FireSIGHT システム ユーザ ガイド バージョン 5.3.1
仮想スイッチのセットアップ
仮想スイッチのセットアップ
発行日;2015/06/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

仮想スイッチのセットアップ

スイッチ型インターフェイスの設定

物理スイッチ型インターフェイスの設定

論理スイッチ型インターフェイスの追加

論理スイッチ型インターフェイスの削除

仮想スイッチの設定

仮想スイッチの表示

仮想スイッチの追加

仮想スイッチの詳細設定

仮想スイッチの削除

仮想スイッチのセットアップ

複数ネットワーク間のパケット スイッチングを提供できるように、レイヤ 2 展開で管理対象デバイスを設定することができます。レイヤ 2 展開では、ネットワークをいくつかの論理セグメントに分割して、スタンドアロン型ブロードキャスト ドメインとして機能するよう、管理対象デバイス上の仮想スイッチを設定できます。仮想スイッチは、ホストからの Media Access Control(MAC)アドレスを使用して、パケットの送信先を判別します。

仮想スイッチを設定すると、スイッチは最初にスイッチ上の使用可能なすべてのポート経由でパケットをブロードキャストします。時間の経過とともに、スイッチはタグ付きリターン トラフィックを使用して、各ポートに接続しているネットワーク上にどのホストが存在するかを学習します。


レイヤ 2 展開では、宛先ネットワークや宛先セキュリティ ゾーンに基づいて出トラフィックをブロックすることはできません。代わりに、ブロッキング送信元ネットワークまたは送信元セキュリティ ゾーンに基づいて入力トラフィックをブロックするアクセス コントロール ルールを作成する必要があります。アクセス コントロール ルールにゾーンやネットワークを追加する方法の詳細については、「ゾーン条件の追加」および「ネットワーク条件の追加」を参照してください。


仮想スイッチには、トラフィックを処理する複数のスイッチ型インターフェイスが含まれている必要があります。仮想スイッチごとに、トラフィックは、スイッチ型インターフェイスとして設定されたいくつかのポートに限定されます。たとえば、4 つのスイッチ型インターフェイスのある仮想スイッチを設定した場合、ブロードキャスト用に 1 つのポートを介して送入されるパケットは、そのスイッチ上の残る 3 つのポートからのみ送出可能です。

物理スイッチ型インターフェイスを設定するときには、仮想スイッチにそれを割り当てる必要があります。また、必要に応じて、物理ポート上に追加の論理スイッチ型インターフェイスを定義することもできます。

仮想デバイスや Sourcefire Software for X-Series 上では、仮想スイッチ、物理スイッチ型インターフェイス、論理スイッチ型インターフェイスを設定できないことに注意してください。


注意 何らかの理由でレイヤ 2 展開に障害が発生した場合、デバイスはトラフィックを通過させなくなります。

レイヤ 2 展開の設定についての詳細情報は、次の項を参照してください。

「スイッチ型インターフェイスの設定」

「仮想スイッチの設定」

スイッチ型インターフェイスの設定

ライセンス:Control

サポート対象デバイス:シリーズ 3

物理設定または論理設定を備えるよう、スイッチ型インターフェイスをセットアップできます。タグなし VLAN トラフィックを処理するよう物理スイッチ型インターフェイスを設定できます。また、VLAN タグが指定されたトラフィックを処理するよう論理スイッチ型インターフェイスを作成することもできます。

レイヤ 2 展開では、外部の物理インターフェイス上でトラフィックを受信した場合、それを待機しているスイッチ型インターフェイスがなければ、システムはそのトラフィックをドロップします。VLAN タグのないパケットを受信した場合、そのポート用の物理スイッチ型インターフェイスが未設定であれば、システムはパケットをドロップします。VLAN タグ付きパケットを受信した場合、論理スイッチ型インターフェイスが未設定であれば、システムは同様にパケットをドロップします。

スイッチ型インターフェイスで VLAN タグ付きで受信されたトラフィックをシステムが処理するときには、ルールの評価や転送の決定を行う前に、入力における最も外側の VLAN タグを取り除きます。VLAN タグ付き論理スイッチ型インターフェイスを介してデバイスから出るパケットは、出力において関連する VLAN タグ付きでカプセル化されます。

親の物理インターフェイスをインラインまたはパッシブ(受動)に変更すると、関連付けられているすべての論理インターフェイスがシステムによって削除されることに注意してください。

