イメージ マネージャの使用開始
Image Manager には、イメージの管理、更新が必要なデバイスの操作、およびそれらのデバイスにおけるイメージのインストールの実行に使用されるセクションが含まれています。
Image Manager 上の該当する領域の詳細については、次の項目を参照してください。
Image Manager を使用する前に、次のセクションを確認する必要があります。
-
この機能でサポートされているプラットフォーム
-
機能の動作を制御するために変更可能な設定
-
デバイスが Image Manager と連動するように設定されていることを確認するために必要な手順
ここでは、次の内容について説明します。
Image Manager のサポートされるプラットフォームおよびバージョン
注意 |
バージョン 4.18 以降、Cisco Security Manager では、ASA 5512、ASA 5506、ASA 5506H、および ASA 5506W モデルの ASA 9.10(1) 以降の SFR はサポートされないため、Image Manager を介して 9.10(1) にアップグレードすると、既存の SFR 設定が失われます。 |
Image Manager は、ASA デバイスでのみ使用できます。次のデバイスは、Image Manager をサポートしています。
-
すべてのレガシー ASA モデル:ASA 5505/10/20/40/50/80
-
ASA 5585
-
ASA 5515/25/35/45/55
-
Catalyst 6000 の ASA-SM モジュール
-
5516-X
-
適応型セキュリティ仮想アプライアンス(ASAv)
Cisco Security Manager 4.20 以降、Image Manager は、ASA 9.13(1) 以降のデバイスで実行されている、アプライアンスモードで動作する次の Firepower デバイスをサポートしています。
-
Cisco Firepower 1140 セキュリティ アプライアンス
-
Cisco Firepower 1150 セキュリティ アプライアンス
-
Cisco Firepower 1010 セキュリティアプライアンス
-
Cisco Firepower 2140 セキュリティアプライアンス
-
Cisco Firepower 2120 セキュリティアプライアンス
-
Cisco Firepower 1120 セキュリティ アプライアンス
-
Cisco Firepower 2110 セキュリティアプライアンス
-
Cisco Firepower 2130 セキュリティアプライアンス
次のデバイスはサポートされておらず、Image Manager の統合ビューのデバイスタブでは除外されます。
-
PIX ファイアウォール
-
FWSM ブレード
-
AUS によって管理される ASA デバイス
-
Security Manager で管理されていないデバイス
-
その他のデバイスタイプ:IPS およびルーター
Image Manager は、バージョン 7.x 以降の ASA デバイスのイメージアップグレードをサポートしています。アップグレードに使用できる対象イメージのバージョンに制限はありません。Security Manager 4.4 でサポートされている最新バージョンの ASA(ASA バージョン 9.0(1) および 9.1(1))へのイメージアップグレードがテストされています。
4.9 より前のバージョンの Image Manager アプリケーションでは、サポートされているデバイスタイプのすべてのイメージがリストされていました。そこで、必要なイメージを選択してダウンロードしていました。バージョン 4.9 以降の Image Manager アプリケーションでは、特定のバージョンのイメージのみがリストされます。
Image Manager には ASDM、†リモートアクセスプラグイン、およびホストスキャンの最新のイメージがリストされます。AnyConnect バージョン 3.x および 4.x では、最新のイメージがリストされます。
ASA デバイスでは、次のイメージがリストされます。
ASA デバイスのモデル |
Image Manager にリストされる ASA イメージ |
---|---|
5512-x、5515-x、5525-x、5545-x、5585x |
9.4.1 9.3.3 9.3.2 9.3.1.SMP 9.2.3.SMP 9.2.2.4.SMP 9.2.1.SMP.ED 9.1.4.SMP.ED 9.1.5.SMP.ED 9.1.6.SMP.ED 9.1.2.SMP.ED 9.0.4.SMP.ED 8.4.6.SMP.ED |
5580-x |
9.1.6.SMP 9.1.5.SMP.ED 9.1.4.SMP.ED 9.1.2.SMP.ED 9.0.4.SMP.ED 8.4.6.SMP.ED |
5555-x |
9.4.1 9.3.3 9.3.2 9.3.1.SMP 9.2.3.SMP 9.2.2.4.SMP 9.2.1.SMP.ED 9.1.2.SMP.ED 9.0.4.SMP.ED |
5505、5510、5520、5540、5550 |
9.1.6 9.1.5.ED 9.1.4.ED 9.1.2.ED 9.0.4.ED 8.4.6.ED |
5506-X |
9.4.1、9.3.3、9.3.2 |
5506H-X |
9.4.1 |
5506W-X |
9.4.1 |
5516-X |
9.4.1 |
適応型セキュリティ仮想アプライアンス(ASAv) |
9.3.1、9.3.2、9.4.1 |
(注) |
Image Manager の ASA イメージアップグレードは、Firepower シリーズのアプライアンス モード デバイスでサポートされます。 |
危険 |
イメージのダウングレードは制限されていませんが、ユーザー責任で実施してください。ダウングレードでは Image Manager による検証は実行されません。 |
Image Manager によってサポートされるデバイス設定
スタンドアロン ASA デバイスでのイメージ更新のサポートに加えて、Image Manager は、ファイルシステムを管理し、高可用性と拡張性を目指して特別に設定された ASA デバイスのシームレスなイメージ更新をサポートします。次の構成がサポートされています。
-
[マルチコンテキストモード(Multiple context mode]):単一の ASA を複数の仮想デバイス/ファイアウォールに分割できるマルチコンテキストモードの ASA。http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/ha_contexts.html [英語] を参照してください。該当する各仮想ファイアウォールは、Security Manager では独立したデバイスとして扱われます。Image Manager が、これらの仮想デバイスをホストする物理ユニットのイメージを更新すると、すべての仮想デバイスのデバイスプロパティが新しいイメージ情報で更新されます。
-
[フェールオーバー構成(Failover configuration)]:高可用性のためにフェールオーバーするように設定された 2 台の同一の ASA デバイス。これらのデバイスは、アクティブ/アクティブまたはアクティブ/スタンバイフェールオーバーになるように構成できます。http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/ha_overview.html [英語] を参照してください。アクティブ/アクティブ フェールオーバー ペアでのイメージの更新は、Image Manager ではサポートされていません。Image Manager を使用してアクティブ/アクティブ フェールオーバー ペアのイメージを更新するには、1 つのユニットですべてのフェールオーバーグループをアクティブにし、他方のユニットで対応するフェールオーバーグループをスタンバイにすることによって、アクティブ/アクティブ フェールオーバー ペアを一時的にアクティブ/スタンバイに変換する必要があります。アップグレード後に、フェールオーバーペアをアクティブ/アクティブに戻すことができます。
-
[クラスタ構成(Cluster configuration)]:複数の ASA(最大 8 つの ASA)をクラスタと呼ばれる単一の論理ユニットとしてグループ化して、スループットと冗長性を向上させることができます。デバイスをクラスタリングする目的は、管理を簡素化し、処理速度を向上させることです。クラスタを使用することで、接続を負荷分散するために連携して動作する多数の同時接続に拡張できます。クラスタリング機能は、ASA バージョン 9.0(1) から導入されました。詳細については、http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/ha_cluster.html [英語] を参照してください。
(注) |
クラスタリングは ASA 5580 と SSA 5585 のみでサポートされています。 |
リリース 4.4 以降、Security Manager はクラスタリングをサポートしています。Configuration Manager と Image Manager では、クラスタまたはフェールオーバーペアのすべてのデバイス/メンバーが単一のデバイスとして管理されます。つまり、制御ユニットの設定を変更すると、その変更はクラスタ内のすべてのデバイスに対して自動的に実行されます。同様に、Image Manager は、フェールオーバーまたはクラスタの一部である各物理ユニットのイメージを 1 回の操作で更新します。
マルチコンテキスト ASA のイメージ管理
バージョン 4.12 以降、Image Manager のデバイスツリービューには、ASA ソフトウェアバージョン 9.6(2) 以降を実行しているマルチコンテキスト ファイアウォール デバイスのすべてのユーザーコンテキスト(管理コンテキストとユーザーコンテキスト)が表示されます。
ユーザーコンテキストを選択し、選択したコンテキストの storage-url 情報を [ストレージ(Storage)] タブで表示できます。
[互換性のあるイメージ(Compatible Images)] タブでは、選択したユーザーコンテキストの AnyConnect イメージのみを表示できます。ただし、システムコンテキストについては、すべてのイメージタイプが表示されます。
Image Manager でサポートされるイメージタイプ
Image Manager は、次のタイプのイメージをサポートしています。
-
ASA システムソフトウェア
-
ASDM イメージ
-
VPN イメージ(Cisco Secure Desktop(CSD)、AnyConnect、および Hostscan を含む)
-
SSLVPN プラグインのイメージ(例:RDP、SSH、ICA など)
Image Manager は、ASA システムソフトウェアと ASA デバイス上の ASDM イメージを完全に管理します。つまり、イメージのロード、設定の変更によるイメージのアクティブ化、さらには、イメージのアップグレードプロセスを完了するために必要なデバイスのリロードを実行します。
ユーザー コンテキスト デバイスの場合、Security Manager は、コピーおよびインストール用の AnyConnect イメージのみをサポートします。
Image Manager は ASA–CX イメージをサポートしていません。これには、asacx-sys-9.1.1-1.pkg などのシステムイメージと、asacx-5500x-boot-9.1.1-1.img などのブートイメージの両方が含まれます。Image Manager を使用して CX イメージを Image Manager リポジトリに追加したり、CX イメージをデバイスにプッシュしたりすることはできません。
SSL VPN イメージの取り扱い
Image Manager は、SSL VPN イメージを ASA デバイスに確実にコピーすることだけを行います。Image Manager によって SSL VPN イメージに設定コマンドまたはアクティベーションコマンドが追加されることはありません。イメージの設定は、Configuration Manager を使用して行う必要があります。
次のファイルは Image Manager では管理されないため、以前のバージョンの Security Manager と同様に、Configuration Manager から設定および展開する必要があります。
-
CSD コンフィギュレーション XML
-
AnyConnect クライアント プロファイル ファイル
-
DAP コンフィギュレーション XML
-
フルカスタマイズ XML ファイル
Image Manager を使用して SSL VPN イメージをデバイスにコピーした後、これらのイメージを使用できるように、Configuration Manager でリモートアクセス VPN ポリシーを設定する必要があります。設定する必要があるリモートアクセス VPN ポリシーは、Configuration Manager の次のパスにあります。
-
CSD パッケージ:[リモートアクセスVPN(Remote Access VPN)] > [ダイナミックアクセス(Dynamic Access)] > [Cisco Secure Desktop] グループボックス
-
HostScan パッケージ:[リモートアクセスVPN(Remote Access VPN)] > [ダイナミックアクセス(Dynamic Access)] > [Cisco Secure Desktop] グループボックス
-
Anyconnect イメージ:[リモートアクセスVPN(Remote Access VPN)] > [SSL VPN] > [その他の設定(Other Settings)] > [クライアント設定(Client Settings)] タブ
-
プラグイン:[リモートアクセスVPN(Remote Access VPN)] > [SSL VPN] > [その他の設定(Other Settings)] > [プラグイン(Plug-in)] タブ
