Cisco ASA の新機能

このドキュメントでは、各リリースの新機能を示します。


(注)  

『syslog メッセージ ガイド』に、新規、変更済み、および廃止された syslog メッセージを記載しています。


バージョン 9.10 の新機能

ASA 9.10(1)/ASDM 7.10(1) の新機能

リリース日:2018 年 10 月 25 日

機能

説明

プラットフォーム機能

Azure 用の ASAv VHD カスタム イメージ

シスコが提供する圧縮 VHD イメージを使用して、Azure に独自のカスタム ASAv イメージを作成できるようになりました。VHD イメージを使用して展開するには、Azure ストレージ アカウントに VHD イメージをアップロードする必要があります。次に、アップロードしたディスク イメージおよび Azure Resource Manager テンプレートを使用して、管理対象イメージを作成できます。Azure テンプレートは、リソースの説明とパラメータの定義が含まれている JSON ファイルです。

DPDK の ASAv サポート

DPDK(データプレーン開発キット)は、ポーリングモード ドライバを使用して ASAv のデータプレーンに統合されています。

FirePOWER モジュール バージョン 6.3 の ISA 3000 サポート

以前サポート対象だったバージョンは FirePOWER 5.4 でした。

ファイアウォール機能

Cisco Umbrella サポート

Cisco Umbrella で定義されている エンタープライズ セキュリティ ポリシーをユーザ接続に適用できるように DNS 要求を Cisco Umbrella へリダイレクトするようにデバイスを設定できます。FQDN に基づいて接続を許可またはブロックできます。または、疑わしい FQDN の場合は Cisco Umbrella インテリジェント プロキシにユーザをリダイレクトして URL フィルタリングを実行できます。Umbrella の設定は、DNS インスペクション ポリシーに含まれています。

新規/変更されたコマンド:umbrella umbrella-global token public-key timeout edns dnscrypt show service-policy inspect dns detail

新しい/変更された画面:

[Configuration] > [Firewall] > [Objects] > [Umbrella][Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DNS]

MSISDN および選択モードのフィルタリング、アンチリプレイ、およびユーザ スプーフィング保護に対する GTP インスペクションの機能拡張

モバイル ステーション国際サブスクライバ電話番号(MSISDN)または選択モードに基づいて PDP コンテキストの作成メッセージをドロップするように GTP インスペクションを設定できるようになりました。また、アンチリプレイとユーザ スプーフィング保護も実装できます。

新規/変更されたコマンド: anti-replay gtp-u-header-check match msisdn match selection-mode

新しい/変更された画面:

[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [GTP] > [Add/Edit] ダイアログボックス

TCP ステート バイパスのデフォルトのアイドル タイムアウト

TCP ステート バイパス接続のデフォルトのアイドル タイムアウトは 1 時間ではなく、2 分になりました。

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート

ユーザ ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

新規/変更されたコマンド: aaa authentication listener no-logout-button

ASDM サポートはありません。

9.8(3) でも同様。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections

ASDM サポートはありません。

9.8(3) でも同様。

トランスペアレント モードでの NAT'ed フローのオフロードをサポート。

フロー オフロード(flow-offload enable および set connection advanced-options flow-offload コマンド)を使用している場合、トランスペアレント モードで NAT を必要とするフローをオフロードされたフローに含めることができるようになりました。

Firepower 4100/9300 ASA 論理デバイスのトランスペアレント モード展開のサポート

Firepower 4100/9300 に ASA を展開するときに、トランスペアレントまたはルーテッド モードを指定できるようになりました。

新規/変更された FXOS コマンド:enter bootstrap-key FIREWALL_MODE set value routed set value transparent

新規/変更された [Firepower Chassis Manager] 画面:

[Logical Devices] > [Add Device] > [Settings]

新規/変更されたオプション:[Firewall Mode] ドロップダウンリスト

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6(またはそれ以降)に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド: saml external-browser

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

9.8(3) でも同様。

AnyConnect VPN リモート アクセス接続のための DTLS 1.2 サポート。

DTLS 1.2(RFC-6347 で規定)では、現在サポートされている DTLS 1.0(バージョン番号 1.1 は DTLS には使用されません)に加えて、AnyConnect リモート アクセスもサポートされるようになりました。これは、5506 を除くすべての ASA モデルに適用され、ASA がクライアントではなく、サーバとしてのみ機能している場合に適用されます。DTLS 1.2 は、現在のすべての TLS/DTLS 暗号方式と大きな Cookie サイズに加えて、追加の暗号方式をサポートしています。

新規/変更されたコマンド:show run ssl show vpn-sessiondb detail anyconnect ssl cipher ssl server-version

新規/変更された画面:[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス

クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。FXOS でクラスタを展開するときに、ネットワークを設定できるようになりました。シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック(127.0.0.0/8)およびマルチキャスト(224.0.0.0/4)アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを設定できるようになりました。

新規/変更された FXOS コマンド: set cluster-control-link network

新規/変更された [Firepower Chassis Manager] 画面:

[Logical Devices] > [Add Device] > [Cluster Information]

新規/変更されたオプション:[CCL Subnet IP] フィールド

Firepower 9300 シャーシごとのクラスタ ユニットのパラレル参加

Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。

新規/変更されたコマンド: unit parallel-join

新しい/変更された画面:

[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

新規/変更されたオプション:[Parallel Join of Units Per Chassis] エリア

クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。

インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。

変更されたコマンドはありません。

変更された画面はありません。

Microsoft Azure Government クラウドでの ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューションが、Azure Government クラウドで使用できるようになりました。

新規または変更されたコマンド:failover cloud

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

インターフェイス機能

Firepower 2100/4100/9300 のスーパーバイザの関連付けを表示するための show interface ip brief および show ipv6 interface の出力の強化

Firepower 2100/4100/9300 の場合、コマンドの出力は、インターフェイスのスーパーバイザの関連付けステータスを表示するために強化されています。

新規/変更されたコマンド:show interface ip briefshow ipv6 interface

Firepower 2100 では、set lacp-mode コマンドが set port-channel-mode に変更されています。

set lacp-mode コマンドは、Firepower 4100/9300 でのコマンドの使用方法に合わせるために set port-channel-mode に変更されています。

新規/変更された FXOS コマンド: set port-channel-mode

管理およびトラブルシューティングの機能

Firepower 2100 の NTP 認証のサポート

FXOS で SHA1 NTP サーバ認証を設定できるようになりました。

新規/変更された FXOS コマンド:enable ntp-authentication、set ntp-sha1-key-id、set ntp-sha1-key-string

新規/変更された [Firepower Chassis Manager] 画面:

[Platform Settings] > [NTP]

新規/変更されたオプション:[NTP Server Authentication: Enable] チェックボックス、[Authentication Key] フィールド、[Authentication Value] フィールド

ACL を使用せず IPv6 トラフィックを一致させるためのパケット キャプチャのサポート

capture コマンドの match キーワードを使用する場合、any キーワードは IPv4 トラフィックのみ照合します。IPv4 または IPv6 トラフィックをキャプチャするために、any4any6 キーワードを指定できるようになりました。any キーワードでは、引き続き IPv4 トラフィックのみ照合されます。

新規/変更されたコマンド:capture match

ASDM サポートはありません。

Firepower 2100 の FXOS に対する SSH の公開キー認証のサポート

SSH キーを設定し、パスワード認証の代わりに公開キー認証を使用したり、両方の認証を使用したりできます。

新規/変更された FXOS コマンド:set sshkey

Firepower Chassis Manager のサポートはありません。

GRE および IPinIP カプセル化のサポート

内部インターフェイス上でパケット キャプチャを実行するときに、ICMP、UDP、TCP などでの GRE および IPinIP カプセル化を表示するコマンドの出力が強化されています。

新規/変更されたコマンド:show capture

アプリケーションのキャッシュの割り当てを制限するメモリしきい値を有効にするためのサポート

デバイスの管理性と安定性を維持するためのメモリの予約ができるように、特定のメモリしきい値に達するアプリケーション キャッシュの割り当てを制限することができます。

新規/変更されたコマンド:memory threshold enable、show run memory threshold、clear conf memory threshold

RFC 5424 ロギングのタイムスタンプのサポート

RFC 5424 形式に従ってロギング タイムスタンプを有効にできます。

新規/変更されたコマンド:logging timestamp

TCB-IPS のメモリ使用量を表示するためのサポート

TCB-IPS でのアプリケーション レベルのメモリ キャッシュを表示します。

新規/変更されたコマンド:show memory app-cache

バージョン 9.9 の新機能

ASDM 7.9(2.152) の新機能

リリース日:2018 年 5 月 9 日

機能

説明

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

ASA 9.9(2)/ASDM 7.9(2) の新機能

リリース:2018年3月26日

機能

説明

プラットフォーム機能

VMware ESXi 6.5 用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ESXi 6.5 で動作するホストをサポートしています。vi.ovf および esxi.ovf ファイルに新しい VMware ハードウェア バージョンが追加され、ESXi 6.5 で ASAv の最適なパフォーマンスと使いやすさを実現しました。

変更されたコマンドはありません。

変更された画面はありません。

VMXNET3 インターフェイス用の ASAv サポート

ASAv 仮想プラットフォームは、VMware ハイパーバイザ上の VMXNET3 インターフェイスをサポートしています。

変更されたコマンドはありません。

変更された画面はありません。

初回起動時の仮想シリアル コンソール用の ASAv サポート

ASAv にアクセスして設定するために、仮想 VGA コンソールではなく初回起動時に仮想シリアル コンソールを使用するように ASAv を設定できるようになりました。

新規または変更されたコマンド:console serial

Microsoft Azure 上での高可用性のために複数の Azure サブスクリプションでユーザ定義ルートを更新する ASAv サポート

Azure 高可用性構成で ASAv を構成して、複数の Azure サブスクリプションでユーザ定義ルートを更新できるようになりました。

新規または変更されたコマンド:failover cloud route-table

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Route-Table]

VPN 機能

IKEv2 プロトコルに拡張されたリモート アクセス VPN マルチコンテキスト サポート

AnyConnect やサード パーティ製標準ベース IPSec IKEv2 VPN クライアントがマルチコンテキスト モードで稼働する ASA へのリモート アクセス VPN セッションを確立できるように、ASA を構成することをサポートします。

RADIUS サーバへの IPv6 接続

ASA 9.9.2 では、外部 AAA RADIUS サーバへの IPv6 接続がサポートされるようになりました。

BVI サポートのための Easy VPN 拡張

Easy VPN は、ブリッジ型仮想インターフェイス(BVI)を内部セキュア インターフェイスとしてサポートするように拡張され、インターフェイスを内部セキュア インターフェイスとして使用するように直接設定できるようになりました。それ以外の場合は、ASA でセキュリティ レベルを使用して、その内部セキュア インターフェイスを選択します。

また、VPN の management-access がその BVI で有効になっている場合、telnethttpssh などの管理サービスを BVI で設定できるようになりました。非 VPN 管理アクセスの場合は、ブリッジグループ メンバー インターフェイスでこれらのサービスの設定を続行する必要があります。

新規または変更されたコマンド:vpnclient secure interface [interface-name]、httpstelnetsshmanagement-access

分散型 VPN セッションの改善

  • 分散型 S2S VPN のアクティブ セッションとバックアップ セッションのバランスをとるアクティブ セッションの再配布ロジックが改善されました。また、管理者が入力した単一の cluster redistribute vpn-sessiondb コマンドに対し、バランシング プロセスをバックグラウンドで最大 8 回繰り返すことができます。

  • クラスタ全体のダイナミック リバース ルート インジェクション(RRI)の処理が改善されました。

ハイ アベイラビリティとスケーラビリティの各機能

内部障害発生後に自動的にクラスタに再参加する

以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。

新規または変更されたコマンド:health-check system auto-rejoin、show cluster info auto-join

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

ASA 5000-X シリーズに対してインターフェイスを障害としてマークするために設定可能なデバウンス時間

ASA がインターフェイスを障害が発生していると見なし、ASA 5500-X シリーズ上のクラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。この機能は以前は Firepower 4100/9300 で使用できました。

新規または変更されたコマンド:health-check monitor-interface debounce-time

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示

ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。

新規または変更されたコマンド:show cluster info transport cp detail

ピア ユニットからのフェールオーバー履歴の表示

ピア ユニットから、details キーワードを使用して、フェールオーバー履歴を表示できるようになりました。これには、フェールオーバー状態の変更と状態変更の理由が含まれます。

新規または変更されたコマンド:show failover

管理機能

RSA キー ペアによる 3072 ビット キーのサポート

モジュラス サイズを 3072 に設定できるようになりました。

新規または変更されたコマンド:crypto key generate rsa modulus

新規または変更された画面:[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]

FXOS ブートストラップ設定によるイネーブル パスワードの設定

Firepower 4100/9300 に ASA を展開すると、ブートストラップ設定のパスワード設定により、イネーブル パスワードと管理者ユーザ パスワードが設定されるようになりました。FXOS バージョン 2.3.1 が必要です。

モニタリング機能とトラブルシューティング機能

SNMP IPv6 のサポート

ASA は、IPv6 経由での SNMP サーバとの通信、IPv6 経由でのクエリとトラップの実行許可、既存の MIB に対する IPv6 アドレスのサポートなど、SNMP over IPv6 をサポートするようになりました。RFC 8096 で説明されているように、次の新しい SNMP IPv6 MIB オブジェクトが追加されました。

  • ipv6InterfaceTable(OID:1.3.6.1.2.1.4.30):インターフェイスごとの IPv6 固有の情報が含まれています。

  • ipAddressPrefixTable(OID:1.3.6.1.2.1.4.32):このエンティティによって学習されたすべてのプレフィックスが含まれています。

  • ipAddressTable(OID:1.3.6.1.2.1.4.34):エンティティのインターフェイスに関連するアドレッシング情報が含まれています。

  • ipNetToPhysicalTable(OID:1.3.6.1.2.1.4.35):IP アドレスから物理アドレスへのマッピングが含まれています。

新規または変更されたコマンド:snmp-server host

(注)   

snmp-server host-group コマンドは IPv6 をサポートしていません。

新規または変更された画面:[Configuration] > [Device Management] > [Management Access] > [SNMP]

単一ユーザ セッションのトラブルシューティングのための条件付きデバッグ

条件付きデバッグ機能は、設定されたフィルタ条件に基づく特定の ASA VPN セッションのログを確認することを支援するようになりました。IPv4 および IPv6 サブネットの「any, any」のサポートが提供されます。

ASDM 7.9(1.151) の新機能

リリース:2018 年 2 月 14 日

このリリースに新機能はありません。

ASA 9.9(1)/ASDM 7.9(1) の新機能

リリース:2017年12月4日

機能

説明

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

新規/変更されたコマンド:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx } が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

新規または変更された画面:[Configuration] > [Firewall] > [Ethertype Rules]

VPN 機能

Firepower 9300 上のクラスタリングによる分散型サイト間 VPN

Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、(集中モードなどの)マスター ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ(合計 6 つのクラスタ メンバー)上で動作し、各モジュールは最大約 36,000 のアクティブ セッション(合計 72,000)に対し、最大 6,000 のアクティブ セッション(合計 12,000)をサポートします。

新規または変更されたコマンド:cluster redistribute vpn-sessiondbshow cluster vpn-sessiondbvpn modeshow cluster resource usageshow vpn-sessiondbshow connection detailshow crypto ikev2

新規または変更された画面:

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions] > [Slave]

[Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster]

[Wizards] > [Site-to-Site]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

[Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory]

[Monitoring] > [Logging] > [Real-Time Log Viewer]

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューション。

新規または変更されたコマンド:failover cloud

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover]

[Monitoring] > [Properties] > [Failover] > [Status]

[Monitoring] > [Properties] > [Failover] > [History]

バージョン 9.8(1.200) でも同様です。

Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上

シャーシ ヘルス チェックの保留時間をより低い値(100 ms)に設定できるようになりました。以前の最小値は 300 ms でした。

新規または変更されたコマンド:app-agent heartbeat interval

ASDM サポートはありません。

クラスタリングのサイト間冗長性

サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。

新規または変更されたコマンド:site-redundancy、show asp cluster counter change、show asp table cluster chash-table、show conn flag

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

モニタリング機能とトラブルシューティング機能

強化されたパケット トレーサおよびパケット キャプチャ機能

パケット トレーサは次の機能で強化されました。

  • パケットがクラスタ ユニット間を通過するときにパケットを追跡します。

  • シミュレートされたパケットが ASA から出られるようにします。

  • シミュレートされたパケットのセキュリティ チェックをバイパスします。

  • シミュレートされたパケットを IPsec/SSL で復号化されたパケットとして扱います。

パケット キャプチャは次の機能で強化されました。

  • パケットを復号化した後にキャプチャします。

  • トレースをキャプチャし、永続リストに保持します。

新規または変更されたコマンド:cluster exec capture test trace include-decrypted、cluster exec capture test trace persist、cluster exec clear packet-tracer、cluster exec show packet-tracer id、cluster exec show packet-tracer origin、packet-tracer persist、packet-tracer transmit、packet-tracer decrypted、packet-tracer bypass-checks

新規または変更された画面:

[Tools] > [Packet Tracer]

次のオプションをサポートする [Cluster Capture] フィールドを追加しました:[decrypted]、[persist]、[bypass-checks]、[transmit]

[All Sessions] ドロップダウンリストの下の [Filter By] ビューに 2 つの新しいオプションを追加しました:[Origin] および [Origin-ID]

[Monitoring] > [VPN] > [VPN Statistics] > [Packet Tracer and Capture]

[Packet Capture Wizard] 画面に [ICMP Capture] フィールドを追加しました:[Wizards] > [Packet Capture Wizard]

ICMP キャプチャをサポートする 2 つのオプション、include-decrypted および persist を追加しました。

バージョン 9.8 の新機能

ASA 9.8(3)/ASDM 7.9(2.152) の新機能

リリース日:2018 年 7 月 2 日

機能

説明

プラットフォーム機能

Firepower 2100 アクティブ LED はスタンバイ モードのときにオレンジ色に点灯するようになりました。

以前は、スタンバイ モード時にはアクティブ LED は点灯していませんでした。

ファイアウォール機能

カットスルー プロキシ ログイン ページからのログアウト ボタンの削除をサポート。

ユーザ ID 情報(AAA 認証 リスナー)を取得するようにカットスルー プロキシを設定している場合、ページからログアウト ボタンを削除できるようになりました。これは、ユーザが NAT デバイスの背後から接続し、IP アドレスで識別できない場合に便利です。1 人のユーザがログアウトすると、その IP アドレスのすべてのユーザがログアウトされます。

新規/変更されたコマンド:aaa authentication listener no-logout-button

ASDM サポートはありません。

Trustsec SXP 接続の設定可能な削除ホールド ダウン タイマー

デフォルトの SXP 接続ホールド ダウン タイマーは 120 秒です。このタイマーを 120 ~ 64000 秒に設定できるようになりました。

新規/変更されたコマンド:cts sxp delete-hold-down period show cts sxp connection brief show cts sxp connections

ASDM サポートはありません。

VPN 機能

従来の SAML 認証のサポート

CSCvg65072 の修正とともに ASA を展開すると、SAML のデフォルト動作で、AnyConnect 4.4 または 4.5 ではサポートされていない組み込みブラウザが使用されます。そのため、引き続き AnyConnect 4.4 または 4.5 を使用するには、従来の外部ブラウザで SAML 認証方式を有効にする必要があります。セキュリティ上の制限があるため、このオプションは、AnyConnect 4.6 に移行するための一時的な計画の一環としてのみ使用してください。このオプションは近い将来に廃止されます。

新規/変更されたコマンド: saml external-browser

新しい/変更された画面:

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Connection Profiles] ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add AnyConnect Connection Profile] ダイアログボックス

[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Connection Profiles] > ページ > [Connection Profiles] 領域 > [Add] ボタン > [Add Clientless SSL VPN Connection Profile] ダイアログボックス

新規および変更されたオプション:[SAML External Browser] チェックボックス

ASDM 7.8(2.151) の新機能

リリース:2017年10月12日

機能

説明

ファイアウォール機能

Ethertype アクセス コントロール リストの変更

EtherType アクセス コントロール リストは、Ethernet II IPX(EII IPX)をサポートするようになりました。さらに、DSAP キーワードに新しいキーワードが追加され、共通 DSAP 値(BPDU(0x42)、IPX(0xE0)、Raw IPX(0xFF)、および ISIS(0xFE))をサポートします。その結果、BPDU または ISIS キーワードを使用する既存の EtherType アクセス コントロール エントリは自動的に DSAP 仕様を使用するように変換され、IPX のルールは 3 つのルール(DSAP IPX、DSAP Raw IPX、および EII IPX)に変換されます。さらに、IPX を EtherType 値として使用するパケット キャプチャは廃止されました。これは、IPX が 3 つの個別の EtherType に対応するためです。

この機能は、9.8(2.9) およびその他の暫定リリースでサポートされています。詳細については、CSCvf57908 を参照してください。

次のコマンドが変更されました:access-list ethertype キーワード eii-ipx および dsap {bpdu | ipx | isis | raw-ipx } が追加されました。capture ethernet-type ipx キーワードはサポートされなくなりました。

次の画面が変更されました:[Configuration] > [Firewall] > [Ethertype Rules].

ASA 9.8(2)/ASDM 7.8(2) の新機能

リリース:2017年8月28日

機能

説明

プラットフォーム機能

FirePOWER 2100 シリーズ用の ASA

FirePOWER 2110、2120、2130、2140 用の ASA を導入しました。FirePOWER 4100 および 9300 と同様に、FirePOWER 2100 は基盤の FXOS オペレーティング システムを実行してから、ASA オペレーティング システムをアプリケーションとして実行します。FirePOWER 2100 実装では、FirePOWER 4100 および 9300 よりも緊密に FXOS を ASA と連携させます(軽量な FXOS 機能、単一デバイス イメージ バンドル、ASA および FXOS の両方に対する簡単な管理アクセス)。

FXOS には、EtherChannel の作成、NTP サービス、ハードウェアのモニタリング、およびその他の基本機能を含む、インターフェイスの構成ハードウェア設定があります。この構成では、Firepower Chassis Manager または FXOS CLI を使用できます。ASA には、(FirePOWER 4100 および 9300 とは異なり)スマート ライセンスを含む、その他すべての機能があります。ASA および FXOS はそれぞれ、管理 1/1 インターフェイスでの独自の IP アドレスを持っています。ユーザは、任意のデータ インターフェイスから ASA および FXOS インスタンス両方の管理を設定できます。

次のコマンドが導入されました:connect fxos、fxos https、fxos snmp、fxos ssh、ip-client

次の画面が導入されました。

[Configuration] > [Device Management] > [Management Access] > [FXOS Remote Management]

国防総省(DoD)統合機能認定製品リスト

ASA は、統合機能認定製品リスト(UC APL)の要件に準拠するように更新されました。このリリースでは、fips enable コマンドを入力すると、ASA がリロードされます。フェールオーバーを有効にする前に、両方のフェールオーバー ピアが同じ FIPS モードになっている必要があります。

fips enable コマンドが変更されました。

Amazon Web Services M4 インスタンスの ASAv サポート

ASAv を M4 インスタンスとして展開できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ASAv5 1.5 GB RAM 機能

バージョン 9.7(1) 以降、ASAv5 では、AnyConnect の有効化やファイルの ASAv へのダウンロードなどの特定の機能が失敗した場合に、メモリが枯渇することがあります。1.5 GB の RAM を ASAv5 に割り当てられるようになりました(1 GB から増加しました)。

変更されたコマンドはありません。

変更された画面はありません。

VPN 機能

HTTP Strict Transport Security(HSTS)ヘッダーのサポート

HSTS は、クライアントレス SSL VPN でのプロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護します。これにより Web サーバは、Web ブラウザ(またはその他の準拠しているユーザ エージェント)が Web サーバと通信するにはセキュア HTTPS 接続を使用する必要があり、非セキュアな HTTP プロトコルを使用して通信することはできないことを宣言できます。HSTS は IETF 標準化過程プロトコルであり、RFC 6797 で指定されます。

次のコマンドが導入されました。hsts enable, hsts max-age age_in_seconds

次の画面が変更されました:[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Proxies]

インターフェイス機能

ASAv50 の VLAN サポート

ASAv50 では、SR-IOV インターフェイスの ixgbe-vf vNIC で VLAN がサポートされるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

ASA 9.8(1.200) の新機能

リリース:2017年7月30日


(注)  

このリリースは、Microsoft Azure の ASAv でのみサポートされます。これらの機能は、バージョン 9.8(2) ではサポートされていません。


機能

説明

ハイ アベイラビリティとスケーラビリティの各機能

Microsoft Azure での ASAv のアクティブ/バックアップの高可用性

アクティブな ASAv の障害が Microsoft Azure パブリック クラウドのバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューション。

次のコマンドが導入されました:failover cloud

ASDM サポートはありません。

ASDM 7.8(1.150) の新機能

リリース:2017年6月20日

このリリースに新機能はありません。

ASA 9.8(1)/ASDM 7.8(1) の新機能

リリース:2017年5月15日

機能

説明

プラットフォーム機能

ASAv50 プラットフォーム

ASAv 仮想プラットフォームに、10 Gbps のファイアウォール スループット レベルを提供するハイエンド パフォーマンス ASAv50 プラットフォームが追加されました。ASAv50 には ixgbe-vf vNIC が必要です。これは VMware および KVM でのみサポートされます。

ASAv プラットフォームの SR-IOV

ASAv 仮想プラットフォームでは、Single Root I/O Virtualization(SR-IOV)インターフェイスがサポートされます。これにより、複数の VM でホスト内の 1 つの PCIe ネットワーク アダプタを共有できるようになります。ASAv SR-IOV サポートは、VMware、KVM、および AWS でのみ使用可能です。

ASAv での自動 ASP ロード バランシングのサポート

以前は、ASP ロード バランシングの有効化と無効化は手動で設定する必要がありました。

次のコマンドを変更しました。asp load-balance per-packet-auto

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]。

ファイアウォール機能

TLS プロキシ サーバの SSL 暗号スイートの設定サポート

ASA が TLS プロキシ サーバとして動作している場合は、SSL 暗号スイートを設定できるようになりました。以前は、[Configuration] > [Device Management] > [Advanced] > [SSL Settings] > [Encryption] ページで ssl cipher コマンドを使用した ASA のグローバル設定のみが可能でした。

次のコマンドが導入されました。 server cipher-suite

次の画面が変更されました。[Configuration] > [Firewall] > [Unified Communications] > [TLS Proxy]、[Add/Edit] ダイアログボックス、[Server Configuration] ページ。

ICMP エラーのグローバル タイムアウト

ASA が ICMP エコー応答パケットを受信してから ICMP 接続を削除するまでのアイドル時間を設定できるようになりました。このタイムアウトが無効(デフォルト)で、ICMP インスペクションが有効に設定されている場合、ASA はエコー応答を受信するとすぐに ICMP 接続を削除します。したがって、終了しているその接続に対して生成されたすべての ICMP エラーは破棄されます。このタイムアウトは ICMP 接続の削除を遅らせるので、重要な ICMP エラーを受信することが可能になります。

次のコマンドが追加されました。 timeout icmp-error

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

ハイ アベイラビリティとスケーラビリティの各機能

改善されたクラスタ ユニットのヘルス チェック障害検出

ユニットのヘルス チェック保留時間を以前より低く(下限:0.3 秒)設定できるようになりました。以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。例えば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。

次のコマンドを変更しました。health-check holdtime、show asp drop cluster counter、show cluster info health details

次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ

ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。

新規または変更されたコマンド:health-check monitor-interface debounce-time

新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

VPN 機能

VTI での IKEv2、証明書ベース認証、および ACL のサポート

仮想トンネル インターフェイス(VTI)は、BGP(静的 VTI)をサポートするようになりました。スタンドアロン モードとハイ アベイラビリティ モードで、IKEv2 を使用できます。IPsec プロファイルにトラストポイントを設定することにより、証明書ベースの認証を使用できます。また、入力トラフィックをフィルタリングする access-group コマンドを使用して、VTI 上でアクセス リストを適用することもできます。

IPsec プロファイルのコンフィギュレーション モードに次のコマンドが導入されました。set trustpoint

次の画面で、証明書ベース認証のトラストポイントを選択するオプションが導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add]

モバイル IKEv2(MobIKE)はデフォルトで有効になっています

リモート アクセス クライアントとして動作するモバイル デバイスは、移動中にトランスペアレント IP アドレスを変更する必要があります。ASA で MobIKE をサポートすることにより、現在の SA を削除せずに現在の IKE セキュリティ アソシエーション(SA)を更新することが可能になります。MobIKE は [always on] に設定されます。

次のコマンドが導入されました。ikev2 mobike-rrc。リターン ルータビリティのチェックを有効または無効にするために使用されます。

SAML 2.0 SSO の更新

SAML 要求におけるシグネチャのデフォルト署名メソッドが SHA1 から SHA2 に変更され、ユーザが rsa-sha1、rsa-sha256、rsa-sha384、rsa-sha512 の中から署名メソッドを選択して設定できるようになりました。

webvpn モードでの saml idp signature コマンドが変更されました。このコマンドには value を設定できます。デフォルトは [disabled] のままです。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add]

tunnelgroup webvpn-attributes の変更 pre-fill-username および secondary-pre-fill-username の値が clientless から client に変更されました。

webvpn モードでの pre-fill-username および secondary-pre-fill-username コマンドが変更されました。これらのコマンドには client 値を設定できます。

AAA 機能

ログイン履歴

デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。1 つ以上の管理メソッド(SSH、ASDM、Telnet など)でローカル AAA 認証を有効にしている場合、この機能はローカル データベースのユーザ名にのみ適用されます。

次のコマンドが導入されました。aaa authentication login-history、show aaa login-history

次の画面が導入されました。[Configuration] > [Device Management] > [Users/AAA] > [Login History]

パスワードの再利用およびユーザ名と一致するパスワードの使用を防止するパスワード ポリシーの適用

最大で 7 つ前のパスワードまで、再利用を禁止できるようになりました。また、ユーザ名と一致するパスワードの使用を禁止することもできます。

次のコマンドが導入されました。password-history、password-policy reuse-interval、password-policy username-check

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [Password Policy]

SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザ データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバ タイプ (aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.6(3) でも同様です。

モニタリング機能とトラブルシューティング機能

ASA クラッシュ発生時に実行中のパケット キャプチャの保存

以前は、ASA がクラッシュするとアクティブなパケット キャプチャは失われました。現在は、クラッシュが発生すると、パケット キャプチャは disk 0 に以下のファイル名で保存されます。[context_name.]capture_name.pcap

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.7 の新機能

ASDM 7.7(1.151) の新機能

リリース:2017年4月28日


(注)  

ASDM 7.7(1.150) は、バグ CSCvd90344 に基づき Cisco.com から削除されました。


機能

説明

管理機能

ASDM アップグレード ツールの新しいバックグラウンド サービス

ASDM は、[Tools] > [Check for ASA/ASDM Upgrades] の新しいバックグラウンド サービスです。Cisco は、前のバージョンの ASDM で使用されていた古いサービスを将来廃止する予定です。

ASA 9.7(1.4)/ASDM 7.7(1) の新機能

リリース:2017年4月4日


(注)  

バージョン 9.7(1) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

プラットフォーム機能

Integrated Routing and Bridging(IRB; 統合ルーティングおよびブリッジング)を使用した ASA 5506-X シリーズ用の新しいデフォルト設定

新しいデフォルト設定が ASA 5506-X シリーズに使用されます。統合ブリッジングおよびルーティング機能は、外部レイヤ 2 スイッチの使用に代わる手段を提供します。ハードウェア スイッチを含む ASA 5505 を交換するユーザの場合、この機能を使用することにより、追加のハードウェア使用せずに ASA 5505 を ASA 5506-X やその他の ASA モデルに置き換えることができます。

新しいデフォルト設定には次の内容が含まれます。

  • GigabitEthernet 1/1、DHCP からの IP アドレスの外部インターフェイス

  • GigabitEthernet ½(inside1)から 1/8(inside7)、IP アドレス 192.168.1.1 が指定された内部ブリッジグループ BVI 1

  • 内部 --> 外部へのトラフィック フロー

  • 内部 --> メンバー インターフェイス用内部トラフィック フロー

  • (ASA 5506W-X)GigabitEthernet 1/9、IP アドレス 192.168.10.1 の Wi-Fi インターフェイス

  • (ASA 5506W-X) WiFi<--> 内部のトラフィック フロー、WiFi --> 外部へのトラフィック フロー

  • 内部および Wi-Fi 上のクライアントに対する DHCP。アクセス ポイント自体とそのすべてのクライアントが ASA を DHCP サーバとして使用します。

  • 管理 1/1 インターフェイスが稼働しているが、そうでない場合は未設定。ASA FirePOWER モジュールは、このインターフェイスを使用して ASA 内部ネットワークに接続し、内部インターフェイスをインターネットへのゲートウェイとして使用できます。

  • ASDM アクセス:内部ホストと Wi-Fi ホストが許可されます。

  • NAT:内部、Wi-Fi、および管理から外部へのすべてのトラフィック用のインターフェイス PAT。

アップグレードする場合、configure factory-default コマンドを使用して設定を消去しデフォルトを適用するか、必要に応じて BVI とブリッジ グループのメンバーを手動で設定することができます。内部ブリッジ グループの通信を簡単に許可するには、same-security-traffic permit inter-interface コマンドを有効にする必要があります(このコマンドは、ASA 5506W-X のデフォルト設定にすでに存在します)。

ISA 3000 でのアラーム ポートのサポート

ISA 3000 は、2 つのアラーム入力インターフェイスと 1 つのアラーム出力インターフェイスをサポートします。ドア センサーなどの外部センサーは、アラーム入力に接続できます。ブザーなどの外部デバイスは、アラーム出力インターフェイスに接続できます。トリガーされたアラームは、2 つの LED、syslog、SNMP トラップを経由し、アラーム出力インターフェイスに接続されたデバイスを介して伝えられます。ユーザは、外部アラームの説明を設定できます。また、外部アラームと内部アラームの重大度とトリガーも指定できます。すべてのアラームは、リレー、モニタリング、およびロギングに設定できます。

次のコマンドが導入されました。alarm contact description、alarm contact severity、alarm contact trigger、alarm facility input-alarm、alarm facility power-supply rps、alarm facility temperature、alarm facility temperature high、alarm facility temperature low、clear configure alarm、clear facility-alarm output、show alarm settings、show environment alarm-contact

次の画面が導入されました。

[Configuration] > [Device Management] > [Alarm Port] > [Alarm Contact]

[Configuration] > [Device Management] > [Alarm Port] > [Redundant Power Supply]

[Configuration] > [Device Management] > [Alarm Port] > [Temperature]

[Monitoring] > [Properties] > [Alarm] > [Alarm Settings]

[Monitoring] > [Properties] > [Alarm] > [Alarm Contact]

[Monitoring] > [Properties] > [Alarm] > [Facility Alarm Status]

ASAv10 での Microsoft Azure Security Center のサポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。Microsoft Azure Security Center は、非常にセキュアなパブリック クラウド インフラストラクチャの導入を簡素化する、Azure 上の Microsoft オーケストレーションおよび管理レイヤです。ASAv を Azure Security Center に統合することにより、Azure 環境を保護するファイアウォール オプションとして ASAv を提供できます。

ISA 3000 用の Precision Time Protocol(PTP)

ISA 3000 は PTP(ネットワークに分散したノードの時刻同期プロトコル)をサポートします。PTP は、そのハードウェア タイムスタンプ機能により、NTP などの他の時刻同期プロトコルより高い精度を実現します。ISA 3000 は、ワンステップのエンドツーエンド トランスペアレント クロックに加えて、PTP 転送モードもサポートします。インスペクションのために PTP トラフィックが ASA FirePOWER モジュールに送信されることのないようにするため、デフォルト設定に次のコマンドが追加されました。既存の導入がある場合は、次のコマンドを手動で追加する必要があります。


object-group service bypass_sfr_inspect
  service-object udp destination range 319 320
access-list sfrAccessList extended deny object-group bypass_sfr_inspect any any

次のコマンドが導入されました。 debug ptp、ptp domain、ptp mode e2etransparent、ptp enable、show ptp clock、show ptp internal-info、show ptp port

次の画面が導入されました。

[Configuration] > [Device Management] > [PTP]

[Monitoring] > [Properties] > [PTP]

ISA 3000 の自動バックアップと復元

バックアップ コマンドと復元コマンドのプリセット パラメータを使用して、自動バックアップ機能や自動復元機能を有効にできます。これらの機能は、外部メディアからの初期設定、デバイス交換、作動可能状態へのロールバックなどで使用されます。

次のコマンドが導入されました。backup-package location、backup-package auto、show backup-package status、show backup-package summary

ASDM サポートはありません。

ファイアウォール機能

SCTP マルチストリーミングの並べ替えとリアセンブル、およびフラグメンテーションのサポート。SCTP エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングのサポート。

このシステムは、SCTP マルチストリーミングの並べ替え、リアセンブル、およびフラグメンテーションを完全にサポートしており、これにより SCTP トラフィックに対する Diameter および M3UA インスペクションの有効性が改善されています。このシステムは、各エンドポイントに複数の IP アドレスが設定された SCTP マルチホーミングもサポートしています。マルチホーミングでは、セカンデリ アドレスに必要なピンホールをシステムが開くので、セカンデリ アドレスを許可するためのアクセス ルールをユーザが設定する必要はありません。SCTP エンドポイントは、それぞれ 3 つの IP アドレスに制限する必要があります。

次のコマンドの出力が変更されました。show sctp detail

変更された画面はありません。

M3UA インスペクションの改善。

M3UA インスペクションは、ステートフル フェールオーバー、半分散クラスタリング、およびマルチホーミングをサポートするようになりました。また、アプリケーション サーバ プロセス(ASP)の状態の厳密な検証や、さまざまなメッセージの検証も設定できます。ASP 状態の厳密な検証は、ステートフル フェールオーバーとクラスタリングに必要です。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua session [assocID id] match port sctp message-tag-validation show service-policy inspect m3ua drop show service-policy inspect m3ua endpoint show service-policy inspect m3ua session show service-policy inspect m3ua table strict-asp-state timeout session

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA] [Add/Edit] ダイアログボックス。

TLS プロキシでの TLSv1.2、および Cisco Unified Communications Manager 10.5.2 のサポート。

暗号化 SIP 用の TLS プロキシでの TLSv1.2、または Cisco Unified Communications Manager 10.5.2 での SCCP インスペクションを使用できるようになりました。TLS プロキシは、client cipher-suite コマンドの一部として追加された TLSv1.2 暗号スイートをサポートします。

次のコマンドが変更されました。 client cipher-suite

変更された画面はありません。

Integrated Routing and Bridging(IRB)

Integrated Routing and Bridging(IRB)は、ブリッジグループとルーテッド インターフェイス間のルーティング機能を提供します。ブリッジグループとは、ASA がルートの代わりにブリッジするインターフェイスのグループのことです。ASA は、ASA がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジグループは、ブリッジ仮想インターフェイス(BVI)を使用してそのブリッジグループのゲートウェイとして機能することにより、ルーティングに参加します。そのブリッジグループに指定する ASA 上に別のインターフェイスが存在する場合、Integrated Routing and Bridging(IRB)は外部レイヤ 2 スイッチの使用に代わる手段を提供します。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。

トランスペアレント モードでサポートされるマルチ コンテキスト モードや ASA クラスタリングの各機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。

次のコマンドが変更されました。access-group、access-list ethertype、arp-inspection、dhcpd、mac-address-table static、mac-address-table aging-time、mac-learn、route、show arp-inspection、show bridge-group、show mac-address-table、show mac-learn

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Routing] > [Static Routes]

[Configuration] > [Device Management] > [DHCP] > [DHCP Server]

[Configuration] > [Firewall] > [Access Rules]

[Configuration] > [Firewall] > [EtherType Rules]

VM 属性

ネットワーク オブジェクトを定義することにより、VMware vCenter で管理している VMware ESXi 環境の 1 つ以上の仮想マシン(VM)に関連付けられている属性に従ってトラフィックをフィルタリングできます。アクセス コントロール リスト(ACL)を定義して、1 つ以上の属性を共有する VM のグループからのトラフィックにポリシーを指定することができます。

show attribute コマンドが追加されました。

次の画面が追加されました。

[Configuration] > [Firewall] > [VM Atttribute Agent]

内部ゲートウェイ プロトコルの古いルートのタイムアウト

OSPF などの内部ゲートウェイ プロトコルの古いルートを削除するのに必要なタイムアウトを設定できるようになりました。

timeout igp stale-route コマンドが追加されました。

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts] の画面が変更されました。

オブジェクト グループ検索に関するネットワーク オブジェクトの制限。

object-group-search access-control コマンドを使用してオブジェクト グループ検索を有効にすることで、アクセス ルールの検索に必要なメモリを抑えることができます。オブジェクト グループ検索を有効にした場合、ネットワーク オブジェクトまたはサービス オブジェクトは拡張されませんが、それらのグループの定義に基づいて一致するアクセス ルールが検索されます。

このリリース以降、以下の制限が適用されます。接続ごとに、送信元と宛先の両方の IP アドレスがネットワーク オブジェクトと照合されます。発信元アドレスに一致するオブジェクトの数が、宛先アドレスと一致する数の 1 万倍を超えると接続が切断されます。

このチェックは、パフォーマンスの低下を防止します。一致件数が膨大になることを防ぐためにルールを設定します。

ルーティング機能

31 ビット サブネットマスク

ルーテッド インターフェイスの場合、ポイントツーポイント接続用に 31 ビット サブネットの IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの ASA 間のフェールオーバー リンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジ グループやマルチキャスト ルーティング用の BVI ではサポートされていません。

次のコマンドが変更されました。ip address、http、logging host、snmp-server host、ssh

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ハイ アベイラビリティとスケーラビリティの各機能

Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善

ASA クラスタを展開する際に、それぞれの Firepower 4100/9300 シャーシにサイト ID を設定できるようになりました。以前は、ASA アプリケーション内でサイト ID を設定する必要がありました。この新機能により初期展開が簡単になります。ASA 構成内でサイト ID を設定することはできないことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、ASA 9.7(1) および FXOS 2.1.1 へのアップグレードをお勧めします。このアップグレードでは、いくつかの点で安定性とパフォーマンスが改善されています。

次のコマンドが変更されました。site-id

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

ディレクタ ローカリゼーション:データセンターのサイト間クラスタリングの改善

パフォーマンスの向上と、データセンターのサイト間クラスタリングでトラフィックをサイト内に保持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。

次のコマンドが導入または変更されました。director-localization、show asp table cluster chash、show conn、show conn detail

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

高速検出の設定が可能な、フェールオーバーのポーリングをモニタリングするインターフェイス リンク ステート

デフォルトで、フェールオーバー ペア内の各 ASA は、500 ミリ秒ごとにインターフェイスのリンク ステートを確認します。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。

次のコマンドが導入されました。failover polltime link-state

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria]

Firepower 9300 および 4100 のアクティブ/スタンバイ フェールオーバー ヘルス モニタリングのための Bidirectional Forwarding Detection(BFD)のサポート

Firepower 9300 および 4100 で、アクティブとスタンバイのペアの 2 ユニット間のフェールオーバー ヘルス チェックを行うために、Bidirectional Forwarding Detection(BFD)を有効にできます。ヘルス チェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。

次のコマンドが導入されました。failover health-check bfd

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

VPN 機能

IKEv2 静的暗号マップ用ダイナミック RRI

crypto map dynamic が指定されている場合、IPSec セキュリティ アソシエーション(SA)の確立に成功すると、ダイナミック リバース ルート インジェクションが発生します。ルートは、ネゴシエートされたセレクタの情報に基づいて追加されます。IPsec SA's が削除されると、このルートは削除されます。ダイナミック RRI は、IKEv2 ベースの静的暗号マップでのみサポートされます。

次のコマンドが変更されました。crypto map set reverse-route

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps] > [Add/Edit] > [Tunnel Policy (Crypto Maps) - Advanced]

ASA VPN モジュールの仮想トンネル インターフェイス(VTI)のサポート

ASA VPN モジュールが、仮想トンネル インターフェイス(VTI)と呼ばれる新しい論理インターフェイスによって強化されており、ピアへの VPN トンネルを表すために使用されます。これは、トンネルの各終端に接続されている IPsec プロファイルを利用したルート ベースの VPN をサポートします。VTI を使用することにより、静的暗号マップのアクセス リストを設定してインターフェイスにマッピングすることが不要になります。

次のコマンドが導入されました。crypto ipsec profile、interface tunnel、responder-only、set ikev1 transform-set、set pfs、set security-association lifetime、tunnel destination、tunnel mode ipsec、tunnel protection ipsec profile、tunnel source interface

次の画面が導入されました。

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile]

[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPsec Proposals (Transform Sets)] > [IPsec Profile] > [Add] > [Add IPsec Profile]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [General]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VTI Interface] > [Advanced]

AnyConnect 用 SAML 2.0 ベースの SSO

SAML 2.0 ベースのサービス プロバイダー IdP が、プライベート ネットワークでサポートされます。ユーザとサービス間のゲートウェイとして ASA を使用すると、IdP の認証は制限付きの名前非表示 webvpn セッションで処理され、IdP とユーザ間のすべてのトラフィックは変換されます。

次のコマンドが追加されました。saml idp

次のコマンドが変更されました。debug webvpn saml、show saml metadata

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Single Sign On Servers] > [Add SSO Server].

CMPv2

ワイヤレス LTE ネットワークのセキュリティ ゲートウェイ デバイスとして配置できるように、ASA が証明書の管理プロトコル(CMPv2)を使用した特定の管理機能をサポートするようになりました。

次のコマンドが変更されました。enrollment url、keypair、auto-update、crypto-ca-trustpoint、show crypto ca server certificates、show crypto key、show tech-support

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Identity Certificates] > [Add an Identity Certificate]

マルチ証明書認証

AnyConnect SSL クライアント プロトコルと IKEv2 クライアント プロトコルを使用して、セッションごとに複数の認証を検証できるようになりました。マルチ証明書認証のプロトコル交換を定義し、これを両方のセッション タイプで利用できるように、集約認証プロトコルが拡張されました。

次のコマンドが変更されました。authentication {[aaa] [certificate | multiple-certificate] | saml}

次の画面が変更されました。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Edit AnyConnect Connection Profile]

[Configuration] > [Remote Access VPN] > [Network Client Access] > [AnyConnect Connection Profiles] > [Edit AnyConnect Connection Profiles]

スプリット トンネリング ルーティングの制限の引き上げ

AC-SSL および AC-IKEv2 のスプリット トンネリング ルートの制限は、200 から 1200 に引き上げられました。IKEv1 の制限は 200 で変わりません。

Chrome のスマート トンネル サポート

Mac デバイスや Windows デバイスの Chrome ブラウザでスマート トンネルをサポートするための新しいメソッドが作成されました。Chrome Smart Tunnel Extension は、Netscape プラグイン アプリケーション プログラム インターフェイス(NPAPI)に代わるものです。NPAPI は、Chrome ではサポートされなくなりました。この拡張プログラムをインストールしていない Chrome でスマート トンネルに対応したブックマークをクリックすると、ユーザは拡張プログラムを取得できるように Chrome ウェブストアにリダイレクトされます。Chrome を新規インストールする場合、ユーザは拡張プログラムを取得できるように Chrome ウェブストアに移動されます。この拡張プログラムは、スマート トンネルの実行に必要なバイナリを ASA からダウンロードします。通常のブックマーク、およびスマート トンネルを使用する際のアプリケーション設定は、この新しい拡張プログラムのインストール プロセス以外は変更されません。

クライアントレス SSL VPN:すべての Web インターフェイスのセッション情報

すべての Web インターフェイスが、ログインに使用されたユーザ名などの現在のセッションの詳細と、現在割り当てられているユーザ権限を表示するようになりました。これは、ユーザが現在のユーザ セッションを知るのに役立ち、ユーザ セキュリティの向上につながります。

クライアントレス SSL VPN:Web アプリケーション セッションのクッキーすべての検証

すべての Web アプリケーションは、セキュリティ関連のクッキーすべてを検証してはじめて、アクセス権を付与するようになります。要求があるごとに、認証トークンまたはセッション ID を持つ各クッキーが検証され、その後にユーザ セッションへのアクセスが付与されます。同じ要求に複数のセッション Cookie が含まれている場合、その接続は破棄されます。検証に失敗したクッキーは無効なクッキーとして扱われ、そのイベントは監査ログに追加されます。

AnyConnect:最大接続時間アラート間隔が、AnyConnect VPN Client の接続に関するグループ ポリシーでサポートされるようになりました。

このアラート間隔は、最大接続時間に達する前に、終了を警告するメッセージをユーザに表示する間隔を指定します。有効な時間間隔は 1 ~ 30 分です。デフォルトは 30 分です。以前は、クライアントレス接続とサイト間 VPN 接続でサポートされていました。

次のコマンドは AnyConnect 接続に使用できるようになりました。 vpn-session-timeout alert-interval

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [General] > [More Options]。[Maximum Connect Time Alert Interval] フィールドが追加されました。

AAA 機能

AAA 用 LDAP サーバおよび TACACS+ サーバの IPv6 アドレスのサポート

AAA に使用する LDAP サーバおよび TACACS+ サーバで IPv4 アドレスか IPv6 アドレスのいずれかを使用できるようになりました。

次のコマンドが変更されました。aaa-server host、test aaa-server

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] > [Add AAA Server Group]

管理機能

すべてのローカル username および enable パスワードに対する PBKDF2 ハッシュ

長さ制限内のすべてのローカル username および enable パスワードは、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。以前は、32 文字以下のパスワードが MD5 ベースのハッシュ メソッドを使用していました。既存のパスワードでは、ユーザが新しいパスワードを入力しない限り、MD5 ベースのハッシュが引き続き使用されます。ダウングレードのガイドラインについては、『General Operations Configuration Guide』の「Software and Configurations」の章を参照してください。

次のコマンドが変更されました。enable password、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

ライセンシング機能

Firepower 4100/9300 シャーシ 上のフェールオーバー ペアのライセンス変更

アクティブなユニットのみがライセンスの権限付与を要求します。以前は、両方のユニットがライセンスの権限付与を要求していました。FXOS 2.1.1 でサポートされます。

モニタリング機能とトラブルシューティング機能

トレースルート用の IPv6 アドレスのサポート

traceroute コマンドが変更され、IPv6 アドレスも受け入れられるようになりました。

次のコマンドが変更されました。traceroute

次の画面が変更されました。[Tools] > [Traceroute]

ブリッジ グループ メンバー インターフェイス用のパケット トレーサのサポート

ブリッジ グループ メンバー インターフェイスにパケット トレーサを使用できるようになりました。

packet-tracer コマンドに次の 2 つのオプションが追加されました。vlan-id および dmac

パケット トレーサの画面に [VLAN ID] および [Destination MAC Address] フィールドが追加されました。[Tools] > [Packet Tracer]

syslog サーバの IPv6 アドレスのサポート

syslog サーバに IPv6 アドレスを設定して、TCP や UDP 経由で syslog を記録または送信できるようになりました。

次のコマンドが変更されました。logging host、show running config、show logging

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add Syslog Server]

SNMP の MIB および OID

ASA は、ISA 3000 の Precision Time Protocol(PTP)の一部として、エンドツーエンド トランスペアレント クロック モードに対応する SNMP MIB オブジェクトをサポートするようになりました。次の SNMP MIB オブジェクトがサポートされます。

  • ciscoPtpMIBSystemInfo

  • cPtpClockDefaultDSTable

  • cPtpClockTransDefaultDSTable

  • cPtpClockPortTransDSTable

手動によるパケット キャプチャの停止と開始

キャプチャを手動で停止および開始できるようになりました。

追加/変更されたコマンド: capture stop

追加/変更された画面:[Wizards] > [Packet Capture Wizard] > [Run Captures]

追加/変更されたオプション:[Start] ボタン、[Stop] ボタン

バージョン 9.6 の新機能

ASA 9.6(4)/ASDM 7.9(1) の新機能

リリース:2017年12月13日

このリリースに新機能はありません。

ASA 9.6(3.1)/ASDM 7.7(1) の新機能

リリース:2017年4月3日


(注)  

バージョン 9.6(3) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

AAA 機能

SSH 公開キー認証を使用するユーザの認証とパスワードを使用するユーザの認証を区別します。

9.6(2) より前のリリースでは、ローカル ユーザ データベース(ssh authentication )を使用して AAA SSH 認証を明示的に有効にしなくても、SSH 公開キー認証(aaa authentication ssh console LOCAL )を有効にすることができました。9.6(2) では、ASA で AAA SSH 認証を明示的に有効にする必要がありました。このリリースでは、AAA SSH 認証を明示的に有効にする必要はありません。ユーザに対して ssh authentication コマンドを設定すると、このタイプの認証を使用するユーザのローカル認証がデフォルトで有効になります。さらに、明示的に AAA SSH 認証を設定すると、この設定はパスワード付きのユーザ名にのみ適用されます。また、任意の AAA サーバ タイプ(aaa authentication ssh console radius_1 など)を使用できます。たとえば、一部のユーザはローカル データベースを使用して公開キー認証を使用し、他のユーザは RADIUS でパスワードを使用できます。

変更されたコマンドはありません。

変更された画面はありません。

バージョン 9.8(1) でも同様です。

ASDM 7.6(2.150) の新機能

リリース:2016年10月12日

このリリースに新機能はありません。

ASA 9.6(2)/ASDM 7.6(2) の新機能

リリース:2016年8月24日

機能

説明

プラットフォーム機能

Firepower 4150 用の ASA を導入しました。

Firepower 4150 用の ASA を導入しました。

FXOS 2.0.1 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ASAv のホット プラグ インターフェイス

システムがアクティブの状態で、ASAv の Virtio 仮想インターフェイスを追加または削除できます。ASAv に新しいインターフェイスを追加すると、仮想マシンがインターフェイスを検出し、プロビジョニングが行われます。既存のインターフェイスを削除すると、仮想マシンはインターフェイスに関連付けられているリソースを解放します。ホット プラグ インターフェイスはカーネルベース仮想マシン(KVM)のハイパーバイザ上にある Virtio 仮想インターフェイスに制限されます。

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASAv は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンス タイプをサポートします。

バージョン 9.5(2.200) でも同様です。

ASAv の管理 0/0 インターフェイスでの通過トラフィック サポート

ASAv の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASAv のみで通過トラフィックをサポートしていました。今後は、すべての ASAv で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。

次のコマンドが変更されました。 management-only

コモン クライテリア証明書

ASA は、コモン クライテリアの要件に適合するように更新されました。この証明書に追加された次の機能については、この表の行を参照してください。

  • ASDM での ASA SSL サーバ モード マッチング

  • SSL クライアントの RFC 6125 サポート:

    • セキュアな syslog サーバの接続とスマート ライセンシング接続のための参照 ID

    • ASA クライアントによるサーバ証明書の拡張キーの使用状況確認

    • ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

  • PKI デバッグ メッセージ

  • 暗号キー抹消検査

  • IKEv2 の IPsec/ESP トランスポート モードのサポート

  • 追加された syslog メッセージ

ファイアウォール機能

TCP 経由での DNS インスペクション

DNS over TCP トラフィック(TCP/53)を検査できるようになりました。

次のコマンドが追加されました。 tcp-inspection

次のページが変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [DNS] > [Add/Edit] ダイアログボックス

MTP3 User Adaptation(M3UA)インスペクション

M3UA トラフィックを検査できるようになりました。また、ポイント コード、サービス インジケータ、およびメッセージのクラスとタイプに基づいてアクションを適用できるようになりました。

次のコマンドが追加または変更されました。clear service-policy inspect m3ua {drops | endpoint [IP_address]} inspect m3ua match dpc match opc match service-indicator policy-map type inspect m3ua show asp table classify domain inspect-m3ua show conn detail show service-policy inspect m3ua {drops | endpoint IP_address} ss7 variant timeout endpoint

次のページが追加または変更されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [M3UA]、サービス ポリシー ルールの場合は [Rule Action] > [Protocol Inspection] タブ

Session Traversal Utilities for NAT(STUN)インスペクション

Cisco Spark を含む WebRTC アプリケーションの STUN トラフィックを検査できるようになりました。インスペクションでは、リターン トラフィックに必要なピンホールが開きます。

次のコマンドが追加または変更されました。inspect stun show conn detail show service-policy inspect stun

次のタブにオプションが追加されました。[Add/Edit Service Policy] ダイアログボックスの [Rule Actions] > [Protocol Inspection]

Cisco クラウド Web セキュリティのアプリケーション層健全性チェック

サーバが正常かどうかを判断する際に、クラウド Web セキュリティ アプリケーションの健全性をチェックするように Cisco クラウド Web セキュリティを設定できるようになりました。アプリケーションの健全性を確認することで、プライマリ サーバが TCP スリーウェイ ハンドシェイクに応答する場合に、システムはバックアップ サーバにフェールオーバーできますが、要求を処理することはできません。これにより、より信頼性の高いシステムを実現します。

次のコマンドが追加されました。health-check application url health-check application timeout

次の画面が変更されました。[Configuration] > [Device Management] > [Cloud Web Security]

ルートの収束に対する接続ホールドダウン タイムアウト

接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。

次のコマンドが追加されました。 timeout conn-holddown

次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

バージョン 9.4(3) でも同様です。

TCP オプション処理の変更

TCP マップを設定する際にパケットの TCP ヘッダー内の TCP MSS および MD5 オプションに対するアクションを指定できるようになりました。さらに、MSS、タイムスタンプ、ウィンドウ サイズ、および選択的確認応答オプションのデフォルトの処理が変更されました。以前は、これらのオプションは、ヘッダーに特定のタイプのオプションが 2 つ以上ある場合でも許可されていました。現在は、パケットに特定のタイプのオプションが 2 つ以上含まれている場合、そのパケットはデフォルトでドロップされます。たとえば、以前は 2 つのタイムスタンプ オプションがあるパケットは許可されていましたが、現在はドロップされます。

MD5、MSS、選択的確認応答、タイムスタンプ、およびウィンドウ サイズに対し、同じタイプの複数のオプションを有効にするための TCP マップを設定できます。MD5 オプションの場合、以前のデフォルトではオプションがクリアされたのに対し、現在のデフォルトでは許可されます。また、MD5 オプションを含むパケットをドロップすることもできます。MSS オプションの場合は、TCP マップで最大セグメント サイズを設定できます(トラフィック クラスごとに)。他のすべての TCP オプションのデフォルトに変更はありません。これらはクリアされます。

次のコマンドが変更されました。 tcp-options

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [TCP Maps] > [Add/Edit] ダイアログボックス

トランスペアレント モードで、ブリッジ グループごとのインターフェイス数が最大で 64 に増加

ブリッジ グループあたりのインターフェイスの最大数が 4 から 64 に拡張されました。

変更されたコマンドはありません。

変更された画面はありません。

トランスペアレント モードでのマルチキャスト接続のフロー オフロードのサポート

トランスペアレント モードの Firepower 4100 および 9300 シリーズ デバイスで、NIC に直接切り替えられるマルチキャスト接続をオフロードできるようになりました。マルチキャスト オフロードは、インターフェイスを 2 つだけ含むブリッジ グループに使用できます。

この機能には、新規のコマンドまたは ASDM 画面はありません。

カスタマイズ可能な ARP レート制限

1 秒あたり許可される ARP パケットの最大数を設定できます。デフォルト値は ASA モデルによって異なります。この値は ARP ストーム攻撃を防ぐためにカスタマイズできます。

次のコマンドを追加しました。arp rate-limit、show arp rate-limit

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [ARP] > [ARP Static Table]

IEEE 802.2 論理リンク制御(LLC)パケットの Destination Service Access Point(DSAP)アドレスに対する Ethertype ルールのサポート

IEEE 802.2 論理リンク制御パケットの Destination Service Access Point(DSAP)アドレスに対して、Ethertype のアクセス制御ルールを記述できるようになりました。この追加により、bpdu キーワードが対象トラフィックに一致しなくなります。dsap 0x42 bpdu ルールを書き換えてください。

次のコマンドが変更されました。 access-list ethertype

次の画面が変更されました。[Configuration] > [Firewall] > [EtherType Rules].

リモート アクセス機能

マルチ コンテキスト モードの場合の証明書の事前入力/ユーザ名

AnyConnect SSL サポートが拡張され、これまでシングル モードでのみ使用可能だった証明書の事前入力とユーザ名取得機能の CLI がマルチコンテキストモードでも有効にできるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

リモート アクセス VPN のフラッシュ仮想化

マルチ コンテキスト モードのリモート アクセス VPN はフラッシュ仮想化をサポートします。使用可能な合計フラッシュに基づき、コンテキストごとにプライベート記憶域と共有ストレージの場所が設定できます。

  • プライベート記憶域:該当ユーザのみに関連付けられ、該当ユーザ対象コンテンツ固有のファイルを保存します。

  • 共有ストレージ:有効になると、この領域にファイルがアップロードされ、あらゆるユーザ コンテキストが読み取り/書き込みできるようこの領域へのアクセスが許可されます。

次のコマンドが導入されました。limit-resource storage、storage-url

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

[Configuration] > [Context Management] > [Security Contexts]

マルチ コンテキスト モードでの AnyConnect クライアント プロファイルのサポート

マルチ コンテキスト モードで AnyConnect クライアント プロファイルがサポートされました。ASDM を使用して新しいプロファイルを追加するには、AnyConnect セキュア モビリティ クライアント リリース 4.2.00748 または 4.3.03013 以降が必要です。

マルチ コンテキスト モードの AnyConnect 接続のステートフル フェールオーバー

マルチ コンテキスト モードで AnyConnect 接続のステートフル フェールオーバーがサポートされました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN ダイナミック アクセス ポリシー(DAP)がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに DAP を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードでリモート アクセス VPN CoA(認可変更)がサポートされました。

マルチ コンテキスト モードで、コンテキストごとに CoA を設定できるようになりました。

変更されたコマンドはありません。

変更された画面はありません。

マルチ コンテキスト モードで、リモート アクセス VPN のローカライズがサポートされました。

ローカリゼーションがグローバルでサポートされました。複数のコンテキストで共有されるローカリゼーション ファイル セットは 1 つだけです。

変更されたコマンドはありません。

変更された画面はありません。

Umbrella ローミング セキュリティ モジュールのサポート

アクティブな VPN がない場合には、DNS 層のセキュリティを強化するため、AnyConnect セキュア モビリティ クライアントの Umbrella ローミング セキュリティモジュールを設定できます。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile].

IKEv2 の IPsec/ESP トランスポート モードのサポート

ASA IKEv2 ネゴシエーションでトランスポート モードがサポートされるようになりました。これは、トンネル(デフォルト)モードの代わりに使用できます。トンネル モードでは IP パケット全体がカプセル化されます。トランスポート モードでは IP パケットの上位層プロトコルだけがカプセル化されます。トランスポート モードでは、送信元ホストと宛先ホストの両方が IPSec をサポートしている必要があります。また、トランスポート モードは、トンネルの宛先ピアが IP パケットの最終宛先である場合にだけ使用されます。

次のコマンドが変更されました。crypto map set ikev2 mode

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [IPsec Proposals (Transform Sets)] > [IKEv2 proposals] > [Add/Edit]

IPsec 内部パケットに対するパケット単位のルーティング ルックアップ

デフォルトでは、外部 ESP パケットに対してはパケット単位の隣接関係(アジャセンシー)ルックアップが行われ、IPsec トンネル経由で送信されるパケットに対してはルックアップが行われません。一部のネットワーク トポロジでは、ルーティング アップデートによって内部パケットのパスが変更され、ローカル IPsec トンネルが引き続きアップ状態である場合、トンネル経由のパケットは正しくルーティングされず、宛先に到達しません。これを防止するには、新しいオプションを使用し、IPsec 内部パケットに対してパケット単位のルーティング ルックアップを有効にします。

次のコマンドが追加されました。crypto ipsec inner-routing-lookup

次の画面に [Enable IPsec Inner Routing Lookup] チェックボックスが追加されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPsec] > [Crypto Maps]

証明書とセキュアな接続の機能

ASA クライアントによるサーバ証明書の拡張キーの使用状況確認

syslog、スマート ライセンス サーバ証明書は、[Extended Key Usage] フィールドに [ServerAuth ] を含める必要があります。そうしない場合、接続は失敗します。

ASA が TLS1.1 と 1.2 の TLS クライアントとして動作する際の相互認証

サーバが認証のために ASA からクライアント証明書を要求した場合、ASA はそのインターフェイス用に設定されたクライアント アイデンティティ証明書を送信します。証明書は ssl trust-point コマンドで設定されます。

PKI デバッグ メッセージ

ASA PKI モジュールは、SCEP 登録、HTTP を使用した失効チェックなどのために CA サーバへ接続します。これらすべての ASA PKI 通信はデバッグ追跡のため、debug crypto ca メッセージ 5 を付してログに記録されます。

ASDM での ASA SSL サーバ モード マッチング

証明書マップと照合するために、証明書で認証を行う ASDM ユーザに対して証明書を要求できるようになりました。

次のコマンドを変更しました。http authentication-certificate match

次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

セキュアな syslog サーバの接続とスマート ライセンシング接続のための参照 ID

TLS クライアント処理は、RFC 6125 のセクション 6 に定義されるサーバ ID の検証ルールをサポートするようになりました。ID 確認は syslog サーバとスマート ライセンス サーバへの TLS 接続の PKI 確認中に行われます。提示された ID が設定されたリファレンス ID と一致しない場合、接続を確立できません。

次のコマンドが追加または変更されました。crypto ca reference-identity、logging host、call home profile destination address

次の画面が変更されました。

[Configuration] > [Remote Access VPN] > [Advanced]

[Configuration] > [Device Management] > [Logging] > [Syslog Servers] > [Add/Edit]

[Configuration] > [Device Management] > [Smart Call Home]

暗号キー抹消検査

ASA の暗号化システムは、新しい暗号キー抹消要件に適合するように更新されました。キーはすべてゼロで上書きされ、データを読み出して上書きが正しく行われたか確認する必要があります。

SSH 公開キー認証の改善

以前のリリースでは、ローカル ユーザ データベース( (aaa authentication ssh console LOCAL ))を使用して AAA SSH 認証を有効にしなくても、SSH 公開キー認証((ssh authentication ))を有効にすることができました。この設定は修正されたため、AAA SSH 認証を明示的に有効にする必要があります。ユーザが秘密キーの代わりにパスワードを使用できないよう、パスワード未定義のユーザ名を作成できるようになりました。

次のコマンドが変更されました。ssh authentication、username

次の画面が変更されました。

[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account]

インターフェイス機能

Firepower 4100/9300 シャーシ の ASA のMTU サイズ増加

Firepower 4100 および 9300 で、最大 MTU を 9188 バイトに設定できます。これまでは 9000 バイトが最大でした。この MTU は FXOS 2.0.1.68 以降でサポートされます。

次のコマンドが変更されました。mtu

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Advanced]

ルーティング機能

Bidirectional Forwarding Detection(BFD)のサポート

ASAは、BFD ルーティング プロトコルをサポートするようになりました。BFD テンプレート、インターフェイスおよびマッピングの設定が新たにサポートされました。BFD を使用するための BGP ルーティング プロトコルのサポートも追加されました。

次のコマンドが追加または変更されました。 authentication、bfd echo、bfd interval、bfd map、bfd slow-timers、bfd template、bfd-template、clear bfd counters、echo、debug bfd、neighbor fall-over bfd、show bfd drops、show bfd map、show bfd neighbors、show bfd summary

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Template]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Interface]

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Map]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Neighbors]

IPv6 DHCP

ASA で IPv6 アドレッシングの次の機能がサポートされました。

  • DHCPv6 アドレス クライアント:ASA は DHCPv6 サーバから IPv6 グローバル アドレスとオプションのデフォルト ルートを取得します。

  • DHCPv6 プレフィックス委任クライアント:ASA は DHCPv6 サーバから委任プレフィックスを取得します。ASA は、これらのプレフィックスを使用して他の ASA インターフェイスのアドレスを設定し、ステートレス アドレス自動設定(SLAAC)クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

  • 委任プレフィックスの BGP ルータ アドバタイズメント

  • DHCPv6 ステートレス サーバ:SLAAC クライアントが ASA に情報要求(IR)パケットを送信すると、ASA はドメインインネームなどの他の情報を SLAAC クライアントに提供します。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。

次のコマンドが追加または変更されました。clear ipv6 dhcp statistics、domain-name、dns-server、import、ipv6 address autoconfig、ipv6 address dhcp、ipv6 dhcp client pd、ipv6 dhcp client pd hint、ipv6 dhcp pool、ipv6 dhcp server、network、nis address、nis domain-name、nisp address、nisp domain-name、show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix、sip address、sip domain-name、sntp address

