この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
日付と時刻を手動で設定したり、NTP サーバを設定したりするには、CLI コマンド(以下で説明)を使用します。シャーシに設定した日付と時刻は、論理デバイスを含めて、シャーシ内の他のコンポーネントと同期されます。
次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションを確定し、設定したタイム ゾーンを表示する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set timezone Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 1) Africa 4) Arctic Ocean 7) Australia 10) Pacific Ocean 2) Americas 5) Asia 8) Europe 3) Antarctica 6) Atlantic Ocean 9) Indian Ocean #? 2 Please select a country. 1) Anguilla 28) Haiti 2) Antigua & Barbuda 29) Honduras 3) Argentina 30) Jamaica 4) Aruba 31) Martinique 5) Bahamas 32) Mexico 6) Barbados 33) Montserrat 7) Belize 34) Nicaragua 8) Bolivia 35) Panama 9) Brazil 36) Paraguay 10) Canada 37) Peru 11) Caribbean Netherlands 38) Puerto Rico 12) Cayman Islands 39) St Barthelemy 13) Chile 40) St Kitts & Nevis 14) Colombia 41) St Lucia 15) Costa Rica 42) St Maarten (Dutch part) 16) Cuba 43) St Martin (French part) 17) Curacao 44) St Pierre & Miquelon 18) Dominica 45) St Vincent 19) Dominican Republic 46) Suriname 20) Ecuador 47) Trinidad & Tobago 21) El Salvador 48) Turks & Caicos Is 22) French Guiana 49) United States 23) Greenland 50) Uruguay 24) Grenada 51) Venezuela 25) Guadeloupe 52) Virgin Islands (UK) 26) Guatemala 53) Virgin Islands (US) 27) Guyana #? 49 Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties 7) Eastern Time - Indiana - Pulaski County 8) Eastern Time - Indiana - Crawford County 9) Eastern Time - Indiana - Pike County 10) Eastern Time - Indiana - Switzerland County 11) Central Time 12) Central Time - Indiana - Perry County 13) Central Time - Indiana - Starke County 14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 15) Central Time - North Dakota - Oliver County 16) Central Time - North Dakota - Morton County (except Mandan area) 17) Central Time - North Dakota - Mercer County 18) Mountain Time 19) Mountain Time - south Idaho & east Oregon 20) Mountain Standard Time - Arizona (except Navajo) 21) Pacific Time 22) Pacific Standard Time - Annette Island, Alaska 23) Alaska Time 24) Alaska Time - Alaska panhandle 25) Alaska Time - southeast Alaska panhandle 26) Alaska Time - Alaska panhandle neck 27) Alaska Time - west Alaska 28) Aleutian Islands 29) Hawaii #? 21 The following information has been given: United States Pacific Time Therefore timezone 'America/Los_Angeles' will be set. Local time is now: Wed Jun 24 07:39:25 PDT 2015. Universal Time is now: Wed Jun 24 14:39:25 UTC 2015. Is the above information OK? 1) Yes 2) No #? 1 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services # top Firepower-chassis# show timezone Timezone: America/Los_Angeles (Pacific Time) Firepower-chassis#
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 4001::6 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、Firepower のシャーシで日付と時刻を手動で設定する方法ついて説明します。システム クロックの変更はただちに反映されます。
(注) |
現在、システム クロックが NTP サーバと同期している場合は、日付と時刻を手動で設定できません。 |
次に、システム クロックを設定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set clock jun 24 2015 15 27 00 Firepower-chassis /system/services #
次に、Firepower のシャーシへの SSH アクセスを有効または無効にする手順を示します。SSH はデフォルトでイネーブルになります。
次に、Firepower のシャーシへの SSH アクセスを有効にし、トランザクションを確定する例を示します。
Firepower# scope system Firepower /system # scope services Firepower /system/services # enable ssh-server Firepower /system/services* # commit-buffer Firepower /system/services #
次に、Firepower のシャーシへの Telnet アクセスを有効または無効にする手順を示します。Telnet はデフォルトで無効になっています。
(注) |
現在、Telnet は CLI を使用してのみ設定できます。 |
次に、Telnet を有効にし、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /services # enable telnet-server Firepower-chassis /services* # commit-buffer Firepower-chassis /services #
ここでは、Firepower のシャーシでの Simple Network Management Protocol(SNMP)の設定方法について説明します。詳細については、次のトピックを参照してください。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース:SNMP エージェントの一連の管理対象オブジェクト。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower のシャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower のシャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower のシャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[ユーザ名(Username)] |
なし |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-SHA |
なし |
HMAC セキュア ハッシュ アルゴリズム(SHA)に基づいて認証します。 |
v3 |
authPriv |
HMAC-SHA |
DES |
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Firepower のシャーシは、SNMP に次のサポートを提供します。
Firepower のシャーシは、MIB への読み取り専用アクセスをサポートします。
Firepower のシャーシは、SNMPv3 ユーザのHMAC-SHA-96(SHA)認証プロトコルをサポートします。
Firepower のシャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower のシャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
次に、SNMP を有効にし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム担当者の連絡先を設定し、systemlocation という名前の連絡先の場所を設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # set snmp community Enter a snmp community: SnmpCommSystem2 Firepower-chassis /monitoring* # set snmp syscontact contactperson1 Firepower-chassis /monitoring* # set snmp syslocation systemlocation Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
SNMP トラップおよびユーザを作成します。
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 2001::1 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次に、IP アドレス 192.168.100.112 で SNMP トラップを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-trap 192.168.100.112 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
次に、SNMP を有効にし、snmp-user14 という SNMPv3 ユーザを作成し、AES-128 暗号化を有効にし、パスワードとプライバシー パスワードを設定し、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-user snmp-user14 Password: Firepower-chassis /monitoring/snmp-user* # set aes-128 yes Firepower-chassis /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: Firepower-chassis /monitoring/snmp-user* # commit-buffer Firepower-chassis /monitoring/snmp-user #
次に、snmp-user14 という SNMPv3 ユーザを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-user snmp-user14 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
デフォルトでは、HTTPS サービスはポート 443 で有効になっています。HTTPS を無効にすることはできませんが、HTTPS 接続に使用するポートは変更できます。
次に、HTTPS ポート番号を 443 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower アプライアンス を設定できます。これには、次のセッションが含まれます。
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを許可される可能性があります。
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。
AAA サーバは、アクセス制御に使用されるネットワーク サーバです。認証は、ユーザを識別します。許可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
Firepower のシャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、許可、アカウンティングを提供することもできます。
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid、タイムアウト間隔を 5 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # set attribute CiscoAvPair Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
(注) |
ユーザ ログインは LDAP ユーザの userdn が 255 文字を超えると失敗します。 |
LDAP プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーをサポートします。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 10.193.169.246 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 2 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 30 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 1 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 45 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次に、ldap1 という LDAP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # delete server ldap1 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
次の例は、RADIUS の再試行回数を 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # set retries 4 Firepower-chassis /security/radius* # set timeout 30 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
RADIUS プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーをサポートします。
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # create server radiusserv7 Firepower-chassis /security/radius/server* # set authport 5858 Firepower-chassis /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 Firepower-chassis /security/radius/server* # set order 2 Firepower-chassis /security/radius/server* # set retries 4 Firepower-chassis /security/radius/server* # set timeout 30 Firepower-chassis /security/radius/server* # commit-buffer Firepower-chassis /security/radius/server #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ RADIUS モードに入ります。 Firepower-chassis /security # scope RADIUS |
ステップ 3 |
指定したサーバを削除します。 Firepower-chassis /security/radius # delete server serv-name |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/radius # commit-buffer |
次に、radius1 という RADIUS サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # delete server radius1 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs |
ステップ 3 |
(任意)システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を設定します。 Firepower-chassis /security/tacacs # set timeout seconds |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs # commit-buffer |
