セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

Cisco ASA 5500 シリーズ Adaptive Security Appliance クイック スタート ガイド

クイック スタート ガイド
発行日;2012/01/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Cisco ASA 5500 シリーズ

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスについて

このマニュアルについて

パッケージ内容の確認

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの取り付け

シャーシのラック マウント

インターフェイス ケーブルの接続

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの設定

工場出荷時のデフォルト設定について

Adaptive Security Device Manager について

コマンドライン インターフェイスを使用した設定について

Startup Wizard の使用方法

一般的な設定シナリオ

シナリオ 1:DMZ 設定

手順 1:ネットワーク変換用の IP プールを設定する

手順 2:プライベート ネットワークでのアドレス変換を設定する

手順 3:DMZ Web サーバの外部 ID を設定する

手順 4:DMZ Web サーバへの HTTP アクセスを可能にする

シナリオ 2:リモート アクセス VPN

手順 1:適応型セキュリティ アプライアンスをリモート アクセス VPN 用に設定する

手順 2:VPN クライアントを選択する

手順 3:VPN トンネル グループ名および認証方式を指定する

手順 4:ユーザ認証方式を指定する

手順 5:必要に応じてユーザ アカウントを設定する

手順 6:アドレス プールを設定する

手順 7:クライアント アトリビュートを設定する

手順 8:IKE ポリシーを設定する

手順 9:IPSec の Encryption パラメータおよび Authentication パラメータを設定する

手順 10:アドレス変換の例外およびスプリット トンネリングを設定する

手順 11:リモート アクセス VPN 設定を確認する

シナリオ 3:サイトツーサイト VPN 設定

ASDM には、サイトツーサイト VPN の設定プロセスを説明する設定ウィザードが用意されています。

手順 1:適応型セキュリティ アプライアンスを 1 つ目のサイトで設定する

手順 2:VPN ピアに関する情報を入力する

手順 3:IKE ポリシーを設定する

手順 4:IPSec の Encryption パラメータおよび Authentication パラメータを設定する

手順 5:ローカル ホストおよびネットワークを指定する

手順 6:リモート ホストおよびネットワークを指定する

手順 7:VPN アトリビュートを表示してウィザードを終了する

次の作業

オプションの SSM 設定と構成の手順

4GE SSM の手順

手順 1:4GE SSM インターフェイスをケーブル接続する

手順 2:(オプション)ファイバ インターフェイスの 4GE SSM メディア タイプを設定する

AIP SSM の手順

手順 1:AIP SSM 管理インターフェイスをケーブル接続する

手順 2:AIP SSM にトラフィックを転送するように ASA 5500 を設定する

手順 3:AIP SSM へのセッションを確立し、セットアップを実行する

次の作業

オプションのメンテナンスとアップグレードの手順

DES および 3DES/AES の暗号化ライセンスの取得

デフォルト設定の復元

LED の確認

マニュアルの入手

Cisco.com

Documentation DVD(英語版)

マニュアルの発注方法(英語版)

シスコシステムズマニュアルセンター

シスコ製品のセキュリティの概要

シスコ製品のセキュリティ問題の報告

テクニカル サポート

Cisco Technical Support Web サイト

Japan TAC Web サイト

サービス リクエストの発行

サービス リクエストのシビラティの定義

その他の資料および情報の入手方法

クイック スタート ガイド

Cisco ASA 5500 シリーズ
Adaptive Security Appliance クイック スタート ガイド

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスについて

 

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス ファミリは、中規模ビジネスのネットワークから大規模エンタープライズのネットワークまで、企業レベルのセキュリティをモジュラ形式の専用のアプライアンスで提供します。その用途の広い 1 ラック ユニット(1RU)設計では、最大 8 個の 10/100/1000 ギガビット イーサネット インターフェイス(5520 と 5540 の場合)、および 1 個の 10/100 ファースト イーサネット管理インターフェイスがサポートされます。したがって、費用有効で柔軟性があり、Demilitarized Zone(DMZ; 非武装地帯)サポートがあるセキュリティ ソリューションを必要とする企業にとって優れた選択肢となっています。オプションの 4GE SSM には 4 個のポートが備わっていて、それぞれ 2 つのインターフェイス(銅線の RJ-45(イーサネット)および光ファイバ接続用の SFP)があります。市場をリードする Cisco 適応型セキュリティ アプライアンス シリーズ製品の 1 つである Cisco ASA 5500 を使用すると、多様な統合セキュリティ サービス、ハードウェア VPN アクセラレータ、完全な侵入防御、高いアベイラビリティ、および強力なリモート管理といった各種の機能が、導入の容易な高性能のソリューションで提供されます。

このマニュアルについて

このマニュアルでは、Cisco ASA 5510、5520、および 5540 の適応型セキュリティ アプライアンスを設置して設定し、VPN、DMZ、リモートアクセス、および侵入防御の導入のために使用する方法について説明します。

このマニュアルで説明する手順を完了すると、適応型セキュリティ アプライアンスで、ほとんどの構成に適した堅固な VPN、DMZ、またはリモート アクセスの設定を実行できるようになります。このマニュアルは、適応型セキュリティ アプライアンスを設置し、基本コンフィギュレーションで実行するために十分な情報のみを記載しています。

詳細については、次のマニュアルを参照してください。

Cisco ASA 5500 Series Release Notes

Cisco ASA 5500 Series Hardware Installation Guide

Cisco Security Appliance Command Line Configuration Guide

Cisco Security Appliance Command Reference

Cisco Security Appliance Logging Configuration and System Log Messages

パッケージ内容の確認

パッケージの箱の内容をチェックし、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスを取り付けるために必要な品目がすべてそろっていることを確認します。

 

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの取り付け


警告 「危険」の意味です。人身事故を予防するための注意事項が記述されています。装置の取り扱い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止策をとるよう努めてください。警告の各国語版を参照するには、各注意事項の番号と、装置に付属の「Translation Safety Warnings」の番号を照らし合せてください。ステートメント 1071



注意 これらの手順を実行する場合は、『Regulatory Compliance and Safety Information for the Cisco ASA 5500 Series』の安全に関する警告を読み、適切な安全手順に従ってください。


警告 ラックにこの装置をマウントしたり、ラック上の装置の作業を行うときは、ケガをしないように、装置が安定した状態に置かれていることを十分に確認してください。安全に関するガイドラインは次のとおりです。

この装置だけをラックにマウントする場合、ラックの一番下にマウントしてください。

すでに別の装置がラックに取り付けられている場合は、最も重い装置をラックの一番下に取り付け、重い順に下から上へと設置するようにします。

ラックにスタビライザが付属している場合は、スタビライザを取り付けてから、ラックへの装置の取り付けまたはラックでの作業を行います。ステートメント 1006


 

適応型セキュリティ アプライアンスをラックに取り付ける場合は、次のガイドラインに従います。

メンテナンスのためにラックの周囲にすき間を空けます。

閉鎖型ラックに装置をマウントする場合は、換気が十分に行われるようにします。閉鎖型ラックに装置を詰め込みすぎないようにしてください。各装置で熱が発生します。

開放型ラックに装置をマウントする場合は、ラックのフレームで吸気口や排気口をふさがないように注意します。


警告 次の手順を実行する前に、DC 回路に電気が流れていないことを確認してください。すべての電源を確実に切断するには、パネル ボード上で DC 回路に対応している回路ブレーカーを確認して、回路ブレーカーを OFF の位置に切り替え、回路ブレーカーのスイッチ ハンドルを OFF の位置のままテープで固定します。ステートメント 7


シャーシのラック マウント

シャーシをラックマウントするには、次の手順に従います。


ステップ1 付属のネジを使用して、シャーシにラックマウント ブラケットを取り付けます。シャーシの前面付近または背面にある穴にブラケットを取り付けます(図1 を参照してください)。

図1 ブラケットの取り付け

 

ステップ2 付属のネジを使用して、シャーシをラックに取り付けます(図2 を参照してください)。

図2 シャーシのラック マウント

 


 

インターフェイス ケーブルの接続

インターフェイス ケーブルを接続するには、次の手順に従います。


ステップ1 管理アクセスのため、コンピュータまたはターミナルを適応型セキュリティ アプライアンスに接続します。


) コンピュータまたはターミナルをコンソール ポートに接続する前に、ボー レートを確認します。ボー レートは、適応型セキュリティ アプライアンスのコンソール ポートのデフォルト ボー レート(9600 ボー)と一致している必要があります。コンピュータまたはターミナルを次のように設定します。9600 ボー(デフォルト)、8 データ ビット、パリティなし、1 ストップ ビット、FC=ハードウェア。


ステップ2 アクセサリ キットから青色のコンソール ケーブルを見つけます。コンソール ケーブルには、一方の端に RJ-45 コネクタ、もう一方の端に DB-9 コネクタがあります。

ステップ3 青色のコンソール ケーブルの RJ-45 コネクタを、適応型セキュリティ アプライアンスの背面パネルにあるコンソール ポートに接続します(図3 を参照してください)。

ステップ4 青色のケーブルの DB-9 コネクタをコンピュータまたはターミナルのシリアル ポートに接続します。

図3 シャーシ コンソール ケーブルの接続

 

1

RJ-45 コンソール ポート

2

RJ-45/DB-9 シリアル コンソール ケーブル(ヌルモデム)


) 管理目的で、適応型セキュリティ アプライアンスの MGMT ポートにイーサネット ケーブルを接続することもできます。MGMT ポートは管理トラフィック専用のファースト イーサネット インターフェイスで、Management0/0 として指定されています。MGMT ポートはコンソール ポートと類似していますが、着信トラフィックのみを受け入れます。


ステップ5 アクセサリ キットから黄色のイーサネット ケーブルを見つけます。

ステップ6 イーサネット ケーブルの一方の端をイーサネット ポートに接続し、もう一方の端をネットワーク デバイス(ルータ、スイッチ、ハブなど)に接続します。

ステップ7 電源コードを適応型セキュリティ アプライアンスと電源に接続します。

ステップ8 シャーシの電源を入れます。


 

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスの設定

この項では、適応型セキュリティ アプライアンスの初期設定について説明します。設定手順を実行するには、ブラウザベースの Cisco Adaptive Security Device Manager(ASDM)またはコマンドライン インターフェイス(CLI)のいずれかを使用します。


) ASDM を使用するには、DES ライセンスまたは 3DES/AES ライセンスが必要です。詳細については、「DES および 3DES/AES の暗号化ライセンスの取得」を参照してください。


工場出荷時のデフォルト設定について

Cisco 適応型セキュリティ アプライアンスは、すぐに使用を開始できるように工場でデフォルト設定されて出荷されます。この設定は、大部分の中小企業におけるネットワーク環境のニーズを満たしています。デフォルトでは、適応型セキュリティ アプライアンスは次のように設定されています。

内部(ギガビット イーサネット 0/1)インターフェイスには、デフォルト DHCP アドレス プールが組み込まれている。

この設定により、内部ネットワークのクライアントは、適応型セキュリティ アプライアンスに接続するためにアプライアンスから DHCP アドレスを取得できます。このため、管理者は ASDM を使用して適応型セキュリティ アプライアンスを設定および管理できます。

外部(ギガビット イーサネット 0/0)インターフェイスはパブリック ネットワークへの接続に使用され、すべての着信トラフィックを拒否するように設定されている。

この設定により、内部ネットワークが要求外のトラフィックから保護されます。

また、ネットワークのセキュリティ ポリシーに基づいて、外部インターフェイス、または必要なその他すべてのインターフェイスを経由する ICMP トラフィックをすべて拒否するように適応型セキュリティ アプライアンスを設定することを検討する必要もあります。このアクセス コントロール ポリシーは、 icmp コマンドを使用して設定できます。 icmp コマンドの詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。

Adaptive Security Device Manager について

Adaptive Security Device Manager(ASDM)は、適応型セキュリティ アプライアンスを管理および監視できる、豊富な機能を持つグラフィカル インターフェイスです。その Web ベースの設計によってセキュアなアクセスが実現されるため、Web ブラウザを使用して、どこからでも適応型セキュリティ アプライアンスに接続し、管理することができます。

設定と管理の機能がそろっているだけでなく、ASDM には適応型セキュリティ アプライアンスの導入を簡素化および促進するインテリジェント ウィザードが搭載されています。

ASDM を使用するには、DES ライセンスまたは 3DES/AES ライセンスが必要です。さらに、Web ブラウザで Java および JavaScript をイネーブルにする必要があります。

コマンドライン インターフェイスを使用した設定について

適応型セキュリティ アプライアンスは、ASDM Web コンフィギュレーション ツールだけでなく、コマンドライン インターフェイスを使用しても設定できます。詳細については、『 Cisco Security Appliance Command Line Configuration Guide』および『Cisco Security Appliance Command Reference』を参照してください。

Startup Wizard の使用方法

ASDM には、適応型セキュリティ アプライアンスの初期設定を簡素化する Startup Wizard が用意されています。Startup Wizard を使用すると、わずかな手順で、内部ネットワーク(ギガビット イーサネット 0/1)と外部ネットワーク(ギガビット イーサネット 0/0)間でパケットが安全に流れるように適応型セキュリティ アプライアンスを設定できます。

Startup Wizard を起動する前に、次の情報を収集します。

ネットワーク上の適応型セキュリティ アプライアンスを識別する一意のホスト名

外部インターフェイス、内部インターフェイス、およびその他のインターフェイスの IP アドレス

NAT または PAT の設定に使用する IP アドレス

DHCP サーバの IP アドレス範囲

Startup Wizard を使用して適応型セキュリティ アプライアンスの基本設定をセットアップするには、次の手順に従います。


ステップ1 まだ次の操作を実行していない場合は、ここでいずれかを実行します。

ASA 5520 または 5540 の場合は、イーサネット ケーブルを使用して内部ギガビット イーサネット 0/1 インターフェイスをスイッチまたはハブに接続します。同じスイッチに、適応型セキュリティ アプライアンスを設定する PC を接続します。

ASA 5510 の場合は、イーサネット ケーブルを使用して内部イーサネット 1 インターフェイスをスイッチまたはハブに接続します。同じスイッチに、適応型セキュリティ アプライアンスを設定する PC を接続します。

ステップ2 DHCP を使用するように(適応型セキュリティ アプライアンスから自動的に IP アドレスを受け取るように)PC を 設定するか、192.168.1.0 ネットワークからアドレスを選択して PC に固定 IP アドレスを割り当てます(有効なアドレスは 192.168.1.2 ~ 192.168.1.254 で、255.255.255.0 のマスクと 192.168.1.1 のデフォルト ルートがあります)。


) 適応型セキュリティ アプライアンスの内部インターフェイスには、デフォルトで 192.168.1.1 が割り当てられています。そのため、このアドレスは使用できません。


ステップ3 次のいずれかの操作を実行します。

ASA 5520 または 5540 の場合は、ギガビット イーサネット 0/1 インターフェイスのリンク LED を確認します。

ASA 5510 場合は、イーサネット 1 インターフェイスのリンク LED を確認します。

接続が確立されると、適応型セキュリティ アプライアンスのリンク LED インターフェイス、およびスイッチまたはハブ上の対応するリンク LED が緑色に点灯します。

ステップ4 Startup Wizard を起動します。

a. スイッチまたはハブに接続された PC で、インターネット ブラウザを起動します。

b. ブラウザのアドレス フィールドに、 https://192.168.1.1/ という URL を入力します。


) 適応型セキュリティ アプライアンスは、192.168.1.1 のデフォルト IP アドレスが設定されて出荷されます。「https」の「s」を付け忘れると、接続は失敗します。HTTPS(HTTP over SSL)を使用すると、ブラウザと適応型セキュリティ アプライアンスとの間の安全な接続が可能になります。


ステップ5 ユーザ名とパスワードの入力を求めるダイアログボックスでは、どちらのフィールドも空のままにします。 Enter キーを押します。

ステップ6 Yes をクリックして、証明書を受け入れます。後続の認証および証明書に関するすべてのダイアログボックスで、Yes をクリックします。

ステップ7 ASDM が起動したら、ウィンドウ最上部にある Wizards メニューから Startup Wizard を選択します。

ステップ8 Startup Wizard の手順に従って適応型セキュリティ アプライアンスを設定します。

Startup Wizard のフィールドの詳細を確認するには、ウィンドウ下部にある Help ボタンをクリックします。


 

一般的な設定シナリオ

この項では、適応型セキュリティ アプライアンスの一般的な導入の設定例を示します。次の 3 つの例を紹介します。

DMZ ネットワーク上の Web サーバのホスティング

オフサイトのクライアントが内部ネットワークとのセキュアな通信を確立するためのリモート アクセス VPN 接続の確立

他のビジネス パートナーまたはリモート オフィスとのサイトツーサイト VPN 接続の確立

ネットワークを設定するときには、これらのシナリオをガイドとして使用してください。実際に使用するネットワーク アドレスに置き換え、必要に応じて追加のポリシーを適用します。

シナリオ 1:DMZ 設定

非武装地帯(DMZ)は、プライベート(内部)ネットワークとパブリック(外部)ネットワークとの間の中立帯に位置する別個のネットワークです。この例のネットワーク トポロジは、適応型セキュリティ アプライアンスの DMZ 実装の大部分と類似しています。Web サーバは DMZ インターフェイス上にあり、内部ネットワークおよび外部ネットワークの両方の HTTP クライアントが Web サーバに安全にアクセスできます。

図4 では、内部ネットワーク上の HTTP クライアント(10.10.10.10)は、DMZ Web サーバ(10.30.30.30)と HTTP 通信を開始しています。インターネット上のすべてのクライアントが DMZ Web サーバに HTTP アクセスできます。それ以外の通信はすべて拒否されます。ネットワークは、10.30.30.50 ~ 10.30.30.60 のアドレスの IP プールを使用するように設定されています(IP プールは、DMZ インターフェイスで使用可能な IP アドレスの範囲です)。

図4 DMZ 設定シナリオのネットワーク レイアウト

 

DMZ Web サーバはプライベート DMZ ネットワーク上にあるため、プライベート IP アドレスをパブリック(ルーティングが可能な)IP アドレスに変換する必要があります。外部クライアントはこのパブリック アドレスを使用して、インターネット上のすべてのサーバにアクセスする場合と同様に DMZ Web サーバにアクセスできます。

図4 に示されている DMZ 設定シナリオには、だれでも使用できるルーティング可能な 2 つの IP アドレスがあります。1 つは適応型セキュリティ アプライアンスの外部インターフェイス用
(209.165.200.225)、もう 1 つは DMZ Web サーバのパブリック IP アドレス用(209.165.200.226)です。次の手順では、ASDM を使用して、HTTP クライアントと Web サーバとの間にセキュアな通信を確立するよう適応型セキュリティ アプライアンスを設定する方法を示します。

この DMZ シナリオでは、適応型セキュリティ アプライアンスにはすでに dmz と呼ばれる外部インターフェイスが設定されています。Startup Wizard を使用して、適応型セキュリティ アプライアンスの DMZ のインターフェイスを設定します。セキュリティ レベルを 0 ~ 100 の間に設定していることを確認します(通常は 50)。

収集する情報

この設定手順を開始する前に、次の情報を収集します。

パブリック ネットワーク上のクライアントに対して使用可能にする DMZ 内のサーバの内部 IP アドレス(このシナリオでは Web サーバ)。

DMZ 内のサーバのために使用される外部 IP アドレス(パブリック ネットワーク上のクライアントは外部 IP アドレスを使用して DMZ 内のサーバにアクセスします)。

発信トラフィックで内部 IP アドレスの代わりになるクライアント IP アドレス(内部 IP アドレスが公開されないように、発信クライアント トラフィックはこのアドレスから発信されたように表示されます)。

手順 1:ネットワーク変換用の IP プールを設定する

内部 HTTP クライアント(10.10.10.10)が DMZ ネットワーク上の Web サーバ(10.30.30.30)にアクセスするには、DMZ インターフェイスの IP アドレス(10.30.30.50 ~ 10.30.30.60)のプールを定義する必要があります。同様に、内部 HTTP クライアントがパブリック ネットワーク上のデバイスと通信するには、外部インターフェイス(209.165.200.225)の IP プールが必要です。IP プールを効率的に管理し、保護されたネットワーク クライアントとインターネット上のデバイス間のセキュアな通信を容易にするには、ASDM を使用します。

1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。


) 「https」の「s」を付け忘れると、接続は失敗します。HTTPS(HTTP over SSL)を使用すると、ブラウザと適応型セキュリティ アプライアンスとの間の安全な接続が可能になります。


 

2. ASDM ウィンドウの最上部にある Configuration をクリックします。

3. ASDM ウィンドウの左側にある NAT 機能を選択します。

4. ASDM ウィンドウの下部にある Manage Pools をクリックします。Manage Global Address Pools ダイアログボックスが表示され、グローバル アドレス プールを追加または編集できます。

 


) 大部分の設定では、グローバル プールは、低セキュリティ インターフェイスつまりパブリック インターフェイスに対して追加されます。


5. Manage Global Address Pools ダイアログボックスで次の操作を実行します。

a. dmz インターフェイスを選択します(この手順を開始する前に Startup Wizard を使用して設定済みのもの)。

b. Add をクリックします。Add Global Pool Item ダイアログボックスが表示されます。

 

6. Add Global Pool Item ダイアログボックスで次の操作を実行します。

a. Interface ドロップダウン メニューから dmz を選択します。

b. IP アドレスの範囲を入力するために Range をクリックします。

c. DMZ インターフェイスの IP アドレスの範囲を入力します。このシナリオでは、範囲は 209.165.200.230 ~ 209.165.200.240 です。

d. 一意のプール ID を入力します。このシナリオでは、プール ID は 200 です。

e. OK をクリックして、Manage Global Address Pools ダイアログボックスに戻ります。


) DMZ インターフェイスに使用可能な限定 IP アドレスがある場合は、Port Address Translation (PAT) または Port Address Translation (PAT) using the IP address of the interface を選択することもできます。


7. Manage Global Address Pools ダイアログボックスで次の操作を実行します。

a. outside インターフェイスを選択します。

b. Add をクリックします。

8. Add Global Pool Item ダイアログボックスが表示されたら、次の操作を実行します。

a. Interface ドロップダウン メニューから outside を選択します。

b. Port Address Translation (PAT) using the IP address of the interface をクリックします。

c. ステップ 6d で割り当てたのと同じプール ID をこのプールに割り当てます(このシナリオでは、プール ID は 200 になります)。

d. OK をクリックします。表示される設定は次のようになります。

 

9. 設定値が正しいことを確認し、次の操作を実行します。

a. OK をクリックします。

b. メイン ASDM ウィンドウで、 Apply をクリックします。


) 使用可能なパブリック IP アドレスは 2 つだけで、そのうち 1 つは DMZ サーバ用に予約されているため、内部 HTTP クライアントによって開始されるトラフィックはすべて、外部インターフェイス IP アドレスを使用して適応型セキュリティ アプライアンスから送信されます。この設定では、内部クライアントからのトラフィックはインターネットとの間でルーティングされます。


手順 2:プライベート ネットワークでのアドレス変換を設定する

Network Address Translation(NAT; ネットワーク アドレス変換)では、適応型セキュリティ アプライアンスの 2 つのインターフェイス間で交換されるネットワーク トラフィックの送信元 IP アドレスが置き換えられます。この変換では、パブリック ネットワーク経由のルーティングが可能になりますが、内部 IP アドレスはパブリック ネットワーク上で公開されません。

Port Address Translation(PAT; ポート アドレス変換)は、NAT の拡張機能です。この機能を使用すると、プライベート ネットワーク上の複数のホストをパブリック ネットワークの単一の IP アドレスにマッピングできます。PAT は、使用可能なパブリック IP アドレスの数が制限されている中小規模の企業にとって不可欠です。

内部インターフェイスと内部 HTTP クライアントの DMZ インターフェイスとの間に NAT を設定するには、メイン ASDM ページから始まる次の手順に従います。

1. ASDM ウィンドウの最上部にある Configuration をクリックします。

2. ASDM ウィンドウの左側にある NAT 機能を選択します。

3. Translation Rules をクリックし、次に ASDM ページの右側にある Add をクリックします。

4. Add Address Translation Rule ダイアログボックスで、 Use NAT が選択されていることを確認し、 inside インターフェイスを選択します。

 

5. 内部クライアントの IP アドレスを入力します。このシナリオでは、IP アドレスは 10.10.10.10 です。

6. Mask ドロップダウン メニューから 255.255.255.224 を選択します。

7. Translate Address on Interface ドロップダウン メニューから DMZ インターフェイスを選択します。

8. Translate Address To セクションで Dynamic をクリックします。

9. プール ID の Address Pools ドロップダウン メニューから 200 を選択します。

10. OK をクリックします。

11. 操作を続行するかどうかを確認するダイアログボックスが表示されます。 Proceed をクリックします。

12. NAT Translation Rules ページで、表示されている設定が正しいかどうかを確認します。

13. Apply をクリックして、適応型セキュリティ アプライアンスの設定変更を終了します。

表示される設定は次のようになります。

 

手順 3:DMZ Web サーバの外部 ID を設定する

DMZ Web サーバは、インターネット上のすべてのホストから容易にアクセスできる必要があります。この設定では、Web サーバの IP アドレスを変換してインターネット上に存在しているように表示し、外部 HTTP クライアントが適応型セキュリティ アプライアンスに気付かずに Web サーバにアクセスできるようにする必要があります。Web サーバの IP アドレス(10.30.30.30)をパブリック IP アドレス(209.165.200.225)にスタティックにマッピングするには、次の手順に従います。

1. ASDM ウィンドウの最上部にある Configuration をクリックします。

2. ASDM ウィンドウの左側にある NAT 機能を選択します。

3. Translation Rules をクリックし、次にページの右側にある Add をクリックします。

4. インターフェイスのドロップダウン リストから外部 dmz インターフェイスを選択します。

5. Web サーバの IP address (10.30.30.30)を入力します。

6. Mask ドロップダウン メニューから 255.255.255.224 を選択し、次に Static をクリックします。

7. Web サーバの外部 IP アドレス(209.165.200.226)を入力します。次に OK をクリックします。

8. 入力した値を確認し、 Apply をクリックします。

表示される設定は次のようになります。

 

手順 4:DMZ Web サーバへの HTTP アクセスを可能にする

デフォルトでは、適応型セキュリティ アプライアンスは、パブリック ネットワークから着信するトラフィックをすべて拒否します。適応型セキュリティ アプライアンスにアクセス コントロール ルールを作成し、パブリック ネットワークから適応型セキュリティ アプライアンスを経由して DMZ のリソースに到達する特定のトラフィック タイプを許可する必要があります。

インターネット上のすべてのクライアントが DMZ 内の Web サーバにアクセスできるように、適応型セキュリティ アプライアンス経由の HTTP トラフィックを許可するアクセス コントロール ルールを設定するには、次の手順に従います。

