Cisco ASA5505は基本ライセンスでは3つまでVLANを設定できる。ただし、普通に設定をしようとすると、3つ目のVLANにnameifを設定する際にエラーとなる。エラーを解消して、3つ目のVLANにnameifを設定する方法を記載する。
Cisco ASA5505の中古価格が下がってきており、自宅インターネット接続ルータとして導入するハードルが下がってきている。この手順でDMZも構築でき、インターネットへのサービス公開が安全にできる。
自宅ネットワーク構成
ASA5505は基本ライセンスのため、VLAN trunkの設定ができない。拡張ライセンスで20VLANまで、trunk接続も可能。そのため、Cat2960に対してそれぞれのVLANをaccessで接続し、ルーティングポイントとしてのみASA5505を使用している。
ASA5505(基本ライセンス)
|V1 |V50 |V99
Cat2960(ASA接続はすべてaccess)
|V1 |V50 |V99
PC SV ONU
VLAN内訳
1 : management(inside)
50: dmz
99: outside(internet)
ASA5505# sh run int vlan 1 ! interface Vlan1 nameif management security-level 100 ip address 192.168.1.5 255.255.255.0 ASA5505# sh run int vlan 99 ! interface Vlan99 description internet nameif outside security-level 0 pppoe client vpdn group nifty ip address pppoe setroute
エラー内容
VLANにnameifを設定しようとすると、以下のエラーとなる。基本ライセンスの場合、3つ目のVLANからは先に設定のいずれかのVLANにしかアクセスできない。
ASA5505# conf t ASA5505(config)# int vlan 50 ASA5505(config-if)# nameif dmz ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured.
エラー回避設定手順
Ciscoオフィシャルにも手順の記載がある。
DMZからinsideへの転送を禁止することで、nameifが設定でき通信が可能となる。
ASA5505# conf t ASA5505(config)# int vlan 50 ASA5505(config-if)# no forward interface vlan 1 ASA5505(config-if)# nameif dmz ASA5505(config-if)# security-level 50 ASA5505(config-if)# ip address 192.168.50.1 255.255.255.0 ASA5505(config-if)# end ASA5505# sh run int vlan 50 ! interface Vlan50 no forward interface Vlan1 nameif dmz security-level 50 ip address 192.168.50.1 255.255.255.0 ASA5505#
なお、インターネットへのアクセスにはinsideと同様にNAPT設定が必要。FW設計によってはACL適用も必要。(この例はSecurity Levelで制御)
ASA5505# sh run | grep Internet object-group network Internet-PAT nat (management,outside) source dynamic Internet-PAT interface ASA5505# conf t ASA5505(config)# nat (dmz,outside) source dynamic Internet-PAT interface ASA5505(config)# end
まとめ - 基本ライセンスのASA5505でVLAN nameif設定エラーを解消する
3つ目のVLANにno forwardのコマンドを設定することにより、基本ライセンスのCisco ASA5505でのVLAN nameif設定エラーを解消した。これにより、inside, outside, dmzの一般的なネットワーク構成が可能となる。