Cisco ASA for Firepower 2100 シリーズスタートアップガイド
シスコシステムズ合同会社107-6227 東京都港区赤坂9-7-1 ミッドタウンタワーhttpwwwciscocomjpお問い合わせ先シスココンタクトセンター
0120-092-255 (フリーコール携帯PHS含む)電話受付時間平日 1000~12001300~1700httpwwwciscocomjpgocontactcenter
【注意】シスコ製品をご使用になる前に安全上の注意( wwwciscocomjpgosafety_warning )をご確認ください本書は米国シスコ発行ドキュメントの参考和訳ですリンク情報につきま
しては日本語版掲載時点で英語版にアップデートがありリンク先のページが移動変更されている場合がありますことをご了承くださいあくまでも参考和訳となりますので正式な内容
については米国サイトのドキュメントを参照くださいまた契約等の記述については弊社販
売パートナーまたは弊社担当者にご確認ください
このマニュアルに記載されている仕様および製品に関する情報は予告なしに変更されることがありますこのマニュアルに記載されている表現情報および推奨
事項はすべて正確であると考えていますが明示的であれ黙示的であれ一切の保証の責任を負わないものとしますこのマニュアルに記載されている製品の使用
はすべてユーザ側の責任になります
対象製品のソフトウェアライセンスおよび限定保証は製品に添付された『Information Packet』に記載されています添付されていない場合には代理店にご連絡ください
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California Berkeley (UCB) as part of UCBs public domain versionof the UNIX operating systemAll rights reservedCopyright copy 1981 Regents of the University of California
ここに記載されている他のいかなる保証にもよらず各社のすべてのマニュアルおよびソフトウェアは障害も含めて「現状のまま」として提供されますシスコと
これら各社は商品性の保証特定目的への準拠の保証と権利を侵害しないことに関する保証あるいは取引過程使用取引慣行によって発生する保証をはじめと
する明示されたまたは黙示された一切の保証の責任を負わないものとします
いかなる場合においてもシスコおよびその供給者はこのマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする
間接的派生的偶発的あるいは特殊な損害についてあらゆる可能性がシスコまたはその供給者に知らされていてもそれらに対する責任を一切負わないものと
します
このマニュアルで使用している IPアドレスおよび電話番号は実際のアドレスおよび電話番号を示すものではありませんマニュアル内の例コマンド出力ネットワークトポロジ図およびその他の図は説明のみを目的として使用されています説明の中に実際のアドレスおよび電話番号が使用されていたとしてもそれは意
図的なものではなく偶然の一致によるものです
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco andor its affiliates in the US and other countriesTo view a list of Cisco trademarks go to this URL httpwwwciscocomgotrademarksThird-party trademarks mentioned are the property of their respective ownersThe use of the word partner does not imply a partnershiprelationship between Cisco and any other company(1110R)
copy 2017 Cisco Systems Inc All rights reserved
目次
使用する前に 1
Firepower 2100用 ASAについて 1
ASAの Firepower 2100との連携方法 2
ASAと FXOSの管理 2
ライセンス要件 2
サポートされない機能 3
ネットワーク内の Firepower 2100 4
インターフェイスの接続 5
Firepower 2100の電源投入 6
(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6
ASDMの起動とライセンスの設定 8
ASAの設定 12
ASAおよび FXOSの CLIアクセス 13
ASAまたは FXOSのコンソールへの接続 13
データインターフェイスでの FXOSの管理アクセスの設定 14
SSHを使用した FXOSへの接続 15
FXOS管理 IPアドレスまたはゲートウェイの変更 16
次のステップ 20
Firepower Chassis Managerの設定 21
概要 21
インターフェイス 23
インターフェイスの設定 23
EtherChannelの追加 23
モニタリングインターフェイス 25
論理デバイス 25
Platform Settings 26
NTP時刻の設定 26
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiii
SSHSSHの設定 27
SNMP 28
SNMPの概要 28
SNMP通知 29
SNMPセキュリティレベルおよび権限 29
SNMPセキュリティモデルとレベルのサポートされている組み合わせ 29
SNMPv3セキュリティ機能 30
SNMPサポート 31
SNMPを設定します 31
HTTPSポートの変更 34
DHCP管理クライアント用に DHCPサーバを設定する 34
syslogsyslogメッセージングの設定 35
DNSDNSサーバの設定 39
FIPSおよびコモンクライテリアFIPSおよびコモンクライテリアモードの有効
化 39
アクセスリスト管理アクセスの設定 40
システムアップデート 41
User Management 42
ユーザアカウントの概要 42
アカウントタイプ 42
ユーザロール 43
ユーザアカウントの有効期限 43
ユーザアカウントに関するガイドライン 43
ユーザの追加 45
ユーザ設定値の設定 46
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiv
目次
第 1 章
使用する前に
この章ではネットワーク内の Firepower 2100に ASAを展開する方法および初期設定を実行する方法について説明します
bull Firepower 2100用 ASAについて 1 ページ
bull インターフェイスの接続 5 ページ
bull Firepower 2100の電源投入 6 ページ
bull (任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6 ページ
bull ASDMの起動とライセンスの設定 8 ページ
bull ASAの設定 12 ページ
bull ASAおよび FXOSの CLIアクセス 13 ページ
bull 次のステップ 20 ページ
Firepower 2100 用 ASA についてFirepower 2100ハードウェアはCisco ASAソフトウェアまたは Firepower Threat Defenseソフトウェアを使用して実行できますこのガイドではFirepower 2100での ASAの使用方法について説明します
ASAと Firepower Threat Defenseの間の切り替えにはデバイスの再イメージ化が必要です「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください
(注)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド1
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
【注意】シスコ製品をご使用になる前に安全上の注意( wwwciscocomjpgosafety_warning )をご確認ください本書は米国シスコ発行ドキュメントの参考和訳ですリンク情報につきま
しては日本語版掲載時点で英語版にアップデートがありリンク先のページが移動変更されている場合がありますことをご了承くださいあくまでも参考和訳となりますので正式な内容
については米国サイトのドキュメントを参照くださいまた契約等の記述については弊社販
売パートナーまたは弊社担当者にご確認ください
このマニュアルに記載されている仕様および製品に関する情報は予告なしに変更されることがありますこのマニュアルに記載されている表現情報および推奨
事項はすべて正確であると考えていますが明示的であれ黙示的であれ一切の保証の責任を負わないものとしますこのマニュアルに記載されている製品の使用
はすべてユーザ側の責任になります
対象製品のソフトウェアライセンスおよび限定保証は製品に添付された『Information Packet』に記載されています添付されていない場合には代理店にご連絡ください
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California Berkeley (UCB) as part of UCBs public domain versionof the UNIX operating systemAll rights reservedCopyright copy 1981 Regents of the University of California
ここに記載されている他のいかなる保証にもよらず各社のすべてのマニュアルおよびソフトウェアは障害も含めて「現状のまま」として提供されますシスコと
これら各社は商品性の保証特定目的への準拠の保証と権利を侵害しないことに関する保証あるいは取引過程使用取引慣行によって発生する保証をはじめと
する明示されたまたは黙示された一切の保証の責任を負わないものとします
いかなる場合においてもシスコおよびその供給者はこのマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめとする
間接的派生的偶発的あるいは特殊な損害についてあらゆる可能性がシスコまたはその供給者に知らされていてもそれらに対する責任を一切負わないものと
します
このマニュアルで使用している IPアドレスおよび電話番号は実際のアドレスおよび電話番号を示すものではありませんマニュアル内の例コマンド出力ネットワークトポロジ図およびその他の図は説明のみを目的として使用されています説明の中に実際のアドレスおよび電話番号が使用されていたとしてもそれは意
図的なものではなく偶然の一致によるものです
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco andor its affiliates in the US and other countriesTo view a list of Cisco trademarks go to this URL httpwwwciscocomgotrademarksThird-party trademarks mentioned are the property of their respective ownersThe use of the word partner does not imply a partnershiprelationship between Cisco and any other company(1110R)
copy 2017 Cisco Systems Inc All rights reserved
目次
使用する前に 1
Firepower 2100用 ASAについて 1
ASAの Firepower 2100との連携方法 2
ASAと FXOSの管理 2
ライセンス要件 2
サポートされない機能 3
ネットワーク内の Firepower 2100 4
インターフェイスの接続 5
Firepower 2100の電源投入 6
(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6
ASDMの起動とライセンスの設定 8
ASAの設定 12
ASAおよび FXOSの CLIアクセス 13
ASAまたは FXOSのコンソールへの接続 13
データインターフェイスでの FXOSの管理アクセスの設定 14
SSHを使用した FXOSへの接続 15
FXOS管理 IPアドレスまたはゲートウェイの変更 16
次のステップ 20
Firepower Chassis Managerの設定 21
概要 21
インターフェイス 23
インターフェイスの設定 23
EtherChannelの追加 23
モニタリングインターフェイス 25
論理デバイス 25
Platform Settings 26
NTP時刻の設定 26
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiii
SSHSSHの設定 27
SNMP 28
SNMPの概要 28
SNMP通知 29
SNMPセキュリティレベルおよび権限 29
SNMPセキュリティモデルとレベルのサポートされている組み合わせ 29
SNMPv3セキュリティ機能 30
SNMPサポート 31
SNMPを設定します 31
HTTPSポートの変更 34
DHCP管理クライアント用に DHCPサーバを設定する 34
syslogsyslogメッセージングの設定 35
DNSDNSサーバの設定 39
FIPSおよびコモンクライテリアFIPSおよびコモンクライテリアモードの有効
化 39
アクセスリスト管理アクセスの設定 40
システムアップデート 41
User Management 42
ユーザアカウントの概要 42
アカウントタイプ 42
ユーザロール 43
ユーザアカウントの有効期限 43
ユーザアカウントに関するガイドライン 43
ユーザの追加 45
ユーザ設定値の設定 46
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiv
目次
第 1 章
使用する前に
この章ではネットワーク内の Firepower 2100に ASAを展開する方法および初期設定を実行する方法について説明します
bull Firepower 2100用 ASAについて 1 ページ
bull インターフェイスの接続 5 ページ
bull Firepower 2100の電源投入 6 ページ
bull (任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6 ページ
bull ASDMの起動とライセンスの設定 8 ページ
bull ASAの設定 12 ページ
bull ASAおよび FXOSの CLIアクセス 13 ページ
bull 次のステップ 20 ページ
Firepower 2100 用 ASA についてFirepower 2100ハードウェアはCisco ASAソフトウェアまたは Firepower Threat Defenseソフトウェアを使用して実行できますこのガイドではFirepower 2100での ASAの使用方法について説明します
ASAと Firepower Threat Defenseの間の切り替えにはデバイスの再イメージ化が必要です「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください
(注)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド1
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
目次
使用する前に 1
Firepower 2100用 ASAについて 1
ASAの Firepower 2100との連携方法 2
ASAと FXOSの管理 2
ライセンス要件 2
サポートされない機能 3
ネットワーク内の Firepower 2100 4
インターフェイスの接続 5
Firepower 2100の電源投入 6
(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6
ASDMの起動とライセンスの設定 8
ASAの設定 12
ASAおよび FXOSの CLIアクセス 13
ASAまたは FXOSのコンソールへの接続 13
データインターフェイスでの FXOSの管理アクセスの設定 14
SSHを使用した FXOSへの接続 15
FXOS管理 IPアドレスまたはゲートウェイの変更 16
次のステップ 20
Firepower Chassis Managerの設定 21
概要 21
インターフェイス 23
インターフェイスの設定 23
EtherChannelの追加 23
モニタリングインターフェイス 25
論理デバイス 25
Platform Settings 26
NTP時刻の設定 26
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiii
SSHSSHの設定 27
SNMP 28
SNMPの概要 28
SNMP通知 29
SNMPセキュリティレベルおよび権限 29
SNMPセキュリティモデルとレベルのサポートされている組み合わせ 29
SNMPv3セキュリティ機能 30
SNMPサポート 31
SNMPを設定します 31
HTTPSポートの変更 34
DHCP管理クライアント用に DHCPサーバを設定する 34
syslogsyslogメッセージングの設定 35
DNSDNSサーバの設定 39
FIPSおよびコモンクライテリアFIPSおよびコモンクライテリアモードの有効
化 39
アクセスリスト管理アクセスの設定 40
システムアップデート 41
User Management 42
ユーザアカウントの概要 42
アカウントタイプ 42
ユーザロール 43
ユーザアカウントの有効期限 43
ユーザアカウントに関するガイドライン 43
ユーザの追加 45
ユーザ設定値の設定 46
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiv
目次
第 1 章
使用する前に
この章ではネットワーク内の Firepower 2100に ASAを展開する方法および初期設定を実行する方法について説明します
bull Firepower 2100用 ASAについて 1 ページ
bull インターフェイスの接続 5 ページ
bull Firepower 2100の電源投入 6 ページ
bull (任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6 ページ
bull ASDMの起動とライセンスの設定 8 ページ
bull ASAの設定 12 ページ
bull ASAおよび FXOSの CLIアクセス 13 ページ
bull 次のステップ 20 ページ
Firepower 2100 用 ASA についてFirepower 2100ハードウェアはCisco ASAソフトウェアまたは Firepower Threat Defenseソフトウェアを使用して実行できますこのガイドではFirepower 2100での ASAの使用方法について説明します
ASAと Firepower Threat Defenseの間の切り替えにはデバイスの再イメージ化が必要です「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください
(注)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド1
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
SSHSSHの設定 27
SNMP 28
SNMPの概要 28
SNMP通知 29
SNMPセキュリティレベルおよび権限 29
SNMPセキュリティモデルとレベルのサポートされている組み合わせ 29
SNMPv3セキュリティ機能 30
SNMPサポート 31
SNMPを設定します 31
HTTPSポートの変更 34
DHCP管理クライアント用に DHCPサーバを設定する 34
syslogsyslogメッセージングの設定 35
DNSDNSサーバの設定 39
FIPSおよびコモンクライテリアFIPSおよびコモンクライテリアモードの有効
化 39
アクセスリスト管理アクセスの設定 40
システムアップデート 41
User Management 42
ユーザアカウントの概要 42
アカウントタイプ 42
ユーザロール 43
ユーザアカウントの有効期限 43
ユーザアカウントに関するガイドライン 43
ユーザの追加 45
ユーザ設定値の設定 46
Cisco ASA for Firepower 2100 シリーズスタートアップガイドiv
目次
第 1 章
使用する前に
この章ではネットワーク内の Firepower 2100に ASAを展開する方法および初期設定を実行する方法について説明します
bull Firepower 2100用 ASAについて 1 ページ
bull インターフェイスの接続 5 ページ
bull Firepower 2100の電源投入 6 ページ
bull (任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6 ページ
bull ASDMの起動とライセンスの設定 8 ページ
bull ASAの設定 12 ページ
bull ASAおよび FXOSの CLIアクセス 13 ページ
bull 次のステップ 20 ページ
Firepower 2100 用 ASA についてFirepower 2100ハードウェアはCisco ASAソフトウェアまたは Firepower Threat Defenseソフトウェアを使用して実行できますこのガイドではFirepower 2100での ASAの使用方法について説明します
ASAと Firepower Threat Defenseの間の切り替えにはデバイスの再イメージ化が必要です「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください
(注)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド1
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
第 1 章
使用する前に
この章ではネットワーク内の Firepower 2100に ASAを展開する方法および初期設定を実行する方法について説明します
bull Firepower 2100用 ASAについて 1 ページ
bull インターフェイスの接続 5 ページ
bull Firepower 2100の電源投入 6 ページ
bull (任意)Firepower Chassis Managerで追加のインターフェイスを有効にする 6 ページ
bull ASDMの起動とライセンスの設定 8 ページ
bull ASAの設定 12 ページ
bull ASAおよび FXOSの CLIアクセス 13 ページ
bull 次のステップ 20 ページ
Firepower 2100 用 ASA についてFirepower 2100ハードウェアはCisco ASAソフトウェアまたは Firepower Threat Defenseソフトウェアを使用して実行できますこのガイドではFirepower 2100での ASAの使用方法について説明します
ASAと Firepower Threat Defenseの間の切り替えにはデバイスの再イメージ化が必要です「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください
(注)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド1
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ASA の Firepower 2100 との連携方法Firepower2100はASA用の単一アプリケーションアプライアンスですFirepower2100はFirepowereXtensibleOperatingSystem(FXOS)という基礎となるオペレーティングシステムを実行しますFXOSでは基本的な動作パラメータとハードウェアインターフェイス設定を設定する必要がありますこれらの設定にはインターフェイスの有効化EtherChannelsの確立NTPイメージ管理などが含まれますFirepower Chassis Manager Webインターフェイスまたは FXOS CLIを使用できますその後ASDMまたは ASA CLIを使用して ASAオペレーティングシステムにセキュリティポリシーを設定できます
ASA と FXOS の管理ASAおよび FXOSのオペレーティングシステムは管理 11インターフェイスを共有しますこのインターフェイスにはASAおよび FXOSに接続するための個別の IPアドレスがあります
このインターフェイスはASAでは管理11と呼ばれますFXOSではMGMTmanagement0または同様の他の名前で表示されますこのガイドでは一貫性と簡潔さのため管理 11としてこのインターフェイスを参照します
(注)
FXOSおよびASAで監視する必要がある機能は異なるため継続的な保守で両方のオペレーティングシステムを使用する必要がありますFXOSの初期設定ではSSHまたはブラウザ(https1921684545)を使用してデフォルトの 1921684545 IPアドレスに接続できます
ASAの初期設定ではASDMを使用して https192168451adminに接続できますASDMでは後で任意のインターフェイスからの SSHアクセスを設定できます
両方のオペレーティングシステムをコンソールポートから使用できます初期接続では FXOSCLIにアクセスしますASA CLIには connect asaコマンドを使用してアクセスできます
ASAデータインターフェイスからFXOSを管理できるようにすることおよびSSHHTTPSおよび SNMPの各アクセスを設定することも可能ですこの機能はリモート管理に役立ちます
ライセンス要件
Firepower 2100上の ASAはシスコスマートソフトウェアライセンシングを使用します通常のスマートソフトウェアライセンシング(インターネットアクセスが必要)を使用できますま
たはオフライン管理の場合永続ライセンス予約またはサテライトサーバを設定できますこ
れらのオフラインライセンス方式の詳細については「Cisco ASA Series Feature Licenses」を参照してくださいこのガイドは通常のスマートソフトウェアライセンシングに適用されます
LicenseAuthorityに登録するまでは特殊なライセンスを必要とする機能の設定変更を行うことはできませんが操作はその他の点では影響を受けませんライセンス付与される機能は次のとお
りです
Cisco ASA for Firepower 2100 シリーズスタートアップガイド2
使用する前に
ASA の Firepower 2100 との連携方法
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bullセキュリティコンテキスト(3以上)
bull強力な暗号化(3DESAES)(通過トラフィック用)
標準ライセンスも必要ですがデバイスの基本機能は評価モードで実行できます
ASAには管理アクセスのみを対象にしてデフォルトで 3DES機能が含まれていますしたがってLicense Authorityに接続しすぐに ASDMを使用することもできますASDMアクセスの場合インターフェイスが管理専用に設定されているかまたは強力な暗号化(3DESAES)の完全ライセンスが有効になっている必要があることに注意してくださいデフォルトの設定には管
理専用に設定されている管理 11インターフェイスが含まれていますスマートソフトウェアライセンシングアカウントから ASAの登録トークンを要求する場合[Allow export-controlledfunctionality on the products registered with this token]チェックボックスをオンにして強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている
必要があります)ライセンスの詳細についてはASDMの起動とライセンスの設定 (8ページ)を参照してください
Firepower 41009300シャーシの場合とは異なりすべてのライセンス設定を FXOS設定ではなく ASAで実行します
(注)
サポートされない機能
次の機能はFirepower 2100ではサポートされていません
bull Integrated Routing and Bridging(IRB)
bullクラスタ
bull KCDを使用したクライアントレス SSL VPN
bull ASA REST API
bull ASA FirePOWERモジュール
bull Botnet Traffic Filter
bull次のインスペクション
SCTPインスペクションマップ(ACLを使用した SCTPステートフルインスペクションはサポートされます)
Diameter
GTPGPRS
Cisco ASA for Firepower 2100 シリーズスタートアップガイド3
使用する前に
サポートされない機能
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ネットワーク内の Firepower 2100次の図はFirepower 2100上の ASAのデフォルトのネットワーク配置を示しています
図 1ネットワーク内の Firepower 2100 上の ASA
このガイドで説明されている初期セットアップを完了するとデフォルトの設定では上記ネット
ワーク配置で次の動作が有効になります
bull NATを含む内部 --gt外部のトラフィックフロー
bull DHCPからの外部 IPアドレス
bull FXOSおよび ASAの管理用の管理 11DHCP IPアドレスはこのネットワーク上の管理コンピュータに対して FXOSによって提供されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド4
使用する前に
ネットワーク内の Firepower 2100
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
インターフェイスの接続管理 11インターフェイスで Firepower 2100を管理しますFXOSと ASAに同じ管理コンピュータを使用できますFXOS IPアドレスで Firepower ChassisManagerに接続しシャーシ設定を実行します次にASDMを使用して ASA IPアドレスに接続しASA設定を完了します
デフォルトの設定でもEthernet11を外部Ethernet12を内部として設定されています
図 2Firepower 2100 インターフェイスにケーブルを接続する
手順
ステップ 1 管理 11へのイーサネットを使用して管理コンピュータに接続します(ラベルはMGMT)ステップ 2 (任意) 管理コンピュータをコンソールポートに接続しますFirepower 2100にはDB-9 to RJ-45
シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください
ステップ 3 外部ネットワークを Ethernet11ポートに接続します(ラベルはWAN)スマートソフトウェアライセンシングの場合ASAはLicenseAuthorityにアクセスできるようにするためにインターネットアクセスを必要とします
ステップ 4 内部ネットワークを Ethernet12および必要に応じてその他のデータインターフェイスに接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド5
使用する前に
インターフェイスの接続
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
Firepower 2100 の電源投入システムの電源はシャーシの背面にあるロッカー電源スイッチによって制御されます電源ス
イッチはソフト通知スイッチとして実装されていますこれによりシステムのグレースフル
シャットダウンがサポートされシステムソフトウェアおよびデータの破損のリスクが軽減され
ます
手順
ステップ 1 電源コードを Firepower 2100に接続し電源コンセントに接続しますステップ 2 シャーシ背面の電源スイッチを押して 1の位置にします
シャーシの電源をオフにするにはシャーシ背面の電源スイッチを押して 0の位置にしますスイッチを ONから OFFに切り替えるとシステムの電源が最終的に切れるまで数秒かかることがありますこの間はシャーシの前面パネルの PWRLEDが緑に点滅しますPWRLEDが完全にオフになるまで電源を抜かないでください
ステップ 3 シャーシの前面にある PWR LEDを確認します緑色に点灯している場合はシャーシの電源が入っています
ステップ 4 シャーシの前面にあるSYSLEDを確認します緑色に点灯している場合は電源投入時診断に合格しています
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
デフォルトでは管理11イーサネット11およびイーサネット12の各インターフェイスはシャーシでは物理的に有効ASA設定では論理的に有効になっています追加のインターフェイスを使用するには次の手順を使用してそのインターフェイスをシャーシで有効にしその後
ASA設定で有効にする必要がありますEtherChannel(ポートチャネルとも呼ばれる)を追加することもできます
はじめる前に
bull Firepower 2100はアクティブ Link Aggregation Control Protocol(LACP)モードでのみEtherChannelをサポートします最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
bull管理 IPアドレスをデフォルトから変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド6
使用する前に
Firepower 2100 の電源投入
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 管理11インターフェイスに接続している管理コンピュータで次のURLにアクセスしてFirepowerChassis Managerを起動しますhttps1921684545
ステップ 2 デフォルトのユーザ名adminおよびパスワードAdmin123を入力します[System] gt [User Management] gt [Local Users]ページですぐにパスワードを変更することをお勧めします
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
ステップ 3 Firepower Chassis Managerで[Interfaces]タブをクリックしますステップ 4 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 5 (任意) EtherChannelを追加しますEtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
a) インターフェイステーブルの上の [Add Port Channel]をクリックしますb) [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47です
c) ポートチャネルを有効にするには[Enable]チェックボックスをオンにします[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
d) [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると
可能な範囲で最速の速度が自動的に適用されます
e) すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
f) [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
g) [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選
択するにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択し
Shiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
h) [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド7
使用する前に
(任意)Firepower Chassis Manager で追加のインターフェイスを有効にする
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ASDM の起動とライセンスの設定ASDMを起動しご使用のデバイスをスマートソフトウェアライセンスサーバに登録します
はじめる前に
bull ASDMを実行するための要件についてはCiscocomの『ASDMリリースノート』を参照してください
bullこの手順ではイーサネット 11外部インターフェイスをインターネットに接続しデフォルト設定を使用していることを想定していますネットワーク内の Firepower 2100 (4ページ)を参照してください
bull Cisco Smart Software Managerにマスターアカウントを持ちます
まだアカウントをお持ちでない場合はリンクをクリックして新しいアカウントを設定して
くださいSmart Software Managerでは組織のマスターアカウントを作成できます
bull(輸出コンプライアンスフラグを使用して有効化される)機能を使用するにはご使用のシスコスマートソフトウェアライセンシングアカウントで強力な暗号化(3DESAES)ライセンスを使用できる必要があります
bullご使用のアカウントに必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してくださいライセンスはシスコまたは販売代理店からデバイ
スを購入した際にスマートソフトウェアライセンシングアカウントにリンクされていま
すただし主導でライセンスを追加する必要がある場合はCisco Commerce Workspaceで[Find Products and Solutions]検索フィールドを使用します次のライセンス PIDを検索します
図 3ライセンス検索
標準ライセンスL-FPR2100-ASA=標準ライセンスは無料ですがスマートソフトウェアライセンシングアカウントに追加する必要があります
5コンテキストライセンスL-FPR2K-ASASC-5=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
10コンテキストライセンスL-FPR2K-ASASC-10=コンテキストライセンスは追加的でありニーズに合わせて複数のライセンスを購入します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド8
使用する前に
ASDM の起動とライセンスの設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
強力な暗号化(3DESAES)ライセンスL-FPR2K-ENC-K9=このライセンスは無料ですこのライセンスが必要になるのは古いサテライトサーババージョン(230より前)を使用する ASAに限られますが追跡目的でこのライセンスをアカウントに追加することをお勧めします
フェールオーバーペアの場合標準ライセンス(および同じ暗号化)を両方
のユニットに適用する必要がありますコンテキストライセンスの場合プ
ライマリユニットへの適用のみが必要です
(注)
手順
ステップ 1 Smart Software Manager(Cisco Smart Software Manager)でこのデバイスを追加するバーチャルアカウントの登録トークンを要求してコピーします
a) [Inventory]をクリックします
図 4インベントリ
b) [General]タブで[New Token]をクリックします
図 5新しいトークン
Cisco ASA for Firepower 2100 シリーズスタートアップガイド9
使用する前に
ASDM の起動とライセンスの設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
c) [Create Registration Token]ダイアログボックスで以下の設定値を入力してから [Create Token]をクリックします
bull説明
bull Expire After推奨値は 30日です
bull Allow export-controlled functionaility on the products registered with this token輸出コンプライアンスフラグを有効にします
図 6登録トークンの作成
トークンはインベントリに追加されます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド10
使用する前に
ASDM の起動とライセンスの設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
d) トークンの右側にある矢印アイコンをクリックして [Token]ダイアログボックスを開きトークン IDをクリップボードにコピーできるようにしますASAの登録が必要なときに後の手順で使用するためにこのトークンを準備しておきます
図 7トークンの表示
図 8トークンのコピー
ステップ 2 管理 11に接続している管理コンピュータでWebブラウザを起動し次の URLにアクセスしますhttps192168451admin[Cisco ASDM] Webページが表示されます
ステップ 3 使用可能なオプション [Install ASDMLauncher]または [RunASDM]のいずれかをクリックしますステップ 4 画面の指示に従ってオプションを選択しASDMを起動します[Cisco ASDM-IDM Launcher]が
表示されます
ステップ 5 ユーザ名とパスワードのフィールドを空のまま残し[OK]をクリックしますメインASDMウィンドウが表示されます
ステップ 6 [Configuration] gt [Device Management] gt [Licensing] gt [Smart Licensing]の順に選択しますステップ 7 [Enable Smart license configuration]をオンにしますステップ 8 [Feature Tier]ドロップダウンメニューから [Standard]を選択します
使用できるのは標準層だけです
ステップ 9 (任意) [Context]ライセンスの場合コンテキストの数を入力しますコンテキストの最大数はモデルによって異なります2コンテキストはライセンスなしで使用できます
bull Firepower 211025コンテキスト
Cisco ASA for Firepower 2100 シリーズスタートアップガイド11
使用する前に
ASDM の起動とライセンスの設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bull Firepower 212025コンテキスト
bull Firepower 213030コンテキスト
bull Firepower 214040コンテキスト
ステップ 10 [Apply]をクリックしますステップ 11 [Register]をクリックしますステップ 12 [ID Token]フィールドに登録トークンを入力しますステップ 13 [Register]をクリックします
ASAは事前設定された外部インターフェイスを使用して License Authorityに登録し設定済みライセンスエンタイトルメントの認証を要求しますLicense Authorityはご使用のアカウントが許可すれば強力な暗号化(3DESAES)ライセンスも適用しますライセンスステータスを確認する場合は[Monitoring] gt [Properties] gt [Smart License]の順に選択します
ASA の設定ASDMを使用する際基本機能および拡張機能の設定にウィザードを使用できますウィザードに含まれていない機能を手動で設定することもできます
手順
ステップ 1 [Wizards] gt [Startup Wizard]の順に選択し[Modify existing configuration]オプションボタンをクリックします
ステップ 2 [Startup Wizard]では手順を追って以下を設定できます
bullイネーブルパスワード
bullインターフェイス(内部および外部のインターフェイス IPアドレスの変更や設定したインターフェイスの有効化など)(任意)Firepower Chassis Managerで追加のインターフェイスを有効にする (6ページ)
bullスタティックルート
bull DHCPサーバ(管理 11インターフェイスの DHCPサーバは設定しないでください)
bullその他
ステップ 3 (任意) [Wizards]メニューからその他のウィザードを実行しますステップ 4 ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェア
バージョンに応じたマニュアルを参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド12
使用する前に
ASA の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ASA および FXOS の CLI アクセスこのセクションではFXOSおよび ASAのコンソールへの接続方法ASAデータインターフェイスでの FXOS SSHHTTPSおよび SNMPアクセスの設定方法および SSHを使用して FXOSに接続する方法を説明します
ASA または FXOS のコンソールへの接続Firepower 2100コンソールポートで FXOSCLIに接続します次にFXOSCLIからASAコンソールに接続し再度戻ることができます
はじめる前に
一度に使用できるコンソール接続は 1つだけですFXOSコンソールから ASAのコンソールに接続する場合Telnetまたは SSH接続の場合とは異なりこの接続は永続的接続です
手順
ステップ 1 管理コンピュータをコンソールポートに接続しますFirepower 2100には DB-9 to RJ-45シリアルケーブルが付属しているため接続するためにはサードパーティ製のシリアル to USBケーブルが必要ですご使用のオペレーティングシステムに必要な USBシリアルドライバを必ずインストールしてください次のシリアル設定を使用します
bull 9600ボー
bull 8データビット
bullパリティなし
bull 1ストップビット
FXOS CLIに接続します
ステップ 2 ASAに接続しますconnect asa
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 FXOSコンソールに戻るにはCtrl+adと入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド13
使用する前に
ASA および FXOS の CLI アクセス
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
データインターフェイスでの FXOS の管理アクセスの設定データインターフェイスから Firepower 2100の FXOSを管理する場合SSHHTTPSおよびSNMPアクセスを設定できますこの機能はデバイスをリモート管理する場合および管理11を隔離されたネットワークに維持する場合に役立ちます継続してローカルアクセスで管理 11を使用できます1つのゲートウェイしか指定できないためASAデータインターフェイスへのトラフィック転送用に同時に FXOSの管理 11からのリモートアクセスを許可することはできませんデフォルトではFXOS管理ゲートウェイは ASAへの内部パスです
ASAはFXOSアクセスに非標準ポートを使用します標準ポートは同じインタフェースでASAが使用するため予約されていますASAが FXOSにトラフィックを転送するときに非標準の宛先ポートはプロトコルごとに FXOSポートに変換されます(FXOSのHTTPSポートは変更しません)パケット宛先 IPアドレス(ASAインターフェイス IPアドレス)もFXOSで使用する内部アドレスに変換されます送信元アドレスは変更されませんトラフィックを返す場合ASAは自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します管
理アプリケーションのASAデータ IPアドレスにアクセスする場合FXOSユーザ名を使用してログインする必要がありますASAユーザ名は ASA管理アクセスのみに適用されます
ASAデータインターフェイスでFXOS管理トラフィック開始を有効にすることもできますこれはたとえばSNMPトラップNTPと DNSのサーバアクセスなどに必要ですデフォルトではFXOS管理トラフィック開始はDNSおよび NTPのサーバ通信(スマートソフトウェアライセンシング通信で必要)用の ASA外部インターフェイスで有効になっています
はじめる前に
bullシングルコンテキストモードのみ
bull ASA管理専用インターフェイスは除外します
bull ASAデータインターフェイスに VPNトンネルを使用してFXOSに直接アクセスすることはできませんSSHの回避策としてASAに VPN接続しASA CLIにアクセスしconnectfxosコマンドを使用して FXOS CLIにアクセスしますSSHHTTPSおよび SNMPv3は暗号化できるためデータインターフェイスへの直接接続は安全です
手順
ステップ 1 ASDMで[Configuration] gt [Firewall] gt [Advanced] gt [FXOS Remote Management]を選択しますステップ 2 FXOSリモート管理を有効にします
a) ナビゲーションウィンドウで[HTTPS][SNMP]または [SSH]を選択しますb) [Add]をクリックし管理を許可する [Interface]を設定し接続を許可する [IP Address]を設定し[OK]をクリックしますプロトコルタイプごとに複数のエントリを作成できます以下のデフォルト値を使用しない場
合は[Port]を設定します
bull HTTPSデフォルトポート3443
Cisco ASA for Firepower 2100 シリーズスタートアップガイド14
使用する前に
データインターフェイスでの FXOS の管理アクセスの設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bull SNMPデフォルトポート3061
bull SSHデフォルトポート3022
ステップ 3 FXOSが ASAインターフェイスから管理接続を開始できるようにしますa) ナビゲーションウィンドウで [FXOS Traffic Initiation]を選択しますb) [Add]をクリックしFXOS管理トラフィックを送信する必要があるASAインターフェイスを有効にしますデフォルトでは外部インターフェイスは有効になっています
ステップ 4 [Apply]をクリックしますステップ 5 FirepowerChassisManagerに接続します(デフォルトではhttps1921684545ユーザ名admin
パスワードAdmin123)
ステップ 6 [Platform Settings]タブをクリックし[SSH][HTTPS]または [SNMP]を有効にしますSSHと HTTPSはデフォルトで有効になっています
ステップ 7 [PlatformSettings]タブで管理アクセスを許可するように [AccessList]を設定しますデフォルトではSSHおよび HTTPSは管理 11 192168450ネットワークのみを許可しますASAの [FXOSRemote Management]設定で指定したアドレスを許可する必要があります
SSH を使用した FXOS への接続デフォルトの IPアドレス 1921684545を使用して管理 11の FXOSに接続できますリモート管理を設定する場合(データインターフェイスでのFXOSの管理アクセスの設定(14ページ))非標準ポート(デフォルトでは 3022)でデータインターフェイス IPアドレスに接続することもできます
SSHを使用して ASAに接続するにはまずASAの一般的な操作の設定ガイドに従って SSHアクセスを設定する必要があります
ASA CLIから FXOSおよびその逆方向に接続することができます
FXOSは最大 8個の SSH接続を許可します
はじめる前に
管理 IPアドレスを変更するにはFXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照してください
手順
ステップ 1 管理 11に接続している管理コンピュータで管理 IPアドレスに SSH接続します(デフォルトではhttps1921684545ユーザ名adminパスワードAdmin123)任意のユーザ名でログインできます(ユーザの追加 (45ページ)を参照)リモート管理を設定する場合ASAデータインターフェイス IPにポート 3022(デフォルトのポート)で SSH接続します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド15
使用する前に
SSH を使用した FXOS への接続
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ステップ 2 ASA CLIに接続しますconnect asa
FXOS CLIに戻るにはCtrl+adと入力します
例
firepower-2100 connect asaAttaching to Diagnostic CLI Press Ctrl+a then d to detachType help or for a list of available commandsciscoasagt
ステップ 3 ASAに SSH接続する場合(ASAで SSHアクセスを設定した後)FXOS CLIに接続しますconnect fxos
FXOSへの認証を求められますデフォルトのユーザ名adminおよびパスワードAdmin123を使用しますASA CLIに戻るにはexitと入力するかまたは Ctrl-Shift-6xと入力します
例
ciscoasa connect fxosConnecting to fxosConnected to fxos Escape character sequence is CTRL-^X
FXOS 22(232) kp2110
kp2110 login adminPassword Admin123Last login Sat Jan 23 162016 UTC 2017 on pts1Successful login attempts for user admin 4Cisco Firepower Extensible Operating System (FX-OS) Software
[hellip]
kp2110kp2110 exitRemote card closed command session Press any key to continueConnection with fxos terminatedType help or for a list of available commandsciscoasa
FXOS 管理 IP アドレスまたはゲートウェイの変更FXOS CLIから Firepower 2100シャーシの管理 IPアドレスを変更できますデフォルトのアドレスは 1921684545ですデフォルトゲートウェイを変更することもできますデフォルトゲートウェイは 0000に設定されておりトラフィックをASAに送信します代わりに管理 11ネットワークでルータを使用する場合ゲートウェイ IPアドレスを変更します管理接続のアクセスリストを新しいネットワークに一致するように変更する必要もあります
通常FXOS管理 11 IPアドレスは ASA管理 11 IPアドレスと同じネットワーク上にありますASAの ASA IPアドレスも必ず変更してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド16
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
はじめる前に
bull管理 IPアドレスを変更した後で新しいアドレスを使用して Firepower Chassis Managerおよび SSH接続を再確立する必要があります
bull DHCPサーバはデフォルトでは管理 11で有効になっているため管理 IPアドレスを変更する前に DHCPを無効にする必要があります
手順
ステップ 1 コンソールポートに接続します(ASAおよび FXOSの CLIアクセス (13ページ)を参照)接続が失われないようにするためにコンソールに接続することをお勧めします
ステップ 2 DHCPサーバを無効にしますscope system
scope services
disable dhcp-server
commit-buffer
管理 IPアドレスを変更した後で新しいクライアント IPアドレスを使用して DHCPを再び有効にすることができますFirepowerChassisManagerでDHCPサーバを有効および無効にすることもできます([Platform Settings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices disable dhcp-serverfirepower-2100 systemservices commit-buffer
ステップ 3 IPv4管理 IPアドレスおよび必要に応じてゲートウェイを設定しますa) fabric-interconnect aのスコープを設定します
scopefabric-interconnecta
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect
b) 現在の管理 IPアドレスを表示しますshow
例
firepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------
Cisco ASA for Firepower 2100 シリーズスタートアップガイド17
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
A 1921684545 0000 0000 64 Operable
c) 新しい管理 IPアドレスおよび必要に応じて新しいデフォルトゲートウェイを設定しますsetout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address
現在設定されているゲートウェイを維持するにはgwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipキーワードとnetmaskキーワードを省略します
例
firepower-2100 fabric-interconnect set out-of-band static ip 19216841 netmask2552552550Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect
ステップ 4 IPv6管理 IPアドレスとゲートウェイを設定しますa) fabric-interconnect aのスコープ次に IPv6設定のスコープを設定します
scopefabric-interconnecta
scopeipv6-config
例
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config
b) 現在の管理 IPv6アドレスを表示しますshow ipv6-if
例
firepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------
c) 新しい管理 IPv6アドレスとゲートウェイを設定しますFirepower-chassis fabric-interconnectipv6-config setout-of-band staticipv6 ipv6_addressipv6-prefixprefix_lengthipv6-gw gateway_address
現在設定されているゲートウェイを維持するにはipv6-gwキーワードを省略します同様に既存の管理 IPアドレスを維持したままゲートウェイを変更するにはipv6キーワードとipv6-prefixキーワードを省略します
例
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB834ipv6-prefix 64 ipv6-gw 2001DB81
Cisco ASA for Firepower 2100 シリーズスタートアップガイド18
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
firepower-2100 fabric-interconnectipv6-config
ステップ 5 HTTPSSSHおよび SNMPのアクセスリストを設定して新しいネットワークからの管理接続を可能にしますscope system
scope services
IPv4の場合
enterip-block ip_address prefix [http | snmp | ssh]
IPv6の場合
enteripv6-block ipv6_address prefix [https | snmp | ssh]
IPv4の場合すべてのネットワークを許可するには 0000とプレフィックス 0を入力しますIPv6の場合すべてのネットワークを許可するには とプレフィックス0を入力しますFirepowerChassisManagerでアクセスリストを追加することもできます([PlatformSettings] gt [Access List])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enter ip-block 19216840 24 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ip-block 19216840 24 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 httpsfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 sshfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices enter ipv6-block 2001DB8 64 snmpfirepower-2100 systemservicesip-block exitfirepower-2100 systemservices
ステップ 6 (任意) IPv4 DHCPサーバを再び有効にしますscope system
scope services
enable dhcp-server start_ip_address end_ip_address
Firepower Chassis Managerで DHCPサーバを有効および無効にすることもできます([PlatformSettings] gt [DHCP])
例
firepower-2100 scope systemfirepower-2100 system scope servicesfirepower-2100 systemservices enable dhcp-server 192168410 192168420
ステップ 7 設定を保存しますcommit-buffer
Cisco ASA for Firepower 2100 シリーズスタートアップガイド19
使用する前に
FXOS 管理 IP アドレスまたはゲートウェイの変更
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
例
firepower-2100 systemservices commit-buffer
次の例ではIPv4管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect show
Fabric InterconnectID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway
Prefix Operability---- --------------- --------------- --------------- ---------------- ----------------
------ -----------A 1921682112 19216821 2552552550 2001DB82 2001DB81
64 Operablefirepower-2100 fabric-interconnect set out-of-band static ip 1921682111 netmask2552552550 gw 19216821Warning When committed this change may disconnect the current CLI sessionfirepower-2100 fabric-interconnect commit-bufferfirepower-2100 fabric-interconnect
次の例ではIPv6管理インターフェイスとゲートウェイを設定します
firepower-2100 scope fabric-interconnect afirepower-2100 fabric-interconnect scope ipv6-configfirepower-2100 fabric-interconnectipv6-config show ipv6-if
Management IPv6 InterfaceIPv6 Address Prefix IPv6 Gateway----------------------------------- ---------- ------------2001DB82 64 2001DB81
firepower-2100 fabric-interconnectipv6-config set out-of-band static ipv6 2001DB82ipv6-prefix 64 ipv6-gw 2001DB81firepower-2100 fabric-interconnectipv6-config commit-bufferfirepower-2100 fabric-interconnectipv6-config
次のステップbull ASAの設定を続行するには「Navigating the Cisco ASA Series Documentation」でソフトウェアバージョンに応じたマニュアルを参照してください
bullシャーシを設定するには「Firepower Chassis Managerの設定 (21ページ)」を参照してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド20
使用する前に
次のステップ
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
第 2 章
Firepower Chassis Manager の設定
Firepower 2100はデバイスの基本的な動作を制御するために FXOSを実行しますGUIのFirepowerChassisManagerまたはFXOSCLIを使用してこれらの機能を設定できますこのマニュアルでは Firepower Chassis Managerについて説明しますすべてのセキュリティポリシーおよびその他の動作はASAOSで設定される(CLIまたはASDMを使用)ことに注意してください
bull 概要 21 ページ
bull インターフェイス 23 ページ
bull 論理デバイス 25 ページ
bull Platform Settings 26 ページ
bull システムアップデート 41 ページ
bull User Management 42 ページ
概要[Overview]タブでFirepower 2100のステータスを簡単にモニタできます[Overview]タブには次の要素が表示されます
bull Device Information[Overview]タブの上部には Firepower 2100に関する次の情報が表示されます
Chassis nameシャーシに割り当てられた名前を表示しますデフォルトでは名前はfirepower-modelです(例firepower-2140)この名前が CLIプロンプトに表示されますシャーシ名を変更するにはFXOS CLI scope system set nameコマンドを使用します
IP addressシャーシに割り当てられた管理 IPアドレスを表示します
ModelFirepower 2100モデルを表示します
Versionシャーシで実行されている ASAのバージョン番号を表示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド21
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
Operational Stateシャーシの動作可能ステータスを表示します
Chassis uptimeシステムが最後に再起動されてからの経過時間を表示します
[Uptime Information]アイコンアイコンにカーソルを合わせるとシャーシおよびASAセキュリティエンジンの稼働時間を表示します
bull Visual Status Display[Device Information]セクションの下にはシャーシが視覚的に表示されて搭載されているコンポーネントとそれらの全般ステータスを示します[Visual StatusDisplay]に表示されるポートにカーソルを合わせるとインターフェイス名速度タイプ管理状態動作状態などの追加情報が表示されます
bull Detailed Status Information[Visual Status Display]の下に表示されるテーブルでシャーシの詳細なステータス情報を含みますステータス情報は[Faults][Interfaces][Devices][Inventory]の各セクションに分かれていますこれらの各セクションの概要をテーブルの上に表示できますさらに確認する情報の概要エリアをクリックするとそれぞれの詳細を表示
できます
システムはシャーシに関する次の詳細なステータス情報を表示します
Faultsシステムで発生した障害をリスト表示します 障害は [Critical][Major][Minor][Warning][Info]という重大度でソートされますリストされた各障害について重大度障害の説明原因発生回数最後の発生日時を確認できます障害が確
認済みかどうかもわかります
いずれかの障害をクリックして詳細を表示したりその障害を確認済みにしたりする
ことができます
障害の根本原因が解消されるとその障害は次のポーリング間隔中にリスト
から自動的にクリアされます特定の障害に対処する場合現在処理中であ
ることが他のユーザにわかるようにその障害を確認済みにすることができ
ます
(注)
Interfacesシステムにインストールされているインターフェイスをリスト表示しインターフェイス名動作ステータス管理ステータス受信したバイト数送信したバイ
ト数を示します
いずれかのインターフェイスをクリックすると過去 15分間にそのインターフェイスが入出力したバイト数がグラフィック表示されます
DevicesASAを表示し詳細(デバイス名デバイス状態アプリケーション動作状態管理状態イメージバージョンおよび管理 IPアドレス)を示します
Inventoryシャーシに搭載されているコンポーネントをリスト表示しそれらのコンポーネントの関連情報([component]名コアの数設置場所動作ステータス運用性キャパシティ電源温度シリアル番号モデル番号製品番号ベンダー)を
示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド22
Firepower Chassis Manager の設定概要
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
インターフェイスFXOSで物理インタフェースを管理できますインターフェイスを使用するにはインターフェイスを FXOSで物理的に有効にしASAで論理的に有効にする必要があります
Firepower 2100はデフォルトで有効になっているジャンボフレームをサポートします最大MTUは 9184です
管理インターフェイスの詳細についてはASAと FXOSの管理 (2ページ)を参照してください
インターフェイスの設定
インターフェイスを物理的に有効および無効にすることおよびインターフェイスの速度とデュ
プレックスを設定することができますインターフェイスを使用するにはインターフェイスを
FXOSで物理的に有効にしASAで論理的に有効にする必要があります
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイスを有効または無効にするには[AdminState]スライダをクリックしますチェッ
クマークは有効であることを示しXは無効であることを示します管理 11インターフェイスはこのテーブルで [MGMT]として表示されます
(注)
ステップ 3 速度またはデュプレックスを編集するインターフェイスの [Edit]鉛筆アイコンをクリックします管理 11インターフェイスを有効または無効にすることのみが可能ですそのプロパティを編集することはできません
(注)
ステップ 4 インターフェイスを有効にするには [Enable]チェックボックスをオンにしますステップ 5 [Admin Speed]ドロップダウンリストでインターフェイスの速度を選択しますステップ 6 [Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックしますステップ 7 [Admin Duplex]ドロップダウンリストでインターフェイスのデュプレックスを選択しますステップ 8 [OK]をクリックします
EtherChannel の追加EtherChannel(別名ポートチャネル)にはタイプと速度が同じ最大 16個のメンバーインターフェイスを含めることができます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド23
Firepower Chassis Manager の設定インターフェイス
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
EtherChannelメンバーポートは ASAに表示されますがEtherChannelおよびポートメンバーシップは FXOSでのみ設定できます
(注)
はじめる前に
Firepower 2100はアクティブまたはオンの Link Aggregation Control Protocol(LACP)モードでEtherChannelをサポートしますデフォルトではLACPモードはアクティブに設定されていますCLIでモードをオンに変更できます最適な互換性を得るために接続スイッチポートをアクティブモードに設定することを推奨します
手順
ステップ 1 [Interfaces]タブをクリックしますステップ 2 インターフェイステーブルの上の [Add Port Channel]をクリックしますステップ 3 [Port Channel ID]フィールドにポートチャネルの IDを入力します有効な値は1~ 47ですステップ 4 ポートチャネルを有効にするには[Enable]チェックボックスをオンにします
[Type]ドロップダウンリストは無視します使用可能なタイプは [Data]のみです
ステップ 5 [Admin Speed]ドロップダウンリストですべてのメンバーインターフェイスの速度を選択します
その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると可
能な範囲で最速の速度が自動的に適用されます
ステップ 6 すべてのメンバーインターフェイスについて[Auto Negotiation]で [Yes]または [No]のオプションボタンをクリックします
ステップ 7 [Admin Duplex]ドロップダウンリストですべてのメンバーインターフェイスのデュプレックスを選択します
ステップ 8 [Available Interface]リストで追加するインターフェイスを選択し[Add Interface]をクリックします
同じタイプと速度の最大 16のインターフェイスを追加できますチャネルグループに追加された最初のインターフェイスによって正しいタイプと速度が決まります
複数のインターフェイスを一度に追加できます複数の個別インターフェイスを選択す
るにはCtrlキーを押しながら目的のインターフェイスをクリックします一連のインターフェイスを選択するにはその範囲の最初のインターフェイスを選択しShiftキーを押しながら最後のインターフェイスをクリックして選択します
ヒント
ステップ 9 [OK]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド24
Firepower Chassis Manager の設定EtherChannel の追加
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
モニタリングインターフェイス
[Interfaces]タブでシャーシにインストールされているインターフェイスのステータスを表示できます下部のセクションにはFirepowerシャーシにインストールされているインターフェイスの表が表示されます上部のセクションにはFirepowerシャーシにインストールされているインターフェイスが視覚的に表示されます上部セクションでいずれかのインターフェイスにカーソ
ルを合わせるとそのインターフェイスに関する追加情報が表示されます
インターフェイスは現在のステータスを示すために色分けされています
bull緑動作状態は [Up]です
bull濃い灰色管理状態は [Disabled]です
bull赤動作状態は [Down]です
bull淡い灰色SFPがインストールされていません
論理デバイス[LogicalDevices]ページにはASAに関する情報とステータスが表示されますスライダを使用してトラブルシューティングのために ASAを無効または有効にすることもできます(チェックマークは有効であることを示しXは無効であることを示します)
ASAのヘッダーには [Status]が表示されます
bull [ok]論理デバイスの設定は完了しています
bull [incomplete-configuration]論理デバイス設定は未完了です
論理デバイス領域にも ASAの詳細な [Status]が表示されます
bull [Online]ASAは実行中および動作中です
bull [Offline]ASAは停止中で動作不能です
bull [Installing]ASAのインストールが進行中です
bull [Not Installed]ASAはインストールされていません
bull [Install Failed]ASAのインストールに失敗しました
bull [Starting]ASAは起動中です
bull [Start Failed]ASAの起動に失敗しました
bull [Started]ASAは正常に起動しアプリケーションエージェントのハートビートを待機しています
bull [Stopping]ASAは停止処理中です
bull [Stop Failed]ASAをオフラインにできませんでした
Cisco ASA for Firepower 2100 シリーズスタートアップガイド25
Firepower Chassis Manager の設定モニタリングインターフェイス
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bull [Not Responding]ASAは応答していません
bull [Updating]ASAソフトウェアのアップグレードが進行中です
bull [Update Failed]ASAソフトウェアのアップグレードに失敗しました
bull [Update Succeeded]ASAソフトウェアのアップグレードに成功しました
Platform Settings[Platform Settings]タブでは時間や管理アクセスなどの FXOSの基本的な操作を設定できます
NTP時刻の設定手動でクロックを設定することもNTPサーバを使用する(推奨)こともできます最大 4台のNTPサーバを設定できます
はじめる前に
bull NTPはデフォルトでは次の Cisco NTPサーバで設定されます0sourcefirepoolntporg1sourcefirepoolntporg2sourcefirepoolntporg
bull NTPサーバのホスト名を使用する場合はDNSサーバを設定する必要がありますDNSDNSサーバの設定 (39ページ)を参照してください
手順
ステップ 1 [Platform Settings]タブをクリックし左側のナビゲーションで [NTP]をクリックします[Time Synchronization]タブがデフォルトで選択されています
ステップ 2 NTPサーバを使用するにはa) [Use NTP Server]オプションボタンをクリックしますb) [Add]をクリックしてIPアドレスまたはホスト名で最大 4つの NTPサーバを識別します
NTPサーバのホスト名を使用する場合はこの手順の後半で DNSサーバを設定します
ステップ 3 手動で時刻を設定するには
a) [Set Time Manually]オプションボタンをクリックしますb) [Date]ドロップダウンリストをクリックしてカレンダーを表示しそのカレンダーで使用可能なコントロールを使用して日付を設定します
c) 対応するドロップダウンリストを使用して時刻を時間分および [AMPM]で指定します
ステップ 4 [Current Time]タブをクリックし[Time Zone]ドロップダウンリストからシャーシに適したタイムゾーンを選択します
ステップ 5 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド26
Firepower Chassis Manager の設定Platform Settings
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
システム時刻の変更に 10分以上かかると自動的にログアウトされFirepower ChassisManagerへの再ログインが必要になります
(注)
SSHSSH の設定次の手順ではFirepowerシャーシへのSSHアクセスを有効または無効にする方法およびシャーシを SSHクライアントとして有効にする方法について説明しますSSHサーバとクライアントはデフォルトで有効になっています
はじめる前に
手順
ステップ 1 [Platform Settings] gt [SSH] gt [SSH Server]を選択しますステップ 2 Firepowerシャーシへの SSHアクセスを SSHサーバが提供できるようにするには[Enable SSH]
チェックボックスをオンにします
ステップ 3 サーバの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 4 サーバの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 5 サーバの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 6 サーバの [Host Key]についてRSAキーペアのモジュラスサイズを入力しますモジュラス値(ビット単位)は1024~ 2048の範囲内の 8の倍数です指定するキー係数のサイズが大きいほどRSAキーペアの生成にかかる時間は長くなります値は 2048にすることをお勧めします
ステップ 7 サーバの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 8 サーバの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 9 [Save(保存)]をクリックしますステップ 10 [SSH Client]タブをクリックしてFXOSシャーシの SSHクライアントをカスタマイズしますステップ 11 [Strict Host Keycheck]について[enable][disable]または [prompt]を選択してSSHホストキー
チェックを制御します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド27
Firepower Chassis Manager の設定SSHSSH の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bull enableFXOSが認識するホストファイルにそのホストキーがまだ存在しない場合接続は拒否されます FXOS CLIでシステムスコープまたはサービススコープの enter ssh-hostコマンドを使用して手動でホストを追加する必要があります
bull promptシャーシにまだ格納されていないホストキーを許可または拒否するように求められます
bull disable(デフォルト)シャーシは過去に保存されたことがないホストキーを自動的に許可します
ステップ 12 クライアントの [Encryption Algorithm]について許可される暗号化アルゴリズムごとにチェックボックスをオンにします
ステップ 13 クライアントの [Key Exchange Algorithm]について許可される Diffie-Hellman(DH)キー交換ごとにチェックボックスをオンにします
DHキー交換はいずれかの当事者単独では決定できない共有秘密を提供しますキー交換は署名とホストキーを組み合わせてホスト認証を提供しますこのキー交換方式により明示的なサー
バ認証が可能となりますDHキー交換方法の使用方法の詳細についてはRFC 4253を参照してください
ステップ 14 クライアントの [Mac Algorithm]について許可される整合性アルゴリズムごとにチェックボックスをオンにします
ステップ 15 クライアントの [Volume Rekey Limit]についてFXOSがセッションを切断するまでにその接続で許可されるトラフィックの量を KB単位で設定します
ステップ 16 クライアントの [Time Rekey Limit]についてFXOSがセッションを切断するまでに SSHセッションがアイドルであることができる時間を分単位で設定します
ステップ 17 [Save(保存)]をクリックします
SNMPFirepowerシャーシに SimpleNetworkManagement Protocol(SNMP)を設定するには[SNMP]ページを使用します
SNMP の概要SNMPはアプリケーション層プロトコルでありSNMPマネージャと SNMPエージェントとの通信に使用されるメッセージフォーマットを提供しますSNMPではネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます
SNMPフレームワークは 3つの部分で構成されます
bull SNMPマネージャSNMPを使用してネットワークデバイスのアクティビティを制御しモニタリングするシステム
Cisco ASA for Firepower 2100 シリーズスタートアップガイド28
Firepower Chassis Manager の設定SNMP
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bull SNMPエージェントFirepowerシャーシ内のソフトウェアコンポーネントでFirepowerシャーシのデータを維持し必要に応じてそのデータを SNMPマネージャに送信しますFirepowerシャーシにはエージェントと一連のMIBが含まれています
bull管理情報ベース(MIB)SNMPエージェント上の管理対象オブジェクトのコレクション
FirepowerシャーシはSNMPv1SNMPv2cおよび SNMPv3をサポートしますSNMPv1およびSNMPv2cはどちらもコミュニティベース形式のセキュリティを使用します
SNMP 通知
SNMPの重要な機能の 1つはSNMPエージェントから通知を生成できることですこれらの通知では要求を SNMPマネージャから送信する必要はありません通知は不正なユーザ認証再起動接続の切断隣接ルータとの接続の切断その他の重要なイベントを表示します
Firepowerシャーシはトラップまたはインフォームとして SNMP通知を生成しますSNMPマネージャはトラップ受信時に確認応答を送信せずFirepowerシャーシはトラップが受信されたかどうかを確認できないためトラップの信頼性はインフォームよりも低くなりますインフォー
ム要求を受信する SNMPマネージャはSNMP応答プロトコルデータユニット(PDU)でメッセージの受信を確認応答しますFirepowerシャーシが PDUを受信しない場合インフォーム要求を再送できます
SNMP セキュリティレベルおよび権限
SNMPv1SNMPv2cおよび SNMPv3はそれぞれ別のセキュリティモデルを表しますセキュリティモデルは選択したセキュリティレベルと結合されSNMPメッセージの処理中に適用されるセキュリティメカニズムを決定します
セキュリティレベルはSNMPトラップに関連付けられているメッセージを表示するために必要な特権を決定します権限レベルはメッセージが開示されないよう保護または認証の必要があ
るかどうかを決定しますサポートされるセキュリティレベルはセキュリティモデルが設定さ
れているかによって異なりますSNMPセキュリティレベルは次の権限の 1つ以上をサポートします
bull noAuthNoPriv認証なし暗号化なし
bull authNoPriv認証あり暗号化なし
bull authPriv認証あり暗号化あり
SNMPv3ではセキュリティモデルとセキュリティレベルの両方が提供されていますセキュリティモデルはユーザおよびユーザが属するロールを設定する認証方式ですセキュリティレベ
ルとはセキュリティモデル内で許可されるセキュリティのレベルですセキュリティモデルと
セキュリティレベルの組み合わせによりSNMPパケット処理中に採用されるセキュリティメカニズムが決まります
SNMP セキュリティモデルとレベルのサポートされている組み合わせ
次の表にセキュリティモデルとレベルの組み合わせの意味を示します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド29
Firepower Chassis Manager の設定SNMP
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
表 1SNMP セキュリティモデルおよびセキュリティレベル
結果暗号化認証レベルモデル
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv1
コミュニティスト
リングの照合を使
用して認証しま
す
なしコミュニティスト
リング
noAuthNoPrivv2c
ユーザ名の照合を
使用して認証しま
す
未対応ユーザ名noAuthNoPrivv3
HMACSecureHashAlgorithm(SHA)に基づいて認証し
ます
なしHMAC-SHAauthNoPrivv3
HMAC-SHAアルゴリズムに基づい
て認証します
データ暗号規格
(DES)の 56ビット暗号化お
よび暗号ブロック
連鎖(CBC)DES(DES-56)標準に基づいた認証を提
供します
DESHMAC-SHAauthPrivv3
SNMPv3 セキュリティ機能
SNMPv3はネットワーク経由のフレームの認証と暗号化を組み合わせることによってデバイスへのセキュアアクセスを実現しますSNMPv3は設定済みユーザによる管理動作のみを許可しSNMPメッセージを暗号化しますSNMPv3ユーザベースセキュリティモデル(USM)はSNMPメッセージレベルセキュリティを参照し次のサービスを提供します
bullメッセージの完全性メッセージが不正な方法で変更または破壊されていないことを保証しますまたデータシーケンスが通常発生するものよりも高い頻度で変更されていないこ
とを保証します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド30
Firepower Chassis Manager の設定SNMP
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
bullメッセージ発信元の認証受信データを発信したユーザのアイデンティティが確認されたことを保証します
bullメッセージの機密性および暗号化不正なユーザエンティティプロセスに対して情報を利用不可にしたり開示しないようにします
SNMP サポート
Firepowerシャーシは SNMPの次のサポートを提供します
MIBのサポート
FirepowerシャーシはMIBへの読み取り専用アクセスをサポートします
SNMPv3ユーザの認証プロトコル
FirepowerシャーシはSNMPv3ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします
SNMPv3ユーザの AESプライバシープロトコル
SHAベースの認証に加えてFirepowerシャーシは AES-128ビット Advanced Encryption Standardを使用したプライバシーも提供しますFirepowerシャーシはプライバシーパスワードを使用して 128ビット AESキーを生成しますAESプライバシーパスワードは最小で 8文字ですパスフレーズをクリアテキストで指定する場合最大 80文字を指定できます
SNMP を設定しますSNMPを有効にしトラップおよび SNMPv3ユーザを追加します
手順
ステップ 1 [Platform Settings] gt [SNMP]を選択しますステップ 2 [SNMP]領域で次のフィールドに入力します
説明名前
SNMPが有効化かディセーブルかシステムに SNMPサーバとの統合が含まれる場合にだけこのサービスをイネーブルにしま
す
[Admin State]チェックボックス
Firepowerシャーシが SNMPホストと通信するためのポートデフォルトポートは変更できません
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド31
Firepower Chassis Manager の設定SNMP
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
FirepowerシャーシがSNMPホストに送信するトラップメッセージに含めるデフォルトの SNMP v1または v2cコミュニティ名あるいは SNMP v3ユーザ名
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでくださいデフォルトは publicです
[CommunityUsername]フィールドがすでに設定されている場合空白フィールドの右側のテキストは [SetYes]を読み取ることに注意してください[CommunityUsername]フィールドに値が入力されていない場合空白フィールドの右側のテキストは [SetNo]を読み取ります
[CommunityUsername]フィールド
SNMP実装の担当者の連絡先
電子メールアドレス名前電話番号など255文字までの文字列を入力します
[System Administrator Name]フィールド
SNMPエージェント(サーバ)が実行するホストの場所
最大 510文字の英数字を入力します
[Location]フィールド
ステップ 3 [SNMP Traps]領域で[Add]をクリックしますステップ 4 [Add SNMP Trap]ダイアログボックスで次のフィールドに値を入力します
説明名前
Firepowerシャーシからのトラップを受信する SNMPホストのホスト名または IPアドレス
[Host Name]フィールド
Firepowerシャーシが SNMPホストに送信するトラップに含める SNMP v1または v2コミュニティ名あるいは SNMP v3ユーザ名これはSNMPサービスに設定されたコミュニティまたはユーザ名と同じである必要があります
1~32文字の英数字文字列を入力します(アットマーク)(バックスラッシュ)(二重引用符)(疑問符)または空欄スペースは使用しないでください
[CommunityUsername]フィールド
Firepowerシャーシが SNMPホストとのトラップの通信に使用するポート
1~ 65535の整数を入力します
[Port]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド32
Firepower Chassis Manager の設定SNMP
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
トラップに使用される SNMPバージョンおよびモデル次のいずれかになります
bull [V1]
bull V2
bull V3
[Version]フィールド
バージョンとして [V2]または [V3]を選択した場合に送信するトラップのタイプ次のいずれかになります
bull Traps
bull [nforms]
[Type]フィールド
バージョンとして [V3]を選択した場合にトラップに関連付ける権限次のいずれかになります
bull [Auth]認証あり暗号化なし
bull [Noauth]認証なし暗号化なし
bull [Priv]認証あり暗号化あり
[v3 Privilege]フィールド
ステップ 5 [OK]をクリックして[Add SNMP Trap]ダイアログボックスを閉じます
ステップ 6 [SNMP Users]領域で[Add]をクリックしますステップ 7 [Add SNMP User]ダイアログボックスで次のフィールドに値を入力します
説明名前
SNMPユーザに割り当てられるユーザ名
32文字までの文字または数字を入力します名前は文字で始まる必要があり_(アンダースコア)(ピリオド)(アットマーク)-(ハイフン)も指定できます
[Name]フィールド
許可タイプ[SHA][Auth Type]フィールド
オンにするとこのユーザにAES-128暗号化が使用されます[Use AES-128]チェックボックス
このユーザのパスワード[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド33
Firepower Chassis Manager の設定SNMP
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
このユーザのプライバシーパスワード[Privacy Password]フィールド
確認のためのプライバシーパスワードの再入力[Confirm Privacy Password]フィールド
ステップ 8 [OK]をクリックして[Add SNMP User]ダイアログボックスを閉じます
ステップ 9 [Save(保存)]をクリックします
HTTPSポートの変更HTTPSサービスはデフォルトでポート443で有効化になりますHTTPSをディセーブルにすることはできませんがHTTPS接続に使用するポートは変更できます
はじめる前に
ASAデータインターフェイスで HTTPSアクセスを有効にする場合はHTTPSポートを 443から変更しないでくださいデフォルトのポートのみがサポートされます
手順
ステップ 1 [Platform Settings] gt [HTTPS]を選択しますステップ 2 HTTPS接続に使用するポートを [Port]フィールドに入力します1~65535の整数を指定します
このサービスはデフォルトでポート 443でイネーブルになりますステップ 3 [Save(保存)]をクリックします
指定した HTTPSポートが Firepowerシャーシに設定されます
HTTPSポートを変更すると現在のすべての HTTPSセッションが閉じられますユーザは次のように新しいポートを使用して再度FirepowerChassisManagerにログインする必要があります
httpsltchassis_mgmt_ip_addressgtltchassis_mgmt_portgt
ltchassis_mgmt_ip_addressgtは初期設定時に入力した Firepowerシャーシの IPアドレスまたはホスト名でltchassis_mgmt_portgtは設定が完了した HTTPSポートです
DHCP管理クライアント用に DHCP サーバを設定する管理 11インターフェイスに接続しているクライアントに対して DHCPサーバを有効にすることができますデフォルトではサーバはアドレス範囲 1921684510~ 1921684512で有効になっ
Cisco ASA for Firepower 2100 シリーズスタートアップガイド34
Firepower Chassis Manager の設定HTTPSポートの変更
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ています管理 IPアドレスを変更する場合DHCPを無効にする必要があります(FXOS管理 IPアドレスまたはゲートウェイの変更 (16ページ)を参照)その後新しいネットワークのDHCPを再度有効にすることができます
手順
ステップ 1 [Platform Settings] gt [DHCP]を選択しますステップ 2 [Enable DHCP service]チェックボックスをオンにしますステップ 3 [Start IP]と [End IP]にアドレスを入力しますステップ 4 [Save(保存)]をクリックします
syslogsyslog メッセージングの設定システムロギングはデバイスから syslogデーモンを実行するサーバへのメッセージを収集する方法です中央のsyslogサーバへロギングはログおよびアラートの集約に役立ちますログはルーチントラブルシューティングおよびインシデント処理の両方で役立ちます
これらの syslogメッセージはFXOSシャーシにのみ適用されますASAsyslogメッセージの場合ASA設定でロギングを設定する必要があります
手順
ステップ 1 [Platform Settings] gt [Syslog]を選択しますステップ 2 ローカル宛先を設定します
a) [Local Destinations]タブをクリックしますb) 次のフィールドに入力します
説明名前
コンソール
コンソールに syslogメッセージを表示するには[Enable]チェックボックスをオンにします
Admin State
コンソールに表示するメッセージの最低レベルをクリックし
ますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
bull Emergencies
bull Alerts
bull [Critical]
レベル
Cisco ASA for Firepower 2100 シリーズスタートアップガイド35
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
Platform
プラットフォーム syslogは常に有効ですAdmin State
表示するメッセージの最低レベルを選択しますFirepowerシャーシにはそのレベル以上のメッセージが表示されます
デフォルトは [Informational]です
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
ファイル
syslogメッセージをファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
保存するメッセージの最低レベルを選択しますシステムは
そのレベル以上のメッセージを保存します
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
16文字までのファイル名を設定します名前
Cisco ASA for Firepower 2100 シリーズスタートアップガイド36
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
最新のメッセージで最も古いメッセージが上書きされる前の
最大ファイルサイズ(バイト単位)を指定します有効な範
囲は 4096~ 4194304バイトです
サイズ
c) [Save(保存)]をクリックします
ステップ 3 リモート宛先を設定します
a) [Remote Destinations]タブをクリックしますb) [Remote Destinations]タブでFirepowerシャーシによって生成されたメッセージを保存できる最大 3つの外部ログについて次のフィールドに入力しますsyslogメッセージをリモート宛先に送信することで外部 syslogサーバで利用可能なディスク領域に応じてメッセージをアーカイブし保存後にロギングデータを操作できますたとえ
ば特定タイプの syslogメッセージがログに記録されたりログからデータが抽出されてレポート用の別のファイルにその記録が保存されたりあるいはサイト固有のスクリプトを使用
して統計情報が追跡されたりした場合に特別なアクションが実行されるように指定できま
す
説明名前
syslogメッセージをリモートログファイルに保存するには[Enable]チェックボックスをオンにします
Admin State
システムに保存するメッセージの最も低いレベルを選択しま
すリモートファイルにそのレベル以上のメッセージが保存
されます
bull Emergencies
bull Alerts
bull Critical
bullエラー
bull Warnings
bull Notifications
bull Information
bull Debugging
レベル
syslogサーバのホスト名または IPアドレスを設定します
IPアドレスではなくホスト名を使用する場合はDNSサーバを設定する必要があります
(注)
HostnameIP Address
Cisco ASA for Firepower 2100 シリーズスタートアップガイド37
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
ファイルメッセージのベースとして使用する syslogサーバのシステムログ機能を選択します
bull local0
bull local1
bull local2
bull local3
bull local4
bull local5
bull local6
bull local7
ファシリティ
c) [Save(保存)]をクリックします
ステップ 4 ローカル送信元を設定します
a) [Local Sources]タブをクリックしますb) 次のフィールドに入力します
説明名前
システム障害ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステム障害をログに記録します
Faults Admin State
監査ロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべての監査ログイベントをログに記録します
Audits Admin State
システムイベントロギングを有効化するかどうか[Enable]チェックボックスをオンにするとFirepowerシャーシはすべてのシステムイベントをログに記録します
Events Admin State
c) [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド38
Firepower Chassis Manager の設定syslogsyslog メッセージングの設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
DNSDNS サーバの設定システムでホスト名の IPアドレスへの解決が必要な場合はDNSサーバを指定する必要があります最大 4台の DNSサーバを設定できます複数の DNSサーバを設定する場合システムによるサーバの検索順はランダムになります
はじめる前に
bull DNSはデフォルトでは次の OpenDNSサーバで構成されています2086722222220867220220
手順
ステップ 1 [Platform Settings] gt [DNS]を選択しますステップ 2 [Enable DNS Server]チェックボックスをオンにしますステップ 3 追加する DNSサーバ(最大 4台)ごとにそれぞれの IPアドレスを [DNS Server]フィールドに
入力し[Add]をクリックしますステップ 4 [Save(保存)]をクリックしますステップ 5 [Domain Name Configuration]タブをクリックしFirepowerシャーシが非修飾名にサフィックスと
して追加する [Domain name]を入力し[Add]をクリックしますたとえばドメイン名を「examplecom」に設定しsyslogサーバとして非修飾名「jupiter」を指定した場合はFirepowerシャーシによって名前が修飾されて「jupiterexamplecom」となります
FIPS およびコモンクライテリアFIPS およびコモンクライテリアモードの有効化
Firepower 2100でFIPSまたはコモンクライテリア(CC)モードを有効にするには次の手順を実行します
またfips enableコマンドを使用して ASAで個別に FIPSモードを有効にする必要もありますASAにはコモンクライテリアモードに関する個別の設定はありませんCCまたは UCAPLのコンプライアンスに関する追加の制限があればシスコのセキュリティポリシーのマニュアルに
従って設定する必要があります
最初に ASAで FIPSモードを設定しデバイスのリロードを待ってからFXOSで FIPSモードを設定することをお勧めします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド39
Firepower Chassis Manager の設定DNSDNS サーバの設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [Platform Settings] gt [FIPS and Common Criteria]を選択しますステップ 2 [Enable]チェックボックスをオンにすることにより[FIPS]を有効にしますステップ 3 [Enable]チェックボックスをオンにすることにより[Common Criteria]を有効にします
コモンクライテリアを有効にすると[FIPS Enable]チェックボックスはデフォルトでオンになります
ステップ 4 [Save(保存)]をクリックしますステップ 5 プロンプトに従ってシステムをリブートします
アクセスリスト管理アクセスの設定
デフォルトではFirepower 2100は管理 11 19216845024ネットワークでFirepower ChassisManagerへのHTTPSアクセスおよびSSHアクセスを許可します他のネットワークからのアクセスを許可またはSNMPを許可する場合はアクセスリストを追加または変更する必要があります
IPアドレス(v4または v6)のブロックごとにサービスごとに最大 25個の異なるサブネットを設定できます
手順
ステップ 1 [Platform Settings] gt [Access List]を選択しますステップ 2 [IPv4 Access List]領域で
a) [Add]をクリックしますb) 次の値を入力します
bull [IP Address]IPアドレスを設定します すべてのネットワークを許可するには0000と入力します
bull [Prefix Length]サブネットマスクを設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 3 [IPv6 Access List]領域でa) [Add]をクリックしますb) 次の値を入力します
Cisco ASA for Firepower 2100 シリーズスタートアップガイド40
Firepower Chassis Manager の設定アクセスリスト管理アクセスの設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
[IP Address]IPアドレスを設定しますすべてのネットワークを許可するにはと入力します
bull
bull [PrefixLength]プレフィックス長を設定しますすべてのネットワークを許可するには0と入力します
bull [Protocol][HTTPS][SNMP]または [SSH]を選択します
c) [OK]をクリックしますd) サービスごとにネットワークを追加するにはこれらのステップを繰り返します
ステップ 4 [Save(保存)]をクリックします
システムアップデートこの作業はスタンドアロン ASAに適用されますフェールオーバーペアをアップグレードする場合は『Cisco ASA Upgrade Guide』を参照してくださいアップグレードプロセスには通常 20~ 30分かかります
ASAASDMおよび FXOSのイメージは 1つのパッケージにバンドルされていますパッケージのアップデートは FXOSによって管理されますASAオペレーティングシステム内で ASAをアップグレードすることはできませんASAと FXOSを個別にアップグレードすることはできません常にバンドルされています
ASDMの場合は例外ですASAオペレーティングシステム内からアップグレードできるため必ずしもバンドルされた ASDMイメージを使用する必要はありません手動でアップロードするASDMイメージは FXOSイメージリストに表示されませんASAから ASDMイメージを管理する必要があります
バンドルをアップグレードすると同じ名前(asdmbin)であるためバンドル内の ASDMイメージが前の ASDMバンドルイメージを置き換えますアップロードした別の ASDMイメージ(たとえばasdm-782bin)を手動で選択した場合バンドルアップグレード後も継続してそのイメージを使用することになります互換性のある ASDMバージョンを実行していることを確認するにはバンドルをアップグレードする前にASDMをアップグレードするかまたは ASAバンドルをアップグレードする直前にバンドルされた ASDMイメージ(asdmbin)を使用するように ASAを再設定する必要があります
(注)
はじめる前に
アップロードするイメージがローカルコンピュータで使用可能であることを確認してください
Cisco ASA for Firepower 2100 シリーズスタートアップガイド41
Firepower Chassis Manager の設定システムアップデート
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [Updates]を選択します[Available Updates]ページにシャーシで使用可能なパッケージのリストが表示されます
ステップ 2 [Upload Image]をクリックしますステップ 3 [Browse]をクリックしアップロードするイメージを見つけて選択しますステップ 4 [Upload]をクリックします
選択したイメージがシャーシにアップロードされますイメージの整合性は新しいイメージが
シャーシに追加されると自動的に確認されます手動で確認する場合は[Verify](チェックマークアイコン)をクリックします
ステップ 5 アップグレードする ASAパッケージを選択し[Upgrade]をクリックしますステップ 6 インストールの続行を確定するには [Yes]をインストールをキャンセルするには [No]をクリッ
クします
アップグレード中にFirepower Chassis Managerからログアウトされます
User ManagementユーザアカウントはFirepower 2100シャーシにアクセスするために使用されますこれらのアカウントはFirepower Chassis Managerおよび SSHアクセスで使用されますASAには別のユーザアカウントと認証があります
ユーザアカウントの概要
最大 48のローカルユーザアカウントを設定できます各ユーザアカウントには一意のユーザ名とパスワードが必要です
アカウントタイプ
管理者アカウント
管理者アカウントはデフォルトユーザアカウントであり変更や削除はできませんこのアカウ
ントはシステム管理者またはスーパーユーザアカウントでありすべての権限が与えられてい
ますデフォルトのパスワードは Admin123です
管理者アカウントは常にアクティブで有効期限がありません管理者アカウントを非アクティ
ブに設定することはできません
Cisco ASA for Firepower 2100 シリーズスタートアップガイド42
Firepower Chassis Manager の設定User Management
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ローカル認証されたユーザアカウント
ローカル認証されたユーザアカウントはシャーシによって直接認証されadmin権限を持つユーザが有効または無効にできますローカルユーザアカウントが無効になっている場合ユーザは
ログインできません無効化されたローカルユーザアカウントの設定の詳細はデータベースから
削除されません無効ローカルユーザアカウントを再度有効にするとアカウントはユーザ名と
パスワードを含め既存の設定で再びアクティブになります
ユーザロール
システムには次のユーザロールが用意されています
アドミニストレータ
システム全体に対する完全な読み取りと書き込みのアクセス権デフォルトのadminアカウントはデフォルトでこのロールが割り当てられ変更はできません
Read-Only
システム設定に対する読み取り専用アクセス権システム状態を変更する権限はありませ
ん
ユーザアカウントの有効期限
ユーザアカウントは事前に定義した時間に有効期限が切れるように設定できます有効期限の
時間になるとユーザアカウントはディセーブルになります
デフォルトではユーザアカウントの有効期限はありません
ユーザアカウントに有効期限日付を設定した後はアカウントの有効期限をなくすよう再設定で
きませんただし使用できる最新の有効期限日付でアカウントを設定することは可能です
ユーザアカウントに関するガイドライン
ユーザ名
ユーザ名はFirepowerChassisManagerおよびFXOSCLIのログイン IDとして使用されますユーザアカウントにログイン IDを割り当てるときは次のガイドラインおよび制約事項を考慮してください
bullログイン IDには次を含む 1~ 32の文字を含めることができます
任意の英字
任意の数字
_(アンダースコア)
-(ダッシュ)
Cisco ASA for Firepower 2100 シリーズスタートアップガイド43
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
(ドット)
bullログイン IDは一意である必要があります
bullログイン IDは英文字で開始する必要があります数字やアンダースコアなどの特殊文字からは開始できません
bullログイン IDでは大文字と小文字が区別されます
bullすべて数字のログイン IDは作成できません
bullユーザアカウントの作成後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要があります
パスワード
ローカル認証された各ユーザアカウントにパスワードが必要ですadmin権限またはAAA権限を持つユーザはユーザパスワードのパスワード強度チェックを実行するようにシステムを設定で
きますパスワード強度チェックをイネーブルにすると各ユーザが強力なパスワードを使用す
る必要があります
各ユーザが強力なパスワードを設定することを推奨しますローカル認証ユーザのパスワード強
度チェックを有効にするとFXOSは次の要件を満たしていないパスワードを拒否します
bull 8~ 80文字を含む
コモンクライテリア要件に準拠するためにオプションでシステムの最小文
字数 15文字の長さのパスワードを設定できます詳細についてはユーザ設定値の設定 (46ページ)を参照してください
(注)
bullアルファベットの大文字を少なくとも 1文字含む
bullアルファベットの小文字を少なくとも 1文字含む
bull英数字以外の文字(特殊文字)を少なくとも 1文字含む
bull aaabbbなど連続して 3回を超えて繰り返す文字を含まない
bull passwordABCや password321などの 3つの連続した数字や文字をどのような順序であっても含まない
bullユーザ名と同一またはユーザ名を逆にしたものではない
bullパスワードディクショナリチェックに合格するたとえばパスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません
bull次の記号を含まない$(ドル記号)(疑問符)=(等号)
bullローカルユーザアカウントおよび adminアカウントの場合は空白にしない
Cisco ASA for Firepower 2100 シリーズスタートアップガイド44
Firepower Chassis Manager の設定ユーザアカウントに関するガイドライン
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
ユーザの追加
Firepower Chassis Managerおよび FXOS CLIアクセスのローカルユーザを追加します
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Local Users]タブをクリックしますステップ 3 [Add User]をクリックして [Add User]ダイアログボックスを開きます
ステップ 4 ユーザに関して要求される情報を使用して次のフィールドに値を入力します
説明名前
このアカウントにログインするときに使用されるアカウント名
この名前は固有でありユーザアカウント名のガイドライン
と制限を満たしている必要があります(ユーザアカウントに関
するガイドライン (43ページ)を参照)
ユーザを保存した後はログイン IDを変更できませんユーザアカウントを削除し新しいユーザアカウントを作成する必要
があります
[User Name]フィールド
ユーザの名このフィールドには32文字までの値を入力できます
[First Name]フィールド
ユーザの姓このフィールドには32文字までの値を入力できます
[Last Name]フィールド
ユーザの電子メールアドレス[Email]フィールド
ユーザの電話番号[Phone Number]フィールド
このアカウントに関連付けられているパスワードパスワード
強度チェックを有効にした場合はユーザパスワードを強固な
ものにする必要がありますFXOSは強度チェック要件を満たしていないパスワードを拒否します(ユーザアカウントに関す
るガイドライン (43ページ)を参照)
[Password]フィールド
確認のためのパスワードの再入力[Confirm Password]フィールド
ステータスが [Active]に設定されている場合ユーザはこのログイン IDとパスワードを使用して Firepower Chassis Managerおよび FXOS CLIにログインできます
[Account Status]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド45
Firepower Chassis Manager の設定ユーザの追加
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
ユーザアカウントに割り当てる権限を表すロール(ユーザロー
ル (43ページ)を参照)
すべてのユーザはデフォルトでは読み取り専用ロールが割り当
てられますこのロールは選択解除できません複数のロール
を割り当てるにはCtrlを押したまま目的のロールをクリックします
ユーザロールおよび権限の変更は次回のユーザログ
イン時に有効になりますユーザアカウントへの新
しいロールの割り当てや既存のロールの削除を行うと
きにユーザがログインしている場合アクティブな
セッションは以前のロールや権限を引き続き使用しま
す
(注)
[User Role]リスト
オンにするとこのアカウントは [ExpirationDate]フィールドで指定した日付に期限切れになりそれ以降は使用できなくなり
ます
ユーザアカウントに有効期限日付を設定した後は
アカウントの有効期限をなくすよう再設定できませ
んただし使用できる最新の有効期限日付でアカウ
ントを設定することは可能です
(注)
[Account Expires]チェックボックス
アカウントが期限切れになる日付日付の形式は yyyy-mm-ddです
このフィールドの終端にあるカレンダーアイコンをクリックす
るとカレンダーが表示されそれを使用して期限日を選択でき
ます
[Expiry Date]フィールド
ステップ 5 [Add]をクリックしますステップ 6 ユーザを非アクティブ化するには次の手順を実行します
a) 非アクティブ化するユーザについて[Edit](鉛筆アイコン)をクリックしますadminユーザアカウントは常にアクティブに設定されます変更はできません
b) [Account Status]フィールドで [Inactive]オプションボタンをクリックしますc) [Save(保存)]をクリックします
ユーザ設定値の設定
すべてのユーザのグローバル設定値を設定できます
Cisco ASA for Firepower 2100 シリーズスタートアップガイド46
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
手順
ステップ 1 [System] gt [User Management]を選択しますステップ 2 [Settings]タブをクリックしますステップ 3 次のフィールドに必要な情報を入力します
説明名前
リモートログイン中にユーザが認証されるデフォルトの方法
次のいずれかになります
bull [Local]ユーザアカウントはFirepowerシャーシでローカルに定義する必要があります
bull [None]ユーザアカウントが Firepowerシャーシに対してローカルである場合はユーザがリモートログインすると
きにパスワードは必要ありません
[Default Authentication]フィールド
ローカルユーザ設定
オンにするとすべてのローカルユーザパスワードは強力な
パスワードのガイドラインに準拠しなければならなくなります
(ユーザアカウントに関するガイドライン (43ページ)を参照)
[Password StrengthCheck]チェックボックス
自分が以前に使用したパスワードを再使用する前にユーザが作
成する必要がある一意のパスワードの数履歴カウントは
最も新しいパスワードを先頭に時系列とは逆の順番で表示され
履歴カウントのしきい値に到達すると最も古いパスワードの
みが使用可能になります
この値は0~ 15から自由に設定できます
[History Count]フィールドを 0に設定して履歴カウントをディセーブルにするとユーザは以前のパスワードをいつでも再使
用できます
[History Count]フィールド
ローカル認証されたユーザがパスワードを変更できるタイミン
グを制御しますここに表示される値は次のとおりです
bull [Enable]ローカル認証されたユーザは[Change Interval]および [Change Count]の設定に基づいてパスワードを変更できます
bull [Disable]ローカル認証されたユーザは[No ChangeInterval]に指定された期間はパスワードを変更できません
[Change During Interval]フィールド
Cisco ASA for Firepower 2100 シリーズスタートアップガイド47
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
説明名前
[Change Count]フィールドで指定したパスワード変更回数が適用される時間数
この値は1~ 745時間から自由に設定できます
たとえばこのフィールドが 48に設定され[Change Count]フィールドが2に設定されている場合ローカル認証されたユーザは48時間以内に2回を超えるパスワード変更を実行することはできません
[Change Interval]フィールド
ローカル認証されたユーザが[Change Interval]の間に自分のパスワードを変更できる最大回数
この値は0~ 10から自由に設定できます
[Change Count]フィールド
ローカル認証されたユーザが新しく作成したパスワードを変
更する前に待機する最小時間数
この値は1~ 745時間から自由に設定できます
この間隔は[Change During Interval]プロパティが [Disable]に設定されていない場合無視されます
[No Change Interval]フィールド
ステップ 4 [Save(保存)]をクリックします
Cisco ASA for Firepower 2100 シリーズスタートアップガイド48
Firepower Chassis Manager の設定ユーザ設定値の設定
