この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、既存のネットワークに適合するようにデフォルトの IP アドレッシング方式を変更する必要がある場合、または複数のワイヤレス VLAN が必要な場合に、Cisco 適応型セキュリティ アプライアンス(ASA) 5506W-X デバイスの初回インストールおよび設定方法について説明します。 ワイヤレス アクセス ポイント(WAP)にアクセスするだけでなく、その他のサービス(DHCP など)が期待どおりに機能し続けるようにするために、デフォルトの IP アドレスを変更する際に必要になるいくつかの設定変更があります。 また、このドキュメントでは、WAPの初期設定を完了しやすくするために、統合ワイヤレスアクセスポイント(WAP)のCLI設定例をいくつか紹介します。このドキュメントは、シスコのWebサイトで入手できる既存のCisco ASA 5506-Xクイックスタートガイドを補足するものです。
このドキュメントでは、ワイヤレス アクセス ポイントを含む Cisco ASA5506W-X デバイスの初期構成にのみ適用され、既存の IP アドレッシング方式を変更するか、別のワイヤレス VLAN を追加する場合に必要なさまざまな変更に対処することのみを意図しています。 デフォルト設定のインストールでは、既存の『ASA 5506-X クイック スタート ガイド』を参照する必要があります。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
次の画像は、2 つの異なるトポロジに適用される IP アドレッシングの例です。
ASA + FirePOWER、内部スイッチあり:
ASA + FirePOWER、内部スイッチなし:
クライアントにコンソール ケーブルを接続し、ASA に電源を入れて起動したら、次の手順を順番どおりに実行する必要があります。
既存の環境内で、必要に応じて IP アドレスを持つように内部(GigabitEthernet 1/2)インターフェイスと WiFi (GigabitEthernet 1/9)インターフェイスを設定します。 この例では、内部クライアントは 10.0.0.1/24 ネットワーク上にあり、WiFi クライアントは 10.1.0.1/24 ネットワーク上にあります。
asa(config)# interface gigabitEthernet 1/2 asa(config-if)# ip address 10.0.0.1 255.255.255.0 asa(config)# interface gigabitEthernet 1/9 asa(config-if)# ip address 10.1.0.1 255.255.255.0[an error occurred while processing this directive]
注:上記のインターフェイスIPアドレスを変更すると、この警告が表示されます。 これは予想どおりの結果です。
Interface address is not on same subnet as DHCP pool WARNING: DHCPD bindings cleared on interface 'inside', address pool removed[an error occurred while processing this directive]
環境内で ASA が DHCP サーバとして使用される場合、この手順が必要です。 別の DHCP サーバを使用してクライアントに IP アドレスが割り当てられた場合、元の DHCP は ASA 上で完全に無効にする必要があります。 IP アドレッシング方式を変更したので、ASA がクライアントに提供している既存の IP アドレス範囲を変更する必要があります。 次のコマンドは、新しい IP アドレス範囲と一致するように、新しいプールを作成します。
asa(config)# dhcpd address 10.0.0.2-10.0.0.100 inside asa(config)# dhcpd address 10.1.0.2-10.1.0.100 wifi[an error occurred while processing this directive]
また、DHCP プールを変更すると、ASA 上の以前の DHCP サーバを無効にするので、それを再度有効にする必要があります。
asa(config)# dhcpd enable inside[an error occurred while processing this directive]
asa(config)# dhcpd enable wifi
DHCP の変更を行う前にインターフェイスの IP アドレスを変更しないとこのエラーが表示されます。
asa(config)# dhcpd address 10.0.0.2-10.0.0.100 inside Address range subnet 10.0.0.2 or 10.0.0.100 is not the same as inside interface subnet 192.168.1.1[an error occurred while processing this directive]
クライアントが DHCP 経由で IP アドレスを割り当てる場合、ほとんどのクライアントに DHCP サーバが DNS サーバを割り当てる必要があります。 次のコマンドは、すべてのクライアントに対して、10.0.0.250 にある DNS サーバを含めるように ASA を設定します。 内部 DNS サーバまたは ISP から提供された DNS サーバのいずれかの代わりに 10.0.0.250 を用いる必要があります。
asa(config)# dhcpd dns 10.0.0.250 interface inside asa(config)# dhcpd dns 10.0.0.250 interface wifi[an error occurred while processing this directive]
IP アドレッシングが変更されているので、内部ネットワークおよび WiFi ネットワーク上のクライアントが ASDM にアクセスして ASA を管理できるように、ASA への HTTP アクセスも変更する必要があります。
asa(config)# no http 192.168.1.0 255.255.255.0 inside[an error occurred while processing this directive]
asa(config)# no http 192.168.10.0 255.255.255.0 wifi
asa(config)# http 0.0.0.0 0.0.0.0 inside asa(config)# http 0.0.0.0 0.0.0.0 wifi
注:この設定では、内部インターフェイスまたはWiFiインターフェイス上のすべてのクライアントがASDM経由でASAにアクセスできます。セキュリティのベストプラクティスとして、アドレスの範囲を信頼できるクライアントのみに制限する必要があります。
asa# session wlan console ap>enable Password: Cisco ap#configure terminal Enter configuration commands, one per line. End with CNTL/Z. ap(config)#interface BVI1 ap(config-if)#ip address 10.1.0.254 255.255.255.0[an error occurred while processing this directive]
この手順は、発信元がローカル サブネットではないすべてのトラフィックの送信先を WAP に知らせるために必要です。 これは、ASA の内部インターフェイス上のクライアントから HTTP 経由で WEB GUI にアクセスするできるようにするのに必要です。
ap(config)#ip default-gateway 10.1.0.1[an error occurred while processing this directive]
Cisco FirePOWER (別名 SFR)モジュールも導入予定の場合、その IP アドレスを変更し、ASA 上の物理管理 1/1 インターフェイスからそのモジュールにアクセスできるようにする必要があります。ASA および SFR モジュールを設定する方法を決定する 2 つの基本的な導入シナリオがあります。
シナリオに応じて、適切な手順は次のとおりです。
モジュールに接続してセッションを開始し、モジュールを内部スイッチに接続する前に ASA からそれを変更できます。 この設定では、10.0.0.254 の IP アドレスを持つ ASA の内部インターフェイスと同じサブネット上に SFR モジュールを配置することで、IP 経由でそのモジュールにアクセスできます。
太字の行は、この例に固有のもので、IP 接続を確立するのに必要です。
イタリックの行は環境ごとに異なります。
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506W v5.4.1 (build 211) Sourcefire3D login: admin Password: Sourcefire <<Output Truncated - you will see a large EULA>> Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.0.0.254
Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0
Enter the IPv4 default gateway for the management interface []:
10.0.0.1
[an error occurred while processing this directive]
Enter a fully qualified hostname for this system [Sourcefire3D]: Cisco_SFR
Enter a comma-separated list of DNS servers or 'none' []: 10.0.0.250
Enter a comma-separated list of search domains or 'none' [example.net]: example.net
If your networking information has changed, you will need to reconnect.
For HTTP Proxy configuration, run 'configure network http-proxy'
Applying 'Default Allow All Traffic' access control policy.
注:デフォルトのアクセスコントロールポリシーがSFRモジュールに適用されるまで数分かかることがあります。 適用が完了したら、Ctrl+Shift+6+X (CTRL^ X)を押して SFR モジュール CLI からエスケープし、ASA に戻ることができます。
内部スイッチは、一部の小規模な導入では内部スイッチが存在しない可能性があります。 そのようなタイプのトポロジでは、クライアントは一般的に WiFi インターフェイス経由で ASA に接続します。 そのようなシナリオでは、外部スイッチの必要性をなくし、別の物理 ASA インターフェイスに管理 1/1 インターフェイスを相互接続することで、別の ASA インターフェイス経由で SFR モジュールにアクセスできます。
そのような例では、ASA GigabitEthernet 1/3 インターフェイスと管理 1.1 インターフェイスとの間に物理的なイーサネット接続が存在している必要があります。 さらに、ASA と SFR モジュールを別のサブネット上に存在するように設定すると、内部インターフェイスまたは WiFi インターフェイスに配置されたクライアントと ASA の両方から SFR にアクセスできます。
ASA インターフェイスの設定:
asa(config)# interface gigabitEthernet 1/3 asa(config-if)# ip address 10.2.0.1 255.255.255.0 asa(config-if)# nameif sfr INFO: Security level for "sfr" set to 0 by default. asa(config-if)# security-level 100 asa(config-if)# no shut[an error occurred while processing this directive]
SFR モジュールの設定:
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. Cisco ASA5506W v5.4.1 (build 211) Sourcefire3D login: admin Password: Sourcefire <<Output Truncated - you will see a large EULA>> Please enter 'YES' or press <ENTER> to AGREE to the EULA: YES System initialization in progress. Please stand by. You must change the password for 'admin' to continue. Enter new password: Confirm new password: You must configure the network to continue. You must configure at least one of IPv4 or IPv6. Do you want to configure IPv4? (y/n) [y]: y Do you want to configure IPv6? (y/n) [n]: n Configure IPv4 via DHCP or manually? (dhcp/manual) [manual]:
Enter an IPv4 address for the management interface [192.168.45.45]: 10.2.0.254 Enter an IPv4 netmask for the management interface [255.255.255.0]: 255.255.255.0 Enter the IPv4 default gateway for the management interface []: 10.2.0.1
Enter a fully qualified hostname for this system [Sourcefire3D]: Cisco_SFR Enter a comma-separated list of DNS servers or 'none' []: 10.0.0.250 Enter a comma-separated list of search domains or 'none' [example.net]: example.net If your networking information has changed, you will need to reconnect. For HTTP Proxy configuration, run 'configure network http-proxy' Applying 'Default Allow All Traffic' access control policy.[an error occurred while processing this directive]
注:デフォルトのアクセスコントロールポリシーがSFRモジュールに適用されるまで数分かかることがあります。 適用が完了したら、Ctrl+Shift+6+X (CTRL^ X)を押して SFR モジュール CLI からエスケープし、ASA に戻ることができます。
SFR の設定が適用されたら、ASA から SFR の管理 IP アドレスに ping を実行できるはずです。
asa# ping 10.2.0.254
Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.2.0.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms asa#[an error occurred while processing this directive]
インターフェイスに正常に ping を実行できない場合は、物理的なイーサネット接続の設定および状態を確認します。
この時点で、クイック スタート ガイドで説明したように、WAP を管理するために HTTP GUI 経由で接続できるはずです。 5506Wの内部ネットワークに接続されているクライアントのWebブラウザからWAPのBVIインターフェイスのIPアドレスを参照するか、または設定例を適用してWAPのSSIDに接続する必要があります。次のCLIを使用しない場合は、クライアントからASAのGigabit1/2インターフェイスにイーサネットケーブルを接続する必要があります。
CLI を使用して WAP を設定する場合は、ASA から WAP に接続してセッションを開始し、ここでの例の設定を使用できます。これにより、5506W と 5506W_5Ghz という名前のオープン SSID が作成されるので、ワイヤレス クライアントを使用して WAP に接続し、さらなる管理を実行できます。
注:この設定を適用した後、GUIにアクセスしてSSIDにセキュリティを適用し、ワイヤレストラフィックが暗号化されるようにします。
dot11 ssid 5506W authentication open guest-mode dot11 ssid 5506W_5Ghz authentication open guest-mode ! interface Dot11Radio0 ! ssid 5506W ! interface Dot11Radio1 ! ssid 5506W_5Ghz ! interface BVI1 ip address 10.1.0.254 255.255.255.0 ip default-gateway 10.1.0.1 ! interface Dot11Radio0 no shut ! interface Dot11Radio1 no shut[an error occurred while processing this directive]
この時点から、通常の手順を実行してWAPの設定を完了できます。また、上記で作成したSSIDに接続しているクライアントのWebブラウザからWAPにアクセスできる必要があります。アクセスポイントのデフォルトのユーザ名は「Cisco」で、パスワードは「Cisco」、パスワードは「C」です。
Cisco ASA 5506-X シリーズ クイック スタート ガイド
クイック スタート ガイドに記載されているように、192.168.10.2 の代わりに 10.1.0.254 の IP アドレスを使用する必要があります。
設定結果が出力と一致している必要があります(IP 範囲の例を使用した場合。それ以外の場合は、適宜置き換えてください)。
インターフェイス:
注:斜体の行は、内部スイッチがない場合にのみ適用されます。
asa# sh run interface gigabitEthernet 1/2
! interface GigabitEthernet1/2 nameif inside security-level 100 ip address 10.0.0.1 255.255.255.0
asa# sh run interface gigabitEthernet 1/3
!
interface GigabitEthernet1/3
nameif sfr
security-level 100
ip address 10.2.0.1 255.255.255.0
asa# sh run interface gigabitEthernet 1/9
! interface GigabitEthernet1/9 nameif wifi security-level 100 ip address 10.1.0.1 255.255.255.0 asa#[an error occurred while processing this directive]
DHCP:
asa# sh run dhcpd
[an error occurred while processing this directive]
dhcpd auto_config outside **auto-config from interface 'outside' **auto_config dns x.x.x.x x.x.x.x <-- these lines will depend on your ISP **auto_config domain isp.domain.com <-- these lines will depend on your ISP ! dhcpd address 10.0.0.2-10.0.0.100 inside dhcpd dns 10.0.0.250 interface inside dhcpd enable inside ! dhcpd address 10.1.0.2-10.1.0.100 wifi dhcpd dns 10.0.0.250 interface wifi dhcpd enable wifi ! asa#
HTTP:
asa# show run http
http server enable http 0.0.0.0 0.0.0.0 outside http 0.0.0.0 0.0.0.0 inside asa#[an error occurred while processing this directive]
asa# session wlan console ap>enable Password: Cisco ap#configure terminal Enter configuration commands, one per line. End with CNTL/Z.
ap#show configuration | include default-gateway
ip default-gateway 10.1.0.1
ap#show configuration | include ip route
ip route 0.0.0.0 0.0.0.0 10.1.0.1
ap#show configuration | i interface BVI|ip address 10
[an error occurred while processing this directive]
interface BVI1 ip address
10.1.0.254 255.255.255.0
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show network ===============[ System Information ]=============== Hostname : Cisco_SFR Domains : example.net DNS Servers : 10.0.0.250 Management port : 8305
IPv4 Default route Gateway : 10.0.0.1
======================[ eth0 ]====================== State : Enabled Channels : Management & Events Mode : MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : B0:AA:77:7C:84:10
----------------------[ IPv4 ]---------------------
Configuration : Manual Address : 10.0.0.254 Netmask : 255.255.255.0 Broadcast : 10.0.0.255
----------------------[ IPv6 ]---------------------- Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled >[an error occurred while processing this directive]
asa# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show network ===============[ System Information ]=============== Hostname : Cisco_SFR Domains : example.net DNS Servers : 10.0.0.250 Management port : 8305
IPv4 Default route Gateway : 10.2.0.1
======================[ eth0 ]====================== State : Enabled Channels : Management & Events Mode : MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : B0:AA:77:7C:84:10
----------------------[ IPv4 ]--------------------- Configuration : Manual Address : 10.2.0.254 Netmask : 255.255.255.0 Broadcast : 10.2.0.255
----------------------[ IPv6 ]---------------------- Configuration : Disabled ===============[ Proxy Information ]================ State : Disabled Authentication : Disabled >[an error occurred while processing this directive]
インストール プロセスを完了するために、WAP への接続が適切かどうかを確認するには:
この設定は、単一のワイヤレス VLAN を使用することを前提としています。ワイヤレス AP 上のブリッジ仮想インターフェイス(BVI)は、複数の VLAN にブリッジを提供できます。5506W を複数の VLAN 用に DHCP サーバとして設定する場合、Gigabit 1/9 インターフェイス上にサブインターフェイスを作成し、それぞれに名前を付ける必要があります。これは、ASA 上の DHCP の構文が原因です。この項では、デフォルト設定を削除する方法、および複数の VLAN 用に ASA を DHCP サーバとしてセットアップするのに必要な設定を適用する方法について、そのプロセスを段階的に説明します。
最初に、Gig 1/9 (WiFi)インターフェイス上の既存の DHCP 設定を削除します。
ciscoasa# no dhcpd address 10.1.0.2-10.1.0.100 wifi[an error occurred while processing this directive]
ciscoasa# no dhcpd enable wifi
アクセス ポイントに設定した VLAN ごとに、Gig 1/9 のサブインターフェイスを設定する必要があります。次の設定例では、2 つのサブインターフェイスを追加します。
-Gig 1/9.5 (nameif vlan5 を持ち、VLAN 5 およびサブネット 10.5.0.0/24 に応答する)
-Gig 1/9.30 (nameif vlan30 を持ち、VLAN 30 およびサブネット 10.3.0.0/24 に応答する)
実際には、ここで設定した VLAN とサブネットが、アクセス ポイントで指定した VLAN とサブネットと一致していることが不可欠です。nameif およびサブインターフェイス番号は任意のものを選択できます。 Web GUI を使用してアクセス ポイントを設定するには、前述のクイック スタート ガイドのリンクを参照してください。
ciscoasa(config)# interface g1/9.5[an error occurred while processing this directive]
ciscoasa(config-if)# vlan 5
ciscoasa(config-if)# nameif vlan5
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.5.0.1 255.255.255.0
ciscoasa(config-if)# interface g1/9.30
ciscoasa(config-if)# vlan 30
ciscoasa(config-if)# nameif vlan30
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 10.30.0.1 255.255.255.0
ciscoasa(config)# dhcpd address 10.5.0.2-10.5.0.254 vlan5 ciscoasa(config)# dhcpd address 10.30.0.2-10.30.0.254 vlan30 ciscoasa(config)# dhcpd enable vlan5 ciscoasa(config)# dhcpd enable vlan30[an error occurred while processing this directive]
最後に、ASA の設定に対応するようにアクセス ポイントを設定する必要があります。アクセス ポイントの GUI インターフェイスを使用すると、内部の ASA の内部(Gigabit 1/2)インターフェイスに接続されたクライアント経由で AP 上の VLAN を設定できます。ただし、CLIを使用してASAコンソールセッションでAPを設定し、その後ワイヤレス接続でAPを管理する場合は、この設定をテンプレートとして使用し、VLAN 5と30で2つのSSIDを作成できます。これは、APコンソール内でグローバルコンフィギュレーションモードで入力する必要があります。
dot11 vlan-name VLAN30 vlan 30 dot11 vlan-name VLAN5 vlan 5 ! dot11 ssid SSID_VLAN30 vlan 30 authentication open mbssid guest-mode ! dot11 ssid SSID_VLAN5 vlan 5 authentication open mbssid guest-mode ! interface Dot11Radio0 ! ssid SSID_VLAN30 ! ssid SSID_VLAN5 mbssid ! interface Dot11Radio0.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 subscriber-loop-control bridge-group 5 spanning-disabled bridge-group 5 block-unknown-source no bridge-group 5 source-learning no bridge-group 5 unicast-flooding ! interface Dot11Radio0.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 subscriber-loop-control bridge-group 30 spanning-disabled bridge-group 30 block-unknown-source no bridge-group 30 source-learning no bridge-group 30 unicast-flooding ! interface Dot11Radio1 ! ssid SSID_VLAN30 ! ssid SSID_VLAN5 mbssid ! interface Dot11Radio1.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 subscriber-loop-control bridge-group 5 spanning-disabled bridge-group 5 block-unknown-source no bridge-group 5 source-learning no bridge-group 5 unicast-flooding ! interface Dot11Radio1.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 subscriber-loop-control bridge-group 30 spanning-disabled bridge-group 30 block-unknown-source no bridge-group 30 source-learning no bridge-group 30 unicast-flooding ! interface GigabitEthernet0.5 encapsulation dot1Q 5 bridge-group 5 bridge-group 5 spanning-disabled no bridge-group 5 source-learning ! interface GigabitEthernet0.30 encapsulation dot1Q 30 bridge-group 30 bridge-group 30 spanning-disabled no bridge-group 30 source-learning ! interface BVI1 ip address 10.1.0.254 255.255.255.0 ip default-gateway 10.1.0.1 ! interface Dot11Radio0 no shut ! interface Dot11Radio1 no shut[an error occurred while processing this directive] この時点で、ASAとAPの管理設定が完了し、ASAはVLAN 5と30のDHCPサーバとして機能する必要があります。APで write memoryコマンドを使用して設定を保存しても接続に問題が発生する場合は、CLIからreloadコマンドを使用してAPをリロードする必要があります。ただし、新しく作成したSSIDでIPアドレスをを取得できます。
ap#write memory Building configuration... [OK] ap#reload Proceed with reload? [confirm] Writing out the event log to flash:/event.log ...[an error occurred while processing this directive]
注:ASAデバイス全体をリロードする必要はありません。組み込みのアクセス ポイントのみリロードする必要があります。
AP のリロードが完了すると、WiFi ネットワークまたは内部ネットワーク上のクライアント マシンから AP GUI に接続できるはずです。 AP が完全に再起動するまでに、一般的には約 2 分かかります。 この時点で、通常の手順を実行し、WAP の設定を完了できます。
Cisco ASA 5506-X シリーズ クイック スタート ガイド
このドキュメントは、初期設定について説明することを意図しているので、ASA の接続に関するトラブルシューティングは、このドキュメントの範囲外です。 すべての手順を正常に完了したかどうか、設定に関する項を参照し、確認してください。