キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
Bookmark
|
Subscribe
|
5435
閲覧回数
5
いいね!
0
コメント
Taisuke Nakamura
Cisco Employee
Cisco Employee

 

 

概要

簡易インターネットFirewallとして導入する際に利用できる設定例を紹介します。本例では、WAN側接続にPPPoEを利用します。

対象製品は以下を想定してますが、他のASAモデルでも当設定例の流用が可能です。

    • ASA5506-X, ASA5508-X, ASA5516-X
    • ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X

  
なお、当設定例を利用前に、ASAの初期セットアップが完了している必要があります。 初期セットアップが まだの場合は、ASA5500-X: 初期化と、ASDMからのS/Wアップグレード、ライセンス有効化 を確認してください。

当ドキュメントは、ASA5506-X ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。

   

  

ネットワーク構成

当ドキュメントの設定例を用いて、以下のような構成を実現可能です。

アドレスと接続構成

接続先 Interface Name ASA IP情報 その他 設定
 WAN  outside  (PPPoE利用)  -
 LAN  inside  192.168.0.254/24  DHCPサーバ機能 有効
  (割当IPレンジ:192.168.0.1~200)

 
 

通信構成

接続元 送信元IP情報 宛先IP情報 宛先サービス/ポート 許可/拒否
 LAN  192.168.0.241
 (管理者端末)
 192.168.0.254
 (ASA inside IP)
 ASDM (TCP443)
 Telnet (TCP23)
 許可
 LAN  192.168.0.0/24  全て  HTTP (TCP80)
 HTTPS (TCP443)
 DNS (UDP53)
 NTP (UDP123)
 ICMP
 許可  
 LAN  全て  全て  全て  拒否
 WAN  全て  全て  全て  拒否

 

  

設定例

利用モデルによりポート構成とインターフェイス名が異なることがあります。 以下の設定例の違いは、インターフェイス名のみです。 ポート構成について詳しくは、ASA: モデル別 ポート構成とインターフェイス名 を参照してください。

(青字)の箇所は、環境に合わせ変更し利用してください。 主要設定の説明は後述します。 感嘆符(!)が先頭についている行は、実機に設定しても反映されない コメント行です。

Internet-FW-01 設定例 (ASA5506/08/16利用時)

!--------------------------------------------------------
! Internet-Firewall Configuration Template
!   for ASA5506-X, ASA5508-X, ASA5516-X
!--------------------------------------------------------
!
! HOSTNAME and PASSWORD
!
hostname Internet-FW-01
enable password (特権パスワード)
!
!
!--------------------------------------------------------
!
! WAN - PPPoE
!
vpdn group PPPoE request dialout pppoe
vpdn group PPPoE localname (PPPoEユーザ名)
vpdn group PPPoE ppp authentication (pap もしくは chap)
vpdn username (PPPoEユーザ名) password (PPPoEパスワード)
!
!
! WAN - INTERFACE
!
interface GigabitEthernet1/1
 nameif outside
 security-level 0
 pppoe client vpdn group PPPoE
 ip address pppoe setroute
 no shutdown
!
mtu outside (MTUサイズ)
!
!
!--------------------------------------------------------
!
! LAN - INTERFACE
!
interface GigabitEthernet1/2
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0
 no shutdown
!
!
! LAN - DHCP SERVER
!
dhcpd address 192.168.0.1-192.168.0.200 inside
dhcpd dns (DNSサーバIPアドレス) interface inside
dhcpd enable inside
!
!
!--------------------------------------------------------
!
! ACCESS CONTROL - LAN to WAN
!
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any
access-group ACL-INSIDE in interface inside
!
!
! ACCESS CONTROL - WAN to LAN
!
access-list ACL-OUTSIDE extended deny ip any any
access-group ACL-OUTSIDE in interface outside
!
!
! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION
!
policy-map global_policy
 class inspection_default
  inspect icmp
!
service-policy global_policy global
!
!
!--------------------------------------------------------
!
! NAT
!
object network PAT-192.168.0.0-24
 subnet 192.168.0.0 255.255.255.0
 nat (inside,outside) dynamic interface
!
!
!--------------------------------------------------------
!
! MANAGEMENT - LOGGING
!
logging enable
logging timestamp
logging buffer-size 40000
logging buffered errors
logging asdm informational
!
!
! MANAGEMENT - ASDM ACCESS
!
http server enable
http 192.168.0.241 255.255.255.255 inside
!
!
! MANAGEMENT - TELNET ACCESS
!
telnet 192.168.0.241 255.255.255.255 inside
passwd (Telnet用パスワード)
!
!
!--------------------------------------------------------

   

Internet-FW-01 設定例 (ASA5512/15/25/45/55利用時)

!--------------------------------------------------------
! Internet-Firewall Configuration Template
!   for ASA5512-X, ASA5515-X, ASA5525-X, ASA5545-X, ASA5555-X
!--------------------------------------------------------
!
! HOSTNAME and PASSWORD
!
hostname Internet-FW-01
enable password (特権パスワード)
!
!
!--------------------------------------------------------
!
! WAN - PPPoE
!
vpdn group PPPoE request dialout pppoe
vpdn group PPPoE localname (PPPoEユーザ名)
vpdn group PPPoE ppp authentication (pap もしくは chap)
vpdn username (PPPoEユーザ名) password (PPPoEパスワード)
!
!
! WAN - INTERFACE
!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 pppoe client vpdn group PPPoE
 ip address pppoe setroute
 no shutdown
!
mtu outside (MTUサイズ)
!
!
!--------------------------------------------------------
!
! LAN - INTERFACE
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0
 no shutdown
!
!
! LAN - DHCP SERVER
!
dhcpd address 192.168.0.1-192.168.0.200 inside
dhcpd dns (DNSサーバIPアドレス) interface inside
dhcpd enable inside
!
!
!--------------------------------------------------------
!
! ACCESS CONTROL - LAN to WAN
!
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any
access-group ACL-INSIDE in interface inside
!
!
! ACCESS CONTROL - WAN to LAN
!
access-list ACL-OUTSIDE extended deny ip any any
access-group ACL-OUTSIDE in interface outside
!
!
! ACCESS CONTROL - ENABLE ICMP STATEFUL INSPECTION
!
policy-map global_policy
 class inspection_default
  inspect icmp
!
service-policy global_policy global
!
!
!--------------------------------------------------------
!
! NAT
!
object network PAT-192.168.0.0-24
 subnet 192.168.0.0 255.255.255.0
 nat (inside,outside) dynamic interface
!
!
!--------------------------------------------------------
!
! MANAGEMENT - LOGGING
!
logging enable
logging timestamp
logging buffer-size 40000
logging buffered errors
logging asdm informational
!
!
! MANAGEMENT - ASDM ACCESS
!
http server enable
http 192.168.0.241 255.255.255.255 inside
!
!
! MANAGEMENT - TELNET ACCESS
!
telnet 192.168.0.241 255.255.255.255 inside
passwd (Telnet用パスワード)
!
!
!--------------------------------------------------------

   

  

  

設定の説明

主要設定の説明や、その補足・カスタマイズ情報などを、以下に記載します。

ホスト名とパスワード

enable password (特権パスワード)

CLIで設定変更や 細かな機器状態の確認が可能となる 特権EXECモードにアクセス時に入力が必要となるパスワードです。 任意パスワードを設定してください。 また、暗号化され保存されるため、設定したパスワードは忘れないようにしてください。

    

WAN関連

vpdn group PPPoE localname (PPPoEユーザ名)

接続業者から割り当てられたPPPoE接続用のユーザ名を設定します。

 
vpdn group PPPoE ppp authentication (pap もしくは chap)

PPPoE認証方式を指定します。papを利用時は「vpdn group PPPoE ppp authentication pap」、chapを利用時は「vpdn group PPPoE ppp authentication chap」と設定します。

 
vpdn username (PPPoEユーザ名) password (PPPoEパスワード)

接続業者から割り当てられたPPPoE接続用のユーザ名とパスワードを設定します。

   
security-level 100

各インターフェイスのセキュリティレベルを 0(最低) ~ 100(最大)の間で設定します。 デフォルトで outsideは セキュリティレベル 0、insideは セキュリティレベル 100です。 これらは、通常 設定変更は不要です。 

 
ip address pppoe setroute

IP 情報とゲートウェイ情報を 接続先から受取り利用するための設定です。 PPPoEで自動で情報受取が可能な場合、当設定で問題ありません。 なお、PPPoEで固定IPアドレスを利用したい場合は、「ip address <IP address> <subnet mask> pppoe setroute」コマンドで設定します。

 
mtu outside (MTUサイズ)

日本国内でPPPoEを利用する場合、MTU 1454(例:Bフレッツなど) もしくは MTU 1438(例:フレッツ・光プレミアムなど)を利用するケースが多いです。 例えば、MTUを1454にする場合、「mtu outside 1454」と設定します。

    

LAN関連

dhcpd address 192.168.0.1-192.168.0.200 inside

inside側のDHCPクライアントに配布するIPアドレスのレンジ。

  
dhcpd dns (DNSサーバIPアドレス) interface inside

配付するDNSサーバ情報を設定します。通常、接続業者から指定されたDNSサーバIPアドレスを記入してください。 例えば、DNSサーバ 8.8.8.8を利用する場合、「dhcpd dns 8.8.8.8 interface inside」と設定します。

   

アクセス制御

access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq www
access-list ACL-INSIDE extended permit tcp 192.168.0.0 255.255.255.0 any eq https
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq domain
access-list ACL-INSIDE extended permit udp 192.168.0.0 255.255.255.0 any eq ntp
access-list ACL-INSIDE extended permit icmp 192.168.0.0 255.255.255.0 any
access-list ACL-INSIDE extended deny ip any any

ア クセスリスト名 ACL-INSIDEを定義し、192.168.0.0/24内の送信元IPからの、HTTP(TCP80)、HTTPS(TCP443)、 DNS(UDP53)、NTP(UDP123)、ICMPを各許可し、それ以外は全て拒否する設定です。 アクセスリストは、設定した上から順にチェックされます。 カスタマイズしたい場合は、設定ガイド などが役立ちます。 また、CLIで基本設定を実施後、細かな変更はASDMから行う方法もお勧めです。

  
access-group ACL-INSIDE in interface inside

定義したアクセスリスト ACL-INSIDEを、insideインターフェイスに紐付けます。

  
policy-map global_policy

class inspection_default
inspect icmp
!
service-policy global_policy global

ICMPのステートフルインスペクションはデフォルト無効のため、それを有効化します。

   

アドレス変換

object network PAT-192.168.0.0-24
 subnet 192.168.0.0 255.255.255.0
 nat (inside,outside) dynamic interface

inside側の192.168.0.0/24からoutside側への通信を、outside側のinterfaceでPATするための設定です。 なお、ASAは様々なアドレス変換設定をサポートしています。 カスタマイズしたい場合は、設定ガイドASA: NATルールタイプ別の処理の違いと 設定例 などが役立ちます。

   

管理設定

logging buffered errors
logging asdm informational

logging buffered (show logで確認可能)と、logging asdm (ASDMで確認可能)の、Severity Levelを設定します。 カスタマイズしたい場合は、ASA: ロギングの適切なSeverityレベル選択とチューニング などが役立ちます。

  
http 192.168.0.241 255.255.255.255 inside

ASAのinsideにHTTPS/ASDMでGUIアクセスを許可する、管理端末のIPアドレス もしくは ネットワークを指定します。


telnet 192.168.0.241 255.255.255.255 inside
passwd (telnet用パスワード)

1 段目の設定でASAのinsideにTelnetでCLIアクセスを許可する、管理端末のIPアドレス もしくは ネットワークを指定します。 2段目の設定でTelnetアクセス時に利用するパスワードを指定します。 例えば、telnet123をパスワードとする場合、「passwd telnet123」と設定します。

  
なお、ASAは、よりセキュアなSSHや、管理アクセス時のユーザ名・パスワードでの認証もサポートします。 管理アクセスについてカスタマイズしたい場合は、ASA: ASDM・CLI・特権モードにアクセス時に ローカルユーザ認証を有効化する方法 などを参照してください。

 
 

動作確認

設定後の動作確認例を紹介します。

WAN側の動作確認

show vpdn session pppoe stateコマンドで、PPPoEセッションがアップ(SESSION_UP)していることを確認します。

Internet-FW-01(config)# show vpdn session pppoe state
 
 
PPPoE Session Information (Total tunnels=1 sessions=1)
 
 
SessID TunID Intf      State             Last Chg
 3496          2 outside SESSION_UP 1149 secs

   

show ip address outside pppoeコマンドで、IPアドレスが正しく割当てられていることを確認します。

Internet-FW-01(config)# show ip address outside pppoe

PPPoE Assigned IP addr: 153.232.xx.xx 255.255.255.255 on Interface: outside 
Remote IP addr: 122.1.xx.xx

  

show routeコマンドで、デフォルトルート(0.0.0.0/0)を正しく学習していることを確認します。

Internet-FW-01(config)# show route

Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 122.1.253.8 to network 0.0.0.0
  
S*       0.0.0.0 0.0.0.0 [1/0] via 122.1.253.8, outside 
C        192.168.0.0 255.255.255.0 is directly connected, inside
L         192.168.0.254 255.255.255.255 is directly connected, inside

  

    

LAN側の動作確認

DHCP でのIPアドレスやDNSサーバー情報の自動取得を有効にした端末をLANに接続し、任意アドレスやDNSサーバIPが割り当てられることを確認してくだ さい。 端末から、ASAのLAN側IPアドレスや、DNSサーバのIPアドレス、インターネット上の任意WEBサイトにアクセス可能か確認します。

DHCPサーバ(ASA)からのIPアドレスの割当状況は、show dhcpd bindingコマンドで確認できます。

Internet-FW-01(config)# show dhcpd binding
 
IP address      Client Identifier           Lease expiration       Type
 
192.168.0.4      01ec.c882.bb10.78       3534 seconds     Automatic
192.168.0.5      0100.1bd3.df48.62       3479 seconds     Automatic

 

   

アクセス制御の動作確認

LAN側の任意端末から任意WEBサイトなどにアクセスし、ASAを経由しアクセスが可能であることを確認します。

show access-listコマンドを実行し、hitcntを確認し、期待のルールにマッチし通信が許可/拒否されていることを確認します。

Internet-FW-01(config)# show access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list ACL-INSIDE; 6 elements; name hash: 0xfb5f17a8
access-list ACL-INSIDE line 1 extended permit tcp 192.168.0.0 255.255.255.0 any eq www (hitcnt=691) 0xefe3a259
access-list ACL-INSIDE line 2 extended permit tcp 192.168.0.0 255.255.255.0 any eq https (hitcnt=180) 0xf525a932
access-list ACL-INSIDE line 3 extended permit udp 192.168.0.0 255.255.255.0 any eq domain (hitcnt=605) 0xd3d08433
access-list ACL-INSIDE line 4 extended permit udp 192.168.0.0 255.255.255.0 any eq ntp (hitcnt=1) 0xf066c870
access-list ACL-INSIDE line 5 extended permit icmp 192.168.0.0 255.255.255.0 any (hitcnt=4) 0x83cc1e3f
access-list ACL-INSIDE line 6 extended deny ip any any (hitcnt=1059) 0x932a8f72
access-list ACL-OUTSIDE; 1 elements; name hash: 0xde4588ba
access-list ACL-OUTSIDE line 1 extended deny ip any any (hitcnt=0) 0x6907d400

  

show conn longコマンドで、確立している通信を確認できます。 データの交換量が多い通信は、bytesの数値も大きくなります。 常にデータの交換がされている通信は、idleタイムが 0s(=0秒)か、もしくは 小さな値を示します。 "IPアドレス (IPアドレス)"の ()内は、NAT変換後のアドレスを示します。

Internet-FW-01(config)# show conn long
9 in use, 353 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, b - TCP state-bypass or nailed,
       C - CTIQBE media, c - cluster centralized,
       D - DNS, d - dump, E - outside back connection, e - semi-distributed,
       F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - inside back connection,
       q - SQL*Net data, R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS,
       w - secondary domain backup,
       X - inspected by service module,
       x - per session, Y - director stub flow, y - backup stub flow,
       Z - Scansafe redirection, z - forwarding stub flow

UDP outside: 133.243.238.164/123 (133.243.238.164/123) inside: 192.168.0.5/123 (153.232.xx.xx/123), flags - , idle 37s, uptime 37s, timeout 2m0s, bytes 96

TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60283 (153.232.xx.xx/60283), flags Ux , idle 7s, uptime 7s, timeout 1h0m, bytes 0

TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60280 (153.232.xx.xx/60280), flags UxIO , idle 6s, uptime 7s, timeout 1h0m, bytes 6101

TCP outside: 52.86.174.31/443 (52.86.174.31/443) inside: 192.168.0.5/60278 (153.232.xx.xx/60278), flags UxIO , idle 4s, uptime 7s, timeout 1h0m, bytes 8476

TCP outside: 104.244.42.8/443 (104.244.42.8/443) inside: 192.168.0.5/59752 (153.232.xx.xx/59752), flags UxIO , idle 13s, uptime 18m13s, timeout 1h0m, bytes 8068

  

ASDM のSyslog Messages画面、もしくは show log asdmコマンドで通信ログを確認します。 アクセスリストによりドロップ(Deny)された通信はログに出力されます。 ドロップが正しいか確認し、必要に応じて アクセスリストのカスタマイズ(指定通信の許可、など)を検討してください。

Internet-FW-01(config)# show log asdm
4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.5/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.119.134/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:18:08|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5246 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
6|Dec 07 2016 14:18:08|302016: Teardown UDP connection 8366 for inside:192.168.0.5/68 to identity:255.255.255.255/67 duration 0:02:01 bytes 300
6|Dec 07 2016 14:18:08|302016: Teardown UDP connection 8367 for inside:192.168.0.5/68 to identity:192.168.0.254/67 duration 0:02:01 bytes 271
6|Dec 07 2016 14:18:15|305011: Built dynamic UDP translation from inside:192.168.0.5/61462 to outside:153.232.xx.xx/61462
6|Dec 07 2016 14:18:15|302015: Built outbound UDP connection 8435 for outside:8.8.8.8/53 (8.8.8.8/53) to inside:192.168.0.5/61462 (153.232.xx.xx/61462)
6|Dec 07 2016 14:18:15|302014: Teardown TCP connection 8423 for outside:54.250.151.250/80 to inside:192.168.0.5/60255 duration 0:01:09 bytes 3019 TCP FINs

  

なお、show コマンドの後に「| include (文字列)」を付ける事で、任意文字列の含まれる行のみの出力も可能であり、便利です。 例えば、「show log asdm | in Deny」コマンドで、文字列"Deny"が含まれるログのみ出力できます。

Internet-FW-01(config)# show log asdm | in Deny
6|Dec 07 2016 14:44:16|106015: Deny TCP (no connection) from 192.168.0.241/51956 to 192.168.0.254/443 flags FIN ACK on interface inside
4|Dec 07 2016 14:44:18|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:44:26|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
6|Dec 07 2016 14:44:27|106015: Deny TCP (no connection) from 192.168.0.241/51957 to 192.168.0.254/443 flags FIN ACK on interface inside
4|Dec 07 2016 14:44:42|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:44:42|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
4|Dec 07 2016 14:44:44|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]
6|Dec 07 2016 14:44:46|106015: Deny TCP (no connection) from 192.168.0.241/51958 to 192.168.0.254/443 flags FIN ACK on interface inside
4|Dec 07 2016 14:44:48|106023: Deny udp src inside:192.168.0.4/5256 dst outside:64.104.1.4/5247 by access-group "ACL-INSIDE" [0x932a8f72, 0x0]

   

   

アドレス変換の動作確認

show nat detailコマンドを実行し、期待のルールにマッチし、アドレス変換が実行されていることを確認します。 送信元アドレスが変換された場合、translate_hitsカウンタがアップします。

Internet-FW-01(config)# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic PAT-192.168.0.0-24 interface
    translate_hits = 1736, untranslate_hits = 0
    Source - Origin: 192.168.0.0/24, Translated: 153.232.xx.xx/32

   

show xlateコマンドで、アドレス変換情報を確認できます。 (ただ、show conn longコマンドでもアドレス変換状況は解るため、実運用ではshow xlateコマンドを使う機会は少ないかもしれません。)

Internet-FW-01(config)# show xlate
24 in use, 351 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
          s - static, T - twice, N - net-to-net
  
TCP PAT from inside:192.168.0.5/60408 to outside:153.232.xx.xx/60408 flags ri idle 0:00:10 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60365 to outside:153.232.xx.xx/60365 flags ri idle 0:03:21 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60350 to outside:153.232.xx.xx/60350 flags ri idle 0:03:23 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60348 to outside:153.232.xx.xx/60348 flags ri idle 0:03:23 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60345 to outside:153.232.xx.xx/60345 flags ri idle 0:03:23 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60342 to outside:153.232.xx.xx/60342 flags ri idle 0:03:24 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60341 to outside:153.232.xx.xx/60341 flags ri idle 0:03:25 timeout 0:00:30
TCP PAT from inside:192.168.0.5/60337 to outside:153.232.xx.xx/60337 flags ri idle 0:03:25 timeout 0:00:30

 

   

機器異常の有無の確認

show logコマンドを確認し、ASA-1-xxxxxx(alert)や ASA-2-xxxxxx(critical) で始まる、ASAの動作異常(例:Hardware障害やCPU/Memory高負荷など)を示す、ロギングメッセージがない事を確認します。 (なお、以下実行例の %ASA-3-710003のDenyログの出力は、インターネット上の無差別不正アクセスの攻撃を受け、それをASAがブロックした出力と思われま す。)

Internet-FW-01(config)# show logging
    Syslog logging: enabled
    Facility: 20
    Timestamp logging: enabled
    Hide Username logging: enabled
    Standby logging: disabled
    Debug-trace logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level errors, 1504 messages logged
    Trap logging: disabled
    Permit-hostdown logging: disabled
    History logging: disabled
    Device ID: disabled
    Mail logging: disabled
    ASDM logging: level informational, 40332 messages logged
Dec 07 2016 14:11:03: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/37621 to outside:153.232.xx.xx/23
Dec 07 2016 14:11:05: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/37621 to outside:153.232.xx.xx/23
Dec 07 2016 14:11:13: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/22613 to outside:153.232.xx.xx/23
Dec 07 2016 14:11:32: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/38735 to outside:153.232.xx.xx/23
Dec 07 2016 14:11:48: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/42555 to outside:153.232.xx.xx/23
Dec 07 2016 14:11:54: %ASA-3-710003: TCP access denied by ACL from 124.91.236.199/21277 to outside:153.232.xx.xx/23
Dec 07 2016 14:12:12: %ASA-3-710003: TCP access denied by ACL from 181.46.139.15/9048 to outside:153.232.xx.xx/23

   

show cpu コマンドを確認し、CPU負荷が異常に高くないか(80%以上など)、確認します。

Internet-FW-01(config)# show cpu
CPU utilization for 5 seconds = 0%; 1 minute: 2%; 5 minutes: 1%

 

   

ASAに管理アクセスの確認 (ASDM)

ASA に管理アクセス可能なIPアドレスを持つ任意端末(本例だと192.168.0.241)から、ASDMでアクセス可能である事を確認します。 ASDMアクセス時にユーザ名とパスワードを聞かれた場合は、ユーザ名は入力せず 特権パスワードのみ入力し、ログインします。

管理端末に ASDM-IDM Launcherがインストールされていない場合は、ASAの管理インターフェイスに https://<IP address> もしくは https://<IP address>/admin でアクセスし、ASDM-IDM Laincherのインストールを実行してください。

  

ASAに管理アクセスの確認 (Telnet)

ASAに管理アクセス可能なIPアドレスを持つ任意端末(本例だと192.168.0.241)から、Telnetでアクセス可能である事を確認します。 

User Access Verification

Password: <---- Telnet用パスワードを入力
Type help or '?' for a list of available commands.
Internet-FW-01>
Internet-FW-01> enable
Password: ******** <---- 特権パスワードを入力
Internet-FW-01#
Internet-FW-01#

  

   

    

よくある質問

 

保守時に必要な情報と手順を教えてください

以下ドキュメントをご参考ください。

ASA5500-X: 保守交換 参考手順 (バックアップファイル利用時)
https://community.cisco.com/t5/-/-/ta-p/3772664

    

  

     

トラブルシューティング

当ドキュメントの設定例を利用時の、トラブル対応に役に立つドキュメントを紹介します。

 

 

   

関連情報

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします