VLAN サブインターフェイス

この章では、VLAN サブインターフェイスを設定する方法について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。システム実行スペースに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイス IPアドレスの下にある [System] をダブルクリックします

VLAN サブインターフェイスについて

VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスまたは EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたは ASA を追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチ コンテキスト モードで特に便利です。

1 つのプライマリ VLAN と 1 つまたは複数のセカンダリ VLAN を設定できます。ASA はセカンダリ VLAN でトラフィックを受信すると、それをプライマリ VLAN にマップします。

VLAN サブインターフェイスのライセンス

モデル

ライセンス要件

Firepower 1010

Essentials ライセンス:60

Firepower 1120

Essentials ライセンス:512

Firepower 1140、1150

Essentials ライセンス:1024

Firepower 2100

Essentials ライセンス:1024

Cisco Secure Firewall 3100

Essentials ライセンス:1024

Firepower 4100

Essentials ライセンス:1024

Cisco Secure Firewall 4200

Essentials ライセンス:1024

Firepower 9300

Essentials ライセンス:1024

ASA 仮想

スループット機能:

100 Mbps:25

1 Gbps:50

2 Gbps:200

10 Gbps:1024

ISA 3000

Essentials ライセンス: 5

Security Plus ライセンス:100


(注)  

VLAN 制限の対象としてカウントするインターフェイスに、VLAN を割り当てます。

VLAN サブインターフェイスのガイドラインと制限事項

モデルのサポート

  • Firepower 1010:VLAN サブインターフェイスは、スイッチ ポートまたは VLAN インターフェイスではサポートされていません。

  • ASA モデルでは、管理インターフェイスのサブインターフェイスを設定できません。サブインターフェイスのサポートについては、管理スロット/ポート インターフェイスを参照してください。

その他のガイドライン

  • 物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、アクティブな物理インターフェイスと EtherChannel リンクにも当てはまります。トラフィックがサブインターフェイスを通過するには、物理インターフェイスまたは EtherChannel インターフェイスがイネーブルになっている必要があるため、トラフィックが物理インターフェイスまたは EtherChannel インターフェイスを通過しないように、インターフェイスには名前を設定しないでください。物理インターフェイスまたは EtherChannel インターフェイスでタグのないパケットを通過させる場合は、通常どおり nameを設定できます。

  • 同じ親インターフェイスのすべてのサブインターフェイスは、ブリッジグループメンバーかルーテッドインターフェイスのいずれかである必要があります。混在および一致はできません。

  • ASA は Dynamic Trunking Protocol(DTP)をサポートしていないため、接続されているスイッチポートを無条件にトランキングするように設定する必要があります。

  • 親インターフェイスの同じ Burned-In MAC Address を使用するので、ASA で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、ASA で特定のインスタンスでのトラフィックの中断を避けることができます。一意の MAC アドレスを自動的に生成できます。MAC アドレスの自動割り当てを参照してください。

VLAN サブインターフェイスのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • VLAN サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを物理インターフェイスまたは EtherChannel インターフェイスに追加します。

始める前に

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。

  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2

[追加(Add)] > [インターフェイス(Interface)] の順に選択します。

[Add Interface] ダイアログボックスが表示されます。

(注)  

 

シングル モードの場合、この手順で対象としているのは [Edit Interface] ダイアログボックスのパラメータのサブセットのみであるため、他のパラメータを設定する場合は、ルーテッド モードおよびトランスペアレント モードのインターフェイスを参照してください。マルチ コンテキスト モードでは、インターフェイスの設定を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。マルチ コンテキストの設定を参照してください。

ステップ 3

[ハードウェアポート(Hardware Port)] ドロップダウンリストから、サブインターフェイスを追加する物理インターフェイスまたはポートチャネル インターフェイスを選択します。

ステップ 4

インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

インターフェイスはデフォルトでイネーブルになっています。

ステップ 5

[VLAN ID] フィールドに、1 ~ 4094 の VLAN ID を入力します。

VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でしか設定できません。

ステップ 6

[Secondary VLAN ID] フィールドに、1 つ以上の VLAN ID をスペースまたはカンマで区切って入力します。連続する範囲の場合はダッシュを使用します。

ASA はセカンダリ VLAN でトラフィックを受信すると、そのトラフィックをプライマリ VLAN にマップします。

ステップ 7

[Subinterface ID] フィールドに、サブインターフェイス ID を 1 ~ 4294967293 の整数で入力します。

許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。

ステップ 8

(オプション)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、または「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 9

[OK] をクリックします。

[Interfaces] ペインに戻ります。

VLAN のサブインターフェイスの例

次に、シングル モードでサブインターフェイスのパラメータを設定する例を示します。 


interface gigabitethernet 0/1
  no nameif
  no security-level
  no ip address
  no shutdown
interface gigabitethernet 0/1.1
  vlan 101
  nameif inside
  security-level 100
  ip address 192.168.6.6 255.255.255.0
  no shutdown

次に、Catalyst 6500 でどのように VLAN マッピングが機能するのかを示します。ノードを PVLANS に接続する方法については、Catalyst 6500 の設定ガイドを参照してください。 


ASA Configuration

interface GigabitEthernet1/1
  description Connected to Switch GigabitEthernet1/5
  no nameif
  no security-level
  no ip address
  no shutdown
!
interface GigabitEthernet1/1.70
  vlan 70 secondary 71 72
  nameif vlan_map1
  security-level 50
  ip address 10.11.1.2 255.255.255.0
  no shutdown
!
interface GigabitEthernet1/2
  nameif outside
  security-level 0
  ip address 172.16.171.31 255.255.255.0
  no shutdown

Catalyst 6500 Configuration

vlan 70
  private-vlan primary
  private-vlan association 71-72
!
vlan 71
  private-vlan community
!
vlan 72
  private-vlan isolated
!
interface GigabitEthernet1/5
  description Connected to ASA GigabitEthernet1/1
  switchport
  switchport trunk encapsulation dot1q
  switchport trunk allowed vlan 70-72
  switchport mode trunk
!

VLAN サブインターフェイスの履歴

表 1. VLAN サブインターフェイスの履歴

機能名

バージョン

機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

  • ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

  • ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

  • ASA 5520 の VLAN 数が 25 から 100 に増えました。

  • ASA 5540 の VLAN 数が 100 から 200 に増えました。

VLAN 数の増加

7.2(2)

VLAN の制限値が変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

セカンダリ VLAN のプライマリ VLAN へのマッピングのサポート

9.5(2)

サブ インターフェイスで、1 つ以上のセカンダリ VLAN を設定できるようになりました。ASA はセカンダリ VLAN でトラフィックを受信すると、それをプライマリ VLAN にマップします。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ISA 3000 の VLAN 数の増加

9.13(1)

Security Plus ライセンスが有効な ISA 3000 について、最大 VLAN 数が 25 から 100 に増えました。