キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA5500-X: Internet Firewall 設定例 (WAN側 固定IP or DHCP利用時)

[toc:faq]

 

概要

簡易インターネットFirewallとして導入する際に利用できる設定例を紹介します。本例では、WAN側接続に固定IP もしくは DHCPを利用します。

対象製品は以下を想定してますが、他のASAモデルでも当設定例の流用が可能です。

    • ASA5506-X, ASA5508-X, ASA5516-X
    • ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X

  
なお、当設定例を利用前に、ASAの初期セットアップが完了している必要があります。 初期セットアップが まだの場合は、ASA5500-X: 初期化と、ASDMからのS/Wアップグレード、ライセンス有効化 を確認してください。

当ドキュメントは、ASA5506-X ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。

   

  

ネットワーク構成

当ドキュメントの設定例を用いて、以下のような構成を実現可能です。

アドレスと接続構成

接続先 Interface Name ASA IP情報 その他 設定
 WAN  outside  172.16.0.1/24
       or
 DHCPでIP情報受信
 固定IP時はGatewayは172.16.0.254
       or
 DHCP利用時は Default Routeを受信
 LAN  inside  192.168.0.254/24  DHCPサーバ機能 有効
  (割当IPレンジ:192.168.0.1~200)

 
 

通信構成

接続元 送信元IP情報 宛先IP情報 宛先サービス/ポート 許可/拒否
 LAN  192.168.0.241
 (管理者端末)
 192.168.0.254
 (ASA inside IP)
 ASDM (TCP443)  許可
 Telnet (TCP23)  許可
 192.168.0.0/24  全て   HTTP (TCP80)  許可
 HTTPS (TCP443)  許可
 DNS (UDP53)  許可
 NTP (UDP123)  許可
 ICMP  許可
 その他 全て  拒否
 WAN  全て  全て  全て  拒否

 
   

  

設定例

利用モデルによりポート構成とインターフェイス名が異なることがあります。 以下の設定例の違いは、インターフェイス名のみです。 ポート構成について詳しくは、ASA: モデル別 ポート構成とインターフェイス名 を参照してください。

(青字)の箇所は、環境に合わせ変更し利用してください。 主要設定の説明は後述します。 感嘆符(!)が先頭についている行は、実機に設定しても反映されない コメント行です。

Internet-FW-01 設定例 (ASA5506/08/16利用時)

!--------------------------------------------------------
! Internet-Firewall Configuration Template
!   for ASA5506-X, ASA5508-X, ASA5516-X
!--------------------------------------------------------
!
! HOSTNAME and PASSWORD
!
hostname Internet-FW-01
enable password (特権パスワード)
!
!
!--------------------------------------------------------
!
! WAN
!
interface GigabitEthernet1/1
 nameif outside
 security-level 0
 ip address (IPアドレス サブネットマスク もしくは dhcp setroute)
 no shutdown
!
route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス)      !! 固定IP利用時のみ必要
!
!--------------------------------------------------------
!
! LAN - INTERFACE
!
interface GigabitEthernet1/2
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0
 no shutdown
!
!
! LAN - DHCP SERVER
!
dhcpd address 192.168.0.1-192.168.0.200 inside
dhcpd dns (DNSサーバIPアドレス) interface inside
dhcpd enable inside
!
!
!--------------------------------------------------------
!
! ACCESS CONTROL - LAN to WAN
!
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any
access-group ACL-INSIDE in interface inside
!
!
! ACCESS CONTROL - WAN to LAN
!
access-list ACL-OUTSIDE extended deny ip any any
access-group ACL-OUTSIDE in interface outside
!
!
! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION
!
policy-map global_policy
 class inspection_default
  inspect icmp
!
service-policy global_policy global
!
!
!--------------------------------------------------------
!
! NAT
!
object network PAT-192.168.0.0-24
 subnet 192.168.0.0 255.255.255.0
 nat (inside,outside) dynamic interface
!
!
!--------------------------------------------------------
!
! MANAGEMENT - LOGGING
!
logging enable
logging timestamp
logging buffer-size 40000
logging buffered errors
logging asdm informational
!
!
! MANAGEMENT - ASDM ACCESS
!
http server enable
http 192.168.0.241 255.255.255.255 inside
!
!
! MANAGEMENT - TELNET ACCESS
!
telnet 192.168.0.241 255.255.255.255 inside
passwd (Telnet用パスワード)
!
!
!--------------------------------------------------------

   

Internet-FW-01 設定例 (ASA5512/15/25/45/55利用時)

!--------------------------------------------------------
! Internet-Firewall Configuration Template
!   for ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
!--------------------------------------------------------
!
! HOSTNAME and PASSWORD
!
hostname Internet-FW-01
enable password (特権パスワード)
!
!
!--------------------------------------------------------
!
! WAN - INTERFACE
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address (IPアドレス サブネットマスク もしくは dhcp setroute)
 no shutdown
!
route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス)      !! 固定IP利用時のみ必要
!
!--------------------------------------------------------
!
! LAN - INTERFACE
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0
 no shutdown
!
!
! LAN - DHCP SERVER
!
dhcpd address 192.168.0.1-192.168.0.200 inside
dhcpd dns (DNSサーバIPアドレス) interface inside
dhcpd enable inside
!
!
!--------------------------------------------------------
!
! ACCESS CONTROL - LAN to WAN
!
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any
access-group ACL-INSIDE in interface inside
!
!
! ACCESS CONTROL - WAN to LAN
!
access-list ACL-OUTSIDE extended deny ip any any
access-group ACL-OUTSIDE in interface outside
!
!
! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION
!
policy-map global_policy
 class inspection_default
  inspect icmp
!
service-policy global_policy global
!
!
!--------------------------------------------------------
!
! NAT
!
object network PAT-192.168.0.0-24
 subnet 192.168.0.0 255.255.255.0
 nat (inside,outside) dynamic interface
!
!
!--------------------------------------------------------
!
! MANAGEMENT - LOGGING
!
logging enable
logging timestamp
logging buffer-size 40000
logging buffered errors
logging asdm informational
!
!
! MANAGEMENT - ASDM ACCESS
!
http server enable
http 192.168.0.241 255.255.255.255 inside
!
!
! MANAGEMENT - TELNET ACCESS
!
telnet 192.168.0.241 255.255.255.255 inside
passwd (Telnet用パスワード)
!
!
!--------------------------------------------------------

   

  

  

設定の説明

主要設定の説明や、その補足・カスタマイズ情報などを、以下に記載します。   

WAN側 

 ip address (IPアドレス+サブネットマスク or dhcp setroute)

WAN側接続に、固定IPを利用するか、DHCPでIP情報を受信するか、で設定が異なります。

例えば、WAN側Interfaceで 固定IPアドレス 172.16.0.1/24を設定する場合は、「ip address 172.16.0.1 255.255.255.0」と設定します。

例えば、WAN側Interfaceで DHCPでIP情報と デフォルトルートを受け取る場合は、「ip address dhcp setroute」と設定します。

 
route outside 0.0.0.0 0.0.0.0 (GatewayのIPアドレス)

固定IPアドレスを利用時のみ デフォルトルートの設定が必要です。 例えば、WAN(Internet)宛のルータのIPアドレスが 172.16.0.254の場合は、「route outside 0.0.0.0 0.0.0.0 172.16.0.254」と設定します。

    

その他 設定

上記以外の設定は、以下ドキュメントを参考にしてください。

ASA5500-X: Internet Firewall 設定例 (WAN側 PPPoE利用時)

 
 

動作確認

設定後の動作確認例を紹介します。

WAN側の動作確認 (固定IP利用時)

show run interfaceコマンドで、各インターフェイスの設定状況を確認します。

Internet-FW-01(config)# show run interface
!
interface GigabitEthernet1/1
  nameif outside
  security-level 0
  ip address 172.16.0.1 255.255.255.0
!
interface GigabitEthernet1/2
  nameif inside
  security-level 100
  ip address 192.168.0.254 255.255.255.0
!
interface GigabitEthernet1/3
  shutdown
  no nameif
  no security-level
  no ip add

   

show interface ip briefコマンドで、IPアドレス割当て状況と、データInterfaceのStatus状況を確認します。 例えば、以下出力例の場合、Interface GigabitEthernet1/1は 172.16.0.1が固定IPで割当てられ、Upしている事を確認できます。

Internet-FW-01(config)# show interface ip brief
Interface                       IP-Address          OK?    Method     Status                       Protocol
GigabitEthernet1/1         172.16.0.1         YES    manual     up                             up
GigabitEthernet1/2         192.168.0.254     YES    CONFIG    up                             up
GigabitEthernet1/3         unassigned          YES    unset       administratively down down

  

show routeコマンドで、デフォルトルート(0.0.0.0/0)が正しく設定されていることを確認します。

Internet-FW-01(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 122.1.253.8 to network 0.0.0.0
  
S*       0.0.0.0 0.0.0.0 [1/0] via 172.16.0.254, outside
C        172.16.0.0 255.255.255.0 is directly connected, outside
L        172.16.0.1 255.255.255.255 is directly connected, outside
C        192.168.0.0 255.255.255.0 is directly connected, inside
L        192.168.0.254 255.255.255.255 is directly connected, inside

  

   

WAN側の動作確認 (DHCP利用時)

show run interfaceコマンドで、各インターフェイスの設定状況を確認します。

Internet-FW-01(config)# show run interface
!
interface GigabitEthernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
!
interface GigabitEthernet1/2
  nameif inside
  security-level 100
  ip address 192.168.0.254 255.255.255.0
!
interface GigabitEthernet1/3
  shutdown
  no nameif
  no security-level
  no ip add

   

show interface ip briefコマンドで、IPアドレス割当て状況と、データInterfaceのStatus状況を確認します。 例えば、以下出力例の場合、Interface GigabitEthernet1/1は 172.16.0.105のIP情報をDHCPで学習し、Upしている事を確認できます。

Internet-FW-01(config)# show interface ip brief
Interface                       IP-Address          OK?    Method     Status                       Protocol
GigabitEthernet1/1         172.16.0.105     YES    DHCP       up                             up
GigabitEthernet1/2         192.168.0.254     YES    CONFIG    up                             up
GigabitEthernet1/3         unassigned          YES    unset       administratively down down

  

show routeコマンドで、デフォルトルート(0.0.0.0/0)を正しく学習していることを確認します。

Internet-FW-01(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 122.1.253.8 to network 0.0.0.0
  
S*       0.0.0.0 0.0.0.0 [1/0] via 172.16.0.254, outside
C        172.16.0.0 255.255.255.0 is directly connected, outside
L        172.16.0.105 255.255.255.255 is directly connected, outside
C        192.168.0.0 255.255.255.0 is directly connected, inside
L        192.168.0.254 255.255.255.255 is directly connected, inside

  

    

その他 動作確認

上記以外の動作確認は、以下ドキュメントを参考にしてください。

ASA5500-X: Internet Firewall 設定例 (WAN側 PPPoE利用時)

   

  

トラブルシューティング

当ドキュメントの設定例を利用時の、トラブル対応に役に立つドキュメントを紹介します。

 

   

関連情報

バージョン履歴
改訂番号
1/1
最終更新:
‎05-01-2017 07:20 PM
更新者:
 
ラベル(1)