Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
インターフェイス コンフィギュレーションの開始(ASA 5510 以降)
発行日;2013/10/29 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

ASA 5510 以降のインターフェイス コンフィギュレーションの開始に関する情報

Auto-MDI/MDIX 機能

トランスペアレント モードのインターフェイス

管理インターフェイス

管理インターフェイスの概要

管理スロット/ポート インターフェイス

管理専用トラフィックに対する任意のインターフェイスの使用

トランスペアレント モードの管理インターフェイス

冗長管理インターフェイスでのサポートなし

ASA 5512-X ~ ASA 5555-X の Management 0/0 インターフェイス

冗長インターフェイス

冗長インターフェイスの MAC アドレス

EtherChannel

チャネル グループのインターフェイス

別のデバイスの EtherChannel への接続

リンク集約制御プロトコル

ロード バランシング

EtherChannel MAC アドレス

最大伝送単位および TCP 最大セグメント サイズのフラグメンテーションの制御

MTU の概要

デフォルト MTU

パス MTU ディスカバリ

MTU とジャンボ フレームの設定

TCP 最大セグメント サイズの概要

デフォルト TCP MSS

VPN および非 VPN トラフィックの TCP MSS の設定

ASA 5510 以降のインターフェイスのライセンス要件

注意事項と制限事項

デフォルト設定

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

インターフェイス コンフィギュレーションを開始するためのタスク フロー

使用中のインターフェイスの冗長インターフェイスまたは EtherChannel インターフェイスへの変換

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

冗長インターフェイスの設定

冗長インターフェイスの設定

アクティブ インターフェイスの変更

EtherChannel の設定

EtherChannel へのインターフェイスの追加

EtherChannel のカスタマイズ

VLAN サブインターフェイスと 802.1Q トランキングの設定

ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)

インターフェイスのモニタリング

ARP Table

MAC Address Table

Interface Graphs

Graph/Table

次の作業

ASA 5510 以降のインターフェイスの機能履歴

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

この章では、ASA 5510 以降のインターフェイス コンフィギュレーションを開始するためのタスクについて説明します。イーサネット設定、冗長インターフェイス、および EtherChannel の設定が含まれています。


) この章の内容が当てはまるのは、ASA 5500 シリーズ アプライアンスのみです。ASASM の場合は、インターフェイス コンフィギュレーションを開始するにはスイッチでスイッチ ポートおよび VLAN を設定してから、に従って VLAN を ASASM に割り当てます。インターフェイス コンフィギュレーションの実行方法については、を参照してください。

ASA 5505 のコンフィギュレーションについては、次を参照してください。

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。まだシステム実行スペースに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

ASA クラスタ インターフェイスについては、特別な要件があるため、を参照してください。


この章の内容は、次のとおりです。

「ASA 5510 以降のインターフェイス コンフィギュレーションの開始に関する情報」

「ASA 5510 以降のインターフェイスのライセンス要件」

「注意事項と制限事項」

「デフォルト設定」

「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」

「インターフェイスのモニタリング」

「次の作業」

「ASA 5510 以降のインターフェイスの機能履歴」

ASA 5510 以降のインターフェイス コンフィギュレーションの開始に関する情報

この項では、次のトピックについて取り上げます。

「Auto-MDI/MDIX 機能」

「トランスペアレント モードのインターフェイス」

「管理インターフェイス」

「冗長インターフェイス」

「EtherChannel」

「最大伝送単位および TCP 最大セグメント サイズのフラグメンテーションの制御」

Auto-MDI/MDIX 機能

ASA 5500 シリーズの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

トランスペアレント モードのインターフェイス

トランスペアレント モードのインターフェイスは、「ブリッジ グループ」に属しています。ブリッジ グループはネットワークごとに 1 つです。コンテキストまたはシングル モードごとに、それぞれ 4 つのインターフェイスからなる最大 8 個のブリッジ グループを設定できます。ブリッジ グループの詳細については、を参照してください。

管理インターフェイスの概要

次のインターフェイスに接続して ASA を管理できます。

任意の通過トラフィック インターフェイス

専用の管理 スロット / ポート インターフェイス(使用しているモデルで使用できる場合)

の説明に従って、管理アクセスへのインターフェイスを設定する必要がある場合があります。

管理 スロット / ポート インターフェイス

表 11-1 に、モデルごとの管理インターフェイスを示します。

 

表 11-1 モデルごとの管理インターフェイス

モデル
通過トラフィックに対して設定可能1
Management 0/02
Management 0/1
Management 1/0
Management 1/1

ASA 5505

N/A

No

No

No

No

ASA 5510

Yes

Yes

No

No

No

ASA 5520

Yes

Yes

No

No

No

ASA 5540

Yes

Yes

No

No

No

ASA 5550

Yes

Yes

No

No

No

ASA 5580

Yes

Yes

Yes

No

No

ASA 5512-X

No

Yes

No

No

No

ASA 5515-X

No

Yes

No

No

No

ASA 5525-X

No

Yes

No

No

No

ASA 5545-X

No

Yes

No

No

No

ASA 5555-X

No

Yes

No

No

No

ASA 5585-X

Yes

Yes

Yes

Yes3

Yes 3

ASASM

N/A

No

No

No

No

1.デフォルトでは、Management 0/0 インターフェイスは管理専用トラフィック用に設定されています。ルーテッド モードでサポートされるモデルの場合、制限を削除してトラフィックを通過させることができます。使用しているモデルに他の管理インターフェイスが含まれている場合、それを通過トラフィックにも使用できます。ただし、管理インターフェイスは通過トラフィックには最適化されていない場合があります。

2.Management 0/0 インターフェイスは、デフォルトの出荷時のコンフィギュレーションの一部として、ASDM アクセス用に設定されています。詳細については、を参照してください。

3.SSP をスロット 1 に設置した場合は、Management 1/0 および 1/1 ではスロット 1 の SSP への管理アクセスのみが提供されます。


) IPS モジュールを設置した場合は、IPS モジュール管理インターフェイスでは、IPS モジュールの管理アクセスのみが提供されます。ASA 5512-X ~ ASA 5555-X では、IPS SSP ソフトウェア モジュールによって ASA と同じ物理的な Management 0/0 インターフェイスが使用されます。


管理専用トラフィックに対する任意のインターフェイスの使用

管理トラフィック用に設定することで、任意のインターフェイス(EtherChannel インターフェイスなど)を管理専用インターフェイスとして使用できます。

トランスペアレント モードの管理インターフェイス

トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)、管理インターフェイスからなる EtherChannel インターフェイス(複数の管理インターフェイスがある場合)のいずれか)を個別の管理インターフェイスとして使用できます。他のインターフェイス タイプは管理インターフェイスとして使用できません。

使用しているモデルに管理インターフェイスが含まれていない場合は、データ インターフェイスからトランスペアレント ファイアウォールを管理する必要があります。

マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。コンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。ASA 5512-X ~ ASA 5555-X では、管理インターフェイスのサブインターフェイスは許可されないので、コンテキスト単位で管理を行うには、データ インターフェイスに接続する必要があります。

8.4(1)以降では、管理インターフェイスは通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。


) トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Cisco Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASAによって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルがASAによって再アップデートされることはありません。


冗長管理インターフェイスでのサポートなし

冗長インターフェイスは、管理 スロット / ポート インターフェイスをメンバとしてサポートしません。また、管理以外のインターフェイスで構成される冗長インターフェイスを、管理専用として設定することはできません。

ASA 5512-X ~ ASA 5555-X の Management 0/0 インターフェイス

ASA 5512-X ~ ASA 5555-X の Management 0/0 インターフェイスには、次の特性があります。

通過トラフィックはサポートされません。

サブインターフェイスはサポートされません

プライオリティ キューはサポートされません

マルチキャスト MAC はサポートされません

IPS SSP ソフトウェア モジュールによって Management 0/0 インターフェイスは共有されます。ASA と IPS モジュールのそれぞれに別の MAC アドレスと IP アドレスがサポートされます。IPS オペレーティング システムで IPS の IP アドレスのコンフィギュレーションを実行する必要があります。ただし、物理特性(インターフェイスのイネーブル化など)は、ASA 上で設定されます。

冗長インターフェイス

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はデバイスレベルのフェールオーバーとともに冗長インターフェイスも設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスは、最初に追加された物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに MAC アドレスを割り当てることができます。これはメンバ インターフェイスの MAC アドレスに関係なく使用されます(または を参照)。アクティブ インターフェイスがスタンバイ インターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

最大 48 個の EtherChannel を設定できます。

この項では、次のトピックについて取り上げます。

「チャネル グループのインターフェイス」

「別のデバイスの EtherChannel への接続」

「リンク集約制御プロトコル」

「ロード バランシング」

「EtherChannel MAC アドレス」

チャネル グループのインターフェイス

チャネル グループ 1 つにつき 8 個のインターフェイスをアクティブにすることができます。1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。ポートは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、専用のハッシュ アルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

ASA EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチに接続できます。

スイッチが仮想スイッチング システム(VSS)の一部である場合、同じ EtherChannel 内の ASA インターフェイスを VSS 内の個別のスイッチに接続できます。個別のスイッチは単一のスイッチのように動作するため、スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです(図 11-1 を参照)。

図 11-1 VSS への接続

 

