ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
基本設定の設定
基本設定の設定
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

基本設定の設定

ホスト名、ドメイン名、およびパスワードの設定

ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定

日付と時刻の設定

NTP サーバを使用した日付と時刻の設定

NTP サーバ設定の追加または編集

手動での日付と時刻の設定

マスター パスフレーズの設定

マスター パスフレーズに関する情報

マスター パスフレーズのライセンス要件

ガイドラインと制限事項

マスター パスフレーズの追加または変更

マスター パスフレーズのディセーブル化

マスター パスフレーズの回復

マスター パスフレーズの機能履歴

DNS サーバの設定

DNS キャッシュのモニタリング

DNS キャッシュの機能履歴

基本設定の設定

この章では、ASA 上で機能を果たすコンフィギュレーションに通常必要とされる基本設定を行う方法について説明します。この章は、次の項で構成されています。

「ホスト名、ドメイン名、およびパスワードの設定」

「日付と時刻の設定」

「マスター パスフレーズの設定」

「DNS サーバの設定」

ホスト名、ドメイン名、およびパスワードの設定

この項では、デバイス名とパスワードの変更方法について説明します。次の項目を取り上げます。「ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定」

ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定

ホスト名とドメイン名を設定し、イネーブル パスワードと Telnet パスワードを設定するには、次の手順を実行します。


ステップ 1 ASDM で、[Configuration] > [Device Setup] > [Device Name/Password] を選択します。

ステップ 2 ホスト名を入力します。デフォルトのホスト名はプラットフォームによって異なります。

ホスト名はコマンドラインのプロンプトに表示されます。このホスト名によって、複数のデバイスとのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。ホスト名は syslog メッセージでも使用されます。

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンド ラインのプロンプトに表示されます。コンテキストで設定したホスト名を、コマンドラインに表示せず、バナーに表示するオプションもあります。

ステップ 3 ドメイン名を入力します。デフォルト ドメイン名は default.domain.invalid です。

ASA は、修飾子を持たない名前のサフィクスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバに非修飾名「jupiter」を指定する場合、ASA には「jupiter.example.com」という名前が与えられます。


) マルチ コンテキスト モードの場合は、[Enable Password] 領域はコンテキストだけに表示され、システム実行スペースには表示されません。


ステップ 4 特権モード(イネーブル)パスワードを変更します。

イネーブル パスワードを使用すると、ログイン後に特権 EXEC モードにアクセスできます また、このパスワードは、デフォルト ユーザとして ASDM にアクセスする場合に使用します。デフォルト ユーザ名は空白になっています。デフォルト ユーザ名は、[User Accounts] ペインに「enable_15」と表示されます (イネーブル アクセスのユーザ認証を設定する場合は、ユーザごとに個別のパスワードを指定します。このイネーブル パスワードは使用しません。さらに、HTTP/ASDM アクセスにも認証を設定できます)。

ステップ 5 古いパスワードを入力します。

ステップ 6 新しいパスワードを入力します。

ステップ 7 新しいパスワードを確認します。


) マルチ コンテキスト モードの場合は、[Telnet Password] 領域はコンテキストだけに表示され、システム実行スペースには表示されません。


ステップ 8 プラットフォーム コンソールにアクセスするためのログイン パスワードを変更します。

Telnet パスワードにはログイン パスワードを設定します。デフォルトは「cisco」です。このパスワードは、Telnet アクセスと SSH アクセスの両方に適用されます。ASAに接続して Telnet または SSH セッションを実行している場合、ログイン パスワードで EXEC モードにアクセスできます (Telnet または SSH アクセスのユーザ認証を設定する場合は、ユーザごとに個別のパスワードを指定します。このログイン パスワードは使用しません)。

ステップ 9 古いパスワードを入力します。

ステップ 10 新しいパスワードを入力します。

ステップ 11 新しいパスワードを確認します。

ステップ 12 [Apply] をクリックして変更を保存します。


 

日付と時刻の設定

この項は、次の内容で構成されています。

「NTP サーバを使用した日付と時刻の設定」

「手動での日付と時刻の設定」

NTP サーバを使用した日付と時刻の設定

NTP サーバから日付と時刻を取得するには、次の手順を実行します。

手順の詳細

[Configuration] > [Device Setup] > [System Time] > [NTP] ペインを使用して、ASA で時間を動的に設定するように NTP サーバを定義します。時刻は ASDM のメイン ウィンドウの下部にあるステータスバーに表示されます。NTP サーバから取得された時刻によって、[Clock] ペインで手動で設定した時刻が上書きされます。

NTP を利用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。複数の NTP サーバを設定できます。ASAは一番下の階層からサーバを選択し、データ信頼度の尺度にします。

NTP サーバ設定の追加または編集

NTP サーバを追加または編集するには、次の手順を実行します。


ステップ 1 ASDM で、[Configuration] > [Device Setup] > [System Time] > [NTP] の順に選択します。

ステップ 2 [Add] をクリックして、[Add NTP Server Configuration] ダイアログボックスを表示します。

ステップ 3 NTP サーバの IP アドレスを入力します。

ステップ 4 [Preferred] チェックボックスをオンにして、このサーバを優先サーバに設定します。NTP では、どのサーバの精度が最も高いかを判断するためのアルゴリズムを使用し、そのサーバに同期します。精度が同じ程度であれば、優先サーバを使用します。ただし、優先サーバよりも精度が大幅に高いサーバがある場合、ASA では、精度の高いそのサーバを使用します。

ステップ 5 ドロップダウン リストからインターフェイスを選択します。この設定では、NTP パケットの発信インターフェイスが指定されます。インターフェイスが空白の場合、ASAが使用するデフォルトの管理コンテキスト インターフェイスは、ルーティング テーブルによって決まります。管理コンテキスト(および使用可能なインターフェイス)を変更する場合は、安定性のために [None](デフォルト インターフェイス)を選択します。

ステップ 6 ドロップダウン リストから、キー番号を選択します。この設定では、この認証キーのキー ID を指定します。これにより、MD5 認証を使用して NTP サーバと通信できます。NTP サーバのパケットも、常にこのキー ID を使用する必要があります。以前に別のサーバに対してキー ID を設定した場合は、そのキー ID をリストから選択できます。それ以外の場合は、1 ~ 4294967295 の数字を入力します。

ステップ 7 [Trusted] チェックボックスをオンにして、この認証キーを信頼できるキーとして指定します。これは、認証を成功させるために必要です。

ステップ 8 認証キーを設定するめのキー値を入力します。この値は、最大 32 文字の文字列です。

ステップ 9 このキー値を再入力して、正しく 2 回入力したことを確認します。

ステップ 10 [OK] をクリックします。

ステップ 11 [Enable NTP authentication] チェックボックスをオンにして、NTP 認証を有効にします。

ステップ 12 [Apply] をクリックして変更を保存します。


 

手動での日付と時刻の設定

日付と時刻を手動で設定するには、次の手順を実行します。

手順の詳細

[Configuration] > [Device Setup] > [System Time] > [Clock] ペインを使用して、ASA の日付と時刻を手動で設定します。時刻は 24 時間形式で、ASDM のメイン ペインの下部にあるステータスバーに表示されます。

マルチ コンテキスト モードでは、時刻はシステム コンフィギュレーションに対してだけ設定できます。

NTP サーバを使用して時刻を動的に設定する場合は、[Configuration] > [Device Setup] > [System Time] > [NTP] ペインを参照します。[Clock] ペインで手動設定した時刻は、NTP サーバから取得した時刻によって上書きされます。

ASA の日付と時刻を手動で設定するには、次の手順を実行します。


ステップ 1 ASDM で、[Configuration] > [Device Setup] > [System Time] > [Clock] の順に選択します。

ステップ 2 ドロップダウン リストからタイム ゾーンを選択します。この設定では、適切な時差を GMT に加えた(または GMT から差し引いた)タイム ゾーンを指定します。[Eastern Time]、[Central Time]、[Mountain Time]、または [Pacific Time] ゾーンを選択すると、次の時間帯で、時間が自動的に夏時間に調整されます。3 月の第二日曜日の午前 2 時~ 11 月の第一日曜日の午前 2 時。


) ASAの時間帯を変更すると、インテリジェント SSM との接続がドロップされる場合があります。


ステップ 3 [Date] ドロップダウン リストをクリックしてカレンダーを表示します。続いて、次の方法を使用して正しい日付を検索します。

月の名前をクリックし、月のリストを表示し、次に目的の月をクリックします。カレンダーがその月に変わります。

年をクリックして年を変更します。上矢印と下矢印を使用して複数年をスクロールすることも、入力フィールドに年を入力することもできます。

年月の左右にある矢印をクリックすると、カレンダーが一度に 1 か月ずつ前後にスクロールします。

カレンダーの日にちをクリックして日を設定します。

ステップ 4 時刻(時間、分、および秒)を手動で入力します。

ステップ 5 [Update Display Time] をクリックして、ASDM ペインの右下に表示される時刻を更新します。現在時刻は 10 秒ごとに自動更新されます。


 

マスター パスフレーズの設定

この項では、マスター パスフレーズを設定する方法について説明します。次の項目を取り上げます。

「マスター パスフレーズに関する情報」

「マスター パスフレーズのライセンス要件」

「ガイドラインと制限事項」

「マスター パスフレーズの追加または変更」

「マスター パスフレーズのディセーブル化」

「マスター パスフレーズの回復」

「マスター パスフレーズの機能履歴」

マスター パスフレーズに関する情報

マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。マスター パスフレーズは、機能を変更することなく、すべてのパスワードを一般的に暗号化またはマスキングするために使用するキーです。マスター パスフレーズを実装する機能には、次の機能があります。

OSPF

EIGRP

VPN ロード バランシング

VPN (リモート アクセスおよびサイトツーサイト)

フェールオーバー

AAA サーバ

ロギング

共有ライセンス

マスター パスフレーズのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マスター パスフレーズの追加または変更

この項では、マスター パスフレーズを追加または変更する方法について説明します。

前提条件

フェールオーバーがイネーブルであっても、フェールオーバー共有キーが設定されていない場合に、マスター パスフレーズを変更すると、エラー メッセージが表示されます。このメッセージには、マスター パスフレーズの変更がプレーン テキストとして送信されないよう、フェールオーバー共有キーを入力する必要があることが示されます。

[Configuration] > [Device Management] > [High Availability] > [Failover] ペインで、[Shared Key] フィールドに任意の文字を入力するか、またはフェールオーバー 16 進キーを選択している場合は、バックスペースを除く 32 の 16 進数(0-9A-Fa-f)を入力します。次に、[Apply] をクリックします。

マスター パスフレーズを追加または変更するには、次の手順を実行します。


ステップ 1 シングル コンテキスト モードで、[Configuration] > [Device Management] > [Advanced] > [Master Passphrase] を選択します。

マルチ コンテキスト モードでは、[Configuration] > [Device Management] > [Device Administration] > [Master Passphrase] を選択します。

ステップ 2 [Advanced Encryption Standard (AES) password encryption] チェックボックスをオンにします。

有効なマスター パスフレーズがない場合は、[Apply] をクリックすると警告メッセージが表示されます。[OK] または [Cancel] をクリックして続行できます。

後からパスワードの暗号化をディセーブルにすると、暗号化された既存のパスワードはいずれも変更されず、マスター パスフレーズが存在する限り、暗号化されたパスワードはアプリケーションによって必要に応じて復号化されます。

ステップ 3 [Change the encryption master passphrase] チェックボックスをオンにして、新しいマスター パスフレーズを入力および確認できるようにします。デフォルトでは、これらはディセーブルです。

新しいマスター パスフレーズの長さは 8 ~ 128 文字にする必要があります。

既存のパスフレーズを変更する場合は、新しいパスフレーズを入力する前に、古いパスフレーズを入力する必要があります。

マスター パスフレーズを削除するには、[New master passphrase] および [Confirm master passphrase] フィールドを空白のままにします。

ステップ 4 [Apply] をクリックします。

[Apply] をクリックした場合、次の条件では警告メッセージが表示されます。

[Change the encryption master passphrase] フィールドがイネーブルで、新しいマスター パスフレーズ フィールドが空白であり、 no key configuration-key password-encrypt コマンドがデバイスに送信された場合。

古いマスター パスフレーズが、show password encryption コマンド出力のハッシュ値と一致しない場合。

移植できない文字、特に 8 ビット表記の上位ビット セットの文字を使用している場合。

マスター パスフレーズおよびフェールオーバーが有効だが、フェールオーバー共有キーを削除しようとすると、エラー メッセージが表示される場合。

暗号化がディセーブルだが、新しいマスター パスフレーズまたは置換マスター パスフレーズが指定された場合。[OK] または [Cancel] をクリックして続行します。

マスター パスフレーズがマルチ セキュリティ コンテキスト モードで変更された場合。

アクティブ/アクティブ フェールオーバーが設定されており、マスター パスフレーズが変更された場合。

HTTP または HTTPS を使用するコンテキスト config-URL のように、実行コンフィギュレーションがサーバに保存できないように設定されている場合に、マスター パスフレーズを変更した場合。


 

マスター パスフレーズのディセーブル化

マスター パスフレーズをディセーブルにすると、暗号化されたパスワードがプレーン テキスト パスワードに戻ります。暗号化されたパスワードをサポートしていない以前のソフトウェア バージョンにダウングレードする場合は、パスフレーズを削除しておくと便利です。

前提条件


ステップ 1 ディセーブルにする現在のマスター パスフレーズがわかっていなければなりません。パスフレーズがわからない場合は、「マスター パスフレーズの回復」を参照してください。シングル コンテキスト モードで、[Configuration] > [Device Management] > [Advanced] > [Master Passphrase] を選択します。

マルチ コンテキスト モードでは、[Configuration] > [Device Management] > [Device Administration] > [Master Passphrase] を選択します。

ステップ 2 [Advanced Encryption Standard (AES) password encryption] チェックボックスをオンにします。

有効なマスター パスフレーズがない場合は、[Apply] をクリックすると警告文が表示されます。[OK] または [Cancel] をクリックして続行します。

ステップ 3 [Change the encryption master passphrase] チェックボックスをオンにします。

ステップ 4 [Old master passphrase] フィールドに、古いマスター パスフレーズを入力します。ディセーブルにする古いマスター パスフレーズを指定する必要があります。

ステップ 5 [New master passphrase] フィールドと [Confirm master passphrase] フィールドを空白のままにします。

ステップ 6 [Apply] をクリックします。


 

マスター パスフレーズの回復

マスター パスフレーズは回復できません。

マスター パスフレーズをなくした場合や不明な場合は、write erase コマンドに続けて reload コマンドを使用すると削除できます。これらのコマンドにより、暗号化されたパスワードが含まれたマスター キーおよびコンフィギュレーションが削除されます。

マスター パスフレーズの機能履歴

表 17-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 17-1 マスター パスフレーズの機能履歴

機能名
プラットフォーム リリース
機能情報

マスター パスフレーズ

8.3(1)

この機能が導入されました。

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Master Passphrase]。
[Configuration] > [Device Management] > [Device Administration] > [Master Passphrase]。

DNS サーバの設定

一部の ASA 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。他の機能( ping コマンドや traceroute コマンドなど)では、ping またはトレースルートする名前を入力できます。ASA では、DNS サーバと通信してこの名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。


) ASA では、機能に応じて DNS サーバの使用が限定的にサポートされます。 これらの機能では、サーバ名を IP アドレスに解決するために、[Configuration] > [Firewall] > [Objects] > [Network Object/Groups] ペインでサーバ名を追加して、IP アドレスを手動で入力する必要があります。


ダイナミック DNS の詳細については、 「ダイナミック DNS(DDNS)の設定」を参照してください。

前提条件

DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティングを設定し、DNS サーバに到達できるようにしてください。ルーティングの詳細については、「ルーティングに関する情報」を参照してください。


ステップ 1 [ASDM] メイン ウィンドウで、[Configuration] > [Device Management] > [DNS] > [DNS Client] を選択します。

ステップ 2 [DNS Setup] 領域で、次のオプションの中から 1 つを選択します。

Configure one DNS server group

Configure multiple DNS server groups

ステップ 3 [Add] をクリックして、[Add DNS Server Group] ダイアログボックスを表示します。

ステップ 4 DNS 要求を転送できるアドレスを最大 6 つまで指定します。ASA では、応答を受信するまで各 DNS サーバを順に試します。


) DNS サーバを追加する前に、少なくとも 1 つのインターフェイスで最初に DNS をイネーブルにする必要があります。[DNS Lookup] 領域に、インターフェイスの DNS ステータスが表示されます。[False] 設定は、DNS がディセーブルであることを示します。[True] 設定は、DNS がイネーブルであることを示します。


ステップ 5 設定済みの各 DNS サーバ グループの名前を入力します。

ステップ 6 設定済みのサーバの IP アドレスを入力し、[Add] をクリックして、これらをサーバ グループに含めます。設定済みサーバをグループから削除する場合は、[Delete] をクリックします。

ステップ 7 設定済みのサーバの順序を変更するには、[Move Up] または [Move Down] をクリックします。

ステップ 8 [Other Settings] 領域で、リスト内の次の DNS サーバを試行するまでの秒数を 1 ~ 30 秒で入力します。デフォルトは 2 秒です。ASA がサーバのリストを再試行するたびに、このタイムアウト時間は倍増します。

ステップ 9 グループ内の次の DNS サーバを試行するまでに待機する秒数を入力します。

ステップ 10 設定済みサーバのグループの有効な DNS ドメイン名を入力します。

ステップ 11 [OK] をクリックして、[Add DNS Server Group] ダイアログボックスを閉じます。

新しい DNS サーバ設定が表示されます。

ステップ 12 これらの設定を変更する場合は、[Edit] をクリックして、[Edit DNS Server Group] ダイアログボックスを表示します。

ステップ 13 必要な変更を行ってから、[OK] をクリックして [Edit DNS Server Group] ダイアログボックスを閉じます。

変更後の DNS サーバ設定が表示されます。

ステップ 14 DNS サーバ グループが DNS 要求を受信できるようにするには、[Set Active] をクリックします。

ステップ 15 [DNS Guard] 領域で、クエリーごとに 1 つの DNS 応答を実行するには、[Enable DNS Guard on all interfaces] チェックボックスをオンにします。DNS インスペクションがイネーブルな場合、選択したインターフェイスではこの設定が無視されます。

ステップ 16 変更を保存するには [Apply] をクリックし、変更を破棄して新しく入力するには [Reset] をクリックします。


 

DNS キャッシュのモニタリング

ASA では、特定のクライアントレス SSL VPN および certificate コマンドに送信された外部 DNS クエリーの DNS 情報のローカル キャッシュを提供します。各 DNS 変換要求は、ローカル キャッシュで最初に検索されます。ローカル キャッシュに情報がある場合、結果の IP アドレスが戻されます。ローカル キャッシュで要求を解決できない場合、設定されているさまざまな DNS サーバに DNS クエリーが送信されます。外部 DNS サーバによって要求が解決された場合、結果の IP アドレスが、対応するホスト名とともにローカル キャッシュに格納されます。

DNS キャッシュをモニタするには、次のペインを参照してください。

 

パス
目的

[Tools] > [Command Line Interface]

show dns-hosts と入力し、[Send] を押します。

DNS サーバからダイナミックに学習したエントリと、name コマンドを使用して手動で入力された名前および IP アドレスが含まれた、DNS キャッシュを表示します。

DNS キャッシュの機能履歴

表 2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 2 DNS キャッシュの機能履歴

機能名
プラットフォーム リリース
機能情報

DNS キャッシュ

7.0(1)

DNS キャッシュには応答が格納されています。これにより、DNS サーバはより迅速にクエリーに応答できます。

次の画面が導入されました。[Configuration] > [Device Management] > [DNS]。