Cisco CNS Configuration Engine 1.4 アドミニストレータ ガイド
Cisco PIX ファイアウォール デバイス のサポート
Cisco PIX ファイアウォール デバイスのサポート
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco PIX ファイアウォール デバイスのサポート

PIX デバイスによるアップデートに関するポーリング

設定処理

イメージ処理

エラー処理

PIX デバイスからの DeviceDetails 要求の処理

PIX DeviceID

セキュリティについて

PIX デバイスのポーリング設定

設定と制約事項

Cisco PIX ファイアウォール デバイスのサポート

Cisco CNS Configuration Engine 1.4 には、Cisco PIX ファイアウォール デバイス(PIX デバイス)に対する設定管理およびイメージ サービスが用意されています。図 5-1 に、PIX デバイスのインターフェイス モジュールを含む、CNS Configuration Engine 1.4 の機能ブロック図を示します。

図 5-1 PIX と互換性がある CNS Configuration Engine のモジュール相互関係

 

PIX デバイスによるアップデートに関するポーリング

PIX デバイスは CNS Configuration Engine 1.4 の PIX モジュールに接続して PIX デバイス自体についての情報を報告します。この報告は、PIX が起動したとき、報告済みの情報が変更されたときに実行されるほか、PIX 側でアップデート版があるかどうかをチェックする場合に任意のタイミングで実行されます。PIX は DeviceDetails メッセージをサーバに送信します。DeviceDetails によって、デバイスが現在実行しているソフトウェアのバージョンのアップデート版が CNS Configuration Engine 1.4 に示されます。DeviceDetails で示された情報は、ログ ファイル(pix.log)に記録され、参照に使用されます。

サーバは UpdateInfo メッセージを返します。このメッセージには、状況に応じて次の内容が含まれます。

PIX が実行している設定ファイルのチェックサムおよび URL

PIX イメージのチェックサムおよび URL

PIX Device Manager(PDM)イメージのチェックサムおよび URL

エラーのレポート用の URL

PIX は、メッセージ内のチェックサムを該当コンポーネントの現在のチェックサムと比較します。設定の場合、PIX は実行中の設定の暗号化チェックサムを計算し、CNS Configuration Engine 1.4 で前回アップデートされた設定から計算された暗号化チェックサムとの比較も行います。チェックサム(または暗号化チェックサム)が異なる場合は、アップデートが必要です。

ソフトウェアまたは設定のアップデートが必要な場合、PIX はそれぞれの URL で要求を送信します。

設定処理

設定のアップデートが必要な場合、PIX は返された URL に HTTPS GET 要求を送信します。設定ファイルは、適用前にローカル バッファに完全に読み込まれます。これは、接続エラーによって PIX が部分的に設定された状態になるのを回避するためです。設定コマンドを適用中にエラーが発生しない場合(または config-data メッセージの errors 属性が continue である場合)、実行中の設定は write memory コマンドでフラッシュにコピーされます。すべての設定ファイルは replace モードで機能します。

PIX デバイスによる設定ダウンロードが完了すると、ログ ファイル エントリが生成されます。これは、pix.log 内のログ ファイル エントリと同じ内容を示します。


) ログ エントリは、PIX デバイスに対する設定の適用が成功したことを意味するものではありません。PIX デバイスによって設定ファイルがダウンロードされたという意味です。


イメージ処理

最初の HTTPS POST とともに状況に応じて送信される DeviceDetails XML では、PIX イメージについての情報(バージョンとチェックサム)が示されます。CNS Configuration Engine 1.4 は、ディレクトリのエントリに基づいて、イメージ URL を含む UpdateInfo XML およびチェックサムを返します。PIX はイメージを次々にダウンロードして適用します。また、必要に応じて PIX 自身をリロードします。エラーは、次の項で説明する方法で処理されます。


) イメージのダウンロードが成功したことを示す通知はありません。イメージ配布は CNS Configuration Engine 1.4 の外部である場合があり、PIX サーバはそれを追跡できないためです。また、PIX デバイスもイメージ アップグレートが成功したことを示す通知を出しません。


エラー処理

すべてのエラーは、HTTPS POST で ErrorList メッセージを使用してエラー URL に報告されます。

各設定エラー レポート(タイプ=error、warning、または info)は、CNS Configuration Engine 1.4 によって pix.log に記録されます。ディスク使用領域を節約するために、ログ ファイルは循環式になっています。エラーメッセージの内容は、PIX デバイス自体からのエラー XML です。


) 設定中に発生するエラーは、ダウンロードされた設定が PIX にまったく適用されなかったことを意味するものではありません。ログ ファイルで示されているエラーがこの特定のデバイスに関して発生したという意味です。


CNS Configuration Engine 1.4 から受信した URL のいずれかでデータを取得中に、エラーまたは通知(タイプ= warning、notification、informational、debugging、emergency、alert、critical および error)が発生した場合、ログ ファイル エントリが生成されます。

サーバからの UpdateInfo 応答にある URL の処理中にエラーが発生した場合、そのエラーは Error URL に報告されます。また、現在のコール ホームで受信したすべての URL の処理は中止されます。処理の続行は、PIX が再びホームをコールするまで延期されます。

すべてのアップデートが正常に完了すると、PIX デバイスによって別の DeviceDetails メッセージが CNS Configuration Engine 1.4 に送信されます。CNS Configuration Engine 1.4 は、再び UpdateInfo およびチェックサムを送信します。PIX デバイスはチェックサムを比較し、これ以上のアップデートが不要であることを確認します。

PIX デバイスからの DeviceDetails 要求の処理

PIX デバイスからの DeviceDetails 要求の処理のシーケンスは、次のとおりです。

1. PIX デバイスが HTTPS の POST 要求で DeviceDetails を XML ペイロードとして使用して CNS Configuration Engine 1.4 に接続します。

2. 新しい PIX Configuration servlet が要求を受信し、XML を構文解析し、DeviceID を取得します。

3. デバイスが認証されます。

4. この DeviceID と関連付けられているテンプレートが処理され、設定ファイルが生成されます。

5. 設定ファイルが PIX DTD に従って XML 形式に変換され、保存されます(この DeviceID 用のファイルがすでに存在する場合は上書きされます)。

6. XML 設定ファイルのチェックサムが計算され、URL が示されます。

7. PIX イメージおよび PDM イメージの URL と チェックサムが、PIX デバイスに添付されているイメージ オブジェクトから取得されます。

8. 対応するチェックサムが異なる場合、設定ファイルや各イメージのチェックサムと URL、および Error URL が HTTP 応答として XML ペイロード(UpdateInfo)とともに PIX デバイスに送信されます。

9. この時点でデバイスは、UpdateInfo 応答の内容に基づいて設定またはイメージを要求します。

10. エラーが発生した場合は、情報がエラー URL に送信されます。

11. エラー サーブレットがエラーを pix.log に記録します。

図 5-2 に、プル モデルのプロセス フローを示します。

図 5-2 デバイス アップデートのプル モデルのシーケンス図

 

PIX DeviceID

次に示す PIX CLI によって、PIX が DeviceDetails 要求で送信する DeviceID の値が決定されます。

[no] auto-update device-id hardware-serial | hostname | ipaddress [ if-name ] | mac-address [ if-name ] |
string text

auto-update device-id コマンドでは、Management サーバにポーリングする際に送信するデバイス ID が指定されます。

no auto-update device-id コマンドでは、デバイス ID がデフォルトのホスト名にリセットされます。

hardware-serial オプションでは、PIX シリアル番号が使用されます。

hostname オプションでは、PIX ホスト名が使用されます。

ipaddress オプションでは、インターフェイスの IP アドレスが名前 if-name とともに使用されます。

インターフェイス名が指定されていない場合、リモート管理サーバとの通信に使用されるインターフェイスの IP アドレスが使用されます。

mac-address オプションでは、インターフェイスの MAC アドレスが名前 if-name とともに使用されます。

インターフェイス名が指定されていない場合、リモート管理サーバとの通信に使用される MAC アドレスが使用されます。

string オプションでは、指定されている テキスト が使用されます。

このテキストには、ホワイト スペースまたは文字 ‘、"、<、>、&、および ? は使用できません。


) PIX によって提供される DeviceID は、CNS Configuration Engine 1.4 の ConfigID および EventID に内部的にマッピングされるので、ハイフン(-)、下線(_)、ピリオド(.)、および英数字のみがサポートされます。


セキュリティについて

PIX デバイスはファイアウォール デバイスであり、設定情報は非常に重要であるので、この情報の転送は SSL で保護されます。

HTTPS は、あらゆる状況での PIX デバイスと CNS Configuration Engine 1.4 の間の転送プロトコルとして強化されています。DeviceDetails、Update Info、ErrorInfo、および設定ファイルは、HTTPS 以外では転送されません。Configuration Service で使用される認証メカニズムは、PIX サーバ モジュールで利用されています。PDM または PIX イメージの URL を提供する場合は、HTTP または HTTPS が使用できます。

PIX デバイスのポーリング設定

PIX デバイスは、CNS Configuration Engine 1.4 に対して設定またはイメージのアップデートに関するポーリングを一定間隔で実行するように設定できます。このエントリは、PIX デバイス自体に行う必要があります。詳細については、PIX デバイスのマニュアルを参照してください。この設定を行うための CLI 形式は、次のとおりです。

Usage: auto-update device-id hardware-serial | hostname |

ipaddress [<if_name>] | mac-address [<if_name>] | string <text>

no auto-update device-id

auto-update poll-period <poll-period> [<retry-count>

[<retry-period>]]

no auto-update poll-period

auto-update server <url> [verify-certificate]

no auto-update server

auto-update timeout <period>

no auto-update timeout

auto-update device-id string myPIXDevice
auto-update poll-period 120
auto-update server https://********@cns-ie2100/cns/PIXConfig
 

CNS Configuration Engine 1.4 上でポーリングされる URL は、次のとおりです。

/cns/PIXConfig

auto-update poll-period コマンドでは、Management サーバへの設定またはイメージのアップデートに関するポーリングの頻度を指定します。poll-period パラメータでは、アップデート版があるかどうかをチェックする頻度(単位:分)を指定します。デフォルトは 720 (12 時間)です。retry-count オプションでは、サーバに対する最初の接続試行が失敗した場合に再試行する回数を指定します。デフォルトは 0 です。retry-period オプションでは、次の再試行までの待機時間(単位:分)を指定します。デフォルトは 5 です。

no auto-update poll-period コマンドを使用すると、ポーリング期間がデフォルトにリセットされます。

また、PIX デバイス上のサーバ ホスト名をそのサーバの IP アドレスを使用してマップする必要もあります。これは、name コマンドを次のように使用すると実行できます。

pixfirewall# conf t

pixfirewall(config)# name <サーバの IP アドレス> <サーバのホスト名>

設定と制約事項

PIX 互換モジュールは、システムが internal directory default mode で初めてセットアップされるとき、Configuration Service とともにセットアップされます。PIX 互換性を有効にするために特別な操作を行う必要はありません。

ソフトウェア バージョンが 6.2.1 以上 の PIX デバイスは、CNS Configuration Engine 1.4 でサポートされています(PIX デバイス側からの自動アップデートは、このバージョンで導入されました)。ソフトウェア バージョン 6.2.1 以上を実行する PIX ハードウェア プラットフォームはすべてサポートされます。

設定ファイルは、オプション config-action= replace および errors=revert を使用して生成されます。ほかのオプションはサポートされていません。