シスコ仮想セキュリティ アプライアンス(ASAv)クイック スタート ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月12日
章のタイトル: Cisco ASAv 仮想アプライアンスの導入
Cisco ASAv 仮想アプライアンスの導入
ASAv に関する情報
ASAv は、仮想化環境に包括的なファイアウォール機能を提供し、データセンター トラフィックとマルチテナント環境のセキュリティを強化します。ASAv は、VMware vSphere 上で稼働します。
Adaptive Security Device Manager(ASDM)または CLI を使用して ASAv を管理および監視できます。
VMware システム要件
ASAv を導入する前に、VMware vSphere 5.x から次のコンポーネントをインストールする必要があります。
•
Windows または Linux 向け vSphere Web クライアントまたは vSphere クライアント
vSphere およびハードウェアの要件に関する詳細については、VMware のマニュアルを参照してください。
http://www.vmware.com/support/pubs/
(注) vCenter を使用せずに ESXi ホスト上に ASAv を直接インストールすることはできません。
vCloud Director を使用して ASAv を配置することはできません。
ASAv の VMware 機能のサポート
表 1 に、ASAv の VMware 機能のサポートを示します。
|
|
|
(あり/なし) |
|
|---|---|---|---|
ASAv の前提条件
vSphere スイッチについては、レイヤ 2 セキュリティ ポリシーを編集して、ASAv インターフェイスによって使用されるポート グループに対しセキュリティ ポリシーの例外を適用できます。次のデフォルト設定を参照してください。
次の ASAv 設定については、これらの設定の変更が必要な場合があります。
|
|
|
|
||
|---|---|---|---|---|
|
|
|
|
|
|
注意事項と制約事項
シングル コンテキスト モードでだけサポートされます。マルチ コンテキスト モードをサポートしません。
ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。
フェールオーバー配置では、スタンバイ装置に割り当てられる vCPU の数がプライマリ装置に割り当てられる数と同じであることを確認してください(vCPU のライセンス数とも一致すること)。
• VMware vSphere Web クライアントを使用して ASAv OVA ファイルを最初に配置する際は、管理インターフェイスに IPv6 アドレスを指定できません。ASDM または CLI を使用して、IPv6 アドレッシングを後で追加できます。
• ASAv OVA の導入は、ローカリゼーション(非英語モードでのコンポーネントのインストール)をサポートしません。ご自身の環境の VMware vCenter と LDAP サーバが ASCII 互換モードでインストールされていることを確認してください。
• ASAv をインストールして VM コンソールを使用する前に、キーボードを [United States English] に設定する必要があります。
• ASAv に割り当てられたメモリのサイズは、導入時に選択した vCPU 数に合わせたものです。異なる vCPU 数のライセンスを要求する場合を除き、[Edit Settings] ダイアログボックスでメモリ設定を変更しないでください。アンダープロビジョニングの場合、パフォーマンスに影響する場合があり、オーバープロビジョニングの場合、ASAv によりリロードが行われることが警告されます。待機期間(100 ~ 125% のオーバープロビジョニングの場合は 24 時間、125% 以上の場合は 1 時間)の後、ASAv はリロードします。 注: メモリを変更する必要がある場合は、ASAv ライセンスのセクションで記載されている値のみを使用してください。VMware が推奨するメモリ構成の最小値、デフォルト値、および最大値は使用しないでください。
• 異なる vCPU 数のライセンスを要求している場合は、vCPU の制限値を変更する必要がありますが、それ以外では、vSphere の vCPU ハードウェア設定を変更しないでください。変更しなければ、ASAv を導入したときに正しい設定が適用されます。[Edit Settings] ダイアログボックスでこれらの設定を変更すると、アンダープロビジョニングの場合、パフォーマンスに影響する場合があり、オーバープロビジョニングの場合、ASAv によりリロードが行われることが警告されます。待機期間(100 ~ 125% のオーバープロビジョニングの場合は 24 時間、125% 以上の場合は 1 時間)の後、ASAv はリロードします。リソース割り当てとオーバー プロビジョニングまたはアンダー プロビジョニングされたリソースを表示するには、ASAv の show vm コマンドと show cpu コマンド[ASDM Home] > [Device Dashboard] > [Device Information] > [Virtual Resources] タブまたは [Monitoring] > [Properties] > [System Resources Graphs] > [CPU] ペインを使用します。
• ASAv の導入時に、ホスト クラスタがある場合は、ストレージをローカルに(特定のホスト上)または共有ホスト上でプロビジョニングできます。しかし、ASAv を vMotion で別のホストに移行する場合は、いかなるタイプのストレージ(SAN またはローカル)を使用しても接続の中断が発生します。