1. ASDM ウィンドウで次の操作を実行します。

a. Configuration をクリックします。

b. ASDM 画面の左側にある Security Policy を選択します。

c. テーブルで、 Add をクリックします。

2. Add Access Rule ダイアログボックスで次の操作を実行します。

a. Action で、ドロップダウン メニューから permit を選択し、適応型セキュリティ アプライアンスを経由するトラフィックを許可します。

b. Source Host/Network で、 IP Address をクリックします。

c. Interface ドロップダウン メニューから outside を選択します。

d. Source Host/Network 情報の IP アドレスを入力します(0.0.0.0 を使用して、すべてのホストまたはネットワークから発信されたトラフィックを許可します)。

e. Destination Host/Network で、 IP Address をクリックします。

f. Interface ドロップダウン メニューから dmz インターフェイスを選択します。

g. IP address フィールドに、Web サーバなどの宛先ホストまたはネットワークの IP アドレスを入力します(このシナリオでは、Web サーバの IP アドレスは 10.30.30.30 です)。

h. Mask ドロップダウン メニューから 255.255.255.224 を選択します。


) または、どちらの場合もそれぞれ Browse ボタンをクリックして、ホストまたはネットワークを選択することもできます。


 

3. 許可するトラフィックのタイプを指定します。


) HTTP トラフィックは常に、任意の TCP 送信元ポート番号から固定の宛先ポート番号 80 に向けられます。


a. Protocol and Service で TCP をクリックします。

b. Source Port で、 Service ドロップダウン メニューから「=」(等しい)を選択します。

c. 省略記号( ... )が付いたボタンをクリックし、オプションをスクロールして Any を選択します。

d. Destination Port で、 Service ドロップダウン メニューから「=」(等しい)を選択します。

e. 省略記号( ... )が付いたボタンをクリックし、オプションをスクロールして HTTP を選択します。

f. OK をクリックします。


) ACL によるロギング システム メッセージなどの追加機能については、画面上部にある More Options をクリックします。下部にあるダイアログボックスにアクセス ルールの名前を入力できます。


g. 入力した情報が正しいことを確認し、 OK をクリックします。


) 指定された宛先アドレスは DMZ Web サーバのプライベート アドレス(10.30.30.30)ですが、インターネット上の任意のホストから 209.165.200.225 宛ての HTTP トラフィックは、適応型セキュリティ アプライアンス経由で許可されます。アドレス変換(10.30.30.30 = 209.165.200.225)により、トラフィックが許可されます。


h. メイン ウィンドウで、 Apply をクリックします。

表示される設定は次のようになります。

 

これで、プライベート ネットワークおよびパブリック ネットワーク上の HTTP クライアントが DMZ Web サーバに安全にアクセスできるようになりました。

シナリオ 2:リモート アクセス VPN

リモート アクセス Virtual Private Network(VPN; バーチャル プライベート ネットワーク)では、オフサイトのユーザにセキュアなアクセスを提供できます。ASDM を使用すると、適応型セキュリティ アプライアンスを設定して、インターネットを越えてセキュアな接続(トンネル)を作成できます。

図5 に、インターネットを越えて VPN クライアントからの要求を受け入れ、VPN クライアントとセキュアな接続を確立するように設定された適応型セキュリティ アプライアンスを示します。

図5 リモート アクセス VPN シナリオのネットワーク レイアウト

 

ASDM VPN Wizard を使用すると、一連の簡単な手順で、適応型セキュリティ アプライアンスをリモート アクセス VPN ヘッドエンド デバイスとして設定できます。

手順 1:適応型セキュリティ アプライアンスをリモート アクセス VPN 用に設定する

1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。

2. メイン ASDM ページで、 Wizards ドロップダウン メニューから VPN Wizard オプションを選択します。VPN Wizard Step 1 ウィンドウが表示されます。

 

3. VPN Wizard の Step 1 で、次の手順に従います。

a. Remote Access VPN オプションを選択します。

b. ドロップダウン メニューから、着信 VPN トンネルで有効なインターフェイスとして outside を選択します。

c. Next をクリックして続行します。

手順 2:VPN クライアントを選択する

1. VPN Wizard の Step 2 では、オプション ボタンをクリックして、リモート アクセス ユーザが Cisco VPN クライアントまたはその他の Easy VPN Remote 製品のいずれかを使用して適応型セキュリティ アプライアンスに接続できるようにします。


) 現在この画面には 1 つの選択肢しか表示されていませんが、他のトンネル タイプが使用可能になると簡単にイネーブルにできるように設定されています。


 

2. Next をクリックして続行します。

手順 3:VPN トンネル グループ名および認証方式を指定する

VPN Wizard の Step 3 で、次の手順に従います。

1. 共通の接続パラメータおよびクライアント アトリビュートを使用する複数ユーザのセットに Tunnel Group Name(「CiscoASA」など)を入力します。

 

2. 次のいずれかの操作を実行して、使用する認証のタイプを指定します。

認証にスタティック事前共有キーを使用するには、Pre-Shared Key をクリックし、キー(「CisCo」など)を入力します。

認証にデジタル証明書を使用するには、Certificate をクリックし、ドロップダウン メニューから証明書署名アルゴリズム(rsa-sig/dsa-sig)を選択し、次に、事前設定されているトラストポイント名をドロップダウン メニューから選択します。

3. Next をクリックして続行します。

手順 4:ユーザ認証方式を指定する

ユーザの認証は、ローカル認証データベース、または外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)サーバを使用して実行できます(AAA サーバには RADIUS、TACACS+、SDI、NT、および Kerberos があります)。

VPN Wizard の Step 4 で、次の手順に従います。

1. 適切なオプション ボタンをクリックして、使用するユーザ認証のタイプを選択します。

ローカル認証データベース

外部の AAA サーバ グループ

2. 事前設定されているサーバ グループをドロップダウン リストから選択するか、New をクリックして新しいサーバ グループを追加します。

 

3. Next をクリックして続行します。

手順 5:必要に応じてユーザ アカウントを設定する

ローカル ユーザ データベースを使用してユーザを認証する場合は、VPN Wizard の Step 5 で個々のユーザ アカウントを作成します。

1. 新しいユーザを追加するには、ユーザ名とパスワードを入力し、 Add をクリックします。

 

2. 新しいユーザの追加が終了したら、 Next をクリックして続行します。

手順 6:アドレス プールを設定する

リモート クライアントがネットワークにアクセスするには、接続に成功したときにリモート VPN クライアントに割り当てられる可能性のある IP アドレスのプールを設定する必要があります。このシナリオでは、プールは 209.165.201.1 ~ 209.166.201.20 の範囲の IP アドレスを使用するように設定します。

アドレス プールを設定するには、次の手順に従います。

1. プール名を入力するか、事前設定されているプールをドロップダウン リストから選択します。

2. プールで使用する IP アドレスの範囲の最初の値を入力します。

3. プールで使用する IP アドレスの範囲の最後の値を入力します。

4. サブネット マスクを入力するか、事前設定されている値をドロップダウン リストから選択します。

 

5. Next をクリックして続行します。

手順 7:クライアント アトリビュートを設定する

各リモート アクセス クライアントがネットワークにアクセスするには、使用する DNS サーバと WINS サーバ、デフォルトのドメイン名などの基本的なネットワーク設定情報が必要です。各リモート クライアントを個々に設定するのではなく、ASDM にクライアント情報を設定できます。接続が確立されると、適応型セキュリティ アプライアンスはこの情報をリモート クライアントに適用します。

必ず正しい値を指定してください。値が正しくない場合、リモート クライアントが解決に DNS 名を使用できない、または Windows ネットワーキングを使用できないという問題が発生します。

VPN Wizard の Step 7 で、次の手順に従います。

1. リモート クライアントで使用するネットワーク設定情報を入力します。

 

2. Next をクリックして続行します。

手順 8:IKE ポリシーを設定する

IKE は、データを保護しプライバシーを保証する暗号化方式を含むネゴシエーション プロトコルで、ピアの ID を確認する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値を使用すれば、十分にセキュアな VPN トンネルを確立できます。

IKE ポリシーを指定するには、次の手順に従います。

1. IKE セキュリティ アソシエーションにおいて適応型セキュリティ アプライアンスが使用する暗号化アルゴリズム(DES、3DES、または AES)、認証アルゴリズム(MD5 または SHA)、および Diffie-Hellman グループ(1、2、5、または 7)を選択します。

 

2. Next をクリックして続行します。

手順 9:IPSec の Encryption パラメータおよび Authentication パラメータを設定する

1. 暗号化アルゴリズム(DES、3DES、または AES)および認証アルゴリズム(MD5 または SHA)を選択します。

 

2. Next をクリックして続行します。

手順 10:アドレス変換の例外およびスプリット トンネリングを設定する

適応型セキュリティ アプライアンスは、NAT を使用して、内部 IP アドレスが外部に公開されないようにしています。認証されたリモート ユーザに公開するローカル ホストおよびネットワークを特定することで、このネットワーク保護に例外を設定できます。公開するリソースを、ホストやネットワーク IP アドレス、名前、またはグループで指定します(このシナリオでは、内部ネットワーク 10.10.10.0 全体がすべてのリモート クライアントに公開されます)。

VPN Wizard の Step 10 で、ホスト、グループ、およびネットワークを Selected パネルに対して動的に追加または削除します。

1. 必要に応じて、 Add または Delete をクリックします。

 


) 画面下部のチェックボックスをオンにすると、スプリット トンネリングがイネーブルになります。スプリット トンネリングを使用すると、設定したネットワークの外部のトラフィックは、暗号化された VPN トンネルを経由せずにインターネットに直接送信されます。


2. リモート クライアントに公開するリソースを指定したら、 Next をクリックして続行します。

手順 11:リモート アクセス VPN 設定を確認する

作成した VPN トンネルの設定アトリビュートを確認します。表示される設定は次のようになります。

 

適切に設定されている場合は Finish をクリックしてウィザードを終了し、適応型セキュリティ アプライアンスに設定変更を適用します。

シナリオ 3:サイトツーサイト VPN 設定

適応型セキュリティ アプライアンスに備わっているサイトツーサイト VPN 機能を使用すると、企業はネットワーク セキュリティを維持したまま、ネットワークを拡張してビジネス パートナーや世界中のリモート オフィスとの間で低コストのパブリック インターネット接続を実現できます。VPN 接続では、セキュアな接続、つまり「トンネル」経由で 1 つの場所から別の場所へデータを送信できます。これは、まず接続の両端を認証し、次に 2 つのサイト間で送信されるすべてのデータを自動的に暗号化することによって可能になります。

図6 に、2 つの適応型セキュリティ アプライアンス間の VPN トンネルの例を示します。

図6 サイトツーサイト VPN 設定シナリオのネットワーク レイアウト

 

図6 のような VPN サイトツーサイト構成を作成するには、2 台の適応型セキュリティ アプライアンスを設定する必要があります(接続のそれぞれの側に 1 台ずつ)。

ASDM には、サイトツーサイト VPN の設定プロセスを説明する設定ウィザードが用意されています。

手順 1:適応型セキュリティ アプライアンスを 1 つ目のサイトで設定する

適応型セキュリティ アプライアンスを 1 つ目のサイトで設定します。このシナリオにおける 1 つ目のサイトは ASA セキュリティ アプライアンス 1 で、以降は ASA 1 と呼びます。

1. Web ブラウザのアドレス フィールドに工場出荷時のデフォルト IP アドレス https://192.168.1.1/admin/ を入力して、ASDM を起動します。

 

2. メイン ASDM ページで、 Wizards ドロップダウン メニューから VPN Wizard オプションを選択します。ASDM で、最初の VPN Wizard ページが開きます。

VPN Wizard の最初のページで、次の手順に従います。

a. Site-to-Site VPN オプションを選択します。


) Site-to-Site VPN オプションを選択すると、2 つの IPSec セキュリティ ゲートウェイが接続されますが、これには適応型セキュリティ アプライアンス、VPN コンセントレータ、またはサイトツーサイト IPSec 接続をサポートするその他のデバイスが含まれる可能性があります。


b. ドロップダウン メニューから、現在の VPN トンネルで有効なインターフェイスとして outside を選択します。

 

c. Next をクリックして続行します。

手順 2:VPN ピアに関する情報を入力する

VPN ピアは、設定している接続のもう一方の端にあるシステムで、通常はリモート サイトにあります。

VPN Wizard の 2 ページで、リモート VPN ピアに関する情報を入力します。このシナリオでは、リモート VPN ピアは ASA セキュリティ アプライアンス 2 で、以降は ASA 2 と呼びます。次の手順に従います。

1. ピアの IP アドレス(ASA 2)およびトンネル グループ名を入力します。

2. 次のいずれかの操作を実行して、使用する認証のタイプを指定します。

認証に事前共有キー(「CisCo」など)を使用するには、Pre-Shared Key オプション ボタンをクリックし、両方の適応型セキュリティ アプライアンス間の IPSec ネゴシエーションで共有される事前共有キーを入力します。


) リモート サイトで ASA 2 を設定する場合、VPN ピアは ASA 1 です。ここで指定するのと同じ Pre-shared Key(CisCo)を入力してください。


認証にデジタル証明書を使用するには、Certificate オプション ボタンをクリックし、ドロップダウン メニューからトラストポイント名を選択します。

 

3. Next をクリックして続行します。

手順 3:IKE ポリシーを設定する

IKE は、データを保護しプライバシーを保証する暗号化方式を含むネゴシエーション プロトコルで、ピアの ID を確認する認証方式でもあります。ほとんどの場合、ASDM のデフォルト値を使用すれば、十分にセキュアな VPN トンネルを 2 つのピア間に確立できます。

IKE ポリシーを指定するには、次の手順に従います。

1. IKE セキュリティ アソシエーションにおいて適応型セキュリティ アプライアンスが使用する暗号化アルゴリズム(DES、3DES、または AES)、認証アルゴリズム(MD5 または SHA)、および Diffie-Hellman グループ(1、2、または 5)を選択します。

 


) ASA 2 を設定する場合は、ASA 1 で選択した各オプションと同じ値を正確に入力します。VPN トンネルが失敗し、処理速度を低下させる一般的な原因は、暗号化の不整合です。


2. Next をクリックして続行します。

手順 4:IPSec の Encryption パラメータおよび Authentication パラメータを設定する

1. 暗号化アルゴリズム(DES、3DES、または AES)および認証アルゴリズム(MD5 または SHA)を選択します。

 

2. Next をクリックして続行します。

手順 5:ローカル ホストおよびネットワークを指定する

リモート サイト ピアとの通信にこの IPSec トンネルを使用することを許可するローカル サイトのホストおよびネットワークを指定します(リモート サイト ピアは後の手順で指定します)。

VPN Wizard の 5 ページで、 Add または Delete をクリックして、ホストおよびネットワークを動的に追加または削除します。現在のシナリオでは、ネットワーク A(10.10.10.0)からのトラフィックは ASA 1 によって暗号化され、VPN トンネル経由で送信されます。

VPN Wizard の 5 ページで、IPSec トンネルへのアクセスを許可するローカル ホストまたはネットワークを指定します。次の手順に従います。

1. IP Address をクリックします。

2. ドロップダウン メニューから、インターフェイスとして inside または outside のいずれかを選択します。

3. IP アドレスとマスクを入力します。

4. Add をクリックします。

5. トンネルへのアクセスを許可するホストまたはネットワークごとに、ステップ 1 ~ ステップ 4 を繰り返します。

 

6. Next をクリックして続行します。

手順 6:リモート ホストおよびネットワークを指定する

手順 5 で設定した、ローカル ホストおよびネットワークとの通信にこの IPSec トンネルを使用することを許可するリモート サイトのホストおよびネットワークを指定します。 Add または Delete をクリックして、ホストおよびネットワークを動的に追加または削除します。現在のシナリオにおいて、ASA 1 では、リモート ネットワークはネットワーク B(10.20.20.0)で、このネットワークからの暗号化されたトラフィックはトンネル経由で許可されます。

IPSec トンネルへのアクセスを許可するリモート ホストまたはネットワークを指定するには、次の手順に従います。

1. IP Address をクリックします。

2. Interface ドロップダウン メニューから、インターフェイスとして inside または outside のいずれかを選択します。

3. IP アドレスとマスクを入力します。

4. Add をクリックします。

5. トンネルへのアクセスを許可するホストまたはネットワークごとに、ステップ 1 ~ ステップ 4 を繰り返します。

 

6. Next をクリックして続行します。

手順 7:VPN アトリビュートを表示してウィザードを終了する

作成した VPN トンネルの設定リストを確認します。適切に設定されている場合は Finish をクリックして、適応型セキュリティ アプライアンスに設定変更を適用します。

この操作により、ASA 1 の設定プロセスが終了します。

次の作業

これで、ローカルの適応型セキュリティ アプライアンスの設定は完了です。次は、リモート サイトで適応型セキュリティ アプライアンスを設定する必要があります。

リモート サイトでは、VPN ピアとしての役割を果たす 2 つ目の適応型セキュリティ アプライアンスを設定します。設定手順は、ローカルの適応型セキュリティ アプライアンスを設定する場合と同じです。手順 1:適応型セキュリティ アプライアンスを 1 つ目のサイトで設定する の「 手順 1:適応型セキュリティ アプライアンスを 1 つ目のサイトで設定する 」から開始し、手順 7:VPN アトリビュートを表示してウィザードを終了する の「手順 7:VPN アトリビュートを表示してウィザードを終了する」で終了します。


) ASA 2 を設定する場合は、ASA 1 で選択した各オプションと同じ値を正確に入力します。VPN 構成が失敗する一般的な原因は、不整合です。


オプションの SSM 設定と構成の手順

適応型セキュリティ アプライアンスは、シャーシに接続して追加機能を提供するオプションの Security Service Module(SSM; セキュリティ サービス モジュール)をサポートしています。この項では、4GE SSM と AIP SSM の設定と構成の手順について説明します。

4GE SSM の手順

4GE SSM には、8 個のイーサネット ポートがあります。10/100/1000 Mbps 用、銅線の RJ-45 ポートが 4 個、および 1000 Mbps 用着脱可能小型フォーム ファクタ(SFP)ファイバ ポートが 4 個です。同じ 4GE カードを使用して、銅線ポートとファイバ ポートを混合させることができます。

4GE SSM を購入された場合は、この項で示す手順を使用して次の作業を実行します。

使用するインターフェイスをケーブル接続する

使用する SFP インターフェイスのメディア タイプ設定を変更する


) デフォルトのメディア タイプ設定はイーサネットであるため、イーサネット インターフェイスを使用する場合はメディア タイプ設定を変更する必要がありません。


手順 1:4GE SSM インターフェイスをケーブル接続する

4GE SSM インターフェイスをケーブル接続するには、ネットワーク デバイスに接続するポートごとに次の手順に従います。


ステップ1 RJ-45(イーサネット)インターフェイスをネットワーク デバイスに接続するには、インターフェイスごとに次の作業を実行します。

a. アクセサリ キットから黄色のイーサネット ケーブルを見つけます。

b. ケーブルの一方の端を 4GE SSM のイーサネット ポートに接続します。

図7 イーサネット ポートへの接続

 

1

RJ-45(イーサネット)ポート

c. ケーブルのもう一方の端をネットワーク デバイスに接続します。

ステップ2 (オプション)SFP(光ファイバ)ポートを使用する場合は、SFP モジュールを取り付け、ケーブル接続します(図8 を参照してください)。

a. SFP モジュールを、カチッという音が聞こえるまで SFP ポートに差し込み、スライドさせます。カチッという音は、SFP モジュールがポートにロックされたことを示します。

b. 取り付けた SFP から光ポート プラグを取り外します。

c. 4GE SSM のアクセサリ キットから LC コネクタ(光ファイバ ケーブル)を見つけます。

d. LC コネクタを SFP ポートに接続します。

図8 LC コネクタの接続

 

1

LC コネクタ

2

SFP モジュール

e. LC コネクタのもう一方の端をネットワーク デバイスに接続します。


 

SFP ポートをネットワーク デバイスに接続したら、各 SFP インターフェイスのメディア タイプ設定を変更する必要もあります。次の「手順 2:(オプション)ファイバ インターフェイスの 4GE SSM メディア タイプを設定する」を実行します。

手順 2:(オプション)ファイバ インターフェイスの 4GE SSM メディア タイプを設定する

SFP インターフェイスの場合、それぞれのメディア タイプ設定をデフォルト設定(イーサネット)からファイバ コネクタに変更する必要があります。


) デフォルトのメディア タイプ設定はイーサネットであるため、イーサネット インターフェイスを使用する場合はメディア タイプ設定を変更する必要がありません。


ASDM を使用する SFP インターフェイスのメディア タイプを設定するには、メイン ASDM ページから始まる次の手順に従います。


ステップ1 ASDM ウィンドウの最上部にある Configuration をクリックします。

ステップ2 ASDM ウィンドウの左側にある Interfaces 機能を選択します。

ステップ3 4GE SSM インターフェイスを選択し、 Edit をクリックします。Edit Interface ダイアログボックスが表示されます。

ステップ4 Configure Hardware Properties をクリックします。Hardware Properties ダイアログボックスが表示されます。

ステップ5 Media Type ドロップダウン メニューをクリックし、 Fiber Connector を選択します。

ステップ6 OK をクリックして Edit Interfaces ダイアログボックスに戻り、次に OK をクリックしてインターフェイス設定のダイアログボックスに戻ります。

ステップ7 この手順を、各 SFP インターフェイスに対して繰り返します。


 

メディア タイプはコマンドラインから設定することもできます。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』の「Configuring Ethernet Settings and Subinterfaces」を参照してください。

AIP SSM の手順

オプションの AIP SSM は、インライン モードまたは混合モードで追加のセキュリティ検査を提供する高度な IPS ソフトウェアを実行します。セキュリティ アプライアンスは、パケットが出力インターフェイスから送信される直前(または VPN 暗号化が設定されている場合は暗号化が行われる前)、および他のファイアウォール ポリシーが適用された後に、パケットを AIP SSM に転送します。たとえば、アクセス リストによってブロックされたパケットは、AIP SSM に転送されません。

AIP SSM を購入された場合は、この項で示す手順を使用して次の作業を実行します。

管理インターフェイスをケーブル接続する

AIP SSM に転送するトラフィックを指定するように適応型セキュリティ アプライアンスを設定する

AIP SSM へのセッションを確立し、セットアップを実行する

AIP SSM で実行される IPS ソフトウェアには多数の機能があり、このマニュアルではそれらの機能について説明していません。詳細な設定情報については、次の別マニュアルを参照してください。

Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface

Cisco Intrusion Prevention System Command Reference

手順 1:AIP SSM 管理インターフェイスをケーブル接続する

AIP SSM 管理インターフェイスをケーブル接続するには、次の手順に従います。


ステップ1 アクセサリ キットから黄色のイーサネット ケーブルを見つけます。

ステップ2 ケーブルの一方の端を AIP SSM の管理ポートに接続します(図9 を参照してください)。

ステップ3 ケーブルのもう一方の端をネットワーク デバイスに接続します。

図9 管理ポートへの接続

 

1

管理ポート

2

RJ-45/RJ-45 ケーブル


 

手順 2:AIP SSM にトラフィックを転送するように ASA 5500 を設定する

セキュリティ アプライアンスから AIP SSM に転送するトラフィックを指定するには、次の手順に従います。


ステップ1 AIP SSM に転送するトラフィックを指定するには、 class-map コマンドを使用してクラス マップを追加します。詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』の「Using Modular Policy Framework」を参照してください。

ステップ2 クラス マップ トラフィックを使用して実行するアクションを設定するポリシー マップを追加または編集するには、次のコマンドを入力します。

hostname(config)# policy-map name
 

ステップ3 アクションを割り当てるクラス マップ(ステップ 1 で追加したもの)を指定するには、次のコマンドを入力します。

hostname(config-pmap)# class class_map_name

ステップ4 AIP SSM にトラフィックを割り当てるには、次のコマンドを入力します。

hostname(config-pmap-c)# ips {inline | promiscuous} {fail-close | fail-open}

inline キーワードを指定すると、AIP SSM が直接トラフィック フローに置かれます。まず AIP SSM を通過し、そこで検査されなければ、トラフィックはセキュリティ アプライアンスを通過できません。すべてのパケットは分析されたうえで通過を許可されるので、このモードは最も安全です。また、AIP SSM では、パケットごとにブロッキング ポリシーを実装できます。ただし、このモードはスループットに影響を与える可能性があります。

promiscuous キーワードを指定すると、トラフィックの重複したストリームが AIP SSM に送信されます。このモードは安全性は劣りますが、トラフィックのスループットにはほとんど影響を与えません。インライン モードと異なり、AIP SSM がトラフィックをブロックできるのは、トラフィックを shun するようセキュリティ アプライアンスに指示するか、セキュリティ アプライアンスで接続をリセットする場合のみです。さらに、AIP SSM がトラフィックを分析している間、AIP SSM がブロックする前に少量のトラフィックがセキュリティ アプライアンスを通過する場合があります。

fail-close キーワードを指定すると、AIP SSM が使用できない場合、セキュリティ アプライアンスはすべてのトラフィックをブロックするように設定されます。

fail-open キーワードを指定すると、AIP SSM が使用できない場合、セキュリティ アプライアンスはすべてのトラフィックの通過を検査なしで許可するように設定されます。

ステップ5 1 つまたは複数のインターフェイスでポリシー マップを有効にするには、次のコマンドを入力します。

hostname(config)# service-policy policymap_name {global | interface interface_name}

global を指定すると、すべてのインターフェイスにポリシー マップが適用され、 interface を指定すると、1 つのインターフェイスにポリシーが適用されます。使用できるグローバル ポリシーは、1 つに限られます。インターフェイスのグローバル ポリシーを無効にするには、そのインターフェイスにサービス ポリシーを適用します。各インターフェイスに適用できるポリシー マップは、1 つだけです。


 

次の例では、すべての IP トラフィックは AIP SSM に混合モードで転送され、何らかの原因で AIP SSM カードに障害が発生した場合、IP トラフィックはすべてブロックされます。

hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ids-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
 

手順 3:AIP SSM へのセッションを確立し、セットアップを実行する

トラフィックを AIP SSM に転送するように ASA 5500 シリーズ適応型セキュリティ アプライアンスを設定し終えたら、AIP SSM へのセッションを確立して初期設定用のセットアップ ユーティリティを実行します。


) 適応型セキュリティ アプライアンスから(session 1 コマンドを使用して)AIP SSM へのセッションを確立することも、管理インターフェイス上で SSH または Telnet を使用して直接 AIP SSM に接続することもできます。または、ASDM の使用も可能です。


適応型セキュリティ アプライアンスから AIP SSM にセッションを確立するには、次の手順に従います。


ステップ1 ASA 5500 シリーズ適応型セキュリティ アプライアンスから AIP SSM にセッションを確立するには、 session 1 コマンドを入力します。

hostname# session 1
Opening command session with slot 1.
Connected to slot 1. Escape character sequence is 'CTRL-^X'.
 

ステップ2 ユーザ名とパスワードを入力します。デフォルトのユーザ名とパスワードはどちらも cisco です。


) AIP SSM に初めてログインしたとき、デフォルトのパスワードを変更するよう求められます。パスワードは、8 文字以上で、意味を持たない言葉である必要があります。


login: cisco
Password:
Last login: Fri Sep 2 06:21:20 from xxx.xxx.xxx.xxx
***NOTICE***
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to
export@cisco.com.
 
***LICENSE NOTICE***
There is no license key installed on the system.
Please go to http://www.cisco.com/go/license
to obtain a new license or install a license.
AIP SSM#

) 一部のソフトウェア バージョンのみに表示されるこのライセンス通知が表示された場合、AIP SSM のシグニチャ ファイルのアップグレードが必要になるまでメッセージを無視できます。有効なライセンス キーがインストールされるまで、AIP SSM は現在のシグニチャ レベルで動作します。ライセンス キーは後でインストールできます。ライセンス キーは AIP SSM の現在の機能に影響を与えません。


ステップ3 setup コマンドを入力して、AIP SSM の初期設定用のセットアップ ユーティリティを実行します。

AIP SSM# setup


 

次の作業

これで、AIP SSM に侵入防御を設定する準備ができました。AIP SSM の設定情報については、次のマニュアルを参照してください。

Configuring the Cisco Intrusion Prevention System Sensor Using the Command Line Interface

Cisco Intrusion Prevention System Command Reference

オプションのメンテナンスとアップグレードの手順

DES および 3DES/AES の暗号化ライセンスの取得

適応型セキュリティ アプライアンスでは、オプションで DES または 3DES/AES のライセンスを購入して、セキュア リモート管理(SSH、ASDM など)、サイトツーサイト VPN、リモート アクセス VPN などの暗号化テクノロジーを利用した特定の機能をイネーブルにできます。ライセンスをイネーブルにするには、暗号化ライセンス キーが必要です。

DES または 3DES/AES のライセンス付きの適応型セキュリティ アプライアンスを注文された場合、暗号化ライセンス キーは適応型セキュリティ アプライアンスに付属しています。

DES または 3DES/AES のライセンスがない適応型セキュリティ アプライアンスを注文され、新たに購入を希望される場合、暗号化ライセンスは Cisco.com で無料で入手できます。

Cisco.com の登録ユーザの場合、DES または 3DES/AES の暗号化ライセンス を入手するには、次の Web サイトにアクセスしてください。

http://www.cisco.com/cgi-bin/Software/FormManager/formgenerator.pl

Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。

http://www.cisco.com/pcgi-bin/Software/FormManager/formgenerator.pl

姓名、電子メールアドレス、および show version コマンド出力で表示される適応型セキュリティ アプライアンスのシリアル番号を入力してください。


) ライセンス アップグレードを請求後 2 時間以内に、適応型セキュリティ アプライアンスの新しいアクティベーション キーが送信されます。


アクティベーション キーの例またはソフトウェアのアップグレードの詳細については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

アクティベーション キーを使用するには、次の手順に従います。

 

コマンド
目的

ステップ1

hostname# show version

ソフトウェア リリース、ハードウェア コンフィギュレーション、ライセンス キー、および関連の動作期間データを表示します。

ステップ2

hostname# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ3

hostname(config)# activation-key activation-5-tuple-key

activation-4-tuple-key 変数を新しいライセンスで取得したアクティベーション キーに置き換えて、暗号化アクティベーション キーを更新します。
activation-5-tuple-key 変数は 5 つの要素で構成される 16 進数文字列で、各要素間には 1 つずつスペースがあります。たとえば、0xe02888da 0x4ba7bed6 0xf1c123ae 0xffd8624e です。「0x」はオプションです。すべての値は 16 進数であると見なされます。

ステップ4

hostname(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ5

hostname# copy running-config startup-config

設定を保存します。

ステップ6

hostname# reload

適応型セキュリティ アプライアンスをリブートし、設定をリロードします。

デフォルト設定の復元

設定を工場出荷時のデフォルト値に復元するには、次のいずれかの方法を使用します。

https://192.168.1.1 から Startup Wizard を起動する。

次の手順で指定するとおりにコマンドラインを使用する。

デフォルト設定を工場出荷時のデフォルト値に復元するには、次の手順に従います。

 

コマンド
目的

ステップ1

hostname# configure factory-default [ inside_IP_address [ mask ]]1

実行コンフィギュレーションを消去し、工場出荷時のデフォルト設定に置き換えます。

ステップ2

hostname# write memory

工場出荷時のデフォルト設定をフラッシュ メモリに書き込みます。

1.オプションの内部 IP アドレスおよびアドレス マスクが指定されている場合は、工場出荷時のデフォルト設定にその値が反映されます。

詳細なコマンド情報および設定例については、『 Cisco Security Appliance Command Line Configuration Guide 』を参照してください。

技術サポートが必要なお客様は Cisco TAC Web サイトをご利用いただけます。TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/tac

LED の確認

この項では、適応型セキュリティ アプライアンスの前面パネル、背面パネル、およびパネルの LED について説明します。

図10 に、適応型セキュリティ アプライアンスの正面図を示します。

図10 Cisco ASA 5540 適応型セキュリティ アプライアンスの前面パネルの機能

 

LED
状態
説明
1

電源

点灯

適応型セキュリティ アプライアンスに電力が供給されている場合に点灯します。

2

ステータス

点滅

電源投入診断を実行中か、システムがブート中です。

点灯

システムが電源投入診断に合格した場合は緑色に点灯します。

オレンジ

点灯

電源投入診断に合格しなかった場合はオレンジ色に点灯します。

3

アクティブ

点滅

ネットワーク アクティビティが発生しています。

4

VPN

点灯

データがインターフェイスを通過しています。

5

フラッシュ

点灯

CompactFlash デバイスがアクセスされています。

図11 に、適応型セキュリティ アプライアンスの背面パネルの機能を示します。

図11 Cisco ASA 5540 適応型セキュリティ アプライアンスの背面パネルの機能

 

1

MGMT

8

電源インジケータ

2

外部 CompactFlash デバイス

9

ステータス インジケータ

3

シリアル コンソール ポート

10

アクティブ

4

電源スイッチ

11

VPN

5

電源インジケータ ライト

12

フラッシュ

6

USB 2.0

13

補助ポート

7

ネットワーク インターフェイス

14

電源コネクタ

図12 に、適応型セキュリティ アプライアンスの背面パネルの LED を示します。

図12 Cisco ASA 5540 適応型セキュリティ アプライアンスの背面パネルの LED

 

表1 に、適応型セキュリティ アプライアンスの背面パネル LED の状態を示します。

 

表1 背面パネルの LED

インジケータ
説明

左側

緑(点灯)

緑(点滅)

物理リンク

ネットワーク アクティビティ

右側

消灯

オレンジ

10 Mbps

100 Mbps

1000 Mbps

マニュアルの入手

シスコの製品マニュアルやその他の資料は、Cisco.com でご利用いただけます。また、テクニカル サポートおよびその他のリソースを、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。

Cisco.com

次の URL から、シスコ製品の最新資料を入手することができます。

http://www.cisco.com/univercd/home/home.htm

シスコの Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com

また、シスコの Web サイトの各国語版へは、次の URL からアクセスできます。

http://www.cisco.com/public/countries_languages.shtml

シスコ製品の最新資料の日本語版は、次の URL からアクセスしてください。

http://www.cisco.com/jp

Documentation DVD(英語版)

シスコ製品のマニュアルおよびその他の資料は、製品に付属の Documentation DVD パッケージでご利用いただけます。Documentation DVD は定期的に更新されるので、印刷資料よりも新しい情報が得られます。また、この Documentation DVD パッケージのみを発注することもできます。

Cisco.com 登録ユーザ(Cisco Direct Customers)の場合、Ordering ツールまたは Cisco Marketplace から Cisco Documentation DVD(Product Number DOC-DOCDVD=)を発注できます。

Cisco Ordering ツール:

http://www.cisco.com/en/US/partner/ordering/

Cisco Marketplace:

http://www.cisco.com/go/marketplace/

マニュアルの発注方法(英語版)

英文マニュアルの発注方法については、次の URL にアクセスしてください。

http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm

シスコ製品の英文マニュアルは、次の方法で発注できます。

Cisco.com 登録ユーザ(Cisco Direct Customers)の場合、Ordering ツールからシスコ製品の英文マニュアルを発注できます。次の URL にアクセスしてください。

http://www.cisco.com/en/US/partner/ordering/

Cisco.com に登録されていない場合、製品を購入された代理店へお問い合せください。

シスコシステムズマニュアルセンター

シスコシステムズマニュアルセンターでは、シスコ製品の日本語マニュアルの最新版を PDF 形式で公開しています。また、日本語マニュアル、および日本語マニュアル CD-ROM もオンラインで発注可能です。ご希望の方は、次の URL にアクセスしてください。

http://www2.hipri.com/cisco/

また、シスコシステムズマニュアルセンターでは、日本語マニュアル中の誤記、誤植に関するコメントをお受けしています。次の URL の「製品マニュアル内容不良報告」をクリックすると、コメント入力画面が表示されます。

http://www2.hipri.com/cisco/

なお、技術内容に関するお問い合せは、この Web サイトではお受けできませんので、製品を購入された各代理店へお問い合せください。

シスコ製品のセキュリティの概要

シスコでは、オンラインの Security Vulnerability Policy ポータル(英文のみ)を無料で提供しています。URL は次のとおりです。

http://www.cisco.com/en/US/products/products_security_vulnerability_policy.html

このサイトは、次の目的に利用できます。

シスコ製品のセキュリティ脆弱性を報告する。

シスコ製品に伴うセキュリティ事象についてサポートを受ける。

シスコからセキュリティ情報を受け取るための登録をする。

シスコ製品に関するセキュリティ勧告および注意事項の最新のリストには、次の URL からアクセスできます。

http://www.cisco.com/go/psirt

勧告および注意事項がアップデートされた時点でリアルタイムに確認する場合は、次の URL から Product Security Incident Response Team Really Simple Syndication(PSIRT RSS)フィードにアクセスしてください。

http://www.cisco.com/en/US/products/products_psirt_rss_feed.html

シスコ製品のセキュリティ問題の報告

シスコでは、セキュアな製品を提供すべく全力を尽くしています。製品のリリース前には内部でテストを行い、すべての脆弱性を早急に修正するよう努力しています。万一、シスコ製品に脆弱性が見つかった場合は、PSIRT にご連絡ください。

緊急の場合 : security-alert@cisco.com(英語のみ)

緊急でない場合 : psirt@cisco.com(英語のみ)


ヒント シスコに機密情報をお送りいただく際には、PGP(Pretty Good Privacy)または互換製品を使用して、暗号化することをお勧めします。PSIRT は、PGP バージョン 2.x から 8.x と互換性のある暗号化情報に対応しています。

無効になった、または有効期限が切れた暗号鍵は、絶対に使用しないでください。PSIRT に連絡する際に使用する正しい公開鍵は、次の公開鍵サーバのリストで作成日が最新の鍵です。

http://pgp.mit.edu:11371/pks/lookup?search=psirt%40cisco.com&op=index&exact=on


緊急の場合は、電話で PSIRT に連絡することもできます。

1 877 228-7302(英語のみ)

1 408 525-6532(英語のみ)

テクニカル サポート

シスコと正式なサービス契約を交わしているすべてのお客様、パートナー、および代理店は、Cisco Technical Support で 24 時間テクニカル サポートを利用することができます。Cisco.com の Cisco Technical Support Web サイトでは、多数のサポート リソースをオンラインで提供しています。また、Cisco Technical Assistance Center(TAC)のエンジニアが電話でのサポートにも対応します。シスコと正式なサービス契約を交わしていない場合は、代理店にお問い合せください。

Cisco Technical Support Web サイト

Cisco Technical Support Web サイトでは、シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように、オンラインでマニュアルやツールを提供しています。この Web サイトは、24 時間 365 日、いつでも利用可能です。URL は次のとおりです。

http://www.cisco.com/techsupport

Cisco Technical Support Web サイトのツールにアクセスするには、Cisco.com のユーザ ID とパスワードが必要です。サービス契約が有効で、ユーザ ID またはパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://tools.cisco.com/RPF/register/register.do


) Web または電話でサービス リクエストを発行する前に、Cisco Product Identification(CPI)ツールを使用して製品のシリアル番号を確認してください。CPI ツールには、Cisco Technical Support Web サイトから、Documentation & Tools の下の Tools & Resources リンクをクリックするとアクセスできます。アルファベット順の索引ドロップダウン リストから Cisco Product Identification Tool を選択するか、Alerts & RMAs の下の Cisco Product Identification Tool リンクをクリックします。CPI ツールには、3 つの検索オプションがあります。製品 ID またはモデル名による検索、ツリー表示による検索、show コマンド出力のコピー アンド ペーストによる特定製品の検索です。検索結果では、製品が図示され、シリアル番号ラベルの位置が強調表示されます。ご使用の製品でシリアル番号ラベルを確認し、その情報を記録してからサービス コールをかけてください。


Japan TAC Web サイト

Japan TAC Web サイトでは、利用頻度の高い TAC Web サイト( http://www.cisco.com/tac )のドキュメントを日本語で提供しています。Japan TAC Web サイトには、次の URL からアクセスしてください。

http://www.cisco.com/jp/go/tac

サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Web サイトのドキュメントにアクセスできます。Japan TAC Web サイトにアクセスするには、Cisco.com のログイン ID とパスワードが必要です。ログイン ID とパスワードを取得していない場合は、次の URL にアクセスして登録手続きを行ってください。

http://www.cisco.com/jp/register

サービス リクエストの発行

オンラインの TAC Service Request Tool を使用すると、S3 と S4 のサービス リクエストを短時間でオープンできます(S3:ネットワークに軽微な障害が発生した、S4:製品情報が必要である)。状況を入力すると、その状況を解決するための推奨手段が検索されます。これらの推奨手段で問題を解決できない場合は、Cisco TAC のエンジニアが対応します。TAC Service Request Tool には、次の URL からアクセスできます。

http://www.cisco.com/techsupport/servicerequest

S1 または S2 のサービス リクエストの場合、またはインターネットにアクセスできない場合は、Cisco TAC に電話でお問い合せください(S1:ネットワークがダウンした、S2:ネットワークの機能が著しく低下した)。S1 および S2 のサービス リクエストには、Cisco TAC のエンジニアがすぐに割り当てられ、業務を円滑に継続できるようサポートします。

Cisco TAC の連絡先については、次の URL を参照してください。

http://www.cisco.com/techsupport/contacts

サービス リクエストのシビラティの定義

シスコでは、報告されるサービス リクエストを標準化するために、シビラティを定義しています。

シビラティ 1(S1):ネットワークが「ダウン」した状態か、業務に致命的な損害が発生した場合。お客様およびシスコが、24 時間体制でこの問題を解決する必要があると判断した場合。

シビラティ 2(S2):既存のネットワーク動作が著しく低下したか、シスコ製品が十分に機能しないため、業務に重大な影響を及ぼした場合。お客様およびシスコが、通常の業務中の全時間を費やして、この問題を解決する必要があると判断した場合。

シビラティ 3(S3):ネットワークの動作パフォーマンスが低下しているが、ほとんどの業務運用は継続できる場合。お客様およびシスコが、業務時間中にサービスを十分なレベルにまで復旧させる必要があると判断した場合。

シビラティ 4(S4):シスコ製品の機能、インストレーション、コンフィギュレーションについて、情報または支援が必要な場合。業務の運用には、ほとんど影響がありません。

その他の資料および情報の入手方法

シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手できます。

Cisco Marketplace では、シスコの書籍やリファレンス ガイド、ロゴ製品を数多く提供しています。購入を希望される場合は、次の URL にアクセスしてください。

http://www.cisco.com/go/marketplace/

Cisco Press では、ネットワーク全般、トレーニング、および認定資格に関する出版物を幅広く発行しています。これらの出版物は、初級者にも上級者にも役立ちます。Cisco Press の最新の出版情報などについては、次の URL からアクセスしてください。

http://www.ciscopress.com

Packet 』はシスコシステムズが発行する技術者向けの雑誌で、インターネットやネットワークへの投資を最大限に活用するために役立ちます。本誌は季刊誌として発行され、業界の最先端トレンド、最新テクノロジー、シスコ製品やソリューション情報が記載されています。また、ネットワーク構成およびトラブルシューティングに関するヒント、コンフィギュレーション例、カスタマー ケース スタディ、認定情報とトレーニング情報、および充実したオンライン サービスへのリンクの内容が含まれます。『 Packet 』には、次の URL からアクセスしてください。

http://www.cisco.com/packet

日本語版『Packet』は、米国版『Packet』と日本版のオリジナル記事で構成されています。日本語版『Packet』には、次の URL からアクセスしてください。

http://www.cisco.com/japanese/warp/public/3/jp/news/packet/

iQ Magazine 』はシスコシステムズの季刊誌で、成長企業が収益を上げ、業務を効率化し、サービスを拡大するためには技術をどのように利用したらよいかを学べるように構成されています。本誌では、実例とビジネス戦略を挙げて、成長企業が直面する問題とそれを解決するための技術を紹介し、読者が技術への投資に関して適切な決定を下せるよう配慮しています。『 iQ Magazine 』には、次の URL からアクセスしてください。

http://www.cisco.com/go/iqmagazine

Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコが発行する季刊誌です。『 Internet Protocol Journal 』には、次の URL からアクセスしてください。

http://www.cisco.com/ipj

シスコは、国際的なレベルのネットワーク関連トレーニングを実施しています。最新情報については、次の URL からアクセスしてください。

http://www.cisco.com/en/US/learning/index.html