Cisco Security Manager 4.2 ユーザ ガイド
ファイアウォール デバイスの管理
ファイアウォール デバイスの管理
発行日;2012/05/10 | 英語版ドキュメント(2011/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスの管理

ファイアウォール デバイスのタイプ

ファイアウォールのデフォルト設定

ファイアウォール デバイスのインターフェイスの設定

デバイス インターフェイスについて

ルーテッド モードおよびトランスペアレント モードのインターフェイス

シングルおよびマルチ コンテキストのインターフェイス

非対称ルーティング グループについて

ASA 5505 のポートおよびインターフェイスについて

サブインターフェイスの設定(PIX/ASA)

冗長インターフェイスの設定

EtherChannel の設定

デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理

[Add Interface]/[Edit Interface] ダイアログボックス(PIX 6.3)

[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)

ASA 5505 でのハードウェア ポートの設定

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

高度なインターフェイス設定(PIX/ASA/FWSM)

同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化

PPPoE ユーザ リストの管理

VPDN グループの管理

ファイアウォール デバイスの管理

ここでは、Cisco セキュリティ デバイス上のセキュリティ サービスおよびポリシーの設定と管理について説明します。Cisco セキュリティ デバイスとは、Adaptive Security Appliances(ASA; 適応型セキュリティ アプライアンス)、PIX ファイアウォール、および Catalyst 6500 シリーズ スイッチ サービス モジュール(Firewall Services Module(FWSM; ファイアウォール サービス モジュール)および ASA-SM)を指しています。

この章の構成は、次のとおりです。

「ファイアウォール デバイスのタイプ」

「ファイアウォールのデフォルト設定」

「ファイアウォール デバイスのインターフェイスの設定」

ファイアウォール デバイスのタイプ

Security Manager は、さまざまな Cisco セキュリティ アプライアンスやファイアウォール デバイスを検出および管理できます。その中には、特に次のものが含まれます。

PIX 500 シリーズ ファイアウォール デバイス

ASA 5500 シリーズ セキュリティ アプライアンス

セキュリティ固有の Catalyst サービス モジュール

PIX 500 シリーズ

Private Internet eXchange(PIX)500 シリーズ ファイアウォール アプライアンスは販売終了となっていますが、現在でもサポートされており、世界中で多数が使用されています。

ASA 5500 シリーズ

Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)5500 シリーズ デバイスは、コンテキスト対応ファイアウォール機能および脅威からのリアルタイム保護を含めて、包括的なセキュリティ サービスを提供します。ASA 5500 は、シスコのプライマリ セキュリティ アプライアンスとして PIX 500 に代わるものです。詳細については、cisco.com の「 Cisco ASA 5500 Series Adaptive Security Appliance 」のページを参照してください。

Catalyst サービス モジュール

Catalyst 6500 スイッチでは、ファイアウォールおよびセキュリティ サービスを提供する 2 種類を含めて、さまざまな Services Modules(SM; サービス モジュール)を使用できます。これは、スイッチ シャーシに直接インストールするブレード タイプのモジュールです。

Firewall Services Module(FWSM; ファイアウォール サービス モジュール)を使用すると、スイッチ上の任意のポートをファイアウォール ポートとして動作させることができ、ファイアウォール セキュリティがネットワーク構造の内部に組み込まれます。詳細については、「 Cisco Catalyst 6500 Series Firewall Services Module 」を参照してください。

Adaptive Security Appliance Service Module(ASA-SM; 適応型セキュリティ アプライアンス サービス モジュール)は、レイヤ 2 から 7 で高速のセキュリティ サービスを提供し、1 台のスイッチに 4 台の ASA-SM ブレードをインストール可能にすることで、64 Gbps のスケーラビリティを提供します。詳細については、「 Cisco Catalyst 6500 Series ASA Services Module 」を参照してください。


) ASA-SM は、Catalyst 6500 スイッチにブレードとしてインストールされており、物理的には FWSM に類似していますが ASA デバイスであり、そのように説明されています。したがって、ASA-SM に関しては、ASA 関連の項を参照してください。必要な場合には、サービス モジュールと ASA アプライアンスに関する注意点および相違点が記載されています。


ファイアウォールのデフォルト設定

ファイアウォール デバイスは、すでにある程度設定された状態で出荷されています。新規で設置したファイアウォール デバイスを手動で Cisco Security Manager に追加する場合は、そのデバイスのプリセットまたはデフォルト ポリシーを見つける(インポートする)必要があります。これらのポリシーを Security Manager にインポートすることによって、そのデバイスに最初に設定を展開したときに、これらのポリシーを意図せずに削除してしまわずにすみます。ポリシーをインポートする方法の詳細については、「ポリシーの検出」を参照してください。

Cisco Security Manager には、多数のデバイス タイプやバージョンのデフォルト ポリシーを含む設定ファイルのセットが用意されています。これらの設定ファイルは、 <install_dir> ¥CSCOpx¥MDC¥fwtools¥pixplatform¥ ディレクトリ(たとえば、 C:¥Program Files¥CSCOpx¥MDC¥fwtools¥pixplatform¥ )に格納されています。

ファイル名は、デバイス タイプ、オペレーティング システムのバージョン、コンテキストのサポート、および動作タイプを表しています。たとえば、「FactoryDefault_FWSM2_2_MR.cfg」は、FWSM、バージョン 2.2 で、マルチ コンテキストをサポートし、ルーテッド モードで動作する場合の設定ファイルです。同様に、「FactoryDefault_ASA7_0_1_ST.cfg」は、ASA、バージョン 7.0.1、シングル コンテキストのトランスペアレント モードの設定ファイルです。

セキュリティ コンテキストの詳細については、「シングルおよびマルチ コンテキストのインターフェイス」を、ルーテッドおよびトランスペアレント動作の詳細については、「ルーテッド モードおよびトランスペアレント モードのインターフェイス」を参照してください。

提供されている設定ファイルから新しいデバイスを追加する方法については、「設定ファイルからのデバイスの追加」を参照してください。

ファイアウォール デバイスのインターフェイスの設定

[Interfaces] ページには、設定されている物理インターフェイス、論理インターフェイス、および冗長インターフェイスが表示されます。また、選択したデバイスのハードウェア ポートとブリッジ グループも表示されます。このページでは、インターフェイスを追加、編集、および削除できます。また、同じセキュリティ レベルのインターフェイス間の通信を可能にしたり、VPDN グループおよび PPPoE ユーザを管理したりできます。


) ASA 5505 デバイスに表示される [Interfaces] ページには、[Hardware Ports] および [Interfaces] の 2 つのタブ付きパネルが表示されます。同様に、トランスペアレント モードで動作する Catalyst 6500 サービス モジュール(ASA-SM と FWSM)で表示される [Interfaces] ページには、2 つのタブ付きパネル [Interfaces] と [Bridge Groups] が表示されます。


ナビゲーション パス

[Interfaces] ページにアクセスするには、デバイス ビューでセキュリティ デバイスを選択し、デバイス ポリシー セレクタから [Interfaces] を選択します。

ここでは、次の項目について説明します。

「デバイス インターフェイスについて」

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

「高度なインターフェイス設定(PIX/ASA/FWSM)」

デバイス インターフェイスについて

インターフェイスは、セキュリティ デバイスと他のネットワーク デバイスとの間の接続ポイントです。インターフェイスは、最初はディセーブルになっています。そのため、ファイアウォール設定に不可欠な作業として、インターフェイスをイネーブルにし、適切なパケット インスペクションおよび転送を許可するように設定する必要があります。

インターフェイスには、物理インターフェイスと論理インターフェイスの 2 つのタイプがあります。物理インターフェイスは、ネットワーク ケーブルが差し込まれるデバイス上の実際のスロットであり、論理インターフェイスは、特定の物理ポートに割り当てられる仮想ポートです。一般的に、物理ポートはインターフェイスと呼ばれます。また、論理ポートは機能に応じて、サブインターフェイス、仮想インターフェイス、VLAN、または EtherChannel と呼ばれます。定義できるインターフェイスの数とタイプは、アプライアンス モデルおよび購入したライセンスのタイプによって異なります。


) PIX オペレーティング システムのバージョン 6.3 が稼動しているデバイスでは、「インターフェイス」および「サブインターフェイス」というラベルではなく、「物理的」および「論理的」というラベルが使用されます。また、トランスペアレント モードおよびマルチ コンテキストは、これらのデバイスではサポートされません。


サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。この機能は、マルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。

原則として、インターフェイスはルータベースのネットワークに接続し、サブインターフェイスはスイッチベースのネットワークに接続します。すべてのサブインターフェイスが、許可トラフィックを正しくルーティングする物理インターフェイスに関連付けられている必要があります。

物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。ただし、物理インターフェイスでタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます(インターフェイスの命名の詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください)。


) スイッチ機能とセキュリティ アプライアンス機能を組み合わせた ASA 5505 は、物理スイッチ ポートと論理 VLAN インターフェイスの両方を設定する特殊な事例です。詳細については、「ASA 5505 のポートおよびインターフェイスについて」を参照してください。


Catalyst 6500 サービス モジュール(ASA-SM と FWSM)には外部物理インターフェイスは含まれませんが、代わりに内部 VLAN インターフェイスを使用します。たとえば、VLAN 201 を FWSM 内部インターフェイスに割り当てて、VLAN 200 を外部インターフェイスに割り当てます。これらの VLAN を物理スイッチ ポートに割り当てると、ホストがこれらのポートに接続します。VLAN 201 と 200 間で通信が行われる場合は、FWSM が VLAN 間で唯一使用可能なパスであり、トラフィックはステートフルに検査されるように強制されます。

デバイス インターフェイスの追加情報については、次の項を参照してください。

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「シングルおよびマルチ コンテキストのインターフェイス」

「ASA 5505 のポートおよびインターフェイスについて」

「サブインターフェイスの設定(PIX/ASA)」

「冗長インターフェイスの設定」

「EtherChannel の設定」

セキュリティ アプライアンスの設定

ファイアウォール デバイスではさまざまな設定が可能であり、設定によって、特定のデバイスに関連付けられるインターフェイスの定義方法が決まります。次の表に、さまざまな設定の概要を示します。

 

表 44-1 セキュリティ アプライアンスの設定

デバイス タイプ
動作モード
(ルータまたはトランスペアレント)
コンテキスト サポート
(シングルまたはマルチ)

PIX 6.3.x

該当なし

該当なし

PIX 7.0 以降/ASA

ルータまたはトランスペアレント

シングル

PIX 7.0 以降/ASA、または管理対象外の PIX 7.0 以降/ASA のセキュリティ コンテキスト

ルータまたはトランスペアレント

マルチ(「マルチ セキュリティ コンテキストを設定するためのチェックリスト」を参照)

FWSM、または管理対象外スイッチのセキュリティ コンテキスト(マルチ モード)

ルータまたはトランスペアレント

シングルまたはマルチ

ルーテッド モードおよびトランスペアレント モードのインターフェイス

ASA/PIX 7.0 および FWSM 2.2.1 から、2 つのモード( ルーテッド または トランスペアレント )のどちらかで動作するように、セキュリティ デバイスを設定できるようになりました(PIX 6.3 はルーテッド モードでだけ動作します)。

ルーテッド モードの場合、セキュリティ アプライアンスは接続されているネットワークのゲートウェイまたはルータとして機能します。つまり、そのインターフェイスの IP アドレスを保持し、IP アドレス(レイヤ 3)情報に基づいて、これらのインターフェイスを通過するトラフィックを検査およびフィルタリングします。このモードでは、各デバイス インターフェイスが別の IP サブネットに接続され、そのサブネット上で専用の IP アドレスを持ちます。ルーテッド モードは、シングル モードで、またはコンテキストごとに、最大 256 個のインターフェイスをサポートし、最大で 1000 個のインターフェイスがすべてのコンテキスト間で分配されます。

トランスペアレント モードの場合、セキュリティ アプライアンスはレイヤ 2(データリンク)デバイス、つまりトランスペアレント ブリッジとして動作し、多くの場合、「Bump In The Wire」または「ステルス ファイアウォール」と呼ばれます。このモードでは、内部および外部の 2 つのインターフェイスだけを定義できます。これらのインターフェイスには IP アドレスは必要ありません。VLAN ID を使用して検査済みのトラフィックを転送します。ただし、デバイスに専用の管理インターフェイスが含まれている場合は、これ(物理インターフェイスまたはサブインターフェイスのどちらか)をデバイス管理トラフィック用の 3 番めのインターフェイスとして使用できます。


) Cisco Security Manager は、検出中に FWSM 2.x デバイスのインターフェイス情報を読み込みません。


ブリッジ グループ

ASA 8.4.1 および FWSM 3.1 から、トランスペアレント モードでブリッジ グループを使用して、デバイスやコンテキストで使用可能なインターフェイスの数を増やすことができるようになりました。ブリッジ グループは 8 個まで設定できます。FWSM では各グループに 2 個のインターフェイスを装備でき、ASA では各グループに 4 個のインターフェイスを装備できます。詳細については、「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」を参照してください。

関連項目

「ファイアウォール デバイスでのブリッジング ポリシーの設定」

シングルおよびマルチ コンテキストのインターフェイス

セキュリティの「コンテキスト」によって、単一の物理デバイスが複数の独立したファイアウォールとして動作できます。マルチ コンテキスト モードの場合、個々のコンテキストは独自の設定を備えた単一の仮想ファイアウォールを定義します。各コンテキストは一意の仮想ファイアウォールとして機能して、そのコンテキストに割り当てられたインターフェイスを通過するトラフィックを検査およびフィルタリングします。コンテキストはそれぞれ、同じセキュリティ アプライアンスに定義されている他のコンテキストを「認識しません」。

シングル コンテキストのルーテッド モード デバイスの場合、マルチ コンテキスト デバイス上のインターフェイスはルータベースのネットワークに接続し、サブインターフェイスはスイッチベースのネットワークに接続します。さらに、各サブインターフェイスは、許可トラフィックを正しくルーティングするインターフェイスに関連付けられている必要があります。

ただし、コンテキストを定義して展開するまで、設定のルーテッド モード部分である IP アドレスは定義できず、管理インターフェイスも指定できません。しかし、必要なインターフェイスおよびサブインターフェイスを定義するまで、セキュリティ コンテキストは定義できません。

つまり、セキュリティ コンテキスト自体を定義および設定する前に、(ルーテッド モードまたはトランスペアレント モードのどちらの場合でも)複数のセキュリティ コンテキストを提供するデバイス上でインターフェイスおよびサブインターフェイスをイネーブルにして設定する必要があります。

詳細は「ファイアウォール デバイスでのセキュリティ コンテキストの設定」を参照してください。

非対称ルーティング グループについて

場合によっては、セッションのリターン トラフィックは、そのセッションが送信されたインターフェイスとは別のインターフェイスでルーティングされることがあります。同様に、フェールオーバー設定では、ある装置から発信された接続のリターン トラフィックが、ピア装置を経由して返送されることがあります。これは一般に、1 つの FWSM 上の 2 つのインターフェイス、またはフェールオーバー ペアの 2 つの FWSM が別々のサービス プロバイダーに接続され、発信接続で NAT アドレスを使用しない場合に起こります。デフォルトでは、リターン トラフィックには接続情報がないため、FWSM はそのトラフィックをドロップします。

ドロップが発生する可能性のある VLAN インターフェイスに、Asymmetric Routing(ASR; 非対称ルーティング)グループを割り当てることで、リターン トラフィックのドロップを防止できます。メンバ インターフェイスがセッション情報のないパケットを受信すると、そのインターフェイスは同じグループのメンバである他のインターフェイスのセッション情報を確認します。

一致が検出されない場合は、パケットはドロップされます。一致が検出された場合は、次のいずれかのアクションが実行されます。

着信トラフィックが同一 FWSM 上の異なるインターフェイスで発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットは再度ストリームに入れられます。

着信トラフィックがフェールオーバー設定のピア装置で発信された場合、レイヤ 2 ヘッダーの一部または全部が書き換えられ、パケットはもう一方の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。


) フェールオーバー設定では、スタンバイ ユニットやフェールオーバー グループからアクティブ ユニットやフェールオーバー グループに転送されるセッション情報について、ステートフル フェールオーバーをイネーブルにする必要があります。


FWSM 仮想インターフェイスを非対称ルーティング グループに割り当てるには、単に ASR Group ID を「[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)」に指定します。グループが存在しない場合はグループが作成され、インターフェイスがそのグループに割り当てられます。

この ASR グループに参加するインターフェイスごとに、この割り当てを繰り返す必要があります。最大 32 個の ASR グループを作成して、各グループに最大 8 個のインターフェイスを割り当てることができます。


) フェールオーバー設定のスタンバイ ユニットからアクティブ ユニットにパケットをリダイレクトできるようにするには、アップストリーム ルータとダウンストリーム ルータは、VLAN ごとに 1 つの MAC アドレスを使用し、異なる VLAN には異なる MAC アドレスを使用する必要があります。


ASA 5505 のポートおよびインターフェイスについて

ASA 5505 は組み込みスイッチを含んでいるという点で独特であり、また、設定に必要なポートおよびインターフェイスが 2 種類存在します。

物理スイッチ ポート:ASA 5505 には、ハードウェアのスイッチング機能を使用して、レイヤ 2 でトラフィックを転送するファスト イーサネット スイッチ ポートが 8 個あります。これらのポートのうちの 2 つは、Power-over-Ethernet(PoE)ポートです。これらのポートは、PC、IP Phone、または DSL モデムなどのユーザ機器に直接接続できます。または、別のスイッチに接続できます。

論理 VLAN インターフェイス:ルーテッド モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 の VLAN ネットワーク間でトラフィックを転送します。トランスペアレント モードでは、これらのインターフェイスは、設定済みのセキュリティ ポリシーを使用してファイアウォール サービスを適用することによって、レイヤ 2 の同じネットワーク上の VLAN 間でトラフィックを転送します。

スイッチ ポートを別々の VLAN に分離するには、各スイッチ ポートを VLAN インターフェイスに割り当てます。同じ VLAN 上のスイッチ ポートは、ハードウェア スイッチングを使用して相互に通信できます。ただし、1 つの VLAN 上のスイッチ ポートが別の VLAN 上のスイッチ ポートとの通信を試行した場合は、ASA 5505 によって、トラフィックおよび 2 つの VLAN 間のルートまたはブリッジにセキュリティ ポリシーが適用されます。


) サブインターフェイスと冗長インターフェイスは、ASA 5505 では使用できません。


ナビゲーション パス

ASA 5505 デバイスに表示される [Interfaces] ページには、[Hardware Ports] および [Interfaces] の 2 つのタブ付きパネルが表示されます。これらのパネルにアクセスするには、[Device View] で ASA 5505 を選択し、デバイス ポリシー セレクタから [Interfaces] を選択します。

ASA 5505 スイッチのポートとインターフェイスの設定

スイッチ ポートの設定については、「ASA 5505 でのハードウェア ポートの設定」を参照してください。

インターフェイスの設定については、「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」を参照してください。

関連項目

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

サブインターフェイスの設定(PIX/ASA)

サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。この機能はマルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。


) 物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。ただし、物理インターフェイスでタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます



) このオプションは PIX 7.0 以降のデバイスと 5505 ASA 以外のデバイスでのみ使用できます。


サブインターフェイスの定義

サブインターフェイスを [Add Interface] または [Edit Interface](ASA/PIX 7.0 以降)ダイアログボックスで設定するには、次の手順を行います。このダイアログボックスには、デバイスの [Interfaces] ページからアクセスできます(「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照)。

1. [Add Interface] または [Edit Interface] ダイアログボックスで、インターフェイスの [Type] として [Subinterface] を選択します。

[VLAN ID] と [Subinterface ID] のフィールドが [Hardware Port]、[Name]、[Security Level] のフィールドの下に表示されます。

2. 以前に定義したインターフェイス ポートのリストから、目的の [Hardware Port] を選択します。目的のインターフェイス ID が表示されない場合は、インターフェイスが定義済みで、イネーブルにされていることを確認してください。

3. [VLAN ID]:このサブインターフェイスの VLAN ID を指定します。1 ~ 4094 の値を入力します。指定した VLAN ID は、どの接続デバイスでも使用されていない必要があります。

一部の VLAN ID は接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。マルチコンテキスト モードでは、VLAN ID はシステム設定でのみ設定できます。

4. [Subinterface ID]:サブインターフェイス ID として 1 ~ 4294967293 の整数を指定します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。

サブインターフェイスのポート ID の場合、この ID は選択したハードウェア ポートに付加されます。たとえば、 GigabitEthernet0.4 は、GigabitEthernet0 ポートで動作する、4 の ID を割り当てられたサブインターフェイスを示します。


) 設定後は ID を変更できません。


5. 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」の説明に従って、このインターフェイスの設定を続けます。

冗長インターフェイスの設定

Security Manager 3.2.2 から、論理的な「冗長」インターフェイスを定義して、セキュリティ アプライアンスの信頼性を向上させることができるようになりました。冗長インターフェイスは物理インターフェイスの特定のペアであり、1 つをアクティブ(またはプライマリ)として指定し、もう 1 つをスタンバイ(またはセカンダリ)として指定します。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの送信を開始します。この機能はデバイスレベルのフェールオーバーとは別のものですが、必要な場合には、フェールオーバーと同様に冗長インターフェイスを設定できます。最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイスは、常にメンバ ペアの 1 つだけがアクティブになる単一のインターフェイス(内部、外部など)として機能します。この冗長インターフェイスは、一意のインターフェイス名、セキュリティ レベル、および IP アドレスを使用して通常どおりに設定します。各メンバ インターフェイスは同じタイプ(ギガビット イーサネットなど)である必要があり、名前、セキュリティ レベル、または IP アドレスを割り当てられないことに注意してください。実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。

冗長インターフェイスは、指定した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバー インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに明示的に MAC アドレスを割り当てることもできます。この場合、メンバ インターフェイスの MAC アドレスに関係なく、このアドレスが使用されます。どちらの場合にも、アクティブ インターフェイスがスタンバイにフェールオーバーしたときには、トラフィックが中断されないように同じ MAC アドレスが保持されます。


) このオプションは PIX 8.0 以降のデバイスと 5505 ASA 以外のデバイスでのみ使用できます。


冗長インターフェイスの定義

2 つの物理インターフェイスを単一の論理的な「冗長インターフェイス」として [Add Interface] または [Edit Interface](ASA/PIX 7.0 以降)ダイアログボックスで設定するには、次の手順を行います。このダイアログボックスには、デバイスの [Interfaces] ページからアクセスできます(「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照)。

1. [Add Interface] または [Edit Interface] ダイアログボックスで、インターフェイスの [Type] として [Redundant] を選択します。

[Redundant ID]、[Primary Interface]、および [Secondary Interface] オプションが表示されます。

2. この冗長インターフェイスの ID を [Redundant ID] フィールドに指定します。有効な ID は、1 ~ 8 の整数です。

3. [Primary Interface]:この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのプライマリ メンバーを選択します。名前付きインターフェイスは冗長インターフェイス ペアでは指定できないため、使用可能なインターフェイスが [Hardware Port ID] に表示されます。

4. [Secondary Interface]:この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのセカンダリ メンバを選択します。名前付きインターフェイスは冗長インターフェイス ペアでは指定できないため、使用可能なインターフェイスが [Hardware Port ID] に表示されます。


) メンバ インターフェイスはイネーブルである必要があります。また、メンバ インターフェイスは同じタイプ(GigabitEthernet など)である必要があります。[Name]、[IP Address]、または [Security Level] を割り当てることはできません。実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。


5. 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」の説明に従って、このインターフェイスの設定を続けます。

EtherChannel の設定

ASA 8.4.1 から、論理 EtherChannel インターフェイスを定義できるようになりました。ポートチャネル インターフェイスとも呼ばれる EtherChannel は、個別のイーサネット リンクのバンドル(チャネル グループ)で構成される論理インターフェイスです。EtherChannel を使用すると、個別のリンクと比較して帯域幅と耐障害性を強化できます。

EtherChannel インターフェイスは、単一の物理インターフェイスと同様の方法で設定および使用されます。最大 48 個の EtherChannel を設定できます。各 EtherChannel は 1 ~ 8 個のアクティブなファスト イーサネット ポート、ギガビット イーサネット ポート、または Ten-Gigabit イーサネット ポートで構成されます。


) EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、冗長インターフェイスと EtherChannel インターフェイスが同じ物理インターフェイスを使用しない場合は、両方のタイプを ASA に設定できます。


EtherChannel MAC アドレス指定

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。これにより、ネットワーク アプリケーションとユーザに対して EtherChannel がトランスペアレントになります。これは、ネットワーク アプリケーションとユーザは 1 つの論理接続のみを認識し、個別のリンクは認識しないためです。デフォルトでは、EtherChannel は最も番号の小さいメンバ インターフェイスの MAC アドレスをその EtherChannel の MAC アドレスとして使用します。

または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。チャネル インターフェイスのメンバーシップを変更する場合は、MAC アドレスを手動で設定することを推奨します。たとえば、ポートチャネル MAC アドレスを提供するインターフェイスを削除する場合、そのポートチャネルには次に番号の小さいインターフェイスの MAC アドレスが割り当てられるため、トラフィックが分断されます。手動で一意の MAC アドレスを EtherChannel インターフェイスに割り当てることにより、この分断を防止できます(マルチコンテキスト モードでは、EtherChannel インターフェイスを含め、個別のコンテキストに割り当てられているインターフェイスに一意の MAC アドレスを割り当てることができます)。

管理専用 EtherChannel インターフェイスについて

EtherChannel グループは管理専用インターフェイスとして指定できますが、次の点に注意してください。

ルーテッド モード:EtherChannel を管理専用として明示的に「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」で設定する必要があります。管理専用ポートチャネルに追加された管理用ではないすべてのインターフェイスは、管理ポートとして扱われます。すでに管理専用として定義されているインターフェイスを管理専用グループに追加する場合、物理インターフェイスではその属性は無視されます。同様に、インターフェイスがすでに管理専用ポートチャネルのメンバである場合は、そのインターフェイスを管理専用として指定できません。

トランスペアレント モード:このモードでは、管理専用 EtherChannel のメンバ自体は管理専用ポートにしかなれません。そのため、管理専用メンバをトランスペアレント モードの EtherChannel に追加する場合、チャネルは管理専用の指定を継承する一方、その指定はメンバ インターフェイスから削除されます。反対に、そのようなインターフェイスが EtherChannel から削除されると、その指定は個別のインターフェイス上で復元されます。

EtherChannel インターフェイスのフェールオーバー リンクとしての使用

EtherChannel インターフェイスがフェールオーバー リンクとして指定されている場合、そのリンクのすべての状態同期トラフィックは単一の物理インターフェイスで送信されます。その物理インターフェイスに障害が発生すると、状態同期トラフィックは EtherChannel 集約リンクに含まれる別の物理インターフェイスを通過します。フェールオーバー用に指定された EtherChannel リンクに使用可能な物理インターフェイスが残っていない場合、冗長インターフェイスが指定されていれば、ASA は冗長インターフェイスに切り替えます。

EtherChannel インターフェイスはアクティブなフェールオーバー リンクとして使用されますが、その EtherChannel 設定を変更することはできません。そのリンクの EtherChannel 設定を変更するには、次のようにして、リンクまたはフェールオーバーのいずれかをディセーブルにする必要があります。

設定を変更している間は EtherChannel リンクをディセーブルにし、その後リンクを再アクティブ化します(リンクがディセーブルになっている間はフェールオーバーは発生しません)。

設定を変更している間はフェールオーバーをディセーブルにし、その後フェールオーバーをイネーブルにします(その間フェールオーバーは発生しません)。


) フェールオーバー リンクとして割り当てられている他のタイプのインターフェイスと同様、EtherChannel インターフェイスに名前を付けることはできません。さらに、EtherChannel のメンバ インターフェイスに名前を付けることもできません。


ASA での EtherChannel の定義

複数の物理インターフェイスを単一の論理 EtherChannel インターフェイスとして ASA の [Add Interface] または [Edit Interface] ダイアログボックスで設定するには、次の手順を行います。このダイアログボックスには、デバイスの [Interfaces] ページからアクセスできます(「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照)。


ステップ 1 インターフェイスの [Type] として [EtherChannel] を選択します。

[Port-channel ID] およびインターフェイスの選択オプション([Load Balancing] と [Active Physical Interfaces])が、ダイアログボックスの [General] パネルに表示されます。[Minimum] と [Maximum] フィールドが [Advanced] パネルに表示されます。

ステップ 2 この EtherChannel の ID を [Port-channel ID] フィールドに指定します。有効な ID は、1 ~ 48 の整数です。この数字は「Port-channel」に追加され、デバイスの [Interfaces] ページにあるテーブルの [Interface] 列で、EtherChannel を識別します。

ステップ 3 [Available Interfaces]:この使用可能なインターフェイスのリストで 1 つ以上のインターフェイスを選択して、[>>] ボタンをクリックして右のメンバ リストに追加して、このポートチャネル グループのメンバを指定します。


) チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。


最大 16 個のインターフェイスをチャネル グループに割り当てられます。標準の EtherChannel では、このうち最大 8 個のインターフェイスをアクティブにできます。残りのインターフェイスは個別のインターフェイスに障害が発生した場合のスタンバイ リンクとして動作します。または、[LACP Mode] を [On] に設定すると、スタティックな EtherChannel を作成できます(次に説明されているとおり、[Advanced] パネルで設定)。これにより、グループ内のすべてのインターフェイスでトラフィックを通過させることができます。


) この EtherChannel グループにインターフェイスを割り当てたら、「EtherChannel に割り当てられているインターフェイスの LACP パラメータの編集」の説明に従って、各メンバ インターフェイスの [LACP Port] パラメータを編集できます。


ステップ 4 [Advanced] タブをクリックして、そのパネルを表示します。

ステップ 5 EtherChannel のセクションで、[Load Balancing] オプションを選択します。このオプションの詳細については、「EtherChannel のロード バランシングについて」を参照してください。

ステップ 6 目的の [LACP Mode] を選択します。デフォルトの [Active] を選択すると、[Active Physical Interfaces] の [Minimum] 値と [Maximum] 値で指定されているとおり、最大 8 個のインターフェイスをアクティブにして、最大 8 個のインターフェイスをスタンバイ モードにできます。

[On] を選択すると、すべてのメンバ インターフェイスが「オン」になっているスタティック ポートチャネルが作成されます。つまり、トラフィックを通過する最大 16 個のポートを設定できます。この場合、スタンバイ ポートはありません。このオプションを選択すると、この EtherChannel グループに割り当てられているすべてのインターフェイスの [Mode] は [On] に切り替わります(それぞれの [Mode] が [On] ではない場合)。このモードの詳細については、「EtherChannel に割り当てられているインターフェイスの LACP パラメータの編集」を参照してください。

ステップ 7 この EtherChannel のアクティブな物理インターフェイスの最小数と最大数を [Minimum] と [Maximum] に指定します。

前述のとおり、EtherChannel は 1 ~ 8 個のアクティブ リンクで構成することができます。また、グループには([General] パネルで)最大 16 個のアクティブ リンクが割り当てられます。これらのフィールドを使用して、特定の時点でこのチャネル グループでアクティブにできるインターフェイスの最小値と最大値を指定します。

ステップ 8 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」の説明に従って、このインターフェイスの設定を続けます。


) このデバイスの EtherChannel の [LACP System Priority] は、「高度なインターフェイス設定(PIX/ASA/FWSM)」ダイアログボックスで指定します。



 

EtherChannel に割り当てられているインターフェイスの LACP パラメータの編集

インターフェイスを EtherChannel(ポートチャネル)グループに割り当てたら、ここでの説明に従って、各メンバ インターフェイスの [LACP Port] パラメータを編集できます。


) この機能は ASA 8.4.1 以降のデバイスでのみ使用できます。


Link Aggregation Control Protocol(LACP; リンク集約制御プロトコル)は、物理的なファスト イーサネット、ギガビット イーサネット、または Ten-Gigabit イーサネットのインターフェイスを集約して 1 つの EtherChannel グループに転送します。また、互換性のあるポート セットが見つかった場合に、リモート パートナー デバイスを現在の情報に更新し、「操作キー」と呼ばれる一意の値をグループに割り当てます。操作キーは自動で割り当てられます。設定することはできません。


注意 EtherChannel がフェールオーバー リンクとして割り当てられている場合、これらの LCAP パラメータは使用できません。

LACP システム プライオリティ

各 LACP 対応デバイスには一意のシステム ID があります。この ID は、システム プライオリティ ID とシステムの MAC アドレスの組み合わせによって構成されます。特定の状況では、EtherChannel でリンクされている 2 つのシステムのポート セットに割り当てられている操作キーを変更して、集約を最適化する必要がある場合があります。そのような場合、プライオリティの高いシステムのポートに割り当てられている操作キーの値を動的に変更して、集約を向上させることができます。プライオリティの低いシステムでは、操作キーの値を変更することはできません。システム プライオリティ ID は、「高度なインターフェイス設定(PIX/ASA/FWSM)」の説明に従って、ユーザが設定できます。

LACP ポート パラメータ

ポート ID は、各グループ インターフェイスに割り当てられている一意の数字で指定されます。この ID は設定可能な [Port Priority] の数字と、インターフェイスに割り当てられているポート番号の組み合わせで構成されます。

ポート ID はポート集約のプライオリティを指定します。集約では、システム内で最も集約プライオリティの高いポートからアクティブ ポートとして使われ始め、ポート ID のリストに従って上から順番に使用されていきます。このポート集約プライオリティを使用すると、すべてのリンクで LACP を同時に実行している場合と同様の方法で集約のリンクが選択されるため、集約を予測したり再現したりできるようになります。

さらに、各ポートのプライオリティを設定して、スタンバイ ポートのセットを管理制御できます。たとえば、プライオリティの最も低いポートは、グループの集約で最後に使用されるため、スタンバイ ポートになります(スタンバイ ポートを用意するために十分なメンバがグループに割り当てられていることが前提です)。

関連項目

「EtherChannel の設定」

既存のチャネル インターフェイスの LACP ポート パラメータの編集

既存の EtherChannel が割り当てられているインターフェイスを編集するには、次の手順を行います。


ステップ 1 デバイスの [Interfaces] ページにあるテーブルで、ポートチャネル グループのメンバであるインターフェイスを選択します。(このテーブルのアクセスと使用については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください)。

ステップ 2 [Edit Row] をクリックして、そのインターフェイスの [Edit Interface] ダイアログボックスを開きます。

[Enable Interface] チェックボックス、[LACP Port] パラメータ、および [Description] フィールドのみを変更できます。

ステップ 3 必要に応じて、[LACP Port] パラメータを編集します。

[Priority]:この数字とインターフェイスに割り当てられているポート番号が組み合わされて、一意のポート ID 番号が生成されます。この値には 1 ~ 65535 を指定できます。数字が大きいほど、プライオリティは低くなります。デフォルトは 32768 です。このパラメータは、ポートが [Active] モードまたは [Passive] モードの場合にのみ適用されます。

[Mode]:これらの LACP モードの 1 つを選択します。

[Active]:アクティブ モードでは、ポートはパートナー デバイスとの LACP の交換を開始して、定期的にパートナーに更新を送信します。アクティブな LACP は、パートナーの制御モードに関係なく、プロトコルに参加するポートの優先度を反映します。

[Passive]:パッシブ モードのポートは LACP の交換を開始しませんが、パートナーからの要求を受信すると、ポートはそのパートナーと LACP 情報の交換を開始します。パッシブ モードは、リモート ポートが LACP をサポートしているかどうかがわからない場合に便利です。

一部のデバイスは、LACP がイネーブルになっていない場合に定期的な LACP 更新を受信すると、正常に動作しないことがあります。ただし、正常に動作するようにチャネルを設定するには、少なくとも 1 つのポートがアクティブ モードに設定されている必要があります。

[On]:このモードは、すべてのメンバ インターフェイスがオンになっているスタティック ポートチャネルを設定するために使用します。つまり、最大 16 個のポートでトラフィックが通過します。この場合、スタンバイ ポートはありません。ネゴシエーションは行われず、他の 2 つのモードに関連するほとんどの制約も適用されません。たとえば、すべてのメンバ ポートの速度設定とデュプレックス設定を同じにする必要はありません。また、すべてのメンバ ポート(最大 16 個)はアクティブのままになります。リモート ポートもオンにする必要があります。

ステップ 4 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」の説明に従って、このインターフェイスの編集を続けます。


 

EtherChannel のロード バランシングについて

EtherChannel のトラフィックは、バンドルされている個別のリンク間で決定論的手法により分散されます。ただし、すべてのリンクで負荷が均等に分配されるわけではありません。代わりに、ハッシュ アルゴリズムの結果として、フレームは特定のリンクに転送されます。このアルゴリズムでは、特定のフィールドまたはフィールドの組み合わせをパケット ヘッダーで使用して、使用するリンクを示す固定の Result Bundle Hash(RBH)値を生成します。

アルゴリズムは、パケット ヘッダー フィールド(送信元 IP アドレス、宛先 IP アドレス、送信元 MAC アドレス、宛先 MAC アドレス、TCP/UDP ポート番号、VLAN ID)の 1 つまたはそれらのフィールドの組み合わせを使用して、リンクの割り当てを決定します。このアルゴリズムで使用するフィールドの組み合わせは、[Load Balancing] リストから選択されます(ASA の [Add Interface] および [Edit Interface] ダイアログボックスの [Advanced] タブ)。これらのオプションは、次の項で説明されています。詳細については、「EtherChannel の設定」を参照してください。

たとえば、フィールドに送信元 MAC アドレス( src-mac )を選択した場合、パケットが EtherChannel に転送されると、それらのパケットは各着信パケットの送信元 MAC アドレスに基づいて、チャネル内のポート間で分散されます。そのため、ロード バランシングを行うには、異なるホストからのパケットはチャネル内の異なるポートを使用しますが、同じホストからのパケットはチャネル内の同じポートを使用します(また、デバイスが学習した MAC アドレスは変更されません)。

同様に、宛先 MAC アドレス転送では、パケットが EtherChannel に転送されると、各パケットはパケットの宛先ホスト MAC アドレスに基づいて、チャネル内のポート間で分散されます。したがって、宛先が同じパケットは同じポートに転送され、宛先の異なるパケットはそれぞれ異なるチャネル ポートに転送されます。

そのため、ロード バランシング オプションを選択するときには、柔軟に設定できるオプションを使用します。たとえば、チャネル上のほとんどのトラフィックが 1 つの MAC アドレスにのみ送信される場合、宛先 MAC アドレスを選択すると、ほとんどのトラフィックが常にチャネル内の同じリンクを使用するようになります。別の方法として、送信元アドレスや IP アドレスを使用すると、ロード バランシングが向上する場合があります。また、UDP ポート番号や TCP ポート番号とともに送信元アドレスと宛先アドレスを使用すると、まったく異なる方式でトラフィックを分配できます。


) このオプションは ASA 8.4.1 以降のデバイスでのみ使用できます。


ロード バランシング オプション

単一の論理 EtherChannel インターフェイスを ASA の [Add Interface] または [Edit Interface] ダイアログボックスで定義する場合、次のいずれかのロード バランシング オプションを選択し(「[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)」で設定)、負荷分散の基本を指定します。

[dst-ip]:宛先ホストの IP アドレスにのみ基づいて負荷分散が行われます。パケットの送信元は考慮されません。同じ宛先 IP アドレスを持つ各パケットは、同じリンクで転送されます。

[dst-ip-port]:宛先ホストの IP アドレスと TCP/UDP ポートに基づいて負荷分散が行われます。このオプションを使用すると、宛先 IP アドレスだけの場合より、よりきめ細かく多少複雑な負荷分散を実行できます。

[dst-mac]:着信パケットの宛先ホストの MAC アドレスに基づいて負荷分散が行われます。

[dst-port]:宛先ポートに基づいて負荷分散が行われます。つまり、物理インターフェイスではなく、TCP ポートまたは UDP ポートに基づいて行われます。

[src-dst-ip]:送信元 IP アドレスと宛先 IP アドレスに基づいて負荷分散が行われます。ハッシュ計算では、送信元 IP アドレスと宛先 IP アドレスがペアで使用されます。この方式を使用すると、宛先 IP アドレスよりもきめ細かい負荷分散を実行できます。たとえば、同じ宛先へのパケットが異なる IP 送信元から送信されている場合、ポートチャネル内の異なるリンクからそのパケットを転送できます。

[src-dst-ip-port]:分散の計算では、送信元 IP アドレスと宛先 IP アドレス、および TCP/UDP ポートが考慮されます。さらにきめ細かい負荷分散を実行できます。

[src-dst-mac]:送信元 MAC アドレスと宛先 MAC アドレスのペアに基づいて計算が行われます。

[src-dst-port]:送信元と宛先の TCP/UDP ポートに基づいて負荷分散が行われます。

[src-ip]:送信元のホスト IP アドレスにのみ基づいて行われます。

[src-ip-port]:送信元 IP アドレスおよび TCP/UDP ポート。

[src-mac]:送信元 MAC アドレスのみ。

[src-port]:送信元 TCP/UDP ポートのみ。

[vlan-dst-ip]:宛先 IP アドレスと VLAN ID のペア。

[vlan-dst-ip-port]:宛先 IP アドレス、TCP/UDP ポート、および VLAN ID の組み合わせ。

[vlan-only]:VLAN ID のみ。

[vlan-src-dst-ip]:送信元 IP アドレスと宛先 IP アドレス、および VLAN ID。

[vlan-src-dst-ip-port]:送信元 IP アドレスと宛先 IP アドレス、TCP/UDP ポート、および VLAN ID。

[vlan-src-ip]:送信元 IP アドレスと VLAN ID。

[vlan-src-ip-port]:送信元 IP アドレス、TCP/UDP ポート、および VLAN ID。

デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理

[Interfaces] ページには、インターフェイス、サブインターフェイス、冗長インターフェイス、仮想インターフェイス(VLAN)、および EtherChannel インターフェイスが表示されます。また、選択したデバイスに設定されているハードウェア ポートとブリッジ グループが表示され、それらを追加、編集、および削除できます。

使用可能なインターフェイスのタイプは、デバイス タイプ、オペレーティング システムのバージョン、およびモード(ルーテッドまたはトランスペアレント)によって異なります。たとえば、EtherChannel インターフェイスは、ルーテッドとトランスペアレントの両方のモードにある ASA 8.4.1 以降のデバイスでのみ使用できます。詳細については、「デバイス インターフェイスについて」を参照してください。


) ASA 5505 デバイスに表示される [Interfaces] ページには、[Interfaces] および [Hardware Ports] の 2 つのタブ付きパネルが表示されます。同様に、トランスペアレント モードで動作している Firewall Services Module(FWSM; ファイアウォール サービス モジュール)バージョン 3.1 以降と ASA バージョン 8.4.1 以降の両方に表示される [Interfaces] ページにも、[Interfaces] および [Bridge Groups] の 2 つのタブ付きパネルが表示されます。これらの機能の設定については、次の手順にあるリンクを参照してください。


各セキュリティ デバイスが設定され、各アクティブ インターフェイスがイネーブルになっている必要があります。非アクティブ インターフェイスをディセーブルにすることができます。ディセーブルにした場合、インターフェイスでデータの送受信は行われませんが、その設定情報は保持されます。

新しいセキュリティ デバイスをブートストラップした場合、設定機能で設定されるのは、内部インターフェイスに関連付けられたアドレスおよび名前だけです。そのセキュリティ デバイスを通過するトラフィックのアクセス ルールおよび変換ルールを指定する前に、そのデバイス上の残りのインターフェイスを定義する必要があります。

トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを渡すことができます。ただし、専用の管理インターフェイスがプラットフォームに含まれている場合は、そのインターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を、管理トラフィック用の第 3 のインターフェイスとして使用できます。

セキュリティ デバイスのインターフェイスと関連オプションを管理するには、次の手順を行います。選択したデバイスのタイプに応じて、設定されているインターフェイス、サブインターフェイス、冗長インターフェイス、仮想インターフェイス(VLAN)、EtherChannel インターフェイス、ハードウェア ポート、およびブリッジ グループを追加、編集、および削除できます。


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。


) デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。


ステップ 2 設定するセキュリティ デバイスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Interfaces] を選択します。

[Interfaces] ページが表示されます。表示される情報およびページは、選択したデバイス タイプおよびバージョン、動作モード(ルーテッドまたはトランスペアレント)、およびデバイスでホストするコンテキスト(シングルコンテキストまたはマルチコンテキスト)によって異なります。

ASA 5505 デバイスの [Interfaces] ページには、[Hardware Ports] および [Interfaces] の 2 つのタブ付きパネルが表示されます。同様に、トランスペアレント モードで動作している FWSM(バージョン 3.1 以降)および ASA(バージョン 8.4.1 以降)の両方に表示される [Interfaces] ページにも、[Interfaces] および [Bridge Groups] の 2 つのタブ付きパネルが表示されます。

ステップ 4 必要に応じて、インターフェイスと関連オプションを追加、編集、および削除します。

[Interfaces] ページまたはパネルと [Bridge Groups] および [Hardware Ports] パネルには、Security Manager の標準のテーブルが表示されます。「テーブルの使用」で説明されているとおり、このテーブルには [Add Row]、[Edit Row]、[Delete Row] ボタンがあります。

[Add Row] または [Edit Row] ボタンをクリックして表示される実際のダイアログボックスは、選択したデバイス(およびパネル)のタイプによって異なります。デバイス固有のダイアログボックスについては、次のトピックを参照してください。

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 6.3)」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」

「ASA 5505 でのハードウェア ポートの設定」

「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」

ステップ 5 同じセキュリティ レベルが設定されているインターフェイス間の通信のイネーブル化などを設定する [Advanced Interface Settings] を管理するには、[Interfaces] ページの下部にある [Add Row] ボタンをクリックして、[Advanced Interface Settings] ダイアログボックスを開きます。詳細については、「高度なインターフェイス設定(PIX/ASA/FWSM)」を参照してください。

ステップ 6 インターフェイスの追加、編集、削除が終わったら、ウィンドウの下部にある [Save] をクリックして、インターフェイス定義を Cisco Security Manager サーバに保存します。


 

[Add Interface]/[Edit Interface] ダイアログボックス(PIX 6.3)

 

表 44-2 [Add Interface]/[Edit Interface] ダイアログボックス(PIX 6.3)

要素
説明

Enable Interface

このインターフェイスでトラフィックを渡せるようにします。セキュリティ ポリシーに応じてトラフィックが通過できるようにするには、この設定に加えて、[IP Type] と [Name] を指定する必要があります。

イネーブルにした任意のサブインターフェイスをトラフィックが通過できるようにするには、物理インターフェイスをイネーブルにする必要があります。

Type

インターフェイスのタイプを選択します。

[Physical]:VLAN は、その基礎となるハードウェア インターフェイスと同じネットワーク上にあります。

[Logical]:VLAN は論理インターフェイスに関連付けられます。

Name

最大 48 文字のインターフェイス名を指定します。[Name] には、インターフェイスの用途に関係する覚えやすい名前を付けます。サポートされるインターフェイス名は、次のとおりです。

[Inside]:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

[DMZ]:非武装地帯(中間インターフェイス)。境界ネットワークとも呼ばれます。

[Outside]:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

Hardware Port

物理ネットワーク インターフェイスを定義する場合、この値は、デバイスでのインターフェイス タイプとそのスロットまたはポートを識別する名前を表します。

論理ネットワーク インターフェイスを追加する場合、論理インターフェイスを追加する、イネーブル化された任意の物理インターフェイスを選択できます。目的のハードウェア ポートが表示されない場合は、インターフェイスがイネーブルであることを確認してください。

次の値が有効です。

ethernet0 ~ ethernet n

gb-ethernet n

n は、デバイスでのネットワーク インターフェイスの番号を表します。

IP Type

[IP Type] では、インターフェイスに使用する IP アドレス指定のタイプを定義します。「デバイス インターフェイス:IP タイプ(PIX 6.3)」の説明に従って、[Static IP] または [Use DHCP] を選択します(PPPoE オプションは PIX 6.3 デバイスには適用できません)。

(注) DHCP は、セキュリティ アプライアンスの外部インターフェイスにのみ設定できます。

Speed and Duplex

物理インターフェイスの速度オプションが表示されます。論理インターフェイスには適用されません。次のオプションのいずれかを選択します。

[auto]:イーサネットの速度を自動的に設定します。auto キーワードは、Intel 10/100 自動速度検出ネットワーク インターフェイス カードでのみ使用できます。

[10baset]:10 Mbps イーサネット半二重。

[10full]:10 Mbps イーサネット全二重。

[100basetx]:100 Mbps イーサネット半二重。

[100full]:100-Mbps イーサネット全二重。

[1000auto]:1000 Mbps イーサネット(全二重または半二重をオートネゴシエーション)。

ヒント ネットワーク内のスイッチなどのデバイスとの互換性を維持するために、このオプションを使用しないことを推奨します。

[1000full]:オートネゴシエーション、アドバタイジング 1000 Mbps イーサネット全二重。

[1000full nonnegotiate]:1000 Mbps イーサネット全二重。

[aui]:AUI ケーブル インターフェイスとの 10 Mbps イーサネット半二重通信。

[bnc]:BNC ケーブル インターフェイスとの 10 Mbps イーサネット半二重通信。

(注) 自動検知を正しく処理しないスイッチなどのデバイスがネットワーク環境に含まれている場合に、ネットワーク インターフェイスの速度を指定することを推奨します。

MTU

最大パケット サイズ、つまり Maximum Transmission Unit(MTU; 最大伝送ユニット)をバイト数で指定します。この値は、インターフェイスに接続されているネットワークのタイプによって異なります。有効な値は 300 ~ 65535 バイトです。デフォルトは 1500 です。

Physical VLAN ID

物理インターフェイスでは、VLAN ID を 1 ~ 4094 の範囲で入力します。この VLAN ID は、接続されているデバイスで使用中であってはなりません。

Logical VLAN ID

この論理インターフェイスに関連付けられた VLAN のエイリアスを 1 ~ 4094 の値で指定します。この値は、論理インターフェイスの [Type] タイプが選択されている場合に必要です。

Security Level

インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部 インターフェイスは、常に 0 です。

内部 インターフェイスは、常に 100 です。

DMZ インターフェイスの値の範囲は 1 ~ 99 です。

Roles

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

このインターフェイスに割り当てられているすべてのインターフェイス ロールが、このフィールドに一覧表示されます。ロールの割り当ては、このインターフェイスに指定されている名前と、Cisco Security Manager に現在定義されているインターフェイス ロール オブジェクト間のパターン マッチングに基づきます。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイスの IP アドレスで置き換えられます。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用ルールを定義できます。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

デバイス インターフェイス:IP タイプ(PIX 6.3)

PIX 6.3 のセキュリティ デバイスには、そのインターフェイスの IP アドレス指定が必要です。ただし、ファイアウォール インターフェイスには、割り当てられるまで IP アドレスがありません。

PIX 6.3 セキュリティ デバイスで表示される [Add Interface] または [Edit Interface] ダイアログボックスには、[IP Type] セクションがあります。次の説明に従って、インターフェイスの IP アドレス指定のタイプをここに指定して、関連するパラメータを入力します。ダイアログボックスの他のセクションについては、「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 6.3)」を参照してください。


) その他のセキュリティ アプライアンス用に表示される [IP Type] オプションについては、「デバイス インターフェイス:IP タイプ(PIX/ASA 7.0 以降)」を参照してください。



ステップ 1 [Add Interface] または [Edit Interface] ダイアログボックスで、次のように、[IP Type] リストからアドレス割り当て方式を選択し、関連パラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。IP アドレスは、インターフェイスごとに一意でなければなりません。

サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。サブネット マスク値を指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。

IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。

IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。


) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。


[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように、DHCP サーバからデフォルト ルートを取得するには、このチェックボックスをオンにします。

[Retry Count]:PIX が DHCP 要求を再送信する回数。有効な値は 4 ~ 16 です。デフォルトは 2 です。

PPPoE(PIX および ASA 7.2 以降):このオプションは PIX 6.3 デバイスには適用されません。


) DHCP は、ファイアウォール デバイスの外部インターフェイスにのみ設定できます。



 

[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)

これらの [Add Interface] と [Edit Interface] ダイアログボックスは、PIX 7.0 以降、ASA、および FWSM デバイスでインターフェイス、サブインターフェイス、冗長インターフェイス、および EtherChannel インターフェイスを定義および設定するために使用します。[Add Interface] と [Edit Interface] ダイアログボックスには、[Interfaces] ページからアクセスできます。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。


) スイッチ機能とセキュリティ アプライアンス機能を組み合わせた ASA 5505 は、物理スイッチ ポートと論理 VLAN インターフェイスの両方を設定する特殊な事例です。したがって、ASA 5505 デバイスに表示される [Interfaces] ページには、[Hardware Ports] および [Interfaces] の 2 つのタブ付きパネルが表示されます。詳細については、「ASA 5505 のポートおよびインターフェイスについて」を参照してください。

トランスペアレント モードで動作している ASA 8.4.1 以降および FWSM 3.1 以降のデバイスにも、[Interfaces] および [Bridge Groups] の 2 つのタブ付きパネルが表示されます。ブリッジ グループの設定については、「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」を参照してください。


これらのダイアログボックスに表示されるパラメータの多くは、デバイス タイプとバージョン、動作モード(ルーテッドまたはトランスペアレント)、およびデバイスでホストするコンテキスト(シングルコンテキストまたはマルチコンテキスト)によって異なります。


) フェールオーバーにインターフェイスを使用する場合は、[Add Interface] ダイアログボックスでそのインターフェイスを定義できますが、ここでは設定せずに、代わりに [Failover] ページを使用してください(「フェールオーバーの設定」を参照)。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。


[Add Interface] と [Edit Interface] ダイアログボックスの使用

次の手順では、これらのダイアログボックスの一般的な使用方法を説明します。

1. [Add Interface] と [Edit Interface] ダイアログボックスの上部に、インターフェイスの [Type] ドロップダウン リストが表示されます


) Catalyst 6500 サービス モジュール(ASA-SM と FWSM)および ASA 5505 には [Type] リストが表示されません。


デバイス タイプ、オペレーティング システムのバージョン、動作モード(ルータまたはトランスペアレント)に応じて、[Type] には次のうちの 2 ~ 3 個のオプション、またはすべてのオプションが表示されます。

[Interface]:デバイスに物理インターフェイスを設定するには、このオプションを選択します。

[Subinterface]:以前に定義した物理インターフェイスに関連付けられる論理インターフェイス(または VLAN 接続)を設定するには、このオプションを選択します。詳細は「サブインターフェイスの設定(PIX/ASA)」を参照してください。

[Redundant]:2 つの物理インターフェイスを単一の論理的な「冗長インターフェイス」として設定するには、このオプションを選択します。詳細については、「冗長インターフェイスの設定」を参照してください。

[EtherChannel]:最大 8 つの個別のイーサネット リンクのバンドルで構成されている論理インターフェイスを設定するには、このオプションを選択します。このバンドルは EtherChannel またはポートチャネル インターフェイスと呼ばれます(このオプションは ASA 8.4 以降のデバイスでのみ使用できます)。詳細については、「EtherChannel の設定」を参照してください。

2. [Type] オプションの下部のダイアログボックスには、最大 3 つのタブ付きパネルが表示されます。このパネルもデバイス タイプ、オペレーティング システムのバージョン、および動作モードによって異なります。

PIX 7.0 以降の [Add Interface] と [Edit Interface] ダイアログボックスには、[General] と [Advanced] の 2 つのタブ付きパネルが表示されます。ASA 7.0 以降の [Add Interface] と [Edit Interface] ダイアログボックスには、[General]、[Advanced]、[IPv6] の 3 つのタブ付きパネルが表示されます。

[General] オプションを必要に応じて設定します。このパネルについては、「[Add Interface]/[Edit Interface] ダイアログボックス - [General] タブ(PIX 7.0 以降/ASA/FWSM)」を参照してください。

[Advanced] パネル オプションを必要に応じて設定します。このパネルについては、「[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)」を参照してください。

[IPv6] オプションを必要に応じて設定します。このパネルについては、「IPv6 インターフェイスの設定(ASA/FWSM)」を参照してください。

3. このインターフェイスの設定が終了したら、[OK] をクリックしてダイアログボックスを閉じ、デバイスの [Interfaces] ページに戻ります。

[Add Interface]/[Edit Interface] ダイアログボックス - [General] タブ(PIX 7.0 以降/ASA/FWSM)

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」は、ファイアウォール デバイスでインターフェイス、サブインターフェイス、VLAN インターフェイス、冗長インターフェイスおよび EtherChannel インターフェイスを定義および設定するために使用します。[Add Interface] と [Edit Interface] ダイアログボックスには、[Interfaces] ページからアクセスできます。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。


) 次の説明では、「インターフェイス」という用語はこれらのインターフェイスのタイプを表す一般的な用語として使用されます。


このダイアログボックスの [General] パネルは、[Name]、[Security Level]、[IP Type] パラメータなどの一般的なインターフェイスの値を設定するために使用します。このパネルに表示されるパラメータの多くは、デバイス タイプとバージョン、動作モード(ルーテッドまたはトランスペアレント)、およびデバイスでホストするコンテキスト(シングルコンテキストまたはマルチコンテキスト)によって異なります。そのため、次の表のオプションによっては、設定しているデバイスに表示されないものもあります。

関連項目

「サブインターフェイスの設定(PIX/ASA)」

「冗長インターフェイスの設定」

「EtherChannel の設定」

「[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)」

「IPv6 インターフェイスの設定(ASA/FWSM)」

「ASA 5505 のポートおよびインターフェイスについて」

「ASA 5505 でのハードウェア ポートの設定」

 

表 44-3 [General] タブ:[Add Interface]/[Edit Interface] ダイアログボックス

要素
説明

Enable Interface

このインターフェイスでトラフィックを渡せるようにします。

物理インターフェイスは、デフォルトではすべてシャットダウンされます。インターフェイスがイネーブルでない場合、トラフィックはあらゆるタイプのインターフェイスを通過できません。サブインターフェイスなどの論理インターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付ける物理インターフェイスをイネーブルにします。冗長インターフェイスまたは EtherChannel インターフェイスを定義する場合は、グループ インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

このオプションをオンにする場合、セキュリティ ポリシーに従ってトラフィックが通過できるようにするためには [Name] も指定し、ルーテッド モードでは [IP Type] も指定します(または FWSM または ASA-SM では [IP Address] および [Subnet Mask] を指定します)。

マルチコンテキスト モードでは、物理インターフェイスまたは論理インターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスはそのインターフェイスを共有しているすべてのコンテキストでシャットダウンされます。

Management Only

このインターフェイスをデバイス管理用に予約します。このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。

プライマリまたはセカンダリの ISP インターフェイスは管理専用に設定できません。

管理専用 EtherChannel インターフェイスの定義には、特定のメンバ インターフェイスの制限があります。詳細については、「EtherChannel の設定」を参照してください。

(注) トランスペアレント モードのデバイスでは使用できません。

Hardware Port

ASA 5505 では、[Hardware Port] は [Hardware Ports] パネルで指定します(「ASA 5505 でのハードウェア ポートの設定」を参照)。また、このオプションは、Catalyst 6500 サービス モジュール(ASA-SM と FWSM)設定の一部ではありません。

物理インターフェイスの場合、ネットワーク タイプ、スロット、およびポート番号が含まれる物理ポート ID を type[slot/]port の形式で入力して、インターフェイスに割り当てる固有のハードウェア ポートを指定します。これは、サブインターフェイスをインターフェイスに関連付ける名前でもあります。

物理インターフェイスのネットワーク タイプには、Ethernet または GigabitEthernet のいずれかを指定できます。ASA 5580 の場合は、TenGigabitEthernet も使用できます。このフィールドでは自動パターン マッチングが行われます。たとえば、e という文字を最初に入力すると、「Ethernet」がこのフィールドに挿入されます。同様に、g という文字を入力すると、「GigabitEthernet」が挿入されます。有効な値は次のとおりです。

Ethernet0 ~ Ethernet n

GigabitEthernet0 ~ GigabitEthernet n

GigabitEthernet s / n

TenGigabitEthernet s / n (ASA 5580 のみ)

s はスロット番号、 n はポート番号を表し、スロットまたはデバイスのネットワーク ポートの最大数を上限とします。

ASA 5500 シリーズのアプライアンスの場合は、タイプとスロット/ポートのペアを入力します( gigabitethernet0/1 など)。シャーシに組み込まれているポートはスロット 0 に割り当てられ、4-Port Gigabit Ethernet Security Services Module(4 GE SSM; 4 ポート ギガビット イーサネット セキュリティ サービス モジュール)のポートはスロット 1 に割り当てられます。スロットとポートのペアを入力すると、[Media Type] オプションがイネーブルになります。

ASA 5500 シリーズのアプライアンスには、 管理 インターフェイス タイプも含まれています。管理インターフェイスは、デバイス管理トラフィック専用のファスト イーサネット インターフェイスであり、 management0/0 のように指定します。ただし、必要な場合には、この物理インターフェイスを通過トラフィックに使用できます([Management Only] オプションは選択しないでください)。そのため、トランスペアレント ファイアウォール モードでは、通過トラフィックに使用できる 2 つのインターフェイスに加えて、管理インターフェイスも使用できます。また、管理インターフェイスにサブインターフェイスを追加して、マルチ コンテキスト モードの各セキュリティ コンテキストにおける管理を提供することもできます。

サブインターフェイスを定義する場合は、定義済みのポートのリストから簡単に目的のハードウェア ポートを選択できます(VLAN ID も指定する必要があります)。目的のインターフェイス ID が表示されない場合は、インターフェイスが定義済みで、イネーブルにされていることを確認してください。

Name

このインターフェイスに最大 48 文字の ID を指定します。名前には、インターフェイスの用途に関係する覚えやすい名前を付けます。ただし、フェールオーバーを使用している場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。これには、フェールオーバー用に使用する EtherChannel およびそのメンバ インターフェイスも含まれます。また、冗長インターフェイス ペアのメンバとして使用するインターフェイスに名前を付けないでください。

セキュリティ アプライアンスのインターフェイス命名ルールに従って、いくつかの名前が特定のインターフェイス用に予約されています。そのため、これらの予約名を使用すると、次のように、デフォルトの予約済みセキュリティ レベルが適用されます。

[Inside]:内部ネットワークに接続します。最もセキュアなインターフェイスにする必要があります。

[DMZ]:中間インターフェイスに接続された「非武装地帯」。DMZ は境界ネットワークとも呼ばれます。DMZ インターフェイスに任意の名前を付けることができます。一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「 DMZ 」というプレフィクスを付けます。

[Outside]:外部ネットワークまたはインターネットに接続します。セキュア度の最も低いインターフェイスにする必要があります。

同様に、一般的にサブインターフェイス名には、一意の ID に加えて、関連付けられているインターフェイスも示されます。たとえば、 DMZoobmgmt で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

。詳細については、「フェールオーバーの設定」および「冗長インターフェイスの設定」を参照してください。

Security Level

インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

外部 インターフェイスは、常に 0 です。

内部 インターフェイスは、常に 100 です。

DMZ インターフェイスの値の範囲は 1 ~ 99 です。

Media Type

[Interface] が [Type] で選択されているタイプである場合に、[Hardware Port] フィールドにハードウェア ポート ID とスロット番号またはポート番号を入力すると、これらのオプションがイネーブルになります(これらのオプションは ASA のスロットまたはポートのインターフェイスにのみ適用されます)。

ASA 5505 を除くすべての 5500 シリーズのアプライアンスでは、シャーシに組み込まれているポートはスロット 0 に割り当てられ、4GE SSM のポートはスロット 1 に割り当てられます。デフォルトでは、ASA で使用されるコネクタはすべて RJ-45 コネクタです。ただし、4GE SSM のポートには、ファイバ SFP コネクタを含めることができます。これらのファイバベースの接続のインターフェイス設定の一環として、[Media Type] の設定をデフォルト(RJ45)からファイバコネクタ設定(SFP)に変更する必要があります。

ファイバベースのインターフェイスではデュプレックス設定はサポートされず、また固定速度もありません。そのため、[Duplex] オプションはディセーブルになり、[Speed] オプションは [auto] および [nonegotiate] のみを選択できます。

このスロット 1 インターフェイスで使用するコネクタ タイプを選択します。

[RJ45]:ポートは RJ-45(銅線)コネクタを使用します。

[SFP]:ポートはファイバ SFP コネクタを使用します。10 ギガビット イーサネット カードの場合に必要です。

VLAN ID

選択されたインターフェイスの [Type] が [Subinterface] の場合、またはトランスペアレント モードで動作するデバイス上、ASA 5505 上、または Catalyst 6500 サービス モジュール(ASA-SM または FWSM)上で論理インターフェイスを定義している場合には、このインターフェイスに VLAN ID を指定します。

7.2(2)18 以前のオペレーティング システムを PIX/ASA デバイスで実行している場合、有効な VLAN ID は 1 ~ 1001 です。バージョン 7.2(2)19 以降での有効な ID は 1 ~ 4090 です。Catalyst 6500 サービス モジュールでは、有効な ID は 1 ~ 4096 です。指定した VLAN ID は、どの接続デバイスでも使用されていない必要があります。

一部の VLAN ID は接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。マルチコンテキスト モードでは、VLAN ID はシステム設定でのみ設定できます。

詳細については、「サブインターフェイスの設定(PIX/ASA)」を参照してください。

Subinterface ID

インターフェイスの [Type] として [Subinterface] を選択した場合や、トランスペアレント モードで動作しているデバイス上でインターフェイスを定義している場合、サブインターフェイス ID として 1 ~ 4294967293 の整数を指定します。

サブインターフェイスのポート ID の場合、この ID は選択したハードウェア ポートに付加されます。たとえば、 GigabitEthernet0.4 は、GigabitEthernet0 ポートで動作する、4 の ID を割り当てられたサブインターフェイスを示します。

(注) 設定後は ID を変更できません。

IP Type

PIX 7.0 以降と ASA(トランスペアレント モードの 5505 を除く)のみ。

[IP Type] では、インターフェイスに使用する IP アドレス指定のタイプを定義します。「デバイス インターフェイス:IP タイプ(PIX/ASA 7.0 以降)」の説明に従って、[Static IP]、[Use DHCP]、[PPPoE] のいずれかを選択します。

(注) DHCP および PPPoE は、セキュリティ アプライアンスの外部インターフェイスにかぎり設定できます。

IP Address

Subnet Mask

ルーテッド モードの Catalyst 6500 サービス モジュール(ASA-SM と FWSM)のみ。

これらの 2 つのフィールドを使用して、IP アドレスとサブネット マスクを VLAN インターフェイスに割り当てます。IP アドレスは、インターフェイスごとに一意でなければなりません。

サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。サブネット マスク値を指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。

Subnet Mask

IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。

IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。

(注) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

Description

復帰を使用しないで 1 行に最大 240 文字の任意の説明を入力できます。マルチコンテキスト モードでは、システムの説明とコンテキストの説明に関係はありません。

フェールオーバーまたはステート リンクの場合、説明は、たとえば「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

冗長インターフェイス。以下のオプションは、ASA 5505 デバイス上または Catalyst 6500 サービス モジュール(ASA-SM と FWSM)上では使用できません。

Redundant ID

インターフェイスの [Type] に [Redundant Interface] が選択されている場合、この冗長インターフェイスの ID を指定します。有効な ID は 1 ~ 8 の整数です。

詳細については、「冗長インターフェイスの設定」を参照してください。

Primary Interface

Secondary Interface

インターフェイスの [Type] に [Redundant Interface] が選択されている場合、使用可能なインターフェイスの [Primary Interface] リストから、冗長インターフェイス ペアのプライマリ メンバを選択します。名前付きインターフェイスは冗長インターフェイス ペアでは指定できないため、使用可能なインターフェイスが [Hardware Port ID] に表示されます。

同様に、使用可能なインターフェイスの [Secondary Interface] リストから、冗長インターフェイス ペアのセカンダリ メンバを選択します。

(注) メンバ インターフェイスはイネーブルである必要があります。また、メンバ インターフェイスは同じタイプ(GigabitEthernet など)である必要があります。[Name]、[IP Address]、または [Security Level] を割り当てることはできません。実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。

これらのオプションは ASA 5505 デバイスでのみ使用できます。

Block Traffic To

この VLAN インターフェイスが、ここで選択された VLAN との接続を開始するのを制限します。

Backup Interface

たとえば、ISP へのバックアップ インターフェイスとして VLAN インターフェイスを選択します。プライマリ インターフェイスによるデフォルト ルートに障害が発生しないかぎり、バックアップ インターフェイスはトラフィックを通過させません。トラフィックがバックアップ インターフェイスを必ず通過できるようにするには、プライマリ インターフェイスに障害が発生したときにバックアップ インターフェイスを使用できるように、プライマリ インターフェイスとバックアップ インターフェイスの両方でデフォルト ルートを設定します。

Active MAC Address

Standby MAC Address

プライベート MAC アドレスを手動でインターフェイスに割り当てるには、[Active MAC Address] フィールドを使用します。[Standby MAC Address] フィールドを使用すると、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスを設定できます。

これらのフィールドの詳細については、「デバイス インターフェイス:MAC アドレス」を参照してください。

[EtherChannel Interface] オプションは、ASA 8.4.1 以降のデバイスでのみ使用できます。

Port-channel ID

インターフェイスの [Type] に EtherChannel が選択されている場合、この EtherChannel(別名「ポートチャネル」)の ID を入力します。有効な値は 1 ~ 48 です。最大 48 個のポートチャネル グループを定義できます。詳細については、「EtherChannel の設定」を参照してください。

Available Interfaces/Members in Group

インターフェイスの [Type] に EtherChannel が選択されている場合、[Available Interfaces] リストからインターフェイスを選択して、[>>] ボタンをクリックして右のメンバ リストに追加すると、この EtherChannel グループにインターフェイスを割り当てることができます。

各チャネル グループには最大 8 個のアクティブ インターフェイスを設定できますが、グループには最大 16 個のインターフェイスを設定できます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスは個別のインターフェイスに障害が発生した場合のスタンバイ リンクとして動作します。

(注) チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、グループのタイプと速度が決まります。

詳細については、「EtherChannel の設定」を参照してください。

[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」は、ASA および PIX 7.0 以降のデバイスでインターフェイス、サブインターフェイス、冗長インターフェイスおよび EtherChannel インターフェイスを定義および設定するために使用します。[Add Interface] と [Edit Interface] ダイアログボックスには、[Interfaces] ページからアクセスできます。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。

このダイアログボックスの [Advanced] パネルは、[Duplex]、[Speed]、Maximum Transmission Unit(MTU; 最大伝送ユニット)パラメータなど、基本のインターフェイス設定を設定するために使用します。次の表ではこれらの設定の詳細を説明します。

関連項目

「[Add Interface]/[Edit Interface] ダイアログボックス - [General] タブ(PIX 7.0 以降/ASA/FWSM)」

「IPv6 インターフェイスの設定(ASA/FWSM)」

 

表 44-4 [Advanced] タブ:[Add Interface]/[Edit Interface] ダイアログボックス(ASA/PIX 7.0 以降)

要素
説明

Duplex

インターフェイスのデュプレックス オプションが一覧表示されます。インターフェイス タイプに応じて、[Full]、[Half]、または [N/A] があります。

[TenGigabitEthernet (ASA 5580 only)] の場合、[Duplex] は自動的に [Full] に設定されます。

(注) [Interface] のタイプとして [Subinterface] または [Redundant] が選択されている場合、このオプションは使用できません。

Speed

物理インターフェイスの速度オプションがビット/秒で表示されます。論理インターフェイスには適用されません。使用できる速度は、インターフェイス タイプによって異なります。

auto

10

100

1000

10000(TenGigabitEthernet インターフェイスに自動的に設定されます。ASA 5580 でのみ使用できます)

nonegotiate

(注) [Interface] のタイプとして [Subinterface] または [Redundant] が選択されている場合、このオプションは使用できません。

MTU

最大パケット サイズ、つまり Maximum Transmission Unit(MTU; 最大伝送ユニット)をバイト数で指定します。この値は、インターフェイスに接続されているネットワークのタイプによって異なります。有効な値は 300 ~ 65535 バイトです。PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。マルチコンテキスト モードでは、コンテキスト設定で MTU を設定します。

Active MAC Address

Standby MAC Address

PIX 7.2 以降および ASA 7.2 以降のデバイスでのみ使用できます。

プライベート MAC アドレスを手動でインターフェイスに割り当てるには、[Active MAC Address] フィールドを使用します。[Standby MAC Address] フィールドを使用すると、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスを設定できます。

これらのフィールドの詳細については、「デバイス インターフェイス:MAC アドレス」を参照してください。

Roles

このインターフェイスに割り当てられているすべてのインターフェイス ロールが、このフィールドに一覧表示されます。ロールの割り当ては、このインターフェイスに指定されている名前と、Cisco Security Manager に現在定義されているインターフェイス ロール オブジェクト間のパターン マッチングに基づきます。

インターフェイス ロール オブジェクトは、各デバイスの設定が生成されるときに、実際のインターフェイスの IP アドレスで置き換えられます。インターフェイス ロールを使用すると、複数のインターフェイスに適用可能な汎用ルールを定義できます。

ロールの詳細とその定義方法および使用方法については、「インターフェイス ロール オブジェクトについて」を参照してください。

[EtherChannel Interface] オプションは、ASA 8.4.1 以降のデバイスでのみ使用できます。

 

Load Balancing

([General] パネルで)インターフェイスの [Type] に EtherChannel が選択されている場合、チャネル リンクのロード バランシング方式を設定します。このオプションの詳細については、「EtherChannel のロード バランシングについて」を参照してください。

Active Physical Interfaces

([General] パネルで)インターフェイスの [Type] に EtherChannel が選択されている場合、この EtherChannel グループでアクティブにできるインターフェイスの最小数と最大数を [Minimum] と [Maximum] に指定します。

[Minimum]:このグループでアクティブにできるインターフェイスの最小数を 1 ~ 8 の値で指定します。チャネルに使用できるインターフェイスは、このダイアログボックスの [General] タブで選択されます(「[Add Interface]/[Edit Interface] ダイアログボックス - [General] タブ(PIX 7.0 以降/ASA/FWSM)」)。

[Maximum]:このグループでアクティブにできるインターフェイスの最大数を 1 ~ 8 の値で指定します。チャネルに使用できるインターフェイスは、このダイアログボックスの [General] タブで選択されます。

EtherChannel バンドルに 3、5、6、7 個のアクティブ ポートを指定すると、一部のポートが他の最大 2 倍の負荷を処理するため、ロード バランシングの効率が低下します。EtherChannel ごとに 2、4、8 個のアクティブ ポートを指定して、効率的なロード バランシングを実行することを推奨します(1 の値を指定すると、ロード バランシングはまったく実行されません)。

ASA 5505 デバイス固有の [Advanced] タブ オプション(ルーテッド モードのみ)

Block Traffic To

この VLAN インターフェイスが、ここで選択された VLAN との接続を開始するのを制限します。

Backup Interface

たとえば、ISP へのバックアップ インターフェイスとして VLAN インターフェイスを選択します。プライマリ インターフェイスによるデフォルト ルートに障害が発生しないかぎり、バックアップ インターフェイスはトラフィックを通過させません。トラフィックがバックアップ インターフェイスを必ず通過できるようにするには、プライマリ インターフェイスに障害が発生したときにバックアップ インターフェイスを使用できるように、プライマリ インターフェイスとバックアップ インターフェイスの両方でデフォルト ルートを設定します。

FWSM 3.1 以降のデバイス固有の [Advanced] タブ オプション

Bridge Group

トランスペアレント モードで動作している FWSM 3.1 以降では、この読み取り専用フィールドで、このインターフェイスが割り当てられるブリッジ グループを指定します。詳細については、「[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス」を参照してください。

ASR Group

このインターフェイスを非対称ルーティング グループに追加するには、このフィールドに ASR グループ番号を入力します。フェールオーバー設定の装置間で非対象ルーティング サポートを適切に機能させるためには、ステートフル フェールオーバーをイネーブルにする必要があります。ASR グループの有効な値の範囲は 1 ~ 32 です。詳細については、「非対称ルーティング グループについて」を参照してください。

IPv6 インターフェイスの設定(ASA/FWSM)

[Add Interface] または [Edit Interface] ダイアログボックスの [Type] で [Interface]、[Subinterface]、[Redundant]、[EtherChannel] を選択した場合、このダイアログボックスには、[General]、[Advanced]、[IPv6] の 3 つオプションのタブ付きパネルが表示されます。ここでは、[IPv6] パネルに表示されるこれらのオプションについて説明します。


) これらのオプションは、ルーテッド モードの ASA 7.0 以降のデバイス、トランスペアレント モードの ASA 8.2 以降のデバイス、ルーテッド モードの FWSM 3.1 以降のデバイスでのみ使用できます。


ナビゲーション パス

IPv6 パネルには [Add Interface] と [Edit Interface] のダイアログボックスでアクセスできます。これらのダイアログボックスには、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」の説明に従って、ASA または FWSM の [Interfaces] ページからアクセスできます。

関連項目

「Security Manager での IPv6 サポート」

「[Add Interface]/[Edit Interface] ダイアログボックス - [General] タブ(PIX 7.0 以降/ASA/FWSM)」

「[Add Interface]/[Edit Interface] ダイアログボックス - [Advanced] タブ(ASA/PIX 7.0 以降)」

フィールド リファレンス

 

表 44-5 IPv6 タブ:[Add Interface]/[Edit Interface] ダイアログボックス(ASA/FWSM)

要素
説明

Enable IPv6

IPv6 をイネーブルにして、このインターフェイスで IPv6 アドレスを設定するには、このチェックボックスをオンにします。このオプションをオフにすると、このインターフェイスで IPv6 をディセーブルにできますが、設定情報は保持されます。

Enforce EUI-64

オンにすると、ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用します。

このオプションがインターフェイスでイネーブルにされると、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス ID が Modified EUI-64 形式を使用していることが確認されます。IPv6 パケットのインターフェイス ID が Modified EUI-64 形式でない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

%PIX|ASA-3-325003: EUI-64 source address check failed.

アドレス形式の検証は、フローが作成された場合にのみ行われます。既存のフローからのパケットは確認されません。さらに、アドレス検証はローカル リンク上のホストに対してのみ実行できます。ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク レイヤ(MAC)アドレスから導出されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

DAD Attempts

Duplicate Address Detection(DAD; 重複アドレス検出)の実行中にインターフェイスで送信される連続ネイバー送信要求メッセージの数を指定するには、このフィールドに 0 ~ 600 の数を入力します。0 を入力すると、インターフェイス上で重複アドレス検出がディセーブルになります。1 を入力すると、フォローアップ送信のない一度の送信を設定します。これはデフォルトです。

アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。

重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

%PIX-4-DUPLICATE: Duplicate address FE80::1 on outside

重複アドレスがインターフェイスのグローバル アドレスの場合は、そのアドレスは使用されず、前述のリンクローカル アドレスと同様のエラー メッセージが発行されます。

重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられている他のすべての IPv6 アドレスが再生成されます(つまり、重複アドレス検出は、新しいリンクローカル アドレスでのみ行われます)。

NS Interval

IPv6 ネイバー送信要求メッセージの再送信間隔(ミリ秒単位)。有効な値の範囲は 1000 ~ 3600000 ミリ秒で、デフォルト値は 1000 ミリ秒です。

(注) この値は、このインターフェイスで送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。

Reachable Time

リモート IPv6 ノードが到達可能であることが最初に確認されてから、このノードが到達可能であると見なされ続ける時間(ミリ秒単位)。有効な値の範囲は 0 ~ 3600000 ミリ秒で、デフォルト値は 0 です。この値に 0 を使用する場合、到達可能時間は未定に設定されます。つまり、到達可能時間の設定および追跡は受信デバイス次第です。

設定時間によって、使用不可のネイバーを検知できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間の設定は推奨できません。

Enable RA

オンにすると、インターフェイスで IPv6 ルータ アドバタイズメントの送信がイネーブルになります。次のオプションを使用できます。

[RA Lifetime]:「ルータ ライフタイム」値では、ローカル リンク上のノードがセキュリティ アプライアンスをリンク上のデフォルト ルータと見なし続ける期間を指定します。有効な値の範囲は 0 ~ 9000 秒で、デフォルトは 1800 秒です。0 を入力すると、セキュリティ アプライアンスは選択したインターフェイスのデフォルト ルータとは見なされません。

0 以外の任意の値は、次の [RA Interval] 値よりも小さい値にはできません。

(注) この値は、このインターフェイスで送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。

[RA Interval]:このインターフェイスでの IPv6 ルータ アドバタイズメントの送信間隔。有効な値の範囲は 3 ~ 1800 秒です(次の [RA Interval in Milliseconds] オプションがオンの場合は 500 ~ 1800000 ミリ秒)。デフォルトは 200 秒です。

[RA Lifetime] が 0 以外の場合、送信の間隔は [RA Lifetime] の値以下にする必要があります。他の IPv6 ノードと同期しないようにするには、使用する実際値を必要値の 20 % 以内にランダムに調整します。

[RA Interval in Milliseconds]:このオプションをオンにすると、指定した [RA Interval] の値が秒ではなくミリ秒になります。

Interface IPv6 Addresses

ダイアログボックスのこのセクションで、インターフェイスに割り当てられている IPv6 アドレスを指定します。

[Link-Local Address]:インターフェイスに自動的に生成されたリンクローカル アドレスを上書きするには、このフィールドに目的の IPv6 リンクローカル アドレスを入力します。

リンクローカル アドレスは、リンクローカル プレフィクス FE80::/64 と修正 EUI-64 形式のインターフェイス ID で形成されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、リンクローカル アドレス FE80::2E0:B6FF:FE01:3B7A が指定されます。指定されたアドレスを別のホストが使用している場合は、エラーが表示されます。

[Enable Address Auto-Configuration]:ステートレス自動設定を使用して、インターフェイスで IPv6 アドレスの自動設定をイネーブルにするには、このオプションをオンにします。アドレスは、Router Advertisement(RA; ルータ アドバタイズメント)メッセージで受信されたプレフィクスに基づいて設定されます。リンクローカル アドレスが設定されていなければ、アドレスはこのインターフェイス用に自動的に生成されます。生成されたリンクローカル アドレスを別のホストが使用している場合は、エラーが発生されます。

このセクションのテーブルには、このインターフェイスに割り当てられている IPv6 アドレスが表示されます。このテーブルの下の [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します(「テーブルの使用」に説明されているとおり、これらは標準のボタンです)。

[Add Row] および [Edit Row] を使用すると、「[IPv6 Address for Interface] ダイアログボックス」が開きます。

Interface IPv6 Prefixes

このセクションのテーブルを使用して、IPv6 ルータ アドバタイズメントに含まれる IPv6 プレフィクス(つまり、IPv6 アドレスのネットワーク部分)を設定します。このテーブルの下の [Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します(「テーブルの使用」に説明されているとおり、これらは標準のボタンです)。

[Add Row] および [Edit Row] を使用すると、「[IPv6 Prefix Editor] ダイアログボックス」が開きます。

[IPv6 Address for Interface] ダイアログボックス

このダイアログボックスは、ASA または FWSM のインターフェイスに割り当てられている IPv6 アドレスを追加または編集するために使用します。[Add Interface] または [Edit Interface] ダイアログボックスの [IPv6] パネルでは、インターフェイスに複数の IPv6 アドレスを割り当てることができます。


) このダイアログボックスは、ルーテッド モードの ASA 7.0 以降のデバイス、トランスペアレント モードの ASA 8.2 以降のデバイス、ルーテッド モードの FWSM 3.1 以降のデバイスでのみ使用できます。


ナビゲーション パス

[IPv6 Address for Interface] ダイアログボックスには、次の場所からアクセスできます。

ASA または FWSM の [Add Interface] と [Edit Interface] ダイアログボックスの [IPv6 パネル]。

トランスペアレント ファイアウォール モードの ASA 5505(バージョン 8.2 と 8.3 のデバイスのみ)の [Management IPv6] ページ。

[Interfaces IPv6 Addresses] セクションのテーブルの下にある [Add Row] または [Edit Row] ボタンをクリックすると、ダイアログボックスが開きます。

関連項目

「[IPv6 Prefix Editor] ダイアログボックス」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

「[Management IPv6] ページ(ASA 5505)」

フィールド リファレンス

 

表 44-6 [IPv6 Address for Interface] ダイアログボックス

要素
説明

Address/Prefix Length

インターフェイスに割り当てられる IPv6 ネットワーク アドレスを入力し、プレフィクス長を [Prefix Length] に追加します。[Prefix Length] の整数は、アドレスのネットワーク部分を構成するアドレスの上位ビット秒の数を示します。プレフィクス長の前にスラッシュ(/)を付ける必要があります。たとえば、3FFE:C00:0:1::/64 です。

EUI-64

このチェックボックスをオンにすると、IPv6 アドレスの低位の 64 ビットに EUI-64 インターフェイス ID が使用されます。[Prefix Length] に指定される値が 64 ビットを超える場合、プレフィクス ビットはインターフェイス ID より優先されます。指定されたアドレスを別のホストが使用している場合は、エラーが発生します。

Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク レイヤ(MAC)アドレスから導出されます。選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

[IPv6 Prefix Editor] ダイアログボックス

このダイアログボックスは、プレフィクスを IPv6 ルータ アドバタイズメントに含めるかどうかなどの個別のパラメータを制御して、IPv6 プレフィクス(つまり、IPv6 アドレスのネットワーク部分)を追加または編集するために使用します。ASA または FWSM の [Add Interface] または [Edit Interface] ダイアログボックスの [IPv6] パネルでは、複数のプレフィクスを設定できます。


) このダイアログボックスは、ルーテッド モードの ASA 7.0 以降のデバイス、トランスペアレント モードの ASA 8.2 以降のデバイス、ルーテッド モードの FWSM 3.1 以降のデバイスでのみ使用できます。


デフォルトでは、アドレスとしてインターフェイスに設定されているプレフィクスがルータ アドバタイズメントでアドバタイズされます。アドバタイズメントに特定のプレフィクスを設定する場合、これらのプレフィクスだけがアドバタイズされます。有効な推奨ライフタイムは、リアルタイムでカウントダウンされます。または、日付を設定して、プレフィクスの有効期限を指定できます。期限に達すると、プレフィクスはアドバタイズされなくなります。

ナビゲーション パス

[IPv6 Prefix Editor] ダイアログボックスには、[Add Interface] と [Edit Interface] ダイアログボックスの [IPv6] パネルからアクセスできます。これらのダイアログボックスの [Interfaces IPv6 Prefixes] セクションにあるテーブルの下にある [Add Row] または [Edit Row] ボタンをクリックします。

関連項目

「[IPv6 Address for Interface] ダイアログボックス」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

フィールド リファレンス

 

表 44-7 [IPv6 Prefix Editor] ダイアログボックス

要素
説明

Address/Prefix Length

IPv6 ネットワーク アドレスを入力し、プレフィクス長を [Prefix Length] に追加します。[Prefix Length] の整数は、アドレスのネットワーク部分を構成するアドレスの上位ビット秒の数を示します。プレフィクス長の前にスラッシュ(/)を付ける必要があります。たとえば、3FFE:C00:0:1::/64 です。

Default

このチェックボックスをオンにすると、このダイアログボックスの設定は 1 つのアドレスではなく、すべてのプレフィクスに適用されます(オンにすると、[Address/Prefix Length] フィールドはディセーブルになります)。

No Advertisements

オンにすると、ローカル リンクのホストでは、指定したプレフィクスをアドバタイズメントで使用できません。

Off Link

オンにすると、指定したプレフィクスは「オフリンク」になります。つまり、リンクにはローカルから到達できなくなります。

オンリンク(デフォルト)の場合、指定したプレフィクスがリンクに割り当てられます。指定したプレフィクスを含むアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。

No Auto-Configuration

オンにすると、ローカル リンクのホストでは、IPv6 自動設定に指定したプレフィクスを使用できません。

自動設定がオンの場合(デフォルト)、ローカル リンク上のホストは IPv6 自動設定に指定したプレフィクスを使用します。

Prefix Lifetime

ダイアログボックスのこのセクションを展開すると、次の期限オプションを表示できます。

[Lifetime Duration]:このオプションを選択して、プレフィクスの期限を時間の長さとして定義します。次のオプションがイネーブルになります。

[Valid Lifetime]:指定された IPv6 プレフィクスが有効なものとしてアドバタイズされる時間(秒)。値を 0 ~ 4294967295 秒の範囲で入力します。最大値は無限を示します(つまり、ライフタイムの期限は切れません)。これは、[Infinite] ボックスをオンにしても指定できます。デフォルトは、2592000(30 日)です。

[Preferred Lifetime]:指定された IPv6 プレフィクスが優先されるものとしてアドバタイズされる期間(秒)。値を 0 ~ 4294967295 秒の範囲で入力します。最大値は無限を示します(つまり、ライフタイムの期限は切れません)。これは、[Infinite] ボックスをオンにしても指定できます。デフォルトは 604800(7 日間)です。[Preferred Lifetime] は、[Valid Lifetime] の値以下である必要があります。

[Lifetime Expiration Date]:このオプションをオンにて、プレフィクスの期限を特定の日付として定義します。この日付には、今日から 1 年後までの日付の値を指定できます。次のオプションを使用できます。

[Valid]:この日時まで、プレフィクスは有効としてアドバタイズされます。 Mmm dd yyyy の形式で日付を入力します(つまり、3 文字の月の短縮形、2 桁の日、4 桁の年)。またはカレンダー アイコンをクリックして、カレンダーをスクロールして日付を選択します。また、指定した日付に期限が切れる時間を入力します。形式は 24 時間形式で hh:mm です。

[Preferred]:この日時まで、プレフィクスは優先としてアドバタイズされます。 Mmm dd yyyy の形式で日付を入力します(つまり、3 文字の月の短縮形、2 桁の日、4 桁の年)。またはカレンダー アイコンをクリックして、カレンダーをスクロールして日付を選択します。また、指定した日付に期限が切れる時間を入力します。形式は 24 時間形式で hh:mm です。[Preferred] の日時は [Valid] の日時以前である必要があります。

デバイス インターフェイス:IP タイプ(PIX/ASA 7.0 以降)

シングルコンテキストのルーテッド モードで動作しているセキュリティ デバイスには、そのインターフェイスの IP アドレス指定が必要です。ただし、ファイアウォール インターフェイスには、割り当てられるまで IP アドレスがありません トランスペアレント モードでは、デバイスはアクセス制御ブリッジ(「Bump In The Wire」)として機能することに注意してください。つまり、インターフェイスにそれぞれ異なる VLAN を割り当てますが、IP アドレス指定は必要ありません。

シングルコンテキスト、ルーテッド モードの独立した ASA または PIX 7.0 以降のデバイスに表示される [Add Interface] または [Edit Interface] ダイアログボックスには、[IP Type] セクションがあります。次の説明に従って、ここにインターフェイスの IP アドレス指定のタイプを指定し、関連するパラメータを入力します。(PIX 6.3 デバイス用の [Add Interface] または [Edit Interface] ダイアログボックスの [IP Type] セクションについては、「デバイス インターフェイス:IP タイプ(PIX 6.3)」を参照してください)。

マルチコンテキスト モードでは、インターフェイス IP アドレスはコンテキスト設定で設定されます。


) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。

また、冗長インターフェイスとして使用するインターフェイスには、IP タイプの情報を指定しないでください。



ステップ 1 [Add Interface] または [Edit Interface] ダイアログボックスで、次のように、[IP Type] リストからアドレス割り当て方式([Static IP]、[Use DHCP]、または [PPPoE](PIX および ASA 7.2 以降))を選択し、関連パラメータを指定します。

[Static IP]:このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレスおよびサブネット マスクを指定します。IP アドレスは、インターフェイスごとに一意でなければなりません。

サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。サブネット マスク値を指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。

IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。

IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。


) グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。


[Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。次のオプションが使用可能になります。

[DHCP Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。学習されたルートの管理ディスタンスはデフォルトで 1 になります。

すべてのルートに、その使用プライオリティを示す値または「メトリック」があります。(このメトリックは「管理ディスタンス」とも呼ばれます。)同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスは管理ディスタンスを使用して使用するルートを決定します。

[Obtain Default Route using DHCP]:デフォルトのスタティック ルートを設定する必要がないように DHCP サーバからデフォルト ルートを取得するには、このオプションを選択します。「スタティック ルートの設定」も参照してください。

[Enable Tracking for DHCP Learned Route]:[Obtain Default Route using DHCP] を選択した場合、このオプションを選択し、特定の Service Level Agreement(SLA; サービス レベル契約)モニタによるルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力または選択します。詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。

[PPPoE](PIX および ASA 7.2 以降):Point-to-Point Protocol over Ethernet(PPPoE)をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。このオプションは、フェールオーバーではサポートされません。次のオプションが使用可能になります。

[VPDN Group Name](必須):ネットワーク接続、ネゴシエーション、および認証に使用する認証方式とユーザ名/パスワードが含まれる Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループを選択します。詳細については、「VPDN グループの管理」を参照してください。

[IP Address]:指定した場合、ネゴシエートされたアドレスではなく、このスタティック IP アドレスが、接続および認証に使用されます。

[Subnet Mask]:指定した IP アドレスとともに使用されるサブネットマスク。

[PPPoE Learned Route Metric](必須):学習したルートに管理ディスタンスを割り当てます。有効な値は 1 ~ 255 です。デフォルトは 1 です。

すべてのルートに、その使用プライオリティを示す値または「メトリック」があります。(このメトリックは「管理ディスタンス」とも呼ばれます。)同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスは管理ディスタンスを使用して使用するルートを決定します。

[Obtain Default Route using PPPoE]:PPPoE サーバからデフォルト ルートを取得するには、このオプションをオンにします。PPPoE クライアントでまだ接続が確立されていない場合には、デフォルト ルートを設定します。このオプションを使用する場合は、スタティックに定義されたルートを設定に含めることができません。

[Enable Tracking for PPPoE Learned Route]:[Obtain Default Route using PPPoE] を選択した場合、このオプションを選択し、PPPoE が学習したルートのルート トラッキングをイネーブルにできます。次のオプションが使用可能になります。

[Dual ISP Interface]:デュアル ISP サポート用のインターフェイスを定義する場合、設定中の接続を示す [Primary] または [Secondary] を選択します。

[Tracked SLA Monitor]:[Enable Tracking for DHCP Learned Route] を選択した場合は必須です。このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力または選択します。詳細については、「接続を維持するためのサービス レベル契約(SLA)のモニタリング」を参照してください。


) DHCP および PPPoE は、ファイアウォール デバイスの外部インターフェイスでだけ設定できます。外部インターフェイスで PPPoE がすでに設定されている場合は、オプションとして使用できません。


ステップ 2 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」に従ってデバイス インターフェイスの設定を続けます。


 

デバイス インターフェイス:MAC アドレス

デフォルトでは、物理インターフェイスはその「バーンドイン」MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスも同じバーンドイン MAC アドレスを使用します。

冗長インターフェイスは、追加した最初の物理インターフェイスの MAC アドレスを使用します。設定内のメンバ インターフェイスの順序を変更すると、その MAC アドレスは、その時点でリストの先頭に表示されているインターフェイスの MAC アドレスと一致するように変更されます。手動で冗長インターフェイスに MAC アドレスを割り当てた場合、物理インターフェイスの MAC アドレスに関係なく、このアドレスが使用されます。

同様に、EtherChannel グループに割り当てられているすべてのインターフェイスは、同じ MAC アドレスを共有します。デフォルトでは、EtherChannel は最も番号の小さいメンバ インターフェイスの MAC アドレスを使用します。ただし、最も小さい番号のインターフェイスがグループから削除された場合にトラフィックの分断を防止するため、EtherChannel の MAC アドレスを手動で設定できます。

サブインターフェイスに一意の MAC アドレスを割り当てることが必要になる場合もあります。たとえば、サービス プロバイダーが MAC アドレスに基づいてアクセスを制御している場合などです。

さらに、フェールオーバーを使用する場合は、スタンバイ MAC アドレスを指定できます。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。


) 次のオプションは、PIX 7.2 以降と ASA 7.2 以降のデバイスの [Add Interface] と [Edit Interface] ダイアログボックスの [Advanced] タブにのみ表示されます。


(任意)プライベート MAC アドレスを現在のインターフェイスに手動で割り当てるには、次の手順を実行します。


ステップ 1 [Add/Edit Interface] ダイアログボックスで、[Active MAC Address] フィールドに目的の MAC アドレスを入力します。

MAC アドレスは、 H.H.H の形式で指定します。 H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。


) 場合によっては、[Standby MAC Address] フィールドをアクティブにするためには、[Active MAC Address] に入力したあとに、Tab キーを押す必要がある場合があります。


ステップ 2 必要に応じて、デバイスレベルのフェールオーバーで使用する スタンバイ MAC アドレス を指定します。

アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 3 「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」に従ってデバイス インターフェイスの設定を続けます。


 

ASA 5505 でのハードウェア ポートの設定

ASA 5505 デバイスに表示される [Interfaces] ページには、[Hardware Ports] および [Interfaces] の 2 つのタブ付きパネルが表示されます。[Hardware Ports] パネルのテーブルには、選択した ASA 5505 に現在設定されているスイッチ ポートが表示されます。

[Configure Hardware Ports] ダイアログボックスを使用して、ASA 5505 のスイッチ ポートを設定します。モードの設定、スイッチ ポートの VLAN への割り当て、[Protected] オプションの設定などが含まれます。(次のダイアログボックス パラメータの説明では、[Hardware Ports] テーブルのフィールドも説明します)。


注意 ASA 5505 では、ネットワーク内のループ検出のためのスパニング ツリー プロトコルはサポートされません。そのため、アプライアンスとの接続がネットワーク ループにならないようにする必要があります。

ナビゲーション パス

[Configure Hardware Ports] ダイアログボックスには、ASA 5505 の [Interfaces] ページにある [Hardware Ports] パネルの [Add Row] または [Edit Row] をクリックするとアクセスできます。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。

関連項目

「ASA 5505 のポートおよびインターフェイスについて」

「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」

フィールド リファレンス

 

表 44-8 [Configure Hardware Ports] ダイアログボックス

要素
説明

Enable Interface

このオプションを選択すると、このスイッチ ポートがイネーブルになります。このオプションをオフにすると、このポートをディセーブルにできますが、設定情報は保持されます。

Isolated

このオプションは、このポートが同じ VLAN 上の他の隔離されたスイッチ ポートまたは「保護された」スイッチ ポートと通信できないようにする場合に選択します。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内アクセスを許可する必要がなく、感染などのセキュリティ違反があったときにデバイスを相互に分離する必要がある場合、それらのポートが相互に通信できないようにすることがあります。たとえば、3 つの Web サーバをホストする DMZ がある場合、各スイッチ ポートに [Protected] オプションを適用すると、Web サーバを相互に分離できます。内部および外部ネットワークはいずれも 3 つすべての Web サーバと通信でき、またその逆も可能ですが、Web サーバどうしは通信できません。

Hardware Port

設定しているスイッチ ポートを選択します。すべてのデバイス ポートが一覧表示されます。

Mode

このポートのモードを選択します。

[Access Port]:ポートをアクセス モードに設定します。各アクセス ポートは 1 つの VLAN に割り当てることができます。

[Trunk Port]:ポートを 802.1Q タギングを使用するトランク モードに設定します。トランク ポートは、802.1Q タギングを使用して複数の VLAN を伝送できます。

トランク モードが使用できるのは Security Plus ライセンスだけです。トランク ポートでは、タグが付いていないパケットはサポートされません。ネイティブ VLAN サポートはなく、すべてアプライアンスはタグが含まれていないパケットをドロップします。

VLAN ID

選択した [Mode] に従って、このポートの VLAN ID を入力します。

[Access Port] モードでは、このスイッチ ポートが割り当てられる VLAN ID を入力します。

[Trunk Port] モードでは、複数の VLAN ID および複数の ID 範囲(4-8 など)をカンマで区切って入力できます。

(注) 7.2(2)18 以前のオペレーティング システムをデバイスで実行している場合、有効な VLAN ID は 1 ~ 1001 です。バージョン 7.2(2)19 以降での有効な ID は 1 ~ 4090 です。

Duplex

ポートのデュプレックス オプションを [Full]、[Half]、[Auto] から選択します。デフォルトである [Auto] 設定を推奨します。

PoE ポート Ethernet 0/6 または 0/7 のデュプレックスを [Auto] 以外に設定した場合、IEEE 802.3af をサポートしない Cisco IP Phone および Cisco ワイヤレス アクセス ポイントは検出されず、電力は供給されません。

Speed

ポートの速度を [10]、[100]、[Auto] から選択します。デフォルトである [Auto] 設定を推奨します。

PoE ポート Ethernet 0/6 または 0/7 の速度を [Auto] 以外に設定した場合、IEEE 802.3af をサポートしない Cisco IP Phone および Cisco ワイヤレス アクセス ポイントは検出されず、電力は供給されません。

デフォルトの [Auto] 設定には、Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスで Auto-MDI/MDIX をイネーブルにするには、[Speed] または [Duplex] のいずれかを [Auto] に設定する必要があります。[Speed] と [Duplex] の両方を明示的に固定値に設定し、したがって両方の設定のオートネゴシエーションをディセーブルにした場合、Auto-MDI/MDIX もディセーブルになります。

[Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

トランスペアレント ファイアウォールは、その内部インターフェイスと外部インターフェイスで同じネットワークを接続し、コンテキストにつき 2 つのインターフェイスだけをサポートします。ただし、ブリッジ グループを使用すると、コンテキストに使用できるインターフェイスの数を増やすことができます。ブリッジ グループは 8 個まで設定できます。FWSM では各グループに 2 個のインターフェイスを装備でき、ASA では各グループに 4 個のインターフェイスを装備できます。

各ブリッジ グループは、別々のネットワークに接続します。ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックはセキュリティ アプライアンス内の別のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータからセキュリティ アプライアンス内の別のブリッジ グループにルーティングされる前に、セキュリティ アプライアンスから出る必要があります。

セキュリティ コンテキストのオーバーヘッドを防ぐ場合、またはセキュリティ コンテキストの使用を最小限に抑える場合、複数のブリッジ グループを使用することがあります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。

トランスペアレント モードの FWSM 3.1 以降および ASA 8.4.1 以降のデバイスでは、[Interfaces] ページには [Interfaces] および [Bridge Groups] の 2 つのタブ付きパネルが表示されます。次の情報は [Bridge Groups] パネルと [Add Bridge Group] または [Edit Bridge Group] ダイアログボックスに適用されます。[Interfaces] パネルについては、「[Add Interface]/[Edit Interface] ダイアログボックス(PIX 7.0 以降/ASA/FWSM)」を参照してください。

ナビゲーション パス

[Add Bridge Group] または [Edit Bridge Group] ダイアログボックスには、[Interfaces] ページの [Bridge Groups] パネルからアクセスできます。

関連項目

「ルーテッド モードおよびトランスペアレント モードのインターフェイス」

「FWSM 3.1 のブリッジング サポート」

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

フィールド リファレンス

 

表 44-9 [Add Bridge Group]/[Edit Bridge Group] ダイアログボックス

要素
説明

Name

このブリッジ グループの名前を入力します。

ID

1 ~ 100 の整数でこのブリッジ グループの ID を入力します。

Interface A

このブリッジ グループに割り当てる最初のインターフェイスまたは VLAN を選択します。[Interfaces] パネルに定義されているすべてのインターフェイスが一覧表示されます。

Interface B

このブリッジ グループに割り当てる 2 番めのインターフェイスまたは VLAN を選択します。[Interfaces] パネルに定義されているすべてのインターフェイスが一覧表示されます。

Interface C

Interface D

このブリッジ グループに割り当てる 3 番めと 4 番めのインターフェイスまたは VLAN を選択します。[Interfaces] パネルに定義されているすべてのインターフェイスが一覧表示されます。

(注) これらの 2 つのオプションは、トランスペアレント モードで動作している ASA 8.4.1 以降のデバイスでのみ使用できます。

IP Address

ブリッジ グループの管理 IP アドレスを入力または選択します。トランスペアレント ファイアウォールは、IP ルーティングに参加しません。したがって、ブリッジ グループに必要な IP 設定は、この管理 IP アドレスだけです。このアドレスは、システム メッセージや AAA サーバとの通信など、セキュリティ アプライアンスで発信されるトラフィックの送信元アドレスです。このアドレスは、リモート管理アクセスにも使用できます。

(注) IPv6 アドレスはブリッジ グループではサポートされていません。

Netmask

指定した IP アドレスのネットワーク マスク。値は、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。

(注) ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。

Description

このブリッジ グループの説明(任意)を入力できます。

高度なインターフェイス設定(PIX/ASA/FWSM)

高度な設定オプションは、シングルコンテキスト モードデバイス動作している FWSM および ASA/PIX 7.0 以降のデバイス上のインターフェイスに使用可能です。

これらは全般的なデバイス関連設定です。つまり、個別のインターフェイスには適用されません。


) この項の情報は、PIX 6.3 デバイスにも、マルチコンテキスト モードのセキュリティ デバイスにも適用されません。


[Advanced Interface Settings] ダイアログボックスには、次の要素があります。

[Traffic between interfaces with same security levels]:このパラメータでは、同じセキュリティ レベルのインターフェイスとサブインターフェイス間の通信を制御します。同じセキュリティ インターフェイス通信をイネーブルにした場合でも、異なるセキュリティ レベルで通常どおりインターフェイスを設定できます。詳細は「同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化」を参照してください。

[PPPoE Users] ボタン:このボタンをクリックして、[PPPoE Users] ダイアログボックスを開きます。このダイアログボックスでは、「PPPoE ユーザ リストの管理」の説明に従って、PPPoE ユーザを追加、編集、および削除できます。このオプションは、ASA および PIX 7.0 以降のデバイスでのみ使用できます。

[VPDN Groups](PIX および ASA 7.2 以降):このテーブルには、現在定義されている VPDN グループが一覧表示されます。テーブルの下にあるボタンは、「VPDN グループの管理」の説明に従って、VPDN グループのエントリを追加、編集、および削除するために使用します。

[LACP System Priority](ASA 8.4.1 以降):EtherChannel リンク集約に参加するすべてのシステムには、Link Aggregation Control Protocol(LACP; リンク集約制御プロトコル)システム プライオリティが必要です。この値には 1 ~ 65535 を指定できます。数字が大きいほど、プライオリティは低くなります。デフォルトは 32768 です。

この値とシステムの MAC アドレスが組み合わされて、システムの LACP ID が形成されます。したがって、EtherChannel インターフェイスにのみ適用されます。詳細については、「EtherChannel の設定」を参照してください。


) EtherChannel に割り当てられている個別のインターフェイスの [Edit Interface] ダイアログボックスでは、追加の LACP パラメータを使用できます。詳細については、「EtherChannel に割り当てられているインターフェイスの LACP パラメータの編集」を参照してください。


ナビゲーション パス

[Advanced Interface Settings] ダイアログボックスは、[Interfaces] ページの下部にある [Advanced] ボタンをクリックすると開きます(5505 ASA 以外のデバイス、PIX 7.0 以降のデバイス、および FWSM)。また、ASA 5505 の [Ports] および [Interfaces] ページの [Interfaces] タブの下部にある [Advanced] ボタンをクリックすると開きます。

関連項目

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

同じセキュリティ レベルを持つインターフェイス間のトラフィックのイネーブル化

この項で説明するように、シングルコンテキストのセキュリティ デバイスに表示される「高度なインターフェイス設定(PIX/ASA/FWSM)」ダイアログボックスには、[Traffic between interfaces with the same security level] ドロップダウン リストがあります。

デフォルトでは、同じセキュリティ レベルのインターフェイスまたはサブインターフェイスは、相互に通信できません。同じセキュリティ レベルのインターフェイス間で通信できるようにすると、次の利点が得られます。

101 より多い数の通信インターフェイスを設定できます。

インターフェイスごとに異なるレベルを使用し、同じセキュリティ レベルにインターフェイスを割り当てないようにすると、1 レベルにつき 1 つのインターフェイスしか設定できません(0 ~ 100)。

アクセス リストを使用しないで、同じセキュリティ レベルのすべてのインターフェイス間でトラフィックを自由に通過させることができます。


) NAT 制御をイネーブルにしている場合、同じセキュリティ レベルのインターフェイス間で NAT を設定する必要はありません。



ステップ 1 [Advanced Interface Settings] ダイアログボックスで、このデバイスに 同じセキュリティ レベルを持つインターフェイス間のトラフィック を処理させる方法を示すオプションを選択します。

[Disabled]:同じセキュリティ レベルのインターフェイス間の通信を許可しません。

[Inter-interface]:同じセキュリティ レベルが設定されているインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、ファイアウォール デバイス内のインターフェイス間のトラフィック フローをイネーブルにするために変換ルールを定義する必要はありません。

[Intra-interface]:同じセキュリティ レベルが設定されているサブインターフェイス間のトラフィック フローをイネーブルにします。このオプションをイネーブルにした場合、インターフェイスに割り当てられているサブインターフェイス間のトラフィック フローをイネーブルにするために変換ルールを定義する必要はありません。

[Both]:同じセキュリティ レベルを持つインターフェイスおよびサブインターフェイスで、インターフェイス内およびインターフェイス間の両方の通信を許可します。

ステップ 2 「高度なインターフェイス設定(PIX/ASA/FWSM)」の設定に進むか、または [OK] をクリックして [Advanced Interface Settings] ダイアログボックスを閉じます。


 

PPPoE ユーザ リストの管理

Point-to-Point Protocol over Ethernet(PPPoE)では、デバイス上のイーサネット インターフェイスを介して、セキュリティ デバイスと外部 ISP 間で標準の PPP 通信を実行できます。通信リンクを確立するには、デバイスで認証クレデンシャルを提供して、ネットワーク パラメータを取得する必要があります。これは、Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループを使用することで実行されます。VPDN グループは、基本的には既定の PPPoE ユーザ クレデンシャル(ユーザ名およびパスワードなど)と認証プロトコルで構成されます。VPDN グループの詳細については、「VPDN グループの管理」を参照してください。

VPDN グループで使用できる PPPoE ユーザのクレデンシャルは、[PPPoE Users] ダイアログボックスに保持されます。このダイアログボックスには、「高度なインターフェイス設定(PIX/ASA/FWSM)」 ダイアログボックスおよび [Add VPND Group] または [Edit VPND Group] ダイアログボックスからアクセスできます。

PPPoE ユーザの追加と編集

[PPPoE Users] ダイアログボックスには、標準の [Add Row]、[Edit Row]、および [Delete Row] ボタンとともに、現在定義されている PPPoE ユーザのテーブルが表示されます。[Add Row] ボタンをクリックすると [Add PPPoE User] ダイアログボックスが開き、[Edit Row] ボタンをクリックすると、実質的に同一の [Edit PPPoE User] ダイアログボックスが開きます。

次の PPPoE ユーザ パラメータを入力または編集してから、[OK] をクリックして [Add PPPoE User] または [Edit PPPoE User] ダイアログボックスを閉じ、[AdvancedInterface Settings] ダイアログボックスに戻ります。


) PPPoE ユーザ オプションは、Firewall Service Modules(FWSM; ファイアウォール サービス モジュール)では使用できません。


フィールド リファレンス

 

表 44-10 [Add PPPoE User]/[Edit PPPoE User] ダイアログボックス

要素
説明

Username

このユーザ アカウントに割り当てられる名前。通常、外部 ISP によって提供されます。

Password

このユーザ アカウントに割り当てられるパスワード。通常、外部 ISP によって提供されます。

Confirm

パスワードを再入力します。

Store Username and Password in Local Flash

オンにすると、この PPPoE ユーザ情報は、間違って上書きされないように、デバイスのローカル フラッシュ メモリに格納されます。

VPDN グループの管理

Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループ(基本的には、既定の PPPoE ユーザと認証プロトコル)は、PPPoE 通信リンクを確立してネットワーク パラメータを取得することを目的として、セキュリティ デバイスが外部 ISP にアクセスし、自分自身を認証するために使用します(PPPoE ユーザを確立する方法の詳細については、「PPPoE ユーザ リストの管理」を参照してください)。

使用可能な VPDN グループが [Advanced Interface Settings] ダイアログボックスに保持されます。このダイアログ ボックスは、「高度なインターフェイス設定(PIX/ASA/FWSM)」の説明に従って、[Interfaces] ページの下部にある [Advanced] ボタンをクリックすると開きます。

VPND グループの追加または編集

[Advanced Interface Settings] ダイアログボックスには、現在定義されている VPDN グループのテーブルと、標準の [Add Row]、[Edit Row]、および [Delete Row] ボタンがあります。[Add Row] ボタンをクリックすると [Add VPDN Group] ダイアログボックスが開き、[Edit Row] ボタンをクリックすると、実質的に同一の [Edit VPDN Group] ダイアログボックスが開きます。

次の PPPoE グループ パラメータを入力または編集してから、[OK] をクリックして [Add VPDN Group] または [Edit VPDN Group] ダイアログボックスを閉じ、[AdvancedInterface Settings] ダイアログボックスに戻ります。


) VPDN グループ オプションは、Firewall Service Modules(FWSM; ファイアウォール サービス モジュール)では使用できません。


フィールド リファレンス

 

表 44-11 [Add VPND Group]/[Edit VPND Group] ダイアログボックス

要素
説明

Group Name

このグループを Security Manager 内で識別する最大 63 文字の名前。

PPPoE Username

このグループが ISP との認証に使用する PPPoE クレデンシャルを識別する名前。使用可能な PPPoE ユーザのリストから選択します。

このリストから [Edit User] を選択して、[PPPoE Users] ダイアログボックスを開きます。このダイアログボックスでは、このオプションのユーザを追加または編集できます。ユーザの作成および編集の詳細については、「PPPoE ユーザ リストの管理」を参照してください。

PPP Authentication

PPP 認証方式を選択します。

[PAP]:パスワード認証プロトコル。クリア テキストでクレデンシャルを交換します。

[CHAP]:チャレンジ ハンドシェイク認証プロトコル。暗号化されたクレデンシャルを交換します。

[MSCHAP]:Microsoft 社の CHAP。バージョン 1 だけです。