ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
CX デバイスの準備
CX デバイスの準備
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

CX デバイスの準備

CX デバイスを使用する前に、いくつかの基本的な設定を実行し、デバイスにトラフィックをリダイレクトする必要があります。

ASA CX の初期設定

ASA CX を使用する前、またはそれを Cisco Prime Security Manager で管理する前に、ネットワークに設置して初期設定を完了する必要があります。 次の手順では、全体的なプロセスについて説明します。

はじめる前に

トランスペアレント モードで動作するように ASA と ASA CX を設定できますが、ASA インラインをネットワークに入れる必要があります。 スパン モードで動作しているスイッチ ポートに ASA を接続しないでください。

また、ASA がASA CX に関する ASA 設定の制限事項に説明されている要件を満たすようにしてください。

手順
    ステップ 1   ASA CX SSP を ASA に設置し、ASA をネットワークに設置します。

    ASA CX ソフトウェア モジュール の場合、ハード ドライブを必要に応じてインストールします。

    ASA CX SSP に付属のマニュアル、および次のマニュアルに従います。
    ステップ 2   ネットワークに管理インターフェイスを接続します。

    ASA 5585-X の ASA CX SSP などのハードウェア プラットフォームでは、ポートは(ASA SSP ではなく)ASA CX SSP の Management1/0 です。 ASA CX SSP ソフトウェア モジュールの場合、ASA 管理ポートが接続されていることを確認します。

    Web インターフェイスを使用してデバイスを設定するには、ASA CX SSP 管理インターフェイスへの接続を使用します。

    また、初期設定とトラブルシューティングに使用する最小限の CLI もあります。 コンソール ポートまたは管理アドレスへの SSH 接続を使用して CLI にアクセスできます。 ASA CX ソフトウェア モジュール の場合、ASA CLI で session cxsc console コマンドを使用して、コンソール セッションを開くことができます。

    デフォルトの管理 IP アドレスは 192.168.8.8/24 で、ゲートウェイは 192.168.8.1 です。 このアドレスは設定時に変更できます。

    ASA CX SSP に割り当てることができる、管理ネットワーク上で使用可能であるスタティック IP アドレスを決定します。 ASA CX ソフトウェア モジュール の場合、アドレスが ASA 管理アドレスと同じサブネットにある必要があります。 ハードウェア プラットフォームについては、RJ-45 コネクタがある標準のカテゴリ 6 ケーブルを使用してネットワークに Management1/0 を接続します。

    ステップ 3   ASA CX ソフトウェアの設定に説明されているようにソフトウェアを設定します。

    ASA CX ソフトウェア モジュール の場合、ハード ドライブにプレインストールされたイメージが見つからない場合は、ソフトウェアを設定する前にシステム イメージを再作成する必要があります。 設定を含む詳細については、ASA CX ソフトウェア モジュールのイメージの再作成を参照してください。

    ステップ 4   ASA CX SSP 用の ASA 設定のアラートに説明されているように ASA ファイアウォール設定を変更します。

    次の作業

    続いて、次の手順を実行します。
    • ASA CX を直接管理する場合:
      • ASA CX 管理アドレスが開かれた Web ブラウザを使用して、ASA CX ポリシーを設定します。
      • ASDM または ASA CLI を使用して、トラフィックを ASA CX にリダイレクトします。
    • ASA CXCisco Prime Security Manager で管理する場合:
      • ASA CX SSP を含んだ ASA をインベントリに追加します。
      • Cisco Prime Security Manager が開かれた Web ブラウザを使用して、ASA CX ポリシーを設定します。
      • Cisco Prime Security Manager を使用して、トラフィックを ASA CX にリダイレクトします。

    ASA CX に関する ASA 設定の制限事項

    次の ASA 機能は、ASA を ASA CX で使用する際には設定できません。
    • Cisco Ironport Web セキュリティ アプライアンス(WSA) mus コマンドは、WSA アプライアンスとの関係を定義します。このアプライアンスは、同様の機能を実行する ASA CX と同時には使用できません。
    • マルチ セキュリティ コンテキスト設定

    ASA CX ソフトウェアの設定

    ASA CX ソフトウェアの設定は次の方法のいずれかを使用して実行できます。
    • コンソール ポートに接続して setup コマンドを実行します。 ASA 製品に付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。 コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。
    • ASA CX ソフトウェア モジュール の場合、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開き、setup コマンドを実行できます。
    • SSH クライアントを使用して ASA CX 管理アドレスへの接続を確立して、setup コマンドを実行します。 ユーザ名 admin、デフォルトのパスワード Admin123 を使用してログインします。このパスワードは、ここで説明する手順に従って変更してください。

    192.168.8.8 が有効なアドレスとなっているネットワークに Management1/0 を接続しなかった場合は、初期設定にコンソール ポートを使用します。 それ以降、SSH セッションから setup コマンドを再実行できます。 方法は同等ですが、SSH セッション中に IP アドレスを変更した場合は、変更の保存後に接続が失われます(新しい IP アドレスとの接続を再確立してください)。


    ヒント


    CLI で使用可能なコマンドについては、help または ? を入力してください。


    はじめる前に
    setup コマンドは必要な情報の入力を求めるウィザードです。 ウィザードを開始する前に、次の値に対する正しい入力内容を必ず確定してください。
    • システムのホスト名。 ホスト名は 65 文字以内で、文字、数字、ハイフンのみが使用できます。 先頭と末尾の文字は英字または数字にする必要があり、ホスト名をすべて数字にすることはできません。
    • 管理 IP アドレスに使用するアドレス指定のタイプ。 スタティック IPv4、IPv4 用 DHCP、スタティック IPv6、IPv6 ステートレス自動設定のいずれかのアドレス タイプを設定できます。 ASA CX ソフトウェア モジュール では、ASA 管理アドレスと同じサブネット上にアドレスがあることが必要で、ASA の管理インターフェイスがアップ状態で、使用可能でなければなりません。 IPv4 と IPv6 の両方のアドレス指定の設定が可能です。 次の手順を実行します。
      • IPv4 スタティック アドレス:IPv4 管理 IP アドレス、サブネット マスク、ゲートウェイを指定します。
      • DHCP:管理ネットワークで応答する DHCP サーバが必要です。

        (注)  


        DHCP は推奨されません。 DHCP がリースの満了やその他の理由により割り当てたアドレスを変更した場合、システムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


      • IPv6 スタティック アドレス:IPv6 管理 IP アドレス、プレフィックス長、ゲートウェイを指定します。
      • IPv6 ステートレス自動設定:IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。 IPv6 ルーティング サービスがリンクで使用できない場合、リンク ローカルな IPv6 アドレスのみが取得され、そのデバイスが属すネットワーク リンクの外部にアクセスできません。

        (注)  


        IPv6 ステートレス自動設定では、ネットワーク プレフィックスおよびデバイス ID に基づいてグローバル アドレスが割り当てられます。 このアドレスが変化することはほとんどなく、変化するとシステムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


    • DHCP を使用しない場合は、プライマリおよび任意でセカンダリの IP アドレス(IPv4 または IPv6)、DNS サーバ、ローカル ドメイン名。 IPv4 と IPv6 の両方の管理アドレスを設定すると、このいずれか、または両方の形式で DNS アドレスを入力できます。この設定を行わない場合は、管理アドレスの形式に合わせる必要があります。 検索ドメインのカンマ区切りリストを入力することもできます。検索ドメインは、名前から IP アドレスへの解決の中で、完全修飾ではないホスト名に順番に付加されます。 たとえば、検索ドメイン リストにより、www.example.com などの完全修飾名ではなく、www への ping が可能になります。
    • システム時刻に Network Time Protocol(NTP)を設定するかどうか、および NTP を使用する場合は NTP サーバの名前または IPv4 アドレス。 すべてのシステムで同じ NTP サーバを使用することを推奨します。
    手順
      ステップ 1   コンソール セッションを開くか、管理 IP アドレスへの SSH 接続を確立してから、ユーザ名 admin を使用してログインします。
      ステップ 2   setup コマンドを入力してセットアップ ウィザードを開始します。

      例:
      asacx> setup
      
                 Welcome to Cisco Prime Security Manager Setup
                           [hit Ctrl-C to abort]
                         Default values are inside [ ]
      
      

      セットアップ ウィザードでは入力が求められます。 次の例は、ウィザードでの一般的な順序を示しています。プロンプトで N ではなく Y を入力した場合、上記で述べた追加設定のいくつかを行うことができます。 太字のテキストは入力する値を示し、これらのサンプル値は実際の値に置き換えてください。 場合によっては、明確にするため入力する値がデフォルト値と同じになっています。値を何も入力しないで、代わりに Enter を押すだけでもかまいません。

      次に、IPv4 および IPv6 両方のスタティック アドレスの設定例を示します。 スタティック IPv6 アドレスを設定するときのプロンプトで N と応答することで、IPv6 ステートレス自動設定にすることができます。 IPv4 を設定するときのプロンプトで N と応答した場合は、設定されるアドレスが IPv6 のみになります。

      Enter a hostname [asacx]: asa-cx-host 
      Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
      Do you want to enable DHCP for IPv4 address assignment on management interface? (y/n) [N]: N 
      Enter an IPv4 address [192.168.8.8]: 10.89.31.65 
      Enter the netmask [255.255.255.0]: 255.255.255.0 
      Enter the gateway [192.168.8.1]: 10.89.31.1 
      Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y
      Enter an IPv6 address: 2001:DB8:0:CD30::1234/64
      Enter the gateway: 2001:DB8:0:CD30::1 
      Enter the primary DNS server IP address [ ]: 10.89.47.11 
      Do you want to configure Secondary DNS Server? (y/n) [N]: N 
      Do you want to configure Local Domain Name? (y/n) [N] Y
      Enter the local domain name: example.com 
      Do you want to configure Search domains? (y/n) [N] Y
      Enter the comma separated list for search domains: example.com
      Do you want to enable the NTP service?(y/n) [N]: Y
      Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
      
      
      ステップ 3   最後のプロンプトが完了すると、設定のサマリーが示されます。 サマリーに目を通して値が正しいことを確認し、変更した設定を適用するには Y を入力します。 変更をキャンセルするには N を入力します。

      例:
      Apply the changes?(y,n) [Y]: Y
      Configuration saved successfully!
      Applying...
      Done.
      Generating self-signed certificate, the web server will be restarted after that
       ...
      Done.
      Press ENTER to continue...
      asacx>
      
      
      (注)     

      ホスト名を変更した場合は、ログアウトして再びログインするまでプロンプトに新しい名前は表示されません。

      ステップ 4   NTP を使用しない場合は、時刻を設定します。

      show time コマンドを使用すると、現在の日時とシステムのタイムゾーンを確認できます。 デフォルトでは UTC タイムゾーンが使用されます。

      時間設定を変更するには、次のコマンドを使用できます。
      • config timezone で、タイムゾーンを変更します。
      • config time で、ローカルの日時を設定します。
      ステップ 5   (任意)admin パスワードを変更します。

      admin ユーザのパスワードをまだ変更していない場合は、config passwd コマンドを使用して今すぐ変更してください。 コマンド出力にパスワード要件が説明されています。



      例:

      次に、admin パスワードの変更例を示します。

      asacx> config passwd 
      
      The password must be at least 8 characters long and must contain
      at least one uppercase letter (A-Z), at least one lowercase letter 
      (a-z) and at least one digit (0-9).
      
      Enter password: (type password)
      Confirm password: (retype password)
      SUCCESS: Password changed for user admin 
      
      
      ステップ 6   exit コマンドを入力してログアウトします。

      次の作業

      これでデバイスの使用準備が完了しました。 Web インターフェイスへのログインに説明されているように、ブラウザを使用して Web インターフェイスを開きます。

      ASA CX SSP 用の ASA 設定のアラート

      ASA CX SSPは ASA のモジュールです。 すべてのトラフィックは、ASA CX SSP にリダイレクトされる前に、ASA に入力される必要があります。 そして、ASA CX SSP が処理した後で、トラフィックは ASA に戻されてさらに処理や次の宛先へのルーティングが行われます。

      そのため、正しく ASA を設定することが ASA CX SSP の動作に不可欠です。

      ASA CX SSP を追加する際に ASA で調整する必要がある 2 つの基本ポリシーとして、アクセス ルールとインスペクション ルールがあります。
      • アクセス ルールは、グローバル ルールであっても、特定のインターフェイスに適用されるものであっても、トラフィックが ASA CX SSP にリダイレクトされる前に常に適用されます。 そのため、ASA CX SSP はすでに許可されているトラフィックのみを認識し、ASA への入口でドロップされたトラフィックを処理しません。 ASA CX SSP で処理するすべてのトラフィックを許可するようにルールを調整する必要が生じることがあります。
      • インスペクション ルールによって、トラフィックが検査されるかどうかを決定します。 ASA CX SSP は ASA で検査済みのトラフィックを検査しません。 したがって、ASA CX SSP で検査する予定のトラフィックを、自分で検査してはいけません。 具体的には、HTTP トラフィックを検査しないでください。HTTP インスペクションは ASA CX SSP の中核機能の 1 つになっているからです。 ASA のデフォルトのインスペクション ルールに HTTP インスペクションは含まれないため、HTTP ルールを追加した場合にのみお使いのインスペクション ルールを変更する必要がります。

      以降のトピックでは、ASA CX SSP にトラフィックをリダイレクトする方法と検討すべきことについて説明します。

      ASA CX 用の ASA アクセス ルールの設定

      ASA では、すべてのインターフェイスにグローバルにアクセス ルールを適用することも、あるいは 1 つ以上のインターフェイスに個別にアクセス ルールを適用することもできます。 これらのルールによって、デバイスを通過することが許可されるトラフィックと、即座にドロップされるトラフィックが決まります。

      インターフェイスにアクセス ルールを作成する必要があるか、あるいはすべてのインターフェイスに適用するグローバル アクセス ルールを作成する必要があるかを判断してください。 ASA アクセス ルールは、トラフィックを ASA CX にリダイレクトする前に、事前にフィルタリングするために使用します。 絶対に渡さないトラフィック クラスがあるとわかっている場合は、ASA に入力された後すぐにドロップすると効率的です。


      ヒント


      アクセス ルールで ASA CX 管理アドレスのポート 443 への HTTPS アクセスを許可するようにします。 PRSM マルチ デバイス モード もインストールする場合は、HTTPS トラフィックが ASA CX、ASA、PRSM の間で許可されていることを確認します。


      ASA のデフォルトのアクセス ルールは、次のサービスを提供します。
      • セキュリティの高いインターフェイスからセキュリティの低いインターフェイスに流れるすべてのトラフィックが許可されます。 たとえば、inside インターフェイス(セキュリティ レベル 100)に入ったすべてのトラフィックは outside インターフェイス(セキュリティ レベル 0)から出ることを許可されます。
      • セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへ進む場合でも、許可されたトラフィック フローのすべての戻りトラフィックも許可されます。 たとえば、outside インターフェイス経由でインターネットに進む inside インターフェイス上のユーザからの Web 要求は結果として戻りトラフィックになります(つまり、ページが存在し Web サイトへのルートが存在すると仮定すると、要求された Web ページがユーザのブラウザに表示されます)。
      • セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへのトラフィックは、すべてドロップされます。

      すでにアクセス ルールがある場合、変更する必要はありません。 ただし、アクセス ルールでドロップしている特定のタイプのトラフィックを ASA CX で処理するために、緩めることが必要かどうかを評価する必要があります。

      ASA CX 用の ASA インスペクション ルールの設定

      ASA はサービス ポリシー ルールを使用してアプリケーション層プロトコル インスペクションを定義します。 インスペクションは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。

      TCP ベースのトラフィックの ASA インスペクションは、ASA CX インスペクションと互換性がありません。 したがって、ASA CX は ASA によってすでに検査された TCP トラフィックを検査しません。


      ヒント


      HTTP トラフィックを ASA CX に送信する場合には、ASA 上で HTTP トラフィックを検査しないでください。 多くの ASA CX 機能は HTTP トラフィック用に設計されています。 少なくとも、HTTP トラフィックが ASA CX にリダイレクトされることを確認し、ASA でトラフィックを検査しないでください。


      検査された HTTP トラフィックを ASA CX に送信する場合、アプリケーション ベースのアクセス コントロールや URL フィルタリングなどいくつかの拡張機能は、ASA CX で実行できません。 そのため、これらの機能を使用すると予想される結果が得られない場合があります。

      HTTP インスペクションは ASA のデフォルト インスペクション ルールの一部ではないため、HTTP インスペクションを追加した場合にだけインスペクション ルールを変更する必要があります。 次の選択肢があります。
      • すべての HTTP インスペクション ルールを ASA から削除します。
      • 検査済みの HTTP トラフィック ストリームを含まないよう、ASA CX に送信されるトラフィックを制限します。 この方法は、サブネットまたはその他のトラフィック一致基準に基づいて、特定のインターフェイスまたは特定のトラフィック クラスについて ASA で HTTP インスペクションを実行する場合のオプションです。

      ASA CX SSP にトラフィックを送信する ASA の設定

      すべてのトラフィックは最初に ASA に入り、ASA がアクセス ルールをトラフィックに適用します。 次に、これらのルールに合格したすべてのトラフィックを ASA CX SSP にリダイレクトできます。リダイレクト先でポリシーがトラフィックに適用され、許可されたトラフィックが ASA に戻されて最終的な宛先に送信されます。

      サービス ポリシー ルールを使用してトラフィックを ASA CX SSP にリダイレクトします。 通常は、すべてのパケットを ASA CX SSP にリダイレクトします。 ポリシーをトラフィックに適用してから、ASA CX SSP は、さらに処理や次の宛先へのルーティングが行われるように許可されたトラフィックを ASA に戻します。


      (注)  


      ASA CX SSP にトラフィックをリダイレクトする前に、ASA はインターフェイス固有のアクセス ルールとグローバル アクセス ルールを適用します。 そのため、すべてのトラフィックをリダイレクトするサービス ポリシー ルールは、実際には ASA によって流入を許可されたトラフィックだけをリダイレクトしています。


      トラフィックをリダイレクトするように ASA を設定するには、ASA CLI、ASDM または PRSM マルチ デバイス モード を使用します。 次のトピックで、ASA CLI および PRSM での設定について説明します。

      ASA CLI を使用した ASA CX へのトラフィックのリダイレクト

      この手順では、ASA CLI を使用してトラフィックを ASA CX SSP にリダイレクトする方法について説明します。 手順では、たとえばネットワーク トラフィックがデバイスを通過できるよう、ASA インターフェイスが設定されているなど、ASA がすでに設定済みで動作することを前提としています。 通常は、少なくとも 1 つのインターフェイスがインターネット側にあり、1 つが内部ネットワーク側にあります。

      手順
        ステップ 1   コンソール ポートまたは SSH を管理 IP アドレスに対して使用し、ASA にログインします。
        ステップ 2   enable を入力して、特権 EXEC モードにアクセスするために必要なイネーブル パスワードを入力します。
        ステップ 3   config t を入力してコンフィギュレーション モードを開始します。
        ステップ 4   トラフィックをリダイレクトするサービス ポリシー ルールを作成します。

        クラス マップ コマンドは次のとおりです。

        cxsc { fail-open | fail-close } [auth-proxy]
        値は次のとおりです。
        • fail-open は、ASA CX SSP が何らかの理由で失敗した場合に、失敗しなければ ASA CX SSP にリダイレクトされるトラフィックを、ASA が引き続き通過させることを指定します。
        • fail-close は、ASA CX SSP が失敗した場合に、失敗しなければ ASA CX SSP にリダイレクトされるすべてのトラフィックを、ASA がドロップすることを指定します。
        • auth-proxy は認証プロキシを有効にします。このプロキシはアクティブ認証を ASA CX SSP でのアイデンティティ ポリシーに使用する場合に必要です。 このキーワードを含めなかった場合は、パッシブ認証のみを実行できます。


        例:

        次に、すべてのインターフェイスについてリダイレクションを含めるようにデフォルトのグローバル ポリシーを更新する例を示します。認証プロキシを有効にして、SSP が失敗した場合にトラフィックが ASA を通過することを許可しています。 このコマンド シーケンスでは、デフォルトのインスペクション ポリシーを含む、他のサービス ポリシー ルールが変更されることがありません。 リダイレクションを特定のインターフェイスまたはトラフィック フローに制限する場合には、リダイレクトするフローを定義したクラス マップで新しいポリシーを作成します(クラス マップの設定に関する詳細については、ASA のマニュアルを参照してください)。

        asa(config)# policy-map global_policy 
        asa(config-pmap)# class class-default 
        asa(config-pmap-c)# cxsc fail-open auth-proxy
        asa(config-pmap-c)# exit 
        asa(config-pmap)# exit 
        asa(config)#
        
        
        ステップ 5   ポリシー マップがまだアクティブ サービス ポリシーでない場合は、service-policy コマンドを使用してイネーブルにする必要があります。

        必要な場合、コマンドの no 形式を使用して、既存のサービス ポリシーを削除します。 たとえば、次のコマンドによって、ユーザ定義のグローバル ポリシーが削除され、デフォルトのグローバル ポリシーに置き換えられます。

        ヒント   

        IPS モジュールにトラフィックをリダイレクトするアクティブ サービス ポリシーがある場合、そのポリシーを削除する必要があります。 たとえば、ポリシーがグローバル ポリシーの場合、noservice-policy ips_policyglobal を使用します。



        例:
        asa(config)# no service-policy existing_global_policy global 
        asa(config)# service-policy global_policy global 
        asa(config)#
        
        
        ステップ 6   認証プロキシを有効にした場合に、デフォルト以外のポートをアクティブ認証に使用するには、認証プロキシ ポートを設定します。

        認証プロキシ ポート コマンドは次のとおりです。

        cxsc auth-proxy port number

        ここで、ポート番号は 1024 よりも大きくします。 デフォルトの認証プロキシ TCP ポートは 885 です。 ユーザに認証クレデンシャルの入力を求める必要がある場合、プロンプト要求はこのポートを通じて行われます。 show run all cxsc コマンドを使用すると、現在設定されているポートを表示できます。



        例:

        次に例を示します。

        asa(config)# cxsc auth-proxy port 1025
        asa(config)#
        
        
        ステップ 7   write memory と入力して、変更を実行コンフィギュレーションに保存します。

        PRSM を使用した ASA CX へのトラフィックのリダイレクト

        この手順では、PRSM マルチ デバイス モードを使用してトラフィックを ASA CX SSP にリダイレクトする方法について説明します。 手順では、たとえばネットワーク トラフィックがデバイスを通過できるよう、ASA インターフェイスが設定されているなど、ASA がすでに設定済みで動作することを前提としています。 通常は、少なくとも 1 つのインターフェイスがインターネット側にあり、1 つが内部ネットワーク側にあります。


        (注)  


        PRSM では、常に fail-open auth-proxy キーワードを使用してリダイレクションを設定します。 fail open は、ASA CX SSP が何らかの理由で失敗した場合に、失敗しなければリダイレクトされるトラフィックが、代わりに ASA ポリシーのみに基づいて ASA を通過することを意味します。 auth-proxy(認証プロキシ)キーワードを使用すると、アクティブ認証を設定できるようになります。 fail-close を使用するか、auth-proxy キーワードを省略した場合は、ASDM または ASA CLI を使用してリダイレクションを設定する必要があります。


        はじめる前に

        ポリシーが設定されたデバイス グループがすでにある場合に、これらのグループの 1 つにデバイスを追加する予定があるときは、そのデバイスをグループに割り当てるだけで済みます。 変更を保存すると、そのグループに定義されているトラフィック リダイレクション ポリシーがデバイスに適用されます。 [Device Groups] ページからグループにデバイスを割り当てることができます。

        この手順は、設定するデバイスが含まれたデバイス グループでリダイレクションをイネーブルにし、設定する必要があることを前提としています。

        手順
          ステップ 1   次のいずれかを実行して、トラフィック リダイレクション ポリシーを設定するデバイスを含むデバイス グループを開きます。
          • デバイスをインベントリに追加するとき、デバイスにアクティブ リダイレクション ポリシーがなければ、その事実が通知されます。リンクをクリックして、ディスカバリ中にデバイスに作成されたデバイス グループに進むことができます。
          • デバイスがすでにインベントリにあるときは、[Policies] > [Device Groups]を選択して、デバイスを含むデバイス グループを選択します。

          トラフィックのリダイレクト設定セクションに、設定が PRSM で管理されないというメッセージが含まれている場合、このグループの 1 つ以上のデバイスに、PRSM がサポートしない機能を使用して PRSM の外部で設定されたトラフィックのリダイレクト ポリシーがあることを示します。 管理対象ではないリダイレクト ポリシーのあるデバイスは、グループから除外される可能性がありますが、グループのリダイレクト ポリシーは永続的にディセーブルになります。 リダイレクト ポリシーを設定または変更するには、ASA CLI または ASDM を使用する必要があります。

          ステップ 2   [Traffic Redirection Settings] グループで次のプロパティを設定します。
          • [Traffic Redirection: Enable] を選択します。
          • [TCP/UDP Ports] では、すべてのタイプのトラフィックをリダイレクトする場合、フィールドをブランクのままにします。 tcp/80 または udp/80 のようなプロトコル/ポート形式でポートを指定することによって、特定の TCP/UDP ポートにリダイレクションを制限することもできます。 ハイフンを使用してポート範囲を入力できます(たとえば、tcp/1-100、udp/1-100)。 いずれかのポートを入力した場合、リダイレクションはそのプロトコルおよびポートに制限されます。TCP/UDP 以外のトラフィックはリダイレクトされません。
          • [Interfaces] では、デバイス上の任意のインターフェイスを通過するトラフィックをリダイレクトする場合、フィールドをブランクのままにします。 特定のインターフェイスを選択した場合、グループの各デバイスからのインターフェイスがインターフェイスのリストに示されている必要があります。
          例として、次の 3 つのデバイスとそのインターフェイスについて考えてみます。
          • ASA-1:inside、outside、DMZ
          • ASA-2:inside、outside
          • ASA-3:GE1、GE2、GE3

          この場合、「inside、DMZ」という選択はできません。ASA-3 のインターフェイスがリストに含まれないからです。 選択されたインターフェイスが ASA-1 には 2 つあるのに対して、ASA-2 には 1 つしかないということは重要ではなく、ASA-1 の 2 つのインターフェイスでリダイレクションが行われることを意味しています。 このグループを保存するためには、GE1、GE2、および GE3 インターフェイスのうち少なくとも 1 つを選択して、ASA-3 が示されるようにする必要があります。

          ステップ 3   [Save Device Group] をクリックして変更を保存します。

          PRSM のトラフィック リダイレクション ポリシーのトラブルシューティング

          PRSM で設定できるトラフィック リダイレクション ポリシーには、ASA CLI または ASDM で使用可能なすべてのオプションが含まれるわけではありません。 また、PRSM は、CLI または ASDM によって ASA 設定に加えられた変更を認識しません。 そのため、リダイレクションを PRSM によって設定するときに次の問題が発生することがあります。
          • サポートされないリダイレクション ポリシー:ASA を PRSM インベントリに追加する前に、CLI または ASDM を使用してリダイレクション ポリシーを設定できるため、PRSM が管理できないポリシーを設定してしまう可能性があります。 たとえば、ポリシーの照合条件として ACL を使用する場合、PRSM は設定をインポートしません。 代わりに、そのデバイスのトラフィック リダイレクション ポリシーは管理対象外と見なされます。 管理対象外のトラフィック リダイレクション ポリシーを持つ ASA を含むすべてのデバイス グループに対して、トラフィック リダイレクション ポリシーを設定できなくなります。
            PRSM は、次のコマンドをトラフィック リダイレクション CLI の一部としてサポートします。
            • クラス マップ:class-default または match port コマンド。
            • サービス ポリシー コマンド:global または interface 指定。
          • サポートされないリダイレクション キーワード:リダイレクション ポリシーはキーワード fail-openfail-closeauth-proxy を含むことができます。 ディスカバリ中、これらのキーワードは無視され、fail-open auth-proxy が常に設定されます。 そのため、fail-close キーワードでリダイレクション ポリシーを設定した場合、または意図的に auth-proxy キーワードを省略した場合、ディスカバリと導入後にポリシーが変更されます。 前述のように、リダイレクション ポリシーにサポートされないクラス マップが含まれる場合は、そのポリシーは検出されず、キーワードは変更されません。
          • デバイス グループ メンバーシップ:デバイス グループは、管理対象または管理対象外いずれかのトラフィック リダイレクション ポリシーを持ちます。 管理対象外のリダイレクション ポリシーを持つグループにデバイスを追加した場合、そのポリシーはデバイス グループで管理対象外になります。 デバイス グループのリダイレクション ポリシーが管理対象外になった場合は、管理対象外ポリシーを持つすべてのデバイスを削除しても常に管理対象外です。 管理対象外ポリシーを持つデバイスを、管理対象ポリシーを持つグループに追加しようとすると必ず警告されます。

            (注)  


            管理対象外ポリシーを持つデバイスを、管理対象ポリシーを持つグループに追加するときに、グループに他のデバイスがある場合、それらのデバイスのポリシーも管理対象外になります。 ASDM または ASA CLI を使用して、それらのデバイスのリダイレクション設定に変更を加える必要があります。 PRSM は、それらのデバイスのリダイレクション ポリシーに対する変更を認識しなくなります。


          • インターフェイス変更:デバイスを PRSM インベントリに追加すると、PRSM はその時点で設定されているインターフェイスを検出します。 インターフェイスの追加、削除、または名前変更をした場合、PRSM はそれらを認識しません。 そのため、リダイレクション ポリシーにインターフェイスを明示的に指定した場合に、PRSM は、ディスカバリのときに存在したインターフェイスにのみポリシーを設定します。 たとえば、デバイスを PRSM に追加するときに DMZ という名前のインターフェイスが ASA-5 に定義されていなかった場合を考えてみます。 次に ASA-5 を、DMZ がインターフェイスの 1 つとしてリダイレクション ポリシーに含まれているデバイス グループに割り当てました。 その後、ASDM を使用して ASA-5 のインターフェイス DMZ に名前を付けます。 この時点で、PRSM は ASA-5 の DMZ インターフェイスにリダイレクションを設定するように見えます。 ただし、DMZ はディスカバリのときにデバイスに定義されていなかったため、PRSM はそれが ASA-5 に存在することを認識しません。 この問題を回避するには、ASA-5 を PRSM インベントリから削除し、再び追加する必要があります。 この処理によって ASA 設定が再検出され、PRSM はここで DMZ インターフェイスを認識するようになります。 その後、ASA-5 をデバイス グループに追加し直すと期待する設定が得られます。
          • ポート制限:ポートを明示的に指定した場合、それらのポート上の TCP または UDP トラフィックのみが ASA CX によって処理されます。 ASA CX ポリシーは TCP/UDP 以外のトラフィックに適用できるため、リダイレクトされたトラフィックの制限が原因で適用されることのない ASA CX ポリシーを作成してしまう可能性があります。 たとえば、ポートをデバイスのデバイス グループに指定した場合に、ICMP トラフィックのポリシーはデバイスと照合されることはありません。