キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

9118
閲覧回数
45
いいね!
31
返信
CiscoJapanModerator
Rising star

セキュリティ製品について(エキスパートに質問)

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2016年1月4日~1月31日
担当エキスパート: セキュリティ製品担当エンジニア

テクニカルアシスタンスセンター(TAC) で、セキュリティ製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・弊社のセキュリティ製品全般(VPN、Firewall、AAA、IPS、コンテンツセキュリティ)を対象とさせていただきます。
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

31件の返信31
MJ
Beginner

いつもお世話になっております。

ASA5506-Xを使用して、AnyConnectのクライアント証明書認証の動作確認をするための検証環境を構築しております。
このASA5506-Xを9.4(2)3から9.5(2)にVersion UpしたところCRLにアクセスできなくなってしまいました。

弊社検証環境では、Static URLで指定していたCRLのHTTPサーバがManagement Interface側にあります。

ASA5506# show running-config interface Management 1/1
!
interface Management1/1
 management-only
 nameif management
 security-level 50
 ip address 192.168.3.31 255.255.255.0
ASA5506# show running-config crypto ca trustpoint TrustPoint1
crypto ca trustpoint TrustPoint1
 revocation-check crl
 enrollment terminal
 crl configure
  policy static
  url 1 http://192.168.3.16/crl.der
  no protocol ldap
  no protocol scep
ASA5506#
  • 9.4(2)3の場合
ASA5506(config)# crypto ca crl request TrustPoint1
CRL received
ASA5506(config)#
  • 9.5(2)の場合
ASA5506(config)# crypto ca crl request TrustPoint1
Unable to retrieve or verify CRL
ASA5506(config)#

Version 9.5(1) から、Management interfaceのRouting TableがGlobalと分かれましたが、どうも、このCRLのアドレスがGlobalのRouting TableでRoutingされているように見受けられるのです。

Release Notes for the Cisco ASA Series, 9.5(x)>New Features in ASA 9.5(1)
Separate routing table for management-only interfaces

  • 9.5(2)のRouting Table
ASA5506# show route

    <...snip...>
Gateway of last resort is 172.25.3.29 to network 0.0.0.0

S*    0.0.0.0 0.0.0.0 [1/0] via 172.25.3.29, outside
C        192.168.0.0 255.255.255.0 is directly connected, dmz
L        192.168.0.254 255.255.255.255 is directly connected, dmz
O     192.168.1.0 255.255.255.0 [110/11] via 192.168.0.10, 00:04:22, dmz
C        192.168.100.0 255.255.255.0 is directly connected, inside
L        192.168.100.254 255.255.255.255 is directly connected, inside
O     192.168.101.0 255.255.255.0
           [110/11] via 192.168.100.10, 00:03:55, inside

ASA5506# show route management-only

Routing Table: mgmt-only

    <...snip...>
Gateway of last resort is not set

C        192.168.3.0 255.255.255.0 is directly connected, management
L        192.168.3.31 255.255.255.255 is directly connected, management

ASA5506#

ManagementのRouting Tableを見てほしい(向いてほしい)のですが、それらしい設定を見つけらておりません。

ASA5506(config)# crypto ca trustpoint TrustPoint1
ASA5506(config-ca-trustpoint)# ?

crypto ca trustpoint configuration commands:
  accept-subordinates    Accept subordinate CA certificates
  ca-check               CA Certificate installed in this trust point must have
                         the CA flag set in the Basic Constraints extension
  crl                    CRL options
  default                Return all enrollment parameters to their default
                         values
  email                  Email Address
  enrollment             Enrollment parameters
  exit                   Exit from certificate authority trustpoint entry mode
  fqdn                   include fully-qualified domain name
  help                   Help for crypto ca trustpoint configuration commands
  id-cert-issuer         Accept ID certificates
  id-usage               Specifies how the device identity represented by this
                         trustpoint can be used
  ignore-ipsec-keyusage  Suppress Key Usage checking on IPSec client
                         certificates
  ignore-ssl-keyusage    Suppress Key Usage checking on SSL client certificates
  ip-address             include ip address
  keypair                Specify the key pair whose public key is to be
                         certified
  match                  Match a certificate map
  no                     Negate a command or set its defaults
  ocsp                   OCSP parameters
  password               revocation password
  proxy-ldc-issuer       An issuer for TLS proxy local dynamic certificates
  revocation-check       Revocation checking options
  serial-number          include serial number
  subject-name           Subject Name
  validation-usage       Specifies the usage types for which validation with
                         this trustpoint is permitted
ASA5506(config-ca-trustpoint)# crl configure ?

crypto-ca-trustpoint mode commands/options:
  <cr>
ASA5506(config-ca-trustpoint)# crl configure
ASA5506(config-ca-crl)# ?

crypto ca trustpoint crl configuration commands:
  cache-time         Specify the refresh time in minutes for the CRL cache.
  default            Return all CRL parameters to their system default values.
  enforcenextupdate  Specify how to handle the NextUpdate CRL field. If
                     enabled, CRLs are required to have a NextUpdate field that
                     has not yet lapsed.
  exit               Exit from certificate authority trustpoint CRL
                     configuration mode
  help               Help for crypto ca trustpoint crl configuration commands
  ldap-defaults      Specify the default LDAP server and port to use if the
                     distribution point extension of the certificate being
                     checked is missing these values.
  ldap-dn            Specify the Login DN and password which defines the
                     directory path to access this CRL database.
  no                 Negate a command or set its defaults
  policy             Specify CRL retrieval policy
  protocol           Specify the permitted CRL retrieval methods.
  url                Specify a static URL from where CRLs may be retrieved.
ASA5506(config-ca-crl)# url ?

crypto-ca-crl mode commands/options:
  <1-5>  Specify the index to determine the rank of this URL. The URL at index
         1 will be tried first.
ASA5506(config-ca-crl)# url 1 ?

crypto-ca-crl mode commands/options:
  LINE < 500 char  URL
ASA5506(config-ca-crl)# url 1 http://192.168.3.16/crl.der ?

crypto-ca-crl mode commands/options:
  LINE < 500 char    <cr>
ASA5506(config-ca-crl)#

Version 9.5(1) 以降で、Static URLで指定していたCRLをManagement Interface側に置いた場合に、何か必要となる設定はございますでしょうか?


お世話になっております。
詳細な事前調査ありがとうございます。

CRL の取得以外の 192.168.3.0/24 に対する通信で特に影響が出ていないようでしたら、CRL に関しては何らかの設定が不足しているというわけではなく、ソフトウェア不具合に起因している可能性があります。特に CSCuv50968 に類似した現象と考えましたが、9.5.2 では修正されていました。

そこで、9.5.2 でも回避できていないようでしたら、お手数ですが、show tech-support に加えて、以下の debug の出力をご用意いただき、サービスリクエストをオープンいただけますでしょうか。

   debug crypto ca 255
   debug crypto ca messages 255
   debug crypto ca transactions 255
   debug npshim  255 

以下は参考までに management と同じネットワークの CRL サーバへ HTTP で CRL の取得を試みたタイミングの出力例となります。

  • 9.5.1 (不具合のため失敗しています)
CRYPTO_PKI: CRL is being polled from CDP http://1.150.0.153/ca.crl.
crypto_pki_req(0x00007f1c5a12f880, 24, ...)
CRYPTO_PKI: Crypto CA req queue size = 1.
Crypto CA thread wakes up!
npshim_dev_open: chan=0x00007f1c6df59c40 tcp/CONNECT/0/1.150.0.153/80 vcid=0
npshim_connect_open: chan=0x00007f1c6df59c40
ctx=dc882 open socket on intf=0(NP Identity Ifc)
npshim_util_socket_open: ctx=dc882 sock=8fdc8 create socket successful
ctx=dc882 sock=8fdc8 failed to connect error -1
CRYPTO_PKI: socket connect error.

CRYPTO_PKI: status = 0: failed to open http connection

CRYPTO_PKI: status = 65535: failed to send out the pki message

CRYPTO_PKI: transaction HTTPGetCRL completedCrypto CA thread sleeps!
CRYPTO_PKI: Failed to retrieve CRL for trustpoint: ASDM_TrustPoint0.
Retrying with next CRL DP...
  • 9.5.2
CRYPTO_PKI: CRL is being polled from CDP http://1.150.0.153/ca.crl.
crypto_pki_req(0x00002aaac15b3e40, 24, ...)
CRYPTO_PKI: Crypto CA req queue size = 1.
Crypto CA thread wakes up!
npshim_dev_open: chan=0x00002aaab794ca80 tcp/CONNECT/4/1.150.0.153/80 vcid=0
npshim_connect_open: chan=0x00002aaab794ca80
ctx=72aae open socket on intf=4(management)
npshim_util_socket_open: ctx=72aae sock=5fb98 create socket successful
ctx=72aae sock=5fb98 connect issued to 1.150.0.153/80
ctx=72aae Ioctl TCPSETSOCK
ctx=72aae sock=5fb98 - NPSHIM_MSG_TX_READY
ctx=72aae sock=5fb98 connect successful 1.150.0.153/80
CRYPTO_PKI: http connection opened
ctx=72aae Ioctl TCPWRITEREADY - ready
CRYPTO_PKI: content dump count 63----------
CRYPTO_PKI: For function crypto_http_send
GET /ca.crl HTTP/1.0
Host: 1.150.0.153
---/snip/---
CRYPTO_PKI: HTTP response header:
HTTP/1.1 200 OK

debug npshim 255 では PKI 関連の通信以外も記録されますので、可能であれば一時的に  management 経由で ASDM や SSH を使用せずに、debug の出力を採取するようしていただけますと助かります。

どうぞよろしくお願い申し上げます。

shkono 様

お忙しいところ、ご回答ありがとうございます!
掲載頂いた Log を確認させて頂き、9.5(2)でもManagementを向いているよう見受けられましたので、Management以外のInterfaceをshutdownして、試してみたところ、CRLを取得できました。

ASA5506(config)# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Virtual0                   127.1.0.1       YES unset  up                    up
GigabitEthernet1/1         172.25.3.30     YES CONFIG up                    up
GigabitEthernet1/2         192.168.100.254 YES CONFIG up                    up
GigabitEthernet1/3         192.168.0.254   YES CONFIG up                    up
GigabitEthernet1/4         unassigned      YES unset  administratively down down
GigabitEthernet1/5         unassigned      YES unset  administratively down down
GigabitEthernet1/6         unassigned      YES unset  administratively down down
GigabitEthernet1/7         unassigned      YES unset  administratively down down
GigabitEthernet1/8         unassigned      YES unset  administratively down down
Internal-Control1/1        127.0.1.1       YES unset  up                    up
Internal-Data1/1           unassigned      YES unset  up                    up
Internal-Data1/2           unassigned      YES unset  up                    up
Internal-Data1/3           unassigned      YES unset  up                    up
Management1/1              192.168.3.31    YES CONFIG up                    up
ASA5506(config)#
ASA5506(config)# crypto ca crl request TrustPoint1
Unable to retrieve or verify CRL
ASA5506(config)#
ASA5506(config)# int Gi1/1
ASA5506(config-if)# shutdown
ASA5506(config-if)# int Gi1/2
ASA5506(config-if)# shutdown
ASA5506(config-if)# int Gi1/3
ASA5506(config-if)# shutdown
ASA5506(config-if)#
ASA5506(config-if)# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Virtual0                   127.1.0.1       YES unset  up                    up
GigabitEthernet1/1         172.25.3.30     YES CONFIG administratively down down
GigabitEthernet1/2         192.168.100.254 YES CONFIG administratively down down
GigabitEthernet1/3         192.168.0.254   YES CONFIG administratively down down
GigabitEthernet1/4         unassigned      YES unset  administratively down down
GigabitEthernet1/5         unassigned      YES unset  administratively down down
GigabitEthernet1/6         unassigned      YES unset  administratively down down
GigabitEthernet1/7         unassigned      YES unset  administratively down down
GigabitEthernet1/8         unassigned      YES unset  administratively down down
Internal-Control1/1        127.0.1.1       YES unset  up                    up
Internal-Data1/1           unassigned      YES unset  up                    up
Internal-Data1/2           unassigned      YES unset  up                    up
Internal-Data1/3           unassigned      YES unset  up                    up
Management1/1              192.168.3.31    YES CONFIG up                    up
ASA5506(config-if)#
ASA5506(config-if)# crypto ca crl request TrustPoint1
CRL received <<< OK!
ASA5506(config)#

