この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
日付と時刻を手動で設定したり、現在のシステム時刻を表示するには、下記で説明する の CLI コマンドを使用してシステムのネットワーク タイム プロトコル(NTP)を設定します。
NTP の設定は、Firepower 4100/9300 シャーシとシャーシにインストールされている論理デバイス間で自動的に同期されます。
(注) | Firepower 4100/9300 シャーシに Firepower Threat Defense を導入すると、スマート ライセンスが正しく機能し、デバイス登録に適切なタイムスタンプを確保するように Firepower 4100/9300 シャーシに NTP を設定する必要があります。Firepower 4100/9300 シャーシと Firepower Management Center に同じ NTP サーバを使用する必要があります。 |
NTP を使用すると、[現在の時刻(Current Time)] タブの全体的な同期ステータスを表示できます。または、[時刻の同期(Time Synchronization)] タブの [NTP サーバ(NTP Server)] テーブルの [サーバのステータス(Server Status)] フィールドを見ると、設定済みの各 NTP サーバの同期ステータスを表示できます。システムが特定 NTP サーバと同期できない場合、[サーバのステータス(Server Status)] の横にある情報アイコンにカーソルを合わせると詳細を確認できます。
ステップ 1 | FXOS CLI に接続します(FXOS CLIへのアクセスを参照)。 |
ステップ 2 | 設定されたタイム ゾーンを表示するには、次のコマンドを使用します。
Firepower-chassis# showtimezone |
ステップ 3 | 設定された日付と時刻を表示するには、次のコマンドを使用します。
Firepower-chassis# showclock |
次の例では、設定されたタイム ゾーンと現在のシステム日時を表示する方法を示しています。
Firepower-chassis# show timezone Timezone: America/Chicago Firepower-chassis# show clock Thu Jun 2 12:40:42 CDT 2016 Firepower-chassis#
次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションを確定し、設定したタイム ゾーンを表示する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set timezone Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 1) Africa 4) Arctic Ocean 7) Australia 10) Pacific Ocean 2) Americas 5) Asia 8) Europe 3) Antarctica 6) Atlantic Ocean 9) Indian Ocean #? 2 Please select a country. 1) Anguilla 28) Haiti 2) Antigua & Barbuda 29) Honduras 3) Argentina 30) Jamaica 4) Aruba 31) Martinique 5) Bahamas 32) Mexico 6) Barbados 33) Montserrat 7) Belize 34) Nicaragua 8) Bolivia 35) Panama 9) Brazil 36) Paraguay 10) Canada 37) Peru 11) Caribbean Netherlands 38) Puerto Rico 12) Cayman Islands 39) St Barthelemy 13) Chile 40) St Kitts & Nevis 14) Colombia 41) St Lucia 15) Costa Rica 42) St Maarten (Dutch part) 16) Cuba 43) St Martin (French part) 17) Curacao 44) St Pierre & Miquelon 18) Dominica 45) St Vincent 19) Dominican Republic 46) Suriname 20) Ecuador 47) Trinidad & Tobago 21) El Salvador 48) Turks & Caicos Is 22) French Guiana 49) United States 23) Greenland 50) Uruguay 24) Grenada 51) Venezuela 25) Guadeloupe 52) Virgin Islands (UK) 26) Guatemala 53) Virgin Islands (US) 27) Guyana #? 49 Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties 7) Eastern Time - Indiana - Pulaski County 8) Eastern Time - Indiana - Crawford County 9) Eastern Time - Indiana - Pike County 10) Eastern Time - Indiana - Switzerland County 11) Central Time 12) Central Time - Indiana - Perry County 13) Central Time - Indiana - Starke County 14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 15) Central Time - North Dakota - Oliver County 16) Central Time - North Dakota - Morton County (except Mandan area) 17) Central Time - North Dakota - Mercer County 18) Mountain Time 19) Mountain Time - south Idaho & east Oregon 20) Mountain Standard Time - Arizona (except Navajo) 21) Pacific Time 22) Pacific Standard Time - Annette Island, Alaska 23) Alaska Time 24) Alaska Time - Alaska panhandle 25) Alaska Time - southeast Alaska panhandle 26) Alaska Time - Alaska panhandle neck 27) Alaska Time - west Alaska 28) Aleutian Islands 29) Hawaii #? 21 The following information has been given: United States Pacific Time Therefore timezone 'America/Los_Angeles' will be set. Local time is now: Wed Jun 24 07:39:25 PDT 2015. Universal Time is now: Wed Jun 24 14:39:25 UTC 2015. Is the above information OK? 1) Yes 2) No #? 1 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services # top Firepower-chassis# show timezone Timezone: America/Los_Angeles (Pacific Time) Firepower-chassis#
NTP を使用して階層的なサーバ システムを実現し、ネットワーク システム間の時刻を正確に同期します。このような精度は、CRL の検証など正確なタイム スタンプを含む場合など、時刻が重要な操作で必要になります。最大 4 台の NTP サーバを設定できます。
(注) | FXOS 2.2(2) 以降では NTP バージョン 3 を使用します。 |
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IPv6 アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 192.168.200.101 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IPv6 アドレス 4001::6 を持つ NTP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、Firepower シャーシで日付と時刻を手動で設定する方法ついて説明します。システム クロックの変更はただちに反映されます。
(注) | システム クロックが NTP サーバと同期中である場合は、日付と時刻を手動で設定することはできません。 |
次に、システム クロックを設定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set clock jun 24 2015 15 27 00 Firepower-chassis /system/services #
次の手順では、Firepower シャーシへの SSH アクセスを有効または無効にする方法、および FXOS シャーシを SSH クライアントとして有効にする方法について説明します。SSH はデフォルトで有効になっています。
次に、Firepower シャーシへの SSH アクセスを有効にし、トランザクションを確定する例を示します。
Firepower# scope system Firepower /system # scope services Firepower /system/services # enable ssh-server Firepower /system/services* # commit-buffer Firepower /system/services #
次の手順は、Firepower シャーシへの Telnet アクセスを有効または無効にする方法を示しています。デフォルトでは、Telnet はディセーブルになっています。
(注) | 現在、Telnet は CLI を使用してのみ設定できます。 |
次に、Telnet を有効にし、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /services # enable telnet-server Firepower-chassis /services* # commit-buffer Firepower-chassis /services #
ここでは、Firepower シャーシでの Simple Network Management Protocol(SNMP)の設定方法について説明します。詳細については、次のトピックを参照してください。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム
SNMP エージェント:Firepower のデータを維持し、必要に応じてそのデータを SNMP マネージャに報告する Firepower シャーシ内のソフトウェア コンポーネント。Firepower シャーシには、エージェントと一連の MIB が含まれています。SNMP エージェントを有効にし、マネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効にし、設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。これらの通知では、要求を SNMP マネージャから送信する必要はありません。通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower シャーシは、トラップまたはインフォームとして SNMP 通知を生成します。SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower シャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。Firepower シャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。セキュリティ モデルと選択したセキュリティ レベルの組み合わせにより、SNMP メッセージの処理中に適用されるセキュリティ メカニズムが決まります。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージを表示するために必要な特権を決定します。権限レベルは、メッセージが開示されないよう保護または認証の必要があるかどうかを決定します。サポートされるセキュリティ レベルは、セキュリティ モデルが設定されているかによって異なります。SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
水準器 |
認証 |
暗号化(Encryption) |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング(Community string) |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング(Community string) |
なし |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[ユーザ名(Username)] |
なし |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-SHA |
なし |
HMAC Secure Hash Algorithm(SHA)に基づいて認証します。 |
v3 |
authPriv |
HMAC-SHA |
DES |
HMAC-SHA アルゴリズムに基づいて認証します。データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。SNMPv3 ユーザベース セキュリティ モデル(USM)は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Firepower シャーシは、SNMP に次のサポートを提供します。
Firepower シャーシは、MIB への読み取り専用アクセスをサポートします。
Firepower シャーシは、SNMPv3 ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします。
Firepower シャーシは、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠します。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。AES-128 の設定を有効にして、SNMPv3 ユーザ用のプライバシー パスワードを含めると、Firepower シャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。AES priv パスワードは、8 文字以上にします。パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
次に、SNMP を有効にし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム連絡先を設定し、systemlocation という名前の連絡先ロケーションを設定し、トランザクションをコミットする例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # set snmp community Enter a snmp community: SnmpCommSystem2 Firepower-chassis /monitoring* # set snmp syscontact contactperson1 Firepower-chassis /monitoring* # set snmp syslocation systemlocation Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
SNMP トラップおよびユーザを作成します。
次の例は、SNMP を使用可能にし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次の例は、SNMP を使用可能にし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 2001::1 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次に、IP アドレス 192.168.100.112 で SNMP トラップを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-trap 192.168.100.112 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
次の例では、SNMP を有効化し、snmp-user14 という名前の SNMPv3 ユーザを作成し、AES-128 暗号化を有効化し、パスワードおよびプライバシー パスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-user snmp-user14 Password: Firepower-chassis /monitoring/snmp-user* # set aes-128 yes Firepower-chassis /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: Firepower-chassis /monitoring/snmp-user* # commit-buffer Firepower-chassis /monitoring/snmp-user #
次に、snmp-user14 という SNMPv3 ユーザを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-user snmp-user14 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
ここでは、Firepower 4100/9300 シャーシ で HTTPS を設定する方法を説明します。
(注) | Firepower Chassis Manager または FXOS CLI を使用して HTTPS ポートを変更できます。他の HTTPS の設定はすべて、FXOS CLI を使用してのみ設定できます。 |
HTTPS は、公開キー インフラストラクチャ(PKI)を使用してクライアントのブラウザと Firepower 4100/9300 シャーシ などの 2 つのデバイス間でセキュアな通信を確立します。
各 PKI デバイスは、内部キー リングに非対称の Rivest-Shamir-Adleman(RSA)暗号キーのペア(1 つはプライベート、もう 1 つはパブリック)を保持します。いずれかのキーで暗号化されたメッセージは、もう一方のキーで復号化できます。暗号化されたメッセージを送信する場合、送信者は受信者の公開キーで暗号化し、受信者は独自の秘密キーを使用してメッセージを復号化します。送信者は、独自の秘密キーで既知のメッセージを暗号化(「署名」とも呼ばれます)して公開キーの所有者を証明することもできます。受信者が該当する公開キーを使用してメッセージを正常に復号化できる場合は、送信者が対応する秘密キーを所有していることが証明されます。暗号キーの長さはさまざまであり、通常の長さは 512 ビット ~ 2048 ビットです。一般的に、短いキーよりも長いキーの方がセキュアになります。FXOS では、最初に 2048 ビットのキー ペアを含むデフォルトのキー リングが提供されます。そして、追加のキー リングを作成できます。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
セキュアな通信を準備するには、まず 2 つのデバイスがそれぞれのデジタル証明書を交換します。証明書は、デバイスの ID に関する署名済み情報とともにデバイスの公開キーを含むファイルです。暗号化された通信をサポートするために、デバイスは独自のキー ペアと独自の自己署名証明書を生成できます。リモート ユーザが自己署名証明書を提示するデバイスに接続する場合、ユーザはデバイスの ID を簡単に検証することができず、ユーザのブラウザは最初に認証に関する警告を表示します。デフォルトでは、FXOS にはデフォルトのキー リングからの公開キーを含む組み込みの自己署名証明書が含まれます。
FXOS に強力な認証を提供するために、デバイスの ID を証明する信頼できるソース(つまり、トラスト ポイント)からサードパーティ証明書を取得し、インストールできます。サードパーティ証明書は、発行元トラスト ポイント(ルート認証局(CA)、中間 CA、またはルート CA につながるトラスト チェーンの一部となるトラスト アンカーのいずれか)によって署名されます。新しい証明書を取得するには、FXOS で証明書要求を生成し、トラスト ポイントに要求を送信する必要があります。
証明書は、Base64 エンコード X.509(CER)フォーマットである必要があります。
FXOS は、デフォルト キー リングを含め、最大 8 個のキー リングをサポートします。
次の例では、1024 ビットのキー サイズのキー リングを作成します。
Firepower-chassis# scope security Firepower-chassis /security # create keyring kr220 Firepower-chassis /security/keyring* # set modulus mod1024 Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
このキー リングの証明書要求を作成します。
クラスタ名が変更されたり、証明書が期限切れになったりした場合は、デフォルトのキー リング証明書を手動で再生成する必要があります。
次に、デフォルト キー リングを再生成する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring default Firepower-chassis /security/keyring* # set regenerate yes Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
キー リングの証明書要求の作成
次の例では、基本オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # create certreq ip 192.168.200.123 subject-name sjc04 Certificate request password: Confirm certificate request password: Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: Certificate request country name: State, province or county (full name): Locality (eg, city): Organization name (eg, company): Organization Unit name (eg, section): Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- Firepower-chassis /security/keyring #
証明書要求のテキストを BEGIN および END 行を含めてコピーし、ファイルに保存します。キー リングの証明書を取得するため、証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
次の例では、詳細オプション付きのキー リングについて IPv4 アドレスで証明書要求を作成して表示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # create certreq Firepower-chassis /security/keyring/certreq* # set ip 192.168.200.123 Firepower-chassis /security/keyring/certreq* # set subject-name sjc04 Firepower-chassis /security/keyring/certreq* # set country US Firepower-chassis /security/keyring/certreq* # set dns bg1-samc-15A Firepower-chassis /security/keyring/certreq* # set email test@cisco.com Firepower-chassis /security/keyring/certreq* # set locality new york city Firepower-chassis /security/keyring/certreq* # set org-name "Cisco Systems" Firepower-chassis /security/keyring/certreq* # set org-unit-name Testing Firepower-chassis /security/keyring/certreq* # set state new york Firepower-chassis /security/keyring/certreq* # commit-buffer Firepower-chassis /security/keyring/certreq # show certreq Certificate request subject name: sjc04 Certificate request ip address: 192.168.200.123 Certificate request e-mail name: test@cisco.com Certificate request country name: US State, province or county (full name): New York Locality name (eg, city): new york city Organization name (eg, company): Cisco Organization Unit name (eg, section): Testing Request: -----BEGIN CERTIFICATE REQUEST----- MIIBfTCB5wIBADARMQ8wDQYDVQQDEwZzYW1jMDQwgZ8wDQYJKoZIhvcNAQEBBQAD gY0AMIGJAoGBALpKn1t8qMZO4UGqILKFXQQc2c8b/vW2rnRF8OPhKbhghLA1YZ1F JqcYEG5Yl1+vgohLBTd45s0GC8m4RTLJWHo4SwccAUXQ5Zngf45YtX1WsylwUWV4 0re/zgTk/WCd56RfOBvWR2Dtztu2pGA14sd761zLxt29K7R8mzj6CAUVAgMBAAGg LTArBgkqhkiG9w0BCQ4xHjAcMBoGA1UdEQEB/wQQMA6CBnNhbWMwNIcECsEiXjAN BgkqhkiG9w0BAQQFAAOBgQCsxN0qUHYGFoQw56RwQueLTNPnrndqUwuZHUO03Teg nhsyu4satpyiPqVV9viKZ+spvc6x5PWIcTWgHhH8BimOb/0OKuG8kwfIGGsEDlAv TTYvUP+BZ9OFiPbRIA718S+V8ndXr1HejiQGxlDNqoN+odCXPc5kjoXD0lZTL09H BA== -----END CERTIFICATE REQUEST----- Firepower-chassis /security/keyring/certreq #
証明書要求のテキストを BEGIN および END 行を含めてコピーし、ファイルに保存します。キー リングの証明書を取得するため、証明書要求を含むファイルをトラスト アンカーまたは認証局に送信します。
トラスト ポイントを作成し、トラスト アンカーから受け取ったトラストの証明書の証明書チェーンを設定します。
次の例は、トラスト ポイントを作成し、トラスト ポイントに証明書を提供します。
Firepower-chassis# scope security Firepower-chassis /security # create trustpoint tPoint10 Firepower-chassis /security/trustpoint* # set certchain Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Trustpoint Certificate Chain: > -----BEGIN CERTIFICATE----- > MIIDMDCCApmgAwIBAgIBADANBgkqhkiG9w0BAQQFADB0MQswCQYDVQQGEwJVUzEL > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > jtcEMyZ+f7+3yh421ido3nO4MIGeBgNVHSMEgZYwgZOAFLlNjtcEMyZ+f7+3yh42 > 1ido3nO4oXikdjB0MQswCQYDVQQGEwJVUzELMAkGA1UECBMCQ0ExFDASBgNVBAcT > C1NhbnRhIENsYXJhMRswGQYDVQQKExJOdW92YSBTeXN0ZW1zIEluYy4xFDASBgNV > BAsTC0VuZ2luZWVyaW5nMQ8wDQYDVQQDEwZ0ZXN0Q0GCAQAwDAYDVR0TBAUwAwEB > /zANBgkqhkiG9w0BAQQFAAOBgQAhWaRwXNR6B4g6Lsnr+fptHv+WVhB5fKqGQqXc > wR4pYiO4z42/j9Ijenh75tCKMhW51az8copP1EBmOcyuhf5C6vasrenn1ddkkYt4 > PR0vxGc40whuiozBolesmsmjBbedUCwQgdFDWhDIZJwK5+N3x/kfa2EHU6id1avt > 4YL5Jg== > -----END CERTIFICATE----- > ENDOFBUF Firepower-chassis /security/trustpoint* # commit-buffer Firepower-chassis /security/trustpoint #
トラスト アンカーまたは認証局からキー リング証明書を取得し、キー リングにインポートします。
次に、トラストポイントを指定し、証明書をキー リングにインポートする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope keyring kr220 Firepower-chassis /security/keyring # set trustpoint tPoint10 Firepower-chassis /security/keyring* # set cert Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. Keyring certificate: > -----BEGIN CERTIFICATE----- > MIIB/zCCAWgCAQAwgZkxCzAJBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEVMBMGA1UE > BxMMU2FuIEpvc2UsIENBMRUwEwYDVQQKEwxFeGFtcGxlIEluYy4xEzARBgNVBAsT > ClRlc3QgR3JvdXAxGTAXBgNVBAMTEHRlc3QuZXhhbXBsZS5jb20xHzAdBgkqhkiG > 9w0BCQEWEHVzZXJAZXhhbXBsZS5jb20wgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJ > AoGBAMZw4nTepNIDhVzb0j7Z2Je4xAG56zmSHRMQeOGHemdh66u2/XAoLx7YCcYU > ZgAMivyCsKgb/6CjQtsofvtrmC/eAehuK3/SINv7wd6Vv2pBt6ZpXgD4VBNKONDl > GMbkPayVlQjbG4MD2dx2+H8EH3LMtdZrgKvPxPTE+bF5wZVNAgMBAAGgJTAjBgkq > hkiG9w0BCQcxFhMUQSBjaGFsbGVuZ2UgcGFzc3dvcmQwDQYJKoZIhvcNAQEFBQAD > gYEAG61CaJoJaVMhzCl903O6Mg51zq1zXcz75+VFj2I6rH9asckCld3mkOVx5gJU > Ptt5CVQpNgNLdvbDPSsXretysOhqHmp9+CLv8FDuy1CDYfuaLtvlWvfhevskV0j6 > mK3Ku+YiORnv6DhxrOoqau8r/hyI/L43l7IPN1HhOi3oha4= > -----END CERTIFICATE----- > ENDOFBUF Firepower-chassis /security/keyring* # commit-buffer Firepower-chassis /security/keyring #
キー リングを使用して HTTPS サービスを設定します。
注意 | HTTPS で使用するポートとキー リングの変更を含め、HTTPS の設定を完了した後、トランザクションを保存またはコミットするとすぐに、現在のすべての HTTP および HTTPS セッションは警告なく閉じられます。 |
ステップ 1 | システム モードに入ります。
Firepower-chassis# scope system | ||
ステップ 2 | システム サービス モードに入ります。
Firepower-chassis /system # scope services | ||
ステップ 3 | HTTPS サービスを有効にします。
Firepower-chassis /system/services # enable https | ||
ステップ 4 | (任意)
HTTPS 接続で使用されるポートを指定します。
Firepower-chassis /system/services # set https port port-num | ||
ステップ 5 | (任意)
HTTPS に対して作成したキー リングの名前を指定します。
Firepower-chassis /system/services # set https keyring keyring-name | ||
ステップ 6 | (任意)
ドメインで使用される暗号スイート セキュリティのレベルを指定します。
Firepower-chassis /system/services # set https cipher-suite-mode cipher-suite-mode cipher-suite-mode には、以下のいずれかのキーワードを指定できます。 | ||
ステップ 7 | (任意)
cipher-suite-mode が custom に設定されている場合は、ドメインに対してカスタム レベルの暗号スイート セキュリティを指定します。
Firepower-chassis /system/services # set https cipher-suite cipher-suite-spec-string cipher-suite-spec-string は最大 256 文字で構成できます。これは OpenSSL 暗号スイート仕様に準拠する必要があります。次を除き、スペースや特殊文字は使用できません。!(感嘆符)、+(プラス記号)、-(ハイフン)、および :(コロン)。詳細については、http://httpd.apache.org/docs/2.0/mod/mod_ssl.html#sslciphersuite を参照してください。 たとえば、デフォルトとして FXOS が使用する中強度仕様の文字列は以下となります。ALL:!ADH:!EXPORT56:!LOW:RC4+RSA:+HIGH:+MEDIUM:+EXP:+eNULL
| ||
ステップ 8 | (任意)
証明書失効リスト検査を、有効または無効にします。
setrevoke-policy { relaxed | strict } | ||
ステップ 9 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /system/services # commit-buffer |
次の例では、HTTPS を有効にし、ポート番号を 443 に設定し、キー リング名を kring7984 に設定し、暗号スイートのセキュリティ レベルを高に設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # enable https Firepower-chassis /system/services* # set https port 443 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # set https keyring kring7984 Firepower-chassis /system/services* # set https cipher-suite-mode high Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
デフォルトでは、HTTPS サービスはポート 443 で有効になっています。HTTPS を無効にすることはできませんが、HTTPS 接続に使用するポートは変更できます。
次に、HTTPS ポート番号を 443 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次の例では、キー リングを削除します。
Firepower-chassis# scope security Firepower-chassis /security # delete keyring key10 Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
トラスト ポイントがキー リングによって使用されていないことを確認してください。
次に、トラスト ポイントを削除する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # delete trustpoint tPoint10 Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
次に、HTTPS を無効にし、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # disable https Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次のトピックを参照してください。
AAA は、コンピュータ リソースへのアクセスを制御するための一連のサービスで、ポリシーを適用し、使用状況を評価し、サービスの課金に必要な情報を提供します。これらのプロセスは、効果的なネットワーク管理およびセキュリティにとって重要と見なされています。
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。AAA サーバは、ユーザのクレデンシャルとデータベースに保存されている他のユーザ クレデンシャルとを比較します。クレデンシャルが一致した場合は、ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように Firepower 4100/9300 シャーシ を設定できます。これには、次のセッションが含まれます。
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけで使用することも、認証および認可とともに使用することもできます。
AAA サーバは、アクセス制御に使用されるネットワーク サーバです。認証は、ユーザを識別します。認可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
Firepower シャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを管理します。AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、認可、アカウンティングを提供することもできます。
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
次の例は、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid、タイムアウト間隔を 5 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # set attribute CiscoAvPair Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
(注) | ユーザ ログインは LDAP ユーザの userdn が 255 文字を超えると失敗します。 |
LDAP プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーをサポートします。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 10.193.169.246 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 2 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 30 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、バインド DN、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 1 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 45 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次に、ldap1 という LDAP サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # delete server ldap1 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security |
ステップ 2 | セキュリティ RADIUS モードに入ります。
Firepower-chassis /security # scope radius |
ステップ 3 | (任意)
サーバをダウン状態として通知する前に RADIUS サーバとの通信を再試行する回数を指定します。
Firepower-chassis /security/radius # set retries retry-num |
ステップ 4 | (任意)
システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待機する時間間隔を設定します。
Firepower-chassis /security/radius # set timeout seconds |
ステップ 5 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/radius # commit-buffer |
次の例は、RADIUS の再試行回数を 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # set retries 4 Firepower-chassis /security/radius* # set timeout 30 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
RADIUS プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーをサポートします。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security | ||
ステップ 2 | セキュリティ RADIUS モードに入ります。
Firepower-chassis /security # scope radius | ||
ステップ 3 | RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードに入ります。
Firepower-chassis /security/radius # create server server-name | ||
ステップ 4 | (任意)
