- 最終編集日: 、編集者:
JapanTAC_CSC
- はじめに
- シャーシ管理用インターフェイスの制限について
- FPR2100-ASA利用時のFXOS管理の代替策について (ip-client)
- FPR2100-ASA利用時のFXOSからの管理通信について (ip-client)
- 参考情報
はじめに
本ドキュメントでは、Firepower2100/4100/9300シリーズのシャーシ用の 管理インターフェイス (chassis management interface) 利用時の制限と、Firepower2100シリーズでASAソフトウェア利用時の代替策として利用できる ip-clientコマンドについて紹介します。
本ドキュメントは、Firepower2120 ASAバージョン 9.8(2)24、Firepower4120 FXOSバージョン 2.2(2.26) を元に確認、作成しております。
シャーシ管理用インターフェイスの制限について
シャーシ管理用インターフェイスは、以下の管理のために用います。
- (Firepower2100シリーズ) シャーシ管理とASA/FTD管理の共用
- (Firepower4100/9300シリーズ) シャーシ管理用
FPR2100シリーズ:
シャーシ管理用のインターフェイスは特殊なインターフェイスとなり、以下の動作となります。
- 常に物理的リンクアップを継続
- 物理的なInterfaceのシャットダウン不可
- Speed/Duplex Autoでの動作となり、Speed/Duplexの変更不可
上記実装のため、ケーブルの抜線や 対向機器でshutdownを実施してもダウンせず、また FXOS側でshow faultでのフォルトログも生成されません。 Firepower2100シリーズでは シャーシ管理InterfaceをASA/FTDでも利用可能のため、ASA/FTD側でもログが生成されません。 この問題は CSCvi60871や CSCvi25364、CSCvd64182 で定義されています。
そのため、シャーシ管理インターフェイスと対向機器間でIP疎通が取れない場合は、ケーブルが正しく接続されているかの確認を実施してください。
FPR2100-ASA利用時のFXOS管理の代替策について (ip-client)
データインターフェイスでは リンクダウンアップや 伴うログの生成、Speed/Duplex変更等が可能です。また、Firepower2100-ASAシリーズで利用時は、ip-clientコマンドを利用することで、ASAのデータインターフェイス経由で、FXOSに管理アクセスが可能です。
当機能は Single Modeを利用時のみ使えます。Multiple Context Modeではサポートされません。
FXOS管理アクセスには、プロトコルごとに以下のデフォルトポートを用います。
HTTPS: 3443
SSH : 3022
SNMP : 3061
ASAソフトウェアは対象ポート宛の通信があった場合、FXOSの管理IPアドレスとポート宛に宛先変換し、FXOSソフトウェアに通信を転送します。
以下は構成と設定例です。
構成例:
FXOS側設定 (管理IPと、HTTPS/SSH許可):
scope system
scope services
enable https
enable ssh-server
enter ip-block 0.0.0.0 0 https
exit
enter ip-block 0.0.0.0 0 ssh
exit
scope fabric-interconnect a
set out-of-band static ip 1.150.0.25 netmask 255.0.0.0 gw 1.0.0.100
※設定変更後は commit-buffer で設定適用を※FXOS側のHTTPSやSSHのデフォルトポートは変更しないでください
ASA側設定 (HTTPSとSSHのASA経由のFXOS管理アクセス許可):
interface Ethernet1/1 nameif mgmt-data security-level 80 ip address 1.150.0.61 255.0.0.0 ! ip-client mgmt-data ! fxos https permit 0.0.0.0 0.0.0.0 mgmt-data fxos ssh permit 0.0.0.0 0.0.0.0 mgmt-data
FXOSのWebUI(FCM)にアクセスしたい場合は、https://[ASA-IP]:3443 宛にアクセスします。 以下画像は実際のGoogle Chromeでのアクセス例です。
FXOSにSSHアクセスしたい場合は、ssh://[ASA-IP]:3022 宛にアクセスします。 以下画像は実際のTeratermでのアクセス例です。
以下はデータインターフェイス Eth1/1が接続する対向スイッチのポートをシャットダウン時の、ASA側のログ出力例です。Firepower2100シリーズでは、FXOSソフトウェアのログはASA側に出力されます。
FPR2100-ASA(config)# Mar 30 14:57:20 firepower-2120 port-manager: Alert: Ethernet1/1 link changed to DOWN Mar 30 2018 14:57:19: %ASA-2-199014: Mar 30 14:57:20 firepower-2120 port-manager: Alert: Ethernet1/1 link changed to DOWN
ASA側で show interface ip briefで、インターフェイスのダウンアップ状況を確認可能です。
FPR2100-ASA(config)# show interface ip brief Interface IP-Address OK? Method Status Protocol Internal-Data0/1 unassigned YES unset up up Ethernet1/1 1.150.0.61 YES manual down down <--- THIS Ethernet1/2 192.168.1.131 YES manual up up Ethernet1/3 unassigned YES unset administratively down up
また、FXOS側で show faultでも、インターフェイスのダウン状況を確認可能です。
firepower-2120# show fault Severity Code Last Transition Time ID Description --------- -------- ------------------------ -------- ----------- Minor F1150 2018-03-30T14:54:29.000 176415 ether port 1/1 on fabric interconnect A oper state: link-down, reason: Down
FPR2100-ASA利用時のFXOSからの管理通信について (ip-client)
FPR2100シリーズでASAを利用時は、例えばNTPサーバ設定はFXOS側で行いますが、FXOSのNTPやDNS管理通信も ASAのデータインターフェイスを利用できます。 FXOSが外部アクセスする場合、デフォルトでASAのoutsideインターフェイスを利用します。 ip-client設定を利用する場合、ASA側でmanagement-onlyインターフェイス設定は除外するようにしてください。ASAは management-only設定を持つ場合、Routingテーブルをデータ処理用と管理通信用に分離してしまうためです。
参考情報
ASA Configuration Guide, 9.8 - Chapter: Management Access
https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/admin-management.html
ファイアウォール トラブルシューティング
https://supportforums.cisco.com/t5/-/-/ta-p/3161736
Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://supportforums.cisco.com/t5/-/-/ta-p/3161733
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
