ファイアウォール

ASAの自己発行証明書利用による接続について

お世話になります。内村と申します。CiscoASA5520＋iPadでAnyConnectにてリモート接続を実施しています。CiscoASAの自己発行証明書をiPadにインストールして運用しております。（ID/PASSなし、証明書のみ）現在CAサーバ：３年、クライアント証明書：１０年という形に現在の設定ではなっております。その際CAサーバの期限（３年）が切れた場合のiPad（AnyConnect）側の挙動はどういう形になりますでしょうか。もう一つの質問は本当はCAサーバの期限も１０年にしたいと...

解決済み! ASAでのrsh/rcp通信について

ASA経由でrsh/rcp通信を行いたいと考えていますが、permitするポートは何番ポートなのかを調べています。 rshについては514番と言う事が判明しました。 http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/inspect_overview.html?bid=0900e4b182bdeb70 しかしrcpについてのドキュメントはありま...

Secondary機のSSHログインについて

ASA5585でActive/Standby の構成なのですが、Secondary機にSSHにてアクセスできません。Primary機をStandby状態にしても、SSHでのログインはPrimary機のみです。設定に不備があるのでしょうか。それとも仕様なのでしょうか。

解決済み! FWSMのSNMPについて

お世話になります。 FWSM(ver. 3.1(8)) について、教えて頂きたいです。「show running-config」を行うと、設定していたSNMP設定が全て消えており、代わりに「SNMP agent module is currently busy. Please retry the 'snmp-server' command at a later time.」というメッセージ表示されています。しばらくすると、上記メッセージが消えてSNMP設定が復帰するのですが、メッセージがr...

解決済み! ASA5525X Firewall Access Rules のエントリ上限について

ASA5525x を 9.1(2) で使用しておりますが、Firewall の Access Rules のエントリ数の上限を教えて頂けないでしょうかまた、エントリ数等、制約等が記載されているドキュメントがあればマニュアル№などを教えて頂けないでしょうかよろしくお願いします。

解決済み! フェールオーバー時の動作について

皆様 ASA5500シリーズの実機や検証機を持っておられる方がおりましたらHAのフェールオーバー時の動きについて教えてください。【1】ACTIVE/ACTIVE構成の際、Primary機に障害が発生し、フェールオーバーで切り替わりが発生しても　通信断は発生しないという認識で宜しいでしょうか。【2】フェールオーバーの時間について　　フェールオーバーが発生した際、ACTIVE→STANDBYへの切り替わりの時間を教えてください。　　また、障害/手動の発生時のトリガーによって収束に差が出るか教えて...

ASA5515のフロントパネルのLEDの状態について

初めて質問させて戴います。ASA5515のフロントパネルのLEDの状態を知りたいのですが、確認するマニュアルもしくはサイトのリンクなどがございましたら教えてください。ランプ　　消灯　点灯（緑）　点灯(赤)　boot active PS ALARM VPNHDよろしくお願いいたします。

解決済み! ASA:PEM形式でのCRL取得について

ASAでCRLを取得する方法について教えて下さい。以前まではCRLとしてhttp://xxx/xxx.crlというファイルを参照していましたが、CRLをPEM形式(http://xxx/ooo.pem)に変更してからASAからCRLが参照できなくなってしまいました。　※PCからhttp://xxx/ooo.pemにアクセスすると、失効リストが表示されます。　※ASAから対象のサーバへの疎通は問題ありません。原因や対処方法に思い当たることがあれば教えて下さい。よろしくお願いします。

ASA failover のパケットの条件

こんにちは。質問があります。ASAのフェイルオーバーですが、インターフェイスのモニタリング2. ネットワークアクティビティテスト：受信ネットワークアクティビティテスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。http://www.cisco.com/cisco/web/support/JP...

ASA5510におけるグローバルIP1コに対してPolycomとインターネット接続を併用する設定

基本的なことかもしれないのですが、教えてください。現在、オフィス内にて固定のグローバルIP1コでインターネット接続を運用しています。インターネット接続はASA5510にて接続中です。今回、Polycom HDX 7000を導入し、社外顧客とのやりとりを行おうとしていまして、グローバルIPを1コのまま、PATの設定で実現できるものでしょうか？▼Polycom利用ポート・TCP：1720・TCP：3230 ～ 3243・UDP：3230 ～ 3285※PAT設定を確認しましたが、単一ポート同士の変換...

解決済み! ASAの1対1NAT設定について

ASA 5505 / 5510 においてStaticNATを使用したいのですが、動作が分からず困っております。実現したいことは、送信元と宛先の同時変換（双方向ＮＡＴ）です。互いに送信元IPと宛先IPを変換することでネットワークを隠ぺいすることが目的です。また、双方向どちらからでも通信を開始させたいです。下記に環境を記載します。端末A→→→(in)ASA(out)→→→端末Bへの通信　（セッションの開始は端末Ａ）端末A←←←(in)ASA(out)←←←端末Bへの通信　（セッションの開始は端末Ｂ）...

ASA5500XシリーズのDisk0へファイルをPCから一括転送する方法

●検証環境機器：ASA5515XOS：9.1.2ASDM：7.1.4●お客様環境機器：ASA5512XOS：9.1.3ASDM：7.1.4現在、お客様機器故障時を想定して復元方法を検討しています。お客様環境機器のDisk0（flash）にCA認証の証明書ファイルが50個以上インストールされています。ASDMでもローカルPCから1個1個ならばファイル転送可能ですが、さすがに50個以上ともなると正直かなり手間です。そこでローカルPCからファイルを一括でASAのDisk0へ転送する方法は無いでしょうか...

不明な証明書が表示されています。表示させない為にはどうしたら良いですか？

CiscoASAでデバイス証明書を入れたら、画像のように、入れたデバイス証明書以外に、有効期限が切れたSCEPの証明書が一緒に表示されてしまいます。こちらは、何故表示されてしまうのでしょうか？表示が不要な証明書となる為、非表示にしたいです。出来れば、その方法を教えて下さい。宜しくお願いします。

ASA9.0 VPN機能について

ASA9.0 VPN機能についての質問です。マルチコンテキストモードにてVPN機能を利用したいと思っています。リリースノートとコンフィグガイドを見る限りVPNを利用できそうですが、http://www.cisco.com/en/US/docs/security/asa/asa90/release/notes/asarn90.html#wp586890http://www.cisco.com/en/US/docs/security/asa/asa90/configuration/guide/vpn...

解決済み! ASA5515 フロントパネルのLED状態について

初めまして、質問をさせてください。ASA5515 フロントパネルのLED状態表示について教えてください。もしくは、マニュアルもしくは関連サイトのURL等があったらお願いします。ASA5515 フロントパネルランプ消灯点灯(緑) 点灯(赤)　　　　　点灯(橙)BOOTACTIVEPSALARMVPNHDよろしくお願いいたします。

Advanced ASA Firewalls Inside Out　(Ask the Expert)

このAsk the Expert は7月23日（火）開催の Webcast スピーカーが担当します。質問は、Webcast で解説した内容を主に受付いたしますが、Cisco Firewalls に関することであればエキスパートができる限りお答えいたします。どうぞお気軽にご質問ください。担当エキスパート: 川村　悟 (Satoru Kawamura) 開催期間：2013年7月24日（水）～2013年8月4日（日）[質問の投稿方法]サポートコミュニティへCisco.comIDでログインすると、こ...

ASA5510におけるスタティックNATの動作に関して

お世話になります。基本的な内容で恐縮ですが、ASAのスタティックNATの動作について質問させてください。既存環境にスタティックNATの設定を追加を行おうと思っています。スタティックNATの変換を行う際に、同じIPアドレスを利用した状況下で、2台のホストが同時に外部にアクセスを行った場合、どのような動作を行うでしょうか？具体的には、192.168.0.1→outside inetrface IP(スタティックNAT変換)192.168.0.2→outside interface IP(スタティック...

AnyConnect 3.x SSL-VPN 証明書選択仕様について

Windows7 から AnyConnect 3.0 を使用して ASA5500 に接続時の証明書選択についてご存知あれば教えて下さい。AnyConnect Client Profile （証明書の選択）を使用していない場合で、クライアント側に証明書を複数インストールしている場合に利用される証明書の順位があればご教授ください。同一 CA より発行した証明書（証明書A（失効処理済み），証明書B（有効））をクライアントに導入してテストを行ったところ、証明書Aが自動的に選択されて、「Certifica...

ASA5500シリーズのAAA機能について

お世話になります。基本的な内容で恐縮ですが、ASAのAAA機能について質問させてください。・要件 ASA5500シリーズにて、特権モードにログインするユーザを個別に管理したい。 ※コンソール、Telnetでログインするユーザを想定。 ※TACACS、RADIUSサーバ構築済み。・質問ユーザ毎にenableパスワードを設け、TACACSもしくはRADIUSで認証する事は可能でしょうか。もし、可能な場合はコマンドもしくは参照ドキュメントをお教え頂けると幸いです。また、ASAで可能な場...

ASA5505 AnyConnect SSL-VPN Client でのフルトンネリング設定について

ASA 8.4(5), ASDM6.4(7) にて AnyConnect VPN Client がうまく動作しません。設定もしくは、チェックポイントをアドバイスいただけないでしょうか(状況)inside クライアントは、・inside サーバアクセス OK（正常）・inside/outside(グローバルアドレス) に ping OK（正常）・インターネット OK（正常）リモート接続クライアントは、・inside サーバアクセス OK（正常）・inside に ping OK（正常）・outsi...