ASA をアクティブ/スタンバイ フェールオーバー配置で使用する場合、ASA ごとに 1 つ、VSS 内のスイッチで個別の EtherChannel を作成する必要があります(図 11-1 を参照)。各 ASA で、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチ インターフェイスを両方の ASA に接続する単一の EtherChannel にグループ化できる場合でも(この場合、個別の ASA システム ID のため、EtherChannel は確立されません)、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ ASA に送信しないようにするためです。

図 11-2 アクティブ/スタンバイ フェールオーバーと VSS

 

リンク集約制御プロトコル

リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

アクティブ:LACP 更新を送受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

パッシブ:LACP 更新を受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。

オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロード バランシング

ASA は、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します(この基準は設定可能です。「EtherChannel のカスタマイズ」を参照してください)。ハッシュ結果は 3 ビットの値(0 ~ 7)です。

8 個のハッシュ結果値は、チャネル グループのインターフェイス間でラウンドロビン方式で分散されます。最も小さい ID(スロット/ポート)のインターフェイスから開始されます。たとえば、ハッシュ結果が 0 のすべてのパケットは GigabitEthernet 0/0 に、ハッシュ結果が 1 のパケットは GigabitEthernet 0/1 に、ハッシュ結果が 2 のパケットは GigabitEthernet 0/2 に、というように送られます。

EtherChannel 内のアクティブ インターフェイスの数に関係なく 8 個のハッシュ結果値があるため、アクティブ インターフェイスの数によっては、パケットが均等に分散されない場合があります。

表 11-2 に、各アクティブ インターフェイス数について、インターフェイスごとのロード バランシング量を示します。 太字 のアクティブ インターフェイスは均等に分散されています。

 

表 11-2 インターフェイスごとの負荷分散

アクティブ インターフェイス数
インターフェイスごとの分散 %
1
2
3
4
5
6
7
8

1

100 %

--

--

--

--

--

--

--

2

50 %

50 %

--

--

--

--

--

--

3

37.5%

37.5%

25 %

--

--

--

--

--

4

25 %

25 %

25 %

25 %

--

--

--

--

5

25 %

25 %

25 %

12.5 %

12.5 %

--

--

--

6

25 %

25 %

12.5 %

12.5 %

12.5 %

12.5 %

--

--

7

25 %

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

--

8

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

12.5 %

アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対してトランスペアレントになります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

ポート チャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポート チャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。マルチ コンテキスト モードでは、EtherChannel ポート インターフェイスを含め、固有の MAC アドレスをインターフェイスに自動的に割り当てることができます。グループ チャネル インターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを手動で設定するか、またはマルチ コンテキスト モードで自動的に設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

MTU の概要

Maximum Transmission Unit (MTU) は、ASAが特定のイーサネット インターフェイスで送信する最大フレーム ペイロード サイズ(イーサネット ヘッダーを含まず)を指定します。出力 IP パケットを指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは送信先(場合によっては中継先)で組立て直されますが、フラグメント化はパフォーマンス低下の原因となります。したがってフラグメント化を避けるために、IP パケットを MTU サイズ以内におさめる必要があります。


) ASAはメモリに空きがある限り、設定された MTU よりも大きいフレームを受信します。大きなフレームに対応するためのメモリの増設については、「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」を参照してください。


デフォルト MTU

ASAのデフォルト MTU は、1500 バイトです。この値には、イーサネット ヘッダー、CRC、VLAN タギングなどのための 18 バイト以上は含まれません。

パス MTU ディスカバリ

ASAは、Path MTU Discovery(RFC 1191 の定義に従う)をサポートします。つまり、2 台のホスト間のネットワーク パス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU を標準化が可能です。

MTU とジャンボ フレームの設定

を参照してください。マルチ コンテキスト モードでは、各コンテキスト内で MTU を設定します。

「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」を参照してください。マルチ コンテキスト モードの場合、システム実行スペースでジャンボ フレーム サポートを設定します。

次のガイドラインを参照してください。

トラフィック パスの MTU の一致:すべてのASAインターフェイスとトラフィック パスが同じその他のデバイスのインターフェイスに MTU を設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。

ジャンボ フレーム対応:モデルがジャンボ フレームをサポートしている場合は、MTU を 9216 バイトまで設定できます。

TCP 最大セグメント サイズの概要

TCP Maximum Segment Size(MSS TCP)とは、あらゆる TCP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイ ハンドシェイク中に、クライアントとサーバは TCP MSS 値を交換します。

ASAの TCP MSS を設定することもできます。いずれかのエンドポイント接続がASAの値のセットよりも大きな TCP MSS を要求した場合、ASAは要求パケットの TCP MSS を最大ASAで上書きします。ホストまたはサーバが TCP MSS を要求しない場合、ASAは RFC 793 のデフォルト値 536 バイトを想定しますが、パケットは変更しません。TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、ASAは値を調整します。デフォルトでは、最小 TCP MSS はイネーブルではありません。

たとえば、デフォルトの MTU を 1500 バイトに設定します。ホストが 1700 の MSS を要求します。最大ASA TCP MSS が 1380 の場合は、ASA は TCP 要求パケットの MSS 値を 1380 に変更します。サーバは、1380 バイトのパケットを送信します。

デフォルト TCP MSS

デフォルトでは、ASAの最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトを追加できる VPN 接続に対応しています。この値は、デフォルト MTU の 1500 バイト内にもおさまっています。

VPN および非 VPN トラフィックの TCP MSS の設定

を参照してください。マルチ コンテキスト モードでは、各コンテキスト内で TCP MSS を設定します。

次のガイドラインを参照してください。

非 VPN トラフィック:VPN を使用せず、ヘッダーのための余分な領域を必要としない場合、TCP MSS 制限をディセーブルにし、接続エンドポイント間に確立された値を受け入れる必要があります。通常接続エンドポイントは MTU から TCP MSS を取得するため、非 VPN パケットは通常この TCP MSS を満たしています。

VPN トラフィック:最大 TCP MSS を MTU 120 に設定します。たとえば、ジャンボ フレームを使用しており、MTU の値を高めに設定すると、TCP MSS も MTU に合わせて設定する必要があります。

ASA 5510 以降のインターフェイスのライセンス要件

 

モデル
ライセンス要件

ASA 5510

VLAN4

基本ライセンス:50

Security Plus ライセンス:100

インターフェイス速度:

基本ライセンス:すべてのインターフェイスがファスト イーサネット。

Security Plus ライセンス:Ethernet 0/0 および 0/1:ギガビット イーサネット、その他すべてはファスト イーサネット。

すべての種類のインターフェイス5

基本ライセンス:364

Security Plus ライセンス:564

ASA 5520

VLAN1

基本ライセンス:150

すべての種類のインターフェイス2

基本ライセンス:764

ASA 5540

VLAN1

基本ライセンス:200

すべての種類のインターフェイス2

基本ライセンス:964

ASA 5550

VLAN1

基本ライセンス:400

すべての種類のインターフェイス2

基本ライセンス:1764

ASA 5580

VLAN1

基本ライセンス:1024

すべての種類のインターフェイス2

基本ライセンス:4612

ASA 5512-X

VLAN1

基本ライセンス:50

Security Plus ライセンス:100

すべての種類のインターフェイス2

基本ライセンス:716

Security Plus ライセンス:916

ASA 5515-X

VLAN1

基本ライセンス:100

すべての種類のインターフェイス2

基本ライセンス:916

ASA 5525-X

VLAN1

基本ライセンス:200

すべての種類のインターフェイス2

基本ライセンス:1316

ASA 5545-X

VLAN1

基本ライセンス:300

すべての種類のインターフェイス2

基本ライセンス:1716

ASA 5555-X

VLAN1

基本ライセンス:500

すべての種類のインターフェイス2

基本ライセンス:2516

ASA 5585-X

VLAN1

基本ライセンスと Security Plus ライセンス:1024

SSP-10 および SSP-20 のインターフェイス速度:

基本ライセンス:ファイバ インターフェイスの場合 1 ギガビット イーサネット

10 GE I/O ライセンス(Security Plus):ファイバ インターフェイスの場合 10 ギガビット イーサネット

(SSP-40 および SSP-60 は 10 ギガビット イーサネットをデフォルトでサポートします)。

すべての種類のインターフェイス2

基本ライセンスと Security Plus ライセンス:4612

4. VLAN 制限をカウントするインターフェイスには、VLAN を割り当てる必要があります。

5.VLAN、物理、冗長、ブリッジ グループ、および EtherChannel インターフェイスなど、すべてを合わせたインターフェイスの最大数。設定で定義されている各インターフェイスは、この制限に対してカウントされます。

注意事項と制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでは、「インターフェイス コンフィギュレーションの開始(ASA 5510 以降)」に従って、システム実行スペースで物理インターフェイスを設定します。次に、またはに従って、コンテキスト実行スペースで論理インターフェイス パラメータを設定します。

ファイアウォール モードのガイドライン

トランスペアレント モードでは、コンテキストごとに、またはシングル モードのデバイスに対して、最大 8 個のブリッジ グループを設定できます。

各ブリッジ グループは、最大 4 つのインターフェイスを含むことができます。

マルチ コンテキストのトランスペアレント モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

フェールオーバーのガイドライン

冗長インターフェイスまたは EtherChannel インターフェイスをフェールオーバー リンクとして使用する場合、フェールオーバー ペアの両方の装置でその事前設定を行う必要があります。プライマリ装置で設定し、セカンダリ装置に複製されることは想定できません。これは、 複製にはフェールオーバー リンク自体が必要である ためです。

冗長インターフェイスまたは EtherChannel インターフェイスをステート リンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリ装置から複製されます。

フェールオーバーが発生しているかどうか、冗長インターフェイスまたは EtherChannel インターフェイスをモニタできます。アクティブなメンバ インターフェイスがスタンバイ インターフェイスにフェールオーバーした場合、デバイスレベルのフェールオーバーをモニタしているときには、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているように見えません。すべての物理インターフェイスで障害が発生した場合にのみ、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているように見えます(EtherChannel インターフェイスでは、障害の発生が許容されるメンバ インターフェイスの数を設定できます)。

EtherChannel インターフェイスをフェールオーバー リンクまたはステート リンクに対して使用する場合、異常なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバー リンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、変更時に EtherChannel をシャットダウンするか、フェールオーバーを一時的にディセーブルにする必要があります。どちらの操作でも、その間はフェールオーバーは行われません。

フェールオーバーとフェールオーバー ステート リンクをポート チャネル リンク上で設定できますが、このポート チャネルを他のファイアウォール トラフィックと共有させることはできません。

クラスタリングのガイドライン

冗長または EtherChannel インターフェイスをクラスタ制御リンクとして使用するときは、そのリンクをクラスタ内のすべてのユニットで事前に設定する必要があります。プライマリ ユニットだけで設定してもメンバ ユニットに複製されることはありません。 複製にはクラスタ制御リンクそのものが必要である からです。

スパンド EtherChannel を設定するには、を参照してください。

個別クラスタ インターフェイスを設定するには、を参照してください。

冗長インターフェイスのガイドライン

最大 8 個の冗長インターフェイス ペアを設定できます。

すべてのASA コンフィギュレーションは、メンバ物理インターフェイスではなく論理冗長インターフェイスを参照します。

EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを ASA 上で設定することができます。

アクティブ インターフェイスをシャットダウンすると、スタンバイ インターフェイスがアクティブになります。

冗長インターフェイスは、管理 スロット / ポート インターフェイスをメンバとしてサポートしません。また、管理以外のインターフェイスで構成される冗長インターフェイスを、管理専用として設定することはできません。

フェールオーバーのガイドラインについては、「フェールオーバーのガイドライン」を参照してください。

クラスタリングのガイドラインについては、「クラスタリングのガイドライン」を参照してください。

EtherChannel のガイドライン

最大 48 個の EtherChannel を設定できます。

チャネル グループ 1 つにつき 8 個のインターフェイスをアクティブにすることができます。1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

ASA EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチに接続できます。

ASA は、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して、隣接スイッチのネイティブ VLAN タギングをイネーブルにすると、ASA はタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。マルチ コンテキスト モードでは、これらのメッセージはパケット キャプチャに含まれていないため、問題を効率的に診断できません。

ASA は、スイッチ スタックへの EtherChannel の接続をサポートしていません。ASA EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。

すべての ASA コンフィギュレーションは、メンバ物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを ASA 上で設定することができます。

4GE SSM(これには ASA 5550 のスロット 1 の統合 4GE SSM も含まれます)上のインターフェイスを EtherChannel の一部として使用することはできません。

フェールオーバーのガイドラインについては、「フェールオーバーのガイドライン」を参照してください。

クラスタリングのガイドラインについては、「クラスタリングのガイドライン」を参照してください。

デフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。工場出荷時のデフォルト コンフィギュレーションについては、を参照してください。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

物理インターフェイス:ディセーブル。

冗長インターフェイス:イネーブル。ただし、トラフィックが冗長インターフェイスを通過するためには、メンバ物理インターフェイスもイネーブルになっている必要があります。

サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

EtherChannel ポートチャネル インターフェイス:イネーブル。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

デフォルトの速度および二重通信

デフォルトでは、銅線(RJ-45)インターフェイスの速度と二重通信は、オートネゴシエーションに設定されます。

ASA 5550(スロット 1)および 4GE SSM のファイバ インターフェイスでは、速度は固定であり、二重通信はサポートされていませんが、インターフェイスをリンク パラメータ ネゴシエーションあり(デフォルト)またはネゴシエーションなしに設定することができます。

ASA 5580 および 5585-X のファイバ インターフェイスでは、自動リンク ネゴシエーションの速度が設定されます。

デフォルトのコネクタ タイプ

ASA 5550(スロット 1)と ASA 5510 以降の ASA の 4GE SSM には、銅線 RJ-45 とファイバ SFP の 2 つのコネクタ タイプがあります。RJ-45 がデフォルトです。ASAを設定すると、ファイバ SFP コネクタを使用できます。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

インターフェイス コンフィギュレーションの開始(ASA 5510 以降)

この項では、次のトピックについて取り上げます。

「インターフェイス コンフィギュレーションを開始するためのタスク フロー」

「使用中のインターフェイスの冗長インターフェイスまたは EtherChannel インターフェイスへの変換」

「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」

「冗長インターフェイスの設定」

「EtherChannel の設定」

「VLAN サブインターフェイスと 802.1Q トランキングの設定」

「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」

インターフェイス コンフィギュレーションを開始するためのタスク フロー


) 既存のコンフィギュレーションがあり、使用中のインターフェイスを冗長インターフェイスまたは EtherChannel インターフェイスに変換する場合は、CLI を使用してコンフィギュレーションをオフラインで実行し、切断を最小限にします。「使用中のインターフェイスの冗長インターフェイスまたは EtherChannel インターフェイスへの変換」を参照してください。


インターフェイス コンフィギュレーションを開始するには、次の手順を実行します。


ステップ 1 (マルチ コンテキスト モード)この項のタスクはすべてシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

ステップ 2 物理インターフェイスをイネーブルにし、必要に応じてイーサネット パラメータを変更します。「物理インターフェイスのイネーブル化およびイーサネット パラメータの設定」を参照してください。

デフォルトでは、物理インターフェイスはディセーブルになっています。

ステップ 3 (任意)冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

論理冗長インターフェイスは、アクティブとスタンバイの物理インターフェイスからなるペアです。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。

ステップ 4 (任意)EtherChannel を設定します。「EtherChannel の設定」を参照してください。

EtherChannel によって、複数のイーサネット インターフェイスが 1 つの論理インターフェイスにグループ化されます。


) 4GE SSM(これには ASA 5550 のスロット 1 の統合 4GE SSM も含まれます)上のインターフェイスを EtherChannel の一部として使用することはできません。


ステップ 5 (任意)VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

ステップ 6 (任意)「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」に従って、ASA 5580 および 5585-X のジャンボ フレームのサポートをイネーブルにします。

ステップ 7 (マルチ コンテキスト モードのみ)システム実行スペースでインターフェイス コンフィギュレーションを実行するには、に記載されている次のタスクを実行します。

インターフェイスをコンテキストに割り当てるには、を参照してください。

(任意)固有の MAC アドレスをコンテキスト インターフェイスに自動的に割り当てるには、を参照してください。

MAC アドレスは、コンテキスト内でパケットを分類するために使用されます。インターフェイスを共有するものの、各コンテキストにインターフェイスの固有の MAC アドレスがない場合は、宛先 IP アドレスがパケットの分類に使用されます。また、に従って、コンテキスト内の MAC アドレスを手動で割り当てることもできます。

ステップ 8 またはに従って、インターフェイス コンフィギュレーションを実行します。


 

使用中のインターフェイスの冗長インターフェイスまたは EtherChannel インターフェイスへの変換

既存のコンフィギュレーションがあり、現在使用中のインターフェイスに対して冗長インターフェイスまたは EtherChannel インターフェイス機能を利用する場合は、論理インターフェイスに変換するときにある程度のダウンタイムが発生します。

ここでは、既存のインターフェイスを冗長インターフェイスまたは EtherChannel インターフェイスに最小限のダウンタイムで変換する方法の概要について説明します。詳細については、「冗長インターフェイスの設定」および「EtherChannel の設定」を参照してください。

「手順の詳細(シングル モード)」

「手順の詳細(マルチ モード)」

手順の詳細(シングル モード)

次の理由から、コンフィギュレーションをオフラインでテキスト ファイルとして更新し、コンフィギュレーション全体を再インポートすることを推奨します。

冗長インターフェイスまたは EtherChannel インターフェイスのメンバとして名前付きインターフェイスは追加できないため、インターフェイスから名前を削除する必要があります。インターフェイスから名前を削除すると、その名前を参照していたコマンドは削除されます。インターフェイス名を参照するコマンドはコンフィギュレーション全体にわたっており、複数の機能に影響するため、CLI または ASDM で使用中のインターフェイス名を削除すると、新しいインターフェイス名に関係するすべての機能を再設定する間の重大なダウンタイムは言うまでもなく、コンフィギュレーションが大きく破壊されます。

コンフィギュレーションをオフラインで変更すると、同じインターフェイス名を新しい論理インターフェイスに使用できるので、インターフェイス名を参照している機能コンフィギュレーションの変更が不要になります。変更が必要になるのは、インターフェイス コンフィギュレーションだけです。

実行コンフィギュレーションをクリアして新しいコンフィギュレーションをすぐに適用すると、インターフェイスのダウンタイムは最小になります。インターフェイスをリアルタイムで設定するのを待つことがありません。


ステップ 1 ASA に接続します。フェールオーバーを使用する場合は、アクティブな ASA に接続します。

ステップ 2 フェールオーバーを使用する場合、[Configuration] > [Device Management] > [High Availability] > [Failover] の順に選択して、[Enable failover] チェックボックスをオフにします。[Apply] をクリックし、警告に進みます。

ステップ 3 [Tools] > [Backup Configurations] を選択し、実行コンフィギュレーションをローカル コンピュータにバックアップすることで、実行コンフィギュレーションをコピーします。次に、zip ファイルを展開して、running-config.cfg ファイルをテキスト エディタで編集できます。

必ず、古いコンフィギュレーションの予備のコピーを保存しておいてください。編集時のエラーに備えるためです。

ステップ 4 冗長インターフェイスまたは EtherChannel インターフェイスに追加する使用中のインターフェイスごとに、新しい論理インターフェイスの作成で使用するために、 interface コマンドの下のすべてのコマンドをインターフェイス コンフィギュレーション セクションの最後にカット アンド ペーストします。例外は次のコマンドのみであり、これらは物理インターフェイス コンフィギュレーションで使用されます。

media-type

speed

duplex

flowcontrol


) EtherChannel インターフェイスまたは冗長インターフェイスに追加できるのは物理インターフェイスのみです。物理インターフェイスには VLAN を設定できません。

特定の EtherChannel インターフェイスまたは冗長インターフェイス内のすべてのインターフェイスについて、上記の値を必ず一致させてください。EtherChannel インターフェイスの二重通信の設定は [Full] または [Auto] である必要があります。


たとえば、次のインターフェイス コンフィグレーションがあるとします。太字のコマンドは 3 つの新しい EtherChannel インターフェイスで使用するコマンドであり、インターフェイス セクションの最後にカット アンド ペーストする必要があります。

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
no shutdown
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
no shutdown
!
interface Management0/1
shutdown
no nameif
no security-level
no ip address
 

ステップ 5 ペーストした各コマンド セクションの上に、次のコマンドのいずれかを入力して、新しい論理インターフェイスを作成します。

interface redundant number [1-8]

interface port-channel channel_id [1-48]

たとえば、次のように入力します。

...
 
interface port-channel 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
no shutdown
!
interface port-channel 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface port-channel 3
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
no shutdown
 

ステップ 6 新しい論理インターフェイスに物理インターフェイスを割り当てます。

冗長インターフェイス:新しい interface redundant コマンドの下に次のコマンドを入力します。

member-interface physical_interface1
member-interface physical_interface2
 

物理インターフェイスは、同じタイプの任意の 2 つのインターフェイス(以前使用していたか、または未使用)です。管理インターフェイスを冗長インターフェイスに割り当てることはできません。

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを引き続き、以前の役割のままで、内部および外部の冗長インターフェイスの一部として使用します。

interface redundant 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
member-interface GigabitEthernet0/0
member-interface GigabitEthernet0/2
 
interface redundant 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
member-interface GigabitEthernet0/1
member-interface GigabitEthernet0/3
 

EtherChannel インターフェイス:EtherChannel に追加する各インターフェイス(以前使用していたか、または未使用)の下に次のコマンドを入力します。EtherChannel ごとに最大 16 個のインターフェイスを割り当てることができます。ただし、アクティブにすることができるのは 8 個のみであり、他は障害に備えてスタンバイ状態です。

channel-group channel_id mode active
 

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを、以前の役割で、内部および外部の EtherChannel インターフェイスの一部として引き続き使用します。

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
channel-group 1 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
channel-group 2 mode active
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
channel-group 2 mode active
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
shutdown
no nameif
no security-level
no ip address
 
...
 

ステップ 7 以前は使用されていなかったが論理インターフェイスの一部になった各インターフェイスをイネーブルにします。 shutdown コマンドの前に no を追加します。

たとえば、最終的な EtherChannel の設定は次のとおりです。

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
channel-group 1 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/4
channel-group 2 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/5
channel-group 2 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
no shutdown
no nameif
no security-level
no ip address
!
interface port-channel 1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
!
interface port-channel 2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
!
interface port-channel 3
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
 

) 他のオプションの EtherChannel パラメータは、新しいコンフィギュレーションをインポートした後で設定できます。「EtherChannel の設定」を参照してください。


ステップ 8 変更したインターフェイス セクションを含め、新しいコンフィギュレーション全体を保存します。

ステップ 9 変更したコンフィギュレーションでバックアップ フォルダを再度圧縮します。

ステップ 10 [Tools] > [Restore Configurations] を選択し、変更したコンフィギュレーションの zip ファイルを選択します。マージするのではなく、既存の実行コンフィギュレーションを置き換えてください。詳細については、を参照してください。

ステップ 11 [Configuration] > [Device Management] > [High Availability] > [Failover] の順に選択し、[Enable failover] チェックボックスをオンにします。[Apply] をクリックし、基本的なフェイルオーバー設定が表示されたときに変更を行う場合は [No] をクリックします。


 

手順の詳細(マルチ モード)

次の理由から、システムおよびコンテキスト コンフィギュレーションをオフラインでテキスト ファイルとして更新し、それを再インポートすることを推奨します。

冗長インターフェイスまたは EtherChannel インターフェイスのメンバとして割り当て済みのインターフェイスは追加できないため、コンテキストからインターフェイスを割り当て解除する必要があります。インターフェイスを割り当て解除すると、そのインターフェイスを参照していたコンテキスト コマンドは削除されます。インターフェイスを参照するコマンドはコンフィギュレーション全体にわたっており、複数の機能に影響するため、CLI または ASDM で使用中のインターフェイスの割り当てを削除すると、新しいインターフェイスに関係するすべての機能を再設定する間の重大なダウンタイムは言うまでもなく、コンフィギュレーションが大きく破壊されます。

コンフィギュレーションをオフラインで変更すると、同じインターフェイス名を新しい論理インターフェイスに使用できるので、インターフェイス名を参照している機能コンフィギュレーションの変更が不要になります。変更が必要になるのは、インターフェイス コンフィギュレーションだけです。

実行システム コンフィギュレーションをクリアして新しいコンフィギュレーションをすぐに適用すると、インターフェイスのダウンタイムは最小になります。インターフェイスをリアルタイムで設定するのを待つことがありません。


ステップ 1 ASA に接続し、システムに切り替えます。フェールオーバーを使用する場合は、アクティブな ASA に接続します。

ステップ 2 フェールオーバーを使用する場合、[Configuration] > [Device Management] > [High Availability] > [Failover] の順に選択して、[Enable failover] チェックボックスをオフにします。[Apply] をクリックし、警告に進みます。

ステップ 3 システムで、[File] > [Show Running Configuration in New Window] を選択し、表示出力をテキスト エディタにコピーして、実行コンフィギュレーションをコピーします。

必ず、古いコンフィギュレーションの予備のコピーを保存しておいてください。編集時のエラーに備えるためです。

たとえば、次のインターフェイス コンフィギュレーションおよび割り当てがシステム コンフィギュレーションにあり、2 つのコンテキスト間に共有インターフェイスがあります。

システム

interface GigabitEthernet0/0
no shutdown
interface GigabitEthernet0/1
no shutdown
interface GigabitEthernet0/2
shutdown
interface GigabitEthernet0/3
shutdown
interface GigabitEthernet0/4
shutdown
interface GigabitEthernet0/5
shutdown
interface Management0/0
no shutdown
interface Management1/0
shutdown
!
context customerA
allocate-interface gigabitethernet0/0 int1
allocate-interface gigabitethernet0/1 int2
allocate-interface management0/0 mgmt
context customerB
allocate-interface gigabitethernet0/0
allocate-interface gigabitethernet0/1
allocate-interface management0/0
 

ステップ 4 新しい EtherChannel インターフェイスまたは冗長インターフェイスを使用する すべての コンテキスト コンフィギュレーションのコピーを取得します。を参照してください。

たとえば、次のコンテキスト コンフィギュレーションをダウンロードします(インターフェイス コンフィギュレーションが表示されています)。

CustomerA コンテキスト

interface int1
nameif outside
security-level 0
ip address 10.86.194.225 255.255.255.0
!
interface int2
nameif inside
security-level 100
ip address 192.168.1.3 255.255.255.0
no shutdown
!
interface mgmt
nameif mgmt
security-level 100
ip address 10.1.1.5 255.255.255.0
management-only
 

CustomerB コンテキスト

interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.20.15.5 255.255.255.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.6.78 255.255.255.0
!
interface Management0/0
nameif mgmt
security-level 100
ip address 10.8.1.8 255.255.255.0
management-only
 

ステップ 5 システム コンフィギュレーションで、「冗長インターフェイスの設定」または「EtherChannel の設定」に従って、新しい論理インターフェイスを作成します。論理インターフェイスの一部として使用する追加物理インターフェイスで no shutdown コマンドを入力してください。


) EtherChannel インターフェイスまたは冗長インターフェイスに追加できるのは物理インターフェイスのみです。物理インターフェイスには VLAN を設定できません。

特定の EtherChannel インターフェイスまたは冗長インターフェイス内のすべてのインターフェイスについて、速度や二重通信などの物理インターフェイス パラメータを必ず一致させてください。EtherChannel インターフェイスの二重通信の設定は [Full] または [Auto] である必要があります。


たとえば、新しいコンフィギュレーションは次のとおりです。

システム

interface GigabitEthernet0/0
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/1
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/2
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/3
channel-group 1 mode active
no shutdown
!
interface GigabitEthernet0/4
channel-group 2 mode active
no shutdown
!
interface GigabitEthernet0/5
channel-group 2 mode active
no shutdown
!
interface Management0/0
channel-group 3 mode active
no shutdown
!
interface Management0/1
channel-group 3 mode active
no shutdown
!
interface port-channel 1
interface port-channel 2
interface port-channel 3
 

ステップ 6 コンテキストごとのインターフェイス割り当てを、新しい EtherChannel インターフェイスまたは冗長インターフェイスを使用するように変更します。を参照してください。

たとえば、既存の配線を利用するには、以前使用していたインターフェイスを引き続き、以前の役割のままで、内部および外部の冗長インターフェイスの一部として使用します。

context customerA
allocate-interface port-channel1 int1
allocate-interface port-channel2 int2
allocate-interface port-channel3 mgmt
context customerB
allocate-interface port-channel1
allocate-interface port-channel2
allocate-interface port-channel3
 

) まだ行っていない場合は、この機会を利用して、マップされた名前をインターフェイスに割り当てることができます。たとえば、customerA のコンフィギュレーションは変更の必要がなく、ASA で再適用する必要だけがあります。ただし、customerB のコンフィギュレーションは、インターフェイス ID をすべて変更する必要があります。customerB についてマップされた名前を割り当てると、コンテキスト コンフィギュレーションでのインターフェイス ID の変更は必要ですが、マッピングされた名前が今後のインターフェイスの変更に役立つ場合があります。


ステップ 7 マップされた名前を使用しないコンテキストの場合、新しい EtherChannel インターフェイス ID または冗長インターフェイス ID を使用するようにコンテキスト コンフィギュレーションを変更します。(マップされたインターフェイス名を使用するコンテキストでは、変更は必要ありません)。

たとえば、次のように入力します。

CustomerB コンテキスト

interface port-channel1
nameif outside
security-level 0
ip address 10.20.15.5 255.255.255.0
!
interface port-channel2
nameif inside
security-level 100
ip address 192.168.6.78 255.255.255.0
!
interface port-channel3
nameif mgmt
security-level 100
ip address 10.8.1.8 255.255.255.0
management-only
 

ステップ 8 新しいコンテキスト コンフィギュレーション ファイルを古いファイルの上にコピーします。たとえば、フラッシュ メモリのコンテキストの場合は、システムで [Tools] > [File Management] の順に選択し、次に [File Transfer] > [Between Local PC and Flash] の順に選択します。このツールを使用して、コンフィギュレーション ファイルを選択し、ローカル コンピュータにコピーすることができます。この変更は、スタートアップ コンフィギュレーションのみに影響します。実行コンフィギュレーションでは古いコンテキスト コンフィギュレーションがまだ使用されています。

ステップ 9 変更したインターフェイス セクションを含め、新しいシステム コンフィギュレーション全体をクリップボードにコピーします。

ステップ 10 ASDM で、[Tools] > [Command Line Interface] を選択し、[Multiple Line] オプション ボタンをクリックします。

ステップ 11 最初の行として clear configure all を入力し、その後に新しいコンフィギュレーションを貼り付け、[Send] をクリックします。 clear コマンドによって、新しいコンフィギュレーションを適用する前に、実行コンフィギュレーション(システムとコンテキストの両方)がクリアされます。

ASA を通過するトラフィックは、このポイントで停止します。新しいコンテキスト コンフィギュレーションがすべてリロードされます。リロードが終了すると、ASA を通過するトラフィックは再開されます。

ステップ 12 [Command Line Interface] ダイアログボックスを閉じ、[File] > [Refresh ASDM with the Running Configuration] を選択します。

ステップ 13 [Configuration] > [Device Management] > [High Availability] > [Failover] の順に選択し、[Enable failover] チェックボックスをオンにします。[Apply] をクリックし、基本的なフェイルオーバー設定が表示されたときに変更を行う場合は [No] をクリックします。


 

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

ここでは、次の方法について説明します。

物理インターフェイスをイネーブルにする。

特定の速度と二重通信(使用できる場合)を設定する。

フロー制御のポーズ フレームのイネーブル化

前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

デフォルトでは、すべての物理インターフェイスが一覧表示されます。

ステップ 2 設定する物理インターフェイスをクリックし、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

 


) シングル モードの場合、この手順では [Edit Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。他のパラメータを設定する場合は、またはを参照してください。マルチ コンテキスト モードの場合、インターフェイス コンフィギュレーションを行う前に、インターフェイスをコンテキストに割り当てる必要があることに注意してください。を参照してください。


ステップ 3 インターフェイスをイネーブルにするには、[Enable Interface] チェックボックスをオンにします。

ステップ 4 説明を追加するには、[Description] フィールドにテキストを入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。フェールオーバーまたはステート リンクの場合、説明は、「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などの固定の値になります。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 5 (任意)メディア タイプ、二重通信、速度を設定し、フロー制御のポーズ フレームをイネーブルにするには、[Configure Hardware Properties] をクリックします。

 

a. ASA 5550 ASA または4GE SSM のスロット 1 に対して、[Media Type] ドロップダウン リストから RJ-45 または SFP を選択します。

RJ-45 がデフォルトです。

b. RJ-45 インターフェイスに二重通信を設定するには、[Duplex] ドロップダウン リストからインターフェイス タイプに応じて [Full]、[Half]、または [Auto] を選択します。


) EtherChannel インターフェイスの二重通信の設定は [Full] または [Auto] である必要があります。


c. 速度を設定するには、[Speed] ドロップダウン リストから値を選択します。

使用できる速度は、インターフェイス タイプによって異なります。SFP インターフェイスでは、速度を [Negotiate] または [Nonegotiate] に設定できます。[Negotiate](デフォルト)ではリンク ネゴシエーションをイネーブルにして、フロー制御パラメータとリモート障害情報を交換します。[Nonegotiate] では、リンク パラメータのネゴシエーションを行いません。ASA 5500 シリーズASAの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。「Auto-MDI/MDIX 機能」を参照してください。

d. 1 ギガビット イーサネット インターフェイスおよび 10 ギガビット イーサネット インターフェイスでフロー制御のポーズ(XOFF)フレームをイネーブルにするには、[Enable Pause Frame] チェックボックスをオンにします。

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。ポーズ(XOFF)および XON フレームは、FIFO バッファ使用量に基づいて、NIC ハードウェアによって自動的に生成されます。バッファ使用量が高ウォーター マークを超えると、ポーズ フレームが送信されます。デフォルトの high_water 値は 128 KB(10 ギガビット イーサネット)および 24 KB(1 ギガビット イーサネット)です。0 ~ 511(10 ギガビット イーサネット)または 0 ~ 47 KB(1 ギガビット イーサネット)に設定できます。ポーズの送信後、バッファ使用量が低ウォーター マークよりも下回ると、XON フレームを送信できます。デフォルトでは、 low_water 値は 64 KB(10 ギガビット イーサネット)および 16 KB(1 ギガビット イーサネット)です。0 ~ 511(10 ギガビット イーサネット)または 0 ~47 KB(1 ギガビット イーサネット)に設定できます。リンク パートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズ フレーム内のタイマー値によって制御されます。デフォルトの pause_time 値は 26624 です。この値は 0 ~ 65535 に設定できます。バッファの使用量が継続的に高基準値を超えている場合は、ポーズ リフレッシュのしきい値に指定された間隔でポーズ フレームが繰り返し送信されます。

[Low Watermark]、[High Watermark]、[Pause Time] のデフォルト値を変更するには、[Use Default Values] チェックボックスをオフにします。


) 802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。


e. [OK] をクリックして [Hardware Properties] の変更を受け入れます。

ステップ 6 [OK] をクリックして [Interface] の変更を受け入れます。


 

次の作業

オプション タスク:

冗長インターフェイス ペアを設定します。「冗長インターフェイスの設定」を参照してください。

EtherChannel を設定します。「EtherChannel の設定」を参照してください。

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。またはを参照してください。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア(アクティブ インターフェイスとスタンバイ インターフェイス)で構成されます。アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してASAの信頼性を高めることができます。この機能は、デバイスレベルのフェールオーバーとは別個のものですが、必要な場合はフェールオーバーとともに冗長インターフェイスも設定できます。

この項では、冗長インターフェイスを設定する方法について説明します。次の項目を取り上げます。

「冗長インターフェイスの設定」

「アクティブ インターフェイスの変更」

冗長インターフェイスの設定

この項では、冗長インターフェイスを作成する方法について説明します。デフォルトでは、冗長インターフェイスはイネーブルになっています。

注意事項と制限事項

最大 8 個の冗長インターフェイス ペアを設定できます。

冗長インターフェイス遅延値は設定可能ですが、デフォルトでは、ASA はそのメンバ インターフェイスの物理タイプに基づくデフォルトの遅延値を継承します。

「冗長インターフェイスのガイドライン」も参照してください。

前提条件

両方のメンバ インターフェイスが同じ物理タイプである必要があります。たとえば、両方ともイーサネットにする必要があります。

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。まず、[Configuration] > [Device Setup] > [Interfaces] ペインで名前を削除する必要があります。

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 [Add] > [Redundant Interface] を選択します。

 

[Add Redundant Interface] ダイアログボックスが表示されます。

 


) シングル モードの場合、この手順では [Edit Redundant Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。他のパラメータを設定する場合は、またはを参照してください。マルチ コンテキスト モードの場合、インターフェイス コンフィギュレーションを行う前に、インターフェイスをコンテキストに割り当てる必要があることに注意してください。を参照してください。


ステップ 3 [Redundant ID] フィールドで、1 ~ 8 の整数を入力します。

ステップ 4 [Primary Interface] ドロップダウン リストから、プライマリにする物理インターフェイスを選択します。

サブインターフェイスを持たず、まだコンテキストに割り当てられていないインターフェイスを必ず選択してください。冗長インターフェイスは、管理 スロット / ポート インターフェイスをメンバとしてサポートしません。

ステップ 5 [Secondary Interface] ドロップダウン リストから、セカンダリにする物理インターフェイスを選択します。

ステップ 6 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

インターフェイスはデフォルトでイネーブルになっています。ディセーブルにするには、このチェックボックスをオフにします。

ステップ 7 説明を追加するには、[Description] フィールドにテキストを入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 8 [OK] をクリックします。

[Interfaces] ペインに戻ります。メンバー インターフェイスで、基本パラメータのみが設定できることを示すロックが、インターフェイス ID の左側に表示されます。冗長インターフェイスがテーブルに追加されます。

 


 

次の作業

オプション タスク:

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。またはを参照してください。

アクティブ インターフェイスの変更

デフォルトでは、コンフィギュレーションで最初にリストされているインターフェイスが(使用可能であれば)、アクティブ インターフェイスになります。どのインターフェイスがアクティブかを表示するには、[Tools] > [Command Line Interface tool] で次のコマンドを入力します。

show interface redundantnumber detail | grep Member
 

たとえば、次のように入力します。

show interface redundant1 detail | grep Member
Members GigabitEthernet0/3(Active), GigabitEthernet0/2
 

アクティブ インターフェイスを変更するには、次のコマンドを入力します。

redundant-interface redundantnumber active-member physical_interface
 

redundant number 引数には、冗長インターフェイス ID( redundant1 など)を指定します。

physical_interface には、アクティブにするメンバ インターフェイスの ID を指定します。

EtherChannel の設定

ここでは、EtherChannel ポートチャネル インターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

この項では、次のトピックについて取り上げます。

「EtherChannel へのインターフェイスの追加」

「EtherChannel のカスタマイズ」

EtherChannel へのインターフェイスの追加

ここでは、EtherChannel ポートチャネル インターフェイスを作成し、インターフェイスを EtherChannel に割り当てる方法について説明します。デフォルトでは、ポートチャネル インターフェイスはイネーブルになっています。

注意事項と制限事項

最大 48 個の EtherChannel を設定できます。

チャネル グループ 1 つにつき 8 個のインターフェイスをアクティブにすることができます。1 つのチャネル グループに最大 16 個のインターフェイスを割り当てることができます。アクティブにできるインターフェイスは 8 個のみですが、残りのインターフェイスはインターフェイスに障害が発生した場合のスタンバイ リンクとして動作できます。

4GE SSM(これには ASA 5550 のスロット 1 の統合 4GE SSM も含まれます)上のインターフェイスを EtherChannel の一部として使用することはできません。

クラスタリング用にスパンド EtherChannel を設定するには、この手順の代わりにを参照してください。

「EtherChannel のガイドライン」も参照してください。

前提条件

チャネル グループのすべてのインターフェイスは、同じタイプ、速度、および二重通信である必要があります。半二重はサポートされません。

名前が設定されている場合は、物理インターフェイスをチャネル グループに追加できません。まず、[Configuration] > [Device Setup] > [Interfaces] ペインで名前を削除する必要があります。

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。


注意 コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 [Add] > [EtherChannel Interface] を選択します。

 

[Add EtherChannel Interface] ダイアログボックスが表示されます。

 


) シングル モードの場合、この手順では [Edit EtherChannel Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。他のパラメータを設定する場合は、またはを参照してください。マルチ コンテキスト モードの場合、インターフェイス コンフィギュレーションを行う前に、インターフェイスをコンテキストに割り当てる必要があることに注意してください。を参照してください。


ステップ 3 [Port Channel ID] フィールドに 1 ~ 48 の範囲の数値を入力します。

ステップ 4 [Available Physical Interface] 領域で、インターフェイスをクリックし、[Add >>] をクリックしてそれを [Members in Group] 領域に移動します。

トランスペアレント モードで、複数の管理インターフェイスがあるチャネル グループを作成する場合は、この EtherChannel を管理専用インターフェイスとして使用できます。

ステップ 5 チャネル グループに追加するインターフェイスごとに繰り返します。

すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。ASDM では、一致しないインターフェイスの追加は防止されません。

ステップ 6 [OK] をクリックします。

[Interfaces] ペインに戻ります。メンバー インターフェイスで、基本パラメータのみが設定できることを示すロックが、インターフェイス ID の左側に表示されます。EtherChannel インターフェイスがテーブルに追加されます。

 


 

次の作業

オプション タスク:

EtherChannel インターフェイスをカスタマイズします。「EtherChannel のカスタマイズ」を参照してください。

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。またはを参照してください。

EtherChannel のカスタマイズ

この項では、EtherChannel のインターフェイスの最大数、EtherChannel をアクティブにするための動作インターフェイスの最小数、ロード バランシング アルゴリズム、およびその他のオプション パラメータを設定する方法について説明します。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 カスタマイズするポートチャネル インターフェイスをクリックし、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

ステップ 3 すべてのメンバ インターフェイスについて、メディア タイプ、二重通信、速度、およびフロー制御のポーズ フレームを上書きするには、[Configure Hardware Properties] をクリックします。これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。

 

a. ASA 5550 ASA または4GE SSM のスロット 1 に対して、[Media Type] ドロップダウン リストから RJ-45 または SFP を選択します。

RJ-45 がデフォルトです。

b. RJ-45 インターフェイスに二重通信を設定するには、[Duplex] ドロップダウン リストからインターフェイス タイプに応じて [Full] または [Auto] を選択します。EtherChannel では [Half] はサポートされません。

c. 速度を設定するには、[Speed] ドロップダウン リストから値を選択します。

使用できる速度は、インターフェイス タイプによって異なります。SFP インターフェイスでは、速度を [Negotiate] または [Nonegotiate] に設定できます。[Negotiate](デフォルト)ではリンク ネゴシエーションをイネーブルにして、フロー制御パラメータとリモート障害情報を交換します。[Nonegotiate] では、リンク パラメータのネゴシエーションを行いません。ASA 5500 シリーズASAの RJ-45 インターフェイスでは、デフォルトのオートネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。「Auto-MDI/MDIX 機能」を参照してください。

d. 1 ギガビット イーサネット インターフェイスおよび 10 ギガビット イーサネット インターフェイスでフロー制御のポーズ(XOFF)フレームをイネーブルにするには、[Enable Pause Frame] チェックボックスをオンにします。

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。ポーズ(XOFF)および XON フレームは、FIFO バッファ使用量に基づいて、NIC ハードウェアによって自動的に生成されます。バッファ使用量が最高水準点を超えると、ポーズ フレームが送信されます。デフォルト値は 128 KB です。この値は 0 ~ 511 に設定できます。ポーズの送信後、バッファ使用量が最低水準点よりも下回ると、XON フレームを送信できます。デフォルトでは、この値は 64 KB です。この値は 0 ~ 511 に設定できます。リンク パートナーは、XON を受信した後、または XOFF の期限が切れた後、トラフィックを再開できます。XOFF の期限は、ポーズ フレーム内のポーズ時間の値によって制御されます。デフォルト値は 26624 です。この値は 0 ~ 65535 に設定できます。バッファの使用量が継続的に最高水準点を超えている場合は、ポーズ リフレッシュのしきい値に指定された間隔でポーズ フレームが繰り返し送信されます。

[Low Watermark]、[High Watermark]、[Pause Time] のデフォルト値を変更するには、[Use Default Values] チェックボックスをオフにします。


) 802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。


e. [OK] をクリックして [Hardware Properties] の変更を受け入れます。

ステップ 4 EtherChannel をカスタマイズするには、[Advanced] タブをクリックします。

 

a. [EtherChannel] 領域で、[Minimum] ドロップダウン リストから、EtherChannel をアクティブにするために必要なアクティブ インターフェイスの最小数を 1 ~ 8 の範囲で選択します。デフォルトは 1 です。

b. [Maximum] ドロップダウン リストから、EtherChannel で許可されるアクティブ インターフェイスの最大数を 1 ~ 8 の範囲で選択します。デフォルトは 8 です。

c. [Load Balance] ドロップダウン リストから、パケットをグループ チャネル インターフェイス間でロード バランスするために使用する基準を選択します。デフォルトでは、ASA はパケットの送信元および宛先 IP アドレスに従って、インターフェイスでのパケットのロードをバランスします。パケットが分類される基準になるプロパティを変更する場合は、別の基準のセットを選択します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。ロード バランシングの詳細については、「ロード バランシング」を参照してください。

ステップ 5 [OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 6 チャネル グループ内の物理インターフェイスのモードおよびプライオリティを設定するには、次の手順を実行します。

a. [Interfaces] テーブルで物理インターフェイスを選択し、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

b. [Advanced] タブをクリックします。

 

c. [EtherChannel] 領域で、[Mode] ドロップダウン リストから、[Active]、[Passive]、または [On] を選択します。[Active] モード(デフォルト)を使用することを推奨します。アクティブ、パッシブ、およびオンの各モードの詳細については、「リンク集約制御プロトコル」を参照してください。

d. [LACP Port Priority] フィールドで、ポート プライオリティを 1 ~ 65535 の範囲で設定します。デフォルトは 32768 です。数字が大きいほど、プライオリティは低くなります。使用可能な数よりも多くのインターフェイスを割り当てた場合、ASA ではこの設定を使用して、アクティブ インターフェイスとスタンバイ インターフェイスを決定します。ポート プライオリティ設定がすべてのインターフェイスで同じ場合、プライオリティはインターフェイス ID(スロット/ポート)で決まります。最も小さいインターフェイス ID が、最も高いプライオリティになります。たとえば、GigabitEthernet 0/0 のプライオリティは GigabitEthernet 0/1 よりも高くなります。

