ASDM を使用した Cisco セキュリティ アプライアン ス コンフィギュレーション ガイド
SSC への管理アクセスの設定
SSC への管理アクセスの設定
発行日;2012/02/01 | 英語版ドキュメント(2010/01/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 19MB) | フィードバック

目次

SSC への管理アクセスの設定

SSC への管理アクセスについて

ASDM を使用した SSC の管理について

SSC 管理インターフェイスの別の用途

管理インターフェイスへのアクセスに関するルーティングの考慮事項

ガイドラインおよび制約事項

デフォルトの設定

SSC 管理インターフェイスの設定

関連情報

SSC への管理アクセスの設定

この章では、セキュリティ アプライアンスにインストールされている Security Services Card (SSC)への管理アクセスを設定する方法について説明します。SSC は、IPS アプリケーションを実行します。IPS の設定については、 「AIP SSM および SSC での IPS アプリケーションの設定」を参照してください。

この章には、次の項があります。

「SSC への管理アクセスについて」

「ガイドラインおよび制約事項」

「デフォルトの設定」

「SSC 管理インターフェイスの設定」

「関連情報」

SSC への管理アクセスについて

ASDM またはモジュール アプリケーションの CLI を使用して、モジュール アプリケーションを管理できます。CLI の使用については、『 Cisco ASA 5500 Series Configuration Guide using the CLI 』を参照してください。

この項は、次の内容で構成されています。

「ASDM を使用した SSC の管理について」

「SSC 管理インターフェイスの別の用途」

「管理インターフェイスへのアクセスに関するルーティングの考慮事項」

ASDM を使用した SSC の管理について

セキュリティ アプライアンスで ASDM を起動すると、ASDM が SSC 管理インターフェイスに接続し、モジュール アプリケーションが設定されます。VLAN を管理 VLAN として設定し、バックプレーン経由で内部の管理 IP アドレスにアクセスできるようにできます。ネットワーク パラメータを変更する方法については、「SSC 管理インターフェイスの設定」を参照してください。

デフォルトの管理インターフェイス パラメータについては、「デフォルトの設定」を参照してください。

SSC 管理インターフェイスの別の用途

モジュール管理インターフェイスは、syslog メッセージの送信や、AIP SSC のシグニチャ データベースの更新など、モジュール アプリケーションの更新に使用できます。

管理インターフェイスへのアクセスに関するルーティングの考慮事項

ASDM が SSC を管理できるようにするには、セキュリティ アプライアンスがモジュール管理インターフェイスのアドレスにアクセスできることが必要です。

SSC 管理インターフェイスにも使用するセキュリティ アプライアンス VLAN の IP アドレスを設定し、SSC インターフェイスが物理的にネットワークに接続されているスイッチ ポートにその VLAN を 割り当ててください。そうすると、SSC 管理インターフェイスがセキュリティ アプライアンス用に直接接続されたネットワークに含まれるようになるので、ASDM はルーティングを追加設定しなくても管理インターフェイスにアクセスできます。


) デフォルト ゲートウェイがセキュリティ アプライアンスに設定されている場合、SSC からセキュリティ アプライアンスに直接接続されているデバイスへのトラフィックが通過しますが、宛先が 1 ホップ離れている場合(つまり、異なるゲートウェイ上にある場合)、トラフィックは通過しません。

内部リンクに複数のネットワークが存在する場合、デフォルト ゲートウェイをセキュリティ アプライアンスのデフォルト設定のままにせずに、内部ルータに変更してください。


ガイドラインおよび制約事項

この項では、この機能に関するガイドラインおよび制約事項について説明します。

コンテキスト モードのガイドライン

コンテキスト モード ガイドラインについては、SSM アプリケーションまたは SSC アプリケーションごとの章を参照してください。

ファイアウォール モードのガイドライン

ファイアウォール モードのガイドラインについては、SSM アプリケーションまたは SSC アプリケーションごとの章を参照してください。

フェールオーバーに関するガイドライン

同じサブセットに含まれるユニットと VLAN の両方で管理 IP アドレスを設定するようにしてください。

モデルに関するガイドライン

SSC のモデルのサポートについては、「モデルごとの SSM および SSC サポート」を参照してください。

追加のガイドライン

NAT を通過する IP アドレスを使用する場合は、ASDM で SSC を設定できません。

デフォルトの設定

表 10-1 に、SSC 用のデフォルトのネットワーク設定を示します。

 

表 10-1 デフォルトのネットワーク パラメータ

パラメータ
デフォルト

管理 VLAN

VLAN 1

管理 IP アドレス

192.168.1.2/24

ゲートウェイ

192.168.1.1


) セキュリティ アプライアンス上のデフォルトの管理 IP アドレスは 192.168.1.5/24 です。


SSC 管理インターフェイスの設定

SSC には、外部インターフェイスが存在しません。VLAN を管理 VLAN として設定し、バックプレーン経由で内部の管理 IP アドレスにアクセスできるようにできます。デフォルトでは、VLAN 1 は SSC 管理アドレス用にイネーブルになっています。SSC 管理 VLAN として割り当てられるのは、1 つの VLAN だけです。この項では、管理 VLAN を変更する方法について説明します。また、デフォルトの管理 IP アドレス、許可されるホスト、およびゲートウェイの変更方法についても説明します。デフォルトの詳細については、「デフォルトの設定」を参照してください。

前提条件

SSC 管理インターフェイスに使用する VLAN 用に、ASA 5505 上にスイッチ ポートと VLAN インターフェイスを設定します。これは、SSC インターフェイスがネットワークに物理的に接続されるために必要です。[SSC Setup] ペインに移動して SSC 用に VLAN を 1 つ選択する前に、VLAN を作成してインターフェイスに割り当てる必要があります。

制約事項

管理アドレスに対して NAT を設定しないでください。ASDM の初期セットアップのためには、実アドレスにアクセスする必要があります。初期セットアップ(SSC 内でパスワードを設定)を実行すると、NAT を設定し、[Configuration] > [IPS] ペインで SSC にアクセスする際に ASDM に変換されたアドレスを提供できます。

詳細手順


ステップ 1 SSC を初めて設定する場合は、ASDM のメイン ウィンドウで、 [Configuration] > [Device Setup] > [SSC Setup] を選択します。


) SSC の設定完了前に [IPS] タブをクリックすると、[Stop] ダイアログボックスが表示されます。ASDM に [SSC Setup] ペインを再度表示させるには、[OK] をクリックします。GUI のいずれかの部分にアクセスするには、まず [SSC Setup] ペインに含まれる設定を定義する必要があります。


ステップ 2 [Management Interface] エリアで、次の手順を実行します。

a. ドロップダウン リストからインターフェイス VLAN を選択します。

この設定により、この VLAN を使用して SSC を管理できます。


) 次の設定がセキュリティ アプライアンスのコンフィギュレーションではなく、SSC アプリケーションのコンフィギュレーションに書き込まれます。


b. IP アドレスを入力します。

c. ドロップダウン リストからサブネット マスクを選択します。

d. デフォルト ゲートウェイの IP アドレスを入力します。

管理ステーションが、直接接続されたセキュリティ アプライアンス ネットワーク上にある場合、ゲートウェイには ASA 5505 VLAN インターフェイスのアドレスを設定します。管理ステーションがリモート ネットワーク上にある場合、ゲートウェイに管理 VLAN 上にあるアップストリーム ルータのアドレスを設定します。

ステップ 3 [Management Access List] エリアで、次の手順を実行します。


) 次の設定がセキュリティ アプライアンスのコンフィギュレーションではなく、SSC アプリケーションのコンフィギュレーションに書き込まれます。


a. ホスト ネットワークの IP アドレスを入力します。

b. ドロップダウン リストからサブネット マスクを選択します。

c. [Add] をクリックして、[Allowed Hosts/Networks] リストにこれらの設定を追加します。


[Add] をクリックしたら、[Apply] をクリックして直前に定義した管理設定を保存してください。これらの設定を削除するには、次の下位手順に進みます。その他の場合は、ステップ 4 へ進みます。


d. これらの設定を削除するには、ASDM のメイン ウィンドウで [IPS] タブをクリックします。 [Configuration] > [IPS] > [Sensor Setup] > [Allowed Hosts/Networks] を選択します。削除するホストまたはネットワークをリストから選択し、 [Delete] をクリックします。新しい管理設定を追加するには、既存のペインで [Add] をクリックするか、 [Configuration] > [Device Setup] > [SSC Setup] を選択して [SSC Setup] ペインに戻ります。

ステップ 4 [IPS Password] エリアで、次の手順を実行します。


) 次の設定がセキュリティ アプライアンスのコンフィギュレーションではなく、SSC アプリケーションのコンフィギュレーションに書き込まれます。


a. パスワードを入力します。デフォルトのパスワードは「cisco」です。

b. 新しいパスワードを入力し、変更を確認します。

ステップ 5 [Apply] をクリックし、実行中の設定に対する変更を保存します。

[SSC Setup completed] ダイアログボックスは、初期設定後にだけ表示されます。

ステップ 6 SSC アプリケーション設定を完了し、ASDM に直接 [Configuration] > [IPS] > [Sensor Setup] > [Startup Wizard] 画面に移動させるには、次のいずれかの操作を実行します。

ナビゲーション ペインで、 [IPS] ボタンをクリックします。

[Configure the IPS SSC module] リンクをクリックします。


) 後から SSC コンフィギュレーション設定を変更するには、[IPS] タブをクリックします。



 

トラブルシューティング

パスワードをリセットするには、 [Tools] > [IPS Password Reset] を選択します。パスワードを変更すると、[Status] ダイアログボックスが表示され、新しいセンサー パスワードが SSC アプリケーション設定に保存されていることが示されます。

ログインして新しいパスワードを定義したら、IPS SSC アプリケーションに再度ログインする必要はありません。新しいパスワードで IPS SSC アプリケーションに接続できない場合は、ASDM を再起動して再度ログインしてみてください。

新しいパスワードを定義した後に、それとは異なる既存のパスワードがまだ残っている場合は、 [File] > [Clear ASDM Password Cache] を選択してパスワード キャッシュをクリアし、ASDM を再起動して再度ログインしてみてください。

ASA 5505 をアップグレードして SSC を追加する場合、SSC の工場出荷時のデフォルト IP アドレスは 192.168.1.2 なので、ASA 5505 の工場出荷時のデフォルト IP アドレスが 192.168.1.5 で始まることを確認します。設定時に競合が発生すると、警告メッセージが表示されます。

始動時に、ASA 5505 がダウンロードするのに有効なイメージを検出できないと、SSC アプリケーションが開始されず、次のエラー メッセージが表示されるので、TFTP URL のダウンロード場所が有効かを確認します。

Autoboot Error\System Halt


) セキュリティ アプライアンスを再起動すると、SSC は自動的に再起動します。詳細については、『Cisco ASA 5500 Series Configuration Guide using the CLI』のSSM および SSC の管理に関する項を参照してください。