購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
6410
閲覧回数
0
いいね!
0
コメント

Firepower2100-ASA: FXOS設定のバックアップと復元方法 (platform mode 利用時)

Taisuke Nakamura
Cisco Employee
Cisco Employee

‎2017-12-26 10:42 PM - 最終編集日: ‎2023-12-24 09:03 AM 、編集者: Level 8

   

はじめに

Firepower2100シリーズでASAソフトウェアを利用時、かつ ASAバージョン 9.12以下の場合 プラットフォームモードでデフォルト動作し、シャーシ管理用のFXOSで ASAに割り当てインターフェイス情報の設定や、そのFXOSの管理設定などを行います。 FXOSの設定範囲は限られていますが、このFXOSの設定バックアップは CLIで行う必要があります。 GUIでのFXOS設定のエクスポートやインポート機能はサポートされてません。

本ドキュメントでは、CLIを用いての、FXOSの主要設定のバックアップと、そのバックアップからの復元方法を紹介します。

本ドキュメントは Firepower2120 ASAパッケージバージョン 9.8(2)15を用いて確認、作成しております。

 

なお、Firepower4100/9300シリーズのASA利用時向けのバックアップと復元手順は、こちらを参照してください。 

 

なお、Firepower2100シリーズでASAバージョン 9.13(1)以降では デフォルト アプライアンスモードに変わっており、従来のASA5500-Xと同様にセットアップが可能です。ASA 9.13(1)以降を利用時は、アプライアンスモードの利用が推奨されます。

 

FXOS設定のバックアップ

FXOSにて show version detailと show configuration、および保守時に有用な関連ログを取得します。

terminal length 0
terminal width 150
show version detail
show configuration
show chassis detail
show tech fprm brief
show fault
show clock


RMA対応などで、旧機器のFXOS設定復元が必要時は、show configurationの各スコープ内の設定を、復元対象機に設定・調整します。  利用状況にもよりますが、復元が必要となる主なScopeは以下となります。

scope system > scope services サービス (管理設定全般)
scope fabric-interconnect a  ファブリック インターコネクト (管理IPアドレス)
scope eth-uplink イーサネットアップリンク (ASAに割り当てインターフェイス設定など)
scope security セキュリティ (ローカルユーザやパスワードポリシー、セッションタイムアウト設定など)
scope monitoring  モニタリング(SNMP設定、SYSLOG設定)

   
なお、パスワードや SNMP Community設定は、show configurationには含まれないため、手動設定が必要です。

また、Firepower 2100シリーズから、FXOSのシスログは ASA-1-199013(Alert syslog)~ASA-7-199019(Debug syslog)として ASAソフトウェア側に出力されるようになりました。 

 

 

FXOS設定の復元 (ソフトウェアパッケージ流用時)

現在利用しているソフトウェアパッケージを使用し、再設定する場合、connect local-mgmtから erase configurationコマンドを実行し 設定の初期化を行います。

firepower-2120# connect local-mgmt
firepower-2120(local-mgmt)# erase configuration
All configurations will be erased and system will reboot. Are you sure? (yes/no):yes
Removing all the configuration. Please wait....
Configurations are cleaned up. Rebooting....
    
起動後、デフォルトユーザ名/パスワードの admin/Admin123でログインし、FXOSにて show version detailと show configurationを取得し、デフォルト設定を確認します。
terminal length 0
terminal width 150
show version detail
show configuration
  
事前にバックアップしておいた show configurationと、差分比較ツールを用いて以下項目を比較します。
  • scope system > scope services
  • scope fabric-interconnect a
  • scope eth-uplink
  • scope security
  • scope monitoring
 
例えば以下は、scope servicesの WinMergeでの比較と、復元対象の設定差分確認例です。
Config-Difference-in-scope-services.JPG
 
Scope内の差分箇所を、手動で設定・調整します。 設定完了後に設定保存のためにcommit-bufferを実行後、endで抜けます。 なお、scope内でも show configurationを実行でき、そのScopeの設定を確認できます。
firepower-2120# scope system
firepower-2120 /system # scope services
firepower-2120 /system/services #
firepower-2120 /system/services #          disable dhcp-server
firepower-2120 /system/services* #
firepower-2120 /system/services* #          enter ip-block 0.0.0.0 0 https
firepower-2120 /system/services/ip-block* #          exit
firepower-2120 /system/services* #          enter ip-block 0.0.0.0 0 snmp
firepower-2120 /system/services/ip-block* #          exit
firepower-2120 /system/services* #          enter ip-block 0.0.0.0 0 ssh
firepower-2120 /system/services/ip-block* #          exit
firepower-2120 /system/services* #
firepower-2120 /system/services* # commit
firepower-2120 /system/services #
firepower-2120 /system/services # end
firepower-2120#
  
上記と同様の手順で、各Scopeの差分確認と設定と保存(commit-buffer)を、以下の順に行います。
  1. scope system > scope services (設定済み)
  2. scope fabric-interconnect a
  3. scope eth-uplink
  4. scope security
  5. scope monitoring
 
仮にSNMP設定を利用時は、scope monitoringから set communityや set snmp communityコマンドで、Communityの手動設定を行ってください。
firepower-2120 /monitoring* # enter snmp-trap 1.0.0.1
firepower-2120 /monitoring/snmp-trap* # set community
Community:                                    <--- community名の手動入力    
firepower-2120 /monitoring/snmp-trap* #
firepower-2120 /monitoring/snmp-trap* # exit
firepower-2120 /monitoring* #
firepower-2120 /monitoring* # set snmp community
Enter a snmp community:                       <--- community名の手動入力    
firepower-2120 /monitoring* #
firepower-2120 /monitoring* # commit
 
設定完了後、show configurationを取得し、バックアップと比較し、以下の各Scopeで差が無いことを確認してください。
  • scope system > scope services
  • scope fabric-interconnect a
  • scope eth-uplink
  • scope security
  • scope monitoring
 
なお、ローカルユーザのパスワードは上記手順では復元されません。 仮にパスワードを変更している場合は、FXOSの管理WebUI(FCM)にアクセスし、以下より設定変更を行ってください。
   System > User Management > Local Users
 
 

FXOS設定の復元 (ソフトウェアパッケージの再インストール実施時)

ソフトウェアバージョンの再インストール(リイメージ)も含めた、完全な設定復元を行う場合は、以下ドキュメントを参考に進めてください。
Firepower2100: リイメージと ASA初期セットアップ手順
https://supportforums.cisco.com/t5/-/-/ta-p/3229154

まず、上記ドキュメントの「1. 初期化とFXOSのブート」を実行します。

起動後、FXOSにて show version detailとshow configurationを取得し、デフォルト設定を確認します。
terminal length 0
terminal width 150
show version detail
show configuration
 
事前にバックアップしておいたshow configurationと、差分比較ツールを用いて以下項目を比較します。
  • scope system > scope services
  • scope fabric-interconnect a
  • scope eth-uplink
  • scope security
  • scope monitoring
 
上記ドキュメントの「2. FXOS設定とASAイメージのインストール」の実行において、scope system > scope servicesと scope fabric-interconnect aは、確認した差分を基に設定と保存(commit-buffer)します。
 
上記ドキュメントの「3. FXOSからのインターフェイス割り当て」の実行において、scope eth-uplinkは、確認した差分を基に設定と保存(commit-buffer)します。
 
最後に、scope securityと scope monitoringを、確認した差分を基に設定と保存(commit-buffer)します。
 
仮にSNMP設定を利用時は、scope monitoringから set communityや set snmp communityコマンドで、Communityの手動設定を行ってください。
firepower-2120 /monitoring* # enter snmp-trap 1.0.0.1
firepower-2120 /monitoring/snmp-trap* # set community
Community:                                    <--- community名の手動入力    
firepower-2120 /monitoring/snmp-trap* #
firepower-2120 /monitoring/snmp-trap* # exit
firepower-2120 /monitoring* #
firepower-2120 /monitoring* # set snmp community
Enter a snmp community:                       <--- community名の手動入力    
firepower-2120 /monitoring* #
firepower-2120 /monitoring* # commit-buffer
 
設定完了後、show configurationを取得し、バックアップと比較し、以下の各Scopeで差が無いことを確認してください。
  • scope system > scope services
  • scope fabric-interconnect a
  • scope eth-uplink
  • scope security
  • scope monitoring
 
なお、ローカルユーザのパスワードは上記手順では復元されません。 仮にパスワードを変更している場合は、FXOSの管理WebUI(FCM)にアクセスし、以下より設定変更を行ってください。
   System > User Management > Local Users
 
 

よくある質問

FPR2100でGUIのFXOS設定バックアップができない理由を教えてください

FPR4100/9300シリーズでは、FXOSとASAは各独立したソフトウェアであり、FXOSのフル機能がサポートされます。

FPR2100シリーズでは、アプライアンス製品となり、利便性や管理性の向上のため、ASAとFXOSは一部統合されています。ASA側の操作や管理のみで利用可能になるように設計されています。そのため、FPR2100シリーズではFXOSの機能は制限や一部廃止されており、GUIのFXOS設定バックアップ機能もその影響による廃止です。しかし、ASAバージョン 9.13未満では、FXOSとASAが完全に統合されていないため、プラットフォームモードで稼働し、FXOSとASAの別々の設定管理が必要です。

 

なお、ASA 9.13以降では、FXOSは ASA側に より統合された アプライアンスモードがリリースされ、従来のASA5500-Xと似た運用が可能です。ASA 9.13(1)以降を利用時は当アプライアンスモードの利用がお勧めです。

 

FPR4100/9300シリーズと、FPR2100シリーズの違いについて詳しくは以下ドキュメントを参照してください。

Firepower 2100/4100 の ASA/FTD 利用時の比較と保守方法
https://community.cisco.com/t5/-/-/ta-p/3215381#toc-hId-1583454109

 

 

参考情報

Cisco ASA for Firepower 2100 Series Getting Started Guide
https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/fp2100/asa-2100-gsg/getting-started.html

FP2100 with/ASA FXOS Configuration
https://supportforums.cisco.com/t5/-/-/ba-p/3195117

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

0 いいね!
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents