ファイアウォールについて (Ask the Expert)

CiscoJapanModerator · ‎2014-02-06

シスコの技術サポートエンジニアへ質問して疑問を解決できる「エキスパートに質問」へようこそ！

ここでは、シスコのエキスパートからのアドバイスや最新の情報が得られる場として気軽に質問してみてください。

担当エキスパート: 馬場裕子(Yuko Baba)

Cisco Japan TAC のカスタマーサポートエンジニアとして、セキュリティ製品のカスタマーサポートを行っており、現在は主に FW、IPS を担当しています。

ディスカッション開催期間: 2014年2月10日（月）～2月23日（日）

[質問の回答方法]

サポートコミュニティへCisco.comIDでログインすると、この説明の右下に「返信」ボタンが表示されます。クリックすると投稿欄が表示されますので、質問をご記入ください。最後に「メッセージの投稿」をクリックすると質問が送信され、完了となります。

もし１つの質疑応答が進行していても、他の新しい質問を同じスレッド内に投稿いただいて問題ありません。
この「エキスパートに質問」のディスカッションスレッドに届いた質問は担当のTACエキスパートが回答しますがすべての質問に返信できないかもしれません。
返信が得られずに開催期間が終了して残ってしまった質問については、サポートコミュニティ事務局が今回の技術カテゴリの通常のディスカッションフォーラムへ再掲載し、有用な情報の展開へとつなげていきます。

エキスパートから返信が得られた質問については、評価機能でその回答が適切であったかをエキスパートへぜひ伝えてください。

あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております！

[エキスパートからの回答について]

質問の投稿から原則数日以内に回答できるよう努めます。内容によっては、検証や確認に時間がかかる場合もありますのでご了承ください。質問の内容によっては、エキスパートの担当範囲外の場合もございます。その際はサポートコミュニティ事務局、もしくは適切な担当から回答いたします。

ディスカッション期間を過ぎてからの投稿は、事務局より通常コミュニティへ投稿いただくようお願いさせていただくようになりますことも合わせてご理解ください。

SHUJI KAMATA · ‎2014-02-14

お世話になります。

ASA５５００シリーズでのVRFの搭載予定があるのかどうか若しくは実装されているのであればOSとバージョン機種についてご教示お願いします。

また、構成の質問になりますが１：２(Active+Standby+Standby) or ２：１(Active2台＋Standby1台)等の構成が取れる機能は既に

実装されていますでしょうか。実装されていましたら資料の場所を教えていただきたく。なお構成上の留意点もあればお願いします。

以上　よろしくお願いいたします。

Yuko Baba · ‎2014-02-20

お世話になっております。ご質問を投稿いただき、誠にありがとうございました。

返信が遅くなり、大変失礼いたしました。

いただきました質問に関しまして、ASA で仮想的に 1 台に複数台分の routing

を行う機能があるかどうかという認識でよろしいでしょうか？

ASA では 1 台において仮想的に複数台の ASA に分割する機能として、multi

context mode というものがございます。1 台の ASA を 1 つの context とし、

物理的に 1 台の ASA にて仮想的に複数台の ASA が動作しているように稼働します。

(ここでいう context とは、ASA 内部で動作している仮想的な 1 台の ASA と

ご認識いただければと思います)

各 context を routed mode に設定すれば、それぞれの context において routing

が実施されますので、こちらの機能をご利用いただければと存じます。

構成に関するご質問ですが、こちらは Failover の Active/Active の機能にて行えます。

冗長構成を組む 2 台の ASA (物理) それぞれにおいて Active の状態である context を

設定できます。security context を 3 つ作成していただいた後、それぞれの context

を group 1 と 2 に分け、Primary (主系) と Secondary (副系) 双方において Active の

状態となる context を設定することができます。

ASA における multi context また Active/Active の設定の詳細につきましては、以下の

URL をご参照いただければと存じます。

[multi context の機能]

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/CG/004/contexts.html?bid=0900e4b1825ae5e9

[Active/Active の機能]

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/CG/004/ha_active_active.html?bid=0900e4b1825ae5e9

multi context にて設定できる context 数、また Active/Active の設定の可否は

ご購入いただいている ASA のライセンスに依存しますので、こちらについては

ご留意いただけますでしょうか。

[ASA のライセンスについて]

http://www.cisco.com/web/JP/product/hs/security/asa/prodlit/product_data_sheet0900aecd802930c5.html

以上です。ご査収の程、よろしくお願いいたします。

SHUJI KAMATA · ‎2014-02-21

シスコシステムズ　馬場様

いつもお世話になっております。また、ご丁寧な回答ありがとうございます。

言葉が足りなくて申し訳ありません。物理構成での１：ｎ構成を想定しています。

背景は２４ｈ３６５ｄで停止できないシステムで２台構成の片系障害発生時にシング

ルポイントを回避したいというのが狙いです。

御社のURLを検索してCluster機能がこちらで想定している機能に近いのですが

いかんせん現時点では高コストになってしまうのでASA5515あたりから使用出来

る機能が開発されていないかと思い問い合わせさせていただきました。

今後Cluster機能が将来下位機種に搭載されるとかありますでしょうか。

よろしくお願いいたします。

鎌田

Yuko Baba · ‎2014-02-23

鎌田様

お世話になっております。ご返信いただき、誠にありがとうございます。

> 今後Cluster機能が将来下位機種に搭載されるとかありますでしょうか。

> よろしくお願いいたします。

はい、Cluster 機能は 9.0 台の version から追加された機能となりますので、

Cluster 機能がサポートされている image 以降の software に upgrade すれば、

下位機種でもこちらの機能はご利用いただけます。

以上です。ご査収の程よろしくお願いいたします。

馬場

SHUJI KAMATA · ‎2014-02-24

ご回答ありがとうございました。

５５１５＋９．１での３台構成を検討させていただきます。

鎌田

Yuko Baba · ‎2014-02-25

鎌田様

お世話になっております。ご返信いただきありがとうございます。

いただきましたご質問に関して追記で、注意事項についてご連絡差し上げております。

３台での Cluster の構成をご検討されているとのことですが、下記の

release note の URL に記載がございます通り、

http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/release/notes/asarn91.html#wp736630

Table 1 New Features for ASA Version 9.1(4) より抜粋

---

The ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, and ASA 5555-X now support 2-unit clusters.

Clustering for 2 units is enabled by default in the base license; for the ASA 5512-X, you need the Security Plus license.

---

上記のように記載がございます通り、ASA5500-X での Cluster の構成は

２台のみのサポートとなっておりますので、こちらについてはご留意、

ご了承いただけますと幸いです。

以上です。ご査収の程よろしくお願いいたします。

馬場