次に、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # set timeout 45 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
TACACS+ プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーをサポートします。
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
||
ステップ 2 |
セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs |
||
ステップ 3 |
TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードに入ります。 Firepower-chassis /security/tacacs # create server server-name |
||
ステップ 4 |
TACACS+ サーバ キーを指定します。 Firepower-chassis /security/tacacs/server # set key キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。 |
||
ステップ 5 |
(任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/tacacs/server # set orderorder-num |
||
ステップ 6 |
システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を指定します。 Firepower-chassis /security/tacacs/server # set timeoutseconds
|
||
ステップ 7 |
(任意)TACACS+ サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/tacacs/server # set portport-num |
||
ステップ 8 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs/server # commit-buffer |
次に、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # create server tacacsserv680 Firepower-chassis /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 Firepower-chassis /security/tacacs/server* # set order 4 Firepower-chassis /security/tacacs/server* # set port 5859 Firepower-chassis /security/tacacs/server* # commit-buffer Firepower-chassis /security/tacacs/server #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs |
ステップ 3 |
指定したサーバを削除します。 Firepower-chassis /security/tacacs # delete server serv-name |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs # commit-buffer |
次に、tacacs1 という TACACS+ サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # delete server tacacs1 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 |
モニタリング モードに入ります。 Firepower-chassis# scope monitoring |
||
ステップ 2 |
コンソールへの syslog の送信を有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog console |
||
ステップ 3 |
(任意)表示するメッセージの最低レベルを選択します。syslog が有効になっている場合、システムはそのレベル以上のメッセージをコンソールに表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical} |
||
ステップ 4 |
オペレーティング システムによる syslog 情報のモニタリングを有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog monitor |
||
ステップ 5 |
(任意)表示するメッセージの最低レベルを選択します。モニタの状態が有効になっている場合、システムはそのレベル以上のメッセージを表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
|
||
ステップ 6 |
syslog ファイルへの syslog 情報の書き込みを有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog file |
||
ステップ 7 |
メッセージが記録されるファイルの名前を指定します。ファイル名は 16 文字まで入力できます。 Firepower-chassis /monitoring # set syslog file namefilename |
||
ステップ 8 |
(任意)ファイルに保存するメッセージの最低レベルを選択します。ファイルの状態が有効になっている場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging} |
||
ステップ 9 |
(任意)最大ファイル サイズ(バイト単位)を指定します。このサイズを超えると、最も古いメッセージから最新のメッセージへの上書きが開始されます。有効な範囲は 4096 ~ 4194304 バイトです。 Firepower-chassis /monitoring # set syslog file sizefilesize |
||
ステップ 10 |
最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。
|
||
ステップ 11 |
ローカル送信元を設定します。有効または無効にするローカル送信元ごとに、次のコマンドを入力します。 Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults} 次のいずれかになります。 |
||
ステップ 12 |
トランザクションを確定します。 Firepower-chassis /monitoring # commit-buffer |
次の例は、ローカル ファイルの syslog メッセージのストレージを有効にし、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # disable syslog console Firepower-chassis /monitoring* # disable syslog monitor Firepower-chassis /monitoring* # enable syslog file Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower Firepower-chassis /monitoring* # set syslog file level notifications Firepower-chassis /monitoring* # set syslog file size 4194304 Firepower-chassis /monitoring* # disable syslog remote-destination server-1 Firepower-chassis /monitoring* # disable syslog remote-destination server-2 Firepower-chassis /monitoring* # disable syslog remote-destination server-3 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
システムが IP アドレスへのホスト名の解決を必要とする場合、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していないと、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注) |
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合は、3 台の DNS サーバをランダムに検索します。 |
ステップ 1 |
システム モードに入ります。 Firepower-chassis #scope system |
ステップ 2 |
システム サービス モードに入ります。 Firepower-chassis /system #scope services |
ステップ 3 | DNS サーバを作成または削除するには、該当するコマンドを次のように入力します。 |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer |
次に、IPv4 アドレス 192.168.200.105 の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 192.168.200.105 の DNS サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
目次
- プラットフォームの設定
- 日付と時刻の設定
- タイム ゾーンの設定
- NTP サーバの追加
- NTP サーバの削除
- 手動での日付と時刻の設定
- SSH の設定
- Telnet の設定
- SNMP の設定
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP の有効化と SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- HTTPS ポートの変更
- AAA の設定
- AAA について
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- Syslog の設定
- DNS サーバの設定
日付と時刻の設定
日付と時刻を手動で設定したり、NTP サーバを設定したりするには、CLI コマンド(以下で説明)を使用します。シャーシに設定した日付と時刻は、論理デバイスを含めて、シャーシ内の他のコンポーネントと同期されます。
タイム ゾーンの設定
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system # scopeservices
ステップ 3 タイム ゾーンを設定します。 Firepower-chassis /system/services # settimezone
この時点で、大陸、国、およびタイム ゾーン領域に対応する番号を入力するように求められます。プロンプトごとに適切な情報を入力します。
ロケーション情報の指定を完了すると、プロンプトが表示され、正しいタイム ゾーン情報が設定されているか確認するよう求められます。確認する場合は 1(yes)を入力し、操作をキャンセルする場合は 2(no)を入力します。
ステップ 4 設定されたタイム ゾーンを表示するには、次のコマンドを使用します。 Firepower-chassis /system/services # topFirepower-chassis# show timezone
次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションを確定し、設定したタイム ゾーンを表示する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set timezone Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 1) Africa 4) Arctic Ocean 7) Australia 10) Pacific Ocean 2) Americas 5) Asia 8) Europe 3) Antarctica 6) Atlantic Ocean 9) Indian Ocean #? 2 Please select a country. 1) Anguilla 28) Haiti 2) Antigua & Barbuda 29) Honduras 3) Argentina 30) Jamaica 4) Aruba 31) Martinique 5) Bahamas 32) Mexico 6) Barbados 33) Montserrat 7) Belize 34) Nicaragua 8) Bolivia 35) Panama 9) Brazil 36) Paraguay 10) Canada 37) Peru 11) Caribbean Netherlands 38) Puerto Rico 12) Cayman Islands 39) St Barthelemy 13) Chile 40) St Kitts & Nevis 14) Colombia 41) St Lucia 15) Costa Rica 42) St Maarten (Dutch part) 16) Cuba 43) St Martin (French part) 17) Curacao 44) St Pierre & Miquelon 18) Dominica 45) St Vincent 19) Dominican Republic 46) Suriname 20) Ecuador 47) Trinidad & Tobago 21) El Salvador 48) Turks & Caicos Is 22) French Guiana 49) United States 23) Greenland 50) Uruguay 24) Grenada 51) Venezuela 25) Guadeloupe 52) Virgin Islands (UK) 26) Guatemala 53) Virgin Islands (US) 27) Guyana #? 49 Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties 7) Eastern Time - Indiana - Pulaski County 8) Eastern Time - Indiana - Crawford County 9) Eastern Time - Indiana - Pike County 10) Eastern Time - Indiana - Switzerland County 11) Central Time 12) Central Time - Indiana - Perry County 13) Central Time - Indiana - Starke County 14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 15) Central Time - North Dakota - Oliver County 16) Central Time - North Dakota - Morton County (except Mandan area) 17) Central Time - North Dakota - Mercer County 18) Mountain Time 19) Mountain Time - south Idaho & east Oregon 20) Mountain Standard Time - Arizona (except Navajo) 21) Pacific Time 22) Pacific Standard Time - Annette Island, Alaska 23) Alaska Time 24) Alaska Time - Alaska panhandle 25) Alaska Time - southeast Alaska panhandle 26) Alaska Time - Alaska panhandle neck 27) Alaska Time - west Alaska 28) Aleutian Islands 29) Hawaii #? 21 The following information has been given: United States Pacific Time Therefore timezone 'America/Los_Angeles' will be set. Local time is now: Wed Jun 24 07:39:25 PDT 2015. Universal Time is now: Wed Jun 24 14:39:25 UTC 2015. Is the above information OK? 1) Yes 2) No #? 1 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services # top Firepower-chassis# show timezone Timezone: America/Los_Angeles (Pacific Time) Firepower-chassis#NTP サーバの追加
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system # scopeservices
ステップ 3 指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを使用するようにシステムを設定します。 Firepower-chassis /system/services # createntp-server{hostname | ip-addr | ip6-addr}
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /system/services # commit-buffer
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次に、IP アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #NTP サーバの削除
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system # scopeservices
ステップ 3 指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを削除します。 Firepower-chassis /system/services # deletentp-server{hostname | ip-addr | ip6-addr}
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /system/services # commit-buffer
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次に、IP アドレス 4001::6 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #手動での日付と時刻の設定
手順ここでは、Firepower のシャーシで日付と時刻を手動で設定する方法ついて説明します。システム クロックの変更はただちに反映されます。
(注)
現在、システム クロックが NTP サーバと同期している場合は、日付と時刻を手動で設定できません。
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system # scopeservices
ステップ 3 システム クロックを設定します。 Firepower-chassis /system/services # set clock month day year hour min sec
month は、月の英名の最初の 3 文字です。時刻は 24 時間形式で入力する必要があります。この場合、午後 7 時は 19 と入力します。
システム クロックの変更はただちに反映されます。バッファを確定する必要はありません。
SSH の設定
Telnet の設定
手順次に、Firepower のシャーシへの Telnet アクセスを有効または無効にする手順を示します。Telnet はデフォルトで無効になっています。
(注)
現在、Telnet は CLI を使用してのみ設定できます。
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system #scope services
ステップ 3 Firepower のシャーシへの Telnet アクセスを設定するには、次のいずれかを実行します。 ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer
SNMP の設定
ここでは、Firepower のシャーシでの Simple Network Management Protocol(SNMP)の設定方法について説明します。詳細については、次のトピックを参照してください。
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP の有効化と SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
SNMP について
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース:SNMP エージェントの一連の管理対象オブジェクト。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower のシャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower のシャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower のシャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
なし
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
なし
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
[ユーザ名(Username)]
なし
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-SHA
なし
HMAC セキュア ハッシュ アルゴリズム(SHA)に基づいて認証します。
v3
authPriv
HMAC-SHA
DES
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
SNMPv3 セキュリティ機能
SNMP サポート
Firepower のシャーシは、SNMP に次のサポートを提供します。
SNMPv3 ユーザの AES プライバシー プロトコル
Firepower のシャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower のシャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP の有効化と SNMP プロパティの設定
手順
ステップ 1 モニタリング モードに入ります。 Firepower-chassis# scope monitoring
ステップ 2 SNMP を有効にします。 Firepower-chassis /monitoring # enable snmp
ステップ 3 snmp コミュニティ モードに入ります。 Firepower-chassis /monitoring # set snmp community
set snmp community コマンドを入力すると、SNMP コミュニティを入力するように求められます。
ステップ 4 SNMP コミュニティを指定します。パスワードとしてコミュニティ名を使用します。コミュニティ名には、32 文字以下の英数字を使用できます。 Firepower-chassis /monitoring # Enter a snmp community:community-name
ステップ 5 SNMP のシステム担当者の連絡先を指定します。システム担当者の連絡先名(電子メール アドレスや、名前と電話番号など)は、最大 255 文字の英数字で指定できます。 Firepower-chassis /monitoring # set snmp syscontactsystem-contact-name
ステップ 6 SNMP エージェント(サーバ)が実行するホストの場所を指定します。システムの場所の名前は、最大 512 文字の英数字で指定できます。 Firepower-chassis /monitoring # set snmp syslocationsystem-location-name
ステップ 7 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /monitoring # commit-buffer
次の作業次に、SNMP を有効にし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム担当者の連絡先を設定し、systemlocation という名前の連絡先の場所を設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # set snmp community Enter a snmp community: SnmpCommSystem2 Firepower-chassis /monitoring* # set snmp syscontact contactperson1 Firepower-chassis /monitoring* # set snmp syslocation systemlocation Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
ステップ 1 モニタリング モードに入ります。 Firepower-chassis# scope monitoring
ステップ 2 SNMP を有効にします。 Firepower-chassis /monitoring # enable snmp
ステップ 3 指定したホスト名、IPv4 アドレス、または IPv6 アドレスで SNMP トラップを作成します。 Firepower-chassis /monitoring # create snmp-trap {hostname | ip-addr | ip6-addr}
ステップ 4 SNMP トラップに使用する SNMP コミュニティ名を指定します。 Firepower-chassis /monitoring/snmp-trap # set community community-name
ステップ 5 SNMP トラップに使用するポートを指定します。 Firepower-chassis /monitoring/snmp-trap # set portport-num
ステップ 6 トラップに使用する SNMP バージョンおよびモデルを指定します。 Firepower-chassis /monitoring/snmp-trap # set version {v1 | v2c | v3}
ステップ 7 (任意)送信するトラップのタイプを指定します。 Firepower-chassis /monitoring/snmp-trap # set notificationtype {traps | informs}
次のように指定します。
ステップ 8 (任意)バージョンとして v3 を選択した場合は、トラップに関連付ける権限を指定します。 Firepower-chassis /monitoring/snmp-trap # set v3privilege {auth | noauth | priv}
ステップ 9 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /monitoring/snmp-trap # commit-buffer
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 2001::1 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #SNMP トラップの削除
SNMPv3 ユーザの作成
手順
ステップ 1 モニタリング モードに入ります。 Firepower-chassis# scope monitoring
ステップ 2 SNMP を有効にします。 Firepower-chassis /monitoring # enable snmp
ステップ 3 指定された SNMPv3 ユーザを作成します。 Firepower-chassis /monitoring # create snmp-useruser-name
create snmp-user コマンドを入力すると、パスワードを入力するように求められます。
ステップ 4 AES-128 暗号化の使用を有効または無効にします。 Firepower-chassis /monitoring/snmp-user # set aes-128 {no | yes}
デフォルトでは、AES-128 暗号化は無効になっています。
ステップ 5 ユーザ プライバシー パスワードを指定します。 Firepower-chassis /monitoring/snmp-user # set priv-password
set priv-password コマンドを入力すると、プライバシー パスワードを入力し、確認するように求められます。
ステップ 6 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /monitoring/snmp-user # commit-buffer
次に、SNMP を有効にし、snmp-user14 という SNMPv3 ユーザを作成し、AES-128 暗号化を有効にし、パスワードとプライバシー パスワードを設定し、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-user snmp-user14 Password: Firepower-chassis /monitoring/snmp-user* # set aes-128 yes Firepower-chassis /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: Firepower-chassis /monitoring/snmp-user* # commit-buffer Firepower-chassis /monitoring/snmp-user #HTTPS ポートの変更
手順
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system #scope services
ステップ 3 HTTPS 接続に使用するポートを指定します。 Firepower-chassis /system/services # sethttpsportport-number
port-number には、1 ~ 65535 の整数を指定します。デフォルトでは、HTTPS はポート 443 で有効になっています。
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer
HTTPS ポートを変更した後に、現在のすべての HTTPS セッションが閉じられます。ユーザは、次に示すように新しいポートを使用して Firepower Chassis Manager にログインし直す必要があります。
https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>
ここで、<chassis_mgmt_ip_address> は初期設定時に入力した Firepower のシャーシの IP アドレスまたはホスト名、<chassis_mgmt_port> は直前に設定した HTTPS ポートです。
次に、HTTPS ポート番号を 443 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #AAA の設定
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA について
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower アプライアンス を設定できます。これには、次のセッションが含まれます。
承認
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを許可される可能性があります。
アカウンティング
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証、許可、アカウンティング間の相互作用
認証だけで使用することも、許可およびアカウンティングとともに使用することもできます。許可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および許可とともに使用することもできます。
LDAP プロバイダーの設定
LDAP プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ LDAP モードに入ります。 Firepower-chassis /security # scope ldap
ステップ 3 指定した属性を含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set attribute attribute
ステップ 4 指定した識別名を含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set basedn distinguished-name
ステップ 5 指定したフィルタを含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set filter filter
ステップ 6 システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待機する時間間隔を設定します。 Firepower-chassis /security/ldap # set timeout seconds
ステップ 7 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/ldap # commit-buffer
次の作業次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid、タイムアウト間隔を 5 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # set attribute CiscoAvPair Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
(注)
ユーザ ログインは LDAP ユーザの userdn が 255 文字を超えると失敗します。
LDAP プロバイダーを作成します。
LDAP プロバイダーの作成
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ LDAP モードに入ります。 Firepower-chassis /security # scope ldap
ステップ 3 LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードに入ります。 Firepower-chassis /security/ldap # create serverserver-name
SSL が有効になっている場合、server-name は、通常、IP アドレスまたは FQDN となり、LDAP サーバのセキュリティ証明書内の通常名(CN)と正確に一致している必要があります。IP アドレスが指定されていない場合は、DNS サーバを設定する必要があります。
ステップ 4 (任意)ユーザ ロールとロケールの値を保存する LDAP 属性を設定します。 Firepower-chassis /security/ldap/server # set attributeattr-name
このプロパティは、常に、名前と値のペアで指定されます。システムは、ユーザ レコードで、この属性名と一致する値を検索します。
デフォルトの属性が LDAP プロバイダーに設定されていない場合は、この値が必要です。
ステップ 5 (任意)リモート ユーザがログインして、システムがユーザ名に基づいてユーザの DN を取得しようとするときに、サーバが検索を開始する必要がある場合の LDAP 階層内の特定の識別名を設定します。 Firepower-chassis /security/ldap/server # set basednbasedn-name
ベース DN は、最大 255 文字から CN= username の長さを差し引いた長さに設定することができます。ここで、username は、LDAP 認証を使用して Firepower Chassis Manager または FXOS CLI へアクセスしようとしているリモート ユーザの識別に使用されます。
デフォルトのベース DN が LDAP プロバイダーに設定されていない場合は、この値が必要です。
ステップ 6 (任意)ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)を設定します。 Firepower-chassis /security/ldap/server # set binddnbinddn-name
サポートされるストリングの最大長は 255 文字の ASCII 文字です。
ステップ 7 (任意)LDAP 検索を、定義されたフィルタと一致するユーザ名に制限します。 Firepower-chassis /security/ldap/server # set filterfilter-value
デフォルトのフィルタが LDAP プロバイダーに設定されていない場合は、この値が必要です。
