Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
SSM と SSC の管理
SSM と SSC の管理
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

SSM と SSC の管理

SSM および SSC に関する情報

サポートされているアプリケーション

管理アクセスに関する情報

モジュールへのセッション接続

ASDM の使用

SSH または Telnet の使用

モジュール管理インターフェイスのその他の用途

管理インターフェイスへのアクセスにおけるルーティングの注意事項

ガイドラインと制限事項

デフォルト設定

SSC 管理インタフェースの設定

SSM または SSC へのセッション接続

SSM または SSC のトラブルシューティング

管理 IP アドレスのトラブルシューティング

TFTP のトラブルシューティング

モジュールへのイメージのインストール

パスワードのトラブルシューティング

モジュールのリロードまたはリセット

モジュールのシャットダウン

SSM と SSC のモニタリング

関連情報

SSM および SSC の機能履歴

SSM と SSC の管理

この章では、適応型セキュリティ アプライアンスにインストールされた Security Services Card(SSC; セキュリティ サービス カード)または Security Services Module(SSM; セキュリティ サービス モジュール)を管理する方法について説明します。SSM および SSC は、IPS や Content Security and Control などの高度なセキュリティ アプリケーションを実行します。


) インターフェイス モジュールでありインテリジェントなソフトウェアを実行しない 4GE SSM の詳細については、「インターフェイスの設定」を参照してください。


この章には、次の項があります。

「SSM および SSC に関する情報」

「ガイドラインと制限事項」

「デフォルト設定」

「SSC 管理インタフェースの設定」

「SSM または SSC へのセッション接続」

「SSM または SSC のトラブルシューティング」

「SSM と SSC のモニタリング」

「関連情報」

「SSM および SSC の機能履歴」

SSM および SSC に関する情報

この項では、SSM と SSC について説明します。次の項目を取り上げます。

「サポートされているアプリケーション」

「管理アクセスに関する情報」

サポートされているアプリケーション

SSM では次のアプリケーションがサポートされています。

IPS ソフトウェア(AIP SSM 上)

Content Security and Control ソフトウェア(CSC SSM 上)

SSC では次のアプリケーションがサポートされています。

IPS ソフトウェア(AIP SSC 上)


) SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入した場合は、後でその上に CSC ソフトウェアをインストールできません。


管理アクセスに関する情報

ASDM を使用して、またはモジュール アプリケーション CLI を使用してモジュール アプリケーションを管理できます。この項は、次の内容で構成されています。

「モジュールへのセッション接続」

「ASDM の使用」

「SSH または Telnet の使用」

「モジュール管理インターフェイスのその他の用途」

「管理インターフェイスへのアクセスにおけるルーティングの注意事項」

モジュールへのセッション接続

適応型セキュリティ アプライアンスに CLI アクセスが可能な場合は、バックプレーンを経由してモジュールにセッション接続し、そのモジュール CLI にアクセスできます。「SSM または SSC へのセッション接続」を参照してください。

ASDM の使用

適応型セキュリティ アプライアンスで ASDM を起動した後、ASDM は SSM または SSC 管理インターフェイスに接続し、モジュール アプリケーションを設定します。

SSM では、ASDM は外部ギガビット イーサネット ポートに接続します。デフォルトのアドレスを使用できない場合は、モジュールにセッション接続し、モジュール CLI でパラメータを設定することにより、インターフェイス IP アドレスや他のネットワーク パラメータを変更できます。詳細については、モジュール アプリケーションのマニュアルを参照してください。

SSC では、管理 VLAN として VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。ネットワーク パラメータを変更するには、「SSC 管理インタフェースの設定」を参照してください。

デフォルトの管理インターフェイス パラメータについては、「デフォルト設定」を参照してください。

SSH または Telnet の使用

モジュール管理インターフェイスに SSH または Telnet を使用することで、モジュール CLI に直接アクセスできます(Telnet アクセスでは、SSM/SSC アプリケーションで追加の設定が必要になります)。管理インターフェイスの詳細については、「ASDM の使用」を参照してください。

モジュール管理インターフェイスのその他の用途

モジュール管理インターフェイスは、syslog メッセージの送信や、AIP SSM または SSC での署名データベースのアップデートなど、モジュール アプリケーションのアップデートの許可に使用できます。

管理インターフェイスへのアクセスにおけるルーティングの注意事項

ASDM が SSC を確実に管理できるように、適応型セキュリティ アプライアンスがモジュール管理インターフェイス アドレスにアクセスできることを確認します。

SSC では、SSC 管理インターフェイスにも使用する適応型セキュリティ アプライアンス VLAN の IP アドレスを必ず設定し、その VLAN をスイッチ ポートに割り当て、SSC インターフェイスがネットワークに物理的に接続されるようにします。その結果、適応型セキュリティ アプライアンスの直接接続されたネットワーク上に SSC 管理インターフェイスが置かれるため、ルーティング設定を追加することなく、ASDM が管理インタフェースにアクセスできます。

SSM では、外部管理インターフェイスは適応型セキュリティ アプライアンス インターフェイスとは見なされないため、直接接続されたネットワーク上に自動的には置かれません。ネットワークをケーブル接続する方法に応じて、SSM 外部インターフェイスを適応型セキュリティ アプライアンス インターフェイスと同じネットワーク上に置くことも(スイッチを通じて)、別のネットワーク上に置くことも(ルータを通じて)できます。

ガイドラインと制限事項

コンテキスト モードのガイドライン

コンテキスト モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参照してください。

ファイアウォール モードのガイドライン

ファイアウォール モードのガイドラインについては、各 SSM または SSC アプリケーションの章を参照してください。

フェールオーバーのガイドライン

SSC では、同一のサブネットおよび VLAN 上に置かれる両方の装置で管理 IP アドレスを設定したことを確認します。

モデルのガイドライン

SSC と SSM のモデルのサポートについては、「モデルごとの SSM および SSC サポート」を参照してください。

追加のガイドライン

SSM/SSC にインストールされているソフトウェアのタイプの変更はできません。AIP SSM を購入した場合は、後でその上に CSC ソフトウェアをインストールできません。

NAT 経由の IP アドレスを使用している場合は、ASDM で SSC を設定できません。

デフォルト設定

表 54-1 に、SSM と SSC のデフォルトのネットワーク設定を示します。

 

表 54-1 デフォルトのネットワーク パラメータ

パラメータ
デフォルト

管理 VLAN(SSC 限定)

VLAN 1

管理 IP アドレス

192.168.1.2/24

管理ホスト(SSC 限定)

192.168.1.0/24

ゲートウェイ

192.168.1.1


) 適応型セキュリティ アプライアンスのデフォルトの管理 IP アドレスは 192.168.1.1/24 です。


SSC 管理インタフェースの設定

SSC には外部インターフェイスはありません。管理 VLAN として VLAN を設定し、バックプレーン経由での内部 IP 管理アドレスへのアクセスを許可できます。デフォルトでは、VLAN 1 は SSC 管理アドレスでイネーブルになります。SSC 管理 VLAN として割り当てることができるのは 1 つの VLAN だけです。この項では、管理 VLAN を変更する方法について説明します。デフォルトの管理 IP アドレス、許可されたホスト、ゲートウェイを変更する方法についても説明します。デフォルトの詳細については、「デフォルト設定」を参照してください。

前提条件

SSC 管理インタフェースを使用する VLAN では、「インターフェイス コンフィギュレーションの開始(ASA 5505)」で説明する手順に従って ASA 5505 でスイッチ ポートと VLAN インターフェイスを設定します。この設定は、SSC インターフェイスをネットワークに物理的に接続するために必要です。

制限事項

ASDM を使用してアクセスする場合は、管理アドレス用に NAT を設定しないでください。ASDM の初期セットアップでは、実際のアドレスにアクセスする必要があります。初期セットアップ後(SSC でパスワードを設定した後)は、NAT を設定し、SSC にアクセスするときの変換アドレスを ASDM に提供できます。

手順の詳細

 

コマンド
目的

ステップ 1

interface vlan number
 

hostname(config)# interface vlan 1

SSC 管理をディセーブルにする現在の管理 VLAN を指定します。デフォルトでは、これは VLAN 1 です。

ステップ 2

no allow-ssc-mgmt
 

hostname(config-if)# no allow-ssc-mgmt

別の VLAN についてイネーブルにできるように、古い VLAN の SSC 管理をディセーブルにします。

ステップ 3

interface vlan number
 

hostname(config)# interface vlan 20

SSC 管理 VLAN として使用する VLAN を指定します。

ステップ 4

allow-ssc-mgmt
 

hostname(config-if)# allow-ssc-mgmt

このインターフェイスを SSC 管理インタフェースとして設定します。

ステップ 5

hw-module module 1 ip ip_address netmask gateway
 

hostname# hw-module module 1 ip 209.165.200.225 255.255.255.224 209.165.200.245

SSC の管理 IP アドレスを設定します。このアドレスが ASA 5505 VLAN インターフェイスと同じサブネット上にあることを確認します。

直接接続された適応型セキュリティ アプライアンス ネットワーク上に管理ステーションがある場合は、ゲートウェイを ASA 5505 VLAN インターフェイス アドレスに設定します。管理ステーションがリモート ネットワーク上にある場合は、ゲートウェイを、管理 VLAN のアップストリーム ルータのアドレスに設定します。

コマンドを使用して、この設定を SSC CLI から設定することもできます。

ステップ 6

hw-module module 1 allow-ip ip_address netmask
 

hostname# hw-module module 1 allow-ip 209.165.201.29 255.255.255.224

管理 IP アドレスにアクセスできるホストを設定します。

コマンドを使用して、この設定を SSC CLI から設定することもできます。

次の例では、VLAN 20 を SSC 管理 VLAN として設定します。この VLAN は管理トラフィックだけに制限されています。10.1.1.30 のホストだけが SSC 管理 IP アドレスにアクセスできます。VLAN 20 はスイッチ ポート Ethernet 0/0 に割り当てられます。ASA インターフェイス 10.1.1.1 上の ASDM に接続すると、ASDM は 10.1.1.2 上の SSC にアクセスします。

hostname(config)# interface vlan 1
hostname(config-if)# no allow-ssc-mgmt
 
hostname(config-if)# interface vlan 20
hostname(config-if)# nameif inside
hostname(config-if)# ip address 10.1.1.1 255.255.255.0
hostname(config-if)# security-level 100
hostname(config-if)# allow-ssc-mgmt
hostname(config-if)# no shutdown
hostname(config-if)# management-only
 
hostname(config-if)# hw-module module 1 ip 10.1.1.2 255.255.255.0 10.1.1.1
hostname(config)# hw-module module 1 allow-ip 10.1.1.30 255.255.255.255
 
hostname(config)# interface ethernet 0/0
hostname(config-if)# switchport access vlan 20
hostname(config-if)# no shutdown
 

SSM または SSC へのセッション接続

SSM または SSC の設定を開始するには、適応型セキュリティ アプライアンスからモジュールにセッション接続します。適応型セキュリティ アプライアンスからモジュールにセッション接続するには、次のコマンドを入力します。

 

コマンド
目的
session 1
 

hostname# session 1

 

Opening command session with slot 1.

Connected to slot 1. Escape character sequence is 'CTRL-^X'.

バックプレーン経由で SSM または SSC にアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は「cisco」、デフォルトのパスワードは「cisco」です。

(注) 初めてモジュールにログインしたときに、デフォルトのパスワードの変更を要求するプロンプトが表示されます。パスワードは 8 文字以上で、辞書に載っていない単語にする必要があります。

SSM または SSC のトラブルシューティング

この項では、モジュールの回復またはトラブルシューティングに役立つ手順について説明します。次の項目を取り上げます。

「管理 IP アドレスのトラブルシューティング」

「TFTP のトラブルシューティング」

「モジュールへのイメージのインストール」

「パスワードのトラブルシューティング」

「モジュールのリロードまたはリセット」

「モジュールのシャットダウン」

管理 IP アドレスのトラブルシューティング

ASA 5505 をアップグレードして SSC を追加するとき、ASA 5505 の工場出荷時のデフォルトの IP アドレスを使用する場合は、ASA 5505 のデフォルトの IP アドレスが 192.168.1.5 から始まっていることを確認します(SSC の工場出荷時のデフォルトの IP アドレスが 192.168.1.2 であるため)。設定中に競合が起こると、警告メッセージが表示されます。

TFTP のトラブルシューティング

起動時、TFTP の URL ダウンロードの場所が有効であることを確認します。ダウンロードされる有効なイメージが ASA 5505 から見つけられないと、SSC アプリケーションは起動せず、次のエラー メッセージが表示されます。

Autoboot Error¥System Halt

モジュールへのイメージのインストール

SSM または SSC に障害が発生し、モジュール アプリケーション イメージを実行できない場合は、適応型セキュリティ アプライアンス CLI を使用して、アプリケーション イメージを TFTP サーバからモジュールに転送できます。適応型セキュリティ アプライアンスはモジュール ROMMON アプリケーションと通信し、イメージを転送できます。


) ネットワークとイメージのサイズに応じて、このプロセスは完了までに約 15 分間かかることがあります。

SSM または SSC ソフトウェア内部では、イメージをインストールするために upgrade コマンドを使用しないでください。


前提条件

指定する TFTP サーバが、最大 60 MB のサイズのファイルを転送できることを確認してください。

手順の詳細

 

コマンド
目的

ステップ 1

hw-module module 1 recover configure
 

hostname# hw-module module 1 recover configure

Image URL [tftp://127.0.0.1/myimage]: tftp://10.1.1.1/ids-newimg

Port IP Address [127.0.0.2]: 10.1.2.10

Port Mask [255.255.255.254]: 255.255.255.0

Gateway IP Address [1.1.2.10]: 10.1.2.254

VLAN ID [0]: 100

TFTP サーバの URL、管理インターフェイス IP アドレスおよびネットマスク、ゲートウェイ アドレス、VLAN ID(SSM 限定。SSC では、「SSC 管理インタフェースの設定」での管理用に設定した VLAN)の入力を求められます。これらのネットワーク パラメータは ROMMON モジュールで設定されます。モジュール アプリケーション コンフィギュレーションで設定したネットワーク パラメータ(「SSC 管理インタフェースの設定」など)は ROMMON では使用できないため、ここで個別に設定する必要があります。

コンフィギュレーションを修正する場合は、入力を求められたときに Enter キーを押すことにより、以前の設定値を保持することができます。

show module 1 recover コマンドを使用してリカバリ コンフィギュレーションを表示できます。

マルチコンテキスト モードでは、システム実行スペースでこのコマンドを入力します。

ステップ 2

hw-module module 1 recover boot
 

hostname# hw-module module 1 recover boo t

TFTP サーバから SSM にイメージを転送し、SSM を再起動します。

ステップ 3

show module 1 details
 

hostname# show module 1 details

イメージ転送の進捗と SSM の再起動プロセスを確認します。

出力の [Status] フィールドは SSM の動作ステータスを示します。SSM の動作ステータスは、通常は「Up」と表示されます。適応型セキュリティ アプライアンスはアプリケーション イメージを SSM に転送しますが、出力の [Status] フィールドには [Recover] と表示されます。適応型セキュリティ アプライアンスがイメージの転送を完了し、SSM を再起動すると、新たに転送されたイメージが実行されます。

パスワードのトラブルシューティング

SSM/SSC パスワードをデフォルトにリセットできます。IPS の場合、パスワードのリセットは、SSM/SSC で IPS バージョン 6.0 以降が実行されている場合にサポートされます。デフォルトのパスワードは「cisco」(かぎカッコは除く)です。パスワードをリセットした後は、SSM/SSC アプリケーションを使用してパスワードを独自の値に変更する必要があります。

SSM/SSC パスワードをリセットすると、SSM/SSC はリブートします。SSM/SSC のリブート中は、サービスを使用できません。

ログインし、新しいパスワードを定義した後、ソフトウェアにログインしなおす必要はありません。新しいパスワードでソフトウェアに接続できない場合は、ASDM を再起動してから、再びログインを試してみてください。

モジュールのパスワードをデフォルトの「cisco」にリセットするには、次の手順を実行します。

手順の詳細

 

コマンド
目的
hw-module module 1 password-reset
 

hostname# hw-module module 1 password-reset

モジュールのパスワードを「cisco」にリセットします。

モジュールのリロードまたはリセット

モジュールをリロードまたはリセットするには、適応型セキュリティ アプライアンス CLI で次のいずれかのコマンドを入力します。

手順の詳細

 

コマンド
目的
hw-module module 1 reload
 

hostname# hw-module module 1 reload

モジュール ソフトウェアをリロードします。

hw-module module 1 reset
 

hostname# hw-module module 1 reset

ハードウェアをリセットし、モジュールをリロードします。

モジュールのシャットダウン

適応型セキュリティ アプライアンスを再起動しても、SSC は自動では再起動されません。モジュールをシャットダウンするには、適応型セキュリティ アプライアンス CLI で次の手順を実行します。

手順の詳細

 

コマンド
目的
hw-module module 1 shutdown
 

hostname# hw-module module 1 shutdown

モジュールをシャットダウンします。

SSM と SSC のモニタリング

SSM または SSC のステータスをチェックするには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show module

ステータスを表示します。

show module 1 details

ステータスの追加情報を表示します。

show module 1 recover

イメージをモジュールに転送するためのネットワーク パラメータを表示します。

次に、CSC SSM がインストールされている適応型セキュリティ アプライアンスでの show module コマンドの出力例を示します。

hostname# show module
Mod Card Type Model Serial No.
--- -------------------------------------------- ------------------ -----------
0 ASA 5520 Adaptive Security Appliance ASA5520 JMX1241L05S
1 ASA 5500 Series Content Security Services Mo ASA-SSM-CSC-10 AF1234BQQL
 
Mod SSM Application Name Status SSM Application Version
--- ------------------------------ ---------------- --------------------------
1 CSC SSM Down 6.2.1599.0
 

次に、 show module details コマンドの出力例を示します。この出力は、CSC SSM がインストールされている適応型セキュリティ アプライアンスに関する追加情報を提供します。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Module-20
Model: ASA-SSM-20
Hardware version: 1.0
Serial Number: JAF10333331
Firmware version: 1.0(10)0
Software version: Trend Micro InterScan Security Module Version 6.2
App.name: Trend Micro InterScan Security Module
App.version: Version 6.2
Data plane Status: Up
Status: Up
HTTP Service: Up
Mail Service: Up
FTP Service: Up
Activated: Yes
Mgmt IP addr: 209.165.200.225
Mgmt web port: 8443
 

次に、 show module recover コマンドの出力例を示します。この出力には、CSC SSM がインストールされている適応型セキュリティ アプライアンスの回復の詳細が含まれます。

hostname# show module 1 recover
Module 1 recover parameters...
Boot Recovery Image: Yes
Image URL: tftp://10.21.18.1/ids-oldimg
Port IP Address: 209.165.200.230
Port Mask: 255.255.224.0
Gateway IP Address: 209.165.200.254
 

次に、 show module details コマンドの出力例を示します。この出力は、SSC がインストールされている適応型セキュリティ アプライアンスに関する追加情報を提供します。

hostname# show module 1 details
Getting details from the Service Module, please wait...
ASA 5500 Series Security Services Card-5
Hardware version: 0.1
Serial Number: JAB11370240
Firmware version: 1.0(14)3
Software version: 6.2(1)E2
MAC Address Range: 001d.45c2.e832 to 001d.45c2.e832
App.Name: IPS
App.Status: Up
App.Status Desc: Not Applicable
App.Version: 6.2(1)E2
Data plane Status: Up
Status: Up
Mgmt IP Addr: 209.165.201.29
Mgmt Network Mask: 255.255.224.0
Mgmt Gateway: 209.165.201.30
Mgmt Access List: 209.165.201.31/32
209.165.202.158/32
209.165.200.254/24
Mgmt Vlan: 20
 

関連情報

AIP SSM または SSC を設定するには、「AIP SSM と SSCでの IPS アプリケーションの設定」を参照してください。

CSC SSM を設定するには、「CSC SSM での Content Security and Control アプリケーションの設定」を参照してください。

SSM および SSC の機能履歴

表 54-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 54-2 SSM および SSC の機能履歴

機能名
プラットフォーム リリース
機能情報

SSM

ASA 7.0(1)

複数のアプリケーションをサポートするために SSM が導入されました。

SSM を管理するために hw-module module {recover | reload | reset | shutdown} show module 、および session コマンドが導入されました。

パスワードのリセット

ASA 7.2(2)

hw-module module password-reset コマンドが導入されました。

SSC

ASA 8.2(1)

SSC が ASA 5505 に導入されました。

allow-ssc-mgmt hw-module module ip 、および hw-module module allow-ip コマンドが導入されました。