Cisco ASA シリーズ ファイアウォール ASDM コンフィギュレーション ガイド ソフトウェア バージョン 7.1 ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA 5585-X、および ASA サービス モジュール用
ASA CX モジュールの設定
ASA CX モジュールの設定
発行日;2013/10/09 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

ASA CX モジュールの設定

ASA CX モジュールに関する情報

ASA CX モジュールがどのように ASA と連携するか

モニタ専用モード

モニタ専用モードでのサービス ポリシー

モニタ専用モードでのトラフィック転送インターフェイス

ASA CX 管理に関する情報

初期設定

ポリシー設定および管理

認証プロキシに関する情報

VPN および ASA CX モジュールに関する情報

ASA の機能との互換性

ASA CX モジュールのライセンス要件

注意事項と制限事項

デフォルト設定

ASA CX モジュールの設定

ASA CX モジュールのタスク フロー

ASA CX 管理インターフェイスの接続

ASA 5585-X(ハードウェア モジュール)

ASA 5512-X ~ ASA 5555-X(ソフトウェア モジュール)

(ASA 5512-X ~ ASA 5555-X で必要な場合あり)ソフトウェア モジュールのインストール

(ASA 5585-X)ASA CX 管理 IP アドレスの変更

ASA CX CLI での基本的な ASA CX の設定

PRSM を使用した ASA CX モジュールでのセキュリティ ポリシーの設定

(任意)認証プロキシ ポートの設定

ASA CX モジュールへのトラフィックのリダイレクト

ASA CX サービス ポリシーの作成

トラフィック転送インターフェイスの設定(モニタ専用モード)

ASA CX モジュールの管理

パスワードのリセット

モジュールのリロードまたはリセット

モジュールのシャットダウン

(ASA 5512-X ~ ASA 5555-X)ソフトウェア モジュール イメージのアンインストール

(ASA 5512-X ~ ASA 5555-X)ASA からモジュールへのセッション接続

ASA CX モジュールのモニタリング

モジュール ステータスの表示

モジュールの統計情報の表示

モジュール接続のモニタリング

モジュール トラフィックのキャプチャ

ASA CX モジュールのトラブルシューティング

認証プロキシの問題

ASA CX モジュールの機能履歴

ASA CX モジュールに関する情報

ASA CX モジュールを使用すると、特定の状況の完全なコンテキストに基づいてセキュリティを強制することができます。このコンテキストには、ユーザのアイデンティティ(誰が)、ユーザがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。ASA CX モジュールを使用すると、フローの完全なコンテキストを抽出して、細分化したポリシーを適用することができます。たとえば、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは禁止する、あるいは企業の機密データベースへのアクセスを財務担当者に許可するが他の社員には禁止するといったことが可能です。

「ASA CX モジュールがどのように ASA と連携するか」

「モニタ専用モード」

「ASA CX 管理に関する情報」

「認証プロキシに関する情報」

「VPN および ASA CX モジュールに関する情報」

「ASA の機能との互換性」

ASA CX モジュールがどのように ASA と連携するか

ASA CX モジュールは、ASA とは別のアプリケーションを実行します。ASA CX モジュールは外部管理インターフェイスを備えているので、ASA CX モジュールに直接接続できます。ASA CX モジュールのデータ インターフェイスは ASA のトラフィックだけに使用されます。

トラフィックは、ファイアウォール検査を通過してから ASA CX モジュールへ転送されます。ASA で ASA CX インスペクション対象として指定されたトラフィックは、次に示すように ASA および ASA CX モジュールを通過します。

1. トラフィックはASAに入ります。

2. 着信 VPN トラフィックが復号化されます。

3. ファイアウォール ポリシーが適用されます。

4. トラフィックが ASA CX モジュールに送信されます。

5. ASA CX モジュールはセキュリティ ポリシーをトラフィックに適用し、適切なアクションを実行します。

6. 有効なトラフィックが ASA に返送されます。ASA CX モジュールは、セキュリティ ポリシーに従ってトラフィックをブロックすることがあり、ブロックされたトラフィックは渡されません。

7. 発信 VPN トラフィックが暗号化されます。

8. トラフィックが ASA から出ます。

図 30-1 は、ASA CX モジュールを使用するときのトラフィック フローを示しています。この例では、特定のアプリケーションに対して許可されていないトラフィックを ASA CX モジュールが自動的にブロックします。それ以外のトラフィックは、ASAを通って転送されます。

図 30-1 ASA での ASA CX モジュールのトラフィック フロー

 


) 2 つの ASA インターフェイス上でホスト間が接続されており、ASA CX のサービス ポリシーがインターフェイスの一方のみについて設定されている場合は、これらのホスト間のすべてのトラフィックが ASA CX モジュールに送信されます。これには、ASA CX インターフェイス以外からのトラフィックも含まれます(この機能は双方向です)。ただし、ASA が認証プロキシを実行するのは、サービス ポリシーが適用されているインターフェイス上のみです。これは、入力のみの機能であるからです。


モニタ専用モード

デモンストレーション用に、モニタ専用モードでのサービス ポリシーまたはトラフィック転送インターフェイスを設定できます。

モニタ専用モードに関するガイドラインと制限事項については、「注意事項と制限事項」を参照してください。

「モニタ専用モードでのサービス ポリシー」

「モニタ専用モードでのトラフィック転送インターフェイス」

モニタ専用モードでのサービス ポリシー

テストおよびデモンストレーション用に、ASA CX モジュールに読み取り専用トラフィックの重複ストリームを送信するように ASA を設定できるので、モジュールが ASA トラフィック フローに影響を与えることなく、どのようにトラフィックをインスペクションするかを確認できます。このモードでは、ASA CX モジュールが通常どおりトラフィックをインスペクションし、ポリシーを決定し、イベントを生成します。ただし、パケットが読み取り専用コピーであるため、モジュールのアクションは実際のトラフィックには影響しません。代わりに、モジュールはインスペクション後コピーをドロップします。図 30-2 は、モニタ専用モードでの ASA CX モジュールを示します。

図 30-2 ASA CX モニタ専用モード

 

モニタ専用モードでのトラフィック転送インターフェイス

または、ASA インターフェイスを転送インターフェイスに設定し、ASA 処理を行わずに受信したすべてのトラフィックを直接 ASA CX モジュールに転送できます。テストおよびデモンストレーション用に、トラフィック転送では ASA 処理の余分な複雑性を取り除きます。トラフィック転送はモニタ専用モードでのみサポートされるので、ASA CX モジュールはインスペクション後トラフィックをドロップします。図 30-3 は、トラフィック転送用に設定された ASA GigabitEthernet 0/3 インターフェイスを示します。このインターフェイスは、ASA CX モジュールがすべてのネットワーク トラフィックをインスペクションできるように、スイッチの SPAN ポートに接続さます。

図 30-3 ASA CX トラフィック転送

 

ASA CX 管理に関する情報

「初期設定」

「ポリシー設定および管理」

初期設定

初期設定を行うには、ASA CX モジュールの CLI を使用して setup コマンドを実行し、その他の任意の設定値を設定する必要があります。

CLI にアクセスするには、次の方法を使用します。

ASA 5585-X

ASA CX コンソール ポート:ASA CX コンソール ポートは、独立した外部コンソール ポートです。

ASA CX 管理 1/0 インターフェイス(SSH を使用):デフォルトの IP アドレス(192.168.8.8)に接続することも、ASDM を使用して管理 IP アドレスを変更してから SSH を使用して接続することもできます。ASA CX 管理インターフェイスは、独立した外部ギガビット イーサネット インターフェイスです。


session コマンドを使用して ASA バックプレーンを介して ASA CX ハードウェア モジュール CLI にアクセスすることはできません。


ASA 5512-X ~ ASA 5555-X

バックプレーンを経由した ASA セッション:ASA に CLI アクセスが可能な場合は、モジュールにセッション接続し、そのモジュール CLI にアクセスできます。

ASA CX 管理 0/0 インターフェイス(SSH を使用):デフォルトの IP アドレス(192.168.1.2)に接続することも、ASDM を使用して管理 IP アドレスを変更してから SSH を使用して接続することもできます。これらのモデルは、ASA CX モジュールをソフトウェア モジュールとして実行します。ASA CX 管理インターフェイスは、管理 0/0 インターフェイスを ASA と共有します。ASA と ASA CX モジュールのそれぞれに別の MAC アドレスと IP アドレスがサポートされます。ASA CX IP アドレスの設定は、ASA CX オペレーティング システム内で(CLI または ASDM を使用して)実行する必要があります。ただし、物理特性(インターフェイスのイネーブル化など)は、ASA 上で設定されます。ASA インターフェイス コンフィギュレーションを削除して(特にインターフェイス名)、このインターフェイスを ASA CX 専用インターフェイスとすることができます。このインターフェイスは管理専用です。

ポリシー設定および管理

初期設定を実行した後で、Cisco Prime Security Manager(PRSM)を使用して ASA CX ポリシーを設定します。その後で、トラフィックを ASA CX モジュールに送信するための ASA ポリシーを、ASDM または ASA CLI を使用して設定します。


) PRSM をマルチ デバイス モードで使用するときは、トラフィックを ASA CX モジュールに送信するための ASA ポリシーの設定を、ASDM または ASA CLI を使用する代わりに PRSM の中で行うことができます。PRSM を使用すると、管理を単一の管理システムに集約できます。ただし、PRSM では、ASA サービス ポリシーを設定するときにいくつかの制限があります。詳細については、ASA CX のユーザ ガイドを参照してください。


認証プロキシに関する情報

ASA CX が HTTP ユーザを認証する必要がある場合は(アイデンティティ ポリシーを利用するために)、認証プロキシとして動作するように ASA を設定する必要があります。つまり、ASA CX モジュールは認証要求を ASA インターフェイス IP アドレス/プロキシ ポートにリダイレクトします。デフォルトでは、ポートは 885 です(ユーザ設定可能)。この機能は、トラフィックを ASA から ASA CX モジュールに誘導するサービス ポリシーの一部として設定します。認証プロキシをイネーブルにしない場合は、パッシブ認証のみを使用できます。


) 2 つの ASA インターフェイス上でホスト間が接続されており、ASA CX のサービス ポリシーがインターフェイスの一方のみについて設定されている場合は、これらのホスト間のすべてのトラフィックが ASA CX モジュールに送信されます。これには、ASA CX インターフェイス以外からのトラフィックも含まれます(この機能は双方向です)。ただし、ASA が認証プロキシを実行するのは、サービス ポリシーが適用されているインターフェイス上のみです。これは、入力のみの機能であるからです。


VPN および ASA CX モジュールに関する情報

ASA は、トラフィックを ASA CX モジュールに転送するときに、VPN クライアントおよびユーザ認証のメタデータを組み込みます。したがって、ASA CX モジュールはこの情報をポリシー検索基準の一部として使用できます。VPN メタデータは、セッション ID が格納された Type-Length-Value(TLV)とともに、VPN トンネルの確立時にだけ送信されます。ASA CX モジュールは、各セッションの VPN メタデータをキャッシュします。トンネリングされた接続のそれぞれからセッション ID が送信されるので、ASA CX モジュールはそのセッションのメタデータを検索できます。

ASA の機能との互換性

ASA には、多数の高度なアプリケーション インスペクション機能があり、HTTP インスペクションもその一つです。ただし、ASA CX モジュールには ASA よりも高度な HTTP インスペクション機能があり、その他のアプリケーションについても機能が追加されています。たとえば、アプリケーション使用状況のモニタリングと制御です。

ASA CX モジュールの機能を最大限に活用するには、ASA CX モジュールに送信するトラフィックに関する次のガイドラインを参照してください。

HTTP トラフィックに対して ASA インスペクションを設定しないでください。

クラウド Web セキュリティ(ScanSafe)インスペクションを設定しないでください。同じトラフィックに対して ASA CX のアクションとクラウド Web セキュリティ インスペクションの両方が設定されている場合に、ASA が実行するのは ASA CX のアクションのみです。

ASA 上の他のアプリケーション インスペクションは ASA CX モジュールと互換性があり、これにはデフォルト インスペクションも含まれます。

Mobile User Security(MUS)サーバをイネーブルにしないでください。これは、ASA CX モジュールとの間に互換性がありません。

ASA クラスタリングをイネーブルにしないでください。これは、ASA CX モジュールとの間に互換性がありません。

フェールオーバーをイネーブルにした場合は、ASA がフェールオーバーしたときに、既存の ASA CX フローは新しい ASA に転送されますが、トラフィックは ASA CX モジュールによる処理を受けることなく ASA の通過を許可されます。新しい ASA が受信した新しいフローだけが、ASA CX モジュールによる処理の対象となります。

(9.1(1) 以前)NAT 64 はサポートされません。9.1(2) 以降では、NAT 64 がサポートされます。

ASA CX モジュールのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ASA CX モジュールおよび PRSM には追加ライセンスが必要です。詳細については、ASA CX のマニュアルを参照してください。

注意事項と制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードでだけサポートされます。マルチ コンテキスト モードをサポートしません。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。トラフィック転送インターフェイスは、トランスペアレント モードでのみサポートされます。

フェールオーバーのガイドライン

フェールオーバーを直接にはサポートしていません。ASA がフェールオーバーしたときに、既存の ASA CX フローは新しい ASA に転送されますが、トラフィックは ASA CX によるインスペクションを受けることなく ASA の通過を許可されます。

ASA クラスタリングのガイドライン

クラスタリングはサポートされません。

IPv6 のガイドライン

IPv6 をサポートします。

(9.1(1) 以前)NAT 64 はサポートされません。9.1(2) 以降では、NAT 64 がサポートされます。

モデルのガイドライン

ASA 5585-X および 5512-X ~ ASA 5555-X でのみサポートされています。詳細については、『 Cisco ASA Compatibility Matrix 』を参照してください。

http://www.cisco.com/en/US/docs/security/asa/compatibility/asamatrx.html

5512-X ~ ASA 5555-X の場合は、シスコのソリッド ステート ドライブ(SSD)を実装する必要があります。詳細については、ASA 5500-X のハードウェア ガイドを参照してください。

モニタ専用モードのガイドライン

ASA 上でモニタ専用モードと通常のインライン モードの両方を同時に設定できません。セキュリティ ポリシーの 1 つのタイプのみが許可されます。

次の機能は、モニタ専用モードでサポートされません。

拒否ポリシー

アクティブ認証

復号化ポリシー

ASA CX は、モニタ専用モードでパケット バッファリングを実行せず、イベントはベスト エフォート方式で生成されます。たとえば、長い URL がパケット境界にまたがっている一部のイベントは、バッファリングの欠如の影響を受ける可能性があります。

ASA ポリシーと ASA CX の両方で必ずモードが一致するように設定する必要があります(両方ともモニタ専用モード、または両方とも通常のインライン モード)。

上記のほか、トラフィック転送インターフェイスには次のガイドラインがあります。

ASA はトランスペアレント モードにする必要があります。

最大 4 つのインターフェイスを、トラフィック転送インターフェイスとして設定できます。その他の ASA インターフェイスは、通常どおり使用できます。

トラフィック転送インターフェイスは、VLAN または BVI ではなく、物理インターフェイスである必要があります。また、物理インターフェイスには、それに関連付けられた VLAN を設定することはできません。

トラフィック転送インターフェイスは、ASA トラフィックには使用できません。これらに名前を付けたり、フェールオーバーや管理専用を含む ASA 機能向けに設定できません。

トラフィック転送インターフェイスとサービス ポリシーの両方を ASA CX トラフィック用に設定できません。

その他のガイドラインと制限事項

「ASA の機能との互換性」を参照してください。

ハードウェア モジュールにインストールされているソフトウェアのタイプの変更はできません。つまり、購入した ASA CX モジュールに、後で別のソフトウェアをインストールすることはできません。

デフォルト設定

表 30-1 に、ASA CX モジュールのデフォルト設定値を示します。

 

表 30-1 デフォルトのネットワーク パラメータ

パラメータ
デフォルト

Management IP address

ASA 5585-X:管理 1/0 192.168.8.8/24

ASA 5512-X ~ ASA 5555-X:管理 0/0 192.168.1.2/24

Gateway

ASA 5585-X:192.168.8.1/24

ASA 5512-X ~ ASA 5555-X:192.168.1.1/24

SSH またはセッションのユーザ名

admin

Password

Admin123

ASA CX モジュールの設定

この項では、ASA CX モジュールを設定する方法について説明します。

「ASA CX モジュールのタスク フロー」

「ASA CX 管理インターフェイスの接続」

「(ASA 5585-X)ASA CX 管理 IP アドレスの変更」

「(ASA 5512-X ~ ASA 5555-X で必要な場合あり)ソフトウェア モジュールのインストール」

「ASA CX CLI での基本的な ASA CX の設定」

「PRSM を使用した ASA CX モジュールでのセキュリティ ポリシーの設定」

「ASA CX モジュールへのトラフィックのリダイレクト」

ASA CX モジュールのタスク フロー

ASA CX モジュールの設定プロセスでは、ASA CX セキュリティ ポリシーを ASA CX モジュール上で設定してから、トラフィックを ASA CX モジュールに送信するように ASA を設定します。ASA CX モジュールを設定するには、次の手順に従います。


ステップ 1 ASA CX の管理インターフェイスをケーブルに接続します。「ASA CX 管理インターフェイスの接続」を参照してください。

ステップ 2 (ASA 5512-X ~ ASA 5555-X、必須の可能性があります)ソフトウェア モジュールをインストールします。「(ASA 5512-X ~ ASA 5555-X で必要な場合あり)ソフトウェア モジュールのインストール」を参照してください。

ステップ 3 (ASA 5585-X)初回の SSH アクセス用の ASA CX モジュール管理 IP アドレスを設定します。「(ASA 5585-X)ASA CX 管理 IP アドレスの変更」を参照してください。

ステップ 4 ASA CX モジュールで、基本設定値を設定します。これらの設定を構成するには、CLI を使用する必要があります。 「ASA CX CLI での基本的な ASA CX の設定」を参照してください。

ステップ 5 ASA CX モジュールで、PRSM を使用してセキュリティ ポリシーを設定します。「PRSM を使用した ASA CX モジュールでのセキュリティ ポリシーの設定」を参照してください。

ステップ 6 (任意)ASA で、認証プロキシ ポートを設定します。「(任意)認証プロキシ ポートの設定」を参照してください。

ステップ 7 ASA で、ASA CX モジュールに誘導するトラフィックを指定します。「ASA CX モジュールへのトラフィックのリダイレクト」を参照してください。


) PRSM をマルチ デバイス モードで使用するときは、トラフィックを ASA CX モジュールに送信するための ASA ポリシーの設定を、ASDM または ASA CLI を使用する代わりに PRSM の中で行うことができます。ただし、PRSM では、ASA サービス ポリシーを設定するときにいくつかの制限があります。詳細については、ASA CX のユーザ ガイドを参照してください。



 

ASA CX 管理インターフェイスの接続

ASA CX モジュールへの管理アクセスを提供する以外に、ASA CX 管理インターフェイスは、HTTP プロキシ サーバまたは DNS サーバおよびインターネットへのアクセスを必要とします。これは、シグニチャ アップデートなどのためです。この項では、推奨されるネットワーク コンフィギュレーションを示します。実際のネットワークでは、異なる可能性があります。

ASA 5585-X(ハードウェア モジュール)

ASA CX モジュールには、ASA からの別個の管理インターフェイスが含まれています。初期設定を行うには、デフォルト IP アドレス(192.168.8.8/24)を使用して ASA CX 管理 1/0 インターフェイスに SSH で接続できます。デフォルト IP アドレスを使用できない場合は、コンソール ポートを使用するか、ASDM を使用して SSH を使用できるように管理 IP アドレスを変更します。

 

内部ルータがある場合

内部ルータがある場合は、管理ネットワーク(これには ASA 管理 0/0 インターフェイスおよび ASA CX 管理 1/0 インターフェイスの両方を含めることができます)と ASA 内部ネットワークとの間でルーティングできます(インターネット アクセス用)。必ず、内部ルータを介して管理ネットワークに到達するためのルートを ASA に追加してください。

 

内部ルータがない場合

内部ネットワークが 1 つだけの場合は、別の管理ネットワークも持つことはできません(仮に持つとすれば、内部ルータがネットワーク間のルーティングを行う必要があります)。この場合は、管理 0/0 インターフェイスの代わりに内部インターフェイスから ASA を管理できます。ASA CX モジュールは ASA とは別のデバイスであるため、内部インターフェイスと同じネットワーク上に ASA CX 管理 1/0 アドレスを設定できます。

 

ASA 5512-X ~ ASA 5555-X(ソフトウェア モジュール)

これらのモデルは、ASA CX モジュールをソフトウェア モジュールとして実行し、ASA CX 管理インターフェイスは Management 0/0 インターフェイスを ASA と共有します。

 

内部ルータがある場合

内部ルータがある場合、Management 0/0 ネットワーク間でルーティングできます。これには、ASA および ASA CX の両方の管理 IP アドレス、およびインターネット アクセス用の内部ネットワークが含まれます。内部ルータを介して管理ネットワークにアクセスするには、ASA で忘れずにルートも追加してください。

 

内部ルータがない場合

内部ネットワークが 1 つのみある場合、別の管理ネットワークも使用することはできません。この場合、Management 0/0 インターフェイスの代わりに内部インターフェイスから ASA を管理できます。ASA 設定の名前を Management 0/0 インターフェイスから削除する場合、そのインターフェイスの ASA CX IP アドレスを引き続き設定できます。ASA CX モジュールは基本的には ASA とは別のデバイスであるため、内部インターフェイスと同じネットワーク上にあるように ASA CX 管理アドレスを設定 できます

 


) Management 0/0 に対して ASA が設定した名前を削除する必要があります。これが ASA で設定されている場合、ASA CX アドレスは、ASA と同じネットワーク上に存在する必要があり、これによって、その他の ASA インターフェイス上ですでに設定されたネットワークはすべて除外されます。名前が設定されていない場合、ASA CX は、任意のネットワーク上(たとえば、ASA 内部ネットワーク)に存在することができます。


次の作業

ASA CX 管理 IP アドレスを設定します。「(ASA 5585-X)ASA CX 管理 IP アドレスの変更」を参照してください。

(ASA 5512-X ~ ASA 5555-X で必要な場合あり)ソフトウェア モジュールのインストール

ASA CX モジュールとともに ASA を購入した場合、モジュール ソフトウェアおよび必要なソリッド ステート ドライブ(SSD)は事前にインストールされており、すぐに使用できます。既存の ASA に ASA CX を追加する場合、または SSD を交換する必要がある場合は、この手順に従って ASA CX ブート ソフトウェアをインストールし、SSD を分割する必要があります。物理的に SSD を取り付けるには、『ASA Hardware Guide』を参照してください。


ASA 5585-X ハードウェア モジュールの場合、ASA CX モジュールからイメージをインストールまたはアップグレードする必要があります。詳細は、ASA CX モジュールのマニュアルを参照してください。


手順の詳細


ステップ 1 Cisco.com からコンピュータに ASA CX ブート ソフトウェアをダウンロードします。 Cisco.com のログインをお持ちの場合は、次の Web サイトからブート ソフトウェアを入手できます。

http://www.cisco.com/cisco/software/release.html?mdfid=284325223&softwareid=284399946

ブート ソフトウェアを使用すると、基本的な ASA CX ネットワーク設定を行い、SSD を分割し、より大きいシステム ソフトウェアを任意のサーバから SSD にダウンロードできます。

ステップ 2 ASA CX 管理インターフェイスからアクセス可能な HTTP、HTTPS、または FTP サーバに、Cisco.com から ASA CX システム ソフトウェアをダウンロードします。 Cisco.com のログインをお持ちの場合は、次の Web サイトからブート ソフトウェアを入手できます。

http://www.cisco.com/cisco/software/release.html?mdfid=284325223&softwareid=284399946

ステップ 3 ASDM で、[Tools] > [File Management] を選択し、次に [File Transfer] > [Between Local PC and Flash] を選択します。ブート ソフトウェアを ASA 上の disk0 に転送します。システム ソフトウェアは転送しないでください。これは後で SSD にダウンロードされます。

ステップ 4 ASA CLI に接続し、特権 EXEC モードを開始します。ASA CLI にアクセスするには、一般的な操作のコンフィギュレーション ガイドの「Getting Started」の章を参照してください。

ステップ 5 IPS モジュールを ASA CX モジュールと交換する場合は、IPS モジュールをシャットダウンしてアンインストールし、次に ASA をリロードします。

hostname# sw-module module ips shutdown
hostname# sw-module module ips uninstall
hostname# reload
 

ASA のリロード後に、ASA CLI に再接続します。

ステップ 6 次のコマンドを入力して、ASA disk0 で ASA CX モジュール ブート イメージの場所を設定します。

hostname# sw-module module cxsc recover configure image disk0:file_path
 

例:

hostname# sw-module module cxsc recover configure image disk0:asacx-boot-9.1.1.img
 

ステップ 7 次のコマンドを入力して、ASA CX ブート イメージをロードします。

hostname# sw-module module cxsc recover boot
 

ステップ 8 ASA CX モジュールが起動するまで約 5 分待ってから、現在実行中の ASA CX ブート イメージへのコンソール セッションを開きます。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。

hostname# session cxsc console
Establishing console session with slot 1
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-SHIFT-6 then x'.
cxsc login: admin
Password: Admin123
 

ステップ 9 SSD を分割します。

asacx-boot> partition
....
Partition Successfully Completed
 

ステップ 10 「ASA CX CLI での基本的な ASA CX の設定」に従って、 setup コマンドを使用して基本的なネットワーク設定を実行し(ASA CX CLI を終了しないでください)、この手順に戻ってソフトウェア イメージをインストールします。

ステップ 11 サーバからシステム ソフトウェアをインストールします。

asacx-boot> system install url
 

例:

次のコマンドは asacx sys9.1.1.pkg システム ソフトウェアをインストールします。

asacx-boot> system install https://upgrades.example.com/packages/asacx-sys-9.1.1.pkg
 
Username: buffy
Password: angelforever
Verifying
Downloading
Extracting
Package Detail
Description:
Requires reboot:
Cisco ASA CX System Upgrade
Yes
Do you want to continue with upgrade? [n]: Y
Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state.
Upgrading
Stopping all the services ...
Starting upgrade process ...
Reboot is required to complete the upgrade. Press Enter to reboot the system.
 

ステップ 12 ASA CX モジュールをリブートするには、Enter キーを押します。モジュールをリブートすると、コンソール セッションが閉じます。アプリケーション コンポーネントのインストールと ASA CX サービスの起動には 10 分以上かかります。


 

(ASA 5585-X)ASA CX 管理 IP アドレスの変更

デフォルトの管理 IP アドレス(192.168.8.8)を使用できない場合は、管理 IP アドレスを ASA から設定できます。管理 IP アドレスを設定した後は、初期設定を実行するために SSH を使用して ASA CX モジュールにアクセスできます。


) ソフトウェア モジュールの場合、ASA CX CLI にアクセスして、ASA CLI からのセッション接続によって設定を実行できます。その後、設定の一部として ASA CX 管理 IP アドレスを設定できます。「ASA CX CLI での基本的な ASA CX の設定」を参照してください。


手順の詳細


ステップ 1 ASDM で、[Wizards] > [Startup Wizard] を選択します。

ステップ 2 ASA CX の [Basic Configuration] 画面が表示されるまで、[Next] をクリックして、初期画面を進みます。

 

ステップ 3 新しい管理 IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを入力します。

ステップ 4 (任意)認証プロキシ ポートを変更します。必要に応じて、後で設定することもできます。詳細については、「(任意)認証プロキシ ポートの設定」を参照してください。

ステップ 5 [Finish] をクリックして残りの画面をスキップするか、[Next] をクリックして残りの画面を進み、ウィザードを完了します。


 

ASA CX CLI での基本的な ASA CX の設定

セキュリティ ポリシーを設定する前に、基本的なネットワーク設定およびその他のパラメータを ASA CX モジュール上で設定する必要があります。

手順の詳細


ステップ 1 次のいずれかを実行します。

(すべてのモデル)SSH を使用して ASA CX 管理 IP アドレスに接続します。

(ASA 5512-X ~ ASA 5555-X)ASA CLI からモジュールへのコンソール セッションを開きます(ASA CLI にアクセスするには、一般的な操作のコンフィギュレーション ガイドの「Getting Started」の章を参照してください)。

hostname# session cxsc console
 

ステップ 2 ユーザ名 admin およびパスワード Admin123 を使用してログインします。この手順の中で、パスワードを変更します。

ステップ 3 次のコマンドを入力します。

asacx> setup
 

例:

asacx> setup
Welcome to Cisco Prime Security Manager Setup
[hit Ctrl-C to abort]
Default values are inside [ ]
 

セットアップ ウィザードでは入力が求められます。次の例は、ウィザードでの一般的な順序を示しています。プロンプトで N ではなく Y を入力した場合は、追加の設定を行うことができます。次に、IPv4 および IPv6 両方のスタティック アドレスの設定例を示します。IPv6 ステートレス自動設定を設定するには、スタティック IPv6 アドレスを設定するかどうかを尋ねるプロンプトで N と応答します。

Enter a hostname [asacx]: asa-cx-host
Do you want to configure IPv4 address on management interface?(y/n) [Y]: Y
Do you want to enable DHCP for IPv4 address assignment on management interface?(y/n)[N]: N
Enter an IPv4 address [192.168.8.8]: 10.89.31.65
Enter the netmask [255.255.255.0]: 255.255.255.0
Enter the gateway [192.168.8.1]: 10.89.31.1
Do you want to configure static IPv6 address on management interface?(y/n) [N]: Y
Enter an IPv6 address: 2001:DB8:0:CD30::1234/64
Enter the gateway: 2001:DB8:0:CD30::1
Enter the primary DNS server IP address [ ]: 10.89.47.11
Do you want to configure Secondary DNS Server? (y/n) [N]: N
Do you want to configure Local Domain Name? (y/n) [N] Y
Enter the local domain name: example.com
Do you want to configure Search domains? (y/n) [N] Y
Enter the comma separated list for search domains: example.com
Do you want to enable the NTP service?(y/n) [N]: Y
Enter the NTP servers separated by commas: 1.ntp.example.com, 2.ntp.example.com
 

ステップ 4 最後のプロンプトが完了すると、設定のサマリーが示されます。サマリーに目を通して値が正しいことを確認し、変更した設定を適用するには Y を入力します。変更をキャンセルするには N を入力します。

例:

Apply the changes?(y,n) [Y]: Y
Configuration saved successfully!
Applying...
Done.
Generating self-signed certificate, the web server will be restarted after that
...
Done.
Press ENTER to continue...
asacx>
 

) ホスト名を変更した場合は、ログアウトして再びログインするまでプロンプトに新しい名前は表示されません。


ステップ 5 NTP を使用しない場合は、時刻を設定します。デフォルトのタイム ゾーンは UTC タイム ゾーンです。現在の設定を表示するには、 show time コマンドを使用します。時間設定を変更するには、次のコマンドを使用できます。

asacx> config timezone
asacx> config time
 

ステップ 6 次のコマンドを入力して、admin のパスワードを変更します。

asacx> config passwd
 

例:

asacx> config passwd
The password must be at least 8 characters long and must contain
at least one uppercase letter (A-Z), at least one lowercase letter
(a-z) and at least one digit (0-9).
Enter password: Farscape1
Confirm password: Farscape1
SUCCESS: Password changed for user admin
 

ステップ 7 exit コマンドを入力してログアウトします。


 

PRSM を使用した ASA CX モジュールでのセキュリティ ポリシーの設定

この項では、ASA CX モジュール アプリケーションを設定するために PRSM を起動する方法について説明します。PRSM を使用して ASA CX セキュリティ ポリシーを設定する方法の詳細については、ASA CX ユーザ ガイドを参照してください。

手順の詳細

PRSM は、Web ブラウザから起動することも、ASDM から起動することもできます。

Web ブラウザから PRSM を起動するには、次の URL を入力します。

https://ASA_CX_management_IP
 

ASA CX 管理 IP アドレスは、「ASA CX CLI での基本的な ASA CX の設定」で設定したアドレスです。

PRSM を ASDM から起動するには、[Home] > [ASA CX Status] を選択し、[Connect to the ASA CX application] リンクをクリックします。

 

次の作業

(任意)認証プロキシ ポートを設定します。「(任意)認証プロキシ ポートの設定」を参照してください。

ASA CX モジュールにトラフィックをリダイレクトします。「ASA CX モジュールへのトラフィックのリダイレクト」を参照してください。

(任意)認証プロキシ ポートの設定

デフォルトの認証ポートは 885 です。認証プロキシ ポートを変更するには、次の手順を実行します。認証プロキシの詳細については、「認証プロキシに関する情報」を参照してください。


) このポートは、ASDM Startup Wizard の中で設定することもできます。「(ASA 5585-X)ASA CX 管理 IP アドレスの変更」を参照してください。


手順の詳細


ステップ 1 ASDM で、[Configuration] > [Firewall] > [Advanced] > [ASA CX Auth Proxy] を選択します。

 

ステップ 2 1024 より大きいポートを入力します。デフォルトは 885 です。

ステップ 3 [Apply] をクリックします。


 

ASA CX モジュールへのトラフィックのリダイレクト

特定のトラフィックを識別するサービス ポリシーを作成して、ASA CX モジュールへのトラフィックをリダイレクトできます。デモンストレーション用でのみ、元のトラフィックが影響を受けることなく、ASA CX モジュールへのトラフィックのコピーを転送するサービス ポリシーに対するモニタ専用モードもイネーブルにできます。

デモンストレーション用のもう 1 つのオプションは、サービス ポリシーの代わりにトラフィック転送をモニタ専用モードで設定することです。トラフィック転送インターフェイスは、ASA をバイパスすることにより、すべてのトラフィックを ASA CX モジュールに直接送信します。

「ASA CX サービス ポリシーの作成」

「トラフィック転送インターフェイスの設定(モニタ専用モード)」

ASA CX サービス ポリシーの作成

この項では、ASA から ASA CX モジュールにリダイレクトするトラフィックを指定します。このポリシーは、ASA で設定します。トラフィック転送インターフェイスをデモンストレーション用に使用する場合、この手順を飛ばして、代わりに「トラフィック転送インターフェイスの設定(モニタ専用モード)」を参照してください。


) PRSM をマルチ デバイス モードで使用するときは、トラフィックを ASA CX モジュールに送信するための ASA ポリシーの設定を、ASDM または ASA CLI を使用する代わりに PRSM の中で行うことができます。ただし、PRSM では、ASA サービス ポリシーを設定するときにいくつかの制限があります。詳細については、ASA CX のユーザ ガイドを参照してください。


前提条件

この手順を使用して ASA で認証プロキシをイネーブルにする場合は、必ず ASA CX モジュールで認証用のディレクトリ レルムも設定してください。詳細については、ASA CX ユーザ ガイドを参照してください。

(ASA CX と交換した)IPS モジュールにトラフィックをリダイレクトするアクティブ サービス ポリシーがある場合は、ASA CX サービス ポリシーを設定する前にそのポリシーを削除する必要があります。

ASA ポリシーと ASA CX の両方で必ずモードが一致するように設定する必要があります(両方ともモニタ専用モード、または両方とも通常のインライン モード)。

手順の詳細


ステップ 1 [Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。

 

ステップ 2 [Add] > [Add Service Policy Rule] を選択します。[Add Service Policy Rule Wizard - Service Policy] ダイアログボックスが表示されます。

ステップ 3 必要に応じて [Service Policy] ダイアログボックスに入力します。これらの画面の詳細については、ASDM オンライン ヘルプを参照してください。

ステップ 4 [Next] をクリックします。[Add Service Policy Rule Wizard - Traffic Classification Criteria] ダイアログボックスが表示されます。

ステップ 5 必要に応じて [Traffic Classification Criteria] ダイアログボックスに入力します。これらの画面の詳細については、ASDM オンライン ヘルプを参照してください。

ステップ 6 [Next] をクリックして [Add Service Policy Rule Wizard - Rule Actions] ダイアログボックスを表示します。

ステップ 7 [ASA CX Inspection] タブをクリックします。

 

ステップ 8 [Enable ASA CX for this traffic flow] チェックボックスをオンにします。

ステップ 9 [ASA CX Card Fails] 領域で、次のいずれかをクリックします。

[Permit traffic]:ASA CX モジュールが使用不可の場合に、すべてのトラフィックの通過を検査なしで許可するように ASA を設定します。

[Close traffic]:ASA CX モジュールが使用できない場合、すべてのトラフィックをブロックするように ASA を設定します。

ステップ 10 (任意)アクティブ認証に必要な認証プロキシをイネーブルにするには、[Enable Auth Proxy] チェックボックスをオンにします。このオプションは、モニタ専用モードでは使用できません。

ステップ 11 (任意)デモンストレーション用にのみ、ASA CX モジュールへのトラフィックの読み取り専用コピーを送信するには、[Monitor-only] チェックボックスをオンにします。詳細については、「モニタ専用モード」を参照してください。


) すべてのクラスとポリシーは、モニタ専用モード、または通常のインライン モードのいずれか設定する必要があります。同じ ASA で両方のモードを混在させることはできません。


ステップ 12 [OK]、続いて [Apply] をクリックします。

ステップ 13 この手順を繰り返して、追加のトラフィック フローを必要に応じて設定します。


 

トラフィック転送インターフェイスの設定(モニタ専用モード)

この項では、すべてのトラフィックが ASA CX モジュールに直接転送されるトラフィック転送インターフェイスを設定します。この方法は、デモンストレーションでのみ使用します。通常の ASA CX サービス ポリシーについては、「ASA CX サービス ポリシーの作成」を参照してください。

詳細については、「モニタ専用モード」を参照してください。

この機能は CLI でのみ設定できます。コマンドライン インターフェイス ツールを使用できます。

前提条件

ASA ポリシーと ASA CX の両方で必ずモードが一致するように設定する必要があります(両方ともモニタ専用モード)。

手順の詳細


ステップ 1 [Tools] > [Command Line Interface] を選択します。

ステップ 2 [Multiple Line] オプション ボタンをクリックします。

ステップ 3 次のコマンドを入力します。

 

コマンド
目的

ステップ 1

interface physical_interface

 

hostname(config)# interface gigabitethernet 0/5

トラフィック転送に使用する物理インターフェイスのインターフェイス コンフィギュレーション モードを開始します。

ステップ 2

no nameif

 

hostname(config-ifc)# no nameif

インターフェイスに設定された名前を削除します。このインターフェイスがいずれかの ASA 設定で使用されると、その設定は削除されます。指定したインターフェイス上でトラフィック転送を設定できません。

ステップ 3

traffic-forward cxsc monitor-only

 

hostname(config-ifc)# traffic-forward cxsc monitor-only

トラフィック転送をイネーブルにします。次のような警告が表示されます。

WARNING: This configuration is purely for demo of CX functionality and shouldn't be used on a production ASA and any issues found when mixing demo feature with production ASA is not supported.

ステップ 4

no shutdown

 

hostname(config-ifc)# no shutdown

インターフェイスをイネーブルにします。

ステップ 4 追加のインターフェイスについて、この手順を繰り返します。

ステップ 5 [Send] をクリックします。


 

次の例は、GigabitEthernet 0/5 のトラフィック転送インターフェイスを作成します。

 

ASA CX モジュールの管理

この項には、モジュールの管理に役立つ手順が含まれます。

「パスワードのリセット」

「モジュールのリロードまたはリセット」

「モジュールのシャットダウン」

「(ASA 5512-X ~ ASA 5555-X)ソフトウェア モジュール イメージのアンインストール」

「(ASA 5512-X ~ ASA 5555-X)ASA からモジュールへのセッション接続」

パスワードのリセット

モジュールのパスワードをデフォルトにリセットできます。ユーザ admin のデフォルトのパスワードは Admin123 です。パスワードをリセットした後は、モジュール アプリケーションを使用してパスワードを独自の値に変更する必要があります。

モジュールのパスワードをリセットすると、モジュールがリブートします。モジュールのリブート中は、サービスを使用できません。

新しいパスワードで ASDM に接続できない場合は、ASDM を再起動して再度ログインしてみます。新しいパスワードを定義したが、新しいパスワードと異なる既存のパスワードが ASDM にある場合は、[File] > [Clear ASDM Password Cache] 選択して、パスワード キャッシュを消去し、ASDM を再起動して再度ログインしてみます。

モジュールのパスワードをデフォルトの「Admin123」にリセットするには、次の手順を実行します。

手順の詳細

 


ステップ 1 ASDM メニューバーの [Tools] > [ASA CX Password Reset] を選択します。

[Password Reset] 確認ダイアログ ボックスが開きます。

 

ステップ 2 [OK] をクリックして、パスワードをデフォルトの Admin123 にリセットします。

ダイアログボックスに、パスワードのリセットが正常に完了したか、失敗したかが表示されます。

ステップ 3 [Close] をクリックして、ダイアログボックスを閉じます。


 

モジュールのリロードまたはリセット

モジュールをリロードまたはリセットするには、ASA CLI で次のいずれかのコマンドを入力します。

手順の詳細

 

コマンド
目的

ハードウェア モジュール(ASA 5585-X)の場合:

hw-module module 1 reload
 

ソフトウェア モジュール(ASA 5512-X ~ ASA 5555-X)の場合:

sw-module module cxsc reload
 

hostname# hw-module module 1 reload

モジュール ソフトウェアをリロードします。

ハードウェア モジュールの場合:

hw-module module 1 reset
 

ソフトウェア モジュールの場合:

sw-module module cxsc reset
 

hostname# hw-module module 1 reset

リセットを実行してから、モジュールをリロードします。

モジュールのシャットダウン

モジュール ソフトウェアをシャットダウンするのは、コンフィギュレーション データを失うことなく安全にモジュールの電源をオフにできるように準備するためです。 :ASA をリロードする場合は、モジュールは自動的にはシャットダウンされないので、ASA のリロード前にモジュールをシャットダウンすることを推奨します。モジュールをグレースフル シャットダウンするには、ASA CLI で次の手順を実行します。

手順の詳細

 

コマンド
目的

ハードウェア モジュール(ASA 5585-X)の場合:

hw-module module 1 shutdown
 

ソフトウェア モジュール(ASA 5512-X ~ ASA 5555-X)の場合:

sw-module module cxsc shutdown
 

hostname# hw-module module 1 shutdown

モジュールをシャットダウンします。

(ASA 5512-X ~ ASA 5555-X)ソフトウェア モジュール イメージのアンインストール

ソフトウェア モジュール イメージおよび関連するコンフィギュレーションをアンインストールするには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

sw-module module cxsc uninstall

 

hostname# sw-module module cxsc uninstall

Module cxsc will be uninstalled. This will completely remove the

disk image associated with the sw-module including any configuration

that existed within it.

 

Uninstall module <id>? [confirm]

ソフトウェア モジュール イメージおよび関連するコンフィギュレーションを永続的にアンインストールします。

ステップ 2

reload

 

hostname# reload

ASAをリロードします。新しいモジュール タイプをインストールする前に、ASA をリロードする必要があります。

(ASA 5512-X ~ ASA 5555-X)ASA からモジュールへのセッション接続

ASA から ASA CX ソフトウェア モジュール CLI にアクセスするには、ASA からセッション接続できます。モジュールへのセッションを開始することも(Telnet を使用)、仮想コンソール セッションを作成することもできます。コンソール セッションは、コントロール プレーンがダウンし、Telnet セッションを確立できない場合に便利です。

マルチ コンテキスト モードを使用している場合は、CLI にアクセスする必要があり、CLI を使用している場合、またはトラブルシューティングには基本的なネットワーク設定を設定する必要があります。

手順の詳細

 

コマンド
目的

Telnet セッション。

session cxsc
 
 

hostname# session cxsc

 

Opening command session with slot 1.

Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

 

cxsc login: admin

Password: Admin123

Telnet を使用してモジュールにアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。

コンソール セッション。

session cxsc console
 

hostname# session cxsc console

 

Establishing console session with slot 1

Opening console session with module cxsc.

Connected to module cxsc. Escape character sequence is 'CTRL-SHIFT-6 then x'.

 

cxsc login: admin

Password: Admin123

モジュール コンソールにアクセスします。ユーザ名とパスワードの入力を求められます。デフォルトのユーザ名は admin で、デフォルトのパスワードは Admin123 です。

コマンドを使用します。

ASA CX モジュールのモニタリング

モニタリング コマンドを使用するには、[Tools] > [Command Line Interface] を使用します。

「モジュール ステータスの表示」

「モジュールの統計情報の表示」

「モジュール接続のモニタリング」

「モジュール トラフィックのキャプチャ」

「認証プロキシの問題」


) ASA CX 関連の syslog メッセージについては、syslog メッセージ ガイドを参照してください。ASA CX の syslog メッセージは、メッセージ番号 429001 から始まります。


モジュール ステータスの表示

一般的な操作のコンフィギュレーション ガイドのを参照してください。

モジュールの統計情報の表示

モジュールの統計情報を表示するには、次のコマンドを入力します。

 

コマンド
目的

show service-policy cxsc

ASA CX の統計情報およびステータスをサービス ポリシーごとに表示します。

次に示す show service-policy コマンドの出力例では、認証プロキシがディセーブルになっているときの、ASA CX ポリシーと現在の統計情報およびモジュールのステータスが表示されています。

hostname# show service-policy cxsc
Global policy:
Service-policy: global_policy
Class-map: bypass
CXSC: card status Up, mode fail-open, auth-proxy disabled
packet input 2626422041, packet output 2626877967, drop 0, reset-drop 0, proxied 0
 

次に示す show service-policy コマンドの出力例では、認証プロキシがイネーブルになっているときの、ASA CX ポリシーと現在の統計情報およびモジュールのステータスが表示されています。この場合は、proxied カウンタもインクリメントされます。

hostname# show service-policy cxsc
Global policy:
Service-policy: pmap
Class-map: class-default
Default Queueing Set connection policy: random-sequence-number disable
drop 0
CXSC: card status Up, mode fail-open, auth-proxy enabled
packet input 7724, packet output 7701, drop 0, reset-drop 0, proxied 10
 

モジュール接続のモニタリング

ASA CX モジュールを通過する接続を表示するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show asp table classify domain cxsc

トラフィックを ASA CX モジュールに送信するために作成された NP ルールを表示します。

show asp table classify domain cxsc-auth-proxy

ASA CX モジュールの認証プロキシ用に作成された NP ルールを表示します。

show asp drop

ドロップされたパケットを表示します。次のドロップ タイプが使用されます。

フレーム ドロップ:

cxsc-bad-tlv-received:これが発生するのは、ASA が CXSC から受信したパケットにポリシー ID TLV がないときです。非制御パケットのアクション フィールドで Standy Active ビットが設定されていない場合は、この TLV が存在している必要があります。

cxsc-request:CXSC 上のポリシーが理由で、フレームをドロップするよう CXSC から要求されました。このポリシーによって、CXSC はアクションを Deny Source、Deny Destination、または Deny Pkt に設定します。

cxsc-fail-close:パケットがドロップされたのは、カードが動作中ではなく、設定済みのポリシーが「fail-close」であったからです(対照的に、「fail-open」の場合は、カードがダウンしていてもパケットの通過が許可されます)。

cxsc-fail:既存のフローに対する CXSC コンフィギュレーションが削除されており、CXSC で処理できないため、ドロップされます。これが発生することは、ほとんどありません。

cxsc-malformed-packet:CXSC からのパケットに無効なヘッダーが含まれます。たとえば、ヘッダー長が正しくない可能性があります。

フロー ドロップ:

cxsc-request:フローを終了させることを CXSC が要求しました。アクション ビット 0 が設定されます。

reset-by-cxsc:フローの終了とリセットを CXSC が要求しました。アクション ビット 1 が設定されます。

cxsc-fail-close:フローが終了させられたのは、カードがダウン状態であり、設定済みのポリシーが「fail-close」であったからです。

show asp event dp-cp cxsc-msg

この出力には、dp-cp キューにある ASA CX モジュール メッセージの数が表示されます。現時点では、ASA CX モジュールからの VPN クエリーのみが dp-cp に送信されます。

show conn

このコマンドは、「X - inspected by service module」フラグを表示することにより、接続がモジュールに転送されているかどうかをあらかじめ表示します。ASA CX モジュールに転送される接続にも、「X」フラグが表示されます。

次に、 show asp table classify domain cxsc コマンドの出力例を示します。

hostname# show asp table classify domain cxsc
Input Table
in id=0x7ffedb4acf40, priority=50, domain=cxsc, deny=false
hits=15485658, user_data=0x7ffedb4ac840, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=outside, output_ifc=any
in id=0x7ffedb4ad4a0, priority=50, domain=cxsc, deny=false
hits=992053, user_data=0x7ffedb4ac840, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=inside, output_ifc=any
in id=0x7ffedb4ada00, priority=50, domain=cxsc, deny=false
hits=0, user_data=0x7ffedb4ac840, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
input_ifc=m, output_ifc=any
 
Output Table:
 
L2 - Output Table:
 
L2 - Input Table:
 
Last clearing of hits counters: Never
 

次に、 show asp table classify domain cxsc-auth-proxy コマンドの出力例を示します。次の出力の最初のルールでは、宛先の「port=2000」は cxsc auth-proxy port 2000 コマンドで設定された認証プロキシ ポートであり、宛先の「ip/id=192.168.0.100」は ASA インターフェイス IP アドレスです。

hostname# show asp table classify domain cxsc-auth-proxy
Input Table
in id=0x7ffed86cc470, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=192.168.0.100, mask=255.255.255.255, port=2000, dscp=0x0
input_ifc=inside, output_ifc=identity
in id=0x7ffed86cce20, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=2.2.2.2, mask=255.255.255.255, port=2000, dscp=0x0
input_ifc=new2, output_ifc=identity
in id=0x7ffed86cd7d0, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=172.23.58.52, mask=255.255.255.255, port=2000, dscp=0x0
input_ifc=mgmt, output_ifc=identity
in id=0x7ffed86caa80, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=192.168.5.172, mask=255.255.255.255, port=2000, dscp=0x0
input_ifc=outside, output_ifc=identity
in id=0x7ffed86cb3c0, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=::/0, port=0
dst ip/id=fe80::5675:d0ff:fe5b:1102/128, port=2000
input_ifc=outside, output_ifc=identity
in id=0x7ffed742be10, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=::/0, port=0
dst ip/id=1:1:1:1::10/128, port=2000
input_ifc=outside, output_ifc=identity
 
Output Table:
 
L2 - Output Table:
 
L2 - Input Table:
 
Last clearing of hits counters: Never
 

次に、 show asp drop コマンドの出力例を示します。この出力は単なる例であり、ASA CX モジュールからドロップされるフレームまたはフローの原因として考えられるものがすべて表示されています。

hostname# show asp drop
Frame drop:
CXSC Module received packet with bad TLV's (cxsc-bad-tlv-received) 2
CXSC Module requested drop (cxsc-request) 1
CXSC card is down (cxsc-fail-close) 1
CXSC config removed for flow (cxsc-fail) 3
CXSC Module received malformed packet (cxsc-malformed-packet) 1
Last clearing: 18:12:58 UTC May 11 2012 by enable_15
 
Flow drop:
Flow terminated by CXSC (cxsc-request) 2
Flow reset by CXSC (reset-by-cxsc) 1
CXSC fail-close (cxsc-fail-close) 1
 
Last clearing: 18:12:58 UTC May 11 2012 by enable_15
 

次に、 show asp event dp-cp cxsc-msg コマンドの出力例を示します。

hostname# show asp event dp-cp cxsc-msg
DP-CP EVENT QUEUE QUEUE-LEN HIGH-WATER
Punt Event Queue 0 5
Identity-Traffic Event Queue 0 0
General Event Queue 0 4
Syslog Event Queue 4 90
Non-Blocking Event Queue 0 2
Midpath High Event Queue 0 53
Midpath Norm Event Queue 8074 8288
SRTP Event Queue 0 0
HA Event Queue 0 0
Threat-Detection Event Queue 0 3
ARP Event Queue 0 2048
IDFW Event Queue 0 0
CXSC Event Queue 0 1
EVENT-TYPE ALLOC ALLOC-FAIL ENQUEUED ENQ-FAIL RETIRED 15SEC-RATE
cxsc-msg 1 0 1 0 1 0
 

次に、 show conn detail コマンドの出力例を示します。

hostname# show conn detail
0 in use, 105 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed, C - CTIQBE media,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS,
X - inspected by service module
 
TCP outside 208.80.152.2:80 inside 192.168.1.20:59928, idle 0:00:10, bytes 79174, flags XUIO

モジュール トラフィックのキャプチャ

ASA CX モジュール用のパケット キャプチャを設定および表示するには、次のいずれかのコマンドを入力します。

 

コマンド
目的

capture name interface asa_dataplane

ASA CX モジュールと ASA の間のパケットをバックプレーン上でキャプチャします。

copy capture

キャプチャ ファイルをサーバにコピーします。

show capture

キャプチャを ASA コンソールに表示します。


) キャプチャされたパケットに含まれている追加 AFBP ヘッダーを、PCAP ビューアが認識しないことがあります。このようなパケットを表示するには、適切なプラグインを使用してください。


ASA CX モジュールのトラブルシューティング

「認証プロキシの問題」

認証プロキシの問題

認証プロキシ機能を使用するときに問題が発生した場合は、次の手順に従って設定および接続のトラブルシューティングを行います。

1. コンフィギュレーションを確認します。

ASA で、 show asp table classify domain cxsc-auth-proxy コマンドの出力を調べて、ルールがインストールされていて正しいことを確認します。

PRSM で、ディレクトリのレルムが作成されていて正しいクレデンシャルが指定されていることを確認するとともに、接続をテストして、認証サーバに到達可能であることを確認します。また、認証用のポリシー オブジェクトが設定されていることを確認します。

2. show service-policy cxsc コマンドの出力を見て、プロキシされたパケットがあるかどうかを調べます。

3. バックプレーンでのパケット キャプチャを行い、正しく設定されたポート上でトラフィックがリダイレクトされているかどうかを確認します。「モジュール トラフィックのキャプチャ」を参照してください。設定済みのポートを調べるには、 show running-config cxsc コマンドまたは show asp table classify domain cxsc-auth-proxy コマンドを使用します。


) 2 つの ASA インターフェイス上でホスト間が接続されており、ASA CX のサービス ポリシーがインターフェイスの一方のみについて設定されている場合は、これらのホスト間のすべてのトラフィックが ASA CX モジュールに送信されます。これには、ASA CX インターフェイス以外からのトラフィックも含まれます(この機能は双方向です)。ただし、ASA が認証プロキシを実行するのは、サービス ポリシーが適用されているインターフェイス上のみです。これは、入力のみの機能であるからです。


例 30-1 ポート 2000 が一貫して使用されていることの確認

1. 認証プロキシのポートを確認します。

hostname# show running-config cxsc
cxsc auth-proxy port 2000
 

2. 認証プロキシ ルールを確認します。

hostname# show asp table classify domain cxsc-auth-proxy
 
Input Table
in id=0x7ffed86cc470, priority=121, domain=cxsc-auth-proxy, deny=false
hits=0, user_data=0x7ffed86ca220, cs_id=0x0, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=192.168.0.100, mask=255.255.255.255, port=2000, dscp=0x0
input_ifc=inside, output_ifc=identity
 

3. パケット キャプチャでは、リダイレクト要求が宛先ポート 2000 に送られる必要があります。

ASA CX モジュールの機能履歴

表 30-2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 30-2 ASA CX モジュールの機能履歴

機能名
プラットフォーム リリース
機能情報

ASA 5585-X での ASA CX SSP のサポート

8.4(4.1)

ASA CX モジュールを使用すると、特定の状況の完全なコンテキストに基づいてセキュリティを強制することができます。このコンテキストには、ユーザのアイデンティティ(誰が)、ユーザがアクセスを試みているアプリケーションまたは Web サイト(何を)、アクセス試行の発生元(どこで)、アクセス試行の時間(いつ)、およびアクセスに使用されているデバイスのプロパティ(どのように)が含まれます。ASA CX モジュールを使用すると、フローの完全なコンテキストを抽出して、細分化したポリシーを適用することができます。たとえば、Facebook へのアクセスを許可するが Facebook でのゲームへのアクセスは禁止する、あるいは企業の機密データベースへのアクセスを財務担当者に許可するが他の社員には禁止するといったことが可能です。

次の画面が導入されました。

[Home] > [ASA CX Status]
[Wizards] > [Startup Wizard] > [ASA CX Basic Configuration]
[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA CX Inspection]

ASA 5512-X ~ ASA 5555-X に対する ASA CX SSP のサポート

9.1(1)

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、および ASA 5555-X に対する ASA CX SSP ソフトウェア モジュールのサポートが導入されました。

変更された画面はありません。

デモンストレーション用のモニタ専用モードのサポート

9.1(2)

デモンストレーション用でのみ、元のトラフィックが影響を受けることなく、ASA CX モジュールへのトラフィックのコピーを転送するサービス ポリシーに対するモニタ専用モードをイネーブルにできます。

デモンストレーション用のもう 1 つのオプションは、サービス ポリシーの代わりにトラフィック転送をモニタ専用モードで設定することです。トラフィック転送インターフェイスは、ASA をバイパスすることにより、すべてのトラフィックを ASA CX モジュールに直接送信します。

次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA CX Inspection]。

トラフィック転送機能は CLI のみでサポートされます。

ASA CX モジュールおよび NAT 64 のサポート

9.1(2)

ASA CX モジュールとともに NAT 64 を使用できるようになりました。

変更された画面はありません。