ダウンロード

シスコ仮想セキュリティアプライアンス
（ASAv）クイックスタートガイド
リリース日： 2014 年 4 月 24 日
Cisco Systems, Inc.
www.cisco.com
シスコは世界各国 200 箇所にオフィスを開設しています。
各オフィスの住所、電話番号、 FAX 番号は
以下のシスコ Web サイトをご覧ください。
www.cisco.com/go/offices.
Text Part Number: オンラインのみ
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、お
よび推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載され
ている製品の使用は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店に
ご連絡ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public
domain version of the UNIX operating system.All rights reserved.Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。
シスコおよびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行に
よって発生する保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめ
とする、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一
切負わないものとします。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S.and other countries.To view a list of Cisco trademarks, go to this
URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners.The use of the word partner does not imply a partnership
relationship between Cisco and any other company.(1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出
力、ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていた
としても、それは意図的なものではなく、偶然の一致によるものです。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
© 2014 Cisco Systems, Inc. All rights reserved.
CONTENTS
CHAPTER
1
Cisco ASAv 仮想アプライアンスの導入
1-1
ASAv に関する情報 1-1
VMware システム要件 1-1
ASAv の VMware 機能のサポート
1-2
ASAv の前提条件
1-3
注意事項と制約事項
1-3
ASAv のライセンス要件
1-5
ASAv の導入 1-5
vSphere Web クライアントへのアクセスとクライアント統合プラグインのインス
トール 1-6
VMware vSphere Web クライアントを使用した ASAv の導入 1-7
CHAPTER
2
Cisco ASAv 仮想アプライアンスの設定
ASDM の起動
2-1
2-1
追加管理アクセスの設定
ASAv ライセンスの適用
2-2
2-4
ASDM を使用した初期設定の実行 2-5
ASDM での Startup ウィザードの実行 2-5
VPN トンネルの設定のための Site-to-Site ウィザードの実行 2-6
インターネットからの内部サービスへのアクセスを可能にする
ASDM でのその他のウィザード 2-8
追加設定
2-7
2-8
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
iii
Contents
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
iv
CH A P T E R
1
Cisco ASAv 仮想アプライアンスの導入
•
「ASAv に関する情報」（P.1-1）
•
「ASAv の前提条件」（P.1-3）
•
「注意事項と制約事項」（P.1-3）
•
「ASAv のライセンス要件」（P.1-5）
•
「ASAv の導入」（P.1-5）
ASAv に関する情報
ASAv は、仮想化環境に包括的なファイアウォール機能を提供し、データセンタートラフィッ
クとマルチテナント環境のセキュリティを強化します。 ASAv は、 VMware vSphere 上で稼働し
ます。
Adaptive Security Device Manager （ASDM）または CLI を使用して ASAv を管理および監視でき
ます。
•
「VMware システム要件」（P.1-1）
•
「ASAv の VMware 機能のサポート」（P.1-2）
VMware システム要件
ASAv を導入する前に、 VMware vSphere 5.x から次のコンポーネントをインストールする必要
があります。
•
ESXi サーバ
•
vCenter Server
•
Windows または Linux 向け vSphere Web クライアントまたは vSphere クライアント
vSphere およびハードウェアの要件に関する詳細については、 VMware のマニュアルを参照して
ください。
http://www.vmware.com/support/pubs/
（注）
vCenter を使用せずに ESXi ホスト上に ASAv を直接インストールすることはできません。
vCloud Director を使用して ASAv を配置することはできません。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-1
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv に関する情報
ASAv の VMware 機能のサポート
表 1 に、 ASAv の VMware 機能のサポートを示します。
表1
ASAv の VMware 機能のサポート
サポート
（あり/なし）
機能
説明
コメント
コールドクローン
クローニング中に VM の電源がオフ
になります。
あり
—
DRS
動的リソースのスケジューリングお
よび分散電源管理に使用されます。
あり
—
ホット追加
追加時に VM が動作しています。
あり
—
ホットクローン
クローニング中に VM が動作してい
ます。
なし
—
ホットリムーブ
取り外し中に VM が動作しています。あり
—
Snapshot
VM が数秒間フリーズします。
あり
使用には注意が必要です。トラフィッ
クが失われる可能性があります。
フェールオーバーが発生することがあ
ります。
一時停止と再開
VM が一時停止され、その後再開し
ます。
あり
—
vCloud Director
VM の自動配置が可能になります。
なし
—
VM の移行
移行中に VM の電源がオフになり
ます。
あり
—
VMotion
VM のライブマイグレーションに使
用されます。
あり
—
VMware FT
VM の HA に使用されます。
なし
ASAv VM の障害に対して ASAv の
フェールオーバーを使用します。
VMware HA
ESX およびサーバの障害に使用され
ます。
あり
ASAv VM の障害に対して ASAv の
フェールオーバーを使用します。
VM ハートビート
の VMware HA
VM 障害に使用されます。
なし
ASAv VM の障害に対して ASAv の
フェールオーバーを使用します。
VMware vSphere ス VM を配置するために使用されます。あり
タンドアロン
Windows クライア
ント
—
VMware vSphere
Web クライアント
—
VM を配置するために使用されます。あり
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-2
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の前提条件
ASAv の前提条件
vSphere 標準スイッチのセキュリティポリシー
vSphere スイッチについては、レイヤ 2 セキュリティポリシーを編集して、 ASAv インター
フェイスによって使用されるポートグループに対しセキュリティポリシーの例外を適用でき
ます。次のデフォルト設定を参照してください。
•
無差別モード：拒否
•
MAC アドレスの変更：許可
•
不正送信：許可
次の ASAv 設定については、これらの設定の変更が必要な場合があります。
表 1-2
ポートグループのセキュリティポリシーの例外
ルーテッドファイアウォール
モード
トランスペアレントファイア
ウォールモード
セキュリティの例外
フェールオー
バーなし
フェールオー
バー
フェールオー
バーなし
フェールオー
バー
無差別モード
< 任意 >
< 任意 >
許可
許可
MAC アドレスの変更
< 任意 >
許可
< 任意 >
許可
不正送信
< 任意 >
許可
許可
許可
詳細については、 vSphere のマニュアルを参照してください。
注意事項と制約事項
コンテキストモードのガイドライン
シングルコンテキストモードでだけサポートされます。マルチコンテキストモードをサポー
トしません。
ファイアウォールモードのガイドライン
ルーテッドファイアウォールモードとトランスペアレントファイアウォールモードでサポー
トされています。
フェールオーバーのガイドライン
フェールオーバー配置では、スタンバイ装置に割り当てられる vCPU の数がプライマリ装置に
割り当てられる数と同じであることを確認してください（vCPU のライセンス数とも一致する
こと）。
IPv6 のガイドライン
•
IPv6 をサポートします。
•
VMware vSphere Web クライアントを使用して ASAv OVA ファイルを最初に配置する際は、
管理インターフェイスに IPv6 アドレスを指定できません。 ASDM または CLI を使用して、
IPv6 アドレッシングを後で追加できます。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-3
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
注意事項と制約事項
サポートしない ASA 機能
ASAv は、次の ASA 機能をサポートしません。
•
クラスタ
•
マルチコンテキストモード
•
アクティブ / アクティブフェールオーバー
•
EtherChannel
•
AnyConnect Premium （共有）ライセンス
その他のガイドラインと制限事項
•
ASAv OVA の導入は、ローカリゼーション（非英語モードでのコンポーネントのインス
トール）をサポートしません。ご自身の環境の VMware vCenter と LDAP サーバが ASCII 互
換モードでインストールされていることを確認してください。
•
ASAv をインストールして VM コンソールを使用する前に、キーボードを [United States
English] に設定する必要があります。
•
ASAv に割り当てられたメモリのサイズは、導入時に選択した vCPU 数に合わせたもので
す。異なる vCPU 数のライセンスを要求する場合を除き、 [Edit Settings] ダイアログボック
スでメモリ設定を変更しないでください。アンダープロビジョニングの場合、パフォーマ
ンスに影響する場合があり、オーバープロビジョニングの場合、 ASAv によりリロードが
行われることが警告されます。待機期間（100 ～ 125% のオーバープロビジョニングの場合
は 24 時間、 125% 以上の場合は 1 時間）の後、 ASAv はリロードします。注：メモリを変
更する必要がある場合は、 ASAv ライセンスのセクションで記載されている値のみを使用
してください。 VMware が推奨するメモリ構成の最小値、デフォルト値、および最大値は
使用しないでください。
•
異なる vCPU 数のライセンスを要求している場合は、 vCPU の制限値を変更する必要があり
ますが、それ以外では、 vSphere の vCPU ハードウェア設定を変更しないでください。変更
しなければ、 ASAv を導入したときに正しい設定が適用されます。 [Edit Settings] ダイアロ
グボックスでこれらの設定を変更すると、アンダープロビジョニングの場合、パフォーマ
ンスに影響する場合があり、オーバープロビジョニングの場合、 ASAv によりリロードが
行われることが警告されます。待機期間（100 ～ 125% のオーバープロビジョニングの場合
は 24 時間、 125% 以上の場合は 1 時間）の後、 ASAv はリロードします。リソース割り当
てとオーバープロビジョニングまたはアンダープロビジョニングされたリソースを表示す
るには、 ASAv の show vm コマンドと show cpu コマンド [ASDM Home] > [Device
Dashboard] > [Device Information] > [Virtual Resources] タブまたは [Monitoring] > [Properties]
> [System Resources Graphs] > [CPU] ペインを使用します。
•
ASAv の導入時に、ホストクラスタがある場合は、ストレージをローカルに（特定のホス
ト上）または共有ホスト上でプロビジョニングできます。しかし、 ASAv を vMotion で別
のホストに移行する場合は、いかなるタイプのストレージ（SAN またはローカル）を使用
しても接続の中断が発生します。
•
ESXi 5.0 を実行している場合
– vSphere Web クライアントは ASAv OVA の導入ではサポートされません。代わりに
vSphere クライアントを使用してください。
– 導入用のフィールドが重複している場合があります。最初に表示されるフィールドに
記入して、重複したフィールドは無視してください。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-4
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv のライセンス要件
ASAv のライセンス要件
モデル
ライセンス要件
ASAv
1 つの仮想 CPU ： 1 つの vCPU に対する次の仕様を参照してください。
•
– 2 GB のメモリ
– 5000 MHz の vCPU 周波数限界
– 100,000 の同時ファイアウォール接続
– 標準ライセンス： 2 つの SSL VPN セッション。プレミアムライセンス： 250 の SSL
VPN セッション、 Advanced Endpoint Assessment、 AnyConnect for Cisco VPN Phone、
AnyConnect for Mobile。
4 つの仮想 CPU ： 4 つの vCPU に対する次の仕様を参照してください。
•
– 8 GB RAM
– 20000 MHz の vCPU 周波数限界
– 500,000 の同時ファイアウォール接続
– 標準ライセンス： 2 つの SSL VPN セッション。プレミアムライセンス： 750 の SSL
VPN セッション、 Advanced Endpoint Assessment、 AnyConnect for Cisco VPN Phone、
AnyConnect for Mobile。
（注）
4 つの vCPU ライセンスを適用するが 2 つまたは 3 つの vCPU を導入する場合は、次
の値を参照してください。
2 つの仮想 CPU ： 4 GB の RAM、 10000 MHz の vCPU 周波数限界、 250,000 の同時
ファイアウォール接続。
3 つの仮想 CPU ： 4 GB の RAM、 15000 MHz の vCPU 周波数限界、 350,000 の同時
ファイアウォール接続。
（注）
ASAv で仮想 CPU ライセンスをインストールする必要があります。ライセンスをインストール
するまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できます。通常
の操作には、仮想 CPU ライセンスが必要です。
ASAv の導入
•
「vSphere Web クライアントへのアクセスとクライアント統合プラグインのインストール」
（P.1-6）
•
「VMware vSphere Web クライアントを使用した ASAv の導入」（P.1-7）
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-5
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
vSphere Web クライアントへのアクセスとクライアント統合プラグイ
ンのインストール
この項では、 vSphere Web クライアントにアクセスする方法について説明します。また、 ASAv
コンソールアクセスに必要なクライアント統合プラグインをインストールする方法についても
説明します。一部の Web クライアント機能（プラグインなど）は、 Macintosh ではサポートさ
れていません。完全なクライアントのサポート情報については、 VMware の Web サイトを参照
してください。
スタンドアロン vSphere クライアントを使用することを選択することもできますが、このガイ
ドでは Web クライアントについてのみ説明します。
手順の詳細
ステップ 1
ブラウザから VMware vSphere Web クライアントを起動します。
https://vCenter_server:port/vsphere-client/
デフォルトでは、ポートは 9443 です。
ステップ 2
（1 回のみ） ASAv コンソールへのアクセスを可能にするため、クライアント統合プラグインを
インストールします。
a.
サインオン画面で、 [Download the Client Integration Plug-in] をクリックしてプラグインを
ダウンロードします。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-6
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
ステップ 3
b.
ブラウザを閉じてから、インストーラを使用してプラグインをインストールします。
c.
プラグインをインストールしたら、 vSphere Web クライアントに再接続します。
ユーザ名とパスワードを入力し、 [Login] をクリックするか、 [Use Windows session
authentication] チェックボックスをクリックします（Windows のみ）。
VMware vSphere Web クライアントを使用した ASAv の導入
ASAv を導入するには、 VMware vSphere Web クライアント（または vSphere クライアント）、
および Open Virtualization Format （OVF）形式のテンプレートファイルを使用します。 ASAv
については、 OVF パッケージが単一の Open Virtual Appliance （OVA）ファイルとして提供され
ることに留意してください。シスコの ASAv パッケージを展開するには、 vSphere Web クライ
アントの [Deploy OVF Template] ウィザードを使用します。このウィザードは、 ASAv OVA
ファイルを解析し、 ASAv を実行する仮想マシンを作成し、パッケージをインストールします。
ウィザードの手順のほとんどは、 VMware に対し標準のものです。 [Deploy OVF Template] の詳
細については、 VMware vSphere Web クライアントのオンラインヘルプを参照してください。
前提条件
ASAv を導入する前に、 vSphere （管理用）に設定されているネットワークが少なくとも 1 つな
ければなりません。
手順の詳細
ステップ 1
ASAv OVA ファイルを Cisco.com からダウンロードし、 PC に保存します。
http://www.cisco.com/go/asa-software
（注）
Cisco.com のログインおよびシスコサービス契約が必要です。
ステップ 2
[vSphere Web Client Navigator] ペインで、 [vCenter] をクリックします。
ステップ 3
[Hosts and Clusters] をクリックします。
ステップ 4
ASAv を導入するデータセンター、クラスタ、またはホストを右クリックして、 [Deploy OVF
Template] を選択します。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-7
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
[Deploy OVF Template] ウィザードが表示されます。
ステップ 5
[Select Source] 画面で、 URL を入力するか、ダウンロードした ASAv OVA パッケージを参照
し、 [Next] をクリックします。
ステップ 6
[Review Details] 画面で、 ASAv パッケージの情報を確認し、 [Next] をクリックします。
ステップ 7
[Accept EULAs] 画面で、エンドユーザライセンス契約を確認および受諾し、 [Next] をクリッ
クします。
ステップ 8
[Select name and folder] 画面で、 ASAv 仮想マシン（VM）インスタンスの名前を入力し、 VM の
インベントリロケーションを選択して、 [Next] をクリックします。
ステップ 9
[Select Configuration] 画面で、次のオプションの 1 つを選択します。
ステップ 10
ステップ 11
•
スタンドアロン： ASAv 配置構成に [1 （または 2、 3、 4） vCPU Standalone] を選択し、
[Next] をクリックします。
•
フェールオーバー： ASAv 配置構成に [1 （または 2、 3、 4） vCPU HA Primary] を選択し、
[Next] をクリックします。
[Select Storage] 画面で：
a.
仮想ディスクフォーマットを選択します。プロビジョニングに使用できる形式は、 [Thick
Provision]、 [Thick Provision Lazy Zeroed]、および [Thin Provision] です。シックプロビジョ
ニングおよびシンプロビジョニングの詳細については、 VMware vSphere Web クライアン
トのオンラインヘルプを参照してください。ディスク領域を節約するには、 [Thin
Provision] オプションを選択します。
b.
ASAv を実行するデータストアを選択します。
c.
[Next] をクリックします。
[Setup networks] 画面で、使用する各 ASAv インターフェイスにネットワークをマッピングし、
[Next] をクリックします。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-8
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
ネットワークはアルファベット順になっていない可能性があります。ネットワークを見つける
ことが非常に困難な場合は、 [Edit Settings] ダイアログボックスからネットワークを後で変更で
きます。導入後、 ASAv インスタンスを右クリックし、 [Edit Settings] を選択して [Edit Settings]
ダイアログボックスにアクセスします。ただし、この画面には ASAv インターフェイス ID は
表示されません（ネットワークアダプタ ID のみ）。次のネットワークアダプタ ID と ASAv イ
ンターフェイス ID の対応一覧を参照してください。
ネットワークアダプタ ID
ASAv インターフェイス ID
ネットワークアダプタ 1
Management0/0
ネットワークアダプタ 2
GigabitEthernet0/0
ネットワークアダプタ 3
GigabitEthernet0/1
ネットワークアダプタ 4
GigabitEthernet0/2
ネットワークアダプタ 5
GigabitEthernet0/3
ネットワークアダプタ 6
GigabitEthernet0/4
ネットワークアダプタ 7
GigabitEthernet0/5
ネットワークアダプタ 8
GigabitEthernet0/6
ネットワークアダプタ 9
GigabitEthernet0/7
ネットワークアダプタ 10
GigabitEthernet0/8
すべての ASAv インターフェイスを使用する必要はありません。ただし、 vSphere Web クライ
アントではネットワークをすべてのインターフェイスに割り当てる必要があります。使用しな
いインターフェイスについては、 ASAv 設定内でインターフェイスを無効のままにしておくこ
とができます。 ASAv を導入した後、任意で vSphere Web クライアントに戻り、 [Edit Settings]
ダイアログボックスから余分なインターフェイスを削除することができます。詳細について
は、 vSphere Web クライアントのオンラインヘルプを参照してください。
（注）
ステップ 12
フェールオーバー配置では、 GigabitEthernet 0/8 がフェールオーバーインターフェイス
として事前設定されます。
[Customize template] 画面で：
a.
管理インターフェイスの IP アドレス、サブネットマスク、およびデフォルトゲートウェ
イを設定します。また、 ASDM アクセスが許可されるクライアント IP アドレスも設定する
必要があり、別のゲートウェイがクライアントに到達する必要がある場合は、そのゲート
ウェイ IP アドレスを入力します。フェールオーバー配置では、スタティックアドレスとし
て IP アドレスを指定してください。 DHCP は使用できません。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-9
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
b.
フェールオーバー配置では、管理 IP スタンバイアドレスを指定します。インターフェイス
を設定する場合、同じネットワーク上のアクティブ IP アドレスとスタンバイ IP アドレス
を指定する必要があります。
– プライマリ装置が故障すると、セカンダリ装置はプライマリ装置の IP アドレスと MAC
アドレスを引き継ぎ、トラフィックを通過させます。
– 現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引
き継ぎます。
ネットワークデバイスは、 MAC と IP アドレスの組み合わせについて変更を認識しないた
め、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが
生じたりすることはありません。
また、 [HA Settings] 領域でフェールオーバーリンク設定を行う必要があります。フェール
オーバーペアの 2 台の装置は、フェールオーバーリンク経由で常に通信して、各装置の動
作ステータスを確認しています。 GigabitEthernet 0/8 がフェールオーバーリンクとして事前
設定されています。同じネットワーク上のリンクに対するアクティブな IP アドレスとスタ
ンバイの IP アドレスを入力します。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-10
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
c.
ステップ 13
[Next] をクリックします。
[Ready to complete] 画面で、 ASAv 設定の概要を確認し、任意で [Power on after deployment]
チェックボックスを確認したら、 [Finish] をクリックして導入を開始します。
vSphere Web クライアントは VM を処理します。 [Recent Tasks] ペインの [Global Information] 領
域で「Initialize OVF deployment」ステータスを確認できます。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-11
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
この手順が終了すると、 [Deploy OVF Template] 完了ステータスが表示されます。
その後 ASAv VM インスタンスがインベントリ内の指定されたデータセンターの下に表示され
ます。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-12
Chapter 1
Cisco ASAv 仮想アプライアンスの導入
ASAv の導入
ステップ 14
ASAv VM がまだ稼働していない場合は、 [Power on the virtual machine] をクリックします。
ASDM で接続を試行したりコンソールに接続を試行する前に、 ASAv が起動するのを待ちます。
ASAv が初めて起動すると、 OVA ファイルから提供されたパラメータを読み込み、それらを
ASAv システム構成に追加します。その後、起動プロセスが自動的に再開され、稼働を開始し
ます。この二重起動プロセスは、初めて ASAv を導入した場合にのみ発生します。起動メッ
セージを確認するには、 [Console] タブをクリックして、 ASAv コンソールにアクセスします。
ステップ 15
フェールオーバー配置の場合は、この手順を繰り返してセカンダリ装置を追加します。次のガ
イドラインを参照してください。
a.
[Select Configuration] 画面で、 ASAv 配置構成に [1 （または 2、 3、 4） vCPU HA Secondary]
を選択します。
b.
[Customize template] 画面で、プライマリ装置と全く同じ IP アドレス設定を入力します（ス
テップ 12b. を参照）。装置をプライマリまたはセカンダリと認定するパラメータを除き、
両方の装置のブートストラップ設定は同一です。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-13
Chapter 1
ASAv の導入
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
1-14
Cisco ASAv 仮想アプライアンスの導入
CH A P T E R
2
Cisco ASAv 仮想アプライアンスの設定
ASAv の導入により、 ASDM アクセスが事前設定されます。導入時に指定したクライアント IP
アドレスから、 Web ブラウザで ASAv 管理 IP アドレスに接続できます。この章では、他のクラ
イアントが ASDM にアクセスできるようにする方法と CLI アクセスを許可する方法（SSH また
は Telnet）についても説明します。この章で取り上げるその他の必須の設定作業には、 ASDM
でウィザードが提供するライセンスのインストールおよび一般的な設定作業が含まれます。
•
「ASDM の起動」（P.2-1）
•
「追加管理アクセスの設定」（P.2-2）
•
「ASAv ライセンスの適用」（P.2-4）
•
「ASDM を使用した初期設定の実行」（P.2-5）
•
「追加設定」（P.2-8）
ASDM の起動
手順の詳細
ステップ 1
ASDM クライアントとして指定した PC で次の URL を入力します。
https://asa_ip_address/admin
次のボタンを持つ ASDM 起動ページが表示されます。
ステップ 2
•
Install ASDM Launcher and Run ASDM
•
Run ASDM
•
Run Startup Wizard
ランチャをダウンロードするには、次の手順を実行します。
a.
[Install ASDM Launcher and Run ASDM] をクリックします。
b.
ユーザ名とパスワードのフィールドを空のままにし（新規インストールの場合）、 [OK] を
クリックします。 HTTPS 認証が設定されていない場合は、ユーザ名およびイネーブルパス
ワード（デフォルトで空白）を入力しないで ASDM にアクセスできます。注： HTTPS 認
証をイネーブルにした場合、ユーザ名と関連付けられたパスワードを入力します。
c.
インストーラを PC に保存して、インストーラを起動します。インストールが完了すると、
ASDM-IDM ランチャが自動的に開きます。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-1
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
追加管理アクセスの設定
d.
ステップ 3
管理 IP アドレスを入力し、ユーザ名とパスワードを空白のままにし（新規インストールの
場合）、 [OK] をクリックします。注： HTTPS 認証をイネーブルにした場合、ユーザ名と関
連付けられたパスワードを入力します。
Java Web Start を使用するには：
a.
[Run ASDM] または [Run Startup Wizard] をクリックします。
b.
プロンプトが表示されたら、ショートカットを PC に保存します。オプションで、アプリ
ケーションを保存せずに開くこともできます。
c.
ショートカットから Java Web Start を起動します。
d.
表示されたダイアログボックスに従って、任意の証明書を受け入れます。 Cisco
ASDM-IDM Launcher が表示されます。
e.
ユーザ名とパスワードを空白のままにし（新規インストールの場合）、 [OK] をクリックし
ます。注： HTTPS 認証をイネーブルにした場合、ユーザ名と関連付けられたパスワードを
入力します。
追加管理アクセスの設定
CLI で設定を終了する場合、または別の ASDM 管理ステーションから設定を終了する場合は、
ASDM を使用して SSH、 Telnet、および ASDM アクセスを設定できます。
手順の詳細
ステップ 1
ASDM で、 [Configuration] > [Device Management] > [Management Access] >
[ASDM/HTTPS/Telnet/SSH] を選択して、 [Add] をクリックします。
[Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2
セッションのタイプとして、 [ASDM/HTTPS]、 [Telnet]、 [SSH] のいずれかを選択します。
ステップ 3
[Interface Name] ドロップダウンリストから、管理アクセスに使用するインターフェイスを選
択します。
ステップ 4
[IP Address] フィールドに、アクセスを許可するネットワークまたはホストの IP アドレスを入
力します。
ステップ 5
アクセスを許可するネットワークまたはホストに関連付けるマスクを、 [Mask] ドロップダウン
リストから選択します。
ステップ 6
[OK] をクリックします。
ステップ 7
HTTP の設定を行います。
a.
[Enable HTTP Server] ： HTTP サーバを ASDM アクセス用にイネーブルにします。この設定
はデフォルトでイネーブルになっています。
b.
（任意） [Port Number] ：デフォルトポートは 443 です。
c.
（任意） [Idle Timeout] ：デフォルトのアイドルタイムアウトは 20 分です。
d.
（任意） [Session Timeout] ：デフォルトでは、セッションタイムアウトはディセーブルに
なっています。 ASDM 接続にセッション時間の制限はありません。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-2
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
追加管理アクセスの設定
e.
ステップ 8
（任意） Telnet の設定を行います。
a.
ステップ 9
ステップ 10
（任意）クライアント認証が次のインターフェイス上の ASDM にアクセスする必要があり
ます。ドロップダウンリストでインターフェイスを指定します。
[Telnet Timeout] ：デフォルトのタイムアウト値は 5 分です。
（任意） SSH の設定を行います。
a.
[Allowed SSH Version(s)] ：デフォルト値は 1 と 2 です。
b.
[SSH Timeout] ：デフォルトのタイムアウト値は 5 分です。
c.
[DH Key Exchange] ：該当するオプションボタンをクリックして、 Diffie-Hellman （DH）
キー交換グループ 1 またはグループ 14 を選択します。 ASA では、 DH グループ 1 およびグ
ループ 14 キー交換の両方の方法がサポートされます。 DH グループキー交換方式が指定さ
れないと、 DH グループ 1 のキー交換方式が使用されます。 DH キー交換方法の使用方法の
詳細については、 RFC 4253 を参照してください。
[Apply] をクリックします。
変更内容が実行コンフィギュレーションに保存されます。
ステップ 11
ステップ 12
（Telnet に必要） Telnet で接続する前に、ログインパスワードを設定します。デフォルトのパス
ワードはありません。
a.
[Configuration] > [Device Setup] > [Device Name/Password] を選択します。
b.
[Telnet Password] 領域で、 [Change the password to access the console of the security
appliance] チェックボックスをオンにします。
c.
古いパスワード（新しい ASA の場合、このフィールドは空白にしておきます）、新しいパ
スワードを入力し、新しいパスワードを確認します。
d.
[Apply] をクリックします。
（SSH に必要） SSH ユーザ認証を設定します。
a.
[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] を選
択します。
b.
[SSH] チェックボックスをオンにします。
c.
[Server Group] ドロップダウンリストから、 [LOCAL] データベースを選択します。 AAA
サーバを使用して認証を設定することもできます。
d.
[Apply] をクリックします。
e.
ローカルユーザを追加します。[Configuration] > [Device Management] > [Users/AAA] > [User
Accounts] の順に選択し、 [Add] をクリックします。
[Add User Account-Identity] ダイアログボックスが表示されます。
f.
ユーザ名とパスワードを入力し、パスワードを確認します。
g.
[OK] をクリックし、続いて [Apply] をクリックします。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-3
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
ASAv ライセンスの適用
ASAv ライセンスの適用
ASAv を導入した後、 CPU ライセンスをインストールする必要があります。ライセンスをイン
ストールするまで、スループットは 100 Kbps に制限されるため、予備接続テストを実行できま
す。 CPU ライセンスは、通常の操作に必要です。ライセンスをインストールするまで、次の
メッセージがコンソールで繰り返し表示されます。
Warning: ASAv platform license state is Unlicensed.
Install ASAv platform license for full functionality.
手順の詳細
ステップ 1
メインの ASDM ページで [License] タブをクリックし、次に [More Licenses] をクリックして、
シリアル番号を確認します。
ステップ 2
[Configuration] > [Device Management] > [Licensing] > [Activation Key] ペインから、シリアル番
号を書き留めます。
ステップ 3
シスコ代理店から購入できる製品認証キーを入手します。機能ライセンスごとに個別の製品認
証キーを購入する必要があります。 ASAv の場合は、唯一の必須の機能ライセンスは vCPU
（1 ～ 4）に対してのものですが、他の機能キーも購入できます。
ステップ 4
ASA ライセンスガイドに従って、シリアル番号に対するアクティベーションキーを Cisco.com
から依頼します。必ず、 ASAv の導入時に指定した CPU 数に一致する CPU ライセンスを依頼
してください。
ステップ 5
シスコからアクティベーションキーを受け取った後、 [Configuration] > [Device Management] >
[Licensing] > [Activation Key] ペインで、キーを [New Activation Key] フィールドに貼り付けます。
ステップ 6
[Update Activation Key] をクリックします。
ASDM には、キーを検証中にステータスダイアログボックスが表示されます。
キーの更新が完了すると、次のダイアログボックスが表示されます。
ステップ 7
[Yes] をクリックして ASDM を再起動します。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-4
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
ASDM を使用した初期設定の実行
ASDM を使用した初期設定の実行
次の ASDM ウィザードおよびプロシージャを使用して初期設定を行うことができます。
•
「ASDM での Startup ウィザードの実行」（P.2-5）
•
「VPN トンネルの設定のための Site-to-Site ウィザードの実行」（P.2-6）
•
「インターネットからの内部サービスへのアクセスを可能にする」（P.2-7）
•
「ASDM でのその他のウィザード」（P.2-8）
ASDM での Startup ウィザードの実行
構成に応じてセキュリティポリシーをカスタマイズできるように既存の設定を変更するには、
[Startup Wizard] を実行します。
手順の詳細
ステップ 1
メイン ASDM ウィンドウで、 [Wizards] > [Startup Wizard] を選択します。
ステップ 2
Startup ウィザードの指示に従い、 ASAv を設定します。
ステップ 3
ウィザードの実行中、デフォルト値をそのまま使用するか、必要に応じて変更することができ
ます（ウィザードのフィールドの詳細については、 [Help] をクリックしてください）。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-5
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
ASDM を使用した初期設定の実行
VPN トンネルの設定のための Site-to-Site ウィザードの実行
VPN ウィザードを使用すると、基本的な IPsec サイト間 VPN 接続が設定できます。
手順の詳細
ステップ 1
メイン ASDM ウィンドウで、 [Wizards] > [VPN Wizards] > [Site-to-Site VPN Wizard] を選択し
ます。
ステップ 2
ウィザードの指示に従います（ウィザードのフィールドの詳細については、 [Help] をクリック
してください）。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-6
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
ASDM を使用した初期設定の実行
インターネットからの内部サービスへのアクセスを可能にする
[Public Servers] ペインでは、インターネットから内部のサーバにアクセスできるようにセキュ
リティポリシーを自動的に設定します。ビジネスオーナーとして、外部ユーザがアクセスで
きるようにすることが必要な内部ネットワークサービス（Web サーバや FTP サーバなど）を
備えることが考えられます。内部ネットワークのパブリックサーバで ASAv の背後にこれらの
サービスを配置できます。 ASAv は、パブリックサーバへの外部アクセスを許可できます。パ
ブリックサーバに対する攻撃は内部ネットワークには影響しません。
手順の詳細
ステップ 1
メイン ASDM ウィンドウで、 [Configuration] > [Firewall] > [Public Servers] を選択します。
[Public Servers] ペインが表示されます。
ステップ 2
[Add] をクリックし、 [Add Public Server] ダイアログボックスにパブリックサーバの設定を入力
しますフィールドの詳細については、 [Help] をクリックしてください。
ステップ 3
このダイアログボックスを閉じ、 [Public Servers] ペインに戻るには、 [OK] をクリックします。
新しく作成されたパブリックサーバがリストに表示されます。
ステップ 4
[Apply] をクリックし、 ASAv に設定を適用します。
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-7
Chapter 2
Cisco ASAv 仮想アプライアンスの設定
追加設定
ASDM でのその他のウィザード
任意で ASDM の次のウィザードを実行します。
•
High Availability and Scalability ウィザード：アクティブ / スタンバイフェールオーバーを設
定します。
•
Packet Capture ウィザード：キャプチャを設定および実行します。このウィザードは、入
出力インターフェイスのそれぞれでキャプチャを 1 回実行します。パケットをキャプチャ
すると、 PC にキャプチャを保存し、パケットアナライザでチェックおよびリプレイでき
ます。
•
Unified Communication ウィザード：ユニファイドコミュニケーションプロキシを設定し
ます。
•
IPsec (IKEv1) Remote Access VPN ウィザード：モバイルユーザなどの VPN クライアントへ
のセキュアなリモートアクセスを設定して、リモート IPSec ピアに接続するインターフェ
イスを識別します。
•
AnyConnect VPN ウィザード：AnyConnect VPN クライアントから VPN 接続を受け入れるよ
うに ASAv を設定します。このウィザードでは、フルネットワークアクセスができるよう
に IPsec （IKEv2）プロトコルまたは SSL VPN プロトコルを設定します。
•
Clientless SSL VPN ウィザード：サポートされる特定の内部リソースに対する、ポータル
ページからのクライアントレスブラウザベース接続をイネーブルにします。
追加設定
ASAv の設定を続行するには、お使いのソフトウェアバージョンのマニュアルを参照してくだ
さい。 http://www.cisco.com/go/asadocs
シスコ仮想セキュリティアプライアンス（ASAv）クイックスタートガイド
2-8

Download Report

ダウンロード

Paperzz.com

Your Paperzz