概要
このドキュメントでは、LAN 間 VPN トンネル経由で syslog を送信し、内部インターフェイス IP アドレスからこれらの syslog を取得するように Cisco 適応型セキュリティ アプライアンス(ASA)を設定する方法について説明します。
VPN トンネルを介して送信される syslog に対して、どうすれば ASA の送信元インターフェイスを指定できますか。
トンネルを介して送信される syslog トラフィックの送信元インターフェイスを指定するには、management-access コマンドを入力します。
システムに次のようなトポロジと設定がある場合は、次のコマンドを入力します。
ASA# show run logging
logging enable
logging timestamp
logging trap debugging
logging host outside 198.51.100.123
この設定により、syslog トラフィックの送信元を ASA の外部 IP アドレスとするよう試みられます。この場合、トンネル上のトラフィックを暗号化するために、外部の IP アドレスを暗号化アクセスリストに追加する必要があります。この設定変更は、特に、内部インターフェイスの IP アドレスから syslog サーバのサブネットへのトラフィックが、暗号化アクセスリストにより暗号化されるよう設定済みである場合には、適切ではない可能性があります。
ASA は、management-access コマンドにより指定されたインターフェイスから VPN トンネルを介してサーバへと送信される syslog トラフィックの送信元として設定できます。
この例では、そのような設定を実装するために、まず現在のロギング ホスト設定を削除します。
no logging host outside 198.51.100.123
指定した内部インターフェイスを備えたロギング サーバを再度挿入し、management-access コマンドを入力します。
logging host inside 198.51.100.123
management-access inside