Cisco Cisco Secure Firewall ASA Virtual 9.18 スタートアップガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Cisco Secure Firewall ASA Virtual 9.18 スタートアップガイド

Chapter Title

Deploy the ASAv on Cisco HyperFlex

検索結果

Updated:
2022年9月25日日曜日

章のタイトル: Deploy the ASAv on Cisco HyperFlex

Cisco HyperFlex への ASAv の導入

HyperFlex システムは、あらゆる場所であらゆるアプリケーションにハイパーコンバージェンスを提供します。Cisco Unified Computing System(Cisco UCS)テクノロジーを備える HyperFlex は、Cisco Intersight クラウド運用プラットフォームを通じて管理され、場所を問わずアプリケーションとデータを強力にサポートし、コアデータセンターからエッジ、そしてパブリッククラウドまでの運用を最適化し、DevOps 手法を推進して俊敏性を高めることができます。

この章では、Cisco HyperFlex 環境内における Firepower Threat Defense Virtual の機能(機能のサポート、システム要件、ガイドライン、制限事項など)について説明します。


重要

ASAv の最小メモリ要件は 2 GB です。現在の ASAv が 2 GB 未満のメモリで動作している場合、ASAv VM のメモリを増やさずに、以前のバージョンから 9.13(1)+ にアップグレードすることはできません。また、最新バージョンを使用して新しい ASAv VM を再導入することもできます。

Cisco HyperFlex での ASAv のガイドラインと制限事項

ASAv Cisco HyperFlex の複数のインスタンスを作成して、VMware vCenter Server に導入できます。ASAv の導入に使用される特定のハードウェアは、導入されるインスタンスの数と使用要件によって異なります。作成する各仮想アプライアンスには、ホスト マシン上での最小リソース割り当て(メモリ、CPU 数、およびディスク容量)が必要です。


重要

ASAv は、8 GB のディスクストレージサイズで展開されます。ディスク容量のリソース割り当てを変更することはできません。

ASAv を展開する前に、次のガイドラインと制限事項を確認します。

推奨される vNIC

最適なパフォーマンスを得るには、vmxnet3 vNIC を使用することを推奨します。この vNIC は、10Gbps の動作をサポートしますが、CPU サイクルも必要な準仮想化ネットワークドライバです。さらに、vmxnet3 を使用する場合は、TCP パフォーマンスの低下を避けるために大量受信オフロード(LRO)を無効にする必要があります。

OVF ファイルのガイドライン

  • asav-vi.ovf:vCenter に導入する場合

  • ASAv OVF の導入では、ローカリゼーション(非英語モードでのコンポーネントのインストール)はサポートされません。ご自身の環境の VMware vCenter と LDAP サーバーが ASCII 互換モードでインストールされていることを確認してください。

  • ASAv をインストールして VM コンソールを使用する前に、キーボードを [United States English] に設定する必要があります。

ハイ アベイラビリティ ガイドラインのためのフェールオーバー

フェールオーバー配置の場合は、スタンバイ装置が同じライセンス権限付与を備えていることを確認してください(両方の装置が 2 Gbps の権限付与であることなど)。


重要

ASAv を使用して高可用性ペアを作成する場合は、データインターフェイスを各 ASAv に同じ順序で追加する必要があります。完全に同じインターフェイスを異なる順序で各 ASAv に追加すると、ASAv コンソールにエラーが表示される場合があります。また、フェールオーバー機能にも影響が出ることがあります。

IPv6 のガイドライン

VMware vSphere Web Client を使用して ASAv OVF ファイルを最初に導入する場合は、管理インターフェイスに IPv6 アドレスを指定できません。ASDM または CLI を使用して、IPv6 アドレッシングを後で追加できます。

vMotion に関するガイドライン

  • VMware では、vMotion を使用する場合は共有ストレージのみを使用する必要があります。ASAv の導入時に、ホスト クラスタがある場合は、ストレージをローカルに(特定のホスト上)、または共有ホスト上でプロビジョニングできます。ただし、ASAv を vMotion を使用して別のホストに移行する場合、ローカル ストレージを使用するとエラーが発生します。

スループット用のメモリと vCPU の割り当てとライセンス

  • ASAv に割り当てられたメモリのサイズは、スループットレベルに合わせたものです。異なるスループットレベルのライセンスを要求する場合を除いて、[設定の編集(Edit Settings)] ダイアログボックスのメモリ設定または vCPU ハードウェアの設定は変更しないでください。アンダープロビジョニングは、パフォーマンスに影響を与える可能性があります。


    (注)  
    メモリまたは vCPU ハードウェア設定を変更する必要がある場合は、ASA 仮想 のライセンスに記載されている値のみを使用してください。VMware が推奨するメモリ構成の最小値、デフォルト値、および最大値は使用しないでください。

CPU 予約

  • デフォルトで、ASAv の CPU 予約は 1000 MHz です。共有、予約、および制限の設定を使用することで、ASAv に割り当てられた CPU リソースの量を変更できます。[設定の編集(Edit Settings)] > [リソース(Resources)] > [CPU]。より低い設定で必要なトラフィック負荷が課されている状況で ASAv が目的を達成できる場合は、CPU 予約の設定を 1000 Mhz 未満にできます。ASAv によって使用される CPU の量は、それが動作しているハードウェア プラットフォームだけでなく、それが行っている作業のタイプと量によっても異なります。

    仮想マシンの [Performance] タブの [Home] ビューに配置された [CPU Usage (MHz)] チャートから、すべての仮想マシンに関する CPU 使用率をホストの視点で確認できます。ASAv が標準的なトラフィック量を処理しているときの CPU 使用率のベンチマークを設定すれば、その情報を CPU 予約の調整時の入力として使用できます。

    詳細については、CPU Performance Enhancement Advice のリンクを参照してください。

  • ASDM で ASAvshow vm > show cpuコマンドを使用して、リソース割り当て、およびオーバープロビジョニングまたはアンダープロビジョニングされたリソースを

    表示できます。

    [ホーム(Home)] > [デバイスダッシュボード(Device Dashboard)] > [デバイス情報(Device Information)] > [仮想リソース(Virtual Resources)] タブ

    または

    [モニタリング(Monitoring)] > [プロパティ(Properties)] > [システムリソースグラフ(System Resources Graphs)] > [CPU] ペイン

UCS B および C シリーズ ハードウェアにおけるトランスペアレントモードに関するガイドライン

MAC フラップが、Cisco UCS B(コンピューティングノード)および C(コンバージドノード)シリーズ ハードウェアのトランスペアレントモードで動作する一部の ASAv 設定で発生することがあります。MAC アドレスがさまざまな場所で出現した場合、パケットはドロップされます。

VMware 環境にトランスペアレントモードで ASAv を導入する場合に MAC フラップを回避するには、次のガイドラインを参考にしてください。

  • VMware NIC チーミング:UCS B または C シリーズにトランスペアレントモードで ASAv を導入する場合、内部および外部インターフェイスに使用するポートグループにはアクティブアップリンクを 1 つだけ設定し、アップリンクは同じである必要があります。vCenter で VMware NIC チーミングを設定します。

  • ARP インスペクション:ASAv で ARP インスペクションを有効にし、受信インターフェイスで MAC および ARP エントリを静的に設定します。ARP インスペクションと有効化の詳細については、Cisco ASA シリーズ コンフィギュレーション ガイド(一般的な操作)[英語] を参照してください。

ASAv および HyperFlex のシステム要件

HyperFlex HX シリーズの設定とクラスタ

設定 クラスタ

HX220c コンバージドノード

  • フラッシュクラスタ

  • 最小 3 ノードクラスタ(データベース、VDI、VSI)

HX240c コンバージドノード

  • フラッシュクラスタ

  • 最小 3 ノードクラスタ(VSI:IT/Biz アプリケーション、テスト/開発)

HX220C とエッジ(VDI、VSI、ROBO)

HX240C(VDI、VSI、テスト/開発)

  • ハイブリッドクラスタ

  • 最小 3 ノードクラスタ

B200 + C240/C220

コンピューティング バウンド アプリ/VDI

HyperFlex HX シリーズの導入オプション:

  • ハイブリッドクラスタ

  • フラッシュクラスタ

  • HyperFlex HX エッジ

  • SED ドライブ

  • NVME キャッシュ

  • GPU

HyperFlex HX クラウドを利用した管理オプションについては、『Cisco HyperFlex システム設置ガイド』の「HyperFlex ファブリック インターコネクトに接続されたクラスタの展開」のセクションを参照してください。

HyperFlex コンポーネントとバージョン

コンポーネント バージョン

VMware vSphere

7.0.2-18426014

HyperFlex Data Platform

4.5.2a-39429

サポートされる機能

  • 展開モード:ルーテッド(スタンドアロン)、ルーテッド(HA)、およびトランスペアレント

  • ASAv のネイティブ HA

  • ジャンボフレーム

  • VirtIO

  • HyperFlex データセンタークラスタ(ストレッチ クラスタを除く)

  • HyperFlex Edge クラスタ

  • HyperFlex すべての NVMe、オールフラッシュ、およびハイブリッド コンバージド ノード

  • HyperFlex コンピューティング専用ノード

サポートされない機能

SR-IOV を使用した ASAv の実行は、HyperFlex で認定されていません。


(注)  

HyperFlex は SR-IOV をサポートしていますが、MLOM VIC に加えて PCI-e NIC も必要です。

Cisco HyperFlex への ASAv の導入方法

ステップ

タスク

詳細情報

1

 ガイドラインと制限事項を確認します。 Cisco HyperFlex での ASAv のガイドラインと制限事項

2

 前提条件を確認します。 ASAv および Cisco HyperFlex の前提条件

3

 Cisco.com から OVF ファイルをダウンロードします。 ASAv ソフトウェアのダウンロードと解凍

4

Cisco HyperFlex に ASAv を導入します。

 vSphere vCenter への Cisco HyperFlex 上の ASAv の導入

5

ASAv コンソールにアクセスします。

 ASAv コンソールへのアクセス

ASAv および Cisco HyperFlex の前提条件

vSphere 標準スイッチのセキュリティ ポリシー

VMware vSphere Web Client、vSphere スタンドアロンクライアント、または OVF ツールを使用して Cisco HyperFlex に ASAv を導入できます。システム要件については、『Cisco ASA Compatibility』を参照してください。

vSphere スイッチについては、レイヤ 2 セキュリティ ポリシーを編集して、ASAv インターフェイスによって使用されるポート グループに対してセキュリティ ポリシーの例外を適用できます。次のデフォルト設定を参照してください。

  • 無差別モード:拒否

  • MAC アドレスの変更:許可

  • 不正送信:許可

次の ASAv 設定については、これらの設定の変更が必要な場合があります。詳細については、vSphere のマニュアルを参照してください。

表 1. ポート グループのセキュリティ ポリシーの例外

セキュリティの例外

ルーテッド ファイアウォール モード

トランスペアレント ファイアウォール モード

フェールオーバーなし

フェールオーバー

フェールオーバーなし

フェールオーバー

無差別モード

<任意>

<任意>

承認

承認

MAC アドレスの変更

<任意>

承認

<任意>

承認
不正送信

<任意>

承認

承認

承認

ASAv ソフトウェアのダウンロードと解凍

はじめる前に

ASAv を導入する前に、vSphere(管理用)に少なくとも 1 つのネットワークを設定しておく必要があります。

手順

ステップ 1

ZIP ファイルを Cisco.com からダウンロードし、ローカル ディスクに保存します。

https://www.cisco.com/go/asa-software

(注)   

Cisco.com のログインおよびシスコ サービス契約が必要です。
ステップ 2

ファイルを作業ディレクトリに解凍します。ディレクトリからファイルを削除しないでください。次のファイルが含まれています。

  • asav-vi.ovf:vCenter への導入用。

  • boot.vmdk:ブート ディスク イメージ。

  • disk0.vmdk:ASAv のディスク イメージ。

  • day0.iso:day0-config ファイルおよびオプションの idtoken ファイルを含む ISO。

  • asav-vi.mf:vCenter への導入用のマニフェスト ファイル。

vSphere vCenter への Cisco HyperFlex 上の ASAv の導入

この手順を使用して、HyperFlex から VMware vSphere vCenter に ASAv を導入します。vSphere Web Client(または vSphere Client)を使用して、仮想マシンを導入して設定できます。

始める前に

HyperFlex に ASAv を導入する前に、vSphere(管理用)に少なくとも 1 つのネットワークを設定しておく必要があります。

ASAv を HyperFlex クラスタにインストールする前に、HyperFlex クラスタと共有データストアを作成する必要があります。詳細については、HyperFlex コンフィギュレーション ガイド [英語] を参照してください。

手順

ステップ 1

vSphere Web クライアントにログインします。

ステップ 2

vSphere Web Client(または vSphere Client)を使用し、[アクション(ACTIONS)] > [OVFテンプレートの導入(Deploy OVF Template)] をクリックして、以前ダウンロードした OVF テンプレートファイルを導入します。

[Deploy OVF Template] ウィザードが表示されます。
ステップ 3

ファイルシステムで OVF テンプレートソースの場所を参照し、[次へ(NEXT)] をクリックします。

ステップ 4

[OVFテンプレートの詳細(OVF Template Details)] ページを確認し、OVF テンプレートの情報(製品名、バージョン、ベンダー、ダウンロードサイズ、ディスク上のサイズ、説明)を確認して、[次へ(NEXT)] をクリックします。

ステップ 5

[エンドユーザーライセンス契約書(End User License Agreement)] ページが表示されます。OVF テンプレート(VI テンプレートのみ)でパッケージ化されたライセンス契約書を確認し、[承認(Accept)] をクリックしてライセンスの条件に同意し、[次へ(NEXT)] をクリックします。

ステップ 6

[名前と場所(Name and Location)] ページで、この導入の名前を入力し、HyperFlex を導入するインベントリ内の場所(共有データストアまたはクラスタ)を選択して、[次へ(NEXT)] をクリックします。名前はインベントリフォルダ内で一意である必要があり、最大 80 文字を使用できます。

VSphere Web Client では、インベントリビューに管理対象オブジェクトの組織階層が表示されます。インベントリは、vCenter Server またはホストが管理対象オブジェクトを整理する目的で使用する階層構造です。この階層には、vCenter Server にあるすべての監視対象オブジェクトが含まれています。

ステップ 7

ASAv HyperFlex を実行するリソースプールに移動して選択し、[次へ(NEXT)] をクリックします。

(注)   

このページは、クラスタにリソース プールが含まれている場合にのみ表示されます。コンピューティング リソース プールの場合、最高のパフォーマンスを得るためにはクラスタのみを推奨します
ステップ 8

[導入設定(Deployment Configuration)] を選択します。[設定(Configuration)] ドロップダウンリストから、サポートされている 3 つの vCPU/メモリ値のいずれかを選択し、[次へ(NEXT)] をクリックします。
ステップ 9

仮想マシンファイルを保存する [ストレージ(Storage)] の場所を選択し、[次へ(NEXT)] をクリックします。

このページで、宛先クラスタですでに構成されているデータストア(HX 接続を使用して作成された HX クラスタ共有データストア)を選択します。仮想マシン コンフィギュレーション ファイルおよび仮想ディスク ファイルが、このデータストアに保存されます。仮想マシンとそのすべての仮想ディスクファイルを保存できる十分なサイズのデータストアを選択してください。

ステップ 10

[ネットワークマッピング(Network Mapping)] ページで、OVF テンプレートで指定されたネットワークをインベントリ内のネットワークにマッピングし、[次へ(NEXT)] をクリックします。

Management 0-0 インターフェイスが、インターネットから到達可能な VM ネットワークと関連付けられていることを確認します。非管理インターフェイスは、管理モードに応じて ASAv Mangement Centre または ASAv Device Manager から設定できます。

重要 

HyperFlex 上の ASAv では、仮想デバイスを作成するときのデフォルトが vmxnet3 インターフェイスになりました。以前は、デフォルトは e1000 でした。e1000 インターフェイスを使用している場合は、切り替えることを強く推奨します。Vmxnet3 のデバイスドライバとネットワーク処理は HyperFlex と統合されているため、使用するリソースが少なくなり、ネットワークパフォーマンスが向上します。

ネットワークはアルファベット順になっていない可能性があります。ネットワークを見つけることが非常に困難な場合は、後で [設定の編集(Edit Settings)] ダイアログボックスからネットワークを変更できます。導入後、インスタンスを右クリックして [設定の編集(Edit Settings)] を選択します。ただし、[ネットワークマッピング(Network Mapping)] ページには ID は表示されません(ネットワークアダプタ ID のみ)。

以下に示す、インターフェイス(vmxnet3 のデフォルトインターフェイス)のネットワークアダプタ、送信元ネットワーク、宛先ネットワークの対応を参照してください。

表 2. 送信元から宛先ネットワークへのマッピング:vmxnet3

ネットワーク アダプタ ID

ASAv インターフェイス ID

ネットワーク アダプタ 1

Management 0/0

ネットワーク アダプタ 2

GigabitEthernet 0/0

ネットワーク アダプタ 3

GigabitEthernet 0/1

ネットワーク アダプタ 4

GigabitEthernet 0/2

ネットワーク アダプタ 5

GigabitEthernet 0/3

ネットワーク アダプタ 6

GigabitEthernet 0/4

ネットワーク アダプタ 7

GigabitEthernet 0/5

ネットワーク アダプタ 8

GigabitEthernet 0/6

ネットワーク アダプタ 9

GigabitEthernet 0/7

ネットワーク アダプタ 10

GigabitEthernet 0/8

ASAv を導入する際には、合計 10 個のインターフェイスを指定できます。データインターフェイスについて、送信元ネットワークが正しい宛先ネットワークにマッピングされ、各データインターフェイスが一意のサブネットまたは VLAN にマッピングされていることを確認します。すべてのインターフェイスを使用する必要はなく、使用する予定がないインターフェイスは、設定内で無効のままにできます。
ステップ 11

[プロパティ(Properties)] ページで、OVF テンプレート(VI テンプレートのみ)でパッケージ化された、ユーザー設定可能なプロパティを設定します。

  • [パスワード(Password)]:管理アクセス用のパスワードを設定します。

  • [ネットワーク(Network)]:完全修飾ドメイン名(FQDN)、DNS、検索ドメイン、ネットワークプロトコル(IPv4 または IPv6)などのネットワーク情報を設定します。

  • [管理インターフェイス(Management Interface)]:管理構成を設定し、ドロップダウンをクリックして [DHCP/手動(DHCP/Manual)] を選択し、管理インターフェイスの IP 構成を設定します。

  • [ファイアウォールモード(Firewall Mode)]:初期ファイアウォールモードを設定します。[ファイアウォールモード(Firewall Mode)] のドロップダウン矢印をクリックし、サポートされている 2 つのモードのいずれか([ルーテッド(Routed)] または [トランスペアレント(Transparent)])を選択します。
ステップ 12

[次へ(NEXT)] をクリックします。[準備完了(Ready To Complete)] セクションで、表示された情報を確認します。これらの設定を使用して展開を開始するには、[終了(Finish)] をクリックします。変更を加えるには、[戻る(Back)] をクリックして前のダイアログボックスに戻ります。

(任意)[導入後に電源をオン(Power on after deployment)] オプションにチェックマークを付けて、VM の電源をオンにし、[終了(Finish)] をクリックします。

ウィザードが完了すると、vSphere Web Client によって仮想マシンが処理されます。[グローバル情報(Global Information)] 領域の [最近のタスク(Recent Tasks)] ペインで [OVF展開の初期設定(Initialize OVF deployment)] ステータスを確認できます。

この手順が終了すると、[OVFテンプレートの導入(Deploy OVF Template)] 完了ステータスが表示されます。

ASAv インスタンスがインベントリ内の指定されたデータセンターの下に表示されます。新しい VM の起動には、最大 30 分かかることがあります。

(注)   

Cisco Licensing Authority に ASAv HyperFlex を正常に登録するには、インターネットアクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。

ASAv コンソールへのアクセス

ASDM を使用する場合、トラブルシューティングに CLI を使用する必要がある場合があります。デフォルトでは、組み込みの VMware vSphere コンソールにアクセスできます。または、コピー アンド ペーストなどのより優れた機能を持つネットワーク シリアル コンソールを設定できます。

VMware vSphere コンソールの使用

初期設定またはトラブルシューティングを行うには、VMware vSphere Web Client により提供される仮想コンソールから CLI にアクセスします。後で Telnet または SSH の CLI リモート アクセスを設定できます。

始める前に

vSphere Web Client では、ASA 仮想 コンソール アクセスに必要なクライアント統合プラグインをインストールします。

手順
ステップ 1

VMware vSphere Web Client で、インベントリの ASA 仮想 インスタンスを右クリックし、[Open Console] を選択します。または、[Summary] タブの [Launch Console] をクリックします。

ステップ 2

コンソールでクリックして Enter を押します。注:Ctrl + Alt を押すと、カーソルが解放されます。

ASA 仮想 がまだ起動中の場合は、起動メッセージが表示されます。

ASA 仮想 が初めて起動すると、OVF ファイルから提供されたパラメータを読み込み、それらを ASA 仮想 システム構成に追加します。その後、起動プロセスが自動的に再開され、稼働を開始します。この二重起動プロセスは、初めて ASA 仮想 を導入した場合にのみ発生します。

(注)   

ライセンスをインストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。ライセンスは、通常の操作に必要です。ライセンスをインストールするまで、次のメッセージがコンソールで繰り返し表示されます。

Warning: ASAv platform license state is Unlicensed.
Install ASAv platform license for full functionality.

次のプロンプトが表示されます。

ciscoasa>

このプロンプトは、ユーザー EXEC モードで作業していることを示します。ユーザー EXEC モードでは、基本コマンドのみを使用できます。
ステップ 3

特権 EXEC モードにアクセスします。

例:
ciscoasa> enable

次のプロンプトが表示されます。

Password:
ステップ 4

Enter キーを押して、次に進みます。デフォルトでは、パスワードは空白です。以前にイネーブル パスワードを設定した場合は、Enter を押す代わりにこれを入力します。

プロンプトが次のように変化します。

ciscoasa#

設定以外のすべてのコマンドは、特権 EXEC モードで使用できます。特権 EXEC モードからコンフィギュレーション モードに入ることもできます。

特権モードを終了するには、disable コマンド、exit コマンド、または quit コマンドを入力します。

ステップ 5

グローバル コンフィギュレーション モードにアクセスします。

ciscoasa# configure terminal

プロンプトが次のように変化します。

ciscoasa(config)#

グローバル コンフィギュレーション モードから ASA 仮想 の設定を開始できます。グローバル コンフィギュレーション モードを終了するには、exit コマンド、quit コマンド、または end コマンドを入力します。

ネットワーク シリアル コンソール ポートの設定

コンソール エクスペリエンスの向上のために、コンソール アクセスについて、ネットワーク シリアル ポートを単独で設定するか、または仮想シリアル ポート コンセントレータ(vSPC)に接続するように設定できます。各方法の詳細については、VMware vSphere のマニュアルを参照してください。ASA 仮想 では、仮想コンソールの代わりにシリアル ポートにコンソール出力を送信する必要があります。この手順では、シリアル ポート コンソールを有効にする方法について説明します。

手順
ステップ 1

VMware vSphere でネットワーク シリアル ポートを設定します。VMware vSphere のマニュアルを参照してください。

ステップ 2

ASA 仮想 で、「use_ttyS0」という名前のファイルを disk0 のルート ディレクトリに作成します。このファイルには内容が含まれている必要はありません。この場所に存在することのみが必要です。

disk0:/use_ttyS0

  • ASDM から [ツール(Tools)] > [ファイル管理(File Management)] ダイアログボックスを使用して、この名前で空のテキストファイルをアップロードできます。

  • vSphere コンソールで、ファイル システム内の既存のファイル(任意のファイル)を新しい名前にコピーできます。次に例を示します。

    ciscoasa(config)# cd coredumpinfo
ciscoasa(config)# copy coredump.cfg disk0:/use_ttyS0
ステップ 3

ASA 仮想をリロードします。

  • ASDM から [Tools] > [System Reload] を選択します。

  • vSphere コンソールで reload を入力します。

    ASA 仮想 は vSphere コンソールへの送信を停止し、代わりにシリアル コンソールに送信します。

ステップ 4

シリアル ポートの追加時に指定した vSphere のホスト IP アドレスとポート番号に Telnet 接続するか、または vSPC の IP アドレスとポートに Telnet 接続します。

vCPU またはスループット ライセンスのアップグレード

ASAv は、使用できる vCPU の数に影響するスループット ライセンスを使用します。

ASAv の vCPU の数を増やす(または減らす)場合は、新しいライセンスを要求して、その新しいライセンスを適用し、新しい値と一致するように VMware の VM プロパティを変更します。


(注)  

割り当てられた vCPU は、ASAv 仮想 CPU ライセンスまたはスループットライセンスと一致している必要があります。RAM は、vCPU 用に正しくサイズ調整されている必要があります。アップグレードまたはダウングレード時には、この手順に従って、ライセンスと vCPU を迅速に調整するようにします。永続的な不一致がある場合、ASAv は適切に動作しません。

手順

ステップ 1

新しい ASAv 仮想 CPU ライセンスまたはスループットライセンスを要求します。

ステップ 2

新しいライセンスを適用します。フェールオーバー ペアの場合、両方の装置に新しいライセンスを適用します。
ステップ 3

フェールオーバーを使用するかどうかに応じて、次のいずれかを実行します。

  • フェールオーバーあり:vSphere Web Client で、スタンバイ ASAv の電源を切断します。たとえば、ASAv をクリックしてから [Power Off the virtual machine] をクリックするか、または ASAv を右クリックして [Shut Down Guest OS] を選択します。

  • フェールオーバーなし:vSphere Web Client で、ASAv の電源を切断します。たとえば、ASAv をクリックしてから [Power Off the virtual machine] をクリックするか、または ASAv を右クリックして [Shut Down Guest OS] を選択します。

ステップ 4

ASAv をクリックしてから [仮想マシンの設定の編集(Edit Virtual machine settings)] をクリックします(または ASAv を右クリックして [設定の編集(Edit Settings)] を選択します)。

[Edit Settings] ダイアログボックスが表示されます。

ステップ 5

新しい vCPU ライセンスの正しい値を確認するには、ASA 仮想 のライセンスにある CPU 要件とメモリ要件を参照してください。

ステップ 6

[Virtual Hardware] タブの [CPU] で、ドロップダウン リストから新しい値を選択します。

ステップ 7

[Memory] には、新しい RAM の値を入力します。

ステップ 8

[OK] をクリックします。

ステップ 9

ASAv の電源をオンにします。たとえば、[Power On the Virtual Machine] をクリックします。

ステップ 10

フェールオーバー ペアの場合:

  1. アクティブ装置へのコンソールを開くか、またはアクティブ装置で ASDM を起動します。

  2. スタンバイ装置の起動が終了した後、スタンバイ装置にフェールオーバーします。

    • ASDM:[Monitoring] > [Properties] > [Failover] > [Status] を選択し、[Make Standby] をクリックします。

    • CLI: failover active

  3. アクティブ装置に対して、ステップ 3 ~ 9 を繰り返します。

次のタスク

詳細については、ASA 仮想 のライセンスを参照してください。

Cisco HyperFlex での ASAv のパフォーマンス調整

ASAv は高性能のアプライアンスですが、最適な結果を得るには Cisco HyperFlex の調整が必要な場合があります。

以下は、HyperFlex 環境で ASAv の最高のパフォーマンスを促進するためのベストプラクティスと推奨事項です。

ジャンボ フレームの有効化

MTU が大きいほど、大きいパケットを送信できます。パケットが大きいほど、ネットワークの効率が良くなる可能性があります。次のガイドラインを参照してください。

  • トラフィック パスの MTU の一致:すべての ASAv インターフェイスとトラフィック パス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。

  • ジャンボ フレームへの対応:MTU を最大 9198 バイトに設定できます。ASAv の最大値は 9000 です。

この手順では、次の環境でジャンボフレームを有効にする方法について説明します。

vSphere 7.0.1 上の HyperFlex クラスタ > VMware vSphere vSwitch> Cisco UCS ファブリック インターコネクト(FI)

手順

ステップ 1

ASAv を展開した ASAv ホストの MTU 設定を変更します。

  1. vSphere Web クライアントを使用して vCenter サーバーに接続します。

  2. HyperFlex ホストの [詳細システム設定(Advanced System Settings)] で、[Net.Vmxnet3NonTsoPacketGtMtuAllowed] の設定パラメータの値を 1 にします。

  3. 変更を保存してホストを再起動します。

詳細については、「https://kb.vmware.com/s/article/1038578」を参照してください。

ステップ 2

VMware vSphere vSwitch の MTU 設定を変更します。

  1. vSphere Web クライアントを使用して vCenter サーバーに接続します。

  2. VMware vSphere vSwitch のプロパティを編集し、[MTU] の値を 9000 に設定します。
ステップ 3

Cisco UCS ファブリック インターコネクト(FI)の MTU 設定を変更します。

  1. Cisco UCS Management コンソールにログインします。

  2. QoS システムクラスを編集するには、[LAN] > [LANクラウド(LAN Cloud)] > QoS システム クラス(QoS System Class) の順に選択します。[全般(General)] タブで、[MTU] の値を 9216 に設定します。

  3. vNIC を編集するには、[LAN] > [ポリシー(Policies)] > [ルート(root)] > [サブ組織(Sub-Organizations)]

    <your-hyperflex-org>vNIC テンプレート <your-vnic> の順に選択します。[全般(General)] タブで、[MTU] の値を 9000 に設定します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