この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Firepower アプライアンスの管理 IP アドレスを変更するには、次の手順を使用します。
(注) |
管理 IP アドレスを変更した後、新しいアドレスを使用して Firepower Chassis Manager または FXOS CLI への接続を再確立する必要があります。 |
ステップ 1 |
IPv4 管理 IP アドレスを設定するには、次の手順を実行します。
|
ステップ 2 |
IPv6 管理 IP アドレスを設定するには、次の手順を実行します。
|
次の例では、IPv4 管理インターフェイスとゲートウェイを設定します。
Firepower-chassis# scope fabric-interconnect a Firepower-chassis /fabric-interconnect # show Fabric Interconnect: ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability ---- --------------- --------------- --------------- ---------------- ---------------- ------ ----------- A 192.0.2.112 192.0.2.1 255.255.255.0 :: :: 64 Operable Firepower-chassis /fabric-interconnect # set out-of-band ip 192.0.2.111 netmask 255.255.255.0 gw 192.0.2.1 Warning: When committed, this change may disconnect the current CLI session Firepower-chassis /fabric-interconnect* #commit-buffer Firepower-chassis /fabric-interconnect #
次の例では、IPv6 管理インターフェイスとゲートウェイを設定します。
Firepower-chassis# scope fabric-interconnect a Firepower-chassis /fabric-interconnect # scope ipv6-config Firepower-chassis /fabric-interconnect/ipv6-config # show ipv6-if Management IPv6 Interface: IPv6 Address Prefix IPv6 Gateway ----------------------------------- ---------- ------------ 2001::8998 64 2001::1 Firepower-chassis /fabric-interconnect/ipv6-config # set out-of-band ipv6 2001::8999 ipv6-prefix 64 ipv6-gw 2001::1 Firepower-chassis /fabric-interconnect/ipv6-config* # commit-buffer Firepower-chassis /fabric-interconnect/ipv6-config #
手動で日時を設定するか、NTP サーバを設定するには、(以下に説明する CLI コマンド)を使用します。 シャーシに設定した時刻とタイム ゾーンが、論理デバイスを含むシャーシ内の他のコンポーネントと同期されます。
次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションをコミットし、設定したタイム ゾーンを表示する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set timezone Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 1) Africa 4) Arctic Ocean 7) Australia 10) Pacific Ocean 2) Americas 5) Asia 8) Europe 3) Antarctica 6) Atlantic Ocean 9) Indian Ocean #? 2 Please select a country. 1) Anguilla 28) Haiti 2) Antigua & Barbuda 29) Honduras 3) Argentina 30) Jamaica 4) Aruba 31) Martinique 5) Bahamas 32) Mexico 6) Barbados 33) Montserrat 7) Belize 34) Nicaragua 8) Bolivia 35) Panama 9) Brazil 36) Paraguay 10) Canada 37) Peru 11) Caribbean Netherlands 38) Puerto Rico 12) Cayman Islands 39) St Barthelemy 13) Chile 40) St Kitts & Nevis 14) Colombia 41) St Lucia 15) Costa Rica 42) St Maarten (Dutch part) 16) Cuba 43) St Martin (French part) 17) Curacao 44) St Pierre & Miquelon 18) Dominica 45) St Vincent 19) Dominican Republic 46) Suriname 20) Ecuador 47) Trinidad & Tobago 21) El Salvador 48) Turks & Caicos Is 22) French Guiana 49) United States 23) Greenland 50) Uruguay 24) Grenada 51) Venezuela 25) Guadeloupe 52) Virgin Islands (UK) 26) Guatemala 53) Virgin Islands (US) 27) Guyana #? 49 Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties 7) Eastern Time - Indiana - Pulaski County 8) Eastern Time - Indiana - Crawford County 9) Eastern Time - Indiana - Pike County 10) Eastern Time - Indiana - Switzerland County 11) Central Time 12) Central Time - Indiana - Perry County 13) Central Time - Indiana - Starke County 14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 15) Central Time - North Dakota - Oliver County 16) Central Time - North Dakota - Morton County (except Mandan area) 17) Central Time - North Dakota - Mercer County 18) Mountain Time 19) Mountain Time - south Idaho & east Oregon 20) Mountain Standard Time - Arizona (except Navajo) 21) Pacific Time 22) Pacific Standard Time - Annette Island, Alaska 23) Alaska Time 24) Alaska Time - Alaska panhandle 25) Alaska Time - southeast Alaska panhandle 26) Alaska Time - Alaska panhandle neck 27) Alaska Time - west Alaska 28) Aleutian Islands 29) Hawaii #? 21 The following information has been given: United States Pacific Time Therefore timezone 'America/Los_Angeles' will be set. Local time is now: Wed Jun 24 07:39:25 PDT 2015. Universal Time is now: Wed Jun 24 14:39:25 UTC 2015. Is the above information OK? 1) Yes 2) No #? 1 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services # top Firepower-chassis# show timezone Timezone: America/Los_Angeles (Pacific Time) Firepower-chassis#
次の例では、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次の例では、IPv6 アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IP アドレス 192.168.200.101 の NTP サーバを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次に、IPv6 アドレス 4001::6 の NTP サーバを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、Firepower シャーシで日付と時刻を手動で設定する方法について説明します。 システム クロックの変更はただちに反映されます。
(注) |
システム クロックが NTP サーバと同期中である場合は、日付と時刻を手動で設定することはできません。 |
次に、システム クロックを設定する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set clock jun 24 2015 15 27 00 Firepower-chassis /system/services #
次の手順では、Firepower シャーシへの SSH アクセスを有効化またはディセーブルにする方法について説明します。 SSH はデフォルトでイネーブルになります。
次の例では、Firepower シャーシへの SSH アクセスを有効化し、トランザクションをコミットします。
Firepower# scope system Firepower /system # scope services Firepower /system/services # enable ssh-server Firepower /system/services* # commit-buffer Firepower /system/services #
次の手順では、Firepower シャーシへの Telnet アクセスを有効化またはディセーブルにする方法について説明します。 Telnet はデフォルトでディセーブルです。
(注) |
現在は、CLI を使用した Telnet 設定のみ可能です。 |
次に、Telnet を有効にし、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /services # enable telnet-server Firepower-chassis /services* # commit-buffer Firepower-chassis /services #
ここでは、Firepower シャーシに簡易ネットワーク管理プロトコル(SNMP)を設定する方法について説明します。 詳細については、次のトピックを参照してください。
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。 SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:Firepower シャーシ内のソフトウェア コンポーネントで、Firepower シャーシのデータを維持し、必要に応じてそのデータを SNMP マネージャに送信します。 Firepower シャーシには、エージェントと一連の MIB が含まれています。 SNMP エージェントを有効化にしてマネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効化して設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower シャーシは、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower シャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。 Firepower シャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは選択されたセキュリティ レベルと組み合わされ、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージの表示に必要な権限を決定します。 権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
モデル |
レベル |
認証 |
暗号化 |
結果 |
---|---|---|---|---|
v1 |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v2c |
noAuthNoPriv |
コミュニティ ストリング |
No |
コミュニティ ストリングの照合を使用して認証します。 |
v3 |
noAuthNoPriv |
[Username] |
No |
ユーザ名の照合を使用して認証します。 |
v3 |
authNoPriv |
HMAC-SHA |
No |
HMAC Secure Hash Algorithm(SHA)に基づいて認証します。 |
v3 |
authPriv |
HMAC-SHA |
DES |
HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。 |
SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。 SNMPv3 は、設定済みユーザによる管理動作のみを許可し、SNMP メッセージを暗号化します。 SNMPv3 ユーザベース セキュリティ モデル(USM) は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。
Firepower シャーシは SNMP の次のサポートを提供します。
Firepower シャーシは MIB への読み取り専用アクセスをサポートします。
Firepower シャーシは、SNMPv3 ユーザの HMAC-SHA-96(SHA)認証プロトコルをサポートします。
Firepower シャーシは、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。 AES-128 の設定を有効化して、SNMPv3 ユーザのプライバシー パスワードを含めると、Firepower シャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
次に、SNMP をイネーブルにし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム連絡先を設定し、systemlocation という名前の連絡先ロケーションを設定し、トランザクションをコミットする例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # set snmp community Enter a snmp community: SnmpCommSystem2 Firepower-chassis /monitoring* # set snmp syscontact contactperson1 Firepower-chassis /monitoring* # set snmp syslocation systemlocation Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
SNMP トラップおよびユーザを作成します。
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 2001::1 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #
次に、IP アドレス 192.168.100.112 で SNMP トラップを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-trap 192.168.100.112 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
次の例では、SNMP を有効化し、snmp-user14 という名前の SNMPv3 ユーザを作成し、AES-128 暗号化を有効化し、パスワードおよびプライバシー パスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-user snmp-user14 Password: Firepower-chassis /monitoring/snmp-user* # set aes-128 yes Firepower-chassis /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: Firepower-chassis /monitoring/snmp-user* # commit-buffer Firepower-chassis /monitoring/snmp-user #
次に、snmp user14 という名前の SNMPv3 ユーザを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # delete snmp-user snmp-user14 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
HTTPS サービスは、デフォルトでポート 443 で有効化になります。 HTTPS をディセーブルにすることはできませんが、HTTPS 接続に使用するポートは変更できます。
次の例では、HTTPS ポート番号を 443 に設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
ここでは、認証、認可、アカウンティングについて説明します。 詳細については、次のトピックを参照してください。
AAA は、コンピュータ リソースへのアクセスの制御、ポリシーの適用、使用状況の評価することでサービスの課金に必要な情報を提供する、一連のサービスです。 これらの処理は、効果的なネットワーク管理およびセキュリティにとって重要です。
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。 AAA サーバは、データベースに保存されている他のユーザ クレデンシャルとユーザの認証資格情報を比較します。 クレデンシャルが一致する場合、ユーザはネットワークへのアクセスが許可されます。 クレデンシャルが一致しない場合、認証は失敗し、ネットワーク アクセスは拒否されます。
Firepower アプライアンス では、次のセッションを含むシャーシへの管理接続を認証するように設定することができます。
認可はポリシーを使用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。 ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。そこには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。 アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。 認可では必ず、ユーザの認証が最初に済んでいる必要があります。 アカウンティングだけで使用することも、認証および認可とともに使用することもできます。
AAA サーバは、アクセス コントロールに使用されるネットワーク サーバです。 認証は、ユーザを識別します。 認可は、認証されたユーザがアクセスする可能性があるリソースとサービスを決定するポリシーを実行します。 アカウンティングは、課金と分析に使用される時間とデータのリソースを追跡します。
Firepower シャーシは、ユーザ プロファイルを取り込むことができるローカル データベースを維持します。 AAA サーバの代わりにローカル データベースを使用して、ユーザ認証、認可、アカウンティングを提供することもできます。
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
次の例では、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid に、タイムアウト間隔を 5 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # set attribute CiscoAvPair Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
(注) |
ユーザ ログインは LDAP ユーザーの userdn が 255 文字を超えると失敗します。 |
LDAP プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の LDAP プロバイダーがサポートされます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 10.193.169.246 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 2 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 30 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 1 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 45 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #
次に、ldap1 という名前の LDAP サーバを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # delete server ldap1 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
次の例は、RADIUS リトライを 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # set retries 4 Firepower-chassis /security/radius* # set timeout 30 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
RADIUS プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の RADIUS プロバイダーがサポートされます。
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # create server radiusserv7 Firepower-chassis /security/radius/server* # set authport 5858 Firepower-chassis /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 Firepower-chassis /security/radius/server* # set order 2 Firepower-chassis /security/radius/server* # set retries 4 Firepower-chassis /security/radius/server* # set timeout 30 Firepower-chassis /security/radius/server* # commit-buffer Firepower-chassis /security/radius/server #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ RADIUS モードを開始します Firepower-chassis /security # scope RADIUS |
ステップ 3 |
指定したサーバを削除します。 Firepower-chassis /security/radius # delete server serv-name |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/radius # commit-buffer |
次の例は、radius1 という RADIUS サーバを削除し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # delete server radius1 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs |
ステップ 3 |
(任意)システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。 Firepower-chassis /security/tacacs # set timeout seconds |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs # commit-buffer |
