クラウドおよびシステム管理 : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX セキュリティ アプライアンス 7.x に関する FAQ

2010 年 8 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 10 月 2 日) | フィードバック

質問

概要
PIX 7.x は、どのデバイスでサポートされているのですか。
ソフトウェア バージョン 6.x で動作する PIX 515/515E モデルを所有しており、7.x にアップグレードしたいと考えています。これは可能ですか。
PIX 7.0 の変更点と新機能は何ですか。バージョンを 6.x から 7.x にアップグレードしたときに、古い機能は自動的に考慮されるのですか。
セキュリティ アプライアンスの 2 つの動作モードは何ですか。
セキュリティ アプライアンスのセキュリティ コンテキストとはどういう意味ですか。
バージョン 7.x が稼動するセキュリティ アプライアンス用の基本設定はどのように実行しますか。
PIX 7.x ではインターフェイスをどのように設定すればよいですか。
ASA または PIX でのアクセス リスト(ACL)の作成方法を教えてください。
他のインターフェイスのようにトラフィックを通過させるために、ASA 上で management0/0 インターフェイスを使用できますか。
PIX を 6.x から 7.x にアップグレードしました。アップグレード後、トラフィック量が同じなのに CPU の使用率が 8 〜 10% 高くなっていることに気づきました。この増加は正常な状態ですか。
セキュリティ アプライアンス 7.0 を使用しているときに Outside インターフェイスの外側に ping できません。これを直すにはどうすればよいですか。
VPN トンネル経由で接続すると、セキュリティ アプライアンスの Inside インターフェイスにアクセスできません。どうすればよいでしょうか。
ASA の VPN トンネル経由で IP Phone に接続できないのですが、その理由は何ですか。
ASA/PIX の ASDM をイネーブルまたはアクセス可能にするにはどうすればよいですか。
ASA は ISP ロード バランシングをサポートしますか。
BGP を使用した MD5 認証は ASA 経由でサポートされますか。
PIX/ASA は EtherChannel/ポートチャネル インターフェイスをサポートしますか。
Anyconnect と Cisco VPN Client は ASA 上で同時に動作しますか。
ASA/PIX は Skype をブロックできますか。
ASA は SNMPv3 をサポートしますか。
IP アドレスではなく名前でエントリを記録する方法はありますか。
ip accounting コマンドは PIX/ASA 7.x で利用できますか。
Failover ライセンスを持つセキュリティ アプライアンスは、アクティブ/アクティブ フェールオーバーの一部になれますか。
セキュリティ アプライアンス 7.0 は Are You There(AYT)機能をサポートしますか。
ASA または PIX で VPN ユーザ グループ ロック機能を設定するにはどうすればよいですか。
セキュリティ アプライアンス経由で、TLS/SSL を使用した FTP はサポートされていますか。
セキュリティ アプライアンスは DDNS をサポートしますか。
PIX は WebVPN/SSL VPN をサポートしていますか。
PIX は Cisco AnyConnect VPN Client をサポートしていますか。
PIX は AIP-SSM や CSC-SSM のようなサービス モジュールをサポートしていますか。
Cisco セキュリティ アプライアンスは IPsec Manual Keying(手動暗号化)をサポートしていますか。
ASA は NT を使用したパスワード管理をサポートしますか。
Cisco 5500 シリーズ ASA は、Cisco ルータのような Policy Based Routing(PBR; ポリシー ベース ルーティング)を実行できますか。たとえば、メール トラフィックは最初の ISP にルーティングされ、http トラフィックは 2 番目の ISP にルーティングされるといったことです。
ASA 5510 を Easy VPN クライアントとして使用できますか。
ASA は非対称ルーティングをサポートしていますか。
ASA は PPTP クライアントをサポートしていますか。
ASA は、DSCP 値でのパケットの QoS マーキングをサポートしていますか。
ASA/PIX バージョン 7.0 以降でサポートされる IPsec トランスフォーム(ESP、AH)は何ですか。
ASA は Universal Plug and Play(UPnP; ユニバーサル プラグアンドプレイ)機能をサポートしますか。
EZVPN が ASA 5505 上でイネーブルになったときに、フェールオーバーを設定できません。次のエラー メッセージはなぜ表示されるのでしょうか。「error :- ERROR]] vpnclient enable * Disable failover CONFIG CONFLICT: Configuration that would prevent successful Cisco Easy VPN Remote operation has been detected, and is listed above.Please resolve the above configuration conflict(s) and re-enable
3 番目の VLAN を設定すると次のエラー メッセージが表示されます。「:- ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured」このエラーを解決するにはどうすればよいのですか。
次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-6-110002: Failed to locate egress interface for UDP from outside:x.x.x.x/xxxx to x.x.x.x/xxxx
次のエラー メッセージを解決するにはどうすればよいのですか。「Error: execUpgradeSoftware: operation timed out with 0 out of 1 bytes received
次のエラー メッセージを解決するにはどうすればよいのですか。「unable to send authentication message
次のエラー メッセージを解決するにはどうすればよいのですか。「%Error opening disk0:/.private/startup-config (Read-only file system) Error executing command [FAILED]
次の ASDM エラー メッセージを解決するにはどうすればよいのですか。「Unconnected sockets not implemented
次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0
Oracle トラフィックがファイアウォールを通過しません。この問題を解決するには、どうすればよいですか。
ASA は発信元ベース ルーティングをサポートしていますか。
H329 トラフィックは PIX/ASA 8.1 以降を通過しますか。
ASA は H.460 プロトコル検査をサポートしていますか。
次のエラー メッセージを解決するにはどうすればよいのですか。「[ERROR] threat-detection statistics host number-of-rate 0 threat-detection statistics host number-of-rate 0 ^ % Invalid input detected at '^' marker
PIX/ASA でパケットをキャプチャするにはどうすればよいですか。
ASA は、認証後に直接イネーブル モードにユーザをログインさせる EXEC 認可をサポートしていますか。
次のエラー メッセージを解決するにはどうすればよいのですか。「%ERROR: copying 'disk0:/csco_config/97/customization/index.ini' to a temporary ramfs file failed
ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「ERROR: mount: Mounting /dev/hda1 on /mnt/disk0 failed: Invalid argument
ASA はブロードキャスト トラフィックがインターフェイスを通過することを許可しますか。
HTTP トラフィックを ASA の HTTPS にリダイレクトするにはどうすればよいですか。
英語以外の文字をバナーに追加しようとすると、ASA で次のエラー メッセージが表示されます。「The CLI generated has unsupported characters.ASA does not accept such characters.The following line(s) has unsupported characters」このエラーを解決するにはどうすればよいのですか。
ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-1-216005: ERROR: Duplex-mismatch on Et0/0 resulted in transmitter lockup.A soft reset of the switch was performed
AIP-SSM モジュールで復旧処理をしたところ、そのモジュールが繰り返しリブートするようになり、次のエラー メッセージが表示されるようになりました。「Bad magic number (0x-682a2af)」このエラーを解決するにはどうすればよいのですか。
AIP-SSM 用の Global Correlations アップデートをダウンロードすると、次のエラー メッセージが表示されるのはなぜですか。「collaborationApp[530] rep/E A global correlation update failed: Failed download of ibrs/1.1/config/default/1236210407 : HTTP connection failed
ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「Secure Connection Failed.An error occurred during a connection to x.x.x.x.Cannot communicate securely with peer: no common encryption algorithm(s).(Error code: ssl_error_no_cypher_overlap)
Grayware 用の ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「GraywarePattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24
ASA 5505 のインターフェイスを設定しているときに次のエラー メッセージが表示された場合、どのようにしたら解決できるでしょうか。「ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s)
5505 ASA の間で L2L VPN の 2 要素認証を設定することはできますか。
ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「%Error opening system:/running-config (No such device)
次のエラーが表示されました。「[ERR-PAT-0003] The update system cannot find the required files in the decompressed set of update files, and cannot continue.This message is for diagnostic purpose only.Customers - please contact Technical Support.while upgrading to the latest pkg file on CSC-SSM.」なぜこのエラーが発生するのでしょうか。
1 つの ASA に 2 つの電話プロキシを追加することはできますか。
ASA で次のエラー メッセージが表示され、ASA がリブートしません。「mempool: error 12 creating global shared pool」なぜこれが発生するのでしょうか。また、どのようにすれば解決できますか。
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、PIX 500 シリーズや ASA 5500 シリーズ アプライアンスなどの Cisco セキュリティ アプライアンスに関して最もよくある質問(FAQ)について回答します。

このドキュメントの対象読者は、CLI コマンドとその機能を理解しており、以前のバージョンの PIX ソフトウェアを設定した経験のあるセキュリティ アプライアンス管理者です。



Q. PIX 7.x は、どのデバイスでサポートされているのですか。

A. PIX 515、PIX 515E、PIX 525、PIX 535、およびすべての Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA 5510、ASA 5520、ASA 5540)が、ソフトウェア バージョン 7.x 以降をサポートします。

PIX 501、PIX 506E、および PIX 520 セキュリティ アプライアンスは、ソフトウェア バージョン 7.x ではサポートされません。



Q. ソフトウェア バージョン 6.x で動作する PIX 515/515E モデルを所有しており、7.x にアップグレードしたいと考えています。これは可能ですか。

A. はい。必要なメモリ モジュールを持っているのであれば可能です。PIX 515/515E をアップグレードする前に、正確なメモリ要件について『PIX ソフトウェア バージョン 7.0 に対する Cisco PIX 515/515E セキュリティ アプライアンスのメモリ アップグレード』を参照してください。



Q. PIX 7.0 の変更点と新機能は何ですか。バージョンを 6.x から 7.x にアップグレードしたときに、古い機能は自動的に考慮されるのですか。

A. PIX 7.0 の変更内容と新機能に関連する詳細は、「PIX セキュリティ アプライアンス バージョン 7.0 の変更点」を参照してください。

変更された機能および非推奨になった機能やコマンドのほとんどは、PIX セキュリティ アプライアンス 7.x がシステムでブートするときに自動的に変換されます。いくつかの機能やコマンドでは、アップグレード前またはアップグレード中に手動での介入が必要になります。詳細は、「変更および非推奨になった機能とコマンド」を参照してください。



Q. セキュリティ アプライアンスの 2 つの動作モードは何ですか。

A. PIX セキュリティ アプライアンスは、次の 2 つの異なるファイアウォール モードで動作できます。

  1. ルーテッド モード:ルーテッド モードでは、PIX のインターフェイスに IP アドレスが割り当てられており、PIX を通過するパケットに対してルータ ホップとして機能します。すべてのトラフィック検査と転送デシジョンは、レイヤ 3 パラメータに基づいています。これは、7.0 よりも前のバージョンの PIX ファイアウォールが動作する仕組みです。

  2. トランスペアレント モード:トランスペアレント モードでは、PIX のインターフェイスには IP アドレスは割り当てられていません。その代わりに、PIX は MAC アドレス テーブルを維持し、それに基づいて転送デシジョンを行うレイヤ 2 ブリッジとして機能します。完全拡張 IP アクセス リストを使用することは引き続き可能であり、ファイアウォールはどのレイヤの IP アクティビティでも検査できます。操作のこのモードでは、PIX が「bump-in-the-wire」または「ステルス ファイアウォール」と呼ばれることがよくあります。ルーテッド モードと比較すると、トランスペアレント モードが動作する仕組みにはその他に次の重要な相違点があります。

    • サポートされるのは Inside および Outside という 2 つのインターフェイスだけ

    • PIX がホップではなくなったので、NAT はサポートされず、必要とされない

      注:NAT と PAT は、ASA/PIX リリース 8.0(2) 以降のトランスペアレント ファイアウォールではサポートされます。

トランスペアレント モードでセキュリティ アプライアンスを設定する方法の詳細は、『PIX/ASA:透過型ファイアウォールの設定例』を参照してください。

注:トランスペアレント モードとルーテッド モードはセキュリティへのアプローチが異なるので、PIX がトランスペアレント モードに切り替えられると、動作中の設定はクリアされます。ルーテッド モードの動作中の設定は、フラッシュまたは外部サーバに保存するようにしてください。



Q. セキュリティ アプライアンスのセキュリティ コンテキストとはどういう意味ですか。

A. 単一のハードウェア PIX は、セキュリティ コンテキストと呼ばれる複数の仮想デバイスにパーティショニングできます。それぞれのコンテキストは独立したデバイスになり、それら独自のセキュリティ ポリシー、インターフェイス、管理者があります。複数のコンテキストは、複数のスタンドアロン デバイスを持つことに似ています。多くの機能はマルチ コンテキスト モードでサポートされており、ルーティング テーブル、ファイアウォール機能、IPS、管理を備えています。VPN やダイナミック ルーティング プロトコルなどのいくつかの機能はサポートされていません。



Q. バージョン 7.x が稼動するセキュリティ アプライアンス用の基本設定はどのように実行しますか。

A. Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド、バージョン 7.1』の「基本設定」セクションを参照してください。



Q. PIX 7.x ではインターフェイスをどのように設定すればよいですか。

A. PIX/ASA 7.0 は、可能な限りルータおよびスイッチ Cisco IOS® と同じように設定されます。PIX/ASA 7.0 では、設定は次のようになります。

interface Ethernet0
         description Outside Interface
         speed 100
         duplex full
         nameif outside
         security-level 0
         ip address 10.10.80.4 255.255.255.0 standby 10.10.80.6

詳細は、「PIX 7.0 におけるインターフェイス パラメータの設定」を参照してください。



Q. ASA または PIX でのアクセス リスト(ACL)の作成方法を教えてください。

A. アクセス リストは、同一のアクセス リスト ID である 1 つ以上の Access Control Entries(ACE; アクセス コントロール エントリ)で構成されています。アクセス リストは、ネットワーク アクセスを制御するため、または多くの機能が動作する対象のトラフィックを指定するために使用します。ACE を追加するには、グローバル コンフィギュレーション モードでコマンド access-list <ID> extended を使用します。ACE を削除するには、このコマンドの no 形式を使用します。アクセス リスト全体を削除するには、clear configure access-list コマンドを使用します。

次の access-list コマンドでは、(アクセス リストを適用しているインターフェイス上の)すべてのホストがセキュリティ アプライアンスを通過できます。

hostname(config)#access-list ACL_IN extended permit ip any any

アクセス リストは、セキュリティ アプライアンスを通過するトラフィックを制御するように設定されている場合、有効になる前に、access-group コマンドをインターフェイスに適用する必要があります。各インターフェイスの各方向に適用できるのは 1 つのアクセス リストだけです。

あるインターフェイスの受信方向または送信方向に拡張アクセス リストを適用するには、次のコマンドを入力します。

hostname(config)#access-group access_list_name {in | out} interface interface_name 
[per-user-override]

次の例は、セキュリティ アプライアンス経由でネットワーク 10.0.0.0 /24 を許可する Inside インターフェイスに適用される受信アクセス リストを示しています。

hostname(config)#access-list INSIDE extended permit ip 10.0.0.0 255.255.255.0 any
hostname(config)#access-group INSIDE in interface inside

次の例は、セキュリティ アプライアンスの外部にあるすべてのホストに 172.20.1.10 にあるサーバへの Web アクセスをセキュリティ アプライアンス経由で持つことを許可する Outside インターフェイスに適用される受信アクセス リストを示しています。

hostname(config)#access-list OUTSIDE extended permit tcp any host 172.20.1.10 eq www
hostname(config)#access-group OUTSIDE in interface outside

注:アクセス リストの最後には、黙示的に「deny」が含まれています。これは、ACL が適用された後は、ACL 内の ACE で明示的に許可されていないトラフィックはすべて拒否されることを意味します。



Q. 他のインターフェイスのようにトラフィックを通過させるために、ASA 上で management0/0 インターフェイスを使用できますか。

A. はい。詳細は、management-only コマンドを参照してください。



Q. PIX を 6.x から 7.x にアップグレードしました。アップグレード後、トラフィック量が同じなのに CPU の使用率が 8 〜 10% 高くなっていることに気づきました。この増加は正常な状態ですか。

A. PIX 7.0 は、6.x バージョンに比べて syslog が 3 倍になっており、新しい機能があります。6.x に比べて CPU 使用率が増加するのは、正常な状態です。



Q. セキュリティ アプライアンス 7.0 を使用しているときに Outside インターフェイスの外側に ping できません。これを直すにはどうすればいいですか。

A. PIX 7.x には、Inside のユーザが Outside に ping できるオプションが 2 つあります。第 1 のオプションは、エコー メッセージのタイプごとに特定のルールを設定することです。たとえば、次のように入力します。

access-list 101 permit icmp any any echo-reply
        access-list 101 permit icmp any any source-quench 
        access-list 101 permit icmp any any unreachable  
        access-list 101 permit icmp any any time-exceeded
        access-group 101 in interface outside

これにより、Inside のユーザが Outside のホストに ping する際に、ファイアウォールでこれらのリターン メッセージだけが許可されます。他のタイプの ICMP ステータス メッセージは阻止対象とされ、ファイアウォールでは、他のすべての ICMP メッセージがブロックされます。

もう 1 つのオプションは、icmp 検査を設定することです。これにより、信頼できる IP アドレスのファイアウォール通過が許可され、信頼できるアドレスへの応答だけが許可されます。これにより、すべての Inside インターフェイスは Outside に ping を実行できるようになり、ファイアウォールは応答を返せるようになります。さらに、ファイアウォールを通過する ICMP トラフィックをモニタリングできるという利点があります。

たとえば、次のように入力します。

policy-map global_policy
    class inspection_default
     inspect icmp



Q. VPN トンネル経由で接続すると、セキュリティ アプライアンスの Inside インターフェイスにアクセスできません。どうすればよいでしょうか。

A. グローバル コンフィギュレーション モードで management-access が設定されていない限り、セキュリティ アプライアンスの Inside インターフェイスには Outside からアクセスできず、Outside インターフェイスには Inside からアクセスできません。management-access をイネーブルにしたとしても、やはり目的のホストに対して Telnet、SSH、または HTTP アクセスを設定する必要があります。

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside



Q. ASA の VPN トンネル経由で IP Phone に接続できないのですが、その理由は何ですか。

A. 認証の問題である可能性があります。IP Phone ユーザ グループで認証(X-auth)がイネーブルになっていることを確認してください。



Q. ASA/PIX の ASDM をイネーブルまたはアクセス可能にするにはどうすればよいですか。

A. ASDM を使用するには、HTTPS サーバをイネーブルにして、セキュリティ アプライアンスへの HTTPS 接続を許可する必要があります。これらのすべての作業は、setup コマンドを使用することで完了します。

詳細は、『ASDM 用の HTTPS アクセスの許可』を参照してください。



Q. ASA は ISP ロード バランシングをサポートしますか。

A. いいえ。ロード バランシングは、セキュリティ アプライアンスにトラフィックを受け渡すルータによって処理される必要があります。



Q. BGP を使用した MD5 認証は ASA 経由でサポートされますか。

A. いいえ。MD5 認証は ASA 経由ではサポートされません。ただし、回避策としてそれをディセーブルにすることはできます。詳細は、『ASA/PIX:ASA を経由する BGP の設定例』を参照してください。



Q. PIX/ASA は EtherChannel/ポートチャネル インターフェイスをサポートしますか。

A. いいえ。



Q. Anyconnect と Cisco VPN Client は ASA 上で同時に動作しますか。

A. はい、両者は相互に関係してはいないので、同時に動作します。Anyconnect は SSL 上で動作し、Cisco VPN Client は IPSEC 上で動作します。



Q. ASA/PIX は Skype をブロックできますか。

A. 残念ながら、PIX/ASA は Skype トラフィックをブロックできません。Skype には、ダイナミック ポートとネゴシエートし、暗号化されたトラフィックを使用する容量があります。トラフィックが暗号化されているので、検索するパターンが存在せず、事実上 Skype を検出するのは不可能です。

最終的には、Cisco Intrusion Prevention System(IPS; 侵入防御システム)を使用できます。これには、バージョンを同期させるために Skype サーバに接続する Windows Skype Client を検出できるいくつかの署名があります。これは通常はクライアントが接続を開始するときに行われます。センサーが最初の Skype 接続をピックアップするときに、そのサービスを誰が使用しているのかを発見でき、その IP アドレスから開始されたすべての接続をブロックすることができます。



Q. ASA は SNMPv3 をサポートしますか。

A. はい。Cisco ASA ソフトウェア リリース 8.2 は、Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)バージョン 3 という、最新バージョンの SNMP をサポートし、プロトコル動作をセキュアにするために、認証とプライバシーのオプションを追加します。



Q. IP アドレスではなく名前でエントリを記録する方法はありますか。

A. 名前と IP アドレスとの関連付けをイネーブルにするには names コマンドを使用します。1 つの IP アドレスに関連付けられる名前は 1 つだけです。先に names コマンドを使用してから name コマンドを使用する必要があります。name コマンドは、names コマンドを使用した直後で、write memory コマンドを使用する前に使用してください。

name コマンドでは、テキスト名と IP アドレスへのマップ テキスト文字列によってホストを識別できます。設定から名前のリストを消去するには、clear configure name コマンドを使用します。ログしている名前の値をディセーブルにするには、no names コマンドを使用します。name コマンドと names コマンドの両方が設定に保存されます。



Q. ip accounting コマンドは PIX/ASA 7.x で利用できますか。

A. いいえ。



Q. Failover ライセンスを持つセキュリティ アプライアンスは、アクティブ/アクティブ フェールオーバーの一部になれますか。

A. セキュリティ アプライアンス フェールオーバー ユニットは、新しい Failover アクティブ/アクティブ ライセンス アップグレードがインストールされていれば、アクティブ/アクティブ フェールオーバー ペアで使用できるようになります(アクティブ/アクティブには 1 つの UR モデルと 1 つの「FO アクティブ/アクティブ」モデルが必要です)。ライセンスの詳細は、「機能のライセンスと仕様」を参照してください。



Q. セキュリティ アプライアンス 7.0 は Are You There(AYT)機能をサポートしますか。

A. はい。AYT のシナリオでは、リモート ユーザが PC 上にパーソナル ファイアウォールをインストールしていることになっています。VPN Client は、ローカル ファイアウォール上で定義されたファイアウォール ポリシーを強制し、ファイアウォールが動作中であることを確認するために監視します。ファイアウォールが動作を停止した場合、VPN Client は PIX または ASA への接続を廃棄します。このファイアウォールの強制メカニズムを Are You There(AYT)と呼びます。その理由は、VPN Client がファイアウォールに対して「そこにいますか」メッセージを定期的に送信することでファイアウォールを監視するからです。応答が戻ってこない場合、VPN Client はファイアウォールがダウンしたことを認識し、PIX セキュリティ アプライアンスへの接続を終了します。ネットワーク管理者がこれらの PC ファイアウォールを設定している可能性がありますが、このアプローチによって、ユーザは自分自身の設定をカスタマイズできます。



Q. ASA または PIX で VPN ユーザ グループ ロック機能を設定するにはどうすればよいですか。

A. グループ ロックを設定するには、Remote Authentication Dial-In User Service(RADIUS)サーバのクラス属性 25 にグループ ポリシー名を送信し、ポリシー内のユーザをロックするためにグループを選択します。

たとえば、Cisco 123 ユーザを RemoteGroup グループにロックするには、RADIUS サーバ上のこのユーザに対して Internet Engineering Task Force(IETF)属性 25 クラス OU=RemotePolicy を定義します。

Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)/PIX にグループ ロックを設定するには、次の設定例を参照してください。

group-policy RemotePolicy internal
group-policy RemotePolicy attributes
dns-server value x.x.x.x
group-lock value RemoteGroup

tunnel-group RemoteGroup type ipsec-ra
tunnel-group RemoteGroup general-attributes
address-pool cisco
authentication-server-group RADIUS-Group
default-group-policy RemotePolicy

注: OU は、グループ ポリシーを設定し、グループ ポリシーはユーザを優先 tunnel-group にロックします。

Cisco Secure ACS for Windows を設定するために、RADIUS サーバで、ASA に設定された特定のグループにユーザをロックします。



Q. セキュリティ アプライアンス経由で、TLS/SSL を使用した FTP はサポートされていますか。

A. いいえ。通常の FTP 接続では、クライアントかサーバのいずれかが他方に、データ転送に使用するポートを通知する必要があります。PIX は、このやりとりを監視して、そのポートをオープンすることができます。ところが、TLS/SSL を使用した FTP では、このやりとりは暗号化され、PIX はどのポートをオープンするのかを判別できません。そして、TLS/SSL を使用した FTP 接続は最終的に失敗します。

この状況で 1 つの可能な回避策として、データ チャネルを暗号化するために引き続き TLS/SSL を使用しながら、「clear command channel」の使用をサポートする FTP クライアントを使用することがあります。このオプションをイネーブルにすると、PIX では、どのポートをオープンする必要があるかが判断できます。



Q. セキュリティ アプライアンスは DDNS をサポートしますか。

A. はい。セキュリティ アプライアンスは DDNS をサポートします。詳細は、「Dynamic DNS の設定」を参照してください。



Q. PIX は WebVPN/SSL VPN をサポートしていますか。

A. いいえ。ただし、これは Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)でサポートされています。



Q. PIX は Cisco AnyConnect VPN Client をサポートしていますか。

A. いいえ。これは Cisco 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)だけでサポートされています。



Q. PIX は AIP-SSM や CSC-SSM のようなサービス モジュールをサポートしていますか。

A. いいえ。



Q. Cisco セキュリティ アプライアンスは IPsec Manual Keying(手動暗号化)をサポートしていますか。

A. いいえ。



Q. ASA は NT を使用したパスワード管理をサポートしますか。

A. ASA は NT を使用したパスワード管理をサポートしません。

注:セキュリティ アプライアンスは、RADIUS および LDAP プロトコルのパスワード管理をサポートします。



Q. Cisco 5500 シリーズ ASA は、Cisco ルータのような Policy Based Routing(PBR; ポリシー ベース ルーティング)を実行できますか。たとえば、メール トラフィックは最初の ISP にルーティングされ、http トラフィックは 2 番目の ISP にルーティングされるといったことです。

A. 残念ながら、現時点で ASA でポリシー ベース ルーティングを実行する方法はありません。これは、将来 ASA に追加される機能になる可能性があります。

注:route-map コマンドは、OSPF のようなルーティング プロトコルとメトリックの使用の間でルートを再配布する方法と、通常のトラフィックを再配布しない方法を制御するために使用されます。



Q. ASA 5510 を Easy VPN クライアントとして使用できますか。

A. いいえ。Easy VPN クライアント設定は、ASA 5505 だけでサポートされています。



Q. ASA は非対称ルーティングをサポートしていますか。

A. ASA はバージョン 8.2(1) 以降で非対称ルーティングをサポートしています。8.2(1) よりも前のバージョンの ASA ではサポートされていません。



Q. ASA は PPTP クライアントをサポートしていますか。

A. いいえ。



Q. ASA は、DSCP 値でのパケットの QoS マーキングをサポートしていますか。

A. いいえ。ASA は、DSCP トラフィックの照合と、それを DSCP 値を変更せずに次のホップ デバイスに渡すことだけをサポートします。詳細は、「DSCP と DiffServ の保存」を参照してください。



Q. ASA/PIX バージョン 7.0 以降でサポートされる IPsec トランスフォーム(ESP、AH)は何ですか。

A. IPsec Encapsulating Security Payload(ESP)の暗号化と認証だけがサポートされます。Authentication Header(AH)トランスフォームは ASA/PIX バージョン 7.0 以降ではサポートされません。



Q. ASA は Universal Plug and Play(UPnP; ユニバーサル プラグアンドプレイ)機能をサポートしますか。

A. いいえ。ASA は、現時点では Universal Plug and Play(UPnP; ユニバーサル プラグアンドプレイ)機能をサポートしません。



Q. EZVPN が ASA 5505 上でイネーブルになったときに、フェールオーバーを設定できません。次のエラー メッセージはなぜ表示されるのでしょうか。「error :- ERROR]] vpnclient enable * Disable failover CONFIG CONFLICT: Configuration that would prevent successful Cisco Easy VPN Remote operation has been detected, and is listed above.Please resolve the above configuration conflict(s) and re-enable

A. ASA 5505 がリモート ユーザ用に EasyVPN を使用している場合(クライアント モード)、フェールオーバーは動作しますが、ASA を Easy VPN Client で使用するように設定している場合(Network-Extension モード:NEM モード)、フェールオーバーが設定されると動作しません。そのため、フェールオーバーは ASA がリモート ユーザ用に EZVPN を使用している場合(クライアント モード)だけで動作し、そのため、前述のエラーが発生します。



Q. 3 番目の VLAN を設定すると次のエラー メッセージが表示されます。「:- ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s) with nameif already configured」このエラーを解決するにはどうすればよいのですか。

A. このエラーは、ASA でライセンス制限があるために発生しています。ルーテッド モードでさらに VLAN を設定するには、Security Plus ライセンスを取得する必要があります。Base ライセンスで設定できるのは 3 つのアクティブな VLAN だけであり、Security Plus ライセンスでは最大 20 のアクティブ VLAN を設定できます。Base ライセンスでは 3 番目の VLAN を作成できますが、この VLAN は Outside または Inside に対してだけ通信するものであり、両方の方向には通信できません。両方の方向での通信が必要な場合は、このライセンスをアップグレードする必要があります。また、Base ライセンスを使用する場合、このインターフェイスを 3 番目の VLAN にして、それが他の 1 つの VLAN への問い合わせを開始するのを制限するには、hostname(config-if)# no forward interface vlan number コマンドを使用します。これで 3 番目の VLAN を設定できます。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-6-110002: Failed to locate egress interface for UDP from outside:x.x.x.x/xxxx to x.x.x.x/xxxx

A. ASA は、VPN Client がピアツーピア プログラムを使用しようとして、トラフィックがトンネル内に入り、そこにピアツーピア サーバが存在しないときに、このエラー メッセージを表示します。この問題を解決するには、インターネットに出て行く必要のあるトラフィックがトンネルを通過せず、パケットがファイアウォールによって廃棄されないように、スプリット トンネルを設定します。ASA でのスプリット トンネリング設定の詳細は、『PIX/ASA 7.x:ASA で VPN クライアントのスプリット トンネリングを許可するための設定例』を参照してください。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「Error: execUpgradeSoftware: operation timed out with 0 out of 1 bytes received

A. FTP で AIP-SSM をアップグレードしようとすると、タイムアウトする可能性があります。問題を解決するには、FTP タイムアウト値を大きくします。

例:

configure terminal
service host
network-settings
ftp-timeout 2700
exit

変更を保存します。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「unable to send authentication message

A. LOCAL(内部)認証を使用する場合、ASA はパスワード管理をサポートしません。この問題を解決するには、パスワード管理を設定しているのであれば、削除してください。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「%Error opening disk0:/.private/startup-config (Read-only file system) Error executing command [FAILED]

A. この問題を解決するには、ASA/PIX で flash コマンドか FSCK コマンドをフォーマットします。



Q. 次の ASDM エラー メッセージを解決するにはどうすればよいのですか。「Unconnected sockets not implemented

A. この問題は、ASDM バージョン 5.0 以降が、ASA、PIX、または FWSM 上で動作しており、Java 6 Update 10 以降を使用しているときに発生します。ASDM をロード中に次のメッセージが表示されます。

ASDM cannot be loaded. Click OK to exit ASDM.
Unconnected sockets not implemented.

この問題を解決するには、Java 6 Update 10 をアンインストールして、Java 6 Update 7 をインストールします。詳細は、CSCsv12681登録ユーザ専用を参照してください。

ASDM が Java 6 Update 10 を正しくロードするには、ASDM を ASDM 6.1(5)51 にアップデートする必要があります。詳細は、『Cisco ASDM リリース ノート バージョン 6.1(5)』の「 ASDM クライアント オペレーティング システムとブラウザの要件」セクションを参照してください。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-1-199010: Signal 11 caught in process/fiber(rtcli async executor process)/(rtcli async executor) at address 0xf132e03b, corrective action at 0xca1961a0

A. この問題は、ASA をアクセスするために ASDM が使用されたとき、または、ASA 上で CPU 使用率が高いときに発生する可能性があります。通常、このメッセージは、システムがクラッシュするのをエラー回復メカニズムが防ぐときに表示されます。

このメッセージが表示されたときに他の問題が伴わないのであれば、無視できます。これはパフォーマンスに影響を与えない回復可能なエラーです。



Q. Oracle トラフィックがファイアウォールを通過しません。この問題を解決するには、どうすればよいですか。

A. この問題は、ファイアウォールの sqlnet 検査機能が原因です。これが発生すると、接続が分断されます。sqlnet 検査エンジン用の TCP プロキシは、1 つの TCP セグメント内で複数の TNS フレームを処理するように設計されました。sqlnet 検査は、コード複合体をレンダリングする 1 つのパケットで多くの TNS フレームを処理します。

この問題を解決するには、検査エンジンが 1 つのパケットで複数の TNS フレームを処理しないようにします。それぞれの TNS フレームが別々の TCP パケットになり、個別に検査されることが想定されています。

この動作はソフトウェア バグに記載されています。詳細は、CSCsr27940登録ユーザ専用CSCsr14351登録ユーザ専用を参照してください。

この問題の解決策を次に示します。

sqlnet 検査をディセーブルにするために、クラス コンフィギュレーション モードで no inspect sqlnet コマンドを使用します。

ASA(config)#class-map sqlnet-port
ASA(config-cmap)#match port tcp eq 1521
ASA(config-cmap)#exit
ASA(config)#policy-map sqlnet_policy
ASA(config-pmap)#class sqlnet-port
ASA(config-pmap-c)#no inspect sqlnet
ASA(config-pmap-c)#exit
ASA(config)#service-policy sqlnet_policy interface outside

詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 8.0 』の「SQLNet 検査」セクションを参照してください。



Q. ASA は発信元ベース ルーティングをサポートしていますか。

A. いいえ。



Q. H329 トラフィックは PIX/ASA 8.1 以降を通過しますか。

A. いいえ。



Q. ASA は H.460 プロトコル検査をサポートしていますか。

A. いいえ。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「[ERROR] threat-detection statistics host number-of-rate 0 threat-detection statistics host number-of-rate 0 ^ % Invalid input detected at '^' marker

A. このエラーは、ASDM で脅威検出機能を使用しているときに発生することがあります。この問題を解決するには、コマンドの送信に CLI を使用するか、ASDM をダウングレードします。



Q. PIX/ASA でパケットをキャプチャするにはどうすればよいですか。

A. パケット キャプチャ機能を使用すれば、PIX/ASA でパケットをキャプチャできます。パケット キャプチャ機能の設定方法の詳細は、『ASA/PIX/FWSM:CLI および ASDM の設定例を使用してキャプチャするパケット』を参照してください。



Q. ASA は、認証後に直接イネーブル モードにユーザをログインさせる EXEC 認可をサポートしていますか。

A. いいえ。EXEC 認可機能は ASA ではサポートされていません。



Q. 次のエラー メッセージを解決するにはどうすればよいのですか。「%ERROR: copying 'disk0:/csco_config/97/customization/index.ini' to a temporary ramfs file failed

A. この問題は、Cisco Bug ID CSCsy77628登録ユーザ専用)によるものです。この問題を解決するには、特権 EXEC モードで revert webvpn all コマンドを実行して、すべての WebVPN 設定をクリアします。最初から再設定して、ASA をリロードします。



Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「ERROR: mount: Mounting /dev/hda1 on /mnt/disk0 failed: Invalid argument

A. この問題を解決するには、フラッシュを再フォーマットします。これで問題が解決しない場合は、TAC に問い合せて、サポートを依頼してください。



Q. ASA はブロードキャスト トラフィックがインターフェイスを通過することを許可しますか。

A. いいえ。



Q. HTTP トラフィックを ASA の HTTPS にリダイレクトするにはどうすればよいですか。

A. グローバル コンフィギュレーション モードで http redirect コマンドを発行して、セキュリティ アプライアンスが HTTP 接続を HTTPS にリダイレクトするように指定します。

hostname(config)#http redirect interface [port] 



Q. 英語以外の文字をバナーに追加しようとすると、ASA で次のエラー メッセージが表示されます。「The CLI generated has unsupported characters.ASA does not accept such characters.The following line(s) has unsupported characters」このエラーを解決するにはどうすればよいのですか。

A. これは、Cisco Bug ID CSCsz32125登録ユーザ専用)によるものです。この問題を解決するには、ASA をソフトウェア バージョン 8.0(4.34) にアップグレードします。



Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「%ASA-1-216005: ERROR: Duplex-mismatch on Et0/0 resulted in transmitter lockup.A soft reset of the switch was performed

A. このエラー メッセージは、指定されたポートとそれに接続されているデバイスの間にデュプレックス ミスマッチが存在するときに見られます。両方のデバイスを両方の側で auto または hard-coding the duplex のいずれか同じ設定にして、デュプレックス ミスマッチを修正します。これにより問題は解決します。

注:この問題については Cisco Bug ID CSCsm87892 に記載があります。このバグは、現在、Resolved(解決済み)状態になっています。詳細は、CSCsm87892登録ユーザ専用)を参照してください。



Q. AIP-SSM モジュールで復旧処理をしたところ、そのモジュールが繰り返しリブートするようになり、次のエラー メッセージが表示されるようになりました。「Bad magic number (0x-682a2af)」このエラーを解決するにはどうすればよいのですか。

A. この問題は、復旧またはイメージの変更に誤ったファイルを使用した場合に発生します。.img ファイルではなく .pkg ファイルを使用した場合、この動作でこのエラーになります。また、このエラーは .img ファイルに問題がなくても ASA がブート ループで留まる場合にも発生します。この問題を解決する唯一の方法は、センサーのイメージを変更することです。



Q. AIP-SSM 用の Global Correlations アップデートをダウンロードすると、次のエラー メッセージが表示されるのはなぜですか。「collaborationApp[530] rep/E A global correlation update failed: Failed download of ibrs/1.1/config/default/1236210407 : HTTP connection failed

A. この問題は、設定されている URL フィルタリングが原因で発生した可能性があり、これは、トラフィック フローに影響し、また、ASA を経由してインターネットへと到達することのできる AIP-SSM モジュールの管理インターフェイスが原因である可能性もあります。設定された URL フィルタリングが、デバイス(AIP-SSM)が Global Correlations に到達するのをブロックしないようにします。これによって問題が解決します。



Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「Secure Connection Failed.An error occurred during a connection to x.x.x.x.Cannot communicate securely with peer: no common encryption algorithm(s).(Error code: ssl_error_no_cypher_overlap)

A. これは、Cisco Bug ID CSCtc37947登録ユーザ専用)によるものです。この問題を解決するには、CSC の root アカウントで自動アップデート用に作成された一時ファイルを削除してから、サービスを再起動します。



Q. Grayware 用の ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「GraywarePattern : Pattern Update: The download file was unsuccessful for ActiveUpdate was unable to unzip the downloaded patch packages.The zip file may be corrupted.This can happen due to an unstable network connection.Please try downloading the file again..The error code is 24

A. この問題を解決するには、3DES アクティベーション キーを入力するか、ASA で ciscoasa(config)# ssl encryption aes256-sha1 aes128-sha1 3des-sha1 des-sha1 rc4-md5 コマンドを使用します。このコマンドは、SSL/TLS プロトコルが使用する暗号化アルゴリズムを指定するために使用されます。



Q. ASA 5505 のインターフェイスを設定しているときに次のエラー メッセージが表示された場合、どのようにしたら解決できるでしょうか。「ERROR: This license does not allow configuring more than 2 interfaces with nameif and without a "no forward" command on this interface or on 1 interface(s)

A. この問題は、ASA に存在するライセンスに基づいて通信することが許可されているインターフェイスの数が原因で発生します。ASA 5505 などの内蔵スイッチのモデルに対しては、インターフェイス コンフィギュレーション モードで forward interface コマンドを使用して、ある VLAN が別の VLAN に問い合わせを開始するために接続を戻します。ある VLAN に対して別の VLAN への問い合わせを開始することを制限するには、このコマンドの no 形式を使用します。ライセンスがサポートする VLAN の数がいくつなのかに従って 1 つの VLAN を制限する必要がある可能性があります。



Q. 5505 ASA の間で L2L VPN の 2 要素認証を設定することはできますか。

A. 2 要素認証は、AnyConnect と SSL VPN だけを対象として、ASA バージョン 8.2.x 以降で設定できます。L2L VPN に対して 2 要素認証を設定することはできません。



Q. ASA の次のエラー メッセージを解決するにはどうすればよいのですか。「%Error opening system:/running-config (No such device)

A. このエラー メッセージを解決するには ASA をリロードします。



Q. 次のエラーが表示されました。「[ERR-PAT-0003] The update system cannot find the required files in the decompressed set of update files, and cannot continue.This message is for diagnostic purpose only.Customers - please contact Technical Support.while upgrading to the latest pkg file on CSC-SSM.」なぜこのエラーが発生するのでしょうか。

A. これは、Cisco Bug ID CSCta99320登録ユーザ専用)によるものです。詳細は、このバグを参照してください。



Q. 1 つの ASA に 2 つの電話プロキシを追加することはできますか。

A. いいえ。1 つの ASA に 2 つの電話プロキシを追加することは、ASA でサポートしていないので、できません。



Q. ASA で次のエラー メッセージが表示され、ASA がリブートしません。「mempool: error 12 creating global shared pool」なぜこれが発生するのでしょうか。また、どうすれば解決できますか。

A. この問題は、特定のプラットフォームで適切な量よりも多くの RAM をインストールしようとすると発生する場合があります。たとえば、ASA5540 に 4 GB の RAM をインストールしようとすると、これはエラーになります。ASA5540 では 2 GB よりも多くの RAM を作動してはならないためです。

新しい RAM をインストールするときには、次の点を考慮に入れてください。

  • ASA には新しい RAM だけをインストールする。古い RAM は取り外し、余分な RAM スロットにロードしてはならない。

  • 新しい RAM は交互のスロットにインストールする。最適なパフォーマンスを得るために、DIMM はスロット P13 と P15 にインストールする。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 68330