ネットワーク構成別 設定例・テンプレート
ASA OS を利用時の、よ くある導入構成毎の 設定例やテンプレートが掲載された、Cisco Support Community (CSC) や Cisco.com (CCO) のドキュメントを紹介します。 参考情報として、カスタマイズし利用を検討してください。 なお、機器と機能によっては、追加のライセンス購入・適用や、ハードウェアの準備が必要となることがあります。
本ガイドの主な対象製品は、Cisco ASA5500-XシリーズとASAvになりますが、Firepower1000/2100/3100/4200シリーズでASAソフトウェアをご利用時もご利用いただけます。
なお、多くの掲載ドキュメントは、一定以上の製品取扱い経験のある方向けに作成されております。仮に公開ドキュメント情報のみでは問題解決が困難で、具体的な設計・導入支援が必要の場合は、Cisco製品販売代理店様のネットワーク構築サービスのご利用を検討いただけますよう お願いいたします。 Cisco認定パートナーを探すには、購入案内 をご確認ください。
なお、FTD OS を利用時の、設計資料や設定例など情報は、Cisco FTD How To を参照してください。
初期セットアップ手順
モデル毎の初期セットアップ時に利用できるドキュメントを以下に紹介します。
ASA5500-Xシリーズ
ASA5500-Xを 利用開始するには、Console、もしくは Telnet/SSHや GUIツール(ASDM)で該当機器にアクセスし、バージョン変更やライセンスを適用する必要があります。 詳しくは、以下の初期セットアップガイドなどを参照してください。
なお、ASDMスタートアップウィザードを用いた、ホスト名やパスワード、Interface設定、PAT、DHCPなど主要設定の、簡易セットアップも可能です。 基本設定を素早く行いたい時に便利です。詳しくは、以下ガイドなどを参照してください。
Firepower1000/2100, Secure Firewall 3100/4200シリーズ
1000/3100/4200シリーズの全バージョンと、2100シリーズ(ASA 9.13以降)は、旧製品のASA5500-Xと同等の設定や管理が可能です。各製品のより詳しいセットアップ方法は、スタートアップガイド を参照してください。なお、最新の情報はスタートアップガイドの「英語版」を参照してください。
なお、Firepower100/2100や Secure Firewall 3100/4200シリーズ、ASAvを利用時は、ライセンスはスマートライセンス認証方式となります。スマートライセンスの設定例とトラブルシューティングは以下を参照してください。
導入構成別 設定例・テンプレート
モデルや構成別の、導入や運用時に利用できる、設定例やテンプレートを紹介します。
Internet接続用 Firewall
ASAをインターネット接続用のファイアウォールとして導入する場合に利用できる設定例やテンプレートです。
インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続に、固定IPアドレス もしくは DHCPを利用します。
インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続に、PPPoEを利用します。
インターネット接続Firewall用の設定例・テンプレートです。 WAN(インターネット)側接続は、固定IPアドレスを利用します。 ASAを2台用意し、冗長を組むことで、対障害性を高めます。
ASAバージョン 8.4向け(2011年時)の設定ガイドですが、基本的な動作は 最新のASAバージョン(2023年現在)でも変わっておらず、設定時の参考情報として活用いただけます。 基本設定と、NATやACL、Loggingの設定方法を説明します。
導入構成別 追加設定
設定例・テンプレートに組み合わせて利用できる、追加設定手順です。
アクセス制御
シナリオ別のアクセスルール(ACL)の設定例の紹介です
URLフィルタリングの簡易的な代替として利用できる、FQDN ACLの実装と設定方法を紹介します。
アドレス変換
ASAは、多種多様な Network Address Translation(NAT)の設定をサポートしています。 当ドキュメントは主要なNATルールタイプである、 Twice NATと Network Object NATの違いと、設定例を紹介します。
高可用性
ASA インターフェイスを二重化することで、リンク障害時の通信停止時間を抑えたり、無障害時のリンク速度の帯域の拡張が可能です。 リンク冗長化技術であるLACPの設定例を紹介します。 なお、ASAのLACPの利用には、接続する対向機器もLACPをサポートしている必要があります。
ASAインターフェイスを二重化することで、リンク障害時の通信停止時間を抑えることが可能です。 リンク冗長化技術であるRedundant Interfaceの設定例を紹介します。
WANの冗長環境にASAを導入する場合、Traffic Zone技術を利用することで、複数WANを outside側として束ねて利用することができます。 Traffic Zone技術の概要と設定例、動作確認例を紹介します。
管理アクセス
セキュアなCLIでのリモートアクセスを可能とする SSHの CLI もしくは ASDMの設定例や、Telnetの設定例を紹介します。
ASDMやSSH、Telnetで管理アクセス時に、ユーザIDとパスワードを認証に用いるための設定例を紹介します。
シスログ
ASAで設定可能な各種ロギング機能について紹介します。
ASA は、Emergency~Debuggingレベルまでの多種多様なログの管理・出力が可能です。 しかし、ログの出力が多くなるほど、その膨大なログの管理負荷の上昇や、トラブル時のログ調査の負担アップにつながる恐れがあります。 これら改善の一助となる、ロギング設定のチューニング方法について紹介します。
NTP 時刻管理
タイムゾーンや手動時刻設定や、NTPサーバ利用時の設定と、その確認方法を紹介します。
リモートアクセスVPNサーバ 設定例 with AnyConnect
AnyConnectを介して、パソコンやモバイル端末からのリモートアクセスVPNを、ASAで終端することができます。 なお、リモートアクセスVPNの利用には、ライセンスの購入と適用が必要です。
AnyConnectの設定例や管理時に役立つドキュメントを以下に紹介します。 一部ドキュメントは、AnyConectやASAバージョンが古いため、UIや設定項目がかわっている可能性があります。
なお、ASAとAnyConnectは多種多様な設定が可能です。急ぎ導入が必要時や パフォーマンスを重視したい場合は、シンプルな設定・機能での利用がお勧めです。
簡易セットアップ:
セットアップ ウィザード利用時:
手動設定時:
デザインガイド・パフォーマンス最適化:
導入構成別 カスタマイズ例:
バージョン選定とアップグレード方法
以下ドキュメントを参考に、導入時は十分 不具合修正と安定化の進んだ「推奨バージョン」もしくは「偶数トレイン(9.14、9.16、9.18など)の最新バージョン」での導入を強くお勧めします。導入後は 万が一の障害に備え、ASAのバックアップファイルや関連ログの取得と保管をしておくことを強くお勧めします。
トラブルシューティングガイド
RMA 方法 (FPR1000/2100/3100/4200-ASA)
アプライアンスモードの場合のRMA手順例は以下。
1. 以下ドキュメントを参考に、障害機と同じバージョンにリイメージの実施
FPR1000-ASA: https://community.cisco.com/t5/-/-/ta-p/4820049
FPR2100-ASA Appliance Mode (ver 9.13以降): https://community.cisco.com/t5/-/-/ta-p/4850956
その他モデル (英語): https://www.cisco.com/c/en/us/td/docs/security/firepower/quick_start/reimage/asa-ftd-reimage.html#task_bg5_dpg_zyb
2. スマートライセンスを有効化し、3DES/AESの有効化
https://community.cisco.com/t5/-/-/ta-p/3163034
3. ASA設定のリストア
https://community.cisco.com/t5/-/-/ta-p/3155941
RMA 方法 (FPR4100-ASA)
以下ドキュメントを参照
https://community.cisco.com/t5/-/-/ta-p/4098793
その他 保守メンテナンスに役立つドキュメント
ASAの管理や運用、メンテンナンスに役立つドキュメントを以下に紹介します。
その他 トラブルシューティング 全般
ASA導入時や運用時のトラブル対応の参考情報は以下ガイドなどを参照してください。
その他 設定例
Router、スイッチ、セキュリティ製品(ASA/FTDやISE)、ワイヤレス製品などの設定例は以下ガイドからアクセス可能です。
