• はじめに
• システム要件
• プラットフォームモードとアプライアンスモードの比較
• コンソール接続について
• 操作モードの確認
• アプライアンスモードからプラットフォームモードへの移行
• プラットフォームモードからアプライアンスモードへの移行
• 参考情報

はじめに

本ドキュメントでは、ASA 9.13(1)リリースで導入されたFirepower 1000、2100および3100シリーズのアプライアンスモードの概要について説明します。

アプライアンスモードでは、ASAのコマンドラインインターフェイス（ASA CLI）、ASDM、CSMからデバイスを構成する機能を提供し、従来のASA5500-X製品のようなエクスペリエンスを提供します。その目的は、Firepower 1000/2100/3100シリーズ上のASAの設定と管理を強化し、ASAとFXOSの両方で機能を設定する必要性をなくすことです。そのため、アプライアンスモードではASA側の操作のみで設定が完了します。ただし、高度なトラブルシューティングや障害回復特にFXOSの操作が必要となることがあります。

本記事では、Firepower2140でASA Version 9.14(2)13を使用して検証しています。

システム要件

アプライアンスモードは、ASA9.13(1)リリース以降のFirepower 1000、2100および3100シリーズがサポートされています。また、冗長構成を実現するには、両方のユニットが同じモードを持つ必要があります。

以下はFirepowerデバイスでサポートされている動作モードの一覧表となります。

プラットフォームモードとアプライアンスモードの比較

Firepower 2100シリーズのみASA 9.13(1)以降のリリースでは、2つの動作モードがあります。

プラットフォームモード

• 9.13(1)以前のASAにおいてサポートされている唯一の動作モード
• 9.12までのバージョンから9.13(1)以後のバージョンにアップグレードする場合、モードはプラットフォーム モードのままになる
• コンソール接続は、FXOS CLIへのアクセスを提供
• FXOSサービス（REST API、SNMP、SSH、HTTPS、IPブロック）は、FXOS CLIまたはFirepower Chassis Manager（FCM）で設定可能
• スマートライセンスはFXOSとASA両方のCLIで設定可能
• FXOSとASAは、専用の管理IPアドレスを使用して別々に管理
• 機器の使用設定、トラブルシューティングと監視をするには、FXOSとASAの両方のOSを操作する必要がある

アプライアンスモード

• ASA 9.13(1)以降のリリースにおいて、新規インストールおよびリイメージ後のデフォルトの動作モード
• コンソール接続は、ASA CLI へのアクセスを提供
• FXOS管理サービスなど（例：Firepower Chassis Manager(FCM)、REST API、SNMP、SSH、HTTPS、IP-block）は無効
• スマートライセンスは、ASAのみで設定可能
• 機器の使用設定、トラブルシューティングと監視のほとんど操作はASA CLIで実施
• FXOS CLIは、特定の操作、高度なトラブルシューティングおよび障害回復のために存在し、ASA CLIよりアクセス可能
• 管理インターフェースは、ASAのManagement1/1として表示される

ASA9.13(1)以降はFirepower 1000/2100ではデフォルト有効になるアプライアンスモードの利用がお勧めです。

コンソール接続について

コンソール接続は、ASA CLI へのアクセスを提供します。起動する際に、FXOS と ASA の両方の起動メッセージがコンソールに表示されます。

FXOS CLIはASA CLIからしかアクセスできません。ASA アプリケーションの起動に失敗した場合は、FXOS CLI から問題を診断することができます。

操作モードの確認

ASA CLIにおける操作モードの確認

ASA(config)# show fxos mode 
Mode is currently set to appliance　　<--- This

FXOS CLIにおける操作モードの確認

ASA(config)# connect fxos    
Configuring session.
Connecting to FXOS.
...
Connected to FXOS. Escape character sequence is 'CTRL-^X'.

NOTICE: You have connected to the FXOS CLI with read-only privileges.
For admin level privileges connect using 'connect fxos admin'.
Config commands and commit-buffer are not supported in appliance mode.

d used and distributed under
license.

Certain components of this software are licensed under the "GNU General Public
License, version 3" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, Version 3", available here:
http://www.gnu.org/licenses/gpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU General Public
License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/gpl-2.0.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU LESSER GENERAL
PUBLIC LICENSE, version 3" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU LESSER GENERAL PUBLIC LICENSE" Version 3", available here:
http://www.gnu.org/licenses/lgpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU Lesser General
Public License, version 2.1" provided with ABSOLUTELY NO WARRANTY under the
terms of "GNU Lesser General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.1.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU Library General
Public License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU Library General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.0.html. See User Manual
(''Licensing'') for details.

firepower-2140# show fxos-mode 
Mode is currently set to appliance

firepower-2140(local-mgmt)# show fxos-mode 
Mode is currently set to appliance

アプライアンスモードからプラットフォームモードへの移行

ASA 9.13(1)以降のリリースにおいて、アプライアンスモードはデフォルトの操作モードとなります。以下のコマンドで、Firepower2100シリーズではプラットフォームモードへの移行が可能となります。

ASA(config)# no fxos mode appliance 
WARNING: The running-config must be saved and the system must 
be rebooted for this command to take effect. Upon reboot, the current 
configuration will be erased, and the default configuration for 
platform mode will be applied.

ASA(config)# show fxos mode 
Mode is currently set to appliance
Note: Mode will change to platform mode after the running-config is saved and the system has been rebooted.

ASA(config)# wr    <---重要です
Building configuration... 

8630 bytes copied in 0.530 secs 
WARNING: Mode change detected. Upon reboot,
 current configuration will be cleared and the default 
configuration for appliance mode will be applied. 

[OK]

ASA(config)# reload 
System config has been modified. Save? [Y]es/[N]o: Y

Cryptochecksum: 3036212c b95a2c3b 4d4a4882 162c45df 

8715 bytes copied in 1.510 secs (8715 bytes/sec)
WARNING: Mode change detected. Upon reboot,
current configuration will be cleared and the default
configuration for platform mode will be applied.

Proceed with reload? [confirm] 
ASA(config)# 
....
After reload
.....
ASA(config)# show fxos mode 
Mode is currently set to platform

プラットフォームモードからアプライアンスモードへの移行

Firepower2100シリーズでは、以下のコマンドで、プラットフォームモードからアプライアンスモードへの移行が可能となります。

ASA(config)# fxos mode appliance
Mode set to appliance mode
WARNING: The running-config must be saved and the system must
be rebooted for this command to take effect. Upon reboot, the current
configuration will be erased, and the default configuration for
appliance mode will be applied.

ASA(config)# show fxos mode
Mode is currently set to platform
Note: Mode will change to appliance mode after the running-config is saved and the system has been rebooted.

ASA(config)# wr　　<---重要です
Building configuration...

8630 bytes copied in 0.530 secs
WARNING: Mode change detected. Upon reboot,
current configuration will be cleared and the default
configuration for appliance mode will be applied.

[OK]
ASA(config)# reload

WARNING: Mode change detected. Upon reboot,
current configuration will be cleared and the default
configuration for appliance mode will be applied.
Proceed with reload? [confirm]
ASA(config)#

.... After reload .....

ciscoasa# show fxos mode
Mode is currently set to appliance

参考情報

Cisco ASA シリーズ 9.13(x) リリースノート
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa913/release/notes/asarn913.html

Cisco Firepower 2100 スタートアップガイドhttps://www.cisco.com/c/ja_jp/td/docs/security/firepower/quick_start/fp2100/firepower-2100-gsg/asa-platform.html

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733