この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco ASA 5585-X IPS SSP について説明します。次の項目を取り上げます。
• 「仕様」
• 「メモリ要件」
• 「ASA 5585-X IPS SSP のステータスの確認」
• 「ASA 5585-X IPS SSP の取り外しと交換」
警告 この装置の設置、交換、保守は、訓練を受けた相応の資格のある人が行ってください。ステートメント 49
ASA 5585-X IPS SSP を設置する前に、次の設置時の注意事項と警告に注意してください。
• 『 Regulatory Compliance and Safety Information for the Cisco ASA 5585-X Adaptive Security Appliance 』の安全についての警告に目を通してから、正しい安全手順に従って、このマニュアルの手順を実行してください。
• ASA 5585-X IPS SSP は、ASA 8.2(4.4) 以降および ASA 8.4(2) 以降でサポートされています。ASA 8.3( x ) ではサポートされていません。
• ASA 5585-X IPS SSP には、ケーブル接続が不要です。ASA 5585-X IPS SSP を使用する場合、追加のネットワーク インターフェイスとして ASA 5585-X IPS SSP 非管理インターフェイスを使用できます。
ASA-5585-X 適応型セキュリティ アプライアンスに Cisco Intrusion Prevention System Security Services Processor(ASA 5585-X IPS SSP)を設置できます。ASA 5585-X は、2 U の 2 スロット シャーシです。Security Services Processor(ASA 5585-X SSP)はスロット 0(一番下のスロット)に格納されており、ASA 5585-X IPS SSP はスロット 1(一番上のスロット)に格納されています。ポート番号はすべて、右から左へと 0 から順に付番されます。
IPS SSP 搭載の ASA 5585-X シリーズには、4 つのモデルがあります。
• IPS SSP-10 搭載 ASA 5585-X IPS-10
• IPS SSP-20 搭載 ASA 5585-X IPS-20
• IPS SSP-40 搭載 ASA 5585-X IPS-40
• IPS SSP-60 搭載 ASA 5585-X IPS-60
世界水準のパフォーマンスに加えて、ASA 5585-X は暗号化トラフィックの検査、ポート密度(モデルによって最大 20 個のインターフェイス)、および機能パフォーマンス マッチング(つまり、ファイアウォール機能と IPS 機能の間のパフォーマンス パリティ)を配備します。すべての ASA 5585-X シリーズ適応型セキュリティ アプライアンスは、コア SSP(ASA 5585-X SSP)が同梱されています。ASA 5585-X IPS SSP はオプションです。ASA 5585-X IPS SSP を実行するには、コア SSP が必要です。
(注) セキュリティ サービス プロセッサの活性挿抜(OIR)は、現在サポートされていません。SFP/SFP+、電源モジュールおよびファン モジュールの OIR がサポートされています。
ASA 5585-X IPS SSP は、Intrusion Prevention System Device Manager(IDM)をサポートします。IDM は直感的で使いやすい Web ベースの管理インターフェイスにより、セキュリティ管理と監視機能を提供します。ASA 5585-X IPS SSP の設定および管理を可能にする Java Web Start アプリケーションです。IDM は、IPS ソフトウェアにバンドルされます。この Web サーバには、Internet Explorer や Firefox などの Web ブラウザでアクセスできます。
Intrusion Prevention System Manager(IME)は、ASA 5585-X IPS SSP もサポートしています。IME は、システムのヘルス モニタリング、イベント モニタリング、コラボレーション モニタリング、レポートおよび最大 10 のセンサーの設定を行うことができるネットワーク管理アプリケーションです。IME はカスタマイズ可能なダッシュボードを使用してセンサーの状態を監視し、Cisco Security Intelligence Operations サイトからの RSS フィードの統合により、セキュリティの警告を提供します。グローバル相関データは監視され、イベントおよびレポートが表示されます。これはイベントを監視し、フィルタリング、グループ化、色分けによるビューのソートを可能にします。IME は、ping、traceroute、DNS ルックアップおよび選択したイベントに関する whois ルックアップなどのツールもサポートします。また、柔軟なレポート作成ネットワークが含まれます。これは、IPS デバイスの監視と設定のシームレスな統合を可能にするための IDM コンフィギュレーション コンポーネントを埋め込みます。IME ではセンサーのセット アップ、ポリシーの設定、IPS イベントの監視、レポートの作成が可能です。IME はシングル アプリケーション モードで動作します。すべてのアプリケーションは 1 つのシステムにインストールされ、そのシステムから全体を管理できます。
IPS SSP-10 搭載 ASA 5585-X SSP-10
IPS SSP-10 搭載 ASA 5585-X SSP-10 は、ファイアウォール、VPN サポート、侵入防御システム保護、20 個のインターフェイス(2 個の SFP/SFP+ および 18 個の銅線ギガビット イーサネット)を提供します。IPS SSP-10 搭載の SSP-10 には、1 台の電源モジュールと 1 台のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。IPS SSP-10 搭載 SSP-10 には 2 個の CPU、6 個の DIMM モジュール、2 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 2 個のデュアル ポート 10 GB アップリンクが用意されています。
IPS SSP-20 搭載 ASA 5585-X SSP-20
IPS SSP-20 搭載 ASA 5585-X SSP-20 は、ファイアウォール、VPN サポート、侵入防御システム保護、20 個のインターフェイス(2 個の SFP/SFP+ および 18 個の銅線ギガビット イーサネット)を提供します。IPS SSP-20 搭載の SSP-20 には、1 台の電源モジュールと 1 台のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。IPS SSP-20 搭載 SSP-20 には 2 個の CPU、12 個の DIMM モジュール、4 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 2 個のデュアル ポート 10 GB アップリンクが用意されています。
IPS SSP-40 搭載 ASA 5585-X SSP-40
IPS SSP-40 搭載 ASA 5585-X SSP-40 は、ファイアウォール、VPN サポート、侵入防御システム保護、20 個のインターフェイス(4 個の SFP/SFP+ および 16 個の銅線ギガビット イーサネット)を提供します。IPS SSP-40 搭載の SSP-40 には、1 台の電源モジュールと 1 台のファン モジュールがあります。冗長電源装置の構成では、ファン モジュールを別の電源モジュールと交換できます。IPS SSP-40 搭載 SSP-40 には 4 個の CPU、12 個の DIMM モジュール、6 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 4 個のデュアル ポート 10 GB アップリンクが用意されています。
IPS SSP-60 搭載 ASA 5585-X SSP-60
IPS SSP-60 搭載 ASA 5585-X SSP-60 は、ファイアウォール、VPN サポート、侵入防御システム保護、20 個のインターフェイス(4 個の SFP/SFP+ および 16 個の銅線ギガビット イーサネット)を提供します。IPS SSP-60 搭載 SSP-60 には 2 台の電源モジュールが同梱されていますが、IPS SSP-60 は 1 台の電源モジュールでのみ機能できます。IPS SSP-60 搭載の SSP-60 も 1 台の電源モジュールでしか動作しませんが、電源モジュールは負荷分散モードで動作するため、信頼性を増大するために 2 台の電源モジュールを取り付けることを推奨します。この構成で失敗しても、故障した電源モジュールが交換されるまで、もう一方の電源モジュールがすべての負荷を処理できます。IPS SSP-60 搭載 SSP-60 には 4 個の CPU、24 個の DIMM モジュール、8 個の内蔵暗号化アクセラレータ、および SFP/SFP+ インターフェイス用の 4 個のデュアル ポート 10 GB アップリンクが用意されています。
表 5-1 に、ASA 5585-X IPS SSP の仕様を示します。
ASA 5585-X IPS SSP には、次のハードウェアおよびソフトウェアの要件があります。
• Cisco ASA 5585-X 適応型セキュリティ アプライアンス
– IPS SSP-10 搭載 ASA 5585-X SSP-10
– IPS SSP-20 搭載 ASA 5585-X SSP-20
– IPS SSP-40 搭載 ASA 5585-X SSP-40
– IPS SSP-60 搭載 ASA 5585-X SSP-60
• Cisco Adaptive Security Appliance Software ASA 8.2(4.4) 以降
• Cisco Adaptive Security Appliance Software ASA 8.4(2) 以降
(注) ASA 5585-X IPS SSP は、ASA 8.3(x)でサポートされていません。
この項では、ASA 5585-X IPS SSP の前面機能とインジケータについて説明します。SFP および SFP+ モジュールはオプションで、ASA 5585-X IPS SSP に含まれていません。それらを別に購入できます。10 Gb の場合、SFP+ が必要です。1 Gb の場合、SFP が必要です。2 つのポートは同じですが、ライセンスを購入した場合にのみ 10 Gb を使用できます。それ以外の場合、ポートは 1 GB に制限されます。IPS SSP-40 および IPS SSP-60 では、ポートは常に 10 GB イネーブルになっています。インターフェイスは 10 GB イネーブルかどうかに関係なく、TenGigabitEthernet 1/ x と呼ばれます。
図 5-1 に、IPS SSP-10 および IPS SSP-20 の前面を示します。
(注) 図に、IPS SSP-10 を示しますが、-10 および -20 モデルの両方に適用されます。
|
|
||
|
|
||
|
|
||
|
ハード ディスク ドライブ用に予約されたベイ1 |
|
|
|
|
||
|
|
||
|
|
イジェクト2 |
|
|
図 5-2 に、IPS SSP-40 および IPS SSP-60 の前面を示します。
(注) 図に、IPS SSP-40 を示しますが、-40 および -60 モデルの両方に適用されます。
|
|
||
|
|
||
|
|
||
|
ハード ディスク ドライブ用に予約されたベイ3 |
|
|
|
|
||
|
|
||
|
|
||
|
TenGigabitEthernet 0/6(スロット 2 の SSP) |
|
イジェクト4 |
|
GigabitEthernet 0/0 ~ 0/5(スロット 2 の SSP) |
図 5-3 に、前面パネルのインジケータを示します。
図 5-3 ASA 5585-X IPS SSP の前面パネル インジケータ
|
|
||
|
|
||
|
|
||
|
|
||
|
表 5-2 では、ASA 5585-X IPS SSP の前面パネル インジケータについて説明します。
|
|
---|---|
ALARM5 |
ハードウェア コンポーネントまたはソフトウェア モジュールの重大な障害、限度を超える温度、許容範囲外の電力、または OIR によるモジュール削除準備が整った状態。6 |
背面パネルから向かって右側に設置された電源モジュールの状態を示します。 • 消灯:電源モジュールが存在しない、または AC 入力なし。 |
|
背面パネルから向かって左側に設置された電源モジュールの状態を示します。 • 消灯:電源モジュールが存在しない、または AC 入力なし。 |
|
ハード ディスク ドライブのアクティビティを示します。7 |
|
表 5-3 に、イーサネット ポート インジケータについて示します。
|
|
---|---|
– 緑の点滅8:ネットワーク アクティビティ |
|
ASA-5585-X には、CPU ごとに 6 個の DIMM モジュールがあります。DIMM の入力は、次のメモリ構成に示すようにプラットフォームによって異なります。
• SSP-10--12-GB DRAM 搭載 ASA 5585-X SSP-10
• SSP-20--24-GB DRAM 搭載 ASA 5585-X SSP-20
SFP/SFP+ モジュールは、SFP/SFP+ ポートに差し込まれ、ギガビット イーサネット接続を提供するホット スワップ可能な入出力デバイスです。SFP および SFP+ モジュールはオプションで、ASA 5585-X IPS SSP に含まれていません。それらを別に購入できます。1 GB の場合、SFP が必要です。10Gb の場合、SFP+ が必要です。2 つのポートは同じですが、SSP-10 および IPS-20 のライセンスを購入した場合にのみ 10 GB を使用できます。それ以外の場合、ポートは 1 GB に制限されます。SSP-40 および IPS-60 では、ポートは常に 10 GB イネーブルになっています。インターフェイスは 10 GB イネーブルかどうかに関係なく、SSP の場合は TenGigabitEthernet 0/ x 、ASA 5585-X IPS SSP の場合は TenGigabitEthernet 1/ x と呼ばれます。
表 5-4 に、ASA 5585-X IPS SSP がサポートする SFP/SFP+ モジュールを示します。
|
|
---|---|
|
|
ASA 5585-X にはコア SSP(SSP-10、SSP-20、SSP-40、または SSP-60)がすでに同梱されています。任意の ASA 5585-X IPS SSP(IPS SSP-10、IPS SSP-20、IPS SSP-40、または IPS SSP-60)を設置できます。
(注) ASA 5585-X IPS SSP は ASA 5585-X SSP モデルと同レベルである必要があります。たとえば、ASA 5585-X(SSP-10 搭載)を使用している場合、IPS SSP-10 のみを設置できます。
ASA 5585-X IPS SSP は、コア IPS SSP が設置されていないと動作しません。上のスロット(スロット 1)に ASA 5585-X IPS SSP、下のスロット(スロット 0)にコア SSP を設置する必要があります。ASA 5585-X の電源を切断し、SSP を取り外し、取り付けます。SSP はホット スワップに対応していません。
ASA 5585-X に ASA 5585-X IPS SSP を初めて設置するには、次の手順に従います。
ステップ 2 ASA 5585-X から電源コードを取り外します。
ステップ 3 ASA 5585-X の前面パネルから、スロット トレイ(スロット 1)の左上および右上の非脱落型ネジを緩めて取り外します。将来の使用に備えて、それを安全な場所に保管してください。
(注) すべての空のスロットにスロット トレイを取り付け、適切に空気が流れるようにする必要があります。こうすることにより、他の機器を破壊する可能性のある EMI を防止できます。
ステップ 4 イジェクト レバーが開いていることを確認しながら、ASA 5585-X IPS SSP をモジュール スロットに装着します。
|
|
ステップ 5 ASA 5585-X IPS SSP をスロットに収まるまでスライドし、イジェクト レバーを押して元の場所に戻します。
ステップ 7 ASA 5585-X に電源コードを再接続します。
ステップ 9 前面パネルの PWR インジケータが緑色になっていることを確認します。また、 show module 1 コマンドを使用して ASA 5585-X IPS SSP がオンラインであることを確認できます。
ステップ 10 ASA 5585-X IPS SSP を初期化します。
ステップ 11 IPS トラフィックを受信するように ASA 5585-X IPS SSP を設定します。
• ASA 5585-X IPS SSP が正常に設置されていることを確認する手順については、「ASA 5585-X IPS SSP のステータスの確認」を参照してください。
• setup コマンドを使用して ASA 5585-X IPS SSP を初期化する手順については、 付録 B「センサーの初期化」 を参照してください。
• IPS トラフィックを受信するように ASA 5585-X IPS SSP を設定するための手順については、「 ASA 5585-X IPS SSP の設定 」を参照してください。
• ASA 5585-X の詳細については、『 Cisco ASA 5585-X Adaptive Security Appliance Hardware Installation Guide 』を参照してください。
IPS SSP-10 および IPS SSP-20 には、2 つの SFP/SFP+ ポートがあります。IPS SSP-40 および IPS SSP-60 には、4 つの SFP/SFP+ ポートがあります。ファイバ ポートを使用する場合は、10 ギガビット イーサネット用の SFP+ モジュール(ライセンスが必要になる場合あり)または 1 ギガビット イーサネット用の SFP モジュール(SFP または SFP+ モジュールは含まない)が必要です。
(注) ASA 5585-X に設置されている ASA ソフトウェア バージョンがネットワーク モジュールをサポートすることを確認します。ネットワーク モジュールがサポートされていることを確認するには、お使いの ASA ソフトウェア バージョンのリリース ノートを参照してください。
(注) 適応型セキュリティ アプライアンス 5585-X でサポートされるのは、シスコによって認定された SFP/SFP+ モジュールのみです。
警告 光ファイバケーブルが接続されていない場合、ポートの開口部から目に見えないレーザー光が放射されている可能性があります。レーザー光にあたらないように、開口部をのぞきこまないでください。ステートメント 70
ファイバ ポートを使用する場合に SFP/SFP+ ポートに接続するには、次の手順に従います。
ステップ 2 SFP/SFP+ に LC ケーブルの一方の端を接続します。
ステップ 3 LC ケーブルのもう一方の端をネットワーク デバイス(ルータ、スイッチなど)に接続します。
サポートされている SFP/SFP+ モジュールを示す表については、「SFP/SFP+ モジュール」を参照してください。
show module 1 コマンドを使用して、ASA 5585-X IPS SSP がアップの状態で稼働していることを確認できます。
• [Initializing]:ASA 5585-X IPS SSP
が検出され、システムによってコントロール通信が初期化されます。
• [Up]:ASA 5585-X IPS SSP
は、システムで初期化を完了しました。
• [Unresponsive]:システムが ASA 5585-X IPS SSP
でエラー通信に遭遇しました。
• [Reloading]:ASA 5585-X IPS SSP
がリロード中です。
• [Shutting Down]:ASA 5585-X IPS SSP
がシャットダウンしています。
• [Down]:ASA 5585-X IPS SSP
がシャットダウンされています。
• [Recover]:ASA 5585-X IPS SSP
がリカバリ イメージをダウンロードしようとしています。
ASA 5585-X IPS SSP のステータスを確認するには、次の手順に従います。
ステップ 2 ASA 5585-X IPS SSP のステータスを確認します。
ステータスが [Up]
の場合、ASA 5585-X IPS SSP が正常に設置されています。
ASA 5585-X の ASA 5585-X IPS SSP を取り外しおよび交換については、次の手順に従います。
ステップ 3 インジケータを確認して、ASA 5585-X IPS SSP がシャットダウンされていることを確認します。
ステップ 5 ASA 5585-X から電源コードを取り外します。
ステップ 6 ASA 5585-X の前面パネルから、スロット 1 の ASA 5585-X IPS SSP の左上および右上の非脱落型ネジを緩めます。
ステップ 7 モジュール スロットの左下または右下にあるイジェクト レバーをつかみ、引き出します。
|
|
ステップ 8 ASA 5585-X IPS SSP の両端をつかみ、シャーシから引き出して、取っておきます。
(注) ASA 5585-X IPS SSP をただちに交換しない場合は、ブランク スロット トレイを設置します。すべての空のスロットにスロット トレイを取り付け、適切に空気が流れるようにする必要があります。こうすることにより、他の機器を破壊する可能性のある EMI を防止できます。
ステップ 9 ASA 5585-X IPS SSP を交換する場合、イジェクト レバーが開いていることを確認しながら、モジュール スロットに装着します。
|
|
(注) ASA 5585-X IPS SSP は ASA 5585-X SSP モデルと同レベルである必要があります。たとえば、ASA 5585-X SSP-10 を使用している場合、ASA 5585-X IPS SSP-10 のみを設置できます。
ステップ 10 ASA 5585-X IPS SSP をスロットに収まるまでスライドし、イジェクト レバーを押して元の場所に戻します。
ステップ 12 ASA 5585-X に電源コードを再接続します。
ステップ 13 ASA 5585-X の電源をオンにします。
ステップ 14 前面パネルの PWR インジケータが緑色になっていることを確認します。また、 show module 1 コマンドを使用して ASA 5585-X IPS SSP がオンラインであることを確認できます。
• show module 1 コマンドの使用手順については、「ASA 5585-X IPS SSP のステータスの確認」を参照してください。
• ASA 5585-X の詳細については、『 Cisco ASA 5585-X Adaptive Security Appliance Hardware Installation Guide 』を参照してください。