KnowHow

Cisco ASA 5516-X のアクティブ/スタンバイ構成でVLANを追加する手順は以下の通りです。設定はアクティブ側で行うとスタンバイ側に自動同期されますが、慎重な確認が必要です。

VLAN追加手順（アクティブ/スタンバイ構成時）
1. 現在のVLAN設定確認（最大数チェック）

show running-config interface

ASA 5516-XのVLANサブインターフェイス最大数は100。既存VLAN数が上限に達していないか確認。

1. 物理インターフェイスの状態確認

show interface ip brief

VLANを追加する物理インターフェイス（例：GigabitEthernet1/1）がup状態か確認。

1. VLANサブインターフェイスの作成（アクティブASAで実施）

configure terminal
interface GigabitEthernet1/1.<新しいVLAN ID>
vlan <VLAN ID>
nameif <ゾーン名>  # 例: DMZ2
security-level <数値>  # 例: 50
ip address <IPアドレス> <サブネットマスク> standby <スタンバイIP>

例:

interface GigabitEthernet1/1.100
vlan 100
nameif NEW_VLAN
security-level 50
ip address 192.168.100.1 255.255.255.0 standby 192.168.100.2

1. フェイルオーバー設定の確認

show failover

Stateful と表示されていれば、設定がスタンバイに同期済み。

1. アクセス制御ポリシーの追加

access-list NEW_VLAN_access_in extended permit ip any any
access-group NEW_VLAN_access_in in interface NEW_VLAN

1. 設定保存（自動的にスタンバイに同期）

write memory

アクティブ側でwrite memoryを実行すると、スタンバイ側にも自動的に設定が保存されます。

注意点
物理インターフェイスの二重化:
物理インターフェイスが両ASAで同じポート番号（例：GigabitEthernet1/1）に接続されていることを確認。

スイッチ側の設定:
対応するスイッチポートでVLANタギングが有効化されているか確認（例：Ciscoスイッチでswitchport trunk allowed vlan add 100）。

フェイルオーバーテスト:
設定後に手動フェイルオーバーを実行し、新しいVLANがスタンバイ側でも機能するか検証。

failover active

トラブルシューティング
同期エラー発生時:
no failover → failover でフェイルオーバーを再初期化。

VLANが反映されない場合:
両ASAでshow interfaceを実行し、サブインターフェイスの存在を確認。

IPアドレスの競合:
スタンバイIPが正しく設定されているか再確認（standbyコマンド）。

重要: 本番環境では変更前に設定バックアップ（show running-configの保存）を必ず取得してください。

ASA-5516Xには、管理ツール（ソフトウェア）があります。これを使ってVLANを追加することはできますか？

はい、Cisco ASA 5516-Xには「ASDM（Adaptive Security Device Manager）」という管理ツール（GUI）があり、これを使ってVLAN（サブインターフェイス）の追加が可能です。

ASDMでVLANを追加できるか？
ASDMは、Cisco ASAの設定や管理をGUIで行える公式ツールです。

インターフェイスの追加やVLANサブインターフェイスの作成、IPアドレス・セキュリティレベル・nameifの設定など、CLIでできる操作の多くをASDM上でも実行できます。

これにより、コマンドラインに不慣れな場合でも、直感的にVLAN（サブインターフェイス）を追加・編集できます。

具体的な操作イメージ
ASDMにログインする

WebブラウザまたはASDMランチャーからASAにアクセスし、ログインします。

[Configuration] > [Device Setup] > [Interfaces]に進む

インターフェイス一覧画面で、「Add」や「Add Subinterface」などのボタンから新しいサブインターフェイス（VLAN）を追加できます。

VLAN ID、nameif、IPアドレス、セキュリティレベルなどをGUIで入力

画面の指示に従って必要な情報を入力します。

設定を適用（Apply）し、保存（Save）

設定内容を確認し、Applyで反映、SaveでASAに保存します。

冗長化（Failover）構成でもASDMで作業可能
冗長化（アクティブ/スタンバイ）構成の場合も、アクティブ側ASAにASDMで設定すれば、スタンバイ側に自動同期されます。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/interface-vlan.html

まとめ：

ASA 5516-Xの管理ツール（ASDM）を使えば、VLAN（サブインターフェイス）の追加や設定がGUI上で簡単に行えます。
冗長構成でもアクティブ側でASDMから設定すれば、スタンバイ側にも自動で反映されます

ASA-5516Xに対応したASDMの公式マニュアルURL
Cisco公式マニュアル（日本語、ASDM 7.14）
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/asdm714/general/asdm-714-general-config/interface-vlan.html
VLAN追加手順の章
該当章タイトル：

「VLAN サブインターフェイスの設定方法」

原文では「この章では、VLAN サブインターフェイスを設定する方法について説明します。」と記載されています

章のURL（直接アクセス可能）：

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/asdm714/general/asdm-714-general-config/interface-vlan.html

内容の要点
この章では、ASDMを使ったVLANサブインターフェイス（VLAN追加）の設定手順が詳しく説明されています。
物理インターフェイスに対してVLANサブインターフェイスを追加し、VLAN ID、nameif、IPアドレスなどをGUIで設定する方法が記載されています。

参考英語版（ASDM 7.6）もあり：
https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/asdm76/general/asdm-76-general-config/interface-vlan.pdf

まとめ

公式マニュアルURL：ASDM VLANサブインターフェイス設定ガイド（日本語）

VLAN追加手順の章は「VLAN サブインターフェイスの設定方法」

この章でASDMを使ったVLANの追加手順が詳しく解説されています。

L3スイッチ側の設定メモ
L3スイッチでVLANを切る（＝VLANを作成し、インターフェースに割り当てる）必要があるかどうかは、ネットワーク設計と役割分担によります。

ASAでVLANサブインターフェースを作成した場合のL3スイッチ側の役割
1. VLANをL3スイッチで作成する必要はあるか？
必要です。

ASAとL3スイッチ間を「トランク接続」し、ASAでVLANサブインターフェースを作成する場合、L3スイッチ側にも同じVLANを作成し、トランクポートで許可する必要があります。

これにより、L3スイッチ配下の端末が正しくVLANタグを付与されたフレームをASAへ送信できるようになります。

1. L3スイッチでSVI（VLANインターフェース）は必要か？
   通常は不要です。

ASAが各VLANのデフォルトゲートウェイとなる場合、L3スイッチ側でSVI（VLANインターフェース）を作成してIPアドレスを割り当てる必要はありません。

SVIを作成せず、VLAN自体だけ作成し、ポートをVLANに割り当てておけばOKです。

1. スタティックルートだけでよいか？
   VLAN自体は必要ですが、ルーティングはASAに任せる設計ならL3SWでのスタティックルート設定は最小限で済みます。

L3スイッチが他のネットワークへの経路をASAに向ける場合、デフォルトルート（ip route 0.0.0.0 0.0.0.0 ）を設定します。

ただし、VLAN自体をL3スイッチで作成しないと、スイッチ配下の端末がVLANに所属できません。

L3スイッチとASAを複数VLANで接続する場合（ASA側でサブインターフェースを作成している場合）、スイッチ側のポートは「トランクポート」に設定する必要があります。

理由
ASAでサブインターフェース（例：GigabitEthernet1/1.100、GigabitEthernet1/1.200など）を作成している場合、1本の物理ケーブルで複数VLANのトラフィックをやり取りするため、IEEE 802.1Qタグ付きフレームが流れます。

スイッチ側のポートが「Accessポート」だと、1つのVLANしか通せず、タグ付きフレームは破棄されるため、複数VLANの通信ができません。

設定例（Ciscoスイッチ）

interface GigabitEthernet1/0/1
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport trunk allowed vlan 100,200
switchport mode trunk でトランクポートに設定

switchport trunk allowed vlan でASAとやり取りしたいVLANを許可

まとめ
Accessポートは不可（単一VLANのみ）

トランクポートが必須（複数VLANを1本の物理リンクでASAとやり取りする場合）

補足
もし「1つのVLANのみASAと接続する」場合はAccessポートでも問題ありませんが、サブインターフェース運用や複数VLANをASAで扱う場合は必ずトランクポート設定にしてください

VLAN 20のデフォルトゲートウェイをASAのサブインターフェースに設定し、他VLANはL3SWでルーティングという設計も可能です。ということについて、これはつまり、L3SW側でのVLANインターフェースは不要ですね？（VLANデータベースは必要だと思いますが）

答え
ご認識の通りです。

VLAN 20のデフォルトゲートウェイをASAのサブインターフェースに設定し、他のVLANはL3SWでルーティングする設計の場合、L3スイッチ側でVLAN 20のSVI（VLANインターフェース）は不要です。

解説
VLAN自体（VLANデータベース）はL3スイッチで必要です。
端末やポートをVLAN 20に所属させるため、vlan 20の定義は必須です。

SVI（Switch Virtual Interface）は不要です。
SVI（例：interface vlan 20にIPアドレスを設定）は、そのVLANのデフォルトゲートウェイとしてL3SWが動作する場合に必要です。
今回はASA側のサブインターフェースがゲートウェイとなるため、L3SW側でSVIを作成・有効化する必要はありません。

端末のデフォルトゲートウェイはASAのサブインターフェースIPを指定します。

他のVLANについては、L3SWでSVIを作成し、L3SWがゲートウェイとして機能します。

まとめ
VLANデータベース（vlan 20）は必要

L3SW側でVLAN 20のSVI（interface vlan 20）は不要

端末のデフォルトゲートウェイはASAのサブインターフェースIP

この設計により、VLAN 20の通信はASAを経由し、他VLANはL3SW内でルーティングされます。

ASA 5516-Xでサブインターフェース20を作成した場合、ASAにすでにサブインターフェース１０と１１があったとすると、この間のルーティングはどうなるのでしょうか？
ASA 5516-Xでサブインターフェース20を作成した場合、ASAにすでにサブインターフェース１０と１１があったとすると、この間のルーティングはどうなるのでしょうか？

答え

ASA 5516-Xでサブインターフェース10、11、20を作成した場合、これらのサブインターフェース間のルーティング（VLAN間ルーティング）はASA内部で自動的に行われます。

解説
ASAのサブインターフェースは、各VLANごとに異なるIPアドレス・nameif・security-levelを持つL3インターフェースとして動作します。

ASAはルーテッドモードの場合、サブインターフェース間（例：VLAN10⇔VLAN11⇔VLAN20）でIPルーティングを自動で行います。

つまり、VLAN10の端末からVLAN20の端末への通信は、ASAのサブインターフェースを経由してルーティングされます。

通信制御
通信の可否や制限は、ASAのアクセスリスト（ACL）やsecurity-levelの設定で制御します。

例えば、security-levelが高い（例：inside=100）から低い（例：dmz=50）への通信はデフォルトで許可されますが、逆方向は明示的に許可が必要です。

ACLでVLAN間通信を細かく制御できます。

まとめ
ASAで複数のサブインターフェース（VLAN）を作成すると、それらの間のルーティングはASAが自動的に実施します。

通信の可否はsecurity-levelやACLで管理します。

したがって、サブインターフェース10・11・20間のルーティングはASA内部で自動的に行われ、追加の静的ルート設定などは不要です（ただし、通信制御のためのACLやsecurity-level設定は必要です）

ASA 5516-Xでサブインターフェース10, 11, 20のsecurity-levelがすべて同じ場合、デフォルトではこれらのインターフェース間の通信は許可されません。

理由と挙動
ASAは、異なるsecurity-level間の通信はデフォルトで許可しますが、同じsecurity-level間の通信はデフォルトでブロックされます。

これは、セキュリティ上「同じレベル同士でも不用意に通信させない」ための仕様です。

通信を許可したい場合
同じsecurity-level間の通信を有効にするには、グローバルコンフィグで以下のコマンドを設定します。

same-security-traffic permit inter-interface

このコマンドを設定することで、同じsecurity-levelを持つサブインターフェース間の通信が可能になります。

注意点
この設定を有効にしても、ACL（アクセスリスト）による制御は引き続き有効です。必要に応じてACLで通信を制限・許可してください。

まとめ

同じsecurity-levelのサブインターフェース間は、デフォルトで通信不可。

same-security-traffic permit inter-interfaceを設定すれば通信可能。

ACLによる制御は引き続き適用される。

設定手順の大まかな流れ

ASA-5516Xでサブインターフェースを利用したVLAN連携の一般的な流れ
ASA-5516Xでサブインターフェースを追加する

物理インターフェースに対してVLAN IDごとにサブインターフェースを作成し、nameif・ip address・security-levelを設定します。

サブインターフェースを作成した物理インターフェースは自動的に802.1Qトランクとして動作します。

コアスイッチ側で、サブインターフェースのVLANデータベースを作成する

VLANデータベースに該当VLANを追加し、ASAと接続するスイッチポートを「トランク」に設定、該当VLANを許可します。

コアスイッチ側で、ip route サブインターフェースのIPアドレス/サブネットでスタティックルートを作成する

必要に応じて、特定VLANの通信のみASAに向けて静的ルートを設定します（全トラフィックをASAに流す場合はデフォルトルート、特定VLANのみの場合は宛先指定ルート）。

ASA-5516X間のSecurity-levelを同じにした場合は、ASDMなどで適宜、ACLによる通信設定を設計して設定する

デフォルトでは同じsecurity-level間の通信は許可されません。

必要に応じてsame-security-traffic permit inter-interfaceコマンドを設定し、さらにACLで通信可否を制御します。

ポイント
VLANデータベース（VLAN自体）は必ずコアスイッチ側でも作成が必要です。

トランクポート設定を忘れずに行ってください（Accessポートだと複数VLANが通りません）。

ルーティング設計は、全トラフィックをASA経由にするか、一部のみASA経由にするかでスタティックルートの内容が変わります。

セキュリティ制御は、ASAのsecurity-levelとACLの設計が重要です。

参考文献
- VLANサブインターフェースの概要と設定方法（Cisco公式）
- nameif、security-level、スタティックルート、ACLの設定例（InfraExpert）
- CLIマニュアルの目次とVLANサブインターフェース関連章

ご提示の流れは正しいです。ネットワーク要件に応じて、ルーティングやACLの設計を細かく調整してください。