基本的なインターフェイス設定について
この項では、インターフェイスの機能と特殊なインターフェイスについて説明します。
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。
管理インターフェイス
管理インターフェイスは、使用しているモデルに応じて、管理トラフィック専用の個別インターフェイスとなります。
管理インターフェイスの概要
次のインターフェイスに接続して ASA を管理できます。
-
任意の通過トラフィック インターフェイス
-
専用の管理スロット/ポート インターフェイス(使用しているモデルで使用できる場合)
管理アクセスの説明に従って、管理アクセスへのインターフェイスを設定する必要がある場合があります。
管理スロット/ポート インターフェイス
次の表に、モデルごとの管理インターフェイスを示します。
モデル |
管理 0/0 |
管理 0/1 |
管理 1/0 |
管理 1/1 |
通過トラフィックに対して設定可能 |
サブインターフェイスを使用可能 |
---|---|---|---|---|---|---|
Firepower 1000 |
— |
— |
— |
対応 |
対応 |
対応 |
Firepower 2100 |
— |
— |
— |
対応 |
— 注:技術的には、通過トラフィックを有効にすることはできますが、このインターフェイスのスループットはデータ操作には適していません。 |
〇 |
Firepower 4100/9300 |
該当なし インターフェイス ID は ASA 論理デバイスに割り当てた物理 mgmt タイプ インターフェイスに基づいています。 |
— |
— |
— |
— |
対応 |
ASA 5506-X |
— |
— |
— |
対応 |
— |
— |
ASA 5508-X |
— |
— |
— |
対応 |
— |
— |
ASA 5516-X |
— |
— |
— |
対応 |
— |
— |
ASA 5525-X |
対応 |
— |
— |
— |
— |
— |
ASA 5545-X |
対応 |
— |
— |
— |
— |
— |
ASA 5555-X |
対応 |
— |
— |
— |
— |
— |
ISA 3000 |
— |
— |
— |
対応 |
— |
— |
ASAv |
対応 |
— |
— |
— |
対応 |
— |
(注) |
モジュールをインストールした場合は、モジュール管理インターフェイスでは、モジュールの管理アクセスのみが提供されます。ソフトウェア モジュールを搭載したモデルでは、ソフトウェア モジュールによって ASA と同じ物理管理インターフェイスが使用されます。 |
管理専用トラフィックに対する任意のインターフェイスの使用
任意のインターフェイスを、管理トラフィック用として設定することによって管理専用インターフェイスとして使用できます。これには、EtherChannel インターフェイスも含まれます(management-only コマンドを参照)。
トランスペアレント モードの管理インターフェイス
トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)のいずれか)を個別の管理専用インターフェイスとして使用できます。他のインターフェイスタイプは管理インターフェイスとして使用できません。Firepower 4100/9300 シャーシ では、管理インターフェイス ID は ASA 論理デバイスに割り当てた mgmt-type インターフェイスに基づいています。
マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。Firepower デバイスモデルでコンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。ただし、ASA モデルでは、管理インターフェイスのサブインターフェイスが許可されないため、それらのモデルでコンテキスト単位の管理を行うには、データインターフェイスに接続する必要があります。Firepower 4100/9300 シャーシでは、管理インターフェイスとそのサブインターフェイスは、コンテキスト内で特別に許可された管理インターフェイスとして認識されません。この場合、管理サブインターフェイスをデータインターフェイスとして扱い、BVI に追加する必要があります。
管理インターフェイスは、通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。
(注) |
トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASA によって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが ASA によって再アップデートされることはありません。 |
冗長管理インターフェイスの非サポート
冗長インターフェイスは、Management slot/port インターフェイスをメンバとしてサポートしません。ただし、管理インターフェイス以外の複数インターフェイスからなる冗長インターフェイスを、管理専用として設定できます。
ASA モデルの管理インターフェイスの特性
Asaasa 5500-X モデルの管理インターフェイスには、次の特性があります。
-
通過トラフィックはサポートされません。
-
サブインターフェイスはサポートされません
-
プライオリティ キューはサポートされません
-
マルチキャスト MAC はサポートされません
-
ソフトウェア モジュールは、管理インターフェイスを共有します。ASA とモジュールに対して、別の MAC アドレスと IP アドレスがサポートされます。モジュールのオペレーティング システムでモジュールの IP アドレスのコンフィギュレーションを実行する必要があります。ただし、物理特性(インターフェイスの有効化など)は、ASA 上で設定されます。