ステップ 8 バインド DN に指定した LDAP データベース アカウントのパスワードを指定します。 Firepower-chassis /security/ldap/server # set password
標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」(疑問符)、「=」(等号)は使用できません。
パスワードを設定するには、set password コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。
ステップ 9 (任意)Firepower eXtensible Operating System でこのプロバイダーをユーザの認証に使用する順序を指定します。 Firepower-chassis /security/ldap/server # set orderorder-num
ステップ 10 (任意)LDAP サーバとの通信に使用するポートを指定します。標準ポート番号は 389 です。 Firepower-chassis /security/ldap/server # set portport-num
ステップ 11 LDAP サーバと通信するときの暗号化の使用を有効または無効にします。 Firepower-chassis /security/ldap/server # set ssl {yes|no}
オプションは次のとおりです。
LDAP では STARTTLS が使用されます。これにより、ポート 389 を使用した暗号化通信が可能になります。
ステップ 12 LDAP データベースへの問い合わせがタイム アウトするまでの秒数を指定します。 Firepower-chassis /security/ldap/server # set timeouttimeout-num
1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP プロバイダーに指定したグローバル タイムアウト値を使用します。デフォルトは 30 秒です。
ステップ 13 LDAP プロバイダーまたはサーバの詳細を提供するベンダーを指定します。 Firepower-chassis /security/ldap/server # set vendor{ms-ad | openldap}
オプションは次のとおりです。
ステップ 14 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/ldap/server # commit-buffer
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 10.193.169.246 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 2 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 30 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 1 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 45 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #LDAP プロバイダーの削除
RADIUS プロバイダーの設定
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードに入ります。 Firepower-chassis /security # scope radius
ステップ 3 (任意)サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を指定します。 Firepower-chassis /security/radius # set retries retry-num
ステップ 4 (任意)システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待機する時間間隔を設定します。 Firepower-chassis /security/radius # set timeout seconds
ステップ 5 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/radius # commit-buffer
次の作業次の例は、RADIUS の再試行回数を 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # set retries 4 Firepower-chassis /security/radius* # set timeout 30 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードに入ります。 Firepower-chassis /security # scope radius
ステップ 3 RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードに入ります。 Firepower-chassis /security/radius # create serverserver-name
ステップ 4 (任意)RADIUS サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/radius/server # set authportauthport-num
ステップ 5 RADIUS サーバ キーを設定します。 Firepower-chassis /security/radius/server # set key
キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。
ステップ 6 (任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/radius/server # set order order-num
ステップ 7 (任意)サーバをダウンとして通知する前に RADIUS サーバとの通信を再試行する回数を設定します。 Firepower-chassis /security/radius/server # set retries retry-num
ステップ 8 システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待機する時間間隔を指定します。 Firepower-chassis /security/radius/server # set timeout seconds
ヒント ステップ 9 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/radius/server # commit-buffer
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # create server radiusserv7 Firepower-chassis /security/radius/server* # set authport 5858 Firepower-chassis /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 Firepower-chassis /security/radius/server* # set order 2 Firepower-chassis /security/radius/server* # set retries 4 Firepower-chassis /security/radius/server* # set timeout 30 Firepower-chassis /security/radius/server* # commit-buffer Firepower-chassis /security/radius/server #RADIUS プロバイダーの削除
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードに入ります。 Firepower-chassis /security # scope RADIUS
ステップ 3 指定したサーバを削除します。 Firepower-chassis /security/radius # delete server serv-name
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/radius # commit-buffer
TACACS+ プロバイダーの設定
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティは、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにこれらのうちいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs
ステップ 3 (任意)システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を設定します。 Firepower-chassis /security/tacacs # set timeout seconds
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs # commit-buffer
次の作業次に、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # set timeout 45 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs
ステップ 3 TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードに入ります。 Firepower-chassis /security/tacacs # create server server-name
ステップ 4 TACACS+ サーバ キーを指定します。 Firepower-chassis /security/tacacs/server # set key
キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。
ステップ 5 (任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/tacacs/server # set orderorder-num
ステップ 6 システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を指定します。 Firepower-chassis /security/tacacs/server # set timeoutseconds
ヒント TACACS+ プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。
ステップ 7 (任意)TACACS+ サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/tacacs/server # set portport-num
ステップ 8 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs/server # commit-buffer
次に、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # create server tacacsserv680 Firepower-chassis /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 Firepower-chassis /security/tacacs/server* # set order 4 Firepower-chassis /security/tacacs/server* # set port 5859 Firepower-chassis /security/tacacs/server* # commit-buffer Firepower-chassis /security/tacacs/server #TACACS+ プロバイダーの削除
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードに入ります。 Firepower-chassis /security # scope tacacs
ステップ 3 指定したサーバを削除します。 Firepower-chassis /security/tacacs # delete server serv-name
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/tacacs # commit-buffer
Syslog の設定
手順システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、保護された長期的な保存場所をログに提供します。ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 モニタリング モードに入ります。 Firepower-chassis# scope monitoring
ステップ 2 コンソールへの syslog の送信を有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog console
ステップ 3 (任意)表示するメッセージの最低レベルを選択します。syslog が有効になっている場合、システムはそのレベル以上のメッセージをコンソールに表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical}
ステップ 4 オペレーティング システムによる syslog 情報のモニタリングを有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog monitor
ステップ 5 (任意)表示するメッセージの最低レベルを選択します。モニタの状態が有効になっている場合、システムはそのレベル以上のメッセージを表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
(注) terminal monitor コマンドを入力した場合にだけ、クリティカル以下のレベルのメッセージが端末のモニタに表示されます。
ステップ 6 syslog ファイルへの syslog 情報の書き込みを有効または無効にします。 Firepower-chassis /monitoring # {enable | disable} syslog file
ステップ 7 メッセージが記録されるファイルの名前を指定します。ファイル名は 16 文字まで入力できます。 Firepower-chassis /monitoring # set syslog file namefilename
ステップ 8 (任意)ファイルに保存するメッセージの最低レベルを選択します。ファイルの状態が有効になっている場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
ステップ 9 (任意)最大ファイル サイズ(バイト単位)を指定します。このサイズを超えると、最も古いメッセージから最新のメッセージへの上書きが開始されます。有効な範囲は 4096 ~ 4194304 バイトです。 Firepower-chassis /monitoring # set syslog file sizefilesize
ステップ 10 最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。
ステップ 11 ローカル送信元を設定します。有効または無効にするローカル送信元ごとに、次のコマンドを入力します。 Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults}
次のいずれかになります。
ステップ 12 トランザクションを確定します。 Firepower-chassis /monitoring # commit-buffer
次の例は、ローカル ファイルの syslog メッセージのストレージを有効にし、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # disable syslog console Firepower-chassis /monitoring* # disable syslog monitor Firepower-chassis /monitoring* # enable syslog file Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower Firepower-chassis /monitoring* # set syslog file level notifications Firepower-chassis /monitoring* # set syslog file size 4194304 Firepower-chassis /monitoring* # disable syslog remote-destination server-1 Firepower-chassis /monitoring* # disable syslog remote-destination server-2 Firepower-chassis /monitoring* # disable syslog remote-destination server-3 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #DNS サーバの設定
手順システムが IP アドレスへのホスト名の解決を必要とする場合、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していないと、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注)
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合は、3 台の DNS サーバをランダムに検索します。
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードに入ります。 Firepower-chassis /system #scope services
ステップ 3 DNS サーバを作成または削除するには、該当するコマンドを次のように入力します。 ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower /system/services # commit-buffer
次に、IPv4 アドレス 192.168.200.105 の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次に、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次に、IP アドレス 192.168.200.105 の DNS サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #