Cisco ASDM ユーザ ガイド Version 6.0(3)

IP ルーティングのサポート

セキュリティ アプライアンスは、接続されたネットワーク間のルータとして機能します。インターフェイスごとに、異なるサブネット上の IP アドレスが必要です。シングルコンテキスト モードでは、ルーテッド ファイアウォールは OSPF および RIP をサポートします。マルチコンテキスト モードでは、スタティック ルートだけがサポートされます。過度なルーティングのニーズをセキュリティ アプライアンスに頼るのではなく、アップストリーム ルータとダウンストリーム ルータの拡張ルーティング機能を使用することをお勧めします。

透過ファイアウォール ネットワーク

セキュリティ アプライアンスでは、内部インターフェイスと外部インターフェイスに同じネットワークが接続されます。透過ファイアウォールはルーティングされたホップではないので、既存のネットワークに簡単に導入できます。

レイヤ 3 トラフィックの許可

セキュリティの高いインターフェイスから低いインターフェイスへ送信される IPv4 トラフィックは、アクセスリストがなくても透過ファイアウォールの通過を自動的に許可されます。 ARP は、どちらの方向でもアクセスリストなしで透過ファイアウォールの通過を許可されます。ARP トラフィックは ARP 検査によって制御されます。 セキュリティの低いインターフェイスから高いインターフェイスに送信されるレイヤ 3 トラフィックの場合、拡張アクセスリストが必要です。

許可される MAC アドレス

次の宛先 MAC アドレスは、透過ファイアウォールから許可されます。このリストにない MAC アドレスはすべてドロップされます。

• FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

• 0100.5E00.0000 ～ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

• 3333.0000.0000 ～ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

• 0100.0CCC.CCCD の BPDU マルチキャストアドレス

• 0900.0700.0000 ～ 0900.07FF.FFFF までの Appletalk マルチキャストアドレス

ルーテッド モードで許可されない通過トラフィック

ルーテッド モードでは、アクセスリストで許可しても、いくつかのタイプのトラフィックはセキュリティ アプライアンスを通過できません。一方、透過ファイアウォールは、拡張アクセスリスト（IP トラフィックの場合）または EtherType アクセスリスト（IP 以外のトラフィックの場合）を使用して、ほとんどすべてのトラフィックを許可することができます。

（注） 透過モードのセキュリティ アプライアンスは、CDP パケット、IPv6 パケット、および 0x600 以上の有効な EtherType を持たないパケットを通過させません。 たとえば、IS-IS パケットは通過できません。 例外として BPDU はサポートされています。

たとえば、透過ファイアウォールでルーティング プロトコルの隣接関係を確立できます。つまり、拡張アクセスリストに基づいて、OSPF、RIP、EIGRP、または BGP トラフィックを許可することができます。同様に、HSRP や VRRP などのプロトコルはセキュリティ アプライアンスを通過できます。

IP 以外のトラフィック（AppleTalk、IPX、BPDU、および MPLS など）は、EtherType アクセスリストを使用して通過するように構成できます。

透過ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、拡張アクセスリストを使用して、DHCP トラフィック（サポートされない DHCP リレー機能の代わりに）または IP/TV によって作成されたマルチキャスト トラフィックを許可できます。

MAC アドレスとルート ルックアップの比較

セキュリティ アプライアンスが NAT を使用せずに透過モードで動作している場合、パケットの発信インターフェイスは、ルート ルックアップではなく MAC アドレス ルックアップを実行することによって決定されます。この場合もルート文を設定することはできますが、セキュリティ アプライアンスから発信されたトラフィックだけに適用されます。たとえば、syslog サーバがリモート ネットワークにある場合は、セキュリティ アプライアンスがそのサブネットに到達できるようにスタティック ルートを使用する必要があります。

音声検査を使用し、さらにエンドポイントがセキュリティ アプライアンスから少なくとも 1 ホップ先にある場合は、このルールは適用されません。 たとえば、CCM と H.323 ゲートウェイの間に透過ファイアウォールを使用し、透過ファイアウォールと H.323 ゲートウェイの間にルータがある場合、正常にコールを完了させるにはセキュリティ アプライアンスに H.323 ゲートウェイ用のスタティック ルートを追加する必要があります。

NAT を使用する場合、セキュリティ アプライアンスは、MAC アドレス ルックアップではなくルート ルックアップを使用します。 場合によっては、スタティック ルートが必要になります。 たとえば、実際の宛先アドレスがセキュリティ アプライアンスに直接接続されていない場合、実際の宛先アドレス用に、ダウンストリーム ルータをポイントするスタティック ルートをセキュリティ アプライアンスに追加する必要があります。

ネットワークでの透過ファイアウォールの使用

図18-1 に、外部デバイスが内部デバイスと同じサブネット上にある一般的な透過ファイアウォール ネットワークを示します。内部ルータとホストは、外部ルータに直接接続されているように見えます。

図18-1 透過ファイアウォール ネットワーク

透過ファイアウォール ガイドライン

透過ファイアウォール ネットワークを計画する場合は、次のガイドラインに従ってください。

• 管理 IP アドレスが必要です。マルチコンテキスト モードの場合は、コンテキストごとに IP アドレスが必要です。

インターフェイスごとに IP アドレスが必要なルーテッド モードと異なり、透過ファイアウォールではデバイス全体に IP アドレスが割り当てられます。セキュリティ アプライアンスは、この IP アドレスを、システム メッセージや AAA 通信など、セキュリティ アプライアンスで発信されるパケットの送信元アドレスとして使用します。

管理 IP アドレスは、接続されているネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット（255.255.255.255）を設定することはできません。

管理専用インターフェイス（Management 0/0）の IP アドレスを設定できます。この IP アドレスは、メインの管理 IP アドレスとは別々のサブネットに設定することができます。

• 透過セキュリティ アプライアンスは、内部インターフェイスと外部インターフェイスだけを使用します。プラットフォームに専用の管理インターフェイスが含まれている場合は、管理トラフィック専用の管理インターフェイスまたはサブインターフェイスを設定することもできます。

シングルモードでは、セキュリティ アプライアンスに 3 つ以上のインターフェイスが含まれている場合でも、2 つのデータ インターフェイス（および使用可能な場合は専用の管理インターフェイス）だけを使用できます。

• 直接に接続された各ネットワークは同一のサブネット上にある必要があります。

• 接続されたデバイス用のデフォルト ゲートウェイとしてセキュリティ アプライアンス管理 IP アドレスを指定しないでください。デバイスはセキュリティ アプライアンスの他方の側のルータをデフォルト ゲートウェイとして指定する必要があります。

• マルチコンテキスト モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

• マルチコンテキスト モードでは、通常、各コンテキストが別個のサブネットを使用します。重複するサブネットを使用することもできますが、ルーティング スタンドポイントから可能にするため、ネットワーク トポロジにルータと NAT コンフィギュレーションが必要です。

透過モードでサポートされていない機能

表18-1 に透過モードでサポートされていない機能を示します。