基本的なインターフェイス設定

この章では、イーサネット設定、ジャンボ フレーム設定などの基本的なインターフェイス設定について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。まだシステム実行スペースに入っていない場合は、[Configuration] > [Device List] ペイン内で、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします

(注)  

プラットフォーム モードの Firepower 2100 および Firepower 4100/9300 シャーシ では、FXOS オペレーティング システムで基本的なインターフェイス設定を行います。詳細については、お使いのシャーシの設定または導入ガイドを参照してください。

基本的なインターフェイス設定について

この項では、インターフェイスの機能と特殊なインターフェイスについて説明します。

Auto-MDI/MDIX 機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

管理インターフェイス

管理インターフェイスは、使用しているモデルに応じて、管理トラフィック専用の個別インターフェイスとなります。

管理インターフェイスの概要

次のインターフェイスに接続して ASA を管理できます。

  • 任意の通過トラフィック インターフェイス

  • 専用の管理スロット/ポート インターフェイス(使用しているモデルで使用できる場合)

管理アクセスの説明に従って、管理アクセスへのインターフェイスを設定する必要がある場合があります。

管理スロット/ポート インターフェイス

次の表に、モデルごとの管理インターフェイスを示します。

表 1. モデルごとの管理インターフェイス

モデル

管理 0/0

管理 0/1

管理 1/0

管理 1/1

通過トラフィックに対して設定可能

サブインターフェイスを使用可能

Firepower 1000

対応

対応

対応

Firepower 2100

対応

注:技術的には、通過トラフィックを有効にすることはできますが、このインターフェイスのスループットはデータ操作には適していません。

対応

Firepower 4100/9300

該当なし

インターフェイス ID は ASA 論理デバイスに割り当てた物理 mgmt タイプ インターフェイスに基づいています。

対応

ASA 5506-X

対応

ASA 5508-X

対応

ASA 5516-X

対応

ASA 5525-X

対応

ASA 5545-X

対応

ASA 5555-X

対応

ISA 3000

対応

ASAv

対応

対応


(注)  

モジュールをインストールした場合は、モジュール管理インターフェイスでは、モジュールの管理アクセスのみが提供されます。ソフトウェア モジュールを搭載したモデルでは、ソフトウェア モジュールによって ASA と同じ物理管理インターフェイスが使用されます。

管理専用トラフィックに対する任意のインターフェイスの使用

任意のインターフェイスを、管理トラフィック用として設定することによって管理専用インターフェイスとして使用できます。これには、EtherChannel インターフェイスも含まれます。

トランスペアレント モードの管理インターフェイス

トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)のいずれか)を個別の管理専用インターフェイスとして使用できます。

他のインターフェイスタイプは管理インターフェイスとして使用できません。

Firepower 4100/9300 シャーシ では、管理インターフェイス ID は ASA 論理デバイスに割り当てた mgmt-type インターフェイスに基づいています。


(注)  

管理インターフェイスは、通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。

管理専用トラフィック

マネジメントインターフェイスは、To-the-Box および From-the-Box トラフィックのみを対象にしており、トラフィックを通過することができません。いずれの場合も、ブリッジグループは他のブリッジグループと通信できないため、トラフィックによるサポートがあった場合でも、管理インターフェイスからブリッジグループに、またはその逆にルーティングすることはできません。

共有 MAC アドレステーブルおよびスイッチ接続

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータインターフェイスと同じ方法で Cisco ASA の MAC アドレステーブルがアップデートされます。したがって、いずれかのスイッチポートをルーテッドポートとして設定しない限り、管理インターフェイスおよびデータインターフェイスを同じスイッチに接続しないでください(デフォルトでは、Catalyst スイッチがすべての VLAN スイッチポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASA によって、データインターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレステーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが ASA によって再アップデートされることはありません。

マルチ コンテキスト モード

マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。サポートされるモデルのコンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。一部のモデルでは管理インターフェイスのサブインターフェイスが許可されないため、それらのモデルでコンテキスト単位の管理を行うには、データインターフェイスに接続する必要があります。Firepower 4100/9300 シャーシでは、管理インターフェイスとそのサブインターフェイスは、コンテキスト内で特別に許可された管理インターフェイスとして認識されません。この場合、管理サブインターフェイスをデータインターフェイスとして扱い、BVI に追加する必要があります。

冗長管理インターフェイスの非サポート

冗長インターフェイスは、Management slot/port インターフェイスをメンバとしてサポートしません。ただし、管理インターフェイス以外の複数インターフェイスからなる冗長インターフェイスを、管理専用として設定できます。

ASA モデルの管理インターフェイスの特性

Asaasa 5500-X モデルの管理インターフェイスには、次の特性があります。

  • 通過トラフィックはサポートされません。

  • サブインターフェイスはサポートされません

  • プライオリティ キューはサポートされません

  • マルチキャスト MAC はサポートされません

  • ソフトウェア モジュールは、管理インターフェイスを共有します。ASA とモジュールに対して、別の MAC アドレスと IP アドレスがサポートされます。モジュールのオペレーティング システムでモジュールの IP アドレスのコンフィギュレーションを実行する必要があります。ただし、物理特性(インターフェイスの有効化など)は、ASA 上で設定されます。

基本インターフェイスの設定のガイドライン

トランスペアレント ファイアウォール モード

マルチ コンテキストのトランスペアレント モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

フェールオーバー

データ インターフェイスと、フェールオーバーまたはステートのインターフェイスを共有することはできません。

その他のガイドライン

  • 一部の管理関連のサービスは、管理対象外のインターフェイスが有効になり、ASA が「システム レディ」状態になるまで使用できません。ASA が「System Ready」状態になると、次の syslog メッセージを生成します。 

    
%ASA-6-199002: Startup completed.  Beginning operation.

基本インターフェイスのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • 冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

  • VLAN サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

  • VXLAN VNI インターフェイス:イネーブル。

  • EtherChannel ポートチャネル インターフェイス(ASA モデル、ISA 3000):有効。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス(その他のモデル):無効。


(注)  

Firepower 4100/9300 の場合、管理上、シャーシおよび ASA の両方で、インターフェイスを有効および無効にできます。インターフェイスを動作させるには、両方のオペレーティング システムで、インターフェイスを有効にする必要があります。インターフェイスの状態は個別に制御されるので、シャーシと ASA の間の不一致が生じることがあります。

デフォルトの速度および二重通信

  • デフォルトでは、銅線(RJ-45)インターフェイスの速度とデュプレックスは、オートネゴシエーションに設定されます。

デフォルトのコネクタ タイプ

2 つのコネクタ タイプ(copper RJ-45 と fiber SFP)を持つモデルもあります。RJ-45 がデフォルトです。ASA にファイバ SFP コネクタを使用するように設定できます。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

ここでは、次の方法について説明します。

  • 物理インターフェイスをイネーブルにする。

  • 特定の速度と二重通信(使用できる場合)を設定する。

  • (ASA ハードウェア)フロー制御のポーズフレームをイネーブルにする。

この手順は、インターフェイス設定のごく一部にすぎません。この時点では、他のパラメータを設定しないようにします。たとえば、EtherChannel インターフェイスの一部として使用するインターフェイスには名前を付けることはできません。正確なインターフェイスオプションは、モデルおよびインターフェイスのタイプによって異なります。


(注)  

Firepower 4100/9300 の場合、FXOS の基本インターフェイスの設定を行います。


(注)  

/ 1010/ スイッチポートについては、「Firepower 1010 スイッチポートの基本インターフェイス構成」を参照してください。

始める前に

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。

  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

デフォルトでは、すべての物理インターフェイスが一覧表示されます。

ステップ 2

設定する物理インターフェイスをクリックし、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

(注)  

 

シングル モードでは、この手順では [Edit Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。マルチ コンテキスト モードでは、インターフェイスの設定を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。

ステップ 3

インターフェイスをイネーブルにするには、[Enable Interface] チェックボックスをオンにします。

ステップ 4

説明を追加するには、[Description] フィールドにテキストを入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、または「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 5

(任意)メディア タイプ、二重通信、速度を設定し、フロー制御のポーズ フレームをイネーブルにするには、[Configure Hardware Properties] をクリックします。

  1. [Duplex]を設定するには、ドロップダウンリストからインターフェイスタイプに応じて [Full][Half]、または [Auto] を選択します。

    (注)  

     

    SFP インターフェイスは全二重のみをサポートします。

  2. 速度を設定するには、ドロップダウンリストから値を選択します(モデルによって異なります)。

    SFP インターフェイスの場合、Negotiate を指定すると速度が 1,000 Mbps に設定され、フロー制御パラメータとリモート障害情報のリンクネゴシエーションがイネーブルになります。10 Gbps インターフェイスの場合、このオプションを指定すると速度が 1,000 Mbps に設定されます。Nonegotiate オプションを指定するとリンクネゴシエーションがディセーブルになります。

  3. (ASA ハードウェア)1 ギガビット以上のインターフェイスでフロー制御のポーズ(XOFF)フレームをイネーブルにするには、[ポーズフレームをイネーブルにする(Enable Pause Frame)] チェックボックスをオンにします。

    フロー制御により、接続しているイーサネット ポートは、輻輳しているノードがリンク動作をもう一方の端で一時停止できるようにすることによって、輻輳時のトラフィック レートを制御できます。ASA ポートで輻輳が生じ(NIC の FIFO バッファまたは受信リングバッファが枯渇)、それ以上はトラフィックを受信できなくなった場合、ポーズフレームを送信することによって、その状態が解消されるまで送信を中止するように、そのポートから相手ポートに通知します。ポーズ フレームを受信すると、送信側デバイスはデータ パケットの送信を中止するので、輻輳時のデータ パケット損失が防止されます。