次の例は、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # set timeout 45 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
TACACS+ プロバイダーを作成します。
Firepower eXtensible Operating System では、最大 16 の TACACS+ プロバイダーがサポートされます。
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
||
ステップ 2 |
セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs |
||
ステップ 3 |
TACACS+ サーバ インスタンスを作成し、TACACS+ サーバ モードを開始します。 Firepower-chassis /security/tacacs # create server server-name |
||
ステップ 4 |
TACACS+ サーバ キーを指定します。 Firepower-chassis /security/tacacs/server # set key キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。 |
||
ステップ 5 |
(任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/tacacs/server # set orderorder-num |
||
ステップ 6 |
システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を指定します。 Firepower-chassis /security/tacacs/server # set timeoutseconds
|
||
ステップ 7 |
(任意)TACACS+ サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/tacacs/server # set portport-num |
||
ステップ 8 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs/server # commit-buffer |
次の例は、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # create server tacacsserv680 Firepower-chassis /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 Firepower-chassis /security/tacacs/server* # set order 4 Firepower-chassis /security/tacacs/server* # set port 5859 Firepower-chassis /security/tacacs/server* # commit-buffer Firepower-chassis /security/tacacs/server #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
ステップ 2 |
セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs |
ステップ 3 |
指定したサーバを削除します。 Firepower-chassis /security/tacacs # delete server serv-name |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs # commit-buffer |
次の例では、tacacs1 という TACACS+ サーバを削除し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # delete server tacacs1 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。 中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。 syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。 この形式のロギングは、保護された長期的な保存場所をログに提供します。 ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 |
モニタリング モードを開始します。 Firepower-chassis# scope monitoring |
||
ステップ 2 |
コンソールへの syslog の送信を有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog console |
||
ステップ 3 |
(任意)表示するメッセージの最低レベルを選択します。 syslog がイネーブルの場合、システムはそのレベル以上のメッセージをコンソールに表示します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical} |
||
ステップ 4 |
オペレーティング システムによる syslog 情報のモニタリングを有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog monitor |
||
ステップ 5 |
(任意)表示するメッセージの最低レベルを選択します。 モニタの状態がイネーブルの場合、システムはそのレベル以上のメッセージを表示します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
|
||
ステップ 6 |
syslog ファイルへの syslog 情報の書き込みを有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog file |
||
ステップ 7 |
メッセージが記録されるファイルの名前を指定します。 ファイル名は 16 文字まで入力できます。 Firepower-chassis /monitoring # set syslog file namefilename |
||
ステップ 8 |
(任意)ファイルに保存するメッセージの最低レベルを選択します。 ファイルの状態がイネーブルの場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging} |
||
ステップ 9 |
(任意)最新のメッセージで最も古いメッセージが上書きされる前の最大ファイル サイズ(バイト単位)を指定します。 有効な範囲は 4096 ~ 4194304 バイトです。 Firepower-chassis /monitoring # set syslog file sizefilesize |
||
ステップ 10 |
最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。
|
||
ステップ 11 |
ローカル送信元を設定します。 有効化またはディセーブルにするローカル送信元ごとに、次のコマンドを入力します。 Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults} 次のいずれかになります。 |
||
ステップ 12 |
トランザクションをコミットします。 Firepower-chassis /monitoring # commit-buffer |
次の例は、ローカル ファイルの syslog メッセージのストレージをイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # disable syslog console Firepower-chassis /monitoring* # disable syslog monitor Firepower-chassis /monitoring* # enable syslog file Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower Firepower-chassis /monitoring* # set syslog file level notifications Firepower-chassis /monitoring* # set syslog file size 4194304 Firepower-chassis /monitoring* # disable syslog remote-destination server-1 Firepower-chassis /monitoring* # disable syslog remote-destination server-2 Firepower-chassis /monitoring* # disable syslog remote-destination server-3 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
システムでホスト名の IP アドレスへの解決が必要な場合は、DNS サーバを指定する必要があります。 たとえば、DNS サーバを設定していないと、Firepower シャーシで設定を行うときに、www.cisco.com などの名前を使用できません。 サーバの IP アドレスを使用する必要があり、IPv4 または IPv6 アドレスのいずれかを使用できます。 最大 4 台の DNS サーバを設定できます。
(注) |
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。 ローカル管理コマンドが DNS サーバの検索を必要とする場合、3 台の DNS サーバのみをランダムに検索します。 |
ステップ 1 |
システム モードに入ります。 Firepower-chassis #scope system |
ステップ 2 |
システム サービス モードを開始します。 Firepower-chassis /system #scope services |
ステップ 3 | DNS サーバを作成または削除するには、次の該当するコマンドを入力します。 |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower /system/services # commit-buffer |
次の例では、IPv4 アドレス 192.168.200.105 を持つ DNS サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次の例では、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F を持つ DNS サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
次の例では、IP アドレス 192.168.200.105 を持つ DNS サーバを削除し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
目次
- Platform Settings
- 管理 IP アドレスの変更
- 日時の設定
- タイム ゾーンの設定
- NTP サーバの追加
- NTP サーバの削除
- 手動での日付と時刻の設定
- SSH の設定
- Telnet の設定
- SNMP の設定
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP のイネーブル化および SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
- HTTPS ポートの変更
- AAA の設定
- AAA について
- LDAP プロバイダーの設定
- LDAP プロバイダーのプロパティの設定
- LDAP プロバイダーの作成
- LDAP プロバイダーの削除
- RADIUS プロバイダーの設定
- RADIUS プロバイダーのプロパティの設定
- RADIUS プロバイダーの作成
- RADIUS プロバイダーの削除
- TACACS+ プロバイダーの設定
- TACACS+ プロバイダーのプロパティの設定
- TACACS+ プロバイダーの作成
- TACACS+ プロバイダーの削除
- Syslog の設定
- DNS サーバの設定
管理 IP アドレスの変更
はじめる前に手順Firepower アプライアンスの管理 IP アドレスを変更するには、次の手順を使用します。
(注)
管理 IP アドレスを変更した後、新しいアドレスを使用して Firepower Chassis Manager または FXOS CLI への接続を再確立する必要があります。
ステップ 1 IPv4 管理 IP アドレスを設定するには、次の手順を実行します。
ステップ 2 IPv6 管理 IP アドレスを設定するには、次の手順を実行します。
次の例では、IPv4 管理インターフェイスとゲートウェイを設定します。
Firepower-chassis# scope fabric-interconnect a Firepower-chassis /fabric-interconnect # show Fabric Interconnect: ID OOB IP Addr OOB Gateway OOB Netmask OOB IPv6 Address OOB IPv6 Gateway Prefix Operability ---- --------------- --------------- --------------- ---------------- ---------------- ------ ----------- A 192.0.2.112 192.0.2.1 255.255.255.0 :: :: 64 Operable Firepower-chassis /fabric-interconnect # set out-of-band ip 192.0.2.111 netmask 255.255.255.0 gw 192.0.2.1 Warning: When committed, this change may disconnect the current CLI session Firepower-chassis /fabric-interconnect* #commit-buffer Firepower-chassis /fabric-interconnect #次の例では、IPv6 管理インターフェイスとゲートウェイを設定します。
Firepower-chassis# scope fabric-interconnect a Firepower-chassis /fabric-interconnect # scope ipv6-config Firepower-chassis /fabric-interconnect/ipv6-config # show ipv6-if Management IPv6 Interface: IPv6 Address Prefix IPv6 Gateway ----------------------------------- ---------- ------------ 2001::8998 64 2001::1 Firepower-chassis /fabric-interconnect/ipv6-config # set out-of-band ipv6 2001::8999 ipv6-prefix 64 ipv6-gw 2001::1 Firepower-chassis /fabric-interconnect/ipv6-config* # commit-buffer Firepower-chassis /fabric-interconnect/ipv6-config #日時の設定
手動で日時を設定するか、NTP サーバを設定するには、(以下に説明する CLI コマンド)を使用します。 シャーシに設定した時刻とタイム ゾーンが、論理デバイスを含むシャーシ内の他のコンポーネントと同期されます。
タイム ゾーンの設定
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system # scopeservices
ステップ 3 タイム ゾーンを設定します。 Firepower-chassis /system/services # settimezone
この時点で、大陸、国、およびタイム ゾーン領域に対応する番号を入力するように求められます。 プロンプトごとに適切な情報を入力します。
ロケーション情報の指定を完了すると、プロンプトが表示され、正しいタイム ゾーン情報が設定されているか確認するよう求められます。 確認する場合は 1(yes)を入力し、操作をキャンセルする場合は 2(no)を入力します。
ステップ 4 設定されたタイム ゾーンを表示する場合: Firepower-chassis /system/services # topFirepower-chassis# show timezone
次に、太平洋標準時領域にタイム ゾーンを設定し、トランザクションをコミットし、設定したタイム ゾーンを表示する例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set timezone Please identify a location so that time zone rules can be set correctly. Please select a continent or ocean. 1) Africa 4) Arctic Ocean 7) Australia 10) Pacific Ocean 2) Americas 5) Asia 8) Europe 3) Antarctica 6) Atlantic Ocean 9) Indian Ocean #? 2 Please select a country. 1) Anguilla 28) Haiti 2) Antigua & Barbuda 29) Honduras 3) Argentina 30) Jamaica 4) Aruba 31) Martinique 5) Bahamas 32) Mexico 6) Barbados 33) Montserrat 7) Belize 34) Nicaragua 8) Bolivia 35) Panama 9) Brazil 36) Paraguay 10) Canada 37) Peru 11) Caribbean Netherlands 38) Puerto Rico 12) Cayman Islands 39) St Barthelemy 13) Chile 40) St Kitts & Nevis 14) Colombia 41) St Lucia 15) Costa Rica 42) St Maarten (Dutch part) 16) Cuba 43) St Martin (French part) 17) Curacao 44) St Pierre & Miquelon 18) Dominica 45) St Vincent 19) Dominican Republic 46) Suriname 20) Ecuador 47) Trinidad & Tobago 21) El Salvador 48) Turks & Caicos Is 22) French Guiana 49) United States 23) Greenland 50) Uruguay 24) Grenada 51) Venezuela 25) Guadeloupe 52) Virgin Islands (UK) 26) Guatemala 53) Virgin Islands (US) 27) Guyana #? 49 Please select one of the following time zone regions. 1) Eastern Time 2) Eastern Time - Michigan - most locations 3) Eastern Time - Kentucky - Louisville area 4) Eastern Time - Kentucky - Wayne County 5) Eastern Time - Indiana - most locations 6) Eastern Time - Indiana - Daviess, Dubois, Knox & Martin Counties 7) Eastern Time - Indiana - Pulaski County 8) Eastern Time - Indiana - Crawford County 9) Eastern Time - Indiana - Pike County 10) Eastern Time - Indiana - Switzerland County 11) Central Time 12) Central Time - Indiana - Perry County 13) Central Time - Indiana - Starke County 14) Central Time - Michigan - Dickinson, Gogebic, Iron & Menominee Counties 15) Central Time - North Dakota - Oliver County 16) Central Time - North Dakota - Morton County (except Mandan area) 17) Central Time - North Dakota - Mercer County 18) Mountain Time 19) Mountain Time - south Idaho & east Oregon 20) Mountain Standard Time - Arizona (except Navajo) 21) Pacific Time 22) Pacific Standard Time - Annette Island, Alaska 23) Alaska Time 24) Alaska Time - Alaska panhandle 25) Alaska Time - southeast Alaska panhandle 26) Alaska Time - Alaska panhandle neck 27) Alaska Time - west Alaska 28) Aleutian Islands 29) Hawaii #? 21 The following information has been given: United States Pacific Time Therefore timezone 'America/Los_Angeles' will be set. Local time is now: Wed Jun 24 07:39:25 PDT 2015. Universal Time is now: Wed Jun 24 14:39:25 UTC 2015. Is the above information OK? 1) Yes 2) No #? 1 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services # top Firepower-chassis# show timezone Timezone: America/Los_Angeles (Pacific Time) Firepower-chassis#NTP サーバの追加
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system # scopeservices
ステップ 3 指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを使用するようにシステムを設定します。 Firepower-chassis /system/services # createntp-server{hostname | ip-addr | ip6-addr}
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /system/services # commit-buffer
次の例では、IP アドレス 192.168.200.101 を持つ NTP サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次の例では、IPv6 アドレス 4001::6 を持つ NTP サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #NTP サーバの削除
手順
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system # scopeservices
ステップ 3 指定したホスト名、IPv4 または IPv6 アドレスの NTP サーバを削除します。 Firepower-chassis /system/services # deletentp-server{hostname | ip-addr | ip6-addr}
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /system/services # commit-buffer
次に、IP アドレス 192.168.200.101 の NTP サーバを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 192.168.200.101 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次に、IPv6 アドレス 4001::6 の NTP サーバを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete ntp-server 4001::6 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #手動での日付と時刻の設定
手順ここでは、Firepower シャーシで日付と時刻を手動で設定する方法について説明します。 システム クロックの変更はただちに反映されます。
(注)
システム クロックが NTP サーバと同期中である場合は、日付と時刻を手動で設定することはできません。
ステップ 1 システム モードに入ります。 Firepower-chassis# scopesystem
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system # scopeservices
ステップ 3 システム クロックを設定します。 Firepower-chassis /system/services # set clock month day year hour min sec
month には、月の英名の最初の 3 文字を使用します。 時間は 24 時間形式で入力する必要があります。午後 7 時は 19 になります。
システム クロックの変更はただちに反映されます。 バッファをコミットする必要はありません。
SSH の設定
Telnet の設定
手順次の手順では、Firepower シャーシへの Telnet アクセスを有効化またはディセーブルにする方法について説明します。 Telnet はデフォルトでディセーブルです。
(注)
現在は、CLI を使用した Telnet 設定のみ可能です。
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system #scope services
ステップ 3 Firepower シャーシへの Telnet アクセスを設定するには、次のいずれかを実行します。 ステップ 4 トランザクションをシステム設定にコミットします。 Firepower /system/services # commit-buffer
SNMP の設定
ここでは、Firepower シャーシに簡易ネットワーク管理プロトコル(SNMP)を設定する方法について説明します。 詳細については、次のトピックを参照してください。
- SNMP について
- SNMP 通知
- SNMP セキュリティ レベルおよび権限
- SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
- SNMPv3 セキュリティ機能
- SNMP サポート
- SNMP のイネーブル化および SNMP プロパティの設定
- SNMP トラップの作成
- SNMP トラップの削除
- SNMPv3 ユーザの作成
- SNMPv3 ユーザの削除
SNMP について
簡易ネットワーク管理プロトコル(SNMP)は、SNMP マネージャとエージェント間の通信用メッセージ フォーマットを提供する、アプリケーションレイヤ プロトコルです。 SNMP では、ネットワーク内のデバイスのモニタリングと管理に使用する標準フレームワークと共通言語が提供されます。
SNMP フレームワークは 3 つの部分で構成されます。
SNMP マネージャ:SNMP を使用してネットワーク デバイスのアクティビティを制御し、モニタリングするシステム。
SNMP エージェント:Firepower シャーシ内のソフトウェア コンポーネントで、Firepower シャーシのデータを維持し、必要に応じてそのデータを SNMP マネージャに送信します。 Firepower シャーシには、エージェントと一連の MIB が含まれています。 SNMP エージェントを有効化にしてマネージャとエージェント間のリレーションシップを作成するには、Firepower Chassis Manager または FXOS CLI で SNMP を有効化して設定します。
管理情報ベース(MIB):SNMP エージェント上の管理対象オブジェクトのコレクション。
Firepower シャーシは、SNMPv1、SNMPv2c、および SNMPv3 をサポートします。 SNMPv1 および SNMPv2c はどちらも、コミュニティベース形式のセキュリティを使用します。 SNMP は次のように定義されています。
RFC 3410(http://tools.ietf.org/html/rfc3410)
RFC 3411(http://tools.ietf.org/html/rfc3411)
RFC 3412(http://tools.ietf.org/html/rfc3412)
RFC 3413(http://tools.ietf.org/html/rfc3413)
RFC 3414(http://tools.ietf.org/html/rfc3414)
RFC 3415(http://tools.ietf.org/html/rfc3415)
RFC 3416(http://tools.ietf.org/html/rfc3416)
RFC 3417(http://tools.ietf.org/html/rfc3417)
RFC 3418(http://tools.ietf.org/html/rfc3418)
RFC 3584(http://tools.ietf.org/html/rfc3584)
SNMP 通知
SNMP の重要な機能の 1 つは、SNMP エージェントから通知を生成できることです。 これらの通知では、要求を SNMP マネージャから送信する必要はありません。 通知は、不正なユーザ認証、再起動、接続の切断、隣接ルータとの接続の切断、その他の重要なイベントを表示します。
Firepower シャーシは、トラップまたはインフォームとして SNMP 通知を生成します。 SNMP マネージャはトラップ受信時に確認応答を送信せず、Firepower シャーシはトラップが受信されたかどうかを確認できないため、トラップの信頼性はインフォームよりも低くなります。 インフォーム要求を受信する SNMP マネージャは、SNMP 応答プロトコル データ ユニット(PDU)でメッセージの受信を確認応答します。 Firepower シャーシが PDU を受信しない場合、インフォーム要求を再送できます。
SNMP セキュリティ レベルおよび権限
SNMPv1、SNMPv2c、および SNMPv3 はそれぞれ別のセキュリティ モデルを表します。 セキュリティ モデルは選択されたセキュリティ レベルと組み合わされ、SNMP メッセージの処理中に適用されるセキュリティ メカニズムを決定します。
セキュリティ レベルは、SNMP トラップに関連付けられているメッセージの表示に必要な権限を決定します。 権限レベルは、開示されないようメッセージを保護する必要があるか、またはメッセージを認証する必要があるかどうかを決定します。 サポートされるセキュリティ レベルは、実装されているセキュリティ モデルによって異なります。 SNMP セキュリティ レベルは、次の権限の 1 つ以上をサポートします。
SNMPv3 では、セキュリティ モデルとセキュリティ レベルの両方が提供されています。 セキュリティ モデルは、ユーザおよびユーザが属するロールを設定する認証方式です。 セキュリティ レベルとは、セキュリティ モデル内で許可されるセキュリティのレベルです。 セキュリティ モデルとセキュリティ レベルの組み合わせにより、SNMP パケット処理中に採用されるセキュリティ メカニズムが決まります。
SNMP セキュリティ モデルとレベルのサポートされている組み合わせ
次の表に、セキュリティ モデルとレベルの組み合わせの意味を示します。
表 1 SNMP セキュリティ モデルおよびセキュリティ レベル モデル
レベル
認証
暗号化
結果
v1
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v2c
noAuthNoPriv
コミュニティ ストリング
No
コミュニティ ストリングの照合を使用して認証します。
v3
noAuthNoPriv
[Username]
No
ユーザ名の照合を使用して認証します。
v3
authNoPriv
HMAC-SHA
No
HMAC Secure Hash Algorithm(SHA)に基づいて認証します。
v3
authPriv
HMAC-SHA
DES
HMAC-SHA アルゴリズムに基づいて認証します。 データ暗号規格(DES)の 56 ビット暗号化、および暗号ブロック連鎖(CBC)DES(DES-56)標準に基づいた認証を提供します。
SNMPv3 セキュリティ機能
SNMP サポート
Firepower シャーシは SNMP の次のサポートを提供します。
SNMPv3 ユーザの AES プライバシー プロトコル
Firepower シャーシは、SNMPv3 メッセージ暗号化用のプライバシー プロトコルの 1 つとして Advanced Encryption Standard(AES)を使用し、RFC 3826 に準拠しています。
プライバシー パスワード(priv オプション)では、SNMP セキュリティ暗号化方式として DES または 128 ビット AES を選択できます。 AES-128 の設定を有効化して、SNMPv3 ユーザのプライバシー パスワードを含めると、Firepower シャーシはそのプライバシー パスワードを使用して 128 ビット AES キーを生成します。 AES のプライバシー パスワードは最小で 8 文字です。 パスフレーズをクリア テキストで指定する場合、最大 64 文字を指定できます。
SNMP のイネーブル化および SNMP プロパティの設定
手順
ステップ 1 モニタリング モードを開始します。 Firepower-chassis# scope monitoring
ステップ 2 SNMP を有効化します。 Firepower-chassis /monitoring # enable snmp
ステップ 3 SNMP コミュニティ モードを開始します。 Firepower-chassis /monitoring # set snmp community
set snmp community コマンドを入力すると、SNMP コミュニティの入力を求められます。
ステップ 4 SNMP コミュニティを指定します。 パスワードとしてコミュニティ名を使用します。 コミュニティ名は、最大 32 文字の英数字で指定できます。 Firepower-chassis /monitoring # Enter a snmp community:community-name
ステップ 5 SNMP 担当者のシステムの連絡先を指定します。 システムの連絡先名(電子メール アドレスや、名前と電話番号など)は、最大 255 文字の英数字で指定できます。 Firepower-chassis /monitoring # set snmp syscontactsystem-contact-name
ステップ 6 SNMP エージェント(サーバ)が実行されるホストの場所を指定します。 システム ロケーション名は、最大 512 文字の英数字で指定できます。 Firepower-chassis /monitoring # set snmp syslocationsystem-location-name
ステップ 7 トランザクションをシステム設定にコミットします。 Firepower-chassis /monitoring # commit-buffer
次の作業次に、SNMP をイネーブルにし、SnmpCommSystem2 という名前の SNMP コミュニティを設定し、contactperson という名前のシステム連絡先を設定し、systemlocation という名前の連絡先ロケーションを設定し、トランザクションをコミットする例を示します。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # set snmp community Enter a snmp community: SnmpCommSystem2 Firepower-chassis /monitoring* # set snmp syscontact contactperson1 Firepower-chassis /monitoring* # set snmp syslocation systemlocation Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #
SNMP トラップおよびユーザを作成します。
SNMP トラップの作成
手順
ステップ 1 モニタリング モードを開始します。 Firepower-chassis# scope monitoring
ステップ 2 SNMP をイネーブルにします。 Firepower-chassis /monitoring # enable snmp
ステップ 3 指定したホスト名、IPv4 アドレス、または IPv6 アドレスで SNMP トラップを作成します。 Firepower-chassis /monitoring # create snmp-trap {hostname | ip-addr | ip6-addr}
ステップ 4 SNMP トラップに使用する SNMP コミュニティ名を指定します。 Firepower-chassis /monitoring/snmp-trap # set community community-name
ステップ 5 SNMP トラップに使用するポートを指定します。 Firepower-chassis /monitoring/snmp-trap # set portport-num
ステップ 6 トラップに使用する SNMP のバージョンとモデルを指定します。 Firepower-chassis /monitoring/snmp-trap # set version {v1 | v2c | v3}
ステップ 7 (任意)送信するトラップのタイプを指定します。 Firepower-chassis /monitoring/snmp-trap # set notificationtype {traps | informs}
ここに表示される値は次のとおりです。
ステップ 8 (任意)バージョンで v3 を選択した場合は、トラップに関連付ける権限を指定します。 Firepower-chassis /monitoring/snmp-trap # set v3privilege {auth | noauth | priv}
ステップ 9 トランザクションをシステム設定にコミットします。 Firepower-chassis /monitoring/snmp-trap # commit-buffer
次の例は、SNMP をイネーブルにし、IPv4 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem2 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 192.168.100.112 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem2 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #次の例は、SNMP をイネーブルにし、IPv6 アドレスを使用して SNMP トラップを作成し、トラップがポート 2 で SnmpCommSystem3 コミュニティを使用するよう指定し、バージョンを v3 に設定し、通知タイプを traps に設定し、v3 権限を priv に設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-trap 2001::1 Firepower-chassis /monitoring/snmp-trap* # set community SnmpCommSystem3 Firepower-chassis /monitoring/snmp-trap* # set port 2 Firepower-chassis /monitoring/snmp-trap* # set version v3 Firepower-chassis /monitoring/snmp-trap* # set notificationtype traps Firepower-chassis /monitoring/snmp-trap* # set v3privilege priv Firepower-chassis /monitoring/snmp-trap* # commit-buffer Firepower-chassis /monitoring/snmp-trap #SNMP トラップの削除
SNMPv3 ユーザの作成
手順
ステップ 1 モニタリング モードを開始します。 Firepower-chassis# scope monitoring
ステップ 2 SNMP を有効化します。 Firepower-chassis /monitoring # enable snmp
ステップ 3 指定した SNMPv3 ユーザを作成します。 Firepower-chassis /monitoring # create snmp-useruser-name
create snmp-user コマンドを入力すると、パスワードの入力を促すプロンプトが表示されます。
ステップ 4 AES-128 暗号化の使用を有効化またはディセーブルにします。 Firepower-chassis /monitoring/snmp-user # set aes-128 {no | yes}
デフォルトでは、AES-128 暗号化はディセーブルになっています。
ステップ 5 ユーザ プライバシー パスワードを指定します。 Firepower-chassis /monitoring/snmp-user # set priv-password
set priv-password コマンドを入力すると、プライバシー パスワードの入力と確認を促すプロンプトが表示されます。
ステップ 6 トランザクションをシステム設定にコミットします。 Firepower-chassis /monitoring/snmp-user # commit-buffer
次の例では、SNMP を有効化し、snmp-user14 という名前の SNMPv3 ユーザを作成し、AES-128 暗号化を有効化し、パスワードおよびプライバシー パスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # enable snmp Firepower-chassis /monitoring* # create snmp-user snmp-user14 Password: Firepower-chassis /monitoring/snmp-user* # set aes-128 yes Firepower-chassis /monitoring/snmp-user* # set priv-password Enter a password: Confirm the password: Firepower-chassis /monitoring/snmp-user* # commit-buffer Firepower-chassis /monitoring/snmp-user #HTTPS ポートの変更
手順
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system #scope services
ステップ 3 HTTPS 接続に使用するポートを指定します。 Firepower-chassis /system/services # sethttpsportport-number
port-number には 1 ~ 65535 の整数を指定します。 HTTPS は、デフォルトでポート 443 で有効化になります。
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower /system/services # commit-buffer
HTTPS ポートを変更すると、現在のすべての HTTPS セッションが閉じられます。 ユーザは、次のように新しいポートを使用して再度 Firepower Chassis Manager にログインする必要があります。
https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>
<chassis_mgmt_ip_address> は、初期設定時に入力した Firepower シャーシの IP アドレスまたはホスト名で、<chassis_mgmt_port> は設定が完了した HTTPS ポートです。
次の例では、HTTPS ポート番号を 443 に設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions. Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #AAA の設定
ここでは、認証、認可、アカウンティングについて説明します。 詳細については、次のトピックを参照してください。
AAA について
AAA は、コンピュータ リソースへのアクセスの制御、ポリシーの適用、使用状況の評価することでサービスの課金に必要な情報を提供する、一連のサービスです。 これらの処理は、効果的なネットワーク管理およびセキュリティにとって重要です。
認証
認証はユーザを特定する方法です。アクセスが許可されるには、ユーザは通常、有効なユーザ名と有効なパスワードが必要です。 AAA サーバは、データベースに保存されている他のユーザ クレデンシャルとユーザの認証資格情報を比較します。 クレデンシャルが一致する場合、ユーザはネットワークへのアクセスが許可されます。 クレデンシャルが一致しない場合、認証は失敗し、ネットワーク アクセスは拒否されます。
Firepower アプライアンス では、次のセッションを含むシャーシへの管理接続を認証するように設定することができます。
認証
認可はポリシーを使用するプロセスです。どのようなアクティビティ、リソース、サービスに対するアクセス許可をユーザが持っているのかを判断します。 ユーザが認証されると、そのユーザはさまざまなタイプのアクセスやアクティビティを認可される可能性があります。
Accounting
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。そこには、システム時間またはセッション中にユーザが送受信したデータ量などが含まれます。 アカウンティングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアクティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証、認可、アカウンティング間の相互作用
認証だけで使用することも、認可およびアカウンティングとともに使用することもできます。 認可では必ず、ユーザの認証が最初に済んでいる必要があります。 アカウンティングだけで使用することも、認証および認可とともに使用することもできます。
LDAP プロバイダーの設定
LDAP プロバイダーのプロパティの設定
手順このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ LDAP モードを開始します Firepower-chassis /security # scope ldap
ステップ 3 指定した属性を含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set attribute attribute
ステップ 4 指定した識別名を含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set basedn distinguished-name
ステップ 5 指定したフィルタを含むレコードにデータベース検索を限定します。 Firepower-chassis /security/ldap # set filter filter
ステップ 6 システムがサーバをダウン状態として通知する前に、LDAP サーバからの応答を待つ時間間隔を設定します。 Firepower-chassis /security/ldap # set timeout seconds
ステップ 7 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/ldap # commit-buffer
次の作業次の例では、LDAP 属性を CiscoAvPair に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを sAMAccountName=$userid に、タイムアウト間隔を 5 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap # set attribute CiscoAvPair Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5 Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
(注)
ユーザ ログインは LDAP ユーザーの userdn が 255 文字を超えると失敗します。
LDAP プロバイダーを作成します。
LDAP プロバイダーの作成
はじめる前に手順Active Directory を LDAP サーバとして使用している場合は、Active Directory サーバで Firepower eXtensible Operating System にバインドするユーザ アカウントを作成します。 このアカウントには、期限切れにならないパスワードを設定します。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ LDAP モードを開始します Firepower-chassis /security # scope ldap
ステップ 3 LDAP サーバ インスタンスを作成し、セキュリティ LDAP サーバ モードを開始します。 Firepower-chassis /security/ldap # create serverserver-name
SSL が有効化の場合、server-name は、通常 IP アドレスまたは FQDN となり、LDAP サーバのセキュリティ証明書内の通常名(CN)と正確に一致している必要があります。 IP アドレスが指定されていない場合は、DNS サーバを設定する必要があります。
ステップ 4 (任意)ユーザ ロールとロケールの値を保管する LDAP 属性を設定します。 Firepower-chassis /security/ldap/server # set attributeattr-name
このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
デフォルトの属性が LDAP プロバイダーに対して設定されていない場合は、この値が必要です。
ステップ 5 (任意)リモート ユーザがログインし、システムがそのユーザ名に基づいてユーザの DN の取得を試みるときに、サーバが検索を開始する LDAP 階層内の特定の識別名を設定します。 Firepower-chassis /security/ldap/server # set basednbasedn-name
ベース DN の長さは、最大 255 文字から CN=username の長さを引いた長さに設定することができます。username により、LDAP 認証を使用して Firepower Chassis Manager または FXOS CLI にアクセスしようとするリモート ユーザが識別されます。
デフォルトのベース DN が LDAP プロバイダーに対して設定されていない場合は、この値が必要です。
ステップ 6 (任意)ベース DN のすべてのオブジェクトに対する読み取り権限と検索権限を持つ、LDAP データベース アカウントの識別名(DN)を設定します。 Firepower-chassis /security/ldap/server # set binddnbinddn-name
サポートされるストリングの最大長は 255 文字(ASCII)です。
ステップ 7 (任意)LDAP 検索を、定義されたフィルタと一致するユーザ名に制限します。 Firepower-chassis /security/ldap/server # set filterfilter-value
デフォルトのフィルタが LDAP プロバイダーに対して設定されていない場合は、この値が必要です。
ステップ 8 バインド DN に指定した LDAP データベース アカウントのパスワードを指定します。 Firepower-chassis /security/ldap/server # set password
標準 ASCII 文字を入力できます。ただし、「§」(セクション記号)、「?」 (疑問符)、「=」(等号)は除きます。
パスワードを設定するには、set password コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 9 (任意)Firepower eXtensible Operating System でこのプロバイダーをユーザの認証に使用する順序を指定します。 Firepower-chassis /security/ldap/server # set orderorder-num
ステップ 10 (任意)LDAP サーバとの通信に使用するポートを指定します。 標準ポート番号は 389 です。 Firepower-chassis /security/ldap/server # set portport-num
ステップ 11 LDAP サーバと通信するときの暗号化の使用を有効化またはディセーブルにします。 Firepower-chassis /security/ldap/server # set ssl {yes|no}
オプションは次のとおりです。
LDAP では STARTTLS が使用されます。 これにより、ポート 389 を使用した暗号化通信が可能になります。
ステップ 12 LDAP データベースへの問い合わせがタイム アウトするまでの秒数を指定します。 Firepower-chassis /security/ldap/server # set timeouttimeout-num
1 ~ 60 秒の整数を入力するか、0(ゼロ)を入力して LDAP プロバイダーに対して指定したグローバル タイムアウト値を使用します。 デフォルトは 30 秒です。
ステップ 13 LDAP プロバイダーまたはサーバの詳細を提供するベンダーを指定します。 Firepower-chassis /security/ldap/server # set vendor{ms-ad | openldap}
オプションは次のとおりです。
ステップ 14 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/ldap/server # commit-buffer
次の例では、10.193.169.246 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 10.193.169.246 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 2 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 30 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #次の例では、12:31:71:1231:45b1:0011:011:900 という名前の LDAP サーバ インスタンスを作成し、binddn、パスワード、順序、ポート、SSL、ベンダー属性を設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope ldap Firepower-chassis /security/ldap* # create server 12:31:71:1231:45b1:0011:011:900 Firepower-chassis /security/ldap/server* # set binddn "cn=Administrator,cn=Users,DC=cisco-firepower-aaa3,DC=qalab,DC=com" Firepower-chassis /security/ldap/server* # set password Enter the password: Confirm the password: Firepower-chassis /security/ldap/server* # set order 1 Firepower-chassis /security/ldap/server* # set port 389 Firepower-chassis /security/ldap/server* # set ssl yes Firepower-chassis /security/ldap/server* # set timeout 45 Firepower-chassis /security/ldap/server* # set vendor ms-ad Firepower-chassis /security/ldap/server* # commit-buffer Firepower-chassis /security/ldap/server #LDAP プロバイダーの削除
RADIUS プロバイダーの設定
RADIUS プロバイダーのプロパティの設定
手順このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードを開始します Firepower-chassis /security # scope radius
ステップ 3 (任意)サーバをダウン状態として通知する前に RADIUS サーバとの通信を再試行する回数を指定します。 Firepower-chassis /security/radius # set retries retry-num
ステップ 4 (任意)システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を設定します。 Firepower-chassis /security/radius # set timeout seconds
ステップ 5 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/radius # commit-buffer
次の作業次の例は、RADIUS リトライを 4 に設定し、タイムアウト間隔を 30 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # set retries 4 Firepower-chassis /security/radius* # set timeout 30 Firepower-chassis /security/radius* # commit-buffer Firepower-chassis /security/radius #
RADIUS プロバイダーを作成します。
RADIUS プロバイダーの作成
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードを開始します Firepower-chassis /security # scope radius
ステップ 3 RADIUS サーバ インスタンスを作成し、セキュリティ RADIUS サーバ モードを開始します。 Firepower-chassis /security/radius # create serverserver-name
ステップ 4 (任意)RADIUS サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/radius/server # set authportauthport-num
ステップ 5 RADIUS サーバ キーを設定します。 Firepower-chassis /security/radius/server # set key
キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 6 (任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/radius/server # set order order-num
ステップ 7 (任意)サーバをダウン状態として通知する前に RADIUS サーバとの通信を再試行する回数を設定します。 Firepower-chassis /security/radius/server # set retries retry-num
ステップ 8 システムがサーバをダウン状態として通知する前に、RADIUS サーバからの応答を待つ時間間隔を指定します。 Firepower-chassis /security/radius/server # set timeout seconds
ヒント ステップ 9 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/radius/server # commit-buffer
次の例は、radiusserv7 という名前のサーバ インスタンスを作成し、認証ポートを 5858 に設定し、キーを radiuskey321 に設定し、順序を 2 に設定し、再試行回数を 4 回に設定し、タイムアウトを 30 に設定し、二要素認証をイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope radius Firepower-chassis /security/radius # create server radiusserv7 Firepower-chassis /security/radius/server* # set authport 5858 Firepower-chassis /security/radius/server* # set key Enter the key: radiuskey321 Confirm the key: radiuskey321 Firepower-chassis /security/radius/server* # set order 2 Firepower-chassis /security/radius/server* # set retries 4 Firepower-chassis /security/radius/server* # set timeout 30 Firepower-chassis /security/radius/server* # commit-buffer Firepower-chassis /security/radius/server #RADIUS プロバイダーの削除
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ RADIUS モードを開始します Firepower-chassis /security # scope RADIUS
ステップ 3 指定したサーバを削除します。 Firepower-chassis /security/radius # delete server serv-name
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/radius # commit-buffer
TACACS+ プロバイダーの設定
TACACS+ プロバイダーのプロパティの設定
手順このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設定です。 個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、Firepower eXtensible Operating System でその設定が使用され、デフォルト設定は無視されます。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs
ステップ 3 (任意)システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を設定します。 Firepower-chassis /security/tacacs # set timeout seconds
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs # commit-buffer
次の作業次の例は、TACACS+ タイムアウト間隔を 45 秒に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # set timeout 45 Firepower-chassis /security/tacacs* # commit-buffer Firepower-chassis /security/tacacs #
TACACS+ プロバイダーを作成します。
TACACS+ プロバイダーの作成
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs
ステップ 3 TACACS+ サーバ インスタンスを作成し、TACACS+ サーバ モードを開始します。 Firepower-chassis /security/tacacs # create server server-name
ステップ 4 TACACS+ サーバ キーを指定します。 Firepower-chassis /security/tacacs/server # set key
キー値を設定するには、set key コマンドを入力してから Enter キーを押し、プロンプトでキー値を入力します。
ステップ 5 (任意)このサーバが試行される順序を指定します。 Firepower-chassis /security/tacacs/server # set orderorder-num
ステップ 6 システムがサーバをダウン状態として通知する前に、TACACS+ サーバからの応答を待つ時間間隔を指定します。 Firepower-chassis /security/tacacs/server # set timeoutseconds
ヒント TACACS+ プロバイダーに二要素認証を選択する場合は、より高いタイムアウト値を設定することを推奨します。
ステップ 7 (任意)TACACS+ サーバとの通信に使用するポートを指定します。 Firepower-chassis /security/tacacs/server # set portport-num
ステップ 8 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs/server # commit-buffer
次の例は、tacacsserv680 という名前のサーバ インスタンスを作成し、キーを tacacskey321 に設定し、順序を 4 に設定し、認証ポートを 5859 に設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope tacacs Firepower-chassis /security/tacacs # create server tacacsserv680 Firepower-chassis /security/tacacs/server* # set key Enter the key: tacacskey321 Confirm the key: tacacskey321 Firepower-chassis /security/tacacs/server* # set order 4 Firepower-chassis /security/tacacs/server* # set port 5859 Firepower-chassis /security/tacacs/server* # commit-buffer Firepower-chassis /security/tacacs/server #TACACS+ プロバイダーの削除
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 セキュリティ TACACS+ モードを開始します。 Firepower-chassis /security # scope tacacs
ステップ 3 指定したサーバを削除します。 Firepower-chassis /security/tacacs # delete server serv-name
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/tacacs # commit-buffer
Syslog の設定
手順システム ロギングは、デバイスから syslog デーモンを実行するサーバへのメッセージを収集する方法です。 中央の syslog サーバへロギングは、ログおよびアラートの集約に役立ちます。 syslog サービスは、シンプル コンフィギュレーション ファイルに従って、メッセージを受信してファイルに保存するか、出力します。 この形式のロギングは、保護された長期的な保存場所をログに提供します。 ログは、ルーチン トラブルシューティングおよびインシデント処理の両方で役立ちます。
ステップ 1 モニタリング モードを開始します。 Firepower-chassis# scope monitoring
ステップ 2 コンソールへの syslog の送信を有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog console
ステップ 3 (任意)表示するメッセージの最低レベルを選択します。 syslog がイネーブルの場合、システムはそのレベル以上のメッセージをコンソールに表示します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog console level {emergencies | alerts | critical}
ステップ 4 オペレーティング システムによる syslog 情報のモニタリングを有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog monitor
ステップ 5 (任意)表示するメッセージの最低レベルを選択します。 モニタの状態がイネーブルの場合、システムはそのレベル以上のメッセージを表示します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog monitor level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
(注) Critical より下のレベルのメッセージは、terminal monitor コマンドを入力した場合にのみ端末モニタに表示されます。
ステップ 6 syslog ファイルへの syslog 情報の書き込みを有効化またはディセーブルにします。 Firepower-chassis /monitoring # {enable | disable} syslog file
ステップ 7 メッセージが記録されるファイルの名前を指定します。 ファイル名は 16 文字まで入力できます。 Firepower-chassis /monitoring # set syslog file namefilename
ステップ 8 (任意)ファイルに保存するメッセージの最低レベルを選択します。 ファイルの状態がイネーブルの場合、システムはそのレベル以上のメッセージを syslog ファイルに保存します。 レベル オプションは緊急性の降順で一覧表示されます。 デフォルトのレベルは Critical です。 Firepower-chassis /monitoring # set syslog file level {emergencies | alerts | critical | errors | warnings | notifications | information | debugging}
ステップ 9 (任意)最新のメッセージで最も古いメッセージが上書きされる前の最大ファイル サイズ(バイト単位)を指定します。 有効な範囲は 4096 ~ 4194304 バイトです。 Firepower-chassis /monitoring # set syslog file sizefilesize
ステップ 10 最大 3 台の外部 syslog サーバへの syslog メッセージの送信を設定します。
ステップ 11 ローカル送信元を設定します。 有効化またはディセーブルにするローカル送信元ごとに、次のコマンドを入力します。 Firepower-chassis /monitoring # {enable | disable} syslog source {audits | events | faults}
次のいずれかになります。
ステップ 12 トランザクションをコミットします。 Firepower-chassis /monitoring # commit-buffer
次の例は、ローカル ファイルの syslog メッセージのストレージをイネーブルにし、トランザクションをコミットします。
Firepower-chassis# scope monitoring Firepower-chassis /monitoring # disable syslog console Firepower-chassis /monitoring* # disable syslog monitor Firepower-chassis /monitoring* # enable syslog file Firepower-chassis /monitoring* # set syslog file name SysMsgsFirepower Firepower-chassis /monitoring* # set syslog file level notifications Firepower-chassis /monitoring* # set syslog file size 4194304 Firepower-chassis /monitoring* # disable syslog remote-destination server-1 Firepower-chassis /monitoring* # disable syslog remote-destination server-2 Firepower-chassis /monitoring* # disable syslog remote-destination server-3 Firepower-chassis /monitoring* # commit-buffer Firepower-chassis /monitoring #DNS サーバの設定
手順システムでホスト名の IP アドレスへの解決が必要な場合は、DNS サーバを指定する必要があります。 たとえば、DNS サーバを設定していないと、Firepower シャーシで設定を行うときに、www.cisco.com などの名前を使用できません。 サーバの IP アドレスを使用する必要があり、IPv4 または IPv6 アドレスのいずれかを使用できます。 最大 4 台の DNS サーバを設定できます。
(注)
複数の DNS サーバを設定する場合、システムによるサーバの検索順はランダムになります。 ローカル管理コマンドが DNS サーバの検索を必要とする場合、3 台の DNS サーバのみをランダムに検索します。
ステップ 1 システム モードに入ります。 Firepower-chassis #scope system
ステップ 2 システム サービス モードを開始します。 Firepower-chassis /system #scope services
ステップ 3 DNS サーバを作成または削除するには、次の該当するコマンドを入力します。 ステップ 4 トランザクションをシステム設定にコミットします。 Firepower /system/services # commit-buffer
次の例では、IPv4 アドレス 192.168.200.105 を持つ DNS サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次の例では、IPv6 アドレス 2001:db8::22:F376:FF3B:AB3F を持つ DNS サーバを設定し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # create dns 2001:db8::22:F376:FF3B:AB3F Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #次の例では、IP アドレス 192.168.200.105 を持つ DNS サーバを削除し、トランザクションをコミットします。
Firepower-chassis# scope system Firepower-chassis /system # scope services Firepower-chassis /system/services # delete dns 192.168.200.105 Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #