この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco ASA 5512-X、5515-X、5525-X、5545-X および 5555-X モデルについて説明します。ここに含まれているいずれかの手順を開始する前に、このマニュアル全体をお読みになることをお勧めします。
警告 この装置の設置、交換、保守は、訓練を受けた相応の資格のある人が行ってください。ステートメント 49
Cisco ASA 5500-X シリーズは、ASA の他の製品と同じセキュリティ プラットフォームを基盤として構築された、次世代のミッドレンジ ASA のファミリです。これらの次世代の ASA は、より高いファイアウォールのスループット(4X ファイアウォール スループット)、優れたスケーリング、多数のイーサネット ポート(最大 14 ギガビットのイーサネット ポート)、オプションの ASA CX SSP、ASA IPS SSP、または FirePOWER SSP モジュール、および 5545-X および 5555-X における冗長電源を実現します。
• ASA 5500-X のパフォーマンスについては、「ハードウェア仕様」を参照してください。
• Cisco ASA 5500 シリーズに関する文書セットの完全なリストについては、次の URL を参照してください。
http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html
• Cisco ASA 5500-X シリーズの設置とアップグレードのガイドの完全なリスト(各種セキュリティ サービス プロセッサのクイック スタート ガイドのリストを含む)については、次の URL を参照してください。
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-guides-list.html
Cisco ASA 5500-X シリーズのシャーシには、内部および外部(オプション)USB ドライブがあります。
組み込み USB(eUSB)デバイスは、内部フラッシュ( disk0 )として使用されます。各モデルに付属しているサイズについては、「ハードウェア仕様」を参照してください。
ASA 5500-X シリーズは、データ保存用の外部 USB フラッシュ ドライブをサポートします。ASA 5500-X シリーズでは、外部 USB フラッシュ ドライブ識別子として disk1 が使用されます。ASA の電源を入れると、挿入された USB フラッシュ ドライブは disk1 にマウントされ、使用可能になります。さらに、disk 0 に使用できるファイル システム コマンドは disk1 でも使用可能です。これらのコマンドには、 copy 、 format 、 delete 、 mkdir 、 pwd 、 cd 、などがあります。USB フラッシュ ドライブを取り外すと、システムは disk1 をアンマウントし、disk1 はアクセスできない無効なファイル システムのラベルになります。
ASA の背面パネルには 2 つの USB スロットがありますが、活性挿抜(OIR)がサポートされているのは 1 つのみで、最初に挿入された USB ドライブが優先となります。たとえば、時系列において最初に挿入された USB フラッシュ ドライブが、挿入されたスロットにかかわらず disk1 にマウントされます。2 番目の USB デバイスを挿入すると、追加のサポートされていない USB フラッシュ ドライブが存在するというエラー メッセージがコンソールに表示されます。いずれか 1 つの USB デバイスを取りはずしても、確立済みの優先順位は変更されません。優先順位を変更するには、USB デバイスを安全に取りはずして、希望する優先順位の確立を再び開始します。
ASA 5500-X シリーズは eUSB および外部 USB ドライブに対して FAT-32 形式のファイル システムのみをサポートします。FAT-32 形式ではない外部 USB ドライブを挿入すると、システムのマウント プロセスが失敗し、エラー メッセージが表示されます。 format disk1: コマンドを入力して、該当のパーティションを FAT 32 にフォーマットして、再度 disk1 にマウントすることができます。ただし、データが失われる可能性があります。
ASA でフラッシュ メモリの空き領域を調べるには、次の2 つの方法があります。
• ASDM:[Tools] > [File Management] を選択します。使用可能なメモリ容量がペインの左下に表示されます。
ASA CX または FirePOWER SSP とともに使用するために、Cisco Solid State Drive(SSD)を取り付ける必要があります。サポートされるのはシスコの SSD のみです。ASA 5512-X、ASA 5515-X および ASA 5525-X には 1 つの SSD を取り付けることができます。ASA 5545-X および ASA 5555-X の RAID 1 構成では、2 つの SSD を取り付けることができます。
(注) SSD を初めて取り付ける場合は、ASA をリロードして、インストールされた SSP を再イメージ化する必要があります。
SSD はホットスワップ可能です。SSD は、ドライブ ベイ内に設置したキャリアの中に存在します。AC または DC 電源を備えた SSD を使用できます。詳細については、「SSP のソリッド ステート ドライブの取り付けおよび取り外し」を参照してください。
管理 0/0 インターフェイスを使用して、ASA を管理します。管理 0/0 インターフェイスには次の特性があります。
• FirePOWER、IPS、または CX SSP ソフトウェア モジュールと ASA は管理 0/0 インターフェイスを共有しますが、それぞれ独自の個別の MAC アドレスと IP アドレスを保有します。モジュールのオペレーティング システム内にモジュールの IP アドレスを設定する必要があります。また、ASA の物理的特性(インターフェイスのイネーブル化など)を設定します。
管理 0/0 インターフェイスは管理専用トラフィックに対して設定され、管理インターフェイスに対して管理専用をディセーブルにはできません。また、ASA 5500-X モデルでは、管理インターフェイスのサブインターフェイスは許可されないため、コンテキストごとの管理については、管理用のデータ インターフェイスに接続する必要があります。
Management 0/0 インターフェイスは、デフォルトの出荷時のコンフィギュレーションの一部として、ASDM アクセス用に設定されています。
詳細については、「背面パネル ポート」を参照してください。
ASA 5500-X シリーズのシャーシは、自律した環境モニタリング、すべての外部センサーのポーリング、および動作状態のモニタリングを行います。特定の内部コンポーネントの破損発生または温度しきい値の超過が発生した場合は、システムによりクリティカル条件を通知するアラーム LED がアクティブになります。たとえば、アラーム LED は、さまざまな重大な過電圧、過熱状態の場合、または ASA で内部チップ コンポーネントが不足しているか認識されない場合に、ファームウェアによってアクティブになります。アラーム LED が点灯している場合、コンソールに表示されるシステム メッセージで詳細を確認するか、または show environment あるいは show controller pci CLI コマンドを入力することによって詳細を確認できます。
(注) 冗長電源を使用している ASA(つまり、2 つの電源が設置されている ASA)から電源モジュールの 1 つを取り外すと、アラーム LED が点灯します。ライトをオフにするには、アプライアンスをパワーサイクルする必要があります。つまり、アプライアンスの電源を完全にオフにしてから、再びオンにします。冗長電源の設定の詳細については、「電源モジュール」を参照してください。電源の取り外しの詳細については、「電源装置の取り外しと取り付け」を参照してください。
Cisco ASA 5500-X シリーズの 6 ポート GigabitEthernet インターフェイス カードは追加の GigabitEthernet ポートを提供することによって、ASA 5525-X、ASA 5545-X および ASA 5555-X モデルの I/O 機能を拡張します。
• 個別のセキュリティ ゾーンへのネットワーク トラフィックのセグメンテーション
• EtherChannel を使用したトラフィックの負荷分散およびリンク障害の防止
• 最大 9000 バイトのジャンボ イーサネット フレームのサポート
• アクティブ/アクティブ フェールオーバーの防止と、ケーブルの障害に対するフル メッシュ ファイアウォールの導入
ASA への I/O カードの取り付けの詳細については、「ASA 5500-X のメンテナンスとアップグレードの手順」を参照してください。
ASA では、ギガビット イーサネット接続の確立に、現場交換可能な Small Form-Factor Pluggable(SFP)モジュールを使用します。 表 1-1 に、サポートされる SFP モジュールを示します。
|
|
|
ASA には、シスコ認定の SFP モジュールのみを使用してください。SFP モジュールにはすべて、セキュリティ情報がエンコードされた内部シリアル EEPROM が装着されています。このエンコーディングによって、SFP モジュールが ASA の要件を満たしていることを、シスコが識別して検証できます。
すべての SFP ポートには LC タイプ コネクタ付きのケーブルが必要です。リストされているすべての SFP(SMF および MMF の両方)の最小ケーブル長は 2 m(6.5 フィート)です。安定した接続のために、ケーブルは指定されたケーブル長を超えてはいけません。 表 1-2 に光ファイバ ケーブルの要件を示します。
|
|
|
|
|
|
---|---|---|---|---|---|
--2 |
|||||
MMF3 |
|||||
2.IEEE 802.3z 標準で指定された ITU-T G.652 SMF。 3.IEEE 標準のモードコンディショニング パッチコードはスパン長にかかわらず必要です。62.5-µm ファイバ用のモードコンディショニング パッチコードの仕様は、50-µm ファイバのパッチコードの仕様とは異なることに注意してください。 |
この項では、ASA の前面および背面のパネルについて説明します。取り上げるトピックは次のとおりです。
ここでは、Cisco ASA 5500-X シリーズ シャーシの前面パネルの LED について説明します。
図 1-1 に、ASA 5512-X、ASA 5515-X、および ASA 5525-X モデルの前面パネルの LED を示します。
図 1-1 前面パネルの LED:Cisco ASA 5512-X、ASA 5515-X、および ASA 5525-X
|
|
|
|
システムをオン/オフにするソフト スイッチ。一度押すと、このボタンは「オン」の位置に留まります。 電源状態の詳細については、「電源装置に関する考慮事項」を参照してください。 |
|
|
||
|
• オレンジに点灯:次の 1 つ以上を示すクリティカル アラーム。 – ハードウェアまたはソフトウェア コンポーネントの重大な障害。 (注) 一部のデバイスでは赤のように見える場合があります。 |
|
|
||
|
||
|
||
|
||
|
図 1-2 に、ASA 5545-X および ASA 5555-X モデルの前面パネルの LED を示します。
図 1-2 前面パネルの LED:Cisco ASA 5545-X および ASA 5555-X
|
|
|
|
システムをオン/オフにするソフト スイッチ。一度押すと、このボタンは「オン」の位置に留まります。 電源状態の詳細については、「電源装置に関する考慮事項」を参照してください。 |
|
|
||
|
||
|
||
|
||
|
• オレンジに点灯:次の 1 つ以上を示すクリティカル アラーム。 – ハードウェアまたはソフトウェア コンポーネントの重大な障害。 (注) 一部のデバイスでは赤のように見える場合があります。 |
|
|
||
|
||
|
||
|
||
|
||
|
||
|
図 1-3 に ASA 5500-X シリーズ シャーシの背面パネルの LED を示します。
図 1-3 ASA 5500-X シリーズ シャーシの背面パネル LED
|
|
|
---|---|---|
|
||
|
• オレンジに点灯:次の 1 つ以上を示すクリティカル アラーム。 – ハードウェアまたはソフトウェア コンポーネントの重大な障害。 (注) 一部のデバイスでは赤のように見える場合があります。 |
|
|
||
|
||
|
||
|
||
|
図 1-4 に ASA 5512-X および ASA 5515-X モデルのポートを示します。
図 1-4 ASA 5512-X および ASA 5515-X の背面パネル ポート
|
|
|
|
管理使用に限定される、GigabitEthernet インターフェイス。RJ-45 ケーブルで接続します。 (「管理 0/0 インターフェイス」を参照)。 |
|
|
||
|
GigabitEthernet のカスタマー データ インターフェイス。 |
|
|
(「内部および外部 USB フラッシュ ドライブ」を参照)。 |
|
|
図 1-5 に ASA 5525-X のポートを示します。
|
|
|
|
管理使用に限定される、GigabitEthernet インターフェイス。RJ-45 ケーブルで接続します。 (「管理 0/0 インターフェイス」を参照)。 |
|
|
||
|
GigabitEthernet のカスタマー データ インターフェイス。 |
|
|
(「内部および外部 USB フラッシュ ドライブ」を参照)。 |
|
|
図 1-6 に、ASA 5545-X および ASA 5555-X の背面パネルのポートを示します。
図 1-6 背面パネル ポート:ASA 5545-X および ASA 5555-X
|
|
|
|
オプションの I/O カード用のスロット。光ファイバ I/O カードがある場合は、接続に SFP モジュール(付属していません)を使用します。 |
|
|
||
|
管理使用に限定される、GigabitEthernet インターフェイス。RJ-45 ケーブルで接続します。 (「管理 0/0 インターフェイス」を参照)。 |
|
|
GigabitEthernet のカスタマー データ インターフェイス。 |
|
|
||
|
(「内部および外部 USB フラッシュ ドライブ」を参照)。 |
|
|
||
|
背面パネル LED。(詳細については、 「ASA 5500-X シリーズ シャーシの背面パネル LED」 を参照してください)。 |
ASA 5512-X、ASA 5515-X、および ASA 5525-X は、1 つの固定ファンおよび 1 つの固定電源(AC または DC)が取り付けられた状態で出荷されます。ASA 5545-X および ASA 5555-X は、1 つの電源(AC または DC)が取り付けられた状態で出荷されます。追加の電源装置を追加したり、これらのアプライアンスに 2 つの電源装置を取り付けるよう注文することもできます。2 つの電源装置を設置すると、冗長電源オプションが提供されます。この設定を行うと、一方の電源装置で障害が発生した場合、障害のある電源装置を交換するまで、もう一方の電源装置が全負荷を負うことになります。エアーフローを維持するには、空のベイをふさぐか、両方のベイに電源装置を装着する必要があります。1 つのみの電源装置が設置されている場合は、スロット 0(左のスロット)にその電源装置が取り付けられており、スロット 1(右のスロット)にスロット カバーが取り付けられていることを確認します。1 つの電源装置のみを装着する場合、アプライアンスの電源が切れていない状態で電源装置を取り外さないでください。動作中の唯一の電源装置を取り外すと、ただちに電力損失が生じます。
(注) ASA 5545-X および ASA 5555-X は 2 つの AC または 2 つの DC 電源装置をサポートできます。同じシャーシで AC 電源モジュールと DC 電源モジュールを混在させないでください。
電源装置は、それぞれが 400 W の出力電力を供給し、1 + 1 の冗長構成で使用されます。電源モジュールの前面プレートに入力スイッチはありません。
Cisco ASA 5500-X ハードウェアは AC 電源で動作し、AC 電源が失われたときにシステムの前の電源状態に復元する機能をサポートしています。
電源モジュールは、システム シャーシの STANDBY/ON スイッチによって、スタンバイからオンに切り替えられます。 以前の ASA(V01)では、電源スイッチを使用して電源をオンにする必要があります。新しい ASA(V02)は、電源ケーブルを差し込むと自動的にオンになります。ご使用のバージョンを確認するには、次のいずれかを実行します。
• CLI プロンプトで show inventory コマンドを入力し、出力で V01 または V02 を探します。
• シャーシの背面で、V01 または V02 の VID PID ラベルを確認します。
• ASA に AC 電源が適用されてから、電力状態を更新し、保存するまでに 50 秒が必要です。これは、AC 電源供給後の最初の 50 秒以内に AC 電源が取り外されると、電力状態の変更が検出されないことを意味します。
• ASA がスタンバイ モードになってから、電力状態を更新し、保存するまでに 10 秒が必要です。これは、スタンバイ モードになってから最初の 10 秒以内に AC 電源が取り外されると、電力状態の変更(スタンバイ モードを含む)が検出されないことを意味します。
電源装置のスロットの番号は、シャーシ背面の各電源装置の左側にあります。シャーシの背面に向かって、電源スロット 0(PS0)が左側、電源スロット 1(PS1)が右側にあります。デフォルトでは、1 つの電源装置がスロット 0 に取り付けられます。
• AC 電源装置:2 つの DC 電圧出力(+12 V および +5 V)で 400 ワットの電力を供給します。AC 電源の動作範囲は 85 ~ 264 VAC です。AC 電源の電流は 12 V の出力を共有し、デュアル ホットプラグ可能な設定で使用されます。AC 電源は、最大で 471 W の入力電力を消費します。
• DC 電源装置:2 つの DC 電圧出力(+12 V および +5.0 V)で 400 ワットを供給します。電源の動作範囲は -40.5 ~ -72 VDC です。DC 電源の電流は 12 V の出力を共有し、デュアル ホットプラグ可能な設定で使用されます。DC 電源は、最大で 500 W の入力電力を消費します。
図 1-7 に、ASA 5545-X および ASA 5555-X の取り外し可能な AC(左側)と DC(右側)の電源装置の両方を示します。
|
|
||
|
|
表 1-3 に、電源インジケータに関する説明を示します。インジケータの機能は、AC および DC 電源装置のどちらでも同じです。
表 1-4 には、ASA 5500-X シリーズのハードウェア仕様が記載されています。
|
|
|
|
|
|
---|---|---|---|---|---|
|
|||||
|
|||||
|
|||||
|
|||||
|
|||||
ASA 5512-X および ASA 5515-X モデルのその他の仕様については、次の URL にある製品データ シートを参照してください。
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-701253.html
ASA 5525-X ASA 5545-X および ASA 5555-X モデルのその他の仕様については、次の URL にある製品データ シートを参照してください。
http://www.cisco.com/en/US/prod/collateral/vpndevc/ps6032/ps6094/ps6120/data_sheet_c78-701808.html