ASA CX および Cisco Prime Security Manager 9.0 ユーザ ガイド
システムのメンテナンスとトラブルシューティング
システムのメンテナンスとトラブルシューティング
発行日;2013/04/11   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

システムのメンテナンスとトラブルシューティング

ここでは、ASA CX および PRSM の一般的なメンテナンスとトラブルシューティングについて説明します。 通常、手順は同じですが、システム プラットフォームに応じて手順が異なる場合もあります。

ユーザの管理

ユーザ アカウントを作成して、複数のユーザに対してシステムへのアクセスを許可できます。 ロールベース アクセス コントロール(RBAC)を使用すると、これらのユーザに異なるアクセス レベルを提供できます。 これによって、たとえば、ヘルプ デスクの担当者がイベント、レポート、ポリシーを表示でき、ポリシーの変更はできないようにします。

ここでは、ユーザ管理についてより詳細に説明します。

[Users] ページの概要

[Users] ページには、Web インターフェイスにログインできるすべてのユーザ アカウントのリストが表示されます。 ページには、事前定義されている admin アカウントと、作成されたすべてのアカウントが一覧表示されます。 これらのユーザは、システムでローカルに定義することも、ディレクトリ レルムでリモートに定義することもできます。

[Users] ページを開くには、[Administration] > [Users] を選択します。

[Users] ページには、次の情報が表示されます。
  • [I want to]:次のコマンドが含まれています。
    • [Select Global Realm for Remote Users]:リモート ユーザとして追加するユーザが含まれているディレクトリ レルムを指定します。 ローカル ユーザの作成では、レルムを選択する必要はありません。 詳細については、リモート ユーザ用ディレクトリ レルムの設定を参照してください。
  • [Role and User Lists]:ユーザは、アカウントに割り当てられているロールに基づいて、フォルダに整理されます。 ロールベース アクセス コントロール(RBAC)で使用されるロールは、システムでのユーザの特権を定義し、ユーザが表示および変更できる項目を制御します。 ロールには、アクセス権限が高い方から順に、Administrator、Security Administrator、System Administrator、Help Desk、Reporting Administrator があります。 これらのロールに付与されているアクセス権の詳細については、ユーザのロールと権限を参照してください。
    ロールまたはユーザに関連するコマンドを表示するには、ロール ヘッダーまたはユーザ行の上にマウスを置きます。 使用可能なコマンドは次のとおりです。
    • [Create User]:(ロール コマンド)。新規ユーザを追加します。 このコマンドは、特定のロールの上にマウスを置いて選択しますが、任意のロールにユーザを作成できます。
    • [Delete User]:(ユーザ コマンド)。ユーザを削除します。 admin ユーザと自分のユーザ名(システムへのログインに使用したユーザ名)は削除できません。
    • [Edit User]:(ユーザ コマンド)。ユーザ アカウントを編集します。

ユーザのロールと権限

ユーザに割り当てることができるロールは、以下のとおりです。 これらのロールは、Web インターフェイスに適用されます。 システム CLI にアクセスできるユーザは作成できません。
  • Administrator:スーパー管理者は、システムの管理を担当し、すべての製品機能にアクセスできます。
  • Security Administrator:セキュリティ管理者は、ネットワーク デバイスのセキュリティ ポリシーの設定を担当します。 ポリシーおよびいくつかのデバイス構成機能への読み取り/書き込みアクセス権があります。
  • System Administrator:システム管理者は、デバイスおよびシステムの設定および管理を担当します。 いくつかのデバイス構成機能への読み取り/書き込みアクセス権がありますが、ポリシーへの読み取り/書き込みアクセス権はありません。
  • Reporting Administrator:レポート管理者は、システム レポートの分析、およびネットワーク使用状況と組織のアクセプタブル ユース ポリシーとの比較を担当します。 レポートおよびイベントの表示ができますが、設定の変更はできません。
  • Help Desk User:ヘルプ デスク ユーザは、ネットワーク ユーザが報告した問題のトラブルシューティングを行います。 レポート、イベント、ポリシー、デバイス構成の表示ができますが、ポリシーまたは設定の変更はできません。

次の表に、これらのユーザ ロールの特権をアプリケーション メニューに基づいて示します。

表 1 ユーザのロールと権限

メニュー

ロール

Administrator

Security Administrator

System Administrator

Reporting Administrator

Help Desk

[Dashboard]、すべての項目

Yes

Yes

Yes

Yes

Yes

[Events]

Yes

Yes

Yes

Yes

Yes

[Policies] > [Policies]

R/W

R/W

No

No

RO

[Policies] > [Objects]

R/W

R/W

No

No

RO

[Policies] > [Applications]

R/W

R/W

No

No

RO

[Policies] > [Device Groups]

R/W

R/W

R/W

No

RO

[Device] > [Devices](デバイス構成ページを含む)

R/W

R/W

R/W

No

RO

[Device] > [Directory Realm]

R/W

R/W

R/W

No

RO

[Device] > [AD Agent]

R/W

R/W

No

No

RO

[Device] > [Authentication]

R/W

R/W

No

No

RO

[Device] > [Decryption]

R/W

R/W

No

No

RO

[Device] > [Certificates]

R/W

R/W

No

No

RO

[Device] > [Updates]

R/W

R/W

R/W

No

RO

[Device] > [Packet Capture]

R/W

R/W

No

No

RO

[Administration] > [Users]

すべてのアカウントの R/W

自分のアカウントの R/W

すべてのアカウントの R/W

自分のアカウントの R/W

自分のアカウントの R/W

[Administration] > [Licenses]

R/W

R/W

R/W

No

RO

[Administration] > [PRSM Logs]

R/W

RO

R/W

No

RO

[Administration] > [Server Certificates]

R/W

No

R/W

No

No

[Administration] > [Change History]

Yes

Yes

Yes

No

Yes

[Administration] > [About PRSM]

Yes

Yes

Yes

Yes

Yes

[Commit and Deploy Changes]

R/W

R/W

R/W

No

No

凡例
  • Yes:読み取り/書き込み特性がない機能を使用できます。
  • No:機能にアクセスできません。
  • R/W:その機能への読み取り/書き込みアクセス権があります。
  • RO:その機能への読み取り専用アクセス権があります。

事前定義済み admin ユーザの使用

admin ユーザは、システムで事前定義されており、特別な特性を持っています。
  • admin ユーザ アカウントは削除できません。
  • CLI にログインできる唯一のユーザです。
  • ASA CXPRSM マルチ デバイス モード インベントリに追加するときに指定できる唯一のユーザ名です。
  • このユーザのパスワードは、ASA CX と、これによって管理される PRSM サーバとの間で同期されません。 その他のユーザはすべて、ASA CXPRSM インベントリに追加すると、ASA CX で定義されているすべてのユーザが削除され、PRSM サーバで定義されているユーザに置き換えられます。 しかし、admin ユーザのパスワードは変更されないため、PRSM サーバと、これによって管理される各 ASA CX で、admin アカウントに異なるパスワードを使用できます。

    (注)  


    インベントリに追加した後、デバイスで admin パスワードを変更しないでください。変更すると、デバイスとの通信が失敗します。 インベントリからデバイスを削除し、それをもう一度追加して、新しいパスワードを使用する必要があります。


  • admin パスワードは、Web インターフェイスまたは CLI を使用して変更できます。 どちらを使用しても、Web インターフェイスと CLI の両方のパスワードが変更されます。
  • ASA CXPRSM サーバで管理されている場合、admin ユーザだけが、ASA CX 管理対象モード ホーム ページにログインできます。

リモート ユーザ用ディレクトリ レルムの設定

リモート ユーザ(ネットワーク ディレクトリで定義されているユーザ)をシステムに追加する前に、ユーザ アカウントが含まれているディレクトリを識別する必要があります。

手順
    ステップ 1   使用するディレクトリ レルムが定義されていない場合は、作成します。
    1. [Device] > [Directory Realm] を選択してレルムを作成し、ディレクトリ サーバに追加します。
    2. 変更を保存します。 レルムを保存するまで、そのレルムをリモート ユーザ用のグローバル レルムとして選択することはできません。
    ステップ 2   [Administration] > [Users] を選択します。
    ステップ 3   [I Want To] > [Select Global Realm for Remote Users] を選択します。
    ステップ 4   ディレクトリ レルムを選択します。

    [None] を選択して、リモート ユーザ定義のサポートを削除します。

    ステップ 5   [Save] をクリックします。

    ユーザの設定

    ユーザ アカウントを定義して、Web インターフェイスへのアクセスを許可できます。 定義したユーザ名は、製品の CLI にアクセスできません。

    次のタイプのユーザを定義できます。
    • ローカル定義:このユーザは設定データベース内にのみ存在します。 ユーザは、Web インターフェイスにアクセスするために、PRSM ユーザ名とパスワードを保存しておく必要があり、パスワードは Web インターフェイス内で変更する必要があります。
    • リモート(ディレクトリ)ユーザ:このユーザは外部の Active Directory または OpenLDAP サーバで定義されます。 通常、ユーザは標準ネットワーク ディレクトリから追加されます。 ディレクトリ ユーザを追加すると、ユーザは Windows ワークステーションのログインに使用するものなど、通常のユーザ名とパスワードを使用してログインできるようになります。 パスワードは標準的なパスワード変更手順で変更します。 ディレクトリ ユーザは、DOMAIN\username(EXAMPLE\user1 など)、username@domain(user1@example.com など)、またはユーザ名のみでログインできます。
    手順
      ステップ 1   [Administration] > [Users] を選択します。
      ステップ 2   次のいずれかを実行します。
      • いずれかのロール名の上にマウスを置き、[Create User] をクリックします。 どのロールの上にマウスを置いてもかまいません。ユーザを定義するときに、別のロールを選択できます。
      • ユーザ名の上にマウスを置き、[Edit User] をクリックします。
      ステップ 3   [User Properties] フォームで、ローカル ユーザとリモート ユーザのどちらを作成するかを選択し、ユーザのプロパティの説明に従って、ユーザの特性を入力します。
      ステップ 4   [Save] をクリックします。

      ユーザ アカウントは、すぐに使用可能になります。


      ユーザのプロパティ

      PRSM および ASA CX ユーザには、次のプロパティがあります。

      User Type
      次のタイプのユーザを定義できます。
      • ローカル定義:このユーザは設定データベース内にのみ存在します。 ユーザは、Web インターフェイスにアクセスするために、PRSM ユーザ名とパスワードを保存しておく必要があり、パスワードは Web インターフェイス内で変更する必要があります。
      • リモート(ディレクトリ)ユーザ:このユーザは外部の Active Directory または OpenLDAP サーバで定義されます。 通常、ユーザは標準ネットワーク ディレクトリから追加されます。 ディレクトリ ユーザを追加すると、ユーザは Windows ワークステーションのログインに使用するものなど、通常のユーザ名とパスワードを使用してログインできるようになります。 パスワードは標準的なパスワード変更手順で変更します。 ディレクトリ ユーザは、DOMAIN\username(EXAMPLE\user1 など)、username@domain(user1@example.com など)、またはユーザ名のみでログインできます。
      User Name
      アカウント名。これは、Web インターフェイスにログインするときに使用する名前です。 いったん作成したユーザの名前は編集できません。 ユーザ名を指定するには、次の作業を実行します。
      • [Local]:15 文字までのユーザ名を入力します。
      • [Remote]:ユーザ名を入力すると、入力に従ってサーバから取得した名前のリストが返されます。 名前を選択します。 ユーザ名のフィールドでは、複数の名前を選択できますが、使用されるのは最後に選択された 1 つだけです。
      First Name、Last Name

      ユーザの姓と名。 リモート ユーザの場合、名前はディレクトリから取得され、取得された値が空の場合を除き、編集できません。

      E-mail

      ユーザの電子メール アカウント(username@example.com など)。 リモート ユーザの場合、アドレスはディレクトリから取得され、取得された値が空の場合を除き、編集できません。

      Active:On/Off

      アカウントがアクティブ([On])かどうか。アクティブとは、Web インターフェイスにログインできるという意味です。

      Role

      ユーザが表示または修正できる機能を制御するユーザ ロール。 アクセス権限が高い方から順に、[admin]、[security admin]、[system admin]、[help desk]、[reporting admin] のいずれかを選択します。 これらのロールに付与されているアクセス権の詳細については、ユーザのロールと権限を参照してください。

      Password

      (ローカル ユーザのみ)。ユーザのパスワード。 パスワードは 8 文字以上で、1 個以上の大文字(A ~ Z)、小文字(a ~ z)、数字(0 ~ 9)を使用する必要があります。 パスワードはテストに合格するまで保存できません。

      パスワードを変更するには、ユーザ アカウントを編集するときに [Change] をクリックします。

      パスワードの変更

      ローカルに定義されたユーザ名を持つすべてのユーザは、[Users] ページへのアクセス権がなくても、自分のパスワードを変更できます。 適切な管理者特権がない場合、パスワードは、ユーザ アカウントを編集するときに変更できる唯一の項目です。

      ユーザ名がローカルに定義されていない場合、つまり、通常のディレクトリ ユーザ名の場合は、アプリケーションを使用してパスワードを変更することができません。 代わりに、パスワード変更の通常の手順を使用すると、新しいパスワードを使用してアプリケーションにログインできるようになります。

      次の手順は、ローカルに定義されたユーザ名にのみ適用されます。

      手順
        ステップ 1   [Administration] > [Users] を選択します。
        ステップ 2   ユーザ名の上にマウスを置き、[Edit User] をクリックします。
        ステップ 3   [Password] フィールドの [Change] をクリックし、新しいパスワードを入力します。

        パスワードは 8 文字以上で、1 個以上の大文字(A ~ Z)、小文字(a ~ z)、数字(0 ~ 9)を使用する必要があります。 パスワードはテストに合格するまで保存できません。

        ステップ 4   [Save] をクリックします。

        ユーザの削除

        不要になったユーザ アカウントは削除できます。 ただし、admin アカウントまたはログインに使用しているアカウントは削除できません。

        または、後で必要になる可能性がある場合は、ユーザ アカウントを一時的にディセーブルにできます。 アカウントをディセーブルにするには、アカウントを編集して [Active] で [Off] を選択します。

        ユーザを削除すると、そのユーザに関するすべての保留中の変更が破棄されます。

        手順
          ステップ 1   [Administration] > [Users] を選択します。
          ステップ 2   アカウントの上にマウスを置き、[Delete User] をクリックします。

          削除の確認が求められます。


          サーバ証明書のインストール

          Web インターフェイスにログインするときに、システムはデジタル証明書を使用して HTTPS で通信を保護します。 デフォルトの証明書はブラウザで信頼されていないため、Untrusted Authority という警告が表示され、証明書を信頼するかどうかを確認されます。 証明書を Trusted Root Certificate ストアに保存することもできますが、信頼するようにブラウザがすでに設定されている新しい証明書をアップロードすることもできます。

          はじめる前に

          サーバ証明書の取得の説明に従って、デジタル証明書を認証局から取得します。

          手順
            ステップ 1   [Administration] > [Server Certificates] を選択します。

            このページでは、すでに証明書がアップロードされているかどうか、または現在使用しているサーバ証明書に関する情報は表示されません。

            ステップ 2   次の各フィールドで [Browse] をクリックし、適切なファイルを選択します。
            • [Certificate]:CA 証明書ファイル。
            • [Key]:選択した証明書に対応する、復号化された RSA 秘密キー ファイル。 暗号化されたキー ファイルは選択しないでください。
            ステップ 3   [Upload] をクリックして、ファイルをシステムにコピーします。

            証明書の詳細が表示されます。

            ステップ 4   正しい証明書が選択されていることを確認し、[Install and Restart Server] をクリックします。

            証明書がインストールされます。 証明書をイネーブルにするには、システムの Web サーバ コンポーネントを再起動する必要があります。 ASA CX の場合、Web サーバを再起動しても、デバイスを経由するトラフィック フローは影響を受けません。

            ステップ 5   [Restart] をクリックして Web サーバを再起動し、インストールを完了します。

            この時点で、Web インターフェイスへの接続が解放されます。 Web サーバが再起動するまでしばらく待ち、[Server Certificates] ページが再度表示されるまで、ブラウザを更新します。 ブラウザが認識する証明書をアップロードした場合、証明書の警告は表示されません。


            サーバ証明書の取得

            アプライアンスにアップロードする証明書は、次の要件を満たしている必要があります。
            • X.509 標準を使用していること。
            • 一致する秘密キーが PEM 形式で含まれていること。 DER 形式はサポートされていません。
            • 秘密キーが暗号化されていないこと。
            • ルート証明書または中間証明書であること。

            システムから証明書の証明書署名要求(CSR)を生成することはできません。 そのため、システム用に作成された証明書を使用するには、UNIX ワークステーションから署名要求を発行する必要があります。 後でシステムにインストールする必要があるため、この UNIX ワークステーションから PEM 形式のキーを保存します。

            最新バージョンの OpenSSL がインストールされた、任意の UNIX マシンを使用できます。 CSR に ASA CX または PRSM サーバのホスト名があることを確認してください。 OpenSSL を使用した CSR の生成の詳細については、次の場所にあるガイドラインを参照してください。次の手順は、このサイトで説明されている手順をまとめたものです。

            http:/​/​www.modssl.org/​docs/​2.8/​ssl_​faq.html#ToC28

            CSR が生成されたら、認証局(CA)に送信します。 CA は、証明書を PEM 形式で返します。

            最初に証明書を取得する場合、インターネットで「certificate authority services SSL server certificates(SSL サーバ証明書を提供している認証局)」を検索して、お客様の環境のニーズに最適なサービスを選択してください。 サービスの手順に従って、SSL 証明書を取得します。


            ヒント


            独自の証明書を生成して署名することもできます。 そのためのツールは http:/​/​www.openssl.org の無料のソフトウェア OpenSSL に含まれています。


            手順
              ステップ 1   OpenSSL を使用して、システム用に暗号化されていない RSA 秘密キーを作成します。

              例:

              次のコマンドで、server.key という RSA キー ファイルと、server.key.decrypted という RSA 秘密キーの復号化された PEM バージョンが作成されます。 キーを作成するときに、入力したパス フレーズを覚えておいてください。

              $ openssl genrsa -des3 -out server.key 1024 
              $ openssl rsa -in server.key -out server.key.decrypted
              
              
              ステップ 2   RSA 秘密キーを使用して、PEM 形式の証明書署名要求を生成します。

              例:

              次の例では、暗号化されたキー ファイルを使用して、署名要求ファイル server.csr を生成します。 通常名を要求するプロンプトが表示されたら、システムの完全修飾ドメイン名(FQDN)を入力します。 たとえば、https://prsm.example.com を開くことができるように、DNS 名を prsm.example.com に設定した場合、通常名は prsm.example.com になります。

              $ openssl req -new -key server.key -out server.csr
              
              
              ステップ 3   CSR を CA に送信して、署名付きの証明書を取得します。

              商用 CA を使用することも、独自の CA を作成して独自に証明書に署名することもできます。 独自の CA を作成する方法については、OpenSSL のマニュアルを参照してください。


              次の作業

              [Administration] > [Server Certificates] ページを使用して、証明書をアップロードし、秘密キーを復号化します。

              ASA CX および PRSM ソフトウェアのインストール

              ASA CX および Cisco Prime Security ManagerPRSM)のソフトウェア パッケージには、いくつかの異なるタイプがあります。
              • ASA CX
                • ASA CX ブート イメージ。ASA CX の完全な再作成が必要な場合にインストールします。 デバイスのパーティションを作成すると、すべてのユーザ データが失われます。 通常、このイメージはディザスタ リカバリの目的でのみインストールします。 ブート イメージをインストールした後、システム ソフトウェア パッケージをインストールする必要があります。 ブート イメージ ファイルの名前は、asacx-boot-*.img というパターンに従います。
                • ASA CX システム ソフトウェア。オペレーティング システムとアプリケーションが含まれています。 システム ソフトウェアのアップグレードでは、常にリブートが必要です。 ASA CX システム ソフトウェア パッケージ ファイルの名前は、asacx-sys-*.pkg というパターンに従います。
              • PRSM
                • PRSM 仮想マシン(VM)。OVA ファイルの形式です。 このパッケージは、新しい VM としてインストールするため、ユーザ データは保存されません。完全新規のインストールから開始します。 PRSM OVA ファイルの名前は、prsm-vm-*.ova というパターンに従います。
                • PRSM システム ソフトウェア。オペレーティング システムとアプリケーションが含まれています。 システム ソフトウェアのアップグレードでは、常にリブートが必要です。 PRSM システム ソフトウェア パッケージ ファイルの名前は、prsm-sys-*.pkg というパターンに従います。

              ここでは、これらのイメージおよびアプリケーションのインストール方法について説明します。

              Cisco Prime Security Manager のインストール

              Cisco Prime Security ManagerPRSM)は、VMware で実行されます。 ここでは、VMware の設定と、PRSM 仮想マシン(VM)のインストールおよび管理方法について説明します。 PRSM マルチ デバイス モード サーバを効果的に管理するには、VMware の使用方法に関する知識が必要です。

              PRSM インストールのためのサーバの準備

              PRSM マルチ デバイス モードでは、基本の動作環境として VMware を使用します。 PRSM をインストールする前に、VMware のインストール要件を満たすサーバを選択し、VMware のマニュアルに従って正しく VMware をインストールして設定する必要があります。


              ヒント


              最低でも、ハードウェア プラットフォームは Intel Xeon Dual Core 64 ビット プロセッサで、Intel VT-x サポート、6GB RAM、500 GB ハード ドライブ(RAID 5 を推奨)、1 つまたは複数のギガビットまたは 10 ギガビット イーサネット コントローラを搭載している必要があります。 選択したサーバが、VMware の ESXi 互換ハードウェア リスト(http:/​/​www.vmware.com/​resources/​compatibility/​search.php)に含まれていることを確認してください。 ESXi ホストの BIOS で、Intel Virtualization Technology(VT-x)がイネーブルになっていることを確認します。


              次の VMware ソフトウェアをインストールします。
              • VMware vSphere Hypervisor(ESXi)4.1 Update 2。 目的の設定を実装するために必要な VMware ライセンスの取得は、お客様が行ってください。
              • (任意、ただし推奨)。VMware vCenter Server 4.1。
              • VMware vSphere Client 4.1。 ワークステーションにクライアントをインストールする必要があり、少なくとも 2 GB の RAM が必要です。

              VMware のインストールについて、PRSM に特別な要件はありませんが、PRSM で管理するデバイスの数に基づいて適切なサーバを選択するために、次の PRSM VM のサイジングに関する推奨事項を検討してください。 これらは、PRSM 用に設定する仮想マシン(VM)の推奨されるサイズです。 ここで示すデフォルト値は、アプリケーションをインストールするときに、最初に設定されている値です。

              表 2 推奨される PRSM 仮想マシンのサイジング

              特性

              デフォルト値

              10 台のデバイス

              25 台のデバイス

              コア数(仮想 CPU 数)

              2

              2

              4

              メモリ

              4 GB

              6 GB

              8 GB

              ディスク容量

              イベントおよびレポート データを格納するには、大きなサイズが必要です。

              2 台のディスク、合計 276 GB
              • アプリケーションおよびデータベース用に、40 GB のプライマリ ディスク(ディスク 1)。
              • イベントおよびレポート データ用に、256 GB のセカンダリ ディスク(ディスク 2)。

              2 TB のセカンダリ ディスク容量。

              3 TB のセカンダリ ディスク容量。

              重要な考慮事項
              VMware では、VM に関して多くの設定ができますが、PRSM にとってすべての設定に意味があるわけではありません。 次の点を考慮してください。
              • 仮想 NIC(ネットワーク インターフェイス カード):PRSM が使用するネットワーク インターフェイスは 1 つです。 仮想 NIC を追加しても、システムのパフォーマンスまたは動作に影響はありません。 使用されるインターフェイスは 1 つで、追加のインターフェイスは検出されず、使用できません。
              • SCSI コントローラ:SCSI コントローラ タイプは変更しないでください。 サポートされるタイプは、LSI Logic Parallel コントローラだけです。

              PRSM 仮想マシンのインストール

              このインストール手順は、必要な VMware ソフトウェアがインストールされ、正しく機能することが確認されていることを前提としています(PRSM インストールのためのサーバの準備を参照してください)。 また、PRSM を使用する場合、このソフトウェアをホストするサーバが vCenter Server に追加されていることも前提としています。

              はじめる前に
              VM のインストールおよび起動時に、セットアップ ウィザードでは PRSM サーバが機能するために必要な情報を要求されます。 インストールを開始する前に、次の値に対する正しい入力内容を必ず確定してください。
              • システムのホスト名。 ホスト名は 65 文字以内で、文字、数字、ハイフンのみが使用できます。 先頭と末尾の文字は英字または数字にする必要があり、ホスト名をすべて数字にすることはできません。
              • 管理 IP アドレスに使用するアドレス指定のタイプ。 スタティック IPv4、IPv4 用 DHCP、スタティック IPv6、IPv6 ステートレス自動設定のいずれかのアドレス タイプを設定できます。 IPv4 と IPv6 の両方のアドレス指定の設定が可能です。 次の手順を実行します。
                • IPv4 スタティック アドレス:IPv4 管理 IP アドレス、サブネット マスク、ゲートウェイを指定します。
                • DHCP:管理ネットワークで応答する DHCP サーバが必要です。

                  (注)  


                  DHCP は推奨されません。 DHCP がリースの満了やその他の理由により割り当てたアドレスを変更した場合、システムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


                • IPv6 スタティック アドレス:IPv6 管理 IP アドレス、プレフィックス長、ゲートウェイを指定します。
                • IPv6 ステートレス自動設定:IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。 IPv6 ルーティング サービスがリンクで使用できない場合、リンク ローカルな IPv6 アドレスのみが取得され、そのデバイスが属すネットワーク リンクの外部にアクセスできません。

                  (注)  


                  IPv6 ステートレス自動設定では、ネットワーク プレフィックスおよびデバイス ID に基づいてグローバル アドレスが割り当てられます。 このアドレスが変化することはほとんどなく、変化するとシステムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。


              • DHCP を使用しない場合は、プライマリおよび任意でセカンダリの IP アドレス(IPv4 または IPv6)、DNS サーバ、ローカル ドメイン名。 IPv4 と IPv6 の両方の管理アドレスを設定すると、このいずれか、または両方の形式で DNS アドレスを入力できます。この設定を行わない場合は、管理アドレスの形式に合わせる必要があります。 検索ドメインのカンマ区切りリストを入力することもできます。検索ドメインは、名前から IP アドレスへの解決の中で、完全修飾ではないホスト名に順番に付加されます。 たとえば、検索ドメイン リストにより、www.example.com などの完全修飾名ではなく、www への ping が可能になります。
              • システム時刻に Network Time Protocol(NTP)を設定するかどうか、および NTP を使用する場合は NTP サーバの名前または IPv4 アドレス。 すべてのシステムで同じ NTP サーバを使用することを推奨します。

              (注)  


              システム時刻は、ASA、ASA CX、およびPRSM 管理サーバで一貫していることが重要です。 すべてのデバイスで同じタイムゾーンと NTP サーバを使用することが、最適な方法です。 時刻の不一致が著しい場合、たとえば、インストール プロセスで生成された ASA CX CA 証明書の開始時刻が PRSM サーバ上の現在の時刻よりも遅い場合などは、PRSM がデバイスをインベントリに追加できないことがあります。 イベントとレポート データでも、スキューが発生することがあります。


              手順
                ステップ 1   PRSM VM イメージ(OVA ファイル)をワークステーションにダウンロードするか、vSphere Client からアクセスできる HTTP サーバに保存します。
                ステップ 2   vSphere Client にログインし、PRSM VM をインストールする vCenter Server に接続します。
                ステップ 3   PRSM VM を追加します。
                1. [File] > [Deploy OVF Template] を選択して、ウィザードを起動します。 ウィザードのステップは、サーバの設定方法によって異なります。次に示すステップはご使用のシステムでのステップと少し異なり、追加のステップが含まれたり、ここで説明するいくつかのステップがスキップされる場合があります。
                2. [Source] ページで、OVA ファイルの URL を入力するか、[Browse] をクリックしてワークステーションのファイルを選択します。 [Next] をクリックします。
                3. [OVF Template Details] ページで、製品の詳細を確認し、[Next] をクリックします。
                4. [End User License Agreement] ページで、[Accept] をクリックしてから [Next] をクリックします。
                5. [Name and Location] ページで、VM に付ける名前を入力して [Next] をクリックします。 選択した名前が、PRSM の動作に影響を与えることはありません。
                6. [Disk Format] ページでは、高いパフォーマンスが得られる [Thick Provisioned Format] を選択することを推奨しますが、シン プロビジョニングを使用することもできます。 必要な選択を行い、[Next] をクリックします
                7. [Network Mapping] ページで、ネットワークで必要なマッピングを選択します(まだ正しく選択していない場合)。 送信元ネットワークは [Bridged] で、宛先ネットワークは、VMware サーバで設定されている管理ネットワーク マッピングに対応するネットワークです。 [Next] をクリックします。
                8. [Ready to Complete] ページで設定を確認し、[Finish] をクリックします。

                  [Deploying status] ダイアログボックスが表示され、OVF テンプレートのインストールと導入が完了するまでの経過と推定所要時間が表示されます。 [Deployment Completed Successfully] メッセージが表示されたら、次に進みます。

                ステップ 4   (任意、ただし推奨)。テンプレート導入プロセスが完了したら、要件に合わせて VM 設定を編集して調整します。 サーバの VM のリストで PRSM VM を右クリックし、[Edit Settings] を選択します。
                検討が必要な設定は、主に以下のとおりです。
                • メモリ:デフォルトは 4 GB です。 vSphere Client から、最適な設定の推奨値が提示されます。必要に応じて割り当て量を増加すると、パフォーマンスが向上します。
                • CPU:デフォルトは仮想 CPU 2 個です。 最大 4 個まで vCPU を増やして、パフォーマンスを向上させることができます。
                • ハード ディスク:インストール時には、次のディスクが作成されます。
                  • ハード ディスク 1:このプライマリ ディスクには、アプリケーションと設定データベースが格納されます。 サイズは固定です。 必要な場合にシステムを復元できるように、定期的にこのドライブのスナップショットを作成してください。
                  • ハード ディスク 2:このセカンダリ ディスクは、イベントおよびレポート データの保存に使用されます。 VM に追加したディスクはこのディスクの拡張として扱われ、CLI で show diskusage コマンドを使用すると /var/data として参照されます。 新しいディスクを追加するには、[Add] ボタンをクリックします。 詳細については、PRSM ディスク領域の管理を参照してください。
                    (注)     

                    すべてのセカンダリ ディスクが、[Independent-Persistent] モードで実行され、スナップショットに含まれないようになっていることを確認してください。

                ステップ 5   サーバ上の VM のリストから PRSM VM を選択し、右側のパネルまたは別のウィンドウとして VM コンソールを開きます(ツールバーの [Launch Virtual Machine Console] ボタンをクリックするか、または [Inventory] > [Virtual Machine] > [Open Console] を選択します)。
                ステップ 6   メイン ウィンドウまたはコンソール ウィンドウで [Power On (Play)] ボタンをクリックするか、[Inventory] > [Virtual Machine] > [Power On] をクリックして、VM の電源を投入します。

                コンソール ウィンドウに、PRSM のブート メッセージが表示されます。 admin パスワードの設定に関する次のメッセージが表示されるまで待ちます。

                Press Enter to configure the password for ‘admin’ user ...
                
                ステップ 7   Enter キーを押して admin ユーザのパスワードを指定します。入力内容は表示されません。

                例:
                The password must be at least 8 characters long and must contain
                at least one uppercase letter (A-Z), at least one lowercase letter 
                (a-z) and at least one digit (0-9).
                
                Enter password: (type password) 
                Confirm password: (retype password) 
                SUCCESS: Password changed for user admin 
                
                
                           Welcome to Cisco Prime Security Manager Setup
                                     [hit Ctrl-C to abort]
                                   Default values are inside [ ]
                
                Enter a hostname [prsm-vm]: 
                
                
                ステップ 8   これで、初期セットアップを案内するシステム セットアップ ウィザードの最初のプロンプトが表示されます。 このウィザードを後で再実行するには、setup コマンドを使用します。

                例:

                VM のインストール前に決定した値を入力します。 次に、IPv4 と IPv6 の両方のスタティック アドレスを設定する例を示します。

                Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
                Do you want to enable DHCP for IPv4 address assignment on management interface? (y/n) [N]: N 
                Enter an IPv4 address [192.168.8.8]: 10.89.31.65 
                Enter the netmask [255.255.255.0]: 255.255.255.0 
                Enter the gateway [192.168.8.1]: 10.89.31.1 
                Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y
                Enter an IPv6 address: 2001:DB8:0:CD30::1234/64
                Enter the gateway: 2001:DB8:0:CD30::1 
                Enter the primary DNS server IP address [ ]: 10.89.47.11 
                Do you want to configure Secondary DNS Server? (y/n) [N]: N 
                Do you want to configure Local Domain Name? (y/n) [N] Y
                Enter the local domain name: example.com 
                Do you want to configure Search domains? (y/n) [N] Y
                Enter the comma separated list for search domains: example.com
                Do you want to enable the NTP service?(y/n) [N]: Y
                Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
                Please review the final configuration:
                Hostname:               prsm-vm
                Management Interface Configuration
                
                IPv4 Configuration:     static
                        IP Address:     10.89.31.65     
                        Netmask:        255.255.255.0
                        Gateway:        10.89.31.1
                
                IPv6 Configuration:     static
                        IP Address:     2001:DB8:0:CD30::1234/64
                        Gateway:        2001:DB8:0:CD30::1
                
                
                DNS Configuration:
                        Domain:         example.com
                        Search:
                                        example.com
                        DNS Server:
                                        10.89.47.11
                
                NTP servers:
                        1.ntp.example.com    2.ntp.example.com
                
                Apply the changes?(y,n) [Y]: Y
                Configuration saved successfully!
                Applying...
                Done.
                Generating self-signed certificate, the web server will be restarted after that
                 ...
                Done.
                Press ENTER to continue...
                
                
                ステップ 9   Enter キーを押して、続行します。

                ログイン プロンプトが表示され、Web インターフェイスを開くために使用できる URL が表示されます。 ブラウザを使用して、admin としてログインし(設定したパスワードを使用)、アプリケーションの使用を開始します。

                ヒント   

                サーバが見つからない、またはサーバが応答するまで時間がかかりすぎるために Web ブラウザで URL を開くことができない場合は、PRSM コンソールに移動して、admin としてログインし、ping コマンドを使用してワークステーションの IP アドレスに対して ping を実行します。 その後、ブラウザで接続し直します。 また、http:// ではなく https:// を使用していることを確認してください。

                ステップ 10   NTP を使用しない場合は、時刻を設定します。

                show time コマンドを使用すると、現在の日時とシステムのタイムゾーンを確認できます。 デフォルトでは UTC タイムゾーンが使用されます。

                時間設定を変更するには、次のコマンドを使用できます。
                • config timezone で、タイムゾーンを変更します。
                • config time で、ローカルの日時を設定します。

                PRSM ディスク領域の管理


                (注)  


                PRSM シングル デバイス モードは、ASA CX に組み込まれた管理アプリケーションで、ディスク領域を自動的に管理します。ディスク使用量は変更できません。


                PRSM マルチ デバイス モードのインストール時、イメージには次のディスクが含まれています。
                • ハード ディスク 1:プライマリ ディスク。製品および設定データベースに使用されます。 このディスクのサイズは変更できません。
                • ハード ディスク 2:セカンダリ ディスク。イベントおよびレポート データに使用されます。 CLI で show diskusage コマンドを使用すると、このディスクが /var/data ディスクとして表示されます。 このディスクに割り当てるストレージは拡張または縮小できます。また、このディスクと組み合わせて使用する追加ディスクを追加できます。追加されたディスクは /var/data の一部になり、イベントおよびレポート データの保存に使用されます。 データがセカンダリ ストレージに保存されるに従い、新しいデータを保存するスペースを確保するために、古いデータが自動的に削除されます。

                  (注)  


                  許可される最大ディスク サイズ、およびディスク サイズを変更できるかどうかは、VMware およびデータストアに設定されているブロック サイズによって制御されます。


                VMware vSphere Client を使用して、セカンダリ ディスク領域を管理します。 次のいずれかを実行できます。実行すると、PRSM がブート時に変更を自動的に検出し、必要に応じてディスクをフォーマットまたは再パーティショニングして、イベントおよびレポート データ用の追加のスペースがあればそれを使用して起動します。
                • 既存のセカンダリ ディスク サイズの変更:ディスクが独立型モードで実行されている(スナップショットがイネーブルでない)場合、ディスクの容量を拡張または縮小できます。 すべてのセカンダリ ディスクは、独立型モードで実行する必要があります。
                • 追加のセカンダリ ディスクの追加:ハード ディスクのブロック化因数に応じて、仮想ディスクの最大サイズの上限が決まります。 ただし、複数のセカンダリ ディスクを作成して、イベントおよびレポート データのストレージに使用する容量を集合的に提供できます。 PRSM は、自動的に、イベントおよびレポート データ用の追加容量を使用します。

                注意    


                ディスクは削除しないでください。 セカンダリ ディスクを削除すると、削除したディスクにないデータも含めて、/var/data 上のすべてのデータが失われます。 その結果、システムが正しく機能するために必要なデータが削除されることがあります。 誤ってディスクを削除した場合は、システム ソフトウェア パッケージをインストールしてシステムを修復する必要があります。 または、VMware スナップショットを復元できます。


                次の手順で、これらの変更を行う詳細なステップを示します。

                手順
                  ステップ 1   VMware vSphere Client を開いて、PRSM VM を選択します。
                  ステップ 2   ストレージを修正するには、VM の電源を切る必要があります。 VM の電源がオンされている場合は、次の手順を実行します。
                  1. 右クリックして [Open Console] を選択します。
                  2. admin ユーザ名とパスワードを使用して、PRSM CLI にログインします。
                  3. system shutdown コマンドを入力して、PRSM サービスをシャットダウンします。 シャットダウンが完了するまで待ちます。
                  4. vSphere Client のメイン ウィンドウで、PRSM VM を右クリックし、[Power] > [Power Off] を選択します。
                  ステップ 3   PRSM VM を右クリックし、[Edit Settings] を選択して [VM Properties] ダイアログボックスを開きます。
                  ステップ 4   既存のセカンダリ ディスクに容量を追加するには、次の手順を実行します。
                  1. ディスクを選択します。
                  2. [Independent] モードが選択されていることを確認します。 スナップショットがイネーブルになっているディスクのサイズは変更できません。 (このオプションを変更するには、VM の電源がオフされている必要があります)
                  3. [Provisioned Size] ディスク プロビジョニング フィールドを使用して、新しいサイズを指定します。
                  4. [OK] をクリックします。
                  ステップ 5   新しいセカンダリ ディスクを追加するには、次の手順を実行します。
                  1. [Add] をクリックして、New Device ウィザードを起動します。
                  2. ウィザードに従い、最低でも次のオプションを選択してドライブを追加します。
                    • [Device Type]:[Hard Disk] を選択します。
                    • [Disk Provisioning]([Create a Disk] ページ):シック プロビジョニングで最適なパフォーマンスを得るために、[Support Clustering Features Such As Fault Tolerance] オプションを選択することを推奨します。 ただし、シン プロビジョニングもサポートされています。
                    • [Virtual Device Node]([Advanced Options] ページ):空いている SCSI スロットを選択します。
                    • [Mode]([Advanced Options] ページ):ディスクがスナップショットに含まれないように、[Independent] オプションおよび [Persistent] オプションを選択します。
                  3. ウィザードの [Finish] をクリックして、ディスクを作成します。 VM を再起動したときに、新しいディスクがフォーマットされ、プロビジョニングされて、自動的にすべての既存のセカンダリ ディスクと組み合わされて使用されます。これによって、拡張されたイベントおよびレポート データ ストレージが提供されます。
                  ステップ 6   ストレージの変更が終了したら、[VM Properties] ダイアログボックスの [OK] をクリックして、変更を保存します。
                  ステップ 7   vSphere Client の PRSM VM のコンソール ウィンドウで、[Power On] ボタンをクリックして PRSM を再起動します。

                  再起動が完了して、ログイン プロンプトが表示されるまで待ちます。 再起動中にストレージの変更が認識され、変更をシステムに統合するために必要なアクションが PRSM によって実行されます。 システムが新しいディスクを初期化して、データ ボリュームを拡張しているというメッセージが表示されます。

                  ステップ 8   PRSM CLI にログインして、show diskusage コマンドを入力します。

                  /var/data ファイル システムのディスク領域メトリックで、変更を確認できます。

                  変更が認識されていない場合は、VM に関する vSphere 設定にディスク領域の変更が反映されていることを確認し、コンソールで system reload コマンドを使用してシステムをリブートし、再度チェックします。


                  アップグレード パッケージのインストール

                  ASA CXPRSM のアップグレード プロセスは同じです。 アップグレード パッケージのファイル拡張子は .pkg です。 システム ソフトウェア パッケージの名前は asacx-sys-*.pkgASA CX)または prsm-sys-*.pkgPRSM)で、識別されたプラットフォームで一意になります。


                  ヒント


                  ASA CX をアップグレードする間、デバイスはトラフィックを処理しません。 ネットワークへの影響は、トラフィックを ASA CX にリダイレクトするポリシーでフェールオープンとフェールクローズのどちらが設定されているかによって異なります。 フェールクローズの場合、アップグレード中に、すべてのトラフィックがドロップされます。フェールオープンの場合、アクセス ポリシーの要件を満たすすべてのトラフィックを親 ASA が通過させます。


                  はじめる前に

                  アップグレード パッケージをインストールする前に、データベースをバックアップする必要があります。

                  一般的なルールとして、PRSM マルチ デバイス モード サーバで実行するソフトウェアのバージョンは、このサーバで管理されるすべての ASA CX で実行されるバージョンと同じにする必要があります。

                  PRSM マルチ デバイス モードを使用している場合は、最初に管理されているすべての ASA CX をアップグレードしてから、次に PRSM サーバをアップグレードする必要があります。 通常は、すべてのシステムを同じバージョンまたはパッケージ番号にアップグレードする必要があります。 互換性のないバージョンを実行すると、ASA CXPRSM マルチ デバイス モードでバージョン ミスマッチ アラートが表示されます。 バージョン ミスマッチがある間、PRSM は変更を管理対象デバイスに展開できません。 そのため、短時間ですべてのシステムをアップグレードするよう計画してください。

                  PRSM サーバは、ASA CX が互換性のあるソフトウェア バージョンにアップグレードされたことを自動的に検出します。 このとき、バージョン ミスマッチ状態が解消され、変更をデバイスに展開できるようになります。

                  バージョン ミスマッチ状態の ASA CX を管理対象外にして、直接 ASA CX の設定を変更することもできますが、デバイスを管理対象外にするには、デバイスを PRSM デバイス インベントリから削除して、管理するときに再度 PRSM サーバを通じて戻す必要があります。 デバイスを管理対象外にすることは、最後の手段です。

                  手順
                    ステップ 1   管理インターフェイスからアクセスできるサーバに、アップグレード パッケージを配置します。 パッケージのダウンロードには、HTTP、HTTPS、または FTP を使用できます。
                    ステップ 2   コンソールまたは SSH セッションを使用して CLI にログインします。

                    admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                    ステップ 3   system upgrade コマンドにパッケージ ファイルの URL を指定して入力します。

                    例:

                    次の例では、upgrades.example.com という Web サーバの prsm-sys-9.0.2.pkg というシステム アップグレードが適用されます。 この例では、Web サーバでの認証が要求されません。サーバで認証が要求される場合は、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。

                    prsm-vm> system upgrade http://upgrades.example.com/packages/prsm-sys-9.0.2.pkg
                    Verifying     
                    Downloading     
                    Extracting     
                    Package Detail
                            Description:                    Cisco Prime Security Manager 9.0.2 System Upgrade
                            Requires reboot:                Yes 
                    
                    NOTE: You must upgrade all ASA CX managed by this PRSM server to same version 
                    or you will not be able to deploy configurations to those devices.
                    
                    Do you want to continue with upgrade? [n]: y
                    Warning: Please do not interrupt the process or turn off the system.
                    Doing so might leave system in unusable state.
                    
                    Upgrading     
                    Starting upgrade process ...     
                    Extracting the upgrade image     
                    Updating the system and network configuration     
                    
                    Reboot is required to complete the upgrade. Press Enter to reboot the system.
                    (press Enter)
                    
                    Broadcast message from root (pts/0) (Tue May 15 22:50:17 2012):
                    
                    The system is going down for reboot NOW!
                    
                    
                    ステップ 4   システムのリブート後に、再度 CLI にログインします。
                    ステップ 5   次のいずれかを実行して、インストールを確認します。
                    1. CLI で、show services status コマンドを入力し、すべてのプロセスが稼働していることを確認します。
                    2. Web インターフェイスにログインして、アクセス可能であることを確認します。
                    3. Event Viewer などの機能を使用して、システムが機能していることを確認します。

                    次の作業

                    必要な場合、アップグレードをアンインストールして、前にインストールしたパッケージがあれば、そのパッケージに戻すことができます。 前のパッケージに戻すには、CLI コンソールにログインして、system revert コマンドを使用します。

                    ASA CX イメージの再作成

                    何らかの理由で ASA CX のイメージの再作成が必要になった場合は、ブート イメージと ASA CX システム ソフトウェア パッケージの両方をこの順序でインストールする必要があります。 システムが機能するには、両方のパッケージをインストールする必要があります。 通常の状況では、アップグレード パッケージをインストールするために、システムのイメージを再作成する必要はありません。

                    ブート イメージをインストールするには、ASA CX SSP コンソール ポートにログインして、ASA CX SSP の Management-0 ポートからイメージを TFTP ブートする必要があります。 Management-0 ポートは SSP の最初のスロットにあるため、Management1/0 とも呼ばれますが、ROMmon では Management-0 または Management0/1 として認識されます。

                    TFTP ブートを行うには、次の手順を実行します。
                    • ソフトウェア イメージを、ASA CX SSP の Management1/0 インターフェイスからアクセス可能な TFTP サーバに配置する。
                    • Management1/0 をネットワークに接続する。 このインターフェイスを使用して、ASA CX ブート イメージを TFTP ブートする必要があります。
                    • ROMmon 変数を設定する。 ROMmon 変数を設定するには、Esc キーを押して自動ブート プロセスを中断します。

                    ブート イメージがインストールされたら、ASA CX システム ソフトウェア パッケージをインストールします。 ASA CX からアクセス可能な HTTP サーバに、パッケージを配置する必要があります。

                    次の手順で、ブート イメージをインストールしてから ASA CX システム ソフトウェア パッケージをインストールする方法を説明します。

                    手順
                      ステップ 1   コンソール ポートに接続します。 ASA 製品に付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。 コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。
                      ステップ 2   system reload コマンドを入力して、システムをリブートします。

                      例:
                      asacx-host > system reload 
                      Are you sure you want to reload the system? [N]: y
                      
                      Broadcast message from root (pts/0) (Mon May 14 23:07:55 2012):
                      
                      The system is going down for reboot NOW!
                      
                      
                      ステップ 3   ROMmon 変数を設定するため、Esc キーを押してブート プロセスを中断します。
                      少なくとも、次の変数を設定する必要があります。
                      • ADDRESS:ASA CX SSP の IP アドレス。
                      • SERVER:TFTP サーバの IP アドレス。
                      • GATEWAY:TFTP サーバのゲートウェイ アドレス。 TFTP サーバが Management1/0 に直接接続されている場合は、TFTP サーバの IP アドレスを使用します。
                      • IMAGE:TFTP サーバ上の ASA CX ブート イメージのパスとイメージ名。 たとえば、TFTP サーバの /tftpboot/asacsimages/filename.img にファイルを置いた場合、IMAGE の値は asacximages/filename.img となります。


                      例:

                      次に、変数の設定例を示します。 同期コマンドを入力する前に set コマンドを入力して ROMmon 変数を表示し、正しいかどうかを確認できます。

                      (注)     

                      これらのパラメータは、ここに示すように、すべて大文字で入力します。 この構文は、小文字を使用すると機能しません。 イメージ ファイルの完全な名前を含めます。

                      rommon #1> ADDRESS=172.20.12.60 
                      rommon #2> SERVER=172.20.12.51 
                      rommon #3> GATEWAY=172.20.12.2 
                      rommon #4> IMAGE=asacximages/asacx-boot.img 
                      rommon #5> sync 
                      
                      Updating NVRAM Parameters...
                      
                      
                      ステップ 4   TFTP ブートを開始します。

                      例:
                      rommon #6> tftp 
                      

                      ブート プロセスには数分かかることがあります。

                      ステップ 5   admin としてログインします(デフォルトのパスワードは Admin123)。
                      ステップ 6   必要なパーティションを作成します。

                      例:
                      asacx-boot> partition 
                      ....
                      Partition Successfully Completed
                      
                      asacx-boot>
                      
                      
                      ステップ 7   setup コマンドを使用して、システムを設定します。

                      例:
                      asacx-boot> setup 
                      
                      
                      セットアップ ウィザードを起動する前に、次の値に対する正しい入力内容を必ず確定してください(デフォルトのホスト名は asacx です)。
                      • システムのホスト名。 ホスト名は 65 文字以内で、文字、数字、ハイフンのみが使用できます。 先頭と末尾の文字は英字または数字にする必要があり、ホスト名をすべて数字にすることはできません。
                      • 管理 IP アドレスに使用するアドレス指定のタイプ。 スタティック IPv4、IPv4 用 DHCP、スタティック IPv6、IPv6 ステートレス自動設定のいずれかのアドレス タイプを設定できます。 IPv4 と IPv6 の両方のアドレス指定の設定が可能です。 次の手順を実行します。
                        • IPv4 スタティック アドレス:IPv4 管理 IP アドレス、サブネット マスク、ゲートウェイを指定します。
                        • DHCP:管理ネットワークで応答する DHCP サーバが必要です。
                          (注)     

                          DHCP は推奨されません。 DHCP がリースの満了やその他の理由により割り当てたアドレスを変更した場合、システムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。

                        • IPv6 スタティック アドレス:IPv6 管理 IP アドレス、プレフィックス長、ゲートウェイを指定します。
                        • IPv6 ステートレス自動設定:IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。 IPv6 ルーティング サービスがリンクで使用できない場合、リンク ローカルな IPv6 アドレスのみが取得され、そのデバイスが属すネットワーク リンクの外部にアクセスできません。
                          (注)     

                          IPv6 ステートレス自動設定では、ネットワーク プレフィックスおよびデバイス ID に基づいてグローバル アドレスが割り当てられます。 このアドレスが変化することはほとんどなく、変化するとシステムは正常に機能しなくなります。 代わりにスタティック アドレスの使用を推奨します。

                      • DHCP を使用しない場合は、プライマリおよび任意でセカンダリの IP アドレス(IPv4 または IPv6)、DNS サーバ、ローカル ドメイン名。 IPv4 と IPv6 の両方の管理アドレスを設定すると、このいずれか、または両方の形式で DNS アドレスを入力できます。この設定を行わない場合は、管理アドレスの形式に合わせる必要があります。 検索ドメインのカンマ区切りリストを入力することもできます。検索ドメインは、名前から IP アドレスへの解決の中で、完全修飾ではないホスト名に順番に付加されます。 たとえば、検索ドメイン リストにより、www.example.com などの完全修飾名ではなく、www への ping が可能になります。
                      • システム時刻に Network Time Protocol(NTP)を設定するかどうか、および NTP を使用する場合は NTP サーバの名前または IPv4 アドレス。 すべてのシステムで同じ NTP サーバを使用することを推奨します。

                      ウィザードが完了すると、設定のサマリーが表示されます。 設定を保存するには、Y と入力します。

                      ステップ 8   system install コマンドを使用して、ASA CX システム ソフトウェア パッケージをインストールします。 まず、ASA CX がアクセスできる HTTP/HTTPS/FTP サーバにパッケージがあることを確認する必要があります。

                      例:
                      たとえば、次のコマンドは、システムを asacx-sys-9.0.2.pkg パッケージでアップグレードします。 Y を入力して、アップグレードをインストールします。
                      asacx-boot> system install https://upgrades.example.com/packages/asacx-sys-9.0.2.pkg
                      You need to authenticate with the server to download the package.
                        Username: username
                        Password: (typing not displayed)
                      Verifying     
                      Downloading     
                      Extracting     
                      Package Detail
                              Description:                    Cisco ASA CX System Upgrade
                              Requires reboot:                Yes 
                      
                      Do you want to continue with upgrade? [n]: Y
                      Warning: Please do not interrupt the process or turn off the system.
                      Doing so might leave system in unusable state.
                      
                      Upgrading     
                      Stopping all the services ...     
                      Starting upgrade process ...        
                      
                      Reboot is required to complete the upgrade. Press Enter to reboot the system.
                      
                      ステップ 9   Enter キーを押してシステムをリブートします。

                      リブート プロセスで、次のブート オプションが表示されます。 オプション 0 (Cisco ASA CX Image)は、自動的にブートするオプションで、これを選択します。 他のオプションは、ディザスタ リカバリ用です。 デフォルトのオプション 0 で自動的にシステムをブートするか、手動でオプション 0 を選択して Enter キーを押します。

                      -------------------------------------------------------------------
                      0: Cisco ASA CX Image
                      1: Cisco ASA CX Boot Image
                      -------------------------------------------------------------------
                      
                      
                      ステップ 10   admin ユーザとして、パスワード Admin123 を使用して、ログインします。
                      ステップ 11   NTP を使用しない場合は、時刻を設定します。

                      show time コマンドを使用すると、現在の日時とシステムのタイムゾーンを確認できます。 デフォルトでは UTC タイムゾーンが使用されます。

                      時間設定を変更するには、次のコマンドを使用できます。
                      • config timezone で、タイムゾーンを変更します。
                      • config time で、ローカルの日時を設定します。
                      ステップ 12   config passwd コマンドを使用して、admin ユーザのパスワードを変更します。 新しいパスワードを入力するように求められます。
                      ステップ 13   これでデバイスの使用準備が完了しました。

                      ブラウザで、https://server_address を使用して、Web インターフェイスを開きます。

                      exit コマンドを入力すると、CLI からログアウトできます。

                      (注)     

                      CLI で使用可能な他のコマンドについては、help または ? を入力してください。


                      ASA CX ポートと PRSM ポートを開く

                      ASA CX および PRSM サーバの管理インターフェイスのファイアウォールでは、着信接続に対してほとんどすべてのポートが閉じられています。 次のリストに、開いているポートと、その用途を示します。

                      ASA CX
                      • ICMP エコー要求(ping):icmp/8
                      • SSH:tcp/22
                      • HTTPS:tcp/443
                      • AD エージェント通信:udp/3799
                      PRSM サーバ
                      • ICMP エコー要求(ping):icmp/8
                      • SSH:tcp/22
                      • HTTPS:tcp/443
                      • ASA CX イベント受信:tcp/4466
                      • syslog:udp/514
                      • AD エージェント通信:udp/3799

                      基本的なトラブルシューティング

                      ここでは、基本的なシステムのトラブルシューティングのヒントを示します。 通常は、特定のポリシーおよび機能を説明するトピックの次に、それに関連するトラブルシューティングがあります。

                      システムの接続の確認

                      ネットワークでシステムと他のホストとの接続を確認するツールは、PRSMASA CX で同じです。 物理メディアが正常である(ワイヤに断線がなく、ネットワーク ポートにしっかりと接続されている)ことを前提として、次の手順で接続を確認できるコマンドを説明します。

                      ASA CX では、管理インターフェイスとホストとの間で接続がチェックされます。 管理ネットワークには、システムとリモート ホスト(PRSM サーバ、アップデート サーバなど)との間のネットワークへのゲートウェイが必要です。

                      手順
                        ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                        admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                        ステップ 2   次のコマンドを任意に組み合わせて入力し、接続を確認します。
                        • ping:ホストが単純な ICMP エコー要求に応答するかどうかを確認します。 到達可能なはずのホストからの ICMP 応答が、ホストまたは仲介ルータで阻止されることがあるため注意してください。 たとえば、ping 10.100.10.1 または ping www.example.com と入力します。 ping を停止するには、Ctrl+C キーを押します。
                        • traceroute:システムとホストの間の経路を確認します。 システムとホストの間のホップ数を確認できます。 ping と同様、到達可能なはずのホストからの ICMP 応答が、仲介ルータで阻止されることがあるため注意してください。 たとえば、traceroute 10.100.10.1 または traceroute www.example.com と入力します。 応答として最初に *(アスタリスク)が表示された場合は、ホップが応答していないため、Ctrl+C キーを押して traceroute を停止します。 ホップに問題があるか、ノードが ICMP エコー要求に応答するように設定されていません。
                        • nslookup:設定した DNS サーバで、DNS ホスト名を IP アドレスに解決できるかどうかを確認します。 DNS 設定を確認するには、show dns コマンドを使用します。
                        • show route:ルーティング テーブルを確認します。 正しいゲートウェイが指定されたデフォルト ルート(0.0.0.0)が必要です。 パケットがサブネットから送出されていないようであれば、ゲートウェイに対して ping を試行します。 ゲートウェイ アドレスが正しくない場合は、setup コマンドを実行し、プロンプトに対して正しいゲートウェイを入力します。
                        • show interfaces:受信(RX)および送信(TX)パケット数が増えているかどうかを確認します。 管理 IP アドレスは、eth0 インターフェイスに対して定義されている必要があり、ping、traceroute、またはその他のネットワーク アクティビティを行うと、パケット数が増えます。 IP アドレスまたはマスクが正しくない場合は、setup コマンドを実行し、プロンプトに対して正しい値を入力します。

                        パケットのキャプチャ

                        ASA CX では、次の方法で、デバイスを通過するトラフィックのパケットをキャプチャできます。
                        • アクセス ポリシー:個別のアクセス ポリシーの [Capture Packets] で [On] を選択し、ポリシーに一致するトラフィック フローのパケットを選択的にキャプチャできます。 このオプションを選択するには、アクセス ポリシーを編集します。 次の推奨事項および制限事項を考慮してください。
                          • [Capture Packets] オプションは、レイヤ 3 またはレイヤ 4(L3/L4)基準のみを使用するか、デフォルトの [Any] 基準を使用するアクセス ポリシーで機能します。 その他の一致基準を使用すると、パケットはキャプチャされません。 L3/L4 基準は、ネットワーク オブジェクトおよびサービス オブジェクトです。
                          • ポリシー リストを表示したときに、ポリシーの右側のアイコンで、そのポリシーでパケットのキャプチャがイネーブルになっているかどうかが示されます。 アイコンの上にマウスを置くと、各アイコンの意味が表示されます。
                          • パケット キャプチャ ファイルは、ポリシーを編集して [Capture Packets] で [Off] を選択するまで作成されません。 キャプチャ ファイルのファイル名にはポリシー名が使用され、拡張子 .pcap が付きます。 古いキャプチャ ファイルが存在する場合は、上書きされます。
                        • グローバル設定:[Dropped Packets] の [Capture] で [On] を選択して、L3/L4 一致基準のみを使用する拒否アクセス ポリシーに一致するパケットと、形式が不正や、現在の TCP 状態に準拠していない(ウィンドウの外の TCP リセットなど)といった理由により、L3/L4 チェックでドロップされたパケットをキャプチャできます。 不正な形式または準拠していないパケットは、トラフィックが一致したアクセス ポリシーとは無関係にドロップされます。 パケット キャプチャ ファイルは、[Dropped Packets] の [Capture] で [Off] を選択するまで作成されません。 キャプチャ ファイルは aspdrop.pcap です。 古いキャプチャ ファイルが存在する場合は、上書きされます。

                        (注)  


                        管理ポートのトラフィックはキャプチャできません。 パケットのキャプチャは、ASA からリダイレクトされたトラフィックでのみ使用できます。


                        次の手順で、両方のタイプについてパケットのキャプチャを設定し、キャプチャが含まれるファイルをアップロードする方法を説明します。

                        手順
                          ステップ 1   [Device] > [Packet Capture] を選択して、次のグローバル設定を指定します。
                          • [Circular Buffer]:[On]/[Off]:パケットのキャプチャに循環バッファを使用するかどうか。 [On] を選択した場合、最大バッファ サイズに到達すると、キャプチャによって最も古いパケットから上書きされます。
                          • [Maximum Buffer Size]:パケットを保存するためにキャプチャで使用できるメモリの最大容量を入力します。 デフォルトは 1 MB です。 単位として KB または MB を選択できます。固定された有効サイズ範囲はありません。

                          変更した場合は、[Save] をクリックします。

                          ステップ 2   ドロップされたパケットのグローバル キャプチャを設定するには、次の手順を実行します。
                          1. [Device] > [Packet Capture] を選択します。
                          2. [Dropped Packets] セクションの [Capture] で [On] を選択します。
                          3. [Save] をクリックして変更を保存します。
                          4. メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページの [Commit] ボタンをクリックして、変更を保存します。
                          5. パケットをキャプチャするネットワーク アクティビティを実行します。
                          6. パケット キャプチャの設定を再度編集して、今度は [Capture] で [Off] を選択します。 変更を保存します。
                          7. 変更を保存します。

                            パケット キャプチャ ファイルがディスクに書き込まれます。

                          ステップ 3   個々のアクセス ポリシーにパケット キャプチャを設定するには、次の手順を実行します。
                          1. [Policies] > [Policies] を選択します。
                          2. アクセス ポリシーの上にマウスを置き、[Edit Policy] をクリックします。
                          3. [Capture Packets] で [On] を選択します。
                          4. [Save Policy] をクリックします。

                            ポリシーが保存されると、ポリシー リストに戻ります。 ポリシーの右側にあるパケット キャプチャ アイコンを確認してください。

                          5. メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページの [Commit] ボタンをクリックして、変更を保存します。
                          6. パケットをキャプチャするネットワーク アクティビティを実行します。
                          7. ポリシーを再度編集して、今度は [Capture Packets] で [Off] を選択します。 変更を保存します。
                          8. 変更を保存します。

                            パケット キャプチャ ファイルがディスクに書き込まれます。

                          ステップ 4   パケット キャプチャをテストする準備ができるか、分析のために Cisco Technical Assistance Center に提供する準備ができたら、CLI にログインし、support diagnostic コマンドを使用してパケット キャプチャ ファイルを選択して、サーバにアップロードします。

                          例:

                          次の例は、ポリシーのパケット キャプチャをアップロードする方法を示しています。 パケット キャプチャは、ファイル名に日時が含まれた ZIP ファイルに保存されます。 追加のキャプチャをアップロードするには、単純に、ファイルを選択するときに複数のファイルを選択します。すべてを 1 つのアップロード ファイルにまとめることができます。 ファイル名は大文字と小文字が区別されます。ファイルを選択するときに、必要な場合は大文字を入力してください。

                          asacx> support diagnostic
                          
                          =======Diagnostic=======
                          
                           1. Create default diagnostic archive
                           2. Manually create diagnostic archive
                          
                          Please enter your choice (Ctrl+C to exit): 2
                          
                          === Manual Diagnostic ===
                          
                           1. Add files to package
                           2. View files in package
                           3. Upload package
                          
                          Please enter your choice (Ctrl+C to exit): 1
                          
                          === Add files to package | Manual Diagnostic ===
                          
                           1. Logs
                           2. Core dumps
                           3. Packet captures
                           4. Reporting data
                           5. Eventing data
                           6. Update data
                           b. Back to main menu
                          
                          Please enter your choice (Ctrl+C to exit): 3
                          
                          ============================
                          Directory: /var/local | 514 KB
                          -----------files------------
                          2012-03-20 18:37:28 | 524134     | Allow All.pcap
                          2012-03-20 18:52:11 | 1922       | aspdrop.pcap
                          
                          ([b] to go back or [m] for the menu or [s] to select files to add)
                          Type a sub-dir name to see its contents: s
                          
                          Type the partial name of the file to add ([*] for all, [<] to cancel)
                          > allow
                          No file named 'allow'
                          
                          Type the partial name of the file to add ([*] for all, [<] to cancel)
                          > Allow
                          Allow All.pcap
                          Are you sure you want to add these files? (y/n)  [Y]: y
                          === Package Contents ===
                          [Added] Allow All.pcap
                          ========================
                          
                          ============================
                          Directory: /var/local
                          -----------files------------
                          2012-03-20 18:37:28 | 524134     | Allow All.pcap
                          2012-03-20 18:52:11 | 1922       | aspdrop.pcap
                          
                          ([b] to go back or [m] for the menu or [s] to select files to add)
                          Type a sub-dir name to see its contents: m
                          
                          === Manual Diagnostic ===
                          
                           1. Add files to package
                           2. View files in package
                           3. Upload package
                          
                          Please enter your choice (Ctrl+C to exit): 3
                          
                          Creating archive     
                          
                          Enter upload url (FTP or TFTP) or [Ctrl+C] to exit
                          Example: ftp://192.168.8.1/uploads
                          > ftp://10.69.43.239/diagnostics   
                          Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
                          You need to authenticate with the server to upload/download file
                               
                          Username: ftpusername
                          Password: (typing not displayed)
                          Uploading file cx_asacx_03_20_2012_19_12_15.zip [size: 524280]
                          Uploading the file to /diagnostics on the remote server.
                          .... 
                          Successfully Uploaded ftp://10.69.43.239/diagnostics/cx_asacx_03_20_2012_19_12_15.zip
                               
                          asacx>
                          
                          

                          システム プロセスの管理

                          ASA CXCisco Prime Security Manager が使用するシステム プロセスは、一部は同じですが、一部は異なっています。 ただし、同じ手法を使用して、システム プロセスのステータスを確認し、必要な場合は停止および再起動できます。 これらのプロセスの管理は、システムで予期しない動作が発生した場合にのみ必要です。この場合は、プロセス ステータスを確認すると、解決が必要なシステム レベルの問題かどうかを識別するために役立ちます。

                          次の手順で、ステータスを確認し、必要であればプロセスを再起動する方法を説明します。


                          (注)  


                          ASA CX のトラブルシューティング時は、config advanced autorestart off コマンドを使用して、プロセスの自動再起動をディセーブルにすることもできます。


                          手順
                            ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                            admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                            ステップ 2   show services status コマンドを入力して、現在のシステム プロセスのステータスを表示します。

                            例:

                            次の例では、PRSM のステータスが表示されます。 プロセスが正しく機能していれば、すべてのステータスが True になります。 ステータスが False の場合は、システムが回復するまでしばらく待ち、ステータスを再確認します。

                            hostname> show services status
                            ============================================================
                            Process           | PID   | Enabled   | Up    | Up Time   
                            ============================================================
                            HTTP Server       | 6470  | True      | True  | 02:39:31  
                            AD Interface      | 6611  | True      | True  | 02:39:21  
                            Message Nameserver| 6491  | True      | True  | 02:39:31  
                            Management Plane  | 6520  | True      | True  | 02:39:28  
                            Updater           | 6538  | True      | True  | 02:39:24  
                            Event Server      | 6535  | True      | True  | 02:39:24  
                            ============================================================
                            hostname>
                            
                            
                            ステップ 3   プロセス ステータスが False のままの場合は、すべてのプロセスを再起動します。

                            例:次の例は、プロセスを停止してから再起動する方法を示しています。
                            hostname> services stop
                            Are you sure you want to stop all services? [N]: y
                            ........................................
                            hostname> show services status
                            Process Manager Not Running
                            hostname> services start
                            Process Manager starting 
                            hostname> show services status
                            ============================================================
                            Process           | PID   | Enabled   | Up    | Up Time   
                            ============================================================
                            HTTP Server       | 7373  | True      | True  | 00:00:16  
                            AD Interface      | 7573  | True      | True  | 00:00:05  
                            Message Nameserver| 7394  | True      | True  | 00:00:16  
                            Management Plane  | 7442  | True      | True  | 00:00:13  
                            Updater           | 7491  | True      | True  | 00:00:09  
                            Event Server      | 7483  | True      | True  | 00:00:09  
                            ============================================================
                            hostname>
                            
                            

                            次の作業

                            プロセスを再起動しても問題が解決しない場合は、Cisco Technical Assistance Center(TAC)に連絡する前に、次のコマンドを試してください。

                            • system reload で、システムをブート。
                            • system shutdown で、システムを完全にシャットダウン。 デバイスまたは仮想マシン(VM)を手動で再起動する必要があります。

                            Cisco Technical Assistance Center の診断ファイルの作成

                            問題レポートを提出した際に、Cisco Technical Assistance Center(TAC)の担当者により、システム ログ情報の提出を求められることがあります。 この情報は、問題の診断に役立ちます。 診断ファイルの提出は、求められた場合だけでかまいません。

                            診断ファイルを作成する前に、報告する問題の原因となった処理を実行してください。 必要な場合、さまざまなシステム コンポーネントの最小ログ レベルを変更して、診断情報の詳細レベルを制御できます。

                            次の手順では、ログ レベルを設定して診断ファイルをダウンロードする方法について説明します。

                            手順
                              ステップ 1   必要な場合、システム コンポーネントのログ レベルを変更して、診断しようとする問題を引き起こしたアクティビティを再現します。
                              1. 次のいずれかを実行します。
                                • ASA CXシングル デバイス モード)、PRSM[Administration] > [PRSM Logs] を選択します。
                                • PRSM マルチ デバイス モードで管理される ASA CXASA CX 管理対象モード):[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。
                              2. ロギングの設定プロパティ(ASA CX、PRSM)の説明に従って、ログ レベルを調整します。
                              3. 管理対象モードの ASA CX のログ レベルを変更した場合は、この変更を保存して、デバイスがアップデートされて新しいレベルが適用されたことを導入ステータスで確認します。
                              4. ログ情報を収集しようとしている問題を引き起こした、ネットワーク アクティビティまたはその他のアクションを再現します。
                              ステップ 2   ログ ファイルをダウンロードします。
                              • ASA CXシングル デバイス モード)、PRSM:[Logging Configuration] ページで [Download Logs] をクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。
                              • PRSM マルチ デバイス モードで管理される ASA CXASA CX 管理対象モード):次のいずれかを実行します。
                                • PRSM マルチ デバイス モードで)。[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。[Download Logs] をクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。
                                • ブラウザを使用して ASA CX にログインし、ホームページに表示されたログのダウンロード用リンクをクリックします。

                              通常、ファイルを開くか、ワークステーションに保存するかを選択するプロンプトが表示されますが、この動作は、使用しているブラウザや、ファイルのオープンまたは保存の処理がどのように設定されているかによって異なります。

                              (注)     

                              ログをダウンロードするときに、自動的に show tech-support コマンドが実行され、レポートが生成されてログに含まれます。 レポートの名前は、tech_support_report.txt です。


                              ロギングの設定プロパティ(ASA CXPRSM

                              ロギングの設定プロパティを使用して、システム ロギングのログ レベルを設定します。 これらのレベルは、設定中のプラットフォーム(ASA CX デバイスまたは PRSM 管理プラットフォーム)に適用されます。 ロギング設定を使用して、解決しようとしている問題について Cisco Technical Assistance Center(TAC)の担当者がトラブルシューティングを行う際に役立つ診断ファイルの作成中に生成されるメッセージを制御します。

                              さまざまなシステム コンポーネントで、最小ログ レベルを変更できます。 生成されるメッセージが多いものから少ないものの順に、次のログ レベルから選択できます。 あるレベルを選択すると、そのレベルと、それよりも低いレベルのメッセージが生成されます。
                              • TRACE:デバッグ用のシステム トレース情報。
                              • DEBUG:デバッグ用の低レベル システム情報。
                              • INFO:全般的なシステム アクティビティに関する情報メッセージ。 これが、デフォルトのログ レベルです。
                              • WARNING:現在はシステムの運用に影響を与えていない、小さな問題を説明した情報。 これらの問題が、大きな問題の原因になることがあります。
                              • ERROR:システムの運用に悪影響を及ぼす可能性がある、大きな問題を説明した情報。
                              • CRITICAL:システム全体に障害を引き起こす可能性がある、重大な問題を説明した情報。
                              次のコンポーネントで、ログ レベルを制御できます。
                              • マネジメント プレーン:(ASA CXPRSM)。Web インターフェイスなど、ユーザに表示される機能のコンポーネント。
                              • イベンティング:(ASA CXPRSM)。デバイスからイベントを収集して Event Viewer に表示するために使用されるイベント サーバ。
                              • HTTP インスペクション エンジン:(ASA CX のみ)。HTTP パケットについてより詳細な検査を実行するセキュリティ アプリケーション スキャナ エンジン。
                              • データ プレーン:(ASA CX のみ)。データ トラフィックを処理してポリシーを適用するコンポーネント。
                              • TLS 復号化エンジン:(ASA CX のみ)。TLS/SSL トラフィック フローを復号化するエンジン。
                              ナビゲーション パス
                              • ASA CXシングル デバイス モード)、PRSM[Administration] > [PRSM Logs] を選択します。
                              • PRSM マルチ デバイス モードで管理される ASA CXASA CX 管理対象モード):[Device Configuration] ページを開くには、[Device] > [Devices] を選択してデバイスにマウスを合わせ、[Device Configuration] をクリックします。
                              ログのダウンロード

                              [Logging Configuration] ページで [Download Logs] リンクをクリックして、すべてのシステム ログが含まれている zip ファイルをダウンロードします。 zip ファイルの tacsupport_report.txt という名前のファイルには、show tacsupport コマンドの出力が含まれています。


                              (注)  


                              PRSM マルチ デバイス モードで管理されている ASA CX のログをダウンロードするには、デバイスの [Device Configuration] ページで [Download Logs] リンクをクリックします。 ブラウザを使用して ASA CX にログインし、ホームページに表示されるログのダウンロード用リンクをクリックすることもできます。


                              システムのメンテナンス

                              ここでは、基本的なシステムのメンテナンスについて説明します。

                              データベースのバックアップと復元

                              設定データベースはバックアップを作成したり、必要に応じて復元できます。 デバイス構成およびポリシー設定に大きな変更を加える前に、バックアップを作成することを検討してください。

                              データベースのバックアップおよび復元プロセスは、PRSM マルチ デバイス モードASA CXPRSM シングル デバイス モード)で同じです。

                              バックアップおよび復元を実行する前に、次の点について検討してください。
                              • 通常、データベースのバックアップを復元できるのは、システムで現在稼働しているものと同じソフトウェアのバージョンからバックアップされた場合のみです。 ただし、以前のバックアップからのデータベースが新しいソフトウェアのバージョンと互換性がある場合もあります。
                              • PRSM マルチ デバイス モード サーバにバックアップを復元したときに、復元されたデータベースに定義されている管理対象デバイスのポリシーと設定が、そのデバイスで現在稼働しているポリシーおよび設定と異なっていることがあります。 つまり、バックアップが行われた時刻と、現在の時刻との間で、デバイスに変更が適用された可能性があります。 この場合、バージョン ミスマッチ アラートが PRSM に表示されます。これは復元された PRSM サーバに最初にログインしたときに表示されます。 バージョン ミスマッチ アラートが表示されたデバイスごとに、ASA CX の管理対象モードのホームページにログインして、再同期リンクをクリックすることを推奨します。 現在稼働中の設定を保存する場合は、PRSM インベントリから親の ASA を削除して再検出してください。

                              注意    


                              バックアップ中に、パスワードをクリアするかどうか尋ねられます。 バックアップを Cisco Technical Assistance Center などと共有する場合にのみ、パスワードをクリアしてください。 パスワードをクリアしたバックアップを復元した場合、すべてのデバイスを PRSM マルチ デバイス モード インベントリから削除してから追加し、パスワードをリセットする必要があります。 すべてのモードで、ローカル ユーザ(admin ユーザ以外)、AD/LDAP ディレクトリ、AD エージェント、シグニチャ アップデータ HTTP プロキシ ユーザ名のすべてのパスワードを定義する必要があります。 admin ユーザとしてログインできるようになるのは、パスワードをクリアしたデータベースを復元した後です。


                              次の手順で、バックアップと復元の両方のステップを示します。

                              手順
                                ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                                admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                                ステップ 2   config backup コマンドを使用して、データベースのバックアップを作成します。

                                例:

                                次の例では、FTP サーバの backups フォルダにデータベースをバックアップします。 バックアップ ファイルの名前を指定しないことに注意してください。生成されるファイル名に、システム タイプ、ホスト名、month_day_year_hour_minutes_seconds 形式の日時情報が含まれます(24 時間形式)。

                                hostname> config backup ftp://10.69.43.239/backups
                                Starting the database backup process....
                                Please note that eventing/reporting data will not be backed up
                                If you are creating a backup to share with others for system Troubleshooting, 
                                you can clear device passwords to maintain security.
                                A backup with cleared passwords is not suitable for system recovery.
                                Do you want to clear the passwords in the backup database(y/n)?[n]:n
                                Uploading file prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg to 
                                ftp://10.69.43.239/backups
                                You need to authenticate with the server to upload/download file
                                Username: ftpusername
                                Password: (typing not displayed)
                                Backup of the database is completed.
                                hostname>
                                
                                ステップ 3   config restore コマンドを使用して、バックアップを復元します。

                                例:

                                次の例では、指定したバックアップ ファイルを復元します。 ファイル名を URL に含める必要があります。 バージョン ミスマッチ アラートの確認に関する注は、PRSM マルチ デバイス モードにのみ適用されます。

                                hostname> config restore ftp://10.69.43.239/backups/
                                prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
                                Downloading: ftp://10.69.43.239/backups/prsm_prsm-vm_1.0.0_04_02_2012_16_25_30.pkg
                                You need to authenticate with the server to upload/download file
                                Username: ftpusername
                                Password: (typing not displayed)
                                Starting the database restore process....
                                Please note that existing eventing and reporting data will not be restored.
                                NOTE: The restore process removes the present configuration replacing it with 
                                the backed up configuration.
                                Do you want to proceed with restore?(y/n)?[n]: y
                                Stopping Cisco Services for restoring Database
                                
                                The database has been restored to a backup version.
                                NOTE: Log into PRSM and check the inventory for Version Mismatch alerts. 
                                These alerts indicate that a managed ASA CX is running a different 
                                configuration than the one defined in the PRSM database. You must 
                                correct the mismatch. Either log into each ASA CX home page and 
                                click the resynchronize link to revert to the old configuration, or 
                                remove the device from the inventory and rediscover it to preserve 
                                the current configuration.
                                
                                Restarting Cisco Services after restoring Database
                                .......................................................
                                hostname>
                                

                                PRSM VM のバックアップと復元


                                (注)  


                                VM のバックアップと復元は、PRSM マルチ デバイス モードでのみ使用できます。 この手順は、個別の ASA CX システムのバックアップおよび復元には使用できません。


                                データベースと構成の設定を含めて PRSM マルチ デバイス モード仮想マシン(VM)のバックアップを作成するには、VMware スナップショット機能を使用します。 config backup コマンドを使用すると、VM 内の設定データベースのバックアップを作成するだけでなく、スナップショットを作成できます。 スナップショットとデータベースのバックアップの両方を作成する場合は、問題の発生時にシステムを回復するための最適な方法を選択できます。

                                次の手順では、スナップショット作成(バックアップ)と復元の全手順を説明します。 ただし、必要なプロセスおよび特定のステップを理解するには、スナップショットについて VMware のマニュアルを参照してください。 すべてのアクションは、VMware vSphere Client で実行します。

                                手順
                                  ステップ 1   プライマリ ディスクが、スナップショットに含まれる唯一のディスクになることを確認してください。

                                  すべてのセカンダリ ディスクで、[Independent-Persistent] モードが選択されている必要があります(PRSM VM を右クリックし、[Edit Settings] を選択してから各セカンダリ ディスクを選択し、このオプションが選択されているかどうかを確認します)。 この選択によって、イベントおよびレポート データが含まれているディスクがスナップショットに含まれないようにして、バックアップが不必要に大きくなることを防ぎます。 スナップショットのポイントは、必要なときに既知の正常な状態に戻せるように、データベースおよびその他の構成設定をバックアップすることです。

                                  1 台または複数のセカンダリ ディスクでこのオプションが選択されていない場合は、コンソールを開き、PRSM CLI にログインして system shutdown コマンドを入力し、システムをシャットダウンします。 次に、vSphere Client で VM の電源を切ります。 次に、[Independent-Persistent] モード オプションを選択して VM の電源を投入します。 ディスク モード オプションを変更する場合は、VMware Snapshot Manager を使用して、これまでに作成した既存のスナップショットをすべて削除する必要もあります。

                                  ステップ 2   スナップショットを作成するには、PRSM VM を右クリックし、[Snapshot] > [Take Snapshot] を選択します。

                                  名前と説明を入力するプロンプトと、追加のオプションを選択するプロンプトが表示されます。 最良のスナップショット品質を得るには、[Snapshot the Virtual Machine’s Memory] オプションと [Quiesce Guest File System] オプションの両方を選択する必要があります。

                                  ステップ 3   バックアップ時の状態にシステムを復元するには、Snapshot Manager を開き、目的のスナップショットを選択して、[Go To] をクリックします。

                                  選択したスナップショットに含まれるシステム状態に戻すことを確認するプロンプトが表示されます。


                                  admin パスワードのリセット

                                  admin ユーザのパスワードを忘れた場合は、リセットできます。 次の手順で、このプロセスについて説明します。 この手順を使用するには、次の点に注意してください。

                                  • コンソールを使用する必要があります。 SSH セッションからは、recovery ユーザとしてログインできません。
                                  • パスワードがわかっていて、単に変更するだけの場合は、コンソールまたは SSH セッションから config passwd コマンドを使用します。
                                  • ASA CX では、次のいずれかのコマンド(パスワードが「Admin123」にリセットされます)または hw-module コマンドを使用するか、ブート イメージをリブートして、親 ASA からパスワードを回復することもできます。
                                    • hw-module module 1 password-reset
                                    • session 1 do password-reset
                                  はじめる前に

                                  この手順を使用して、データベースを出荷時のデフォルト状態にリセットすることもできます。設定したすべてのポリシー、イベントおよびレポート データ、セットアップ コンフィギュレーション(IP アドレス、マスク、ゲートウェイ、DNS、NTP など)が消去されます。

                                  手順
                                    ステップ 1   次のいずれかを実行します。
                                    • Cisco Prime Security Manager)。vSphere Client を使用して VMware コンソールを開きます。
                                    • ASA CX)。コンソール ポートからデバイス コンソールを開きます。
                                    ステップ 2   ログイン プロンプトで、ユーザ名 recovery を使用してログインします。

                                    コンソール セッションがアクティブな場合は、exit コマンドを入力するとログイン プロンプトが表示されます。 recovery ユーザのパスワードはありません。 実行するアクションを選択するプロンプトが表示されます。



                                    例:
                                    hostname login: recovery
                                     
                                    1) Reset admin password.
                                    2) Reset to factory defaults.
                                    3) Exit.
                                    #? 
                                    
                                    ステップ 3   1 を入力してパスワードをリセットし、プロンプトが表示されたら新しいパスワードを 2 回入力します。

                                    例:
                                    #? 1
                                    
                                    Changing password for admin
                                    New password: (typing not displayed)
                                    Retype password: (typing not displayed)
                                    Password for admin changed by service
                                    Press any key to exit.
                                    

                                    任意のキーを押すと、ログイン プロンプトに戻ります。 これで admin ユーザとしてログインできるようになります。


                                    出荷時デフォルト値へのリセット


                                    注意    


                                    データベースを出荷時デフォルト値にリセットすると、Web インターフェイスで定義したすべてのポリシーおよびコンフィギュレーション設定と、収集したイベントおよびレポート データが消去されます。 このアクションは取り消せません。 どの設定も維持しない場合にのみ、この手順に従ってください。 Cisco Prime Security Manager では、この手順を実行する前に、インベントリからすべてのデバイスを削除することを推奨します。


                                    すべてのポリシー、デバイス構成、イベント、レポート データを消去し、システムを出荷時の初期状態に戻すには、次のいずれかの方法を使用します。
                                    • config reset コマンド。 このコマンドを使用してデータベースをリセットした場合、CLI から設定したデバイス設定はリセットされません。 たとえば、管理 IP アドレスおよびマスク、ゲートウェイ、DNS 設定、NTP 設定、時刻設定はリセットされません。 これらの値は保存され、システムは引き続きネットワークにアクセスできます。 これらの設定も変更する場合は、setup コマンドおよび他の config コマンドを使用します。
                                    • ユーザ名 recovery を使用して ASA CX デバイス コンソールまたは PRSM マルチ デバイス モード vSphere Client コンソールにログイン。 この方法を使用してデータベースをリセットすると、セットアップ設定も削除されます。 リセットの完了後、システムを設定できるように、セットアップ ウィザードが起動します。 recovery ユーザ アカウントを使用すると、選択を要求するプロンプトが表示されます。admin パスワードのリセットもできます。

                                    次に、config reset コマンドの使用例を示します。

                                    手順
                                      ステップ 1   コンソールまたは SSH セッションを使用して CLI にログインします。

                                      admin ユーザとしてログインします。 Cisco Prime Security Manager では、vSphere Client アプリケーションを使用してコンソールにアクセスします。

                                      ステップ 2   config reset コマンドを入力し、確認を要求されたら Y キーを押します。

                                      例:

                                      次の例は、PRSM をリセットする方法を示しています。 警告は、リセットするシステムによって少し異なります。

                                      hostname> config reset
                                        WARNING: You are about to erase all policy and device configurations.
                                        Before proceeding, remove all devices from the inventory.
                                        Otherwise, you must unmanage each managed ASA CX from its home page.
                                        The database will be reset to factory defaults.
                                        System setup configuration will be preserved.
                                        You cannot undo this action. 
                                      Are you sure you want to proceed? [y/n]: y
                                      Stopping services...
                                      Removing settings...
                                      Initializing database...
                                      Generating certificates...
                                      Starting services...
                                      The system has been successfully reset to factory defaults.
                                      
                                      hostname>