Cisco PIX セキュリティ アプライアンス ハードウェア インストレーション ガイド Version 7.2
PIX 535
PIX 535
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

PIX 535

PIX 535 の製品概要

PIX 535 ネットワーク インターフェイスの説明

PIX 535 の設置

PIX 535 を設置する前に

PIX 535 のラックマウント

PIX 535 ネットワーク インターフェイスのインストール

PIX 535 のフィーチャ ライセンス

VPN Accelerator Card

VPN Accelerator Card+

フェールオーバー装置の設置

LAN ベースのフェールオーバー装置の設置

リチウム電池の交換

増設用メモリの取り付け

PIX 535 へのサーキット ボードの取り付け

PIX 535 サーキット ボードのオプション

サーキット ボード スロットの説明

サーキット ボードの取り付け

16 MB フラッシュ サーキット ボード

VPN アクセラレータ サーキット ボード

ギガビット イーサネット サーキット ボード

PIX 535 DC 電源モデルの設置

PIX 535 の製品概要


) PIX 535 のシャーシ カバーは取り外さないでください。ユーザが変更できるコンポーネントには、各モデルの背面パネルにある取り外し可能トレイからアクセスできます。何らかの理由で PIX 535 のシャーシ カバーを取り外す必要がある場合は、「PIX 515/515E のシャーシ カバーの取り外しと付け直し」にある関連情報をガイドラインとして使用してください。


図7-1 に PIX 535 の前面図を示します。

図7-1 PIX 535 の前面パネル

 

図7-2 に PIX 535 の背面図を示します。

図7-2 PIX 535 の背面パネル

 

PIX 535 には、固定の RJ-45 コンソール コネクタ、および DB-15 フェールオーバー ケーブル コネクタがあります。USB ポートは現時点では使用されていません。

図7-3 に PIX 535 の前面パネルの LED を示します。

図7-3 PIX 535 の前面パネルの LED

 

表7-1 に、PIX 535 前面パネルの LED のステートを示します。

 

表7-1 PIX 535 の前面パネルの LED

LED
ステート
説明

POWER

オン

装置の電源が入っています。

ACT

オン

装置がフェールオーバー構成でアクティブである場合に点灯します。フェールオーバーが設定されている場合、アクティブのときはオンに、スタンバイ モードのときはオフになります。

オフ

スタンバイ モードの場合は点灯しません。

図7-4 に PIX 535 背面パネルの LED を示します。

図7-4 PIX 535 の背面パネルの LED

 

表7-2 に、PIX 535 の LED のステートを示します。

 

表7-2 PIX 535 の背面パネルの LED

LED
ステート
説明

100 Mbps

オン

100 メガビット/秒で 100BaseTX 通信が行われています。

オフ

ネットワーク アクティビティが発生しているときに LED が消えている場合、ポートは 10 メガビット/秒でデータを交換しています。

ACT

オン

ネットワーク アクティビティを示します。

LINK

データがインターフェイスを通過中であることを示します。

FDX

オン

この接続で全二重データ交換が行われており、データを同時に送受信できることを示します。

オフ

この LED が消えている場合、半二重が有効になっています。

PIX 535 ネットワーク インターフェイスの説明

PIX 535 には、9 つのインターフェイス スロットに対して 3 つの異なるバスが用意されています。PIX 535 では、インターフェイスは右から左に順に番号が割り当てられます。

スロットとバスは、次のように設定されています。

スロット 0 と 1:64 ビット/66 MHz バス 0

スロット 2 と 3:64 ビット/66 MHz バス 1

スロット 4 ~ 8:32 ビット/33MHz バス 2

インターフェイス サーキット ボードのパフォーマンスとスループットを最適にするために、次のガイドラインに従ってください。

制限なしライセンスでは、合計 2 つの 10/100 ファースト イーサネット インターフェイスを設定でき、その他に最大 12 の 10/100 ファースト イーサネットまたは 9 つのギガビット イーサネット インターフェイスをサポートするように設定できます。

パフォーマンスを最適にするには、PIX-1GE-66 (66 MHz)サーキット ボードを最初は 64 ビット/66 MHz カード スロットに取り付け、その後 32 ビット/33 MHz カード スロットに取り付けます。PIX 535 には最大 9 つの PIX-1GE-66 サーキット ボードを取り付けることができます。PIX-1GE-66 サーキット ボードを 32 ビット/33 MHz カード スロットに取り付ける必要がある場合、それらのサーキット ボードはスループット要件の低いインターフェイス用に使用することが最善です。

ステートフル フェールオーバーが PIX-1GE-66 のトラフィックに対してイネーブルになっている場合、フェールオーバー リンクは PIX-1GE-66 にします。ステートフル フェールオーバーの情報量は、PIX セキュリティ アプライアンスを流れるトラフィックの量に比例します。正しく設定されていない場合、ステート情報が失われたり、256 バイト ブロックの空乏が発生したりする可能性があります。

PIX-1FE サーキット ボード(33 MHz)は、任意のバスまたはスロット(32 ビット/33 MHz または 64 ビット/66 MHz)に取り付けることができます。最大 9 つの PIX-1FE サーキット ボード、または最大 2 つの PIX-4FE サーキット ボードが実装可能です。PIX-1FE サーキット ボードは、最初に 32 ビット/33 MHz カード スロットに取り付けてください。

PIX-4FE カードは、32 ビット/33 MHz カード スロットのみに取り付けます。64 ビット/66 MHz カード スロットには取り付けないでください。このサーキット ボードを 64 ビット/66 MHz カード スロットに取り付けると、起動時にシステムがハングアップする可能性があります。

PIX-4FE-66 は任意のスロットに取り付けることができます。64 ビット/66 MHz カード スロットが不足している(1GE-66 または PIX-VACPLUS 用に使用されている)場合は、32 ビット/33 MHz カード スロットに PIX-4FE-66 を取り付けます。


) PIX-4FE カードでは、ポート 0 が一番上、ポート 3 が一番下になります。


同じ 64 ビット/66 MHz バス(バス 0 またはバス 1)に、PIX-1FE サーキット ボードと PIX-1GE-66 サーキット ボードを混在させないでください。バスの最大速度が、遅い方のサーキット ボードのために低下します。

PIX 535 での PIX-1GE サーキット ボードの使用は、パフォーマンスが大幅に低下するため推奨しません。そのスループット能力は、PIX-1GE-66 サーキット ボードの半分しかありません。

PIX 535 で PIX-1GE サーキット ボードが検出されると、パフォーマンス低下に関する警告が発行されます。

VPN アクセラレータ(PIX-VPN-ACCEL)は、32 ビット/33 MHz カード スロットだけに取り付けることができます。

VPN Accelerator Card+ (PIX-VACPLUS)は、必ず 64 ビット/66 MHz カード スロットに取り付けてください。この推奨事項に従わない場合には、VPN パフォーマンスが約 4 分の 1 に低下します。

各 PIX Firewall モデルのインターフェイスの数の詳細については、 ここをクリックしてください

表7-3 に、ギガビット イーサネットの組み合せによるスループットの比較を示します。

 

表7-3 ギガビット イーサネットの組み合せによるスループットの比較

ギガビット イーサネット カード
バスのタイプ
33 MHz 装置との共有
速度

PIX-1GE-66

64/66

No

100%

PIX-1GE-66

64/66

Yes

50%

PIX-1GE-66

32/33

No

25%

PIX-1GE

64/66

No

50%

PIX-1GE

32/33

No

25%

PIX 535 の設置

次の項目について説明します。

「PIX 535 を設置する前に」

「PIX 535 のラックマウント」

「PIX 535 ネットワーク インターフェイスのインストール」

PIX 535 を設置する前に

PIX セキュリティ アプライアンスを設置する前に、次のことを実行してください。

Regulatory Compliance and Safety Information 』で説明されている安全対策を確認します。

PIX セキュリティ アプライアンスを安定した平坦な場所に置きます。

PIX 535 のラックマウント

PIX 535 をラックマウントするには、次の手順を実行します。


ステップ 1 付属のネジを使用して、装置にブラケットを取り付けます。

ステップ 2 装置の両側の前面付近にある穴にブラケットを取り付けます。

ステップ 3 機器ラックに装置を固定します。


 

PIX 535 ネットワーク インターフェイスのインストール


) ご使用の PIX セキュリティ アプライアンス モデルがフェールオーバー構成をサポートする場合は、アクティブ(プライマリ)装置に対してだけ次の手順を実行してください。


PIX 535 にインターフェイスを接続するには、次の手順を実行します。


ステップ 1 コンピュータのシリアル ポートの形状に合わせて DB-9 または DB-25 コネクタのどちらかにケーブルの一端を接続し、他端を RJ-45 コネクタに接続します。


) コンソール ポートを使用してコンピュータに接続し、設定コマンドを入力します。アクセサリ キットのシリアル ケーブルを用意します。シリアル ケーブル アセンブリは、RJ-45 コネクタのヌルモデム、DB-9 コネクタ、および DB-25 コネクタの 3 点です。


ステップ 2 PIX 535 の RJ-45 コンソール コネクタ ポートにケーブルの一端を接続し、他端をコンピュータのシリアル ポート コネクタに接続します。

ステップ 3 インターフェイス ポートに、内部、外部、および境界ネットワーク ケーブルを接続します。コネクタは、右から左に、イーサネット 0、イーサネット 1、イーサネット 2 の順に並んでいます。最大 8 つのインターフェイスが使用できます。内部ネットワークまたは外部ネットワークへの接続は、PIX 535 で使用可能な任意のインターフェイス ポートで行うことができます。


) フェールオーバー装置として使用する 2 台目の PIX セキュリティ アプライアンスを用意している場合は、「フェールオーバー装置の設置」の説明に従って、フェールオーバー機能を設定してケーブルを接続します。



注意 アクティブ装置の設定が完了するまでは、フェールオーバー装置の電源は入れないでください。

ステップ 4 PIX 535 を起動する準備ができたら、装置背面の電源スイッチをオンにします。


 

PIX 535 のフィーチャ ライセンス

PIX-535-UR 無制限フィーチャ ライセンスを購入されている場合、次のオプションを利用できます。

フェールオーバー装置として使用する 2 台目の PIX 535 を用意している場合は、「フェールオーバー装置の設置」の説明に従って、フェールオーバー機能を設定してケーブルを接続します。

必要に応じて、次の URL にある コマンド リファレンス の logging コマンドのページの説明に従って、PIX セキュリティ アプライアンス Syslog Server をインストールします。

http://cisco.com/en/US/products/sw/secursw/ps2120/prod_command_reference_list.html

オプションのサーキット ボードを設置する必要がある場合は、「PIX 535 へのサーキット ボードの取り付け」を参照してください。

メモリを増設する必要がある場合は、「増設用メモリの取り付け」を参照してください。

フィーチャ ライセンスのアップグレードについて、および最新のバージョンのソフトウェアのダウンロードについては、次の URL にある コンフィギュレーション ガイド を参照してください。

http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_configuration_guides_list.html

次の項目について説明します。

「VPN Accelerator Card」

「VPN Accelerator Card+」

VPN Accelerator Card

Cisco PIX セキュリティ アプライアンス シリーズ用の VPN Accelerator Card(VAC)は、サイト間アクセスとリモート アクセスのアプリケーションに適した高性能な、トンネリング、および暗号化サービスを提供するカードです。VAC は、PIX 535 無制限(UR)バンドルおよびフェールオーバー(FO)バンドルに組み込まれています。また、VAC は、制限付き(R)ライセンスを持つ PIX 535 装置と併用するためのスペアとして購入できます。


) VAC と 82557 ベースの FE カードを PIX 535 に取り付けると、システムがハングする可能性があります。


VPN Accelerator Card+

VAC+ は 64 ビット/66 MHz PCI カードです。仮想プライベート ネットワーク(VPN)リモート アクセス、サイト間のイントラネット アプリケーションおよびエクストラネット アプリケーションで、VAC に比べて高速なトンネリングおよび暗号化サービスを提供します。VAC+ はそれぞれ、システムの PCI スロットを 1 つ占有します。VAC+ は、Version 6.3 のソフトウェアを実行していて、VPN ソフトウェアを実行する適切なライセンスがあり、少なくとも 1 つの PCI スロットが使用可能なシャーシでサポートされます。Version 6.3 では VAC は引き続きサポートされます。ただし、VAC と VAC+ の両方のカードが Version 6.3 を実行しているシステムに取り付けられている場合には VAC カードが無視されます。VAC+ は 32 ビット/33 MHz および 64 ビット/66 MHz のいずれでも稼動します。また、他の 66 MHz カードが取り付けられている場合にバスの速度が低下することはありません。VAC+ は、64 ビット/66 MHz スロットに取り付けることを強く推奨します。この推奨事項に従わない場合には、パフォーマンスが低下します。

VAC+ ドライバは次のものをサポートしています。

(IPSec)ESP プロトコルの 3DES、DES、AES、SHA1、MD5(AES の場合、サポートされるのは CBC モードと 128、192、256 ビットのキー サイズのみ)

(IPSec)AH プロトコルの SHA1、MD5

最大 3 つの VAC+ 間のロード シェアリング ESP および AH アクティビティ

Diffie-Hellman 公開キーと共有秘密の生成

その他の暗号化関連アクティビティでは、ソフトウェア実装を使用

フェールオーバー装置の設置

フェールオーバー装置を接続するには、次の手順を実行します。


ステップ 1 プライマリおよびセカンダリ両方の装置の電源をオフにします。


) 両方のシャーシは、モデル ナンバーが同じで、少なくとも同等の RAM を搭載し、同じフラッシュ メモリ サイズで、同じバージョンのソフトウェアを実行している必要があります。PIX-4FE カードと PIX-4FE-66 カードは、同等で相互に交換可能と見なされます。PIX-4FE をプライマリ装置に、PIX-4FE-66 をセカンダリ装置に取り付けることができます。ただし、各シャーシの同じスロット番号に取り付ける必要があります。たとえば、PIX-4FE をプライマリ装置のスロット 1 に取り付けた場合、PIX-4FE-66 もセカンダリ装置のスロット 1 に取り付ける必要があります。


ステップ 2 フェールオーバー ケーブルを用意します(図7-5 参照)。このケーブルは、PIX セキュリティ アプライアンスに同梱されていません。ケーブルの片側に「PRIMARY」、反対側に「SECONDARY」のラベルが付いています。

PIX 535 にケーブルを接続します(図7-5 を参照)。

図7-5 PIX 535 のフェールオーバー ケーブル接続

 

ステップ 3 フェールオーバー ケーブルのプライマリ側を、設定済みの最初の PIX セキュリティ アプライアンスに接続します。

ステップ 4 フェールオーバー ケーブルのセカンダリ側をスタンバイ装置に接続します。

ステップ 5 電源コードの一端を各装置の背面パネル上の電源コネクタに接続し、各電源コードの他端を、(できれば別々の)コンセントに接続します。

ステップ 6 ステートフル フェールオーバーを使用する場合は、使用するシステムに合わせて、次のいずれかの接続方法に従って、2 つの PIX セキュリティ アプライアンスの専用インターフェイスを相互接続します。

