Cisco FXOS CLI コンフィギュレーション ガイド 1.1(4)
論理デバイス
論理デバイス

目次

論理デバイス

論理デバイスについて

論理デバイスを作成すると、FXOS シャーシ スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール/エンジン(シャーシ内クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。

論理デバイスは次の 2 つのタイプのいずれかを作成できます。

(注)  


複数のセキュリティ モジュールをサポートする FXOS シャーシでは、1 つのタイプの論理デバイスのみ(スタンドアロンまたはクラスタ)を作成できます。つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。


  • スタンドアロン:Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。


    (注)  


    スタンドアロン論理デバイスを設定する場合は、シャーシのすべてのモジュールに同じソフトウェア タイプをインストールしてください。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。
  • クラスタ:クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。

スタンドアロン ASA 論理デバイスの作成

FXOS シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。

(注)  


任意で、FirePOWER 9300 では、セキュリティ モジュールの ASA ファイアウォールの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。



(注)  


シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。
はじめる前に
手順
    ステップ 1   セキュリティ サービス モードを開始します。

    Firepower# scopessa

    ステップ 2   論理デバイスを作成します。

    Firepower /ssa # createlogical-devicedevice_nameasaslot_idstandalone

    ステップ 3   論理デバイスの説明を入力します。

    Firepower /ssa/logical-device* # setdescription"logical device description"

    ステップ 4   管理およびデータ インターフェイスを論理デバイスに割り当てます。
    Firepower /ssa/logical-device* # createexternal-port-linknameinterface_nameasa

    Firepower-chassis /ssa/logical-device/external-port-link* # exit

    ステップ 5   管理ブートストラップ情報を設定します。
    1. ブートストラップ オブジェクトを作成します。

      Firepower /ssa/logical-device* # createmgmt-bootstrapasa

    2. 有効化パスワードを作成します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

    3. パスワード値を設定します。
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # setvalue

      Value: password

    4. パスワード設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

    5. 管理 IP アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_iddefault

    6. ゲートウェイ アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

    7. IP アドレスとマスクを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

    8. 管理 IP 設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

    9. 管理ブートストラップ設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # exit

    ステップ 6   設定をコミットします。

    commit-buffer

    トランザクションをシステムの設定にコミットします。


    Firepower# scope ssa
    Firepower /ssa # create logical-device MyDevice1 asa 1 standalone
    Firepower /ssa/logical-device* # set description "logical device description"
    Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa
    Firepower /ssa/logical-device/external-port-link* # set description "inside link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa
    Firepower /ssa/logical-device/external-port-link* # set description "management link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa
    Firepower /ssa/logical-device/external-port-link* # set description "external link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create mgmt-bootstrap asa
    Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
    Value: <password>
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # exit
    Firepower /ssa/logical-device* # show configuration pending
    +enter logical-device MyDevice1 asa 1 standalone
    +    enter external-port-link inside Ethernet1/1 asa
    +        set decorator ""
    +        set description "inside link"
    +    exit
    +    enter external-port-link management Ethernet1/7 asa
    +        set decorator ""
    +        set description "management link"
    +    exit
    +    enter external-port-link outside Ethernet1/2 asa
    +        set decorator ""
    +        set description "external link"
    +    exit
    +    enter mgmt-bootstrap asa
    +        enter bootstrap-key-secret PASSWORD
    +            set value
    +        exit
    +        enter ipv4 1 default
    +            set gateway 1.1.1.254
    +            set ip 1.1.1.1 mask 255.255.255.0
    +        exit
    +    exit
    +    set description "logical device description"
    +exit
    Firepower /ssa/logical-device* # commit-buffer

    スタンドアロン脅威防御論理デバイスの作成

    FXOS シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。


    (注)  


    シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。
    はじめる前に
    • 論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。

    • 論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを FXOS シャーシダウンロードします(論理デバイス ソフトウェア イメージの FXOS シャーシ へのダウンロードを参照)。

    • 論理デバイスで使用する管理インターフェイスを設定します。また、少なくとも 1 つのデータ タイプのインターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。
    手順
      ステップ 1   セキュリティ サービス モードを開始します。

      Firepower# scopessa

      ステップ 2   論理デバイスを作成します。

      Firepower /ssa # createlogical-devicedevice_nameftdslot_idstandalone

      device_name は、FXOS シャーシ スーパーバイザが管理設定を行ってインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるデバイス名ではありません。

      ステップ 3   管理およびデータ インターフェイスを論理デバイスに割り当てます。
      Firepower /ssa/logical-device* # createexternal-port-linknameinterface_nameftd

      Firepower-chassis /ssa/logical-device/external-port-link* # exit

      ステップ 4   管理ブートストラップ パラメータを設定します。
      1. ブートストラップ オブジェクトを作成します。

        Firepower /ssa/logical-device* # createmgmt-bootstrapftd

      2. 管理 Firepower Management Center の IP アドレスを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREPOWER_MANAGER_IP

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value IP_address

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      3. 論理デバイスが動作するモードを指定します(ルーテッドまたはトランスペアレント)。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFIREWALL_MODE

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value firewall_mode

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      4. デバイスと Firepower Management Center との間で共有するキーを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretREGISTRATION_KEY

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

        Value: registration_key

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

      5. 論理デバイスで使用するパスワードを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value

        Value: password

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

      6. 論理デバイスの完全修飾ホスト名を指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyFQDN

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value fqdn

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      7. 論理デバイスが使用する DNS サーバのカンマ区切りのリストを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keyDNS_SERVERS

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value dns_servers

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      8. 論理デバイスの検索ドメインのカンマ区切りのリストを指定します。
        Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-keySEARCH_DOMAINS

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value search_domains

        Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit

      9. 管理インターフェイスを設定します。

        これは、すべてのイベント トラフィック(Web イベントなど)を伝送する Firepower イベント トラフィック チャネルのインターフェイスです。

        IPv4 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

        1. 管理インターフェイス オブジェクトを作成します。

          Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_idfirepower

        2. ゲートウェイ アドレスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

        3. IP アドレスとマスクを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

        4. 管理 IP 設定スコープを終了します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

        IPv6 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

        1. 管理インターフェイス オブジェクトを作成します。

          Firepower /ssa/logical-device/mgmt-bootstrap* # createipv6slot_idfirepower

        2. ゲートウェイ アドレスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # setgatewaygateway_address

        3. IP アドレスとプレフィックスを設定します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # set ipip_addressprefix-lengthprefix

        4. 管理 IP 設定スコープを終了します。

          Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # exit

      10. 管理ブートストラップ モードを終了します。

        Firepower /ssa/logical-device/mgmt-bootstrap* #exit

      ステップ 5   エンドユーザ ライセンス契約書に同意します。
      1. Firepower /ssa/logical-device/* # exit
      2. Firepower /ssa #scope appapplication_typeapplication_version
      3. Firepower /ssa/app #show license-agreement
      4. Firepower /ssa/app #accept-license-agreement
      ステップ 6   設定をコミットします。

      commit-buffer

      トランザクションをシステムの設定にコミットします。


      Firepower# scope ssa
      Firepower /ssa #create logical-device MyDevice1 ftd 1 standalone
      Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "inside link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "management link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 ftd
      Firepower /ssa/logical-device/external-port-link* # set description "external link"
      Firepower /ssa/logical-device/external-port-link* # exit
      Firepower /ssa/logical-device* # create mgmt-bootstrap ftd
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value routed
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
      Value: 
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
      Value:
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0
      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FQDN 
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value ftd.cisco.com
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key DNS_SERVERS
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 192.168.1.1
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key SEARCH_DOMAINS
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value search.com
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
      Firepower /ssa/logical-device/mgmt-bootstrap* # exit
      Firepower /ssa/logical-device* # exit
      Firepower /ssa # scope app ftd 6.0.0.837
      Firepower /ssa/app # accept-license-agreement
      Firepower /ssa/app* # commit-buffer
      

      クラスタの展開

      クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。


      (注)  


      Firepower Threat Defense は、複数のシャーシにわたる(シャーシ間)クラスタをサポートしていません。シャーシ内クラスタリングのみがサポートされています。


      FXOS シャーシでのクラスタリングについて

      クラスタは、1 つのユニットとして機能する複数のデバイスから構成されます。FXOS シャーシ にクラスタを導入すると、以下の処理が実行されます。

      • ユニット間通信用のクラスタ制御リンク(ポート チャネル 48)を作成します。シャーシ内クラスタリングではFirepower 9300のみ)、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。 シャーシ間クラスタリングでは(サポートされる場合)、シャーシ間通信用にこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。

      • アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。

        クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ コンフィギュレーションが FXOS シャーシ スーパーバイザからプッシュされます。

      • スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。

        シャーシ内クラスタリングでは、スパンド インターフェイスは、 EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。 シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。


        (注)  


        管理インターフェイス以外の個々のインターフェイスはサポートされていません。


      • 管理インターフェイスをクラスタ内のすべてのユニットに指定します。

      ここでは、クラスタリングの概念と実装について詳しく説明します。

      標準出荷単位とセカンダリ単位の役割

      クラスタのメンバーの 1 つが標準出荷単位です。標準出荷単位は自動的に決定されます。他のすべてのメンバーはセカンダリ単位です。

      すべてのコンフィギュレーション作業は標準出荷単位でのみ実行する必要があります。コンフィギュレーションはその後、セカンダリ単位に複製されます。

      クラスタ制御リンク

      クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。シャーシ内クラスタリングでは、このインターフェイスにメンバー インターフェイスはありません。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。このクラスタ タイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300 バックプレーンを使用します。

      クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

      シャーシ間クラスタリングのクラスタ制御リンクのサイズ

      可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。

      クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。

      • NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。

      • ネットワーク アクセスに対する AAA は一元的な機能であるため、すべてのトラフィックが標準出荷単位に転送されます。

      • メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。

      クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。


      (注)  


      クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。


      シャーシ間クラスタリングのクラスタ制御リンク冗長性

      次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の FXOS シャーシ インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。



      シャーシ間クラスタリングのクラスタ制御リンクの信頼性

      クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。

      クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。

      管理ネットワーク

      すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。

      管理インターフェイス

      クラスタに管理タイプのインターフェイスを割り当てることができます。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。

      ASA の場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在の標準出荷単位に属します。アドレス範囲も設定して、現在の標準出荷単位を含む各単位がその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。標準出荷単位が変更されると、メイン クラスタ IP アドレスは新しい標準出荷単位に移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在の標準出荷単位に関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。TFTP や syslog などの発信管理トラフィックの場合、標準出荷単位を含む各単位は、ローカル IP アドレスを使用してサーバに接続します。

      Firepower Threat Defense では、同じネットワークの各単位に管理 IP アドレスを割り当てます。各単位を Management Centerに追加するときは、次の IP アドレスを使用します。

      スパンド EtherChannel

      シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはインターフェイスではなくブリッジ グループに割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。



      クラスタリングの前提条件

      シャーシ間クラスタリングのスイッチの前提条件

      • FXOS シャーシ でクラスタリングを設定する前に、スイッチの設定を完了する必要があります。

      • サポートされているスイッチのリストについては、「Cisco FXOS Compatibility(Cisco FXOS の互換性)」(英語)を参照してください。

      クラスタリングのガイドライン

      モデル

      • Firepower 9300 の ASA:シャーシ内およびシャーシ間のクラスタリングでサポート。

      • Firepower 4100 シリーズ の ASA:シャーシ間クラスタリングでサポート。

      • Firepower 9300Firepower Threat Defense:シャーシ内クラスタリングでサポート。

      • Radware DefensePro:ASA によるシャーシ内クラスタリングでサポート。

      シャーシ間クラスタリングのスイッチ

      • ASR 9006 でデフォルト以外の MTU を設定する場合は、ASA MTU よりも 14 バイト大きい ASR インターフェイス MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。ASA MTU と ASR IPv4 MTU を一致させる必要があることに注意してください。

      • クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。

      • スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。

      • スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタ内の ASA へのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、vlan キーワードを使用しないでください。ASA のデフォルトのロードバランシング アルゴリズムを変更しないでくださいport-channel load-balance コマンド内)

      • スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。

      • Cisco Nexus スイッチのクラスタに接続されたすべての EtherChannel インターフェイスで、LACP グレースフル コンバージェンス機能をディセーブルにする必要があります。

      • クラスタ制御リンク パスのネットワーク エレメントでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。

      • ポートチャネル バンドルのダウンタイムは、設定されているキープアライブ インターバルを超えてはなりません。

      • Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、ASA に接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。

        router(config)# port-channelidhash-distributionfixed

        アルゴリズムをグローバルに変更しないでください。VSS ピア リンクに対しては適応型アルゴリズムを使用できます。

      シャーシ間クラスタリングの EtherChannel

      • スイッチ接続用に、EtherChannel モードをアクティブに設定します。クラスタ制御リンクであっても、FXOS シャーシではオン モードはサポートされません。
      • 15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。

      • スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。

        • スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。



        • デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。



      その他のガイドライン

      • 冗長性を持たせるため、VSS または vPC に EtherChannel を接続することを推奨します。

      • シャーシ内では、スタンドアロン モードで一部のシャーシ セキュリティ モジュールをクラスタ化し、他のセキュリティ モジュールを実行することはできません。クラスタ内にすべてのセキュリティ モジュールを含める必要があります。

      クラスタリングのデフォルト

      クラスタ制御リンクはポート チャネル 48 を使用します。

      ASA クラスタリングの設定

      FXOS シャーシ スーパーバイザから簡単にクラスタを導入できます。すべての初期設定が各ユニットに自動的に生成されます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。導入を容易にするために、1 つのシャーシにクラスタを導入し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。

      手順
        ステップ 1   クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。

        デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。導入後にクラスタにデータ インターフェイスを追加することもできます。

        シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバー インターフェイスを持つ EtherChannel である必要があります。各シャーシに EtherChannel を追加します。

        ステップ 2   管理タイプのインターフェイスまたは EtherChannel を追加します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
        ステップ 3   ポート チャネル 48 はクラスタ制御リンクとして予約されます。シャーシ間クラスタリングでは、ポート チャネル 48 に少なくとも 1 つのインターフェイスを追加します。
        ステップ 4   セキュリティ サービス モードを開始します。

        scopessa



        例:
        Firepower # scope ssa
        Firepower /ssa #
        
        
        ステップ 5   クラスタを作成します。

        enter logical-devicedevice_nameasa "1,2,3" clustered



        例:
        Firepower /ssa # enter logical-device ASA1 asa "1,2,3" clustered
        Firepower /ssa/logical-device* # 
        
        

        device_name は、FXOS シャーシ スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。まだハードウェアをインストールしていなくても、3 つのセキュリティ モジュールすべてを指定する必要があります。

        ステップ 6   クラスタ パラメータを設定します。

        enter cluster-bootstrap



        例:
        Firepower /ssa/logical-device* # enter cluster-bootstrap
        Firepower /ssa/logical-device/cluster-bootstrap* # 
        
        
        ステップ 7   セキュリティ モジュール設定のクラスタ グループ名を設定します。

        set service-typecluster_name



        例:
        Firepower /ssa/logical-device/cluster-bootstrap* # set service-type cluster1
        Firepower /ssa/logical-device/cluster-bootstrap* # 
        
        

        名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

        ステップ 8   クラスタ インターフェイス モードを設定します。

        set mode spanned-etherchannel



        例:
        Firepower /ssa/logical-device/cluster-bootstrap* # set mode spanned-etherchannel
        Firepower /ssa/logical-device/cluster-bootstrap* # 
        
        

        スパンド EtherChannel モードは、サポートされている唯一のモードです。

        ステップ 9   管理 IP アドレス情報を設定します。

        この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。

        1. ローカル IP アドレスのプールを設定します。このアドレスの 1 つが、このインターフェイス用に各クラスタ ユニットに割り当てられます。

          set ipv4 poolstart_ip end_ip

          set ipv6 poolstart_ip end_ip

          最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。クラスタを拡張する予定の場合は、アドレスを増やします。現在の標準出荷単位に属する仮想 IP アドレス(メイン クラスタ IP アドレスと呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。IPv4 アドレスと IPv6 アドレス(どちらか一方も可)を使用できます。

        2. 管理インターフェイスのメイン クラスタ IP アドレスを設定します。

          set virtual ipv4ip_addressmaskmask

          set virtual ipv6ip_addressprefix-lengthprefix

          この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

        3. ネットワーク ゲートウェイ アドレスを入力します。

          set ipv4 gatewayip_address

          set ipv6 gatewayip_address



        例:
        Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway 10.1.1.254
        Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool 10.1.1.11 10.1.1.27
        Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 gateway 2001:DB8::AA
        Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 pool 2001:DB8::11 2001:DB8::27
        Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 10.1.1.1 mask 255.255.255.0
        Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv6 2001:DB8::1 prefix-length 64
        ステップ 10   シャーシ ID を設定します。

        set chassis-idid

        クラスタの各シャーシは一意の ID が必要です。



        例:
        Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1
        Firepower /ssa/logical-device/cluster-bootstrap* # 
        
        
        ステップ 11   クラスタ制御リンクの制御トラフィックの認証キーを設定します。

        set key



        例:
        Firepower /ssa/logical-device/cluster-bootstrap* # set key
        Key: diamonddogs
        Firepower /ssa/logical-device/cluster-bootstrap* # 
        
        

        共有秘密を入力するように求められます。

        共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

        ステップ 12   クラスタ ブートストラップ モードおよび論理デバイス モードを終了します。

        exit

        exit

        ステップ 13   使用可能なソフトウェア バージョンを表示し、使用するバージョンを設定します。
        1. 使用可能なバージョンを表示します。

          show app



          例:
          /ssa # show app
          
          Application:
              Name       Version    Description Author     Deploy Type  CSP Type    Is Default App
              ---------- ---------- ----------- ---------- -----------  ----------- --------------
              asa        9.1.4.152  N/A         cisco      Native       Application Yes
              asa        9.4.2      N/A         cisco      Native       Application No
              asa        9.5.2.1    N/A         cisco      Native       Application No
          
          
        2. 使用するバージョンのアプリケーション モードを入力します。

          scope app asaversion_number

        3. このバージョンをデフォルトとして設定します。

          set-default

        4. アプリケーション モードを終了します。

          exit



        例:
        /ssa* # scope app asa 9.5.2.1
        /ssa/app* # set-default
        /ssa/app* # exit
        /ssa* # 
        
        
        ステップ 14   設定をコミットします。

        commit-buffer

        FXOS シャーシ スーパーバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。

        ステップ 15   クラスタに別のシャーシを追加するには、この手順を繰り返しますが、固有の chassis-id を設定する必要があります。それ以外は、両方のシャーシで同じ設定を使用します。
        ステップ 16   標準出荷単位セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。

        シャーシ 1:

        scope eth-uplink
          scope fabric a
            enter port-channel 1
              set port-type data
              enable
              enter member-port Ethernet1/1
                exit
              enter member-port Ethernet1/2
                exit
              exit
            enter port-channel 2
              set port-type data
              enable
              enter member-port Ethernet1/3
                exit
              enter member-port Ethernet1/4
                exit
              exit
            enter port-channel 3
              set port-type data
              enable
              enter member-port Ethernet1/5
                exit
              enter member-port Ethernet1/6
                exit
              exit
            enter port-channel 4
              set port-type mgmt
              enable
              enter member-port Ethernet2/1
                exit
              enter member-port Ethernet2/2
                exit
              exit
            enter port-channel 48
              set port-type cluster
              enable
              enter member-port Ethernet2/3
                exit
              exit
        				exit
        		exit
        commit buffer
        
        scope ssa
          enter logical-device ASA1 asa "1,2,3" clustered
            enter cluster-bootstrap
              set chassis-id 1
              set ipv4 gateway 10.1.1.254
              set ipv4 pool 10.1.1.11 10.1.1.27
              set ipv6 gateway 2001:DB8::AA
              set ipv6 pool 2001:DB8::11 2001:DB8::27
              set key
              Key: f@arscape
              set mode spanned-etherchannel
              set service-type cluster1
              set virtual ipv4 10.1.1.1 mask 255.255.255.0
              set virtual ipv6 2001:DB8::1 prefix-length 64
              exit
            exit
          scope app asa 9.5.2.1
            set-default
            exit
          commit-buffer
        
        

        シャーシ 2:

        scope eth-uplink
          scope fabric a
            create port-channel 1
              set port-type data
              enable
              create member-port Ethernet1/1
                exit
              create member-port Ethernet1/2
                exit
              exit
            create port-channel 2
              set port-type data
              enable
              create member-port Ethernet1/3
                exit
              create member-port Ethernet1/4
                exit
              exit
            create port-channel 3
              set port-type data
              enable
              create member-port Ethernet1/5
                exit
              create member-port Ethernet1/6
                exit
              exit
            create port-channel 4
              set port-type mgmt
              enable
              create member-port Ethernet2/1
                exit
              create member-port Ethernet2/2
                exit
              exit
            create port-channel 48
              set port-type cluster
              enable
              create member-port Ethernet2/3
                exit
              exit
        				exit
        		exit
        commit buffer
        
        scope ssa
          enter logical-device ASA1 asa "1,2,3" clustered
            enter cluster-bootstrap
              set chassis-id 2
              set ipv4 gateway 10.1.1.254
              set ipv4 pool 10.1.1.11 10.1.1.15
              set ipv6 gateway 2001:DB8::AA
              set ipv6 pool 2001:DB8::11 2001:DB8::19
              set key
              Key: f@rscape
              set mode spanned-etherchannel
              set service-type cluster1
              set virtual ipv4 10.1.1.1 mask 255.255.255.0
              set virtual ipv6 2001:DB8::1 prefix-length 64
              exit
            exit
          scope app asa 9.5.2.1
            set-default
            exit
          commit-buffer
        
        

        Firepower Threat Defense クラスタリングの設定

        FXOS シャーシ スーパーバイザから簡単にクラスタを導入できます。すべての初期設定が各ユニットに自動的に生成されます。

        手順
          ステップ 1   クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。

          導入後にクラスタにデータ インターフェイスを追加することもできます。

          ステップ 2   (オプション)クラスタを展開する前に Firepower-eventing タイプのインターフェイスを設定します。インターフェイス プロパティの編集を参照してください。

          このインターフェイスは、Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center コマンド リファレンスの configure network コマンドを参照してください。

          ステップ 3   管理タイプのインターフェイスまたは EtherChannel を追加します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
          ステップ 4   セキュリティ サービス モードを開始します。

          scopessa



          例:
          Firepower # scope ssa
          Firepower /ssa #
          
          
          ステップ 5   クラスタを作成します。

          enter logical-devicedevice_nameftd "1,2,3" clustered



          例:
          Firepower /ssa # enter logical-device FTD1 ftd "1,2,3" clustered
          Firepower /ssa/logical-device* # 
          
