使用する前に

この章では、ASA の使用を開始する方法について説明します。

コマンドライン インターフェイス(CLI)のコンソールへのアクセス

ASDM アクセスの基本的な設定を、CLI を使用して行う必要がある場合があります。

初期設定を行うには、コンソール ポートから直接 CLI にアクセスします。その後、管理アクセスに従って Telnet または SSH を使用して、リモート アクセスを設定できます。システムがすでにマルチ コンテキスト モードで動作している場合は、コンソール ポートにアクセスするとシステムの実行スペースに入ります。

コンソールポートに接続したときに、読み取れない文字が表示される場合は、ポートの設定を確認してください。設定が正しい場合は、同じ設定を使用して別のデバイスでそのケーブルを試します。ケーブルに問題がない場合は、コンソールポートのハードウェアを交換する必要がある可能性があります。別のワークステーションでの接続を試みることも検討してください。


(注)  

ASAv のコンソールアクセスについては、ASAv のクイックスタートガイドを参照してください。

ASA ハードウェアまたは ISA 3000 コンソールへのアクセス

アプライアンス コンソールにアクセスするには、次の手順に従います。

手順

ステップ 1

付属のコンソール ケーブルを使用してコンピュータをコンソール ポートに接続します。ターミナル エミュレータを回線速度 9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1、フロー制御なしに設定して、コンソールに接続します。

コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。

ステップ 2

Enter キーを押して、次のプロンプトが表示されることを確認します。 


ciscoasa>

このプロンプトは、ユーザー EXEC モードで作業していることを示します。ユーザー EXEC モードでは、基本コマンドのみを使用できます。

ステップ 3

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 4

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。

Firepower 2100 プラットフォーム モードのコンソールへのアクセス

Firepower 2100 コンソールポートで Cisco Secure Firewall Extensible Operating System(FXOS CLI)に接続します。次に、FXOS CLI から ASA コンソールに接続し、再度戻ることができます。FXOS に SSH 接続する場合は、ASA CLI にも接続できます。SSH からの接続はコンソール接続ではないため、FXOS SSH 接続から複数の ASA 接続を行うことができます。同様に、ASA に SSH 接続する場合は、FXOS CLI に接続できます。

始める前に

一度に保持できるコンソール接続は 1 つだけです。FXOS コンソールから ASA のコンソールに接続する場合、Telnet または SSH 接続の場合とは異なり、この接続は永続的接続です。

手順

ステップ 1

管理コンピュータをコンソール ポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアル ケーブルが付属しているため、接続するためにはサード パーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティング システムに必要な USB シリアル ドライバを必ずインストールしてください。次のシリアル設定を使用します。

  • 9600 ボー

  • 8 データ ビット

  • パリティなし

  • 1 ストップ ビット

FXOS CLI に接続します。ユーザー クレデンシャルを入力します。デフォルトでは、admin ユーザーとデフォルトのパスワード Admin123 を使用してログインできます。

ステップ 2

ASA に接続します。

connect asa

例:


firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

ステップ 3

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 4

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。

ステップ 5

FXOS コンソールに戻るには、Ctrl+ad と入力します。

ステップ 6

ASA に SSH 接続する場合(ASA で SSH アクセスを設定した後)、FXOS CLI に接続します。

connect fxos

FXOS への認証を求められます。デフォルトのユーザー名:admin およびパスワード:Admin123 を使用します。ASA CLI に戻るには、exit と入力するか、または Ctrl-Shift-6x と入力します。

例:


ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

kp2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

kp2110# 
kp2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#

Firepower 1000 2100 Appliance Mode コンソールへのアクセス

Firepower 1000 2100 Appliance Mode コンソールポートを使用して、Cisco ASA CLI に接続します(FXOS CLIに接続するFirepower 2100プラットフォームモードのコンソールとは異なります)。ASA CLI から、トラブルシューティングのために Telnet を使用して FXOS CLI に接続できます。

手順

ステップ 1

管理コンピュータをコンソール ポートに接続します。ご使用のオペレーティングシステムに必要なシリアルドライバを必ずインストールしてください。次のシリアル設定を使用します。

  • 9600 ボー

  • 8 データ ビット

  • パリティなし

  • 1 ストップ ビット

ASA CLI に接続します。デフォルトでは、コンソール アクセスに必要なユーザー クレデンシャルはありません。

ステップ 2

特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

ASA で設定したイネーブルパスワードは、FXOS 管理者のユーザーパスワードでもあり、ASA の起動に失敗した場合は、FXOS フェールセーフ モードに移行します。

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権 EXEC モードを終了するには、disable exit 、または quit コマンドを入力します。

ステップ 3

グローバル コンフィギュレーション モードにアクセスします。

configure terminal

例:


ciscoasa# configure terminal
ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit quit 、または end コマンドを入力します。

ステップ 4

(任意) FXOS CLI に接続します。

connect fxos [admin]

  • admin :管理者レベルのアクセスを提供します。このオプションを指定しないと、ユーザーのアクセス権は読み取り専用アクセスになります。管理者モードであっても、コンフィギュレーション コマンドは使用できないことに注意してください。

ユーザーはクレデンシャルの入力を求められません。現在の ASA ユーザー名が FXOS に渡されるため、追加のログインは必要ありません。ASA CLI に戻るには、exit と入力するか、Ctrl+Shift+6 を押し、x と入力します。

FXOS 内では、scope security/show audit-logs コマンドを使用してユーザーアクティビティを表示できます。

例:


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#

Firepower 4100/9300 シャーシ 上の ASA コンソールへのアクセス

初期設定の場合、Firepower 4100/9300 シャーシ スーパバイザに(コンソール ポートに、あるいは Telnet または SSH を使用してリモートで)接続してコマンドライン インターフェイスにアクセスし、ASA セキュリティ モジュールに接続します。

手順

ステップ 1

Firepower 4100/9300 シャーシ スーパバイザ CLI(コンソールまたは SSH)に接続し、次に ASA にセッション接続します。

connect module slot { console | telnet}

Telnet 接続を使用する利点は、モジュールに同時に複数のセッションを設定でき、接続速度が速くなることです。

初めてモジュールにアクセスするときは、FXOS モジュールの CLI にアクセスします。その後 ASA アプリケーションに接続する必要があります。

connect asa

例:


Firepower# connect module 1 console
Firepower-module1> connect asa

asa>

ステップ 2

最高の特権レベルである特権 EXEC モードにアクセスします。

enable

enable コマンドを最初に入力したときに、パスワードを変更するように求められます。

例:


asa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
asa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 3

グローバル コンフィギュレーション モードを開始します。

configure terminal

例:


asa# configure terminal
asa(config)#

グローバル コンフィギュレーション モードを終了するには、disable exit 、または quit コマンドを入力します。

ステップ 4

Ctrl-a、d と入力し、アプリケーション コンソールを終了して FXOS モジュール CLI に移動します。

トラブルシューティングのために FXOS モジュールの CLI を使用する場合があります。

ステップ 5

FXOS CLI のスーパバイザ レベルに戻ります。

コンソールを終了します。

  1. ~ と入力

    Telnet アプリケーションに切り替わります。

  2. Telnet アプリケーションを終了するには、次を入力します。

    telnet>quit

Telnet セッションを終了します。

  1. Ctrl-], . と入力

ソフトウェア モジュール コンソールへのアクセス

ASA 5506-X に ASA FirePOWER などのソフトウェア モジュールをインストールしている場合、モジュール コンソールへのセッションを実行できます。


(注)  

session コマンドを使用して ASA バックプレーンを介してハードウェア モジュール CLI にアクセスすることはできません。

手順

ASA CLI から、モジュールへのセッションを実行します。

session {sfr | cxsc | ips} console

例:


ciscoasa# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.

Cisco ASA SFR Boot Image 5.3.1
asasfr login: admin
Password: Admin123

ASA 5506W-X ワイヤレス アクセス ポイント コンソールへのアクセス

ワイヤレス アクセス ポイント コンソールにアクセスするには、次の手順を実行します。

手順

ステップ 1

ASA CLI から、アクセス ポイントへのセッションを実行します。

session wlan console

例:


ciscoasa# session wlan console
opening console session with module wlan
connected to module wlan. Escape character sequence is ‘CTRL-^X’

ap>

ステップ 2

アクセス ポイント CLI については、『Cisco IOS Configuration Guide for Autonomous Aironet Access Points』を参照してください。

FIPS モードの有効化

連邦情報処理標準(FIPS)は、米国およびカナダ政府の認証規格です。暗号化モジュールで順守する必要がある要件が規定されています。特定のバージョンのASAは、米国の National Institute of Standards(NIST)に従って FIPS 140-3 に準拠しています。

ASA で FIPS を有効にすることに加えて、FIPS 準拠の暗号も設定する必要があります。

クラスタリング用に FIPS を有効にすることはできません。

始める前に

手順

ステップ 1

ASA で FIPS を有効にします。

fips enable

例:

ciscoasa(config)# fips enable
WARNING: FIPS mode change will not take effect until you save configuration and reboot the device

FIPS が有効になっている場合、FIPS POST が実行され、スタートアップ時に次のコンソールメッセージが出力されます。


Copyright (c) 1996-2005 by Cisco Systems, Inc.
Restricted Rights Legend
Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software - Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.
 
                Cisco Systems, Inc.
                170 West Tasman Drive
                San Jose, California 95134-1706
 
....
Cryptochecksum (unchanged): 6c6d2f77 ef13898e 682c9f94 9c2d5ba9
 
INFO: FIPS Power-On Self-Test in process.  Estimated completion in 90 seconds.
......................................................
INFO: FIPS Power-On Self-Test complete.
Type help or '?' for a list of available commands.
ciscoasa>

ステップ 2

設定を保存してリロードします。

write memory

reload

ステップ 3

(任意) 電源投入時自己診断テストを実行します。

fips self-test poweron

テストには、暗号化アルゴリズム テスト、ソフトウェア完全性テスト、および重要機能のテストがあります。

ASDM アクセスの設定

ここでは、デフォルト設定で ASDM にアクセスする方法、およびデフォルト設定がない場合にアクセスを設定する方法について説明します。

ASDM アクセスの工場出荷時のデフォルト設定の使用

工場出荷時のデフォルト コンフィギュレーションでは、ASDM 接続はデフォルトのネットワーク設定で事前設定されています。

手順

次のインターフェイスおよびネットワーク設定を使用して ASDM に接続します。

  • 管理インターフェイスは、ご使用のモデルによって異なります。

    • Firepower 1010:管理用ネットワークインターフェイス 1/1(IP アドレス:192.168.45.1)、または内部イーサネットインターフェイス 1/2 ~ 1/8(IP アドレス:192.168.1.1)。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。

    • Firepower 1100、 2100(アプライアンスモード):内部イーサネット 1/2(192.168.1.1)または管理用ポート 1/1(DHCP 経由)。内部ホストは 192.168.1.0/24 ネットワークに限定されます。管理ホストは任意のネットワークからアクセスできます。

    • プラットフォーム モードの Firepower 2100:管理 1/1(192.168.45.1)。管理ホストは 192.168.45.0/24 ネットワークに限定されます。

    • Firepower 4100/9300:展開時に定義された管理タイプ インターフェイスと IP アドレス。管理ホストは任意のネットワークからアクセスできます。

    • ASA 5506-X、ASA 5506W-X:内部 GigabitEthernett 1/2 ~ 1/8、および Wi-Fi GigabitEthernet 1/9(192.168.10.1)。内部ホストは 192.168.1.0/24 ネットワークに限定され、Wi-Fi ホストは 192.168.10.0/24 に限定されます。

    • ASA 5508-X および ASA 5516-X:内部 GigabitEthernet 1/2(192.168.1.1)。Inside hosts are limited to the 192.168.1.0/24 network.

    • ASA 5525-X 以降:管理 0/0(192.168.1.1)。管理ホストは 192.168.1.0/24 ネットワークに限定されます。

    • ASAv:管理 0/0(展開時に設定)。管理ホストは管理ネットワークに限定されます。

    • ISA 3000:管理 1/1(192.168.1.1)。管理ホストは 192.168.1.0/24 ネットワークに限定されます。

(注)  

 

マルチ コンテキスト モードに変更すると、上記のネットワーク設定を使用して管理コンテキストから ASDM にアクセスできるようになります。

ASDM アクセスのカスタマイズ

次の条件に 1 つ以上当てはまる場合は、この手順を使用します。

  • 工場出荷時のデフォルト コンフィギュレーションがない。

  • トランスペアレント ファイアウォール モードに変更したい。

  • マルチ コンテキスト モードに変更したい。

シングル ルーテッド モードの場合、ASDM に迅速かつ容易にアクセスするために、独自の管理 IP アドレスを設定できるオプションを備えた工場出荷時のデフォルト コンフィギュレーションを適用することを推奨します。この項に記載されている手順は、特別なニーズ(トランスペアレント モードやマルチ コンテキスト モードの設定など)がある場合や、他の設定を維持する必要がある場合にのみ使用してください。


(注)  

ASAv の場合、導入時にトランスペアレント モードを設定できるため、この手順は、設定をクリアする必要がある場合など、導入後に特に役立ちます。

手順

ステップ 1

コンソール ポートで CLI にアクセスします。

ステップ 2

(オプション)トランスペアレント ファイアウォール モードをイネーブルにします。

このコマンドは、設定をクリアします。

firewall transparent

ステップ 3

管理インターフェイスを設定します。 


interface interface_id    
   nameif name 
   security-level level    
   no shutdown    
   ip address ip_address mask

例:


ciscoasa(config)# interface management 0/0
ciscoasa(config-if)# nameif management
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# ip address 192.168.1.1 255.255.255.0

security-level は、1 ~ 100 の数字です。100 が最も安全です。

ステップ 4

(直接接続された管理ホスト用)管理ネットワークの DHCP プールを設定します。 


dhcpd address ip_address-ip_address interface_name
dhcpd enable interface_name

例:


ciscoasa(config)# dhcpd address 192.168.1.2-192.168.1.254 management
ciscoasa(config)# dhcpd enable management

その範囲にインターフェイス アドレスが含まれていないことを確認します。

ステップ 5

(リモート管理ホスト用)管理ホストへのルートを設定します。

route management_ifc management_host_ip mask gateway_ip 1

例:


ciscoasa(config)# route management 10.1.1.0 255.255.255.0 192.168.1.50 1

ステップ 6

ASDM の HTTP サーバーをイネーブルにします。

http server enable

ステップ 7

管理ホストの ASDM へのアクセスを許可します。

http ip_address mask interface_name

例:


ciscoasa(config)# http 192.168.1.0 255.255.255.0 management

ステップ 8

設定を保存します。

write memory

ステップ 9

(オプション)モードをマルチ モードに設定します。

mode multiple

プロンプトが表示されたら、既存の設定を管理コンテキストに変換することを承認します。ASA をリロードするよう求められます。

次の設定では、ファイアウォール モードがトランスペアレント モードに変換され、Management 0/0 インターフェイスが設定され、管理ホストに対して ASDM がイネーブルにされます。 


firewall transparent
interface management 0/0

ip address 192.168.1.1 255.255.255.0
nameif management
security-level 100
no shutdown

dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
http server enable
http 192.168.1.0 255.255.255.0 management

ASDM の起動

ASDM は、次の 2 つの方法で起動できます。

  • ASDM Launcher - Launcher は、Cisco ASA から Web ブラウザを使用してダウンロードされるアプリケーションです。これを使用すると、任意の Cisco ASA IP アドレスに接続できます。他の ASA に接続する場合、ランチャを再度ダウンロードする必要はありません。

  • Java Web Start:管理する ASA ごとに Web ブラウザで接続して、Java Web Start アプリケーションを保存または起動する必要があります。任意でコンピュータにショートカットを保存できます。ただし、ASA IP アドレスごとにショートカットを分ける必要があります。


(注)  

Web Start を使用する場合は、Java キャッシュをクリアしてください。クリアしない場合、Hostscan などのログイン前ポリシーに対する変更が失われる可能性があります。この問題は、ランチャを使用している場合には発生しません。

ASDM では、管理のために別の ASA IP アドレスを選択できます。ランチャと Java Web Start の機能の違いは、主に、ユーザーが最初にどのように ASA に接続し、ASDM を起動するかにあります

ここでは、まず ASDM に接続する方法について説明します。次にランチャまたは Java Web Startを使用して ASDM を起動する方法について説明します。

ASDM はローカルの \Users\<user_id>\.asdm ディレクトリ内にキャッシュ、ログ、設定などのファイルを保存し、Temp ディレクトリ内にも AnyConnect クライアント プロファイルなどのファイルを保存します。

手順

ステップ 1

ASDM クライアントとして指定したコンピュータで次の URL を入力します。

https://asa_ip_address/admin

(注)  

 

http:// や IP アドレス(デフォルトは HTTP)ではなく、必ず https:// を指定してください。 ASA は、HTTP 要求を HTTPS に自動的に転送しません。

次のボタンを持つ ASDM 起動ページが表示されます

  • Install ASDM Launcher and Run ASDM

  • Run ASDM

  • Run Startup Wizard

ステップ 2

ランチャをダウンロードして、ASDM を起動するには、次の手順を実行します。

  1. [Install ASDM Launcher and Run ASDM] をクリックします。

  2. ユーザー名とパスワードのフィールドを空のままにし(新規インストールの場合)、[OK] をクリックします。

    HTTPS 認証が設定されていない場合は、ユーザー名およびイネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。空白のままにしないように、できるだけ早くイネーブル パスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定を参照してください。:HTTPS 認証をイネーブルにした場合、ユーザー名と関連付けられたパスワードを入力します。認証が有効でない場合でも、ログイン画面で(ユーザー名をブランクのままにしないで)ユーザー名とパスワードを入力すると、ASDM によってローカル データベースで一致がチェックされます。

  3. インストーラをコンピュータに保存して、インストーラを起動します。インストールが完了すると、ASDM Launcher は自動起動します。

  4. 管理 IP アドレス、および同じユーザー名とパスワード(新規インストールの場合は空白)を入力し、[OK] をクリックします。

ステップ 3

Java Web Start を使用するには、次の手順を実行します。

  1. [Run ASDM] または [Run Startup Wizard] をクリックします。

  2. プロンプトが表示されたら、ショートカットをコンピュータに保存します。オプションで、アプリケーションを保存せずに開くこともできます。

  3. ショートカットから Java Web Start を起動します。

  4. 表示されたダイアログボックスに従って、任意の証明書を受け入れます。Cisco ASDM-IDM Launcher が表示されます。

  5. ユーザー名とパスワードのフィールドを空のままにし(新規インストールの場合)、[OK] をクリックします。HTTPS 認証が設定されていない場合は、ユーザー名およびイネーブル パスワード(デフォルトで空白)を入力しないで ASDM にアクセスできます。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。空白のままにしないように、できるだけ早くイネーブル パスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定を参照してください。:HTTPS 認証をイネーブルにした場合、ユーザー名と関連付けられたパスワードを入力します。認証が有効でない場合でも、ログイン画面で(ユーザー名をブランクのままにしないで)ユーザー名とパスワードを入力すると、ASDM によってローカル データベースで一致がチェックされます。

ASDM 動作のカスタマイズ

アイデンティティ証明書をインストールして ASDM を正常に起動するだけでなく、ASDM ヒープ メモリを増大することもできるため、より大きいサイズのコンフィギュレーションを処理できます。

ASDM のアイデンティティ証明書のインストール

Java 7 Update 51 以降を使用する場合、ASDM ランチャには信頼できる証明書が必要です。証明書の要件は、自己署名付きの ID 証明書をインストールすることによって簡単に満たすことができます。証明書をインストールするまで、Java Web Start を使用して ASDM を起動することができます。

ASDM で使用するために ASA に自己署名された ID 証明書をインストールし、Java を使用して証明書を登録するには、次のマニュアルを参照してください。

http://www.cisco.com/go/asdm-certificate

ASDM コンフィギュレーションメモリの増大

ASDM でサポートされる最大設定サイズは 512 KB です。このサイズを超えると、パフォーマンスの問題が生じることがあります。たとえば、コンフィギュレーションのロード時には、完了したコンフィギュレーションの割合がステータス ダイアログボックスに表示されます。このとき、サイズの大きいコンフィギュレーションでは、ASDM によってまだコンフィギュレーションの処理が行われていても、完了した割合の増分が停止し、操作が中断されているように見えます。このような状況が発生した場合は、ASDM システム ヒープ メモリの増大を検討することを推奨します。メモリが枯渇していることを確認するには、Java コンソールで「java.lang.OutOfMemoryError」メッセージをモニターします。

さらに、可能であれば、未使用のオブジェクトを削除するなどして、構成サイズを減らすことをお勧めします。

Windows での ASDM コンフィギュレーションメモリの増大

ASDM ヒープメモリサイズを増大するには、次の手順を実行して run.bat ファイルを編集します。

手順

ステップ 1

ASDM インストールディレクトリ(たとえば、C:\Program Files (x86)\Cisco Systems\ASDM)に移動します。

ステップ 2

任意のテキストエディタを使用して run.bat ファイルを編集します。

ステップ 3

「start javaw.exe」で始まる行で、「-Xmx」のプレフィックスが付いた引数を変更し、目的のヒープサイズを指定します。たとえば、768 MB の場合は -Xmx768M に変更し、1 GB の場合は -Xmx1G に変更します。

非常に大規模な構成では、最大 2 GB のヒープサイズを指定する必要がある場合があります。

ステップ 4

run.bat ファイルを保存します。

Mac OS での ASDM コンフィギュレーションメモリの増大

ASDM ヒープメモリサイズを増大するには、次の手順を実行して Info.plist ファイルを編集します。

手順

ステップ 1

[Cisco ASDM-IDM] アイコンを右クリックし、[Show Package Contents] を選択します。

ステップ 2

[Contents] フォルダで、Info.plist ファイルをダブルクリックします。開発者ツールをインストールしている場合は、プロパティリストエディタで開きます。そうでない場合は、TextEdit で開きます。

ステップ 3

[Java] > [VMOptions] で、「-Xmx」のプレフィックスが付いた文字列を変更し、必要なヒープサイズを指定します。たとえば、768 MB の場合は -Xmx768M に変更し、1 GB の場合は -Xmx1G に変更します。

非常に大規模な構成では、最大 2 GB のヒープサイズを指定する必要がある場合があります。

ステップ 4

このファイルがロックされると、次のようなエラーが表示されます。

ステップ 5

[Unlock] をクリックし、ファイルを保存します。

[Unlock] ダイアログボックスが表示されない場合は、エディタを終了します。[Cisco ASDM-IDM] アイコンを右クリックし、[Copy Cisco ASDM-IDM] を選択して、書き込み権限がある場所(デスクトップなど)に貼り付けます。その後、このコピーからヒープサイズを変更します。

工場出荷時のデフォルト設定

工場出荷時のデフォルト設定とは、シスコが新しい ASA に適用したコンフィギュレーションです。

  • ASA 5506-X:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。内部インターフェイスから ASDM を使用して ASA を管理できます。内部インターフェイスは、統合ルーティングとブリッジングを使用してブリッジ グループに配置されます。

  • Cisco ASA 5508-X/5516-X:工場出荷時のデフォルト設定により、内部/外部設定が有効になります。ASA は、内部インターフェイスから ASDM を使用して管理できます。

  • ASA 5525-X ~ ASA 5555-X:管理用のインターフェイスは工場出荷時のデフォルト設定によって設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。

  • Firepower 1010:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部スイッチ ポートから ASDM を使用して管理できます。

  • Firepower 1100:工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Firepower 2100:プラットフォーム モード(デフォルト):工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスから Cisco Secure Firewall Chassis Managerと ASDM を使用して管理できます。

    アプライアンス モード:アプライアンス モードに変更すると、工場出荷時のデフォルト設定により、機能内部/外部設定が有効になります。ASA は、管理インターフェイスまたは内部インターフェイスから ASDM を使用して管理できます。

  • Firepower 4100/9300 シャーシ:ASA のスタンドアロンまたはクラスタを展開する場合、管理用のインターフェイスは工場出荷時のデフォルト設定によって設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。

  • ASAv:ハイパーバイザによっては、展開の一環として、展開設定(初期の仮想展開設定)によって管理用のインターフェイスが設定されるため、ASDM を使用してこのインターフェイスに接続して設定を完了できます。フェールオーバー IP アドレスも設定できます。また、必要に応じて、「工場出荷時のデフォルト」コンフィギュレーションを適用することもできます。

  • ISA 3000:工場出荷時のデフォルト設定は、同じネットワーク上のすべての内部および外部インターフェイスを使用した、ほぼ完全なトランスペアレント ファイアウォール モード設定です。ASDM を使用して管理インターフェイスに接続し、ネットワークの IP アドレスを設定できます。ハードウェアバイパスは 2 つのインターフェイスペアに対して有効になっていて、すべてのトラフィックはインラインタップモニタ専用モードで ASA FirePOWER モジュールに送信されます。このモードでは、モニタリング目的でのみトラフィックの重複ストリームが ASA Firepower モジュールに送信されます

アプライアンス の場合、工場出荷時のデフォルト設定は、工場出荷時のデフォルト設定がトランスペアレントモードでのみ使用可能な ISA 3000 を除き、ルーテッド ファイアウォール モードとシングルコンテキストモードのみで使用できます。ASAv および Firepower 4100/9300 シャーシ の場合、展開時にトランスペアレントモードまたはルーテッドモードを選択できます。


(注)  

イメージ ファイルと(隠された)デフォルト コンフィギュレーションに加え、log/、crypto_archive/、および coredumpinfo/coredump.cfg がフラッシュ メモリ内の標準のフォルダとファイルです。フラッシュ メモリ内で、これらのファイルの日付は、イメージ ファイルの日付と一致しない場合があります。これらのファイルは、トラブルシューティングに役立ちますが、障害が発生したことを示すわけではありません。

工場出荷時のデフォルト設定の復元

この項では、工場出荷時のデフォルト コンフィギュレーションを復元する方法について説明します。CLI および ASDM の両方の手順が提供されています。ASAv では、この手順を実行することで展開設定が消去され、ASA 5525-X の場合と同じ工場出荷時のデフォルト設定が適用されます。


(注)  

Firepower 4100/9300 では、工場出荷時のデフォルト設定を復元すると単に設定が消去されるだけです。 デフォルト設定を復元するには、スーパバイザから ASA をもう一度展開する必要があります。

始める前に

この機能は、ISA 3000 を除き、ルーテッド ファイアウォール モードでのみ使用できます(ISA 3000 では、このコマンドはトランスペアレントモードでのみサポートされます)。さらに、この機能はシングルコンテキストモードでのみ使用できます。コンフィギュレーションがクリアされた ASA には、この機能を使用して自動的に設定する定義済みコンテキストがありません。

手順

ステップ 1

工場出荷時のデフォルト コンフィギュレーションを復元します。

configure factory-default [ip_address [mask]]

例:


ciscoasa(config)# configure factory-default 10.1.1.1 255.255.255.0

(注)  

 

このコマンドは、Firepower 2100 の現在設定されているモード(アプライアンスまたはプラットフォーム)をクリアしません。

ip_address を指定する場合は、デフォルトの IP アドレスを使用する代わりに、お使いのモデルに応じて、内部または管理インターフェイスの IP アドレスを設定します。ip_address オプションで設定されているインターフェイスについては、次のモデルのガイドラインを参照してください。

  • Firepower 1010:管理インターフェイスの IP アドレスを設定します。

  • Firepower 1100:内部インターフェイスの IP アドレスを設定します。

  • アプライアンス モードの Firepower 2100:内部インターフェイスの IP アドレスを設定します。

  • プラットフォーム モードの Firepower 2100管理インターフェイスの IP アドレスを設定します。

  • Firepower 4100/9300:効果はありません。

  • ASAv管理インターフェイスの IP アドレスを設定します。

  • ASA 5506-X:内部インターフェイスの IP アドレスを設定します。

  • ASA 5508-X および 5516-X:内部インターフェイスの IP アドレスを設定します。

  • ASA 5525-X、5545-X、5555-X:管理インターフェイスの IP アドレスを設定します。

  • ISA 3000:管理インターフェイスの IP アドレスを設定します。

http コマンドでは、ユーザーが指定するサブネットが使用されます。同様に、dhcpd address コマンドの範囲は、指定した IP アドレスよりも大きい使用可能なすべてのアドレスで構成されます。たとえば、サブネットマスク 255.255.255.0 で 10.5.6.78 を指定した場合、DHCP アドレスの範囲は 10.5.6.79 ~ 10.5.6.254 になります。

Firepower 1000、およびアプライアンスモードの Firepower 2100、6100:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

プラットフォーム モードの Firepower 2100 の場合:このモデルでは、boot system コマンドは使用されません。パッケージは FXOS によって管理されます。

その他すべてのモデルの場合:このコマンドは、残りの設定とともに boot system コマンドをクリアします(存在する場合)。boot system コマンドを使用すると、特定のイメージから起動できます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュ メモリの最初のイメージからブートします。内部フラッシュ メモリにイメージがない場合、ASA はブートしません。

例:


docs-bxb-asa3(config)# configure factory-default 10.86.203.151 255.255.254.0
Based on the management IP address and mask, the DHCP address
pool size is reduced to 103 from the platform limit 256

WARNING: The boot system configuration will be cleared.
The first image found in disk0:/ will be used to boot the
system on the next reload.
Verify there is a valid image on disk0:/ or the system will
not boot.

Begin to apply factory-default configuration:
Clear all configuration
WARNING: The new maximum-session limit will take effect after the running-config is saved and the system boots next time. Command accepted
WARNING: Local user database is empty and there are still 'aaa' commands for 'LOCAL'.
Executing command: interface management0/0
Executing command: nameif management
INFO: Security level for "management" set to 0 by default.
Executing command: ip address 10.86.203.151 255.255.254.0
Executing command: security-level 100
Executing command: no shutdown
Executing command: exit
Executing command: http server enable
Executing command: http 10.86.202.0 255.255.254.0 management
Executing command: dhcpd address 10.86.203.152-10.86.203.254 management
Executing command: dhcpd enable management
Executing command: logging asdm informational
Factory-default configuration is completed
ciscoasa(config)#

ステップ 2

デフォルト コンフィギュレーションをフラッシュ メモリに保存します。

write memory

このコマンドでは、事前に boot config コマンドを設定して、別の場所を設定していた場合でも、実行コンフィギュレーションはスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションがクリアされると、このパスもクリアされます。

ステップ 3

(ASDM での手順。)メイン ASDM アプリケーション ウィンドウで、次を実行します。

  1. [File] > [Reset Device to the Factory Default Configuration] の順に選択します。

    [Reset Device to the Default Configuration] ダイアログボックスが表示されます。

  2. (オプション)デフォルト アドレスを使用する代わりに、管理または内部インターフェイスの管理 IP アドレスを入力します。

    モデルごとに設定されているインターフェイス IP の詳細については、前述の CLI 手順を参照してください。

  3. (オプション)ドロップダウン リストから [Management Subnet Mask] を選択します。

  4. [OK] をクリックします。

    確認用のダイアログボックスが表示されます。

    (注)  

     

    Firepower 1000、およびアプライアンスモードの Firepower 2100 の場合:このコマンドは、残りの設定とともにブートイメージの場所をクリアします(存在する場合)。この設定変更は、ブートアップ時のイメージには影響を与えず、現在ロードされているイメージが引き続き使用されます。

    プラットフォームモードの Firepower 2100 の場合:このモデルでは、ブートイメージの場所は使用されません。パッケージは FXOS によって管理されます。

    その他すべてのモデルの場合:この操作により、残りの設定とともにブートイメージの場所もクリアされます(存在する場合)。[Configuration] > [Device Management] > [System Image/Configuration] > [Boot Image/Configuration] ペインでは、外部メモリ上のイメージを含む、特定のイメージからブートできます。出荷時の設定に戻した後、次回 ASA をリロードすると、内部フラッシュメモリの最初のイメージからブートします。内部フラッシュメモリにイメージがない場合、ASA はブートしません。

  5. [Yes] をクリックします。

  6. デフォルト設定を復元したら、この設定を内部フラッシュ メモリに保存します。[File] > [Save Running Configuration to Flash] を選択します。

    このオプションを選択すると、以前に別の場所を設定している場合でも、実行コンフィギュレーションがスタートアップ コンフィギュレーションのデフォルトの場所に保存されます。コンフィギュレーションをクリアした場合は、このパスもクリアされています。

ASAv 導入設定の復元

この項では、ASAv の導入(0 日)設定を復元する方法について説明します。

手順

ステップ 1

フェールオーバーを行うために、スタンバイ装置の電源を切ります。

スタンバイ ユニットがアクティブになることを防ぐために、電源をオフにする必要があります。電源を入れたままにした場合、アクティブ装置の設定を消去すると、スタンバイ装置がアクティブになります。以前のアクティブ ユニットをリロードし、フェールオーバー リンクを介して再接続すると、古い設定は新しいアクティブ ユニットから同期し、必要な導入コンフィギュレーションが消去されます。

ステップ 2

リロード後に導入設定を復元します。フェールオーバーを行うために、アクティブ装置で次のコマンドを入力します。

write erase

(注)  

 

ASAv が現在の実行イメージをブートするため、元のブート イメージには戻りません。元のブート イメージを使用するには、boot image コマンドを参照してください。

コンフィギュレーションは保存しないでください。

ステップ 3

ASAv をリロードし、導入設定をロードします。

reload

ステップ 4

フェールオーバーを行うために、スタンバイ装置の電源を投入します。

アクティブ装置のリロード後、スタンバイ装置の電源を投入します。導入設定がスタンバイ装置と同期されます。

ASA 5506-X シリーズのデフォルト設定

ASA 5506-X シリーズの出荷時のデフォルトのコンフィギュレーションは、次のとおりです。

  • Integrated Routing and Bridging 機能:GigabitEthernet 1/2 ~ 1/8 はブリッジ グループ 1 に所属、ブリッジ仮想インターフェイス(BVI) 1

  • 内部 --> 外部へのトラフィック フロー:GigabitEthernet 1/1(外部)、BVI 1(内部)

  • DHCP の外部 IP アドレス、内部 IP アドレス:192.168.1.1

  • (ASA 5506W-X)WiFi<--> 内部のトラフィック フロー、WiFi --> 外部へのトラフィック フロー:GigabitEthernet 1/9(WiFi)

  • (ASA 5506W-X)WiFi の IP アドレス:192.168.10.1

  • 内部および WiFi 上のクライアントに対する DHCP。アクセス ポイント自体とそのすべてのクライアントが ASA を DHCP サーバーとして使用します。

  • ASDM アクセス:内部ホストと Wi-Fi ホストが許可されます。

  • NAT:内部、WiFi、および管理から外部へのすべてのトラフィックのインターフェイス PAT。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  no nameif
  no security-level
  no ip address
  no shutdown
interface GigabitEthernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface GigabitEthernet1/2
  nameif inside_1
  security-level 100
  bridge-group 1
  no shutdown
interface GigabitEthernet1/3
  nameif inside_2
  security-level 100
  no shutdown
  bridge-group 1
interface GigabitEthernet1/4
  nameif inside_3
  security-level 100
  no shutdown
  bridge-group 1
interface GigabitEthernet1/5
  nameif inside_4
  security-level 100
  no shutdown
  bridge-group 1
interface GigabitEthernet1/6
  nameif inside_5
  security-level 100
  no shutdown
  bridge-group 1
interface GigabitEthernet1/7
  nameif inside_6
  security-level 100
  no shutdown
  bridge-group 1
interface GigabitEthernet1/8
  nameif inside_7
  security-level 100
  no shutdown
  bridge-group 1
!
interface bvi 1
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
!
object network obj_any1
 subnet 0.0.0.0 0.0.0.0
 nat (inside_1,outside) dynamic interface
object network obj_any2
 subnet 0.0.0.0 0.0.0.0
 nat (inside_2,outside) dynamic interface
object network obj_any3
 subnet 0.0.0.0 0.0.0.0
 nat (inside_3,outside) dynamic interface
object network obj_any4
 subnet 0.0.0.0 0.0.0.0
 nat (inside_4,outside) dynamic interface
object network obj_any5
 subnet 0.0.0.0 0.0.0.0
 nat (inside_5,outside) dynamic interface
object network obj_any6
 subnet 0.0.0.0 0.0.0.0
 nat (inside_6,outside) dynamic interface
object network obj_any7
 subnet 0.0.0.0 0.0.0.0
 nat (inside_7,outside) dynamic interface
!
same-security-traffic permit inter-interface
!
http server enable
http 192.168.1.0 255.255.255.0 inside_1
http 192.168.1.0 255.255.255.0 inside_2
http 192.168.1.0 255.255.255.0 inside_3
http 192.168.1.0 255.255.255.0 inside_4
http 192.168.1.0 255.255.255.0 inside_5
http 192.168.1.0 255.255.255.0 inside_6
http 192.168.1.0 255.255.255.0 inside_7
!
dhcpd auto_config outside
dhcpd address 192.168.1.5-192.168.1.254 inside
dhcpd enable inside
!
logging asdm informational

ASA 5506W-X の場合は、次のコマンドも含まれます。 


interface GigabitEthernet 1/9
  security-level 100
  nameif wifi
  ip address 192.168.10.1 255.255.255.0
  no shutdown
!
object network obj_any_wifi
 subnet 0.0.0.0 0.0.0.0
 nat (wifi,outside) dynamic interface
!
http 192.168.10.0 255.255.255.0 wifi
!
dhcpd address 192.168.10.2-192.168.10.254 wifi
dhcpd enable wifi

ASA 5508-Xおよび 5516-X のデフォルト設定

ASA 5508-Xおよび 5516-X の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部 --> 外部へのトラフィックフロー:GigabitEthernet 1/1(外部)、GigabitEthernet 1/2(内部)

  • DHCP からの外部 IP アドレス

  • 内部 IP アドレス:192.168.1.1

  • 内部。

  • 外部 DHCP からのデフォルト ルート

  • 管理 1/1 インターフェイスが稼働しているが、そうでない場合は未設定。ASA FirePOWER モジュールは、このインターフェイスを使用して ASA 内部ネットワークに接続し、内部インターフェイスをインターネットへのゲートウェイとして使用できます。

  • ASDM アクセス:内部ホストと ホストが許可されます。

  • NAT:内部および管理から外部へのすべてのトラフィックのインターフェイス PAT。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  no nameif
  no security-level
  no ip address
  no shutdown
interface GigabitEthernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
interface GigabitEthernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.5-192.168.1.254 inside
dhcpd enable inside
!
logging asdm informational

ASA 5525-X ~ ASA 5555-X デフォルト設定

ASA 5525-X ~ ASA 5555-X の工場出荷時のデフォルト設定は、次のとおりです。

  • 管理インターフェイス:Management 0/0(管理)。

  • IP アドレス:管理アドレスは 192.168.1.1/24 です。

  • DHCP サーバー:管理ホストでは DHCP サーバーがイネーブルにされているため、管理インターフェイスに接続するコンピュータには、192.168.1.2 ~ 192.168.1.254 の間のアドレスが割り当てられます。

  • ASDM アクセス:管理ホストに許可されます。

このコンフィギュレーションは次のコマンドで構成されています。 


interface management 0/0
  ip address 192.168.1.1 255.255.255.0
  nameif management
  security-level 100
  no shutdown
!
asdm logging informational
asdm history enable
!
http server enable
http 192.168.1.0 255.255.255.0 management
!
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management

Firepower 1010 のデフォルト設定

Firepower 1010 の工場出荷時のデフォルト設定は、次のとおりです。

  • ハードウェア スイッチ:イーサネット 1/2 ~ 1/8 は VLAN 1 に属しています。

  • 内部から外部へのトラフィック フロー:イーサネット 1/1(外部)、VLAN 1(内部)

  • 管理:管理 1/1(管理)、IP アドレス:192.168.45.1

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 内部インターフェイスの DHCP サーバー、管理インターフェイス

  • 外部 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。管理ホストは 192.168.45.0/24 ネットワークに限定され、内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
!
interface Management1/1
managment-only
nameif management
no shutdown
security-level 100
ip address 192.168.45.1 255.255.255.0
!
interface Ethernet1/1
nameif outside
ip address dhcp setroute
no shutdown
!
interface Ethernet1/2
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/3
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/4
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/5
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/6
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/7
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
interface Ethernet1/8
no shutdown
switchport
switchport mode access
switchport access vlan 1
!
object network obj_any
   subnet 0.0.0.0 0.0.0.0
   nat (any,outside) dynamic interface
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd address 192.168.45.10-192.168.45.12 management
dhcpd enable inside
dhcpd enable management
!
http server enable
http 192.168.45.0 255.255.255.0 management
http 192.168.1.0 255.255.255.0 inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 1100 のデフォルト設定

Firepower 1100 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • 管理:Management 1/1(管理)、DHCP からの IP アドレス

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 inside
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 2100 プラットフォームモードのデフォルト設定

Firepower 2100 はプラットフォーム モードで実行するように設定できます。デフォルトはアプライアンス モードです。


(注)  

9.13(1) 以前のバージョンでは、プラットフォーム モードがデフォルトであり、唯一のオプションでした。プラットフォーム モードからアップグレードする場合、このモードが維持されます。

ASA の設定

Firepower 2100 上の ASA の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス、内部 IP アドレス:192.168.1.1

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP からのデフォルト ルート

  • 管理:管理 1/1(管理)、IP アドレス:192.168.45.1

  • ASDM アクセス:管理ホストに許可されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • FXOS 管理トラフィックの開始:FXOS シャーシは、ASA 外部インターフェイス上で管理トラフィックを開始できます。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address 192.168.45.1 255.255.255.0
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 192.168.45.0 255.255.255.0 management
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
ip-client outside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside

FXOS の設定

Firepower 2100 上の FXOS の工場出荷時のデフォルト設定は、次のとおりです。

  • 管理 1/1:IP アドレス 192.168.45.45

  • デフォルト ゲートウェイ:ASA データ インターフェイス

  • Firewall Chassis Manager および SSH アクセス:管理ネットワークからのみ。

  • デフォルトのユーザー名admin、デフォルトのパスワード:Admin123

  • DHCP サーバー:クライアント IP アドレス範囲 192.168.45.10 ~ 192.168.45.12

  • NTP サーバー:Cisco NTP サーバー:0.sourcefire.pool.ntp.org、1.sourcefire.pool.ntp.org、2.sourcefire.pool.ntp.org

  • DNS サーバー:OpenDNS:208.67.222.222、208.67.220.220

  • イーサネット 1/1 およびイーサネット 1/2:有効

Firepower 2100 アプライアンス モードのデフォルト設定

デフォルトでは、Firepower 2100 はアプライアンス モードで実行されます。


(注)  

9.13(1) 以前のバージョンでは、プラットフォーム モードがデフォルトであり、唯一のオプションでした。プラットフォーム モードからアップグレードする場合、プラットフォーム モードが維持されます。

アプライアンス モードの Firepower 2100 の工場出荷時のデフォルト設定は、次のとおりです。

  • 内部から外部へのトラフィック フロー:Ethernet 1/1(外部)、Ethernet 1/2(内部)

  • DHCP の外部 IP アドレス内部 IP アドレス:192.168.1.1

  • DHCP からの管理 IP アドレス:管理 1/1(管理)

  • 内部インターフェイスの DHCP サーバー

  • 外部 DHCP、管理 DHCP からのデフォルト ルート

  • ASDM アクセス:管理ホストと内部ホストに許可されます。内部ホストは 192.168.1.0/24 ネットワークに限定されます。

  • NAT:内部から外部へのすべてのトラフィック用のインターフェイス PAT。

  • DNS サーバー:OpenDNS サーバーはあらかじめ構成されています。

このコンフィギュレーションは次のコマンドで構成されています。 


interface Management1/1
  management-only
  nameif management
  security-level 100
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/1
  nameif outside
  security-level 0
  ip address dhcp setroute
  no shutdown
!
interface Ethernet1/2
  nameif inside
  security-level 100
  ip address 192.168.1.1 255.255.255.0
  no shutdown
!
object network obj_any
  subnet 0.0.0.0 0.0.0.0
  nat (any,outside) dynamic interface
!
http server enable
http 0.0.0.0 0.0.0.0 management
http 192.168.1.0 255.255.255.0 management
!
dhcpd auto_config outside
dhcpd address 192.168.1.20-192.168.1.254 inside
dhcpd enable inside
!
dns domain-lookup outside
dns server-group DefaultDNS
   name-server 208.67.222.222 outside
   name-server 208.67.220.220 outside
!

Firepower 4100/9300 シャーシ デフォルト設定

Firepower 4100/9300 シャーシ 上に ASA を展開した場合、ASDM を使用して管理インターフェイスへの接続が可能になる多くのパラメータを事前設定できます。一般的な構成には次の設定があります。

  • 管理インターフェイス:

    • Firepower 4100/9300 シャーシ スーパバイザ上で定義された任意の管理タイプ インターフェイス

    • 名前は「management」

    • 任意の IP アドレス

    • セキュリティ レベル 0

    • 管理専用

  • 管理インターフェイス内のデファルト ルート

  • ASDM アクセス:すべてのホストが許可されます。

スタンドアロン ユニットの設定は、次のコマンドで構成されます。クラスタ ユニットの追加の設定については、ASA クラスタの作成 を参照してください。 


interface <management_ifc>
  management-only
  ip address <ip_address> <mask>
  ipv6 address <ipv6_address>
  ipv6 enable
  nameif management
  security-level 0
  no shutdown
!
http server enable
http 0.0.0.0 0.0.0.0 management
http ::/0 management
!
route management 0.0.0.0 0.0.0.0 <gateway_ip> 1
ipv6 route management ::/0 <gateway_ipv6>

ISA 3000 のデフォルト設定

ISA 3000 の工場出荷時のデフォルト設定は、次のとおりです。

  • トランスペアレント ファイアウォール モード:トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータホップとしては認識されません。

  • 1 ブリッジ仮想インターフェイス:すべてのメンバーインターフェイスは同じネットワーク内に存在しています(IP アドレスは事前設定されていません。ネットワークと一致するように設定する必要があります):GigabitEthernet 1/1 (outside1)、GigabitEthernet 1/2(inside1)、GigabitEthernet 1/3(outside2)、GigabitEthernet 1/4(inside2)

  • すべての内部および外部インターフェイスは相互通信できます。

  • 管理 1/1 インターフェイス:ASDM アクセスの 192.168.1.1/24。

  • 管理上のクライアントに対する DHCP

  • ASDM アクセス:管理ホストに許可されます。

  • ハードウェアバイパスは、次のインターフェイスペアで有効になっています。GigabitEthernet 1/1 および 1/2。GigabitEthernet 1/3 および 1/4


    (注)  

    ISA 3000 への電源が切断され、ハードウェア バイパス モードに移行すると、通信できるのは上記のインターフェイス ペアのみになります。inside1 と inside2 および outside1 と outside2 は通信できなくなります。これらのインターフェイス間の既存の接続がすべて失われます。電源が再投入されると、ASA がフローを引き継ぐため、接続が短時間中断されます。

  • ASA FirePOWER モジュール:すべてのトラフィックが、Inline Tap Monitor-Only モードのモジュールに送信されます。このモードでは、モニタリング目的でのみトラフィックの重複ストリームが ASA Firepower モジュールに送信されます。

  • 高精度時間プロトコル:PTP トラフィックは、Firepower のモジュールに送信されません。

このコンフィギュレーションは次のコマンドで構成されています。 


firewall transparent

interface GigabitEthernet1/1
 	bridge-group 1
 	nameif outside1
 	security-level 0
		no shutdown
interface GigabitEthernet1/2
	 bridge-group 1
 	nameif inside1
 	security-level 100
 	no shutdown
interface GigabitEthernet1/3
	 bridge-group 1
	 nameif outside2
	 security-level 0
 	no shutdown
interface GigabitEthernet1/4
 	bridge-group 1
 	nameif inside2
 	security-level 100
 	no shutdown
interface Management1/1
		management-only
		no shutdown
		nameif management
		security-level 100
		ip address 192.168.1.1 255.255.255.0
interface BVI1
		no ip address

access-list allowAll extended permit ip any any
access-group allowAll in interface outside1
access-group allowAll in interface outside2

same-security-traffic permit inter-interface

hardware-bypass GigabitEthernet 1/1-1/2
hardware-bypass GigabitEthernet 1/3-1/4

http server enable
http 192.168.1.0 255.255.255.0 management

dhcpd address 192.168.1.5-192.168.1.254 management
dhcpd enable management

object-group service bypass_sfr_inspect
  service-object udp destination range 319 320
access-list sfrAccessList extended deny object-group bypass_sfr_inspect any any
access-list sfrAccessList extended permit ip any any
class-map sfrclass
		match access-list sfrAccessList
policy-map global_policy
		class sfrclass
		sfr fail-open monitor-only
service-policy global_policy global

ASAv による展開の設定

ASAv を導入すると、ASDM を使用して、Management 0/0 インターフェイスへの接続を可能にする多数のパラメータをプリセットできます。一般的な構成には次の設定があります。

  • ルーテッド ファイアウォール モードまたはトランスペアレント ファイアウォール モード

  • Management 0/0 インターフェイス:

    • 名前は「management」

    • IP アドレスまたは DHCP

    • セキュリティ レベル 0

  • 管理ホスト IP アドレスのスタティック ルート(管理サブネット上にない場合)

  • HTTP サーバーの有効または無効

  • 管理ホスト IP アドレス用の HTTP アクセス

  • (オプション)GigabitEthernet 0/8 用のフェールオーバー リンク IP アドレス、Management0/0 のスタンバイ IP アドレス

  • DNS サーバー

  • スマート ライセンス ID トークン

  • スマートライセンスのスループットレベルおよび標準機能階層

  • (オプション)Smart Call Home HTTP プロキシ URL およびポート

  • (オプション)SSH 管理設定:

    • クライアント IP アドレス

    • ローカル ユーザー名とパスワード

    • ローカル データベースを使用する SSH に必要な認証

  • (オプション)REST API の有効または無効


(注)  

Cisco Licensing Authority に ASAv を正常に登録するには、ASAv にインターネットアクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。

スタンドアロン ユニットについては、次の設定例を参照してください。 


interface Management0/0
  nameif management
  security-level 0
  ip address ip_address
  
  no shutdown
http server enable
http managemment_host_IP mask management
route management management_host_IP mask gateway_ip 1
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent

(注)  

Essentials ライセンスは、以前は「標準」ライセンスと呼ばれていました。

フェールオーバー ペアのプライマリ ユニットについては、次の設定例を参照してください。 


nameif management
  security-level 0
  ip address ip_address standby standby_ip
  
  no shutdown
route management management_host_IP mask gateway_ip 1
http server enable
http managemment_host_IP mask management
dns server-group DefaultDNS
  name-server ip_address
call-home
  http-proxy ip_address port port
license smart
  feature tier standard
  throughput level {100M | 1G | 2G}
  license smart register idtoken id_token
aaa authentication ssh console LOCAL
username username password password
ssh source_IP_address mask management
rest-api image boot:/path
rest-api agent
failover 
failover lan unit primary
failover lan interface fover gigabitethernet0/8
failover link fover gigabitethernet0/8
failover interface ip fover primary_ip mask standby standby_ip

アプライアンスまたはプラットフォーム モードへの Firepower 2100 の設定

Firepower 2100 は、FXOS と呼ばれる基盤となるオペレーティングシステムを実行します。Firepower 2100 は、次のモードで実行できます。

  • アプライアンスモード(デフォルト):アプライアンスモードでは、ASA のすべての設定を行うことができます。FXOS CLI からは、高度なトラブルシューティング コマンドのみ使用できます。

  • プラットフォーム モード:プラットフォーム モードでは、FXOS で、基本的な動作パラメータとハードウェア インターフェイスの設定を行う必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。Firewall Chassis Manager Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティング システムにセキュリティ ポリシーを設定できます。

この手順では、モードの変更方法について説明します。


注意    

モードを変更する場合、システムをリロードする必要があり、設定がクリアされます。デフォルト設定は、リロード時に適用されます。参照先として元の設定のコピーを保存する必要があります。

clear configure all および configure factory-default コマンドは、現在のモードをクリアしません。

始める前に

モードは、CLI でのみ変更できます。

手順

ステップ 1

(任意) 現在の設定をバックアップします。コンフィギュレーションまたはその他のファイルのバックアップと復元を参照してください。

アプライアンス モードの設定とプラットフォーム モードの設定には多少の違いがありますが、古い設定のコピーを出発点にすることをお勧めします。たとえば、プラットフォーム モードの場合、NTP、DNS、および EtherChannel の設定は ASA 設定の一部ではないため、バックアップには含まれませんが、その他のほとんどの ASA 設定は両方のモードで有効です。

ステップ 2

現在のモードを表示します。

show fxos mode

例:


ciscoasa(config)# show fxos mode
Mode is currently set to appliance

ステップ 3

モードをプラットフォームモードに設定します。

no fxos mode appliance

write memory

reload

モードを設定したら、設定を保存してデバイスをリロードする必要があります。リロードする前に、中断することなく、モードを元の値に戻すことができます。

注意    

 

リロードすると、設定はクリアされます。デフォルト設定は、リロード時に適用されます。

例:


ciscoasa(config)# no fxos mode appliance
Mode set to platform mode
WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted.
ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: c0532471 648dc7c2 4f2b4175 1f162684

23736 bytes copied in 1.520 secs (23736 bytes/sec)
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]

ステップ 4

モードをアプライアンス モードに設定します。

fxos mode appliance

write memory

reload

モードを設定したら、設定を保存してデバイスをリロードする必要があります。リロードする前に、中断することなく、モードを元の値に戻すことができます。

注意    

 

リロードすると、設定はクリアされます。デフォルト設定は、リロード時に適用されます。

例:


ciscoasa(config)# fxos mode appliance
Mode set to appliance mode
WARNING: This command will take effect after the running-config is saved and the system has been rebooted. Command accepted.
ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: c0532471 648dc7c2 4f2b4175 1f162684

23736 bytes copied in 1.520 secs (23736 bytes/sec)
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]

設定の開始

ASA を設定してモニターするには、次の手順を実行します。


(注)  

ASDM では、最大 512 KB の設定をサポートしています。このサイズを超えると、パフォーマンスの問題が生じることがあります。ASDM コンフィギュレーションメモリの増大を参照してください。

手順

ステップ 1

Startup Wizard を使用して初期設定を行うには、[Wizards] > [Startup Wizard] を選択します。

ステップ 2

IPsec VPN Wizard を使用して IPsec VPN 接続を設定するには、[Wizards] > [IPsecVPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 3

SSL VPN Wizard を使用して SSL VPN 接続を設定するには、[Wizards] > [SSL VPN Wizard] を選択して、表示される各画面で設定を行います。

ステップ 4

高可用性とスケーラビリティに関する設定値を設定するには、[Wizards] > [High Availability and Scalability Wizard] を選択します。

ステップ 5

Packet Capture Wizard を使用してパケット キャプチャを設定するには、[Wizards] > [Packet Capture Wizard] を選択します。

ステップ 6

ASDM GUI で使用できるさまざまな色とスタイルを表示するには、[View] > [Office Look and Feel] を選択します。

ステップ 7

機能を設定するには、ツールバーの [Configuration] ボタンをクリックし、いずれかの機能ボタンをクリックして、関連する設定ペインを表示します。

(注)  

 

[Configuration] 画面が空白の場合は、ツールバーで [Refresh] をクリックして、画面のコンテンツを表示します。

ステップ 8

ASA をモニターするには、ツールバーの [Monitoring] ボタンをクリックし、機能ボタンをクリックして、関連するモニタリング ペインを表示します。

ASDM でのコマンドライン インターフェイス ツールの使用

この項では、ASDM を使用してコマンドを入力する方法および CLI の使用方法について説明します。

コマンドライン インターフェイス ツールの使用

この機能には、コマンドを ASA に送信して結果を表示する、テキストベースのツールが用意されています。

CLI ツールによって入力可能なコマンドは、ユーザー権限によって異なります。メイン ASDM アプリケーション ウィンドウの下部にあるステータスバーの権限レベルを見て、CLI 特権コマンドを実行するために必要な特権があるかどうかを確認してください。

始める前に

  • ASDM の CLI ツールから入力するコマンドは、ASA の接続ターミナルから入力するコマンドと動作が異なる場合があります。

  • コマンド エラー:誤った入力コマンドによってエラーが発生した場合、その誤ったコマンドはスキップされ、その他のコマンドは処理されます。[Response] 領域には、他の関連情報とともに、エラーが発生したかどうかについての情報を示すメッセージが表示されます。

  • インタラクティブ コマンド:インタラクティブ コマンドは、CLI ツールではサポートされていません。これらのコマンドを ASDM で使用するには、次のコマンドに示すように、noconfirm キーワード(使用可能な場合)を使用します。 

    
crypto key generate rsa modulus 1024 noconfirm

  • 他の管理者との競合を回避:複数の管理ユーザーが ASA の実行コンフィギュレーションをアップデートできます。ASDM の CLI ツールでコンフィギュレーションを変更する場合は、アクティブな管理セッションが他にないことを事前に確認してください。複数のユーザーが同時に ASA を設定した場合、最新の変更が有効になります。

    同じ ASA で現在アクティブな他の管理セッションを表示するには、[Monitoring] > [Properties] > [Device Access] の順に選択します。

手順

ステップ 1

メイン ASDM アプリケーション ウィンドウで、[Tools] > [Command Line Interface] の順に選択します。

[Command Line Interface] ダイアログボックスが表示されます。

ステップ 2

必要なコマンドのタイプ(1 行または複数行)を選択し、ドロップダウン リストからコマンドを選択するか、または表示されたフィールドにコマンドを入力します。

ステップ 3

[Send] をクリックしてコマンドを実行します。

ステップ 4

新しいコマンドを入力するには、[Clear Response] をクリックしてから、実行する別のコマンドを選択(または入力)します。

ステップ 5

この機能の状況依存ヘルプを表示するには、[Enable context-sensitive help (?)] チェックボックスをオンにします。文脈依存ヘルプをディセーブルにするには、このチェックボックスをオフにします。

ステップ 6

設定を変更した場合は、[Command Line Interface] ダイアログボックスを閉じた後に、[Refresh] をクリックして ASDM での変更内容を表示します。

ASDM によって無視されるコマンドのデバイス上での表示

この機能により、ASDM がサポートしていないコマンドの一覧を表示できます。通常 ASDM は、これらのコマンドを無視します。ASDM は、実行コンフィギュレーションのこれらのコマンドを変更、削除することはありません。詳細については、「サポートされていないコマンド」を参照してください。

手順

ステップ 1

メイン ASDM アプリケーション ウィンドウで、[Tools] > [Show Commands Ignored by ASDM on Device] の順に選択します。

ステップ 2

完了したら、[OK] をクリックします。

接続の設定変更の適用

コンフィギュレーションに対してセキュリティ ポリシーの変更を加えた場合は、すべての新しい接続で新しいセキュリティ ポリシーが使用されます。既存の接続では、その接続が確立された時点で設定されていたポリシーの使用が続行されます。古い接続に対する show コマンドの出力は古いコンフィギュレーションを反映しており、場合によっては古い接続に関するデータが含まれないことがあります。

たとえば、インターフェイスから QoS service-policy を削除し、修正バージョンを再度追加する場合、show service-policy コマンドには、新しいサービス ポリシーと一致する新規接続と関連付けられている QoS カウンタのみ表示されます。古いポリシーの既存の接続はコマンド出力には表示されません。

すべての接続が新しいポリシーを確実に使用するように、現在の接続を解除し、新しいポリシーを使用して再度接続できるようにします。

接続を解除するには、次のコマンドを入力します。

  • clear conn[all] [protocol {tcp |udp}] [ address src_ip [-src_ip] [ netmask mask] [ port src_port [-src_port] [ address dest_ip [-dest_ip] [ netmask mask] [ port dest_port [-dest_port]

    このコマンドは、すべての状態の接続を終了します。現在のすべての接続を表示するには、show conn コマンドを参照してください。

    引数を指定しないと、このコマンドはすべての through-the-box 接続をクリアします。to-the-box 接続もクリアするには(現在の管理セッションを含む)、all キーワードを使用します。送信元 IP アドレス、宛先 IP アドレス、ポート、プロトコルに基づいて特定の接続をクリアするには、必要なオプションを指定できます。