Category 5 クロス ケーブルを使用して、プライマリ装置とセカンダリ装置を直接接続する。

専用スイッチまたはスイッチの専用 VLAN 上の 100BaseTX 全二重接続を使用する。

専用スイッチまたはスイッチの専用 VLAN 上の 1000BaseTX 全二重接続を使用する。


) PIX 535 のステートフル フェールオーバーでは、GE インターフェイスとの接続にギガビット イーサネット(GE)フェールオーバー リンクを使用してください。



注意 装置が接続され、プライマリ装置の設定が完了するまで、電源を投入しないでください。

ステップ 7 最初にプライマリ装置の電源を投入し、その後、セカンダリ装置の電源を投入してください。数秒後、アクティブ装置のコンフィギュレーションがスタンバイ装置に自動的にダウンロードされます。

プライマリ装置が故障すると、セカンダリ装置が自動的にアクティブになります。


) 使用可能なインターフェイスはすべて、アクティブ装置とスタンバイ装置の間で接続する必要があります。設定は、アクティブ装置のみで行います。PIX 535 では、アクティブ装置の前面の ACT LED が点灯し、アクティブ装置であることが示されます(図7-1 参照)。



 

LAN ベースのフェールオーバー装置の設置

LAN ベースのフェールオーバー装置は、専用イーサネット インターフェイスで接続されている 2 つの装置間のフェールオーバーをサポートします。LAN ベースのフェールオーバーを設定すると、特別なフェールオーバー ケーブルを使用する必要はなくなり、フェールオーバー ケーブルによる距離の制限が解消されます。


) 両方の PIX セキュリティ アプライアンスは、モデル ナンバーが同じで、同等の RAM とフラッシュ メモリを備え、インターフェイスの数とタイプが等しく、同じバージョンのソフトウェアを実行している必要があります。


LAN ベースのフェールオーバー装置を接続するには、次の手順を実行します。


ステップ 1 2 つの PIX セキュリティ アプライアンスの間にトラフィックが流れないように、装置を両方とも外します。フェールオーバー ケーブルが PIX セキュリティ アプライアンスに接続されている場合は、ケーブルの接続を外します。

ステップ 2 PIX セキュリティ アプライアンスを、LAN ベースのフェールオーバーに対応するように設定します。次の URL にある コンフィギュレーション ガイド の LAN ベースのフェールオーバーの設定に関する章を参照してください。

http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_configuration_guides_list.html

ステップ 3 両方の装置の電源を切ります。

ステップ 4 LAN フェールオーバー インターフェイスを専用スイッチ/ハブに接続します(図7-6 を参照)。


) 専用 LAN インターフェイスと専用スイッチ(または VLAN)には、LAN ベースのフェールオーバーを実装する必要があります。クロス イーサネット ケーブルを使用して 2 つの PIX セキュリティ アプライアンスを接続することはできません。


図7-6 LAN ベースのフェールオーバー接続

 

ステップ 5 ステートフル フェールオーバーを使用する場合は、使用するシステムに合わせて、次のいずれかの接続方法に従って、2 つの PIX セキュリティ アプライアンスの専用インターフェイスを相互接続します。

専用スイッチまたはスイッチの専用 VLAN 上の 100BaseTX 全二重接続を使用する。

専用スイッチまたはスイッチの専用 VLAN 上の 1000BaseTX 全二重接続を使用する。


) PIX 535 のステートフル フェールオーバーでは、GE インターフェイスとの接続にギガビット イーサネット(GE)フェールオーバー リンクを使用してください。



注意 装置が接続され、プライマリ装置の設定が完了するまで、電源を投入しないでください。

ステップ 6 最初にプライマリ装置の電源を投入し、その後、セカンダリ装置の電源を投入してください。数秒後、アクティブ装置のコンフィギュレーションがスタンバイ装置に自動的にダウンロードされます。

プライマリ装置が故障すると、セカンダリ装置が自動的にアクティブになります。


 

リチウム電池の交換

PIX セキュリティ アプライアンスには、メインのサーキット ボードにリチウム電池があります。この電池の寿命は約 10 年です。電池が切れると、PIX セキュリティ アプライアンスは稼働しません。リチウム電池は現場交換可能ユニット(FRU)ではありません。電池の交換については、弊社販売代理店にお問い合せください。


) 自分で電池を交換しないでください。



警告 リチウム電池の交換に不備があると、爆発する危険性があります。必ず、同じ電池または製造元が推奨する同等タイプの電池と交換してください。使用済みの電池は、製造元の指示に従って廃棄してください。


増設用メモリの取り付け

次は、DC 電源モデルのみにおける注意です。


警告 手順を実行する前に、DC 回路に電気が流れていないことを確認してください。すべての電源を確実に切断するには、パネル ボード上で DC 回路に対応している回路ブレーカーを確認して、回路ブレーカーを OFF の位置に切り替え、回路ブレーカーのスイッチ ハンドルを OFF の位置のままテープで固定します。


次は、AC 電源モデルと DC 電源モデルにおける注意です。


警告 オン/オフ スイッチのあるシステムを扱う際は、事前に電源をオフにして、電源コードを外しておいてください。



注意 シャーシ カバーを取り付けずに PIX セキュリティ アプライアンスを稼動させると、加熱状態となり、電気部品が損傷することがあります。メモリの増設などのメンテナンス作業を行うためにシャーシ カバーを取り外した場合は、作業終了後に、必ずカバーを再度取り付けてください。

追加のシステム メモリを取り付けるには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンスの電源を切ります。

ステップ 2 セキュリティ アプライアンスに接続されているすべてのケーブルを外し、セキュリティ アプライアンスから電源コードを外します。

ステップ 3 シャーシをラックマウントしている場合は、ラックから取り外し、安定した平坦な場所に置きます。

ステップ 4 メモリ拡張キットのパッケージを開けます。

ステップ 5 メモリ拡張キットの静電気防止用リスト ストラップを用意します。ストラップの一端を PIX セキュリティ アプライアンスのシャーシの塗装されていない金属面に取り付けます。他端を手首に固定して、肌に密着させます。

ステップ 6 シャーシの背面パネルにある、コンポーネント トレイを固定している取付ネジを緩め、トレイをスライドさせて取り外します。

ステップ 7 システム メモリ ソケットの位置を確認します(図7-7 参照)。

最初に、バンク 0 にメモリを取り付け、次にバンク 1 に取り付けます。バンク 0 はメモリ ソケット J40 と J43 から、バンク 1 は J41 と J44 から構成されています。PIX セキュリティ アプライアンスにはデフォルトで 512 MB の RAM が内蔵されているため、バンク 0 (J40 と J43)はすでに使用されています。バンク 1 (J41 および J44)に 512 MB の増設用 RAM を取り付けます。

メモリ バンクを構成する 2 つのメモリ DIMM は、同一である必要があります。各メモリ バンク(バンク 0 の J40 と J43 またはバンク 1 の J41 と J44 に)には、必ず同一ベンダー製のメモリを取り付けます。

図7-7 PIX 535 コンポーネント トレイ上のシステム メモリの位置

 

ステップ 8 1 番目の DIMM ストリップをソケット J41 に取り付け、2 番目の DIMM ストリップを J44 に取り付けます(図7-8 および図7-9 参照)。

a. DIMM ストリップのコンポーネントに触れないように注意しながら、ストリップの一端をつかみます。DIMM ストリップには、不正な取り付けを防ぐための切り目があることに注意してください。無理やり取り付けないでください。

b. メモリ ソケットの両側のプラスチック製のウィング コネクタを開き、DIMM ストリップを挿入し、ウィング コネクタを閉じて固定します。

図7-8 PIX 535 に DIMM メモリ ストリップを挿入する

 

図7-9 PIX 535 に DIMM メモリ ストリップを固定する

 

ステップ 9 アセンブリを固定するコンポーネント トレイとネジを再び取り付けます。

ステップ 10 静電気防止用リスト ストラップを外します。

ステップ 11 シャーシをラックマウントします。または、平坦で安定した場所に設置します。

ステップ 12 すべてのケーブルをセキュリティ アプライアンスに再接続し、セキュリティ アプライアンスを電源に接続します。

ステップ 13 セキュリティ アプライアンスの電源を入れます。


) 取り付けた新しい RAM メモリをセキュリティ アプライアンスが認識しているかどうかは、システムのスタートアップ メッセージで、または show version コマンドを入力して確認できます。



 

PIX 535 へのサーキット ボードの取り付け

4 ポートの 64 ビット/66 MHz FE カード(PIX-4FE-66)は、Version 6.3、6.2(2)、6.1(4)、および 5.2(9) 以降のバージョンのソフトウェアでサポートされます。これらのバージョンは、このカードをサポートする最低限のソフトウェア バージョンです。


) PIX-4FE カードは引き続きサポートされますが、製造は終了しました。PIX-4FE カードと
PIX-4FE-66 カードは、同等で相互に交換可能と見なされます。PIX-4FE をプライマリ装置に、PIX-4FE-66 をセカンダリ装置に取り付けることができます。ただし、各シャーシの同じスロット番号に取り付ける必要があります。たとえば、PIX-4FE をプライマリ装置のスロット 1 に取り付けた場合、PIX-4FE-66 もセカンダリ装置のスロット 1 に取り付ける必要があります。


新しいカードには次の特性があります。

1 つの Intel 21154BE ブリッジと 4 つの Intel 82559 イーサネット MAC/PHY 装置を内蔵

各ポートで 10/100mbps 全二重/半二重オペレーションをサポート

他の 66 MHz 装置とともに設置された場合も、バスのパフォーマンスを維持

自動 MDI/MDIX 動作はサポートしない

次の項目について説明します。

「PIX 535 サーキット ボードのオプション」

「サーキット ボード スロットの説明」

「サーキット ボードの取り付け」

「16 MB フラッシュ サーキット ボード」

「VPN アクセラレータ サーキット ボード」

「ギガビット イーサネット サーキット ボード」

PIX 535 サーキット ボードのオプション

表7-4 に、PIX 535 で使用可能なオプションのサーキット ボードの組み合せを示します。使用できるインターフェイスは、制限付きライセンスでは最大 8 つ、制限なしライセンスでは最大 14 です。


表7-4 は、PIX セキュリティ アプライアンス Version 6.1(1)以降のみを対象とします。それ以前のバージョンの PIX セキュリティ アプライアンスでサポートされるインターフェイス オプションは少なくなります。


各 PIX Firewall モデルのインターフェイスの数の詳細については、 ここをクリックしてください

 

表7-4 PIX 535 インターフェイス オプション

制限付きインターフェイス オプション
制限なしインターフェイス オプション

8 GE

9 GE

8 GE + 1 VPN アクセラレータ

8 GE +1 FE

7 GE +1 FE

8 GE + 1 VPN アクセラレータ

7 GE +1 FE + 1 VPN アクセラレータ

7 GE +2 FE

6 GE +2 FE

7 GE +1 FE + 1 VPN アクセラレータ

6 GE +2 FE + 1 VPN アクセラレータ

6 GE +3 FE

5 GE +3 FE

6 GE +2 FE + 1 VPN アクセラレータ

5 GE +3 FE + 1 VPN アクセラレータ

5 GE +4 FE

4 GE +4 FE

5 GE +3 FE + 1 VPN アクセラレータ

4 GE +4 FE + 1 VPN アクセラレータ

5 GE +1 FE +1 FE(4 ポート)

3 GE +5 FE

5 GE +1 FE +1 FE(4 ポート)+ 1 VPN アクセラレータ

3 GE +5 FE + 1 VPN アクセラレータ

4 GE +5 FE

2 GE +6 FE

4 GE +4 FE + 1 VPN アクセラレータ

2 GE +6 FE + 1 VPN アクセラレータ

4 GE +2 FE +1 FE(4 ポート)

2 GE + 2 FE +1 FE(4 ポート)

4 GE +2 FE +1 FE(4 ポート)+ 1 VPN アクセラレータ

2 GE + 2FE +1 FE(4 ポート)+ 1 VPN アクセラレータ

3 GE +6 FE

1 GE +3 FE +1 FE(4 ポート)

3 GE +5 FE + 1 VPN アクセラレータ

1 GE +3 FE +1 FE(4 ポート)+ 1 VPN アクセラレータ

3 GE +1 FE(4 ポート)+ 3 FE

8 FE

3 GE +5 FE + 1 VPN アクセラレータ

8 FE + 1 VPN アクセラレータ

3 GE +3 FE +1 FE(4 ポート)

4 FE + 1(4 ポート)

3 GE + 3 FE +1 FE(4 ポート)+ 1 VPN アクセラレータ

4 FE + 1(4 ポート)+ 1 VPN アクセラレータ

2 GE + 2 FE(4 ポート)

2(4 ポート)+ 1 VPN アクセラレータ

2 GE + 2 FE(4 ポート)+ 1 VPN アクセラレータ

2 GE +4 FE +1 FE(4 ポート)

2 GE + 4 FE +1 FE(4 ポート)+ + 1 VPN アクセラレータ

2 GE +7 FE

2 GE +6 FE + 1 VPN アクセラレータ

9 FE

8 FE + 1 VPN アクセラレータ

2 FE(4 ポート)+ 2 FE

2 FE(4 ポート)+ 2 FE + 1 VPN アクセラレータ

1 FE(4 ポート)カード + 6 FE

1 FE(4 ポート)カード + 6 FE + 1 VPN アクセラレータ

1 GE + 1 FE + 4FE カード 2 枚

サーキット ボード スロットの説明

PIX 535 には、3 つの異なるバスを使用した、9 つのサーキット ボード スロットがあります(図7-10 参照)。

図7-10 PIX 535 の背面パネルの詳細

 

スロットとバスは、次のように設定されています。

スロット 0 と 1:64 ビット/66MHz バス 0

スロット 2 と 3:64 ビット/66MHz バス 1

スロット 4 ~ 8:32 ビット/33MHz バス 2

インターフェイス サーキット ボードのパフォーマンスとスループットを最適にするため、次のガイドラインに従ってください。

制限なしライセンスでは、合計 2 つの 10/100 ファースト イーサネット インターフェイスを設定でき、その他に最大 12 の 10/100 ファースト イーサネットまたは 9 つのギガビット イーサネット インターフェイスをサポートするように設定できます。

PIX-1GE-66(66MHz)サーキット ボードはどのスロットにも取り付けられるが、64 ビット/66MHz バスに最初に取り付けます。最大 8 つの PIX-1GE-66 サーキット ボードを取り付けることができます。

FE サーキット ボード(33MHz)は、任意のバスまたはスロット(32 ビット/33 MHz または 64 ビット/66 MHz)に取り付けることができます。最大 8 つのシングルポート FE サーキット ボード、または最大 2 つの 4 ポート FE サーキット ボードを取り付けることができます。

4 ポート FE サーキット ボードは、32 ビット/33MHz バスのみに取り付ける必要があります。


) +モニタ モードでは FE サーキット ボードの番号付けは 32 ビット スロットから始まります。FE サーキット ボードは、64 ビット スロットに取り付けないでください。


同じ 64 ビット/66 MHz バス(Bus 0 または Bus 1)に、33 MHz サーキット ボードと 66 MHz GE サーキット ボードを混在させないでください。バスの最大速度が、遅い方のサーキット ボードのために低下します。

VPN アクセラレータ サーキット ボードは、32 ビット/33 MHz バスのみに取り付けます。

各 PIX Firewall モデルのインターフェイスの数の詳細については、 ここをクリックしてください

サーキット ボードの取り付け


) PIX 535 のシャーシ カバーを取り外さなくても、サーキット ボードの取り付けと交換は可能です。背面パネルからスライドして取り外すコンポーネント トレイに、サーキット ボードとメモリ ボードを取り付けるスロットが含まれています。


PIX 535 にサーキット ボードを取り付けるには、次の手順を実行します。


ステップ 1 アクセサリ キットの静電気防止用リスト ストラップを用意します。肌に密着するように、ストラップの一端を手首に固定します。PIX 535 シャーシの塗装のされていない金属面に、他端を取り付けます。

図7-11 PIX 535 の背面のコンポーネント トレイ

 

ステップ 2 コンポーネント トレイの背面パネルの取付ネジを緩め、コンポーネント トレイをスライドして取り外します。

ステップ 3 サーキット ボードのスロットを選択し、ネジとスロット カバー プレートをコンポーネント トレイの背面パネルから取り外します。

ステップ 4 サーキット ボードをスロットに取り付けます。サーキット ボードの前面プレートは、コンポーネント トレイの背面パネルのスロット開口部に合わせます。

ステップ 5 ステップ 3 で取り外したネジを使用して、サーキット ボードの前面プレートをコンポーネント トレイの背面パネルに取り付けます。

ステップ 6 コンポーネント トレイを取り付け、取付ネジを締めます。

図7-12 4 ポート サーキット ボードのはみ出し部分

 


) 4 ポート サーキット ボードを取り付ける場合は、マザーボード上のスロット コネクタからサーキット ボードがはみ出した状態になります。しかし、サーキット ボードの使用や動作に影響はありません。図7-12 にその様子を示します。



 

16 MB フラッシュ サーキット ボード

フラッシュ メモリの 16 MB へのアップグレードに伴い、PIX セキュリティ アプライアンスの 16 MB フラッシュ サーキット ボードには、プレインストールされた PIX セキュリティ アプライアンス ソフトウェアと UR(無制限)56 ビット DES 暗号化ライセンスが付属します。16 MB フラッシュ サーキット ボードは、PIX セキュリティ アプライアンスの ISA スロットに取り付けます。

図7-13 に、16 MB フラッシュ サーキット ボードを示します。

図7-13 16 MB フラッシュ サーキット ボード

 

16 MB フラッシュ サーキット ボードを取り付けるときは、次の事項を確認してください。

PIX セキュリティ アプライアンスに、32MB 以上の RAM メモリがあること。

3DES を使用する場合は、新しいアクティベーション キーを持っていること。

新しいソフトウェアを 16 MB サーキット ボードからインストールした後は、PIX セキュリティ アプライアンスは 5.0(3) 以前のバージョンにダウングレードしてはいけない。

ソフトウェアをバージョン 5.3 から 5.2 以前のバージョンにダウングレードする場合は、フラッシュ メモリに保存されているプライベート データ(キー、認証、および CRL)が失われる。PIX セキュリティ アプライアンスに 16 MB フラッシュ メモリが搭載され、プライベート データがフラッシュ メモリに保存され、かつ ca save all コマンドを使用してデータをフラッシュ メモリに保存した場合は、clear flashfs コマンド、downgrade 5.0 | 5.1 | 5.2 オプションを使用します。

16 MB フラッシュ サーキット ボードを取り付けるには、次の手順を実行します。


ステップ 1 PIX セキュリティ アプライアンスの現在のシリアル番号を記録します。

ステップ 2 16 MB フラッシュ サーキット ボードからの新しいシリアル番号を記録します。

インストール後、PIX セキュリティ アプライアンスのシリアル番号は、16 MB フラッシュ サーキット ボードが提供するシリアル番号になります。

ステップ 3 現在の設定のバックアップを作成します(後でシステムの再設定に使用します)。

ステップ 4 新しいアクティベーション キーを取得します(3DES 使用の場合)。

ステップ 5 以前に実装したフラッシュ メモリ サーキット ボードは、装置からすべて取り外します。

ステップ 6 PIX セキュリティ アプライアンス 16 MB フラッシュ サーキット ボードのジャンパは取り外したり位置を変えたりしないでください。このジャンパを動かすと、PIX セキュリティ アプライアンス システムが動作しなくなります。

ステップ 7 16 MB フラッシュ サーキット ボードは、PIX セキュリティ アプライアンスのシャーシにある ISA スロットに取り付けます。


 

VPN アクセラレータ サーキット ボード

VPN アクセラレータ(PIX-VPN-ACCEL)は、暗号化サービスを提供するアクセラレータ サーキット ボードです。VPN アクセラレータは、PCI インターフェイスが使用されるため、PCI スロット付きの PIX セキュリティ アプライアンス プラットフォームだけに取り付けられます。VPN アクセラレータは、取り付け後に特別な設定をしなくても、取り付け直後から機能し始めます。


) 新しい VPN アクセラレータは、同じシャーシ内で以前の PIX セキュリティ アプライアンス IPSec アクセラレータと併用できません。PIX セキュリティ アプライアンス IPSec アクセラレータは、プライベート リンク カードとも呼ばれます。


図7-14 に、VPN アクセラレータを示します。

図7-14 PIX セキュリティ アプライアンス VPN アクセラレータ サーキット ボード

 

ギガビット イーサネット サーキット ボード

PIX セキュリティ アプライアンスは 1000Mbps(ギガビット)イーサネットをサポートしています。ギガビット イーサネット サーキット ボードでは、ハードウェアの速度は 1 種類のみで、次のようなデュプレックス オプションをサポートしています。

1000SXfull :全二重オペレーションを実行

1000BaseSX :半二重オペレーションを実行

1000auto :全二重または半二重の自動ネゴシエーション


) PIX 535 と GE インターフェイスの接続には GE フェールオーバー リンクを使用してください。


図7-15 に、ギガビット イーサネット サーキット ボードと光ファイバ ケーブルの接続を示します。

図7-15 ギガビット イーサネット サーキット ボード

 

ギガビット イーサネット サーキット ボードには、3 つの LED があります。

TX:データを伝送中

RX:データを受信中

LINK:ギガビット イーサネット サーキット ボードはネットワーク接続を確立済み

PIX 535 DC 電源モデルの設置


警告 手順を実行する前に、DC 回路に電気が流れていないことを確認してください。すべての電源を確実に切断するには、パネル ボード上で DC 回路に対応している回路ブレーカーを確認して、回路ブレーカーを OFF の位置に切り替え、回路ブレーカーのスイッチ ハンドルを OFF の位置のままテープで固定します。


PIX 535 DC 電源モデルを設置するには、次の手順を実行します。


ステップ 1 PIX 535 にブランク カバー プレートが取り付けられている場合は、取り外します。

ステップ 2 使用しているソフトウェアのバージョンに対応した『 Regulatory Compliance and Safety Information 』を読みます。

ステップ 3 DC 入力線を、15 アンペア以上の供給能力のある DC 電源で終端させます。建物の電源が -48VDC の場合、15 アンペアの回路ブレーカーが必要です。建物の配線では、すぐに手が届く位置に切断機構を組み込む必要があります。

ステップ 4 PIX 535 装置の背面にある電源スイッチを切ります。

ステップ 5 図7-16 に示すように、PIX 535 の背面には、2 つ穴のアース端子を接続するための穴が 2 つ付いています。M3.5 × 7 mm のネジ山付きネジを使って、標準の銅軸アース端子をそのアース ホールに留めます。PIX 535 には、2 つ穴の中心間の間隔が 0.56 インチ(約 1.4cm)のアース端子が必要です。アース端子は、PIX 535 の付属品に含まれていません。

図7-16 アース端子を PIX 535 DC 電源に取り付ける

 

ステップ 6 DC 回路に電気が流れていないことを確認してください。すべての電源を確実に切断するには、パネル ボード上で DC 回路に対応している回路ブレーカーを確認して、回路ブレーカーを OFF の位置に切り替え、回路ブレーカーのスイッチ ハンドルを OFF の位置のままテープで固定します。

ステップ 7 ワイヤ先端の被膜をはがし、電源スイッチの左にある電源接続端子に差し込みます。

ステップ 8 図7-17 を参照して、アース線をアース用コネクタに差し込み、コネクタのネジを締めます。アース線と同様に、マイナス線とプラス線も接続します。

図7-17 DC 電源ケーブルを接続する

 

ステップ 9 PIX 535 に電源装置を再接続します。DC 電源装置を接続した後で、回路ブレーカーのスイッチ ハンドルに貼ったテープをはがし、回路ブレーカーのハンドルを ON の位置に切り替えて通電状態にします。

ステップ 10 必要に応じて、「PIX 535 へのサーキット ボードの取り付け」の手順に従って、インターフェイス ボードを取り付けます。

ステップ 11 装置背面の電源スイッチで、装置の電源をオンにします。


) PIX 535 DC 電源モデルに電源を投入し直す場合は、電源をオフにした後、5 秒以上待ってから電源を再投入してください。


これで、装置の設定を行うことができます。次の URL にある コンフィギュレーション ガイド を参照してください。

http://www.cisco.com/en/US/products/sw/secursw/ps2120/prod_configuration_guides_list.html