基本的なインターフェイス設定について
この項では、インターフェイスの機能と特殊なインターフェイスについて説明します。
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。
管理インターフェイス
管理インターフェイスは、使用しているモデルに応じて、管理トラフィック専用の個別インターフェイスとなります。
管理インターフェイスの概要
次のインターフェイスに接続して ASA を管理できます。
-
任意の通過トラフィック インターフェイス
-
専用の管理スロット/ポート インターフェイス(使用しているモデルで使用できる場合)
管理アクセスの説明に従って、管理アクセスへのインターフェイスを設定する必要がある場合があります。
管理スロット/ポート インターフェイス
次の表に、モデルごとの管理インターフェイスを示します。
モデル |
管理 0/0 |
管理 0/1 |
管理 1/0 |
管理 1/1 |
通過トラフィックに対して設定可能 |
サブインターフェイスを使用可能 |
---|---|---|---|---|---|---|
Firepower 1000 |
— |
— |
— |
対応 |
対応 |
対応 |
Firepower 2100 |
— |
— |
— |
対応 |
— 注:技術的には、通過トラフィックを有効にすることはできますが、このインターフェイスのスループットはデータ操作には適していません。 |
対応 |
Cisco Secure Firewall 3100 |
— |
— |
— |
対応 |
対応 |
対応 |
Firepower 4100/9300 |
該当なし インターフェイス ID は ASA 論理デバイスに割り当てた物理 mgmt タイプ インターフェイスに基づいています。 |
— |
— |
— |
— |
対応 |
ISA 3000 |
— |
— |
— |
対応 |
— |
— |
ASAv |
対応 |
— |
— |
— |
対応 |
— |
管理専用トラフィックに対する任意のインターフェイスの使用
任意のインターフェイスを、管理トラフィック用として設定することによって管理専用インターフェイスとして使用できます。これには、EtherChannel インターフェイスも含まれます。
トランスペアレント モードの管理インターフェイス
トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)のいずれか)を個別の管理専用インターフェイスとして使用できます。他のインターフェイスタイプは管理インターフェイスとして使用できません。Firepower 4100/9300 シャーシ では、管理インターフェイス ID は ASA 論理デバイスに割り当てた mgmt-type インターフェイスに基づいています。
マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。Firepower デバイスモデルでコンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。ただし、ASA モデルでは、管理インターフェイスのサブインターフェイスが許可されないため、それらのモデルでコンテキスト単位の管理を行うには、データインターフェイスに接続する必要があります。Firepower 4100/9300 シャーシでは、管理インターフェイスとそのサブインターフェイスは、コンテキスト内で特別に許可された管理インターフェイスとして認識されません。この場合、管理サブインターフェイスをデータインターフェイスとして扱い、BVI に追加する必要があります。
管理インターフェイスは、通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。
(注) |
トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASA によって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが ASA によって再アップデートされることはありません。 |