シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。

ASA5500 シリーズ全般について (月間 エキスパートに質問)

シスコのサポートエンジニアに質問して疑問を解決できる「エキスパートに質問」へようこそ!
シスコのエキスパートから、アドバイスや最新の情報が得られる場として気軽にご質問ください。

開催期間: 2015年3月1日~31日
担当エキスパート: セキュリティテクノロジー担当エンジニア

テクニカルアシスタンスセンター(TAC) で、ASA 5500 シリーズに関するテクニカルサポートを担当するエンジニア達が、1か月間ご質問に回答いたします。
※本ディスカッションは、ASA 5500 シリーズ に関するご質問が対象です。

[質問方法]
・サポートコミュニティへ Cisco.com ID でログインすると、この説明の右下に「返信」ボタンが表示されます。「返信」ボタンのクリック後に表示される投稿欄に質問をご記入ください。「Submit」ボタンをクリックすると質問が投稿されます。
・個別のディスカッションが進行している場合でも、新規質問の投稿は可能です。
期間終了後の投稿は、事務局より通常コミュニティへの再投稿をご案内させて頂きます。


[エキスパートからの回答について]
・ご質問の投稿から原則数日以内に回答できるよう努めますが、内容によっては、確認に時間をいただく場合もありますのでご了承ください。
・ご質問の内容がエキスパートの担当範囲外の場合は、サポートコミュニティ事務局から適切な投稿先をご案内させて頂きます。
・エキスパートからの回答が参考になった場合は、コメント及び評価機能にてエキスパートにお伝えください。

[制限事項]
・ソフトウェアの不具合に関するご質問は、本ディスカッションの対象外とさせて頂きます。
・ご質問の内容がソフトウェアの不具合に該当するか、詳細な調査が必要と判断した場合は、サービスリクエストでのお問い合わせをご案内させて頂きます。

18 件の返信
New Member

http://www.cisco.com/c/en/us

http://www.cisco.com/c/en/us/products/security/asa-5500-series-next-generation-firewalls/datasheet-listing.html

データシートに記述が見つからなかったため、質問させてください

 

1,ASA 5585-X Chas with SSP20,8GE,2SFP+,2GE Mgt,2 AC,3DES/AES
2,ASA 5525-X with SW, 8GE Data, 1GE Mgmt, AC, 3DES/AES

 

上記2製品の皮相電力(単位:VA)を教えてください

その他のASA55xxシリーズもデータがありましたら追加で回答お願い致します

 

 

Cisco Employee

t-shikaさん、こんにちわ。以下資料を確認頂きながら

t-shikaさん、こんにちわ。

以下資料を確認頂きながら、ご利用環境のボルトに応じて、計算頂くのは如何でしょうか。 例えば、CiscoASA 5585-X with SSP-20の場合は、200V利用時は4.5Aですので、VA = 200V x 4.5A= 900 になると思います。

ASA5500シリーズ
http://www.cisco.com/web/JP/product/hs/security/asa/prodlit/product_data_sheet0900aecd802930c5.html

ASA5512-X~ASA5555-X
http://www.cisco.com/web/JP/product/hs/security/asa/prodlit/data-sheet-c78-729807.html

ASA5585-X
http://www.cisco.com/c/en/us/products/collateral/security/asa-5500-series-next-generation-firewalls/datasheet-c78-730903.html?cachemode=refresh

New Member

回答ありがとうございました

回答ありがとうございました

もう1点回答お願いします

ASA5525では4.85Aのみの記載ですが

100V × 4.85 = 485VA

仮に200VでCAB-L620P-C13-JPNまたは CAB-C13-C14-AC

ケーブルにて接続した場合200V ×2.425A  = 485VAでしょうか?

http://www.cisco.com/web/JP/reseller/program/phj/power_cable.html#asa02

 

 

Cisco Employee

t-shikaさん、こんばんわ。ASA5525-Xの場合

t-shikaさん、こんばんわ。

ASA5525-Xの場合、公称の最大アンペア数はデータシートに記載の通りとなり、それ以上のお答えが難しい状態です。なお、ASA5525-Xは 400 Watts対応電源を利用しております為、そこから類推頂ければ幸いです。御必要に応じて、TACまで直接お問い合わせを頂けますでしょうか。

T S
New Member

ASA5500Xシリーズのinboundからoutboud

ASA5500XシリーズのinboundからoutboudへのPingについて質問させてください。

Inboundに接続されているPCからASAのoutbound側のInterfaceにPingができないのですが、
可能でしょうか。
またManagement portに接続されているPCからASAのInbound、outboundそれぞれへのPingもできません。


Inboundに接続されているPCからASAのInboundへのPingはできます。
Outboundに接続されているPCからASAのOutboundへのPingはできます。

 

Cisco Employee

T Sさん、こんにちわ

T Sさん、こんにちわ

ASAはセキュリティ上、遠く離れたインターフェイス(a far interface)のPING応答は行いません。詳しくは以下のCLI Bookもご確認ください。

[CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.3]​
http://www.cisco.com/c/en/us/td/docs/security/asa/asa93/configuration/firewall/asa-firewall-cli/access-rules.html

[抜粋]
Configure ICMP Access Rules:
By default, you can send ICMP packets to any ASA interface using either IPv4 or IPv6, with these exceptions:
    The ASA only responds to ICMP traffic sent to the interface that traffic comes in on; you cannot send ICMP traffic through an interface to a far interface.

その為、もしASAの各インターフェイスのIP疎通性を確認したい場合は、お手数ですが、ASA本体から、各InsideやOutsideの任意端末やゲートウェイ宛にPING確認頂くと良いかもしれません。

New Member

お世話になります。AnyConnect 4

お世話になります。

AnyConnect 4.0からライセンス体系が変更になり、Premium/Essentialライセンスが廃止されました。

ASAには、デフォルトで2ユーザ分のPremiumライセンスがデフォルトで付いていましたが、

AC4.0以降では、デフォルトのライセンスはどう考えたらよいのでしょうか?

2ユーザ分のAPEXライセンスが付属していると考えてよろしいでしょうか?

 

よろしくお願いします。


 

Cisco Employee

ASAでDefaultで有効となるPremiumライセンス

ASAでDefaultで有効となるPremiumライセンスは、AnyConnectの接続を2セッション許可することになりますので、AnyConnect4.0からの接続は受け入れられます。

しかしながら、AnyConnect 4.0のライセンスではありませんので、AnyConnect 4.0をご利用いただく際には別途AnyConnectのライセンスを購入頂く必要があります。

 

[AnyConnect 3.xまで]

  • ASA側でAnyConnectのライセンスを管理するモデル
  • DefaultのPremiumライセンスで2接続まで利用可能

[AnyConnect 4.0以降]

  • AnyConnetのライセンスは、ASAのライセンスから分離
  • ASAとしては接続を許可するが、AnyConnect 4.0の利用許諾とはならない

このような違いとなりますので、AnyConnect 4.0の場合には評価目的での利用に限られるとお考えいただければと思います。
評価ライセンスと同等の扱いになりますので、APEX/PLUSライセンスを購入頂く前はTACサポートの対象外となりますので、その旨予めご了承ください。

New Member

aktosaさんご回答ありがとうございます

aktosaさん


ご回答ありがとうございます。

上記で承知いたしました。

 

New Member

機種:ASA 5512-Xios:9.1(2)

機種:ASA 5512-X

ios:9.1(2)

 

Protocol Inspectionについてご質問させてください。

 

DMZのSMTPメールサーバアプリケーションを入れ替えた際に、メール遅延が発生しました。

その際、Protocol InspectionのeSMTPを無効にすることで、遅延を解消することができました。

 

eSMTPの働きについて、どのような動き(パケット検査の内容)をしているのか、教えて頂けますと幸いです。

(例えば、添付ファイルのサイズが大きい場合や宛先がたくさん入っている場合はパケットがドロップされるのか等)

 

よろしくお願い致します。

Cisco Employee

CSCO12343617さん、こんにちわ。

CSCO12343617さん、こんにちわ。

遅延の原因が、トラフィック量に起因した純粋なASAの処理遅延なのか、ASAが何らかのパケットをドロップした為のアプリケーション側の再送処理等による遅延か、もしくはその複合かで、ポイントが変わってきてしまいますが、以下がご参考になれば幸いです。

まず、ESMTPインスペクションの動きについては、以下URLがとても参考になるかと思います。

[ASA9.1: SMTP および拡張 SMTP インスペクション]
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/003/inspect_basic.html?bid=0900e4b183273703#43596

ESMTPインスペクションは、SMTPと拡張SMTP通信(TCP25)の、不正なコマンドラインや、文字、サイズなどのセキュリティチェックを行います。RFC上、好ましくないトラフィック(例えば巨大なヘッダサイズや、不完全なコマンド)はドロップ対象になります。ドロップ数は以下コマンドで確認いただけます。

asa5515# show service-policy | in esmtp
      Inspect: esmtp _default_esmtp_map, packet 0, lock fail 0, drop 0, reset-drop 0, v6-fail-close 0

上記URLに記載の通り、ESMTPインスペクションは細かなセキュリティチェックを行いますので、ASAのサポートするインスペクション機能の中では、最も負荷の高い機能の1つです。

外部公開SMTPサーバのセキュリティチェックには有益な機能ですが、社内の信頼されたSMTPサーバ間の通信の場合は 当チェックの有効性が低い場合も御座います。細かなチェックを行うため、(特に独自の機能拡張を行っているような)メールサーバアプリケーションとの相性問題の発生の恐れも御座います。また、膨大なSMTPトラフィックが発生時は、ASAの処理能力低下や遅延を引き起こします。

その為、ご利用構成によっては、ESMTPインスペクションを無効化頂いている お客様も少なくありません。

以下は、通常のTCP新規パケットと、インスペクション有効時のSMTPパケットの内部処理フロー概要です。合わせご参考になれば幸いです。

New Member

基本的なことですが

基本的なことですが、折角の機会ですので普段もやもやしていることを質問させていただきます。

FWの書き方についてです。

 

送信元:LAN側のクライアント

宛先:WAN側の特定グローバル

行動:許可

プロトコル:icmp

この場合、WAN側の特定グローバルを送信元とした許可ルールを記載しないとicmpの返りが戻ってこないという認識であってますでしょうか?

 

Cisco Employee

こんにちは。デフォルトの設定では仰るような動作となりますが

こんにちは。

デフォルトの設定では仰るような動作となりますが、そのようなケースではICMP Inspectionを有効にするのがよいかと存じます。ICMP Inspectionを有効にした状態で、LAN -> WAN方向にICMPのACLを設定することで、通常のTCPのStateful Inspectionと同様に、自動的に戻り方向(WAN-> LAN)のICMPが許可されます。

設定方法ですが、デフォルトのpolicy-map global_policyを使っている場合は以下の設定となります。

policy-map global_policy
 class inspection_default
  inspect icmp

デフォルトではICMP Inspectionは無効となっております。

詳しくはこちらをご確認いただけたらと思います。

http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/conns_trouble.html#pgfId-1292185

 

 

New Member

>Kenichiro Katoさん

>Kenichiro Katoさん

 

返信ありがとうございます。

 

なるほど、インスペクションで制御できたのですね。

TCPの場合は返りのFWなしで通信できることも疑問でした。

ちなみに、TCPはインスペクションの中でどの項目が関連してくるのでしょうか?

重ねて質問恐縮ですが

UDPの場合も教えて頂けますと幸いです。

 

上記、よろしくお願い致します。

Cisco Employee

こんばんは。TCP/UDPの場合は

こんばんは。

TCP/UDPの場合は、今回説明させていただいたICMP Inspectionとは無関係に有効であり、無効にすることはできません。

(厳密に言えば、TCP State bypassという機能があり、行きと帰りのパケットが別のASAを通るような場合にTCPのStateをBypassさせるというものがありますが。)

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/intro_intro.html?bid=0900e4b182bdeb70#87575

今回ご質問頂いていたICMPについては、処理が簡単で早いTCP/UDP(これを高速パスといいます。)とは異なり、CPU処理による高度なInspection処理が必要であり、別途ご質問いただいていたESMTPと同様、特別に設定をするものと考えていただいた方がよいかと思います。

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/AdaptiveSecurDeviceMGR/CG/006/inspect_overview.html?bid=0900e4b182bdeb70

 

New Member

下記URLによりますとASAを冗長化構成で使用する場合はメ

下記URLによりますとASAを冗長化構成で使用する場合はメモリ容量が同じでなければならないと記述されておりますが、この件について下記お問合せがあります。

(1)上記条件の理由

(2)もし、Active側の物理メモリ容量1GBで現在の使用メモリー容量が256MB以下の場合、

Standby側の物理メモリ容量が256MBでも動作することは可能でしょうか。またその理由も教えて頂けませんでしょうか。

お問合せ理由:ASA5510は出荷時期により物理メモリーが256MBと1GBが存在する為です。

機種はASA5510、ソフトバージョンは8.2(2)です。

 

http://www.cisco.com/cisco/web/support/JP/docs/SEC/Multi-FunctionSecur/ASA5500AdaptiveSecurAppli/CG/008/8629_01_11.html?bid=0900e4b1825ae607#pgfId-89247

Cisco Employee

shoyamatakashiさん、こんばんわ。

shoyamatakashiさん、こんばんわ。

ASA8.2の場合は以下URLにて確認頂けますが、ご期待に添えず恐縮ですが、ハードウェア要件を満たさない構成は、サポート対象外となります。その為、私達からは、要件を満たさない構成に関しては、お答えが難しい状態です。

[ASA8.2: Information About High Availability]
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/configuration/guide/config/ha_overview.html#wp1077536

Hardware Requirements
The two units in a failover configuration must be the same model, have the same number and types of interfaces, and the same SSMs installed (if any). Both units must have the same amount of RAM memory installed.

 

ASAのメモリの主な利用用途としては、設定の展開や、各種パケットのバッファの他、WebVPNや脅威検出、コネクションやXlateのテーブルの両機器での保持にも利用しています。その為、私個人の見解ですが、アクティブ機が故障した時の、スタンバイ機への 通信停止の無いフェイルオーバーと、その後の通信継続の為にも、冗長機器は 同じメモリ状態である必要があるかと思っています。

上記ですと応えになってないかもしれないのですが、申し訳ないのですが、ご容赦・ご了承いただけますでしょうか。

New Member

回答ありがとうございます

回答ありがとうございます。

メモリーの利用用途の説明ありがとうございます。

ハードウエア要件を満たさないと動作が保障されないこと

メモリ容量が異なるとフェールオーバの正常動作が保障されない可能性があると認識致しました。

 

 

 

1143
閲覧回数
10
いいね!
18
返信
作成コンテンツを作成するには してください