シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

セキュリティ製品について(エキスパートに質問)

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2016年1月4日~1月31日
担当エキスパート: セキュリティ製品担当エンジニア

テクニカルアシスタンスセンター(TAC) で、セキュリティ製品に関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
※期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。

[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・弊社のセキュリティ製品全般(VPN、Firewall、AAA、IPS、コンテンツセキュリティ)を対象とさせていただきます。
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

31 件の返信
New Member

ASA5506-X の Security Plus

ASA5506-X の Security Plus ライセンスについてお教えくださいませ。
ASA5505 にも Security Plus ライセンスがございました。

両製品のライセンス型番と製品説明については、下記の通りです。
----
ASA5505-SEC-PL: ASA 5505 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.
ASA5506-SEC-PL: ASA 5506 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.
----
説明部分は全く同じです。

この
・DMZ
・VLAN trunk
について確認させて下さい。

ASA5505 では、DMZ の設定をするために、Security Plus ライセンスが必要でした。
----
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/GS/006/18003_02_6.html?bid=0900e4b1825ae6b6
Cisco ASA 5505 の DMZ 設定は、Security Plus ライセンスの場合にだけ可能です。

Cisco ASA 5505 クイック スタート ガイド Version 7.2 > VLAN 構成のプランニング
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/GS/003/17612_02_3.html?bid=0900e4b1825ae5d3#23960
表3-1 アクティブ VLAN のライセンス制限
※DMZ VLAN から内部 VLAN へのトラフィックの開始は制限されています。
----

また、VLAN Trunk (802.1Q) についても、
----
[CLI 9.2] ASA 5505 License Features
http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/configuration/general/asa-general-cli/intro-license.html#55668
⇒ "VLAN Trunks, maximum" の記載あり
----
に Security Plus が必要との記載があります。


ただ、ASA5506-X については、ASA5505 の異なり Switchport ではなく、
他の ASA と同様 L3 Port (Routed Port) であるとの認識です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【確認事項】
(1) ASA5506-X で DMZ を使用する場合、Security Plus ライセンスが必要でしょうか。
(2) ASA5506-X で L3 802.1Q Sub-interface (≒ Vlan Trunk) を使用する場合、
  Security Plus ライセンスが必要でしょうか。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


ASA5506-X に関する DMZ の記載については、Cisco.com で見つけることはできませんでした。
また、下記に ASA5506-X の Security Plus の表では、
「VLAN Trunks, maximum」についての記載は、ありませんでした。(前述の通り ASA5505 ではありました。)
----
[CLI 9.5] ASA 5506-X, ASA 5506W-X, and ASA 5506H-X License Features
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/intro-license.html#ID-2148-0000000a
----

Base License でも 「VLANs, Maximum」が「5」とあるので、
Base License で Vlan Trunk (ASA5506-XではSub-interface) をサポートしない
ということはないと思うのですが…。

お忙しいところ恐れ入りますが、
ご教示の程、よろしくお願い致します。

Cisco Employee

こんにちは。

こんにちは。

いただいたご質問に回答させていただきます。

(1) ASA5506-X で DMZ を使用する場合、Security Plus ライセンスが必要でしょうか。

→いえ、Subinterfaceに設定するVLAN数がLicenseの可能な数(ASA5506のデフォルトでは5)を超えない限りは不要です。参考までに、VLAN作成時に制限を超えると、以下のようなエラーが出てVLAN作成が出来なくなります。

ciscoasa(config-subif)# int gi 1/1.6
ciscoasa(config-subif)# vlan 56
ERROR: Exceed the limits allowed for creating VLAN.
ERROR: Failed to add vlan 56

ciscoasa# sh ver
---snip---
Licensed features for this platform:
Maximum VLANs                     : 5              perpetual ←この部分

---snip

また、ASA5506は全てRouted portになりますので、ASA5506にVLAN(Subinterfaceにて定義)を作らないのであれば、上記制限にも当てはまりません。


(2) ASA5506-X で L3 802.1Q Sub-interface (≒ Vlan Trunk) を使用する場合、
  Security Plus ライセンスが必要でしょうか。

→いえ、上記の通り、Base licenseであればVLAN5個までであれば、Security Plusライセンスは不要です。

詳しくは以下のサイトをご確認いただけたらと思います。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/general/asa-general-cli/intro-license.html#20490

以上

New Member

DMZも802.1Q Sub-interfaceも

DMZも802.1Q Sub-interfaceも、Security Plus ライセンスが必須というわけではない (必要な Vlan 数が6個以上であれば、Security Plus ライセンスを追加する) ということで、理解できました。

もし可能であれば、誤解を招かぬよう SKU の Description 部分の修正をご検討頂けると嬉しいです。

SKU Description
ASA5506-SEC-PL ASA 5506 Sec. Plus Lic. w/ HA, DMZ, VLAN trunk, more conns.

   

迅速なご回答、誠にありがとうございました。

大変助かりました。

New Member

いつもお世話になっております。

いつもお世話になっております。

ASA の FirePOWER Module についてお教え下さいませ。

ASA5506-X を導入したのですが、今のところ FirePOWER を使用する予定はありません。

show module を確認すると、標準実装されている FirePOWER Module が Up になるのですが、この FirePOWER Module が CPU や Memory など何らかのリソースを消費することはありますでしょうか。

もしリソースを消費するなら、永続的に無効にしたいのですが、Uninstall (sw-module module sfr uninstall) 以外の方法はありますでしょうか。

Cisco Employee

MJさん、こんにちわ。

MJさん、こんにちわ。

ASA5500-Xシリーズは、Layer7の高度制御が可能なソフトウェアモジュールの同時稼働を想定し設計されており、CPUや Memory領域も別々に用意されています。 その為、Firepowerが稼働している状態でも、ASAソフトウェアのACLやNATなど主要機能への大きな性能影響は御座いません。

しかし、ASA Hardware上のシステム全体として見た場合、Firepowerが通信処理をしていない状態でも、そのFirepower管理と連携(状態確認含む)のため リソースは消費しますので、利用しない場合は、シャットダウン、もしくは アンインストールを、お勧めしております。

なお、Firepowerをシャットダウンした場合、ASA本体が再起動しますとFirepowerも自動で起動してしまいます。 その為、長期的な未使用のためには、シャットダウンは向きません。

しばらく利用する予定の無い場合は、完全なアンインストールがお勧めです。 手順としては、以下のように 一度 シャットダウンして頂いてから アンインストールと、ASAの再起動をお願いできますでしょうか。

ciscoasa# sw-module module sfr shutdown
ciscoasa# sw-module module sfr uninstall
ciscoasa# reload


アンインストール後に、Firepowerの機能を利用したい要件が出て来ましたら、その時の最新のFirepowerバージョンを再インストールして頂ければと思います。 Firepower Software Moduleのインストールとセットアップは、特に通信影響 無く実施できます。 

Firepowerはサーバー製品ですので、古いバージョンをアンインストールせず残しておき パッチを当て続けるより、必要時に最新のFirepowerをリイメージで再セットアップしたほうが、セットアップも簡単で、クリーンインストールとなるため  トラブルも少ないと思います。

Firepowerの再インストール時手順は 以下などを参考ください。

https://supportforums.cisco.com/ja/document/12475796

New Member

Nakamura 様

Nakamura 様

早速のご回答ありがとうございます。

ものすごく参考になりました!

今後、ASA with Firepower 導入時に、Firepowerを使用しない場合は、お教えいただいた方針に沿って対応させて頂きます。

ありがとうございました。

New Member

いつもお世話になっております。

いつもお世話になっております。

ASA / FirePOWER Module の "admin" 初期パスワードについて確認させて下さい。

ASA5506-X で FirePOWER 5.4 を使用した場合、初期パスワードは以下の通りでした。

System software image Sourcefire
Boot image Admin123

しかし、ASA5506-X に FirePOWER 6.0 をインストールしてみたところ

System software image Admin123
Boot image Admin123

となっていました。

ASA5515-X でも FirePOWER 6.0 をインストールしてみましたが、同様でした。

下記の ASA CLI 9.5 の Config Guide には、System software image の初期パスワードは "Sourcefire" とありますが、FirePOWER 6.0 以降は、"Admin123" に変わったのでしょうか。

-----

ASA Series Firewall CLI Configuration Guide, 9.5
ASA FirePOWER Module > Defaults for ASA FirePOWER

<http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/firewall/asa-95-firewall-config/access-sfr.html#ID-2123-000000e0>

-----

Cisco Employee

MJさん、こんにちわ。

MJさん、こんにちわ。

はい、ブートイメージと システムソフトウェアのパスワードが違う問題(混乱)を解消するため、Firepower 6.0より admin / Admin123に 一元化されています。 その為、確認頂いております通り、Admin123 の利用をお願いできますでしょうか。

なお、ご指摘の通り、設定ガイドへの反映がまだされていなかったため、社内で修正リクエストをしておきました。 確認のご不便をおかけし申し訳ありませんが、どうぞよろしくお願い致します。

New Member

Nakamura 様Firepower 6.0 より

Nakamura 様

Firepower 6.0 より admin / Admin123 に統一されたとのことで、承知致しました。
確かに同じ方がわかりやすくて、個人的には嬉しいです。
Config Guide の修正リクエストも助かります。

度々の迅速なご対応、誠にありがとうございました。

Cisco Employee

MJ様

MJ様

いえいえ、問題事象について切り分けと丁寧な記載、及び 分析結果をコメント頂いておりましたため、確認がとても迅速にできました。 こちらこそ、有難うございました!

また何かありましたら、ご質問お待ちしております。

New Member

いつもお世話になっております。

いつもお世話になっております。

▼確認したい事項
ASA5585-NM-4-10GE や ASA5585-NM-8-10GE  に GLC-T (1000BASE-T SFP) を搭載した場合、
10Mbps や 100Mbps でも使用可能でしょうか。


▼背景
半年ほど前のことになりますが、ASA5585-NM-4-10GE で
1 つだけ 1G RJ-45 ポートが実装できると、
Firewall のポート数の要件で、ちょうどよくなる事案がありました。
(ASA5585-NM-20-1GE ですと、10Gが不足するので選定外)

ただ、その RJ-45 の要件が "100Mbps, 1000Mbpsで使用可能なこと" とありました。

当時、下記資料を参考に調べてみましたが、
「10/100/1000 で使用できる」あるいは「10/100 では使用できない」など
明確な情報が見つけられず、判明しませんでした。

ですので、今後のために、もしおわかりになりましたら
と思い、ここでご質問させて頂きました。


▼調査した資料(Cisco.comサイト)

ASA 5585-X I/O Modules

http://www.cisco.com/c/en/us/products/collateral/security/asa-5585-x-adaptive-security-appliance/product_bulletin_c25-711904.html

ASA 5585-X Hardware Installation Guide > Introducing the Cisco ASA 5585-X
http://www.cisco.com/c/en/us/td/docs/security/asa/hw/maintenance/5585guide/5585Xhw/overview.html

ASA General Operations CLI Config Guide 9.5 > Basic Interface Configuration
http://www.cisco.com/c/en/us/td/docs/security/asa/asa95/configuration/general/asa-95-general-config/interface-basic.html

Cisco ASA New Features by Release > New Features in ASA 9.1(2)/ASDM 7.1(3)
>ASA 5585-X support for network modules
http://www.cisco.com/c/en/us/td/docs/security/asa/roadmap/asa_new_features.html#pgfId-230079

Cisco Employee

MJさん   こんにちは。

MJさん   こんにちは。


以下に回答します。
>▼確認したい事項
>ASA5585-NM-4-10GE や ASA5585-NM-8-10GE  に GLC-T (1000BASE-T SFP) を搭載した場合、
>10Mbps や 100Mbps でも使用可能でしょうか。

⇒実際に私の検証環境で確認してみましたが、10GEのポートにGLC-T (1000BASE-T SFP) を利用した場合、   1000Mbpsのみ利用可能となり、10Mbpsや100Mbpsではご利用できません。

   また、対向が10Mbps/100Mbps 速度固定の場合、GLC-T (1000BASE-T SFP) はリンクアップしません。

余談ではございますが、SFP-GE-T も同様に確認してみましたところ、1000Mbpsのみ利用可能となり、10Mbpsや100Mbpsではご利用できません。

New Member

yyokouch 様お忙しいところ

yyokouch 様

お忙しいところ、動作確認までして頂き恐縮です。

10GEのポートに GLC-T を搭載した場合は、
1000Mbps Only であるとのこと承知致しました。

SFP-GE-T まで確認して下さいまして、ありがとうございます!
こちらも 1000Mbps Only とのことで承知致しました

実機確認の情報を大変助かります。
今後の参考にさせて頂きます。
ありがとうございました。

New Member

いつもお世話になっております。

いつもお世話になっております。

AnyConnect 4.x PLUS / APEX ライセンスについて確認させて下さい。

ASA5515-X PCB S/N 【FCH1643***G】で

APEX; L-AC-APXM-S-3-100 (PAK No. 7511J59***8) から

Activation-key を発行したところ、

9a1bc663 b4e1caab 6d22412c c4985c34 4c16eab8

という Key になりました。

とある SR で、PLUS と APEX の区別は、

  • ASA の "show version" や "show activation-key" では区別できない
  • 表示上の区別はできないが、PLUS の機能制限はきちんとなされている
    • 例)「Clientless SSL-VPNは使用できない」など APEXが必要な機能は使えなくなっている
  • 9.5(2) 以降であれば、"debug menu license 23"コマンドで区別できる (CSCuw74731)

とお教え頂きました。

上記を確認するため、PLUS (25ユーザ/5年) を購入しました。

PLUS の Activation Key を発行する前に、別SRにて

  • L-AC-APXM-S-3-100 (AnyConnect APEX)
  • ASA5500-SSL-10(=) (AnyConnect Premium)
  • ASA-AC-M-5515(=) (AnyConnect Mobile)

の3つのライセンスを無効化して頂きました。
(同時に権利放棄にも同意しています)

Product License Registration サイトで、上記3つのライセンスが

【FCH1643***G】から外れていることを確認した上で、

PLUS; L-AC-PLS-S-5Y-25  (PAK No. 7511J15***2) から

Activation-key を発行したところ、

9a1bc663 b4e1caab 6d22412c c4985c34 4c16eab8

という Key になりました。

結局 APEX と同じ Key です。

以上を踏まえまして、以下確認させて下さい。

AnyConnect 4.x のPLUS / APEX ライセンスは

  • ASA では種類の区別はしていない (APEXもPLUSも同じ)
    • 実装としては紳士協定状態
    • ※むろん購入したライセンスによって使用してよい機能の権利は異なる

という認識でよろしいでしょうか。

ちなみに、PLUS でも APEX と同じ Activation Key になってしまいましたので、"debug menu license 23" コマンドは、PLUS でも APEX と同じ出力になってしまいました。

ciscoasa# debug menu license 23
AnyConnect Apex license: ENABLED
ciscoasa#
Cisco Employee

お世話になっております。ご認識のとおり ASA では


お世話になっております。

ご認識のとおり ASA では APEX/PLUS の区別は行っていません。
PLUS を購入いただいた場合は、APEX が提供する機能が実際にご利用可能であってもサポート対象外という位置づけになります。

そのためサービスリクエストをいただいた際には、担当者にて調査対象となる機能に対して、正しいライセンスを購入されているかどうかを確認させていただいております。

また、APEX/PLUS の区別を行っていないということになりますので、CSCuw74731 の Workaroud にあるような debug menu license 23 の実行結果からも、両者を区別することができません。CSCuw74731 の記述内容は不適切であるため、内容を見直すよう、ID登録者と調整させていただきます。

以上のようになりますことから、過去にサービスリクエストで以下のご案内を差し上げていたようですが、適切な回答とはなっていないように認識しております。誠に申し訳ございませんがこの場をお借りして訂正させていただきたく思います。

> 表示上の区別はできないが、PLUS の機能制限はきちんとなされている
> 9.5(2) 以降であれば、"debug menu license 23"コマンドで区別できる

どうぞよろしくお願い申し上げます。

New Member

shkono 様早速のご回答ありがとうございます。・ASA

shkono 様

早速のご回答ありがとうございます。

・ASA では APEX/PLUS の区別がない
・サービスリクエストでは購入ライセンスを確認を実施している
とのこと承知致しました。

また CSCuw74731 の内容も調整頂けるとのこと、ありがとうございます。
過去のサービスリクエストでは、私の確認の仕方も悪かったのかもしれません。

こちらの質問の機会を与えて頂き、とても助かりました。
ありがとうございました!

New Member

お世話になっております。ASA Software の

お世話になっております。

ASA Software の <Cisco Suggested> Release について、お教え下さい。

例えば、ASA5515-X の場合、2016/1/22 現在の <Cisco Suggested> Release は

  • 9.1.6 Interim (9.1(6)10)
  • 9.2.4.SMP (9.2(4))

が指定されています。

9.2(4) には、9.2.4 Interim (9.2(4)4) がありますが、9.2.4.SMP が <Cisco Suggested> になっている理由は何かありますでしょうか。単なる更新漏れでしょうか

また、新しい製品 ASA5506/5508/5516-X については、<Cisco Suggested> Release がありません。新しいめの製品 (各Releaseが進んでいない製品) では<Cisco Suggested> が指定されない、などありますでしょうか。


総じて、ASA Software で <Cisco Suggested> と指定される基準や指針があれば、ご教示いただけませんでしょうか。

(参考にした情報)

Cisco Employee

MJさん、こんにちわ。

MJさん、こんにちわ。

はい、誠に恐縮ですが、Suggested Releaseのマークは、更新が間に合ってない時があるようです。 その時は、大変お手数ですが、当Webサイト右上の Feedbackなどから、コメントを頂けますと 大変助かります。 なお、ご指摘頂きました更新遅れについては、私からも社内にFeedbackさせて頂きました。

また、バージョン選定ですが、基本的にご利用のトレイン(9.1や9.2など)の、最新Interimバージョン もしくは 最新メンテナンスバージョン(リリース日が新しいほう)が 推奨とお考え頂ければと存じます。

なお、ASA 9.0や 9.3、9.5トレインは既にEoLアナウンスメントが出ており、今後 開発も収束するため、当トレインでサポート開始の新機能の利用が目的でない場合は、新規導入機にこれらトレインの利用は避けて頂いたほうが良いかと思います。(他、9.7も短命となる予定です。)  

ただ、EoLアナウンスメント後も、メンテナンスは しばらく継続され、また私達TACにお問い合わせは可能ですので、既に ご利用機器の すぐのトレイン変更を伴うアップグレードまでは不要かと思います。

最新のEoLアナウンスメントは 以下サイトより ご確認頂けますので、バージョン選定前の再確認もお願いしております。

Cisco ASA 5500-X Series Firewalls - End-of-Life and End-of-Sale Notices
http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/eos-eol-notice-listing.html

New Member

Nakamura 様迅速なご回答、誠にありがとうございます

Nakamura 様

迅速なご回答、誠にありがとうございます。

ここ1,2年で、多くの製品に<Cisco Suggested>が示されるようになってから、1つの選定基準とさせて頂いておりましたが、ASA に限らずですが、まれに「何故???」と思ってしまう Release に Suggested Mark が付いているので、疑問に思っておりました。
今後は、Feedback を活用させて頂きます。

また、ASA の Version 選定指針も大変参考になりました。
今後に役立てて参ります。

ご教示ありがとうございました。

New Member

いつもお世話になっております。ASA5506-Xを使用して

いつもお世話になっております。

ASA5506-Xを使用して、AnyConnectのクライアント証明書認証の動作確認をするための検証環境を構築しております。
このASA5506-Xを9.4(2)3から9.5(2)にVersion UpしたところCRLにアクセスできなくなってしまいました。

弊社検証環境では、Static URLで指定していたCRLのHTTPサーバがManagement Interface側にあります。

ASA5506# show running-config interface Management 1/1
!
interface Management1/1
 management-only
 nameif management
 security-level 50
 ip address 192.168.3.31 255.255.255.0
ASA5506# show running-config crypto ca trustpoint TrustPoint1
crypto ca trustpoint TrustPoint1
 revocation-check crl
 enrollment terminal
 crl configure
  policy static
  url 1 http://192.168.3.16/crl.der
  no protocol ldap
  no protocol scep
ASA5506#
  • 9.4(2)3の場合
ASA5506(config)# crypto ca crl request TrustPoint1
CRL received
ASA5506(config)#
  • 9.5(2)の場合
ASA5506(config)# crypto ca crl request TrustPoint1
Unable to retrieve or verify CRL
ASA5506(config)#

Version 9.5(1) から、Management interfaceのRouting TableがGlobalと分かれましたが、どうも、このCRLのアドレスがGlobalのRouting TableでRoutingされているように見受けられるのです。

Release Notes for the Cisco ASA Series, 9.5(x)>New Features in ASA 9.5(1)
Separate routing table for management-only interfaces

  • 9.5(2)のRouting Table
ASA5506# show route

    <...snip...>
Gateway of last resort is 172.25.3.29 to network 0.0.0.0

S*    0.0.0.0 0.0.0.0 [1/0] via 172.25.3.29, outside
C        192.168.0.0 255.255.255.0 is directly connected, dmz
L        192.168.0.254 255.255.255.255 is directly connected, dmz
O     192.168.1.0 255.255.255.0 [110/11] via 192.168.0.10, 00:04:22, dmz
C        192.168.100.0 255.255.255.0 is directly connected, inside
L        192.168.100.254 255.255.255.255 is directly connected, inside
O     192.168.101.0 255.255.255.0
           [110/11] via 192.168.100.10, 00:03:55, inside

ASA5506# show route management-only

Routing Table: mgmt-only

    <...snip...>
Gateway of last resort is not set

C        192.168.3.0 255.255.255.0 is directly connected, management
L        192.168.3.31 255.255.255.255 is directly connected, management

ASA5506#

ManagementのRouting Tableを見てほしい(向いてほしい)のですが、それらしい設定を見つけらておりません。

ASA5506(config)# crypto ca trustpoint TrustPoint1
ASA5506(config-ca-trustpoint)# ?

crypto ca trustpoint configuration commands:
  accept-subordinates    Accept subordinate CA certificates
  ca-check               CA Certificate installed in this trust point must have
                         the CA flag set in the Basic Constraints extension
  crl                    CRL options
  default                Return all enrollment parameters to their default
                         values
  email                  Email Address
  enrollment             Enrollment parameters
  exit                   Exit from certificate authority trustpoint entry mode
  fqdn                   include fully-qualified domain name
  help                   Help for crypto ca trustpoint configuration commands
  id-cert-issuer         Accept ID certificates
  id-usage               Specifies how the device identity represented by this
                         trustpoint can be used
  ignore-ipsec-keyusage  Suppress Key Usage checking on IPSec client
                         certificates
  ignore-ssl-keyusage    Suppress Key Usage checking on SSL client certificates
  ip-address             include ip address
  keypair                Specify the key pair whose public key is to be
                         certified
  match                  Match a certificate map
  no                     Negate a command or set its defaults
  ocsp                   OCSP parameters
  password               revocation password
  proxy-ldc-issuer       An issuer for TLS proxy local dynamic certificates
  revocation-check       Revocation checking options
  serial-number          include serial number
  subject-name           Subject Name
  validation-usage       Specifies the usage types for which validation with
                         this trustpoint is permitted
ASA5506(config-ca-trustpoint)# crl configure ?

crypto-ca-trustpoint mode commands/options:
  <cr>
ASA5506(config-ca-trustpoint)# crl configure
ASA5506(config-ca-crl)# ?

crypto ca trustpoint crl configuration commands:
  cache-time         Specify the refresh time in minutes for the CRL cache.
  default            Return all CRL parameters to their system default values.
  enforcenextupdate  Specify how to handle the NextUpdate CRL field. If
                     enabled, CRLs are required to have a NextUpdate field that
                     has not yet lapsed.
  exit               Exit from certificate authority trustpoint CRL
                     configuration mode
  help               Help for crypto ca trustpoint crl configuration commands
  ldap-defaults      Specify the default LDAP server and port to use if the
                     distribution point extension of the certificate being
                     checked is missing these values.
  ldap-dn            Specify the Login DN and password which defines the
                     directory path to access this CRL database.
  no                 Negate a command or set its defaults
  policy             Specify CRL retrieval policy
  protocol           Specify the permitted CRL retrieval methods.
  url                Specify a static URL from where CRLs may be retrieved.
ASA5506(config-ca-crl)# url ?

crypto-ca-crl mode commands/options:
  <1-5>  Specify the index to determine the rank of this URL. The URL at index
         1 will be tried first.
ASA5506(config-ca-crl)# url 1 ?

crypto-ca-crl mode commands/options:
  LINE < 500 char  URL
ASA5506(config-ca-crl)# url 1 http://192.168.3.16/crl.der ?

crypto-ca-crl mode commands/options:
  LINE < 500 char    <cr>
ASA5506(config-ca-crl)#

Version 9.5(1) 以降で、Static URLで指定していたCRLをManagement Interface側に置いた場合に、何か必要となる設定はございますでしょうか?

Cisco Employee

お世話になっております。詳細な事前調査ありがとうございます


お世話になっております。
詳細な事前調査ありがとうございます。

CRL の取得以外の 192.168.3.0/24 に対する通信で特に影響が出ていないようでしたら、CRL に関しては何らかの設定が不足しているというわけではなく、ソフトウェア不具合に起因している可能性があります。特に CSCuv50968 に類似した現象と考えましたが、9.5.2 では修正されていました。

そこで、9.5.2 でも回避できていないようでしたら、お手数ですが、show tech-support に加えて、以下の debug の出力をご用意いただき、サービスリクエストをオープンいただけますでしょうか。

   debug crypto ca 255
   debug crypto ca messages 255
   debug crypto ca transactions 255
   debug npshim  255 

以下は参考までに management と同じネットワークの CRL サーバへ HTTP で CRL の取得を試みたタイミングの出力例となります。

  • 9.5.1 (不具合のため失敗しています)
CRYPTO_PKI: CRL is being polled from CDP http://1.150.0.153/ca.crl.
crypto_pki_req(0x00007f1c5a12f880, 24, ...)
CRYPTO_PKI: Crypto CA req queue size = 1.
Crypto CA thread wakes up!
npshim_dev_open: chan=0x00007f1c6df59c40 tcp/CONNECT/0/1.150.0.153/80 vcid=0
npshim_connect_open: chan=0x00007f1c6df59c40
ctx=dc882 open socket on intf=0(NP Identity Ifc)
npshim_util_socket_open: ctx=dc882 sock=8fdc8 create socket successful
ctx=dc882 sock=8fdc8 failed to connect error -1
CRYPTO_PKI: socket connect error.

CRYPTO_PKI: status = 0: failed to open http connection

CRYPTO_PKI: status = 65535: failed to send out the pki message

CRYPTO_PKI: transaction HTTPGetCRL completedCrypto CA thread sleeps!
CRYPTO_PKI: Failed to retrieve CRL for trustpoint: ASDM_TrustPoint0.
Retrying with next CRL DP...
  • 9.5.2
CRYPTO_PKI: CRL is being polled from CDP http://1.150.0.153/ca.crl.
crypto_pki_req(0x00002aaac15b3e40, 24, ...)
CRYPTO_PKI: Crypto CA req queue size = 1.
Crypto CA thread wakes up!
npshim_dev_open: chan=0x00002aaab794ca80 tcp/CONNECT/4/1.150.0.153/80 vcid=0
npshim_connect_open: chan=0x00002aaab794ca80
ctx=72aae open socket on intf=4(management)
npshim_util_socket_open: ctx=72aae sock=5fb98 create socket successful
ctx=72aae sock=5fb98 connect issued to 1.150.0.153/80
ctx=72aae Ioctl TCPSETSOCK
ctx=72aae sock=5fb98 - NPSHIM_MSG_TX_READY
ctx=72aae sock=5fb98 connect successful 1.150.0.153/80
CRYPTO_PKI: http connection opened
ctx=72aae Ioctl TCPWRITEREADY - ready
CRYPTO_PKI: content dump count 63----------
CRYPTO_PKI: For function crypto_http_send
GET /ca.crl HTTP/1.0
Host: 1.150.0.153
---/snip/---
CRYPTO_PKI: HTTP response header:
HTTP/1.1 200 OK

debug npshim 255 では PKI 関連の通信以外も記録されますので、可能であれば一時的に  management 経由で ASDM や SSH を使用せずに、debug の出力を採取するようしていただけますと助かります。

どうぞよろしくお願い申し上げます。

New Member

shkono 様お忙しいところ、ご回答ありがとうございます

shkono 様

お忙しいところ、ご回答ありがとうございます!
掲載頂いた Log を確認させて頂き、9.5(2)でもManagementを向いているよう見受けられましたので、Management以外のInterfaceをshutdownして、試してみたところ、CRLを取得できました。

ASA5506(config)# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Virtual0                   127.1.0.1       YES unset  up                    up
GigabitEthernet1/1         172.25.3.30     YES CONFIG up                    up
GigabitEthernet1/2         192.168.100.254 YES CONFIG up                    up
GigabitEthernet1/3         192.168.0.254   YES CONFIG up                    up
GigabitEthernet1/4         unassigned      YES unset  administratively down down
GigabitEthernet1/5         unassigned      YES unset  administratively down down
GigabitEthernet1/6         unassigned      YES unset  administratively down down
GigabitEthernet1/7         unassigned      YES unset  administratively down down
GigabitEthernet1/8         unassigned      YES unset  administratively down down
Internal-Control1/1        127.0.1.1       YES unset  up                    up
Internal-Data1/1           unassigned      YES unset  up                    up
Internal-Data1/2           unassigned      YES unset  up                    up
Internal-Data1/3           unassigned      YES unset  up                    up
Management1/1              192.168.3.31    YES CONFIG up                    up
ASA5506(config)#
ASA5506(config)# crypto ca crl request TrustPoint1
Unable to retrieve or verify CRL
ASA5506(config)#
ASA5506(config)# int Gi1/1
ASA5506(config-if)# shutdown
ASA5506(config-if)# int Gi1/2
ASA5506(config-if)# shutdown
ASA5506(config-if)# int Gi1/3
ASA5506(config-if)# shutdown
ASA5506(config-if)#
ASA5506(config-if)# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
Virtual0                   127.1.0.1       YES unset  up                    up
GigabitEthernet1/1         172.25.3.30     YES CONFIG administratively down down
GigabitEthernet1/2         192.168.100.254 YES CONFIG administratively down down
GigabitEthernet1/3         192.168.0.254   YES CONFIG administratively down down
GigabitEthernet1/4         unassigned      YES unset  administratively down down
GigabitEthernet1/5         unassigned      YES unset  administratively down down
GigabitEthernet1/6         unassigned      YES unset  administratively down down
GigabitEthernet1/7         unassigned      YES unset  administratively down down
GigabitEthernet1/8         unassigned      YES unset  administratively down down
Internal-Control1/1        127.0.1.1       YES unset  up                    up
Internal-Data1/1           unassigned      YES unset  up                    up
Internal-Data1/2           unassigned      YES unset  up                    up
Internal-Data1/3           unassigned      YES unset  up                    up
Management1/1              192.168.3.31    YES CONFIG up                    up
ASA5506(config-if)#
ASA5506(config-if)# crypto ca crl request TrustPoint1
CRL received <<< OK!
ASA5506(config)#

折を見て、お教え頂いた debug を採取して、SR Openさせて頂きたいと思います。
Bug情報や取得Log等、いろいろご教示頂きまして、ありがとうございました。

New Member

いつもお世話になっております

いつもお世話になっております。

AnyConnectのAPEX/PLUSアクティベート手順について確認させて下さい。
弊社ASA検証機でAnyConnect Premium ⇒ APEXのアクティベート作業を実行したLogをZIPファイル【ASA_Activation_Log.zip】として参考までに添付させて頂きます。ZIPファイルを解凍頂きますと、次のLogファイルがご確認頂けます。

  • ASA5510 (PCB S/N JMX1434***M; Premium 50 & Mobile ⇒ APEX Migration)
    • ASA5510_8.0(5)31.log
    • ASA5510_8.2(5)58.log
    • ASA5510_8.3(2)44.log
    • ASA5510_8.4(7)29.log
    • ASA5510_9.0(4)37.log
    • ASA5510_9.1(6)10.log
    • ASA5510_9.1(7).log
  • ASA5515-X (PCB S/N FCH1643***G; Premium 10 & Mobile ⇒ APEX Migration)
    • ASA5515X_8.6(1)17.log
    • ASA5515X_9.0(4)37.log
    • ASA5515X_9.1(6)10.log
    • ASA5515X_9.2(4)4.log
    • ASA5515X_9.3(3)6.log
    • ASA5515X_9.4(2)3.log
    • ASA5515X_9.5(2).log


ASA5510とASA5515-Xの各Versionで、Premium ⇒ APEXのアクティベートを実行しました。ConfigはほとんどDefaultの状態(ManagementにIPを割り当てSSHアクセスに必要な設定をいれただけ)ですが、いずれも再起動無しで適用が完了できました。

印のものについては、APEX の activation-key コマンド実行後、"and will become active after the next reload." というMessageが出力されるものの、再起動せずとも"show version"に反映されています。(その他 9.1(5), 9.1(5)10 でも同様の動作であることを確認済)
については、CSCuo06987 Reload message shown when no reload is necessary かと思ったのですが、とあるSRで余談レベルで尋ねてみましたところ、ASAvのみ該当とのことで関係ないようでした。

弊社所有のASA検証機はPremiumなので、Essentials (& Mobile) ⇒ PLUSの動作確認ができません。Essentials (& Mobile)が有効なASAにPLUSを適用すると、PLUSはAPEXと同じなので、"show version"の

  • "AnyConnect Premium Peers"がHardwareスペックのVPN Session MAX値になる
  • "AnyConnect Essentials"が"Disabled"になる

ようですが、アクティベート時に再起動は発生しますでしょうか。
条件は「Essentials (& Mobile) ⇒ PLUS移行」の場合のみ (他のライセンスは一切変わらない) で、仕様・期待されるべき正しい動作を把握致しく、よろしくお願い致します。

未知・既知含め不具合による再起動の必要性を勘案する必要はございません。ただ、期待されるべき動作が不明ですと、不具合なのかどうかも判断できない状況です。再起動は「Messageに従ってください」というのも、上記のような事象もありますので、文言通り受け取りかねております。

なお、過去、顧客 ASA5515-K9 Version 9.1(2)でEssentials & Mobile ⇒ PLUSの作業時に、CSCuo05238 'show activation-key' command does not display the flash key correctly に該当していた模様で、再起動が必要になりましたが、これは不具合が理由と認識しております。

Cisco Employee

MJさん こんにちわ。

MJさん こんにちわ。

詳しい情報を有難うございます。 なお、恐縮ですが、既にAnyConnect Essentialsが有効の場合、これを無効時は 再起動が必要となります。 以下は私の検証環境のログとなりますので、ご参考になれば幸いです。

まず、以下は、AnyConnect Essentials が有効時のログです。

ciscoasa# show version | in Version
Cisco Adaptive Security Appliance Software Version 9.5(2)
Device Manager Version 7.5(2)
Baseboard Management Controller (revision 0x1) Firmware Version: 2.4

ciscoasa# show version | be Licensed
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual <--- THIS
AnyConnect Essentials : 250 perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH1746xxxx
Running Permanent Activation Key: 0xd21be65b 0x7890b0b1 0x3113310c 0xxxxxxxxx 0xxxxxxxxx
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.

次にAnyConnect Essentialsを無効化(Disable)するための Activation Keyを適用します。 適用すると 再起動を促すメッセージが出力します。 この時点では、show versionでは、まだ AnyConnect Essentialsの Disableは反映されてません。 

ciscoasa# conf t
ciscoasa(config)#
ciscoasa(config)# activation-key 8f25e246 8c842f90 b1439994 0xxxxxxxxx 0xxxxxxxxx
Validating activation key. This may take a few minutes...
The following features available in running permanent activation key are NOT
available in new permanent activation key:
AnyConnect Essentials
WARNING: The running activation key was not updated with the requested key.
Proceed with update flash activation key? [confirm]
The flash permanent activation key was updated with the requested key,
and will become active after the next reload.
ciscoasa(config)#
ciscoasa(config)# show version | be License
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 2 perpetual <--- THIS
AnyConnect Essentials : 250 perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH1746xxxx
Running Permanent Activation Key: 0xd21be65b 0x7890b0b1 0x3113310c 0xxxxxxxxx 0xxxxxxxxx <--- 旧キーのまま
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.

適用のため、設定保存後に、ASAを再起動します。

ciscoasa(config)# wr
Building configuration...
Cryptochecksum: bdcb985a 9b192a75 98d0350d d7f14eb9

7531 bytes copied in 0.760 secs
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm]

***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module

ASA起動後、AnyConnect Essentialsの無効化、及び、Permanent Activation keyの切り替わりを確認できます。

Type help or '?' for a list of available commands.
ciscoasa>
ciscoasa> en
ciscoasa# show version | be License
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 2 perpetual
Carrier : Disabled perpetual
AnyConnect Premium Peers : 250 perpetual <--- THIS
AnyConnect Essentials : Disabled perpetual <--- THIS
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Disabled perpetual
Advanced Endpoint Assessment : Disabled perpetual
Shared License : Disabled perpetual
Total UC Proxy Sessions : 2 perpetual
Botnet Traffic Filter : Disabled perpetual
IPS Module : Disabled perpetual
Cluster : Enabled perpetual
Cluster Members : 2 perpetual

This platform has an ASA 5515 Security Plus license.

Serial Number: FCH174xxxxx
Running Permanent Activation Key: 0x8f25e246 0x8c842f90 0xb1439994 0xxxxxxxxx 0xxxxxxxxx
Configuration register is 0x1

Image type : Release
Key version : A

Configuration has not been modified since last system restart.
New Member

Nakamura様AnyConnect 4.x

Nakamura様

AnyConnect 4.x のライセンス移行が始まる前後のセミナーでは「適用作業は再起動は特に必要ない」とQAでありつつも、現場では、ちょこちょこ「再起動が必要であった」というお話も出始め、いくつかSRしてみたものの「再起動するときもあればしないときもあるが、条件は示せない」ということだったので、「これは実機確認するしかない!」と思い立ちPLUSは購入してみたもののEssentialsのPerpetualはEoSで手に入らず…といった具合で、ほとほと困り果てておりましたが、ようやく根拠あるご回答を頂けて、本当に感謝しております。

お忙しいところご確認頂き、ありがとうございました!
大変助かりました。

AB
New Member

ご担当者様

ご担当者様

ASA5545-X(OS 9.1.6.10)で電源・温度・ファン異常 / 復旧の際にあがる

snmp trap oidをご教授下さい。

コンフィグガイド上はceSensorExtThresholdNotificationと記載があるのですが

「show snmp-server oidlist」コマンドでは上記oidが表示されません。

宜しくお願いいたします。

Cisco Employee

こんにちは。返信が遅くなってしまい申し訳ありません

こんにちは。返信が遅くなってしまい申し訳ありません。

ceSensorExtThresholdNotificationはあくまでSNMP Trapの名前を示すものであって、OIDが与えられたSNMPのObjectではございません。実際に、CPUの温度が高くなった場合の例を元に説明致します。

 1.  system.sysUpTime.0 = Timeticks: (50637500) 5 days, 20:39:35.00
 2.  .iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTrap.snmpTrapOID.0 = ceSensorExtThresholdNotification
 3.  ceSensorExtThresholdValue.13.1 = 0
 4.  entPhySensorValue.13 = 0
 5.  entPhySensorType.13 = truthvalue(12)
 6.  entPhysicalName.13 = CPU Temperature sensor 0/0

上記の通り、SNMPv2 trapは1行目がsysUpTime)、2行目がsnmpTrapOID(※SNMP Trapであること自体を表します)となっており、その値が、仰っているceSensorExtThresholdNotificationとなります。

今回の電源、温度、ファン異常のセンサー関連のSNMP Trapであれば、3~6行目は、Configuration Guideの表 37-5 サポートされているトラップ(通知) の、ceSensorExtThresholdNotificationの変数バインドリストの項目に記載されている、4つのOIDになります。

従って、必要なSNMP TrapのOIDは以下の通りです。

system.sysUpTime (1.3.6.1.2.1.1.3)
.iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTrap.snmpTrapOID (1.3.6.1.6.3.1.1.4.1)
   ->今回のご要望の場合この値は必ずceSensorExtThresholdNotificationになります
ceSensorExtThresholdValue (1.3.6.1.4.1.9.9.745.1.1.1.4)
entPhySensorValue (1.3.6.1.2.1.99.1.1.1.4)
entPhySensorType (1.3.6.1.2.1.99.1.1.1.1)
entPhysicalName (1.3.6.1.2.1.47.1.1.1.1.7)

必要なMIBファイルについては、SNMP Object Navigatorをご参照いただけたらと思います。


AB
New Member

Kato様

Kato様

返信頂き有難うございます。

恐れいりますが以下についても教えて頂けますでしょうか。

ご教授頂いたceSensorExtThresholdNotificationの変数バインドリストの項目

(ceSensorExtThresholdValue、entPhySensorValue、entPhySensorType、entPhysicalName)

と、SNMP Object NavigatorでceSensorExtThresholdNotificationの

Trap Componentsで表示される内容(entPhysicalName,entPhysicalDescr,entPhySensorValue,entPhySensorType,ceSensorExtThresholdValue)

が異なるようなのですが、どちらが正しい内容となりますでしょうか。

また、これらは復旧時にもtrapがあがるという理解で宜しいでしょうか。

宜しくお願いいたします。

Cisco Employee

AB様

AB様

大変恐縮なのですが、現時点で明確な回答が難しい内容であり、検証や必要に応じて開発へ仕様確認が必要な内容のため、厳密な確認が必要であれば、TACへのサービスリクエストを、オープンいただけないでしょうか。

恐らく、ASAのConfiguration Guideに書いてある内容(entPhysicalDescrがないもの)が、複数の過去事例から判断するに正しいかと思いますが、厳密には物理的なセンサーのイベントを発生させることが検証出来ないため、すぐにお答えすることが出来ない状況です。

また、温度の復旧時についてですが、過去事例を確認している限りではtrapは上がらないと思われます。こちらも簡単に検証できる内容ではないため、開発への確認が必要なため、サービスリクエストでの対応とさせていただきたくお願い致します。

恐れ入りますが、何卒ご了承いただきたくお願い致します。

2152
閲覧回数
45
いいね!
31
返信
作成コンテンツを作成するには してください