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [IPv6]

[Configuration] > [Device Management] > [DHCP] > [DHCP Pool]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Networks]

[Monitoring] > [interfaces] > [DHCP]

ハイ アベイラビリティとスケーラビリティの各機能

アクティブ/スタンバイ フェールオーバーを使用するとき、AnyConnect からのダイナミック ACL の同期時間が改善されました。

フェールオーバー ペアで AnyConnect を使用するとき、関連付けられているダイナミック ACL (dACL)のスタンバイ ユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

ASAv の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASAv 用に永続ライセンスを要求できます。9.6(2) では、Amazon Web サービスの ASAv 向けに、この機能のサポートが追加されました。この機能は Microsoft Azure ではサポートされません。

(注)   

すべてのアカウントがパーマネント ライセンスの予約について承認されているわけではありません。設定を開始する前に、この機能についてシスコの承認があることを確認します。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

バージョン 9.5(2.200) でも同様です。

ASAv の短かい文字列の拡張機能向けの永続ライセンス予約

スマート エージェント(1.6.4への)の更新により、要求と認証コードには短い文字列が使用されます。

変更されたコマンドはありません。

変更された画面はありません。

Firepower 4100/9300 シャーシ 上での ASA の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、FirePOWER 9300 および FirePOWER 4100 の ASA 用に永続ライセンスを要求できます。永続ライセンスには、標準層、高度暗号化(該当する場合)、セキュリティ コンテキスト、キャリア ライセンスをはじめ、使用可能なすべてのライセンス権限が含まれます。FXOS 2.0.1 が必要です。

すべての設定はFirepower 4100/9300 シャーシで実行されるため、ASA での設定は不要です。

ASAv 用スマート エージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。

(注)   

バージョン 9.5 (2.200)からダウングレードした場合、ASAv はライセンス登録状態を保持しません。license smart register idtoken id_token force コマンドを使用し、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを指定して再登録する必要があります。Smart Software Manager から ID トークンを取得します。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

バージョン 9.5(2.200) でも同様です。

モニタリング機能

type asp-drop のパケット キャプチャは、ACL と一致フィルタリングをサポートします。

asp-drop タイプのパケット キャプチャを作成するとき、ACL または一致するオプションを指定してキャプチャの範囲を制限できるようになりました。

次のコマンドが変更されました。capture type asp-drop

変更された画面はありません。

フォレンジック分析の強化

ASA で実行されているすべてのプロセスのコア ダンプを作成できます。主な ASA プロセスのテキスト セクションを抽出し、検証用にコピーできます。

次のコマンドが変更されました。copy system:text、verify system:text、crashinfo force dump process

変更された画面はありません。

NetFlow 経由の接続ごとのトラッキング パケット数の追跡

NetFlow ユーザがある接続上で双方向に送受信されるレイヤ 4 パケットの数を確認することを可能にする 2 つのカウンタが追加されました。これらのカウンタを使用して、平均パケット レートおよびサイズを判断し、トラフィック タイプ、異常、イベントをより適切に予測できます。

変更されたコマンドはありません。

変更された画面はありません。

フェールオーバーの SNMP engineID の同期

フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user

ASDM サポートはありません。

バージョン 9.4(3) でも同様です。

ASA 9.6(1)/ASDM 7.6(1) の新機能

リリース:2016年3月21日


(注)  

Microsoft Azure サポートを含む ASAv 9.5.2(200) の各機能は 9.6(1) では使用できません。 これらは、9.6(2) では使用可能です。


機能

説明

プラットフォーム機能

Firepower 4100 シリーズ の ASA

Firepower 4110、4120、4140 用の ASA を導入しました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 の SD カードのサポート

ISA 3000 の外部ストレージとして SD カードが使用できるようになりました。カードは、ASA ファイル システムのディスク 3 として表示されます。プラグ アンド プレイをサポートするにはハードウェア バージョン 2.1 以降が必要です。ハードウェア バージョンをチェックするには、show module コマンドを使用します。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ISA 3000 のデュアル電源サポート

ISA 3000 のデュアル電源では、ASA OS に望ましい構成としてデュアル電源を設定できます。1 つの電源に障害が発生すると、ASA はアラームを発します。デフォルトでは、ASA は単一電源を想定していますが、装備される電源のいずれかが機能しているかぎりアラームを発しません。

次のコマンドが導入されました。power-supply dual

ASDM サポートはありません。

ファイアウォール機能

Diameter インスペクションの改善

TCP/TLS トラフィック上の Diameter を検査し、厳密なプロトコル準拠チェックを適用し、クラスタ モードで SCTP 上の Diameter を検査できるようになりました。

次のコマンドが導入または変更されました。client clear-text inspect diameter strict-diameter

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

クラスタ モードでの SCTP ステートフル インスペクション

SCTP ステートフル インスペクションがクラスタ モードで動作するようになりました。また、クラスタ モードで SCTP ステートフル インスペクション バイパスを設定することもできます。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

H.460.18 互換性に関連する H.225 SETUP メッセージの前に着信する H.255 FACILITY メッセージに対する H.323 インスペクションのサポート。

H.225 FACILITY メッセージが H.225 SETUP メッセージの前に着信する(これは、エンドポイントが H.460.18 に準拠する場合に発生する場合があります)ことを許可するように H.323 インスペクション ポリシー マップを設定できるようになりました。

次のコマンドが導入されました。early-message

H.323 インスペクション ポリシー マップの [Call Attributes] タブにオプションが追加されました。

Security Exchange Protocol(SXP)バージョン 3 の Cisco TrustSec サポート。

ASA の Cisco Trustsec は、ホスト バインディングよりも効率的な SGT とサブネット間のバインディングを可能にする SXPv3 を実装するようになりました。

次のコマンドが導入または変更されました。cts sxp mapping network-map maximum_hosts cts role-based sgt-map show cts sgt-map show cts sxp sgt-map show asp table cts sgt-map

[Configuration] > [Firewall] > [Identity By TrustSec] と [SGT Map Setup] ダイアログボックスが変更されました。

Firepower 4100 シリーズ のフロー オフロードのサポート。

ASA からオフロードされ、Firepower 4100 シリーズ の NIC で直接切り替える必要があるフローを特定できるようになりました。

FXOS 1.1.4 が必要です。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

リモート アクセス機能

IKEv2 フラグメンテーション、RFC-7383 サポート

ASA では、IKEv2 パケットのこの標準的なフラグメンテーションがサポートされるようになりました。これにより、Apple、Strongswan など、他の IKEv2 の実装との相互運用性を実現します。ASA は、AnyConnect クライアントなどの RFC-7383 をサポートしないシスコ製品との後方互換性を保つため、独自の IKEv2 フラグメンテーションを引き続きサポートします。

次のコマンドが導入されました。 crypto ikev2 fragmentation show running-config crypto ikev2 show crypto ikev2 sa detail

Firepower 9300 とFirepower 4100 シリーズでの VPN スループット パフォーマンス強化

crypto engine accelerator-bias コマンドが Firepower 9300 と Firepower 4100 シリーズ 上の ASA セキュリティ モジュールでサポートされるようになりました。このコマンドにより、IPSec または SSL に対して暗号コアを「優先的に使用」できます。

次のコマンドが変更されました。 crypto engine accelerator-bias

追加または変更された画面はありません。

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) 、9.4(3) および 9.5(3) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

9.1(7) および 9.4(3) でも使用可能です。

ルーティング機能

IS-IS ルーティング

ASA で Intermediate System to Intermediate System(IS-IS)のルーティング プロトコルがサポートされました。IS-IS ルーティング プロトコルを使用した、データのルーティング、認証の実行、およびルーティング情報の再配布とモニタについて、サポートが追加されました。

次のコマンドを導入しました。 advertise passive-only, area-password, authentication key, authentication mode, authentication send-only, clear isis, debug isis, distance, domain-password, fast-flood, hello padding, hostname dynamic, ignore-lsp-errors, isis adjacency-filter, isis advertise prefix, isis authentication key, isis authentication mode, isis authentication send-only, isis circuit-type, isis csnp-interval, isis hello-interval, isis hello-multiplier, isis hello padding, isis lsp-interval, isis metric, isis password, isis priority, isis protocol shutdown, isis retransmit-interval, isis retransmit-throttle-interval, isis tag, is-type, log-adjacency-changes, lsp-full suppress, lsp-gen-interval, lsp-refresh-interval, max-area-addresses, max-lsp-lifetime, maximum-paths, metric, metric-style, net, passive-interface, prc-interval, protocol shutdown, redistribute isis, route priority high, route isis, set-attached-bit, set-overload-bit, show clns, show isis, show router isis, spf-interval, summary-address.

次の画面が導入されました。

[Configuration] > [Device Setup] > [Routing] > [ISIS]

[Monitoring] > [Routing] > [ISIS]

ハイ アベイラビリティとスケーラビリティの各機能

ルーテッドおよびスパンド EtherChannel モードのサイト固有の IP アドレスのポート

スパンド EtherChannel のルーテッド モードでのサイト間クラスタリングの場合、サイト個別の MAC アドレスに加えて、サイト個別の IP アドレスを設定できるようになりました。サイト IP アドレスを追加することにより、グローバル MAC アドレスからの ARP 応答を防止するために、ルーティング問題の原因になりかねない Data Center Interconnect(DCI)経由の移動によるオーバーレイ トランスポート仮想化(OTV)デバイスの ARP 検査を使用することができます。MAC アドレスをフィルタ処理するために VACL を使用できないスイッチには、ARP 検査が必要です。

次のコマンドが変更されました。mac-address、show interface

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]

管理機能

ローカルの username および enable パスワードでより長いパスワード(127 文字まで)がサポートされます。

127 文字までのローカル username および enable パスワードを作成できます(以前の制限は 32 文字でした)。32 文字以上のパスワードを作成すると、PBKDF2(パスワード ベース キー派生関数 2)のハッシュを使用して設定に保存されます。これよりも短いパスワードは引き続き MD5 ベースのハッシュを使用します。

次のコマンドを変更しました。enable、username

次の画面が変更されました。

[Configuration] > [Device Setup] > [Device Name/Password] > [Enable Password]

[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] > [Add/Edit User Account] > [Identity]

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

(注)   

CISCO-ENHANCED-MEMPOOL-MIB は 64 ビットのカウンタを使用して、プラットフォーム上の 4 GB 以上のメモリのレポーティングをサポートします。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

9.1(7) および 9.4(3) でも使用可能です。

REST API バージョン 1.3.1

REST API バージョン 1.3.1 のサポートが追加されました。

バージョン 9.5 の新機能

ASA 9.5(3.9)/ASDM 7.6(2) の新機能

リリース:2017年4月11日


(注)  

バージョン 9.5(3) は、バグ CSCvd78303 に基づき Cisco.com から削除されました。


機能

説明

リモート アクセス機能

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。アプリケーションに応じて、暗号の強度を強くしたり弱くする必要がある場合があります。セキュアなコピーのパフォーマンスは暗号化アルゴリズムに一部依存します。デフォルトで、ASA は 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr の順にアルゴリズムをネゴシエートします。提示された最初のアルゴリズム(3des-cbc)が選択された場合、aes128-cbc などの一層効率的なアルゴリズムが選択された場合よりも大幅にパフォーマンスが低下します。たとえば、提示された暗号方式に変更するには、ssh cipher encryption custom aes128-cbc を使用します。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) および 9.4(3) でも使用可能です。

ASAv 9.5(2.200)/ASDM 7.5(2.153) の新機能

リリース:2016年1月28日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

ASAv10 での Microsoft Azure サポート

Microsoft Azure は、プライベート Microsoft Hyper V ハイパーバイザを使用するパブリック クラウド環境です。ASAv は、Hyper V ハイパーバイザの Microsoft Azure 環境でゲストとして実行されます。Microsoft Azure 上の ASAv は、4 つの vCPU、14 GB、4 つのインターフェイスをサポートする Standard D3 の 1 つのインスタンス タイプをサポートします。

ライセンシング機能

ASAv の永続ライセンス予約

Cisco Smart Software Manager との通信が許可されていない非常にセキュアな環境では、ASAv 用に永続ライセンスを要求できます。

(注)   

すべてのアカウントがパーマネント ライセンスの予約について承認されているわけではありません。設定を開始する前に、この機能についてシスコの承認があることを確認します。

次のコマンドが導入されました。license smart reservation、license smart reservation cancel、license smart reservation install、license smart reservation request universal、license smart reservation return

ASDM サポートはありません。

スマート エージェントの v1.6 へのアップグレード

スマート エージェントはバージョン 1.1 からバージョン 1.6 へアップグレードされました。このアップグレードは永続ライセンス予約をサポートするほか、ライセンス アカウントに設定された権限に従って、高度暗号化(3DES/AES)ライセンス権限の設定もサポートします。

(注)   

バージョン 9.5 (2.200)からダウングレードした場合、ASAv はライセンス登録状態を保持しません。license smart register idtoken id_token force コマンドを使用し、[Configuration] > [Device Management] > [Licensing] > [Smart Licensing] ページで [Force registration] オプションを指定して再登録する必要があります。Smart Software Manager から ID トークンを取得します。

次のコマンドが導入されました。show license status、show license summary、show license udi、show license usage

次のコマンドが変更されました。show license all、show tech-support license

次のコマンドが非推奨になりました。 show license cert、show license entitlement、show license pool、show license registration

変更された画面はありません。

ASA 9.5(2.1)/ASDM 7.5(2) の新機能

リリース:2015年12月14日


(注)  

このリリースは、Firepower 9300 の ASA のみをサポートします。


機能

説明

プラットフォーム機能

Firepower 9300 での ASA の VPN サポート

FXOS 1.1.3 では、VPN 機能を設定できるようになりました。

ファイアウォール機能

Firepower 9300 での ASA のフローのオフロード

ASA からオフロードし、(Firepower 9300 上の)NIC で直接切り替える必要があるフローを特定できるようになりました。これにより、データセンターのより大きなデータ フローのパフォーマンスが向上します。

FXOS 1.1.3 も必要です。

次のコマンドが追加または変更されました。clear flow-offload flow-offload enable set-connection advanced-options flow-offload show conn detail show flow-offload

次の画面が追加または変更されました:[Configuration] > [Firewall] > [Advanced] > [Offload Engine][Configuration] > [Firewall] > [Service Policy Rules] の下でルールを追加または編集する場合の [Rule Actions] > [Connection Settings] タブ。

ハイ アベイラビリティ機能

Firepower 9300 での 6 モジュールのシャーシ間クラスタリング と ASA のサイト間クラスタリング

FXOS 1.1.3 では、シャーシ間クラスタリングができるようになりました。また、これを拡張して、サイト間のクラスタリングもできるようになりました。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。

変更されたコマンドはありません。

変更された画面はありません。

ライセンシング機能

Firepower 9300 の ASA に高度暗号化(3DES)ライセンスを自動的に適用

通常の Cisco Smart Software Manager(SSM)ユーザの場合、Firepower 9300 で登録トークンを適用すると、対象となるお客様には強力な暗号化ライセンスが自動的に有効になります。

(注)   

スマート ソフトウェア マネージャ サテライトが導入されている場合、ASDM や他の高度暗号機能を使用するには、ASA の展開後に ASA CLI を使用して、高度暗号化ライセンスを有効にする必要があります。

この機能には、FXOS 1.1.3 が必要です。

サテライト以外の構成では、次のコマンドが除去されました。feature strong-encryption

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

ASA 9.5(2)/ASDM 7.5(2) の新機能

リリース:2015年11月30日

機能

説明

プラットフォーム機能

Cisco ISA 3000 サポート

Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。

次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay

次の画面が変更されました。[Configuration] > [Device Management] > [Hardware Bypass]

バージョン 9.4(1.225) でも同様です。

ファイアウォール機能

DCERPC インスペクションの改善および UUID フィルタリング

DCERPC インスペクションは、OxidResolver ServerAlive2 opnum5 メッセージに対して NAT をサポートするようになりました。また、DCERPC メッセージの汎用一意識別子(UUID)でフィルタリングし、特定のメッセージ タイプをリセットするかログに記録できるようになりました。UUID フィルタリング用の新しい DCERPC インスペクション クラス マップがあります。

次のコマンドが導入されました。match [not ] uuid 。次のコマンドが変更されました。class-map type inspect

[Configuration] > [Firewall] > [Objects] > [Class Maps] > [DCERPC] の画面が追加されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [DCERPC] の画面が変更されました。

Diameter インスペクション

Diameter トラフィックを検査できるようになりました。Diameter インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入または変更されました。class-map type inspect diameter diameter inspect diameter match application-id match avp match command-code policy-map type inspect diameter show conn detail show diameter show service-policy inspect diameter unsupported

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [Diameter][Diameter AVP]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィザードの [Rule Actions] > [Protocol Inspection] タブ

SCTP インスペクションとアクセス制御

サービス オブジェクト、アクセス コントロール リスト(ACL)とアクセス ルールにて SCTP プロトコルとポートの仕様を使用して、SCTP トラフィックを検査できるようになりました。SCTP インスペクションには キャリア ライセンスが必要です。

次のコマンドが導入されました。access-list extended clear conn protocol sctp inspect sctp match ppid nat static (object)、policy-map type inspect sctp service-object service set connection advanced-options sctp-state-bypass show conn protocol sctp show local-host connection sctp show service-policy inspect sctp timeout sctp

次の画面が追加または変更されました。

[Configuration] > [Firewall] > [Access Rules] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [ACL Manager] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

[Configuration] > [Firewall] > [NAT] の [add/edit static network object NAT rule] 、[Advanced NAT Settings] ダイアログボックス

[Configuration] > [Firewall] > [Objects] > [Service Objects/Groups] の [add/edit] ダイアログ

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [SCTP]

[Configuration] > [Firewall] > [Service Policy] の [add/edit] ウィサードの [Rule Actions] > [Protocol Inspection] と [Connection Settings] タブ

キャリア グレード NAT の強化は、フェールオーバーおよび ASA クラスタリングでサポートされます。

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。

次のコマンドが変更されました。show local-host

変更された画面はありません。

ASA FirePOWER 6.0 でのアクティブ認証向けキャプティブ ポータル。

キャプティブ ポータル機能では、ASA FirePOWER 6.0 で始まるアイデンティティ ポリシーを使用してアクティブ認証を有効にする必要があります。

次のコマンドが導入または変更されました。captive-portal clear configure captive-portal show running-config captive-portal

ハイ アベイラビリティ機能

サイト間フロー モビリティの LISP インスペクション

Cisco Locator/ID Separation Protocol(LISP)のアーキテクチャは、デバイス ID をその場所から 2 つの異なるナンバリング スペースに分離し、サーバの移行をクライアントに対して透過的にします。ASA は、場所変更の LISP トラフィックを検査し、その情報をシームレスなクラスタリング運用に活用できます。ASA クラスタ メンバーは、最初のホップ ルータと出力トンネル ルータまたは入力トンネル ルータの間の LISP トラフィックを検査し、フロー オーナーの所在場所を新規サイトに変更します。

次のコマンドが導入または変更されました。allowed-eid、clear cluster info flow-mobility counters、clear lisp eid、cluster flow-mobility lisp、debug cluster flow-mobility、debug lisp eid-notify-intercept、flow-mobility lisp、inspect lisp、policy-map type inspect lisp、site-id、show asp table classify domain inspect-lisp、show cluster info flow-mobility counters、show conn、show lisp eid、show service-policy、validate-key

次の画面が導入または変更されました。

[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [LISP]

[Configuration] > [Firewall] > [Service Policy Rules] > [Protocol Inspection]

[Configuration] > [Firewall] > [Service Policy Rules] > [Cluster]

[Monitoring] > [Routing] > [LISP-EID Table]

ASA 5516-X でのクラスタリングのサポート

ASA 5516-X が 2 ユニット クラスタをサポートするようになりました。基本ライセンスでは、2 ユニットのクラスタリングがデフォルトで有効化されています。

変更されたコマンドはありません。

変更された画面はありません。

クラスタリング トレース エントリの設定可能なレベル

デフォルトで、すべてのレベルクラスタリング イベントは、多くの下位レベルのイベント以外に、トレース バッファに含まれます。より上位レベルのイベントへのトレースを制限するために、クラスタの最小トレース レベルを設定できます。

次のコマンドが導入されました。trace-level

変更された画面はありません。

インターフェイス機能

セカンデリ VLAN のプライマリ VLAN へのマッピングのサポート

サブ インターフェイスで、1 つ以上のセカンデリ VLAN を設定できるようになりました。ASA はセカンダリ VLAN でトラフィックを受信すると、そのトラフィックをプライマリ VLAN にマップします。

次のコマンドが導入または変更されました。vlan secondary、show vlan mapping

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces]

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [General]

ルーティング機能

マルチキャスト ルーティングの PIM ブートストラップ ルータ(BSR)のサポート

ASA は、現在、異なるグループにマルチキャスト トラフィックをルーティングするためにスタティック RP を設定できるようサポートしています。複数の RP が存在する可能性のある大規模で複雑なネットワークについては、ASA では RP のモビリティに対応できるよう、PIM BSR を使用したダイナミック RP の選択をサポートします。

次のコマンドが導入されました。clear pim group-map、debug pim bsr、pim bsr-border、pim bsr-candidate、show pim bsr-router、show pim group-map rp-timers

次の画面が導入されました。[Configuration] > [Device Setup] > [Routing] > [Multicast] > [PIM] > [Bootstrap Router]

リモート アクセス機能

マルチ コンテキスト モードでのリモート アクセス VPN サポート

次のリモート アクセス機能をマルチ コンテキスト モードで使用できるようになりました。

  • AnyConnect 3.x 以降(SSL VPN のみ、IKEv2 はサポートしません)

  • 中央集中型 AnyConnect イメージ設定

  • AnyConnect イメージのアップグレード

  • AnyConnect 接続のコンテキスト リソース管理

(注)   

マルチ コンテキスト モードでは AnyConnect Apex ライセンスが必要です。デフォルトやレガシーのライセンスは使用できません。

次のコマンドが導入されました。limit-resource vpn anyconnect、limit-resource vpn burst anyconnect

次の画面が変更されました。[Configuration] > [Context Management] > [Resource Class] > [Add Resource Class]

クライアントレス SSL VPN で SAML 2.0 ベースのシングル サインオン(SSO)機能を提供

ASA は、SAML のサービス プロバイダーとして機能します。

クライアントレス SSL VPN の条件付きデバッグ

フィルタ条件設定に基づき、フィルタリングによりログをデバッグし、より深く分析できます。

debug コマンドに次の追加が導入されました。

  • [no] debug webvpn condition user <user name>

  • [no] debug webvpn condition group <group name>

  • [no] debug webvpn condition p-ipaddress <ipv4> [subnet<mask>]

  • [no] debug webvpn condition p-ipaddress <ipv6> [prefix<prefix>]

  • debug webvpn condition reset

  • show debug webvpn condition

  • show webvpn debug-condition

クライアントレス SSL VPN キャッシュはデフォルトでは無効

クライアントレス SSL VPN のキャッシュはデフォルトで無効になりました。クライアントレス SSL VPN キャッシュを無効にすることで安定性が改善します。キャッシュを有効にするには手動で有効にする必要があります。


webvpn
   cache
      no disable

次のコマンドが変更されました。cache

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache]

ライセンシング機能

サーバ証明書の発行階層が変更された場合の Smart Call Home/スマート ライセンス証明書の検証

スマート ライセンスでは、Smart Call Home インフラストラクチャが使用されます。ASA はバックグラウンドで Smart Call Home 匿名レポートを最初に設定するときに、Call Home サーバ証明書を発行した CA の証明書を含むトラストポイントを自動的に作成します。ASA はサーバ証明書の発行階層が変更された場合の証明書の検証をサポートします。トラストプール バンドルの定期的な自動更新を有効にできます。

次のコマンドが導入されました。auto-import

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Certificate Management] > [Trusted Certificate Pool] > [Edit Policy]

新しいキャリア ライセンス

新しいキャリア ライセンスは既存の GTP/GPRS ライセンスを置き換え、SCTP と Diameter インスペクションもサポートします。Firepower 9300 の ASA の場合、feature mobile-sp コマンドは feature carrier コマンドに自動的に移行します。

次のコマンドが導入または変更されました。feature carrier、show activation-key、show license、show tech-support、show version

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

モニタリング機能

SNMP engineID の同期

HA ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user、no snmp-server user

追加または変更された画面はありません。

9.4(3) でも使用可能です。

show tech support の強化

show tech support コマンドは現在次のとおりです。

  • dir all-filesystems の出力が含まれます。この出力は次の場合に役立つことがあります。

    • SSL VPN コンフィギュレーション:必要なリソースが ASA にあるかどうかを確認します。

    • クラッシュ:クラッシュ ファイルの日付のタイムスタンプと存在を確認します。

  • show kernel cgroup-controller detail の出力の削除:このコマンド出力は show tech-support detail の出力内に残されます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

9.1(7) および 9.4(3) でも使用可能です。

デバッグ ロギング トレースの永続化

以前は、デバッグを syslog サーバへリダイレクトするために logging debug-trace が有効になっている場合、(ネットワークの接続性またはタイムアウトにより)SSH 接続が切断されるとデバッグは削除されました。しかし、logging コマンドが有効である限りデバッグを永続的に保持されるようになりました。

logging debug-trace コマンドが変更されました。

変更された画面はありません。

ASA 9.5(1.5)/ASDM 7.5(1.112) の新機能

リリース:2015年11月11日

機能

説明

プラットフォーム機能

ASA FirePOWER 6.0 のサポート

ASA FirePOWER モジュール向けのソフトウェア バージョン 6.0 は、以前からサポートされているすべてのデバイス モデルでサポートされます。

5512-X ~ 5585-X 向けの ASDM を介した ASA FirePOWER モジュール管理サポート

モジュールでバージョン 6.0 の実行時、Firepower Management Center(旧称:FireSIGHT Management Center)の代わりに ASDM を使用して、ASA FirePOWER モジュールを管理できます。6.0 を実行している場合は、ASDM で 5506-X、5506H-X 5506W-X、5508-X および 5516-X のモジュールも管理できます。

新しい画面またはコマンドは追加されていません。

ASDM 7.5(1.90) の新機能

リリース:2015年10月14日

機能

説明

リモート アクセス機能

AnyConnect バージョン 4.2 のサポート

ASDM は、AnyConnect 4.2 およびネットワーク可視性モジュール(NVM)をサポートしています。NVM は、キャパシティとサービスの計画、監査、コンプライアンス、およびセキュリティ分析に関して、企業内管理者の実行能力を向上させます。NVM(ネットワーク可視性モジュール)は、エンドポイントのテレメトリを収集して、フロー データとファイル レピュテーションを syslog に記録し、さらに、ファイルの分析と UI インターフェイスの提供を行うコレクタ(サードパーティ ベンダー)にもフロー レコードをエクスポートします。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile]([Network Visibility Service Profile] という新しいプロファイル)

ASAv 9.5(1.200)/ASDM 7.5(1) の新機能

リリース:2015年8月31日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

Microsoft Hyper-V スーパーバイザ サポート

ASAv のハイパーバイザ ポートフォリオを拡張します。

ASAv5 低容量メモリ サポート

ASAv5 は 1 GB RAM のみでも実行できるようになりました。以前は 2 GB を必要としていました。導入済みの ASAv5 では、ライセンスにより許容される以上のメモリを使用していることを示すエラーが発生するため、割り当て済みメモリを 1 GB に減らす必要があります。

ASA 9.5(1)/ASDM 7.5(1) の新機能

リリース:2015年8月12日


(注)  

このバージョンは Firepower 9300 ASA セキュリティ モジュールまたは ISA 3000 をサポートしません。


機能

説明

ファイアウォール機能

GTPv2 インスペクションと GTPv0/1 インスペクションの改善

GTP インスペクションは GTPv2 を処理できるようになりました。また、すべてのバージョンの GTP インスペクションで IPv6 アドレスがサポートされるようになりました。

次のコマンドが変更されました。clear service-policy inspect gtp statistics、clear service-policy inspect gtp pdpmcb、clear service-policy inspect gtp request、match message id、show service-policy inspect gtp pdpmcb、show service-policy inspect gtp request、show service-policy inspect gtp statistics、timeout endpoint

次のコマンドが非推奨になりました。timeout gsn

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [GTP]。

IP オプション インスペクションの改善

IP オプション インスペクションは、すべての有効な IP オプションをサポートするようになりました。まだ定義されていないオプションを含む、標準または試行的なオプションを許可、クリア、またはドロップするようにインスペクションを調整できます。また、IP オプション インスペクション マップで明示的に定義されていないオプションのデフォルトの動作を設定できます。

次のコマンドを導入しました。 basic-security, commercial-security, default, exp-flow-control, exp-measure, extended-security, imi-traffic-description, quick-start, record-route, timestamp

次の画面が変更されました。[Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [IP Options]。

キャリア グレード NAT の拡張

キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。

次のコマンドが導入されました。xlate block-allocation size、xlate block-allocation maximum-per-hostblock-allocation キーワードが nat コマンドに追加されました。

次の画面が導入されました。[Configuration] > [Firewall] > [Advanced] > [PAT Port Block Allocation]。 [Enable Block Allocation] オブジェクト NAT および Twice NAT ダイアログボックスが追加されました。

ハイ アベイラビリティ機能

ルーテッド ファイアウォール モードのスパンド EtherChannel でのサイト間クラスタリング

ルーテッド モードでは、スパンド EtherChannel サイト間クラスタリングを使用することができます。MAC アドレスのフラッピングを防ぐには、各インターフェイスのサイト別の MAC アドレスがサイトのユニット上で共有できるように、各クラスタ メンバーのサイト ID を設定します。

次のコマンドを導入または変更しました。site-id、mac-address site-id、show cluster info、show interface

次の画面が変更されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

インターフェイスまたはクラスタ制御リンクが失敗した場合の auto-rejoin 動作の ASA クラスタ のカスタマイズ

インターフェイスまたはクラスタ制御リンクが失敗した場合、auto-rejoin 動作をカスタマイズできます。

次のコマンドが導入されました。health-check auto-rejoin

次の画面が導入されました。 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

ASA クラスタは、GTPv1 と GTPv2 をサポートします

ASA クラスタは、GTPv1 および GTPv2 インスペクションをサポートします。

変更されたコマンドはありません。

変更された画面はありません。

TCP 接続のクラスタ複製遅延

この機能で、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。

次のコマンドを導入しました。cluster replication delay

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]

バージョン 9.4(1.152) の Firepower 9300 ASA セキュリティ モジュールにも使用できます。

ASA クラスタリングのハードウェア モジュールのヘルス モニタリングの無効化

クラスタリング使用時、ASA はデフォルトで、設置されているハードウェア モジュール(ASA FirePOWER モジュールなど)のヘルス モニタリングを行います。特定のハードウェア モジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニタリングをディセーブルにできます。

次のコマンドを変更しました。health-check monitor-interface service-module

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring]

ASA 5506H のフェールオーバー リンクとして、管理 1/1 インターフェイスを使用できるようになりました。

管理 1/1 インターフェイスは、ASA 5506H に限りフェールオーバー リンクとして設定できるようになりました。この機能により、デバイスの他のインターフェイスをデータ インターフェイスとして使用できます。この機能を使用した場合、ASA FirePOWER モジュールは使用できません。このモジュールでは管理 1/1 インターフェイスを通常の管理インターフェイスとして維持することが必須です。

次のコマンドが変更されました。failover lan interface、failover link

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

ルーティング機能

ポリシーベース ルーティングの IPv6 サポート

ポリシーベース ルーティングで IPv6 アドレスがサポートされました。

次のコマンドが導入されました。set ipv6 next-hop、set default ipv6-next hop、set ipv6 dscp

次の画面が変更されました。

[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Map] > [Policy Based Routing] [Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause]

ポリシーベース ルーティングの VXLAN サポート

VNI インターフェイスでポリシーベース ルーティングを有効にできるようになりました。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit Interface] > [General]。

アイデンティティ ファイアウォールと Cisco TrustSec でのポリシーベース ルーティングのサポート

アイデンティティ ファイアウォールと Cisco TrustSec を設定し、ポリシーベース ルーティングのルートマップでアイデンティティ ファイアウォールと Cisco TrustSec ACL を使用できるようになりました。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add Route Maps] > [Match Clause]

管理専用インターフェイス用の個別のルーティング テーブル

データ トラフィックから管理トラフィックを区別して分離するため、ASA は管理専用インターフェイス用の個別のルーティング テーブルをサポートしました。

次のコマンドが導入または変更されました。backup、clear ipv6 route management-only、clear route management-only、configure http、configure net、copy、enrollment source、name-server、restore、show asp table route-management-only、show ipv6 route management-only show route management-only

変更された画面はありません。

Protocol Independent Multicast Source-Specific Multicast(PIM-SSM)パススルーのサポート

ASA では、最後のホップ ルータである場合を除いて、マルチキャスト ルーティングが有効になっているときに PIM-SSM パケットが通過できるようになりました。この機能により、さまざまな攻撃から保護すると同時に、マルチキャスト グループをより柔軟に選択できるようになりました。ホストは、明示的に要求された送信元からのトラフィックのみを受信します。

変更されたコマンドはありません。

変更された画面はありません。

リモート アクセス機能

IPv6 VLAN マッピング

ASA VPN コードは IPv6 の機能を完全にサポートするよう強化されました。管理者による設定の変更は不要です。

クライアントレス SSL VPN の SharePoint 2013 サポート

SharePoint のこの新バージョンが新たにサポートされ、事前定義されているアプリケーションテンプレートが追加されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks] > [Add Bookmark List] > [Select Bookmark Type] > [Predefined application templates]

クライアントレス VPN のダイナミック ブックマーク

ブックマークを使用する際のマクロのリストに CSCO_WEBVPN_DYNAMIC_URL と CSCO_WEBVPN_MACROLIST が追加されました。これらのマクロは、管理者が複数のブックマーク リンクを生成できる単一のブックマークをクライアントレス ユーザのポータル上で設定し、ブックマークを静的に設定して LDAP 属性マップが提供する任意のサイズのリストを利用できるようにします。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks]。

VPN バナーの長さの増加

VPN リモート クライアント ポータルでのログイン後に表示される全体的なバナーの長さが、500 ~ 4000 文字に増加しました。

次のコマンドが変更されました。banner(グループ ポリシー)

次の画面が変更されました。[Configuration] > [Remote Access VPN] > .... [Add/Edit Internal Group Policy] > [General Parameters] > [Banner]。

ASA 5506-X、5506W-X、5506H-X および 5508-X の Cisco Easy VPN クライアント

このリリースは、ASA 5506-X シリーズでの Cisco Easy VPN の使用をサポートし、かつ ASA 5508-X 用の Cisco Easy VPN をサポートします。ASA は、VPN ヘッドエンドに接続すると VPN ハードウェア クライアントとして機能します。ASA の背後にある Easy VPN ポート上のデバイス(コンピュータ、プリンタなど)は、VPN 経由で通信できます。個別に VPN クライアントを実行する必要はありません。ASA インターフェイス 1 つのみで Easy VPN ポートとして機能できます。このポートに複数のデバイスを接続するには、レイヤ 2 スイッチをこのポート上に配置してから、このスイッチにデバイスを接続します。

次のコマンドが導入されました。vpnclient enable、vpnclient server、vpnclient mode、vpnclient username、vpnclient ipsec-over-tcp、vpnclient management、vpnclient vpngroup、vpnclient trustpoint、vpnclient nem-st-autoconnect、vpnclient mac-exempt

次の画面が導入されました。[Configuration] > [VPN] > [Easy VPN Remote]

モニタリング機能

syslog メッセージ内の無効なユーザ名の表示

失敗したログイン試行の syslog メッセージに無効なユーザ名を表示できるようになりました。デフォルト設定では、ユーザ名が無効な場合、または有効かどうか不明な場合、ユーザ名は非表示です。たとえば、ユーザが誤ってユーザ名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザ名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザ名を表示することもできます。

次のコマンドが導入されました。 no logging hide username

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Setup]。

この機能は、9.2(4) と 9.3(3)でも使用できます。

REST API の機能

REST API バージョン 1.2.1

REST API バージョン 1.2.1 のサポートが追加されました。

バージョン 9.4 の新機能

ASA 9.4(4.5)/ASDM 7.6(2) の新機能

リリース:2017年4月3日


(注)  

バージョン 9.4(4) は、バグ CSCvd78303 のため、Cisco.com から削除されました。


このリリースに新機能はありません。

ASA 9.4(3)/ASDM 7.6(1) の新機能

リリース:2016年4月25日

機能

説明

ファイアウォール機能

ルートの収束に対する接続ホールドダウン タイムアウト。

接続で使用されているルートがもう存在していない、または非アクティブになったときに、システムが接続を保持する時間を設定できるようになりました。このホールドダウン期間内にルートがアクティブにならない場合、接続は解放されます。ルートの収束がさらに迅速に行われるようにホールドダウン タイマーを短縮することができます。ただし、ほとんどのネットワークでは、ルートのフラッピングを防止するためにデフォルトの 15 秒が適切です。

次のコマンドが追加されました。timeout conn-holddown

次の画面が変更されました。[Configuration] > [Firewall] > [Advanced] > [Global Timeouts]

リモート アクセス機能

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。

次のコマンドが導入されました。ssh cipher encryption、ssh cipher integrity

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [SSH Ciphers]

9.1(7) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

9.1(7) でも使用可能です。

モニタリング機能

フェールオーバーの SNMP engineID の同期

フェールオーバー ペアでは、一対の ASA の SNMP engineID は両方のユニットで同期されます。ASA ごとに、同期された engineID、ネイティブ engineID、およびリモート engineID による engineID が 3 セット維持されます。

SNMPv3 ユーザは、ローカライズされた snmp-server user 認証とプライバシー オプションを保存するためのプロファイルを作成するときに ASA の engineID も指定できます。ユーザがネイティブ engineID を指定しない場合、show running config 出力に engineID がユーザごとに 2 つずつ表示されます。

次のコマンドが変更されました。snmp-server user

ASDM サポートはありません。

show tech support の強化

show tech support コマンドは現在次のとおりです。

  • dir all-filesystems の出力が含まれます。この出力は次の場合に役立つことがあります。

    • SSL VPN コンフィギュレーション:必要なリソースが ASA にあるかどうかを確認します。

    • クラッシュ:クラッシュ ファイルの日付のタイムスタンプと存在を確認します。

  • show kernel cgroup-controller detail の出力の削除:このコマンド出力は show tech-support detail の出力内に残されます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

9.1(7) でも使用可能です。

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

(注)   

CISCO-ENHANCED-MEMPOOL-MIB は 64 ビットのカウンタを使用して、プラットフォーム上の 4 GB 以上のメモリのレポーティングをサポートします。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

9.1(7) でも使用可能です。

ASA 9.4(2.145)/ASDM 7.5(1) の新機能

リリース:2015年11月13日

このリリースに新機能はありません。


(注)  

このリリースは Firepower 9300 ASA セキュリティ モジュールのみをサポートします。


ASA 9.4(2)/ASDM 7.5(1) の新機能

リリース:2015年9月24日

このリリースに新機能はありません。


(注)  

ASAv 9.4(1.200) の各機能はこのリリースには含まれません。



(注)  

このバージョンは ISA 3000 をサポートしません。


ASA 9.4(1.225)/ASDM 7.5(1) の新機能

リリース:2015年9月17日


(注)  

このリリースは Cisco ISA 3000 のみをサポートします。


機能

説明

プラットフォーム機能

Cisco ISA 3000 サポート

Cisco ISA 3000 は、DIN レールにマウントされた高耐久型の産業用セキュリティ アプライアンスです。ギガビット イーサネットと専用管理ポートを備えた、低消費電型ファンレス デバイスです。このモデルには ASA Firepower モジュールが事前にインストールされています。このモデルの特別な機能として、カスタマイズされたトランスペアレント モードのデフォルト設定と、電源喪失時もトラフィックがアプライアンスを通過することを可能にするハードウェア バイパス機能があります。

次のコマンドが導入されました。hardware-bypass、hardware-bypass manual、hardware-bypass boot-delay、show hardware-bypass

次の画面が導入されました。[Configuration] > [Device Management] > [Hardware Bypass]

hardware-bypass boot-delay コマンドは ASDM 7.5(1) では使用できません。

この機能は、バージョン 9.5(1) では使用できません。

ASA 9.4(1.152)/ASDM 7.4(3) の新機能

リリース:2015年7月13日


(注)  

このリリースは、Firepower 9300 の ASA のみをサポートします。


機能

説明

プラットフォーム機能

Firepower 9300 の ASA セキュリティ モジュール

Firepower 9300 の ASA セキュリティ モジュールに ASA を導入しました。

(注)   

Firepower Chassis Manager 1.1.1 は Firepower 9300 の ASA セキュリティ モジュールの VPN 機能(サイト間またはリモート アクセス)を一切サポートしません。

ハイ アベイラビリティ機能

Firepower 9300 用シャーシ内 ASA クラスタリング

Firepower 9300 シャーシ内のセキュリティ モジュールを 3 つまでクラスタ化できるようになりました。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。

次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]

ライセンシング機能

Firepower 9300 の ASA のシスコ スマート ソフトウェア ライセンシング

Firepower 9300 に ASA のシスコ スマート ソフトウェア ライセンシングが導入されました。

次のコマンドが導入されました。feature strong-encryption、feature mobile-sp、feature context

次の画面が変更されました。[Configuration] > [Device Management] > [Licensing] > [Smart License]

ASAv 9.4(1.200)/ASDM 7.4(2) の新機能

リリース:2015年5月12日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

VMware 上の ASAv では vCenter サポートは不要になりました。

vCenter なしで、vSphere クライアントまたは OVFTool のデイゼロ設定を使用して ASAv を VMware 上にインストールできるようになりました。

Amazon Web Services(AWS)の ASAv

Amazon Web Services(AWS)とデイゼロ設定で ASAv を使用できるようになりました。

(注)   

Amazon Web Services は ASAv10 と ASAv30 のモデルのみをサポートします。

ASDM 7.4(2) の新機能

リリース:2015年5月6日

機能

説明

リモート アクセス機能

AnyConnect バージョン 4.1 のサポート

ASDM は AnyConnect バージョン 4.1 をサポートするようになりました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [AnyConnect Client Profile]([AMP Enabler Service Profile] という新しいプロファイル)

ASA 9.4(1)/ASDM 7.4(1) の新機能

リリース:2015年3月30日

機能

説明

プラットフォーム機能

ASA 5506W-X、ASA 5506H-X、ASA 5508-X、ASA 5516-X

ワイヤレス アクセス ポイントを内蔵した ASA 5506W-X、強化された ASA 5506H-X、ASA 5508-X、ASA 5516-X の各モデルが導入されました。

hw-module module wlan recover imagehw-module module wlan recover image の各コマンドが導入されました。

変更された ASDM 画面はありません。

認定機能

国防総省(DoD)統一機能規則(UCR)2013 証明書

ASA は、DoD UCR 2013 規則を遵守するように更新されています。この証明書に追加された次の機能については、この表の行を参照してください。

  • 定期的な証明書認証

  • 証明書有効期限のアラート

  • 基本制約 CA フラグの適用

  • 証明書コンフィギュレーションの ASDM ユーザ名

  • ASDM 管理認証

  • IKEv2 無効セレクタの通知設定

  • 16 進数の IKEv2 事前共有キー

FIPS 140-2 認証のコンプライアンス更新

ASA で FIPS モードを有効にすると、ASA が FIPS 140-2 に準拠するように追加制限が設定されます。次の制限があります。

  • RSA および DH キー サイズの制限:RSA および DH キー 2K(2048 ビット)以上のみが許可されます。DH の場合、これはグループ 1(768 ビット)、2(1024 ビット)、5(1536 ビット)が許可されないことを意味します。

    (注)   

    キー サイズの制限により、FIPS での IKEv1 の使用が無効になります。

  • デジタル署名のハッシュ アルゴリズムの制限:SHA 256 以上のみが許可されます。

  • SSH 暗号の制限:許可された暗号は aes128-cbc または aes256-cbc です。MAC は SHA1 です。

ASA の FIPS 認証ステータスを表示するには、次の URL を参照してください。

http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf

この PDF は毎週更新されます。

詳細については、Computer Security Division Computer Security Resource Center のサイトを参照してください。

http://csrc.nist.gov/groups/STM/cmvp/inprocess.html

fips enable コマンドが変更されました。

ファイアウォール機能

複数のコアを搭載した ASA での SIP インスペクションのパフォーマンスが向上。

複数のコアを搭載した ASA を通過する SIP シグナリング フローが複数ある場合に、SIP インスペクションのパフォーマンスが向上しました。ただし、TLS、電話、または IME プロキシを使用する場合、パフォーマンスの向上は見られません。

変更されたコマンドはありません。

変更された画面はありません。

電話プロキシおよび UC-IME プロキシの SIP インスペクションのサポートを削除。

SIP インスペクションの設定時に、電話プロキシまたは UC-IME プロキシは使用できなくなりました。暗号化されたトラフィックを検査するには、TLS プロキシを使用します。

phone-proxyuc-ime の各コマンドが削除されました。inspect sip コマンドから phone-proxy および uc-ime キーワードが削除されました。

[Select SIP Inspect Map] サービス ポリシー ダイアログボックスから [Phone Proxy] と [UC-IME Proxy] が削除されました。

ISystemMapper UUID メッセージ RemoteGetClassObject opnum3 の DCERPC インスペクションのサポート。

ASA は、リリース 8.3 で EPM 以外の DCERPC メッセージのサポートを開始し、ISystemMapper UUID メッセージ RemoteCreateInstance opnum4 をサポートしています。この変更により、RemoteGetClassObject opnum3 メッセージまでサポートが拡張されます。

変更されたコマンドはありません。

変更された画面はありません。

コンテキストごとに無制限の SNMP サーバ トラップ ホスト

ASA では、コンテキストごとに SNMP サーバのトラップ ホスト数の制限がありません。show snmp-server host コマンドの出力には ASA をポーリングしているアクティブなホストと、静的に設定されたホストのみが表示されます。

show snmp-server host コマンドが変更されました。

変更された画面はありません。

VXLAN パケット インスペクション

ASA は、標準形式に準拠するために VXLAN ヘッダーを検査できます。

次のコマンドが導入されました。inspect vxlan

次の画面が変更されました。[Configuration] > [Firewall] > [Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [Protocol Inspection]

IPv6 の DHCP モニタリング

IPv6 の DHCP 統計情報および DHCP バインディングをモニタできます。

次の画面が導入されました。

[Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Statistics Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Binding]

ESMTP インスペクションの TLS セッションでのデフォルトの動作が変更されました。

ESMTP インスペクションのデフォルトが、検査されない、TLS セッションを許可するように変更されました。ただし、このデフォルトは新しい、または再イメージングされたシステムに適用されます。no allow-tls を含むシステムをアップグレードする場合、このコマンドは変更されません。

デフォルトの動作の変更は、古いバージョンでも行われました:8.4(7.25)、8.5(1.23)、8.6(1.16)、8.7(1.15)、9.0(4.28)、9.1(6.1)、9.2(3.2)、9.3(1.2)、9.3(2.2)。

ハイ アベイラビリティ機能

スタンバイ ASA での syslog 生成のブロック

スタンバイ装置で特定の syslog の生成をブロックできます。

no logging message syslog-id standby コマンドが導入されました。

変更された画面はありません。

インターフェイスごとに ASA クラスタのヘルス モニタリングをイネーブルまたはディセーブル

インターフェイスごとにヘルス モニタリングをイネーブルまたはディセーブルにすることができます。デフォルトでは、ポートチャネル、冗長、および単一のすべての物理インターフェイスでヘルス モニタリングがイネーブルになっています。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。

health-check monitor-interface コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring]

DHCP リレーの ASA クラスタリングのサポート

ASA クラスタで DHCP リレーを設定できます。クライアントの DHCP 要求は、クライアントの MAC アドレスのハッシュを使用してクラスタ メンバにロードバランスされます。DHCP クライアントおよびサーバ機能はサポートされていません。

debug cluster dhcp-relay コマンドが導入されました。

変更された画面はありません。

ASA クラスタリングでの SIP インスペクションのサポート

ASA クラスタで SIP インスペクションを設定できます。制御フローは、任意のユニットで作成できますが(ロード バランシングのため)、その子データ フローは同じユニットに存在する必要があります。TLS プロキシ設定はサポートされません。

show cluster service-policy コマンドが導入されました。

変更された画面はありません。

ルーティング機能

Policy Based Routing:ポリシー ベース ルーティング

ポリシーベース ルーティング(PBR)は、ACL を使用して QoS を指定した特定のパスを介してトラフィックをルーティングするためのメカニズムです。ACL では、パケットのレイヤ 3 および レイヤ4 ヘッダーの内容に基づいてトラフィックを分類できます。このソリューションにより、管理者は区別されたトラフィックに QoS を提供し、低帯域幅、低コストの永続パス、高帯域幅、高コストのスイッチド パスの間でインタラクティブ トラフィックとバッチ トラフィックを分散でき、インターネット サービス プロバイダーとその他の組織は明確に定義されたインターネット接続を介して一連のさまざまなユーザから送信されるトラフィックをルーティングできます。

set ip next-hop verify-availability、set ip next-hop、set ip next-hop recursive、set interface、set ip default next-hop、set default interface、set ip df、set ip dscp、policy-route route-map、show policy-route、debug policy-route の各コマンドが導入されました。

次の画面が導入または変更されました。

[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Policy Based Routing]
[Configuration] > [Device Setup] > [Routing] > [Interface Settings] > [Interfaces]

インターフェイス機能

VXLAN のサポート

VXLAN のサポートが追加されました(VXLAN トンネル エンドポイント(VTEP)のサポートを含む)。ASA またはセキュリティ コンテキストごとに 1 つの VTEP 送信元インターフェイスを定義できます。

次のコマンドが導入されました。debug vxlan、default-mcast-group、encapsulation vxlan、inspect vxlan、interface vni、mcast-group、nve、nve-only、peer ip、segment-id、show arp vtep-mapping、show interface vni、show mac-address-table vtep-mapping、show nve、show vni vlan-mapping、source-interface、vtep-nve、vxlan port

次の画面が導入されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add] > [VNI Interface]
[Configuration] > [Device Setup] > [Interface Settings] > [VXLAN]

モニタリング機能

EEM のメモリ トラッキング

メモリの割り当てとメモリの使用状況をログに記録してメモリ ロギングのラップ イベントに応答するための新しいデバッグ機能が追加されました。

次のコマンドが導入または変更されました。memory logging、show memory logging、show memory logging include、event memory-logging-wrap

次の画面が変更されました。[Configuration] > [Device Management] > [Advanced] > [Embedded Event Manager] > [Add Event Manager Applet] > [Add Event Manager Applet Event]

トラブルシューティングのクラッシュ

show tech-support コマンドの出力と show crashinfo コマンドの出力には、生成された syslog の最新 50 行が含まれます。これらの結果を表示できるようにするには、logging buffer コマンドをイネーブルにする必要があります。

リモート アクセス機能

ECDHE-ECDSA 暗号のサポート

TLSv1.2 では、次の暗号のサポートが追加されています。

  • ECDHE-ECDSA-AES256-GCM-SHA384

  • ECDHE-RSA-AES256-GCM-SHA384

  • DHE-RSA-AES256-GCM-SHA384

  • AES256-GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-ECDSA-AES128-GCM-SHA256

  • ECDHE-RSA-AES128-GCM-SHA256

  • DHE-RSA-AES128-GCM-SHA256

  • RSA-AES128-GCM-SHA256

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

    (注)   

    優先度が最も高いのは ECDSA 暗号および DHE 暗号です。

ssl ecdh-group コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]。

クライアントレス SSL VPN セッション Cookie アクセスの制限

クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。

(注)   

この機能は、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、次のクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。

  • Java プラグイン

  • Java リライタ

  • ポート フォワーディング。

  • ファイル ブラウザ

  • デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能

  • AnyConnect Web 起動

  • Citrix Receiver、XenDesktop、および Xenon

  • その他の非ブラウザ ベース アプリケーションおよびブラウザ プラグイン ベースのアプリケーション

http-only-cookie コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]。

この機能は、9.2(3) にもあります。

セキュリティ グループ タギングを使用した仮想デスクトップのアクセス制御

ASA では、内部アプリケーションおよび Web サイトへのクライアントレス SSL リモート アクセス用にセキュリティ グループ タギングベースのポリシー制御をサポートしています。この機能では、配信コントローラおよび ASA のコンテンツ変換エンジンとして XenDesktop による Citrix の仮想デスクトップ インフラストラクチャ(VDI)を使用します。

詳細については、次の Citrix 製品のマニュアルを参照してください。

クライアントレスSSL VPN に OWA 2013 機能のサポートを追加

クライアントレス SSL VPN では、以下を除き、OWA 2013 の新機能をサポートしています。

  • タブレットおよびスマートフォンのサポート

  • オフライン モード

  • Active Directory Federation Services(AD FS)2.0. ASA および AD FS 2.0 は、暗号化プロトコルをネゴシエートできません。

変更されたコマンドはありません。

変更された画面はありません。

クライアントレスSSL VPN に Citrix XenDesktop 7.5 および StoreFront 2.5 のサポートを追加

クライアントレス SSL VPN では、XenDesktop 7.5 および StoreFront 2.5 のアクセスをサポートしています。

XenDesktop 7.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/xenapp-xendesktop-75/cds-75-about-whats-new.html を参照してください。

StoreFront 2.5 の機能の完全なリストと詳細については、http://support.citrix.com/proddocs/topic/dws-storefront-25/dws-about.html を参照してください。

変更されたコマンドはありません。

変更された画面はありません。

定期的な証明書認証

定期的な証明書認証を有効にすると、ASA は、VPN クライアントから受信した証明書チェーンを保存し、それらを定期的に再認証します。

periodic-authentication certificate、revocation-check, show vpn-sessiondb の各コマンドが導入または変更されました。

次の画面が変更されました。

[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]
[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

証明書有効期限のアラート

ASA は、トラスト ポイントですべての CA および ID の証明書の有効期限について 24 時間ごとにチェックします。証明書の有効期限がまもなく切れる場合は、syslog がアラートとして発行されます。リマインダおよび繰り返しの間隔を設定できます。デフォルトでは、リマインダは有効期限の 60 日前に開始し、7 日ごとに繰り返されます。

crypto ca alerts expiration コマンドが導入または変更されました。

次の画面が変更されました。

[Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates]
[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

基本制約 CA フラグの適用

デフォルトでは、CA フラグのない証明書を CA 証明書として ASA にインストールできなくなりました。基本制約拡張は、証明書のサブジェクトが CA で、この証明書を含む有効な認証パスの最大深さかどうかを示すものです。必要に応じて、これらの証明書のインストールを許可するように ASA を設定できます。

ca-check コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [Certificate Management] > [CA Certificates]

IKEv2 無効セレクタの通知設定

現在、ASA が SA 上で着信パケットを受信し、そのパケットのヘッダー フィールドが SA 用のセレクタに適合しなかった場合、ASA はそのパケットを廃棄します。ピアへの IKEv2 通知の送信をイネーブルまたはディセーブルにすることができます。この通知の送信はデフォルトで無効になっています。

(注)   

この機能は、AnyConnect 3.1.06060 以降でサポートされています。

crypto ikev2 notify invalid-selectors コマンドが導入されました。

16 進数の IKEv2 事前共有キー

16 進数の IKEv2 事前共有キーを設定できます。

ikev2 local-authentication pre-shared-key hexikev2 remote-authentication pre-shared-key hex の各コマンドが導入されました。

管理機能

ASDM 管理認証

HTTP アクセスと Telnet および SSH アクセス別に管理認証を設定できるようになりました。

次のコマンドが導入されました。 aaa authorization http console

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]

証明書コンフィギュレーションの ASDM ユーザ名

ASDM の証明書認証http authentication-certificateを有効にすると、ASDM が証明書からユーザ名を抽出する方法を設定できます。また、ログイン プロンプトでユーザ名を事前に入力して表示できます。

次のコマンドが導入されました。http username-from-certificate

次の画面が導入されました。[Configuration] > [Device Management] > [Management Access] > [HTTP Certificate Rule]

CLI で ? の入力時にヘルプを有効または無効にするための terminal interactive コマンド

通常、ASA CLI で ? を入力すると、コマンド ヘルプが表示されます。コマンド内にテキストとして ? を入力できるようにするには(たとえば、URL の一部として ? を含めるには)、no terminal interactive コマンドを使用してインタラクティブなヘルプを無効にします。

次のコマンドが導入されました。terminal interactive

REST API の機能

REST API バージョン 1.1

REST API バージョン 1.1 のサポートが追加されました。

トークンベース認証が(既存の基本認証に加えて)サポートされるようになりました。

クライアントは特定の URL にログイン要求を送信でき、成功すると、(応答ヘッダーに)トークンが返されます。クライアントはさらなる API コールを送信するために、(特別な要求ヘッダー内で)このトークンを使用します。トークンは明示的に無効にするまで、またはアイドル/セッション タイムアウトに到達するまで有効です。

マルチ コンテキスト モードの限定的なサポート

REST API エージェントをマルチ コンテキスト モードで有効にできるようになりました。CLI コマンドはシステム コンテキスト モードでのみ発行できます(シングル コンテキスト モードと同じコマンド)。

次のようにパススルー CLI の API コマンドを使用して、コンテキストを設定できます。


https://<asa_admin_context_ip>/api/cli?context=<context_name>

context パラメータがない場合、要求は admin コンテキストに向けられたものとみなされます。

高度な(粒状の)インスペクション

次のプロトコルの詳細なインスペクションをサポートします。

  • DNS over UDP

  • HTTP

  • ICMP

  • ICMP ERROR

  • RTSP

  • SIP

  • FTP

  • DCERPC

  • IP オプション

  • NetBIOS Name Server over IP

  • SQL*Net

バージョン 9.3 の新機能

ASA 9.3(3)/ASDM 7.4(1) の新機能

リリース:2015年4月22日

機能

説明

プラットフォーム機能

syslog メッセージ内の無効なユーザ名の表示

失敗したログイン試行の syslog メッセージに無効なユーザ名を表示できるようになりました。デフォルト設定では、ユーザ名が無効な場合、または有効かどうか不明な場合、ユーザ名は非表示です。たとえば、ユーザが誤ってユーザ名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザ名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザ名を表示することもできます。

次のコマンドが導入されました。no logging hide username

この機能は、ASDM ではサポートされていません。

この機能は、9.4(1) では使用できません。

ASA 9.3(2)/ASDM 7.3(3) の新機能

リリース:2015年2月2日

機能

説明

プラットフォーム機能

ASA 5506-X の ASA FirePOWER ソフトウェア モジュール

ASA FirePOWER は ASDM を使用する ASA 5506-X 上で構成できます。別の FireSIGHT Management Center は不要です。ただし、ASDM の代わりに使用することもできます。

次の画面が導入されました。

[Home] > [ASA FirePOWER Dashboard]

[Home] > [ASA FirePOWER Reporting]

[Configuration] > [ASA FirePOWER Configuration]

[Monitoring] > [ASA FirePOWER Monitoring]

ASA 9.3(2.200)/ASDM 7.3(2) の新機能

リリース:2014年12月18日


(注)  

このリリースは、ASAv のみをサポートします。


機能

説明

プラットフォーム機能

KVM と Virtio がある ASAv

カーネルベース仮想マシン(KVM)および Virtio 仮想インターフェイス ドライバを使用して ASAv を展開できます。

ASA 9.3(2)/ASDM 7.3(2) の新機能

リリース:2014年12月18日

機能

説明

プラットフォーム機能

ASA 5506-X

ASA 5506-X を導入しました。

次のコマンドを導入または変更しました。service sw-reset-buttonupgrade rommonshow environment temperature accelerator

ASA 5506-X の ASA FirePOWER ソフトウェア モジュール

ASA FirePOWER は ASDM を使用する ASA 5506-X 上で構成できます。別の FireSIGHT Management Center は不要です。ただし、ASDM の代わりに使用することもできます。注:この機能には ASA 7.3(3) が必要です。

次の画面が導入されました。

[Home] > [ASA FirePOWER Dashboard]

[Home] > [ASA FirePOWER Reporting]

[Configuration] > [ASA FirePOWER Configuration]

[Monitoring] > [ASA FirePOWER Monitoring]

トラフィック リダイレクション インターフェイスを使用した ASA FirePOWER パッシブ モニタ専用モード

サービス ポリシーを使用する代わりに、トラフィックをモジュールに送信するようにトラフィック転送インターフェイスを設定できるようになりました。このモードでは、モジュールも ASA もトラフィックに影響を与えません。

traffic-forward sfr monitor-only コマンドを完全にサポートしています。これは、CLI でのみ設定できます。

ASA 5585-X での混在レベルの SSP

ASA 5585-X で次の混在レベルの SSP を使用できるようになりました。

  • ASA SSP-10/ASA FirePOWER SSP-40

  • ASA SSP-20/ASA FirePOWER SSP-60

要件:スロット 0 で ASA SSP、スロット 1 で ASA FirePOWER SSP

ASA REST API 1.0.1

ASA の主要な機能の設定および管理をサポートするために REST API が追加されました。

次のコマンドを導入または変更しました。rest-api imagerest-api agentshow rest-api agentdebug rest-apishow version

ASA イメージの署名と検証のサポート

ASA イメージは、デジタル署名を使用して署名されるようになりました。デジタル署名は、ASA が起動した後に検証されます。

次のコマンドが導入されました。copy /noverifyverify /image-signatureshow software authenticity keysshow software authenticity fileshow software authenticity runningshow software authenticity development、software authenticity developmentsoftware authenticity key add specialsoftware authenticity key revoke special

この機能は、ASDM ではサポートされていません。

加速セキュリティ パス ロード バランシング

加速セキュリティ パス(ASP)ロード バランシング メカニズムを利用すると、複数の CPU コアでインターフェイス受信リングからパケットを受信して個別に処理できるため、パケット損失が減少し、スループットが改善します。

次のコマンドが導入されました。asp load-balance per-packet-auto

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [ASP Load Balancing]

ファイアウォール機能

ACL およびオブジェクトを編集するためのコンフィギュレーション セッション

アクセス ルール内でのオブジェクトおよび ACL の前方参照

独立したコンフィギュレーション セッションで ACL およびオブジェクトを編集できるようになりました。オブジェクトおよび ACL を前方参照することも可能です。つまり、まだ存在していないオブジェクトや ACL に対するルールおよびアクセス グループを設定することができます。

次のコマンドが導入されました。clear configuration sessionclear sessionconfigure sessionforward-referenceshow configuration session

この機能は、ASDM ではサポートされていません。

信頼検証サービス、NAT66、CUCM 10.5(1)、および Model 8831 Phone に対する SIP のサポート

SIP インスペクションで信頼検証サービス用サーバを設定できるようになりました。NAT66 も使用できます。SIP インスペクションは CUCM 10.5(1) でテスト済みです。

次のコマンドが導入されました。trust-verification-server

次の画面が導入されました。[Configuration] > [Firewall] > [Objects] > [Inspection Maps] > [SIP] > [Add/Edit SIP Inspect Map] > [Details] > [TVS Server]

CUCM 10.5(1) に対する Unified Communications のサポート

SIP および SCCP インスペクションのテストと検証が Cisco Unified Communications Manager 10.5(1) を使用して実施されました。

リモート アクセス機能

Citrix VDI に対するブラウザのサポート

Citrix VDI にアクセスするための HTML 5 ベースのブラウザ ソリューションがサポートされるようになり、デスクトップ上の Citrix Receiver クライアントが不要になりました。

Mac OSX 10.9 用のクライアントレス SSL VPN

Mac OSX 10.9 でサポートされているすべてのブラウザでクライアントレス SSL VPN 機能(リライタ、スマート トンネル、プラグインなど)がサポートされるようになりました。

標準ベースでサードパーティの IKEv2 リモート アクセス クライアントとの相互運用性

AnyConnect に加え、標準ベースでサードパーティの IKEv2 リモート アクセス クライアントを介した VPN 接続がサポートされるようになりました。認証では、事前共有キー、証明書、拡張認証プロトコル(EAP)を介したユーザ認証などがサポートされます。

次のコマンドを導入または変更しました。ikev2 remote-authentication、ikev2 local-authenticationclear vpn-sessiondbshow vpn-sessiondbvpn-sessiondb logoff

次の画面が導入または変更されました。

[Wizards] > [IPsec IKEv2 Remote Access Wizard]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [IPsec (IKEv2) Connection Profiles] > [Add/Edit] > [Advanced] > [IPsec]

[Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

Transport Layer Security(TLS)バージョン 1.2 のサポート

TLS バージョン 1.2 がサポートされ、ASDM、クライアントレス SSVPN、および AnyConnect VPN でメッセージを安全に伝送できるようになりました。

次のコマンドを導入または変更しました。ssl client-versionssl server-versionssl cipherssl trust-pointssl dh-groupshow sslshow ssl ciphershow vpn-sessiondb

次のコマンドが非推奨になりました。ssl encryption

次の画面が変更されました。

[Configuration] > [Device Management] > [Advanced] > [SSL Settings]

[Configuration] > [Remote Access VPN] > [Advanced] > [SSL Settings]

TLS バージョン 1.2 に対する AnyConnect 4.0 のサポート

AnyConnect 4.0 で TLS バージョン 1.2 がサポートされるようになりました。また、4 つの暗号スイート(DHE-RSA-AES256-SHA256、DHE-RSA-AES128-SHA256、AES256-SHA256、および AES128-SHA256)が追加されました。

ライセンシング機能

ASAv のシスコ スマート ソフトウェア ライセンシング

Smart Software Licensing では、ライセンスのプールを購入して管理することができます。PAK ライセンスとは異なり、スマート ライセンスは特定のシリアル番号に関連付けられません。各ユニットのライセンス キーを管理しなくても、簡単に ASAv を導入したり使用を終了したりできます。スマート ソフトウェア ライセンスを利用すれば、ライセンスの使用状況と要件をひと目で確認することもできます。

clear configure license、debug license agent、feature tier、http-proxy、license smart、license smart deregister、license smart register、license smart renew、show license、show running-config license、throughput level 各コマンドが導入されました。

次の画面が導入または変更されました。

[Configuration] > [Device Management] > [Licensing] > [Smart License]

[Configuration] > [Device Management] > [Smart Call-Home]

[Monitoring] > [Properties] > [Smart License]

ハイ アベイラビリティ機能

フェールオーバー ペアのスタンバイ装置またはスタンバイ コンテキストのコンフィギュレーション変更のロック

通常のコンフィギュレーションの同期を除いてスタンバイ装置上で変更ができないように、スタンバイ装置(アクティブ/スタンバイ フェールオーバー)またはスタンバイ コンテキスト(アクティブ/アクティブ フェールオーバー)のコンフィギュレーション変更をロックできるようになりました。

failover standby config-lock コマンドが導入されました。

次の画面が変更になりました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

内部ネットワーク間に ASA クラスタ ファイアウォールを備えたトランスペアレント モードの ASA クラスタリング サイト間導入

各サイトの内部ネットワークとゲートウェイ ルータ間にトランスペアレント モードのクラスタを導入し(AKA イーストウェスト挿入)、サイト間に内部 VLAN を拡張できます。オーバーレイ トランスポート仮想化(OTV)の使用を推奨しますが、ゲートウェイ ルータの重複する MAC アドレスおよび IP アドレスがサイト間で漏えいしないようにする任意の方法を使用できます。HSRP などの First Hop Redundancy Protocol(FHRP)を使用して、同じ仮想 MAC アドレスおよび IP アドレスをゲートウェイ ルータに提供します。

インターフェイス機能

トラフィック ゾーン

インターフェイスをトラフィック ゾーンにグループ化することで、トラフィックのロード バランシング(等コスト マルチパス(ECMP)ルーティングを使用)、ルートの冗長性、および複数のインターフェイス間での非対称ルーティングを実現できます。

(注)   

名前付きゾーンにはセキュリティ ポリシーを適用できません。セキュリティ ポリシーはインターフェイスに基づきます。ゾーン内のインターフェイスが同じアクセス ルール、NAT、およびサービス ポリシーを使用して設定されていれば、ロード バランシングおよび非対称ルーティングは正しく動作します。

zone、zone-member、show running-config zone、clear configure zone、show zone、show asp table zone、show nameif zone、show conn long、show local-host zone、show route zone、show asp table routing、clear conn zone、clear local-host zone の各コマンドが導入または変更されました。

次の画面が導入または変更されました。

[Configuration] > [Device Setup] > [Interface Parameters] > [Zones]

[Configuration] > [Device Setup] > [Interface Parameters] > [Interfaces]

ルーティング機能

IPv6 に対する BGP のサポート

IPv6 のサポートが追加されました。

次のコマンドを導入または変更しました。address-family ipv6、bgp router-id、ipv6 prefix-list、ipv6 prefix-list description、ipv6 prefix-list sequence-number、match ipv6 next-hop、match ipv6 route-source、match ipv6- address prefix-list、set ipv6-address prefix -list、set ipv6 next-hop、set ipv6 next-hop peer-address

次の画面が導入されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family]

モニタリング機能

SNMP の MIB およびトラップ

新しい ASA 5506-X をサポートするように CISCO-PRODUCTS-MIB および CISCO-ENTITY-VENDORTYPE-OID-MIB が更新されました。

SNMP の sysObjectID OID および entPhysicalVendorType OID に、新しい製品として ASA 5506-X が追加されました。

ASA で CISCO-CONFIG-MAN-MIB がサポートされるようになりました。以下が可能です。

  • 特定のコンフィギュレーションについて入力されたコマンドを確認する。

  • 実行コンフィギュレーションに変更が発生したときに NMS に通知する。

  • 実行コンフィギュレーションが最後に変更または保存されたときのタイム スタンプを追跡する。

  • 端末の詳細やコマンドのソースなど、コマンドに対するその他の変更を追跡する。

次のコマンドが変更されました。snmp-server enable traps

次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP] > [Configure Traps] > [SNMP Trap Configuration]

トラブルシューティングに使用するルートのサマリー情報の表示

show route-summary コマンドの出力が show tech-support detail コマンドに追加されました。

管理機能

システムのバックアップと復元

CLI を使用した、包括的なシステムのバックアップと復元がサポートされるようになりました。

backup および restore コマンドが導入されました。

変更された画面はありません。この機能はすでに ASDM で利用可能です。

ASA 9.3(1)/ASDM 7.3(1) の新機能

リリース:2014年7月24日


(注)  

このリリース以降、ASA 5505 はサポートされません。ASA バージョン 9.2 は、ASA 5505 の最終リリースです。


機能

説明

ファイアウォール機能

IPv6 に対する SIP、SCCP、および TLS プロキシのサポート

SIP、SCCP、および TLS プロキシ(SIP または SCCP を使用)を使用している場合、IPv6 トラフィックを検査できるようになりました。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

Cisco Unified Communications Manager 8.6 のサポート

ASA と Cisco Unified Communications Manager バージョン 8.6 が相互運用されるようになりました(SCCPv21 のサポートを含む)。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

アクセス グループおよび NAT に関するルール エンジンのトランザクション コミット モデル

イネーブルの場合、ルールの編集の完了後、ルールの更新が適用されます。ルールの照合パフォーマンスへの影響はありません。

asp rule-engine transactional-commitshow running-config asp rule-engine transactional-commitclear configure asp rule-engine transactional-commit の各コマンドが導入されました。

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Rule Engine]。

リモート アクセス機能

クライアントレス SSL VPN に対する XenDesktop 7 のサポート

クライアントレス SSL VPN に対する XenDesktop 7 のサポートが追加されました。自動サインオンを含むブックマークを作成する場合に、ランディング ページの URL またはコントロール ID を指定できるようになりました。

変更されたコマンドはありません。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Portal] > [Bookmarks]。

AnyConnect カスタム属性の強化

カスタム属性では、ASA に組み込まれていない AnyConnect の機能(遅延アップグレードなど)が定義および設定されます。カスタム属性の設定が強化され、複数の値やより大きな値を設定できるようになりました。現在は、カスタム属性のタイプ、名前、および値の指定が必要になっています。また、カスタム属性をダイナミック アクセス ポリシーおよびグループ ポリシーに追加できるようになりました。9.3.x にアップグレードすると、以前に定義したカスタム属性がこの強化された設定フォーマットに更新されます。

anyconnect-custom-attranyconnect-custom-data、および anyconnect-custom の各コマンドが導入または変更されました。

次の画面が導入または変更されました。

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attributes]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [AnyConnect Custom Attribute Names]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add/Edit] > [Advanced] > [AnyConnect Client] > [Custom Attributes]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Dynamic Access Policies] > [Add/Edit] > [AnyConnect Custom Attributes]

デスクトップ プラットフォームの AnyConnect Identity Extension(ACIDex)

ACIDex(AnyConnect エンドポイント属性または Mobile Posture とも呼ばれる)は、AnyConnect VPN クライアントがポスチャ情報を ASA に伝える際に使用する方法です。ダイナミック アクセス ポリシーでは、ユーザの認証にこれらのエンドポイント属性が使用されます。

現在、AnyConnect VPN クライアントには、デスクトップ オペレーティング システム(Windows、Mac OS X、および Linux)のプラットフォーム識別機能が搭載されているほか、DAP で使用可能な MAC アドレス プールが用意されています。

変更されたコマンドはありません。

次の画面が変更されました。 [Configuration] > [Remote Access VPN] > [Dynamic Access Policies] > [Add/Edit] > [Add/Edit (endpoint attribute)]。[Endpoint Attribute Type] では [AnyConnect] を選択します。[Platform] ドロップダウン リストにはオペレーティング システムが追加されています。また、[MAC Address] が [Mac Address Pool] に変更されました。

VPN に対する TrustSec SGT の割り当て

リモート ユーザが接続するときに、TrustSec セキュリティ グループ タグ(SGT)を ASA の SGT-IP テーブルに追加できるようになりました。

新しい security-group-tag value コマンドが導入されました。

次の画面が導入または変更されました。

[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] > [Edit User] > [VPN Policy]

[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Group Policies] > [Add a Policy]

ハイ アベイラビリティ機能

クラスタリング内のモジュールのヘルス モニタリングに対するサポートの強化

クラスタリング内のモジュールのヘルス モニタリングに対するサポートサポートが強化されました。

show cluster info health コマンドが変更されました。

変更された ASDM 画面はありません。

ハードウェア モジュールのヘルス モニタリングの無効化

ASA はデフォルトで、インストール済みハードウェア モジュール(ASA FirePOWER モジュールなど)のヘルス モニタリングを行います。特定のハードウェア モジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニタリングをディセーブルにできます。

monitor-interface service-module コマンドが変更されました。

次の画面が変更になりました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Interfaces]

プラットフォーム機能

ASP ロード バランシング

asp load-balance per-packet コマンドの新しい auto オプションを使用すると、ASA の各インターフェイス受信リングで、ASP ロード バランシングのオン/オフをパケットごとに柔軟に切り替えることができます。この自動メカニズムにより、非対称トラフィックが導入されているかどうかを検出し、次の問題を回避することができます。

  • フロー上での突発的なトラフィックの増加によって発生するオーバーラン

  • 特定のインターフェイス受信リングをオーバーサブスクライブする大量のフローによって発生するオーバーラン

  • 1 つのコアでは耐えられないような、かなり大きな負荷がかかっているインターフェイス受信リングで発生するオーバーラン

asp load-balance per-packet autoshow asp load-balance per-packetshow asp load-balance per-packet history、および clear asp load-balance history の各コマンドが導入または変更されました。

変更された ASDM 画面はありません。

SNMP MIB

CISCO-REMOTE-ACCESS-MONITOR-MIB が ASASM をサポートするようになりました。

インターフェイス機能

トランスペアレント モードのブリッジ グループの最大数が 250 に増加

ブリッジ グループの最大数が 8 個から 250 個に増えました。シングル モードでは最大 250 個、マルチ モードではコンテキストあたり最大 8 個のブリッジ グループを設定でき、各ブリッジ グループには最大 4 個のインターフェイスを追加できます。

interface bvi および bridge-group コマンドが変更されました。

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interfaces]

[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Bridge Group Interface]

[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit Interface]

ルーティング機能

ASA クラスタリングに対する BGP のサポート

ASA クラスタリングに対する BGP のサポートが追加されました。

次の新しいコマンドが導入されました。bgp router-id clusterpool

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [General]

ノンストップ フォワーディングに対する BGP のサポート

ノンストップ フォワーディングに対する BGP のサポートが追加されました。

次の新しいコマンドが導入されました。bgp graceful-restart、neighbor ha-mode graceful-restart

次の画面が変更されました。

[Configuration] > [Device Setup] > [Routing] > [BGP] > [General]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [Neighbor]

[Monitoring] > [Routing] > [BGP Neighbors]

アドバタイズされたマップに対する BGP のサポート

アドバタイズされたマップに対する BGPv4 のサポートが追加されました。

次の新しいコマンドが導入されました。neighbor advertise-map

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv4 Family] > [Neighbor] > [Add BGP Neighbor] > [Routes]。

ノンストップ フォワーディング(NSF)に対する OSPF のサポート

NSF に対する OSPFv2 および OSPFv3 のサポートが追加されました。

次のコマンドが追加されました。capability、nsf cisco、nsf cisco helper、nsf ietf、nsf ietf helper、nsf ietf helper strict-lsa-checking、graceful-restart、graceful-restart helper、graceful-restart helper strict-lsa-checking

次の画面が追加されました。

[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [NSF Properties]

[Configuration] > [Device Setup] > [Routing] > [OSPFv3] > [Setup] > [NSF Properties]

AAA 機能

レイヤ 2 セキュリティ グループのタグ インポジション

セキュリティ グループ タギングをイーサネット タギングと組み合わせて使用して、ポリシーを適用できるようになりました。SGT とイーサネット タギング(レイヤ 2 SGT インポジションとも呼ばれる)を利用すると、ASA でシスコ独自のイーサネット フレーミング(イーサネット タイプ 0x8909)を使用して、ギガビット イーサネット インターフェイスでセキュリティ グループ タグを送受信できます。これにより、送信元のセキュリティ グループ タグをプレーン テキストのイーサネット フレームに挿入できます。

cts manualpolicy static sgtpropagate sgtcts role-based sgt-mapshow cts sgt-mappacket-tracercaptureshow captureshow asp dropshow asp table classifyshow running-config allclear configure all、および write memory の各コマンドが導入または変更されました。

次の画面が変更されました。

[Configuration] > [Device Setup] > [Interfaces] > [Add Interface] > [Advanced]

[Configuration] > [Device Setup] > [Interfaces] > [Add Redundant Interface] > [Advanced]

[Configuration] > [Device Setup] > [Add Ethernet Interface] > [Advanced]

[Wizards] > [Packet Capture Wizard]

[Tools] > [Packet Tracer]

AAA の Windows NT ドメイン認証の削除

リモート アクセス VPN ユーザに対する NTLM のサポートが削除されました。

次のコマンドが非推奨になりました。aaa-server protocol nt

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Add AAA Server Group]。

ASDM Identity Certificate Wizard

最新バージョンの Java を使用している場合、ASDM ランチャにおいて信頼できる証明書が必要になります。証明書の要件は、自己署名付きの ID 証明書をインストールすることによって簡単に満たすことができます。[ASDM Identity Certificate Wizard] を使用すると、自己署名付きの ID 証明書を簡単に作成できます。最初に ASDM を起動したときに信頼できる証明書がない場合、Java Web Start を使用して ASDM を起動するよう要求されます。この新しいウィザードは自動的に開始されます。ID 証明書を作成したら、Java コントロール パネルに登録する必要があります。手順については、https://www.cisco.com/go/asdm-certificate を参照してください。

次の画面が追加されました。[Wizards] > [ASDM Identity Certificate Wizard]。

モニタリング機能

物理インターフェイスの集約トラフィックのモニタリング

show traffic コマンドの出力が更新され、物理インターフェイス情報の集約トラフィックが含まれるようになりました。この機能をイネーブルにするには、最初に sysopt traffic detailed-statistics コマンドを入力する必要があります。

show tech support の強化

show tech-support コマンドに show resource usage count all 1 の出力が含まれるようになりました。これには、xlate、conn、inspect、syslog などに関する情報が含まれます。この情報は、パフォーマンスに関する問題を診断するために役立ちます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

ASDM は、ボットネット トラフィック フィルタ レポートを PDF ではなく HTML として保存することができます。

ASDM はボットネット トラフィック フィルタ レポートを PDF ファイルとして保存できなくなりました。それは代わりに HTML として保存できます。

次の画面が変更されました。[Monitoring] > [Botnet Traffic Filter]

バージョン 9.2 の新機能

ASA 9.2(4)/ASDM 7.4(3) の新機能

リリース:2015年7月16日

機能

説明

プラットフォーム機能

syslog メッセージ内の無効なユーザ名の表示

失敗したログイン試行の syslog メッセージに無効なユーザ名を表示できるようになりました。デフォルト設定では、ユーザ名が無効な場合、または有効かどうか不明な場合、ユーザ名は非表示です。たとえば、ユーザが誤ってユーザ名の代わりにパスワードを入力した場合、結果として生成される syslog メッセージで「ユーザ名」を隠すのが安全です。ログインに関するトラブルシューティングに役立てるために、無効なユーザ名を表示することもできます。

次のコマンドが導入されました。no logging hide username

次の画面が変更されました。[Configuration] > [Device Management] > [Logging] > [Syslog Setup]。

DHCP 機能

DHCP リレー サーバは、応答用の DHCP サーバ識別子を確認します。

ASA DHCP リレー サーバが不適切な DHCP サーバから応答を受信すると、応答を処理する前に、その応答が適切なサーバからのものであることを確認するようになりました。

モニタリング機能

Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。

SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。

このデータは、show xlate count コマンドと同等です。

変更された ASDM 画面はありません。

8.4(5) および 9.1(5) でも使用可能です。

ASA 9.2(3)/ASDM 7.3(1.101) の新機能

リリース:2014年12月15日

機能

説明

リモート アクセス機能

クライアントレス SSL VPN セッション Cookie アクセスの制限

クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。

(注)   

この機能は、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、次のクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。

  • Java プラグイン

  • Java リライタ

  • ポート フォワーディング。

  • ファイル ブラウザ

  • デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能

  • AnyConnect Web 起動

  • Citrix Receiver、XenDesktop、および Xenon

  • その他の非ブラウザ ベース アプリケーションおよびブラウザ プラグイン ベースのアプリケーション

次のコマンドが導入されました。http-only-cookie

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]

ASA 9.2(2.4)/ASDM 7.2(2) の新機能

リリース:2014年8月12日


(注)  

バージョン 9.2(2) はビルドの問題により Cisco.com から削除されました。バージョン 9.2(2.4) またはそれ以降にアップグレードしてください。


機能

説明

プラットフォーム機能

ASA 5585-X(すべてのモデル)で適合する ASA FirePOWER SSP ハードウェア モジュールをサポート。

ASA 5512-X ~ ASA 5555-X で ASA FirePOWER ソフトウェア モジュールをサポート。

ASA FirePOWER モジュールは、次世代 IPS(NGIPS)、アプリケーションの可視性とコントロール(AVC)、URL フィルタリング、高度なマルウェア保護(AMP)などの次世代ファイアウォール サービスを提供します。このモジュールは、シングルまたはマルチ コンテキスト モードとルーテッドまたはトランスペアレント モードで使用できます。

capture interface asa_dataplanedebug sfrhw-module module 1 reloadhw-module module 1 resethw-module module 1 shutdownsession do setup host ip、session do get-config、session do password-reset、session sfr、sfr、show asp table classify domain sfrshow captureshow connshow module sfrshow service-policy、sw-module sfr の各コマンドが導入または変更されました。

次の画面が導入されました。

[Home] > [ASA FirePOWER Status]

[Wizards] > [Startup Wizard] > [ASA FirePOWER Basic Configuration]

[Configuration] > [Firewall > Service Policy Rules] > [Add Service Policy Rule] > [Rule Actions] > [ASA FirePOWER Inspection]

リモート アクセス機能

クライアントレス SSL VPN のための Windows 8.1 および Windows 7 上での Internet Explorer 11 ブラウザのサポート

クライアントレス SSL VPN のための Windows 7 および Windows 8.1 での Internet Explorer 11 のサポートを追加しました。

変更されたコマンドはありません。

変更された画面はありません。

ASA 9.2(1)/ASDM 7.2(1) の新機能

リリース:2014年4月24日


(注)  

このリリース以降、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580 はサポートされていません。ASA バージョン 9.1 は、これらのモデルの最終リリースです。


機能

説明

プラットフォーム機能

Cisco 適応セキュリティ仮想アプライアンス(ASAv)は、新しいプラットフォームとして ASA シリーズに追加されました。

ASAv は、仮想化環境に包括的なファイアウォール機能を提供し、データセンター トラフィックとマルチテナント環境のセキュリティを強化します。ASAv は、VMware vSphere 上で稼働します。ASDM または CLI を使用して、ASAv を管理およびモニタすることができます。

ルーティング機能

BGP のサポート

ボーダー ゲートウェイ プロトコル(BGP)をサポートするようになりました。BGP は相互自律システム ルーティング プロトコルです。BGP は、インターネットのルーティング情報を交換するために、インターネット サービス プロバイダー(ISP)間で使用されるプロトコルです。

次のコマンドが導入されました。router bgp、bgp maxas-limit、bgp log-neighbor-changes、bgp transport path-mtu-discovery、bgp fast-external-fallover、bgp enforce-first-as、bgp asnotation dot、timers bgp、bgp default local-preference、bgp always-compare-med、bgp bestpath compare-routerid、bgp deterministic-med、bgp bestpath med missing-as-worst、policy-list、match as-path、match community、match metric、match tag、as-path access-list、community-list、address-family ipv4、bgp router-id、distance bgp、table-map、bgp suppress-inactive、bgp redistribute-internal、bgp scan-time、bgp nexthop、aggregate-address、neighbor、bgp inject-map、show bgp、show bgp cidr-only、show bgp all community、show bgp all neighbors、show bgp community、show bgp community-list、show bgp filter-list、show bgp injected-paths、show bgp ipv4 unicast、show bgp neighbors、show bgp paths、show bgp pending-prefixes、show bgp prefix-list、show bgp regexp、show bgp replication、show bgp rib-failure、show bgp route-map、show bgp summary、show bgp system-config、show bgp update-group、clear route network、maximum-path、network

次のコマンドが変更されました。show routeshow route summaryshow running-config routerclear config routerclear route alltimers lsa arrivaltimers pacingtimers throttleredistribute bgp

次の画面が導入されました。

[Configuration] > [Device Setup] > [Routing] > [BGP]

[Monitoring] > [Routing] > [BGP Neighbors]、[Monitoring] > [Routing] > [BGP Routes]

次の画面が変更されました。

[Configuration] > [Device Setup] > [Routing] > [Static Routes] > [Add] > [Add Static Route]

[Configuration] > [Device Setup] > [Routing] > [Route Maps] > [Add] > [Add Route Map]

Null0 インターフェイス用のスタティック ルート

トラフィックを Null0 インターフェイスへ送信すると、指定したネットワーク宛のパケットはドロップします。この機能は、BGP の Remotely Triggered Black Hole (RTBH) の設定に役立ちます。

route コマンドが変更されました。

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [Static Routes] > [Add] > [Add Static Route]

Fast Hello に対する OSPF サポート

OSPF は、Fast Hello パケット機能をサポートしているため、OSPF ネットワークでのコンバージェンスが高速なコンフィギュレーションになります。

次のコマンドが変更されました。ospf dead-interval

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Interface] > [Edit OSPF Interface Advanced Properties]

新規 OSPF タイマー

新しい OSPF タイマーを追加し、古いタイマーを廃止しました。

次のコマンドが導入されました。timers lsa arrival、timers pacing、timers throttle

次のコマンドが削除されました。timers spf、timers lsa-grouping-pacing

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Setup] > [Edit OSPF Process Advanced Properties]

ACL を使用する OSPF ルート フィルタリング

ACL を使用したルート フィルタリングがサポートされるようになりました。

次のコマンドが導入されました。distribute-list

次の画面が追加されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Filtering Rules] > [Add Filter Rules]

OSPF モニタリングの強化

OSPF モニタリングの詳細情報が追加されました。

次のコマンドが変更されました。show ospf events、show ospf rib、show ospf statistics、show ospf border-routers [detail]、show ospf interface brief

OSPF 再配布 BGP

OSPF 再配布機能が追加されました。

次のコマンドが追加されました。redistribute bgp

次の画面が追加されました。[Configuration] > [Device Setup] > [Routing] > [OSPF] > [Redistribution]

EIGRP の [Auto- Summary]

EIGRP の [Auto-Summary] フィールドはデフォルトでディセーブルになりました。

次の画面が変更されました。[Configuration] > [Device Setup] > [Routing] > [EIGRP] > [Setup] > [Edit EIGRP Process Advanced Properties]

ハイ アベイラビリティ機能

トランスペアレント モードでの異なる地理的位置にあるクラスタ メンバのサポート(サイト間)

トランスペアレント ファイアウォール モードでスパンド EtherChannel モードを使用すると、クラスタ メンバを異なる地理的な場所に配置できるようになりました。ルーテッド ファイアウォール モードのスパンド EtherChannel での Inter-Site クラスタリングはサポートされません。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

クラスタリングに対するスタティック LACP ポート プライオリティのサポート

一部のスイッチは、LACP でのダイナミック ポート プライオリティをサポートしていません(アクティブおよびスタンバイ リンク)。ダイナミック ポート プライオリティをディセーブルにすることで、スパンド EtherChannel との互換性を高めることができるようになりました。次の注意事項にも従う必要があります。

  • クラスタ制御リンク パスのネットワーク エレメントでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。

  • ポートチャネル バンドルのダウンタイムは、設定されているキープアライブ インターバルを超えてはなりません。

clacp static-port-priority コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

クラスタリングのためのスパンド EtherChannel での 32 個のアクティブ リンクのサポート

ASA EtherChannels は最大 16 個のアクティブ リンクをサポートするようになりました。スパンド EtherChannel ではその機能が拡張されて、vPC の 2 台のスイッチで使用し、ダイナミック ポート プライオリティをディセーブルにした場合、クラスタ全体で最大 32 個のアクティブ リンクをサポートします。スイッチは、16 のアクティブ リンクを持つ EtherChannel をサポートする必要があります(Cisco Nexus 7000 の F2 シリーズ 10 ギガビット イーサネット モジュールなど)。

8 個のアクティブ リンクをサポートする VSS または vPC のスイッチの場合は、スパンド EtherChannel に 16 個のアクティブ リンクを設定できます(各スイッチに接続された 8 個)。従来は、VSS/vPC で使用する場合であっても、スパンド EtherChannel は 8 個のアクティブ リンクと 8 個のスタンバイ リンクしかサポートしませんでした。

(注)   

スパンド EtherChannel で 8 個より多くのアクティブ リンクを使用する場合は、スタンバイ リンクも使用できません。9 ~ 32 個のアクティブ リンクをサポートするには、スタンバイ リンクの使用を可能にする cLACP ダイナミック ポート プライオリティをディセーブルにする必要があります。

clacp static-port-priority コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

ASA 5585-X の 16 のクラスタ メンバのサポート

ASA 5585-X が 16 ユニット クラスタをサポートするようになりました。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