– vSphere Web クライアントは ASAv OVA の導入ではサポートされません。代わりに vSphere クライアントを使用してください。
– 導入用のフィールドが重複している場合があります。最初に表示されるフィールドに記入して、重複したフィールドは無視してください。
ASAv のライセンス要件
(注) ASAv で仮想 CPU ライセンスをインストールする必要があります。ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。通常の操作には、仮想 CPU ライセンスが必要です。
ASAv の導入
• 「vSphere Web クライアントへのアクセスとクライアント統合プラグインのインストール」
• 「VMware vSphere Web クライアントを使用した ASAv の導入」
vSphere Web クライアントへのアクセスとクライアント統合プラグインのインストール
この項では、vSphere Web クライアントにアクセスする方法について説明します。また、ASAv コンソール アクセスに必要なクライアント統合プラグインをインストールする方法についても説明します。一部の Web クライアント機能(プラグインなど)は、Macintosh ではサポートされていません。完全なクライアントのサポート情報については、VMware の Web サイトを参照してください。
スタンドアロン vSphere クライアントを使用することを選択することもできますが、このガイドでは Web クライアントについてのみ説明します。
手順の詳細
ステップ 1 ブラウザから VMware vSphere Web クライアントを起動します。
https:// vCenter_server : port /vsphere-client/
ステップ 2 (1 回のみ)ASAv コンソールへのアクセスを可能にするため、クライアント統合プラグインをインストールします。
a. サインオン画面で、[ Download the Client Integration Plug-in ] をクリックしてプラグインをダウンロードします。
b. ブラウザを閉じてから、インストーラを使用してプラグインをインストールします。
c. プラグインをインストールしたら、vSphere Web クライアントに再接続します。
ステップ 3 ユーザ名とパスワードを入力し、[ Login ] をクリックするか、[ Use Windows session authentication ] チェックボックスをクリックします(Windows のみ)。
VMware vSphere Web クライアントを使用した ASAv の導入
ASAv を導入するには、VMware vSphere Web クライアント(または vSphere クライアント)、および Open Virtualization Format(OVF)形式のテンプレート ファイルを使用します。ASAv については、OVF パッケージが単一の Open Virtual Appliance(OVA)ファイルとして提供されることに留意してください。シスコの ASAv パッケージを展開するには、vSphere Web クライアントの [Deploy OVF Template] ウィザードを使用します。このウィザードは、ASAv OVA ファイルを解析し、ASAv を実行する仮想マシンを作成し、パッケージをインストールします。
ウィザードの手順のほとんどは、VMware に対し標準のものです。[Deploy OVF Template] の詳細については、VMware vSphere Web クライアントのオンライン ヘルプを参照してください。
前提条件
ASAv を導入する前に、vSphere (管理用)に設定されているネットワークが少なくとも 1 つなければなりません。
手順の詳細
ステップ 1 ASAv OVA ファイルを Cisco.com からダウンロードし、PC に保存します。
http://www.cisco.com/go/asa-software
(注) Cisco.com のログインおよびシスコ サービス契約が必要です。
ステップ 2 [vSphere Web Client Navigator] ペインで、[ vCenter ] をクリックします。
ステップ 3 [ Hosts and Clusters ] をクリックします。
ステップ 4 ASAv を導入するデータセンター、クラスタ、またはホストを右クリックして、[Deploy OVF Template] を選択します。
[Deploy OVF Template] ウィザードが表示されます。
ステップ 5 [Select Source] 画面で、URL を入力するか、ダウンロードした ASAv OVA パッケージを参照し、[ Next ] をクリックします。
ステップ 6 [Review Details] 画面で、ASAv パッケージの情報を確認し、[ Next ] をクリックします。
ステップ 7 [Accept EULAs] 画面で、エンド ユーザ ライセンス契約を確認および受諾し、[ Next ] をクリックします。
ステップ 8 [Select name and folder] 画面で、ASAv 仮想マシン(VM)インスタンスの名前を入力し、VM のインベントリ ロケーションを選択して、[ Next ] をクリックします。
ステップ 9 [Select Configuration] 画面で、次のオプションの 1 つを選択します。
• スタンドアロン:ASAv 配置構成に [ 1 (または 2 、 3 、 4 ) vCPU Standalone ] を選択し、[ Next ] をクリックします。
• フェールオーバー:ASAv 配置構成に [ 1 (または 2 、 3 、 4 ) vCPU HA Primary ] を選択し、[ Next ] をクリックします。
a. 仮想ディスク フォーマットを選択します。プロビジョニングに使用できる形式は、[Thick Provision]、[Thick Provision Lazy Zeroed]、および [Thin Provision] です。シック プロビジョニングおよびシン プロビジョニングの詳細については、VMware vSphere Web クライアントのオンライン ヘルプを参照してください。ディスク領域を節約するには、[ Thin Provision ] オプションを選択します。
ステップ 11 [Setup networks] 画面で、使用する各 ASAv インターフェイスにネットワークをマッピングし、[ Next ] をクリックします。
ネットワークはアルファベット順になっていない可能性があります。ネットワークを見つけることが非常に困難な場合は、[Edit Settings] ダイアログボックスからネットワークを後で変更できます。導入後、ASAv インスタンスを右クリックし、[ Edit Settings ] を選択して [Edit Settings] ダイアログボックスにアクセスします。ただし、この画面には ASAv インターフェイス ID は表示されません(ネットワーク アダプタ ID のみ)。次のネットワーク アダプタ ID と ASAv インターフェイス ID の対応一覧を参照してください。
|
|
|
|---|---|
すべての ASAv インターフェイスを使用する必要はありません。ただし、vSphere Web クライアントではネットワークをすべてのインターフェイスに割り当てる必要があります。使用しないインターフェイスについては、ASAv 設定内でインターフェイスを無効のままにしておくことができます。ASAv を導入した後、任意で vSphere Web クライアントに戻り、[Edit Settings] ダイアログボックスから余分なインターフェイスを削除することができます。詳細については、vSphere Web クライアントのオンライン ヘルプを参照してください。
(注) フェールオーバー配置では、GigabitEthernet 0/8 がフェールオーバー インターフェイスとして事前設定されます。
ステップ 12 [Customize template] 画面で:
a. 管理インターフェイスの IP アドレス、サブネット マスク、およびデフォルト ゲートウェイを設定します。また、ASDM アクセスが許可されるクライアント IP アドレスも設定する必要があり、別のゲートウェイがクライアントに到達する必要がある場合は、そのゲートウェイ IP アドレスを入力します。フェールオーバー配置では、スタティック アドレスとして IP アドレスを指定してください。DHCP は使用できません。
b. フェールオーバー配置では、管理 IP スタンバイ アドレスを指定します。インターフェイスを設定する場合、同じネットワーク上のアクティブ IP アドレスとスタンバイ IP アドレスを指定する必要があります。
– プライマリ装置が故障すると、セカンダリ装置はプライマリ装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。
– 現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。
ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。
また、[HA Settings] 領域でフェールオーバー リンク設定を行う必要があります。フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。GigabitEthernet 0/8 がフェールオーバー リンクとして事前設定されています。同じネットワーク上のリンクに対するアクティブな IP アドレスとスタンバイの IP アドレスを入力します。
ステップ 13 [Ready to complete] 画面で、ASAv 設定の概要を確認し、任意で [ Power on after deployment ] チェックボックスを確認したら、[ Finish ] をクリックして導入を開始します。
vSphere Web クライアントは VM を処理します。[Recent Tasks] ペインの [Global Information] 領域で「Initialize OVF deployment」ステータスを確認できます。
この手順が終了すると、[Deploy OVF Template] 完了ステータスが表示されます。
その後 ASAv VM インスタンスがインベントリ内の指定されたデータセンターの下に表示されます。
ステップ 14 ASAv VM がまだ稼働していない場合は、[ Power on the virtual machine ] をクリックします。
ASDM で接続を試行したりコンソールに接続を試行する前に、ASAv が起動するのを待ちます。ASAv が初めて起動すると、OVA ファイルから提供されたパラメータを読み込み、それらを ASAv システム構成に追加します。その後、起動プロセスが自動的に再開され、稼働を開始します。この二重起動プロセスは、初めて ASAv を導入した場合にのみ発生します。起動メッセージを確認するには、[Console] タブをクリックして、ASAv コンソールにアクセスします。
ステップ 15 フェールオーバー配置の場合は、この手順を繰り返してセカンダリ装置を追加します。次のガイドラインを参照してください。
a. [Select Configuration] 画面で、ASAv 配置構成に [ 1 (または 2 、 3 、 4 ) vCPU HA Secondary ] を選択します。
b. [Customize template] 画面で、プライマリ装置と 全く同じ IP アドレス設定 を入力します(ステップ 12b. を参照)。装置をプライマリまたはセカンダリと認定するパラメータを除き、両方の装置のブートストラップ設定は同一です。
フィードバック