あるインターフェイスについて、インターフェイス ID は大きいが、そのインターフェイスがアクティブになるように優先順位を付ける場合は、より小さい値を持つようにこのコマンドを設定します。たとえば、GigabitEthernet 1/3 を GigabitEthernet 0/7 よりも前にアクティブにするには、1/3 インターフェイスでプライオリティ値を 12345 にして、 0/7 インターフェイスでデフォルトの 32768 にします。

EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。システム プライオリティを設定するには、ステップ 9 を参照してください。

ステップ 7 [OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 8 [Apply] をクリックします。

ステップ 9 LACP システム プライオリティを設定するには、次の手順を実行します。EtherChannel の反対の端にあるデバイスのポート プライオリティが衝突している場合、システム プライオリティを使用して使用するポート プライオリティが決定されます。詳細については、「ステップ 6 d 」を参照してください。

a. コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [EtherChannel] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [EtherChannel] ペインを選択します。

 

b. [LACP System Priority] フィールドに、プライオリティを 1 ~ 65535 の範囲で入力します。

デフォルトは 32768 です。


 

次の作業

オプション タスク:

VLAN サブインターフェイスを設定します。「VLAN サブインターフェイスと 802.1Q トランキングの設定」を参照してください。

必須タスク:

マルチ コンテキスト モードの場合は、インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。を参照してください。

シングル コンテキスト モードの場合は、インターフェイス コンフィギュレーションを実行します。またはを参照してください。

VLAN サブインターフェイスと 802.1Q トランキングの設定

サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはASAを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。この機能は、各コンテキストに固有のインターフェイスを割り当てることができるので、マルチ コンテキスト モードで特に便利です。

注意事項と制限事項

最大サブインターフェイス数:使用するプラットフォームで許容される VLAN サブインターフェイス数を決定するには、「ASA 5510 以降のインターフェイスのライセンス要件」を参照してください。

物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイス ペアのアクティブな物理インターフェイスにも当てはまります。トラフィックがサブインターフェイスを通過するには、物理インターフェイスまたは冗長インターフェイスがイネーブルになっている必要があるため、トラフィックが物理インターフェイスまたは冗長インターフェイスを通過しないように、インターフェイスには名前を設定しないでください。物理インターフェイスまたは冗長インターフェイスにタグのないパケットを通過させる場合には、通常どおり名前を設定できます。インターフェイス コンフィギュレーションの詳細については、またはを参照してください。

(ASA 5512-X ~ ASA 5555-X)サブインターフェイスは Management 0/0 インターフェイスでは設定できません。

前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 [Add] > [Interface] を選択します。

 

[Add Interface] ダイアログボックスが表示されます。

 


) シングル モードの場合、この手順では [Edit Interface] ダイアログボックスでのパラメータのサブセットのみを対象としています。他のパラメータを設定する場合は、またはを参照してください。マルチ コンテキスト モードの場合、インターフェイス コンフィギュレーションを行う前に、インターフェイスをコンテキストに割り当てる必要があることに注意してください。を参照してください。


ステップ 3 [Hardware Port] ドロップダウン リストから、サブインターフェイスを追加する物理インターフェイス、冗長インターフェイス、またはポートチャネル インターフェイスを選択します。

ステップ 4 インターフェイスがまだイネーブルでない場合は、[Enable Interface] チェックボックスをオンにします。

インターフェイスはデフォルトでイネーブルになっています。ディセーブルにするには、このチェックボックスをオフにします。

ステップ 5 [VLAN ID] フィールドに、1 ~ 4095 の VLAN ID を入力します。

一部の VLAN ID は接続スイッチ用に予約されている場合があります。詳細 については、スイッチのマニュアルを確認してください。マルチ コンテキスト モードの場合、VLAN はシステム設定でしか設定できません。

ステップ 6 [Subinterface ID] フィールドに、サブインターフェイス ID を 1 ~ 4294967293 の整数で入力します。

許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。

ステップ 7 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。

説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。マルチ コンテキスト モードの場合、システムの説明とコンテキストの説明に関係はありません。フェールオーバーまたはステート リンクの場合、説明は「LAN Failover Interface」、「STATE Failover Interface」、「LAN/STATE Failover Interface」などに固定されます。この説明は編集できません。このインターフェイスをフェールオーバーまたはステート リンクにした場合、ここで入力したすべての説明が、この固定の説明で上書きされます。

ステップ 8 [OK] をクリックします。

[Interfaces] ペインに戻ります。


 

次の作業

(任意)「ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)」に従って、ジャンボ フレームのサポートをイネーブルにします。

ジャンボ フレーム サポートのイネーブル化(サポート対象のモデル)

ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。詳細については、「最大伝送単位および TCP 最大セグメント サイズのフラグメンテーションの制御」を参照してください。

サポート対象のモデルは次のとおりです。

ASA 5512-X

ASA 5515-X

ASA 5525-X

ASA 5545-X

ASA 5555-X

ASA 5580

ASA 5585-X

前提条件

マルチ コンテキスト モードでは、システム実行スペースでこのオプションを設定します。

この設定を変更した場合は、ASA のリロードが必要です。

ジャンボ フレームを送信する必要がある各インターフェイスについて、MTU をデフォルトの 1500 より大きい値に設定してください。たとえば、値を 9000 に設定してください。を参照してください。マルチ コンテキスト モードでは、各コンテキスト内で MTU を設定します。

TCP MSS を、非 VPN トラフィックに対してディセーブルにするか、 に従って MTU と一致させるために増加させるかして、調整することを忘れないでください。

手順の詳細

マルチ モード:ジャンボ フレーム サポートをイネーブルにするには、[Configuration] > [Context Management] > [Interfaces] を選択し、[Enable jumbo frame support] チェックボックスをオンにします。

シングル モード:1500 バイトを超える MTU を設定すると、ジャンボ フレームが自動的にイネーブルになります。この設定を手動でイネーブルまたはディセーブルにするには、[Configuration] > [Device Setup] > [Interfaces] を選択し、[Enable jumbo frame support] チェックボックスをオンにします。

インターフェイスのモニタリング

この項では、次のトピックについて取り上げます。

「ARP Table」

「MAC Address Table」

「Interface Graphs」

ARP Table

[Monitoring] > [Interfaces] > [ARP Table] ペインには、スタティックとダイナミック エントリを含む ARP テーブルが表示されます。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

フィールド

[Interface] :マッピングに関連付けられているインターフェイス名を一覧表示します。

[IP Address] :IP アドレスを表示します。

[MAC Address] :MAC アドレスを表示します。

[Proxy ARP]:インターフェイスでプロキシ ARP がイネーブルになっている場合は Yes と表示します。インターフェイスでプロキシ ARP がイネーブルになっていない場合は No と表示します。

[Clear] :ダイナミック ARP テーブルのエントリをクリアします。 スタティック エントリはクリアされません。

[Refresh] :ASAの現在の情報でテーブルをリフレッシュし、 [Last Updated] の日付と時刻を更新します。

[Last Updated] 表示専用 。表示が更新された日付と時刻を示します。

MAC Address Table

[Monitoring] > [Interfaces] > [MAC Address Table] ペインには、スタティックおよびダイナミック MAC アドレス エントリが表示されます。MAC アドレス テーブルおよび追加のスタティック エントリに関する詳細情報については、 「MAC Address Table」 参照してください。

フィールド

[Interface]:エントリに関連付けられているインターフェイス名を表示します。

[MAC Address]:MAC アドレスを表示します。

[Type]:エントリがスタティックかダイナミックかを表示します。

[Age]:エントリの経過時間を分数で表示します。タイムアウトを設定するには、 「MAC Address Table」 を参照してください。

[Refresh]:ASAの現在の情報でテーブルをリフレッシュします。

Interface Graphs

[Monitoring] > [Interfaces] > [Interface Graphs] ペインには、インターフェイス統計情報をグラフ形式またはテーブル形式で表示できます。インターフェイスをコンテキスト間で共有している場合、ASAには現在のコンテキストの統計情報だけが表示されます。サブインターフェイスに表示される統計情報の数は、物理インターフェイスに表示される統計情報の数のサブセットです。

フィールド

[Available Graphs for]:モニタリングに使用可能な統計情報のタイプを一覧表示します。1 つのグラフ ウィンドウに表示する統計情報のタイプは 4 つまで選択できます。複数のグラフ ウィンドウを同時に開くことができます。

[Byte Counts]:インターフェイスのバイト入力およびバイト出力の数を表示します。

[Packet Counts]:インターフェイスのパケット入力およびパケット出力の数を表示します。

[Packet Rates]:インターフェイスのパケット入力およびパケット出力のレートを表示します。

[Bit Rates]:インターフェイスの入出力のビット レートを表示します。

[Drop Packet Count]:インターフェイスでドロップされたパケットの数を表示します。

物理インターフェイスに追加して表示できる統計情報は次のとおりです。

[Buffer Resources]:次の統計情報を表示します。

[Overruns]:入力速度が、ASAのデータ処理能力を超えたため、ASAがハードウェア バッファに受信したデータを処理できなかった回数。

[Underruns]:ASAで処理できる速度より速くトランスミッタが動作した回数。

[No Buffer]:メイン システムにバッファ スペースがなかったために廃棄された受信パケットの数。この数を、無視された数と比較してください。イーサネット ネットワーク上のブロードキャスト ストームは、多くの場合、入力バッファ イベントがないことに原因があります。

[Packet Errors]:次の統計情報を表示します。

[CRC]:巡回冗長検査エラーの数。ステーションがフレームを送信すると、フレームの末尾に CRC を付加します。この CRC は、フレーム内のデータに基づくアルゴリズムから生成されます。送信元と宛先の間でフレームが変更された場合、ASAは CRC が一致しないことを通知します。CRC の数値が高いことは、通常、コリジョンの結果であるか、ステーションが不良データを送信することが原因です。

[Frame]:フレーム エラーの数。不良フレームには、長さが正しくないパケットや、フレーム チェックサムが正しくないパケットがあります。このエラーは通常、コリジョンまたはイーサネット デバイスの誤動作が原因です。

[Input Errors]:ここにリストされている他のタイプのものも含めた入力エラーの合計数。また、その他の入力関連のエラーによって入力エラー数が増えたり、一部のデータグラムに複数のエラーが存在していたりする可能性があります。したがって、この合計は、他のタイプにリストされているエラーの数を超えることがあります。

[Runts]:最小パケット サイズの 64 バイトよりも小さかったために廃棄されたパケットの数。ラントは通常、コリジョンによって発生します。不適切な配線や電気干渉によって発生することもあります。

[Giants]:最大パケット サイズを超えたために廃棄されたパケットの数。たとえば、1518 バイトよりも大きいイーサネット パケットはジャイアントと見なされます。

[Deferred]:FastEthernet インターフェイスだけ。リンク上のアクティビティが原因で送信前に保留されたフレームの数。

[Miscellaneous]:受信したブロードキャストの統計情報を表示します。

[Collision Counts]:FastEthernet インターフェイスだけ。次の統計情報を表示します。

[Output Errors]:設定されている衝突の最大数を超えたために伝送されなかったフレームの数。このカウンタは、ネットワーク トラフィックが多い場合にのみ増加します。

[Collisions]:イーサネット衝突(1 つまたは複数の衝突)が原因で、再度伝送されたメッセージ数。これは通常、過渡に延長した LAN で発生します(イーサネット ケーブルまたはトランシーバ ケーブルが長すぎる、ステーション間のリピータが 2 つよりも多い、またはマルチポート トランシーバのカスケードが多すぎる場合)。衝突するパケットは、出力パケットによって 1 回だけカウントされます。

[Late Collisions]:通常の衝突ウィンドウの外で衝突が発生したために伝送されなかったフレームの数。レイト コリジョンは、パケットの送信中に遅れて検出されるコリジョンです。これは通常発生しません。2 つのイーサネット ホストが同時に通信しようとした場合、早期にパケットが衝突して両者がバックオフするか、2 番目のホストが 1 番目のホストの通信状態を確認して待機します。レイト コリジョンが発生すると、デバイスは割り込みを行ってイーサネット上にパケットを送信しようとしますが、ASAはパケットの送信を部分的に完了しています。ASAは、パケットの最初の部分を保持するバッファを解放した可能性があるため、パケットを再送しません。このことはあまり問題になりません。その理由は、ネットワーキング プロトコルはパケットを再送することでコリジョンを処理する設計になっているためです。ただし、レイト コリジョンはネットワークに問題が存在することを示しています。一般的な問題は、リピータで接続された大規模ネットワーク、および仕様の範囲を超えて動作しているイーサネット ネットワークです。

[Input Queue]:入力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Input Queue]:ハードウェア キューのパケット数。

[Software Input Queue]:ソフトウェア キューのパケット数。

[Output Queue]:出力キューの現在のパケット数および最大パケット数を表示します。次の統計情報が含まれます。

[Hardware Output Queue]:ハードウェア キューのパケット数。

[Software Output Queue]:ソフトウェア キューのパケット数。

[Add]:選択した統計タイプを、選択したグラフ ウィンドウに追加します。

[Remove]:選択したグラフ ウィンドウから、選択した統計タイプを削除します。削除している項目が他のパネルから追加され、[Available Graphs] ペインに戻されていない場合、このボタン名は [Delete] に変わります。

[Show Graphs]:統計タイプを追加するグラフ ウィンドウ名を表示します。すでにグラフ ウィンドウを開いている場合は、デフォルトで新しいグラフ ウィンドウがリストされます。すでに開いているグラフに統計タイプを追加する場合は、開いているグラフ ウィンドウの名前を選択します。すでにグラフに含まれている統計情報が [Selected Graphs] ペインに表示され、タイプを追加できます。グラフ ウィンドウには ASDM、インターフェイスの IP アドレス、および「Graph」という順番で名前が付けられます。後続のグラフは、「Graph (2)」のように名前が付けられます。

[Selected Graphs]:選択したグラフ ウィンドウに表示する統計タイプを表示します。タイプを 4 つまで含めることができます。

[Show Graphs]:グラフ ウィンドウを表示するか、または、追加した場合は追加の統計タイプでグラフを更新します。

Graph/Table

[Monitoring] > [Interfaces] > [Interface Graphs] > [Graph/Table] ウィンドウには、選択した統計情報のグラフが表示されます。[Graph] ウィンドウには、最大 4 つのグラフおよびテーブルを同時に表示することができます。デフォルトで、グラフまたはテーブルにリアルタイムな統計情報が表示されます。履歴メトリック( を参照)をイネーブルにすると、過去の期間の統計情報を表示できます。

フィールド

[View]:グラフまたはテーブルを表示する期間を設定します。リアルタイム以外の期間を表示するには、[History Metrics]( を参照)をイネーブルにします。次のオプションの指定に従ってデータが更新されます。

Real-time, data every 10 sec

Last 10 minutes, data every 10 sec

Last 60 minutes, data every 1 min

Last 12 hours, data every 12 min

Last 5 days, data every 2 hours

[Export]:グラフをカンマ区切り形式でエクスポートします。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Export Graph Data] ダイアログボックスが表示されます。名前の横のチェックボックスを選択して、リストされているグラフおよびテーブルを 1 つ以上選択します。

[Print]:グラフまたはテーブルを印刷します。[Graph] ウィンドウに複数のグラフまたはテーブルがある場合、[Print Graph] ダイアログボックスが表示されます。[Graph/Table Name] リストから印刷するグラフまたはテーブルを選択します。

[Bookmark]:ブラウザ ウィンドウに、[Graph] ウィンドウ上のすべてのグラフおよびテーブルへのリンク 1 つと、各グラフまたはテーブルへの個別のリンクが表示されます。ブラウザでこれらの URL をブックマークとしてコピーできますグラフの URL を開くときに、 ASDM を実行している必要はありません。ブラウザによって ASDM が起動され、グラフが表示されます。

 

次の作業

マルチ コンテキスト モードの場合:

a. インターフェイスをコンテキストに割り当てます(固有の MAC アドレスがコンテキスト インターフェイスに自動的に割り当てられます)。を参照してください。

b. またはに従って、インターフェイス コンフィギュレーションを実行します。

シングル コンテキスト モードの場合は、またはに従って、インターフェイス コンフィギュレーションを実行します。

ASA 5510 以降のインターフェイスの機能履歴

表 11-3 に、この機能のリリース履歴を示します。

 

表 11-3 インターフェイスの機能履歴

機能名
リリース
機能情報

VLAN 数の増加

7.0(5)

次の制限値が増加されました。

ASA 5510 基本ライセンスの VLAN 数が 0 から 10 に増えました。

ASA 5510 Security Plus ライセンスの VLAN 数が 10 から 25 に増えました。

ASA 5520 の VLAN 数が 25 から 100 に増えました。

ASA 5540 の VLAN 数が 100 から 200 に増えました。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。

VLAN 数の増加

7.2(2)

VLAN の制限値が変更されました。ASA 5510 の基本ライセンスでは 10 から 50 に、Security Plus ライセンスでは 25 から 100 に、ASA 5520 では 100 から 150 に、ASA 5550 では 200 から 250 に増えています。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 ASAは、Gigabit Ethernet(GE; ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の Fast Ethernet(FE; ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

Cisco ASA 5580 はジャンボ フレームをサポートしています。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(アクセス リストなど)の最大使用量が制限される場合があります。

この機能は、ASA 5585-X でもサポートされます。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [Advanced]。

ASA 5580 の VLAN 数の増加

8.1(2)

ASA 5580 上でサポートされる VLAN 数が 100 から 250 に増加されました。

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

この機能は、ASA 5585-X でもサポートされます。

次の画面が変更されました。
(シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General]
(マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface]

1 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(5)/8.4(2)

すべてのモデルで 1 ギガビット インターフェイスのフロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

次の画面が変更されました。
(シングル モード)[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface] > [General]
(マルチ モード、システム)[Configuration] > [Interfaces] > [Add/Edit Interface]

EtherChannel サポート

8.4(1)

最大 48 個の 802.3ad EtherChannel(1 つあたりのアクティブ インターフェイス 8 個)を設定できます。

次の画面が変更または導入されました。
[Configuration] > [Device Setup] > [Interfaces]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface]
[Configuration] > [Device Setup] > [EtherChannel]

(注) EtherChannel は ASA 5505 ではサポートされません。