ACI 向け Cisco ASA デバイスパッケージのリリースノート

使用可能な APIC 製品

リリース 1.2(7.8)以降、ACI の Cisco ASA デバイス パッケージ ソフトウェアには 2 つのバージョンがあります。

  • Cisco ASA デバイスパッケージ:ファブリック挿入を使用したポリシー オーケストレーション。このバージョンでは、次のように APIC から ASA の多くの重要機能を設定できます(ただし、次に限定されません)。

    • インターフェイス

    • Routing

    • Access-list(アクセス リスト)

    • NAT

    • TrustSec

    • アプリケーション インスペクション

    • NetFlow

    • ハイ アベイラビリティ

    • サイト間 VPN

  • Cisco ASA デバイスパッケージ:ファブリック挿入。このバージョンには、元のバージョン機能の次のサブセットが含まれています。

    • インターフェイス

    • ダイナミック ルーティング

    • スタティック ルーティング

サポートされるバージョン

Cisco ASA デバイス パッケージのソフトウェアは、同梱された APIC MPバージョンだけをサポートしています。

次の表は、サポートされるプラットフォームのそれぞれに対してサポートされている Cisco ASA ソフトウェアのバージョンを示しています。

プラットフォーム

ソフトウェア バージョン

ASA 5500-X(5512 ~ 5555)

ASA 8.4(x) 以降

ASA 5585-X(SSP 10 ~ SSP 60)

Cisco Firepower 9300 セキュリティ アプライアンス

ASA 9.6(1) 以降

Cisco Firepower 41xx セキュリティ アプライアンス

Cisco Firepower 21xx セキュリティ アプライアンス

ASA 9.8(1) 以降

Cisco ASAv

ASA 9.2(x) 以降

(Cisco ASA および APIC 互換性対応表)

特記事項

  • ASAv はマルチコンテキストモードをサポートしません。

  • ダイナミック EPG を使用した ACE には、ASA イメージ 9.3.2 以降が必要です。

ASA 9.3(1) を使用した APIC 1.2(x) の実行

デフォルトの SSL 設定がある ASA 9.3(1) を使用した APIC 1.2(x) を実行している場合は、次のエラーが表示されます。

*Major script error : Connection error : 
[SSL:SSLV3_ALERT_HANDSHAKE_FAILURE] sslv3 alert handshake failure(_ssl.c:581)*

回避策は、ASA で ssl encryption aes128-sha1 を設定するか、ASA をバージョン 9.3(2) 以降にアップグレードすることです。

サービスアプライアンスの BGP ピアリングの設定が不完全な場合にポリシーマネージャがロックアップする

不具合 CSCuw0342 には次の回避策を使用します。

症状:サービスアプライアンスの BGP ピアリングに使用される l3Out の設定が不完全な場合、ポリシーマネージャがクラッシュする(CSCuw03425)。

状況:サービスアプライアンスの BGP ピアリングに使用される l3Out に l3extRsNodeL3OutAtt がありません。

回避策:l3Out に l3extRsNodeL3OutAtt が含まれていることを確認します。この問題は今後のリリースで修正されます。

次に、l3extRsNodeL3OutAtt を含む BGP XML の例を示します。

<polUni>
<fvTenant name="tenant1">
<l3extOut name="StaticExternal">
<l3extLNodeP name="bLeaf-101">
<l3extRsNodeL3OutAtt tDn="topology/pod-1/node-101" rtrId="190.0.0.11">
<ipRouteP ip="50.50.50.0/24">
<ipNexthopP nhAddr="40.40.40.102/32"/>
</ipRouteP>
</l3extRsNodeL3OutAtt>
<l3extLIfP name="portIf">
<l3extRsPathL3OutAtt tDn="topology/pod-1/paths-101/pathep-[eth1/15]" ifInstT="ext-svi" encap="vlan-3843" addr="40.40.40.100/28" mtu="1500"/>
</l3extLIfP>
</l3extLNodeP>
<l3extInstP name="ExtInstP">
<l3extSubnet ip="50.50.50.0/24" scope="export-rtctrl"/>
</l3extInstP>
<l3extRsEctx tnFvCtxName="tenant1ctx1"/>
</l3extOut>
</fvTenant>
</polUni>

APIC への登録後に ASA のバージョンを変更した場合に APIC を手動で再同期する

不具合 CSCva89163 には次の回避策を使用します。

症状:一部のコマンドが機能しない。たとえば、network コマンドと neighbor コマンドの情報が表示されません(CSCva89163)。

状況:APIC に登録されているバージョンとは異なるバージョンの ASA を使用している場合、APIC に自動的には再登録されません。そのため、古いバージョンの ASA を使用している場合は、一部のコマンドがサポートされない場合があります。

回避策:次の手順を実行して、手動で APIC と ASA を再同期します。

手順


ステップ 1

APIC GUI の [テナント(Tenants)] タブで、左側のペインの [L4-L7サービス(L4-L7 Services)] を展開します。

ステップ 2

[L4-L7デバイス(L4-L7 Devices)] を展開します。

ステップ 3

APIC を実行しているファイアウォールを展開します。

ステップ 4

APIC を実行しているデバイスを右クリックし、[デバイス検証の再クエリ(Re-Query for Device Validation)] を選択します。


具象インターフェイスの変更時に ASA の設定がロールバックされない

不具合 CSCvd65130 には次の回避策を使用します。

症状:ブリッジモードで展開されたグラフの lif 設定でクラスタインターフェイスが変更されると、新しいインターフェイスが ASA で正しく更新されない場合がある。

状況:ASA デバイスのクラスタインターフェイス設定に変更が加えられた場合。

回避策:デバイスに変更を加える前にコントラクトからグラフをデタッチし、その後にアタッチします。

ブリッジモードで 2 番目のグラフが ASA に誤った設定をプッシュする

不具合 CSCvd68860 には次の回避策を使用します。

症状:ブリッジモードで 2 番目以降のグラフが ASA の新しいクラスタインターフェイスのセットに展開されると、クラスタインターフェイスが正しいブリッジグループで設定されていないことが表示される場合がある。これにより、設定の問題が発生し、ASA のデフォルト名を使用している既存のクラスタインターフェイスとの競合が発生する。

状況:ブリッジモードの ASA のデフォルトインターフェイス名を持つ新しいクラスタインターフェイスのセットを使用したグラフ展開。

回避策:グラフの設定中に、グラフパラメータの [インターフェイス関連の設定(Interface Related Configuration)] でクラスタインターフェイス名を変更します。

ソフトウェアのインストール

デバイスパッケージのインストール方法については、「Software Download」ページにハイパーリンクされているそれぞれのバージョンの「Cisco ASA Quick Start Guide for APIC Integration」を参照してください。


(注)  


APIC リリースに CSCuv4353 の修正が含まれている場合は、古いバージョンから新しいバージョンにアップグレードするために、以前のソフトウェアパッケージを削除する必要はありません。それ以外の場合は、新しいバージョンをインストールする前に、APIC から古いバージョンを削除します。


バグ検索

Cisco.com に登録しているユーザーとしてサインインし、バグ検索ツールを使用して各バグまたは不具合の詳細を確認してください。

バージョン 1.2(9) で解決された拡張要求

表 1. Cisco ASA デバイス パッケージ バージョン 1.2(9) で解決された拡張要求

要求/不具合

説明

CSCuq96567

ASA デバイスパッケージがサイト間 VPN をサポートする必要があります。

CSCve93631

ASA FI デバイスパッケージにダイナミック EPG を追加します。

CSCvf07594

ASA-DP:Firepower 21xx をサポートします。

バージョン 1.2(9) で解決された不具合

表 2. Cisco ASA デバイス パッケージ バージョン 1.2(9) で解決された不具合

不具合

説明

CSCve12665

ダイナミック EPG ネットワーク オブジェクト グループが APIC アップグレード中に削除され、再度追加されます。

CSCve85459

アプリケーション インスペクション パラメータを変更して disable にすると、F0324 が発生します。

CSCvf58335

ASA デバイスパッケージが既存のポートチャネルの削除を試みます。

CSCvf59620

ASA デバイスパッケージが bgp graceful-restart をサポートする必要があります。