Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
Firewall Services Module を使用する ためのスイッチの設定
Firewall Services Moduleを使用するためのスイッチの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

Firewall Services Moduleを使用するためのスイッチの設定

スイッチの概要

モジュールの搭載確認

へのVLAN割り当て

前提条件

Cisco IOSソフトウェアでVLANを割り当てる場合

Catalyst OSソフトウェアでVLANを割り当てる場合

MSFCへのSVIの追加

SVIの概要

SVIの設定(スーパバイザ エンジンでCisco IOSソフトウェアを実行している場合)

SVIの設定(スーパバイザ エンジンでCatalyst OSソフトウェアを実行している場合)

の内部インターフェイスのカスタマイズ

フェールオーバーを使用するためのスイッチの設定

セカンダリへのVLAN割り当て

プライマリ スイッチとセカンダリ スイッチ間のトランクの追加

トランスペアレント ファイアウォール モードとの両立

ブート パーティションの管理

フラッシュ メモリの概要

デフォルト ブート パーティションの設定

のリセットまたは特定のパーティションからの起動

Cisco IOSソフトウェアでをリセットする場合

Catalyst OSソフトウェアでをリセットする場合

Firewall Services Moduleを使用するためのスイッチの設定

この章では、Firewall Services Module(FWSM)と組み合わせて使用できるように、Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータを設定する方法について説明します。この章で説明する作業を行う前に、スイッチに付属のマニュアルに従って、インターフェイスへのVLAN割り当てをはじめ、スイッチの基本的なプロパティを設定してください。

この章で説明する内容は、次のとおりです。

「スイッチの概要」

「モジュールの搭載確認」

「Firewall Services ModuleへのVLAN割り当て」

「MSFCへのSVIの追加」

「FWSMの内部インターフェイスのカスタマイズ」

「フェールオーバーを使用するためのスイッチの設定」

「Firewall Services Moduleブート パーティションの管理」

スイッチの概要

FWSMは、Cisco 6500シリーズ スイッチまたはCisco 7600シリーズ ルータに搭載できます。どちらのシリーズもコンフィギュレーションは同じです。このマニュアルでは両方のシリーズをまとめて「スイッチ」といいます。スイッチには、スイッチ(スーパバイザ エンジン)とともにルータ(Multilayer Switch Feature Card[MSFC;マルチレイヤ スイッチ フィーチャ カード])が搭載されています。

スイッチは2種類のソフトウェア モードをサポートします。

スイッチのスーパバイザ エンジンおよび内蔵MSFCルータの両方で、Cisco IOSソフトウェアを使用

スーパバイザ エンジンでCatalyst Operating System(OS;オペレーティング システム)ソフトウェア、MSFC上でCisco IOSソフトウェアを使用

このマニュアルでは、両方のモードについて説明します。

MSFCの詳細については、「MSFCの使用方法」を参照してください。


) Cisco IOSソフトウェアを使用するスイッチでは、各FWSMでSPANリフレクタ機能がイネーブルです。この機能によって、FWSMから送られてきたマルチキャスト トラフィック(および中央の書き換えエンジンが必要な他のトラフィック)をスイッチングできます。SPANリフレクタ機能はSPANセッションを1つ使用します。この機能をディセーブルにするには、次のコマンドを入力します。

Router(config)# no monitor session servicemodule


 

モジュールの搭載確認

スイッチがFWSMを認識してオンラインにしているかどうかを確認するには、OSに応じてモジュール情報を表示します。

Cisco IOSソフトウェア

Router> show module [mod-num | all]
 

show moduleコマンドの出力例を示します。

Router> show module
Mod Ports Card Type Model Serial No.
--- ----- -------------------------------------- ------------------ -----------
1 2 Catalyst 6000 supervisor 2 (Active) WS-X6K-SUP2-2GE SAD0444099Y
2 48 48 port 10/100 mb RJ-45 ethernet WS-X6248-RJ-45 SAD03475619
3 2 Intrusion Detection System WS-X6381-IDS SAD04250KV5
4 6 Firewall Module WS-SVC-FWM-1 SAD062302U4
 

Catalyst OSソフトウェア

Console> show module [mod-num]
 

show moduleコマンドの出力例を示します。

Console> show module
Mod Slot Ports Module-Type Model Sub Status
--- ---- ----- ------------------------- ------------------- --- ------
1 1 2 1000BaseX Supervisor WS-X6K-SUP1A-2GE yes ok
15 1 1 Multilayer Switch Feature WS-F6K-MSFC no ok
4 4 2 Intrusion Detection Syste WS-X6381-IDS no ok
5 5 6 Firewall Module WS-SVC-FWM-1 no ok
6 6 8 1000BaseX Ethernet WS-X6408-GBIC no ok
 

show moduleコマンドの出力にFWSMの6ポートが示されています。これは、EtherChannelとしてひとまとめにされた内部ポートです。詳細については、「FWSMの内部インターフェイスのカスタマイズ」を参照してください。


Firewall Services ModuleへのVLAN割り当て

ここでは、FWSMにVLANを割り当てる方法について説明します。FWSMに外部物理インターフェイスは組み込まれていません。代わりにVLANインターフェイスを使用します。FWSMへのVLAN割り当ては、スイッチ ポートへのVLAN割り当てと同様です。FWSMにはSwitch Fabric Module(SFM;スイッチ ファブリック モジュール)(搭載されている場合)または共有バスへの内部インターフェイスがあります。

ここでは、次の内容について説明します。

「前提条件」

「Cisco IOSソフトウェアでVLANを割り当てる場合」

「Catalyst OSソフトウェアでVLANを割り当てる場合」

前提条件

次の手順で、FWSM上でVLANを使用できるようにします。詳細については、スイッチのマニュアルを参照してください。

1. スイッチにVLANを追加します。

FWSMにVLANを割り当てる前に、スイッチにVLANを追加しなかった場合、VLANはスーパバイザ エンジンのデータベースに保管され、スイッチに追加された時点でFWSMに送信されます。

VLANを予約VLANにはできません。

Cisco IOSソフトウェア

vlan vlan_number コマンドを入力して、VLANを追加します。

Catalyst OSソフトウェア

set vlan vlan_number コマンドを入力して、VLANを追加します。

2. スイッチ ポートにVLANを割り当てます。

Cisco IOSソフトウェア

次のように入力し、ポートにVLANを割り当てます。

router(config)# interface type slot/port
router(config-if)# switchport
router(config-if)# switchport mode access
router(config-if)# switchport access vlan vlan_id
 

Catalyst OSソフトウェア

set vlan vlan_number mod / ports コマンドを入力して、ポートにVLANを割り当てます。このコマンドを使用すると、(未作成であれば)VLANの作成とポートへの割り当ての両方が行われます。


) 同一スイッチ シャーシ内でFWSMフェールオーバーを使用する場合は、フェールオーバーおよびステートフル通信のために確保してあるVLAN(複数可)を割り当てないでください。ただし、シャーシ間でフェールオーバーを使用する場合は、シャーシ間を結ぶトランク ポートにVLANを組み込む必要があります。


3. MSFCに割り当てる前に、FWSMにVLANを割り当てます。

この条件を満たしていないVLANは、FWSM上で割り当てるVLANの範囲から破棄されます。詳細については、「MSFCへのSVIの追加」を参照してください。

Cisco IOSソフトウェアでVLANを割り当てる場合

Cisco IOSソフトウェアでは、1つ以上のファイアウォールVLANグループを作成し、FWSMにグループを割り当てます。たとえば、すべてのVLANを1つのグループに割り当てる、内部グループと外部グループを作成する、またはカスタマーごとにグループを1つずつ作成するといったことが可能です。

複数のファイアウォール グループに同じVLANを割り当てることはできませんが、複数のファイアウォール グループを1つのFWSMに割り当てることは可能です。複数のFWSMに割り当てるVLANは、たとえば、各FWSM固有のVLANとは別個のグループにまとめるようにします。

FWSMにVLANを割り当てる手順は、次のとおりです。


ステップ 1 次のコマンドを入力して、ファイアウォール グループにVLANを割り当てます。

Router(config)# firewall vlan-group firewall_group vlan_range
 

vlan_range には、次のどちらかの形式で、1つ以上のVLAN(1~1000および1025~4094)を指定できます。

個別の番号( n

範囲( n-x

番号または範囲はカンマで区切ります。番号の入力例を示します。

5,7-10,13,45-100
 

) ルーテッド ポートとWANポートは内部VLANを使用するので、1,020~1,100の範囲に含まれる番号は、すでに使用されている可能性があります。


ステップ 2 次のコマンドを入力して、FWSMにファイアウォール グループを割り当てます。

Router(config)# firewall module module_number vlan-group firewall_group
 

firewall_group は、1つ以上のグループ番号です。

個別の番号( n

範囲( n-x

番号または範囲はカンマで区切ります。番号の入力例を示します。

5,7-10
 


 

次に、3つのファイアウォールVLANグループを作成する例を示します。FWSMごとに1つずつ、さらに両方のFWSMに割り当てるVLANが含まれたグループが1つです。スイッチにVLANを追加する方法の詳細については、「前提条件」を参照してください。

Router(config)# vlan 55-57,70-85,100
Router(config-vlan)# exit
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall vlan-group 52 100
Router(config)# firewall module 5 vlan-group 50,52
Router(config)# firewall module 8 vlan-group 51,52
 

グループの設定を表示するには、次のコマンドを入力します。

Router# show firewall vlan-group
Group vlans
----- ------
50 55-57
51 70-85
52 100
 

すべてのモジュールについて、VLANグループを表示するには、次のコマンドを入力します。

Router# show firewall module
Module Vlan-groups
5 50,52
8 51,52

Catalyst OSソフトウェアでVLANを割り当てる場合

Catalyst OSソフトウェアでは、FWSMにVLANリストを割り当てます。必要であれば、複数のFWSMに同じVLANを割り当ててもかまいません。


 

次のコマンドを入力して、FWSMにVLANを割り当てます。

Console> (enable) set vlan vlan_list firewall-vlan mod_num
 

vlan_list には、次のどちらかの形式で、1つ以上のVLAN(1~1000および1025~4094)を指定できます。

個別の番号( n

範囲( n-x

番号または範囲はカンマで区切ります。次に例を示します。

5,7-10,13,45-100
 

) ルーテッド ポートとWANポートは内部VLANを使用するので、1,020~1,100の範囲に含まれる番号は、すでに使用されている可能性があります。



 

次に、一般的な設定例を示します。

Console> (enable) set vlan 55-57
Console> (enable) set vlan 70-85
Console> (enable) set vlan 100
Console> (enable) set vlan 55-57,100 firewall-vlan 5
Console> (enable) set vlan 70-85,100 firewall-vlan 8
 

FWSMに割り当てられたVLANを表示するには、次のコマンドを入力します。

Console> show vlan firewall-vlan 5
Secured vlans by firewall module 5
55-57, 100

MSFCへのSVIの追加

MSFC上で定義されたVLANをSwitched Virtual Interface(SVI)といいます。FWSMにSVI用のVLANを割り当てると(Firewall Services ModuleへのVLAN割り当てを参照)、MSFCはFWSMと他のレイヤ3 VLAN間でルーティングを行います。

ここでは、次の内容について説明します。

「SVIの概要」

「SVIの設定(スーパバイザ エンジンでCisco IOSソフトウェアを実行している場合)」

「SVIの設定(スーパバイザ エンジンでCatalyst OSソフトウェアを実行している場合)」

SVIの概要

セキュリティ上の理由から、デフォルトではMSFCとFWSM間に存在できるSVIは1つだけです。たとえば、誤って複数のSVIを指定してシステムを設定した場合、MSFCに内部VLANと外部VLANの両方を割り当てることによって、トラフィックが偶発的にFWSMをバイパスしてしまう可能性があります(図 2-1を参照)。

図 2-1 誤設定によるマルチSVI

 

ただし、ネットワークの状況によっては、FWSMをバイパスしなければならないこともあります。図 2-2に、IPホストと同じイーサネット セグメント上にIPXホストが配置されている例を示します。ルーテッド ファイアウォール モードのFWSMが処理できるのはIPトラフィックだけであり、IPXといった他のトラフィックは廃棄されるので(トランスペアレント ファイアウォール モードでは任意でIP以外のトラフィックの通過が可能)、IPXトラフィックはFWSMをバイパスさせる必要があります。この場合、必ず、VLAN 201を通過できるのがIPXトラフィックに限定されるACLを使用してMSFCを設定してください。

図 2-2 IPX対応のマルチSVI

 

トランスペアレント ファイアウォールがマルチコンテキスト モードの場合、コンテキストごとに対応する外部インターフェイス上に固有のVLANが必要なので、複数のSVIを使用する必要があります(図 2-3を参照)。ルーテッド モードの場合でも複数のSVIを使用できるので、外部インターフェイス用に1つのVLANを共有する必要はありません。

図 2-3 マルチコンテキスト モードでの複数のSVI

 

SVIの設定(スーパバイザ エンジンでCisco IOSソフトウェアを実行している場合)

スーパバイザ エンジンでCisco IOSソフトウェアを実行している場合、次の手順でMSFCにSVIを追加します。


ステップ 1 (任意)次のコマンドを入力して、FWSMに複数のSVIを追加できるようにします。

Router(config)# firewall multiple-vlan-interfaces
 

ステップ 2 次のコマンドを入力して、MSFCにVLANインターフェイスを追加します。

Router(config)# interface vlan vlan_number
 

ステップ 3 次のコマンドを入力して、MSFC上でこのインターフェイスに対応するIPアドレスを設定します。

Router(config-if)# ip address address mask
 

ステップ 4 次のコマンドを入力して、インターフェイスをイネーブルにします。

Router(config-if)# no shut
 


 

次に、複数のSVIを使用する一般的な設定例を示します。

Router(config)# vlan 55-57,70-85
Router(config-vlan)# exit
Router(config)# firewall vlan-group 50 55-57
Router(config)# firewall vlan-group 51 70-85
Router(config)# firewall module 8 vlan-group 50-51
Router(config)# firewall multiple-vlan-interfaces
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# end
Router#
 

SVIの設定を表示するには、次のコマンドを入力します。

Router# show int vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Queueing strategy:fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
 

SVIの設定(スーパバイザ エンジンでCatalyst OSソフトウェアを実行している場合)

スーパバイザ エンジンでCatalyst OSソフトウェアを実行している場合、次の手順でMSFCにSVIを追加します。


ステップ 1 (任意)次のコマンドを入力して、FWSMに複数のSVIを追加できるようにします。

Console> (enable) set firewall multiple-vlan-interfaces enable
 

この設定をディセーブルにするには、次のコマンドを入力します。

Console> (enable) set firewall multiple-vlan-interfaces disable
 

ステップ 2 次のコマンドのいずれかを入力して、MSFCインターフェイスにアクセスします。

Console> (enable) switch console
 

または

Console> (enable) session {15 | 16}
 

TelnetまたはSSHを使用してスイッチにアクセスしている場合は、 session コマンドを使用する必要があります。

ステップ 3 次のコマンドを入力して、MSFC上でイネーブル モードを開始し、さらにコンフィギュレーション モードを開始します。

Router> enable
Router# configure terminal
 

ステップ 4 次のコマンドを入力して、MSFCにVLANインターフェイスを追加します。

Router(config)# interface vlan vlan_number
 

ステップ 5 次のコマンドを入力して、MSFC上でこのインターフェイスに対応するIPアドレスを設定します。

Router(config-if)# ip address address mask
 

ステップ 6 次のコマンドを入力して、インターフェイスをイネーブルにします。

Router(config-if)# no shut

ステップ 7 次のコマンドを入力して、イネーブルEXECモードに戻ります。

Router(config-if)# end
 

ステップ 8 Ctrl-C を3回入力して、スイッチのCLIに戻ります。


 

次に、一般的な設定例を示します。

Console> (enable) set vlan 55-57
Console> (enable) set vlan 70-85
Console> (enable) set vlan 55-57,70-85 firewall-vlan 8
Console> (enable) set firewall multiple-vlan-interfaces enable
Console> (enable) switch console
Router> enable
Password: ******
Router# configure terminal
Router(config)# interface vlan 55
Router(config-if)# ip address 10.1.1.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# interface vlan 56
Router(config-if)# ip address 10.1.2.1 255.255.255.0
Router(config-if)# no shut
Router(config-if)# end
Router# ^C^C^C
Console> (enable)
 

SVIの設定を表示するには、MSFCのプロンプトに次のコマンドを入力します。

Router# show int vlan 55
Vlan55 is up, line protocol is up
Hardware is EtherSVI, address is 0008.20de.45ca (bia 0008.20de.45ca)
Internet address is 55.1.1.1/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
ARP type:ARPA, ARP Timeout 04:00:00
Last input never, output 00:00:08, output hang never
Last clearing of "show interface" counters never
Input queue:0/75/0/0 (size/max/drops/flushes); Total output drops:0
Queueing strategy:fifo
Output queue :0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched:ucast:196 pkt, 13328 bytes - mcast:4 pkt, 256 bytes
L3 in Switched:ucast:0 pkt, 0 bytes - mcast:0 pkt, 0 bytes mcast
L3 out Switched:ucast:0 pkt, 0 bytes
0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
4 packets output, 256 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
 
 

FWSMの内部インターフェイスのカスタマイズ

FWSMとスイッチ間の接続は6 GBの802.1QトランキングEtherChannelです。このEtherChannelは、FWSMを搭載した時点で自動的に作成されます。FWSM側では、2つのNetwork Processor(NP;ネットワーク プロセッサ)のそれぞれが3つのギガビット イーサネット インターフェイスに接続し、これらのインターフェイスがEtherChannelを形成します。スイッチはセッション情報に基づき、分散アルゴリズムに従ってEtherChannel内のインターフェイスにトラフィックを分散させます。負荷分散はパケット単位ではなく、フロー単位で行われます。アルゴリズムがインターフェイス間、したがって2つのNP間でトラフィックを均等に割り当てない場合もあります。恒常的な不均衡は、FWSMの処理能力がフル活用されないだけではなく、複数のコンテキストにリソース管理を適用したときに予想外の動作を引き起こす可能性があります(詳細については、 クラスの設定を参照)。アルゴリズムを変更する場合は、OSに対応するコマンドを参照してください。

Cisco IOSソフトウェア

Router(config)# port-channel load-balance {dst-ip | dst-mac | dst-port | src-dst-ip | src-dst-mac | src-dst-port | src-ip | src-mac | src-port}
 

デフォルトは src-dst-ip です。

Catalyst OSソフトウェア

Console> (enable) set port channel all distribution {ip | mac | session | ip-vlan-session} [source | destination | both]
 

デフォルトは ip both です。

フェールオーバーを使用するためのスイッチの設定

フェールオーバー対応としてスイッチを設定する場合は、次の項を参照してください。

「セカンダリFirewall Services ModuleへのVLAN割り当て」

「プライマリ スイッチとセカンダリ スイッチ間のトランクの追加」

「トランスペアレント ファイアウォール モードとの両立」

セカンダリFirewall Services ModuleへのVLAN割り当て

両方の装置が同じように内部ネットワークと外部ネットワークにアクセスできなければならないので、スイッチ上の両方のFWSMに同じVLANを割り当てる必要があります。「Firewall Services ModuleへのVLAN割り当て」を参照してください。

プライマリ スイッチとセカンダリ スイッチ間のトランクの追加

スイッチ間フェールオーバーを使用する場合( モジュールの配置を参照)、2つのスイッチ間に802.1Q VLANトランクを設定する必要があります。このトランクには次の特性が必要です。

トランクは、フェールオーバーVLANとステートVLANを含めたすべてのファイアウォールVLANを伝送できなければなりません。

このトランクは、1つのモジュールの障害時にFWSMトラフィックを処理するので、最低限、FWSMが検査する最大トラフィック量に匹敵するサイズにする必要があります。FWSMは、内蔵の6 Gbps EtherChannelでスイッチに接続しています。したがって、FWSMをフル稼働する場合には、2つの装置間のトランクに最低6つの1 Gpbsインターフェイスが必要になります。EtherChannelは、最大8つの互換ポートの帯域幅を1つの論理リンクとして集約します。予備のポートがない場合は、小型のトランクを作成することもできますが、パフォーマンスが低下する可能性があります。

CoS値が5(ハイ プライオリティ)のフェールオーバーVLANパケットがこれらのポートでハイ プライオリティで処理されるように、トランクでQoSをイネーブルにしておく必要があります。

EtherChannelとトランクの設定については、スイッチのマニュアルを参照してください。

トランスペアレント ファイアウォール モードとの両立

トランスペアレント モードでフェールオーバーを使用したときにループが発生しないように、BPDUの転送をサポートするスイッチ ソフトウェアを使用してください。Catalyst OSソフトウェアRelease 8.2(1)およびCisco IOSソフトウェアRelease 12.2(17)SXAでは、BPDUを自動的に使用できます。

Firewall Services Moduleブート パーティションの管理

ここでは、スイッチからFWSMをリセットする方法とコンパクト フラッシュ カード上のブート パーティションを管理する方法について説明します。次の内容について説明します。

「フラッシュ メモリの概要」

「デフォルト ブート パーティションの設定」

「FWSMのリセットまたは特定のパーティションからの起動」

フラッシュ メモリの概要

FWSMには、OS、コンフィギュレーション、およびその他のデータを保管する128 MBのコンパクト フラッシュ カード(「フラッシュ メモリ」)があります。フラッシュ メモリにはパーティションが6つあります。Cisco IOSソフトウェアおよびCatalyst OSソフトウェアのコマンドでは、 cf: n で指定します。

メンテナンス パーティション( cf:1 ) ― メンテナンス イメージが格納されています。メンテナンス パーティションを使用して、アプリケーション パーティションのブートができない場合に、アプリケーション イメージをアップグレードまたはインストールしたり、アプリケーション イメージのパスワードを変更したり、クラッシュ ダンプ情報を表示したりします。

ネットワーク コンフィギュレーション パーティション( cf:2 ) ― メンテナンス イメージのネットワーク コンフィギュレーションが格納されています。FWSMがTFTPサーバにアクセスしてソフトウェア イメージをダウンロードできるように、メンテナンス パーティションにはIPの設定値が必要です。

クラッシュ ダンプ パーティション( cf:3 ) ― クラッシュ ダンプ情報が保管されます。

アプリケーション パーティション( cf:4 および cf:5 ) ― ソフトウェア イメージ、システム コンフィギュレーション、およびFWSM用のPDMを保管します。デフォルトで、イメージは cf:4 にインストールされます。 cf:5 はテスト パーティションとして使用できます。たとえば、ソフトウェアをアップグレードする場合、新しいソフトウェアを cf:5 にインストールし、問題が発生した場合のバックアップとして旧ソフトウェアを維持することもできます。

セキュリティ コンテキスト パーティション( cf:6 ) ― このパーティション専用として64 MBが確保されます。ここにはセキュリティ コンテキスト コンフィギュレーション(必要に応じて)とナビゲーション可能なファイル システムのRSAキーを保管します。他のパーティションはいずれも、ファイルのリスト表示といった一般的な作業を実行できるファイル システムはありません。 copy コマンドの使用時には、このパーティションを ディスク といいます。

デフォルト ブート パーティションの設定

FWSMはデフォルトで、 cf:4 アプリケーション パーティションから起動します。 cf:5 アプリケーション パーティションからの起動または cf:1 メンテナンス パーティションでの起動を選択することもできます。デフォルト ブート パーティションを変更するには、OSに応じたコマンドを入力します。

Cisco IOSソフトウェア

Router(config)# boot device module mod_num cf:n
 

n は1(メンテナンス)、4(アプリケーション)、または5(アプリケーション)です。

Catalyst OSソフトウェア

Console> (enable) set boot device cf:n mod_num
 

n は1(メンテナンス)、4(アプリケーション)、または5(アプリケーション)です。

FWSMのリセットまたは特定のパーティションからの起動

ここでは、FWSMをリセットする方法または特定のパーティションから起動する方法について説明します。CLIまたは外部TelnetセッションからFWSMにアクセスできない場合は、FWSMのリセットが必要です。メンテナンス パーティションにアクセスしなければならない場合、またはバックアップのアプリケーション パーティションに保管されている別のソフトウェア イメージから起動しなければならない場合は、デフォルト以外のブート パーティションからの起動が必要になります。メンテナンス パーティションは、トラブルシューティング時に役立ちます。

リセットすると、完了までに数分間かかることがあります。

Cisco IOSソフトウェアの場合、FWSMのリセット時に、フルメモリ テストの実行を選択することもできます。FWSMの初回起動時には、部分的なメモリ テストが実行されるだけです。フルメモリ テストには、6分ほどかかります。

FWSMをリセットする場合は、使用するOSに応じた項を参照してください。

「Cisco IOSソフトウェアでFWSMをリセットする場合」

「Catalyst OSソフトウェアでFWSMをリセットする場合」


) FWSMにログインするときにFWSMをリロードする場合は、reloadコマンドまたはrebootコマンドを入力します。これらのコマンドで、デフォルト以外のブート パーティションから起動することはできません。


Cisco IOSソフトウェアでFWSMをリセットする場合


 

次のコマンドを入力して、スイッチのCLIからFWSMをリセットします。

Router# hw-module module mod_num reset [cf:n] [mem-test-full]
 

引数 cf: n はパーティションで、1(メンテナンス)、4(アプリケーション)、または5(アプリケーション)のいずれかです。パーティションを指定しなかった場合、デフォルトのパーティションが使用されます(通常は cf:4 )。

mem-test-full オプションを指定すると、フルメモリ テストが実行されます。所要時間は約6分です。


 

次に、スロット9に搭載されたFWSMをリセットする例を示します。デフォルトのブート パーティションが使用されます。

Router# hw-mod mod 9 reset
 
Proceed with reload of module? [confirm] y
% reset issued for module 9
 
Router#
00:26:55:%SNMP-5-MODULETRAP:Module 9 [Down] Trap
00:26:55:SP:The PC in slot 8 is shutting down. Please wait ...
 

Catalyst OSソフトウェアでFWSMをリセットする場合


 

次のコマンドを入力して、スイッチのCLIからFWSMをリセットします。

Console> (enable) reset mod_num [cf:n]
 

cf: n はパーティションで、1(メンテナンス)、4(アプリケーション)、または5(アプリケーション)のいずれかです。パーティションを指定しなかった場合、デフォルトのパーティションが使用されます(通常はcf:4)。