Cisco FXOS CLI コンフィギュレーション ガイド 1.1(1)
論理デバイス
論理デバイス

論理デバイス

論理デバイスについて

論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。

論理デバイスは次の 2 つのタイプのいずれかを作成できます。

(注)  


作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。


  • スタンドアロン:Firepower シャーシに取り付けた各セキュリティ モジュールに、スタンドアロン論理デバイスを作成できます。

  • クラスタ:ここで作成できるクラスタでは、Firepower シャーシにインストールされているすべてのセキュリティ モジュールが 1 つの論理デバイスとしてグループ化されます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

スタンドアロン ASA 論理デバイスの作成

クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。

はじめる前に
手順
    ステップ 1   セキュリティ サービス モードを開始します。

    Firepower# scopessa

    ステップ 2   論理デバイスを作成します。

    Firepower /ssa # createlogical-devicedevice_nameasaslot_idstandalone

    ステップ 3   論理デバイスの説明を入力します。

    Firepower /ssa/logical-device* # setdescription"logical device description"

    ステップ 4   管理およびデータ インターフェイスを論理デバイスに割り当てます。
    Firepower /ssa/logical-device* # createexternal-port-linknameinterface_nameasa

    Firepower-chassis /ssa/logical-device/external-port-link* # exit

    ステップ 5   管理ブートストラップ情報を設定します。
    1. ブートストラップ オブジェクトを作成します。

      Firepower /ssa/logical-device* # createmgmt-bootstrapasa

    2. 有効化パスワードを作成します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createbootstrap-key-secretPASSWORD

    3. パスワード値を設定します。
      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # setvalue

      Value: password

    4. パスワード設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit

    5. 管理 IP アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # createipv4slot_iddefault

    6. ゲートウェイ アドレスを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setgatewaygateway_address

    7. IP アドレスとマスクを設定します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # setipip_addressmasknetwork_mask

    8. 管理 IP 設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit

    9. 管理ブートストラップ設定スコープを終了します。

      Firepower /ssa/logical-device/mgmt-bootstrap* # exit

    ステップ 6   設定をコミットします。

    commit-buffer

    トランザクションをシステムの設定にコミットします。


    Firepower# scope ssa
    Firepower /ssa # create logical-device MyDevice1 asa 1 standalone
    Firepower /ssa/logical-device* # set description "logical device description"
    Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa
    Firepower /ssa/logical-device/external-port-link* # set description "inside link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa
    Firepower /ssa/logical-device/external-port-link* # set description "management link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa
    Firepower /ssa/logical-device/external-port-link* # set description "external link"
    Firepower /ssa/logical-device/external-port-link* # exit
    Firepower /ssa/logical-device* # create mgmt-bootstrap asa
    Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
    Value: <password>
    Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0
    Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
    Firepower /ssa/logical-device/mgmt-bootstrap* # exit
    Firepower /ssa/logical-device* # show configuration pending
    +enter logical-device MyDevice1 asa 1 standalone
    +    enter external-port-link inside Ethernet1/1 asa
    +        set decorator ""
    +        set description "inside link"
    +    exit
    +    enter external-port-link management Ethernet1/7 asa
    +        set decorator ""
    +        set description "management link"
    +    exit
    +    enter external-port-link outside Ethernet1/2 asa
    +        set decorator ""
    +        set description "external link"
    +    exit
    +    enter mgmt-bootstrap asa
    +        enter bootstrap-key-secret PASSWORD
    +            set value
    +        exit
    +        enter ipv4 1 default
    +            set gateway 1.1.1.254
    +            set ip 1.1.1.1 mask 255.255.255.0
    +        exit
    +    exit
    +    set description "logical device description"
    +exit
    Firepower /ssa/logical-device* # commit-buffer

    クラスタの導入

    クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。


    (注)  


    Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。


    クラスタリングについて

    クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。

    • セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。

    • すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。

      クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。

    • スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。

      Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。


      (注)  


      管理インターフェイス以外の個々のインターフェイスはサポートされていません。


    • すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。

    クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。

    マスターおよびスレーブ ユニットの役割

    クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。

    すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。

    クラスタ制御リンク

    クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。

    クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

    管理インターフェイス

    クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。

    メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。

    たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。

    TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。

    クラスタリングのガイドライン

    • 冗長性を持たせるため、EtherChannel を VSS または vPC に接続することを推奨します。

    • 一部のシャーシ セキュリティ モジュールをクラスタ化して、別のセキュリティ モジュールをスタンドアロン モードで実行することはできません。すべてのセキュリティ モジュールをクラスタに含める必要があります。

    クラスタリングのデフォルト

    他のクラスタ タイプのインターフェイスが定義されていない場合、クラスタ制御リンクは 48 番のポートチャネルを使用します。

    ASA クラスタリングの設定

    Firepower 9300 スーパーバイザから簡単にクラスタを導入できます。 すべての初期設定が各ユニットに自動的に生成されます。

    手順
      ステップ 1   クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。 ポート チャネルの作成を参照してください。

      導入後にクラスタにデータ インターフェイスを追加することもできます。

      ステップ 2   管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
      ステップ 3   クラスタを作成します。
      scope ssa

      enter logical-device device_name asa "1,2,3" clustered

      device_name は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 まだハードウェアをインストールしていなくても、3 つのセキュリティ モジュールすべてを指定する必要があります。

      ステップ 4   クラスタ パラメータを設定します。

      enter cluster-bootstrap

      ステップ 5   セキュリティ モジュール設定のクラスタ グループ名を設定します。

      set service-typecluster_name

      名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

      ステップ 6   クラスタ インターフェイス モードを設定します。

      set mode spanned-etherchannel

      スパンド EtherChannel モードは、サポートされている唯一のモードです。

      ステップ 7   (任意)管理 IP アドレス情報を設定します。

      この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。

      1. ローカル IP アドレスのプールを設定します。このアドレスの 1 つが、このインターフェイス用に各クラスタ ユニットに割り当てられます。


        set ipv4 pool start_ip end_ip

        set ipv6 pool start_ip end_ip

        最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。 クラスタを拡張する予定の場合は、アドレスを増やします。 現在のマスター ユニットに属する仮想 IP アドレス(メイン クラスタ IP アドレスと呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。

      2. 管理インターフェイスのメイン クラスタ IP アドレスを設定します。


        set virtual ipv4 ip_address mask mask

        set virtual ipv6 ip_address prefix-length prefix

        この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

      3. ネットワーク ゲートウェイ アドレスを入力します。


        set ipv4 gateway ip_address

        set ipv6 gateway ip_address

      ステップ 8   シャーシ ID を設定します。

      set chassis-idid

      ステップ 9   クラスタ制御リンクの制御トラフィックの認証キーを設定します。

      set keysecret

      共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

      ステップ 10   クラスタ ブートストラップ モードを終了します。

      exit

      ステップ 11   クラスタに管理およびデータ インターフェイスを割り当てます。
      enter external-port-link9300_interface_id asa_interface_idasa

      exit



      例:
      enter external-port-link Port-channel1 Port-channel1 asa
        exit
      enter external-port-link Port-channel2 Port-channel2 asa
        exit
      enter external-port-link Port-channel3 Port-channel3 asa
        exit
      
      
      ステップ 12   設定をコミットします。

      commit-buffer

      Firepower 9300 スーパーバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。

      ステップ 13   セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。

      scope eth-uplink
        scope fabric a
          create port-channel 1
            set port-type data
            enable
            create member-port Ethernet1/1
              exit
            create member-port Ethernet1/2
              exit
            exit
          create port-channel 2
            set port-type data
            enable
            create member-port Ethernet1/3
              exit
            create member-port Ethernet1/4
              exit
            exit
          create port-channel 3
            set port-type data
            enable
            create member-port Ethernet1/5
              exit
            create member-port Ethernet1/6
              exit
            exit
          create port-channel 4
            set port-type mgmt
            enable
            create member-port Ethernet2/1
              exit
            create member-port Ethernet2/2
              exit
            exit
      				exit
      		exit
      commit buffer
      
      scope ssa
        enter logical-device ASA1 asa "1,2,3" clustered
          enter cluster-bootstrap
            set chassis-id 1
            set ipv4 gateway 10.1.1.254
            set ipv4 pool 10.1.1.11 10.1.1.15
            set ipv6 gateway 2001:DB8::AA
            set ipv6 pool 2001:DB8::11 2001:DB8::19
            set key f@rscape
            set mode spanned-etherchannel
            set service-type cluster1
            set virtual ipv4 10.1.1.1 mask 255.255.255.0
            set virtual ipv6 2001:DB8::1 prefix-length 64
            exit
          enter external-port-link Port-channel1 Port-channel1 asa
            exit
          enter external-port-link Port-channel1 Port-channel2 asa
            exit
          enter external-port-link Port-channel1 Port-channel3 asa
            exit
          enter external-port-link Port-channel1 Port-channel4 asa
            exit
          commit-buffer
      
      

      クラスタリングの履歴

      機能名

      プラットフォーム リリース

      機能情報

      Cisco ASA のシャーシ内クラスタリング

      1.1(1)

      Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できます。

      次のコマンドが導入されました。enter cluster-bootstrap、enter logical-device clustered、set chassis-id、set ipv4 gateway、set ipv4 pool、set ipv6 gateway、set ipv6 pool、set key、set mode spanned-etherchannel、set port-type cluster、set service-type、set virtual ipv4、set virtual ipv6

      セキュリティ モジュールのコンソールへの接続

      次の手順を使用してセキュリティ モジュールのコンソールに接続します。


      (注)  


      コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。


      手順
        ステップ 1   セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
        1. FXOS CLI からセキュリティ モジュールに接続します。

          Firepower-chassis # connectmoduleslot_numberconsole

          セキュリティ モジュールに初めて接続すると、FXOS モジュール CLI にアクセスします。

        2. モジュール OS に接続するには、を入力します。

          Firepower-module1>connect asa

          FXOS CLI のスーパーバイザ レベルからセキュリティ モジュールへの以降の接続では、モジュール OS に直接アクセスします。

        ステップ 2   (任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。

        トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。

        ステップ 3   FXOS CLI のスーパーバイザ レベルに戻ります。
        1. セキュリティ モジュール コンソールを終了するには、~ を入力します。

          Telnet アプリケーションに切り替わります。

        2. Telnet アプリケーションを終了するには、次を入力します。

          telnet>quit


        次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。

        Firepower# connect module 1 console
        Telnet escape character is '~'.
        Trying 127.5.1.1...
        Connected to 127.5.1.1.
        Escape character is '~'.
        
        CISCO Serial Over LAN:
        Close Network Connection to Exit
        
        Firepower-module1>connect asa
        asa> ~
        telnet> quit
        Connection closed.
        Firepower#