Cisco FXOS Firepower Chassis Manager コンフィギュレーション ガイド 1.1(1)
論理デバイス
論理デバイス

論理デバイス

論理デバイスについて

Firepower Chassis Manager の [Logical Devices] ページを使用して、論理デバイスを作成、編集、削除します。

論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。

論理デバイスは次の 2 つのタイプのいずれかを作成できます。

(注)  


作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。


  • スタンドアロン:Firepower シャーシに取り付けた各セキュリティ モジュールに、スタンドアロン論理デバイスを作成できます。

  • クラスタ:ここで作成できるクラスタでは、Firepower シャーシにインストールされているすべてのセキュリティ モジュールが 1 つの論理デバイスとしてグループ化されます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

スタンドアロン ASA 論理デバイスの作成

クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。

はじめる前に
手順
    ステップ 1   [Logical Devices] を選択して [Logical Devices] ページを開きます。

    [Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。 論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。

    ステップ 2   [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。
    ステップ 3   [Device Name] には、論理デバイスの名前を指定します。
    ステップ 4   [Template] では、[Cisco Adaptive Security Appliance] を選択します。
    ステップ 5   [Image Version] では、ASA ソフトウェア バージョンを選択します。
    ステップ 6   [Device Mode] では、[Standalone] オプション ボタンをクリックします。
    ステップ 7   [OK] をクリックします。

    [Provisioning - device name] ウィンドウが表示されます。

    ステップ 8   [Data Ports] 領域を展開し、デバイスに割り当てるポートをそれぞれクリックします。
    ステップ 9   画面中央のデバイス アイコンをクリックします。

    [ASA Configuration] ダイアログボックスが表示されます。

    ステップ 10   [Management Interface] ドロップダウン リストから、論理デバイスで使用する管理インターフェイスを選択します。
    ステップ 11   [IPv4] と [IPv6] のいずれかまたは両方の領域で、管理 IP アドレス情報を設定します。

    この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 この管理 IP アドレスは、ASDM への接続に使用する IP アドレスでもあります。

    1. [Management IP] フィールドで、ローカル IP アドレスを設定します。
    2. ネットワーク マスクまたはプレフィックス長を入力します。
    3. ネットワーク ゲートウェイ アドレスを入力します。
    ステップ 12   [Password] には「admin」ユーザのパスワードを入力します。
    ステップ 13   [Select Security Module] で、この論理デバイスに使用するセキュリティ モジュールをクリックして選択します。
    ステップ 14   [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。
    ステップ 15   [Save(保存)] をクリックします。

    Firepower eXtensible Operating System は、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。


    クラスタの導入

    クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。


    (注)  


    Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。


    クラスタリングについて

    クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。

    • セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。

    • すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。

      クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。

    • スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。

      Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。


      (注)  


      管理インターフェイス以外の個々のインターフェイスはサポートされていません。


    • すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。

    クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。

    マスターおよびスレーブ ユニットの役割

    クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。

    すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。

    クラスタ制御リンク

    クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。

    クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

    管理インターフェイス

    クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。

    メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。

    たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。

    TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。

    クラスタリングのガイドライン

    • 冗長性を持たせるため、EtherChannel を VSS または vPC に接続することを推奨します。

    • 一部のシャーシ セキュリティ モジュールをクラスタ化して、別のセキュリティ モジュールをスタンドアロン モードで実行することはできません。すべてのセキュリティ モジュールをクラスタに含める必要があります。

    クラスタリングのデフォルト

    他のクラスタ タイプのインターフェイスが定義されていない場合、クラスタ制御リンクは 48 番のポートチャネルを使用します。

    ASA クラスタリングの設定

    Firepower 9300 スーパーバイザから簡単にクラスタを導入できます。 すべての初期設定が各ユニットに自動的に生成されます。

    手順
      ステップ 1   クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポートチャネル)を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。

      導入後にもクラスタにデータ インターフェイスを追加できます。

      ステップ 2   管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
      ステップ 3   [Logical Devices] を選択して [Logical Devices] ページを開きます。

      [Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。 論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。

      ステップ 4   [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。

      既存のクラスタがある場合は、そのクラスタを削除して新しく追加するように求められます。 セキュリティ モジュールのクラスタ関連のすべての設定が新しい情報に置き換えられます。

      ステップ 5   [Device Name] には、論理デバイスの名前を指定します。 この名前は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。
      ステップ 6   [Template] では、[Cisco Adaptive Security Appliance] を選択します。
      ステップ 7   [Image Version] では、ASA ソフトウェア バージョンを選択します。
      ステップ 8   [Device Mode] では、[Cluster] オプション ボタンをクリックします。
      ステップ 9   [OK] をクリックします。

      スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。 [Provisioning - device name] ウィンドウが表示されます。

      ステップ 10   デフォルトでは、すべての定義済みインターフェイスがクラスタに割り当てられます。 [Data Ports] 領域を展開し、クラスタから割り当てを解除するインターフェイスをそれぞれクリックします。
      ステップ 11   画面中央のデバイス アイコンをクリックします。

      [ASA Configuration] ダイアログボックスが表示されます。

      ステップ 12   [Management Interface] をクリックして、先に作成した管理インターフェイスを選択します。
      ステップ 13   [Cluster Information] 領域で、クラスタ制御リンクの制御トラフィックの認証キーを設定します。

      共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

      ステップ 14   [Service Type Name]([Cluster Group Name])を設定します。これはセキュリティ モジュール設定のクラスタグループ名です。

      名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

      ステップ 15   [IPv4] [IPv6] のいずれかまたは両方の領域で、管理 IP アドレス情報を設定します。

      この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。

      1. [Management IP Pool] フィールドに、開始アドレスと終了アドレスをハイフンで区切って入力し、ローカル IP アドレスのプールを設定します。このうちの 1 つがインターフェイス用に各クラスタ ユニットに割り当てられます。

        最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。 クラスタを拡張する予定の場合は、アドレスを増やします。 現在のマスター ユニットに属する仮想 IP アドレス(メイン クラスタ IP アドレスと呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。

      2. ネットワーク マスクまたはプレフィックス長を入力します。
      3. ネットワーク ゲートウェイを入力します。
      4. 仮想 IP アドレス を入力します。

        この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

      ステップ 16   [Password] には「admin」ユーザのパスワードを入力します。
      ステップ 17   [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。
      ステップ 18   [Save(保存)] をクリックします。

      Firepower 9300 スーパーバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。

      ステップ 19   セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。

      クラスタリングの履歴

      機能名

      プラットフォーム リリース

      機能情報

      Cisco ASA のシャーシ内クラスタリング

      1.1(1)

      Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できます。

      次の画面が導入されました。[Logical Devices] > [Configuration]

      セキュリティ モジュールのコンソールへの接続

      次の手順を使用してセキュリティ モジュールのコンソールに接続します。


      (注)  


      コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。


      手順
        ステップ 1   セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
        1. FXOS CLI からセキュリティ モジュールに接続します。

          Firepower-chassis # connectmoduleslot_numberconsole

          セキュリティ モジュールに初めて接続すると、FXOS モジュール CLI にアクセスします。

        2. モジュール OS に接続するには、を入力します。

          Firepower-module1>connect asa

          FXOS CLI のスーパーバイザ レベルからセキュリティ モジュールへの以降の接続では、モジュール OS に直接アクセスします。

        ステップ 2   (任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。

        トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。

        ステップ 3   FXOS CLI のスーパーバイザ レベルに戻ります。
        1. セキュリティ モジュール コンソールを終了するには、~ を入力します。

          Telnet アプリケーションに切り替わります。

        2. Telnet アプリケーションを終了するには、次を入力します。

          telnet>quit


        次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。

        Firepower# connect module 1 console
        Telnet escape character is '~'.
        Trying 127.5.1.1...
        Connected to 127.5.1.1.
        Escape character is '~'.
        
        CISCO Serial Over LAN:
        Close Network Connection to Exit
        
        Firepower-module1>connect asa
        asa> ~
        telnet> quit
        Connection closed.
        Firepower#