解決済み: Re: Firepower 2110/2120で管理インターフェイスの共有は可能か？

HITOSHIYAMADA8041 · ‎2021-06-22

今回Firepower 2110と2120を導入予定です。その際にマルチコンテキストモードを有効化し、管理インターフェイスを共有して割あえてたいと考えています。

管理インターフェイスのサブインターフェイスを作って、それぞれをマルチコンテキストに管理インターフェースとして割り当てるということは可能でしょうか？（例. management 1/1.100, management 1/1.200）

以下のコンフィギュレーションガイドを確認するとできそうなのですが、実際はどうなのでしょうか？

https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa914/configuration/general/asa-914-general-config/interface-basic.html#ID-2075-00000018

ご教示よろしくお願いいたします。

Akira Muranaka · ‎2021-07-29

こんばんは！

以前私も検証したことがありますが、うっすら記憶ですが、管理ポート経由のアクセスの場合は、FXOSの管理IP宛に SSH 22や HTTPS 443でアクセスできたと思います。マルチコンテキストモードの場合もコチラになると思います。

データインターフェイス経由の場合、そのデータインターフェイスのIPアドレス宛に SSH 22でアクセスするとASA側にアクセスできてしまうため、それでデータインターフェイス経由で ASA"経由"で内部FXOSにアクセスする場合は別のポート番号(=3022)になっています。IP-clientを有効化すると、3022宛にアクセスがあると自動でNATしてFXOSに転送してくれる仕組みだったはずです。シングルモードかつプラットフォームモード利用時、かつ、データLAN経由で管理アクセスしたり、FXOSのNTP同期などしたい場合は使えるテクニックかと思います。

なお、FPR2100は ASA9.13からアプライアンスモードをサポートしてるので、アプライアンスモードのほうがASAとFXOSが統合されてて管理や設定が楽なので、プラットフォームモードの ip-clientを使うことは今後はますます稀になってくると思います。ちなみに、FPR1000はアプライアンスモードのみサポートなので、今後はアプライアンスモードが主流になると思います。2021年7月現在、FPR2100でアプライアンスモード使うなら、9.14.2 Interimの最新バージョンが Cisco推奨リリースに選定されてます。

ただ、アプライアンスモードであってもプラットフォームモードであっても、管理インターフェイスは特殊な動作をして、管理インターフェイス関連の不具合も多かった気がするので(リリースノートとか見ると色々あり)、管理インターフェイスを、旧ASA5500シリーズと同じようにガッツリ使うというのは、そもそもASA5500とFPR1000/2100はアーキテクチャーが違うので、避けたほうがいいと思います。

元の投稿で解決策を見る

Akira Muranaka · ‎2021-07-27

こんばんは！

Firepower2100の管理インターフェイスは特殊なインターフェイスでASAとFXOS用に共有されており、サーバーの管理ポートと似てます。特にプラットフォードモードで利用時はインターフェイスDown/Upができなかったり色々と制限あるので、特殊なインターフェイスと考え、各Contextの管理には使わないほうが良いのではと思います。

データインターフェイスに manegment-only設定をつけて、データインターフェイスを各Contextの管理用として Shared しては如何でしょうか。

Firepower2100の管理インターフェイス制限については以下ドキュメントが参考になります。

https://community.cisco.com/t5/-/-/ta-p/3357918

HITOSHIYAMADA8041 · ‎2021-07-29

いつもご回答ありがとうございます。

当機能は Single Modeを利用時のみ使えます。Multiple Context Modeではサポートされません。

FXOS管理アクセスには、プロトコルごとに以下のデフォルトポートを用います。

HTTPS: 3443
SSH : 3022
SNMP : 3061

上記の記載があったのですが、そもそもSingle Mode、Multiple Context Mode関係なく

FXOSへの管理アクセスのポートはSSH：22ではなく、3022になるのでしょうか？

ip-clientコマンドを利用し、ASAのデータインターフェイス経由の場合は上記のデフォルトポートを使うことになるのでしょうか？

Akira Muranaka · ‎2021-07-29

こんばんは！

以前私も検証したことがありますが、うっすら記憶ですが、管理ポート経由のアクセスの場合は、FXOSの管理IP宛に SSH 22や HTTPS 443でアクセスできたと思います。マルチコンテキストモードの場合もコチラになると思います。

データインターフェイス経由の場合、そのデータインターフェイスのIPアドレス宛に SSH 22でアクセスするとASA側にアクセスできてしまうため、それでデータインターフェイス経由で ASA"経由"で内部FXOSにアクセスする場合は別のポート番号(=3022)になっています。IP-clientを有効化すると、3022宛にアクセスがあると自動でNATしてFXOSに転送してくれる仕組みだったはずです。シングルモードかつプラットフォームモード利用時、かつ、データLAN経由で管理アクセスしたり、FXOSのNTP同期などしたい場合は使えるテクニックかと思います。

なお、FPR2100は ASA9.13からアプライアンスモードをサポートしてるので、アプライアンスモードのほうがASAとFXOSが統合されてて管理や設定が楽なので、プラットフォームモードの ip-clientを使うことは今後はますます稀になってくると思います。ちなみに、FPR1000はアプライアンスモードのみサポートなので、今後はアプライアンスモードが主流になると思います。2021年7月現在、FPR2100でアプライアンスモード使うなら、9.14.2 Interimの最新バージョンが Cisco推奨リリースに選定されてます。

ただ、アプライアンスモードであってもプラットフォームモードであっても、管理インターフェイスは特殊な動作をして、管理インターフェイス関連の不具合も多かった気がするので(リリースノートとか見ると色々あり)、管理インターフェイスを、旧ASA5500シリーズと同じようにガッツリ使うというのは、そもそもASA5500とFPR1000/2100はアーキテクチャーが違うので、避けたほうがいいと思います。

HITOSHIYAMADA8041 · ‎2021-08-03

すいません、もしかしたら前述にご説明していただいているかもしれませんが、少し確認させてください。

現在の設計ではやはり管理インターフェースを使う方向です。

ASAの複数のマルチコンテキストにMGMT1/1及びIPアドレスを適用し、そのIPアドレスにSSH接続した場合、FXOSを経由せず直接ASAの該当マルチコンテキストへログインすることができるのでしょうか？

それともMGMT1/1を使う場合は必ずFXOSを経由することになるのでしょうか。。。

Akira Muranaka · ‎2021-08-03

こんばんは！

管理インターフェイスは特殊なインターフェイスで、内部で"２つ"の ASAとFXOS管理インターフェイスに分岐・接続してるので、管理インターフェイス経由で、ASAの管理IPにも、FXOSの管理IPにもアクセスできるアーキテクチャだったとおもいます。

詳しくはスタートアップガイドに記載がありますので、ご参考まで。

https://www.cisco.com/c/ja_jp/td/docs/security/asa/quick_start/fp2100/asa-2100-gsg/asa-2100-gsg_chapter_00.html

ASA と FXOS の管理
ASA および FXOS のオペレーティング システムは、管理 1/1 インターフェイスを共有します。このインターフェイスには、ASA および FXOS に接続するための個別の IP アドレスがあります。

HITOSHIYAMADA8041 · ‎2021-08-03

管理インターフェイスは特殊なインターフェイスで、内部で"２つ"の ASAとFXOS管理インターフェイスに分岐・接続してるので、管理インターフェイス経由で、ASAの管理IPにも、FXOSの管理IPにもアクセスできるアーキテクチャだったとおもいます。

そうなんですね！ご回答ありがとうございます！