インフラ案件の要件定義書とは
そもそもよく話題になるのが要件定義は
ユーザーが実施するのか、それともベンダーが
実施するべきなのか。
従来の要件定義ではベンダー企業中心が多かったが
全社的視点でのシステム再構築、多岐にわたるステークホルダー、
複雑化した現状機能の踏襲など外部から既存システムの
理解や抜本的なシステム変革の決断などが困難を極めたため
多くのプロジェクトが失敗に終わっていった。
これに対してIPA(独立行政法人情報処理推進機構)は
要件定義はユーザー責任であることを強く訴えている。
要件定義とは「自分たちが使うシステム」を定義すること
なので「要件定義は発注者の責任である」と述べている。
ただユーザーだけですべてを考え構築することは
難しいのでベンダーと協力して要件定義を行っていく
必要がある。そのため要件定義は準委任契約にすることが
述べられているのだが、要件定義から請負契約を締結する
ケースも少なくなく、ユーザー企業からベンダー企業への
丸投げ状態になり、問題を起こしているプロジェクトが
多く見られる。
要件定義書を作成するときの考え方や参考になる
資料をIPAが作成してくれている。
「ユーザのための要件定義ガイド 第2版」
要件定義を成功に導く128の勘どころ
そもそも要件定義にはどのようなことを
記載すればいいのだろうか?
簡単に言うと、
要件定義:何をやるか
基本設計:どうやってやるか
詳細設計:設定する内容の確定
構築:詳細設計を元に動くように設定する
結合、試験:想定通り動くか確認
導入、切替:現行機から新しい機器に交換
運用、保守:業務に影響が出ないよう見守ったり対応したり
システム開発の要件定義でよくみる項目は
以下のようなものがあります。
◆概要
・プロジェクト背景
・目的
・課題
・全体構成図
・用語定義
◆業務要件
・業務規模
・業務要件一覧
・業務フロー
・スケジュール
◆機能要件
・機能一覧
・画面
・帳票
・外部インターフェース
・データ
◆非機能要件
・方式
・規模
・性能
・冗長性、信用性、拡張性
・セキュリティ
・移行性
・運用、保守
・教育
などを考慮する場合が多いのではないだろうか。
ただ今回考えていきたいのはインフラ案件の要件定義についてである。
正直インフラ要件の内訳でいうとほとんどが非機能要件だと思われる。
大きく以下の4つの項目を決めていくのが重要だと考える
■インフラ要件定義大項目
1.どのような基盤を構築するか決める
※なぜそのように決めたのか、までを記載
2.スケジュールの確定
3.要件定義以降のコストの見積もり
※作業費、機器費、保守・運用費など
4.上記1〜3までの項目が実現可能か裏どり
簡単なように見えて一番重要な項目でもあります。
ほとんどのプロジェクトがこの要件定義で成功するか
失敗するか決まるといっても過言ではありません。
ただ以外と疎かにしがちなのが要件定義でもあります。
■インフラ機能要件
・システム構成について(種別/台数/用途など)
・利用するソフトウェア/アプリケーション
・通信要件
※正確には機能要件じゃないかも・・・
■インフラ非機能要件
・可用性(システムの信頼性、冗長性など)
・性能/拡張性(レスポンスやスループット、リソース拡張など)
・運用/保守(障害発生時の対応、手順書などの準備、
バックアップ、運用スケジュールなど)
・移行性(現行システムから新システムへの移行がしやすいか)
・セキュリティ(システムの安全性要件[パッチ、ウィルス対策、
暗号化、ログ保管方法/期間]など)
・環境/エコロジー(環境に及ぼす影響を考慮[消費電力、
CO2排出量、耐震性能、騒音性]など)
ただインフラ要件定義とはいえインフラ上に構築するのは
開発サイドになります。開発側に確認することを怠らない
ようにしましょう。
スポンサードリンク
Windows11 printscreen Winshot起動
Windows11 printscreen Winshot起動
Printscreenボタンを押すとWinshotが
起動するように設定していたのだが
Windows11のアップデートを実施してから
Printscreenを押すとSnipping Toolが
自動起動するようになってしまった。
はっきり言ってめちゃくちゃ使いずらい。
本当に勝手に仕様を変更しないでほしい。
というわけで今回はWindows11でPrintscreenを
押すとみんなが大好きWinshotを起動する
ように設定を戻したいと思います。
◆Printscreenを押すとWinshotを自動起動する方法
Windowsボタン>検索バーに「設定」と入力>設定を選択
左ペインの「アクセシビリティ」を選択>
右ペイン「操作」>「キーボード」を選択
「スクリーンキーボード、アクセスキー、およびプリントスクリーン」>
PrintScreenキーを使用して画面キャプチャを開くがオンになって
いることを確認
PrintScreenキーを使用して画面キャプチャを開くを「オフ」にします
Winshotの設定がScreenshotでキャプチャ取得となっていることを
確認して起動(再起動)をします。
以後、Screenshotボタンでキャプチャする際はWinshotの
指定フォルダに自動的に保存されていきます。
Winshotの不便なところとしてはマルチモニターに
対応していないので拡張画面を利用している場合は
キャプチャできない点ですね。
*WinShot Windows7 使えない
TOP OF THE NETWORK×NETWORKPrintscreenボタンを押すとWinshotが
起動するように設定していたのだが
Windows11のアップデートを実施してから
Printscreenを押すとSnipping Toolが
自動起動するようになってしまった。
はっきり言ってめちゃくちゃ使いずらい。
本当に勝手に仕様を変更しないでほしい。
というわけで今回はWindows11でPrintscreenを
押すとみんなが大好きWinshotを起動する
ように設定を戻したいと思います。
◆Printscreenを押すとWinshotを自動起動する方法
Windowsボタン>検索バーに「設定」と入力>設定を選択
左ペインの「アクセシビリティ」を選択>
右ペイン「操作」>「キーボード」を選択
「スクリーンキーボード、アクセスキー、およびプリントスクリーン」>
PrintScreenキーを使用して画面キャプチャを開くがオンになって
いることを確認
PrintScreenキーを使用して画面キャプチャを開くを「オフ」にします
Winshotの設定がScreenshotでキャプチャ取得となっていることを
確認して起動(再起動)をします。
以後、Screenshotボタンでキャプチャする際はWinshotの
指定フォルダに自動的に保存されていきます。
Winshotの不便なところとしてはマルチモニターに
対応していないので拡張画面を利用している場合は
キャプチャできない点ですね。
*WinShot Windows7 使えない
NETWORK×NETWORK
Fortigate サポート期限
ネットワーク製品を購入するときにまず確認する
必要があるのが、技術及びOSのサポート終了日。
これが極端に短いとその製品自体の導入をためらう
理由となったりします。
ファイアウォールとしてよく目にするFortinet社の
FortigateOSのサポートを確認していきます。
◆用語説明
・GA(リリース日)
⇒Fortinet社がFortiOSをリリースした日
・EOES:End of Engineering Support
(エンジニアリングサポート終了日)
⇒GA後36ヶ月間、不具合対応や修正パッチなどの
対応が行われる期間
・EOS:End of Support(サポート終了日)
⇒GA54カ月後、すべてのサポートが終了する日となる
FortiOSのバージョン確認は以下から
Fortigateログイン後>ダッシュボード>Main>ファームウェア
◆Fortigate OSサポート期限一覧
*CTCエスピー株式会社参照
*株式会社日立ソリューションズ参照
*株式会社ネットワークバリューコンポネンツ参照
*ネットワールド参照
*SCSK株式会社
販売店に電話して保守の詳細な内容などについては
確認しましょう。
TOP OF THE NETWORK×NETWORK必要があるのが、技術及びOSのサポート終了日。
これが極端に短いとその製品自体の導入をためらう
理由となったりします。
ファイアウォールとしてよく目にするFortinet社の
FortigateOSのサポートを確認していきます。
◆用語説明
・GA(リリース日)
⇒Fortinet社がFortiOSをリリースした日
・EOES:End of Engineering Support
(エンジニアリングサポート終了日)
⇒GA後36ヶ月間、不具合対応や修正パッチなどの
対応が行われる期間
・EOS:End of Support(サポート終了日)
⇒GA54カ月後、すべてのサポートが終了する日となる
FortiOSのバージョン確認は以下から
Fortigateログイン後>ダッシュボード>Main>ファームウェア
◆Fortigate OSサポート期限一覧
*CTCエスピー株式会社参照
*株式会社日立ソリューションズ参照
*株式会社ネットワークバリューコンポネンツ参照
*ネットワールド参照
*SCSK株式会社
販売店に電話して保守の詳細な内容などについては
確認しましょう。
NETWORK×NETWORK
障害対応とは
障害対応とは
システム(インフラだとサーバーやネットワークなど)が正常に
動作していない状態が発生してしまったため、その原因調査と
復旧するための作業を障害対応といいます。
運用保守チームが第一報を受け、切り分けを実施して対応します。
運用保守チームだけで障害が解決しない場合さらに環境に詳しい
構築チームやベンダーに連絡をして根本的な解決を試みます。
業務影響を最小限に抑えるため迅速に対応することが求められます。
そのためには復旧に必要な情報(障害発生原因、ログ、コンフィグ、
構成など)を正確に収集して障害対応をしていく必要があります。
障害が発生してから決めていたら後手後手に回ってしまうので
予め障害発生時の障害対応フロー(連絡先、復旧方法、復旧手順)
などを準備しておくことが重要です。
障害発生時の対応フロー
1.障害内容の確認
⇒発生している事象の確認、影響範囲の確認、障害発生時刻、対象機器、
障害発生時のログの有無、過去に同様の障害事例がないか確認
2.障害発生時の連絡
⇒連絡フローにのっとり関連各所へ連絡、迅速かつ正確に内容を連携、
問題のステータスも伝える
3.障害レベルの調査
⇒ユーザーや業務に影響するのか、どのシステムで障害が発生して
いるのか、緊急度やどの程度の体制が必要か
4.障害原因の調査
⇒問題が発生したシステムのログや情報収集、過去事例に基づく調査、
有識者による打合せ・分析・調査
5.復旧作業
⇒原因がわからない場合などは暫定対応、対応できる場合は他の業務に
影響を与えないように復旧作業、機器交換などが必要であれば
ベンダー連絡
6.障害収束後の対応
⇒再発防止策の検討、障害ナレッジの蓄積(エビデンスの取得保管、
障害対応の分析、資料の作成など)
最近では障害が発生する前に検知する予防検知や予測検知など
未然に防ぐ対策もよく耳にしますが、まだまだ導入している企業は
少ないと思います。実際に障害が起きてから決めているようでは
遅いのでどのような障害が起きうるか、予期しない障害が発生した
場合はどのように対処するかなど話し合って決めておくことが
重要になってきます。また普段からメンテナンスを実施したり
障害発生時の訓練を行っていくことも重要になってきます。
人間とっさに起きたことに対しては、なかなか対応ができないものです。
TOP OF THE NETWORK×NETWORKシステム(インフラだとサーバーやネットワークなど)が正常に
動作していない状態が発生してしまったため、その原因調査と
復旧するための作業を障害対応といいます。
運用保守チームが第一報を受け、切り分けを実施して対応します。
運用保守チームだけで障害が解決しない場合さらに環境に詳しい
構築チームやベンダーに連絡をして根本的な解決を試みます。
業務影響を最小限に抑えるため迅速に対応することが求められます。
そのためには復旧に必要な情報(障害発生原因、ログ、コンフィグ、
構成など)を正確に収集して障害対応をしていく必要があります。
障害が発生してから決めていたら後手後手に回ってしまうので
予め障害発生時の障害対応フロー(連絡先、復旧方法、復旧手順)
などを準備しておくことが重要です。
障害発生時の対応フロー
1.障害内容の確認
⇒発生している事象の確認、影響範囲の確認、障害発生時刻、対象機器、
障害発生時のログの有無、過去に同様の障害事例がないか確認
2.障害発生時の連絡
⇒連絡フローにのっとり関連各所へ連絡、迅速かつ正確に内容を連携、
問題のステータスも伝える
3.障害レベルの調査
⇒ユーザーや業務に影響するのか、どのシステムで障害が発生して
いるのか、緊急度やどの程度の体制が必要か
4.障害原因の調査
⇒問題が発生したシステムのログや情報収集、過去事例に基づく調査、
有識者による打合せ・分析・調査
5.復旧作業
⇒原因がわからない場合などは暫定対応、対応できる場合は他の業務に
影響を与えないように復旧作業、機器交換などが必要であれば
ベンダー連絡
6.障害収束後の対応
⇒再発防止策の検討、障害ナレッジの蓄積(エビデンスの取得保管、
障害対応の分析、資料の作成など)
最近では障害が発生する前に検知する予防検知や予測検知など
未然に防ぐ対策もよく耳にしますが、まだまだ導入している企業は
少ないと思います。実際に障害が起きてから決めているようでは
遅いのでどのような障害が起きうるか、予期しない障害が発生した
場合はどのように対処するかなど話し合って決めておくことが
重要になってきます。また普段からメンテナンスを実施したり
障害発生時の訓練を行っていくことも重要になってきます。
人間とっさに起きたことに対しては、なかなか対応ができないものです。
NETWORK×NETWORK
EPP・EDR・XDRの違いとは
EPP・EDR・XDRの違いとは
最近では様々なサイバー攻撃が行われており、
サイバーセキュリティへの取り組みが
盛んに叫ばれております。
基本的なウィルス対策と言えば、従来のアンチウィルス製品
EPP(Endpoint Protection Platform)がすぐに思い浮かびます。
これは悪意を持って攻撃してくるのを未然に防ぐ侵入前の対策
になります。攻撃の方法が巧妙になり複雑化されてきている
近年ではこれだけでは足りなくなってきており
侵入されてからの対策EDR(Endpoint Detection and Response)や
XDR(eXtended Detection & Response)などが注目されています。
■EPP(Endpoint Protection Platform)
いつ:侵入前
目的:ウィルス、マルウェア感染の特定・防止が目的
方法:パターンマッチング、振る舞い検知、機械学習など
■EDR(Endpoint Detection and Response)
いつ:侵入後
目的:感染後の検知・対応・復旧が目的
方法:AIや機械学習によるログ分析やリアルタイム検知
■XDR(eXtended Detection & Response)
いつ:侵入後
目的:EPP+EDRをさらに進化させた方法で防御
攻撃が組織全体に広がる前に迅速に対処
方法:ログを一元管理してエラーの検知、調査、対応を
自動化する。対象をエンドポイントだけでなくネットワーク、
メール、ユーザー情報、クラウドなど広範囲で考慮
境界型セキュリティはそろそろ限界なのかもしれません。
ファイアウォールなどのネットワーク機器でブロック
していてもユーザー側の挙動で簡単にマルウェアに
感染してしまいます。
毎日のネットサーフィンで不正なサイトへのアクセス。
山のように届く仕事のメールにまぎれてマルウェア感染サイト
のURLや添付されたウィルスファイル。無料アプリや
ソフトウェアのダウンロードでも簡単に感染します。
すべて境界型での検知は難しい感染経路となってきています。
ランサムウェア攻撃も大半がエンドポイントを狙った
ものとなってきている。
また仕事をする場所も影響してきています。
テレワークが普及したことにより家やカフェで仕事を
する人も増えてきています。そうなると境界がなくなって
しまうのでエンドポイントでの対策が必須となってきます。
ネットワークでいうとゼロトラストなど何も信用しない
環境が当たり前になってきています。セキュリティ対策に
ついてはやりすぎということはもはやないですね。
----------------------------------------------------
[色々なセキュリティ対策]
*EDR(Endpoint Detection and Response)
⇒エンドポイントに対する脅威の検知と対処
*MDR(Managed Detection and Response)
⇒外部委託するEDRサービス
*NDR(Network Detection and Response)
⇒ネットワークに対する脅威の検知と対処
*XDR(Extended Detection and Response)
⇒ITシステム全体を対象にした脅威の検知と対処
*CDR(Cloud Detection and Response)
⇒クラウドに対する脅威の検知と対処
*TDR(Threat Detection and Response)
⇒すべての脅威に対応する考え方
----------------------------------------------------
TOP OF THE NETWORK×NETWORK最近では様々なサイバー攻撃が行われており、
サイバーセキュリティへの取り組みが
盛んに叫ばれております。
基本的なウィルス対策と言えば、従来のアンチウィルス製品
EPP(Endpoint Protection Platform)がすぐに思い浮かびます。
これは悪意を持って攻撃してくるのを未然に防ぐ侵入前の対策
になります。攻撃の方法が巧妙になり複雑化されてきている
近年ではこれだけでは足りなくなってきており
侵入されてからの対策EDR(Endpoint Detection and Response)や
XDR(eXtended Detection & Response)などが注目されています。
■EPP(Endpoint Protection Platform)
いつ:侵入前
目的:ウィルス、マルウェア感染の特定・防止が目的
方法:パターンマッチング、振る舞い検知、機械学習など
■EDR(Endpoint Detection and Response)
いつ:侵入後
目的:感染後の検知・対応・復旧が目的
方法:AIや機械学習によるログ分析やリアルタイム検知
■XDR(eXtended Detection & Response)
いつ:侵入後
目的:EPP+EDRをさらに進化させた方法で防御
攻撃が組織全体に広がる前に迅速に対処
方法:ログを一元管理してエラーの検知、調査、対応を
自動化する。対象をエンドポイントだけでなくネットワーク、
メール、ユーザー情報、クラウドなど広範囲で考慮
境界型セキュリティはそろそろ限界なのかもしれません。
ファイアウォールなどのネットワーク機器でブロック
していてもユーザー側の挙動で簡単にマルウェアに
感染してしまいます。
毎日のネットサーフィンで不正なサイトへのアクセス。
山のように届く仕事のメールにまぎれてマルウェア感染サイト
のURLや添付されたウィルスファイル。無料アプリや
ソフトウェアのダウンロードでも簡単に感染します。
すべて境界型での検知は難しい感染経路となってきています。
ランサムウェア攻撃も大半がエンドポイントを狙った
ものとなってきている。
また仕事をする場所も影響してきています。
テレワークが普及したことにより家やカフェで仕事を
する人も増えてきています。そうなると境界がなくなって
しまうのでエンドポイントでの対策が必須となってきます。
ネットワークでいうとゼロトラストなど何も信用しない
環境が当たり前になってきています。セキュリティ対策に
ついてはやりすぎということはもはやないですね。
----------------------------------------------------
[色々なセキュリティ対策]
*EDR(Endpoint Detection and Response)
⇒エンドポイントに対する脅威の検知と対処
*MDR(Managed Detection and Response)
⇒外部委託するEDRサービス
*NDR(Network Detection and Response)
⇒ネットワークに対する脅威の検知と対処
*XDR(Extended Detection and Response)
⇒ITシステム全体を対象にした脅威の検知と対処
*CDR(Cloud Detection and Response)
⇒クラウドに対する脅威の検知と対処
*TDR(Threat Detection and Response)
⇒すべての脅威に対応する考え方
----------------------------------------------------
NETWORK×NETWORK
Fortigate ダウングレードパス
FortiOSをダウングレードする場合は事前に戻したい
バージョンOSとコンフィグを準備しておきましょう。
FortiOSのダウングレードパスは特にないので
一気にリストアして問題ないのですが、今まで使えて
いた機能などが古いFortiOSに戻すことによって
使えなくなる可能性があります。
またOSのダウングレードについてはメーカー非推奨と
なっており、保守の観点からもよくありません。
企業の場合はサポートが受けられなくなるのは困ります。
個人で利用する場合は遠慮なく自己責任でダウングレード
しちゃってください。
■FortiOSダウングレード方法
システム>ファームウェア>ブラウズ>[OSイメージ選択]>
バージョンのダウングレードを確認にチェック>続ける
Fortigateが自動的に再起動後、ログイン。
設定が飛んでいるのでコンフィグバックアップからリストア
作業を実施するか、再度設定をしてください。
今回はバグ調査で古いFortiOSにリストアする要件が
出てきたため実施しました。
ちなみにFortiOSをアップグレードする際はアップグレードパス
というものが存在するのでしっかり順番通り上げていきましょう!
*Fortigate FortiOS Upgrade Paths
*Upgrade Path Tool Table
*Supported Upgrade Paths – FortiOS
*
Supported Upgrade Paths – FortiOS Upgrading to 5.4
*Fortigate サポート期限
TOP OF THE NETWORK×NETWORKバージョンOSとコンフィグを準備しておきましょう。
FortiOSのダウングレードパスは特にないので
一気にリストアして問題ないのですが、今まで使えて
いた機能などが古いFortiOSに戻すことによって
使えなくなる可能性があります。
またOSのダウングレードについてはメーカー非推奨と
なっており、保守の観点からもよくありません。
企業の場合はサポートが受けられなくなるのは困ります。
個人で利用する場合は遠慮なく自己責任でダウングレード
しちゃってください。
■FortiOSダウングレード方法
システム>ファームウェア>ブラウズ>[OSイメージ選択]>
バージョンのダウングレードを確認にチェック>続ける
Fortigateが自動的に再起動後、ログイン。
設定が飛んでいるのでコンフィグバックアップからリストア
作業を実施するか、再度設定をしてください。
今回はバグ調査で古いFortiOSにリストアする要件が
出てきたため実施しました。
ちなみにFortiOSをアップグレードする際はアップグレードパス
というものが存在するのでしっかり順番通り上げていきましょう!
*Fortigate FortiOS Upgrade Paths
*Upgrade Path Tool Table
*Supported Upgrade Paths – FortiOS
*
Supported Upgrade Paths – FortiOS Upgrading to 5.4
*Fortigate サポート期限
NETWORK×NETWORK
Cisco ASA デフォルトユーザーについて
Cisco ASAの後継製品はCisco Firepowerとなるのですが
Firepowerに搭載するOSはASA及びFTDから選択することができます。
イメージ的にはハードウェアがFirepowerという筐体、
仮想OSとしてFXOSがあり、その上で実際にファイアウォールとして
動作するOSをASA OS及びFTD OSから選択する。
基本的にユーザーが選択するのはFirepowerの機種及び、
動作するOS(ASA or FTD)となる。
現在本番環境で動作させているのがFirepowerASA(FPR2130-ASA-K9)と
なるのですがセキュリティ上の観点からデフォルトユーザーに
「admin」が存在するのか調査することになった。
ポイントとして以下4つの観点から調査した。
@ASAのconfigにデフォルトで設定されているユーザ
AFXOSへのアクセスで使用するデフォルトユーザ
Bモジュールへのアクセスで使用するデフォルトユーザ
Cその他、初期出荷状態で 使用する/できる ユーザ
■@ASAのconfigにデフォルトで設定されているユーザ、
Cその他、初期出荷状態で 使用する/できる ユーザについて
コンフィグ上にデフォルトで設定されているものはないが、
設定情報にはなく、削除もできないenable_Xのデフォルトユーザー
というユーザーが存在します。
デフォルトのコンソールログイン時にまずユーザ EXEC モードに
ログインして、enable_1というユーザーでログインします。
そこからenableコマンドにより特権 EXEC モードでログインすると、
enable_15というユーザーでのログインに変わる。
https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html
ユーザー認証が設定されておらず、enableパスワードが
設定されている状態でASDMの接続設定を実施した場合は
ユーザー名:空欄もしくはenable_15
パスワード:enableパスワードでASDMからログイン可
■AFXOSへのアクセスで使用するデフォルトユーザについて
FXOSではデフォルトでadminが設定されている。
このadminユーザーはいつもアクティブで削除や無効化は出来ない。
これはFirepowerシリーズ(FPR1000/2100/4100/9300)共通の認識。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos2160/cli-guide/b_CLI_ConfigGuide_FXOS_216/user_management.html#concept_2770BFB3259042F5A4420595A0A6946C
■Bモジュールへのアクセスで使用するデフォルトユーザについて
拡張インターフェース等の追加モジュールに
ついてはモジュールへのアクセスにユーザー情報は必要なく、
ASAでログインしているユーザーで管理している。
FPR4100シリーズの場合は論理デバイスとして作成されている
ASAに対してコンソールアクセスをする際、論理モジュールへ
アクセスするが、その際モジュール接続自体にはユーザー
情報を必要とせず、ASAへアクセスする際はASAのユーザー
情報でのアクセスとなる。
やはりデフォルトで存在するユーザーは消せないようですね。
最近セキュリティの観点からデフォルトのアドミンユーザーを
削除しないといけない場面があるのですが影響範囲が
わからなかったりするのでなるべくはやりたくないです。
■Cisco ASAログイン時のデフォルトユーザー&パスワード
default user: cisco
default password: cisco
TOP OF THE NETWORK×NETWORKFirepowerに搭載するOSはASA及びFTDから選択することができます。
イメージ的にはハードウェアがFirepowerという筐体、
仮想OSとしてFXOSがあり、その上で実際にファイアウォールとして
動作するOSをASA OS及びFTD OSから選択する。
基本的にユーザーが選択するのはFirepowerの機種及び、
動作するOS(ASA or FTD)となる。
現在本番環境で動作させているのがFirepowerASA(FPR2130-ASA-K9)と
なるのですがセキュリティ上の観点からデフォルトユーザーに
「admin」が存在するのか調査することになった。
ポイントとして以下4つの観点から調査した。
@ASAのconfigにデフォルトで設定されているユーザ
AFXOSへのアクセスで使用するデフォルトユーザ
Bモジュールへのアクセスで使用するデフォルトユーザ
Cその他、初期出荷状態で 使用する/できる ユーザ
■@ASAのconfigにデフォルトで設定されているユーザ、
Cその他、初期出荷状態で 使用する/できる ユーザについて
コンフィグ上にデフォルトで設定されているものはないが、
設定情報にはなく、削除もできないenable_Xのデフォルトユーザー
というユーザーが存在します。
デフォルトのコンソールログイン時にまずユーザ EXEC モードに
ログインして、enable_1というユーザーでログインします。
そこからenableコマンドにより特権 EXEC モードでログインすると、
enable_15というユーザーでのログインに変わる。
https://www.cisco.com/c/ja_jp/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html
ユーザー認証が設定されておらず、enableパスワードが
設定されている状態でASDMの接続設定を実施した場合は
ユーザー名:空欄もしくはenable_15
パスワード:enableパスワードでASDMからログイン可
■AFXOSへのアクセスで使用するデフォルトユーザについて
FXOSではデフォルトでadminが設定されている。
このadminユーザーはいつもアクティブで削除や無効化は出来ない。
これはFirepowerシリーズ(FPR1000/2100/4100/9300)共通の認識。
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/fxos2160/cli-guide/b_CLI_ConfigGuide_FXOS_216/user_management.html#concept_2770BFB3259042F5A4420595A0A6946C
■Bモジュールへのアクセスで使用するデフォルトユーザについて
拡張インターフェース等の追加モジュールに
ついてはモジュールへのアクセスにユーザー情報は必要なく、
ASAでログインしているユーザーで管理している。
FPR4100シリーズの場合は論理デバイスとして作成されている
ASAに対してコンソールアクセスをする際、論理モジュールへ
アクセスするが、その際モジュール接続自体にはユーザー
情報を必要とせず、ASAへアクセスする際はASAのユーザー
情報でのアクセスとなる。
やはりデフォルトで存在するユーザーは消せないようですね。
最近セキュリティの観点からデフォルトのアドミンユーザーを
削除しないといけない場面があるのですが影響範囲が
わからなかったりするのでなるべくはやりたくないです。
■Cisco ASAログイン時のデフォルトユーザー&パスワード
default user: cisco
default password: cisco
NETWORK×NETWORK
ゼロトラストネットワークとは
ゼロトラストネットワークとは
今までは境界防御といわれているセキュリティモデルが主流でした。
これは「外部」が危険「内部」は信用できるため安全という
考えのもとになりたっています。外部と内部の間を境界線として
ファイアウォール、IPS/IDS、WAF、UTM製品などセキュリティ製品を
導入し、DMZ(非武装地帯)を設けて外部に公開するサーバーなどを
設置したりしていました。
ただこのご時世外部の攻撃はもちろんのこと情報漏洩するのは
内部の人間が意図的に漏洩することのほうが多くなってきました。
また意図しなくてもセキュリティが甘く漏洩することも考えられます。
そこで登場したのが次世代セキュリティモデルの
ゼロトラストネットワーク(ZeroTrust Network)。
基本的な概念は外部だろうが内部だろうが何も信用しないと
いうのがポイント。
近年ではコロナの影響でテレワークなども増えています。
社外から社内のネットワークに接続する機会も増えており
データ漏洩や流出が起きる可能性は以前よりも格段に
増えております。さらにはクラウドサービスも普及してきており
社内社外のネットワーク境界線はかなり曖昧な状態になって
きています。
SASE(サシー)などはゼロトラストの概念を包括した
フレームワークとなります。エッジコンピューティングや
テレワークなど利用者とクラウドの距離が近い環境では
SASEのようなクラウドサービスを導入することで一元管理や
トラフィックの可視化を実施してリスクを減らしていきます。
ゼロトラストネットワークと耳にする機会が増えてきた
のは確かなのですが実際に導入するとなるとまだまだ
ハードルが高いのも事実です。
◆メリット
・どこからアクセスしても同様のセキュリティレベルが確保できる
・情報漏洩リスクを抑えることができる
・管理ができる
◆デメリット
・コストがかかる
・運用が大変、利用者の自由度が低い
(基本的には何も信用しないため)
導入の際にはゼロトラストを提唱したForresterResearch社の
7つの要件を定義していくとわかりやすいと思います。
◆考慮すべき要件
1.ネットワーク・セキュリティ
2.デバイス・セキュリティ
3.アイデンティティ・セキュリティ
4.ワークロード・セキュリティ
5.データ・セキュリティ
6.可視化と分析
7.自動化
実際に新しいものを導入しているのはセキュリティの事故
などを起こしたことがある会社のほうが多いように思います。
事故が起きる前に導入しておき起こさないことが大事です。
一度失った信頼をもとに戻すのは大変です。もちろん対策
していたから絶対に大丈夫とは言えないですが・・・
続きを読む
TOP OF THE NETWORK×NETWORK今までは境界防御といわれているセキュリティモデルが主流でした。
これは「外部」が危険「内部」は信用できるため安全という
考えのもとになりたっています。外部と内部の間を境界線として
ファイアウォール、IPS/IDS、WAF、UTM製品などセキュリティ製品を
導入し、DMZ(非武装地帯)を設けて外部に公開するサーバーなどを
設置したりしていました。
ただこのご時世外部の攻撃はもちろんのこと情報漏洩するのは
内部の人間が意図的に漏洩することのほうが多くなってきました。
また意図しなくてもセキュリティが甘く漏洩することも考えられます。
そこで登場したのが次世代セキュリティモデルの
ゼロトラストネットワーク(ZeroTrust Network)。
基本的な概念は外部だろうが内部だろうが何も信用しないと
いうのがポイント。
近年ではコロナの影響でテレワークなども増えています。
社外から社内のネットワークに接続する機会も増えており
データ漏洩や流出が起きる可能性は以前よりも格段に
増えております。さらにはクラウドサービスも普及してきており
社内社外のネットワーク境界線はかなり曖昧な状態になって
きています。
SASE(サシー)などはゼロトラストの概念を包括した
フレームワークとなります。エッジコンピューティングや
テレワークなど利用者とクラウドの距離が近い環境では
SASEのようなクラウドサービスを導入することで一元管理や
トラフィックの可視化を実施してリスクを減らしていきます。
ゼロトラストネットワークと耳にする機会が増えてきた
のは確かなのですが実際に導入するとなるとまだまだ
ハードルが高いのも事実です。
◆メリット
・どこからアクセスしても同様のセキュリティレベルが確保できる
・情報漏洩リスクを抑えることができる
・管理ができる
◆デメリット
・コストがかかる
・運用が大変、利用者の自由度が低い
(基本的には何も信用しないため)
導入の際にはゼロトラストを提唱したForresterResearch社の
7つの要件を定義していくとわかりやすいと思います。
◆考慮すべき要件
1.ネットワーク・セキュリティ
2.デバイス・セキュリティ
3.アイデンティティ・セキュリティ
4.ワークロード・セキュリティ
5.データ・セキュリティ
6.可視化と分析
7.自動化
実際に新しいものを導入しているのはセキュリティの事故
などを起こしたことがある会社のほうが多いように思います。
事故が起きる前に導入しておき起こさないことが大事です。
一度失った信頼をもとに戻すのは大変です。もちろん対策
していたから絶対に大丈夫とは言えないですが・・・
続きを読む
NETWORK×NETWORK
オファリングビジネスの正体
オファリングビジネスとは
最近、表だってオファリングビジネスという言葉を
よく目にするようになった。港区界隈ではなく
SIer界隈での話である。今までは御用聞きビジネスや
受託(請負)ビジネスモデルがSIerでは主流であった。
これらのビジネスモデルであれば、人月で工数計算が
簡単にできていた。
(1人×100万/人月×12ヶ月)*10人=120,000,000円也
ただこのようなビジネスモデルは人不足の今は活況で
あってもクラウドサービスや生成AIが登場したこの
時代ではいずれ廃れていってしまう。クラウドサービス
を利用することで飛躍的に工期を短縮できるし生成AIを
活用することで大幅に人を減らし短期間で欲しいものが
内部リソースを使って作れてしまう。
要は慢性的なエンジニア不足を解決するどころか
そのエンジニア達は必要なくなってしまい人が余り
はじめるのである。「第四次産業革命」のはじまりである。
そうもうすぐそこまで変革の足音が近づいてきている。
ついていけない者は振り落とされていってしまう。
そこでこの「オファリングビジネス」が頻繁に
叫ばれるようになってきた。ソリューションをサービスと
して提案をしていくビジネスモデルである。
独自開発している自社製品の提案、他社が開発している製品を
担いであたかも自分たちが作っているかのように提案、
もちろんクラウドサービスを顧客業務に合わせた形で
提案したりと色々考えられる。「オファー」=「提案」が
命のビジネスモデルである。
ただのSIerではなくコンサルタントをイメージして
いただくとわかりやすいと思う。ビジネスコンサルや
ITコンサルにはこぞってお金を出して提案してもらう
企業が多い。なのになぜかSIerが書いて出す提案書には
だれもお金を払ってくれない、そうただ働きなのである。
オファリングビジネスだと提案=付加価値=提案料の
構図が成り立つためただの人月計算では終わらない。
■まとめ
オファリングビジネスとは、
主体的な提案型ビジネスモデル
1.顧客のニーズや課題を積極的に分析し、解決策を提案する
2.製品やサービスを単に販売するのではなく、顧客の価値創造を重視
3.顧客との長期的な関係構築を目指す
4.高度な専門知識とコンサルティング能力が求められる
御用聞きビジネスとは、
1.受動的な対応型ビジネスモデル
2.顧客からの要望や注文を待ち、それに応じるスタイル
3.既存の製品やサービスを顧客の求めに応じて提供する
4.短期的な取引関係が中心
5.顧客の具体的な要望に対して迅速かつ正確に対応することが重要
オファリングビジネスと御用聞きの主な違いとは、
アプローチ:オファリングビジネスは能動的、御用聞きは受動的
価値提供:オファリングビジネスは課題解決、御用聞きは要望充足
関係性:オファリングビジネスは戦略的パートナーシップ、御用聞きは取引関係
オファリングビジネスは、より付加価値の高いサービスを提供し、
顧客との深い関係構築を目指すビジネスモデルと言える。
どうやら第四次産業革命(生成AIなど)で我々が生き残って
いくためには新しい武器を身に着ける必要があるようです。
TOP OF THE NETWORK×NETWORK最近、表だってオファリングビジネスという言葉を
よく目にするようになった。港区界隈ではなく
SIer界隈での話である。今までは御用聞きビジネスや
受託(請負)ビジネスモデルがSIerでは主流であった。
これらのビジネスモデルであれば、人月で工数計算が
簡単にできていた。
(1人×100万/人月×12ヶ月)*10人=120,000,000円也
ただこのようなビジネスモデルは人不足の今は活況で
あってもクラウドサービスや生成AIが登場したこの
時代ではいずれ廃れていってしまう。クラウドサービス
を利用することで飛躍的に工期を短縮できるし生成AIを
活用することで大幅に人を減らし短期間で欲しいものが
内部リソースを使って作れてしまう。
要は慢性的なエンジニア不足を解決するどころか
そのエンジニア達は必要なくなってしまい人が余り
はじめるのである。「第四次産業革命」のはじまりである。
そうもうすぐそこまで変革の足音が近づいてきている。
ついていけない者は振り落とされていってしまう。
そこでこの「オファリングビジネス」が頻繁に
叫ばれるようになってきた。ソリューションをサービスと
して提案をしていくビジネスモデルである。
独自開発している自社製品の提案、他社が開発している製品を
担いであたかも自分たちが作っているかのように提案、
もちろんクラウドサービスを顧客業務に合わせた形で
提案したりと色々考えられる。「オファー」=「提案」が
命のビジネスモデルである。
ただのSIerではなくコンサルタントをイメージして
いただくとわかりやすいと思う。ビジネスコンサルや
ITコンサルにはこぞってお金を出して提案してもらう
企業が多い。なのになぜかSIerが書いて出す提案書には
だれもお金を払ってくれない、そうただ働きなのである。
オファリングビジネスだと提案=付加価値=提案料の
構図が成り立つためただの人月計算では終わらない。
■まとめ
オファリングビジネスとは、
主体的な提案型ビジネスモデル
1.顧客のニーズや課題を積極的に分析し、解決策を提案する
2.製品やサービスを単に販売するのではなく、顧客の価値創造を重視
3.顧客との長期的な関係構築を目指す
4.高度な専門知識とコンサルティング能力が求められる
御用聞きビジネスとは、
1.受動的な対応型ビジネスモデル
2.顧客からの要望や注文を待ち、それに応じるスタイル
3.既存の製品やサービスを顧客の求めに応じて提供する
4.短期的な取引関係が中心
5.顧客の具体的な要望に対して迅速かつ正確に対応することが重要
オファリングビジネスと御用聞きの主な違いとは、
アプローチ:オファリングビジネスは能動的、御用聞きは受動的
価値提供:オファリングビジネスは課題解決、御用聞きは要望充足
関係性:オファリングビジネスは戦略的パートナーシップ、御用聞きは取引関係
オファリングビジネスは、より付加価値の高いサービスを提供し、
顧客との深い関係構築を目指すビジネスモデルと言える。
どうやら第四次産業革命(生成AIなど)で我々が生き残って
いくためには新しい武器を身に着ける必要があるようです。
NETWORK×NETWORK
Cisco Smart License 設定方法(オフライン方式)
CiscoのライセンスがSmart Licenseになってから
Catalyst機器を導入するのが億劫になってきました。
これ正確に把握している人いないんじゃないかって
くらいメンドクサイし、ややこしい。しかも途中で
バージョンによってライセンス方式を変更したり
しているし・・・・
とはいえやっぱりまだまだ世の中ではCiscoの
Catalystは主流。嫌だとばかりは言ってられません。
ということでちょっとまとめておきます。
◆用語
CSSM:Cisco Smart Software Manager
→Ciscoのクラウド管理画面
購入した機器のライセンスはこちらに付与される。
付与されたライセンスを機器に割り当てたりすることができる。
SA:Smart Account(スマートアカウント)
→お客様専用アカウント。ライセンス管理などを行える。
VA:Virtual Account(バーチャルアカウント)
→SAアカウントで作れるアカウント。
RTU/PAK
→従来のライセンス方式
Smart Licensing
→IOSバージョン17.3.1までのスマートライセンス利用法
現在はEOS
SLP:Smart Licensing Using Policy
→IOSバージョン17.3.2以降のスマートライセンス利用法
◆スマートライセンス利用
◆スマートライセンスタイプ
ライセンスタイプは4種類あり機能が使えなくなったり
する場合もあるので理解しておく必要がある。
[perpetual license]
・機器でライセンス有効化を実施
・永続ライセンス
・Network Licenseなど
・切れても機能制限はない
[subscription license]
・機器でライセンス有効化を実施
・期限付きライセンス
・Cisco DNA Licenseなど
・切れても機能制限はない
[export controlled licenses]
・米国輸出規制対象
・Smart Licensing Authorization Codeの事前インストールが必要
・HSEC Licenseなど
・切れると機能制限がある
[enforced licenses]
・Smart Licensing Authorization Codeの事前インストールが必要
・MRP Client Licenseなど
・切れると機能制限がある
◆ライセンス購入時
[従来同様の使い方をしたい場合]
L2:Cat9000+Essentialパッケージ
L3:Cat9000+Advantageパッケージ
(永続ライセンスなので期間終了後も利用は可能)
(DNA機能を利用しなくても一番最初にCat9000購入時は
DNA EssentialsかDNA Advantageライセンスを購入しないと
いけない鬼仕様)
[DNA管理を行う場合]
DNA基本機能:Cat9000+Essentialパッケージ
DNAフル機能:Cat9000+Advantageパッケージ
DNAフル機能+認証:Cat9000+Premierパッケージ
(必要年数購入して更新が必要)
SLPにもSLR(Specific License Reservation)オフライン方式と
CSSMオフライン方式で登録する方法があります。
今後はCSSMオフライン方式が主流となりますので
こちらの方式で登録してみます。
■CSSMオフライン方式登録手順
1.license boot levelの確認
基本的にライセンス認証がいらなくなったので
出荷時にIN USE状態となります。
*確認(license boot level)
CiscoCatalyst#show run all | include license boot
license boot level network-essentials addon dna-essentials
CiscoCatalyst#show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
network-essentials (C9200L-NW-E-48) 1 IN USE
dna-essentials (C9200L-DNA-E-48) 1 IN USE
2.オフライン方式で稼働する宣言
CSSM(Ciscoのクラウドサイト)と直接通信は行わないので
設定をいれて切っておきます。
*通信を行わない設定
CiscoCatalyst#conf t
CiscoCatalyst(config)#license smart transport off
CiscoCatalyst(config)#end
CiscoCatalyst#wr
*確認(smart transport off)
CiscoCatalyst#show run | include license
license boot level network-essentials addon dna-essentials
license smart transport off
CiscoCatalyst#
3.登録する機器でファイル作成
コマンドを入力してレポートファイル作成。
*作成
CiscoCatalyst#license smart save usage all file flash:test_rum.txt
*確認(rumレポートが作成されたこと)
CiscoCatalyst#dir flash: | include test_rum.txt
4.FTPサーバーの準備
*おすすめフリーFTPソフト
インストール不要でいろいろ試験ができる便利なSERVA
SERVA Capture & Deploy
https://www.vercot.com/~serva/default.html
Download
Serva_Community_v4.6.0
Serva64.exeをクリックして起動(PCが64bitならこちら)
カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック
起動後、上部で右クリックして「Settings」を選択
「FTP」タブを選択して
Service Up/Down FTP Server チェックを入れる
FTP Server IP address Bind FTP to this address チェックを入れる
(PCのアドレスがFTPサーバーのアドレスになります)
FTP Settings そのままの設定
FTP Server user accounts
1 user test 任意で設定
FTP Server Anonymous user root directory 任意で設定
FTP Server Registered user root directory 任意で設定
OK選択後、「×」をクリックして再度起動
再度カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック。
CatalystにIPアドレスなどを設定してLAN線で接続後、
PCからCatalystへPINGできることを確認。
逆にCatalystからPCへPINGできることを確認。
これでFTPの準備完了となります。
5.ファイルをダウンロード
FTPを利用してレポートファイルをPCにコピーします
*FTPサーバー(PC)へファイルダウンロード
[例]
CiscoCatalyst#copy flash:test_rum.txt ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/
CiscoCatalyst#copy flash:test_rum.txt ftp://user:test@10.1.1.10/
Address or name of remote host [10.1.1.10]?
Destination filename [test_rum.txt]?
Writing test_rum.txt !
13179 bytes copied in 0.924 secs (14263 bytes/sec)
CiscoCatalyst#
FTP転送が失敗する場合はServaのLogを確認しましょう。
6.CSSMにレポートファイルをアップロード
まずはCiscoのサイトにログインします
CISCOアカウントログイン
ログイン後
Cisco Software Central>ライセンスの管理へ進みます
レポート>使用状況データファイル>使用状況データのアップロード
参照>先ほどダウンロードしたtest_rum.txtファイルを選択>データのアップロード
7.CSSMのACKファイルをダウンロード
アップロードされたデータを確認して>ダウンロード
製品インスタンスに登録されたことを確認
インベントリ>バーチャルアカウントの選択>製品インスタンス
8.CatalystにACKファイルをインポート
先ほど利用したFTPサーバーを起動していればそのまま使用できます。
*CatalystへACKファイルインポート
[例]
CiscoCatalyst#copy ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/test_rum.txt flash:
CiscoCatalyst#copy ftp://user:test@10.1.1.10/test_rum.txt flash:
Destination filename [test_rum.txt]?
Accessing ftp://*:*@10.1.1.10/test_rum.txt...!
[OK - 13179/4096 bytes]
13179 bytes copied in 2.120 secs (6217 bytes/sec)
CiscoCatalyst#
9.ライセンスステータスの確認
*Catalystでライセンス確認
CiscoCatalyst#show license status
〜割愛〜
Usage Reporting:
Last ACK received: Nov 04 13:26:50 2022 JST
Next ACK deadline: Feb 02 13:26:50 2023 JST
Reporting push interval: 30 days
Next ACK push check:
Next report push: Nov 09 21:23:59 2022 JST
Last report push:
Last report file write:
Trust Code Installed:
CiscoCatalyst#
*Ciscoサイトから確認
Ciscoサイトログイン後>バーチャルアカウント選択>
インベントリ>ライセンス>使用中になったことを確認
以上でスマートライセンスの登録完了となります。
これでも楽になったほうらしいです。
ちなみにCiscoのファイアウォールASAをオフライン方式で登録する際は
Cisco側で許可設定してもらわないとユーザー側は登録完了できません。
購入ベンダー経由で所定の手続きを実施いただきましょう。
続きを読む
TOP OF THE NETWORK×NETWORKCatalyst機器を導入するのが億劫になってきました。
これ正確に把握している人いないんじゃないかって
くらいメンドクサイし、ややこしい。しかも途中で
バージョンによってライセンス方式を変更したり
しているし・・・・
とはいえやっぱりまだまだ世の中ではCiscoの
Catalystは主流。嫌だとばかりは言ってられません。
ということでちょっとまとめておきます。
◆用語
CSSM:Cisco Smart Software Manager
→Ciscoのクラウド管理画面
購入した機器のライセンスはこちらに付与される。
付与されたライセンスを機器に割り当てたりすることができる。
SA:Smart Account(スマートアカウント)
→お客様専用アカウント。ライセンス管理などを行える。
VA:Virtual Account(バーチャルアカウント)
→SAアカウントで作れるアカウント。
RTU/PAK
→従来のライセンス方式
Smart Licensing
→IOSバージョン17.3.1までのスマートライセンス利用法
現在はEOS
SLP:Smart Licensing Using Policy
→IOSバージョン17.3.2以降のスマートライセンス利用法
◆スマートライセンス利用
◆スマートライセンスタイプ
ライセンスタイプは4種類あり機能が使えなくなったり
する場合もあるので理解しておく必要がある。
[perpetual license]
・機器でライセンス有効化を実施
・永続ライセンス
・Network Licenseなど
・切れても機能制限はない
[subscription license]
・機器でライセンス有効化を実施
・期限付きライセンス
・Cisco DNA Licenseなど
・切れても機能制限はない
[export controlled licenses]
・米国輸出規制対象
・Smart Licensing Authorization Codeの事前インストールが必要
・HSEC Licenseなど
・切れると機能制限がある
[enforced licenses]
・Smart Licensing Authorization Codeの事前インストールが必要
・MRP Client Licenseなど
・切れると機能制限がある
◆ライセンス購入時
[従来同様の使い方をしたい場合]
L2:Cat9000+Essentialパッケージ
L3:Cat9000+Advantageパッケージ
(永続ライセンスなので期間終了後も利用は可能)
(DNA機能を利用しなくても一番最初にCat9000購入時は
DNA EssentialsかDNA Advantageライセンスを購入しないと
いけない鬼仕様)
[DNA管理を行う場合]
DNA基本機能:Cat9000+Essentialパッケージ
DNAフル機能:Cat9000+Advantageパッケージ
DNAフル機能+認証:Cat9000+Premierパッケージ
(必要年数購入して更新が必要)
SLPにもSLR(Specific License Reservation)オフライン方式と
CSSMオフライン方式で登録する方法があります。
今後はCSSMオフライン方式が主流となりますので
こちらの方式で登録してみます。
■CSSMオフライン方式登録手順
1.license boot levelの確認
基本的にライセンス認証がいらなくなったので
出荷時にIN USE状態となります。
*確認(license boot level)
CiscoCatalyst#show run all | include license boot
license boot level network-essentials addon dna-essentials
CiscoCatalyst#show license summary
License Usage:
License Entitlement Tag Count Status
-----------------------------------------------------------------------------
network-essentials (C9200L-NW-E-48) 1 IN USE
dna-essentials (C9200L-DNA-E-48) 1 IN USE
2.オフライン方式で稼働する宣言
CSSM(Ciscoのクラウドサイト)と直接通信は行わないので
設定をいれて切っておきます。
*通信を行わない設定
CiscoCatalyst#conf t
CiscoCatalyst(config)#license smart transport off
CiscoCatalyst(config)#end
CiscoCatalyst#wr
*確認(smart transport off)
CiscoCatalyst#show run | include license
license boot level network-essentials addon dna-essentials
license smart transport off
CiscoCatalyst#
3.登録する機器でファイル作成
コマンドを入力してレポートファイル作成。
*作成
CiscoCatalyst#license smart save usage all file flash:test_rum.txt
*確認(rumレポートが作成されたこと)
CiscoCatalyst#dir flash: | include test_rum.txt
4.FTPサーバーの準備
*おすすめフリーFTPソフト
インストール不要でいろいろ試験ができる便利なSERVA
SERVA Capture & Deploy
https://www.vercot.com/~serva/default.html
Download
Serva_Community_v4.6.0
Serva64.exeをクリックして起動(PCが64bitならこちら)
カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック
起動後、上部で右クリックして「Settings」を選択
「FTP」タブを選択して
Service Up/Down FTP Server チェックを入れる
FTP Server IP address Bind FTP to this address チェックを入れる
(PCのアドレスがFTPサーバーのアドレスになります)
FTP Settings そのままの設定
FTP Server user accounts
1 user test 任意で設定
FTP Server Anonymous user root directory 任意で設定
FTP Server Registered user root directory 任意で設定
OK選択後、「×」をクリックして再度起動
再度カウントダウンが終了するのを待って
「I'm a "Community" user」をクリック。
CatalystにIPアドレスなどを設定してLAN線で接続後、
PCからCatalystへPINGできることを確認。
逆にCatalystからPCへPINGできることを確認。
これでFTPの準備完了となります。
5.ファイルをダウンロード
FTPを利用してレポートファイルをPCにコピーします
*FTPサーバー(PC)へファイルダウンロード
[例]
CiscoCatalyst#copy flash:test_rum.txt ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/
CiscoCatalyst#copy flash:test_rum.txt ftp://user:test@10.1.1.10/
Address or name of remote host [10.1.1.10]?
Destination filename [test_rum.txt]?
Writing test_rum.txt !
13179 bytes copied in 0.924 secs (14263 bytes/sec)
CiscoCatalyst#
FTP転送が失敗する場合はServaのLogを確認しましょう。
6.CSSMにレポートファイルをアップロード
まずはCiscoのサイトにログインします
CISCOアカウントログイン
ログイン後
Cisco Software Central>ライセンスの管理へ進みます
レポート>使用状況データファイル>使用状況データのアップロード
参照>先ほどダウンロードしたtest_rum.txtファイルを選択>データのアップロード
7.CSSMのACKファイルをダウンロード
アップロードされたデータを確認して>ダウンロード
製品インスタンスに登録されたことを確認
インベントリ>バーチャルアカウントの選択>製品インスタンス
8.CatalystにACKファイルをインポート
先ほど利用したFTPサーバーを起動していればそのまま使用できます。
*CatalystへACKファイルインポート
[例]
CiscoCatalyst#copy ftp://[FTPユーザー名]:[FTPパスワード]@PCのIPアドレス/test_rum.txt flash:
CiscoCatalyst#copy ftp://user:test@10.1.1.10/test_rum.txt flash:
Destination filename [test_rum.txt]?
Accessing ftp://*:*@10.1.1.10/test_rum.txt...!
[OK - 13179/4096 bytes]
13179 bytes copied in 2.120 secs (6217 bytes/sec)
CiscoCatalyst#
9.ライセンスステータスの確認
*Catalystでライセンス確認
CiscoCatalyst#show license status
〜割愛〜
Usage Reporting:
Last ACK received: Nov 04 13:26:50 2022 JST
Next ACK deadline: Feb 02 13:26:50 2023 JST
Reporting push interval: 30 days
Next ACK push check:
Next report push: Nov 09 21:23:59 2022 JST
Last report push:
Last report file write:
Trust Code Installed:
CiscoCatalyst#
*Ciscoサイトから確認
Ciscoサイトログイン後>バーチャルアカウント選択>
インベントリ>ライセンス>使用中になったことを確認
以上でスマートライセンスの登録完了となります。
これでも楽になったほうらしいです。
ちなみにCiscoのファイアウォールASAをオフライン方式で登録する際は
Cisco側で許可設定してもらわないとユーザー側は登録完了できません。
購入ベンダー経由で所定の手続きを実施いただきましょう。
続きを読む
NETWORK×NETWORK
