VLAN サブインターフェイス

この章では、VLAN サブインターフェイスを設定する方法について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。システム実行スペースに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイス IPアドレスの下にある [System] をダブルクリックします

VLAN サブインターフェイスについて

VLAN サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたは ASA を追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチ コンテキスト モードで特に便利です。

VLAN サブインターフェイスのライセンス

モデル

ライセンス要件

Firepower 9300

標準ライセンス:1024

ASAv5

標準ライセンス:25

ASAv10

標準ライセンス:50

ASAv30

標準ライセンス:200

ASA 5506-X



ASA 5506W-X

ASA 5506H-X

基本ライセンス:5

Security Plus ライセンス:30

ASA 5508-X

基本ライセンス:50

ASA 5512-X

基本ライセンス:50

Security Plus ライセンス:100

ASA 5515-X

基本ライセンス:100

ASA 5516-X

基本ライセンス:50

ASA 5525-X

基本ライセンス:200

ASA 5545-X

基本ライセンス:300

ASA 5555-X

基本ライセンス:500

ASA 5585-X

基本ライセンスと Security Plus ライセンス:1024

ASASM

サポートしない

ISA 3000

基本ライセンス:5

Security Plus ライセンス:25


(注)  

VLAN 制限の対象としてカウントするインターフェイスに、VLAN を割り当てます。

VLAN サブインターフェイスのガイドラインと制限事項

モデルのサポート

  • ASASM:VLAN サブインターフェイスは、ASASM ではサポートされません。ASASM のインターフェイスは、すでにスイッチから割り当てられた VLAN インターフェイスです。

その他のガイドライン

  • 物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイス ペアのアクティブな物理インターフェイスと EtherChannel リンクにも当てはまります。トラフィックがサブ インターフェイスを通過するには、物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスがイネーブルになっている必要があるため、トラフィックが物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを通過しないように、インターフェイスには名前を設定しないでください。物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスでタグのないパケットを通過させる場合は、通常通り name コマンドを設定できます。

  • 多くのモデルでは、管理インターフェイスのサブインターフェイスを設定できません。サブインターフェイスのサポートについては、管理スロット/ポート インターフェイスを参照してください。

  • ASA は Dynamic Trunking Protocol(DTP)をサポートしていないため、接続されているスイッチポートを無条件にトランキングするように設定する必要があります。

  • 親インターフェイスの同じ Burned-In MAC Address を使用するので、ASA で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス コントロールを実行する場合があります。また、IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になり、ASA で特定のインスタンスでのトラフィックの中断を避けることができます。

VLAN サブインターフェイスのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • VLAN サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスに追加します。

始める前に

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順

ステップ 1

コンテキスト モードによって次のように異なります。

  • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。

  • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2

[Add] > [Interface] の順に選択します。

[Add Interface] ダイアログボックスが表示されます。

(注)   

シングル モードの場合、この手順で対象としているのは [Edit Interface] ダイアログボックスのパラメータのサブセットのみであるため、他のパラメータを設定する場合は、ルーテッド モード インターフェイスとトランスペアレント モード インターフェイスを参照してください。マルチ コンテキスト モードでは、インターフェイスの設定を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。マルチ コンテキストの設定を参照してください。

ステップ 3

[Hardware Port] ドロップダウンリストから、サブインターフェイスを追加する物理インターフェイス、冗長インターフェイス、またはポートチャネル インターフェイスを選択します。

ステップ 4

インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

インターフェイスはデフォルトでイネーブルになっています。

ステップ 5

[VLAN ID] フィールドに、1 ~ 4094 の VLAN ID を入力します。

VLAN ID には、接続されているスイッチで予約されているものがあります。詳細については、スイッチのマニュアルを参照してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でしか設定できません。

ステップ 6

[Subinterface ID] フィールドに、サブインターフェイス ID を 1 ~ 4294967293 の整数で入力します。

許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。

ステップ 7

(オプション)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、または「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 8

[OK] をクリックします。

[Interfaces] ペインに戻ります。

VLAN のサブインターフェイスの例

次に、シングル モードでサブインターフェイスのパラメータを設定する例を示します。 


interface gigabitethernet 0/1
  no nameif
  no security-level
  no ip address
  no shutdown
interface gigabitethernet 0/1.1
  vlan 101
  nameif inside
  security-level 100
  ip address 192.168.6.6 255.255.255.0
  no shutdown

VLAN サブインターフェイスの履歴

表 1. VLAN サブインターフェイスの履歴

機能名

バージョン

機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

  • ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

  • ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

  • ASA 5520 の VLAN 数が 25 から 100 に増えました。

  • ASA 5540 の VLAN 数が 100 から 200 に増えました。

VLAN 数の増加

7.2(2)

VLAN の制限値が変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。