折を見て、お教え頂いた debug を採取して、SR Openさせて頂きたいと思います。
Bug情報や取得Log等、いろいろご教示頂きまして、ありがとうございました。

MJ
Beginner

いつもお世話になっております。

AnyConnectのAPEX/PLUSアクティベート手順について確認させて下さい。
弊社ASA検証機でAnyConnect Premium ⇒ APEXのアクティベート作業を実行したLogをZIPファイル【ASA_Activation_Log.zip】として参考までに添付させて頂きます。ZIPファイルを解凍頂きますと、次のLogファイルがご確認頂けます。

  • ASA5510 (PCB S/N JMX1434***M; Premium 50 & Mobile ⇒ APEX Migration)
    • ASA5510_8.0(5)31.log
    • ASA5510_8.2(5)58.log
    • ASA5510_8.3(2)44.log
    • ASA5510_8.4(7)29.log
    • ASA5510_9.0(4)37.log
    • ASA5510_9.1(6)10.log
    • ASA5510_9.1(7).log
  • ASA5515-X (PCB S/N FCH1643***G; Premium 10 & Mobile ⇒ APEX Migration)
    • ASA5515X_8.6(1)17.log
    • ASA5515X_9.0(4)37.log
    • ASA5515X_9.1(6)10.log
    • ASA5515X_9.2(4)4.log
    • ASA5515X_9.3(3)6.log
    • ASA5515X_9.4(2)3.log
    • ASA5515X_9.5(2).log


ASA5510とASA5515-Xの各Versionで、Premium ⇒ APEXのアクティベートを実行しました。ConfigはほとんどDefaultの状態(ManagementにIPを割り当てSSHアクセスに必要な設定をいれただけ)ですが、いずれも再起動無しで適用が完了できました。

印のものについては、APEX の activation-key コマンド実行後、"and will become active after the next reload." というMessageが出力されるものの、再起動せずとも"show version"に反映されています。(その他 9.1(5), 9.1(5)10 でも同様の動作であることを確認済)
については、CSCuo06987 Reload message shown when no reload is necessary かと思ったのですが、とあるSRで余談レベルで尋ねてみましたところ、ASAvのみ該当とのことで関係ないようでした。

弊社所有のASA検証機はPremiumなので、Essentials (& Mobile) ⇒ PLUSの動作確認ができません。Essentials (& Mobile)が有効なASAにPLUSを適用すると、PLUSはAPEXと同じなので、"show version"の

  • "AnyConnect Premium Peers"がHardwareスペックのVPN Session MAX値になる
  • "AnyConnect Essentials"が"Disabled"になる

ようですが、アクティベート時に再起動は発生しますでしょうか。
条件は「Essentials (& Mobile) ⇒ PLUS移行」の場合のみ (他のライセンスは一切変わらない) で、仕様・期待されるべき正しい動作を把握致しく、よろしくお願い致します。

未知・既知含め不具合による再起動の必要性を勘案する必要はございません。ただ、期待されるべき動作が不明ですと、不具合なのかどうかも判断できない状況です。再起動は「Messageに従ってください」というのも、上記のような事象もありますので、文言通り受け取りかねております。

なお、過去、顧客 ASA5515-K9 Version 9.1(2)でEssentials & Mobile ⇒ PLUSの作業時に、CSCuo05238 'show activation-key' command does not display the flash key correctly に該当していた模様で、再起動が必要になりましたが、これは不具合が理由と認識しております。

MJさん こんにちわ。

詳しい情報を有難うございます。 なお、恐縮ですが、既にAnyConnect Essentialsが有効の場合、これを無効時は 再起動が必要となります。 以下は私の検証環境のログとなりますので、ご参考になれば幸いです。

まず、以下は、AnyConnect Essentials が有効時のログです。

ciscoasa# show version | in Version
Cisco Adaptive Security Appliance Software Version 9.5(2)
Device Manager Version 7.5(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

ciscoasa# show version | be Licensed
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual <--- THIS
AnyConnect Essentials : 250 perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH1746xxxx
Running Permanent Activation Key: 0xd21be65b 0x7890b0b1 0x3113310c 0xxxxxxxxx 0xxxxxxxxx
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.

次にAnyConnect Essentialsを無効化(Disable)するための Activation Keyを適用します。 適用すると 再起動を促すメッセージが出力します。 この時点では、show versionでは、まだ AnyConnect Essentialsの Disableは反映されてません。 

ciscoasa# conf t
ciscoasa(config)#
ciscoasa(config)# activation-key 8f25e246 8c842f90 b1439994 0xxxxxxxxx 0xxxxxxxxx
Validating activation key. This may take a few minutes...
The following features available in running permanent activation key are NOT
available in new permanent activation key:
AnyConnect Essentials
WARNING: The running activation key was not updated with the requested key.
Proceed with update flash activation key? [confirm]
The flash permanent activation key was updated with the requested key,
and will become active after the next reload.
ciscoasa(config)#
ciscoasa(config)# show version | be License
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual <--- THIS
AnyConnect Essentials : 250 perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH1746xxxx
Running Permanent Activation Key: 0xd21be65b 0x7890b0b1 0x3113310c 0xxxxxxxxx 0xxxxxxxxx <--- 旧キーのまま
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.

適用のため、設定保存後に、ASAを再起動します。

ciscoasa(config)# wr
Building configuration...
Cryptochecksum: bdcb985a 9b192a75 98d0350d d7f14eb9

7531 bytes copied in 0.760 secs
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module

ASA起動後、AnyConnect Essentialsの無効化、及び、Permanent Activation keyの切り替わりを確認できます。

Type help or '?' for a list of available commands.
ciscoasa>
ciscoasa> en
ciscoasa# show version | be License
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 250 perpetual <--- THIS
AnyConnect Essentials : Disabled perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH174xxxxx
Running Permanent Activation Key: 0x8f25e246 0x8c842f90 0xb1439994 0xxxxxxxxx 0xxxxxxxxx
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.

Nakamura様

AnyConnect 4.x のライセンス移行が始まる前後のセミナーでは「適用作業は再起動は特に必要ない」とQAでありつつも、現場では、ちょこちょこ「再起動が必要であった」というお話も出始め、いくつかSRしてみたものの「再起動するときもあればしないときもあるが、条件は示せない」ということだったので、「これは実機確認するしかない!」と思い立ちPLUSは購入してみたもののEssentialsのPerpetualはEoSで手に入らず…といった具合で、ほとほと困り果てておりましたが、ようやく根拠あるご回答を頂けて、本当に感謝しております。

お忙しいところご確認頂き、ありがとうございました!
大変助かりました。

AB
Beginner
Beginner

ご担当者様

ASA5545-X(OS 9.1.6.10)で電源・温度・ファン異常 / 復旧の際にあがる

snmp trap oidをご教授下さい。

コンフィグガイド上はceSensorExtThresholdNotificationと記載があるのですが

「show snmp-server oidlist」コマンドでは上記oidが表示されません。

宜しくお願いいたします。

こんにちは。返信が遅くなってしまい申し訳ありません。

ceSensorExtThresholdNotificationはあくまでSNMP Trapの名前を示すものであって、OIDが与えられたSNMPのObjectではございません。実際に、CPUの温度が高くなった場合の例を元に説明致します。

 1.  system.sysUpTime.0 = Timeticks: (50637500) 5 days, 20:39:35.00
 2.  .iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTrap.snmpTrapOID.0 = ceSensorExtThresholdNotification
 3.  ceSensorExtThresholdValue.13.1 = 0
 4.  entPhySensorValue.13 = 0
 5.  entPhySensorType.13 = truthvalue(12)
 6.  entPhysicalName.13 = CPU Temperature sensor 0/0

上記の通り、SNMPv2 trapは1行目がsysUpTime)、2行目がsnmpTrapOID(※SNMP Trapであること自体を表します)となっており、その値が、仰っているceSensorExtThresholdNotificationとなります。

今回の電源、温度、ファン異常のセンサー関連のSNMP Trapであれば、3~6行目は、Configuration Guideの表 37-5 サポートされているトラップ(通知) の、ceSensorExtThresholdNotificationの変数バインドリストの項目に記載されている、4つのOIDになります。

従って、必要なSNMP TrapのOIDは以下の通りです。

system.sysUpTime (1.3.6.1.2.1.1.3)
.iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTrap.snmpTrapOID (1.3.6.1.6.3.1.1.4.1)
   ->今回のご要望の場合この値は必ずceSensorExtThresholdNotificationになります
ceSensorExtThresholdValue (1.3.6.1.4.1.9.9.745.1.1.1.4)
entPhySensorValue (1.3.6.1.2.1.99.1.1.1.4)
entPhySensorType (1.3.6.1.2.1.99.1.1.1.1)
entPhysicalName (1.3.6.1.2.1.47.1.1.1.1.7)

必要なMIBファイルについては、SNMP Object Navigatorをご参照いただけたらと思います。


Kato様

返信頂き有難うございます。

恐れいりますが以下についても教えて頂けますでしょうか。

ご教授頂いたceSensorExtThresholdNotificationの変数バインドリストの項目

(ceSensorExtThresholdValue、entPhySensorValue、entPhySensorType、entPhysicalName)

と、SNMP Object NavigatorでceSensorExtThresholdNotificationの

Trap Componentsで表示される内容(entPhysicalName,entPhysicalDescr,entPhySensorValue,entPhySensorType,ceSensorExtThresholdValue)

が異なるようなのですが、どちらが正しい内容となりますでしょうか。

また、これらは復旧時にもtrapがあがるという理解で宜しいでしょうか。

宜しくお願いいたします。

AB様

大変恐縮なのですが、現時点で明確な回答が難しい内容であり、検証や必要に応じて開発へ仕様確認が必要な内容のため、厳密な確認が必要であれば、TACへのサービスリクエストを、オープンいただけないでしょうか。

恐らく、ASAのConfiguration Guideに書いてある内容(entPhysicalDescrがないもの)が、複数の過去事例から判断するに正しいかと思いますが、厳密には物理的なセンサーのイベントを発生させることが検証出来ないため、すぐにお答えすることが出来ない状況です。

また、温度の復旧時についてですが、過去事例を確認している限りではtrapは上がらないと思われます。こちらも簡単に検証できる内容ではないため、開発への確認が必要なため、サービスリクエストでの対応とさせていただきたくお願い致します。

恐れ入りますが、何卒ご了承いただきたくお願い致します。

k y
Beginner
Beginner

ご担当者様

ASA5515-X(ver 9.2.4)にてanyconnect接続端末の間で通信が可能かご教授下さい。

可能であればconfigイメージもご教授願いませんでしょうか?

宜しくお願いいたします。


お世話になっております。

はい、AnyConnect 接続端末の間で通信は可能です。ASA の単一の Interface で AnyConnect 接続を終端されており、その端末間の接続をされたいということでしたら、まずは、Global configuration mode から以下の設定を追加いただき、動作確認をお願いいたします。

same-security-traffic permit intra-interface

また、全体の config イメージが触れられた資料として、以下が見つかりました。まずはご一読いただけますと幸いです。9.1.2 での設定例となりますが、9.2.4 も同様とご認識ください。

ASA 9.x: AnyConnect VPN Client U-turning Configuration Examples

Full-Tunnel の場合
Allow Communication between AnyConnect VPN Clients with the TunnelAll Configuration in Place
Split-Tunnel 構成の場合
Allow Communication between AnyConnect VPN Clients with Split-Tunnel

これらの設定例は、いずれも same-security-traffic permit intra-interface を使用する点は共通していますが、さらに AnyConnect Client からのインターネット接続や、対象通信を NAT から明示的にバイパスさせる考慮点が追加されています。

どうぞよろしくお願い申し上げます。