CLI ブック 1：Cisco Secure Firewall ASA シリーズ 9.23 CLI コンフィギュレーションガイド（一般的な操作）

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ

このマニュアル内で検索

検索結果

Updated:: 2025年11月12日水曜日

ループバックインターフェイス

この章では、ループバックインターフェイスを設定する方法について説明します。

ループバックインターフェイスについて

ループバックインターフェイスは、物理インターフェイスをエミュレートするソフトウェア専用インターフェイスであり、複数の物理インターフェイスを介して IPv4 および IPv6 に到達できます。ループバックインターフェイスはパス障害の克服に役立ちます。任意の物理インターフェイスからアクセスできるため、1 つがダウンした場合、別のインターフェイスからループバックインターフェイスにアクセスできます。

ループバックインターフェイスは、次の目的で使用できます。

AAA
BGP
DNS
HTTP
ICMP
SNMP
SSH
スタティックおよびダイナミック VTI トンネル
Syslog
Telnet

ASA は、ダイナミックルーティングプロトコルを使用してループバックアドレスを配布できます。または、ピアデバイスでスタティックルートを設定して、 ASA のいずれかの物理インターフェイスを介してループバック IP アドレスに到達できます。ASA では、ループバックインターフェイスを指定するスタティックルートを設定できません。

ループバックインターフェイスの概要

フェールオーバーとクラスタリング

クラスタリングはサポートされません。

コンテキストモード

VTI はシングルコンテキストモードでのみサポートされます。マルチコンテキストモードでは、他のループバックの使用がサポートされます。

その他のガイドラインと制限事項

物理インターフェイスからループバックインターフェイスへのトラフィックでは、TCP シーケンスのランダム化は常に無効になっています。

ループバックインターフェイスの設定

ループバックインターフェイスを追加します。

手順

ステップ 1

ループバックインターフェイスを作成します。

interface loopback number

0 〜 10413 の値を指定できます。

例:


ciscoasa(config)# interface loopback 10

ステップ 2

名前と IP アドレスを設定します。ルーテッドモードおよびトランスペアレントモードのインターフェイスを参照してください。

ステップ 3

ループバックトラフィックのレート制限を設定します。「ループバックインターフェイスへのトラフィックのレート制限」を参照してください。

ループバックインターフェイスへのトラフィックのレート制限

システムに過剰な負荷がかからないように、ループバックインターフェイス IP アドレスに送信されるトラフィックのレートを制限する必要があります。グローバルサービスポリシーに接続制限ルールを追加できます。この手順では、デフォルトのグローバルポリシー（global_policy）への追加を示します。

手順

ステップ 1

ループバックインターフェイス IP アドレスへのトラフィックを識別するアクセスリストを作成します。

access-list name extended permit ip any host loopback_ip

ループバックインターフェイス IP アドレスごとに ACE を作成します。any の代わりに送信元 IP アドレスを指定して、このアクセスリストを絞り込むこともできます。

例:


ciscoasa(config)# access-list loop extended permit ip any host 10.1.1.1
ciscoasa(config)# access-list loop extended permit ip any host 10.2.1.1

ステップ 2

アクセスリストを識別するクラスマップを作成します。

class-map name

match access-list acl_name

例:


ciscoasa(config)# class-map rate-limit-loopback
ciscoasa(config-cmap)# match access-list loop

ステップ 3

グローバルポリシーマップの一部として、最大接続数および最大初期接続数をクラスマップに適用します。

policy-map global_policy

class class_map_name

set connection conn-max conns embryonic-conn-max conns

最大接続数をループバックインターフェイスの予期される接続数に設定し、初期接続数をより低い数に設定します。予期される必要なループバックインターフェイスセッション数に応じて、たとえば、5/2、10/5、または 1024/512 に設定できます。

初期接続制限を設定すると TCP 代行受信が有効になります。この代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃からシステムを保護します。

例:


ciscoasa(config-cmap)# policy-map global_policy
ciscoasa(config-pmap)# class rate-limit-loopback
ciscoasa(config-pmap-c)# set connection conn-max 5 embryonic-conn-max 2

例

次の例では、2 つのループバックインターフェイス（10.1.1.1 と 10.2.1.1）に送信されるすべてのトラフィックに適用されるデフォルトグローバルポリシーの最大接続数と初期接続数を 10 と 5 に設定します。



ciscoasa(config)# interface loopback 1
ciscoasa(config-if)# ip address 10.1.1.1 255.255.255.0
ciscoasa(config-if)# nameif loop1
ciscoasa(config-if)# interface loopback 2
ciscoasa(config-if)# ip address 10.2.1.1 255.255.255.0
ciscoasa(config-if)# nameif loop2
ciscoasa(config-if)# access-list loop extended permit ip any host 10.1.1.1
ciscoasa(config)# access-list loop extended permit ip any host 10.2.1.1
ciscoasa(config)# class-map CONNS
ciscoasa(config-cmap)# match access-list loop
ciscoasa(config-cmap)# policy-map global_policy
ciscoasa(config-pmap)# class CONNS
ciscoasa(config-pmap-c)# set connection conn-max 10 embryonic-conn-max 5

ループバックインターフェイスのモニタリング

次のコマンドを参照してください。

show interface

インターフェイス統計情報を表示します。
show interface ip brief

インターフェイスの IP アドレスとステータスを表示します。

ループバックインターフェイスの履歴

表 1. ループバックインターフェイスの履歴
機能名	バージョン	機能情報
DNS、HTTP、ICMP、IPsec フローオフロードのループバックインターフェイスのサポート	9.20(1)	ループバックインターフェイスを追加して、以下に使用できるようになりました。 DNS HTTP ICMP IPsec フローのオフロード
VTI のループバックインターフェイスサポート	9.19(1)	ループバックインターフェイスは、静的および動的 VTI VPN トンネルの冗長性を提供します。ループバックインターフェイスを VTI の送信元インターフェイスとして設定できるようになりました。VTI インターフェイスは、静的に設定された IP アドレスの代わりに、ループバックインターフェイスの IP アドレスを継承することもできます。ループバックインターフェイスは、パス障害の克服に役立ちます。インターフェイスがダウンした場合、ループバックインターフェイスの IP アドレスを使用してすべてのインターフェイスにアクセスできます。新規/変更されたコマンド：tunnel source interface 、ip unnumbered 、ipv6 unnumbered
ループバックインターフェイスのサポート	9.18(2)	ループバックインターフェイスを追加して、以下に使用できるようになりました。 BGP AAA SNMP Syslog SSH Telnet 新規/変更されたコマンド：interface loopback 、logging host 、neighbor update-source 、snmp-server host 、ssh 、telnet

このドキュメントは役に立ちましたか?

フィードバック

シスコに問い合わせ

サポートケースをオープン
(シスコサービス契約が必要です。)

CLI ブック 1：Cisco Secure Firewall ASA シリーズ 9.23 CLI コンフィギュレーション ガイド（一般的な操作）

偏向のない言語

翻訳について

検索結果

章のタイトル： ループバック インターフェイス

ループバック インターフェイス

ループバック インターフェイスについて

ループバック インターフェイスの概要

フェールオーバー とクラスタリング

コンテキスト モード