Cisco ASA 1000V CLI コンフィギュレーション for ASDM モード ASA 1000V 用ソフトウェア バージョン 8.7
アドレス、プロトコル、およびポート
アドレス、プロトコル、およびポート
発行日;2012/12/18 | 英語版ドキュメント(2012/08/21 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

アドレス、プロトコル、およびポート

IPv4 アドレスとサブネット マスク

クラス

プライベート ネットワーク

サブネット マスク

サブネット マスクの判別

サブネット マスクで使用するアドレスの判別

プロトコルとアプリケーション

TCP ポートと UDP ポート

ローカル ポートとプロトコル

ICMP タイプ

アドレス、プロトコル、およびポート

この付録では、IP アドレス、プロトコル、およびアプリケーションのクイック リファレンスを提供します。この付録では、次の項目について説明します。

「IPv4 アドレスとサブネット マスク」

「プロトコルとアプリケーション」

「TCP ポートと UDP ポート」

「ローカル ポートとプロトコル」

「ICMP タイプ」

IPv4 アドレスとサブネット マスク

この項では、ASA 1000Vで IPv4 アドレスを使用する方法について説明します。IPv4 アドレスはドット付き 10 進数表記の 32 ビットの数値であり、バイナリから 10 進数に変換されドットで区切られた 4 つの 8 ビット フィールド(オクテット)で構成されます。IP アドレスの最初の部分はホストが常駐するネットワークを示し、2 番目の部分は所定のネットワーク上の特定のホストを示します。ネットワーク番号フィールドは、ネットワーク プレフィックスと呼ばれます。所定のネットワーク上のホストはすべて、同じネットワーク プレフィックスを共有しますが、固有のホスト番号を持つ必要があります。クラスフル IP では、アドレスのクラスがネットワーク プレフィックスとホスト番号の間の境界を決定します。

この項は、次の内容で構成されています。

「クラス」

「プライベート ネットワーク」

「サブネット マスク」

クラス

IP ホスト アドレスは、Class A、Class B、および Class C の 3 つの異なるアドレス クラスに分割されます。各クラスは、32 ビット アドレス内の異なるポイントで、ネットワーク プレフィックスとホスト番号の間の境界を修正します。Class D アドレスは、マルチキャスト IP 用に予約されています。

Class A アドレス(1.xxx.xxx.xxx ~ 126.xxx.xxx.xxx)は、最初のオクテットだけをネットワーク プレフィックスとして使用します。

Class B アドレス(128.0.xxx.xxx ~ 191.255.xxx.xxx)は、最初の 2 つのオクテットをネットワーク プレフィックスとして使用します。

Class C アドレス(192.0.0.xxx ~ 223.255.255.xxx)は、最初の 3 つのオクテットをネットワーク プレフィックスとして使用します。

Class A アドレスには 16,777,214 個のホスト アドレス、Class B アドレスには 65,534 個のホストがあるので、サブネット マスクを使用してこれらの膨大なネットワークを小さいサブネットに分割することができます。

プライベート ネットワーク

ネットワーク上に多数のアドレスが必要な場合、それらをインターネットでルーティングする必要がないときは、Internet Assigned Numbers Authority(IANA; インターネット割り当て番号局)が推奨するプライベート IP アドレスを使用できます(RFC 1918 を参照)。次のアドレス範囲が、アドバタイズされないプライベート ネットワークとして指定されています。

10.0.0.0 ~ 10.255.255.255

172.16.0.0 ~ 172.31.255.255

192.168.0.0 ~ 192.168.255.255

サブネット マスク

サブネット マスクを使用すると、単一の Class A、B、または C ネットワークを複数のネットワークに変換できます。サブネット マスクを使用して、ホスト番号からネットワーク プレフィックスにビットを追加する拡張ネットワーク プレフィックスを作成することができます。たとえば、Class C ネットワーク プレフィックスは常に、IP アドレスの最初の 3 つのオクテットで構成されます。一方、Class C 拡張ネットワーク プレフィックスは、4 番目のオクテットの一部も使用します。

ドット付き 10 進数の代わりにバイナリ表記を使用している場合は、サブネット マスクを容易に理解できます。サブネット マスク内のビットには、インターネット アドレスとの 1 対 1 の対応関係があります。

IP アドレス内の対応するビットが拡張ネットワーク プレフィックスの一部である場合、ビットは 1 に設定されます。

ビットがホスト番号の一部である場合、ビットは 0 に設定されます。

例 1: Class B アドレスが 129.10.0.0 の場合に 3 番目のオクテット全体をホスト番号ではなく拡張ネットワーク プレフィックスとして使用するには、サブネット マスクとして 11111111.11111111.11111111.00000000 を指定する必要があります。このサブネット マスクによって、Class B アドレスは、ホスト番号が最後のオクテットだけで構成される Class C アドレスに相当するものに変換されます。

例 2: 3 番目のオクテットの一部だけを拡張ネットワーク プレフィックスに使用する場合は、11111111.11111111.11111000.00000000 のようなサブネット マスクを指定する必要があります。ここでは、3 番目のオクテットのうち 5 ビットだけが拡張ネットワーク プレフィックスに使用されます。

サブネット マスクは、ドット付き 10 進数マスクまたは / ビット (「スラッシュ ビット 」)マスクとして記述できます。例 1 では、ドット付き 10 進数マスクに対して、各バイナリ オクテットを 10 進数の 255.255.255.0 に変換します。/ ビット マスクの場合は、1s: /24 の数値を追加します。例 2 では、10 進数は 255.255.248.0 で、/ビットは /21 です。

3 番目のオクテットの一部を拡張ネットワーク プレフィックスに使用して、複数の Class C ネットワークを大規模なネットワークにスーパーネット化することもできます。たとえば、192.168.0.0/20 と入力できます。

この項は、次の内容で構成されています。

「サブネット マスクの判別」

「サブネット マスクで使用するアドレスの判別」

サブネット マスクの判別

必要なホストの数に基づいてサブネット マスクを判別するには、 表 B-1 を参照してください。

 

表 B-1 ホスト、ビット、およびドット付き 10 進数マスク

ホスト1
/ビット マスク
ドット付き 10 進数マスク

16,777,216

/8

255.0.0.0 Class A ネットワーク

65,536

/16

255.255.0.0 Class B ネットワーク

32,768

/17

255.255.128.0

16,384

/18

255.255.192.0

8192

/19

255.255.224.0

4096

/20

255.255.240.0

2048

/21

255.255.248.0

1024

/22

255.255.252.0

512

/23

255.255.254.0

256

/24

255.255.255.0 Class C ネットワーク

128

/25

255.255.255.128

64

/26

255.255.255.192

32

/27

255.255.255.224

16

/28

255.255.255.240

8

/29

255.255.255.248

4

/30

255.255.255.252

使用不可

/31

255.255.255.254

1

/32

255.255.255.255 単一ホスト アドレス

1.単一のホストを示す /32 を除き、サブネットの最初と最後の数は予約されています。

サブネット マスクで使用するアドレスの判別

次の各項では、Class C サイズおよび Class B サイズのネットワークに対してサブネット マスクで使用するネットワーク アドレスを判別する方法について説明します。この項は、次の内容で構成されています。

「Class C サイズのネットワーク アドレス」

「Class B サイズのネットワーク アドレス」

Class C サイズのネットワーク アドレス

2 ~ 254 のホストを持つネットワークの場合、4 番目のオクテットは、0 から始まるホスト アドレスの数の倍数になります。たとえば、 表 B-2 は、8 つのホストを持つサブネット(/29)、192.168.0.x. を示します。

 

表 B-2 Class C サイズのネットワーク アドレス

マスク /29(255.255.255.248)でのサブネット
アドレス範囲 2

192.168.0.0

192.168.0.0 ~ 192.168.0.7

192.168.0.8

192.168.0.8 ~ 192.168.0.15

192.168.0.16

192.168.0.16 ~ 192.168.0.31

--

--

192.168.0.248

192.168.0.248 ~ 192.168.0.255

2.サブネットの最初と最後のアドレスは予約されています。最初のサブネットの例では、192.168.0.0 と 192.168.0.7 は使用できません。

 

Class B サイズのネットワーク アドレス

254 ~ 65,534 のホストを持つネットワークのサブネット マスクで使用するネットワーク アドレスを判別するには、可能な拡張ネットワーク プレフィックスそれぞれについて 3 番目のオクテットの値を判別する必要があります。たとえば、10.1. x .0 のようなアドレスをサブネット化することができます。ここで、最初の 2 つのオクテットは拡張ネットワーク プレフィックスで使用されるため固定されています。4 番目のオクテットは、すべてのビットがホスト番号に使用されるため、0 です。

3 番目のオクテットの値を判別するには、次の手順を実行します。


ステップ 1 65,536(3 番目と 4 番目のオクテットを使用するアドレスの合計)を必要なホスト アドレスの数で割って、ネットワークから作成できるサブネットの数を計算します。

たとえば、65,536 を 4096 のホストで割ると、16 になります。

したがって、Class B サイズのネットワークでは、それぞれ 4096 個のアドレスを持つサブネットが 16 個できます。

ステップ 2 256(3 番目のオクテットの値の数)をサブネットの数で割って、3 番目のオクテット値の倍数を判別します。

この例では、256/16 = 16 です。

3 番目のオクテットは、0 から始まる 16 の倍数になります。

そのため、 表 B-3 に、ネットワーク 10.1 の 16 個のサブネットを示します。

 

表 B-3 ネットワークのサブネット

マスク /20(255.255.240.0)でのサブネット
アドレス範囲 3

10.1.0.0

10.1.0.0 ~ 10.1.15.255

10.1.16.0

10.1.16.0 ~ 10.1.31.255

10.1.32.0

10.1.32.0 ~ 10.1.47.255

--

--

10.1.240.0

10.1.240.0 ~ 10.1.255.255

3.サブネットの最初と最後のアドレスは予約されています。最初のサブネットの例では、10.1.0.0 と 10.1.15.255 は使用できません。


 

プロトコルとアプリケーション

表 B-4 に、プロトコルのリテラル値とポート番号を示します。いずれもASA 1000Vのコマンドで入力できます。

 

表 B-4 プロトコルのリテラル値

リテラル
説明

gre

47

総称ルーティング カプセル化。

icmp

1

インターネット制御メッセージ プロトコル(RPC 792)。

igmp

2

インターネット グループ管理プロトコル(RFC 1112)。

igrp

9

Interior Gateway Routing Protocol。

ip

0

インターネット プロトコル。

ipinip

4

IP-in-IP カプセル化。

ipsec

50

IP セキュリティ。ipsec プロトコル リテラルを入力すると、esp プロトコル リテラルを入力した場合と同じ結果が得られます。

nos

94

ネットワーク OS(Novell の NetWare)。

pcp

108

ペイロード圧縮プロトコル。

pptp

47

ポイントツーポイント トンネリング プロトコル。pptp プロトコル リテラルを入力すると、gre プロトコル リテラルを入力した場合と同じ結果が得られます。

snp

109

Sitara Networks Protocol。

tcp

6

伝送制御プロトコル(RFC 793)。

udp

17

ユーザ データグラム プロトコル(RFC 768)。

プロトコル番号は、次の IANA Web サイトで確認できます。

http://www.iana.org/assignments/protocol-numbers

TCP ポートと UDP ポート

表 B-5 に、リテラル値とポート番号を示します。いずれもASA 1000Vのコマンドで入力できます。次の警告を参照してください。

ASA 1000Vは、SQL*Net 用にポート 1521 を使用します。これは、Oracle が SQL*Net に使用するデフォルトのポートです。ただし、この値は IANA ポート割り当てとは一致しません。

ASA 1000Vは、ポート 1645 と 1646 で RADIUS をリスンしています。RADIUS サーバが標準ポート 1812 と 1813 を使用している場合は、 authentication-port コマンドと accounting-port コマンドを使用して、それらのポートでリスンするようにASA 1000Vを設定できます。

DNS アクセスにポートを割り当てるには、 dns ではなく domain リテラル値を使用します。 dns を使用した場合、ASA 1000Vでは、 dnsix リテラル値を使用すると見なされます。

ポート番号は、次の URL で IANA の Web サイトにアクセスしてオンラインで参照できます。

http://www.iana.org/assignments/port-numbers

 

表 B-5 ポートのリテラル値

リテラル
TCP または UDP?
説明

aol

TCP

5190

America Online

bgp

TCP

179

ボーダー ゲートウェイ プロトコル(RFC 1163)

biff

UDP

512

新しいメールの受信をユーザに通知するために、メール システムが使用

bootpc

UDP

68

ブートストラップ プロトコル クライアント

bootps

UDP

67

ブートストラップ プロトコル サーバ

chargen

TCP

/19

キャラクタ ジェネレータ

citrix-ica

TCP

1494

Citrix Independent Computing Architecture(ICA)プロトコル

cmd

TCP

514

cmd は自動認証機能がある点を除いて、exec と同様

ctiqbe

TCP

2748

Computer Telephony Interface Quick Buffer Encoding

daytime

TCP

13

Day time(日時)(RFC 867)

discard

TCP、UDP

9

Discard

domain

TCP、UDP

53

DNS

dnsix

UDP

195

DNSIX Session Management Module Audit Redirector

echo

TCP、UDP

7

エコー

exec

TCP

512

リモート プロセスの実行

finger

TCP

79

Finger

ftp

TCP

21

ファイル転送プロトコル(コンソール ポート)

ftp-data

TCP

20

ファイル転送プロトコル(データ ポート)

gopher

TCP

70

Gopher

https

TCP

443

HTTP over SSL

h323

TCP

1720

H.323 コール シグナリング

hostname

TCP

101

NIC ホスト ネーム サーバ

ident

TCP

113

ID 認証サービス

imap4

TCP

143

Internet Message Access Protocol バージョン 4

irc

TCP

194

インターネット リレー チャット プロトコル

isakmp

UDP

500

Internet Security Association and Key Management Protocol

kerberos

TCP、UDP

750

Kerberos

klogin

TCP

543

KLOGIN

kshell

TCP

544

Korn シェル

ldap

TCP

389

Lightweight Directory Access Protocol

ldaps

TCP

636

ライトウェイト ディレクトリ アクセス プロトコル(SSL)

lpd

TCP

515

ライン プリンタ デーモン(プリンタ スプーラー)

login

TCP

513

リモート ログイン

lotusnotes

TCP

1352

IBM Lotus Notes

mobile-ip

UDP

434

モバイル IP エージェント

nameserver

UDP

42

ホスト ネーム サーバ

netbios-ns

UDP

137

NetBIOS ネーム サービス

netbios-dgm

UDP

138

NetBIOS データグラム サービス

netbios-ssn

TCP

139

NetBIOS セッション サービス

nntp

TCP

119

Network News Transfer Protocol

ntp

UDP

123

ネットワーク タイム プロトコル

pcanywhere-status

UDP

5632

pcAnywhere ステータス

pcanywhere-data

TCP

5631

pcAnywhere データ

pim-auto-rp

TCP、UDP

496

Protocol Independent Multicast、逆パス フラッド、デンス モード

pop2

TCP

109

Post Office Protocol(POP)Version 2

pop3

TCP

110

Post Office Protocol(POP)Version 3

pptp

TCP

1723

ポイントツーポイント トンネリング プロトコル

radius

UDP

1645

リモート認証ダイヤルイン ユーザ サービス

radius-acct

UDP

1646

リモート認証ダイヤルイン ユーザ サービス(アカウンティング)

rip

UDP

520

Routing Information Protocol

secureid-udp

UDP

5510

SecureID over UDP

smtp

TCP

25

シンプル メール転送プロトコル

snmp

UDP

161

簡易ネットワーク管理プロトコル

snmptrap

UDP

162

簡易ネットワーク管理プロトコル(トラップ)

sqlnet

TCP

1521

構造化照会言語ネットワーク

ssh

TCP

22

セキュア シェル

sunrpc (rpc)

TCP、UDP

111

Sun Remote Procedure Call

syslog

UDP

514

システム ログ

tacacs

TCP、UDP

49

Terminal Access Controller Access Control System Plus

talk

TCP、UDP

517

Talk

telnet

TCP

23

Telnet(RFC 854)

tftp

UDP

69

簡易ファイル転送プロトコル

time

UDP

37

Time

uucp

TCP

540

UNIX 間コピー プログラム

who

UDP

513

Who

whois

TCP

43

Who Is

www

TCP

80

ワールドワイド ウェブ

xdmcp

UDP

177

X Display Manager Control Protocol

ローカル ポートとプロトコル

表 B-6 に、ASA 1000Vに向かうトラフィックを処理するためにASA 1000Vが開くプロトコル、TCP ポート、および UDP ポートを示します。 表 B-6 に記載されている機能とサービスをイネーブルにしない限り、ASA 1000Vは、TCP または UDP ポートでローカル プロトコルを 開きません 。ASA 1000Vがデフォルトのリスニング プロトコルまたはポートを開くように機能またはサービスを設定する必要があります。多くの場合、機能またはサービスをイネーブルにすると、デフォルト ポート以外のポートを設定できます。

 

表 B-6 機能とサービスによって開かれるプロトコルとポート

機能またはサービス
プロトコル
ポート番号
コメント

DHCP

UDP

67、68

--

フェールオーバー制御

105

該当なし

--

HTTP

TCP

80

--

HTTPS

TCP

443

--

ICMP

1

該当なし

--

IGMP

2

該当なし

プロトコルは宛先 IP アドレス 224.0.0.1 でだけ開かれます

ISAKMP/IKE

UDP

500

設定可能。

IPsec(ESP)

50

該当なし

--

IPsec over UDP (NAT-T)

UDP

4500

--

IPSec over UDP

UDP

10000

設定可能。

IPsec over TCP (CTCP)

TCP

--

デフォルト ポートは使用されません。IPsec over TCP の設定時にポート番号を指定する必要があります。

NTP

UDP

123

--

SNMP

UDP

161

設定可能。

SSH

TCP

22

--

ステートフル アップデート

8(非セキュア)9(セキュア)

該当なし

--

Telnet

TCP

23

--

VPN 個別ユーザ認証プロキシ

UDP

1645、1646

ポートは VPN トンネルでだけアクセスできます。

ICMP タイプ

表 B-7 に、ASA 1000V のコマンドで入力できる ICMP タイプの番号と名前を示します。

 

表 B-7 ICMP タイプ

ICMP 番号
ICMP 名

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

31

conversion-error

32

mobile-redirect