この章

CHAPTER
7
DHCP、DDNS、および WCCP サービスの
設定
この章では、DHCP サーバ、ダイナミック DNS のアップデート方式、および適応型セキュリティアプ
ライアンスでの WCCP の設定方法について説明します。
次の項目について説明します。
• 「DHCP、DDNS、および WCCP に関する情報」（P.7-1）
• 「DHCP、DDNS、WCCP のライセンス要件」（P.7-2）
• 「ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。」（P.7-2）
• 「ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。」（P.7-2）
• 「設定例」（P.7-9）
• 「DHCP、DDNS、および WCCP サービスの機能履歴」（P.7-14）
DHCP、DDNS、および WCCP に関する情報
DHCP は、IP アドレスなどのネットワークコンフィギュレーションパラメータを DHCP クライアン
トに提供します。適応型セキュリティアプライアンスは、DHCP サーバまたは DHCP リレーサービス
を適応型セキュリティアプライアンスのインターフェイスに接続されている DHCP クライアントに提
供することができます。DHCP サーバは、ネットワークコンフィギュレーションパラメータを DHCP
クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求
を、別のインターフェイスの背後に位置する外部 DHCP サーバに渡します。
DDNS アップデートでは、DNS を DHCP に組み込みます。これら 2 つのプロトコルは相互補完しま
す。DHCP は、IP アドレス割り当てを集中化および自動化します。DDNS アップデートは、割り当て
られたアドレスとホスト名の間のアソシエーションを事前定義された間隔で自動的に記録します。
DDNS は、頻繁に変わるアドレスとホスト名のアソシエーションを頻繁にアップデートできるように
します。たとえば、モバイルホストは、ユーザや管理者の介入なしで、ネットワーク上を自由に移動
できるようになります。DDNS は、DNS サーバ上で、名前からアドレスへのマッピングと、アドレス
から名前へのマッピングをダイナミックにアップデートして、同期化します。
WCCP では、1 つまたは複数のルータ、レイヤ 3 スイッチ、または適応型セキュリティアプライアン
スと、1 つ以上の Web キャッシュの間の相互作用を指定します。この機能は、選択したタイプのトラ
フィックを Web キャッシュエンジンのグループに透過的にリダイレクトして、リソースの使用状況を
最適化し、応答時間を短縮します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-1
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、WCCP のライセンス要件
DHCP、DDNS、WCCP のライセンス要件
表 7-1 に、DHCP、DDNS、および WCCP のライセンス要件を示します。
表 7-1
ライセンス要件
モデル
ライセンス要件
すべてのモ
デル
基本ライセンス
Cisco ASA 5505 適応型セキュリティアプライアンスの場合、DHCP クライアントアドレスの最大数
はライセンスによって異なります。
ホストの制限が 10 ホストの場合、DHCP プールは 32 アドレスに制限されます。
ホストの制限が 50 ホストの場合、DHCP プールは 128 アドレスに制限されます。
ホストの制限が無制限の場合、DHCP プールは 256 アドレスに制限されます。
（注）
デフォルトでは、Cisco ASA 5505 適応型セキュリティアプライアンスには 10 ユーザライセンスが付
属しています。
DHCP、DDNS、および WCCP の設定
この項は、次の内容で構成されています。
• 「DHCP サーバの設定」（P.7-2）
• 「DHCP リレーサービスの設定」（P.7-7）
• 「DHCPv6 の設定」（P.7-8）
• 「WCCP を使用する Web キャッシュサービスの設定」（P.7-12）
DHCP サーバの設定
この項では、適応型セキュリティアプライアンスによって提供される DHCP サーバの設定方法につい
て説明します。この項は、次の内容で構成されています。
• 「DHCP サーバのイネーブル化」（P.7-2）
• 「DHCP オプションの設定」（P.7-4）
• 「DHCP サーバを利用する Cisco IP Phone の使用」（P.7-6）
DHCP サーバのイネーブル化
適応型セキュリティアプライアンスは DHCP サーバとして動作することができます。DHCP は、ホス
ト IP アドレス、デフォルトゲートウェイ、DNS サーバなどのネットワーク設定をホストに供給するプ
ロトコルです。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-2
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP の設定
（注）
適応型セキュリティアプライアンス DHCP サーバは、BOOTP 要求をサポートしていません。マルチ
コンテキストモードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるイ
ンターフェイス上ではイネーブルにはできません。
