォルト ルートを取得するには、このオプションを選択します。PPPoE クライアントでまだ接続が確立されていない場合には、デフォルト ルートを設定します。このオプションを使用する場合は、スタティックに定義されたルートを設定に含めることができません。

[Enable Tracking for PPPoE Learned Route]:[Obtain Default Route using PPPoE] を選択した場合、このオプションを選択し、PPPoE が学習したルートのルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Dual ISP Interface]:デュアル ISP サポート用のインターフェイスを定義する場合、設定中の接続を示す [Primary] または [Secondary] を選択します。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力または選択します。詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

(注) DHCP および PPPoE は、セキュリティ アプライアンスの外部インターフェイスにかぎり設定できます。

(注) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

[VLAN ID]

VLAN ID(1 ~ 4094)を設定します。一部の VLAN ID は、接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でだけ設定できます。

[Duplex]

インターフェイスのデュプレックス オプションが表示されます。インターフェイス タイプに応じて、[Full]、[Half]、または [Auto] があります。

[TenGigabitEthernet (ASA 5580 only)] の場合、[Duplex] は自動的に [Full] に設定されます。

(注) このオプションは、[Redundant Interface] が選択されている場合には表示されません。

[Speed]

物理インターフェイスの速度オプションが表示されます。論理インターフェイスには適用されません。使用できる速度は、インターフェイス タイプによって異なります。

10

100

1000

10000(TenGigabitEthernet インターフェイスの場合に自動的に設定されます。ASA 5580 でだけ使用できます)

non-negotiable

(注) このオプションは、[Redundant Interface] が選択されている場合には表示されません。

[MTU]

Maximum Transmission Unit(MTU; 最大伝送ユニット)のバイト数を設定します。この値は、インターフェイスに接続されているネットワークのタイプによって異なります。有効な値は 300 ~ 65535 バイトです。PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。マルチ コンテキスト モードの場合は、コンテキスト設定で MTU を設定します。

[Description]

任意の説明を、復帰を使用しないで 1 行に最大 240 文字で設定します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

[Security Level]

インターフェイスのセキュリティ レベルを設定します。指定できる値は、0(最小)~ 100(最大)です。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部インターフェイスは常に 0 です。

内部インターフェイスは常に 100 です。

DMZ インターフェイスは 1 ~ 99 です。

[Active MAC Address]

このフィールドを使用して、プライベート MAC アドレスをインターフェイスに手動で割り当てます。

MAC アドレスは、 H.H.H の形式で指定します。 H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

デフォルトでは、物理インターフェイスでバーンドイン MAC アドレスが使用され、そのすべてのサブインターフェイスで同じバーンドイン MAC アドレスが使用されます。冗長インターフェイスでは、プライマリ インターフェイスの MAC アドレスが使用され、メンバー インターフェイスの順序を変更した場合、冗長インターフェイスの MAC アドレスは、最初にリストされているインターフェイスの MAC アドレスと一致するように変更されます。このフィールドを使用して MAC アドレスを冗長インターフェイスに割り当てた場合は、メンバー インターフェイスの MAC アドレスに関係なく使用されます。

[Standby MAC Address]

デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスを設定することもできます。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

デフォルト オプションは次のとおりです。

[All-Interfaces]:インターフェイスは、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーであることを示します。

[Internal]:このインターフェイスは、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを示します。

[External]:このインターフェイスは、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを示します。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[Add/Edit Interface] ダイアログボックス(ASA 5505)

ASA 5505 で表示される [Add/Edit Interface] ダイアログボックスを使用すると、デバイスの VLAN インターフェイスを設定できます。ダイアログボックスには、「[ASA 5505 Ports and Interfaces] ページ」の [Interfaces] タブからアクセスできます。

 

表 48-3 [Add/Edit Interface] ダイアログボックス(ASA 5505)

要素
説明

[Enable Interface]

このインターフェイスでトラフィックを渡せるようにします。この設定に加えて、セキュリティ ポリシーに従ってトラフィックが通過できるように、(ルーテッド モードの)IP アドレスおよび名前を設定する必要があります。

[Management Only]

このインターフェイスをデバイス管理用に予約します。このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。プライマリまたはバックアップ ISP インターフェイスは管理専用に設定できません。

[Name]

最長 48 文字のインターフェイス名を設定します。名前は、その用途に関係するインターフェイスの論理名である必要があります。フェールオーバーを使用する場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。

サポートされるインターフェイス名は、次のとおりです。

Inside:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

DMZ:中間インターフェイスに接続された「非武装地帯」。DMZ は境界ネットワークとも呼ばれます。DMZ インターフェイスに任意の名前を付けることができます。一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために DMZ というプレフィクスを付けます。

Outside:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

[IP Type]

インターフェイスのアドレス タイプを指定します。次の方式のいずれかを選択し、関連するパラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。[Subnet Mask] の値を省略すると、「クラスフル」ネットワークが想定されます。

[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[DHCP Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。このフィールドがブランクの場合、学習されたルートの管理ディスタンスはデフォルトで 1 になります。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように DHCP サーバからデフォルト ルートを取得するには、このオプションを選択します。「スタティック ルートの設定」も参照してください。

[Enable Tracking for DHCP Learned Route]:[Obtain Default Route using DHCP] を選択した場合、このオプションを選択し、特定の Service Level Agreement(SLA; サービス レベル契約)モニタによるルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。ルート トラッキングに使用する SLA モニタ オブジェクトの名前を指定します。[Select] ボタンを使用して、使用可能な SLA モニタのリストから選択できます(詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください)。

[PPPoE (PIX and ASA 7.2+)]:PPPoE をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。フェールオーバーではサポートされません。

[VPDN Group Name](必須):ネットワーク接続、ネゴシエーション、および認証に使用する認証方式とユーザ名/パスワードが含まれる Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループ。詳細については、「VPDN グループの管理」を参照してください。

[IP Address]:指定した場合、ネゴシエートされたアドレスではなく、このスタティック IP アドレスが、接続および認証に使用されます。

[Subnet Mask]:指定した IP アドレスとともに使用されるサブネットマスク。

[PPPoE Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。このフィールドがブランクの場合、学習されたルートの管理ディスタンスはデフォルトで 1 になります。

[IP Type](続き)

[Obtain Default Route using PPPoE]:PPPoE サーバからデフォルト ルートを取得するには、このオプションを選択します。PPPoE クライアントでまだ接続が確立されていない場合には、デフォルト ルートを設定します。このオプションを使用する場合は、スタティックに定義されたルートを設定に含めることができません。

[Enable Tracking for PPPoE Learned Route]:[Obtain Default Route using PPPoE] を選択した場合、このオプションを選択し、PPPoE が学習したルートのルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Dual ISP Interface]:デュアル ISP サポート用のインターフェイスを定義する場合、設定中の接続を示す [Primary] または [Secondary] を選択します。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。ルート トラッキングに使用する SLA モニタ オブジェクトの名前を指定します。[Select] ボタンを使用して、使用可能な SLA モニタのリストから選択できます(詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください)。

(注) DHCP および PPPoE は、セキュリティ アプライアンスの外部インターフェイスにかぎり設定できます。

(注) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

[MTU]

Maximum Transmission Unit(MTU; 最大伝送ユニット)のバイト数を設定します。この値は、インターフェイスに接続されているネットワークのタイプによって異なります。有効な値は 300 ~ 65535 バイトです。PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。マルチ コンテキスト モードの場合は、コンテキスト設定で MTU を設定します。

[VLAN ID]

VLAN ID(1 ~ 4090)を設定します。マルチ コンテキスト モードの場合、VLAN ID はシステム設定でだけ設定できます。

[Security Level]

インターフェイスのセキュリティ レベルを設定します。指定できる値は、0(最小)~ 100(最大)です。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部インターフェイスは常に 0 です。

内部インターフェイスは常に 100 です。

DMZ インターフェイスは 1 ~ 99 です。

[Block Traffic To]

この VLAN インターフェイスがここで選択された VLAN と接続を開始するのを制限します。

[Backup Interface]

このインターフェイスのバックアップ ISP を選択します。プライマリ インターフェイスによるデフォルト ルートに障害が発生しないかぎり、バックアップ インターフェイスはトラフィックを通過させません。トラフィックがバックアップ インターフェイスを通過できるようにするには、プライマリ インターフェイスに障害が発生したときにバックアップ インターフェイスを使用できるように、プライマリ インターフェイスとバックアップ インターフェイスの両方でデフォルト ルートを設定します。

[Active MAC Address]

このフィールドを使用して、MAC アドレスをインターフェイスに手動で割り当てます。

MAC アドレスは、 H.H.H の形式で指定します。 H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

[Standby MAC Address]

[Active MAC Address] を割り当てる場合、[Standby MAC Address] も割り当てることができます。

[Description]

任意の説明を、復帰を使用しないで 1 行に最大 240 文字で設定します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

デフォルト オプションは次のとおりです。

[All-Interfaces]:インターフェイスが、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーであることを指定します。

[Internal]:このインターフェイスが、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

[External]:このインターフェイスが、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[Add/Edit Interface] ダイアログボックス(PIX 6.3)

 

表 48-4 [Add/Edit Interface] ダイアログボックス(PIX 6.3)

要素
説明

[Enable Interface]

このインターフェイスでトラフィックを渡せるようにします。この設定に加えて、トラフィックがセキュリティ ポリシーに応じて通過できるように、IP アドレスおよび名前を指定する必要があります。

イネーブルにしたサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスをイネーブルにする必要があります。

[Type]

VLAN インターフェイスのタイプ。有効な値は次のとおりです。

[Logical]:VLAN は、論理インターフェイスに関連付けられます。

[Physical]:VLAN は、その基礎となるハードウェア インターフェイスと同じネットワーク上にあります。

[Name]

最長 48 文字のインターフェイス名を設定します。名前は、その用途に関係するインターフェイスの論理名である必要があります。サポートされるインターフェイス名は、次のとおりです。

Inside:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

DMZ:非武装地帯(中間インターフェイス)。境界ネットワークとも呼ばれます。

Outside:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

[Hardware Port]

物理ネットワーク インターフェイスを定義する場合、この値は、デバイスでのインターフェイス タイプとそのスロットまたはポートを識別する名前を表します。

論理ネットワーク インターフェイスを追加する場合、論理インターフェイスを追加する任意のイネーブル化された物理インターフェイスを選択できます。目的のハードウェア ポートが表示されない場合は、インターフェイスがイネーブルであることを確認してください。

有効な値は次のとおりです。

ethernet0 ~ ethernet n

gb-ethernet n

n は、デバイスでのネットワーク インターフェイスの番号を表します。

[IP Type]

インターフェイスのアドレス タイプを指定します。

[Static IP]:スタティック IP アドレスおよびマスクをインターフェイスに割り当てます。

[Use DHCP]:ダイナミック IP アドレスおよびマスクをインターフェイスに割り当てます。

[Use PPPoE]:IP アドレスをインターフェイスに割り当てる認証済みの方式を提供します。

(注) DHCP および PPPoE は、ファイアウォール デバイスの外部インターフェイスでだけ設定できます。

[IP Address]

インターフェイスの IP アドレスを示します。このフィールドは、スタティック IP または PPPoE が IP タイプである場合に使用できます。

IP アドレスは、インターフェイスごとに一意である必要があります。

ダイナミック アドレッシングを使用するインターフェイスの場合、IP アドレスはブランクです。

(注) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

スタティック IP アドレスの場合、[IP Type] のリストから [Static IP] を選択し、[IP Address] フィールドに IP アドレスおよびマスクを入力します。DHCP サーバから IP アドレスを取得するには、[IP Type] のリストから [Use DHCP] を選択します。

[Subnet Mask]

インターフェイスの IP アドレスのネットワーク マスクを示します。値は、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。

(注) ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。これらのマスク値を使用すると、トラフィックがこのインターフェイスで停止するためです。

[Obtain Default Route using DHCP]

[IP Type] に [Use DHCP] が選択されている場合にだけ使用可能です。選択すると、デフォルト ルートはファイアウォール デバイスによって、DHCP サーバが返すデフォルト ゲートウェイ パラメータを使用して設定されます。選択しない場合は、「スタティック ルートの設定」で、デフォルト ルートをスタティック ルートとして手動で定義する必要があります。

[Retry Count]

エラーが返されるまでの試行回数を示します。有効な値は 4 ~ 16 です。

[Obtain default route using PPPoE]

[IP Type] に [Use PPPoE] が選択されている場合にだけ使用可能です。選択すると、ファイアウォール デバイス上の PPPoE クライアントはデフォルト ルートをコンセントレータに問い合わせます。選択しない場合は、ファイアウォール デバイスによって、コンセントレータのアドレスをデフォルト ゲートウェイとして使用してデフォルト ルートが生成されます。

[Speed and Duplex]

物理インターフェイスの速度オプションが表示されます。論理インターフェイスには適用されません。

[auto]:イーサネットの速度を自動的に設定します。auto キーワードは、Intel 10/100 自動速度検出ネットワーク インターフェイス カードでだけ使用できます。

[10baset]:10-Mbps イーサネット半二重

[10full]:10-Mbps イーサネット全二重

[100basetx]:100-Mbps イーサネット半二重

[100full]:100-Mbps イーサネット全二重

[1000auto]:1000-Mbps イーサネット(全二重または半二重を
オートネゴシエーション)

ヒント ネットワーク内のスイッチなどのデバイスとの互換性を維持するために、このオプションを使用しないことを推奨します。

[1000full]:オートネゴシエーション、アドバタイジング 1000-Mbps イーサネット全二重

[1000full nonnegotiate]:1000-Mbps イーサネット全二重

[aui]:AUI ケーブル インターフェイスとの 10-Mbps イーサネット半二重通信

[bnc]:BNC ケーブル インターフェイスとの 10-Mbps イーサネット半二重通信

(注) ネットワーク環境に自動検知を正しく処理しないスイッチなどのデバイスが含まれている場合に、ネットワーク インターフェイスの速度を指定することを推奨します。

[MTU]

Maximum Transmission Unit(MTU; 最大伝送ユニット)のバイト数を設定します。この値は、インターフェイスに接続されているネットワークのタイプによって異なります。有効な値は 300 ~ 65535 バイトです。PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。

[Physical VLAN ID]

物理インターフェイスの場合、VLAN ID(1 ~ 4094)を設定します。この VLAN ID は、接続されているデバイスで使用中であってはなりません。

[Logical VLAN ID]

この論理インターフェイスに関連付けられた VLAN のエイリアス(1 ~ 4094 の値)を示します。この値は、論理インターフェイス タイプが選択されている場合に必要です。

[Security Level]

インターフェイスのセキュリティ レベルを設定します。指定できる値は、0(最小)~ 100(最大)です。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部インターフェイスは常に 0 です。

内部インターフェイスは常に 100 です。

DMZ インターフェイスの値の範囲は 1 ~ 99 です。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

デフォルト オプションは次のとおりです。

[All-Interfaces]:インターフェイスが、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーであることを指定します。

[Internal]:このインターフェイスが、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

[External]:このインターフェイスが、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[Advanced Interface Settings] ダイアログボックス

ナビゲーション パス

[Advanced Interface Settings] ダイアログボックスには、[Interfaces] ページ、または [ASA 5505 Ports and Interfaces] ページの [Interfaces] タブからアクセスできます。これらのページの詳細については、「[Interfaces] ページ - PIX および ASA」または「[ASA 5505 Ports and Interfaces] ページ」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - PIX および ASA」

「[Interfaces] ページ - FWSM」

「[ASA 5505 Ports and Interfaces] ページ」

「[Add Interface]/[Edit Interface] ダイアログボックス」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

フィールド リファレンス

 

表 48-5 [Advanced Interface Settings] ダイアログボックス

要素
説明

[Traffic between interfaces with same security levels]

同じセキュリティ レベルのインターフェイス間の通信を制御します。同じセキュリティ インターフェイス通信をイネーブルにした場合でも、異なるセキュリティ レベルで通常どおりインターフェイスを設定できます。

[Disabled]:同じセキュリティ レベルのインターフェイス間の通信を許可しません。

[Inter-interface]:同じセキュリティ レベルが設定されているインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、ファイアウォール デバイス内のインターフェイス間のトラフィック フローをイネーブルにするために変換規則を定義する必要はありません。

[Intra-interface]:同じセキュリティ レベルが設定されているサブインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、インターフェイスに割り当てられたサブインターフェイス間のトラフィック フローをイネーブルにするために変換規則を定義する必要はありません。

[Both]:同じセキュリティ レベルのインターフェイスおよびサブインターフェイス間で、インターフェイス内通信とインターフェイス間通信の両方を許可します。

[PPPoE Users] ボタン

クリックして、[PPPoE Users] ダイアログボックスにアクセスします。

[VPDN Groups](PIX および ASA 7.2+)

[Group Name]

グループ名を表示します。

[PPPoE Username]

PPPoE ユーザ名を表示します。

[PPP Authentication]

この VPDN グループの PPP 認証方式を指定します。

[PAP]

[CHAP]

[MSCHAP]

[Add VPND Group] ダイアログボックス

ナビゲーション パス

[Add VPND Group] ダイアログボックスには、[Advanced Interface Settings] ダイアログボックスからアクセスできます。[Advanced Interface Settings] ダイアログボックスの詳細については、「[Advanced Interface Settings] ダイアログボックス」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - PIX および ASA」

「[Interfaces] ページ - FWSM」

「[ASA 5505 Ports and Interfaces] ページ」

「[Add Interface]/[Edit Interface] ダイアログボックス」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

フィールド リファレンス

 

表 48-6 [Add VPND Group] ダイアログボックス

要素
説明

[Group Name]

グループ名を入力します。

[PPPoE Username]

PPPoE ユーザ名を選択します。

[PPP Authentication]

PPP 認証方式を選択します。

[PAP]

[CHAP]

[MSCHAP]

[PPPoE Users] ダイアログボックス

ナビゲーション パス

[PPPoE Users] ダイアログボックスには、[Advanced Interface Settings] ダイアログボックスおよび [Add VPND Group] ダイアログボックスからアクセスできます。[Advanced Interface Settings] ダイアログボックスの詳細については、「[Advanced Interface Settings] ダイアログボックス」を参照してください。[Add VPND Group] ダイアログボックスの詳細については、「[Add VPND Group] ダイアログボックス」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - PIX および ASA」

「[Interfaces] ページ - FWSM」

「[ASA 5505 Ports and Interfaces] ページ」

「[Add Interface]/[Edit Interface] ダイアログボックス」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[Add PPPoE User]/[Edit PPPoE User] ダイアログボックス」

フィールド リファレンス

 

表 48-7 [PPPoE Users] ダイアログボックス

要素
説明
[PPPoE Users](PIX および ASA 7.2+)

[Username]

PPPoE ユーザ名を表示します。

[Store in Local Flash]

この PPPoE ユーザ アカウントをローカル フラッシュ内に保存するかどうかを指定します(True または False)。

[Add PPPoE User]/[Edit PPPoE User] ダイアログボックス

ナビゲーション パス

[Add PPPoE User] および [Edit PPPoE User] ダイアログボックスには、[PPPoE Users] ダイアログボックスからアクセスできます。[PPPoE Users] ダイアログボックスの詳細については、「[PPPoE Users] ダイアログボックス」を参照してください。


) [Add PPPoE User] および [Edit PPPoE User] ダイアログボックスは、実質的には同じです。次の説明は両方に適用されます。


関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - PIX および ASA」

「[Interfaces] ページ - FWSM」

「[ASA 5505 Ports and Interfaces] ページ」

「[Add Interface]/[Edit Interface] ダイアログボックス」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

フィールド リファレンス

 

表 48-8 [Add PPPoE User]/[Edit PPPoE User] ダイアログボックス

要素
説明

[Username]

PPPoE ユーザの名前を指定します。

[Password]

このユーザのパスワードを入力します。

[Confirm]

パスワードを再入力します。

[Store Username and Password in Local Flash]

PPPoE ユーザ情報をフラッシュ メモリに保存するには、このオプションを選択します。

[Interfaces] ページ - FWSM

[FWSM Interfaces] ページには、選択したファイアウォール サービス モジュール上に設定された仮想インターフェイス(VLAN)が表示されます。論理 VLAN インターフェイスを追加または削除でき、同じセキュリティ レベルのインターフェイス間の通信をイネーブルにすることもできます。非アクティブ インターフェイスをディセーブルにすることができます。ディセーブルになっている場合、インターフェイスはパケットの送受信を行いませんが、設定情報は保持されます。


) FWSM に任意の論理 VLAN インターフェイスを追加できますが、トラフィックを渡せるのは、親のスイッチまたはルータによって FWSM に割り当てられている VLAN だけです。


新しいファイアウォール デバイスをブートストラップした場合、設定機能によって、内部インターフェイスに関連付けられたアドレスおよび名前だけが設定されます。そのファイアウォール デバイスを通過するトラフィックのアクセスおよび変換規則を指定する前に、そのデバイス上の残りのインターフェイスを定義する必要があります。

[Interfaces] ページの設定は、デバイス バージョン、動作モード(ルーテッドまたは トランスペアレント)、およびデバイスで単一のコンテキストがホストされるか複数のコンテキストがホストされるかによって異なります。そのため、定義しているデバイスによって、次の表の一部のフィールドは該当しない場合があります。

ナビゲーション パス

このページにアクセスするには、デバイス ビューで FWSM を選択し、デバイス ポリシー セレクタから [Interfaces] を選択します。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

フィールド リファレンス

 

表 48-9 [FWSM Interfaces] ページ

要素
説明
[Interfaces] タブ

[Name]

インターフェイスに割り当てられた名前。

[IP Address]

インターフェイスに割り当てられた IP アドレスとサブネット マスク。

[Interface Role]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

有効なオプションは次のとおりです。

[All-Interfaces]:インターフェイスは、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーです。

[Internal]:このインターフェイスは、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーです。

[External]:このインターフェイスは、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーです。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[VLAN ID]

この論理インターフェイスが割り当てられている VLAN。

[Bridge Group]

この論理インターフェイスが割り当てられているブリッジ グループ(トランスペアレント モードだけ)。

[Enabled]

インターフェイスがイネーブルになっているかどうかを true または false で示します。

ディセーブルになっている場合、インターフェイスはパケットの送受信を行いませんが、その設定情報は保持されます。

[Security Level]

インターフェイスのセキュリティ レベルを表示します。0 ~ 100 の値です。

[Management Only]

このインターフェイスでセキュリティ アプライアンスへのトラフィックが管理のためだけに許可されるかどうかを示します。

[Description]

インターフェイスの説明(入力された場合)。

フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。

[ASR Group]

このインターフェイスが非対称ルーティング グループの一部である場合、ASR グループ番号を表示します。非対称ルーティングのサポートがフェールオーバー設定の装置間で適切に機能するようにするには、ステートフル フェールオーバーをイネーブルにする必要があります。ASR グループの有効な値の範囲は 1 ~ 32 です。

[Bridge Groups] タブ(トランスペアレント モードだけ)

[Bridge Group]

ブリッジ グループの名前。

[ID]

このブリッジ グループに割り当てられた ID。

[Interface A]

このブリッジ グループに割り当てられた最初の VLAN。

[Interface B]

このブリッジ グループに割り当てられた 2 番目の VLAN。

[IP]

ブリッジ グループに割り当てられた管理 IP アドレス。セキュリティ アプライアンスに必要な IP 設定は、各ブリッジ グループの管理 IP アドレスの設定だけです。このアドレスは、セキュリティ アプライアンスによって、システム メッセージや AAA サーバとの通信など、アプライアンスで発信されるトラフィックの送信元アドレスとして使用されます。このアドレスは、リモート管理アクセスにも使用できます。

トランスペアレント ファイアウォールは IP ルーティングには関与しません。

[Netmask]

管理 IP アドレスのネットマスクを表示します。

[Description]

このブリッジ グループの説明(入力された場合)。

[FWSM Add/Edit Interface] ダイアログボックス

[Add/Edit Interface] ダイアログボックスを使用して、仮想インターフェイスを追加または編集します。マルチ コンテキスト モードの場合、インターフェイスはシステム設定でだけ追加できます。インターフェイスをコンテキストに割り当てるには、「ファイアウォール デバイスでのセキュリティ コンテキストの設定」ページを参照してください。

フェールオーバーに物理インターフェイスを使用する場合は、このダイアログボックスでインターフェイスを設定しないでください。代わりに、[Failover] ページを使用してください。特に、インターフェイス名は設定しないでください。このパラメータを設定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。その他のパラメータは無視されます。

インターフェイスをフェールオーバー リンクまたはステート リンクとして割り当てたあとで、そのインターフェイスを [Interfaces] ページから編集または削除することはできません。ただし、例外として、物理インターフェイスをステート リンクとして設定している場合だけは、速度とデュプレックスを設定できます。

[Add/Edit Interface] ダイアログボックスに表示されるオプションは、選択したデバイス バージョンと、そのモード(ルーテッドまたはトランスペアレント)によって異なります。

ナビゲーション パス

[FWSM Add/FWSM Edit Interface] ダイアログボックスには、[FWSM Interfaces] ページからアクセスできます。[Interfaces] ページの詳細については、「[Interfaces] ページ - FWSM」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - FWSM」

「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

フィールド リファレンス

 

表 48-10 [FWSM Add/Edit Interface] ダイアログボックス

要素
説明

[Enable Interface]

デバイス上のこの論理インターフェイスをイネーブルにします。ディセーブルになっている場合、インターフェイスはパケットの送受信を行いませんが、その設定情報は保持されます。

(注) FWSM に任意の論理 VLAN インターフェイスを追加できますが、トラフィックを渡せるのは、親のスイッチまたはルータによって FWSM に割り当てられている VLAN だけです。

[Management Only]

通過トラフィックではなく、セキュリティ アプライアンスへのトラフィックだけを受信するようにインターフェイスを設定します。

[Name]

識別しやすいように、最大 48 文字の英数字のエイリアスを VLAN に割り当てることができます。ただし、Security Manager では、マルチ コンテキスト モードで動作している FWSM の名前付きのインターフェイスはサポートされないことに注意してください。

特別なインターフェイス名は、次のとおりです。

Inside:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

DMZ:中間インターフェイスに接続された非武装地帯。DMZ は境界ネットワークとも呼ばれます。DMZ インターフェイスに任意の名前を付けることができます。一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「 DMZ 」というプレフィクスを付けます。

Outside:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

(注) トランスペアレント モードで動作している FWSM で 3 つ以上のインターフェイスに名前を付けることはできません。

[IP Address]

インターフェイスの IP アドレス。

[VLAN ID]

目的の VLAN ID(1 ~ 4096)を入力します。一部の VLAN ID は接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でだけ設定できます。

[Security Level]

インターフェイスのセキュリティ レベルを設定します。指定できる値は、0(最小)~ 100(最大)です。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部インターフェイスは常に 0 です。

内部インターフェイスは常に 100 です。

DMZ インターフェイスは 1 ~ 99 です。

[Description]

必要な場合は、論理インターフェイスの説明を入力できます。

[Roles]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

デフォルト オプションは次のとおりです。

[All-Interfaces]:インターフェイスが、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーであることを指定します。

[Internal]:このインターフェイスが、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

[External]:このインターフェイスが、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[ASR Group]

このインターフェイスを非対称ルーティング グループに追加するには、このフィールドに ASR グループ番号を入力します。非対称ルーティングのサポートがフェールオーバー設定の装置間で適切に機能するようにするには、ステートフル フェールオーバーをイネーブルにする必要があります。ASR グループの有効な値の範囲は 1 ~ 32 です。

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックスを使用して、トランスペアレント モードで動作している FWSM のブリッジ グループを追加または編集します。

トランスペアレント ファイアウォールは、その内部インターフェイスと外部インターフェイスで同じネットワークを接続します。インターフェイスの各ペアは、ブリッジ グループに属します。ブリッジ グループには、管理 IP アドレスを割り当てる必要があります。2 つのインターフェイスそれぞれの最大 8 つのブリッジ グループを設定できます。各ブリッジ グループは、別々のネットワークに接続します。ブリッジ グループ トラフィックは、他のブリッジ グループから分離されています。トラフィックはセキュリティ アプライアンス内の別のブリッジ グループにルーティングされず、外部ルータによってセキュリティ アプライアンス内の別のブリッジ グループにルーティングされる前に、セキュリティ アプライアンスを出る必要があります。

セキュリティ コンテキストのオーバーヘッドを防ぐ場合、またはセキュリティ コンテキストの使用を最小限に抑える場合、複数のブリッジ グループを使用することがあります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。

ナビゲーション パス

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックスには、[FWSM Interfaces] ページからアクセスできます。[Interfaces] ページの詳細については、「[Interfaces] ページ - FWSM」を参照してください。

関連項目

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「FWSM 3.1 のブリッジング サポート」

「ファイアウォール デバイスのインターフェイスの設定」

「[Interfaces] ページ - FWSM」

「[FWSM Add/Edit Interface] ダイアログボックス」

「[Advanced Interface Settings] ダイアログボックス」

フィールド リファレンス

 

表 48-11 [Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

要素
説明

[Name]

このブリッジ グループの名前を入力します。

[ID]

ブリッジ グループ ID を 1 ~ 100 の整数として入力します。

[Interface A]

このブリッジ グループの一部である最初のインターフェイスを選択します。

[Interface B]

このブリッジ グループの一部である 2 番目のインターフェイスを選択します。

[IP Address]

ブリッジ グループの管理 IP アドレスを入力します。トランスペアレント ファイアウォールは IP ルーティングには関与しません。セキュリティ アプライアンスに必要な IP 設定は、各ブリッジ グループの管理 IP アドレスの設定だけです。このアドレスが必要なのは、セキュリティ アプライアンスによって、システム メッセージや AAA サーバとの通信など、セキュリティ アプライアンスで発信されるトラフィックの送信元アドレスとして使用されるためです。このアドレスは、リモート管理アクセスにも使用できます。

[Netmask]

ブリッジ グループの IP アドレスのネットワーク マスク。値は、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。

(注) ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止するためです。

[Description]

このブリッジ グループの説明(任意)を入力できます。

[ASA 5505 Ports and Interfaces] ページ

ASA 5505 適応型セキュリティ アプライアンスでは、組み込みスイッチがサポートされています。次の 2 種類のポートおよびインターフェイスを設定する必要があります。

物理スイッチ ポート:適応型セキュリティ アプライアンスには、ハードウェアのスイッチング機能を使用して、レイヤ 2 でトラフィックを転送する 8 つのファスト イーサネット スイッチ ポートがあります。これらのポートのうちの 2 つは PoE ポートです。これらのインターフェイスを、PC、IP 電話、DSL モデムなどのユーザ機器に直接接続できます。または、別のスイッチに接続できます。

論理 VLAN インターフェイス:ルーテッド モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 の VLAN ネットワーク間でトラフィックを転送します。トランスペアレント モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォール サービスを適用することによって、レイヤ 2 の同じネットワーク上の VLAN 間でトラフィックを転送します。

スイッチ ポートを別々の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信できます。ただし、VLAN 1 上のスイッチ ポートが VLAN 2 上のスイッチ ポートと通信する場合、適応型セキュリティ アプライアンスはセキュリティ ポリシーをトラフィックに適用し、2 つの VLAN 間でルーティングまたはブリッジングします。


) サブインターフェイスは、ASA 5505 適応型セキュリティ アプライアンスでは使用できません。


ナビゲーション パス

この機能にアクセスするには、デバイス ビューで ASA 5505 を選択し、デバイス ポリシー セレクタから [Interfaces] を選択します。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[Configure Hardware Ports] ダイアログボックス」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)」

「[Advanced Interface Settings] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

フィールド リファレンス

 

表 48-12 [ASA 5505 Ports and Interfaces] ページ

要素
説明
[Hardware Ports] タブ

[Hardware Port]

スイッチ ポートを示します。

[Enabled]

このスイッチ ポートがイネーブルかどうかを示します([Yes] または [No])。

[Associated VLANs]

このポートに関連付けられている VLAN(複数)を示します。

[Associated Interface Names]

このポートに関連付けられている VLAN(複数)のインターフェイス名を示します。

[Mode]

このポートのモードを示します。

[Access Port]:ポートはアクセス モードです。

[Trunk Port]:ポートはトランク モードです。トランク モードは、セキュリティ プラス ライセンスにかぎり使用可能です。トランク ポートでは、タグが付いていないパケットはサポートされません。ネイティブ VLAN サポートはなく、このコマンドで指定されたタグが含まれていないパケットはすべて、適応型セキュリティ アプライアンスによってドロップされます。

[Protected]

ポートが分離されているかどうかを示します([Yes] または [No])。このオプションによって、スイッチ ポートは同じ VLAN 上の他の保護されたスイッチ ポートと通信できなくなります。スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内アクセスを許可する必要がなく、感染などのセキュリティ違反があったときにデバイスを相互に分離する必要がある場合、それらのスイッチ ポートが相互に通信できないようにすることがあります。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに [Protected] オプションを適用すると、Web サーバを相互に分離できます。内部および外部ネットワークはどちらも 3 つすべての Web サーバと通信でき、またその逆も可能ですが、Web サーバ同士は通信できません。

[Interfaces] タブ

[Name]

インターフェイス ID を表示します。すべての物理インターフェイスが自動的に表示されます。ASA/PIX 7.0 デバイスの場合、サブインターフェイスは、インターフェイス ID とそれに続く .n で示されます。n はサブインターフェイス番号です。

[IP Address Type]

IP アドレスが提供される方式を指定します。有効なオプションは次のとおりです。

[static]:IP アドレスは手動で定義されることを示します。

[dhcp]:IP アドレスは DHCP リース経由で取得されることを示します。

[pppoe]:IP アドレスは PPPoE を使用して取得されることを示します。

[IP Address]

IP アドレスか、またはトランスペアレント モードでは「native」という単語を表示します。トランスペアレント モードのインターフェイスでは、IP アドレスは使用されません。

[Block Traffic To]

トラフィックがブロックされるインターフェイスを表示します。

[Backup Interface]

このインターフェイスのバックアップとして機能するインターフェイスを表示します。

[Interface Role]

インターフェイスに関連付けられたインターフェイス ロールを表示します。インターフェイス ロールとは、各デバイスの設定が生成されるときに、実際のインターフェイス IP アドレスで置き換えられるオブジェクトです。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用規則を定義できます。

有効なオプションは次のとおりです。

[All-Interfaces]:インターフェイスが、すべてのインターフェイスに割り当てられるデフォルト ロールのメンバーであることを指定します。

[Internal]:このインターフェイスが、すべての内部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

[External]:このインターフェイスが、すべての外部インターフェイスに関連付けられるデフォルト ロールのメンバーであることを指定します。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[Enabled]

インターフェイスがイネーブルであるかどうかを示します([Yes] または [No])。

[Vlan ID]

このインターフェイスの VLAN ID を示します。

[Security Level]

インターフェイスのセキュリティ レベル(0 ~ 100)を表示します。

[Management Only]

インターフェイスでセキュリティ アプライアンスへのトラフィックが許可されるか、または管理のためだけかを示します。

[MTU]

MTU を表示します。デフォルトでは、MTU は 1500 です。

[Description]

インターフェイスの説明を表示します。

[Configure Hardware Ports] ダイアログボックス

[Configure Hardware Ports] ダイアログボックスを使用して、ASA 5505 のスイッチ ポートを設定します。モードの設定、スイッチ ポートの VLAN への割り当て、[Protected] オプションの設定などが含まれます。


注意 ASA 5505 では、ネットワーク内のループ検出のためのスパニング ツリー プロトコルはサポートされません。そのため、アプライアンスとの接続がネットワーク ループにならないようにする必要があります。

ナビゲーション パス

[Configure Hardware Ports] ダイアログボックスには、[ASA 5505 Interfaces] ページの [Hardware Ports] タブからアクセスできます。このページの詳細については、「[ASA 5505 Ports and Interfaces] ページ」を参照してください。

関連項目

「ファイアウォール デバイスのインターフェイスの設定」

「[ASA 5505 Ports and Interfaces] ページ」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX/ASA)」

「[Advanced Interface Settings] ダイアログボックス」

「[Add VPND Group] ダイアログボックス」

「[PPPoE Users] ダイアログボックス」

フィールド リファレンス

 

表 48-13 [Configure Hardware Ports] ダイアログボックス

要素
説明

[Enable Interface]

このスイッチ ポートをイネーブルにする場合に選択します。

[Isolated]

このオプションは、このポートが同じ VLAN 上の他の保護されたスイッチ ポートと通信できないようにする場合に選択します。スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内アクセスを許可する必要がなく、感染などのセキュリティ違反があったときにデバイスを相互に分離する必要がある場合、それらのスイッチ ポートが相互に通信できないようにすることがあります。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに [Isolated] オプションを適用すると、Web サーバを相互に分離できます。内部および外部ネットワークはどちらも 3 つすべての Web サーバと通信でき、またその逆も可能ですが、Web サーバ同士は通信できません。

[Hardware Port]

設定するスイッチ ポートを選択します。

[Mode]

このポートのモードを選択します。

[Access Port]:ポートをアクセス モードに設定します。アクセス ポートは 1 つの VLAN に割り当てることができます。

[Trunk Port]:ポートを 802.1Q タギングを使用するトランク モードに設定します。トランク ポートは、802.1Q タギングを使用して複数の VLAN を伝送できます。トランク モードは、セキュリティ プラス ライセンスにかぎり使用可能です。トランク ポートでは、タグが付いていないパケットはサポートされません。ネイティブ VLAN サポートはなく、このコマンドで指定されたタグが含まれていないパケットはすべて、アプライアンスによってドロップされます。

[VLAN ID]

選択した [Mode] に従って、VLAN ID を入力します。

[Access Port] モード:このスイッチ ポートを割り当てる VLAN ID を入力します。

[Trunk Port] モード:このスイッチ ポートを割り当てる VLAN ID をカンマで区切って入力します。

[Duplex]

ポートのデュプレックス オプションが表示されます。[Full]、[Half]、または [Auto] があります。[Auto] 設定がデフォルトです。

PoE ポート Ethernet 0/6 または 0/7 でデュプレックスを [Auto] 以外に設定した場合、IEEE 802.3af をサポートしない Cisco IP phone および Cisco wireless access point は検出されず、電力は供給されません。

[Speed]

ポートの速度を選択します。

[auto](デフォルト)

[10]

[100]

PoE ポート Ethernet 0/6 または 0/7 で速度を [Auto] 以外に設定した場合、IEEE 802.3af をサポートしない Cisco IP phone および Cisco wireless access point は検出されず、電力は供給されません。

デフォルトの [Auto] 設定には、Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX では、オートネゴシエーション フェーズでストレート ケーブルが検出された場合に内部クロスオーバーを実行することによって、クロス ケーブルは必要なくなります。速度とデュプレックスのいずれかを [Auto] に設定し、インターフェイスの Auto-MDI/MDIX をイネーブルにする必要があります。速度とデュプレックスの両方を明示的に固定値に設定し、したがって両方の設定のオートネゴシエーションをディセーブルにした場合、Auto-MDI/MDIX もディセーブルになります。

[Bridging]

ここでは、次のページについて説明します。

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

[ARP Table] ページ

[ARP Table] ページを使用して、MAC アドレスを IP アドレスにマッピングするスタティック ARP エントリを追加し、ホストに到達するために使用されるインターフェイスを識別します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [ARP Table] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [ARP Table] を選択します。[ARP Table] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add/Edit ARP Configuration] ダイアログボックス」

「[Bridging]」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 48-14 [ARP Table] ページ

要素
説明

[Timeout (seconds)]

セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間(60 ~ 4294967 秒)。デフォルトは 14400 秒です。

ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報が頻繁に変わるため、タイムアウト値を小さくする場合があります。

ARP テーブルに適用されます。ARP テーブルに含まれているスタティックなエントリではありません。

[ARP Table]

[Interface]

ホストが接続されるインターフェイス。

[IP Address]

ホストの IP アドレス。

[MAC Address]

ホストの MAC アドレス。

[Alias Enabled]

セキュリティ アプライアンスがこのマッピングのプロキシ ARP を実行するかどうかを示します。この設定がイネーブルにされ、指定した IP アドレスの ARP 要求をセキュリティ アプライアンスが受信した場合、セキュリティ アプライアンスの MAC アドレスで応答します。セキュリティ アプライアンスは、この IP アドレスに属するホスト宛のトラフィックを受信すると、このコマンドで指定したホストの MAC アドレスにそのトラフィックを転送します。この機能は、ARP を実行していないデバイスがある場合などに役立ちます。

(注) この設定は、トランスペアレント ファイアウォール モードでは無視され、セキュリティ アプライアンスはプロキシ ARP を実行しません。

[Add/Edit ARP Configuration] ダイアログボックス

[Add/Edit ARP Configuration] ダイアログボックスを使用して、MAC アドレスを IP アドレスにマッピングするスタティック ARP エントリを追加し、ホストに到達するために使用されるインターフェイスを識別します。

ナビゲーション パス

[Add/Edit ARP Configuration] ダイアログボックスには、[ARP Table] ページからアクセスできます。[ARP Table] ページの詳細については、「[ARP Table] ページ」を参照してください。

関連項目

「[Bridging]」

「[ARP Table] ページ」

フィールド リファレンス

 

表 48-15 [Add/Edit ARP Configuration] ダイアログボックス

要素
説明

[Interface]

ホスト ネットワークが接続されるインターフェイスの名前。

[IP Address]

ホストの IP アドレス。

[MAC Address]

ホストの MAC アドレス(00e0.1e4e.3d8b など)。

[Enable Alias]

選択すると、このマッピングのプロキシ ARP がイネーブルになります。指定した IP アドレスの ARP 要求をセキュリティ アプライアンスが受信した場合、セキュリティ アプライアンスの MAC アドレスで応答します。セキュリティ アプライアンスは、この IP アドレスに属するホスト宛のトラフィックを受信すると、このコマンドで指定したホストの MAC アドレスにそのトラフィックを転送します。この機能は、ARP を実行していないデバイスがある場合などに役立ちます。

(注) この設定は、トランスペアレント ファイアウォール モードでは無視され、セキュリティ アプライアンスはプロキシ ARP を実行しません。

[ARP Inspection] ページ

[ARP Inspection] ページを使用して、トランスペアレント ファイアウォールの ARP インスペクションを設定します。ARP インスペクションは、ARP スプーフィングを防ぐために使用されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [ARP Inspection] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [ARP Inspection] を選択します。[ARP Inspection] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add/Edit ARP Inspection] ダイアログボックス」

「[Bridging]」

「[ARP Table] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 48-16 [ARP Inspection] ページ

要素
説明
[ARP Inspection] テーブル

[Interface]

ARP インスペクション設定が適用されるインターフェイスの名前。

[ARP Inspection Enabled]

指定したインターフェイスで ARP インスペクションをイネーブルにするかどうかを示します。

[Flood Enabled]

スタティック ARP エントリのどの要素とも一致しないパケットが、発信元インターフェイス以外のすべてのインターフェイスからフラッドされるかどうかを示します。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合、セキュリティ アプライアンスはパケットをドロップします。このチェックボックスをオフにすると、すべての不一致パケットがドロップされます。

(注) 専用の管理インターフェイスが存在する場合は、このパラメータがフラッドするように設定されていても、パケットはフラッドされません。

[Add/Edit ARP Inspection] ダイアログボックス

[Add/Edit ARP Inspection] ダイアログボックスを使用して、トランスペアレント ファイアウォール インターフェイスの ARP インスペクションをイネーブルまたはディセーブルにします。

ナビゲーション パス

[Add/Edit ARP Inspection] ダイアログボックスには、[ARP Inspection] ページからアクセスできます。[ARP Inspection] ページの詳細については、「[ARP Inspection] ページ」を参照してください。

関連項目

「[Bridging]」

「[ARP Inspection] ページ」

フィールド リファレンス

 

表 48-17 [Add/Edit ARP Inspection] ダイアログボックス

要素
説明

[Interface]

ARP インスペクションをイネーブルまたはディセーブルにするインターフェイスの名前。

[Enable ARP Inspection on this interface]

選択すると、指定したインターフェイスで ARP インスペクションがイネーブルになります。

[Flood ARP packets]

選択すると、スタティック ARP エントリのどの要素とも一致しないパケットは、発信元インターフェイス以外のすべてのインターフェイスからフラッドされます。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合、セキュリティ アプライアンスはパケットをドロップします。このチェックボックスをオフにすると、すべての不一致パケットがドロップされます。

(注) 専用の管理インターフェイスが存在する場合は、このパラメータがフラッドするように設定されていても、パケットはフラッドされません。

[MAC Address Table] ページ

[MAC Address Table] ページを使用して、スタティック MAC アドレス エントリを MAC アドレス テーブルに追加します。このテーブルによって、MAC アドレスは送信元インターフェイスに関連付けられ、デバイスにアドレス指定されたパケットを正しいインターフェイスから送信することがセキュリティ アプライアンスで認識されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [MAC Address Table] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [MAC Address Table] を選択します。[MAC Address Table] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス」

「[Bridging]」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 48-18 [MAC Address Table] ページ

要素
説明

[Aging Time (minutes)]

MAC アドレス エントリがタイムアウトになるまでに MAC アドレス テーブル内に存在する時間を分(5 ~ 720(12 時間))で設定します。5 分がデフォルトです。

[MAC Address Table]

[Interface]

MAC アドレスを関連付けるインターフェイス。

[MAC Address]

MAC アドレス(00e0.1e4e.3d8b など)。

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックスを使用して、スタティック MAC アドレス エントリを MAC アドレス テーブルに追加するか、MAC アドレス テーブル内のエントリを変更します。

ナビゲーション パス

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックスには、[MAC Address Table] ページからアクセスできます。[MAC Address Table] ページの詳細については、「[MAC Address Table] ページ」を参照してください。

関連項目

「[Bridging]」

「[MAC Address Table] ページ」

フィールド リファレンス

 

表 48-19 [Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

要素
説明

[Interface]

MAC アドレスを関連付けるインターフェイス。

[MAC Address]

MAC アドレス(00e0.1e4e.3d8b など)。

[MAC Learning] ページ

[MAC Learning] ページを使用して、インターフェイスで MAC アドレス ラーニングをイネーブルまたはディセーブルにします。デフォルトでは、各インターフェイスで入力トラフィックの MAC アドレスが学習され、対応するエントリがセキュリティ アプライアンスによって MAC アドレス テーブルに追加されます。必要な場合は、MAC アドレス ラーニングをディセーブルにすることができます。ただし、MAC アドレスをスタティックにテーブルに追加しないかぎり、トラフィックはセキュリティ アプライアンスを通過できません。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [MAC Learning] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [MAC Learning] を選択します。[MAC Learning] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add/Edit MAC Learning] ダイアログボックス」

「[Bridging]」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 48-20 [MAC Learning] ページ

要素
説明
[MAC Learning Table]

[Interface]

MAC 学習設定を適用するインターフェイス。

[MAC Learning Enabled]

