キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

9119
閲覧回数
45
いいね!
31
返信
CiscoJapanModerator
Rising star

セキュリティ製品について(エキスパートに質問)

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2016年1月4日~1月31日
担当エキスパート: セキュリティ製品担当エンジニア

テクニカルアシスタンスセンター(TAC) で、セキュリティ製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・弊社のセキュリティ製品全般(VPN、Firewall、AAA、IPS、コンテンツセキュリティ)を対象とさせていただきます。
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

31件の返信31
MJ
Beginner

ASA5506-X の Security Plus ライセンスについてお教えくださいませ。
ASA5505 にも Security Plus ライセンスがございました。

両製品のライセンス型番と製品説明については、下記の通りです。
----
ASA5505-SEC-PL: ASA 5505 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.
ASA5506-SEC-PL: ASA 5506 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.
----
説明部分は全く同じです。

この
・DMZ
・VLAN trunk
について確認させて下さい。

ASA5505 では、DMZ の設定をするために、Security Plus ライセンスが必要でした。
----
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/GS/006/18003_02_6.html?bid=0900e4b1825ae6b6
Cisco ASA 5505 の DMZ 設定は、Security Plus ライセンスの場合にだけ可能です。

Cisco ASA 5505 クイック スタート ガイド Version 7.2 > VLAN 構成のプランニング
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/GS/003/17612_02_3.html?bid=0900e4b1825ae5d3#23960
表3-1 アクティブ VLAN のライセンス制限
※DMZ VLAN から内部 VLAN へのトラフィックの開始は制限されています。
----

また、VLAN Trunk (802.1Q) についても、
----
[CLI 9.2] ASA 5505 License Features
http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/general/asa-general-cli/intro-license.html#55668
⇒ "VLAN Trunks, maximum" の記載あり
----
に Security Plus が必要との記載があります。


ただ、ASA5506-X については、ASA5505 の異なり Switchport ではなく、
他の ASA と同様 L3 Port (Routed Port) であるとの認識です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【確認事項】
(1) ASA5506-X で DMZ を使用する場合、Security Plus ライセンスが必要でしょうか。
(2) ASA5506-X で L3 802.1Q Sub-interface (≒ Vlan Trunk) を使用する場合、
  Security Plus ライセンスが必要でしょうか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


ASA5506-X に関する DMZ の記載については、Cisco.com で見つけることはできませんでした。
また、下記に ASA5506-X の Security Plus の表では、
「VLAN Trunks, maximum」についての記載は、ありませんでした。(前述の通り ASA5505 ではありました。)
----
[CLI 9.5] ASA 5506-X, ASA 5506W-X, and ASA 5506H-X License Features
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/intro-license.html#ID-2148-0000000a
----

Base License でも 「VLANs, Maximum」が「5」とあるので、
Base License で Vlan Trunk (ASA5506-XではSub-interface) をサポートしない
ということはないと思うのですが…。

お忙しいところ恐れ入りますが、
ご教示の程、よろしくお願い致します。

こんにちは。

いただいたご質問に回答させていただきます。

(1) ASA5506-X で DMZ を使用する場合、Security Plus ライセンスが必要でしょうか。

→いえ、Subinterfaceに設定するVLAN数がLicenseの可能な数(ASA5506のデフォルトでは5)を超えない限りは不要です。参考までに、VLAN作成時に制限を超えると、以下のようなエラーが出てVLAN作成が出来なくなります。

ciscoasa(config-subif)# int gi 1/1.6
ciscoasa(config-subif)# vlan 56
ERROR: Exceed the limits allowed for creating VLAN.
ERROR: Failed to add vlan 56

ciscoasa# sh ver
---snip---
Licensed features for this platform:
Maximum VLANs                     : 5              perpetual ←この部分

---snip

また、ASA5506は全てRouted portになりますので、ASA5506にVLAN(Subinterfaceにて定義)を作らないのであれば、上記制限にも当てはまりません。


(2) ASA5506-X で L3 802.1Q Sub-interface (≒ Vlan Trunk) を使用する場合、
  Security Plus ライセンスが必要でしょうか。

→いえ、上記の通り、Base licenseであればVLAN5個までであれば、Security Plusライセンスは不要です。

詳しくは以下のサイトをご確認いただけたらと思います。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

以上

DMZも802.1Q Sub-interfaceも、Security Plus ライセンスが必須というわけではない (必要な Vlan 数が6個以上であれば、Security Plus ライセンスを追加する) ということで、理解できました。

もし可能であれば、誤解を招かぬよう SKU の Description 部分の修正をご検討頂けると嬉しいです。

SKU Description
ASA5506-SEC-PL ASA 5506 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.

   

迅速なご回答、誠にありがとうございました。

大変助かりました。

MJ
Beginner

いつもお世話になっております。

ASA の FirePOWER Module についてお教え下さいませ。

ASA5506-X を導入したのですが、今のところ FirePOWER を使用する予定はありません。

show module を確認すると、標準実装されている FirePOWER Module が Up になるのですが、この FirePOWER Module が CPU や Memory など何らかのリソースを消費することはありますでしょうか。

もしリソースを消費するなら、永続的に無効にしたいのですが、Uninstall (sw-module module sfr uninstall) 以外の方法はありますでしょうか。

MJさん、こんにちわ。

ASA5500-Xシリーズは、Layer7の高度制御が可能なソフトウェアモジュールの同時稼働を想定し設計されており、CPUや Memory領域も別々に用意されています。 その為、Firepowerが稼働している状態でも、ASAソフトウェアのACLやNATなど主要機能への大きな性能影響は御座いません。

しかし、ASA Hardware上のシステム全体として見た場合、Firepowerが通信処理をしていない状態でも、そのFirepower管理と連携(状態確認含む)のため リソースは消費しますので、利用しない場合は、シャットダウン、もしくは アンインストールを、お勧めしております。

なお、Firepowerをシャットダウンした場合、ASA本体が再起動しますとFirepowerも自動で起動してしまいます。 その為、長期的な未使用のためには、シャットダウンは向きません。

しばらく利用する予定の無い場合は、完全なアンインストールがお勧めです。 手順としては、以下のように 一度 シャットダウンして頂いてから アンインストールと、ASAの再起動をお願いできますでしょうか。

ciscoasa# sw-module module sfr shutdown
ciscoasa# sw-module module sfr uninstall
ciscoasa# reload


アンインストール後に、Firepowerの機能を利用したい要件が出て来ましたら、その時の最新のFirepowerバージョンを再インストールして頂ければと思います。 Firepower Software Moduleのインストールとセットアップは、特に通信影響 無く実施できます。 

Firepowerはサーバー製品ですので、古いバージョンをアンインストールせず残しておき パッチを当て続けるより、必要時に最新のFirepowerをリイメージで再セットアップしたほうが、セットアップも簡単で、クリーンインストールとなるため  トラブルも少ないと思います。

Firepowerの再インストール時手順は 以下などを参考ください。

https://supportforums.cisco.com/ja/document/12475796

Nakamura 様

早速のご回答ありがとうございます。

ものすごく参考になりました!

今後、ASA with Firepower 導入時に、Firepowerを使用しない場合は、お教えいただいた方針に沿って対応させて頂きます。

ありがとうございました。

MJ
Beginner

いつもお世話になっております。

ASA / FirePOWER Module の "admin" 初期パスワードについて確認させて下さい。

ASA5506-X で FirePOWER 5.4 を使用した場合、初期パスワードは以下の通りでした。

System software image Sourcefire
Boot image Admin123

しかし、ASA5506-X に FirePOWER 6.0 をインストールしてみたところ

System software image Admin123
Boot image Admin123

となっていました。

ASA5515-X でも FirePOWER 6.0 をインストールしてみましたが、同様でした。

下記の ASA CLI 9.5 の Config Guide には、System software image の初期パスワードは "Sourcefire" とありますが、FirePOWER 6.0 以降は、"Admin123" に変わったのでしょうか。

-----

ASA Series Firewall CLI Configuration Guide, 9.5
ASA FirePOWER Module > Defaults for ASA FirePOWER

<http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/firewall/asa-95-firewall-config/access-sfr.html#ID-2123-000000e0>

-----

MJさん、こんにちわ。

はい、ブートイメージと システムソフトウェアのパスワードが違う問題(混乱)を解消するため、Firepower 6.0より admin / Admin123に 一元化されています。 その為、確認頂いております通り、Admin123 の利用をお願いできますでしょうか。

なお、ご指摘の通り、設定ガイドへの反映がまだされていなかったため、社内で修正リクエストをしておきました。 確認のご不便をおかけし申し訳ありませんが、どうぞよろしくお願い致します。

Nakamura 様

Firepower 6.0 より admin / Admin123 に統一されたとのことで、承知致しました。
確かに同じ方がわかりやすくて、個人的には嬉しいです。
Config Guide の修正リクエストも助かります。

度々の迅速なご対応、誠にありがとうございました。

MJ様

いえいえ、問題事象について切り分けと丁寧な記載、及び 分析結果をコメント頂いておりましたため、確認がとても迅速にできました。 こちらこそ、有難うございました!

また何かありましたら、ご質問お待ちしております。

MJ
Beginner

いつもお世話になっております。

▼確認したい事項
ASA5585-NM-4-10GE や ASA5585-NM-8-10GE  に GLC-T (1000BASE-T SFP) を搭載した場合、
10Mbps や 100Mbps でも使用可能でしょうか。


▼背景
半年ほど前のことになりますが、ASA5585-NM-4-10GE で
1 つだけ 1G RJ-45 ポートが実装できると、
Firewall のポート数の要件で、ちょうどよくなる事案がありました。
(ASA5585-NM-20-1GE ですと、10Gが不足するので選定外)

ただ、その RJ-45 の要件が "100Mbps, 1000Mbpsで使用可能なこと" とありました。

当時、下記資料を参考に調べてみましたが、
「10/100/1000 で使用できる」あるいは「10/100 では使用できない」など
明確な情報が見つけられず、判明しませんでした。

ですので、今後のために、もしおわかりになりましたら
と思い、ここでご質問させて頂きました。


▼調査した資料(Cisco.comサイト)

ASA 5585-X I/O Modules

http://www.cisco.com/c/en/us/products/collateral/security/asa-5585-x-adaptive-security-appliance/product_bulletin_c25-711904.html

ASA 5585-X Hardware Installation Guide > Introducing the Cisco ASA 5585-X
http://www.cisco.com/c/en/us/td/docs/security/asa/hw/maintenance/5585guide/5585Xhw/overview.html

ASA General Operations CLI Config Guide 9.5 > Basic Interface Configuration
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/interface-basic.html

Cisco ASA New Features by Release > New Features in ASA 9.1(2)/ASDM 7.1(3)
>ASA 5585-X support for network modules
http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html#pgfId-230079

MJさん   こんにちは。


以下に回答します。
>▼確認したい事項
>ASA5585-NM-4-10GE や ASA5585-NM-8-10GE  に GLC-T (1000BASE-T SFP) を搭載した場合、
>10Mbps や 100Mbps でも使用可能でしょうか。

⇒実際に私の検証環境で確認してみましたが、10GEのポートにGLC-T (1000BASE-T SFP) を利用した場合、   1000Mbpsのみ利用可能となり、10Mbpsや100Mbpsではご利用できません。

   また、対向が10Mbps/100Mbps 速度固定の場合、GLC-T (1000BASE-T SFP) はリンクアップしません。

余談ではございますが、SFP-GE-T も同様に確認してみましたところ、1000Mbpsのみ利用可能となり、10Mbpsや100Mbpsではご利用できません。

yyokouch 様

お忙しいところ、動作確認までして頂き恐縮です。

10GEのポートに GLC-T を搭載した場合は、
1000Mbps Only であるとのこと承知致しました。

SFP-GE-T まで確認して下さいまして、ありがとうございます!
こちらも 1000Mbps Only とのことで承知致しました

実機確認の情報を大変助かります。
今後の参考にさせて頂きます。
ありがとうございました。

MJ
Beginner

いつもお世話になっております。

AnyConnect 4.x PLUS / APEX ライセンスについて確認させて下さい。

ASA5515-X PCB S/N 【FCH1643***G】で

APEX; L-AC-APXM-S-3-100 (PAK No. 7511J59***8) から

Activation-key を発行したところ、

9a1bc663 b4e1caab 6d22412c c4985c34 4c16eab8

という Key になりました。

とある SR で、PLUS と APEX の区別は、

  • ASA の "show version" や "show activation-key" では区別できない
  • 表示上の区別はできないが、PLUS の機能制限はきちんとなされている
    • 例)「Clientless SSL-VPNは使用できない」など APEXが必要な機能は使えなくなっている
  • 9.5(2) 以降であれば、"debug menu license 23"コマンドで区別できる (CSCuw74731)

とお教え頂きました。

上記を確認するため、PLUS (25ユーザ/5年) を購入しました。

PLUS の Activation Key を発行する前に、別SRにて

  • L-AC-APXM-S-3-100 (AnyConnect APEX)
  • ASA5500-SSL-10(=) (AnyConnect Premium)
  • ASA-AC-M-5515(=) (AnyConnect Mobile)

の3つのライセンスを無効化して頂きました。
(同時に権利放棄にも同意しています)

Product License Registration サイトで、上記3つのライセンスが

【FCH1643***G】から外れていることを確認した上で、

PLUS; L-AC-PLS-S-5Y-25  (PAK No. 7511J15***2) から

Activation-key を発行したところ、

9a1bc663 b4e1caab 6d22412c c4985c34 4c16eab8

という Key になりました。

結局 APEX と同じ Key です。

以上を踏まえまして、以下確認させて下さい。

AnyConnect 4.x のPLUS / APEX ライセンスは

  • ASA では種類の区別はしていない (APEXもPLUSも同じ)
    • 実装としては紳士協定状態
    • ※むろん購入したライセンスによって使用してよい機能の権利は異なる

という認識でよろしいでしょうか。

ちなみに、PLUS でも APEX と同じ Activation Key になってしまいましたので、"debug menu license 23" コマンドは、PLUS でも APEX と同じ出力になってしまいました。

ciscoasa# debug menu license 23
AnyConnect Apex license: ENABLED
ciscoasa#


お世話になっております。

ご認識のとおり ASA では APEX/PLUS の区別は行っていません。
PLUS を購入いただいた場合は、APEX が提供する機能が実際にご利用可能であってもサポート対象外という位置づけになります。

そのためサービスリクエストをいただいた際には、担当者にて調査対象となる機能に対して、正しいライセンスを購入されているかどうかを確認させていただいております。

また、APEX/PLUS の区別を行っていないということになりますので、CSCuw74731 の Workaroud にあるような debug menu license 23 の実行結果からも、両者を区別することができません。CSCuw74731 の記述内容は不適切であるため、内容を見直すよう、ID登録者と調整させていただきます。

以上のようになりますことから、過去にサービスリクエストで以下のご案内を差し上げていたようですが、適切な回答とはなっていないように認識しております。誠に申し訳ございませんがこの場をお借りして訂正させていただきたく思います。

> 表示上の区別はできないが、PLUS の機能制限はきちんとなされている
> 9.5(2) 以降であれば、"debug menu license 23"コマンドで区別できる

どうぞよろしくお願い申し上げます。

shkono 様

早速のご回答ありがとうございます。

・ASA では APEX/PLUS の区別がない
・サービスリクエストでは購入ライセンスを確認を実施している
とのこと承知致しました。

また CSCuw74731 の内容も調整頂けるとのこと、ありがとうございます。
過去のサービスリクエストでは、私の確認の仕方も悪かったのかもしれません。

こちらの質問の機会を与えて頂き、とても助かりました。
ありがとうございました!

MJ
Beginner

お世話になっております。

ASA Software の <Cisco Suggested> Release について、お教え下さい。

例えば、ASA5515-X の場合、2016/1/22 現在の <Cisco Suggested> Release は

  • 9.1.6 Interim (9.1(6)10)
  • 9.2.4.SMP (9.2(4))

が指定されています。

9.2(4) には、9.2.4 Interim (9.2(4)4) がありますが、9.2.4.SMP が <Cisco Suggested> になっている理由は何かありますでしょうか。単なる更新漏れでしょうか

また、新しい製品 ASA5506/5508/5516-X については、<Cisco Suggested> Release がありません。新しいめの製品 (各Releaseが進んでいない製品) では<Cisco Suggested> が指定されない、などありますでしょうか。


総じて、ASA Software で <Cisco Suggested> と指定される基準や指針があれば、ご教示いただけませんでしょうか。

(参考にした情報)

MJさん、こんにちわ。

はい、誠に恐縮ですが、Suggested Releaseのマークは、更新が間に合ってない時があるようです。 その時は、大変お手数ですが、当Webサイト右上の Feedbackなどから、コメントを頂けますと 大変助かります。 なお、ご指摘頂きました更新遅れについては、私からも社内にFeedbackさせて頂きました。

また、バージョン選定ですが、基本的にご利用のトレイン(9.1や9.2など)の、最新Interimバージョン もしくは 最新メンテナンスバージョン(リリース日が新しいほう)が 推奨とお考え頂ければと存じます。

なお、ASA 9.0や 9.3、9.5トレインは既にEoLアナウンスメントが出ており、今後 開発も収束するため、当トレインでサポート開始の新機能の利用が目的でない場合は、新規導入機にこれらトレインの利用は避けて頂いたほうが良いかと思います。(他、9.7も短命となる予定です。)  

ただ、EoLアナウンスメント後も、メンテナンスは しばらく継続され、また私達TACにお問い合わせは可能ですので、既に ご利用機器の すぐのトレイン変更を伴うアップグレードまでは不要かと思います。

最新のEoLアナウンスメントは 以下サイトより ご確認頂けますので、バージョン選定前の再確認もお願いしております。

Cisco ASA 5500-X Series Firewalls - End-of-Life and End-of-Sale Notices
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html

Nakamura 様

迅速なご回答、誠にありがとうございます。

ここ1,2年で、多くの製品に<Cisco Suggested>が示されるようになってから、1つの選定基準とさせて頂いておりましたが、ASA に限らずですが、まれに「何故???」と思ってしまう Release に Suggested Mark が付いているので、疑問に思っておりました。
今後は、Feedback を活用させて頂きます。

また、ASA の Version 選定指針も大変参考になりました。
今後に役立てて参ります。

ご教示ありがとうございました。