Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール デバイスでのブリッジング ポリシーの設定
ファイアウォール デバイスでのブリッジング ポリシーの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスでのブリッジング ポリシーの設定

ファイアウォール デバイスでのブリッジングについて

FWSM 3.1 のブリッジング サポート

[ARP Table] ページ

[Add ARP Configuration]/[Edit ARP Configuration] ダイアログボックス

[ARP Inspection] ページ

[Add/Edit ARP Inspection] ダイアログボックス

IPv6 ネイバー キャッシュの管理

[MAC Address Table] ページ

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

[MAC Learning] ページ

[Add MAC Learning]/[Edit MAC Learning] ダイアログボックス

[Management IP] ページ

[Management IPv6] ページ(ASA 5505)

ファイアウォール デバイスでのブリッジングについて

従来、ファイアウォールはルーテッド ホップであり、保護されたサブネットのいずれかに接続するホストのデフォルト ゲートウェイとして機能します。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 デバイスであり、接続されたデバイスへのルータ ホップとしては認識されません。セキュリティ アプライアンスは、その内部および外部ポート上で同じネットワークを接続し、アクセス制御ブリッジとして機能します。各インターフェイスに異なる VLAN を割り当てます。IP アドレッシングは使用しません。

このように、既存のネットワークに簡単にトランスペアレント ファイアウォールを導入できます。IP の再アドレッシングは必要ありません。また、トラブルシューティングすべき複雑なルーティング パターンも NAT 設定もないため、メンテナンスが容易になります。

トランスペアレント モードのデバイスはブリッジとして機能しますが、IP トラフィックのようなレイヤ 3 トラフィックは、特別なアクセス規則で明示的に許可しないかぎり、セキュリティ アプライアンスを通過できません。アクセス リストなしでファイアウォールを通過できるトラフィックは ARP トラフィックだけであり、このトラフィックは ARP インスペクションおよび IPv6 ネイバー探索を使用して制御できます。

セキュリティ アプライアンスがトランスペアレント モードで実行している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。ルート ステートメントは引き続き設定可能ですが、セキュリティ アプライアンスから発信されたトラフィックにだけ適用されます。たとえば、syslog サーバがリモート ネットワークに配置されている場合は、セキュリティ アプライアンスがそのサブネットにアクセスできるように、スタティック ルートを使用する必要があります。

トランスペアレント ファイアウォールを設定するには、次のポリシーを使用します。マルチ コンテキスト モードの ASA/PIX/FWSM デバイスを設定する場合は、トランスペアレントのセキュリティ コンテキストごとに次のポリシーを設定します。

[Firewall] > [Access Rules]:アクセス規則は、拡張アクセス コントロール リストを使用して、レイヤ 3 以上のトラフィックを制御します。ルーテッド モードの場合、一部のトラフィック タイプは、たとえアクセス リストで許可していても、セキュリティ アプライアンスを通過できません。たとえば、トランスペアレント ファイアウォールを介してルーティング プロトコルの隣接関係を確立できます。これにより、アクセス規則に基づいて、OSPF、RIP、EIGRP、または BGP トラフィックの通過を許可できます。同様に、HSRP または VRRP のようなプロトコルもセキュリティ アプライアンスを通過できます。ただし、トランスペアレント モードのセキュリティ アプライアンスは CDP パケットを通過させません。

トランスペアレント ファイアウォールで直接サポートされていない機能については、上流および下流のルータでこれらの機能を提供できるように、トラフィックを通過させることがきます。たとえば、アクセス規則を使用することによって、(サポートされていない DHCP リレー機能の代わりに)DHCP トラフィックの通過を許可したり、IP/TV で作成されるようなマルチキャスト トラフィックの通過を許可したりできます。

詳細については、「アクセス規則について」および「アクセス規則の設定(IPv4 または IPv6)」を参照してください。

[Firewall] > [Transparent Rules]:トランスペアレント規則は、Ethertype アクセス コントロール リストを使用して、非 IP のレイヤ 2 トラフィックを制御します。たとえば、AppleTalk、IPX、BPDU、および MPLS がデバイスを通過できるように規則を設定できます。詳細については、「トランスペアレント ファイアウォール規則の設定」を参照してください。

[Platform] > [Bridging] > [ARP Table]、[ARP Inspection] および [IPv6 Neighbor Cache]:これらのポリシーを使用して、ブリッジを通過できる ARP および IPv6 トラフィックのタイプを制御します。必要に応じて、スタティックな ARP エントリおよび IPv6 ネイバー キャッシュ エントリを設定して、これらのスタティック規則で定義されていないトラフィックをドロップできます。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合に、セキュリティ アプライアンスがパケットをドロップするように、ARP インスペクションをイネーブルにします。これによって、ARP スプーフィングを防ぐことができます。詳細については、「[ARP Table] ページ」および「[ARP Inspection] ページ」を参照してください。


) 非トランスペアレントの ASA/PIX/FWSM デバイスで使用できるブリッジング ポリシーは、[ARP Table] と [IPv6 Neighbor Cache] のみです。


[Platform] > [Bridging] > [MAC Address Table] および [MAC Learning]:これらのポリシーを使用して、スタティックな MAC-IP アドレス マッピングを設定し、MAC 学習をイネーブルまたはディセーブルにします。MAC 学習はデフォルトではイネーブルになっており、これによってアプライアンスは、トラフィックがインターフェイスを通過するときに MAC-IP アドレス マッピングを追加できます。スタティック エントリ以外のすべてのトラフィックを阻止する場合は、MAC 学習をディセーブルにできます。詳細については、「[MAC Address Table] ページ」および「[MAC Learning] ページ」を参照してください。

[Platform] > [Bridging] > [Management IP] および [Platform] > [Bridging] > [Management IPv6]:これらのポリシーを使用して、Security Manager がデバイスとの通信に使用できる管理 IP アドレスを設定します。このアドレスを変更する場合は、デバイスまたはセキュリティ コンテキストのデバイス プロパティも更新する必要あります。次の手順を実行します。

管理 IP アドレスを変更し、変更を保存して送信します。

変更をデバイスに展開します。

デバイス ビューで、デバイスまたはセキュリティ コンテキストを選択してから、[Tools] > [Device Properties] を選択します。[General] ページで、新しい管理 IP アドレスを [IP Address] フィールドに入力します。[Credentials] タブで、管理インターフェイスにログインできるアカウントのクレデンシャルで、ユーザ名およびパスワードのフィールドを更新します。これで、Security Manager は、以降の展開およびデバイス通信に、このアドレスおよびユーザ アカウントを使用するようになります。

詳細については、「[Management IP] ページ」を参照してください。

関連項目

「FWSM 3.1 のブリッジング サポート」

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「[Transparent Rules] ページ」

FWSM 3.1 のブリッジング サポート

FWSM 3.1 では複数の L2 インターフェイスのペアをサポートできますが、Security Manager では 2 つの L2 インターフェイス(1 つのインターフェイス ペア)と、関連付けられた 1 つの管理 IP アドレスしか指定できません。つまり、関連付けられた 2 つの指定済みインターフェイスを含む 1 つのブリッジ グループだけが、管理 IP アドレスでプロビジョニングされます。デバイス設定に最大で 1 つのブリッジ グループと 2 つの指定済みインターフェイスが含まれている場合、このデバイス設定は検出対象になります。他のすべてのシナリオは、結果としてエラー メッセージが表示され、コマンドは検出時に拒否されます。さらに、検出では Security Manager にブリッジ グループ情報は表示されませんが、展開中にはブリッジ グループ コマンドが生成されます。ブリッジ グループがデバイス設定に存在しない場合、トランスペアレント規則ポリシーでは、ブリッジ グループ 1 が展開および使用されます。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

[ARP Table] ページ

[ARP Table] ページを使用して、MAC アドレスを IP アドレスにマッピングするスタティック ARP エントリを追加し、ホストに到達するために使用されるインターフェイスを識別します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [ARP Table] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [ARP Table] を選択します。[ARP Table] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add ARP Configuration]/[Edit ARP Configuration] ダイアログボックス」

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 43-1 [ARP Table] ページ

要素
説明

[Timeout (seconds)]

セキュリティ アプライアンスが ARP テーブルを再構築するまでの時間(60 ~ 4294967 秒)。デフォルトは 14400 秒です。

ARP テーブルを再構築すると、自動的に新しいホスト情報が更新され、古いホスト情報が削除されます。ホスト情報が頻繁に変わるため、タイムアウト値を小さくする場合があります。

ARP テーブルに適用されます。ARP テーブルに含まれているスタティックなエントリではありません。

[ARP Table]

[Interface]

ホストが接続されるインターフェイス。

[IP Address]

ホストの IP アドレス。

[MAC Address]

ホストの MAC アドレス。

[Alias Enabled]

セキュリティ アプライアンスがこのマッピングのプロキシ ARP を実行するかどうかを示します。この設定がイネーブルにされ、指定した IP アドレスの ARP 要求をセキュリティ アプライアンスが受信した場合、セキュリティ アプライアンスの MAC アドレスで応答します。セキュリティ アプライアンスは、この IP アドレスに属するホスト宛てのトラフィックを受信すると、このコマンドで指定したホストの MAC アドレスにそのトラフィックを転送します。この機能は、ARP を実行しないデバイスがある場合などに役立ちます。

(注) この設定は、トランスペアレント ファイアウォール モードでは無視され、セキュリティ アプライアンスはプロキシ ARP を実行しません。

[Add ARP Configuration]/[Edit ARP Configuration] ダイアログボックス

[Add ARP Configuration] と [Edit ARP Configuration] ダイアログボックスを使用して、MAC アドレスを IP アドレスにマッピングするスタティック ARP エントリを追加し、ホストに到達するために使用されるインターフェイスを識別します。

ナビゲーション パス

[Add/Edit ARP Configuration] ダイアログボックスには、[ARP Table] ページからアクセスできます。[ARP Table] ページの詳細については、「[ARP Table] ページ」を参照してください。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

フィールド リファレンス

 

表 43-2 [Add/Edit ARP Configuration] ダイアログボックス

要素
説明

[Interface]

ホスト ネットワークが接続されるインターフェイスの名前。

[IP Address]

ホストの IP アドレス。

[MAC Address]

ホストの MAC アドレス(00e0.1e4e.3d8b など)。

[Enable Alias]

選択すると、このマッピングのプロキシ ARP がイネーブルになります。指定した IP アドレスの ARP 要求をセキュリティ アプライアンスが受信した場合、セキュリティ アプライアンスの MAC アドレスで応答します。セキュリティ アプライアンスは、この IP アドレスに属するホスト宛てのトラフィックを受信すると、このコマンドで指定したホストの MAC アドレスにそのトラフィックを転送します。この機能は、ARP を実行しないデバイスがある場合などに役立ちます。

(注) この設定は、トランスペアレント ファイアウォール モードでは無視され、セキュリティ アプライアンスはプロキシ ARP を実行しません。

[ARP Inspection] ページ

[ARP Inspection] ページを使用して、トランスペアレント ファイアウォールの ARP インスペクションを設定します。ARP インスペクションは、ARP スプーフィングを防ぐために使用されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [ARP Inspection] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [ARP Inspection] を選択します。[ARP Inspection] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add/Edit ARP Inspection] ダイアログボックス」

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 43-3 [ARP Inspection] ページ

要素
説明
[ARP Inspection] テーブル

[Interface]

ARP インスペクション設定が適用されるインターフェイスの名前。

[ARP Inspection Enabled]

指定したインターフェイスで ARP インスペクションをイネーブルにするかどうかを示します。

[Flood Enabled]

スタティック ARP エントリのどの要素とも一致しないパケットが、発信元インターフェイス以外のすべてのインターフェイスからフラッドされるかどうかを示します。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合、セキュリティ アプライアンスはパケットをドロップします。このチェックボックスをオフにすると、すべての不一致パケットがドロップされます。

(注) 専用の管理インターフェイスが存在する場合は、このパラメータがフラッドするように設定されていても、パケットはフラッドされません。

[Add/Edit ARP Inspection] ダイアログボックス

[Add/Edit ARP Inspection] ダイアログボックスを使用して、トランスペアレント ファイアウォール インターフェイスの ARP インスペクションをイネーブルまたはディセーブルにします。

ナビゲーション パス

[Add/Edit ARP Inspection] ダイアログボックスには、[ARP Inspection] ページからアクセスできます。[ARP Inspection] ページの詳細については、「[ARP Inspection] ページ」を参照してください。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Inspection] ページ」

フィールド リファレンス

 

表 43-4 [Add ARP Inspection]/[Edit ARP Inspection] ダイアログボックス

要素
説明

[Interface]

ARP インスペクションをイネーブルまたはディセーブルにするインターフェイスの名前。

[Enable ARP Inspection on this interface]

選択すると、指定したインターフェイスで ARP インスペクションがイネーブルになります。

[Flood ARP packets]

選択すると、スタティック ARP エントリのどの要素とも一致しないパケットは、発信元インターフェイス以外のすべてのインターフェイスからフラッドされます。MAC アドレス、IP アドレス、またはインターフェイス間に不一致がある場合、セキュリティ アプライアンスはパケットをドロップします。このチェックボックスをオフにすると、すべての不一致パケットがドロップされます。

(注) 専用の管理インターフェイスが存在する場合は、このパラメータがフラッドするように設定されていても、パケットはフラッドされません。

IPv6 ネイバー キャッシュの管理

[IPv6 Neighbor Cache] ページを使用して、MAC アドレスを IPv6 アドレスにマッピングするスタティック IPv6 ネイバー エントリを管理します。また、ネイバー ホストに到達するために使用されるインターフェイスを識別して、IPv6 のアドレス解決機能を提供します。これは ASA 7.0 以降のデバイスでのみ使用できます。


) IPv6 ネイバー キャッシュ エントリは IPv6 におけるスタティック ARP エントリに相当し、「[ARP Table] ページ」で管理されます。


指定された IPv6 アドレスのエントリがすでにネイバー探索キャッシュにある場合、つまり IPv6 ネイバー探索プロセスで取得されている場合、そのエントリは自動的にスタティック エントリに変換されます。IPv6 ネイバー探索キャッシュ内のスタティック エントリがネイバー探索プロセスによって変更されることはありません。

[IPv6 Neighbor Cache] ページは、Security Manager の標準のテーブルです。このテーブルには [Add Row]、[Edit Row]、[Delete Row] ボタンがあります(これらは、「テーブルの使用」で説明されている標準のボタンです)。[Add Row] ボタンにより [Add IPv6 Neighbor Cache Configuration] ダイアログボックスが開き、[Edit Row] により [Edit IPv6 Neighbor Cache Configuration] ダイアログボックスが開きます。タイトルを除き、この 2 つのダイアログボックスは同じです。


) 必ず少なくとも 1 つのインターフェイスで IPv6 をイネーブルにしてからネイバーを追加します。


フィールド リファレンス

 

表 43-5 [Add Pv6 Neighbor Cache Configuration]/[Edit IPv6 Neighbor Cache Configuration] ダイアログボックス

要素
説明

[Interface]

ネイバーを追加するインターフェイスの名前を入力または選択します。

[IP Address]

ローカルのデータリンク アドレスに対応する IPv6 アドレスを入力します(指定された IPv6 アドレスのエントリがすでにネイバー探索キャッシュにある場合、つまり IPv6 ネイバー探索プロセスで取得されている場合、そのエントリは自動的にスタティック エントリに変換されます)。

[MAC Address]

ホストのローカル データ回線(ハードウェア)の MAC アドレスを入力します(00e0.1e4e.3d8b など)。

[MAC Address Table] ページ

[MAC Address Table] ページを使用して、スタティック MAC アドレス エントリを MAC アドレス テーブルに追加します。このテーブルによって、MAC アドレスは送信元インターフェイスに関連付けられ、デバイスにアドレス指定されたパケットを正しいインターフェイスから送信することがセキュリティ アプライアンスで認識されます。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [MAC Address Table] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [MAC Address Table] を選択します。[MAC Address Table] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス」

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Learning] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 43-6 [MAC Address Table] ページ

要素
説明

[Aging Time (minutes)]

MAC アドレス エントリがタイムアウトになるまでに MAC アドレス テーブル内に存在する時間を分(5 ~ 720(12 時間))で設定します。5 分がデフォルトです。

[MAC Address Table]

[Interface]

MAC アドレスを関連付けるインターフェイス。

[MAC Address]

MAC アドレス(00e0.1e4e.3d8b など)。

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

[Add MAC Table Entry] と [Edit MAC Table Entry] ダイアログボックスを使用して、スタティック MAC アドレス エントリを MAC アドレス テーブルに追加するか、MAC アドレス テーブル内のエントリを変更します。

ナビゲーション パス

[Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックスには、[MAC Address Table] ページからアクセスできます。[MAC Address Table] ページの詳細については、「[MAC Address Table] ページ」を参照してください。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[MAC Address Table] ページ」

フィールド リファレンス

 

表 43-7 [Add MAC Table Entry]/[Edit MAC Table Entry] ダイアログボックス

要素
説明

[Interface]

MAC アドレスを関連付けるインターフェイス。

[MAC Address]

MAC アドレス(00e0.1e4e.3d8b など)。

[MAC Learning] ページ

[MAC Learning] ページを使用して、インターフェイスで MAC アドレス ラーニングをイネーブルまたはディセーブルにします。デフォルトでは、各インターフェイスで入力トラフィックの MAC アドレスが学習され、対応するエントリがセキュリティ アプライアンスによって MAC アドレス テーブルに追加されます。必要な場合は、MAC アドレス ラーニングをディセーブルにすることができます。ただし、MAC アドレスをスタティックにテーブルに追加しないかぎり、トラフィックはセキュリティ アプライアンスを通過できません。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [MAC Learning] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [MAC Learning] を選択します。[MAC Inspection] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「[Add MAC Learning]/[Edit MAC Learning] ダイアログボックス」

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[Management IP] ページ」

フィールド リファレンス

 

表 43-8 [MAC Learning] ページ

要素
説明
[MAC Learning Table]

[Interface]

MAC 学習設定を適用するインターフェイス。

[MAC Learning Enabled]

セキュリティ アプライアンスがインターフェイスに入るトラフィックから MAC アドレスを学習するかどうかを示します。

[Add MAC Learning]/[Edit MAC Learning] ダイアログボックス

[Add MAC Learning] と [Edit MAC Learning] ダイアログボックスを使用して、インターフェイスで MAC アドレス ラーニングをイネーブルまたはディセーブルにします。

ナビゲーション パス

[Add/Edit MAC Learning] ダイアログボックスには、[MAC Learning] ページからアクセスできます。[MAC Learning] ページの詳細については、「[MAC Learning] ページ」を参照してください。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[MAC Learning] ページ」

フィールド リファレンス

 

表 43-9 [Add MAC Configuration]/[Edit MAC Configuration] ダイアログボックス

要素
説明

[Interface]

MAC 学習設定を適用するインターフェイス。

[MAC Learning Enabled]

選択すると、セキュリティ アプライアンスはインターフェイスに入るトラフィックから MAC アドレスを学習します。

[Management IP] ページ

トランスペアレント ファイアウォールは IP ルーティングには関与しません。デバイスに必要な IP 設定は、管理 IP アドレスの指定のみです。管理 IP アドレスは、システム メッセージや AAA サーバとの通信など、デバイスで発信されるトラフィックの送信元アドレスとして使用されます。このアドレスは、リモート管理アクセスにも使用できます。

IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、管理 IP アドレスが必要です。


) デバイスの管理 IP アドレスに加えて、Management 0/0 または 0/1 の管理専用インターフェイスの IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別のサブネットに設定できます。


[Management IP] ページを使用して、セキュリティ デバイスの管理 IP アドレス、またはトランスペアレント ファイアウォール モードのコンテキストの管理 IP アドレスを設定します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [Management IP] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [Management IP] を選択します。[Management IP] を右クリックしてポリシーを作成するか、または共有ポリシー セレクタから既存のポリシーを選択します。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

フィールド リファレンス

 

表 43-10 [Management IP] ページ

要素
説明

[Management IP Address]

管理 IP アドレス。

[Subnet Mask]

管理 IP アドレスに対応するサブネット マスク。

[Management IPv6] ページ(ASA 5505)

トランスペアレント ファイアウォールは IP ルーティングには関与しません。デバイスに必要な IP 設定は、管理 IP アドレスの指定のみです。管理 IP アドレスは、システム メッセージや AAA サーバとの通信など、デバイスで発信されるトラフィックの送信元アドレスとして使用されます。このアドレスは、リモート管理アクセスにも使用できます。

IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。グローバル アドレスを設定する場合、各インターフェイスにリンクローカル アドレスが自動的に設定されるため、特にリンクローカル アドレスを設定する必要はありません。ただし、グローバル管理アドレスを設定しない場合、「IPv6 インターフェイスの設定(ASA/FWSM)」の説明に従って、インターフェイス リンクローカル アドレスを設定する必要があります。1 つのデバイスには IPv6 管理アドレスと IPv4 管理アドレスの両方を設定できます。

トランスペアレント モードの ASA 5505 では、[Management IPv6] ページを使用して IPv6 をイネーブルにし、ネイバー送信要求を設定して、IPv6 インターフェイス アドレスを管理します。


) このページは、トランスペアレント モードの ASA 5505 バージョン 8.2 および 8.3 のデバイスでのみ使用できます。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Bridging] > [Management IPv6] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Bridging] > [Management IPv6] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「ファイアウォール デバイスでのブリッジングについて」

「[ARP Table] ページ」

「[ARP Inspection] ページ」

「[MAC Address Table] ページ」

「[MAC Learning] ページ」

フィールド リファレンス

 

表 43-11 [Management IPv6] ページ

要素
説明

[Enable IPv6]

IPv6 をイネーブルにして、IPv6 管理インターフェイス アドレスを設定するには、このチェックボックスをオンにします。このオプションをオフにすると IPv6 をディセーブルにできますが、設定情報は保持されます。

[DAD Attempts]

Duplicate Address Detection(DAD; 重複アドレス検出)の実行中にインターフェイスで送信される連続ネイバー送信要求メッセージの数を指定するには、このフィールドに 0 ~ 600 の数を入力します。0 を入力すると、重複アドレス検出がディセーブルになります。1 を入力すると、フォローアップ送信のない一度の送信を設定します。これはデフォルトです。

アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。

重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address FE80::1 on outside

重複アドレスがインターフェイスのグローバル アドレスの場合は、そのアドレスは使用されず、前述のリンクローカル アドレスと同様のエラー メッセージが発行されます。

重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられている他のすべての IPv6 アドレスが再生成されます(つまり、重複アドレス検出は、新しいリンクローカル アドレスでのみ行われます)。

[NS Interval]

IPv6 ネイバー送信要求メッセージの再送信間隔(ミリ秒単位)。有効な値の範囲は 1000 ~ 3600000 ミリ秒で、デフォルト値は 1000 ミリ秒です。

[Reachable Time]

リモート IPv6 ノードが到達可能であることが最初に確認されてから、このノードが到達可能であると見なされ続ける時間(ミリ秒単位)。有効な値の範囲は 0 ~ 3600000 ミリ秒で、デフォルト値は 0 です。この値に 0 を使用する場合、到達可能時間は未定に設定されます。つまり、到達可能時間の設定および追跡は受信デバイス次第です。

設定時間によって、使用不可のネイバーを検知できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間の設定は推奨できません。

[Interface IPv6 Addresses]

このテーブルに一覧表示される管理インターフェイスに割り当てられている IPv6 アドレス。このテーブルの下の [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します(「テーブルの使用」に説明されているとおり、これらは標準のボタンです)。

[Add Row] および [Edit Row] を使用すると、「[IPv6 Address for Interface] ダイアログボックス」が開きます。