    バッファ使用量が高ウォーター マークを超えると、ポーズ フレームが送信されます。デフォルトの high_water 値は 128 KB(10 ギガビット イーサネット)および 24 KB(1 ギガビット イーサネット)です。0 ~ 511(10 ギガビット イーサネット)または 0 ~ 47 KB(1 ギガビット イーサネット)に設定できます。ポーズの送信後、バッファ使用量が低ウォーター マークよりも下回ると、XON フレームを送信できます。デフォルトでは、low_water 値は 64 KB(10 ギガビット イーサネット)および 16 KB(1 ギガビット イーサネット)です。0 ~ 511(10 ギガビット イーサネット)または 0 ~ 47 KB(1 ギガビット イーサネット)に設定できます。リンク パートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズ フレーム内のタイマー値によって制御されます。デフォルトの pause_time 値は 26624 です。この値は 0 ~ 65535 に設定できます。バッファの使用量が継続的に高基準値を超えている場合は、ポーズ リフレッシュのしきい値に指定された間隔でポーズ フレームが繰り返し送信されます。

    [Low Watermark]、[High Watermark]、[Pause Time] のデフォルト値を変更するには、[Use Default Values] チェックボックスをオフにします。

    (注)  

     

    802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。

  4. [OK] をクリックして [Hardware Properties] の変更を受け入れます。

ステップ 6

[OK] をクリックして [Interface] の変更を受け入れます。

ジャンボフレームサポートの有効化(ASA モデル、ASAv、ISA 3000)

ジャンボフレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む)より大きく、9216 バイトまでのイーサネットパケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(ACL など)の最大使用量が制限される場合があります。ASA MTU はレイヤ 2(14 バイト)および VLAN ヘッダー(4 バイト)を含まずにペイロードサイズを設定するので、モデルによっては MTU 最大値が 9198 になることに注意してください。

この手順は、ASA ハードウェアモデル、ISA 3000、および ASAv にのみ適用できます。その他のモデルは、デフォルトでジャンボフレームをサポートしています。

ジャンボフレームは、8GB RAM 未満の ASAv5 および ASAv10 ではサポートされません。

始める前に

  • マルチコンテキストモードでは、システム実行スペースでこのオプションを設定します。

  • この設定を変更した場合は、ASA のリロードが必要です。

  • ジャンボフレームを送信する必要のある各インターフェイスの MTU を、デフォルト値の 1500 より大きい値に設定してください。たとえば、。マルチコンテキストモードでは、各コンテキスト内で MTU を設定します。

  • Be sure to adjust the TCP MSS, either to disable it for non-IPsec traffic, or to increase it in accord with the MTU.

手順

コンテキスト モードによって次のように異なります。

  • マルチモード:ジャンボフレームサポートをイネーブルにするには、[Configuration] > [Context Management] > [Interfaces] を選択し、[Enable jumbo frame support] チェックボックスをオンにします。

  • シングルモード:1500 バイトを超える MTU を設定すると、ジャンボフレームが自動的にイネーブルになります。この設定を手動で有効化または無効化するには、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、[Enable jumbo frame support] チェックボックスをオンにします。

基本インターフェイスの例

次の設定例を参照してください。

物理インターフェイス パラメータの例

次に、シングル モードで物理インターフェイスのパラメータを設定する例を示します。 


interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown

マルチ コンテキスト モードの例

次に、システム コンフィギュレーション用にマルチ コンテキスト モードでインターフェイス パラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。 


interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown
interface gigabitethernet 0/1.1
vlan 101
context contextA
allocate-interface gigabitethernet 0/1.1

基本インターフェイスの設定の履歴

表 2. インターフェイスの履歴

機能名

リリース

機能情報

Firepower 1100 および 2100 の光ファイバインターフェイスでの速度の自動ネゴシエーションの無効化

9.14(1)

自動ネゴシエーションを無効にするように Firepower 1100 または 2100 光ファイバインターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10 GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。

新規/変更された画面:[構成(Configuration)] > [デバイスの設定(Device Settings)] > [インターフェイス(Interfaces)] > [インターフェイスの編集(Edit Interface)] > [ハードウェアプロパティの構成(Configure Hardware Properties)] > [速度(Speed)]

ASAv の管理 0/0 インターフェイスでの通過トラフィックサポート

9.6(2)

ASAv の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASAv のみで通過トラフィックをサポートしていました。今後は、すべての ASAv で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。

ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(5)/8.4(2)

すべての ASA モデルでギガビット イーサネット インターフェイスのフロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

次の画面が変更されました。[(Single Mode) Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [General
(Multiple Mode, System)]

[Configuration] > [Interfaces] > [Add/Edit Interface]

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

この機能は、ASA 5585-X でもサポートされます。

次の画面が変更されました。[(Single Mode) Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [General
(Multiple Mode, System)]

[Configuration] > [Interfaces] > [Add/Edit Interface]

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

ASA 5580 はジャンボフレームをサポートします。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(ACL など)の最大使用量が制限される場合があります。

この機能は、ASA 5585-X でもサポートされます。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [Advanced]。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、GE(ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の FE(ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。