詳細については、次の項を参照してください。

「物理スイッチ型インターフェイスの設定」

「論理スイッチ型インターフェイスの追加」

「論理スイッチ型インターフェイスの削除」

物理スイッチ型インターフェイスの設定

ライセンス:Control

サポート対象デバイス:シリーズ 3

管理対象デバイス上の 1 つ以上の物理ポートをスイッチ型インターフェイスとして設定できます。トラフィックを処理できるようにするには、その前に、物理スイッチ型インターフェイスを仮想スイッチに割り当てる必要があります。


注意 最大伝送単位(MTU)を変更すると、デバイス上のトラフィックが中断され、パケットがドロップされます。設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、「インターフェイス MTU の設定」を参照してください。

物理スイッチ型インターフェイスを設定する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 スイッチ型インターフェイスを設定するデバイスの横にある編集アイコン( )をクリックします。

[Interfaces] タブが表示されます。

ステップ 3 スイッチ型インターフェイスとして設定するインターフェイスの横にある編集アイコン( )をクリックします。

[Edit Interface] ポップアップ ウィンドウが表示されます。

ステップ 4 [Switched] をクリックして、スイッチ型インターフェイスのオプションを表示させます。

ステップ 5 オプションで、[Security Zone] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、[New] を選択して新しいセキュリティ ゾーンを追加します。

ステップ 6 オプションで、[Virtual Switch] ドロップダウン リストから既存の仮想スイッチを選択するか、[New] を選択して新しい仮想スイッチを追加します。

新しい仮想スイッチを追加する場合は、スイッチ型インターフェイスのセットアップ後に、[Device Management] ページの [Virtual Switches] タブ([Devices] > [Device Management] > [Virtual Switches])でそのスイッチを設定する必要があることに注意してください。「仮想スイッチの追加」を参照してください。

ステップ 7 [Enabled] ]チェック ボックスを選択して、スイッチ型インターフェイスがトラフィックを処理できるようにします。

このチェック ボックスをオフにすると、インターフェイスは無効になり、ユーザはセキュリティ上の理由によりアクセスできなくなります。

ステップ 8 [Mode] ドロップダウン リストから、リンク モードを指定するオプションを選択するか、[Autonegotiation] を選択して、速度とデュプレックス設定を自動的にネゴシエートするようインターフェイスを設定します。モード設定は銅線インターフェイス専用であることに注意してください。


8000 シリーズ アプライアンスのインターフェイスは、半二重オプションをサポートしません。


ステップ 9 [MDI/MDIX] ドロップダウン リストから、インターフェイスが MDI(メディア依存型インターフェイス)、MDIX(メディア依存型インターフェイス クロスオーバー)、または自動 MDIX 用のいずれに設定されるかを指定するオプションを選択します。MDI/MDIX 設定は銅線インターフェイス専用であることに注意してください。

デフォルトでは、MDI/MDIX は自動 MDI に設定され、MDI と MDIX の間のスイッチングを自動的に処理してリンクを確立します。

ステップ 10 [MTU] フィールドに最大伝送単位(MTU)を入力します。この値は、許容されるパケット最大サイズを指定します。

設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、「インターフェイス MTU の設定」を参照してください。

ステップ 11 [Save] をクリックします。

物理スイッチ型インターフェイスが設定されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。


 

論理スイッチ型インターフェイスの追加

ライセンス:Control

サポート対象デバイス:シリーズ 3

物理スイッチ型インターフェイスごとに、複数の論理スイッチ型インターフェイスを追加できます。物理インターフェイスで受信される VLAN タグ付きトラフィックを処理するには、各論理インターフェイスをその特定のタグに関連付ける必要があります。トラフィックを処理するには、論理スイッチ型インターフェイスを仮想スイッチに割り当てる必要があります。


注意 最大伝送単位(MTU)を変更した場合、デバイス上のスイッチ型トラフィックが中断され、パケットがドロップされます。

既存の論理スイッチ型インターフェイスを編集するには、インターフェイスの横にある編集アイコン( )をクリックします。

論理スイッチ型インターフェイスを追加する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 スイッチ型インターフェイスを追加するデバイスの横にある編集アイコン( )をクリックします。

[Interfaces] タブが表示されます。

ステップ 3 [Add Interface] をクリックします。

[Add Interface] ポップアップ ウィンドウが表示されます。

ステップ 4 [Switched] をクリックして、スイッチ型インターフェイスのオプションを表示させます。

ステップ 5 [Interface] ドロップダウン リストから、VLAN タグ付きトラフィックを受信する物理インターフェイスを選択します。

ステップ 6 [VLAN Tag] フィールドで、このインターフェイス上のインバウンド/アウトバウンド トラフィックに割り当てるタグ値を入力します。1 から 4094 までの任意の整数値を使用できます。

ステップ 7 オプションで、[Security Zone] ドロップダウン リストから既存のセキュリティ ゾーンを選択するか、[New] を選択して新しいセキュリティ ゾーンを追加します。

ステップ 8 オプションで、[Virtual Switch] ドロップダウン リストから既存の仮想スイッチを選択するか、[New] を選択して新しい仮想スイッチを追加します。

新しい仮想スイッチを追加する場合は、スイッチ型インターフェイスのセットアップ後に、[Device Management] ページ([Devices] > [Device Management] > [Virtual Switches])でそのスイッチを設定する必要があることに注意してください。「仮想スイッチの追加」を参照してください。

ステップ 9 [Enabled] チェック ボックスを選択して、スイッチ型インターフェイスがトラフィックを処理できるようにします。

このチェック ボックスをオフにすると、インターフェイスは無効になり、管理上はダウンした状態になります。物理インターフェイスを無効にすると、それに関連付けられているすべての論理インターフェイスもまた無効になります。

ステップ 10 [MTU] フィールドに最大伝送単位(MTU)を入力します。この値は、許容されるパケット最大サイズを指定します。

設定可能な MTU の範囲は、FireSIGHT システムのデバイス モデルおよびインターフェイスのタイプによって異なる場合があります。詳細については、「インターフェイス MTU の設定」を参照してください。

ステップ 11 [Save] をクリックします。

論理スイッチ型インターフェイスが追加されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。


 

論理スイッチ型インターフェイスの削除

ライセンス:Control

サポート対象デバイス:シリーズ 3

論理スイッチ型インターフェイスを削除すると、それが存在する物理インターフェイスから、および関連付けられている仮想スイッチとセキュリティ ゾーンからそれが削除されます。

スイッチ型インターフェイスを削除する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 削除するスイッチ型インターフェイスが含まれる管理対象デバイスを選択し、そのデバイスの編集アイコン( )をクリックします。

デバイスの [Interfaces] タブが表示されます。

ステップ 3 削除する論理スイッチ型インターフェイスの横にある削除アイコン( )をクリックします。

ステップ 4 プロンプトに応じて、インターフェイスを削除することを確認します。

インターフェイスが削除されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。


 

仮想スイッチの設定

ライセンス:Control

サポート対象デバイス:シリーズ 3

レイヤ 2 展開でスイッチ型インターフェイスを使用できるようにするには、その前に仮想スイッチを設定して、スイッチ型インターフェイスを割り当てます。仮想スイッチは、ネットワーク経由のインバウンド/アウトバウンド トラフィックを処理する複数のスイッチ型インターフェイスからなるグループです。

仮想スイッチの設定についての詳細情報は、次の項を参照してください。

「仮想スイッチの表示」

「仮想スイッチの追加」

「仮想スイッチの詳細設定」

「仮想スイッチの削除」

仮想スイッチの表示

ライセンス:Control

サポート対象デバイス:シリーズ 3

[Device Management] ページの [Virtual Switches] タブには、デバイス上で設定済みのすべての仮想スイッチのリストが表示されます。このページには、次の表に示すように、各スイッチに関する要約情報が含まれます。

 

表 8-1 仮想スイッチの表形式ビューのフィールド

フィールド
説明

Name

仮想スイッチの名前。

Interfaces

仮想スイッチに割り当てられたすべてのスイッチ型インターフェイス。[Interfaces] タブで無効にしたインターフェイスは表示されません。

Hybrid Interface

仮想スイッチを仮想ルータに結合する、オプション設定のハイブリッド インターフェイス。

Unicast Packets

次の項目を含む、仮想スイッチのユニキャスト パケット統計:

受信されたユニキャスト パケット

転送されたユニキャスト パケット(ホストによるドロップを除く)

誤ってドロップされたユニキャスト パケット

Broadcast Packets

次の項目を含む、仮想スイッチのブロードキャスト パケット統計:

受信されたブロードキャスト パケット

転送されたブロードキャスト パケット

誤ってドロップされたブロードキャスト パケット

仮想スイッチの追加

ライセンス:Control

サポート対象デバイス:シリーズ 3

[Device Management] ページの [Virtual Switches] タブから仮想スイッチを追加できます。また、スイッチ型インターフェイスを設定するときにスイッチを追加することもできます。

仮想スイッチには、スイッチ型インターフェイスだけ割り当てることができます。管理対象デバイス上でスイッチ型インターフェイスを設定する前に仮想スイッチを作成する必要がある場合は、空の仮想スイッチを作成し、あとでそれにインターフェイスを追加できます。


ヒント 既存の仮想スイッチを編集するには、スイッチの横にある編集アイコン()をクリックします。

既存の仮想スイッチを変更すると、デバイス上のトラフィックが中断される場合があることに注意してください。

仮想スイッチを追加する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 仮想スイッチを追加するデバイスの横にある編集アイコン( )をクリックします。

[Interfaces] タブが表示されます。

ステップ 3 [Virtual Switches] をクリックします。

[Virtual Switches] タブが表示されます。

ステップ 4 [Add Virtual Switch] をクリックします。

[Add Virtual Switch] ポップアップ ウィンドウが表示されます。

ステップ 5 [Name] フィールドに、仮想スイッチの名前を入力します。英数字とスペースを使用できます。

ステップ 6 [Available] で、仮想スイッチに追加される 1 つ以上のスイッチ型インターフェイスを選択します。


ヒント [Interfaces] タブですでに無効にしたインターフェイスは使用できません。インターフェイスを追加した後で無効にすると、設定からそれが削除されます。

ステップ 7 [Add] をクリックします。

ステップ 8 オプションで、[Hybrid Interface] ドロップダウン リストから、仮想スイッチを仮想ルータに結合するハイブリッド インターフェイスを選択します。詳細については、「ハイブリッド インターフェイスの設定」を参照してください。

ステップ 9 [Save] をクリックします。

仮想スイッチが追加されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。


ヒント スタティック MAC エントリやスパニング ツリー プロトコルなどの詳細なスイッチ設定を構成するには、「仮想スイッチの詳細設定」を参照してください。


 

仮想スイッチの詳細設定

ライセンス:Control

サポート対象デバイス:シリーズ 3

仮想スイッチを追加したり編集したりするときには、スタティック MAC エントリの追加、スパニング ツリー プロトコル (STP) の有効化、ブリッジ プロトコル データ ユニット (BPDU) のドロップ、厳密な TCP 強制の有効化を行うことができます。

時間の経過とともに、仮想スイッチは、ネットワークからのリターン トラフィックにタグを付けることで MAC アドレスを学習します。オプションで、手動でスタティック MAC エントリを追加できます。これにより、MAC アドレスが特定のポート上にあることを指定します。そのポートからトラフィックを受信するかどうかにかかわらず、MAC アドレスはテーブル内で静的な状態を保ちます。仮想スイッチごとに 1 つ以上のスタティック MAC アドレスを指定できます。

STP は、ネットワーク ループを防止するために使われるネットワーク プロトコルです。BPDU は、ネットワーク ブリッジに関する情報を伝送し、ネットワークを介して交換されます。ネットワーク内に冗長リンクがある場合、プロトコルは BPDU を使用して最も高速なネットワーク リンクを識別し、選択します。ネットワーク リンクに障害が発生した場合、スパニング ツリーは既存の代替リンクにフェールオーバーします。

仮想スイッチが複数 VLAN 間でトラフィックをルーティングする場合、ルータ オン ア スティックと同様に、BPDU はさまざまな論理スイッチ型インターフェイスを介してデバイスを出入りしますが、物理スイッチ型インターフェイスは同一です。その結果、STP はデバイスを冗長ネットワーク ループとして識別します。特定のレイヤ 2 配置ではこれにより問題が生じる場合があります。それを防ぐには、トラフィックのモニタリング時にデバイスが BPDU をドロップするよう、ドメイン レベルで仮想スイッチを設定できます。


デバイス クラスタに展開される予定の仮想スイッチを設定する際には、STP を有効にするよう、シスコは強く推奨します。


最大の TCP セキュリティを実現するには、厳密な強制を有効にできます。この機能は、3 ウェイ ハンドシェイクが完了していない接続をブロックします。さらに、厳密な強制では次のものもブロックされます。

3 ウェイ ハンドシェイクが完了していない接続に関する非 SYN TCP パケット

レスポンダが SYN-ACK を送信する前の TCP 接続上のイニシエータからの非 SYN/RST パケット

SYN 後かつセッション確立前の TCP 接続上のレスポンダからの非 SYN-ACK/RST パケット

イニシエータまたはレスポンダからの、確立済みの TCP 接続上の SYN パケット

仮想スイッチを論理ハイブリッド インターフェイスに関連付けると、そのスイッチでは、論理ハイブリッド インターフェイスに関連付けられた仮想ルータと同じ厳密な TCP 強制設定が使用されることに注意してください。この場合、スイッチで厳密な TCP 強制を指定することはできません。

仮想スイッチの詳細設定を構成する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 編集する仮想スイッチが含まれるデバイスの横にある編集アイコン( )をクリックします。

[Interfaces] タブが表示されます。

ステップ 3 [Virtual Switches] をクリックします。

[Virtual Switches] タブが表示されます。

ステップ 4 編集する仮想スイッチの横にある編集アイコン( )をクリックします。

[Edit Virtual Switch] ポップアップ ウィンドウが表示されます。

ステップ 5 [Advanced] をクリックします。

[Advanced] タブが表示されます。

ステップ 6 スタティック MAC エントリを追加するには、[Add] をクリックします。

[Add Static MAC Address] ポップアップ ウィンドウが表示されます。

ステップ 7 [MAC Address] フィールドで、2 桁の 16 進数 6 組をコロンで区切った標準形式を使用して、アドレスを入力します(たとえば 01:23:45:67:89:AB)。


ブロードキャスト アドレス(00:00:00:00:00:00 と FF:FF:FF:FF:FF:FF)をスタティック MAC アドレスとして追加することはできません。


ステップ 8 [Interface] ドロップダウン リストから、MAC アドレスを割り当てるインターフェイスを選択します。

ステップ 9 [Add] をクリックします。

MAC アドレスが Static MAC Entries テーブルに追加されます。

MAC アドレスを編集するには、編集アイコン( )をクリックします。MAC アドレスを削除するには、削除アイコン( )をクリックします。

ステップ 10 オプションで、スパニング ツリー プロトコルを有効にするには、[Enable Spanning Tree Protocol] を選択します。仮想スイッチが複数のネットワーク インターフェイス間でトラフィックを切り替える場合にのみ、[Enable Spanning Tree Protocol] を選択してください。

[Enable Spanning Tree Protocol] をクリアしない限り、[Drop BPDUs] を選択することはできません。

ステップ 11 オプションで、[Strict TCP Enforcement] を選択して、厳密な TCP 強制を有効にします。

仮想スイッチを論理ハイブリッド インターフェイスに関連付けると、このオプションは表示されず、論理ハイブリッド インターフェイスに関連付けられた仮想ルータと同じ設定がスイッチで使用されます。

ステップ 12 オプションで、[Drop BPDUs] を選択して、ドメイン レベルで BPDU をドロップします。仮想スイッチが 1 つの物理インターフェイス上の VLAN 間でトラフィックをルーティングする場合にのみ、[Drop BPDUs] を選択してください。

[Drop BPDUs] をクリアしない限り、[Enable Spanning Tree Protocol] を選択することはできません。

ステップ 13 [Save] をクリックします。

変更が保存されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。


 

仮想スイッチの削除

ライセンス:Control

サポート対象デバイス:シリーズ 3

仮想スイッチを削除すると、そのスイッチに割り当てられたスイッチ型インターフェイスを別のスイッチに含めることができるようになります。

仮想スイッチを削除する方法:

アクセス:Admin/Network Admin


ステップ 1 [Devices] > [Device Management] を選択します。

[Device Management] ページが表示されます。

ステップ 2 削除する仮想スイッチが含まれる管理対象デバイスを選択し、そのデバイスの編集アイコン( )をクリックします。

デバイスの [Interfaces] タブが表示されます。

ステップ 3 [Virtual Switches] をクリックします。

[Virtual Switches] タブが表示されます。

ステップ 4 削除する仮想スイッチの横にある削除アイコン( )をクリックします。

ステップ 5 プロンプトに応じて、仮想スイッチを削除することを確認します。

仮想スイッチが削除されます。デバイス設定を適用するまでは、変更内容が有効にならないことに注意してください(詳しくは「デバイスへの変更の適用」を参照してください)。