動作確認環境
- FPR-1010 (Firepower 1010)
- ASA OS Version 9.18(3)55
Firepower のインターフェース設定
ここでは、ASA OS をインストールしている Firepower 1000/2100 シリーズにおけるインターフェースの基本的な設定項目について記載します。
インターフェースの設定(必須項目)
Firepower(ASA) のインターフェース設定では以下項目の設定が必須です。
- nameif
- security-level
- IP アドレス
nameif の設定
nameif はインターフェースの名前の設定です。Firepower(ASA) では様々な設定においてインターフェースを指定する際に Ethernet1/x といったインターフェースそのものの名前ではなく、この nameif で設定した名前を使用します。
nameif <name><name>:任意のインターフェース名- 最大 48 文字で名前を設定する
- 名前は大文字と小文字が区別されない
- 複数のインターフェースに同一の名前を設定することはできない
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# nameif outside
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# nameif insidenameif の値としての「inside」と「outside」はあらかじめ使用されることが想定された特別な値で、「inside」は内部の信頼できるネットワーク、「outside」は外部の信頼できないネットワークを意味します。nameif の値として「inside」や「outside」を設定すると、 security-level (次の項目で説明) が自動で以下の値に設定されます。
- inside ⇒ security-level 100
- outside ⇒ security-level 0
security-level の設定
security-level は、インターフェース先のネットワークがどの程度信頼できるかを示す設定です。
security-level <0-100><0-100>:セキュリティレベルの値(整数値)- 値が大きい方がより信頼できるという意味
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# security-level 0
ciscoasa(config)# interface vlan1
ciscoasa(config-if)# security-level 100Firepower を通過する通信の入力/出力インターフェースの security-level の大小関係によって、通信の許可/拒否の動作が決まります。そのため Firepower の通信制御を設計する上で重要な設定となります。
security-level について詳しくは以下の記事で説明しています。
IP アドレスの設定
◆静的 IP を設定する場合
静的に IP アドレスを設定する場合は以下のコマンドで設定します。
ip address <address> <subnet-mask><address><subnet-mask>:サブネットマスク。x.x.x.x の形式
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# ip address 192.168.179.20 255.255.255.0◆DHCP クライアントとして設定する場合
DHCP サーバから IP アドレスを取得する DHCP クライアントとして設定する場合は以下のコマンドで設定します。
ip address dhcp [setroute]setroute:オプション。DHCP サーバから取得するデフォルトゲートウェイを使用したデフォルトルートをルーティングテーブルにインストールする場合は設定する
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# ip address dhcp setrouteインターフェースの設定(オプション項目)
shutdown の設定
shutdown と設定すると、そのインターフェースは管理的に down の状態となり使用できなくなります。shutdown 有効/無効は以下のコマンドで設定します。
shutdown- shutdown 状態とします
no shutdown- shutdown 状態を解除します
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# shutdown
ciscoasa(config)# interface Ethernet1/2
ciscoasa(config-if)# no shutdownDescription の設定
Description はインターフェースに関する任意の説明文字列です。インターフェースについて説明文字列を残しておきたい場合に設定します。インターフェースの接続先情報を入れることが多いです。
description <string><string>:任意の文字列。200文字以内で設定
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# description To-InternetSpeed/Duplex の設定
インターフェースの Speed/Duplex はデフォルトでは auto/auto となっています。
これらを固定値に変更したい場合は以下のコマンドで設定します。
speed <speed><speed>
duplex <duplex><duplex>
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# speed 100
ciscoasa(config-if)# duplex fullmanagement-only の設定
management-only を設定すると、そのインターフェースは管理アクセスのみに使用でき、通常のサービス通信は通過できないインターフェースとなります。管理インターフェースを持つモデルでは、その管理インターフェースはデフォルトで management-only が有効となっています。通常の Ethernet インターフェースで management-only を有効化することも可能です。
management-only
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# management-onlyswitchport の設定
Firepower 1010 の場合は、Ethernet1/1~1/8 をスイッチポートとしても、ルーテッドポートとしても使用できます。デフォルトではスイッチポートとなっています。
以下のコマンドで、スイッチポート/ルーテッドポートを切り替えることができます。
switchport- スイッチポートに切り替える
no switchport- ルーテッドポートに切り替える
設定例:
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# switchport
ciscoasa(config)# interface Ethernet1/1
ciscoasa(config-if)# no switchport参考資料