SSL VPN バイナリファイルは、VPN ポリシーで参照する前にデバイスフラッシュに存在している必要があります。そうでない場合、Security Manager は、設定を展開する前に、Image Manager を使用してこれらのファイルをデバイスに確実にプッシュする設定についてユーザーに通知する、アクティビティ検証警告を表示します。ユーザーがアクティブ化の警告を無視して続行すると、Configuration Manager はデフォルトで古い動作に戻り、これらのファイルを参照する構成を展開する前に、以前のバージョンの Security Manager で実行されていたように、イメージまたはファイルをプッシュします。ただし、ユーザーは、Image Manager を使用してこれらのファイルをコピーした場合に得られる次の利点を活用できません。
-
disk1 のような外部ディスクを使用してファイルをコピーする機能。Configuration Manager は、ファイルを disk0 にのみコピーし、外部ディスクを認識またはサポートしません。
-
Image Manager は、選択したイメージをコピーするのに十分な空き領域がディスク上にあることを検証することにより、イメージコピー中のエラーを未然に防ぎ、イメージをコピーするための十分な領域がない限り、ジョブの作成を許可しません。ユーザーは、Image Manager を使用して不要なイメージを削除することでスペースを空けることができます。
(注) |
Image Manager は、ASA にプッシュされる SSL VPN ファイルの互換性を検証しません。ただし、リモートアクセス VPN ポリシーで互換性のないファイルが参照されている場合、Configuration Manager はエラーを示します。 |
Image Manager での管理設定
Image Manager には、新しい管理設定が導入されました。これらの管理設定は、Configuration Manager の一部として設定する必要があります。
Cisco.com 証明書の設定
バージョン 4.4 以降、Security Manager には証明書信頼管理機能があります。この機能は、Cisco.com 証明書の処理改善に役立ちます。この機能の詳細については、証明書信頼管理を参照してください。
Image Manager の管理設定をするには、次の手順を実行します。
手順
ステップ 1 |
[Configuration Manager] > [ツール(Tools)] > [Security Managerの管理(Security Manager Administration)] に移動します。 Cisco Security Manager - [管理(Administration)] ページが表示されます。 |
||
ステップ 2 |
Workflow を設定します。
|
||
ステップ 3 |
デバッグの設定をします。 |
||
ステップ 4 |
Cisco.com のログイン情報を設定します。 |
||
ステップ 5 |
イメージインストールジョブのパージ間隔の設定 |
||
ステップ 6 |
イメージバックアップを設定します。 |
||
ステップ 7 |
[閉じる(Close)] をクリックして管理ウィンドウを閉じます。 |
Image Manager 用のデバイスのブートストラップ
Image Manager でのブートストラップは、ASA デバイスに対して Configuration Manager で実行するものと本質的に同じです。
イメージ管理のためにデバイスをブートストラップするには、次の手順を実行します。
手順
ステップ 1 |
デバイスで HTTPS を設定して、Security Manager で ASA を管理します。
|
||
ステップ 2 |
コンフィギュレーション レジスタの設定が、実行コンフィギュレーションのイメージリストを使用してブートするように設定されていることを確認します。 |
||
ステップ 3 |
Security Manager で、[ツール(Tools)] > [Security Manager管理(Security Manager Administration)] > [デバイス通信(Device Communication)] > [SSL証明書パラメータ(SSL Certificate Parameters)] に移動します。[SSL証明書パラメータ(SSL Certificate Parameters)] 領域で、[PIX/ASA/FWSMデバイス認証証明書(PIX/ASA/FWSM Device Authentication Certificates)] を [証明書認証を使用しない(Do not use certificate authentication)] に設定します。 |
||
ステップ 4 |
デバイスのフラッシュメモリに、ロードするイメージを保持するための十分なスペースがあることを確認します。
|
||
ステップ 5 |
次のように、ASA のブートイメージ/設定ポリシーを管理対象外にすることをお勧めします。 |
||
ステップ 6 |
デバイスを HPM の優先監視対象デバイスとして設定しないことをお勧めします。 |
||
ステップ 7 |
デバイスのすべての設定変更が送信され、展開されていることを確認します。 |