Cisco UCS CLI コンフィギュレーション ガイド 1.1(2)
プラットフォームの設定
プラットフォームの設定

目次

プラットフォームの設定

日付と時刻の設定

日付と時刻を手動で設定したり、NTP サーバを設定したりするには、CLI コマンド(以下で説明)を使用します。シャーシに設定した日付と時刻は、論理デバイスを含めて、シャーシ内の他のコンポーネントと同期されます。

タイム ゾーンの設定

手順
    ステップ 1   システム モードに入ります。

    Firepower-chassis# scopesystem

    ステップ 2   システム サービス モードに入ります。

    Firepower-chassis /system # scopeservices

    ステップ 3   タイム ゾーンを設定します。

    Firepower-chassis /system/services # settimezone

    この時点で、大陸、国、およびタイム ゾーン領域に対応する番号を入力するように求められます。プロンプトごとに適切な情報を入力します。

    ロケーション情報の指定を完了すると、プロンプトが表示され、正しいタイム ゾーン情報が設定されているか確認するよう求められます。確認する場合は 1(yes)を入力し、操作をキャンセルする場合は 2(no)を入力します。

    ステップ 4   設定されたタイム ゾーンを表示するには、次のコマンドを使用します。
    Firepower-chassis /system/services # top

    Firepower-chassis# show timezone


    次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションを確定し、設定したタイム ゾーンを表示する例を示します。

    Firepower-chassis# scope system
    Firepower-chassis /system # scope services
    Firepower-chassis /system/services # set timezone
    Please identify a location so that time zone rules can be set correctly.
    Please select a continent or ocean.
    1) Africa            4) Arctic Ocean     7) Australia       10) Pacific Ocean
    2) Americas          5) Asia             8) Europe
    3) Antarctica        6) Atlantic Ocean   9) Indian Ocean
    #? 2
    Please select a country.
     1) Anguilla                 28) Haiti
     2) Antigua & Barbuda        29) Honduras
     3) Argentina                30) Jamaica
     4) Aruba                    31) Martinique
     5) Bahamas                  32) Mexico
     6) Barbados                 33) Montserrat
     7) Belize                   34) Nicaragua
     8) Bolivia                  35) Panama
     9) Brazil                   36) Paraguay
    10) Canada                   37) Peru
    11) Caribbean Netherlands    38) Puerto Rico
    12) Cayman Islands           39) St Barthelemy
    13) Chile                    40) St Kitts & Nevis
    14) Colombia                 41) St Lucia
    15) Costa Rica               42) St Maarten (Dutch part)
    16) Cuba                     43) St Martin (French part)
    17) Curacao                  44) St Pierre & Miquelon
    18) Dominica                 45) St Vincent
    19) Dominican Republic       46) Suriname
    20) Ecuador                  47) Trinidad & Tobago
    21) El Salvador              48) Turks & Caicos Is
    22) French Guiana            49) United States
    23) Greenland                50) Uruguay
    24) Grenada                  51) Venezuela
    25) Guadeloupe               52) Virgin Islands (UK)
    26) Guatemala                53) Virgin Islands (US)
    27) Guyana
    #? 49
    Please select one of the following time zone regions.
     1) Eastern Time
     2) Eastern Time - Michigan - most locations
     3) Eastern Time - Kentucky - Louisville area
     4) Eastern Time - Kentucky - Wayne County
     5) Eastern Time - Indiana - most locations
     6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties
     7) Eastern Time - Indiana - Pulaski County
     8) Eastern Time - Indiana - Crawford County
     9) Eastern Time - Indiana - Pike County
    10) Eastern Time - Indiana - Switzerland County
    11) Central Time
    12) Central Time - Indiana - Perry County
    13) Central Time - Indiana - Starke County
    14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties
    15) Central Time - North Dakota - Oliver County
    16) Central Time - North Dakota - Morton County (except Mandan area)
    17) Central Time - North Dakota - Mercer County
    18) Mountain Time
    19) Mountain Time - south Idaho & east Oregon
    20) Mountain Standard Time - Arizona (except Navajo)
    21) Pacific Time
    22) Pacific Standard Time - Annette Island, Alaska
    23) Alaska Time
    24) Alaska Time - Alaska panhandle
    25) Alaska Time - southeast Alaska panhandle
    26) Alaska Time - Alaska panhandle neck
    27) Alaska Time - west Alaska
    28) Aleutian Islands
    29) Hawaii
    #? 21
    
    The following information has been given:
    
            United States
            Pacific Time
    
    Therefore timezone 'America/Los_Angeles' will be set.
    Local time is now:      Wed Jun 24 07:39:25 PDT 2015.
    Universal Time is now:  Wed Jun 24 14:39:25 UTC 2015.
    Is the above information OK?
    1) Yes
    2) No
    #? 1
    Firepower-chassis /system/services* # commit-buffer
    Firepower-chassis /system/services # top
    Firepower-chassis# show timezone
    Timezone: America/Los_Angeles (Pacific Time)
    Firepower-chassis#
    

    NTP サーバの追加

    手順
      ステップ 1   システム モードに入ります。

      Firepower-chassis# scopesystem

      ステップ 2   システム サービス モードに入ります。

      Firepower-chassis /system # scopeservices

      ステップ 3   指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを使用するようにシステムを設定します。

      Firepower-chassis /system/services # createntp-server{hostname | ip-addr | ip6-addr}

      ステップ 4   トランザクションをシステムの設定に対して確定します。

      Firepower-chassis /system/services # commit-buffer


      次に、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。

      Firepower-chassis# scope system
      Firepower-chassis /system # scope services
      Firepower-chassis /system/services # create ntp-server 192.168.200.101
      Firepower-chassis /system/services* # commit-buffer
      Firepower-chassis /system/services #
      
      
      

      次に、IP アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。

      Firepower-chassis# scope system
      Firepower-chassis /system # scope services
      Firepower-chassis /system/services # create ntp-server 4001::6
      Firepower-chassis /system/services* # commit-buffer
      Firepower-chassis /system/services #
      

      NTP サーバの削除

      手順
        ステップ 1   システム モードに入ります。

        Firepower-chassis# scopesystem

        ステップ 2   システム サービス モードに入ります。

        Firepower-chassis /system # scopeservices

        ステップ 3   指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを削除します。

        Firepower-chassis /system/services # deletentp-server{hostname | ip-addr | ip6-addr}

        ステップ 4   トランザクションをシステムの設定に対して確定します。

        Firepower-chassis /system/services # commit-buffer


        次に、IP アドレス 192.168.200.101 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。

        Firepower-chassis# scope system
        Firepower-chassis /system # scope services
        Firepower-chassis /system/services # delete ntp-server 192.168.200.101
        Firepower-chassis /system/services* # commit-buffer
        Firepower-chassis /system/services #
        
        
        

        次に、IP アドレス 4001::6 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。

        Firepower-chassis# scope system
        Firepower-chassis /system # scope services
        Firepower-chassis /system/services # delete ntp-server 4001::6
        Firepower-chassis /system/services* # commit-buffer
        Firepower-chassis /system/services #
        

        手動での日付と時刻の設定

        ここでは、Firepower のシャーシで日付と時刻を手動で設定する方法ついて説明します。システム クロックの変更はただちに反映されます。


        (注)  


        現在、システム クロックが NTP サーバと同期している場合は、日付と時刻を手動で設定できません。


        手順
          ステップ 1   システム モードに入ります。

          Firepower-chassis# scopesystem

          ステップ 2   システム サービス モードに入ります。

          Firepower-chassis /system # scopeservices

          ステップ 3   システム クロックを設定します。

          Firepower-chassis /system/services # set clock month day year hour min sec

          month は、月の英名の最初の 3 文字です。時刻は 24 時間形式で入力する必要があります。この場合、午後 7 時は 19 と入力します。

          システム クロックの変更はただちに反映されます。バッファを確定する必要はありません。


          次に、システム クロックを設定する例を示します。

          Firepower-chassis# scope system
          Firepower-chassis /system # scope services
          Firepower-chassis /system/services # set clock jun 24 2015 15 27 00
          Firepower-chassis /system/services #
          

          SSH の設定

          次に、Firepower のシャーシへの SSH アクセスを有効または無効にする手順を示します。SSH はデフォルトでイネーブルになります。

          手順
            ステップ 1   システム モードに入ります。

            Firepower-chassis #scope system

            ステップ 2   システム サービス モードに入ります。

            Firepower-chassis /system #scope services

            ステップ 3   Firepower のシャーシへの SSH アクセスを設定するには、次のいずれかを実行します。
            • Firepower のシャーシへの SSH アクセスを許可するには、次のコマンドを入力します。

              Firepower-chassis /system/services # enable ssh-server

            • Firepower のシャーシへの SSH アクセスを拒否するには、次のコマンドを入力します。

              Firepower-chassis /system/services # disable ssh-server

            ステップ 4   トランザクションをシステムの設定に対して確定します。

            Firepower /system/services # commit-buffer


            次に、Firepower のシャーシへの SSH アクセスを有効にし、トランザクションを確定する例を示します。

            Firepower# scope system
            Firepower /system # scope services
            Firepower /system/services # enable ssh-server
            Firepower /system/services* # commit-buffer
            Firepower /system/services # 
            

            Telnet の設定

            次に、Firepower のシャーシへの Telnet アクセスを有効または無効にする手順を示します。Telnet はデフォルトで無効になっています。


            (注)  


            現在、Telnet は CLI を使用してのみ設定できます。


            手順
              ステップ 1   システム モードに入ります。

              Firepower-chassis #scope system

              ステップ 2   システム サービス モードに入ります。

              Firepower-chassis /system #scope services

              ステップ 3   Firepower のシャーシへの Telnet アクセスを設定するには、次のいずれかを実行します。
              • Firepower のシャーシへの Telnet アクセスを許可するには、次のコマンドを入力します。

                Firepower-chassis /system/services # enable telnet-server

              • Firepower のシャーシへの Telnet アクセスを拒否するには、次のコマンドを入力します。

                Firepower-chassis /system/services # disable telnet-server

              ステップ 4   トランザクションをシステムの設定に対して確定します。

              Firepower /system/services # commit-buffer


              次に、Telnet を有効にし、トランザクションを確定する例を示します。

              Firepower-chassis# scope system
              Firepower-chassis /system # scope services
              Firepower-chassis /services # enable telnet-server
              Firepower-chassis /services* # commit-buffer
              Firepower-chassis /services #
              

              SNMP の設定

              ここでは、Firepower のシャーシでの Simple Network Management Protocol(SNMP)の設定方法について説明します。詳細については、次のトピックを参照してください。

              SNMP について

              簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。

              SNMP フレームワークは 3 つの部分で構成されます。

              • SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム

              • SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。

              • 管理情報ベース:SNMP エージェントの一連の管理対象オブジェクト。

              Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。

              SNMP 通知

              SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。

              Firepower のシャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower のシャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower のシャーシが PDU を受信しない場合、インフォーム要求を再送できます。

              SNMP セキュリティ レベルおよび権限

              SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。

              セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。

              • noAuthNoPriv:認証なし、暗号化なし

              • authNoPriv:認証あり、暗号化なし

              • authPriv:認証あり、暗号化あり

              SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。

              SNMP セキュリティ モデルとレベルのサポートされている組み合わせ

              次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。

              表 1  SNMP セキュリティ モデルおよびセキュリティ レベル

              モデル

              レベル

              認証

              暗号化

              結果

              v1

              noAuthNoPriv

              コミュニティ ストリング

              なし

              コミュニティ ストリングの照合を使用して認証します。

              v2c

              noAuthNoPriv

              コミュニティ ストリング

              なし

              コミュニティ ストリングの照合を使用して認証します。

              v3

              noAuthNoPriv

              [ユーザ名(Username)]

              なし

              ユーザ名の照合を使用して認証します。

              v3

              authNoPriv

              HMAC-SHA

              なし

              HMAC セキュア ハッシュ アルゴリズム(SHA)に基づいて認証します。

              v3

              authPriv

              HMAC-SHA

              DES

              HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。

              SNMPv3 セキュリティ機能

              SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

              • メッセージの完全性:メッセージが不正な方法で変更または破壊されていないことを保証します。また、データ シーケンスが、通常発生するものよりも高い頻度で変更されていないことを保証します。

              • メッセージ発信元の認証:受信データを発信したユーザのアイデンティティが確認されたことを保証します。

              • メッセージの機密性および暗号化:不正なユーザ、エンティティ、またはプロセスに情報の利用や開示が行えないようにします。

              SNMP サポート

              Firepower のシャーシは、SNMP に次のサポートを提供します。

              MIB のサポート

              Firepower のシャーシは、MIB への読み取り専用アクセスをサポートします。

              SNMPv3 ユーザの認証プロトコル

              Firepower のシャーシは、SNMPv3 ユーザのHMAC-SHA-96(SHA)認証プロトコルをサポートします。

              SNMPv3 ユーザの AES プライバシー プロトコル

              Firepower のシャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。

              プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower のシャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。

              SNMP の有効化と SNMP プロパティの設定

              手順
                ステップ 1   モニタリング モードに入ります。

                Firepower-chassis# scope monitoring

                ステップ 2   SNMP を有効にします。

                Firepower-chassis /monitoring # enable snmp

                ステップ 3   snmp コミュニティ モードに入ります。

                Firepower-chassis /monitoring # set snmp community

                set snmp community コマンドを入力すると、SNMP コミュニティを入力するように求められます。

                ステップ 4   SNMP コミュニティを指定します。パスワードとしてコミュニティ名を使用します。コミュニティ名には、32 文字以下の英数字を使用できます。

                Firepower-chassis /monitoring # Enter a snmp community:community-name

                ステップ 5   SNMP のシステム担当者の連絡先を指定します。システム担当者の連絡先名(電子メール アドレスや、名前と電話番号など)は、最大 255 文字の英数字で指定できます。

                Firepower-chassis /monitoring # set snmp syscontactsystem-contact-name

                ステップ 6   SNMP エージェント(サーバ)が実行するホストの場所を指定します。システムの場所の名前は、最大 512 文字の英数字で指定できます。

                Firepower-chassis /monitoring # set snmp syslocationsystem-location-name

                ステップ 7   トランザクションをシステムの設定に対して確定します。

                Firepower-chassis /monitoring # commit-buffer


                次に、SNMP を有効にし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム担当者の連絡先を設定し、systemlocation という名前の連絡先の場所を設定し、トランザクションを確定する例を示します。

                Firepower-chassis# scope monitoring
                Firepower-chassis /monitoring # enable snmp
                Firepower-chassis /monitoring* # set snmp community
                Enter a snmp community: SnmpCommSystem2
                Firepower-chassis /monitoring* # set snmp syscontact contactperson1
                Firepower-chassis /monitoring* # set snmp syslocation systemlocation
                Firepower-chassis /monitoring* # commit-buffer
                Firepower-chassis /monitoring #
                
                次の作業

                SNMP トラップおよびユーザを作成します。

                SNMP トラップの作成

                手順
                  ステップ 1   モニタリング モードに入ります。

                  Firepower-chassis# scope monitoring

                  ステップ 2   SNMP を有効にします。

                  Firepower-chassis /monitoring # enable snmp

                  ステップ 3   指定したホスト名、IPv4 アドレス、または IPv6 アドレスで SNMP トラップを作成します。

                  Firepower-chassis /monitoring # create snmp-trap {hostname | ip-addr | ip6-addr}

                  ステップ 4   SNMP トラップに使用する SNMP コミュニティ名を指定します。

                  Firepower-chassis /monitoring/snmp-trap # set community community-name

                  ステップ 5   SNMP トラップに使用するポートを指定します。

                  Firepower-chassis /monitoring/snmp-trap # set portport-num

                  ステップ 6   トラップに使用する SNMP バージョンおよびモデルを指定します。

                  Firepower-chassis /monitoring/snmp-trap # set version {v1 | v2c | v3}

                  ステップ 7   (任意)送信するトラップのタイプを指定します。

                  Firepower-chassis /monitoring/snmp-trap # set notificationtype {traps | informs}

                  次のように指定します。

                  • バージョンに v2c または v3 を選択する場合は traps

                  • バージョンに v2c を選択する場合は informs

                    (注)     

                    バージョンに v2c を選択した場合のみ、インフォーム通知を送信できます。

                  ステップ 8   (任意)バージョンとして v3 を選択した場合は、トラップに関連付ける権限を指定します。

                  Firepower-chassis /monitoring/snmp-trap # set v3privilege {auth | noauth | priv}

                  次のように指定します。
                  • auth:認証あり、暗号化なし

                  • noauth:認証なし、暗号化なし

                  • priv:認証あり、暗号化あり

                  ステップ 9   トランザクションをシステムの設定に対して確定します。

                  Firepower-chassis /monitoring/snmp-trap # commit-buffer


                  次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。

                  Firepower-chassis# scope monitoring
                  Firepower-chassis /monitoring # enable snmp
                  Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112
                  Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2
                  Firepower-chassis /monitoring/snmp-trap* # set port 2
                  Firepower-chassis /monitoring/snmp-trap* # set version v3
                  Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps
                  Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv
                  Firepower-chassis /monitoring/snmp-trap* # commit-buffer
                  Firepower-chassis /monitoring/snmp-trap #
                  
                  
                  

                  次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。

                  Firepower-chassis# scope monitoring
                  Firepower-chassis /monitoring # enable snmp
                  Firepower-chassis /monitoring* # create snmp-trap 2001::1
                  Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3
                  Firepower-chassis /monitoring/snmp-trap* # set port 2
                  Firepower-chassis /monitoring/snmp-trap* # set version v3
                  Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps
                  Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv
                  Firepower-chassis /monitoring/snmp-trap* # commit-buffer
                  Firepower-chassis /monitoring/snmp-trap #
                  

                  SNMP トラップの削除

                  手順
                    ステップ 1   モニタリング モードに入ります。

                    Firepower-chassis# scope monitoring

                    ステップ 2   指定したホスト名または IP アドレスの SNMP トラップを削除します。

                    Firepower-chassis /monitoring # delete snmp-trap {hostname | ip-addr}

                    ステップ 3   トランザクションをシステムの設定に対して確定します。

                    Firepower-chassis /monitoring # commit-buffer


                    次に、IP アドレス 192.168.100.112 で SNMP トラップを削除し、トランザクションを確定する例を示します。

                    Firepower-chassis# scope monitoring
                    Firepower-chassis /monitoring # delete snmp-trap 192.168.100.112
                    Firepower-chassis /monitoring* # commit-buffer
                    Firepower-chassis /monitoring #
                    

                    SNMPv3 ユーザの作成

                    手順
                      ステップ 1   モニタリング モードに入ります。

                      Firepower-chassis# scope monitoring

                      ステップ 2   SNMP を有効にします。

                      Firepower-chassis /monitoring # enable snmp

                      ステップ 3   指定された SNMPv3 ユーザを作成します。

                      Firepower-chassis /monitoring # create snmp-useruser-name

                      create snmp-user コマンドを入力すると、パスワードを入力するように求められます。

                      ステップ 4   AES-128 暗号化の使用を有効または無効にします。

                      Firepower-chassis /monitoring/snmp-user # set aes-128 {no | yes}

                      デフォルトでは、AES-128 暗号化は無効になっています。

                      ステップ 5   ユーザ プライバシー パスワードを指定します。

                      Firepower-chassis /monitoring/snmp-user # set priv-password

                      set priv-password コマンドを入力すると、プライバシー パスワードを入力し、確認するように求められます。

                      ステップ 6   トランザクションをシステムの設定に対して確定します。

                      Firepower-chassis /monitoring/snmp-user # commit-buffer


                      次に、SNMP を有効にし、snmp-user14 という SNMPv3 ユーザを作成し、AES-128 暗号化を有効にし、パスワードとプライバシー パスワードを設定し、トランザクションを確定します。

                      Firepower-chassis# scope monitoring
                      Firepower-chassis /monitoring # enable snmp
                      Firepower-chassis /monitoring* # create snmp-user snmp-user14
                      Password:
                      Firepower-chassis /monitoring/snmp-user* # set aes-128 yes
                      Firepower-chassis /monitoring/snmp-user* # set priv-password
                      Enter a password:
                      Confirm the password: 
                      Firepower-chassis /monitoring/snmp-user* # commit-buffer
                      Firepower-chassis /monitoring/snmp-user #
                      

                      SNMPv3 ユーザの削除

                      手順
                        ステップ 1   モニタリング モードに入ります。

                        Firepower-chassis# scope monitoring

                        ステップ 2   指定した SNMPv3 ユーザを削除します。

                        Firepower-chassis /monitoring # delete snmp-useruser-name

                        ステップ 3   トランザクションをシステムの設定に対して確定します。

                        Firepower-chassis /monitoring # commit-buffer


                        次に、snmp-user14 という SNMPv3 ユーザを削除し、トランザクションを確定する例を示します。

                        Firepower-chassis# scope monitoring
                        Firepower-chassis /monitoring # delete snmp-user snmp-user14
                        Firepower-chassis /monitoring* # commit-buffer
                        Firepower-chassis /monitoring #
                        

                        HTTPS ポートの変更

                        デフォルトでは、HTTPS サービスはポート 443 で有効になっています。HTTPS を無効にすることはできませんが、HTTPS 接続に使用するポートは変更できます。

                        手順
                          ステップ 1   システム モードに入ります。

                          Firepower-chassis #scope system

                          ステップ 2   システム サービス モードに入ります。

                          Firepower-chassis /system #scope services

                          ステップ 3   HTTPS 接続に使用するポートを指定します。

                          Firepower-chassis /system/services # sethttpsportport-number

                          port-number には、1 ~ 65535 の整数を指定します。デフォルトでは、HTTPS はポート 443 で有効になっています。

                          ステップ 4   トランザクションをシステムの設定に対して確定します。

                          Firepower /system/services # commit-buffer

                          HTTPS ポートを変更した後に、現在のすべての HTTPS セッションが閉じられます。ユーザは、次に示すように新しいポートを使用して Firepower Chassis Manager にログインし直す必要があります。

                          https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>

                          ここで、<chassis_mgmt_ip_address> は初期設定時に入力した Firepower のシャーシの IP アドレスまたはホスト名、<chassis_mgmt_port> は直前に設定した HTTPS ポートです。


                          次に、HTTPS ポート番号を 443 に設定し、トランザクションを確定する例を示します。

                          Firepower-chassis# scope system
                          Firepower-chassis /system # scope services
                          Firepower-chassis /system/services # set https port 444
                          Warning: When committed, this closes all the web sessions.
                          Firepower-chassis /system/services* # commit-buffer
                          Firepower-chassis /system/services #
                          

                          AAA の設定

                          ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。

                          AAA について

                          AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。

                          認証

                          認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。

                          シャーシへの管理接続を認証するように Firepower アプライアンス を設定できます。これには、次のセッションが含まれます。

                          • HTTPS

                          • SSH

                          • シリアル コンソール

                          承認

                          許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを許可される可能性があります。

                          アカウンティング

                          アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。

                          認証、許可、アカウンティング間の相互作用

                          認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。

                          AAA Servers

                          AAA サーバは、アクセス制御に使用されるネットワーク サーバです。認証は、ユーザを識別します。許可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。

                          ローカル データベースのサポート

                          Firepower のシャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、許可、アカウンティングを提供することもできます。

                          LDAP プロバイダーの設定

                          LDAP プロバイダーのプロパティの設定

                          このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。

                          Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。

                          手順
                            ステップ 1   セキュリティ モードに入ります。

                            Firepower-chassis# scope security

                            ステップ 2   セキュリティ LDAP モードに入ります。

                            Firepower-chassis /security # scope ldap

                            ステップ 3   指定した属性を含むレコードにデータベース検索を限定します。

                            Firepower-chassis /security/ldap # set attribute attribute

                            ステップ 4   指定した識別名を含むレコードにデータベース検索を限定します。

                            Firepower-chassis /security/ldap # set basedn distinguished-name

                            ステップ 5   指定したフィルタを含むレコードにデータベース検索を限定します。

                            Firepower-chassis /security/ldap # set filter filter

                            ステップ 6   システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待機する時間間隔を設定します。

                            Firepower-chassis /security/ldap # set timeout seconds

                            ステップ 7   トランザクションをシステムの設定に対して確定します。

                            Firepower-chassis /security/ldap # commit-buffer


                            次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid、タイムアウト間隔を 5 秒に設定し、トランザクションを確定します。

                            Firepower-chassis# scope security
                            Firepower-chassis /security # scope ldap
                            Firepower-chassis /security/ldap # set attribute CiscoAvPair
                            Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com"
                            Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid
                            Firepower-chassis /security/ldap* # set timeout 5
                            Firepower-chassis /security/ldap* # commit-buffer
                            Firepower-chassis /security/ldap #
                            
                            
                            

                            (注)  


                            ユーザ ログインは LDAP ユーザの userdn が 255 文字を超えると失敗します。


                            次の作業

                            LDAP プロバイダーを作成します。

                            LDAP プロバイダーの作成

                            Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーをサポートします。

                            はじめる前に

                            Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。

                            手順
                              ステップ 1   セキュリティ モードに入ります。

                              Firepower-chassis# scope security

                              ステップ 2   セキュリティ LDAP モードに入ります。

                              Firepower-chassis /security # scope ldap

                              ステップ 3   LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードに入ります。

                              Firepower-chassis /security/ldap # create serverserver-name

                              SSL が有効になっている場合、server-name は、通常、IP アドレスまたは FQDN となり、LDAP サーバのセキュリティ証明書内の通常名(CN)と正確に一致している必要があります。IP アドレスが指定されていない場合は、DNS サーバを設定する必要があります。

                              ステップ 4   (任意)ユーザ ロールとロケールの値を保存する LDAP 属性を設定します。

                              Firepower-chassis /security/ldap/server # set attributeattr-name

                              このプロパティは、常に、名前と値のペアで指定されます。システムは、ユーザ レコードで、この属性名と一致する値を検索します。

                              デフォルトの属性が LDAP プロバイダーに設定されていない場合は、この値が必要です。

                              ステップ 5   (任意)リモート ユーザがログインして、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要がある場合の LDAP 階層内の特定の識別名を設定します。

                              Firepower-chassis /security/ldap/server # set basednbasedn-name

                              ベース DN は、最大 255 文字から CN= username の長さを差し引いた長さに設定することができます。ここで、username は、LDAP 認証を使用して Firepower Chassis Manager または FXOS CLI へアクセスしようとしているリモート ユーザの識別に使用されます。

                              デフォルトのベース DN が LDAP プロバイダーに設定されていない場合は、この値が必要です。

                              ステップ 6   (任意)ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)を設定します。

                              Firepower-chassis /security/ldap/server # set binddnbinddn-name

                              サポートされるストリングの最大長は 255 文字の ASCII 文字です。

                              ステップ 7   (任意)LDAP 検索を、定義されたフィルタと一致するユーザ名に制限します。

                              Firepower-chassis /security/ldap/server # set filterfilter-value

                              デフォルトのフィルタが LDAP プロバイダーに設定されていない場合は、この値が必要です。

                              ステップ 8   バインド DN に指定した LDAP データベース アカウントのパスワードを指定します。

                              Firepower-chassis /security/ldap/server # set password

                              標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」(疑問符)、「=」(等号)は使用できません。

                              パスワードを設定するには、set password コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。

                              ステップ 9   (任意)Firepower eXtensible Operating System でこのプロバイダーをユーザの認証に使用する順序を指定します。

                              Firepower-chassis /security/ldap/server # set orderorder-num

                              ステップ 10   (任意)LDAP サーバとの通信に使用するポートを指定します。標準ポート番号は 389 です。

                              Firepower-chassis /security/ldap/server # set portport-num

                              ステップ 11   LDAP サーバと通信するときの暗号化の使用を有効または無効にします。

                              Firepower-chassis /security/ldap/server # set ssl {yes|no}

                              オプションは次のとおりです。

                              • yes:暗号化が必要です。暗号化をネゴシエートできない場合は、接続に失敗します。

                              • no:暗号化は無効になります。認証情報はクリア テキストとして送信されます。

                              LDAP では STARTTLS が使用されます。これにより、ポート 389 を使用した暗号化通信が可能になります。

                              ステップ 12   LDAP データベースへの問い合わせがタイム アウトするまでの秒数を指定します。

                              Firepower-chassis /security/ldap/server # set timeouttimeout-num

                              1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP プロバイダーに指定したグローバル タイムアウト値を使用します。デフォルトは 30 秒です。

                              ステップ 13   LDAP プロバイダーまたはサーバの詳細を提供するベンダーを指定します。

                              Firepower-chassis /security/ldap/server # set vendor{ms-ad | openldap}

                              オプションは次のとおりです。

                              • ms-ad:LDAP プロバイダーが Microsoft Active Directory

                              • openldap:LDAP プロバイダーが Microsoft Active Directory 以外

                              ステップ 14   トランザクションをシステムの設定に対して確定します。

                              Firepower-chassis /security/ldap/server # commit-buffer


                              次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。

                              Firepower-chassis# scope security
                              Firepower-chassis /security # scope ldap
                              Firepower-chassis /security/ldap* # create server 10.193.169.246
                              Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com"
                              Firepower-chassis /security/ldap/server* # set password
                              Enter the password:
                              Confirm the password:
                              Firepower-chassis /security/ldap/server* # set order 2
                              Firepower-chassis /security/ldap/server* # set port 389
                              Firepower-chassis /security/ldap/server* # set ssl yes
                              Firepower-chassis /security/ldap/server* # set timeout 30
                              Firepower-chassis /security/ldap/server* # set vendor ms-ad 
                              Firepower-chassis /security/ldap/server* # commit-buffer
                              Firepower-chassis /security/ldap/server #
                              
                              
                              

                              次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。

                              Firepower-chassis# scope security
                              Firepower-chassis /security # scope ldap
                              Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900
                              Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com"
                              Firepower-chassis /security/ldap/server* # set password
                              Enter the password:
                              Confirm the password:
                              Firepower-chassis /security/ldap/server* # set order 1
                              Firepower-chassis /security/ldap/server* # set port 389
                              Firepower-chassis /security/ldap/server* # set ssl yes
                              Firepower-chassis /security/ldap/server* # set timeout 45
                              Firepower-chassis /security/ldap/server* # set vendor ms-ad 
                              Firepower-chassis /security/ldap/server* # commit-buffer
                              Firepower-chassis /security/ldap/server # 

                              LDAP プロバイダーの削除

                              手順
                                ステップ 1   セキュリティ モードに入ります。

                                Firepower-chassis# scope security

                                ステップ 2   セキュリティ LDAP モードに入ります。

                                Firepower-chassis /security # scope ldap

                                ステップ 3   指定したサーバを削除します。

                                Firepower-chassis /security/ldap # delete server serv-name

                                ステップ 4   トランザクションをシステムの設定に対して確定します。

                                Firepower-chassis /security/ldap # commit-buffer


                                次に、ldap1 という LDAP サーバを削除し、トランザクションを確定する例を示します。

                                Firepower-chassis# scope security
                                Firepower-chassis /security # scope ldap
                                Firepower-chassis /security/ldap # delete server ldap1
                                Firepower-chassis /security/ldap* # commit-buffer
                                Firepower-chassis /security/ldap #

                                RADIUS プロバイダーの設定

                                RADIUS プロバイダーのプロパティの設定

                                このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。

                                手順
                                  ステップ 1   セキュリティ モードに入ります。

                                  Firepower-chassis# scope security

                                  ステップ 2   セキュリティ RADIUS モードに入ります。

                                  Firepower-chassis /security # scope radius

                                  ステップ 3   (任意)サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を指定します。

                                  Firepower-chassis /security/radius # set retries retry-num

                                  ステップ 4   (任意)システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待機する時間間隔を設定します。

                                  Firepower-chassis /security/radius # set timeout seconds

                                  ステップ 5   トランザクションをシステムの設定に対して確定します。

                                  Firepower-chassis /security/radius # commit-buffer


                                  次の例は、RADIUS の再試行回数を 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションを確定します。

                                  Firepower-chassis# scope security
                                  Firepower-chassis /security # scope radius
                                  Firepower-chassis /security/radius # set retries 4
                                  Firepower-chassis /security/radius* # set timeout 30
                                  Firepower-chassis /security/radius* # commit-buffer
                                  Firepower-chassis /security/radius # 
                                  
                                  次の作業

                                  RADIUS プロバイダーを作成します。

                                  RADIUS プロバイダーの作成

                                  Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーをサポートします。

                                  手順
                                    ステップ 1   セキュリティ モードに入ります。

                                    Firepower-chassis# scope security

                                    ステップ 2   セキュリティ RADIUS モードに入ります。

                                    Firepower-chassis /security # scope radius

                                    ステップ 3   RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードに入ります。

                                    Firepower-chassis /security/radius # create serverserver-name

                                    ステップ 4   (任意)RADIUS サーバとの通信に使用するポートを指定します。

                                    Firepower-chassis /security/radius/server # set authportauthport-num

                                    ステップ 5   RADIUS サーバ キーを設定します。

                                    Firepower-chassis /security/radius/server # set key

                                    キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。

                                    ステップ 6   (任意)このサーバが試行される順序を指定します。

                                    Firepower-chassis /security/radius/server # set order order-num

                                    ステップ 7   (任意)サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。

                                    Firepower-chassis /security/radius/server # set retries retry-num

                                    ステップ 8   システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待機する時間間隔を指定します。

                                    Firepower-chassis /security/radius/server # set timeout seconds

                                    ヒント   

                                    RADIUS プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。

                                    ステップ 9   トランザクションをシステムの設定に対して確定します。

                                    Firepower-chassis /security/radius/server # commit-buffer


                                    次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。

                                    Firepower-chassis# scope security
                                    Firepower-chassis /security # scope radius
                                    Firepower-chassis /security/radius # create server radiusserv7
                                    Firepower-chassis /security/radius/server* # set authport 5858
                                    Firepower-chassis /security/radius/server* # set key
                                    Enter the key: radiuskey321
                                    Confirm the key: radiuskey321
                                    Firepower-chassis /security/radius/server* # set order 2
                                    Firepower-chassis /security/radius/server* # set retries 4
                                    Firepower-chassis /security/radius/server* # set timeout 30
                                    Firepower-chassis /security/radius/server* # commit-buffer
                                    Firepower-chassis /security/radius/server # 
                                    

                                    RADIUS プロバイダーの削除

                                    手順
                                      ステップ 1   セキュリティ モードに入ります。

                                      Firepower-chassis# scope security

                                      ステップ 2   セキュリティ RADIUS モードに入ります。

                                      Firepower-chassis /security # scope RADIUS

                                      ステップ 3   指定したサーバを削除します。

                                      Firepower-chassis /security/radius # delete server serv-name

                                      ステップ 4   トランザクションをシステムの設定に対して確定します。

                                      Firepower-chassis /security/radius # commit-buffer


                                      次に、radius1 という RADIUS サーバを削除し、トランザクションを確定する例を示します。

                                      Firepower-chassis# scope security
                                      Firepower-chassis /security # scope radius
                                      Firepower-chassis /security/radius # delete server radius1
                                      Firepower-chassis /security/radius* # commit-buffer
                                      Firepower-chassis /security/radius #

                                      TACACS+ プロバイダーの設定

                                      TACACS+ プロバイダーのプロパティの設定

                                      このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。

                                      手順
                                        ステップ 1   セキュリティ モードに入ります。

                                        Firepower-chassis# scope security

                                        ステップ 2   セキュリティ TACACS+ モードに入ります。

                                        Firepower-chassis /security # scope tacacs

                                        ステップ 3   (任意)システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を設定します。

                                        Firepower-chassis /security/tacacs # set timeout seconds

                                        ステップ 4   トランザクションをシステムの設定に対して確定します。

                                        Firepower-chassis /security/tacacs # commit-buffer


                                        次に、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションを確定する例を示します。

                                        Firepower-chassis# scope security
                                        Firepower-chassis /security # scope tacacs
                                        Firepower-chassis /security/tacacs # set timeout 45
                                        Firepower-chassis /security/tacacs* # commit-buffer
                                        Firepower-chassis /security/tacacs # 
                                        
                                        次の作業

                                        TACACS+ プロバイダーを作成します。

                                        TACACS+ プロバイダーの作成

                                        Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーをサポートします。

                                        手順
                                          ステップ 1   セキュリティ モードに入ります。

                                          Firepower-chassis# scope security

                                          ステップ 2   セキュリティ TACACS+ モードに入ります。

                                          Firepower-chassis /security # scope tacacs

                                          ステップ 3   TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードに入ります。

                                          Firepower-chassis /security/tacacs # create server server-name

                                          ステップ 4   TACACS+ サーバ キーを指定します。

                                          Firepower-chassis /security/tacacs/server # set key

                                          キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。

                                          ステップ 5   (任意)このサーバが試行される順序を指定します。

                                          Firepower-chassis /security/tacacs/server # set orderorder-num

                                          ステップ 6   システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を指定します。

                                          Firepower-chassis /security/tacacs/server # set timeoutseconds

                                          ヒント   

                                          TACACS+ プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。

                                          ステップ 7   (任意)TACACS+ サーバとの通信に使用するポートを指定します。

                                          Firepower-chassis /security/tacacs/server # set portport-num

                                          ステップ 8   トランザクションをシステムの設定に対して確定します。

                                          Firepower-chassis /security/tacacs/server # commit-buffer


                                          次に、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションを確定する例を示します。

                                          Firepower-chassis# scope security
                                          Firepower-chassis /security # scope tacacs
                                          Firepower-chassis /security/tacacs # create server tacacsserv680
                                          Firepower-chassis /security/tacacs/server* # set key
                                          Enter the key: tacacskey321
                                          Confirm the key: tacacskey321
                                          Firepower-chassis /security/tacacs/server* # set order 4
                                          Firepower-chassis /security/tacacs/server* # set port 5859
                                          Firepower-chassis /security/tacacs/server* # commit-buffer
                                          Firepower-chassis /security/tacacs/server # 
                                          

                                          TACACS+ プロバイダーの削除

                                          手順
                                            ステップ 1   セキュリティ モードに入ります。

                                            Firepower-chassis# scope security

                                            ステップ 2   セキュリティ TACACS+ モードに入ります。

                                            Firepower-chassis /security # scope tacacs

                                            ステップ 3   指定したサーバを削除します。

                                            Firepower-chassis /security/tacacs # delete server serv-name

                                            ステップ 4   トランザクションをシステムの設定に対して確定します。

                                            Firepower-chassis /security/tacacs # commit-buffer


                                            次に、tacacs1 という TACACS+ サーバを削除し、トランザクションを確定する例を示します。

                                            Firepower-chassis# scope security
                                            Firepower-chassis /security # scope tacacs
                                            Firepower-chassis /security/tacacs # delete server tacacs1
                                            Firepower-chassis /security/tacacs* # commit-buffer
                                            Firepower-chassis /security/tacacs #

                                            Syslog の設定

                                            システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。

                                            手順
                                              ステップ 1   モニタリング モードに入ります。

                                              Firepower-chassis# scope monitoring

                                              ステップ 2   コンソールへの syslog の送信を有効または無効にします。

                                              Firepower-chassis /monitoring # {enable | disable} syslog console

                                              ステップ 3   (任意)表示するメッセージの最低レベルを選択します。syslog が有効になっている場合、システムはそのレベル以上のメッセージをコンソールに表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。

                                              Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical}

                                              ステップ 4   オペレーティング システムによる syslog 情報のモニタリングを有効または無効にします。

                                              Firepower-chassis /monitoring # {enable | disable} syslog monitor

                                              ステップ 5   (任意)表示するメッセージの最低レベルを選択します。モニタの状態が有効になっている場合、システムはそのレベル以上のメッセージを表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。

                                              Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}

                                              (注)     

                                              terminal monitor コマンドを入力した場合にだけ、クリティカル以下のレベルのメッセージが端末のモニタに表示されます。

                                              ステップ 6   syslog ファイルへの syslog 情報の書き込みを有効または無効にします。

                                              Firepower-chassis /monitoring # {enable | disable} syslog file

                                              ステップ 7   メッセージが記録されるファイルの名前を指定します。ファイル名は 16 文字まで入力できます。

                                              Firepower-chassis /monitoring # set syslog file namefilename

                                              ステップ 8   (任意)ファイルに保存するメッセージの最低レベルを選択します。ファイルの状態が有効になっている場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。

                                              Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}

                                              ステップ 9   (任意)最大ファイル サイズ(バイト単位)を指定します。このサイズを超えると、最も古いメッセージから最新のメッセージへの上書きが開始されます。有効な範囲は 4096 ~ 4194304 バイトです。

                                              Firepower-chassis /monitoring # set syslog file sizefilesize

                                              ステップ 10   最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。
                                              1. 最大 3 台の外部 syslog サーバへの syslog メッセージの送信を有効または無効にします。

                                                Firepower-chassis /monitoring # {enable | disable} syslog remote-destination {server-1 | server-2 | server-3}

                                              2. 任意: 外部ログに保存するメッセージの最低レベルを選択します。リモート宛先が有効になっている場合、システムはそのレベル以上のメッセージを外部サーバに送信します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。

                                                Firepower-chassis /monitoring # set syslog remote-destination {server-1 | server-2 | server-3} level{emergencies | alerts | critical | errors | warnings | notifications | information | debugging}

                                              3. 指定したリモート syslog サーバのホスト名または IP アドレスを指定します。ホスト名は 256 文字まで入力できます。

                                                Firepower-chassis /monitoring # set syslog remote-destination {server-1 | server-2 | server-3} hostnamehostname

                                              4. 任意: 指定されたリモート syslog サーバに送信される syslog メッセージに含まれるファシリティ レベルを指定します。

                                                Firepower-chassis /monitoring # set syslog remote-destination {server-1 | server-2 | server-3} facility {local0 | local1 | local2 | local3 | local4 | local5 | local6 | local7}

                                              ステップ 11   ローカル送信元を設定します。有効または無効にするローカル送信元ごとに、次のコマンドを入力します。

                                              Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults}

                                              次のいずれかになります。

                                              • [監査(audits)]:すべての監査ログ イベントのロギングを有効または無効にします。

                                              • [イベント(events)]:すべてのシステム イベントのロギングを有効または無効にします。

                                              • [障害(faults)]:すべてのシステム障害のロギングを有効または無効にします。

                                              ステップ 12   トランザクションを確定します。

                                              Firepower-chassis /monitoring # commit-buffer


                                              次の例は、ローカル ファイルの syslog メッセージのストレージを有効にし、トランザクションを確定します。

                                              Firepower-chassis# scope monitoring
                                              Firepower-chassis /monitoring # disable syslog console
                                              Firepower-chassis /monitoring* # disable syslog monitor
                                              Firepower-chassis /monitoring* # enable syslog file
                                              Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower
                                              Firepower-chassis /monitoring* # set syslog file level notifications
                                              Firepower-chassis /monitoring* # set syslog file size 4194304
                                              Firepower-chassis /monitoring* # disable syslog remote-destination server-1
                                              Firepower-chassis /monitoring* # disable syslog remote-destination server-2
                                              Firepower-chassis /monitoring* # disable syslog remote-destination server-3
                                              Firepower-chassis /monitoring* # commit-buffer
                                              Firepower-chassis /monitoring # 

                                              DNS サーバの設定

                                              システムが IP アドレスへのホスト名の解決を必要とする場合、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していないと、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。


                                              (注)  


                                              複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合は、3 台の DNS サーバをランダムに検索します。


                                              手順
                                                ステップ 1   システム モードに入ります。

                                                Firepower-chassis #scope system

                                                ステップ 2   システム サービス モードに入ります。

                                                Firepower-chassis /system #scope services

                                                ステップ 3   DNS サーバを作成または削除するには、該当するコマンドを次のように入力します。
                                                • 指定した IPv4 または IPv6 アドレスの DNS サーバを使用するようにシステムを設定するには、次のコマンドを使用します。

                                                  Firepower-chassis /system/services # createdns{ip-addr | ip6-addr}

                                                • 指定した IPv4 または IPv6 アドレスの DNS サーバを削除するには、次のコマンドを使用します。

                                                  Firepower-chassis /system/services # deletedns{ip-addr | ip6-addr}

                                                ステップ 4   トランザクションをシステムの設定に対して確定します。

                                                Firepower /system/services # commit-buffer


                                                次に、IPv4 アドレス 192.168.200.105 の DNS サーバを設定し、トランザクションを確定する例を示します。

                                                Firepower-chassis# scope system
                                                Firepower-chassis /system # scope services
                                                Firepower-chassis /system/services # create dns 192.168.200.105
                                                Firepower-chassis /system/services* # commit-buffer
                                                Firepower-chassis /system/services #
                                                
                                                
                                                

                                                次に、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F の DNS サーバを設定し、トランザクションを確定する例を示します。

                                                Firepower-chassis# scope system
                                                Firepower-chassis /system # scope services
                                                Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F
                                                Firepower-chassis /system/services* # commit-buffer
                                                Firepower-chassis /system/services #
                                                
                                                
                                                

                                                次に、IP アドレス 192.168.200.105 の DNS サーバを削除し、トランザクションを確定する例を示します。

                                                Firepower-chassis# scope system
                                                Firepower-chassis /system # scope services
                                                Firepower-chassis /system/services # delete dns 192.168.200.105
                                                Firepower-chassis /system/services* # commit-buffer
                                                Firepower-chassis /system/services #