スイッチの概要
FWSM は、Cisco 6500 シリーズ スイッチまたは Cisco 7600 シリーズ ルータに搭載できます。どちらのシリーズもコンフィギュレーションは同じです。このマニュアルでは両方のシリーズをまとめて「スイッチ」と呼びます。スイッチには、スイッチ(スーパーバイザ エンジン)とともにルータ(Multilayer Switch Feature Card[MSFC; マルチレイヤ スイッチ フィーチャ カード])が搭載されています。
スイッチは 2 種類のソフトウェア モードをサポートします。
• スイッチのスーパーバイザ エンジンおよび内蔵 MSFC ルータの両方で、Cisco IOS ソフトウェアを使用
• スーパーバイザ エンジンで Catalyst Operating System(OS;オペレーティング システム)ソフトウェア、MSFC 上で Cisco IOS ソフトウェアを使用
このマニュアルでは、両方のモードについて説明します。
FWSM は独自の OS で動作します。
MSFC の詳細については、「MSFC の使用方法」を参照してください。
(注) スイッチでは、各 FWSM で SPAN リフレクタ機能がイネーブルです。この機能によって、FWSM から送られてきたマルチキャスト トラフィック(および中央の書き換えエンジンが必要な他のトラフィック)をスイッチングできます。SPAN リフレクタ機能は SPAN セッションを 1 つ使用します。この機能をディセーブルにするには、次のコマンドを入力します。
Router(config)# no monitor session servicemodule
モジュールの搭載確認
スイッチが FWSM を認識してオンラインにしているかどうかを確認するには、OS に応じてモジュール情報を表示します。
• Cisco IOS ソフトウェア
Router> show module [mod-num | all]
次に、show module コマンドの出力例を示します。
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD0444099Y
2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD03475619
3 2 Intrusion Detection System WS-X6381-IDS SAD04250KV5
4 6 Firewall Module WS-SVC-FWM-1 SAD062302U4
• Catalyst OS ソフトウェア
Console> show module [mod-num]
次に、show module コマンドの出力例を示します。
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- ------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
4 4 2 Intrusion Detection Syste WS-X6381-IDS no ok
5 5 6 Firewall Module WS-SVC-FWM-1 no ok
6 6 8 1000BaseX Ethernet WS-X6408-GBIC no ok
(注) show module コマンドの出力に FWSM の 6 ポートが示されています。これは、EtherChannel としてひとまとめにされた内部ポートです。詳細については、「FWSM の内部インターフェイスのカスタマイズ」を参照してください。
Firewall Services Module への VLAN 割り当て
ここでは、FWSM に VLAN を割り当てる方法について説明します。FWSM に外部物理インターフェイスは組み込まれていません。代わりに VLAN インターフェイスを使用します。FWSM への VLAN 割り当ては、スイッチ ポートへの VLAN 割り当てと同様です。FWSM には Switch Fabric Module(SFM; スイッチ ファブリック モジュール)(搭載されている場合)または共有バスへの内部インターフェイスがあります。
(注) VLAN をスイッチに追加してスイッチ ポートに割り当てる方法については、スイッチのマニュアルを参照してください。
ここでは、次の内容について説明します。
• 「VLAN の注意事項」
• 「Cisco IOS ソフトウェアで FWSM に VLAN を割り当てる場合」
• 「Catalyst OS ソフトウェアで FWSM に VLAN を割り当てる場合」
VLAN の注意事項
FWSM で VLAN を使用する際の注意事項は、次のとおりです。
• FWSM でプライベート VLAN を使用できます。FWSM にプライマリ VLAN を割り当てると、FWSM は自動的にセカンダリ VLAN トラフィックを処理します。
• 予約済み VLAN を使用することはできません。
• VLAN 1 を使用することはできません。
• 同一スイッチ シャーシ内で FWSM フェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してある VLAN(複数可)を割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートに VLAN を組み込む必要があります。
• FWSM に VLAN を割り当てる前に、スイッチに VLAN を追加しなかった場合、VLAN はスーパーバイザ エンジンのデータベースに保管され、スイッチに追加された時点で FWSM に送信されます。
• MSFC に割り当てる前に、FWSM に VLAN を割り当てます。
この条件を満たしていない VLAN は、FWSM 上で割り当てる VLAN の範囲から破棄されます。詳細については、「MSFC への SVI の追加」を参照してください。
Cisco IOS ソフトウェアで FWSM に VLAN を割り当てる場合
Cisco IOS ソフトウェアでは、1 つまたは複数のファイアウォール VLAN グループを作成し、FWSM にグループを割り当てます。たとえば、すべての VLAN を 1 つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを 1 つずつ作成するといったことが可能です。
1 つの VLAN を複数のファイアウォール グループに割り当てることはできませんが、複数のファイアウォール グループを 1 つの FWSM に割り当てたり、1 つのファイアウォール グループを複数の FWSM に割り当てることはできます。複数の FWSM に割り当てる VLAN は、各 FWSM に固有な VLAN とは別個のグループに配置できます。
VLAN を FWSM に 割り当てる手順は、次のとおりです。
ステップ 1 次のコマンドを入力して、ファイアウォール グループに VLAN を割り当てます。
Router(config)# firewall vlan-group firewall_group vlan_range
vlan_range には、次のどちらかの形式で、1 つまたは複数の VLAN(1 ~ 1000 および 1025 ~ 4094)を指定できます。
• 個別の番号( n )
• 範囲( n-x )
番号または範囲はカンマで区切ります。番号の入力例を示します。
(注) ルーテッド ポートと WAN ポートは内部 VLAN を使用するので、1020 ~ 1100 の範囲に含まれる番号は、すでに使用されている可能性があります。
ステップ 2 次のコマンドを入力して、FWSM にファイアウォール グループを割り当てます。
Router(config)# firewall module module_number vlan-group firewall_group
firewall_group は、1 つまたは複数のグループ番号です。
• 個別の番号( n )
• 範囲( n-x )
番号または範囲はカンマで区切ります。番号の入力例を示します。
次に、3 つのファイアウォール VLAN グループ(各 FWSM 用のグループ、および両方の FWSM に割り当てられた VLAN を含むグループ)を作成する例を示します。
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52
次に、show firewall vlan-group コマンドの出力例を示します。
Router# show firewall vlan-group
次に、すべての VLAN グループを示す show firewall module コマンドの出力例を示します。
Router# show firewall module
Catalyst OS ソフトウェアで FWSM に VLAN を割り当てる場合
Catalyst OS ソフトウェアで、FWSM に VLAN リストを割り当てます。必要であれば、複数の FWSM に同じ VLAN を割り当ててもかまいません。
次のコマンドを入力して、FWSM に VLAN を割り当てます。
Console> (enable) set vlan vlan_list firewall-vlan mod_num
vlan_list には、次のいずれかの形式で、1 つまたは複数の VLAN(2 ~ 1000 および 1025 ~ 4094)を指定できます。
• 個別の番号( n )
• 範囲( n-x )
番号または範囲はカンマで区切ります。次に例を示します。
(注) ルーテッド ポートと WAN ポートは内部 VLAN を使用するので、1020 ~ 1100 の範囲に含まれる番号は、すでに使用されている可能性があります。
次に、一般的な設定例を示します。
Console> (enable) set vlan 55-57,100 firewall-vlan 5
Console> (enable) set vlan 70-85,100 firewall-vlan 8
次に、show vlan firewall-vlan コマンドの出力例を示します。
Console> show vlan firewall-vlan 5
Secured vlans by firewall module 5
MSFC への SVI の追加
MSFC 上で定義された VLAN を Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)といいます。FWSM に SVI 用の VLAN を割り当てると(Firewall Services Module への VLAN 割り当てを参照)、MSFC は FWSM と他のレイヤ 3 VLAN 間でルーティングを行います。
ここでは、次の内容について説明します。
• 「SVI の概要」
• 「SVI の設定(スーパーバイザ エンジンで Cisco IOS ソフトウェアを実行している場合)」
• 「SVI の設定(スーパーバイザ エンジンで Catalyst OS ソフトウェアを実行している場合)」
SVI の概要
セキュリティ上の理由から、デフォルトでは MSFC と FWSM 間に存在できる SVI は 1 つだけです。たとえば、誤って複数の SVI を指定してシステムを設定した場合、MSFC に内部 VLAN と外部 VLAN の両方を割り当てることによって、トラフィックが偶発的に FWSM をバイパスしてしまう可能性があります(図2-1を参照)。
図2-1 誤設定による複数の SVI
ただし、ネットワークの状況によっては、FWSM をバイパスしなければならないこともあります。図2-2に、IP ホストと同じイーサネット セグメント上に IPX ホストが配置されている例を示します。ルーテッド ファイアウォール モードの FWSM が処理できるのは IP トラフィックだけであり、IPX などの他のトラフィックは廃棄されるので(透過ファイアウォール モードでは任意で IP 以外のトラフィックの通過が可能)、IPX トラフィックは FWSM をバイパスさせる必要があります。この場合、必ず、VLAN 201 を通過できるのが IPX トラフィックに限定されるアクセス リストを使用して MSFC を設定してください。
図2-2 IPX 対応の複数の SVI
透過ファイアウォールがマルチコンテキスト モードの場合、コンテキストごとに対応する外部インターフェイス上に固有の VLAN が必要なので、複数の SVI を使用する必要があります(図2-3を参照)。ルーテッド モードの場合でも複数の SVI を使用できるので、外部インターフェイス用に 1 つの VLAN を共有する必要はありません。
図2-3 マルチコンテキスト モードでの複数の SVI
SVI の設定(スーパーバイザ エンジンで Cisco IOS ソフトウェアを実行している場合)
スーパーバイザ エンジンで Cisco IOS ソフトウェアを実行している場合、次の手順で MSFC に SVI を追加します。
ステップ 1 (任意)次のコマンドを入力して、FWSM に複数の SVI を追加できるようにします。
Router(config)# firewall multiple-vlan-interfaces
ステップ 2 次のコマンドを入力して、MSFC に VLAN インターフェイスを追加します。
Router(config)# interface vlan vlan_number
ステップ 3 次のコマンドを入力して、MSFC 上でこのインターフェイスに対応する IP アドレスを設定します。
Router(config-if)# ip address address mask
ステップ 4 次のコマンドを入力して、インターフェイスをイネーブルにします。
Router(config-if)# no shutdown
次に、複数の SVI を使用する一般的な設定例を示します。
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall module 8 vlan-group 50-51
Router(config)# firewall multiple-vlan-interfaces
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shutdown
次に、show interface コマンドの出力例を示します。
Router# show interface vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
SVI の設定(スーパーバイザ エンジンで Catalyst OS ソフトウェアを実行している場合)
スーパーバイザ エンジンで Catalyst OS ソフトウェアを実行している場合、次の手順で MSFC に SVI を追加します。
ステップ 1 (任意)次のコマンドを入力して、FWSM に複数の SVI を追加できるようにします。
Console> (enable) set firewall multiple-vlan-interfaces enable
この設定をディセーブルにするには、次のコマンドを入力します。
Console> (enable) set firewall multiple-vlan-interfaces disable
ステップ 2 次のコマンドのいずれかを入力して、MSFC インターフェイスにアクセスします。
Console> (enable) switch console
または
Console> (enable) session {15 | 16}
Telnet または Secure Shell(SSH; セキュア シェル)を使用してスイッチにアクセスしている場合は、 session コマンドを使用する必要があります。
ステップ 3 次のコマンドを入力して、MSFC 上でイネーブル モードを開始し、さらにコンフィギュレーション モードを開始します。
Router#
configure terminal
ステップ 4 次のコマンドを入力して、MSFC に VLAN インターフェイスを追加します。
Router(config)# interface vlan vlan_number
ステップ 5 次のコマンドを入力して、MSFC 上でこのインターフェイスに対応する IP アドレスを設定します。
Router(config-if)# ip address address mask
ステップ 6 次のコマンドを入力して、インターフェイスをイネーブルにします。
Router(config-if)# no shutdown
ステップ 7 次のコマンドを入力して、イネーブル EXEC モードに戻ります。
ステップ 8 Ctrl-C を 3 回入力して、スイッチの CLI に戻ります。
次に、一般的な設定例を示します。
Console> (enable) set vlan 55-57,70-85 firewall-vlan 8
Console> (enable) set firewall multiple-vlan-interfaces enable
Console> (enable) switch console
Router# configure terminal
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shutdown
次に、MSFC プロンプトに入力する show interface コマンドの出力例を示します。
Router# show interface vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
FWSM の内部インターフェイスのカスタマイズ
FWSM とスイッチ間の接続は 6 GB の 802.1Q トランキング EtherChannel です。この EtherChannel は、FWSM を搭載した時点で自動的に作成されます。FWSM 側では、2 つの NP のそれぞれが 3 つのギガビット イーサネット インターフェイスに接続し、これらのインターフェイスが EtherChannel を形成します。スイッチはセッション情報に基づき、分散アルゴリズムに従って EtherChannel 内のインターフェイスにトラフィックを分散させます。負荷分散はパケット単位ではなく、フロー単位で行われます。アルゴリズムがインターフェイス間、したがって 2 つの NP 間でトラフィックを均等に割り当てない場合もあります。恒常的な不均衡は、FWSM の処理能力がフル活用されないだけではなく、複数のコンテキストにリソース管理を適用したときに予想外の動作を引き起こす可能性があります(詳細については、 クラスの設定を参照)。
• Cisco IOS ソフトウェア
Router(config)# port-channel load-balance {dst-ip | dst-mac | dst-port | src-dst-ip | src-dst-mac | src-dst-port | src-ip | src-mac | src-port}
デフォルトは src-dst-ip です。
• Catalyst OS ソフトウェア
Console> (enable) set port channel all distribution {ip | mac | session | ip-vlan-session} [source | destination | both]
デフォルトは ip both です。
Firewall Services Module ブート パーティションの管理
ここでは、スイッチから FWSM をリセットする方法とフラッシュ メモリ カード上のブート パーティションを管理する方法について説明します。ここでは、次の内容について説明します。
• 「フラッシュ メモリの概要」
• 「デフォルト ブート パーティションの設定」
• 「FWSM のリセットまたは特定のパーティションからの起動」
フラッシュ メモリの概要
FWSM には、OS、コンフィギュレーション、およびその他のデータを保管する 128 MB のフラッシュ メモリ カードがあります。フラッシュ メモリにはパーティションが 6 つあります。Cisco IOS および Catalyst OS ソフトウェアのコマンドでは、 cf: n で指定します。
• メンテナンス パーティション( cf:1 ) ― メンテナンス ソフトウェアが格納されています。メンテナンス ソフトウェアを使用して、アプリケーション パーティションの起動ができない場合に、アプリケーション イメージをアップグレードまたはインストールしたり、アプリケーション イメージのパスワードをリセットしたり、クラッシュ ダンプ情報を表示したりします。
• ネットワーク コンフィギュレーション パーティション( cf:2 ) ― メンテナンス ソフトウェアのネットワーク コンフィギュレーションが格納されています。FWSM が TFTP サーバにアクセスしてアプリケーション ソフトウェア イメージをダウンロードできるように、メンテナンス ソフトウェアには IP の設定値が必要です。
• クラッシュ ダンプ パーティション( cf:3 ) ― クラッシュ ダンプ情報が保管されます。
• アプリケーション パーティション( cf:4 および cf:5 ) ― アプリケーション ソフトウェア イメージ、システム コンフィギュレーション、および ASDM を保管します。デフォルトで、イメージは cf:4 にインストールされます。 cf:5 はテスト パーティションとして使用できます。たとえば、ソフトウェアをアップグレードする場合、新しいソフトウェアを cf:5 にインストールし、問題が発生した場合のバックアップとして旧ソフトウェアを維持することもできます。各パーティションには独自のスタートアップ コンフィギュレーションが設定されています。
• セキュリティ コンテキスト パーティション( cf:6 ) ― このパーティション専用として 64 MB が確保されます。ここにはセキュリティ コンテキスト コンフィギュレーション(必要に応じて)とナビゲーション可能なファイル システムの RSA キーを保管します。他のパーティションには、ファイルのリスト表示などの一般的な作業を実行できるファイル システムはありません。 copy コマンドの使用時には、このパーティションを ディスク といいます。
デフォルト ブート パーティションの設定
FWSM はデフォルトで、 cf:4 アプリケーション パーティションから起動します。 cf:5 アプリケーション パーティションからの起動または cf:1 メンテナンス パーティションでの起動を選択することもできます。デフォルト ブート パーティションを変更するには、OS に応じたコマンドを入力します。
• Cisco IOS ソフトウェア
Router(config)# boot device module mod_num cf:n
n は 1(メンテナンス)、4(アプリケーション)、または 5(アプリケーション)です。
• Catalyst OS ソフトウェア
Console> (enable) set boot device cf:n mod_num
n は 1(メンテナンス)、4(アプリケーション)、または 5(アプリケーション)です。
現在のブート パーティションを表示するには、OS に応じたコマンドを入力します。
• Cisco IOS ソフトウェア
Router# show boot device [mod_num]
次に例を示します。
• Catalyst OS ソフトウェア
Console> (enable) show boot device mod_num
次に例を示します。
Console> (enable) show boot device 6
Device BOOT variable = cf:5
FWSM のリセットまたは特定のパーティションからの起動
ここでは、FWSM をリセットする方法または特定のパーティションから起動する方法について説明します。CLI または外部 Telnet セッションから FWSM にアクセスできない場合は、FWSM のリセットが必要です。メンテナンス パーティションにアクセスしなければならない場合、またはバックアップのアプリケーション パーティションに保管されている別のソフトウェア イメージから起動しなければならない場合は、デフォルト以外のブート パーティションからの起動が必要になります。メンテナンス パーティションは、トラブルシューティング時に役立ちます。
リセットすると、完了までに数分間かかることがあります。
Cisco IOS ソフトウェアの場合、FWSM のリセット時に、フルメモリ テストの実行を選択することもできます。FWSM の初回起動時には、部分的なメモリ テストが実行されるだけです。フルメモリ テストには、6 分ほどかかります。
FWSM をリセットする場合は、使用する OS に応じた項を参照してください。
• 「Cisco IOS ソフトウェアで FWSM をリセットする場合」
• 「Catalyst OS ソフトウェアで FWSM をリセットする場合」
(注) FWSM にログインするときに FWSM をリロードする場合は、reload コマンドまたは reboot コマンドを入力します。これらのコマンドで、デフォルト以外のブート パーティションから起動することはできません。
Cisco IOS ソフトウェアで FWSM をリセットする場合
FWSM をリセットするには、次のコマンドを入力します。
Router# hw-module module mod_num reset [cf:n] [mem-test-full]
引数 cf: n はパーティションで、1(メンテナンス)、4(アプリケーション)、または 5(アプリケーション)のいずれかです。パーティションを指定しなかった場合、デフォルトのパーティションが使用されます(通常は cf:4 )。
mem-test-full オプションを指定すると、フルメモリ テストが実行されます。所要時間は約 6 分です。
次に、スロット 9 に搭載された FWSM をリセットする例を示します。デフォルトのブート パーティションが使用されます。
Router# hw-mod module 9 reset
Proceed with reload of module? [confirm] y
% reset issued for module 9
00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap
00:26:55:SP:The PC in slot 8 is shutting down. Please wait ...
Catalyst OS ソフトウェアで FWSM をリセットする場合
次のコマンドを入力して、スイッチの CLI から FWSM をリセットします。
Console> (enable) reset mod_num [cf:n]
cf: n はパーティションで、1(メンテナンス)、4(アプリケーション)、または 5(アプリケーション)のいずれかです。パーティションを指定しなかった場合、デフォルトのパーティションが使用されます(通常は cf:4)。