ガイドラインと制限事項
次のガイドラインを使用して、DHCP サーバを設定します。
• DHCP サーバは、適応型セキュリティアプライアンスの各インターフェイスに設定することがで
きます。各インターフェイスには、それ自体のアドレスプールがあり、利用できます。しかし、
DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定
はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。
• DHCP クライアントまたは DHCP リレーサービスは、DHCP サーバがイネーブルになっているイ
ンターフェイス上では設定することはできません。これに加えて、DHCP クライアントは、DHCP
サーバがイネーブルになっているインターフェイスに直接接続されている必要があります。
• 適応型セキュリティアプライアンスは、DHCP プロキシで使用する QIP DHCP サーバをサポート
しません。
• セキュリティアプライアンスは、DHCP リクエストを受信すると、検出メッセージを DHCP サー
バに送信します。このメッセージには、グループポリシー内の dhcp-network-scope コマンドで
設定されている（サブネットワーク内の）IP アドレスが含まれます。そのサブネットワークに含
まれるアドレスプールがサーバにある場合、サーバは、プール情報を含む提供メッセージを、検
出メッセージの送信元 IP アドレスではなく、その IP アドレスに送信します。
• たとえば、サーバに範囲が 209.165.200.225 ～ 209.165.200.254 でマスクが 255.255.255.0 のプー
ルがあり、dhcp-network-scope コマンドで指定されている IP アドレスが 209.165.200.1 である場
合、サーバは提供メッセージでそのプールをセキュリティアプライアンスに送信します。
指定された適応型セキュリティアプライアンスのインターフェイスで DHCP サーバをイネーブルにす
るには、次の手順を実行します。
次のコマンドを入力して、アドレスプールを定義します。
コマンド
目的
ステップ 1 dhcpd address ip_address-ip_address
DHCP アドレスプールを作成します。適応型セキュリティアプ
ライアンスは、1 つのクライアントに対して一定時間だけ使用可
能なアドレスを 1 つ、このプールから割り当てます。これらのア
ドレスは、直接接続されているネットワークのための、変換され
ていないローカルアドレスです。
interface_name
例:
hostname(config)# dhcpd address
10.0.1.101-10.0.1.110 inside
アドレスプールは、適応型セキュリティアプライアンスイン
ターフェイスと同じサブネット内にある必要があります。
ステップ 2 dhcpd dns dns1 [dns2]
（オプション）DNS サーバの IP アドレスを指定します。
例:
hostname(config)# dhcpd dns 209.165.201.2
209.165.202.129
ステップ 3 dhcpd wins wins1 [wins2]
（オプション）WINS サーバの IP アドレスを指定します。WINS
サーバは最大 2 つまで指定できます。
例:
hostname(config)# dhcpd wins 209.165.201.5
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-3
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP の設定
コマンド
目的
ステップ 4 dhcpd lease lease_length
（オプション）クライアントに許可するリース期間を変更します。
リース期間は、その期間が終了するまでクライアントがその割り
当て IP アドレスを使用できる時間（秒）のことです。0 ～
1,048,575 の間の値を入力します。デフォルト値は 3600 秒です。
例:
hostname(config)# dhcpd lease 3000
ステップ 5 dhcpd domain domain_name
（オプション）ドメイン名を設定します。
例:
hostname(config)# dhcpd domain example.com
ステップ 6 dhcpd ping_timeout milliseconds
（オプション）DHCP に ping のタイムアウト値を設定します。
アドレスの衝突を避けるために、適応型セキュリティアプライ
アンスは、1 つのアドレスに ICMP ping パケットを 2 回送信し
てから、そのアドレスを DHCP クライアントに割り当てます。
このコマンドは、これらのパケットのタイムアウト値を指定し
ます。
ステップ 7 dhcpd option 3 ip gateway_ip
（透過ファイアウォールモード）DHCP クライアントに送信する
デフォルトのゲートウェイを定義します。DHCP のオプション 3
を使用せずにデフォルトのゲートウェイを定義する場合、
DHCP クライアントは管理インターフェイスの IP アドレスを使
用します。管理インターフェイスは、トラフィックをルーティ
ングしません。
ステップ 8 dhcpd enable interface_name
適応型セキュリティアプライアンス内の DHCP デーモンをイ
ネーブルにし、イネーブルになったインターフェイス上で
DHCP クライアント要求を受信します。
DHCP オプションの設定
適応型セキュリティアプライアンスは、RFC 2132 に記載されている DHCP オプションの情報を送信
するように設定できます。DHCP オプションには次の 3 種類があります。
適応型セキュリティアプライアンスは DHCP オプションの 3 カテゴリをすべてサポートしています。
DHCP オプションを設定するには、次のいずれかを実行します。
IP アドレスを返すオプション
コマンド
目的
dhcpd option code ip addr_1 [addr_2]
1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。
テキスト文字列を返すオプション
コマンド
目的
dhcpd option code ascii text
1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-4
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP の設定
16 進数値を返すオプション
コマンド
目的
dhcpd option code hex value
16 進数値を返す DHCP オプションを設定します。
（注）
適応型セキュリティアプライアンスは、指定されたオプションのタイプおよび値が RFC 2132 に定義
されているオプションコードに対して期待されているタイプおよび値と一致するかどうかは確認しま
せん。たとえば、dhcpd option 46 ascii hello コマンドを入力することは可能であり、適応型セキュリ
ティアプライアンスはこのコンフィギュレーションを受け入れますが、RFC 2132 では、オプション
46 には 1 桁の 16 進数値が期待値として定義されています。オプションコードとその関連タイプおよ
び期待値の詳細については、RFC 2132 を参照してください。
表 7-2 に、dhcpd option コマンドでサポートされていない DHCP オプションを示します。
表 7-2
サポートされていない DHCP オプション
オプションコー
ド
説明
0
DHCPOPT_PAD
1
HCPOPT_SUBNET_MASK
12
DHCPOPT_HOST_NAME
50
DHCPOPT_REQUESTED_ADDRESS
51
DHCPOPT_LEASE_TIME
52
DHCPOPT_OPTION_OVERLOAD
53
DHCPOPT_MESSAGE_TYPE
54
DHCPOPT_SERVER_IDENTIFIER
58
DHCPOPT_RENEWAL_TIME
59
DHCPOPT_REBINDING_TIME
61
DHCPOPT_CLIENT_IDENTIFIER
67
DHCPOPT_BOOT_FILE_NAME
82
DHCPOPT_RELAY_INFORMATION
255
DHCPOPT_END
特定のオプション、つまり DHCP オプション 3、66、および 150 は、Cisco IP Phone を設定するため
に使用します。これらのオプション設定の詳細については、
「DHCP サーバを利用する Cisco IP Phone
の使用」（P.7-6）を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-5
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP の設定
DHCP サーバを利用する Cisco IP Phone の使用
Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で
Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコー
ルプロセッシングが可能となり、必要な装置を少なく抑え、支店側で Cisco CallManager およびその
他のサーバを管理する必要がなくなります。
Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP
Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、
Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得
します。
• DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。
• DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。
Cisco IP Phone では、デフォルトルートを設定する DHCP オプション 3 を要求に含めることもできま
す。
Cisco IP Phone では、1 つの要求にオプション 150 とオプション 66 の両方が含まれることがあります。
この場合、両者が適応型セキュリティアプライアンスで設定されていると、適応型セキュリティアプ
ライアンスの DHCP サーバは、その応答で両方のオプションに対する値を提供します。
RFC 2132 に記載されているオプションの大部分の情報を送信するように適応型セキュリティアプライ
アンスを設定できます。次に、任意のオプション番号のシンタックスと、一般的に使用されているオプ
ション 66、150、および 3 のシンタックスを示します。
コマンド
目的
dhcpd option number value
RFC-2132 で指定されているオプション番号を含む DHCP 要求の情報を
提供します。
コマンド
目的
dhcpd option 66 ascii server_name
オプション 66 の IP アドレスまたは TFTP サーバ名を提供します。
コマンド
目的
dhcpd option 150 ip server_ip1
[server_ip2]
オプション 150 の IP アドレスあるいは 1 つまたは 2 つの TFTP サーバ名
を提供します。
server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、server_ip2 には、セカンダリ
TFTP サーバの IP アドレスまたは名前を指定します。オプション 150 を使用すると、最大 2 つの
TFTP サーバが指定できます。
コマンド
目的
dhcpd option 3 ip router_ip1
デフォルトルートを設定します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-6
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP の設定
DHCP リレーサービスの設定
DHCP リレーエージェントを使用すると、適応型セキュリティアプライアンスを介して DHCP 要求を
クライアントから別のインターフェイスに接続されているルータに転送することができます。
DHCP リレーエージェントを使用する場合、次の制限が適用されます。
• DHCP サーバもイネーブルになっている場合、リレーエージェントをイネーブルにできません。
• DHCP クライアントは直接適応型セキュリティアプライアンスに接続する必要があり、他のリ
レーエージェントやルータを介して要求を送信できません。
• マルチコンテキストモードでは、複数のコンテキストによって使用されるインターフェイス上で
DHCP リレーをイネーブルにできません。
• DHCP リレーサービスは透過ファイアウォールモードでは使用できません。透過ファイアウォー
ルモードの場合、適応型セキュリティアプライアンスは ARP トラフィックだけ通過を許可しま
す。他のトラフィックはすべてアクセスリストが必要です。トランスペアレントモードで DHCP
要求と応答が適応型セキュリティアプライアンスを通過できるようにするには、2 つのアクセスリ
ストを設定する必要があります。1 つは内部インターフェイスから外部への DCHP 要求を許可する
もので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。
• DHCP リレーがイネーブルになっていて、複数の DHCP リレーサーバが定義されている場合、セ
キュリティアプライアンスは定義された各 DHCP リレーサーバにクライアントの要求を転送しま
す。また、クライアントの DHCP リレーバインディングが削除されるまで、サーバからの応答も
クライアントに転送されます。セキュリティアプライアンスが Acknowledgement（ACK; 確認応
答）、Negative Acknowledgement（NACK; 否定応答）、または拒否のいずれかの DHCP メッセー
ジを受け取ると、バインディングは削除されます。
（注）
DHCP プロキシを実行するインターフェイスで DHCP リレーをイネーブルにできません。最初に VPN
DHCP の設定を削除する必要があります。そうしないと、エラーメッセージが表示されます。このエ
ラーは、DHCP リレーと DHCP プロキシの両方がイネーブルになっている場合に発生します。DHCP
リレーまたは DHCP プロキシのどちらか一方だけがイネーブルであり、両方ともイネーブルになって
いないことを確認してください。
DHCP リレーをイネーブルにするには、次の手順を実行します。
コマンド
目的
ステップ 1 dhcprelay server ip_address if_name
DHCP クライアントとは異なるインターフェイス上の DHCP
サーバの IP アドレスを設定します。
例:
hostname(config)# dhcprelay server
201.168.200.4
このコマンドを使用して 4 つまでのサーバを 4 回まで設定でき
ます。
ステップ 2 dhcprelay enable interface
例:
hostname(config)# dhcprelay enable inside
クライアントが接続されているインターフェイス上で DHCP リ
レーをイネーブルにします。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-7
第7章
DHCP、DDNS、および WCCP サービスの設定
ダイナミック DNS の設定
コマンド
目的
ステップ 3 dhcprelay timeout seconds
（オプション）リレーアドレスネゴシエーションに許可する時
間を秒数で設定します。
ステップ 4 dhcprelay setroute interface_name
（オプション）DHCP サーバから送信されたパケットの最初のデ
フォルトルータアドレスを、適応型セキュリティアプライアン
スインターフェイスのアドレスに変更します。
例:
hostname(config)# dhcprelay setroute
inside
このアクションを行うと、クライアントは、自分のデフォルト
ルートを設定して、DHCP サーバで異なるルータが指定されて
いる場合でも、適応型セキュリティアプライアンスをポイント
することができます。
パケット内にデフォルトのルータオプションがなければ、適応
型セキュリティアプライアンスは、そのインターフェイスのア
ドレスを含んでいるデフォルトルータを追加します。
DHCPv6 の設定
DHCPv6 を設定するには、次の手順を実行します。
コマンド
目的
ステップ 1 ipv6 dhcprelay server ipv6_address
例:
hostname(config)# ipv6 dhcprelay server
201.168.200.4
ステップ 2 ipv6 dhcprelay enable interface
例:
hostname(config)# ipv6 dhcprelay enable
inside
ステップ 3 ipv6 dhcprelay timeout seconds
例:
hostname(config)# ipv6 dhcprelay 60
クライアントメッセージを転送する IPv6 DHCP サーバの宛先
アドレスを指定します。
インターフェイス上で DHCPv6 リレーサービスをイネーブル
にします。マルチコンテキストモードでは、共有インターフェ
イス上で DHCP リレーをイネーブルにできません。
（オプション）DHCPv6 リレーアドレスネゴシエーションに許
可する時間を秒数で指定します。最小 / 最大 / デフォルト値は
1/3600/60 です。
ダイナミック DNS の設定
この項では、ダイナミック DNS を適応型セキュリティアプライアンスサポートするためのの設定例に
ついて説明します。DDNS アップデートでは、DNS を DHCP に組み込みます。これら 2 つのプロトコ
ルは相互補完します。つまり、DHCP は、IP アドレス割り当てを集中化および自動化し、ダイナミッ
ク DNS アップデートは、割り当てられたアドレスとホスト名の間のアソシエーションを自動的に記録
します。DHCP とダイナミック DNS アップデートを使用する場合、ホストが IP ネットワークに接続
するときに、必ずそのホストのネットワークアクセスを自動的に設定します。永続的で固有の DNS ホ
スト名を使用してホストを検索し、そこに到達できます。たとえば、モバイルホストは、ユーザや管
理者の介入なしで、自由に移動できるようになります。
DDNS は、アドレスとドメイン名のマッピングを提供して、各ホストの DHCP 割り当てによる IP アド
レスが頻繁に変化しても、ホスト同士が互いに検索できるようにします。DDNS の名前とアドレスの
マッピングは、2 つのリソースレコードの DHCP サーバ上で行われます。Address（A）Resource
Record（RR; リソースレコード）は名前から IP アドレスへのマッピングを保持し、Pointer（PTR）
RR はアドレスから名前へのマッピングを行います。DDNS アップデートを行うための 2 つの方式、つ
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-8
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
設定例
まり、RFC 2136 によって定義される IETF 標準と汎用 HTTP 方式のうち、このリリースで適応型セ
キュリティアプライアンスは IETF 方式をサポートしています。
2 つの最も一般的な DDNS アップデートコンフィギュレーションは次のとおりです。
• DHCP クライアントは A RR をアップデートし、DHCP サーバは PTR RR をアップデートします。
• DHCP サーバは、A RR と PTR RR の両方をアップデートします。
通常、DHCP サーバはクライアントの代わりに DNS PTR RR を保持します。クライアントは、必要な
すべての DNS アップデートを実行するように設定できます。サーバは、これらのアップデートを実行
するかどうかを設定できます。PTR RR をアップデートするには、DHCP サーバがクライアントの
Fully Qualified Domain Name（FQDN; 完全修飾ドメイン名）を認識している必要があります。クライ
アントは Client FQDN と呼ばれる DHCP オプションを使用して、サーバに FQDN を提供します。
設定例
次に、一般的な事例を示します。
• 「例 1：クライアントが A RR と PTR RR の両方をスタティック IP アドレス用にアップデートす
る」（P.7-9）
• 「例 2：クライアントが A RR と PTR RR の両方をアップデートし、DHCP サーバがクライアント
アップデート要求を実行し、コンフィギュレーションを介して FQDN が取得される」（P.7-10）
• 「例 3：クライアントに含まれる FQDN オプションがいずれの RR もアップデートしないように
サーバに要求し、サーバはクライアントを上書きして RR を両方ともアップデートする」（P.7-10）
• 「例 4：クライアントはサーバに両方のアップデートの実行を要求し、サーバは PTR RR だけを
アップデートするように設定されている。クライアントの要求が実行され、A RR と PTR RR の両
方がアップデートされる」（P.7-11）
（P.7-11）
• 「例 5：クライアントは A RR をアップデートし、サーバは PTR RR をアップデートする」
例 1：クライアントが A RR と PTR RR の両方をスタティック IP アドレス
用にアップデートする
次の例では、クライアントを設定して A リソースレコードと PTR リソースレコードの両方をスタ
ティック IP アドレス用にアップデートすることを要求するように設定します。この例を設定するには、
次の手順を実行します。
ステップ 1
クライアントに A RR と PTR RR の両方をアップデートするように要求する DDNS アップデート方式
（ddns-2 と呼ばれる）を定義するには、次のコマンドを入力します。
hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
ステップ 2
方式 ddns-2 を eth1 インターフェイスに関連付けるには、次のコマンドを入力します。
hostname(DDNS-update-method)# interface eth1
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa.example.com
ステップ 3
eth1 のスタティック IP アドレスを設定するには、次のコマンドを入力します。
hostname(config-if)# ip address 10.0.0.40 255.255.255.0
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-9
第7章
DHCP、DDNS、および WCCP サービスの設定
設定例
例 2：クライアントが A RR と PTR RR の両方をアップデートし、DHCP
サーバがクライアントアップデート要求を実行し、コンフィギュレーショ
ンを介して FQDN が取得される
次の例では、（1）DHCP クライアントに A RR と PTR RR の両方をアップデートすることを要求し、
（2）DHCP サーバがその要求を実行するように設定します。この例を設定するには、次の手順を実行
します。
ステップ 1
DHCP サーバがアップデートを行わないように DHCP クライアントを設定するには、次のコマンドを
入力します。
hostname(config)# dhcp-client update dns server none
ステップ 2
DHCP クライアントで、クライアントに A と PTR の両方のアップデートを実行するように指示する
ddns-2 という名前の DDNS アップデート方式を作成するには、次のコマンドを入力します。
hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
ステップ 3
ddns-2 という名前の方式を Ethernet0 という名前の適応型セキュリティアプライアンスインターフェ
イスに関連付け、インターフェイス上で DHCP をイネーブルにするには、次のコマンドを入力します。
hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
hostname(if-config)# ip address dhcp
ステップ 4
DHCP サーバを設定するには、次のコマンドを入力します。
hostname(if-config)# dhcpd update dns
例 3：クライアントに含まれる FQDN オプションがいずれの RR もアップ
デートしないようにサーバに要求し、サーバはクライアントを上書きして
RR を両方ともアップデートする
次の例では、A と PTR のいずれもアップデートしないように DHCP サーバに指示する FQDN オプ
ションを含めるように、DHCP クライアントを設定します。また、クライアントの要求を上書きする
ようにサーバを設定します。その結果、クライアントはアップデートを行わずにバックオフします。
この事例を設定するには、次の手順を実行します。
ステップ 1
ddns-2 という名前のアップデート方式を、A RR と PTR RR の両方のアップデートを要求するように設
定するには、次のコマンドを入力します。
hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns both
ステップ 2
インターフェイス Ethernet0 で ddns-2 という名前の DDNS アップデート方式を割り当て、クライアン
トホスト名（asa）を付与するには、次のコマンドを入力します。
hostname(DDNS-update-method)# interface Ethernet0
hostname(if-config)# ddns update ddns-2
hostname(if-config)# ddns update hostname asa.example.com
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-10
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
設定例
ステップ 3
インターフェイスで DHCP クライアント機能をイネーブルにするには、次のコマンドを入力します。
hostname(if-config)# dhcp client update dns server none
hostname(if-config)# ip address dhcp
ステップ 4
クライアントのアップデート要求を上書きするように DHCP サーバを設定するには、次のコマンドを
入力します。
hostname(if-config)# dhcpd update dns both override
例 4：クライアントはサーバに両方のアップデートの実行を要求し、サーバ
は PTR RR だけをアップデートするように設定されている。クライアント
の要求が実行され、A RR と PTR RR の両方がアップデートされる
次の例では、デフォルトで PTR RR アップデートだけを実行するようにサーバを設定します。ただし
サーバは、A と PTR の両方をアップデートするクライアントの要求を実行します。また、サーバは、
クライアントが提供するホスト名（asa）にドメイン名（example.com）を追加することで FQDN を形
成します。
この事例を設定するには、次の手順を実行します。
ステップ 1
インターフェイス Ethernet0 で DHCP クライアントを設定するには、次のコマンドを入力します。
hostname(config)# interface Ethernet0
hostname(config-if)# dhcp client update dns both
hostname(config-if)# ddns update hostname asa
ステップ 2
DHCP サーバを設定するには、次のコマンドを入力します。
hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com
例 5：クライアントは A RR をアップデートし、サーバは PTR RR をアッ
プデートする
次の例では、クライアントが A リソースレコードをアップデートし、サーバが PTR レコードをアップ
デートするように設定します。また、クライアントは DHCP サーバからのドメイン名を使用して、
FQDN を形成します。
この事例を設定するには、次の手順を実行します。
ステップ 1
ddns-2 という名前の DDNS アップデート方式を定義するには、次のコマンドを入力します。
hostname(config)# ddns update method ddns-2
hostname(DDNS-update-method)# ddns
ステップ 2
インターフェイス Ethernet0 の DHCP クライアントを設定し、アップデート方式をインターフェイス
に割り当てるには、次のコマンドを入力します。
hostname(DDNS-update-method)# interface Ethernet0
hostname(config-if)# dhcp client update dns
hostname(config-if)# ddns update ddns-2
hostname(config-if)# ddns update hostname asa
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-11
第7章
DHCP、DDNS、および WCCP サービスの設定
WCCP を使用する Web キャッシュサービスの設定
ステップ 3
DHCP サーバを設定するには、次のコマンドを入力します。
hostname(config-if)# dhcpd update dns
hostname(config-if)# dhcpd domain example.com
WCCP を使用する Web キャッシュサービスの設定
Web キャッシングの目的は、遅延とネットワークトラフィックを減らすことです。以前アクセスした
Web ページがキャッシュバッファに保存されているため、ページが再度必要になったときに、Web
サーバではなくキャッシュから取得できます。
WCCP は、適応型セキュリティアプライアンスと外部 Web キャッシュの間の相互作用を指定します。
この機能は、選択したタイプのトラフィックを Web キャッシュエンジンのグループに透過的にリダイ
レクトして、リソースの使用状況を最適化し、応答時間を短縮します。適応型セキュリティアプライ
アンスは、WCCP バージョン 2 だけをサポートしています。
適応型セキュリティアプライアンスを仲介役として使用すると、WCCP リダイレクトを行うために個
別のルータが不要になります。これは、適応型セキュリティアプライアンスがキャッシュエンジンへ
のリダイレクト要求を処理できるためです。適応型セキュリティアプライアンスは、パケットにリダ
イレクトが必要な時期を認識すると、TCP ステートトラッキング、TCP シーケンス番号のランダム
化、およびトラフィックフローでの Network Address Translation（NAT; ネットワークアドレス変換）
をスキップします。
この項は、次の内容で構成されています。
• 「WCCP 機能のサポート」（P.7-12）
• 「WCCP とその他の機能との相互作用」（P.7-13）
• 「WCCP リダイレクションのイネーブル化」（P.7-13）
WCCP 機能のサポート
適応型セキュリティアプライアンスでは、次の WCCPv2 機能がサポートされています。
• TCP/UDP ポート宛ての複数のトラフィックのリダイレクション。
• サービスグループ内のキャッシュエンジンのための認証。
次の WCCPv2 機能は、適応型セキュリティアプライアンスでサポートされていません。
• サービスグループ内の複数のルータはサポートされていません。サービスグループ内の複数の
キャッシュエンジンはサポートされています。
• マルチキャスト WCCP はサポートされていません。
• レイヤ 2 リダイレクト方式はサポートされていません。GRE カプセル化だけがサポートされてい
ます。
• WCCP 送信元アドレススプーフィング。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-12
OL-18970-01-J
第7章
DHCP、DDNS、および WCCP サービスの設定
WCCP を使用する Web キャッシュサービスの設定
WCCP とその他の機能との相互作用
適応型セキュリティアプライアンスの WCCP の実装では、プロトコルと他の設定可能な機能との相互
作用に次の点が適用されます。
• 入力アクセスリストエントリの優先度は常に WCCP よりも上です。たとえば、アクセスリストで
サーバとの通信をクライアントに許可していない場合、トラフィックはキャッシュエンジンにリ
ダイレクトされません。入力インターフェイスアクセスリストと出力インターフェイスアクセス
リストの両方が適用されます。
• TCP 代行受信、認可、URL フィルタリング、検査エンジン、および IPS 機能は、トラフィックの
リダイレクトフローに適用されません。
• キャッシュエンジンが要求に対してサービスを行わずパケットが戻された場合、またはキャッ
シュエンジンでキャッシュミスが生じて Web サーバからデータを要求した場合、トラフィックフ
ローの内容が適応型セキュリティアプライアンスのその他すべての設定機能に反映されます。
• フェールオーバーでは、WCCP リダイレクトテーブルはスタンバイ装置に複製されません。
フェールオーバー後、テーブルが再構築されるまでパケットはリダイレクトされません。多くの場
合、フェールオーバー前にリダイレクトされたセッションは、Web サーバによってリセットされ
ます。
WCCP リダイレクションのイネーブル化
適応型セキュリティアプライアンスで WCCP リダイレクションを設定するには、2 つの手順がありま
す。まず wccp コマンドでリダイレクトするサービスを特定し、次に wccp redirect コマンドでリダイ
レクションを行うインターフェイスを定義します。また、オプションで wccp コマンドは、サービスグ
ループに参加するキャッシュエンジンや、そのキャッシュエンジンにリダイレクトされるトラフィッ
クを定義することもできます。
WCCP リダイレクトは、インターフェイスの入力側でだけサポートされています。適応型セキュリ
ティアプライアンスでサポートされている唯一のトポロジは、クライアントとキャッシュエンジンが
適応型セキュリティアプライアンスの同じインターフェイスの背後にあり、キャッシュエンジンが適
応型セキュリティアプライアンスを介さずに直接クライアントと通信を行う場合です。
次のコンフィギュレーションタスクは、ネットワークに含めるキャッシュエンジンがすでにインス
トールおよび設定されていることを前提としています。
WCCP リダイレクションを設定するには、次の手順を実行します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
7-13
第7章
DHCP、DDNS、および WCCP サービスの設定
DHCP、DDNS、および WCCP サービスの機能履歴
コマンド
目的
ステップ 1 wccp {web-cache | service_number}
[redirect-list access_list] [group-list
access_list] [password password]
WCCP サービスグループをイネーブルにします。
redirect-list access_list 引数は、このサービスグループにリダ
イレクトするトラフィックを制御します。
例:
hostname(config)# wccp web-cache
group-list access_list 引数は、サービスグループに参加が許可
される Web キャッシュ IP アドレスを判別します。
password password 引数は、サービスグループから受け取る
メッセージの MD5 認証を指定します。認証で受け入れられない
メッセージは廃棄されます。
ステップ 2 wccp interface interface_name {web-cache |
service_number} redirect in
インターフェイスでの WCCP リダイレクションをイネーブルに
します。
例:
hostname(config)# wccp interface inside
web-cache redirect in
（注）
標準サービスは web-cache で、TCP ポート 80（HTTP）トラフィックを代行受信してキャッシュエン
ジンにリダイレクトします。ただし、必要に応じて、0 ～ 254 のサービス番号を特定できます。たとえ
ば、ネイティブの FTP トラフィックをキャッシュエンジンに透過的にリダイレクトするには、WCCP
サービス 60 を使用します。このコマンドは、イネーブルにするサービスグループごとに何度も入力で
きます。
DHCP、DDNS、および WCCP サービスの機能履歴
表 7-3 に、この機能のリリース履歴の一覧を示します。
表 7-3
DHCP、DDNS、および WCCP サービスの機能履歴
機能名
リリース
機能情報
DHCP
7.0(1)
この機能が導入されました。
DDNS
7.0(1)
この機能が導入されました。
WCCP
7.2(1)
この機能が導入されました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
7-14
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz