Cisco UCS CLI コンフィギュレーション ガイド 1.1(2)
論理デバイス
論理デバイス

論理デバイス

論理デバイスについて

論理デバイスを作成すると、Firepower アプライアンス Supervisor は、指定されたソフトウェア バージョンをダウンロードし、ブートストラップおよび管理インターフェイスの設定を指定されたモジュール、または、クラスタの場合は、Firepower シャーシにインストールされたすべてのモジュールにダウンロードして論理デバイスを展開します。

次の 2 つのタイプの論理デバイスのいずれかを作成できます。

(注)  


作成できるのは、論理デバイスまたはその他のいずれか 1 つのタイプのみです。つまり、3 つのセキュリティ モジュールをインストールしている場合、セキュリティ モジュールにスタンドアロンの論理デバイスは作成できず、残りの 2 つの論理デバイスを使用してクラスタを作成することになります。


  • スタンドアロン:Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。


    (注)  


    スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。
  • クラスタ:Firepower シャーシにインストールされたすべてのモジュールが単一の論理デバイスとしてまとめてグループ化されるクラスタを作成できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

スタンドアロン ASA 論理デバイスの作成

クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。


(注)  


同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。
はじめる前に
手順
    ステップ 1   セキュリティ サービス モードに入ります。

    Firepower# scopessa

    ステップ 2   論理デバイスを作成します。

    Firepower /ssa # createlogical-devicedevice_nameasaslot_idstandalone

    ステップ 3   論理デバイスの説明を入力します。

    Firepower /ssa/logical-device* # setdescription"logical device description"

    ステップ 4   この場合も、管理およびデータ インターフェイスを論理デバイスに割り当てます。
    Firepower /ssa/logical-device* # createexternal-port-linknameinterface_nameasa

    Firepower-chassis /ssa/logical-device/external-port-link* # exit

    ステップ 5   管理ブートストラップ情報を設定します。
    1. セッション オブジェクトを作成します。

      Firepower /ssa/logical-device* # createmgmt-bootstrapasa

    2. イネーブル パスワードを作成します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

    3. パスワード値を設定します。
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # setvalue

      Value: password

    4. パスワード設定範囲を終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

    5. 管理 IP アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_iddefault

    6. ゲートウェイ アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

    7. IP アドレスとマスクを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

    8. 管理 IP 設定範囲を終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

    9. 管理ブートストラップ設定範囲を終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # exit

    ステップ 6   設定を確定します。

    commit-buffer

    トランザクションをシステムの設定に対して確定します。


    Firepower# scope ssa
    Firepower /ssa # create logical-device MyDevice1 asa 1 standalone
    Firepower /ssa/logical-device* # set description "logical device description"
    Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa
    Firepower /ssa/logical-device/external-port-link* # set description "inside link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa
    Firepower /ssa/logical-device/external-port-link* # set description "management link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa
    Firepower /ssa/logical-device/external-port-link* # set description "external link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create mgmt-bootstrap asa
    Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
    Value: <password>
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # exit
    Firepower /ssa/logical-device* # show configuration pending
    +enter logical-device MyDevice1 asa 1 standalone
    +    enter external-port-link inside Ethernet1/1 asa
    +        set decorator ""
    +        set description "inside link"
    +    exit
    +    enter external-port-link management Ethernet1/7 asa
    +        set decorator ""
    +        set description "management link"
    +    exit
    +    enter external-port-link outside Ethernet1/2 asa
    +        set decorator ""
    +        set description "external link"
    +    exit
    +    enter mgmt-bootstrap asa
    +        enter bootstrap-key-secret PASSWORD
    +            set value
    +        exit
    +        enter ipv4 1 default
    +            set gateway 1.1.1.254
    +            set ip 1.1.1.1 mask 255.255.255.0
    +        exit
    +    exit
    +    set description "logical device description"
    +exit
    Firepower /ssa/logical-device* # commit-buffer

    脅威に対する防御用のスタンドアロン論理デバイスの作成

    クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。


    (注)  


    同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。
    はじめる前に
    手順
      ステップ 1   セキュリティ サービス モードに入ります。

      Firepower# scopessa

      ステップ 2   論理デバイスを作成します。

      Firepower /ssa # createlogical-devicedevice_nameftdslot_idstandalone

      ステップ 3   この場合も、管理およびデータ インターフェイスを論理デバイスに割り当てます。
      Firepower /ssa/logical-device* # createexternal-port-linknameinterface_nameftd

      Firepower-chassis /ssa/logical-device/external-port-link* # exit

      ステップ 4   管理ブートストラップのパラメータを設定します。
      1. セッション オブジェクトを作成します。

        Firepower /ssa/logical-device* # createmgmt-bootstrapftd

      2. 管理側の Firepower Management Center の IP アドレスを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREPOWER_MANAGER_IP

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value IP_address

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      3. 論理デバイスが動作するモード(ルーテッドまたはトランスペアレント)を指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREWALL_MODE

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value firewall_mode

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      4. デバイスと Firepower Management Center 間で共有するキーを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretREGISTRATION_KEY

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

        Value: registration_key

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

      5. 論理デバイスで使用するパスワードを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

        Value: password

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

      6. 管理インターフェイスを設定します。

        これは、すべてのイベント トラフィック(たとえば、Web イベント)を伝送する Firepower イベント トラフィック チャネルのインターフェイスです。

        IPv4 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

        1. 管理インターフェイス オブジェクトを作成します。

          Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_idfirepower

        2. ゲートウェイ アドレスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

        3. IP アドレスとマスクを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

        4. 管理 IP 設定範囲を終了します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

        IPv6 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

        1. 管理インターフェイス オブジェクトを作成します。

          Firepower /ssa/logical-device/mgmt-bootstrap* # createipv6slot_idfirepower

        2. ゲートウェイ アドレスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # setgatewaygateway_address

        3. IP アドレスとプレフィックスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # set ipip_addressprefix-lengthprefix

        4. 管理 IP 設定範囲を終了します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # exit

      7. 管理ブートストラップ モードを終了します。

        Firepower /ssa/logical-device/mgmt-bootstrap* #exit

      ステップ 5   エンド ユーザ ライセンス契約書に同意します。
      1. Firepower /ssa/logical-device/* # exit
      2. Firepower /ssa #scope appapplication_typeapplication_version
      3. Firepower /ssa/app #accept-license-agreement
      ステップ 6   設定を確定します。

      commit-buffer

      トランザクションをシステムの設定に対して確定します。


      Firepower# scope ssa
      Firepower /ssa #create logical-device MyDevice1 ftd 1 standalone
      Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "inside link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "management link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "external link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create mgmt-bootstrap ftd
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
      Value: 
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
      Value:
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # exit
      Firepower /ssa/logical-device* # exit
      Firepower /ssa # scope app ftd 6.0.0.837
      Firepower /ssa/app # accept-license-agreement
      Firepower /ssa/app* # commit-buffer
      

      クラスタの展開

      クラスタリングを利用すると、シャーシ内のすべてのセキュリティ モジュールをまとめて 1 つの論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。


      (注)  


      Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみをサポートします。


      クラスタリングについて

      クラスタは、複数のセキュリティ モジュールで構成され、1 つの単一ユニットとして機能します。Firepower 9300 にクラスタを展開すると、次を実行します。

      • クラスタ制御リンクを作成し、セキュリティ モジュール間での通信を行います。このリンクは、クラスタ通信に Firepower 9300 のバックプレーンを利用します。

      • すべてのセキュリティ モジュール上のアプリケーション内にクラスタ ブートストラップ設定を作成します。

        クラスタを展開すると、Firepower 9300 スーパバイザが最小限のブートストラップ設定を各セキュリティ モジュールにプッシュします。この設定には、クラスタ名、クラスタ制御リンクのインターフェイス、およびその他のクラスタ設定が含まれています。クラスタリング環境をカスタマイズする場合は、ユーザはセキュリティ モジュール内でブートストラップ設定の一部を設定できます。

      • データ インターフェイスをスパンド EtherChannel としてクラスタに割り当てます。

        Firepower 9300 スーパバイザは、スパンド EtherChannel 上のトラフィックの負荷をすべてのセキュリティ モジュールに分散させます。


        (注)  


        管理インターフェイスを除き、インターフェイスは個別にサポートされません。


      • すべてのセキュリティ モジュールが共有する管理インターフェイスを別に割り当てます。

      クラスタリングおよびセキュリティ モジュール レベルでの動作の詳細については、お使いのセキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。以下のセクションで、クラスタリングの概念および実装について詳しく説明します。

      マスターおよびスレーブ ユニットのロール

      クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。

      マスター ユニットでのみ、すべての設定を行う必要があります。その設定がスレーブ ユニットに複製されます。

      クラスタ制御リンク

      クラスタ制御リンクはポートチャネル 48 を使用して自動的に作成されます。メンバ インターフェイスはありません。このクラスタ タイプの EtherChannel はシャーシ内クラスタリングのためのクラスタ通信に Firepower 9300 のバックプレーンを利用します。後でクラスタ間クラスタリングをサポートするときに、この EtherChannel に外部接続用のメンバ インターフェイスを追加できます。ポートチャネル 48 インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前に定義しておき、それをクラスタ制御リンクとして使用します。

      クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

      管理インターフェイス

      管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド EtherChannel とは対照的に、特殊な独立型のインターフェイスです。管理インターフェイスでは、各ユニットに直接接続することができます。

      メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。

      たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。

      TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。

      クラスタリングに関するガイドライン

      • EtherChannel を VSS または vPC に接続して冗長性を得ることを推奨します。

      • スタンドアロン モードでは、一部のシャーシ セキュリティ モジュールはクラスタ化できません。また、他のセキュリティ モジュールも実行できません。したがって、すべてのセキュリティ モジュールをクラスタに含める必要があります。

      クラスタリングのデフォルト

      クラスタ制御リンクは、ほかのクラスタ タイプのインターフェイスが定義されていない場合は、ポートチャネル 48 を使用します。

      ASA クラスタリングの設定

      クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。

      手順
        ステップ 1   クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。

        また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。

        ステップ 2   管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
        ステップ 3   クラスタを作成します。
        scope ssa

        enter logical-device device_name asa "1,2,3" clustered

        device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。

        ステップ 4   クラスタ パラメータを設定します。

        enter cluster-bootstrap

        ステップ 5   セキュリティ モジュール設定にクラスタ グループ名を設定します。

        set service-typecluster_name

        名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

        ステップ 6   クラスタ インターフェイス モードを設定します。

        set mode spanned-etherchannel

        サポートされているモードは、[Spanned EtherChannel] モードのみです。

        ステップ 7   (オプション)管理 IP アドレス情報を設定します。

        この情報は、セキュリティ モジュール設定に管理インターフェイスを設定するために使用されます。

        1. ローカル IP アドレスのプールを設定します。このアドレスの 1 つが、このインターフェイス用に各クラスタ ユニットに割り当てられます。


          set ipv4 pool start_ip end_ip
          set ipv6 pool start_ip end_ip

          最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。クラスタを拡張する予定の場合は、アドレスを増やします。現在のマスター ユニットに属する仮想 IP アドレス(メイン クラスタ IP アドレスとも呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。

        2. 管理インターフェイスのメイン クラスタの IP アドレスを設定します。


          set virtual ipv4 ip_address mask mask
          set virtual ipv6 ip_address prefix-length prefix

          この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

        3. ネットワーク ゲートウェイ アドレスを入力します。


          set ipv4 gateway ip_address
          set ipv6 gateway ip_address

        ステップ 8   シャーシ ID を設定します。

        set chassis-idid

        ステップ 9   クラスタ制御リンクの制御トラフィック用の認証キーを設定します。

        set keysecret

        共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

        ステップ 10   クラスタ ブートストラップ モードを終了します。

        exit

        ステップ 11   管理およびデータ インターフェイスをクラスタに割り当てます。
        enter external-port-link9300_interface_id asa_interface_idasa

        exit



        例:
        enter external-port-link Port-channel1 Port-channel1 asa
          exit
        enter external-port-link Port-channel2 Port-channel2 asa
          exit
        enter external-port-link Port-channel3 Port-channel3 asa
          exit
        
        
        ステップ 12   設定を確定します。

        commit-buffer

        Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。

        ステップ 13   セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。

        scope eth-uplink
          scope fabric a
            create port-channel 1
              set port-type data
              enable
              create member-port Ethernet1/1
                exit
              create member-port Ethernet1/2
                exit
              exit
            create port-channel 2
              set port-type data
              enable
              create member-port Ethernet1/3
                exit
              create member-port Ethernet1/4
                exit
              exit
            create port-channel 3
              set port-type data
              enable
              create member-port Ethernet1/5
                exit
              create member-port Ethernet1/6
                exit
              exit
            create port-channel 4
              set port-type mgmt
              enable
              create member-port Ethernet2/1
                exit
              create member-port Ethernet2/2
                exit
              exit
        				exit
        		exit
        commit buffer
        
        scope ssa
          enter logical-device ASA1 asa "1,2,3" clustered
            enter cluster-bootstrap
              set chassis-id 1
              set ipv4 gateway 10.1.1.254
              set ipv4 pool 10.1.1.11 10.1.1.15
              set ipv6 gateway 2001:DB8::AA
              set ipv6 pool 2001:DB8::11 2001:DB8::19
              set key f@rscape
              set mode spanned-etherchannel
              set service-type cluster1
              set virtual ipv4 10.1.1.1 mask 255.255.255.0
              set virtual ipv6 2001:DB8::1 prefix-length 64
              exit
            enter external-port-link Port-channel1 Port-channel1 asa
              exit
            enter external-port-link Port-channel1 Port-channel2 asa
              exit
            enter external-port-link Port-channel1 Port-channel3 asa
              exit
            enter external-port-link Port-channel1 Port-channel4 asa
              exit
            commit-buffer
        
        

        脅威に対する防御用のクラスタリング設定

        クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。

        手順
          ステップ 1   クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。

          また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。

          ステップ 2   管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
          ステップ 3   セキュリティ サービス モードに入ります。

          Firepower# scopessa

          ステップ 4   クラスタを作成します。

          Firepower /ssa #create logical-devicedevice_nameftd "1,2,3" clustered

          device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。

          ステップ 5   クラスタ ブートストラップのパラメータを設定します。
          1. セッション オブジェクトを作成します。

            Firepower /ssa/logical-device* # create cluster-bootstrap

          2. シャーシ ID を設定します。

            Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-idid

          3. ローカル IP アドレスのプールを設定します。このアドレスの 1 つが、このインターフェイス用に各クラスタ ユニットに割り当てられます。

            Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool start_ip end_ip
            Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 pool start_ip end_ip

            最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。クラスタを拡張する予定の場合は、アドレスを増やします。現在のマスター ユニットに属する仮想 IP アドレス(メイン クラスタ IP アドレスとも呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。

          4. 管理インターフェイスのメイン クラスタの IP アドレスを設定します。

            Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 ip_address mask mask
            Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv6 ip_address prefix-length prefix

            この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

          5. ネットワーク ゲートウェイ アドレスを入力します。

            Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway ip_address
            Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 gateway ip_address

          6. セキュリティ モジュール設定にクラスタ グループ名を設定します。

            Firepower /ssa/logical-device/cluster-bootstrap* # set service-typecluster_name

            名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

          7. クラスタ ブートストラップ モードを終了します。

            Firepower /ssa/logical-device/cluster-bootstrap* # exit

          ステップ 6   管理ブートストラップのパラメータを設定します。
          1. セッション オブジェクトを作成します。

            Firepower /ssa/logical-device* # createmgmt-bootstrapftd

          2. 管理側の Firepower Management Center の IP アドレスを指定します。
            Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREPOWER_MANAGER_IP

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value IP_address

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

          3. 論理デバイスが動作するモード(ルーテッドまたはトランスペアレント)を指定します。
            Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREWALL_MODE

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value firewall_mode

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

          4. デバイスと Firepower Management Center 間で共有するキーを指定します。
            Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretREGISTRATION_KEY

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

            Value: registration_key

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

          5. 論理デバイスで使用するパスワードを指定します。
            Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

            Value: password

            Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

          6. クラスタ内の各セキュリティ モジュールに管理インターフェイスを設定します。

            これは、すべてのイベント トラフィック(たとえば、Web イベント)を伝送する Firepower イベント トラフィック チャネルのインターフェイスです。

            IPv4 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

            1. 管理インターフェイス オブジェクトを作成します。

              Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_idfirepower

            2. ゲートウェイ アドレスを設定します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

            3. IP アドレスとマスクを設定します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

            4. 管理 IP 設定範囲を終了します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

            IPv6 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

            1. 管理インターフェイス オブジェクトを作成します。

              Firepower /ssa/logical-device/mgmt-bootstrap* # createipv6slot_idfirepower

            2. ゲートウェイ アドレスを設定します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # setgatewaygateway_address

            3. IP アドレスとプレフィックスを設定します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # set ipip_addressprefix-lengthprefix

            4. 管理 IP 設定範囲を終了します。

              Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # exit

          7. 管理ブートストラップ モードを終了します。

            Firepower /ssa/logical-device/mgmt-bootstrap* #exit

          ステップ 7   エンド ユーザ ライセンス契約書に同意します。
          1. Firepower /ssa/logical-device/* # exit
          2. Firepower /ssa #scope appapplication_typeapplication_version
          3. Firepower /ssa/app #accept-license-agreement
          ステップ 8   設定を確定します。

          commit-buffer

          Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。

          ステップ 9   セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。

          Firepower# scope ssa
          Firepower /ssa #create logical-device FTD ftd "1,2,3" clustered
          Firepower /ssa/logical-device* # create cluster-bootstrap
          Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1
          Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool 10.0.0.3 10.0.0.5
          Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 10.0.0.6 mask 255.255.255.0
          Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway 10.0.0.1
          Firepower /ssa/logical-device/cluster-bootstrap* # set service-type ftd-cluster
          Firepower /ssa/logical-device/cluster-bootstrap* # exit
          Firepower /ssa/logical-device* # create mgmt-bootstrap ftd
          Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
          Value: 
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
          Value:
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 2 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.32 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 3 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.33 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # exit
          Firepower /ssa/logical-device* # exit
          Firepower /ssa # scope app ftd 6.0.0.837
          Firepower /ssa/app # accept-license-agreement
          Firepower /ssa/app* # commit-buffer

          クラスタリングの履歴

          機能名

          プラットフォーム リリース

          機能情報

          Cisco ASA のシャーシ内クラスタリング

          1.1(1)

          Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できます。

          enter cluster-bootstrap、enter logical-device clustered、set chassis-id、set ipv4 gateway、set ipv4 pool、set ipv6 gateway、set ipv6 pool、set key、set mode spanned-etherchannel、set port-type cluster、set service-type、set virtual ipv4、set virtual ipv6 コマンドを導入しました。

          Cisco Firepower Threat Defense のシャーシ内クラスタリング

          1.1(2)

          Firepower 9300 シャーシ内のすべての Threat Defense セキュリティ モジュールをクラスタ化できます。

          セキュリティ モジュールのコンソールへの接続

          セキュリティ モジュールのコンソールに接続するには、次の手順を使用します。


          (注)  


          コンソールへの接続に問題が発生した場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。


          手順
            ステップ 1   セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
            1. FXOS CLI から、セキュリティ モジュールに接続します。

              Firepower-chassis # connectmoduleslot_numberconsole

              セキュリティ モジュールに初めてアクセスした場合は、FXOS モジュールの CLI にアクセスします。

            2. モジュールの OS に接続するには、お使いのデバイスに該当するコマンドを入力します。

              Firepower-module1>connect asa

              Firepower-module1>connect ftd

              これ以降、FXOS CLI のスーパバイザ レベルからセキュリティ モジュールへ接続すると、モジュール OS に直接アクセスします。

            ステップ 2   (任意)モジュール OSを終了して FXOS モジュールの CLI に戻るには、Ctrl-A-D を入力します。

            トラブルシューティングのために FXOS モジュールの CLI にアクセスする場合があります。

            ステップ 3   FXOS CLI のスーパバイザ レベルに戻ります。
            1. セキュリティ モジュール コンソールを終了するには、~ を入力します。

              Telnet アプリケーションに戻ります。

            2. Telnet アプリケーションを終了するには、次のように入力します。

              telnet>quit


            次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。

            Firepower# connect module 1 console
            Telnet escape character is '~'.
            Trying 127.5.1.1...
            Connected to 127.5.1.1.
            Escape character is '~'.
            
            CISCO Serial Over LAN:
            Close Network Connection to Exit
            
            Firepower-module1>connect asa
            asa> ~
            telnet> quit
            Connection closed.
            Firepower#
            

            論理デバイスの削除

            手順
              ステップ 1   セキュリティ サービス モードに入ります。

              Firepower# scopessa

              ステップ 2   シャーシ上の論理デバイスの詳細情報を表示します。

              Firepower /ssa # showlogical-device

              ステップ 3   削除する各論理デバイスに、次のコマンドを入力します。

              Firepower /ssa # deletelogical-devicedevice_name

              ステップ 4   論理デバイスにインストールされているアプリケーションの詳細情報を表示します。

              Firepower /ssa # showapp-instance

              ステップ 5   削除する各アプリケーションに、次のコマンドを入力します。
              1. Firepower /ssa # scopeslotslot_number
              2. Firepower /ssa/slot # deleteapp-instanceapplication_name
              3. Firepower /ssa/slot # exit
              ステップ 6   設定を確定します。

              commit-buffer

              トランザクションをシステムの設定に対して確定します。


              Firepower# scope ssa
              Firepower /ssa # show logical-device
              
              Logical Device:
                  Name       Description Slot ID    Mode       Operational State        Template Name
                  ---------- ----------- ---------- ---------- ------------------------ -------------
                  FTD                    1,2,3      Clustered  Ok                       ftd
              Firepower /ssa # delete logical-device FTD
              Firepower /ssa* # show app-instance
              Application Name     Slot ID     Admin State     Operational State    Running Version Startup Version Cluster Oper State
              -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------
              ftd                            1 Disabled        Stopping             6.0.0.837       6.0.0.837       Not Applicable
              ftd                            2 Disabled        Offline              6.0.0.837       6.0.0.837       Not Applicable
              ftd                            3 Disabled        Not Available                        6.0.0.837       Not Applicable
              Firepower /ssa* # scope slot 1
              Firepower /ssa/slot # delete app-instance ftd
              Firepower /ssa/slot* # exit
              Firepower /ssa* # scope slot 2
              Firepower /ssa/slot # delete app-instance ftd
              Firepower /ssa/slot* # exit
              Firepower /ssa* # scope slot 3
              Firepower /ssa/slot # delete app-instance ftd
              Firepower /ssa/slot* # exit
              Firepower /ssa* # commit-buffer