          

          device_name は、FXOS シャーシ スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。まだハードウェアをインストールしていなくても、3 つのセキュリティ モジュールすべてを指定する必要があります。

          ステップ 6   クラスタ ブートストラップ パラメータを設定します。
          1. クラスタ ブートストラップ オブジェクトを作成します。

            enter cluster-bootstrap

          2. シャーシ ID を設定します。

            set chassis-idid

          3. セキュリティ モジュール設定のクラスタ キーを設定します。

            set key

            共有秘密を入力するように求められます。

            共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

          4. クラスタ インターフェイス モードを設定します。

            set mode spanned-etherchannel

            スパンド EtherChannel モードは、サポートされている唯一のモードです。

          5. セキュリティ モジュール設定のクラスタ グループ名を設定します。

            set service-typecluster_name

            名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

          6. クラスタ ブートストラップ モードを終了します。

            exit



          例:
          Firepower /ssa/logical-device* # enter cluster-bootstrap
          Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1
          Firepower /ssa/logical-device/cluster-bootstrap* # set key
            Key: f@arscape
          Firepower /ssa/logical-device/cluster-bootstrap* # set mode spanned-etherchannel
          Firepower /ssa/logical-device/cluster-bootstrap* # set service-type cluster1
          Firepower /ssa/logical-device/cluster-bootstrap* # exit
          Firepower /ssa/logical-device/* #
          
          
          ステップ 7   管理ブートストラップ パラメータを設定します。
          1. 管理ブートストラップ オブジェクトを作成します。

            entermgmt-bootstrapftd

          2. 管理 Firepower Management Center の IP アドレスを指定します。

            enterbootstrap-keyFIREPOWER_MANAGER_IP

            setvalueIP_address

            exit

          3. 論理デバイスが動作するモードを指定します(ルーテッドまたはトランスペアレント)。

            enterbootstrap-keyFIREWALL_MODE

            setvaluefirewall_mode

            exit

          4. デバイスと Firepower Management Center との間で共有するキーを指定します。

            enterbootstrap-key-secretREGISTRATION_KEY

            setvalue

            registration_key

            exit

          5. 論理デバイスで使用するパスワードを指定します。

            enterbootstrap-key-secretPASSWORD

            setvalue

            password

            exit

          6. 論理デバイスの完全修飾ホスト名を指定します。

            enterbootstrap-keyFQDN

            setvaluefqdn

            exit

          7. 論理デバイスが使用する DNS サーバのカンマ区切りのリストを指定します。

            enterbootstrap-keyDNS_SERVERS

            setvaluedns_servers

            exit

          8. 論理デバイスの検索ドメインのカンマ区切りのリストを指定します。

            enterbootstrap-keySEARCH_DOMAINS

            setvaluesearch_domains

            exit

          9. クラスタ内の各セキュリティ モジュールの管理 IP アドレスを設定します。

            IPv4 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

            1. 管理インターフェイス オブジェクトを作成します。

              enteripv4slot_idfirepower

            2. ゲートウェイ アドレスを設定します。

              setgatewaygateway_address

            3. IP アドレスとマスクを設定します。

              setipip_addressmasknetwork_mask

            4. 管理 IP モードを終了します。

              exit

            IPv6 管理インターフェイス オブジェクトを作成するには、次の手順を実行します。

            1. 管理インターフェイス オブジェクトを作成します。

              enteripv6slot_idfirepower

            2. ゲートウェイ アドレスを設定します。

              setgatewaygateway_address

            3. IP アドレスとプレフィックスを設定します。

              set ipip_addressprefix-lengthprefix

            4. 管理 IP モードを終了します。

              exit

          10. 管理ブートストラップ モードを終了します。

            exit



          例:
          Firepower /ssa/logical-device* # enter mgmt-bootstrap ftd
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FIREPOWER_MANAGER_IP
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FIREWALL_MODE
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value routed
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key-secret REGISTRATION_KEY
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
            Value: ziggy$tardust
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key-secret PASSWORD
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
            Value: $pidersfrommars
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FQDN 
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value example.cisco.com
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key DNS_SERVERS
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 192.168.1.1
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key SEARCH_DOMAINS
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value example.com
          Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 1 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 2 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.32 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 3 firepower
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.33 mask 255.255.255.0
          Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
          Firepower /ssa/logical-device/mgmt-bootstrap* # exit
          Firepower /ssa/logical-device* # 
          
          
          ステップ 8   論理デバイス モードを終了します。

          exit

          ステップ 9   使用可能なソフトウェア バージョンを表示し、使用するバージョンを設定します。
          1. 使用可能なバージョンを表示します。

            show app



            例:
            /ssa # show app
            
            Application:
                Name       Version    Description Author     Deploy Type CSP Type    Is Default App
                ---------- ---------- ----------- ---------- ----------- ----------- --------------
                ftd        6.0.1.37   N/A         cisco      Native      Application Yes
                ftd        6.1.0.11   N/A         cisco      Native      Application No
                ftd        6.1.0.21   N/A         cisco      Native      Application No
            
            
          2. 使用するバージョンのアプリケーション モードを入力します。

            scope app ftdversion_number

          3. このバージョンをデフォルトとして設定します。

            set-default

          4. このバージョンのエンドユーザ ライセンス契約書に同意します。

            accept-license-agreement

          5. アプリケーション モードを終了します。

            exit



          例:
          /ssa # scope app ftd 6.1.0.21
          /ssa/app # set-default
          /ssa/app* # accept-license-agreement
          /ssa/app* # exit
          /ssa* # 
          
          
          ステップ 10   設定をコミットします。

          commit-buffer

          FXOS シャーシ スーパーバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。

          ステップ 11   各セキュリティ モジュールを、管理 IP アドレスを使用する Firepower Management Center に追加してから、Web インターフェイスでクラスタにグループ化します。

          scope eth-uplink
            scope fabric a
              enter port-channel 1
                set port-type data
                enable
                create member-port Ethernet1/1
                  exit
                create member-port Ethernet1/2
                  exit
                exit
              enter port-channel 2
                set port-type data
                enable
                create member-port Ethernet1/3
                  exit
                create member-port Ethernet1/4
                  exit
                exit
              enter port-channel 3
                set port-type firepower-eventing
                enable
                create member-port Ethernet1/5
                  exit
                create member-port Ethernet1/6
                  exit
                exit
              enter port-channel 4
                set port-type mgmt
                enable
                create member-port Ethernet2/1
                  exit
                enter member-port Ethernet2/2
                  exit
                exit
          				exit
          		exit
          commit buffer
          
          scope ssa
            enter logical-device FTD1 ftd "1,2,3" clustered
              enter cluster-bootstrap
                set chassis-id 1
                set key cluster_key
                set mode spanned-etherchannel
                set service-type ftd-cluster
                exit
              enter mgmt-bootstrap ftd
                enter bootstrap-key FIREPOWER_MANAGER_IP
                  set value 10.0.0.100
                  exit
                enter bootstrap-key FIREWALL_MODE
                  set value transparent
                  exit
                enter bootstrap-key-secret REGISTRATION_KEY
                  set value
                    Value: alladinsane
                  exit
                enter bootstrap-key-secret PASSWORD
                  set value
                    Value: widthofacircle
                  exit
                enter bootstrap-key FQDN 
                  set value ftd.cisco.com
                  exit
                enter bootstrap-key DNS_SERVERS
                  set value 192.168.1.1
                  exit
                enter bootstrap-key SEARCH_DOMAINS
                  set value search.com
                  exit
                enter ipv4 1 firepower
                  set gateway 10.0.0.1
                  set ip 10.0.0.31 mask 255.255.255.0
                  exit
                enter ipv4 2 firepower
                  set gateway 10.0.0.1
                  set ip 10.0.0.32 mask 255.255.255.0
                  exit
                enter ipv4 3 firepower
                  set gateway 10.0.0.1
                  set ip 10.0.0.33 mask 255.255.255.0
                  exit
                exit
              exit
            scope app ftd 6.0.0.837
              accept-license-agreement
              exit
            commit-buffer

          クラスタリングの履歴

          機能名

          プラットフォーム リリース

          機能情報

          Cisco ASA のシャーシ内クラスタリング

          1.1.1

          Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できるようになりました。

          次のコマンドが導入されました。enter cluster-bootstrap、enter logical-device clustered、set chassis-id、set ipv4 gateway、set ipv4 pool、set ipv6 gateway、set ipv6 pool、set key、set mode spanned-etherchannel、set port-type cluster、set service-type、set virtual ipv4、set virtual ipv6

          6 つの ASA モジュールのシャーシ間クラスタリング

          1.1.3

          ASA のシャーシ間クラスタリングが実現されました。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。

          Firepower 9300 の Firepower Threat Defense でのシャーシ内クラスタリング サポート

          1.1.4

          Firepower 9300 が Firepower Threat Defense アプリケーションでシャーシ内クラスタリングをサポートするようになりました。

          次のコマンドが導入されました。enter mgmt-bootstrap ftd、enter bootstrap-key FIREPOWER_MANAGER_IP、enter bootstrap-key FIREWALL_MODE、enter bootstrap-key-secret REGISTRATION_KEY、enter bootstrap-key-secret PASSWORD、enter bootstrap-key FQDN、enter bootstrap-key DNS_SERVERS、enter bootstrap-key SEARCH_DOMAINS、enter ipv4 firepower、enter ipv6 firepower、set value、set gateway、set ip、accept-license-agreement

          サービス チェーンについて

          Cisco FXOS シャーシは、単一ブレードで複数のサービス(ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションとサービスは、リンクされて、サービス チェーンを形成します。現在サービスされているサービス チェーン コンフィギュレーションでは、サードパーティ製の Radware DefensePro 仮想プラットフォームが ASA ファイアウォールの手前で実行されています。Radware DefensePro は、FXOS シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。FXOS シャーシでサービス チェーンが有効になると、ネットワークからのトラフィックは主要な ASA ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。


          (注)  


          • Radware DefensePro プラットフォームは、Firepower 9300 アプライアンスのみでサポートされます。

          • Radware DefensePro サービス チェーンはスタンドアロン コンフィギュレーションで有効にすることも、ASA ファイアウォールを使用するシャーシ内クラスタ化されたコンフィギュレーションで有効にすることもできます。

          • DefensePro アプリケーションは最大 3 つのセキュリティ モジュールの個別のインスタンスとして動作できます。

          • Radware DefensePro 仮想プラットフォームは、Radware vDP(仮想 DefensePro)、またはシンプルに vDP と呼ばれることがあります。

          • Radware DefensePro 仮想プラットフォームは、ASA ファイアウォールのリンク デコレータと呼ばれることもあります。

          • Radware DefensePro を FXOS シャーシにデプロイする前に、etc/UTC タイムゾーンで NTP サーバを使用するように FXOS シャーシを構成する必要があります。FXOS シャーシの日付と時刻の設定の詳細については、「日時の設定」を参照してください。


          スタンドアロンの論理デバイスでの Radware DefensePro サービス チェーンの設定

          Radware DefensePro イメージをインストールしてスタンドアロン ASA 論理デバイスの前に単一のサービス チェーンを設定するには、次の手順に従います。
          はじめる前に
          手順
            ステップ 1   スタンドアロン設定で ASA 論理デバイスを作成します(スタンドアロン ASA 論理デバイスの作成を参照)。
            ステップ 2   Radware vDP イメージをインストールします。

            Firepower/ ssa#scopeslot_id

            Firepower/ ssa/slot#createapp-instance vdp
            ステップ 3   設定をコミットします。

            commit-buffer

            ステップ 4   セキュリティ モジュールの vDP の設置とプロビジョニングを確認します。

            show app-instance

            ステップ 5   ASA 論理デバイスを入力します。

            scope ssa

            scope logical-device ld_asa

            ステップ 6   vDP の外部管理を設定します。
            1. ブートストラップ オブジェクトを作成します。

              create mgmt-bootstrap vdp

            2. 管理 IP アドレスを設定します。

              createipv4slot_iddefault

            1. ゲートウェイ アドレスを設定します。

              setgatewaygateway_address

            2. IP アドレスとマスクを設定します。

              setipip_addressmasknetwork_mask

            3. 管理 IP 設定スコープを終了します。

              exit

            4. 管理ブートストラップ設定スコープを終了します。

              exit

            ステップ 7   外部ポート リンクを作成します。

            createexternal-port-linkmgmt_vdpinterface_id vdp

            ステップ 8   外部ポートの範囲を指定します。

            scopeexternal-port-linkdata_1_2

            ステップ 9   論理デバイスにサードパーティのアプリケーションを追加します。

            setdecorator vdp

            exit

            exit

            ステップ 10   サードパーティのアプリケーションがインターフェイスに設定されているかどうかを確認します。

            show logical-device

            ステップ 11   設定をコミットします。

            commit-buffer


            シャーシ内クラスタの Radware DefensePro サービス チェーンの設定

            Radware DefensePro イメージをインストールして ASA シャーシ内クラスタの前にサービス チェーンを設定するには、次の手順に従います。
            はじめる前に

            手順
              ステップ 1   ASA クラスタを設定します(ASA クラスタリングの設定を参照)。
              ステップ 2   外部(クライアント側)ポートを Radware DefensePro でデコレートします。

              enter external-port-linkname interface_nameasa

              set decoratorvdp

              set description''''

              exit

              ステップ 3   ASA の外部管理ポートを割り当てます。

              enter external-port-linkmgmt_asainterface_nameasa

              set decorator''''

              set description''''

              exit

              ステップ 4   DefensePro の外部管理ポートを割り当てます。

              enter external-port-linkmgmt_vdpinterface_nameasa

              set decorator''''

              set description''''

              ステップ 5   クラスタ ポート チャネルを設定します。

              enter external-port-link port-channel48 Port-channel48 asa

              set decorator''''

              set description''''

              exit

              ステップ 6   DefensePro の 3 つのすべてのインスタンスの管理ブートストラップを設定します。

              enter mgmt-bootstrapvdp

              enter ipv4slot_iddefault

              setgatewaygateway_address

              setipip_addressmasknetwork_mask

              exit



              例:
                   enter mgmt-bootstrap vdp
                       enter ipv4 1 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.219 mask 255.255.0.0
                       exit
                       
                       enter ipv4 2 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.220 mask 255.255.0.0
                       exit
               
                       enter ipv4 3 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.221 mask 255.255.0.0
                       exit
              ステップ 7   管理ブートストラップ設定スコープを終了します。

              exit

              ステップ 8   設定をコミットします。
              commit-buffer
              (注)      この手順を完了したら、DefensePro インスタンスがクラスタに設定されているかどうかを確認する必要があります。
              ステップ 9   以下のいずれかの方法で、「primary」と「secondary」の DefensePro インスタンスがどれであるかを確認します。
              1. DefensePro インスタンスの範囲を指定し、DefensePro のアプリケーション属性のみを表示します。

                scopessa

                scopeslot_number

                scopeapp-instancevdp

                showapp-attri

              2. スロットの範囲を指定し、DefensePro インスタンスの詳細を表示します。このアプローチでは、スロット上の ASA と vDP 両方のアプリケーション インスタンス情報が表示されます。

                scopessa

                scopeslot_number

                showapp-instance expand detail


              DefensePro アプリケーションがオンラインでもクラスタ化されていない場合は、CLI に次のように表示されます。

                  App Attribute:
                      App Attribute Key: cluster-role
                      Value: unknown
              
              この「unknown」値が表示された場合は、vDP クラスタを作成するために、DefensePro アプリケーションを入力してマスター IP アドレスを設定する必要があります。
              DefensePro アプリケーションがオンラインでクラスタ化されている場合は、CLI に次のように表示されます。
                  App Attribute:
                      App Attribute Key: cluster-role
                      Value: primary/secondary
              

              scope ssa
                enter logical-device ld asa "1,2,3" clustered
                   enter cluster-bootstrap
                       set chassis-id 1
                       set ipv4 gateway 172.16.0.1
                       set ipv4 pool 172.16.4.216 172.16.4.218
                       set ipv6 gateway 2010::2
                       set ipv6 pool 2010::21 2010::26
                       set key secret
                       set mode spanned-etherchannel
                       set name cisco
                       set virtual ipv4 172.16.4.222 mask 255.255.0.0
                       set virtual ipv6 2010::134 prefix-length 64
                   exit
                   enter external-port-link Ethernet1-2 Ethernet1/2 asa
                       set decorator vdp
                       set description ""
                   exit
                   enter external-port-link Ethernet1-3_asa Ethernet1/3 asa
                       set decorator ""
                       set description ""
                   exit
                   enter external-port-link mgmt_asa Ethernet1/1 asa
                       set decorator ""
                       set description ""
                   exit
                   enter external-port-link mgmt_vdp Ethernet1/1 vdp
                       set decorator ""
                       set description ""
                   exit
                   enter external-port-link port-channel48 Port-channel48 asa
                       set decorator ""
                       set description ""
                   exit
                   enter mgmt-bootstrap vdp
                       enter ipv4 1 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.219 mask 255.255.0.0
                       exit
                       
                       enter ipv4 2 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.220 mask 255.255.0.0
                       exit
               
                       enter ipv4 3 default
                           set gateway 172.16.0.1
                           set ip 172.16.4.221 mask 255.255.0.0
                       exit
               exit
              commit-buffer
              scope ssa
                 scope slot 1
                 scope app-instance vdp
                 show app-attri
                  App Attribute:
                      App Attribute Key: cluster-role
                      Value: unknown
              
              

              UDP/TCP ポートのオープンと vDP Web サービスの有効化

              Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、APSolute Vision ユーザ ガイドの次の表を参照してください。

              • Ports for APSolute Vision Server-WBM Communication and Operating System

              • Communication Ports for APSolute Vision Server with Radware Devices

              Radware APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、FXOS CLI を使用して vDP Web サービスを有効にする必要があります。

              手順
                ステップ 1   FXOS CLI から、vDP のアプリケーション インスタンスに接続します。

                connect moduleslotconsole

                connect vdp

                ステップ 2   vDP Web サービスを有効化します。

                manage secure-web status set enable

                ステップ 3   vDP アプリケーションのコンソールを終了して FXOS モジュール CLI に戻ります。

                Ctrl ]


                アプリケーションまたはデコレータのコンソールへの接続

                次の手順に従ってアプリケーションまたはデコレータのコンソールに接続します。


                (注)  


                コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。


                手順
                  ステップ 1   アプリケーションまたはデコレータのコンソールに接続するには、次の操作を行います。
                  1. FXOS CLI から、セキュリティ モジュール/エンジンに接続します。

                    Firepower-chassis # connectmoduleslot_numberconsole

                    (注)     

                    複数のセキュリティ モジュールをサポートしないデバイスのセキュリティ エンジンに接続するには、slot_number として 1 を使用します。

                    セキュリティ モジュールに初めて接続すると、FXOS モジュール CLI にアクセスします。

                  2. アプリケーションまたはデコレータに接続するには、デバイスに適したコマンドを入力します。

                    Firepower-module1>connect asa

                    Firepower-module1>connect ftd

                    Firepower-module1>connect vdp

                    FXOS CLI のスーパーバイザ レベルからセキュリティ モジュール/エンジンへの以降の接続では、セキュリティ モジュール/エンジン OS に直接アクセスします。

                  ステップ 2   (任意)Ctrl-A-D と入力し、アプリケーション コンソールを終了して FXOS モジュール CLI に移動します。

                  Ctrl-]- と入力し、デコレータ コンソールを終了して FXOS モジュール CLI に移動します。

                  トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。

                  ステップ 3   FXOS CLI のスーパーバイザ レベルに戻ります。
                  1. セキュリティ モジュール/エンジンコンソールを終了するには、~ と入力します。

                    Telnet アプリケーションに切り替わります。

                  2. Telnet アプリケーションを終了するには、次を入力します。

                    telnet>quit


                  次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。

                  Firepower# connect module 1 console
                  Telnet escape character is '~'.
                  Trying 127.5.1.1...
                  Connected to 127.5.1.1.
                  Escape character is '~'.
                  
                  CISCO Serial Over LAN:
                  Close Network Connection to Exit
                  
                  Firepower-module1>connect asa
                  asa> ~
                  telnet> quit
                  Connection closed.
                  Firepower#
                  

                  論理デバイスの削除

                  手順
                    ステップ 1   セキュリティ サービス モードを開始します。

                    Firepower# scopessa

                    ステップ 2   シャーシ上の論理デバイスの詳細を表示します。

                    Firepower /ssa # showlogical-device

                    ステップ 3   削除する論理デバイスごとに、次のコマンドを入力します。

                    Firepower /ssa # deletelogical-devicedevice_name

                    ステップ 4   論理デバイスにインストールされているアプリケーションの詳細を表示します。

                    Firepower /ssa # showapp-instance

                    ステップ 5   削除するアプリケーションごとに、次のコマンドを入力します。
                    1. Firepower /ssa # scopeslotslot_number
                    2. Firepower /ssa/slot # deleteapp-instanceapplication_name
                    3. Firepower /ssa/slot # exit
                    ステップ 6   設定をコミットします。

                    commit-buffer

                    トランザクションをシステムの設定にコミットします。


                    Firepower# scope ssa
                    Firepower /ssa # show logical-device
                    
                    Logical Device:
                        Name       Description Slot ID    Mode       Operational State        Template Name
                        ---------- ----------- ---------- ---------- ------------------------ -------------
                        FTD                    1,2,3      Clustered  Ok                       ftd
                    Firepower /ssa # delete logical-device FTD
                    Firepower /ssa* # show app-instance
                    Application Name     Slot ID     Admin State     Operational State    Running Version Startup Version Cluster Oper State
                    -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------
                    ftd                            1 Disabled        Stopping             6.0.0.837       6.0.0.837       Not Applicable
                    ftd                            2 Disabled        Offline              6.0.0.837       6.0.0.837       Not Applicable
                    ftd                            3 Disabled        Not Available                        6.0.0.837       Not Applicable
                    Firepower /ssa* # scope slot 1
                    Firepower /ssa/slot # delete app-instance ftd
                    Firepower /ssa/slot* # exit
                    Firepower /ssa* # scope slot 2
                    Firepower /ssa/slot # delete app-instance ftd
                    Firepower /ssa/slot* # exit
                    Firepower /ssa* # scope slot 3
                    Firepower /ssa/slot # delete app-instance ftd
                    Firepower /ssa/slot* # exit
                    Firepower /ssa* # commit-buffer