セキュリティ アプライアンスがインターフェイスに入るトラフィックから MAC アドレスを学習するかどうかを示します。

[Add/Edit MAC Learning] ダイアログボックス

[Add/Edit MAC Learning] ダイアログボックスを使用して、インターフェイスで MAC アドレス ラーニングをイネーブルまたはディセーブルにします。

ナビゲーション パス

[Add/Edit MAC Learning] ダイアログボックスには、[MAC Learning] ページからアクセスできます。[MAC Learning] ページの詳細については、「[MAC Learning] ページ」を参照してください。

関連項目

「[Bridging]」

「[MAC Learning] ページ」

フィールド リファレンス

 

表 48-21 [Add/Edit MAC Learning] ダイアログボックス

要素
説明

[Interface]

MAC 学習設定を適用するインターフェイス。

[MAC Learning Enabled]

選択すると、セキュリティ アプライアンスはインターフェイスに入るトラフィックから MAC アドレスを学習します。

[Management IP] ページ

[Management IP] ページを使用して、セキュリティ アプライアンスまたはトランスペアレント ファイアウォール モードのコンテキストの管理 IP アドレスを設定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [Management IP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [Management IP] を選択します。[Management IP] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Bridging]」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

フィールド リファレンス

 

表 48-22 [Management IP] ページ

要素
説明

[Management IP Address]

管理 IP アドレス。

[Subnet Mask]

管理 IP アドレスに対応するサブネット マスク。

[AAA] ページ

このページには、認証、認可、およびアカウンティングを設定するための次のタブがあります。

「[Authentication] タブ」

「[Authorization] タブ」

「[Accounting] タブ」

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [AAA] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [AAA] を選択します。[AAA] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存ポリシーを選択します。

[Authentication] タブ

[Authentication] タブを使用して、セキュリティ アプライアンスへの管理者アクセスの認証をイネーブルにします。[Authentication] タブでは、AAA サーバによって認証されたときにユーザに表示されるプロンプトおよびメッセージを設定することもできます。

ナビゲーション パス

[Authentication] タブには、[AAA] ページからアクセスできます。[AAA] ページの詳細については、「[AAA] ページ」を参照してください。

関連項目

「AAA の設定」

「[Authorization] タブ」

「[Accounting] タブ」

フィールド リファレンス

 

表 48-23 [Authentication] タブ

要素
説明
[Require AAA Authentication to allow use of privileged mode commands]

[Enable]

ファイアウォールでイネーブル モードにアクセスする前に、サーバ グループからの AAA 認証を強制します。このオプションは、ファイアウォール コンソールへのアクセス試行を 3 回まで許可します。この数を超えた場合、アクセス拒否メッセージが表示されます。

[Server Group]

AAA 認証を強制するためのサーバ グループを選択できるドロップダウン メニューが表示されます。

[Use LOCAL when server group fails]

選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。

[Require AAA Authorization for the following types of connections]

[Connection type]

認可を必要とする接続タイプを指定します。

[HTTP]:ファイアウォール コンソールへの HTTPS 接続を開始するときに AAA 認証を必要とします。

[Serial]:シリアル コンソール ケーブルを介してファイアウォール コンソールに接続するときに AAA 認証を必要とします。コマンドを入力する前に、ファイアウォールによってユーザ名とパスワードの入力を求められます。認証サーバがオフラインの場合は、コンソールのログイン要求がタイムアウトになるまで待機します。そのあとで、ファイアウォールのユーザ名とイネーブル パスワードでコンソールにアクセスできます。

[SSH]:ファイアウォール コンソールへの Secure Shell(SSH; セキュア シェル)接続を開始するときに AAA 認証を必要とします。このオプションは、ファイアウォール コンソールへのアクセス試行を 3 回まで許可します。この数を超えた場合、アクセス拒否メッセージが表示されます。このオプションでは、SSH コンソールでの最初のコマンドライン プロンプトの前にユーザ名とパスワードを要求されます。

[Telnet]:ファイアウォール コンソールへの Telnet 接続を開始するときに AAA 認証を必要とします。Telnet コマンドを入力する前に、認証する必要があります。

[Server Group]

認可に使用するサーバ グループを指定します。

[Use LOCAL when server group fails]

選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。

[Authentication Prompts]

[Login Prompt]

セキュリティ アプライアンスにログインするときにユーザに表示されるプロンプトを入力します。

[User Accepted Message]

セキュリティ アプライアンスによる認証が成功したときにユーザに表示されるメッセージを入力します。

[User Rejected Message]

セキュリティ アプライアンスによる認証が失敗したときにユーザに表示されるメッセージを入力します。

[Authorization] タブ

[Authorization] タブでは、ファイアウォール コマンドにアクセスするための認可を設定できます。

ナビゲーション パス

[Authorization] タブには、[AAA] ページからアクセスできます。[AAA] ページの詳細については、「[AAA] ページ」を参照してください。

関連項目

「AAA の設定」

「[Authentication] タブ」

「[Accounting] タブ」

フィールド リファレンス

 

表 48-24 [Authorization] タブ

要素
説明

[Enable Authorization for Command Access]

ファイアウォール コマンドにアクセスするために認可を必要とします。

[Server Group]

認可に使用するサーバ グループを指定します。

[Use LOCAL when server group fails]

選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。

[Accounting] タブ

[Accounting] タブを使用して、ファイアウォール デバイスへのアクセスおよびデバイス上のコマンドへのアクセスのアカウンティングをイネーブルにします。

ナビゲーション パス

[Accounting] タブには、[AAA] ページからアクセスできます。[AAA] ページの詳細については、「[AAA] ページ」を参照してください。

関連項目

「AAA の設定」

「[Authentication] タブ」

「[Authorization] タブ」

フィールド リファレンス

 

表 48-25 [Accounting] タブ

要素
説明
[Require AAA Accounting for privileged commands]

[Enable]

選択すると、コンソールによる管理アクセス用の特権モードの開始と終了を示すアカウンティング レコードの生成がイネーブルになります。

[Server Group]

アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。

[Require AAA Accounting for the following types of connections]

[Connection type]

アカウンティング レコードを生成する接続タイプを指定します。

[HTTP]:HTTP で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Serial]:コンソールへのシリアル インターフェイス経由で確立される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[SSH]:SSH で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Telnet]:Telnet で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Server Group]

アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。

[Require Accounting for command access]

[Enable]

選択すると、管理者/ユーザによって入力されたコマンドのアカウンティング レコードの生成がイネーブルになります。

[Server Group]

アカウンティング レコードが送信されるサーバか RADIUS または TACACS+ サーバのグループを選択できるドロップダウン メニューが表示されます。

[Privilege Level]

アカウンティング レコードを生成するために、コマンドに関連付けられている必要がある最小権限レベル。デフォルトの権限レベルは 0 です。

[Banner] ページ

[Banner] ページを使用して、その日のバナー、ログイン バナー、およびセッション バナーのメッセージを設定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Banner] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Banner] を選択します。[Banner] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「バナーの設定」

フィールド リファレンス

 

表 48-26 [Banner] ページ

要素
説明

[Session(exec) Banner]

イネーブル プロンプトを表示する前にバナーとして表示するテキストを入力します。

(注) トークン $(domain) および $(hostname) は、セキュリティ アプライアンスのホスト名およびドメイン名に置き換えられます。コンテキスト設定で $(system) トークンを入力した場合、コンテキストはシステム設定で設定されているバナーを使用します。

[Login Banner]

ユーザが Telnet を使用してセキュリティ アプライアンスにアクセスしたときに、パスワード ログイン プロンプトの前にバナーとして表示されるテキストを入力します。

(注) トークン $(domain) および $(hostname) は、セキュリティ アプライアンスのホスト名およびドメイン名に置き換えられます。コンテキスト設定で $(system) トークンを入力した場合、コンテキストはシステム設定で設定されているバナーを使用します。

[Message-of-the-Day (motd) Banner]

その日のメッセージ バナーとして表示するテキストを入力します。

(注) トークン $(domain) および $(hostname) は、セキュリティ アプライアンスのホスト名およびドメイン名に置き換えられます。コンテキスト設定で $(system) トークンを入力した場合、コンテキストはシステム設定で設定されているバナーを使用します。

[Boot Image/Configuration] ページ

[Boot Image/Configuration] ページを使用して、セキュリティ アプライアンスがどのイメージ ファイルから起動するか、および起動時にどの設定ファイルを使用するかを指定します。セキュリティ アプライアンス上の ASDM イメージ ファイルへのパスも指定できます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。[Boot Image/Configuration] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「ブート イメージおよび設定の指定」

「[Images] ダイアログボックス」

フィールド リファレンス

 

表 48-27 [Boot Image/Configuration] ページ

要素
説明

[Boot Config Location]

システムのロード時に使用する設定ファイル。次の構文を使用します。

disk0:/ [ path/ ] filename

内部フラッシュ カードを示します。 disk0 の代わりに flash を使用することもできます。これらはエイリアス関係にあります。

disk1: /[ path/ ] filename

外部フラッシュ カードを示します。

flash:/ [ path/ ] filename

[ASDM Image Location]

ASDM セッションの開始時に使用される ASDM ソフトウェア イメージの場所。次の構文を使用します。

disk0:/ [ path/ ] filename

内部フラッシュ カードを示します。 disk0 の代わりに flash を使用することもできます。これらはエイリアス関係にあります。

disk1: /[ path/ ] filename

外部フラッシュ カードを示します。

flash:/ [ path/ ] filename

tftp:// [ user [ :password ]@] server [ :port ]/[ path/ ] filename

[Boot Images] テーブル

[No.]

ブート イメージの番号を示します。

[Images]

ブート イメージのパスと名前を示します。

[Images] ダイアログボックス

[Images] ダイアログボックスを使用して、ブート イメージ エントリをブート順序リストに追加します。

ナビゲーション パス

[Images] ダイアログボックスには、[Boot Image/Configuration] ページからアクセスできます。[Boot Image/Configuration] ページの詳細については、「[Boot Image/Configuration] ページ」を参照してください。

関連項目

「ブート イメージおよび設定の指定」

「[Boot Image/Configuration] ページ」

フィールド リファレンス

 

表 48-28 [Images] ダイアログボックス

要素
説明

[Image File]

ブート順序リストに追加するイメージ ファイルのパスと名前を入力します。次の構文を参照してください。

disk0:/ [ path/ ] filename

このオプションは、ASA プラットフォームの場合にだけ使用でき、内部フラッシュ カードを示します。 disk0 の代わりに flash を使用することもできます。これらはエイリアス関係にあります。

disk1: /[ path/ ] filename

このオプションは、ASA プラットフォームの場合にだけ使用でき、外部フラッシュ カードを示します。

flash:/ [ path/ ] filename

tftp:// [ user [ :password ]@] server [ :port ]/[ path/ ] filename

[Clock] ページ

[Clock] ページでは、セキュリティ アプライアンスの日時を設定できます。マルチ コンテキスト モードの場合、時間はシステム設定でだけ設定します。

NTP サーバを使用してダイナミックに時刻を設定するには、「[NTP] ページ」を参照してください。NTP サーバから取得された時刻は、[Clock] ページで手動で設定された時刻を上書きします。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Clock] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Clock] を選択します。[Clock] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存ポリシーを選択します。

関連項目

「クロック設定」

「[NTP] ページ」

フィールド リファレンス

 

表 48-29 [Clock] ページ

要素
説明

[Device Time Zone]

デバイスのタイム ゾーンをリストから選択します。

[Daylight Savings Time (Summer Time)]

夏時間を使用するかどうか、および使用する場合は、夏時間をいつ適用するかを指定するために使用する方式を選択します。

[None]:セキュリティ アプライアンスの夏時間をディセーブルにします。

[Set by Date]:特定の年の夏時間の開始および終了日時を指定する場合、このオプションを選択します。このオプションを使用する場合、日付を毎年リセットする必要があります。

[Set Recurring]:夏時間を開始および終了する月、週、日を使用して夏時間の開始日および終了日を指定する場合、このオプションを選択します。このオプションを使用すると、毎年変更する必要がない自動更新の日付範囲を設定できます。

[Set by Date]

[Date (Begin/End)]

夏時間を開始および終了する日付を MMM dd YYYY 形式(Jul 15 2005 など)で入力します。[Calendar] をクリックして、カレンダーから日付を選択することもできます。

[Hour (Begin/End)]

夏時間の開始時間(時間)および終了時間(時間)を選択します(00 ~ 23)。

[Minute (Begin/End)]

夏時間の開始時間(分)および終了時間(分)を選択します(00 ~ 59)。

[Set Recurring]

[Specify Recurring Time]

夏時間を開始および終了する月、週、日を使用して夏時間の開始日および終了日を指定する場合、このオプションを選択します。このオプションを使用すると、毎年変更する必要がない自動更新の日付範囲を設定できます。

[Month (Begin/End)]

夏時間の開始時間(月)および終了時間(月)を選択します。

[Week (Begin/End)]

夏時間の開始時間(月の週)および終了時間(月の週)を選択します。週に該当する数値(1 ~ 5)を選択でき、first または last を指定して月内の最初の週または最後の週を指定できます。たとえば、日付が第 5 週(途中まで)にあたる場合は、「last」を指定します。

[Weekday (Begin/End)]

夏時間の開始時間(日)および終了時間(日)を選択します。

[Hour (Begin/End)]

夏時間の開始時間(時間)および終了時間(時間)を選択します(0 ~ 23)。

[Minute (Begin/End)]

夏時間の開始時間(分)および終了時間(分)を選択します(00 ~ 59)。

[Credentials] ページ

[Credentials] ページを使用して、Security Manager がデバイスに接続するときに使用する今後の接続設定を指定します。[Contact Credentials] ページを使用して、デバイス上のログイン パスワードとイネーブル パスワードを変更することもできます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Credentials] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Credentials] を選択します。[Credentials] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「アクセス クレデンシャルの設定」

「ユーザ アカウントの設定」

フィールド リファレンス

 

表 48-30 [Contact Credentials] ページ

要素
説明

[Username]

デバイスにログインするためのユーザ名を指定します。

[Password]

デバイスにログインするためのパスワードを指定します。

[Confirm]

[Password] フィールドに入力したパスワードを確認します。これらの設定を保存する前に、[Password] フィールドと [Confirm] フィールドの値が一致する必要があります。

[Privilege Level]

デバイスにログインするユーザの権限レベルを指定します。

[Enable Password]

デバイスの新しいイネーブル パスワードを指定します。

[Confirm]

[Enable Password] フィールドに入力したパスワードを確認します。これらの設定を保存する前に、[Enable Password] フィールドと [Confirm] フィールドの値が一致する必要があります。

[Telnet/SSH Password]

デバイスの新しいログイン パスワードを指定します。

[Confirm]

[Telnet/SSH Password] フィールドに入力したパスワードを確認します。これらの設定を保存する前に、[Telnet/SSH Password] フィールドと [Confirm] フィールドの値が一致する必要があります。

[CPU Threshold] ページ

[CPU Threshold] ページを使用して、超えた場合に通知を受け取る CPU 使用率のパーセンテージ、および通知が生成される前に使用率がそのしきい値以上のまま経過する時間を指定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [CPU Threshold] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [CPU Threshold] を選択します。[CPU Threshold] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「SNMP の設定」

「[SNMP] ページ」

「[SNMP Trap Configuration] ダイアログボックス」

フィールド リファレンス

 

表 48-31 [CPU Threshold] ページ

要素
説明

[CPU Rising Threshold Percentage]

超えた場合に通知を受け取る CPU 使用率のパーセンテージを入力します。[CPU Monitoring Period] フィールドで指定した期間、CPU 使用率のパーセンテージが継続してこの値以上となっていると、通知が送信されます。

[CPU Monitoring Period (seconds)]

秒数を入力します。CPU 使用率のパーセンテージが、ここで入力した秒数、[CPU Rising Threshold Percentage] フィールドで設定したしきい値以上のまま経過すると通知が送信されます。