Cisco ASA for Firepower 2100 シリーズ スタートアップ ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco ASA for Firepower 2100 シリーズ スタートアップ ガイド

Chapter Title

使用する前に

検索結果

Updated:
2017年11月16日

章のタイトル: 使用する前に

使用する前に

この章では、ネットワーク内の Firepower 2100 に ASA を展開する方法、および初期設定を実行する方法について説明します。

Firepower 2100 用 ASA について

Firepower 2100 ハードウェアは、Cisco ASA ソフトウェアまたは Firepower Threat Defense ソフトウェアを使用して実行できます。このガイドでは、Firepower 2100 での ASA の使用方法について説明します。


(注)  

ASA と Firepower Threat Defense の間の切り替えには、デバイスの再イメージ化が必要です。「Reimage the Cisco ASA or Firepower Threat Defense Device」を参照してください。

ASA の Firepower 2100 との連携方法

Firepower 2100 は ASA 用の単一アプリケーション アプライアンスです。Firepower 2100 は、Firepower eXtensible Operating System(FXOS)という基礎となるオペレーティング システムを実行します。FXOS では、基本的な動作パラメータとハードウェア インターフェイス設定を設定する必要があります。これらの設定には、インターフェイスの有効化、EtherChannels の確立、NTP、イメージ管理などが含まれます。Firepower Chassis Manager Web インターフェイスまたは FXOS CLI を使用できます。その後、ASDM または ASA CLI を使用して ASA オペレーティング システムにセキュリティ ポリシーを設定できます。

ASA と FXOS の管理

ASA および FXOS のオペレーティング システムは、管理 1/1 インターフェイスを共有します。このインターフェイスには、ASA および FXOS に接続するための個別の IP アドレスがあります。


(注)  

このインターフェイスは ASA では管理 1/1 と呼ばれます。FXOS では、MGMT、management0、または同様の他の名前で表示されます。このガイドでは、一貫性と簡潔さのため、管理 1/1 としてこのインターフェイスを参照します。

FXOS および ASA で監視する必要がある機能は異なるため、継続的な保守で両方のオペレーティング システムを使用する必要があります。FXOS の初期設定では、SSH またはブラウザ(https://192.168.45.45)を使用してデフォルトの 192.168.45.45 IP アドレスに接続できます。

ASA の初期設定では、ASDM を使用して https://192.168.45.1/admin に接続できます。ASDM では、後で任意のインターフェイスからの SSH アクセスを設定できます。

両方のオペレーティング システムをコンソール ポートから使用できます。初期接続では FXOS CLI にアクセスします。ASA CLI には connect asa コマンドを使用してアクセスできます。

ASA データ インターフェイスから FXOS を管理できるようにすること、および SSH、HTTPS、および SNMP の各アクセスを設定することも可能です。この機能はリモート管理に役立ちます。

ライセンス要件

Firepower 2100 上の ASA はシスコ スマート ソフトウェア ライセンシングを使用します。通常のスマート ソフトウェア ライセンシング(インターネット アクセスが必要)を使用できます。または、オフライン管理の場合、永続ライセンス予約またはサテライト サーバを設定できます。これらのオフライン ライセンス方式の詳細については、「Cisco ASA Series Feature Licenses」を参照してください。このガイドは通常のスマート ソフトウェア ライセンシングに適用されます。

License Authority に登録するまでは、特殊なライセンスを必要とする機能の設定変更を行うことはできませんが、操作はその他の点では影響を受けません。ライセンス付与される機能は次のとおりです。

  • セキュリティ コンテキスト(3 以上)

  • 強力な暗号化(3DES/AES)(通過トラフィック用)

標準ライセンスも必要ですが、デバイスの基本機能は評価モードで実行できます。

ASA には、管理アクセスのみを対象にしてデフォルトで 3DES 機能が含まれています。したがって、License Authority に接続し、すぐに ASDM を使用することもできます。ASDM アクセスの場合、インターフェイスが管理専用に設定されているか、または強力な暗号化(3DES/AES)の完全ライセンスが有効になっている必要があることに注意してください。デフォルトの設定には、管理専用に設定されている管理 1/1 インターフェイスが含まれています。スマート ソフトウェア ライセンシング アカウントから ASA の登録トークンを要求する場合、[Allow export-controlled functionality on the products registered with this token] チェックボックスをオンにして、強力な暗号化の完全ライセンスが適用されるようにします(ご使用のアカウントでその使用が許可されている必要があります)。ライセンスの詳細については、ASDM の起動とライセンスの設定を参照してください。


(注)  

Firepower 4100/9300 シャーシの場合とは異なり、すべてのライセンス設定を FXOS 設定ではなく ASA で実行します。

サポートされない機能

次の機能は、Firepower 2100 ではサポートされていません。

  • Integrated Routing and Bridging(IRB)

  • クラスタ

  • KCD を使用したクライアントレス SSL VPN

  • ASA REST API

  • ASA FirePOWER モジュール

  • Botnet Traffic Filter

  • 次のインスペクション:

    • SCTP インスペクション マップ(ACL を使用した SCTP ステートフル インスペクションはサポートされます)

    • Diameter

    • GTP/GPRS

ネットワーク内の Firepower 2100

次の図は、Firepower 2100 上の ASA のデフォルトのネットワーク配置を示しています。

図 1. ネットワーク内の Firepower 2100 上の ASA

このガイドで説明されている初期セットアップを完了すると、デフォルトの設定では上記ネットワーク配置で次の動作が有効になります。

  • NAT を含む、内部 --> 外部のトラフィック フロー

  • DHCP からの外部 IP アドレス

  • FXOS および ASA の管理用の管理 1/1。DHCP IP アドレスは、このネットワーク上の管理コンピュータに対して FXOS によって提供されます。

インターフェイスの接続

管理 1/1 インターフェイスで Firepower 2100 を管理します。FXOS と ASA に同じ管理コンピュータを使用できます。FXOS IP アドレスで Firepower Chassis Manager に接続し、シャーシ設定を実行します。次に、ASDM を使用して ASA IP アドレスに接続し、ASA 設定を完了します。

デフォルトの設定でも、Ethernet1/1 を外部、Ethernet1/2 を内部として設定されています。

図 2. Firepower 2100 インターフェイスにケーブルを接続する

手順
    ステップ 1   管理 1/1 へのイーサネットを使用して管理コンピュータに接続します(ラベルは MGMT)。
    ステップ 2   (任意)  管理コンピュータをコンソール ポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアル ケーブルが付属しているため、接続するためにはサード パーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティング システムに必要な USB シリアル ドライバを必ずインストールしてください。
    ステップ 3   外部ネットワークを Ethernet1/1 ポートに接続します(ラベルは WAN)。スマート ソフトウェア ライセンシングの場合、ASA は License Authority にアクセスできるようにするためにインターネット アクセスを必要とします。
    ステップ 4   内部ネットワークを Ethernet1/2、および必要に応じてその他のデータ インターフェイスに接続します。

    Firepower 2100 の電源投入

    システムの電源は、シャーシの背面にあるロッカー電源スイッチによって制御されます。電源スイッチは、ソフト通知スイッチとして実装されています。これにより、システムのグレースフル シャットダウンがサポートされ、システム ソフトウェアおよびデータの破損のリスクが軽減されます。

    手順
      ステップ 1   電源コードを Firepower 2100 に接続し、電源コンセントに接続します。
      ステップ 2   シャーシ背面の電源スイッチを押して 1 の位置にします。

      シャーシの電源をオフにするには、シャーシ背面の電源スイッチを押して 0 の位置にします。スイッチを ON から OFF に切り替えると、システムの電源が最終的に切れるまで数秒かかることがあります。この間は、シャーシの前面パネルの PWR LED が緑に点滅します。PWR LED が完全にオフになるまで電源を抜かないでください。

      ステップ 3   シャーシの前面にある PWR LED を確認します。緑色に点灯している場合は、シャーシの電源が入っています。
      ステップ 4   シャーシの前面にある SYS LED を確認します。緑色に点灯している場合は、電源投入時診断に合格しています。

      (任意)Firepower Chassis Manager で追加のインターフェイスを有効にする

      デフォルトでは、管理 1/1、イーサネット 1/1、およびイーサネット 1/2 の各インターフェイスは、シャーシでは物理的に有効、ASA 設定では論理的に有効になっています。追加のインターフェイスを使用するには、次の手順を使用してそのインターフェイスをシャーシで有効にし、その後 ASA 設定で有効にする必要があります。EtherChannel(ポートチャネルとも呼ばれる)を追加することもできます。

      はじめる前に

      • Firepower 2100 は、アクティブ Link Aggregation Control Protocol(LACP)モードでのみ EtherChannel をサポートします。最適な互換性を得るために、接続スイッチ ポートをアクティブ モードに設定することを推奨します。

      • 管理 IP アドレスをデフォルトから変更するには、FXOS 管理 IP アドレスまたはゲートウェイの変更を参照してください。

      手順
        ステップ 1   管理 1/1 インターフェイスに接続している管理コンピュータで、次の URL にアクセスして Firepower Chassis Manager を起動します:https://192.168.45.45
        ステップ 2   デフォルトのユーザ名:admin、およびパスワード:Admin123 を入力します。

        [System] > [User Management] > [Local Users] ページですぐにパスワードを変更することをお勧めします。

        管理 IP アドレスを変更するには、FXOS 管理 IP アドレスまたはゲートウェイの変更を参照してください。

        ステップ 3   Firepower Chassis Manager で、[Interfaces] タブをクリックします。
        ステップ 4   インターフェイスを有効または無効にするには、[Admin State] スライダをクリックします。チェックマークは有効であることを示し、X は無効であることを示します。
        (注)     

        管理 1/1 インターフェイスは、このテーブルで [MGMT] として表示されます。

        ステップ 5   (任意)  EtherChannel を追加します。
        (注)     

        EtherChannel メンバー ポートは ASA に表示されますが、EtherChannel およびポート メンバーシップは FXOS でのみ設定できます。

        1. インターフェイス テーブルの上の [Add Port Channel] をクリックします。
        2. [Port Channel ID] フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。
        3. ポート チャネルを有効にするには、[Enable] チェックボックスをオンにします。

          [Type] ドロップダウン リストは無視します。使用可能なタイプは [Data] のみです。

        4. [Admin Speed] ドロップダウン リストで、すべてのメンバー インターフェイスの速度を選択します。

          その速度(および選択したその他の設定)に対応していないインターフェイスを選択すると、可能な範囲で最速の速度が自動的に適用されます。

        5. すべてのメンバー インターフェイスについて、[Auto Negotiation] で [Yes] または [No] のオプション ボタンをクリックします。
        6. [Admin Duplex] ドロップダウン リストで、すべてのメンバー インターフェイスのデュプレックスを選択します。
        7. [Available Interface] リストで、追加するインターフェイスを選択し、[Add Interface] をクリックします。

          同じタイプと速度の最大 16 のインターフェイスを追加できます。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

          ヒント   

          複数のインターフェイスを一度に追加できます。複数の個別インターフェイスを選択するには、Ctrlキーを押しながら目的のインターフェイスをクリックします。一連のインターフェイスを選択するには、その範囲の最初のインターフェイスを選択し、Shiftキーを押しながら最後のインターフェイスをクリックして選択します。

        8. [OK] をクリックします。

        ASDM の起動とライセンスの設定

        ASDM を起動し、ご使用のデバイスをスマート ソフトウェア ライセンス サーバに登録します。

        はじめる前に

        • ASDM を実行するための要件については、Cisco.com の『ASDM リリース ノート』を参照してください。

        • この手順では、イーサネット 1/1 外部インターフェイスをインターネットに接続し、デフォルト設定を使用していることを想定しています。ネットワーク内の Firepower 2100を参照してください。

        • Cisco Smart Software Manager にマスター アカウントを持ちます。

          まだアカウントをお持ちでない場合は、リンクをクリックして新しいアカウントを設定してください。Smart Software Manager では、組織のマスター アカウントを作成できます。

        • (輸出コンプライアンス フラグを使用して有効化される)機能を使用するには、ご使用のシスコ スマート ソフトウェア ライセンシング アカウントで強力な暗号化(3DES/AES)ライセンスを使用できる必要があります。

        • ご使用のアカウントに、必要なライセンスが含まれている(少なくとも標準ライセンスが含まれている)ことを確認してください。ライセンスは、シスコまたは販売代理店からデバイスを購入した際に、スマート ソフトウェア ライセンシング アカウントにリンクされています。ただし、主導でライセンスを追加する必要がある場合は、Cisco Commerce Workspace で [Find Products and Solutions] 検索フィールドを使用します。次のライセンス PID を検索します。

          図 3. ライセンス検索

          • 標準ライセンス:L-FPR2100-ASA=。標準ライセンスは無料ですが、スマート ソフトウェア ライセンシング アカウントに追加する必要があります。

          • 5 コンテキスト ライセンス:L-FPR2K-ASASC-5=。コンテキスト ライセンスは追加的であり、ニーズに合わせて複数のライセンスを購入します。

          • 10 コンテキスト ライセンス:L-FPR2K-ASASC-10=。コンテキスト ライセンスは追加的であり、ニーズに合わせて複数のライセンスを購入します。

          • 強力な暗号化(3DES/AES)ライセンス:L-FPR2K-ENC-K9=。このライセンスは無料です。このライセンスが必要になるのは、古いサテライト サーバ バージョン(2.3.0 より前)を使用する ASA に限られますが、追跡目的でこのライセンスをアカウントに追加することをお勧めします。


          (注)  

          フェールオーバー ペアの場合、標準ライセンス(および同じ暗号化)を両方のユニットに適用する必要があります。コンテキスト ライセンスの場合、プライマリ ユニットへの適用のみが必要です。

        手順
          ステップ 1   Smart Software Manager(Cisco Smart Software Manager)で、このデバイスを追加するバーチャル アカウントの登録トークンを要求してコピーします。
          1. [Inventory] をクリックします。
            図 4. インベントリ

          2. [General] タブで、[New Token] をクリックします。
            図 5. 新しいトークン

          3. [Create Registration Token] ダイアログボックスで、以下の設定値を入力してから [Create Token] をクリックします。

            • 説明

            • Expire After:推奨値は 30 日です。

            • Allow export-controlled functionaility on the products registered with this token:輸出コンプライアンス フラグを有効にします。

            図 6. 登録トークンの作成

            トークンはインベントリに追加されます。

          4. トークンの右側にある矢印アイコンをクリックして [Token] ダイアログボックスを開き、トークン ID をクリップボードにコピーできるようにします。ASA の登録が必要なときに後の手順で使用するために、このトークンを準備しておきます。
            図 7. トークンの表示

            図 8. トークンのコピー

          ステップ 2   管理 1/1 に接続している管理コンピュータで Web ブラウザを起動し、次の URL にアクセスします:https://192.168.45.1/admin。[Cisco ASDM] Web ページが表示されます。
          ステップ 3   使用可能なオプション [Install ASDM Launcher] または [Run ASDM] のいずれかをクリックします。
          ステップ 4   画面の指示に従ってオプションを選択し、ASDM を起動します。[Cisco ASDM-IDM Launcher] が表示されます。
          ステップ 5   ユーザ名とパスワードのフィールドを空のまま残し、[OK] をクリックします。メイン ASDM ウィンドウが表示されます。
          ステップ 6   [Configuration] > [Device Management] > [Licensing] > [Smart Licensing] の順に選択します。
          ステップ 7   [Enable Smart license configuration] をオンにします。
          ステップ 8   [Feature Tier] ドロップダウン メニューから [Standard] を選択します。

          使用できるのは標準層だけです。

          ステップ 9   (任意)  [Context] ライセンスの場合、コンテキストの数を入力します。

          コンテキストの最大数は、モデルによって異なります。2 コンテキストはライセンスなしで使用できます。

          • Firepower 2110:25 コンテキスト

          • Firepower 2120:25 コンテキスト

          • Firepower 2130:30 コンテキスト

          • Firepower 2140:40 コンテキスト

          ステップ 10   [Apply] をクリックします。
          ステップ 11   [Register] をクリックします。
          ステップ 12   [ID Token] フィールドに登録トークンを入力します。
          ステップ 13   [Register] をクリックします。

          ASA は、事前設定された外部インターフェイスを使用して License Authority に登録し、設定済みライセンス エンタイトルメントの認証を要求します。License Authority は、ご使用のアカウントが許可すれば強力な暗号化(3DES/AES)ライセンスも適用します。ライセンス ステータスを確認する場合は、[Monitoring] > [Properties] > [Smart License] の順に選択します。

          ASA の設定

          ASDM を使用する際、基本機能および拡張機能の設定にウィザードを使用できます。ウィザードに含まれていない機能を手動で設定することもできます。

          手順
            ステップ 1   [Wizards] > [Startup Wizard] の順に選択し、[Modify existing configuration] オプション ボタンをクリックします。
            ステップ 2   [Startup Wizard] では、手順を追って以下を設定できます。
            ステップ 3   (任意)  [Wizards] メニューから、その他のウィザードを実行します。
            ステップ 4   ASA の設定を続行するには、「Navigating the Cisco ASA Series Documentation」でソフトウェア バージョンに応じたマニュアルを参照してください。

            ASA および FXOS の CLI アクセス

            このセクションでは、FXOS および ASA のコンソールへの接続方法、ASA データ インターフェイスでの FXOS SSH、HTTPS、および SNMP アクセスの設定方法、および SSH を使用して FXOS に接続する方法を説明します。

            ASA または FXOS のコンソールへの接続

            Firepower 2100 コンソール ポートで FXOS CLI に接続します。次に、FXOS CLI から ASA コンソールに接続し、再度戻ることができます。

            はじめる前に

            一度に使用できるコンソール接続は 1 つだけです。FXOS コンソールから ASA のコンソールに接続する場合、Telnet または SSH 接続の場合とは異なり、この接続は永続的接続です。

            手順
              ステップ 1   管理コンピュータをコンソール ポートに接続します。Firepower 2100 には DB-9 to RJ-45 シリアル ケーブルが付属しているため、接続するためにはサード パーティ製のシリアル to USB ケーブルが必要です。ご使用のオペレーティング システムに必要な USB シリアル ドライバを必ずインストールしてください。次のシリアル設定を使用します。

              • 9600 ボー

              • 8 データ ビット

              • パリティなし

              • 1 ストップ ビット

              FXOS CLI に接続します。

              ステップ 2   ASA に接続します。

              connect asa



              例: 
              firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>
              ステップ 3   FXOS コンソールに戻るには、Ctrl+ad と入力します。

              データ インターフェイスでの FXOS の管理アクセスの設定

              データ インターフェイスから Firepower 2100 の FXOS を管理する場合、SSH、HTTPS、および SNMP アクセスを設定できます。この機能は、デバイスをリモート管理する場合、および管理 1/1 を隔離されたネットワークに維持する場合に役立ちます。継続してローカル アクセスで管理 1/1 を使用できます。1 つのゲートウェイしか指定できないため、ASA データ インターフェイスへのトラフィック転送用に同時に FXOS の管理 1/1 からのリモート アクセスを許可することはできません。デフォルトでは、FXOS 管理ゲートウェイは ASA への内部パスです。

              ASA は、FXOS アクセスに非標準ポートを使用します。標準ポートは同じインタ フェースで ASA が使用するため予約されています。ASA が FXOS にトラフィックを転送するときに、非標準の宛先ポートはプロトコルごとに FXOS ポートに変換されます(FXOS の HTTPS ポートは変更しません)。パケット宛先 IP アドレス(ASA インターフェイス IP アドレス)も、FXOS で使用する内部アドレスに変換されます。送信元アドレスは変更されません。トラフィックを返す場合、ASA は自身のデータ ルーティング テーブルを使用して正しい出力インターフェイスを決定します。管理アプリケーションの ASA データ IP アドレスにアクセスする場合、FXOS ユーザ名を使用してログインする必要があります。ASA ユーザ名は ASA 管理アクセスのみに適用されます。

              ASA データ インターフェイスで FXOS 管理トラフィック開始を有効にすることもできます。これは、たとえば、SNMP トラップ、NTP と DNS のサーバ アクセスなどに必要です。デフォルトでは、FXOS 管理トラフィック開始は、DNS および NTP のサーバ通信(スマート ソフトウェア ライセンシング通信で必要)用の ASA 外部インターフェイスで有効になっています。

              はじめる前に

              • シングル コンテキスト モードのみ。

              • ASA 管理専用インターフェイスは除外します。

              • ASA データ インターフェイスに VPN トンネルを使用して、FXOS に直接アクセスすることはできません。SSH の回避策として、ASA に VPN 接続し、ASA CLI にアクセスし、connect fxos コマンドを使用して FXOS CLI にアクセスします。SSH、HTTPS、および SNMPv3 は暗号化できるため、データ インターフェイスへの直接接続は安全です。

              手順
                ステップ 1   ASDM で、[Configuration] > [Firewall] > [Advanced] > [FXOS Remote Management] を選択します。
                ステップ 2   FXOS リモート管理を有効にします。
                1. ナビゲーション ウィンドウで、[HTTPS]、[SNMP]、または [SSH] を選択します。
                2. [Add] をクリックし、管理を許可する [Interface] を設定し、接続を許可する [IP Address] を設定し、[OK] をクリックします。

                  プロトコル タイプごとに複数のエントリを作成できます。以下のデフォルト値を使用しない場合は、[Port] を設定します。

                  • HTTPS デフォルト ポート:3443

                  • SNMP デフォルト ポート:3061

                  • SSH デフォルト ポート:3022

                ステップ 3   FXOS が ASA インターフェイスから管理接続を開始できるようにします。
                1. ナビゲーション ウィンドウで [FXOS Traffic Initiation] を選択します。
                2. [Add] をクリックし、FXOS 管理トラフィックを送信する必要がある ASA インターフェイスを有効にします。デフォルトでは、外部インターフェイスは有効になっています。
                ステップ 4   [Apply] をクリックします。
                ステップ 5   Firepower Chassis Manager に接続します(デフォルトでは、https://192.168.45.45、ユーザ名:admin、パスワード:Admin123)。
                ステップ 6   [Platform Settings] タブをクリックし、[SSH]、[HTTPS]、または [SNMP] を有効にします。

                SSH と HTTPS はデフォルトで有効になっています。

                ステップ 7   [Platform Settings] タブで、管理アクセスを許可するように [Access List] を設定します。デフォルトでは、SSH および HTTPS は管理 1/1 192.168.45.0 ネットワークのみを許可します。ASA の [FXOS Remote Management] 設定で指定したアドレスを許可する必要があります。

                SSH を使用した FXOS への接続

                デフォルトの IP アドレス 192.168.45.45 を使用して管理 1/1 の FXOS に接続できます。リモート管理を設定する場合(データ インターフェイスでの FXOS の管理アクセスの設定)、非標準ポート(デフォルトでは 3022)でデータ インターフェイス IP アドレスに接続することもできます。

                SSH を使用して ASA に接続するには、まず、ASA の一般的な操作の設定ガイドに従って SSH アクセスを設定する必要があります。

                ASA CLI から FXOS、およびその逆方向に接続することができます。

                FXOS は最大 8 個の SSH 接続を許可します。

                はじめる前に

                管理 IP アドレスを変更するには、FXOS 管理 IP アドレスまたはゲートウェイの変更を参照してください。

                手順
                  ステップ 1   管理 1/1 に接続している管理コンピュータで、管理 IP アドレスに SSH 接続します(デフォルトでは、https://192.168.45.45、ユーザ名:admin、パスワード:Admin123)。

                  任意のユーザ名でログインできます(ユーザの追加を参照)。リモート管理を設定する場合、ASA データ インターフェイス IP にポート 3022(デフォルトのポート)で SSH 接続します。

                  ステップ 2   ASA CLI に接続します。

                  connect asa

                  FXOS CLI に戻るには、Ctrl+ad と入力します。



                  例: 
                  firepower-2100# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>
                  ステップ 3   ASA に SSH 接続する場合(ASA で SSH アクセスを設定した後)、FXOS CLI に接続します。

                  connect fxos

                  FXOS への認証を求められます。デフォルトのユーザ名:admin およびパスワード:Admin123 を使用します。ASA CLI に戻るには、exit と入力するか、または Ctrl-Shift-6x と入力します。



                  例: 
                  ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

kp2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

kp2110# 
kp2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#

                  FXOS 管理 IP アドレスまたはゲートウェイの変更

                  FXOS CLI から Firepower 2100 シャーシの管理 IP アドレスを変更できます。デフォルトのアドレスは 192.168.45.45 です。デフォルト ゲートウェイを変更することもできます。デフォルト ゲートウェイは 0.0.0.0 に設定されており、トラフィックを ASA に送信します。代わりに管理 1/1 ネットワークでルータを使用する場合、ゲートウェイ IP アドレスを変更します。管理接続のアクセス リストを新しいネットワークに一致するように変更する必要もあります。

                  通常、FXOS 管理 1/1 IP アドレスは ASA 管理 1/1 IP アドレスと同じネットワーク上にあります。ASA の ASA IP アドレスも必ず変更してください。

                  はじめる前に

                  • 管理 IP アドレスを変更した後で、新しいアドレスを使用して Firepower Chassis Manager および SSH 接続を再確立する必要があります。

                  • DHCP サーバはデフォルトでは管理 1/1 で有効になっているため、管理 IP アドレスを変更する前に DHCP を無効にする必要があります。

                  手順
                    ステップ 1   コンソール ポートに接続します(ASA および FXOS の CLI アクセスを参照)。接続が失われないようにするために、コンソールに接続することをお勧めします。
                    ステップ 2   DHCP サーバを無効にします。

                    scope system

                    scope services

                    disable dhcp-server

                    commit-buffer

                    管理 IP アドレスを変更した後で、新しいクライアント IP アドレスを使用して DHCP を再び有効にすることができます。Firepower Chassis Manager で DHCP サーバを有効および無効にすることもできます([Platform Settings] > [DHCP])。



                    例: 
                    firepower-2100# scope system
firepower-2100 /system # scope services
firepower-2100 /system/services # disable dhcp-server
firepower-2100 /system/services* # commit-buffer
                    ステップ 3   IPv4 管理 IP アドレス、および必要に応じてゲートウェイを設定します。
                    1. fabric-interconnect a のスコープを設定します。

                      scopefabric-interconnecta



                      例: 
                      firepower-2100# scope fabric-interconnect a
firepower-2100 /fabric-interconnect #
                    2. 現在の管理 IP アドレスを表示します。

                      show



                      例: 
                      firepower-2100 /fabric-interconnect # show

Fabric Interconnect:
    ID   OOB IP Addr     OOB Gateway     OOB Netmask     OOB IPv6 Address OOB IPv6 Gateway Prefix Operability
    ---- --------------- --------------- --------------- ---------------- ---------------- ------ -----------
    A    192.168.45.45    0.0.0.0        0.0.0.0          ::               ::               64     Operable
                    3. 新しい管理 IP アドレス、および必要に応じて新しいデフォルト ゲートウェイを設定します。

                      setout-of-band staticip ip_addressnetmask network_maskgw gateway_ip_address

                      現在設定されているゲートウェイを維持するには、gw キーワードを省略します。同様に既存の管理 IP アドレスを維持したままゲートウェイを変更するには、ip キーワードと netmask キーワードを省略します。



                      例: 
                      firepower-2100 /fabric-interconnect # set out-of-band static ip 192.168.4.1 netmask 255.255.255.0 
Warning: When committed, this change may disconnect the current CLI session
firepower-2100 /fabric-interconnect* #
                    ステップ 4   IPv6 管理 IP アドレスとゲートウェイを設定します。
                    1. fabric-interconnect a のスコープ、次に IPv6 設定のスコープを設定します。

                      scopefabric-interconnecta

                      scopeipv6-config



                      例: 
                      firepower-2100# scope fabric-interconnect a
firepower-2100 /fabric-interconnect # scope ipv6-config
firepower-2100 /fabric-interconnect/ipv6-config #
                    2. 現在の管理 IPv6 アドレスを表示します。

                      show ipv6-if



                      例: 
                      firepower-2100 /fabric-interconnect/ipv6-config # show ipv6-if

Management IPv6 Interface:
    IPv6 Address                        Prefix     IPv6 Gateway
    ----------------------------------- ---------- ------------
    ::                                  ::         ::
                    3. 新しい管理 IPv6 アドレスとゲートウェイを設定します。

                      Firepower-chassis /fabric-interconnect/ipv6-config # setout-of-band staticipv6 ipv6_addressipv6-prefix prefix_lengthipv6-gw gateway_address

                      現在設定されているゲートウェイを維持するには、ipv6-gw キーワードを省略します。同様に既存の管理 IP アドレスを維持したままゲートウェイを変更するには、ipv6 キーワードと ipv6-prefix キーワードを省略します。



                      例: 
                      firepower-2100 /fabric-interconnect/ipv6-config # set out-of-band static ipv6 2001:DB8::34 ipv6-prefix 64 ipv6-gw 2001:DB8::1
firepower-2100 /fabric-interconnect/ipv6-config* #
                    ステップ 5   HTTPS、SSH、および SNMP のアクセス リストを設定して、新しいネットワークからの管理接続を可能にします。

                    scope system

                    scope services

                    IPv4 の場合

                    enterip-block ip_address prefix [http | snmp | ssh]

                    IPv6 の場合

                    enteripv6-block ipv6_address prefix [https | snmp | ssh]

                    IPv4 の場合、すべてのネットワークを許可するには 0.0.0.0 とプレフィックス 0 を入力します。IPv6 の場合、すべてのネットワークを許可するには :: とプレフィックス 0 を入力します。Firepower Chassis Manager でアクセス リストを追加することもできます([Platform Settings] > [Access List])。



                    例: 
                    firepower-2100# scope system
firepower-2100 /system # scope services
firepower-2100 /system/services # enter ip-block 192.168.4.0 24 https
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* # enter ip-block 192.168.4.0 24 ssh
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* # enter ip-block 192.168.4.0 24 snmp
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* # enter ipv6-block 2001:DB8:: 64 https
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* # enter ipv6-block 2001:DB8:: 64 ssh
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* # enter ipv6-block 2001:DB8:: 64 snmp
firepower-2100 /system/services/ip-block* # exit
firepower-2100 /system/services* #
                    ステップ 6   (任意)  IPv4 DHCP サーバを再び有効にします。

                    scope system

                    scope services

                    enable dhcp-server start_ip_address end_ip_address

                    Firepower Chassis Manager で DHCP サーバを有効および無効にすることもできます([Platform Settings] > [DHCP])。



                    例: 
                    firepower-2100# scope system
firepower-2100 /system # scope services
firepower-2100 /system/services # enable dhcp-server 192.168.4.10 192.168.4.20
                    ステップ 7   設定を保存します。

                    commit-buffer



                    例: 
                    firepower-2100 /system/services* # commit-buffer

                    次の例では、IPv4 管理インターフェイスとゲートウェイを設定します。

                    firepower-2100# scope fabric-interconnect a
firepower-2100 /fabric-interconnect # show

Fabric Interconnect:
    ID   OOB IP Addr     OOB Gateway     OOB Netmask     OOB IPv6 Address OOB IPv6 Gateway Prefix Operability
    ---- --------------- --------------- --------------- ---------------- ---------------- ------ -----------
    A    192.168.2.112    192.168.2.1     255.255.255.0   2001:DB8::2     2001:DB8::1       64     Operable
firepower-2100 /fabric-interconnect # set out-of-band static ip 192.168.2.111 netmask 255.255.255.0 gw 192.168.2.1
Warning: When committed, this change may disconnect the current CLI session
firepower-2100 /fabric-interconnect* # commit-buffer
firepower-2100 /fabric-interconnect #

                    次の例では、IPv6 管理インターフェイスとゲートウェイを設定します。 

                    firepower-2100# scope fabric-interconnect a
firepower-2100 /fabric-interconnect # scope ipv6-config
firepower-2100 /fabric-interconnect/ipv6-config # show ipv6-if

Management IPv6 Interface:
    IPv6 Address                        Prefix     IPv6 Gateway
    ----------------------------------- ---------- ------------
    2001:DB8::2                          64         2001:DB8::1
firepower-2100 /fabric-interconnect/ipv6-config # set out-of-band static ipv6 2001:DB8::2 ipv6-prefix 64 ipv6-gw 2001:DB8::1
firepower-2100 /fabric-interconnect/ipv6-config* # commit-buffer
firepower-2100 /fabric-interconnect/ipv6-config #

                    次のステップ

                    このドキュメントは役に立ちましたか?

                    Feedbackフィードバック

                    シスコに問い合わせ