Cisco Intrusion Prevention System Sensor CLI コンフィギュレーション ガイド for IPS 7.1
IPS SSP の設定
IPS SSP の設定
発行日;2012/04/18 | 英語版ドキュメント(2012/04/09 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

IPS SSP の設定

IPSSSP の設定手順

IPS SSP の初期化の確認

IPSSSP の仮想センサーの作成

IPSSSP と仮想化

IPSSSP 仮想センサーの設定手順

仮想センサーの作成

適応型セキュリティ アプライアンスのコンテキストへの仮想センサーの割り当て

IPSSSP のリロード、シャットダウン、リセット、および復旧

ヘルスおよびステータス情報

IPS スイッチポートで停止したトラフィック フロー

フェールオーバー シナリオ

IPS SSP の設定


) 現在、Cisco IPS 7.1 をサポートしているプラットフォームは、IPS SSP を搭載した Cisco ASA 5585-X のみです。それ以外の Cisco IPS センサーは、IPS 7.1 を現在サポートしていません。



) IPS SSP を搭載した Cisco ASA 5585-X は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3(x) ではサポートされていません。



すべての IPS プラットフォームは 10 の同時 CLI セッションを許可します。


この章では、IPS SSP の設定に固有の手順について説明します。次のような構成になっています。

「IPS SSP の設定手順」

「IPS SSP の初期化の確認」

「IPS SSP の仮想センサーの作成」

「IPS SSP のリロード、シャットダウン、リセット、および復旧」

「ヘルスおよびステータス情報」

「IPS スイッチポートで停止したトラフィック フロー」

「フェールオーバー シナリオ」

IPS SSP の設定手順

IPS SSP を設定するには、次のタスクを実行します。

1. モジュール ソフトウェアが最新でない場合は、現在の IPS ソフトウェアを入手してインストールします。

2. ライセンス キーを入手してインストールします。

3. IPS SSP にログ(セッション)インします。

4. IPS SSP を初期化します。 setup コマンドを実行して IPS SSP を初期化します。

5. IPS SSP の初期化を確認します。

6. 仮想センサーを設定します。

7. ユーザの追加、信頼できるホストの追加など、他の初期タスクを実行します。

8. 侵入防御を設定します。

9. グローバル相関を設定します。

10. IPS SSP をスムーズに実行し続けるためのその他のタスクを実行します。

11. 入手可能になった新しいシグニチャ アップデートおよびサービス パックで IPS ソフトウェアをアップグレードします。

12. 必要に応じて、IPS SSP のイメージを再作成します。

詳細情報

IPS SSP へのログイン手順については、「IPS SSP へのログイン」 を参照してください。

setup コマンドを実行する手順については、「IPS SSP の高度なセットアップ」を参照してください。

IPS SSP の初期化を確認する手順については、「初期化の確認」を参照してください。

仮想センサーの作成手順については、「IPS SSP の仮想センサーの作成」を参照してください。

IPS SSP のセットアップ手順については、「IPS SSP のセットアップ」 を参照してください。

侵入防御の設定手順については、「イベント アクション規則の設定」「シグニチャの定義」「異常検出の設定」、および「Attack Response Controller でのブロッキングおよびレート制限の設定」 を参照してください。

グローバル相関の設定手順については、「グローバル相関の設定」を参照してください。

IPS SSP をスムーズに実行し続ける手順については、「管理タスク」 を参照してください。

Cisco IPS ソフトウェアの入手方法の詳細については、「Cisco IPS ソフトウェアの概要」 を参照してください。

IPS SSP のイメージを再作成する手順については、「IPS SSP システム イメージのインストール」を参照してください。

IPS SSP の初期化の確認

show module slot details コマンドを使用して、IPS SSP を初期化したこと、およびソフトウェアのバージョンが正しいことを確認できます。

初期化を確認するには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインします。

ステップ 2 IPS SSP の詳細を入手します。

asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-10 with 8GE
Model: ASA5585-SSP-IPS10
Hardware version: 1.0
Serial Number: JAF1350ABSL
Firmware version: 2.0(1)3
Software version: 7.1(0.326)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App.name: IPS
App.Status: Up
App.Status Desc: Normal Operation
App.version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa
 

ステップ 3 情報を確認します。


 

IPS SSP の仮想センサーの作成

ここでは、IPS SSP 上で仮想センサーを作成する方法について説明します。次のような構成になっています。

「IPS SSP と仮想化」

「IPS SSP 仮想センサーの設定手順」

「仮想センサーの作成」

「適応型セキュリティ アプライアンスのコンテキストへの仮想センサーの割り当て」

IPS SSP と仮想化


注意 IPS SSP は、4 種類のポート(コンソール、管理、GigabitEthernet、および 10GE)を備えています。コンソール ポートと管理ポート(IPS SSP の右前面パネル上にある)は、IPS ソフトウェアによって設定および制御を行います。GigabitEthernet ポートと 10GE ポート(IPS SSP の左前面パネル上にある)は、IPS ソフトウェアではなく、ASA ソフトウェアによって設定および制御を行います。ただし、IPS SSP をリセットまたはシャットダウンするときは、GigabitEthernet ポートと 10GE ポートもリンクダウンします。これらのポートに対するリンク ダウンの影響を最小限に抑えるために、IPS SSP のリセットまたはシャットダウンはスケジュールされたメンテナンス期間中に行う必要があります。

IPS SSP には、1 つのセンシング インターフェイス、PortChannel 0/0 があります。複数の仮想センサーを作成する場合は、このインターフェイスを 1 つの仮想センサーにだけ割り当てる必要があります。残りの仮想センサーには、インターフェイスを指定する必要はありません。

仮想センサーを作成した後、 allocate-ips コマンドを使用して、それらを適応型セキュリティ アプライアンス上のセキュリティ コンテキストにマッピングする必要があります。複数のセキュリティ コンテキストを複数の仮想センサーにマッピングできます。


allocate-ips コマンドは、シングル モードには適用されません。このモードでは、policy-map コマンドで名前が指定されているすべての仮想センサーが適応型セキュリティ アプライアンスで受け入れられます。


allocate-ips コマンドは、新しいエントリをセキュリティ コンテキスト データベースに追加します。指定した仮想センサーが存在しないと、警告が出力されます。ただし、設定は受け入れられます。 service-policy コマンドが処理されるとき、設定が再びチェックされます。仮想センサーが有効でなければ、 fail-open ポリシーが適用されます。

IPS SSP 仮想センサーの設定手順

次の手順に従って、IPS SSP 上に仮想センサーを作成し、それらを適応型セキュリティ アプライアンスのコンテキストに割り当てます。

1. IPS SSP 上で最大 4 つの仮想センサーを設定します。

2. IPS SSP センシング インターフェイス(PortChannel 0/0)を仮想センサーの 1 つに割り当てます。

3. 仮想センサーを適応型セキュリティ アプライアンス上の異なるコンテキストに割り当てます。

4. MPF を使用してトラフィックをターゲットの仮想センサーに誘導します。

仮想センサーの作成


) 4 つの仮想センサーを作成できます。


サービス分析エンジン サブモードで virtual-sensor name コマンドを使用して、IPS SSP 上の仮想センサーを作成します。仮想センサーにポリシー(異常検出、イベント アクション規則、およびシグニチャ定義)を割り当てます。デフォルトのポリシーである ad0、rules0、または sig0 を使用できます。あるいは、新しいポリシーを作成することもできます。その後、IPS SSP のセンシング インターフェイス PortChannel0/0 を 1 つの仮想センサーに割り当てます。

オプション

次のオプションが適用されます。

anomaly-detection :異常検出パラメータを指定します。

anomaly-detection-name name :異常検出ポリシーの名前を指定します。

operational-mode :異常検出モード( inactive learn detect )を指定します。

description :仮想センサーの説明。

event-action-rules :イベント アクション規則ポリシーの名前を指定します。

signature-definition :シグニチャ定義ポリシーの名前を指定します。

physical-interfaces :物理インターフェイスの名前を指定します。

no :エントリまたは選択を削除します。

仮想センサーの作成

IPS SSP 上で仮想センサーを作成するには、次の手順を実行します。


ステップ 1 管理者権限を持つアカウントを使用して CLI にログインします。

ステップ 2 サービス分析モードを開始します。

sensor# configure terminal
sensor(config)# service analysis-engine
sensor(config-ana)#
 

ステップ 3 仮想センサーを追加します。

sensor(config-ana)# virtual-sensor vs1
sensor(config-ana-vir)#
 

ステップ 4 この仮想センサーの説明を追加します。

sensor(config-ana-vir)# description virtual sensor 1
 

ステップ 5 異常検出ポリシーと動作モードをこの仮想センサーに割り当てます。

sensor(config-ana-vir)# anomaly-detection
sensor(config-ana-vir-ano)# anomaly-detection-name ad1
sensor(config-ana-vir-ano)# operational-mode learn
 

ステップ 6 イベント アクション規則ポリシーをこの仮想センサーに割り当てます。

sensor(config-ana-vir-ano)# exit
sensor(config-ana-vir)# event-action-rules rules1
 

ステップ 7 シグニチャ定義ポリシーをこの仮想センサーに割り当てます。

sensor(config-ana-vir)# signature-definition sig1
 

ステップ 8 インターフェイスを 1 つの仮想センサーに割り当てます。

 
sensor(config-ana-vir)# physical-interface PortChannel0/0
 

ステップ 9 仮想センサー設定を確認します。

 
sensor(config-ana-vir)# show settings
name: vs1
-----------------------------------------------
description: virtual sensor 1 default:
signature-definition: sig1 default: sig0
event-action-rules: rules1 default: rules0
anomaly-detection
-----------------------------------------------
anomaly-detection-name: ad1 default: ad0
operational-mode: learn default: detect
-----------------------------------------------
physical-interface (min: 0, max: 999999999, current: 2)
-----------------------------------------------
name: PortChannel0/0
subinterface-number: 0 <defaulted>
-----------------------------------------------
-----------------------------------------------
logical-interface (min: 0, max: 999999999, current: 0)
-----------------------------------------------
-----------------------------------------------
-----------------------------------------------
sensor(config-ana-vir)#
 

ステップ 10 分析エンジン モードを終了します。

sensor(config-ana-vir)# exit
sensor(config-ana)# exit
Apply Changes:?[yes]:
sensor(config)#
 

ステップ 11 Enter を押して変更を適用するか、 no を入力して変更を破棄します。


 

詳細情報

異常検出ポリシーの作成および設定の手順については、「異常検出ポリシーの使用」を参照してください。

イベント アクション規則ポリシーの作成および設定の手順については、「イベント アクション ルール ポリシーの使用」を参照してください。

シグニチャ定義の作成および設定の手順については、「シグニチャ定義ポリシーの操作」を参照してください。

適応型セキュリティ アプライアンスのコンテキストへの仮想センサーの割り当て

IPS SSP で仮想センサーを作成してから、適応型セキュリティ アプライアンス上のセキュリティ コンテキストに仮想センサーを割り当てる必要があります。

オプション

次のオプションが適用されます。

[no] allocate-ips sensor_name [ mapped_name ] [ default ]:仮想センサーをセキュリティ コンテキストに割り当てます。サポートされているモードは、マルチ モード、システム コンテキスト、およびコンテキスト サブモードです。


) 1 つのコンテキストには、同じ IPS SSP を 2 回割り当てられません。


sensor_name :IPS SSP で設定した IPS SSP の名前を指定します。名前が有効でない場合、警告メッセージが表示されます。

mapped_name :セキュリティ コンテキストが IPS SSP を認識する名前を指定します。


) マッピング名は、コンテキストから IPS SSP の実際の名前を隠すのに使用されます。通常、セキュリティまたは便宜上の理由で使用され、コンテキスト設定をより一般的にします。マッピング名が使用されない場合、実際の IPS SSP 名が使用されます。1 つのコンテキスト内で 2 つの異なる IPS SSP に 1 つのマッピング名を再利用できません。


no :センサーの割り当てを解除し、ポリシー マップ設定を検索し、そのセンサーを参照しているすべての IPS サブコマンドを削除します。

default :この IPS SSP をデフォルトに指定します。仮想センサーを指定しないすべてのレガシー IPS 設定は、この IPS SSP にマッピングされます。


注意 コンテキストごとに設定できるデフォルト IPS SSP は 1 つのみです。別の IPS SSP をデフォルトに指定する場合は、その前に既存のデフォルト IPS SSP のデフォルト フラグをオフにする必要があります。

clear configure allocate-ips :設定を削除します。

allocate-ips? :設定済みの IPS SSP のリストを表示します。

show ips [detail] :使用可能な仮想センサーをすべて表示します。サポートされるモードは、EXEC モード、シングルまたはマルチ モード、システムまたはユーザ モードです。

detail :仮想センサー ID 番号を追加します。


) シングル モードでは、コマンドは使用可能な仮想センサーすべての名前を表示します。マルチ モード ユーザ コンテキストでは、コマンドはこのコンテキストに割り当てられた仮想センサーすべてのマッピング名を表示します。マルチ モード システム コンテキストでは、コマンドは仮想センサーすべての名前を表示します。また detail キーワードを使用すると、センサー ID 番号、割り当てられたコンテキスト、およびマッピング名が表示されます。


show context [ detail ]:仮想センサーに関する情報を表示するように更新されます。ユーザ コンテキスト モードでは、このコンテキストに割り当てられているすべての仮想センサーのマッピングされた名前を表示するために、新しい行が 1 つ追加されます。システム モードでは、このコンテキストに割り当てられた仮想センサーの本当の名前とマッピングされた名前を表示するために、新しい行が 2 つ追加されます。

複数の仮想センサーを 1 つのコンテキストに割り当てることができます。1 つの仮想センサーは複数のコンテキストで共有することができます。共有した場合、それらのコンテキストは、同じ仮想センサーに対してそれぞれ異なるマッピングされた名前(エイリアス)を使用できます。次の手順では、マルチ モードで 3 つのセキュリティ コンテキストを追加する方法とそれらのセキュリティ コンテキストに仮想センサーを割り当てる方法を示します。

仮想センサーのコンテキストへの割り当て

マルチ モードで IPS SSP の仮想センサーを、適応型セキュリティ アプライアンスコンテキストに割り当てるには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスにログインします。

ステップ 2 使用可能な仮想センサーのリストを表示します。

asa# show ips detail
Sensor Name Sensor ID
----------- ---------
vs0 1
vs1 2
asa#
 

ステップ 3 コンフィギュレーション モードを開始します。

asa# configure terminal
asa(config)#
 

ステップ 4 マルチ モードを開始します。

asa(config)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
Proceed with change mode? [confirm] yes
asa(config)#
 

ステップ 5 3 つのコンテキスト モードをマルチ モードに追加します。

asa(config)# admin-context admin
Creating context 'admin'... Done. (13)
asa(config)# context admin
asa(config-ctx)# allocate-interface GigabitEthernet0/0.101
asa(config-ctx)# allocate-interface GigabitEthernet0/1.102
asa(config-ctx)# allocate-interface Management0/0
asa(config-ctx)# config-url disk0:/admin.cfg
Cryptochecksum (changed): 0c34dc67 f413ad74 e297464a db211681
INFO: Context admin was created with URL disk0:/admin.cfg
INFO: Admin context will take some time to come up .... please wait.
asa(config-ctx)#
asa(config-ctx)# context c2
Creating context 'c2'... Done. (14)
asa(config-ctx)# allocate-interface GigabitEthernet0/0.103
asa(config-ctx)# allocate-interface GigabitEthernet0/1.104
asa(config-ctx)# config-url disk0:/c2.cfg
 
WARNING: Could not fetch the URL disk0:/c2.cfg
INFO: Creating context with default config
asa(config-ctx)#
asa(config-ctx)# context c3
Creating context 'c3'... Done. (15)
asa(config-ctx)# all
asa(config-ctx)# allocate-in
asa(config-ctx)# allocate-interface g0/2
asa(config-ctx)# allocate-interface g0/3
asa(config-ctx)# config-url disk0:/c3.cfg
 
WARNING: Could not fetch the URL disk0:/c3.cfg
INFO: Creating context with default config
asa(config-ctx)#
 

ステップ 6 仮想センサーをセキュリティ コンテキストに割り当てます。

asa(config)# context admin
asa(config-ctx)# allocate-ips vs0 adminvs0
asa(config-ctx)# exit
asa(config)# context c2
asa(config-ctx)# allocate-ips vs1 c2vs1
asa(config)# context c3
asa(config-ctx)# allocate-ips vs0 c3vs0
asa(config-ctx)# allocate-ips vs1 c3vs1
asa(config-ctx)#
 

ステップ 7 各コンテキストに MPF を設定します。


) 次に、コンテキスト 3(c3)の例を示します。


asa(config)# context c3
asa/c3(config)# class-map any
asa/c3(config-cmap)# match access-list any
asa/c3(config-cmap)# exit
asa/c3(config)# policy-map ips_out
asa/c3(config-pmap)# class any
asa/c3(config-pmap-c)# ips promiscuous fail-close sensor c3vs1
asa/c3(config-pmap-c)# policy-map ips_in
asa/c3(config-pmap)# class any
asa/c3(config-pmap-c)# ips inline fail-open sensor c3vs0
asa/c3(config-pmap-c)# service-policy ips_out interface outside
asa/c3(config)# service-policy ips_in interface inside
asa/c3(config)#
 

ステップ 8 設定を確認します。

asa/c3(config)# exit
asa(config)# changeto system
asa(config)# show ips detail
Sensor Name Sensor ID Allocated To Mapped Name
----------- --------- ------------ -----------
vs0 1 admin adminvs0
c3 c3vs0
vs1 2 c2 c2vs1
c3 c3vs1
asa(config)#
 


 

詳細情報

ASA 5585-X のフェールオーバーの詳細なシナリオについては、「フェールオーバー シナリオ」を参照してください。

IPS SSP のリロード、シャットダウン、リセット、および復旧


) 特権 EXEC モードまたはグローバル コンフィギュレーション モードから、hw-module コマンドを入力できます。シングル ルーテッド モードおよびシングル トランスペアレント モードでコマンドを入力できます。マルチ モード(ルーテッドまたはトランスペアレント マルチ モード)での適応型セキュリティ アプライアンスの動作に対して、システム コンテキスト(管理者またはユーザ コンテキストからでなく)からは hw-module コマンドの実行しかできません。


次のコマンドを使用して、リロード、シャットダウン、リセット、パスワードの回復、および IPS SSP を適応型セキュリティ アプライアンスから直接回復します。

hw-module module slot_number reload

このコマンドは、ハードウェアをリセットすることなく IPS SSP 上のソフトウェアをリロードします。IPS SSP がアップ状態の場合にのみ有効です。

hw-module module slot_number shutdown

このコマンドは、IPS SSP 上のソフトウェアをシャットダウンします。IPS SSP がアップ状態の場合にのみ有効です。

hw-module module slot_number reset

このコマンドは、IPS SSP のハードウェア リセットを実行します。IPS SSP がアップ、ダウン、無応答、復旧状態のいずれかにある場合に適用できます。

hw-module module slot_number password-reset

このコマンドは、IPS SSP の cisco という CLI アカウントのパスワードをデフォルトの cisco に戻します。

hw-module module slot_number recover [ boot | stop | configure ]

recover コマンドは、リカバリ パラメータの設定または変更のためのインタラクティブ オプションのセットを表示します。パラメータを変更、または既存の設定を保持するには、Enter を押します。

hw-module module slot_number recover boot

このコマンドは、IPS SSP のリカバリを開始します。IPS SSP がアップ状態の場合にのみ適用できます。

hw-module module slot_number recover stop

このコマンドは、IPS SSP のリカバリを終了します。IPS SSP が復旧状態の場合にのみ適用できます。


注意 IPS SSP のリカバリを停止する必要がある場合、IPS SSP のリカバリを開始してから 30 ~ 45 秒以内に hw-module module 1 recover stop コマンドを発行する必要があります。これ以上待つと、予期しない結果を招く場合があります。たとえば、IPS SSP が無応答状態になる可能性があります。

hw-module module 1 recover configure

このコマンドを使用して、IPS SSP のリカバリのためのパラメータを設定します。必須パラメータは、IP アドレスおよびリカバリ イメージの TFTP URL の場所です。

ips-ssp# hardware-module module 1 recover configure
Image URL [tftp://10.89.146.1/IPS-SSP_10-K9-sys-1.1-a-7.1-1-E4.img]:
Port IP Address [10.89.149.226]:
VLAN ID [0]:
Gateway IP Address [10.89.149.254]:

詳細情報

IPS SSP システム イメージの復旧の手順については、「IPS SSP システム イメージのインストール」を参照してください。

ヘルスおよびステータス情報

IPS SSP の一般的なヘルス情報を表示するには、 show module 1 details コマンドを使用します。

asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(1)3
Software version: 7.1(1)E4
MAC Address Range: 8843.e12f.5414 to 8843.e12f.541f
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 10.0.0.0/8
Mgmt Access List: 64.0.0.0/8
Mgmt web ports: 443
Mgmt TLS enabled true
asa
 

出力には、IPS SSP がアップ状態であることが表示されます。ステータスが Down を示している場合は、 hw-module module 1 reset コマンドを使用してリセットできます。

asa# hw-module module 1 reset
 
The module in slot 1 should be shut down before
resetting it or loss of configuration may occur.
Reset module in slot 1? [confirm]
Reset issued for module in slot 1
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Shutting Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Down
asa# show module 1 details
Getting details from the Service Module, please wait...
Unable to read details from slot 1
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Not Applicable
App. Status Desc: Not Applicable
App. version: 7.1(1)E4
Data plane Status: Not Applicable
Status: Init
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Reload
App. Status Desc: Starting up
App. version: 7.1(1)E4
Data plane Status: Down
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa# show module 1 details
Getting details from the Service Module, please wait...
ASA 5585-X IPS Security Services Processor-20 with 8GE
Model: ASA5585-SSP-IPS20
Hardware version: 1.0
Serial Number: ABC1234DEFG
Firmware version: 2.0(7)0
Software version: 7.1(1)E4
MAC Address Range: 5475.d029.7f9c to 5475.d029.7fa7
App. name: IPS
App. Status: Up
App. Status Desc: Normal Operation
App. version: 7.1(1)E4
Data plane Status: Up
Status: Up
Mgmt IP addr: 192.0.2.3
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.0.2.254
Mgmt Access List: 0.0.0.0/0
Mgmt web ports: 443
Mgmt TLS enabled: true
asa#
 

IPS SSP の復旧に問題がある場合は、 debug module-boot コマンドを使用して、ブート時に出力を表示します。TFTP サーバに適切な IP アドレスを使用しており、TFTP サーバに適切なファイルがあることを確認します。その後、再び hw-module module 1 recover コマンドを使用してモジュールを復元します。

ips-ssp# hw-module module 1 recover configure
Image URL [tftp://0.0.0.0/]: tftp://10.10.10.10//IPS-SSP_20-K9-sys-1.1-a-7.1-1-E4.img
Port IP Address [0.0.0.0]: 10.10.10.11
VLAN ID [0]:
Gateway IP Address [0.0.0.0]: 10.10.10.254
 
asa(config)# debug module-boot
debug module-boot enabled at level 1
asa(config)# hw-module module 1 recover boot
The module in slot 1 will be recovered. This may erase all configuration and all data on that device and attempt to download a new image for it.
Recover module in slot 1? [confirm]
Recover issued for module in slot 1
asa(config)# Slot-1 140> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 141> Platform ASA5585-SSP-IPS20
Slot-1 142> GigabitEthernet0/0
Slot-1 143> Link is UP
Slot-1 144> MAC Address: 000b.fcf8.0176
Slot-1 145> ROMMON Variable Settings:
Slot-1 146> ADDRESS=192.0.2.3
Slot-1 147> SERVER=192.0.2.15
Slot-1 148> GATEWAY=192.0.2.254
Slot-1 149> PORT=GigabitEthernet0/0
Slot-1 150> VLAN=untagged
Slot-1 151> IMAGE=IPS-SSP-K9-sys-1.1-a-7.1-0.1.img
Slot-1 152> CONFIG=
Slot-1 153> LINKTIMEOUT=20
Slot-1 154> PKTTIMEOUT=4
Slot-1 155> RETRY=20
Slot-1 156> tftp IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img@192.0.2.15 via 192.0.2.254
Slot-1 157> TFTP failure: Packet verify failed after 20 retries
Slot-1 158> Rebooting due to Autoboot error ...
Slot-1 159> Rebooting....
Slot-1 160> Cisco Systems ROMMON Version (1.0(10)0) #0: Fri Mar 25 23:02:10 PST 2010
Slot-1 161> Platform ASA5585-SSP-IPS20
Slot-1 162> GigabitEthernet0/0
Slot-1 163> Link is UP
Slot-1 164> MAC Address: 000b.fcf8.0176
Slot-1 165> ROMMON Variable Settings:
Slot-1 166> ADDRESS=192.0.2.3
Slot-1 167> SERVER=192.0.2.15
Slot-1 168> GATEWAY=192.0.2.254
Slot-1 169> PORT=GigabitEthernet0/0
Slot-1 170> VLAN=untagged
Slot-1 171> IMAGE=IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img
Slot-1 172> CONFIG=
Slot-1 173> LINKTIMEOUT=20
Slot-1 174> PKTTIMEOUT=4
Slot-1 175> RETRY=20

Slot-1 176> tftp IPS-SSP_10-K9-sys-1.1-a-7.1-0.1.img@192.0.2.15 via 192.0.2.254

IPS スイッチポートで停止したトラフィック フロー

問題 IPS SSP がリセットされるか、シャットダウンされると、IPS SSP (1/x) にあるポート上のトラフィックは適応型セキュリティを通過しなくなります。このことは、トラフィックが IPS にモニタされているかどうかに関係なく、これらのポートを通過するすべてのトラフィックに影響します。IPS SSP がリセットまたはシャットダウンされると、ポート上のリンクがダウンします。

考えられる原因 IPS SSP (1/x) にあるポートを使用し、何らかのメカニズムで IPS SSP をリセットまたはシャットダウンしました。

ソリューション 適応型セキュリティ アプライアンス (0/x) 上のポートは、IPS SSP がリセットまたはシャットダウンされてもリンクを失わないので、代わりにこれらのポートを使用してください。

フェールオーバー シナリオ

設定変更、シグニチャおよびシグニチャ エンジンのアップデート、サービス パック、IPS SSP での SensorApp のクラッシュの場合は、次のフェールオーバー シナリオを ASA 5585-X に適用します。

フェールオープン モードの単一の ASA 5585-X

ASA が IPS SSP でフェールオープン モードに設定されていて、IPS SSP で設定変更、またはシグニチャおよびシグニチャ エンジンのアップデートが発生する場合、トラフィックは検査されずに ASA を通過します。

ASA が IPS SSP でフェールオープン モードに設定されていて、IPS SSP で SensorApp のクラッシュ、またはサービス パックのアップグレードが発生する場合、トラフィックは検査されずに ASA を通過します。

フェールクローズ モードの単一の ASA 5585-X

ASA が IPS SSP でフェールクローズ モードに設定されていて、IPS SSP で設定変更、またはシグニチャおよびシグニチャ エンジンのアップデートが発生する場合、ASA を通過するトラフィックは停止されます。

ASA が IPS SSP でフェールクローズ モードに設定されていて、IPS SSP で SensorApp のクラッシュ、またはサービス パックのアップグレードが発生する場合、ASA を通過するトラフィックは停止されます。

フェールオープン モードでの 2 台の ASA 5585-X

ASA がフェールオープン モードに設定されていて、アクティブな ASA 上の IPS SSP で設定変更、またはシグニチャおよびシグニチャ エンジンのアップデートが発生する場合、トラフィックは引き続き、検査されずにアクティブな ASA を通過します。フェールオーバーはトリガーされません。

ASA がフェールオープン モードに設定されていて、アクティブな ASA 上の IPS SSP で SensorApp のクラッシュ、またはサービス パックのアップグレードが発生する場合、フェールオーバーがトリガーされ、トラフィックはこれまでスタンバイ IPS SSP であった IPS SSP を通過します。

フェールクローズ モードでの 2 台の ASA 5585-X

ASA がフェールクローズ モードに設定されていて、アクティブな ASA 上の IPS SSP で設定変更、またはシグニチャおよびシグニチャ エンジンのアップデートが発生する場合、アクティブな ASA を通過するトラフィックは停止されます。フェールオーバーはトリガーされません。

ASA がフェールクローズ モードに設定されていて、アクティブな ASA 上の IPS SSP で SensorApp のクラッシュ、またはサービス パックのアップグレードが発生する場合、フェールオーバーがトリガーされ、トラフィックはこれまでスタンバイ IPS SSP であった IPS SSP を通過します。

設定例

プライマリ ASA 用に次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

セカンダリ ASA 用に次の設定を使用します。

interface GigabitEthernet0/7
description LAN Failover Interface
 
failover
failover lan unit secondary
failover lan interface folink GigabitEthernet0/7
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2