|
◆ オブジェクトの設定
オブジェクトとは、コンフィグで使用するための再利用可能なコンポーネントです。オブジェクトによって
コンフィグのメンテナンスが容易になります。これは一部分でオブジェクトを変更してそのオブジェクトを
参照しているその他全ての場所に反映できるからです。このオブジェクトは、ネットワークオブジェクトと
サービスオブジェクトの2種類を設定できます。そしてNAT、ACL、オブジェクトグループで使用できます。
| 2種類のオブジェクト |
説明 |
| ネットワークオブジェクト |
1つのIPアドレスとマスクのペアが含まれる。ホスト、サブネット、範囲の3種類のこと。 |
| サービスオブジェクト |
プロトコル、及びオプションの送信元ポート、宛先ポート、またはその両方が含まれる。 |
◆ ネットワークオブジェクトの設定
(config)# object network name
(config-network-object)# host ip-address | subnet net-address net-mask | range ip-address
◆ 設定例 : “LAN1” という名のネットワークオブジェクトに、「 192.168.1.0/24 」 のネットワークを割り当てる設定
(config)# object network LAN1
(config-network-object)# subnet 192.168.1.0 255.255.255.0
|
◆ サービスオブジェクトの設定
(config)# object service name
(config-service-object)# service protocol | icmp type | tcp | udp | source port | dest port
◆ 設定例 :
(config)# object service SERVICE1
(config-service-object)# service tcp source eq www destination eq ssh
|
◆ オブジェクトグループの設定
類似オブジェクトをグループにまとめると、例えば、オブジェクトごとのACE(Access Control Entry)を入力
する代わりにACEでオブジェクトグループを使用できます。次のタイプのオブジェクトグループを作成できます。
・ プロトコルオブジェクトグループ
・ ネットワークオブジェクトグループ
・ サービスオブジェクトグループ
・ ICMPタイプオブジェクトグループ
◆ プロトコルオブジェクトグループの追加
(config)# object-group protocol obj-grp-id
(config-protocol)# protocol-object protocol
◆ 設定例 : TCP、UDP、ICMPのプロトコルグループを作成
(config)# object-group protocol MYSERVICE
(config-protocol)# protocol-object tcp
(config-protocol)# protocol-object udp
(config-protocol)# protocol-object icmp
|
◆ ネットワークオブジェクトグループの追加
(config)# object-group network grp-id
(config-protocol)# network-object [ object name | host ip-address | ip-address mask ]
⇒ object キーワードは、ネットワークオブジェクトグループに追加オブジェクトを追加できる。
◆ 設定例 : 管理者用の3つのIPアドレスのグループを作成
(config)# object-group network ADMING
(config-protocol)# network-object host 192.168.1.100
(config-protocol)# network-object host 192.168.2.100
(config-protocol)# network-object host 192.168.3.100
|
◆ サービスオブジェクトグループの追加
(config)# object-group service grp-id [ tcp | udp | tcp-udp ]
(config-protocol)# port-object [ eq port | range begin-port end-port ]
⇒ tcp-udp キーワードは、DNS(ポート53)のように、同じポート番号でTCPとUDPの両方を使用している場合に使用する。
◆ 設定例 : Radiusが含まれたサービスグループの作成
(config)# object-group service RADIUS udp
(config-service)# port-object eq radius
(config-service)# port-object eq radius-acct
|
◆ ICMPタイプオブジェクトグループの追加( ASAのコマンドで入力できるICMPタイプの番号と名前は下表 )
(config)# object-group icmp-type grp-id
(config-protocol)# icmp-object icmp-type
| ICMP番号 |
ICMP名 |
| 0 |
echo-reply |
| 3 |
unreachable |
| 4 |
source-quench |
| 5 |
redirect |
| 6 |
alternate-address |
| 8 |
echo |
| 9 |
router-advertisement |
| 10 |
router-solicitication |
| 11 |
time-exceed |
| 12 |
parameter-problem |
| 13 |
timestamp-request |
| 14 |
timestamp-reply |
| 15 |
information-request |
| 16 |
information-reply |
| 17 |
mask-request |
| 18 |
mask-reply |
| 31 |
conversion-error |
| 32 |
mobile-redirect |
◆ 設定例 : echo-repy と echo が含まれるICMPタイプグループの作成
(config)# object-group icmp-type PING
(config-service)# icmp-object echo
(config-service)# icmp-object echo-reply
|
◆ オブジェクトグループのネスト
(config)# object-group group [ protocol | network | icmp-type ] grp-id | service grp-id | tcp | udp
(config-network)# group-object grp-id
◆ 設定例 : 2つの部門のユーザのネットワークオブジェクトグループを作成し、その3つのグループを1つにまとめたグループを作成
(config)# object-group network ENGINEER
(config-service)# network-object host 192.168.1.1
(config-service)# network-object host 192.168.2.1
(config)# object-group network FINANCE
(config-network)# network-object host 192.168.10.1
(config-network)# network-object host 192.168.20.1
(config)# object-group network ADMIN
(config-network)# group-object ENGINEER
(config-network)# group-object FINANCE
|
◆ 設定例 : ASAでは「ADMIN」のオブジェクトグループだけを指定して、例えば 100.1.1.1 へのアクセスを許可
| (config)# access-list ACL_INSIDE extended permit ip object-group ADMIN host 100.1.1.1 |
|