designetwork

ネットワークを軸としたIT技術メモ

基本ライセンスのASA5505でVLAN nameif設定エラーを解消する

f:id:daichi703n:20170116224342j:plain

Cisco ASA5505は基本ライセンスでは3つまでVLANを設定できる。ただし、普通に設定をしようとすると、3つ目のVLANにnameifを設定する際にエラーとなる。エラーを解消して、3つ目のVLANにnameifを設定する方法を記載する。

Cisco ASA5505の中古価格が下がってきており、自宅インターネット接続ルータとして導入するハードルが下がってきている。この手順でDMZも構築でき、インターネットへのサービス公開が安全にできる。

自宅ネットワーク構成

ASA5505は基本ライセンスのため、VLAN trunkの設定ができない。拡張ライセンスで20VLANまで、trunk接続も可能。そのため、Cat2960に対してそれぞれのVLANをaccessで接続し、ルーティングポイントとしてのみASA5505を使用している。

ASA5505(基本ライセンス)
|V1 |V50 |V99
Cat2960(ASA接続はすべてaccess)
|V1 |V50 |V99
PC SV ONU

VLAN内訳

1 : management(inside)
50: dmz
99: outside(internet)

ASA5505# sh run int vlan 1
!
interface Vlan1
 nameif management
 security-level 100
 ip address 192.168.1.5 255.255.255.0 
ASA5505# sh run int vlan 99
!
interface Vlan99
 description internet
 nameif outside
 security-level 0
 pppoe client vpdn group nifty
 ip address pppoe setroute 

エラー内容

VLANにnameifを設定しようとすると、以下のエラーとなる。基本ライセンスの場合、3つ目のVLANからは先に設定のいずれかのVLANにしかアクセスできない。

ASA5505# conf t
ASA5505(config)# int vlan 50
ASA5505(config-if)# nameif dmz
ERROR: This license does not allow configuring more than 2 interfaces with 
nameif and without a "no forward" command on this interface or on 1 interface(s)
with nameif already configured.

エラー回避設定手順

Ciscoオフィシャルにも手順の記載がある。

Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4 - インターフェイス コンフィギュレーションの 開始(ASA 5505) - Cisco Systems

DMZからinsideへの転送を禁止することで、nameifが設定でき通信が可能となる。

ASA5505# conf t
ASA5505(config)# int vlan 50
ASA5505(config-if)# no forward interface vlan 1
ASA5505(config-if)# nameif dmz
ASA5505(config-if)# security-level 50
ASA5505(config-if)# ip address 192.168.50.1 255.255.255.0
ASA5505(config-if)# end
ASA5505# sh run int vlan 50
!
interface Vlan50
 no forward interface Vlan1
 nameif dmz
 security-level 50
 ip address 192.168.50.1 255.255.255.0 
ASA5505# 

なお、インターネットへのアクセスにはinsideと同様にNAPT設定が必要。FW設計によってはACL適用も必要。(この例はSecurity Levelで制御)

ASA5505# sh run | grep Internet
object-group network Internet-PAT
nat (management,outside) source dynamic Internet-PAT interface
ASA5505# conf t
ASA5505(config)# nat (dmz,outside) source dynamic Internet-PAT interface
ASA5505(config)# end

まとめ - 基本ライセンスのASA5505でVLAN nameif設定エラーを解消する

3つ目のVLANにno forwardのコマンドを設定することにより、基本ライセンスのCisco ASA5505でのVLAN nameif設定エラーを解消した。これにより、inside, outside, dmzの一般的なネットワーク構成が可能となる。