基本設定
インタフェース
- インタフェース名(Trust等)を設定する
nameif <description>
- IPアドレスの設定
ip address <ip> (<mask>) (standby <ip>)
VLAN
- 作成
interface vlan <number>
- 特定のVLAN間の通信を一方向のみ許可する
no forward interface vlan <number>
物理インタフェース
- スイッチポート(単一のVLANのみ許可する)設定をする
switchport access vlan <number>
- トランクポート(複数のVLANを許可する)設定をする
switchport trunk allowed vlan <numbers> switchport mode trunk
マネジメント
- マネジメント専用モードにする
management-only
その他
- Standby機のコンフィグを同期させる
write standby
冗長構成
- Standby機をアクティブにする
active# no failover active
or
standby# failover active
- 冗長状態の確認
show failover
- 監視インタフェースの状態確認
show monitor-interface
フェイルオーバーの種類
ステートフルフェイルオーバー
ホットスタンバイ方式
フェイルオーバー
ウォームスタンバイ
フェイルオーバーリンク
フェイルオーバーリンク
フェイルオーバー・ステートフルフェイルオーバーを使用する際に設定するリンク。
データリンクとは別に用意する必要がある。
ステートフルフェイルオーバーリンク
ステートフルフェイルオーバーを使用する際に設定するリンク。
データリンクとは別に用意する必要がある。
フェイルオーバーリンクと共用できる。
MACアドレス
冗長構成をとるとアクティブ機は常にプライマリー機のMACアドレスを使用する。
そのため、フェイルオーバーによってIPは引き継がれるが、
MACアドレスが引き継がれないことによる通診断が発生する。
MACアドレスを両者で同一にすることでこれを防ぐことができる。
自動付与にする場合は次にコマンドで設定できる。
mac-address auto
アップグレード
ゼロダウンタイムアップグレード
以下の場合、ダウンタイムゼロでアップグレードできる
メンテナンスリリースアップグレード
同一のマイナーリリース内であれば、任意のメンテナンスリリースから
任意のメンテナンスリリースへゼロダウンタイムアップグレードできる。
マイナーリリースアップグレード
同一のメジャーリリースであれば、特定のマイナーリリースから
次のバージョンのマイナーリリースへゼロダウンタイムアップグレードできる。
メジャーリリースアップグレード
特定のメジャーリリースの最終マイナーリリースのバージョンから
次のバージョンのメジャーリリースへゼロダウンタイムアップグレードできる。
Active-Standbyフェイルオーバ
手順
- 両方のシステムでロードするイメージを指定する
boot system
- 稼動系から待機系を再起動させる
active# failover reload-standby
- 稼動系から待機系がスタンバイレディ状態になったかを確認する
active# show failover
- 稼動系から待機系へフェイルオーバする
active# no failover active
- 待機形となった旧稼動系をリロードする
newstandby# reload
- スタンバイレディ状態になったら待機系を稼動系に戻す
newstandby# failover active
NAT
NATの種類
スタティックNAT
予め定めた対応表に基づくNATを行う。
1対1、1対N、N対Mで設定できる。
双方向でNATが可能。
任意のポート変換を含めたNATも可能。
ダイナミックNAT
設定したIPアドレスのプールの中から動的に選択したIPにNATされる。
ダイナミックPAT
設定した単一のIPアドレスにNATされる。
その際ポートも動的に変換される。
インタフェースのIPをNAT用IPとして指定することも可能。
アイデンティティNAT
自分自身のIPにNATする。
つまりIPアドレスの変換が行われない。
これによって、広範なNATされるIPから、特定のIPだけNATを除外できる。
Twice NAT
送信元と送信先の両方のIPアドレスをNATする。
NATルールの順序
NATルールの順序は自動で決められる。
全体としてはTwice NAT、スタティック系NAT、ダイナミック系NATの順である。
その中でもさらに、スタティック系NATとダイナミック系NATに関しては次で順位付けされる。
NAT対象オブジェクトのIPアドレスの数(小→大)、IPアドレスの数値の大小(小→大)、NAT対象オブジェクトの名前の順(a→z)
Twice NAT内順序に関しては手動で決定する。
プロキシarp
プロキシarpは標準で有効になっており、不要時には無効にする必要がある。
設定方法
スタティックNAT
- 内部->外部(NAT後オブジェクト非使用パターン)
object network <object name> host 10.X.X.X nat (<outside I/F name>,<inside I/F name>) static 202.X.X.X
- 内部->外部(NAT後オブジェクト使用パターン)
object network <object name out> host 202.X.X.X object network <object name in> host 10.X.X.X nat (<outside I/F name>,<inside I/F name>) static <object name out>
- 内部->外部(PORT変換パターン)
object network <object name> host 10.X.X.X nat (<outside I/F name>,<inside I/F name>) static 202.X.X.X service tcp <original port> <destination port>
- 内部->外部(インタフェースIP使用パターン)
必ずポート変換も行う必要がある。
object network <object name 1> host 10.X.X.A object network <object name 2> host 10.X.X.B object-group network <object name> network-object object <object name 1> network-object object <object name 2> network-object host 10.X.X.C nat (<outside I/F name>,<inside I/F name>) static interface service tcp <original port> <destination port> no-proxy-arp
- 外部->内部のみ(NAT後オブジェクト非使用パターン)
object network <object name> host 202.X.X.X nat (<inside I/F name>,<outside I/F name>) static 10.X.X.X no-proxy-arp
ダイナミックNAT
- 内部->外部(NAT後オブジェクト使用パターン)
object network <object name out> host 202.X.X.X object network <object name in> range 10.X.X.A 10.X.X.B nat (<outside I/F name>,<inside I/F name>) static <object name out>
ダイナミックPAT
- 内部->外部(NAT後オブジェクト使用パターン)
object network <object name out> host 202.X.X.X object network <object name 1> host 10.X.X.A object network <object name 2> host 10.X.X.B object-group network <object name> network-object object <object name 1> network-object object <object name 2> network-object host 10.X.X.C nat (<outside I/F name>,<inside I/F name>) dynamic <object name out>
- 内部->外部(インタフェースIP使用パターン)