Cisco Nexus 9300 でのクラスタリングのサポート

ASA では、Cisco Nexus 9300 への接続時にクラスタリングをサポートします。

リモート アクセス機能

ISE 許可の変更

ISE Change of Authorization(CoA)機能は、認証、認可、およびアカウンティング(AAA)セッションの属性を、セッション確立後に変更するためのメカニズムを提供します。AAA のユーザまたはユーザ グループのポリシーを変更すると、ISE から ASA へ CoA パケットを直接送信して認証を再初期化し、新しいポリシーを適用できます。インライン ポスチャ実施ポイント(IPEP)で、ASA と確立された各 VPN セッションのアクセス コントロール リスト(ACL)を適用する必要がなくなりました。

エンド ユーザが VPN 接続を要求すると、ASA はユーザに対して ISE 認証を実行し、ネットワークへの制限付きアクセスを提供するユーザ ACL を受領します。アカウンティング開始メッセージが ISE に送信され、セッションが登録されます。ポスチャ アセスメントが NAC エージェントと ISE 間で直接行われます。このプロセスは、ASA に透過的です。ISE が CoA の「ポリシー プッシュ」を介して ASA にポリシーの更新を送信します。これにより、ネットワーク アクセス権限を高める新しいユーザ ACL が識別されます。後続の CoA 更新を介し、接続のライフタイム中に追加のポリシー評価が ASA に透過的に行われる場合があります。

次のコマンドが導入されました。dynamic-authorization、authorize-onlydebug radius dynamic-authorization

次のコマンドが変更されました。without-csd [anyconnect]、interim-accounting-update [periodic [interval]]

次のコマンドが削除されました。nac-policyeounac-settings

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] > [Add/Edit AAA Server Group]

クライアントレス リライタ HTTP 1.1 圧縮処理の改善

クライアントが圧縮コンテンツをサポートしておりコンテンツを書き換えられない場合に、サーバから圧縮コンテンツが受け入れられるように、リライタが変更されました。コンテンツを書き換える必要があり、それが圧縮されていると識別される場合、コンテンツは圧縮解除され、書き換えられ、クライアントがサポートしている場合には再圧縮します。

導入または変更されたコマンドはありません。

導入または変更された ASDM 画面はありません。

OpenSSL のアップグレード

ASA 上の OpenSSL のバージョンは、バージョン 1.0.1e に更新されます。

(注)   

ハートビート オプションは無効になったため、ASA は Heartbleed バグに対しては脆弱でありません。

導入または変更されたコマンドはありません。

導入または変更された ASDM 画面はありません。

インターフェイス機能

EtherChannel あたり 16 個のアクティブ リンクのサポート

EtherChannel あたり最大で 16 個のアクティブ リンクを設定できるようになりました。これまでは、8 個のアクティブ リンクと 8 個のスタンバイ リンクが設定できました。スイッチは、16 個のアクティブ リンクをサポート可能である必要があります(たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビット イーサネット モジュール)。

(注)   

旧バージョンの ASA からアップグレードする場合、互換性を得るために、アクティブなインターフェイスの最大数を 8 に設定しますlacp max-bundle コマンド)

次のコマンドが変更されました。lacp max-bundle および port-channel min-bundle

次の画面が変更されました。[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]。

最大 MTU が 9198 バイトになりました

ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。

次のコマンドが変更されました。mtu

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit Interface] > [Advanced]

バージョン 9.1(6) でも同様です。

モニタリング機能

Embedded Event Manager(EEM)

EEM 機能を利用することで、問題をデバッグし、トラブルシューティングに対して汎用ロギングを提供できます。EEM は、EEM システムでアクションを実行してイベントに応答します。2 つの構成要素があります。1 つは EEM がトリガーするイベントであり、もう 1 つはアクションを定義するイベント マネージャ アプレットです。複数のイベントを各イベント マネージャ アプレットに追加でき、イベント マネージャ アプレットではそれがトリガーとなって、設定されているアクションが起動します。

次のコマンドを導入または変更しました。event manager appletdescriptionevent syslog idevent noneevent timerevent crashinfoaction cli commandoutputshow running-config event managerevent manager runshow event managershow counters protocol eemclear configure event managerdebug event managerdebug menu eem

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Embedded Event Manager]、[Monitoring] > [Properties] > [EEM Applets]。

SNMP のホスト、ホスト グループ、ユーザ リスト

最大 4000 個までホストを追加できるようになりました。サポートされるアクティブなポーリング先の数は 128 個です。ホスト グループとして追加する個々のホストを示すためにネットワーク オブジェクトを指定できます。1 つのホストに複数のユーザを関連付けることができます。

snmp-server host-groupsnmp-server user-listshow running-config snmp-serverclear configure snmp-server の各コマンドが導入または変更されました。

次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP]。

SNMP メッセージのサイズ

SNMP で送信できるメッセージのサイズが 1472 バイトまでに増えました。

SNMP の MIB および OID

ASA は、cpmCPUTotal5minRev OID をサポートするようになりました。

SNMP の sysObjectID OID および entPhysicalVendorType OID に、新しい製品として ASAv が追加されました。

新しい ASAv プラットフォームをサポートするよう、CISCO-PRODUCTS-MIB および CISCO-ENTITY-VENDORTYPE-OID-MIB が更新されました。

管理機能

改善されたワンタイム パスワード認証

十分な認可特権を持つ管理者は、認証クレデンシャルを一度入力すると特権 EXEC モードに移行できます。auto-enable オプションが aaa authorization exec コマンドに追加されました。

次のコマンドが変更されました。aaa authorization exec

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]。

デフォルトでイネーブルになっている Auto Update サーバ証明書の検証

Auto Update Server 証明書の確認がデフォルトでイネーブルになりました。新しい設定では、証明書の確認を明示的にディセーブルにする必要があります。証明書の確認をイネーブルにしていなかった場合に、以前のリリースからアップグレードしようとすると、証明書の確認はイネーブルではなく、次の警告が表示されます。


WARNING: The certificate provided by the auto-update servers will not be verified. 
In order to verify this certificate please use the verify-certificate option.

コンフィギュレーションの移行では、検証を行わないように明示的に設定されます。次のコマンドを使用します

auto-update server no-verification

次のコマンドが変更されました。auto-update server [verify-certificate | no-verification]

次の画面が変更されました。[Configuration] > [Device Management] > [System/Image Configuration] > [Auto Update] > [Add Auto Update Server]。

バージョン 9.1 の新機能

ASA 9.1(7.4)/ASDM 7.5(2.153) の新機能

リリース:2016 年 2 月 19 日


(注)  

バージョン 9.1(7) はビルドの問題により Cisco.com から削除されました。バージョン 9.1(7.4) またはそれ以降にアップグレードしてください。


機能

説明

リモート アクセス機能

クライアントレス SSL VPN セッション Cookie アクセスの制限

クライアントレス SSL VPN セッション Cookie が JavaScript などのクライアント側のスクリプトを介してサードパーティからアクセスされないようにすることができます。

(注)   

この機能は、Cisco TAC から使用を推奨された場合のみ使用してください。このコマンドをイネーブルにすると、次のクライアントレス SSL VPN 機能が警告なしで動作しなくなるため、セキュリティ上のリスクが発生します。

  • Java プラグイン

  • Java リライタ

  • ポート フォワーディング。

  • ファイル ブラウザ

  • デスクトップ アプリケーション(Microsoft Office アプリケーションなど)を必要とする Sharepoint 機能

  • AnyConnect Web 起動

  • Citrix Receiver、XenDesktop、および Xenon

  • その他の非ブラウザ ベース アプリケーションおよびブラウザ プラグイン ベースのアプリケーション

http-only-cookie コマンドが導入されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [HTTP Cookie]。

この機能は、9.2(3) と 9.4(1)でも使用できます。

設定可能な SSH 暗号機能と HMAC アルゴリズム

ユーザは SSH 暗号化を管理するときに暗号化モードを選択し、さまざまなキー交換アルゴリズムに対して HMAC と暗号化を設定できます。

次のコマンドが導入されました。ssh cipher encryption および ssh cipher integrity

ASDM サポートはありません。

クライアントレス SSL VPN キャッシュはデフォルトでは無効

クライアントレス SSL VPN のキャッシュはデフォルトで無効になりました。クライアントレス SSL VPN キャッシュを無効にすることで安定性が改善します。キャッシュを有効にするには手動で有効にする必要があります。


webvpn
cache
no disable

次のコマンドが変更されました。cache

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientless SSL VPN Access] > [Advanced] > [Content Cache]

9.5(2) でも使用可能です。

IPv6 の HTTP リダイレクト サポート

ASDM アクセスまたはクライアントレス SSL VPN 用の HTTPS に HTTP リダイレクトを有効にすると、IPv6 アドレスへ送信されるトラフィックもリダイレクトできるようになりました。

次のコマンドに機能が追加されました。http redirect

次の画面に機能が追加されました。[Configuration] > [Device Management] > [HTTP Redirect]

管理機能

show tech support の強化

show tech support コマンドは現在次のとおりです。

  • dir all-filesystems の出力が含まれます。この出力は次の場合に役立つことがあります。

    • SSL VPN コンフィギュレーション:必要なリソースが ASA にあるかどうかを確認します。

    • クラッシュ:クラッシュ ファイルの日付のタイムスタンプと存在を確認します。

  • show resource usage count all 1 の出力が含まれます。これには、xlate、conn、inspect、syslog などに関する情報が含まれます。この情報は、パフォーマンスに関する問題を診断するために役立ちます。

  • show kernel cgroup-controller detail の出力の削除:このコマンド出力は show tech-support detail の出力内に残されます。

次のコマンドが変更されました。show tech support

追加または変更された画面はありません。

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable のサポート

CISCO-ENHANCED-MEMPOOL-MIB の cempMemPoolTable がサポートされました。これは、管理型システムのすべての物理エンティティのメモリプール モニタリング エントリのテーブルです。

(注)   

CISCO-ENHANCED-MEMPOOL-MIB は 64 ビットのカウンタを使用して、プラットフォーム上の 4 GB 以上のメモリのレポーティングをサポートします。

追加または変更されたコマンドはありません。

追加または変更された画面はありません。

ASA 9.1(6)/ASDM 7.1(7) の新機能

リリース:2015年3月2日

機能

説明

インターフェイス機能

最大 MTU が 9198 バイトになりました

ASA で使用できる最大の MTU は 9198 バイトです(CLI のヘルプでご使用のモデルの正確な最大値を確認してください)。この値にはレイヤ 2 ヘッダーは含まれません。以前は、ASA で 65535 バイトの最大 MTU を指定できましたが、これは不正確であり、問題が発生する可能性がありました。9198 よりも大きいサイズに MTU を設定している場合は、アップグレード時に MTU のサイズが自動的に削減されます。場合によっては、この MTU の変更により MTU の不一致が発生する可能性があります。接続している機器が新しい MTU 値を使用するように設定されていることを確認してください。

次のコマンドが変更されました。mtu

次の画面が変更されました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit Interface] > [Advanced]

ASA 9.1(5)/ASDM 7.1(6) の新機能

リリース:2014年3月31日

機能

説明

管理機能

セキュア コピー クライアント

SCP サーバとの間でファイルを転送するため、ASA は Secure Copy(SCP)クライアントをサポートするようになりました。

ssh pubkey-chainserver (ssh pubkey-chain)key-stringkey-hashssh stricthostkeycheck の各コマンドが導入されました。

copy scp コマンドが変更されました。

次の画面が変更されました。

[Tools] > [File Management] > [File Transfer] > [Between Remote Server and Flash]
[Configuration] > [Device Management] > [Management Access] > [File Access] > [Secure Copy (SCP) Server]

改善されたワンタイム パスワード認証

十分な認可特権を持つ管理者は、認証クレデンシャルを一度入力すると特権 EXEC モードに移行できます。auto-enable オプションが aaa authorization exec コマンドに追加されました。

次のコマンドが変更されました。aaa authorization exec

次の画面が変更されました。[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization]。

ファイアウォール機能

アクセス グループに関するルール エンジンのトランザクション コミット モデル

イネーブルの場合、ルールの編集の完了後、ルールの更新が適用されます。ルールの照合パフォーマンスへの影響はありません。

次のコマンドが導入されました。asp rule-engine transactional-commitshow running-config asp rule-engine transactional-commitclear configure asp rule-engine transactional-commit

次の画面が導入されました。[Configuration] > [Device Management] > [Advanced] > [Rule Engine]。

モニタリング機能

SNMP のホスト、ホスト グループ、ユーザ リスト

最大 4000 個までホストを追加できるようになりました。サポートされるアクティブなポーリング先の数は 128 個です。ホスト グループとして追加する個々のホストを示すためにネットワーク オブジェクトを指定できます。1 つのホストに複数のユーザを関連付けることができます。

snmp-server host-groupsnmp-server user-listshow running-config snmp-serverclear configure snmp-server の各コマンドが導入または変更されました。

次の画面が変更されました。[Configuration] > [Device Management] > [Management Access] > [SNMP]

Xlate カウントへのポーリング可能にする NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID。

SNMP の xlate_count および max_xlate_count に、NAT-MIB cnatAddrBindNumberOfEntries および cnatAddrBindSessionCount OID がサポートされるようになりました。

このデータは、show xlate count コマンドと同等です。

変更された ASDM 画面はありません。

8.4(5) でも使用可能です。

リモート アクセス機能

AnyConnect DTLS の単一セッションにおけるパフォーマンスの向上

ストリーミング メディアなどの UDP トラフィックは、AnyConnect DTLS 接続経由での送信時に多数のパケットがドロップすることに影響を受けていました。たとえばこれにより、ストリーミング ビデオの再生画質が悪かったり、ストリーミングが完全に停止したりすることがありました。この理由は、フロー制御キューが比較的小さかったことにあります。

DTLS フロー制御キュー サイズを増やし、これを埋め合わせるために管理者暗号キュー サイズを減らしました。TLS セッションでは、この変更に対応するために暗号化コマンドの優先順位が高に変更されました。DTLS と TLS の両方のセッションで、セッションはパケットがドロップした場合でも持続するようになりました。これによりメディア ストリームは閉じられなくなり、ドロップするパケットの数は他の接続方法と必ず同等になります。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

Webtype ACL の機能拡張

URL 正規化を導入しました。URL 正規化は、パス正規化、ケース正規化、スキーム正規化を含む追加のセキュリティ機能です。ACE とポータル アドレス バーに指定された URL は、比較前に正規化されます。webvpn トラフィック フィルタリングに関する決定を行うためです。

たとえば、https://calo.cisco.com/checkout/Devices をブックマークすると、Web タイプ ACL の下の https://calo.cisco.com/checkout/Devices/* は一致しているように見えます。ただし、URL 正規化が導入されているので、ブックマーク URL と Web タイプ ACL の両方が比較前に正規化されます。この例では、https://calo.cisco.com/checkout/Devices は https://calo.cisco.com/checkout/Devices に正規化され、https://calo.cisco.com/checkout/Devices/* は同じままであるため、その 2 つは一致しません。

要件を満たすため、次の設定が必要です。

  • URL(https://calo.cisco.com/checkout/Devices)のブックマークを許可するために、その URL を許可するように ACL を設定します。

  • Devices フォルダ内で URL を許可するには、https://calo.cisco.com/checkout/Devices/* を許可するように ACL を設定します。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

ASA 9.1(4)/ASDM 7.1(5) の新機能

リリース:2013年12月9日

機能

説明

リモート アクセス機能

HTML5 Websocket のプロキシ化

HTML5 Websocket は、クライアントとサーバとの間の持続的接続を提供します。クライアントレス SSL VPN 接続の確立中に、ハンドシェイクはサーバに HTTP アップグレード要求として表示されます。ASA プロキシはこの要求をバックエンドにプロキシ化し、ハンドシェイクが完了した後にリレーを提供するようになりました。ゲートウェイ モードは現在サポートされていません。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

IKEv2 用の内部 IPv6

IPv6 トラフィックは、IPsec/IKEv2 トンネル経由でトンネルできるようになりました。これにより ASA から AnyConnect VPN への接続は完全に IPv6 準拠になります。GRE は、IPv4 と IPv6 の両方のトラフィックがトンネル化されており、クライアントとヘッドエンドの両方が GRE をサポートしている場合に使用されます。単一トラフィック タイプの場合、または GRE がクライアントあるいはヘッドエンドによってサポートされていない場合は、ストレート IPsec を使用します。

(注)   

この機能は AnyConnect クライアント バージョン 3.1.05 以降が必要です。

show ipsec sa および show vpn-sessiondb detail anyconnect コマンドの出力は、割り当てられた IPv6 アドレスを反映し、IKEv2 デュアル トラフィックの実行時に GRE トランスポート モードのセキュリティ アソシエーションを示すように更新されました。

vpn-filter コマンドを IPv4 および IPv6 ACL に使用することが必要になりました。廃止された ipv6-vpn-filter コマンドが IPv6 ACL を設定するために使用された場合、接続は終了します。

変更された ASDM 画面はありません。

Citrix サーバ モバイルを実行しているモバイル デバイスには、追加の接続オプションがあります。

ASA 経由で Citrix サーバに接続するモバイル デバイスのサポートには、トンネルグループの選択、および承認のための RSA Securid が含まれるようになりました。モバイル ユーザに別のトンネル グループを選択することを許可すると、管理者は異なる認証方法を使用できます。

Citrix Receiver ユーザがトンネルグループを選択しないときに VDI 接続用のデフォルトのトンネルグループを設定するために、application-type コマンドが導入されました。特定のグループ ポリシーまたはユーザ用の VDI 設定を無効にするために、none アクションが vdi コマンドに追加されました。

次の画面が変更されました。[Configuration] > [Remote Access VPN] > [Clientliess SSL VPN Access] > [VDI Access]

スプリットトンネリングによる除外 ACL のサポート

VPN トラフィックのスプリットトンネリングは拡張され、除外および組み込みの両方の ACL をサポートするようになりました。除外 ACL は以前は無視されていました。

(注)   

この機能は AnyConnect クライアント バージョン 3.1.03103 以降が必要です。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

ハイ アベイラビリティとスケーラビリティの各機能

ASA 5500-X でのクラスタリングのサポート

ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X および ASA 5555-X が 2 ユニット クラスタをサポートするようになりました。2 ユニットのクラスタリングは、基本ライセンスではデフォルトでイネーブルになります。ASA 5512-X では Security Plus ライセンスが必要です。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

ヘルス チェック モニタリングの VSS および vPC によるサポートの強化

クラスタ制御リンクが EtherChannel として設定されていて(推奨)、VSS または vPC ペアに接続されている場合、ヘルス チェック モニタリングによって安定性を高めることができます。一部のスイッチ(Nexus 5000 など)では、VSS/vPC の 1 つのユニットがシャットダウンまたは起動すると、そのスイッチに接続されている EtherChannel メンバー インターフェイスが ASA に対してアップと認識される場合がありますが、スイッチ側にはトラフィックが渡されていません。ASA holdtime timeout を低い値(0.8 秒など)に設定した場合、ASA が誤ってクラスタから削除される可能性があり、ASA はキープアライブ メッセージをこれらのいずれかの EtherChannel インターフェイスに送信します。VSS/vPC ヘルス チェック機能をイネーブルにすると、ASA はクラスタ制御リンクのすべての EtherChannel インターフェイスでキープアライブ メッセージをフラッディングして、少なくとも 1 台のスイッチがそれを受信できることを確認します。

health-check [vss-enabled] コマンドが変更されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

異なる地理的位置にあるクラスタ メンバのサポート(サイト間)。個別インターフェイス モードのみ

個別インターフェイス モードを使用すると、クラスタ メンバを異なる地理的な場所に配置できるようになりました。サイト間のガイドラインについては、設定ガイドを参照してください。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

Cisco Nexus 5000 と Cisco Catalyst 3750-X を使用するクラスタリングのサポート

ASA では、Cisco Nexus 5000 および Cisco Catalyst 3750-X への接続時にクラスタリングをサポートします。

health-check [vss-enabled] コマンドが変更されました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

基本的な操作機能

DHCP 再バインド機能

DHCP 再バインド フェーズに、クライアントはトンネル グループ リスト内の他の DHCP サーバへの再バインドを試行するようになりました。このリリース以前には、DHCP リースの更新に失敗した場合、クライアントは代替サーバへ再バインドしませんでした。

次のコマンドが導入されました。show ip address dhcp lease proxy、show ip address dhcp lease summary、および show ip address dhcp lease server

次の画面が導入されました。[Monitoring] > [Interfaces] > [DHCP]> [DHCP Lease Information]

トラブルシューティング機能

crashinfo ダンプには AK47 フレームワーク情報が含まれる

アプリケーション カーネル層 4 ~ 7(AK47)フレームワーク関連情報は、crashinfo ダンプから入手できます。新しいオプション ak47debug menu コマンドに追加され、AK47 フレームワークの問題のデバッグに役立てることができます。crashinfo ダンプのフレームワーク関連情報は次のとおりです。

  • AK47 インスタンスの作成。

  • AK47 インスタンスの破棄。

  • メモリ マネージャ フレームでの crashinfo の生成。

  • ファイバ スタック オーバーフロー後の crashinfo の生成。

  • ローカル変数オーバーフロー後の crashinfo の生成。

  • 例外が発生した後の crashinfo の生成。

ASA 9.1(3)/ASDM 7.1(4) の新機能

リリース:2013年9月18日

機能

説明

モジュール機能

マルチ コンテキスト モードでの ASA CX モジュールのサポート

ASA でコンテキストごとに ASA CX サービス ポリシーを設定できます。

(注)   

コンテキストごとに ASA サービス ポリシーを設定できますが、(PRSM で設定されている)ASA CX モジュール自体はシングル コンテキスト モードのデバイスです。つまり、ASA から着信するコンテキスト固有のトラフィックは共通の ASA CX ポリシーと照合されます。

ASA CX 9.2(1) 以降が必要です。

変更されたコマンドはありません。

変更された ASDM 画面はありません。

ASA CX SSP-40 および -60 用の ASA 5585-X(SSP-40 および -60 搭載)サポート

ASA CX SSP-40 および -60 モジュールは、SSP-40 および -60 搭載の ASA 5585-X と一致するレベルで使用できます。

ASA CX 9.2(1) 以降が必要です。

変更されたコマンドはありません。

変更された画面はありません。

ASA CX バックプレーンでキャプチャされたパケットのフィルタリング

match または access-list キーワードを capture interface asa_dataplane コマンドとともに使用して、ASA CX バックプレーンでキャプチャされたパケットをフィルタリングできるようになりました。ASA CX モジュールに固有の制御トラフィックは、access-list または match フィルタリングの影響を受けません。ASA はすべての制御トラフィックをキャプチャします。マルチ コンテキスト モードでは、コンテキストごとにパケット キャプチャを設定します。マルチ コンテキスト モードのすべての制御トラフィックが送信されるのはシステム実行スペースだけであることに注意してください。access list または match を使用して制御トラフィックのみのフィルタリングを行うことができないため、これらのオプションはシステム実行スペースでは使用できません。

ASA CX 9.2(1) 以降が必要です。

capture interface asa_dataplane コマンドが変更されました。

新しいオプションとして、[Use backplane channel] が [Packet Capture Wizard] の [Ingress Traffic Selector] 画面と [Egress Selector] 画面に追加されました。これにより ASA CX バックプレーン上でキャプチャされたパケットのフィルタリングが可能になります。

モニタリング機能