RADIUS サーバとの通信に使用するポートを指定します。
Firepower-chassis /security/radius/server # set authport authport-num | ||
ステップ 5 | RADIUS サーバ キーを設定します。
Firepower-chassis /security/radius/server # set key キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。 | ||
ステップ 6 | (任意)
このサーバが試行される順序を指定します。
Firepower-chassis /security/radius/server # set order order-num | ||
ステップ 7 | (任意)
サーバをダウン状態として通知する前に RADIUS サーバとの通信を再試行する回数を設定します。
Firepower-chassis /security/radius/server # set retries retry-num | ||
ステップ 8 | システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を指定します。
Firepower-chassis /security/radius/server # set timeout seconds
| ||
ステップ 9 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/radius/server # commit-buffer |
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証を有効にし、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # create server radiusserv7 Firepower-chassis /security/radius/server* # set authport 5858 Firepower-chassis /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 Firepower-chassis /security/radius/server* # set order 2 Firepower-chassis /security/radius/server* # set retries 4 Firepower-chassis /security/radius/server* # set timeout 30 Firepower-chassis /security/radius/server* # commit-buffer Firepower-chassis /security/radius/server #
次に、radius1 という RADIUS サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # delete server radius1 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security |
ステップ 2 | セキュリティ TACACS+ モードに入ります。
Firepower-chassis /security # scope tacacs |
ステップ 3 | (任意)
システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を設定します。
Firepower-chassis /security/tacacs # set timeout seconds |
ステップ 4 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/tacacs # commit-buffer |
次に、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # set timeout 45 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
TACACS+ プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーをサポートします。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security | ||
ステップ 2 | セキュリティ TACACS+ モードに入ります。
Firepower-chassis /security # scope tacacs | ||
ステップ 3 | TACACS+ サーバ インスタンスを作成し、セキュリティ TACACS+ サーバ モードに入ります。
Firepower-chassis /security/tacacs # create server server-name | ||
ステップ 4 | TACACS+ サーバ キーを指定します。
Firepower-chassis /security/tacacs/server # set key キー値を設定するには、set key コマンドを入力し、プロンプトでキー値を入力してから Enter キーを押します。 | ||
ステップ 5 | (任意)
このサーバが試行される順序を指定します。
Firepower-chassis /security/tacacs/server # set order order-num | ||
ステップ 6 | システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待機する時間間隔を指定します。
Firepower-chassis /security/tacacs/server # set timeout seconds
| ||
ステップ 7 | (任意)
TACACS+ サーバとの通信に使用するポートを指定します。
Firepower-chassis /security/tacacs/server # set port port-num | ||
ステップ 8 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/tacacs/server # commit-buffer |
次に、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # create server tacacsserv680 Firepower-chassis /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 Firepower-chassis /security/tacacs/server* # set order 4 Firepower-chassis /security/tacacs/server* # set port 5859 Firepower-chassis /security/tacacs/server* # commit-buffer Firepower-chassis /security/tacacs/server #
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security |
ステップ 2 | セキュリティ TACACS+ モードに入ります。
Firepower-chassis /security # scope tacacs |
ステップ 3 | 指定したサーバを削除します。
Firepower-chassis /security/tacacs # delete server serv-name |
ステップ 4 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/tacacs # commit-buffer |
次に、tacacs1 という TACACS+ サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # delete server tacacs1 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。中央 syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。syslog サービスは、簡単なコンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。この形式のロギングは、ログ用の保護された長期ストレージを提供します。ログは、ルーチンのトラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 | モニタリング モードに入ります。
Firepower-chassis# scope monitoring | ||
ステップ 2 | コンソールへの syslog の送信を有効または無効にします。
Firepower-chassis /monitoring # {enable | disable} syslog console | ||
ステップ 3 | (任意)
表示するメッセージの最低レベルを選択します。syslog が使用可能である場合、システムはそのレベル以上のメッセージをコンソールに表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは [クリティカル(Critical)] です。
Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical} | ||
ステップ 4 | オペレーティング システムによる syslog 情報のモニタリングを有効または無効にします。
Firepower-chassis /monitoring # {enable | disable} syslog monitor | ||
ステップ 5 | (任意)
表示するメッセージの最低レベルを選択します。モニタの状態が有効の場合、システムはそのレベル以上のメッセージを表示します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは [クリティカル(Critical)] です。
Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
| ||
ステップ 6 | syslog ファイルへの syslog 情報の書き込みを有効または無効にします。
Firepower-chassis /monitoring # {enable | disable} syslog file | ||
ステップ 7 | メッセージが記録されるファイルの名前を指定します。ファイル名は 16 文字まで入力できます。
Firepower-chassis /monitoring # set syslog file name filename | ||
ステップ 8 | (任意)
ファイルに保存するメッセージの最低レベルを選択します。ファイルの状態が有効の場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。レベル オプションは緊急性の降順で一覧表示されます。デフォルトのレベルは [クリティカル(Critical)] です。
Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging} | ||
ステップ 9 | (任意)
最大ファイル サイズ(バイト単位)を指定します。このサイズを超えると、最も古いメッセージを最新のメッセージで上書きします。有効な範囲は 4096 ~ 4194304 バイトです。
Firepower-chassis /monitoring # set syslog file size filesize | ||
ステップ 10 | 最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。 | ||
ステップ 11 | ローカル送信元を設定します。有効または無効にするローカル ソースごとに次のコマンドを入力します。
Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults} 次のいずれかになります。 | ||
ステップ 12 | トランザクションを確定します。
Firepower-chassis /monitoring # commit-buffer |
次の例は、ローカル ファイルの syslog メッセージのストレージを有効にし、トランザクションを確定します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # disable syslog console Firepower-chassis /monitoring* # disable syslog monitor Firepower-chassis /monitoring* # enable syslog file Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower Firepower-chassis /monitoring* # set syslog file level notifications Firepower-chassis /monitoring* # set syslog file size 4194304 Firepower-chassis /monitoring* # disable syslog remote-destination server-1 Firepower-chassis /monitoring* # disable syslog remote-destination server-2 Firepower-chassis /monitoring* # disable syslog remote-destination server-3 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
システムでホスト名の IP アドレスへの解決が必要な場合は、DNS サーバを指定する必要があります。たとえば、DNS サーバを設定していない場合は、Firepower シャーシに関する設定を行うときに、www.cisco.com などの名前を使用できません。サーバの IP アドレスを使用する必要があります。これには、IPv4 または IPv6 アドレスのいずれかを使用できます。最大 4 台の DNS サーバを設定できます。
(注) | 複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。ローカル管理コマンドが DNS サーバの検索を必要とする場合、3 台の DNS サーバのみをランダムに検索します。 |
次に、IPv4 アドレス 192.168.200.105 の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F の DNS サーバを設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 192.168.200.105 の DNS サーバを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #