キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

事象:ASDM上にASA FirePOWER Configuration メニューが表示されない

[toc:faq]


1.初めに

※本ドキュメントは2017年2月2日現在の情報を基に作成しております。
 
本ドキュメントでは、ASA with FirePOWER をASDMで管理される際、ASDM上にASA FirePOWER Configuration メニューが表示されない事象が発生した場合の確認点や対応について説明します。


 


2.初期セットアップの確認

ASDM上にASA FirePOWER Configuration メニューが表示されない事象の原因は、多くの場合初期セットアップが正しく完了していないことが考えられます。

各製品について、まずは下記Webページをご参考にして頂き再度初期セットアップをご確認ください。

[Cisco ASA 5506-X クイックスタートガイド]
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500-XNext-GenerationF/QSG/003/5506x-quick-start.html

[ASA5585,ASA5512~ASA5555-X Cisco ASA FirePOWER モジュール クイックスタートガイド]
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500-XNext-GenerationF/QSG/002/firepower-qsg-ja_JP.pdf

※ASA5585,ASA5512~ASA5555-X は Software Version 5.4 ではASDMで管理することができません。 6.x 以降 ASDMで管理することが出来ます。

 [Cisco ASA FirePOWER Module Quick Start Guide]
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html


3.確認点

もし上記セットアップを実施後もASDM上にASA FirePOWER Configuration メニューが表示されない場合は、以下をご確認下さい。

 

3-1.Software Version の互換性の確認

下記Webページからお使いのデバイスにインストールされておりますSoftwareの互換性をご確認下さい。

[Cisco Firepower Compatibility Guide]
ASA FirePOWER Devices
http://www.cisco.com/c/en/us/td/docs/security/firepower/compatibility/firepower-compatibility.html

3-2.ASA の CLI から show module sfr details コマンドを実施

show module sfr details コマンドを実施し、以下について確認下さい。
 -Statusがupしていること
 -Mgmt(sfr module) の各設定がされていること

[例]

ciscoasa# show module sfr details
Getting details from the Service Module, please wait...

Card Type:          FirePOWER Services Software Module
Model:              ASA5506
Hardware version:   N/A
Serial Number:      XXXXXXXXXXX
Firmware version:   N/A
Software version:   5.4.1.6-37
MAC Address Range:  00c8.XXXX.XXXX to 00c8.XXXX.XXX
App. name:          ASA FirePOWER
App. Status:        Up <<<<<< This
App. Status Desc:   Normal Operation
App. version:       5.4.1.6-37
Data Plane Status:  Up              <<<<<< This
Console session:    Ready
Status:             Up              <<<<<< This
DC addr:            No DC Configured
Mgmt IP addr:       192.168.1.2 <<<<<< 以下の設定
Mgmt Network mask:  255.255.255.0
Mgmt Gateway:       192.168.1.1
Mgmt web ports:     443
Mgmt TLS enabled:   true

3-3.利用端末 から SFR module へ Pingによる疎通性確認

ご利用端末(PC)からSFR moduleのIPアドレス宛に通信の疎通性があるか確認下さい。

[例]

C:\> ping 192.168.1.2

192.168.1.2 に ping を送信しています 32 バイトのデータ:
192.168.1.2 からの応答: バイト数 =32 時間 =2ms TTL=56
192.168.1.2 からの応答: バイト数 =32 時間 =2ms TTL=56
192.168.1.2 からの応答: バイト数 =32 時間 =2ms TTL=56
192.168.1.2 からの応答: バイト数 =32 時間 =2ms TTL=56

192.168.1.2 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 2ms、最大 = 2ms、平均 = 2ms

3-4.ASDMへログイン時のUsernameとPasswordの確認

初期セットアップ時はUsernamePassword空白でOKボタンを押下します。
※もし既に設定されたユーザにてログインされる場合は、ユーザにPrivilege Level (ユーザ権限) 15 が付与されていることを確認下さい。

下記警告画面が出た場合は『続行』を押下ください。


SFR moduleにアクセスした際、再度警告画面が出る場合が御座います。
その場合は同様に『続行』を押下ください。

この警告画面は、ご利用のJAVAにASAとSFRモジュールの証明書がインストールされていない場合に表示されます。
※詳細は事項で説明します。
 

3-5. 証明書の作成、Import

ASA FirePower(SFR) module を搭載したASA 5506-X、5508-X、5516-Xの管理にASDMを使用する場合、ASA用とSFR module 用の2つの証明書を作成し、ご利用のJAVAにImportしていただく必要がある場合がございます。

[証明書作成・登録手順]
3-5-1.ASDM を起動し、Wizards > ASDM Identity Certificate Wizard を選択


3-5-2.Simple Mode option を選択し、Next を押下します。


3-5-3. 作成した証明書をExportします。『Export Generated Identity Certificate』ボタンを押下すると『Export certificate』画面がポップアップするので、ファイルに任意の名前を付け『Export Certificate』ボタンを押します。


3-5-4.同様の手順で再度Wizardを開き、ASA FirePOWER Module option を選択しSFR module用の証明書を作成します。

※証明書作成後、一度ASDMを閉じてください


3-5-5.ご利用のJAVAに作成した証明書をImportします。以下は手順例となります。
JAVAのコントロールパネルを開きます。 セキュリティタブを選択し、『証明書の管理』を押下します。



証明書タイプで『セキュア・サイト』を選択し、作成した証明書を2ファイルともImportします。


以上で証明書の登録は完了となります。登録が完了したら再度ASDMを起動してください。詳細な手順は下記Webページに記載が御座いますのでご確認下さい。

Install an Identity Certificate for ASDM(英語)
http://www.cisco.com/c/en/us/td/docs/security/asdm/identity-cert/cert-install.html

 


4.上記1~5を実施後も表示されない、もしくは上手くいかない

上記手順が上手く進まない場合、Software image 不良の可能性が考えられます。
一度SFR software image の Re-image (初期化) を実施いただき、再度初期セットアップを実施下さい。
Re-imageの手順は下記Webページに分かりやすくまとまっているのでご参照下さい。

ASA with FirePOWER の初期インストール手順(ASA5500-X wo/ ASA5585-X)
https://supportforums.cisco.com/ja/document/12475796

 


5.Re-image(初期化)が失敗する

Re-imageがエラー等で失敗する場合は、HW不良の可能性が非常に高いと考えられます。
以下の情報を取得し、有効なご契約番号と共にJAPAN TACまでお問い合わせください。
 -show module sfr detail
 -show tech-support
 -エラーが発生した場合、エラー画面のスクリーンショット
 -その他、CLI上で出力されたログや、事象が確認できるスクリーンショット

 


6.その他参考になる文献

Cisco ASA FirePOWER Module Quick Start Guide
http://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/sfr/firepower-qsg.html

ASA5500-X: Firepowerモジュール 利用要件と初期セットアップ手順
https://supportforums.cisco.com/ja/document/13201711

バージョン履歴
改訂番号
1/1
最終更新:
‎02-01-2017 04:04 PM
更新者: