ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
CX デバイスの準備
CX デバイスの準備
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

CX デバイスの準備

CX デバイスを使用する前に、いくつかの基本的な設定を実行し、デバイスにトラフィックをリダイレクトする必要があります。

ASA CX の初期設定

ASA CX を使用する前、またはそれを Cisco Prime Security Manager で管理する前に、ネットワークに設置して初期設定を完了する必要があります。 次の手順では、全体的なプロセスについて説明します。

はじめる前に

トランスペアレント モードで動作するように ASA と ASA CX を設定できますが、ASA インラインをネットワークに入れる必要があります。 スパン モードで動作しているスイッチ ポートに ASA を接続しないでください。

また、ASA がASA CX に関する ASA 設定の制限事項に説明されている要件を満たすようにしてください。

手順
    ステップ 1   ASA CX SSP を ASA に設置し、ASA をネットワークに設置します。

    ASA CX ソフトウェア モジュール の場合、ハード ドライブを必要に応じてインストールします。

    ASA CX SSP に付属のマニュアル、および次のマニュアルに従います。
    ステップ 2   ネットワークに管理インターフェイスを接続します。

    ASA 5585-X の ASA CX SSP などのハードウェア プラットフォームでは、ポートは(ASA SSP ではなく)ASA CX SSP の Management1/0 です。 ASA CX SSP ソフトウェア モジュールの場合、ASA 管理ポートが接続されていることを確認します。

    Web インターフェイスを使用してデバイスを設定するには、ASA CX SSP 管理インターフェイスへの接続を使用します。

    また、初期設定とトラブルシューティングに使用する最小限の CLI もあります。 コンソール ポートまたは管理アドレスへの SSH 接続を使用して CLI にアクセスできます。 ASA CX ソフトウェア モジュール の場合、ASA CLI で session cxsc console コマンドを使用して、コンソール セッションを開くことができます。

    デフォルトの管理 IP アドレスは 192.168.8.8/24 で、ゲートウェイは 192.168.8.1 です。 このアドレスは設定時に変更できます。

    ASA CX SSP に割り当てることができる、管理ネットワーク上で使用可能であるスタティック IP アドレスを決定します。 ASA CX ソフトウェア モジュール の場合、アドレスが ASA 管理アドレスと同じサブネットにある必要があります。 ハードウェア プラットフォームについては、RJ-45 コネクタがある標準のカテゴリ 6 ケーブルを使用してネットワークに Management1/0 を接続します。

    ステップ 3   ASA CX ソフトウェアの設定に説明されているようにソフトウェアを設定します。

    ASA CX ソフトウェア モジュール の場合、ハード ドライブにプレインストールされたイメージが見つからない場合は、ソフトウェアを設定する前にシステム イメージを再作成する必要があります。 設定を含む詳細については、ASA CX ソフトウェア モジュールのイメージの再作成を参照してください。

    ステップ 4   ASA CX SSP 用の ASA 設定のアラートに説明されているように ASA ファイアウォール設定を変更します。

    次の作業

    続いて、次の手順を実行します。
    • ASA CX を直接管理する場合:
      • ASA CX 管理アドレスが開かれた Web ブラウザを使用して、ASA CX ポリシーを設定します。
      • ASDM または ASA CLI を使用して、トラフィックを ASA CX にリダイレクトします。
    • ASA CXCisco Prime Security Manager で管理する場合:
      • ASA CX SSP を含んだ ASA をインベントリに追加します。
      • Cisco Prime Security Manager が開かれた Web ブラウザを使用して、ASA CX ポリシーを設定します。
      • Cisco Prime Security Manager を使用して、トラフィックを ASA CX にリダイレクトします。

    ASA CX に関する ASA 設定の制限事項

    次の ASA 機能は、ASA を ASA CX で使用する際には設定できません。
    • Cisco Ironport Web セキュリティ アプライアンス(WSA) mus コマンドは、WSA アプライアンスとの関係を定義します。このアプライアンスは、同様の機能を実行する ASA CX と同時には使用できません。
    • ASA CX にリダイレクトするトラフィックにクラウド Web セキュリティ(ScanSafe)インスペクションを設定しないでください。 同じトラフィックに両方のインスペクションを設定した場合、トラフィックは ASA CX だけにリダイレクトされ、クラウド ネットワーク セキュリティは適用されません。
    • ASA クラスタリングをイネーブルにしないでください。これは、ASA CX モジュールとの間に互換性がありません。

    ASA CX ソフトウェアの設定

    ASA CX ソフトウェアの設定は次の方法のいずれかを使用して実行できます。
    • コンソール ポートに接続して setup コマンドを実行します。 ASA 製品に付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。 コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。
    • ASA CX ソフトウェア モジュール の場合、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開き、setup コマンドを実行できます。
    • SSH クライアントを使用して ASA CX 管理アドレスへの接続を確立して、setup コマンドを実行します。 ユーザ名 admin、デフォルトのパスワード Admin123 を使用してログインします。このパスワードは、ここで説明する手順に従って変更してください。

    192.168.8.8 が有効なアドレスとなっているネットワークに Management1/0 を接続しなかった場合は、初期設定にコンソール ポートを使用します。 それ以降、SSH セッションから setup コマンドを再実行できます。 方法は同等ですが、SSH セッション中に IP アドレスを変更した場合は、変更の保存後に接続が失われます(新しい IP アドレスとの接続を再確立してください)。


    ヒント


    CLI で使用可能なコマンドについては、help または ? を入力してください。


    はじめる前に

    setup コマンドは必要な情報の入力を求めるウィザードです。 ウィザードを開始する前に、次の値に対する正しい入力内容を必ず確定してください。

    システムのホスト名。

    ホスト名は 65 文字以内で、文字、数字、ハイフンのみが使用できます。 先頭と末尾の文字は英字または数字にする必要があり、ホスト名をすべて数字にすることはできません。

    管理 IP アドレスに使用するアドレス指定のタイプ。
    スタティック IPv4、IPv4 用 DHCP、スタティック IPv6、IPv6 ステートレス自動設定のいずれかのアドレス タイプを設定できます。 ASA CX ソフトウェア モジュールでは、このアドレスが ASA 管理アドレスと同じサブネットに存在している必要があり、ASA 管理インターフェイスが稼働していて利用可能であることが必要です。 IPv4 と IPv6 の両方のアドレス指定の設定が可能です。 次の手順を実行します。
    • IPv4 スタティック アドレス:IPv4 管理 IP アドレス、サブネット マスク、ゲートウェイを指定します。
    • DHCP:管理ネットワークで応答する DHCP サーバが必要です。

      (注)  


      DHCP は推奨されません。 DHCP がリースの満了やその他の理由により割り当てたアドレスを変更した場合、システムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


    • IPv6 スタティック アドレス:IPv6 管理 IP アドレス、プレフィックス長、ゲートウェイを指定します。
    • IPv6 ステートレス自動設定:IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。 IPv6 ルーティング サービスがリンクで使用できない場合、リンク ローカルな IPv6 アドレスのみが取得され、そのデバイスが属すネットワーク リンクの外部にアクセスできません。

      (注)  


      IPv6 ステートレス自動設定では、ネットワーク プレフィックスおよびデバイス ID に基づいてグローバル アドレスが割り当てられます。 このアドレスが変化することはほとんどなく、変化するとシステムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


    DNS 情報。

    DHCP を使用しない場合は、プライマリおよび任意でセカンダリの IP アドレス(IPv4 または IPv6)、DNS サーバ、ローカル ドメイン名を指定する必要があります。 IPv4 と IPv6 の両方の管理アドレスを設定すると、このいずれか、または両方の形式で DNS アドレスを入力できます。この設定を行わない場合は、管理アドレスの形式に合わせる必要があります。

    検索ドメインのカンマ区切りリストを入力することもできます。検索ドメインは、名前から IP アドレスへの解決の中で、完全修飾ではないホスト名に順番に付加されます。 たとえば、検索ドメイン リストにより、www.example.com などの完全修飾名ではなく、www への ping が可能になります。

    NTP 情報。

    ネットワーク タイム プロトコル(NTP)をシステム時刻に設定するかどうかを決定できます。 NTP を使用する場合は、NTP サーバ名または IPv4 アドレスを指定します。

    手順
      ステップ 1   コンソール セッションを開くか、管理 IP アドレスへの SSH 接続を確立してから、ユーザ名 admin を使用してログインします。
      ステップ 2   setup コマンドを入力してセットアップ ウィザードを開始します。

      例:
      asacx> setup
      
                 Welcome to Cisco Prime Security Manager Setup
                           [hit Ctrl-C to abort]
                         Default values are inside [ ]
      
      

      セットアップ ウィザードでは入力が求められます。 次の例は、ウィザードでの一般的な順序を示しています。プロンプトで N ではなく Y を入力した場合、上記で述べた追加設定のいくつかを行うことができます。 太字のテキストは入力する値を示し、これらのサンプル値は実際の値に置き換えてください。 場合によっては、明確にするため入力する値がデフォルト値と同じになっています。値を何も入力しないで、代わりに Enter を押すだけでもかまいません。

      次に、IPv4 および IPv6 両方のスタティック アドレスの設定例を示します。 スタティック IPv6 アドレスを設定するときのプロンプトで N と応答することで、IPv6 ステートレス自動設定にすることができます。 IPv4 を設定するときのプロンプトで N と応答した場合は、設定されるアドレスが IPv6 のみになります。

      Enter a hostname [asacx]: asa-cx-host 
      Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
      Do you want to enable DHCP for IPv4 address assignment on management 
      interface? (y/n) [N]: N 
      Enter an IPv4 address [192.168.8.8]: 10.89.31.65 
      Enter the netmask [255.255.255.0]: 255.255.255.0 
      Enter the gateway [192.168.8.1]: 10.89.31.1 
      Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y
      Enter an IPv6 address: 2001:DB8:0:CD30::1234/64
      Enter the gateway: 2001:DB8:0:CD30::1 
      Enter the primary DNS server IP address [ ]: 10.89.47.11 
      Do you want to configure Secondary DNS Server? (y/n) [N]: N 
      Do you want to configure Local Domain Name? (y/n) [N] Y
      Enter the local domain name: example.com 
      Do you want to configure Search domains? (y/n) [N] Y
      Enter the comma separated list for search domains: example.com
      Do you want to enable the NTP service?(y/n) [N]: Y
      Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
      
      
      ステップ 3   最後のプロンプトが完了すると、設定のサマリーが示されます。 サマリーに目を通して値が正しいことを確認し、変更した設定を適用するには Y を入力します。 変更をキャンセルするには N を入力します。

      例:
      Apply the changes?(y,n) [Y]: Y
      Configuration saved successfully!
      Applying...
      Done.
      Generating self-signed certificate, the web server will be restarted after that
       ...
      Done.
      Press ENTER to continue...
      asacx>
      
      
      (注)     

      ホスト名を変更した場合は、ログアウトして再びログインするまでプロンプトに新しい名前は表示されません。

      ステップ 4   必要に応じて、時間設定を行います。

      show time コマンドを使用すると、現在の日時とシステムのタイムゾーンを確認できます。 デフォルトでは UTC タイムゾーンが使用されます。

      NTP を使用している場合は、config timezone コマンドを使用してローカル タイム ゾーンを設定できます。 NTP を使用していない場合も、config time コマンドを使用してローカル タイムを設定します。

      ステップ 5   (任意)admin パスワードを変更します。

      admin ユーザのパスワードをまだ変更していない場合は、config passwd コマンドを使用して今すぐ変更してください。 コマンド出力にパスワード要件が説明されています。



      例:

      次に、admin パスワードの変更例を示します。

      asacx> config passwd 
      
      The password must be at least 8 characters long and must contain
      at least one uppercase letter (A-Z), at least one lowercase letter 
      (a-z) and at least one digit (0-9).
      
      Enter password: (type password)
      Confirm password: (retype password)
      SUCCESS: Password changed for user admin 
      
      
      ステップ 6   exit コマンドを入力してログアウトします。

      次の作業

      これでデバイスの使用準備が完了しました。 Web インターフェイスへのログインに説明されているように、ブラウザを使用して Web インターフェイスを開きます。

      ASA CX SSP 用の ASA 設定のアラート

      ASA CX SSPは ASA のモジュールです。 すべてのトラフィックは、ASA CX SSP にリダイレクトされる前に、ASA に入力される必要があります。 そして、ASA CX SSP が処理した後で、トラフィックは ASA に戻されてさらに処理や次の宛先へのルーティングが行われます。

      そのため、正しく ASA を設定することが ASA CX SSP の動作に不可欠です。

      ASA CX SSP を追加する際に ASA で調整する必要がある 2 つの基本ポリシーとして、アクセス ルールとインスペクション ルールがあります。
      • アクセス ルールは、グローバル ルールであっても、特定のインターフェイスに適用されるものであっても、トラフィックが ASA CX SSP にリダイレクトされる前に常に適用されます。 そのため、ASA CX SSP はすでに許可されているトラフィックのみを認識し、ASA への入口でドロップされたトラフィックを処理しません。 ASA CX SSP で処理するすべてのトラフィックを許可するようにルールを調整する必要が生じることがあります。
      • インスペクション ルールによって、トラフィックが検査されるかどうかを決定します。 ASA CX SSP は ASA で検査済みのトラフィックを検査しません。 したがって、ASA CX SSP で検査する予定のトラフィックを、自分で検査してはいけません。 具体的には、HTTP トラフィックを検査しないでください。HTTP インスペクションは ASA CX SSP の中核機能の 1 つになっているからです。 ASA のデフォルトのインスペクション ルールに HTTP インスペクションは含まれないため、HTTP ルールを追加した場合にのみお使いのインスペクション ルールを変更する必要がります。

      以降のトピックでは、ASA CX SSP にトラフィックをリダイレクトする方法と検討すべきことについて説明します。

      ASA CX 用の ASA アクセス ルールの設定

      ASA では、すべてのインターフェイスにグローバルにアクセス ルールを適用することも、あるいは 1 つ以上のインターフェイスに個別にアクセス ルールを適用することもできます。 これらのルールによって、デバイスを通過することが許可されるトラフィックと、即座にドロップされるトラフィックが決まります。

      インターフェイスにアクセス ルールを作成する必要があるか、あるいはすべてのインターフェイスに適用するグローバル アクセス ルールを作成する必要があるかを判断してください。 ASA アクセス ルールは、トラフィックを ASA CX にリダイレクトする前に、事前にフィルタリングするために使用します。 絶対に渡さないトラフィック クラスがあるとわかっている場合は、ASA に入力された後すぐにドロップすると効率的です。


      ヒント


      アクセス ルールで ASA CX 管理アドレスのポート 443 への HTTPS アクセスを許可するようにします。 PRSM マルチ デバイス モード もインストールする場合は、HTTPS トラフィックが ASA CX、ASA、PRSM の間で許可されていることを確認します。


      ASA のデフォルトのアクセス ルールは、次のサービスを提供します。
      • セキュリティの高いインターフェイスからセキュリティの低いインターフェイスに流れるすべてのトラフィックが許可されます。 たとえば、inside インターフェイス(セキュリティ レベル 100)に入ったすべてのトラフィックは outside インターフェイス(セキュリティ レベル 0)から出ることを許可されます。
      • セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへ進む場合でも、許可されたトラフィック フローのすべての戻りトラフィックも許可されます。 たとえば、outside インターフェイス経由でインターネットに進む inside インターフェイス上のユーザからの Web 要求は結果として戻りトラフィックになります(つまり、ページが存在し Web サイトへのルートが存在すると仮定すると、要求された Web ページがユーザのブラウザに表示されます)。
      • セキュリティの低いインターフェイスからセキュリティの高いインターフェイスへのトラフィックは、すべてドロップされます。

      すでにアクセス ルールがある場合、変更する必要はありません。 ただし、アクセス ルールでドロップしている特定のタイプのトラフィックを ASA CX で処理するために、緩めることが必要かどうかを評価する必要があります。

      ASA CX 用の ASA インスペクション ルールの設定

      ASA はサービス ポリシー ルールを使用してアプリケーション層プロトコル インスペクションを定義します。 インスペクションは、ユーザのデータ パケット内に IP アドレッシング情報を埋め込むサービスや、ダイナミックに割り当てられるポート上でセカンダリ チャネルを開くサービスに必要です。

      TCP ベースのトラフィックの ASA インスペクションは、ASA CX インスペクションと互換性がありません。 したがって、ASA CX は ASA によってすでに検査された TCP トラフィックを検査しません。


      ヒント


      HTTP トラフィックを ASA CX に送信する場合には、ASA 上で HTTP トラフィックを検査しないでください。 多くの ASA CX 機能は HTTP トラフィック用に設計されています。 少なくとも、HTTP トラフィックが ASA CX にリダイレクトされることを確認し、ASA でトラフィックを検査しないでください。


      検査された HTTP トラフィックを ASA CX に送信する場合、アプリケーション ベースのアクセス コントロールや URL フィルタリングなどいくつかの拡張機能は、ASA CX で実行できません。 そのため、これらの機能を使用すると予想される結果が得られない場合があります。

      HTTP インスペクションは ASA のデフォルト インスペクション ルールの一部ではないため、HTTP インスペクションを追加した場合にだけインスペクション ルールを変更する必要があります。 次の選択肢があります。
      • すべての HTTP インスペクション ルールを ASA から削除します。
      • 検査済みの HTTP トラフィック ストリームを含まないよう、ASA CX に送信されるトラフィックを制限します。 この方法は、サブネットまたはその他のトラフィック一致基準に基づいて、特定のインターフェイスまたは特定のトラフィック クラスについて ASA で HTTP インスペクションを実行する場合のオプションです。

      ASA CX SSP にトラフィックを送信する ASA の設定

      すべてのトラフィックは最初に ASA に入り、ASA がアクセス ルールをトラフィックに適用します。 次に、これらのルールに合格したすべてのトラフィックを ASA CX SSP にリダイレクトできます。リダイレクト先でポリシーがトラフィックに適用され、許可されたトラフィックが ASA に戻されて最終的な宛先に送信されます。

      サービス ポリシー ルールを使用してトラフィックを ASA CX SSP にリダイレクトします。 通常は、すべてのパケットを ASA CX SSP にリダイレクトします。 ポリシーをトラフィックに適用してから、ASA CX SSP は、さらに処理や次の宛先へのルーティングが行われるように許可されたトラフィックを ASA に戻します。


      (注)  


      ASA CX SSP にトラフィックをリダイレクトする前に、ASA はインターフェイス固有のアクセス ルールとグローバル アクセス ルールを適用します。 そのため、すべてのトラフィックをリダイレクトするサービス ポリシー ルールは、実際には ASA によって流入を許可されたトラフィックだけをリダイレクトしています。


      トラフィックをリダイレクトするように ASA を設定するには、ASA CLI、ASDM または PRSM マルチ デバイス モード を使用します。 次のトピックで、ASA CLI および PRSM での設定について説明します。

      ASA CLI を使用した ASA CX へのトラフィックのリダイレクト

      この手順では、ASA CLI を使用してトラフィックを ASA CX SSP にリダイレクトする方法について説明します。 手順では、たとえばネットワーク トラフィックがデバイスを通過できるよう、ASA インターフェイスが設定されているなど、ASA がすでに設定済みで動作することを前提としています。 通常は、少なくとも 1 つのインターフェイスがインターネット側にあり、1 つが内部ネットワーク側にあります。

      手順
        ステップ 1   コンソール ポートまたは SSH を管理 IP アドレスに対して使用し、ASA にログインします。
        ステップ 2   enable を入力して、特権 EXEC モードにアクセスするために必要なイネーブル パスワードを入力します。
        ステップ 3   config t を入力してコンフィギュレーション モードを開始します。
        ステップ 4   トラフィックをリダイレクトするサービス ポリシー ルールを作成します。

        クラス マップ コマンドは次のとおりです。

        cxsc { fail-open | fail-close } [auth-proxy]
        値は次のとおりです。
        • fail-open は、ASA CX SSP が何らかの理由で失敗した場合に、失敗しなければ ASA CX SSP にリダイレクトされるトラフィックを、ASA が引き続き通過させることを指定します。
        • fail-close は、ASA CX SSP が失敗した場合に、失敗しなければ ASA CX SSP にリダイレクトされるすべてのトラフィックを、ASA がドロップすることを指定します。
        • auth-proxy は認証プロキシを有効にします。このプロキシはアクティブ認証を ASA CX SSP でのアイデンティティ ポリシーに使用する場合に必要です。 このキーワードを含めなかった場合は、パッシブ認証のみを実行できます。


        例:

        次に、すべてのインターフェイスについてリダイレクションを含めるようにデフォルトのグローバル ポリシーを更新する例を示します。認証プロキシを有効にして、SSP が失敗した場合にトラフィックが ASA を通過することを許可しています。 このコマンド シーケンスでは、デフォルトのインスペクション ポリシーを含む、他のサービス ポリシー ルールが変更されることがありません。 リダイレクションを特定のインターフェイスまたはトラフィック フローに制限する場合には、リダイレクトするフローを定義したクラス マップで新しいポリシーを作成します(クラス マップの設定に関する詳細については、ASA のマニュアルを参照してください)。

        asa(config)# policy-map global_policy 
        asa(config-pmap)# class class-default 
        asa(config-pmap-c)# cxsc fail-open auth-proxy
        asa(config-pmap-c)# exit 
        asa(config-pmap)# exit 
        asa(config)#
        
        
        ステップ 5   ポリシー マップがまだアクティブ サービス ポリシーでない場合は、service-policy コマンドを使用してイネーブルにする必要があります。

        必要な場合、コマンドの no 形式を使用して、既存のサービス ポリシーを削除します。 たとえば、次のコマンドによって、ユーザ定義のグローバル ポリシーが削除され、デフォルトのグローバル ポリシーに置き換えられます。

        ヒント   

        IPS モジュールにトラフィックをリダイレクトするアクティブ サービス ポリシーがある場合、そのポリシーを削除する必要があります。 たとえば、ポリシーがグローバル ポリシーの場合、noservice-policy ips_policyglobal を使用します。



        例:
        asa(config)# no service-policy existing_global_policy global 
        asa(config)# service-policy global_policy global 
        asa(config)#
        
        
        ステップ 6   認証プロキシを有効にした場合に、デフォルト以外のポートをアクティブ認証に使用するには、認証プロキシ ポートを設定します。

        認証プロキシ ポート コマンドは次のとおりです。

        cxsc auth-proxy port number

        ここで、ポート番号は 1024 よりも大きくします。 デフォルトの認証プロキシ TCP ポートは 885 です。 ユーザに認証クレデンシャルの入力を求める必要がある場合、プロンプト要求はこのポートを通じて行われます。 show run all cxsc コマンドを使用すると、現在設定されているポートを表示できます。



        例:

        次に例を示します。

        asa(config)# cxsc auth-proxy port 1025
        asa(config)#
        
        
        ステップ 7   write memory と入力して、変更を実行コンフィギュレーションに保存します。

        モニタリング専用モードでの ASA CX 用の設定

        モニタリング専用モードでは、デバイスは、ASA を通過するトラフィック フローに組み込まれません。 代わりに ASA は、トラフィックを分析して分類できるデバイスにトラフィックのコピーを送信します。 モニタリング専用モードは、デモおよび評価を目的としており、通常の動作での使用は想定していません。 情報の収集のためだけにネットワークの一部としてデバイスを運用する場合、より適切なオプションは、デバイスをネットワーク トラフィックを調べる方法の説明に従って設定することです。

        デバイスがモニタリング専用モードのとき、そのことを示すメッセージが Web インターフェイス バナーに表示されます。

        モニタリング専用モードには、多くの制限があります。
        • モニタリング専用モードが動作するのは、シングル デバイス モード だけです。 モニタリング専用モードで動作しているデバイスを PRSM サーバのインベントリに追加しないでください。
        • トラフィックの小さい部分は、デバイスがインラインで動作する場合と同じ分類にならない場合があります。 ただし、誤分類されるデータ量は、トラフィックの一般的な分析には影響がありません。
        • 次の機能を含むいくつかの機能は、完全に使用できません。 ただし、これらの機能は Web インターフェイスに表示されるため、設定すると予期せぬ結果を得ることがあります。
          • アクセス ポリシーの拒否アクションには意味がありません。 デバイスがトラフィックのコピーだけを検査するため、すべてのトラフィックが許可されます。 実際のトラフィック フローは ASA に残り、ASA のポリシーだけで許可または拒否されます。
          • アイデンティティ ポリシーで設定されるアクティブ認証は機能しません。 ユーザ ID 情報を取得する唯一のオプションは、Active Directory で使用するための CDA または AD エージェントを設定して、ユーザ ID を受動的に取得することです。
          • 復号化は完全には使用できません。 復号化ポリシーを設定しないでください。
        • モニタリング専用モードは、ASA と ASA CX の両方で設定する必要があります。 デバイスに設定されているモードが一致しない場合、予期しない結果を得ることがあります。 インライン モードの ASA リダイレクト ポリシーを設定したにもかかわらず、ASA CX をモニタリング専用モードにした場合、リダイレクトされたすべてのトラフィックはドロップされます。 これは、ASA は実際のトラフィック ストリームを ASA CX に送信する一方、ASA CX はトラフィックのコピーであると認識し、最終処理のために ASA にトラフィックを送り返さないためです。 したがって、ASA CX でモニタリング専用モードを設定する前に、ASA でモニタリング専用モードを設定する必要があります。
        • モニタリング専用モードを設定するには、ASA CLI を使用する必要があります。 このオプションの設定に、ASDM や他の管理アプリケーションは使用できません。
        • 最小限必要な ASA ソフトウェア リリースは 9.1(2)です。
        はじめる前に

        この手順では、ハードウェアおよびソフトウェアをインストールし、基本的なネットワーク設定を行う setup コマンドを使用していることを前提としています。

        手順
          ステップ 1   モニタリング専用モードを使用するように ASA のトラフィック リダイレクション ポリシーを設定します。

          クラス マップ コマンド cxsc fail-open monitor-only を使用します。 fail-close キーワードも使用できます。



          例:
          次の例は、コンフィギュレーション モードで、ASA CX にトラフィックをリダイレクトするためのクラス マップおよびサービス ポリシーを設定する例を示します。
          asa(config)# policy-map global_policy 
          asa(config-pmap)# class class-default 
          asa(config-pmap-c)# cxsc fail-open monitor-only 
          asa(config-pmap-c)# exit 
          asa(config-pmap)# exit 
          asa(config)#
          asa(config)# no service-policy existing_global_policy global 
          asa(config)# service-policy global_policy global 
          asa(config)#
          
          
          ステップ 2   デバイスの Web インターフェイスにログインし、モニタリング専用モードを使用するようにデバイスを設定します。
          1. [Configurations] > [Monitor-only Mode] を選択します。
          2. [Enable Monitor-only Mode: On] を選択します。
          3. [Save] をクリックします。

          PRSM を使用した ASA CX へのトラフィックのリダイレクト

          この手順では、PRSM マルチ デバイス モードを使用してトラフィックを ASA CX SSP にリダイレクトする方法について説明します。 手順では、たとえばネットワーク トラフィックがデバイスを通過できるよう、ASA インターフェイスが設定されているなど、ASA がすでに設定済みで動作することを前提としています。 通常は、少なくとも 1 つのインターフェイスがインターネット側にあり、1 つが内部ネットワーク側にあります。


          (注)  


          PRSM では、常に fail-open auth-proxy キーワードを使用してリダイレクションを設定します。 fail open は、ASA CX SSP が何らかの理由で失敗した場合に、失敗しなければリダイレクトされるトラフィックが、代わりに ASA ポリシーのみに基づいて ASA を通過することを意味します。 auth-proxy(認証プロキシ)キーワードを使用すると、アクティブ認証を設定できるようになります。 fail-close を使用するか、auth-proxy キーワードを省略した場合は、ASDM または ASA CLI を使用してリダイレクションを設定する必要があります。


          手順
            ステップ 1   Configurations > Policies/Settings を選択し、[Traffic Redirection] タブを開きます。

            デバイス ビューで選択した特定のデバイスのタブを開くか、またはリポジトリ ビューでデバイスとは無関係にポリシーを開くことができます。

            ステップ 2   このポリシーの状態を定義するには、次のオプションを設定します。例:
            • [Manage Traffic Redirection in PRSM: On/Off]PRSM によってデバイスにこのポリシーを設定するかどうか。 [On] から [Off] に変更した場合、PRSM が以前に設定していたとしても、デバイス上の既存のリダイレクション ポリシーが変更されることはありません。 [Off] から [On] に変更した場合、既存のポリシーが消去され、ここで定義したもので置き換えられます。 [Off] を選択した場合、完了です。[Save] をクリックし、この手順の残りの部分をスキップしてください。
            • [Enable Traffic Redirection on Device: On/Off]:デバイスにトラフィック リダイレクション ポリシーを設定するかどうか。 [Off] を選択すると、既存のトラフィック リダイレクション ポリシーがデバイスから削除され、トラフィックは CX モジュールに転送されません。
            ステップ 3   ポリシーをイネーブルにすることを選択した場合は、必要に応じて次の設定を行います。
            • [TCP/UDP Ports]:すべてのタイプのトラフィックをリダイレクトする場合、フィールドをブランクのままにします。 tcp/80 または udp/80 のようなプロトコル/ポート形式でポートを指定することによって、特定の TCP/UDP ポートにリダイレクションを制限することもできます。 ハイフンを使用してポート範囲を入力できます(たとえば、tcp/1-100、udp/1-100)。 いずれかのポートを入力した場合、リダイレクションはそのプロトコルおよびポートに制限されます。TCP/UDP 以外のトラフィックはリダイレクトされません。
            • [Interfaces/Interface Roles]:デバイス上の任意のインターフェイスを通過するトラフィックをリダイレクトする場合、フィールドをブランクのままにします(ポリシーはグローバルとして定義されます)。 特定のインターフェイスにリダイレクションを制限する場合は、目的の名前を定義する目的のインターフェイスまたはインターフェイス ロール オブジェクトを選択します。
            ステップ 4   [Save] をクリックします。

            PRSM のトラフィック リダイレクション ポリシーのトラブルシューティング

            PRSM で設定できるトラフィック リダイレクション ポリシーには、ASA CLI または ASDM で使用可能なすべてのオプションが含まれるわけではありません。 そのため、リダイレクションを PRSM によって設定するときに次の問題が発生することがあります。

            サポートされていないリダイレクション ポリシー

            ASA を PRSM インベントリに追加する前に、CLI または ASDM を使用してリダイレクション ポリシーを設定できるため、PRSM が管理できないポリシーを設定してしまう可能性があります。 たとえば、ポリシーの照合条件として ACL を使用する場合、PRSM はポリシーをインポートしません。 代わりに、そのデバイスのトラフィック リダイレクション ポリシーは管理対象外と見なされます。 それを管理対象のポリシーに変更できますが、同じポリシー再作成することはできません。

            PRSM は、次のコマンドをトラフィック リダイレクション CLI の一部としてサポートします。
            • クラス マップ:class-default または match port コマンド。
            • Service-policy コマンド:global または interface 仕様ですが、global と interface の組み合わせは使用できません。
            サポートされていないリダイレクト キーワード

            リダイレクション ポリシーはキーワード fail-openfail-closeauth-proxy を含むことができます。 ディスカバリ中、これらのキーワードは無視され、fail-open auth-proxy が常に設定されます。 そのため、fail-close キーワードでリダイレクション ポリシーを設定した場合、または意図的に auth-proxy キーワードを省略した場合、ディスカバリと導入後にポリシーが変更されます。

            前述のように、リダイレクション ポリシーにサポートされないクラス マップが含まれる場合は、そのポリシーは検出されず、キーワードは変更されません。


            ヒント


            monitor-only キーワードもサポートされていませんが、モニタリング専用モードで設定されたデバイスでさえインベントリに追加できません。


            ポート制限

            ポートを明示的に指定した場合、それらのポート上の TCP または UDP トラフィックのみが ASA CX によって処理されます。 ASA CX ポリシーは TCP/UDP 以外のトラフィックに適用できるため、リダイレクトされたトラフィックの制限が原因で適用されることのない ASA CX ポリシーを作成してしまう可能性があります。 たとえば、ポートをリダイレクション ポリシーに指定した場合に、ICMP トラフィックのポリシーはデバイスと照合されることはありません。