object network <object name 1> host 10.X.X.A object network <object name 2> host 10.X.X.B object-group network <object name> network-object object <object name 1> network-object object <object name 2> network-object host 10.X.X.C nat (<outside I/F name>,<inside I/F name>) dynamic interface
確認コマンド
- NATの統計情報を表示
show nat
- NATプールの統計情報を表示
show nat pool
- NATテーブルを一覧表示
show xlate
ACL
確立済みセッション
各セッションはFW通過時に新規か確立済みかを検査され、確立済みの場合は標準で高速転送されるようになっている。
これはUDPなどのコネクションレス通信にも適用される。
確認コマンド
- 一覧表示
show access-list
暗黙的な許可
高セキュリティのインタフェースから低セキュリティのインタフェースへの通信は暗黙的に許可される。
オブジェクト
アドレスオブジェクト
- オブジェクト作成
object network <name>
- IPアドレスの指定(/32)
host <IP address>
- ネットワークドレスの指定
subnet <IP address>
- 特定範囲のIPアドレスの指定
range <IP address A> <IP address B>
- デスクリプション
description <text>
アドレスグループオブジェクト
- オブジェクト作成
object-group network <name>
- アドレスオブジェクトの追加
network-object object <object name>
- アドレスの追加
network-object host <IP address>
サービスオブジェクト
- オブジェクト作成
object service <name>
- tcpの指定
service tcp source range 0 65535 destination eq X
- udpの指定
service udp source range 0 65535 destination eq X
- icmpの指定(PINGの場合)
service icmp X
- IP以外の指定
service <protocol number>
サービスグループオブジェクト
サービスグループオブジェクトはサービスオブジェクトをグルーピングするものではない
- オブジェクト作成
object-group service <name> tcp/udp/tcp-udp
- PORT指定
port-object eq X
- 範囲PORT指定
port-object range X Y
ログ
各ポリシーが適用されるたびにログが生成させる方法と、
あるポリシーに適用後、一定時間(デフォルト300秒)に適用された回数を
カウントしてログと出力させる2種類の方法がある。
前者はデフォルトで拒否ポリシーに有効になっており、
許可ポリシーには使用できない。
拒否された正確な時間が分かること、
リアルタイムにログをsyslogサーバで閲覧できること、
DOSなどで途中で落ちてもある程度のログは回収できるのが利点である。
後者は各ポリシーにログオプション(log)を設定することで使用できる。
こちらは集計することで、ログの量を抑制できることが利点である。
Syslog
- 表示
show logging
設定例
基本設定
! single mode single
インタフェース
仮想インタフェースのMACアドレス自動生成
mac-address auto
VLAN
! 外部ネットワーク interface vlan 10 description ### Untrust ### !
! 内部ネットワーク interface vlan 1000 description ### Trust1 ### !
物理インタフェース
interface GigabitEthernet0/0 description ### csw(First) ### channel-group 1 mode active no shutdown ! interface GigabitEthernet0/1 description ### csw(Second) ### channel-group 1 mode active no shutdown ! interface GigabitEthernet0/2 description ### asa(First) ### no shutdown ! interface GigabitEthernet0/3 description ### asa(Second) ### no shutdown ! interface GigabitEthernet0/4 description ### msw(First) ### channel-group 2 mode active no shutdown ! interface GigabitEthernet0/5 description ### msw(Second) ### channel-group 2 mode active no shutdown !
EtherChannel
interface Port-channel1 description ### Untrust ### nameif Untrust ip address 192.168.0.1 255.255.255.0 standby 192.168.0.2 switchport switchport access vlan 10 switchport mode access port-channel min-bundle 2 ! interface Port-channel2 description ### Trust ### port-channel min-bundle 2 ! interface Port-channel2.1000 description ### Trust1 ### nameif Trust1 vlan 1000 ip address 10.10.0.1 255.255.255.0 standby 10.10.0.2 !
同期用冗長インタフェース
interface redundant 1 member-interface GigabitEthernet0/2 member-interface GigabitEthernet0/3 !
管理インタフェース
telnet 172.28.255.10 255.255.255.255 management
冗長設定
稼動系
! プライマリ設定 failover lan unit primary ! フェイルオーバーリンク failover lan interface folink redundant 1 failover interface ip folink 172.28.255.101 255.255.252.0 standby 172.28.255.102 ! ステートフルフェイルオーバーリンク(フェイルオーバーリンクと共用) failover link folink ! フェイルオーバー同期 failover
待機系
! フェイルオーバーリンク failover lan interface folink redundant 1 failover interface ip folink 172.28.255.101 255.255.252.0 standby 172.28.255.102 ! フェイルオーバー同期 failover
確認
show failover state show failover interface
インタフェースモニタリング
no monitor-interface GigabitEthernet0/0 no monitor-interface GigabitEthernet0/1 no monitor-interface GigabitEthernet0/2 no monitor-interface GigabitEthernet0/3 no monitor-interface GigabitEthernet0/4 no monitor-interface GigabitEthernet0/5 no monitor-interface GigabitEthernet0/6 no monitor-interface GigabitEthernet0/7 monitor-interface Port-channel1 monitor-interface Port-channel2.1000
ポーリング
failover polltime interface 1 holdtime 5 failover polltime unit msec 200 holdtime msec 800
その他
Syslog
logging enable logging timestamp logging host management 127.0.0.1 udp format emblem