News お知らせ/記事
- 技術情報
- ASA
- Cisco Systems
- Firepower
- FMC
- FTD
- Loopback
- OS Version
- Secure Firewall
- XLTR
【Cisco Systems】ASA/FTD これからの長期サポートバージョン
目次
はじめに
以前(2024年6月28日)の記事を掲載させて頂いた時点では、ASA 9.20、FTD 7.4は次期XLTRと位置付けられるも推奨とされていない状況であり、現在までは各トレインから以下のようなバージョンが多く採用されていたかと思います。
- ・LTRでSuggested ReleaseなASA 9.18、FTD 7.2
- ・XLTRなASA 9.16、FTD 7.0
この後、2024年7月31日の初期リリースから複数の中間アップデートを経て、ASA 9.20.3 Interim、FTD 7.4.2が正式にSuggestedとしてマークされ、これからの長期サポートリリース(XLTR)として採用バージョンの有力な候補となりました。
今回の記事では、Cisco Secure Firewall(ASA、Firepower)のOSについて、これまでの採用バージョンと比較した新機能や特筆すべき点から、特に通信動作の根幹となるルーティングに関連するものをご紹介させて頂きます。
【ASA】新たに追加された機能
ASA 9.18(2)から、以下を対象としてLoopback Interfaceが使用できるようになりました。
- ・BGP
- ・AAA
- ・SNMP
- ・Syslog
- ・SSH
- ・Telnet
さらに、9.19(1)からはVTIのSource InterfaceへLoopbackの指定、そしてDynamic VTIとVTIでのEIFRP及びOSPFが新たにサポートされています。
また、9.20(1)からはLoopbackの適用範囲が更に拡充され、DNS、HTTP、ICMP、そしてIPsec Flow Offloadingなども適用可能となりました。
【FTD】新たに追加された機能
FTD 7.3.0から、ASAと同様にLoopback InterfaceがVTIで使用可能となり、Dynamic VTIとVTIでのEIGRP及びOSPFが追加されています。
また、以下のような機構については、7.4.0よりLoopback Interfaceが使用可能となりました。
- ・AAA
- ・BGP
- ・DNS
- ・HTTP
- ・ICMP
- ・IPsec Flow Offload
- ・NetFlow
- ・SNMP
- ・SSH
- ・Syslog
※この記事はFTDをFMC(Firewall Management Center)の管理で運用と仮定し記載しています。On-BoxなFDM(Firewall Device Manager)の場合はこの限りでは御座いませんので、Release Noteをご確認下さい。
【新機能での構成例1】他の要素と平仄を合わせたルーティング
これまでの、「Loopback InteraceをサポートしないOS」でRouting Protocolを使用する場合、「安定的なインタフェース(とアドレス)」をSourceやrouter-idに採番できないなどの制約から、他の要素と平仄が合わないルーティングテーブルとなるなど、「Firewallは例外」として取り扱わざるを得ない状況が往々にして発生していました。
※筆者が携わった事案で感じた個人的な印象ですが、これを嫌ってJuniper SRXやPaloalto PAなどが採用されたように見受けられるケースもありました。
しかし、これまでのアップデートにより、現在のXLTRなASA 9.20とFTD 7.4ではルーターやL3スイッチと平仄を合わせたルーティングを構成出来るため、より制約を受けず柔軟にCisco Secure Firewallが導入可能となりました。
【新機能での構成例2】LoopbackでTunnelを終端
例えば、障害体制や負荷分散を鑑みた、ISP1とISP2など2つ以上のASとPeeringして広域網に接続している構成で、従来までの機能では保有するアドレス空間に数的な制約がある場合、グローバルなアドレスを保有するそれぞれのInterfaceでTunnelを終端せざるをえないケースがありました。
当然ながら、アドレスやサブネットの割り当てがそれぞれに必要となり、BGPなどでRoutingを構成する場合はそれぞれの経路でNeighborを確立し、Attributeもこの数だけ記述する必要があるなど、Configurationが複雑化する要素ともなります。
しかし、VTIでLoopback Interfaceが使用可能となったことから、「ISP1とISP2の両方から到達可能な、自組織が保有するGlobal AddressをもつLoopback InterfaceでTunnelを終端」とした構成とすることで、よりシンプルかつ少ないアドレス空間で安定的にTunnel Interfaceが構成可能となりました。
アドレス空間における使用数の削減は当然ながら、広域網でサイト間をIPsecで終端する環境や、Amazon AWS、Microsoft Azure、Google GCPなどを筆頭としたクラウドプラットフォームとの接続など、あらゆるケースでお役立て頂けるアップデートではないでしょうか。
【新機能での構成例3】Dynamic VTIとIKEv2でのRoute Learning
従来、Cisco Secure Firwallで構成するVPNでは、各VTI毎に/30などのアドレス空間とInterface addressを採番する必要があったり、IKEv2での「ikev2 route set interface」コマンドが使用できないためにStatic Routeに依存するなど、IOS/IOS-XEのルーター製品と比較して、どうしても劣ってしまう部分がありました。
このため、アドレスやサブネット、ルーティングプロトコルなどの制約から、「Routingな部分はルーター製品で構成し、FWは境界に別途設置する」などの構成が多く採用されていたかと思いますが、今回までのアップデートによって、「サイト間接続のHub側でTunnelをVirtual-TemplateかつunnumberedにしてLoopback Interfaceの/32アドレスを使用、さらにIKEv2でこのアドレスを通知してBGP Neighborを確立」といった、構成をFWで実現可能となりました。
現在の推奨リリースでも、従来のDMVPNやFlexVPNで実現される、Spoke間で最短経路を自動確立する処理などについてはIOS/IOS-XEのみで実現可能なため、このような機能が採用される構成では、もちろんルーター製品に優位性があります。
しかし、Hub and Spokeなトポロジー(Spoke間は全てHubを経由する)で要件を満たす構成においては、ASAやFTDのみで構成してルーター製品を除外することも技術的に可能となったため、デバイスの集約で調達や運用管理を含め、総コストへ寄与するメリットも得られるアップデートとなっています。
非対応モデルと、旧モデルのEoS/EoL
旧ASAシリーズとFirepowerとして初期にリリースされEoLを直近で控えた製品については、今回のASA 9.20、FTD 7.4へ対応しないモデルとなっています。
ご利用の皆様におかれましては、EoS/EoLによる更改へ限らず、構造変更を見据えた有意義な機会と考えて頂ければ幸いです。
ASA 5506-X
販売終了日:2021年8月2日
サポート終了日: 2026年8月31日
ASA 5508-X/5516-X
販売終了日:2021年8月2日
サポート終了日: 2026年8月31日
ASA 5525-X/5545-X/5555-X
販売終了日:2020年9月4日
サポート終了日: 2025年9月30日
Firepower 2100
販売終了日:2025年5月27日
サポート終了日: 2030年5月31日
Firepower 4110
販売終了日:2022年1月31日
サポート終了日: 2027年1月31日
Firepower 4120/4140/4150
Firepower 9300 SM24/SM36/SM44
販売終了日:2020年8月31日
サポート終了日: 2025年8月31日
まとめ
いかがだったでしょうか。
Cisco Secure Firewallについては、旧称のFirepoerでリリースされたモデルから、3100 Seriesや4200 Seriesの追加によって、さらなる高スループットや低遅延、そしてIPsecやDTLSなど暗号化をアクセラレーションするオフロードエンジンを搭載したFPGAが実装されるなど、より充実したスペックからモデルを選択可能となっています。
新たにXLTRとなったASA 9.20.3 Interim、FTD 7.4.2と併せて導入することで、様々なケースで採用できるFWとしてご活用頂けるものではないでしょうか。
この記事が、ご覧いただいた皆様へ少しでもお役に立てば幸いです。
- ※この記事は筆者個人の見解によるものであり、各メーカー様や当社としての意見や見解を示すものではありません。
- ※この記事に含まれる情報については、その内容について当社として何らの保証をするものではありません。
- ※この記事に含まれる情報を利用したことに起因する、利用者又は第三者が被る直接的及び間接的損害に関して、当社はその責任を一切負いません。
独り言
※以下は筆者の個人的な独り言です。
今回の記事でご紹介したCisco Systems様の製品に限らず、従来から「FW機器などではRouting Protocolを使用しない(Static Routeのみで構成する)」とした考え方を、リセラー様やディストリビューター様でも未だにあらゆるケースで短絡的に適用してしまっているのが、現在の日本国内における状態ではないでしょうか。
※FW製品に限らずADC製品などについても、同様のご経験をお持ちの方が多いのではないでしょうか。
筆者の個人的な印象ですが、これはそもそも適切なリソース管理や製品の構造が理解できていない、更にはルーティングなど基幹の技術を適切にリセラー様からエンドユーザー様へまで提供できる体制が整っていないことなど、悪く言えば「各社様の製品を提供する側の見識や能力が不足しているのに、このような名目にかこつけて向上を放棄している」ことのようにも感じてしまっています。
今回ご紹介させて頂いたCisco Systems様のASA 9.20、FTD 7.4のように、製造元の各社様は「機能の進化やグローバルの利用環境で求められる仕様への適合、そして更なる可用性の向上」に向けてOSのリリースを重ねています。この進化や新機能を常に検証して、設備投資に対して最大限の成果が得られる役務を提供し続けるすることが、私たち技術者のあるべき姿であると筆者は考えます。
「短絡的に従前の設定値をただ踏襲して現状のみを維持すること」や、「誰かが作ってくれた設定例にわかりやすいマニュアル、そして親切に教えてくれる問い合わせ窓口が存在する範囲だけで役務を提供する」などのような実態は、製品の開発と向上を続ける各社様が私たちに期待するものとは、決して相容れないのではないでしょうか。
このような現状が少しでも多く認知され、作り手である各社様が理念をもって供給するものが、より多く使い手へ寄与する最大限の形で提供されることを、一介の技術者として願ってやみません。
Recruit 採用情報
技能に誇りをもった技術者の皆様を歓迎いたします。
市場価値以上の待遇と、更なる探究の環境を、必ずお約束いたします。
Contact お問い合わせ
当社の業務などに関するお問い合わせを受け付けています。
※エンドユーザー様から直接のご依頼は、原則として受け付けておりません。全てのお問い合わせにお答えできない場合がございますので、ご了承ください。