Catalyst 6500 シリーズ スイッチ/Cisco 7600
Customer Order Number: DOC-J-7816414=
このマニュアルでは、Catalyst 6500シリーズ スイッチ シャーシおよびCisco 7600シリーズ ルータ シャーシにFirewall Services Module(FWSM;ファイアウォール サービス モジュール)を取り付ける方法と、FWSMのハードウェア要件について説明します。
(注) Catalyst 6500シリーズは、Catalyst 6500およびCatalyst 6000シリーズ スイッチで構成されています。Catalyst 6500シリーズは、Catalyst 6006、6009、6503、6506、6509、6509-NEB、6509-NEB-A、および6513スイッチで構成されています。このマニュアルとすべてのCatalyst 6500の資料において、特に断りのないかぎり、「Catalyst 6500」という言葉は上記のスイッチを指します。
(注) 最新の警告やFWSMの最新情報については、次の文書を参照してください。『Release Notes for the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module』
FWSMは、Catalyst 6500シリーズ スイッチとCisco 7600シリーズ ルータの高性能なファイアウォール モジュールです。FWSMは、外部ネットワーク上のユーザによる不正アクセスから内部ネットワークを保護します。また、ヒューマン リソース ネットワークをユーザ ネットワークから隔離するなどして、内部ネットワークを他の内部ネットワークから保護します。WebサーバやFTPサーバなど、外部ユーザが利用する必要のあるネットワーク リソースがある場合、 demilitarized zone (DMZ;非武装地帯)と呼ばれるファイアウォールの裏側の隔離されたネットワークにリソースを置くことができます。ファイアウォールはDMZへのアクセスを限定的に許可しますが、DMZには公開サーバのみが置かれているため、DMZへの攻撃はサーバにしか影響せず、他の内部ネットワークには影響を与えません。特定のアドレスのみを認めたり、認証や許可を要求したり、外部のURLフィルタリング サーバと連携することで、内部ユーザによる外部アクセス(インターネットへのアクセスなど)を制御することもできます。
FWSMには、仮想化された複数のセキュリティ コンテキスト、透過的なファイアウォール(レイヤ2)またはルーテッド ファイアウォール(レイヤ3)のオペレーション、何百種類ものインターフェイスのほか、さまざまな高度な機能が搭載されています。詳細については、『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Software Configuration Guide』を参照してください。
誤って行うと危険が生じる可能性のある操作については、安全上の警告が記載されています。各警告文に、警告を表す記号が記されています。
警告 安全上の重要事項
「危険」の意味です。人身事故を予防するための注意事項が記述されています。機器の取り扱い作業を行うときは、電気回路の危険性に注意し、一般的な事故防止対策に留意してください。
注:これらの注意事項を保存しておいてください。
注:このマニュアルは、製品に付属のインストレーション ガイドと併せて利用してください。詳細については、インストレーション ガイド、コンフィギュレーション ガイド、またはその他の添付資料を参照してください。
コンパクト フラッシュ メモリの破壊を防ぐには、シャーシから取り外す前、または電源を切断する前に、モジュールを正しくシャットダウンする必要があります。シャットダウン プロセスは通常、スーパバイザ エンジンのCLIプロンプトまたはモジュールのCLIプロンプトにコマンドを入力すると開始されます。
モジュールがコマンドに適切に応答しない場合には、前面パネル上のSHUTDOWNボタンを使用してシャットダウン プロセスを開始する必要があります。
シャットダウン プロセスは完了するまで数分かかることがあります。モジュールがシャットダウンすると、STATUS LEDがオレンジに変わります。
表 2に、FWSMのハードウェア仕様を示します。
ここでは、FWSMのメモリおよびハードウェアの要件について説明します。
Cisco IOSソフトウェアおよびCatalystオペレーティング システム ソフトウェアでは、Supervisor Engine 1A(Catalystオペレーティング システムのみ)とMSFC2を搭載しているか、またはSupervisor Engine 2(Catalystオペレーティング システムおよびCisco IOS)とMSFC2を搭載したCatalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータが必要です。FWSMは、Cisco IOSソフトウェアおよびCatalystオペレーティング システム ソフトウェアによりスーパバイザ エンジン上でサポートされます。
(注) FWSMを取り付ける前に、Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータのシャーシと、少なくとも1つのスーパバイザ エンジンを取り付ける必要があります。スイッチ シャーシのインストレーションの詳細は、『Catalyst 6500 Series Installation Guide』または『Cisco 7600 Series Router Installation Guide』を参照してください。
Catalyst 6500シリーズ スイッチとCisco 7600シリーズ ルータにFWSMを取り付けるには、次の工具が必要です。
モジュールを扱うときは、必ず静電気防止用リスト ストラップなどのアース器具を使用して、ESD(静電気放電)を防止してください。
警告 この装置の設置、交換、または保守は、訓練を受けた相応の資格のある人が行ってください。
警告 作業中はESD(静電気放電)によるモジュールの損傷を防止するために、静電気防止用リスト ストラップを着用してください。手または金属製の工具が直接バックプレーンに接触しないようにしてください。感電する危険性があります。
Catalyst 6500シリーズ スイッチとCisco 7600シリーズ ルータはいずれもホットスワップ対応なので、システムの電源を切断せずにモジュールの取り付け、取り外し、交換、および再配置ができます。スイッチからFWSMを取り外す手順については、「モジュールの取り外し」を参照してください。
システム ソフトウェアはモジュールが取り付けられたこと、または取り外されたことを検知すると、自動的に診断および検出ルーチンを実行し、モジュールの有無を確認したあと、システムの動作を再開します。
ここでは、Catalyst 6500シリーズ スイッチとCisco 7600シリーズ ルータにFWSMを取り付け、動作確認を行う手順について説明します。内容は次のとおりです。
Catalyst 6503スイッチ シャーシには3つの水平スロット、Catalyst 6006と6506スイッチ シャーシには6つの水平スロット、Catalyst 6009と6509スイッチ シャーシには9つの水平スロット、そしてCatalyst 6513スイッチ シャーシには13の水平スロットがあります。
Catalyst 6509-NEBスイッチとCatalyst 6509-NEB-Aスイッチには9つの垂直なスロットがあり、右から左に1~9のスロット番号が割り当てられています。モジュールは、コンポーネント面を右側にして取り付けます。
• スロット1はスーパバイザ エンジン用に予約されています。
• スロット2には、スロット1のスーパバイザ エンジンの障害時に備え、冗長スーパバイザ エンジンを取り付けることができます。
• 冗長スーパバイザ エンジンを取り付けない場合には、3スロット シャーシのスロット3、6スロット シャーシのスロット2~6、9スロット シャーシのスロット2~9、および13スロット シャーシのスロット2~13に、Firewall Services Moduleなどのスイッチング モジュールを取り付けることができます。
• 空きスロットには、スイッチ シャーシ内の通気を一定に保つために、ブランク スイッチング モジュール キャリアであるフィラー プレートを取り付ける必要があります。
ここでは、シャーシ スロットから既存のスーパバイザ エンジン モジュールを取り外す手順について説明します。
警告 作業中はESD(静電気放電)によるモジュールの損傷を防止するために、静電気防止用リスト ストラップを着用してください。手または金属製の工具が直接バックプレーンに接触しないようにしてください。感電する危険性があります。
警告 システムの設置、操作、または保守を行う前に、『Site Preparation and Safety Guide』を参照してください。このマニュアルには、システムを扱う前に理解しておく必要がある安全に関する重要な情報が記載されています。
警告 接続されていない光ファイバ ケーブルやコネクタからは目に見えないレーザー光が放射されている可能性があります。レーザー光を直視したり、光学機器を使用して直接見たりしないでください。
警告 システムの動作中は、有害な電圧やエネルギーがバックプレーン上に存在します。システムのメンテナンスの際には十分注意してください。
シャーシ スロットからスーパバイザ エンジンまたはモジュールを取り外す手順は、次のとおりです。
ステップ 1 スーパバイザ エンジンまたはモジュールに接続しているすべてのネットワーク インターフェイス ケーブルを取り外します。
ステップ 2 シャーシ内のすべてのモジュールの非脱落型ネジが、しっかり締まっていることを確認します。
これはモジュールを取り外したあと、確実にスペースを確保するためです。
(注) 非脱落型ネジが緩んでいると、搭載されているモジュール上のEMI(電磁波干渉)ガスケットによってモジュールが空きスロットに押し出されるので、開口部のサイズが小さくなり、交換用モジュールの取り付けが困難になります。
ステップ 3 スーパバイザ エンジンまたはモジュール上の2つの非脱落型ネジを緩めます。
ステップ 4 シャーシ スロットの方向(水平または垂直)に応じて、次のいずれかの手順を実行します。
a. 左右のイジェクト レバーに親指を当てて、両方のレバーを外側に同時に回転させて、モジュールをバックプレーン コネクタから切り離します。
b. モジュールの正面の端を持ち、モジュールをスロットの中ほどまで引き出します。片方の手をモジュールの底面に当てて、モジュールの重さを支えてください。モジュールの回路には手を触れないでください。
a. モジュールの上下にあるイジェクト レバーに親指を当てて、両方のレバーを外側に同時に回転させて、モジュールをバックプレーン コネクタから切り離します。
b. モジュールの端を持ち、モジュールをスロットからまっすぐに引き出します。モジュールの回路には手を触れないでください。
ステップ 5 モジュールを静電気防止用マットあるいは静電気防止材の上に置くか、ただちに別のスロットに取り付けます。
ステップ 6 スロットを空にしておく場合は、シャーシ内に埃が入らず、適切な通気が保たれるように、モジュール フィラー プレートを取り付けます。
警告 ブランク前面プレート(フィラー パネル)には、3つの重要な役割があります。シャーシ内の危険な電圧および電流による感電を防ぐこと、他の装置へのEMI(電磁波干渉)の影響を防ぐこと、およびシャーシ内の空気の流れを適切な状態に保つことです。必ずすべてのモジュールおよび前面プレートを正しく取り付けた状態で、システムを運用してください。
ここでは、Catalyst 6500シリーズ スイッチにモジュールを取り付ける手順について説明します。
警告 作業中はESD(静電気放電)によるモジュールの損傷を防止するために、静電気防止用リスト ストラップを着用してください。手または金属製の工具が直接バックプレーンに接触しないようにしてください。感電する危険性があります。
警告 接続されていない光ファイバ ケーブルやコネクタからは目に見えないレーザー光が放射されている可能性があります。レーザー光を直視したり、光学機器を使用して直接見たりしないでください。
警告 システムの設置、操作、または保守を行う前に、『Site Preparation and Safety Guide』を参照してください。このマニュアルには、システムを扱う前に理解しておく必要がある安全に関する重要な情報が記載されています。
シャーシにスーパバイザ エンジンまたはモジュールを取り付ける手順は、次のとおりです。
ステップ 1 スーパバイザ エンジンまたはモジュール用のスロットを選択します。
ステップ 2 スーパバイザ エンジンまたはモジュールのポートにインターフェイス機器を直接接続するための十分な隙間があることを確認します。可能ならば、フィラー プレートだけが取り付けられている空きスロットの間にモジュールを取り付けてください。
ステップ 3 シャーシに搭載されているすべてのモジュールの非脱落型ネジが、しっかり締まっていることを確認します。
これにより、すべてのモジュール上のEMIガスケットが完全に圧縮されるので、新しいモジュールまたは交換用モジュールのための開口部を最大限に確保できます。
(注) 非脱落型ネジが緩んでいると、搭載されているモジュール上のEMIガスケットによって隣接モジュールが空きスロット方向に押し出されるので、開口部のサイズが小さくなり、交換用モジュールの取り付けが困難になります。
ステップ 4 モジュール フィラー プレート上の2つのなべネジを取り外し、フィラー プレートを取り外します。モジュールを取り外す手順は、「モジュールの取り外し」を参照してください。
ステップ 5 新しいモジュールまたは交換用モジュール上の2つのイジェクト レバーを完全に開きます(図2を参照)。
ステップ 6 シャーシ スロットの方向(水平または垂直)に応じて、次のいずれかの手順を実行します。
a. スーパバイザ エンジンまたはモジュールをスロット内に差し込みます(図2を参照)。モジュール フレームの両端が、スロットの両側のスロット ガイドと確実に重なるようにします。
b. モジュール上部のEMIガスケットが上段スロットのモジュールと接触し、左右のイジェクト レバーがモジュール前面プレートに対して約45度に閉じるまで、スーパバイザ エンジンまたはモジュールをスロットに注意深く押し込みます(図3を参照)。
c. 両側のイジェクト レバーを親指と人差し指でつかみ、レバーを押し下げて、EMIガスケットと上段モジュールとの間に小さな隙間(1 mm [0.040インチ])を作ります(図3を参照)。
d. 押し下げるときに、左右のイジェクト レバーを同時に閉じて、スーパバイザ エンジンまたはモジュールをバックプレーン コネクタに完全に装着します。イジェクト レバーが完全に閉じると、レバーはモジュールの前面プレートと並行になります(図4を参照)。
図4 水平スロット シャーシのイジェクト レバーを閉じた状態
(注) モジュールがバックプレーン コネクタに完全に装着されていないと、エラー メッセージが表示されることがあります。
e. スーパバイザ エンジンまたはモジュール上の2つの非脱落型ネジを締めます。
(注) 非脱落型ネジを締める前に、イジェクト レバーが完全に閉じていることを確認してください。
a. スーパバイザ エンジンまたはスイッチング モジュールをスロット内に差し込みます(図5を参照)。スイッチング モジュール フレームの両端が、スロットの上下のスロット ガイドと確実に重なるようにします。
b. モジュール右側のEMIガスケットが隣接スロットのモジュールと接触し、上下のイジェクト レバーがモジュール前面プレートに対して約45度に閉じるまで、スーパバイザ エンジンまたはモジュールをスロットに注意深く押し込みます(図6を参照)。
c. 上下のイジェクト レバーを親指と人差し指でつかみ、レバーを左側にわずかに押し込んで、
EMIガスケットと隣接モジュールとの間に小さな隙間(1 mm [0.040インチ])を作ります(図6を参照)。
d. 押し込むときに、上下のイジェクト レバーを同時に閉じて、スーパバイザ エンジンまたはモジュールをバックプレーン コネクタに完全に装着します。イジェクト レバーが完全に閉じると、レバーはモジュールの前面プレートと並行になります(図7を参照)。
図7 垂直スロット シャーシのイジェクト レバーを閉じた状態
(注) 非脱落型ネジを締める前に、イジェクト レバーが完全に閉じていることを確認してください。
このマニュアルは、次のシスコの資料と併せて使用してください。
• 『Catalyst 6500 Series Cisco IOS Software Configuration Guide』
• 『Catalyst 6500 Series Software Configuration Guide』
• 『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference』
• 『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Software Configuration Guide』
• 『Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module System Messages Guide』
• 『Release Notes for the Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module』
シスコの製品マニュアルや参考資料は、Cisco.comで入手できます。また、シスコのテクニカル サポートおよびその他のリソースも、さまざまな方法で入手することができます。ここでは、シスコ製品に関する技術情報を入手する方法について説明します。
WWW上の次のURLから、シスコ製品の最新資料を入手することができます。
http://www.cisco.com/univercd/home/home.htm
シスコのWebサイトには、次のURLからアクセスしてください。
http://www.cisco.com
http://www.cisco.com/jp
マニュアルの発注方法については、次のURLにアクセスしてください。
http://www.cisco.com/univercd/cc/td/doc/es_inpck/pdi.htm
• Cisco.com(Cisco Direct Customers)に登録されている場合、Cisco Orderingツールを使ってシスコ製品のマニュアルを発注できます。次のURLにアクセスしてください。
シスコのテクニカル サポートでは、シスコシステムズとサービス経営を結んでいるお客様、パートナー、リセラー、販売店を対象として、評価の高い24時間体制のテクニカル サポートを提供しています。Cisco.comのテクニカル サポートWebサイトでは、広範囲にわたるオンラインでのサポート リソースを提供しています。さらに、Technical Assistance Center(TAC)では、電話でのサポートも提供しています。シスコシステムズとサービス契約を結んでいない場合は、リセラーにお問い合わせください。
テクニカル サポートWebサイトでは、オンラインで資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。テクニカル サポートWebサイトは、1年中いつでも利用することができます。次のURLにアクセスしてください。
http://www.cisco.com/techsupport
テクニカル サポートWebサイト上のツールにアクセスする際は、いずれもCisco.comのログインIDおよびパスワードが必要です。サービス契約が有効で、ログインIDまたはパスワードを取得していない場合は、次のURLで登録手続きを行ってください。
Japan TAC Webサイトでは、利用頻度の高いTAC Webサイト(http://www.cisco.com/tac)のドキュメントを日本語で提供しています。Japan TAC Webサイトには、次のURLからアクセスしてください。
http://www.cisco.com/jp/go/tac
サポート契約を結んでいない方は、「ゲスト」としてご登録いただくだけで、Japan TAC Webサイトのドキュメントにアクセスできます。
Japan TAC Webサイトにアクセスするには、Cisco.comのログインIDとパスワードが必要です。ログインIDとパスワードを取得していない場合は、次のURLにアクセスして登録手続きを行ってください。
オンラインのTAC Service Requestツールを使えば、S3およびS4の問題について最も迅速にテクニカル サポートを受けられます(ネットワークの障害が軽微である場合、あるいは製品情報が必要な場合)。状況をご説明いただくと、TAC Service Requestツールが推奨される解決方法を自動的に提供します。これらの推奨リソースを使用しても問題が解決しない場合は、TACの技術者が対応します。TAC Service Requestツールは次のURLからアクセスできます。
http://www.cisco.com/techsupport/servicerequest
問題がS1またはS2であるか、インターネットにアクセスできない場合は、電話でTACにご連絡ください(運用中のネットワークがダウンした場合、あるいは重大な障害が発生した場合)。S1およびS2の問題にはTACの技術者がただちに対応し、業務を円滑に運営できるよう支援します。
電話でテクニカル サポートを受ける際は、次の番号のいずれかをご使用ください。
アジア太平洋:+61 2 8446 7411(オーストラリア: 1 800 805 227)
EMEA: +32 2 704 55 55
米国: 1 800 553 2447
すべての問題を標準形式で報告するために、問題の重大度を定義しました。
重大度1(S1) ― ネットワークがダウンし、業務に致命的な損害が発生する場合。24時間体制であらゆる手段を使用して問題の解決にあたります。
重大度2(S2) ― ネットワークのパフォーマンスが著しく低下、またはシスコ製品のパフォーマンス低下により業務に重大な影響がある場合。通常の業務時間内にフルタイムで問題の解決にあたります。
重大度3(S3) ― ネットワークのパフォーマンスが低下しているが、ほとんどの業務運用が機能している場合。通常の業務時間内にサービスの復旧を行います。
重大度4(S4) ― シスコ製品の機能、インストレーション、基本的なコンフィギュレーションについて、情報または支援が必要で、業務への影響がほとんどまたはまったくない場合。
シスコの製品、テクノロジー、およびネットワーク ソリューションに関する情報について、さまざまな資料をオンラインおよび印刷物で入手することができます。
• Cisco Marketplaceは、さまざまなシスコの書籍、参考資料、およびロゴ入り商品を提供しています。Cisco Marketplaceには、次のURLからアクセスしてください。
http://www.cisco.com/go/marketplace/
• 『 Cisco Product Catalog 』には、シスコシステムズが提供するネットワーキング製品のほか、発注方法やカスタマー サポート サービスについての情報が記載されています。『Cisco Product Catalog』には、次のURLからアクセスしてください。
http://cisco.com/univercd/cc/td/doc/pcat/
• Cisco Press では、ネットワーク、トレーニング、認定関連の出版物を幅広く発行しています。
初心者から上級者まで、さまざまな読者向けの出版物があります。Cisco Pressの最新の出版情報などについては、次のURLからアクセスしてください。
• 『 Packet 』は、シスコシステムズが発行するテクニカル ユーザ向けの季刊誌で、インターネットやネットワークへの投資を最大限に活用するのに役立ちます。『Packet』には、ネットワーク分野の最新動向、テクノロジーの進展、およびシスコの製品やソリューションに関する記事をはじめ、ネットワークの配置やトラブルシューティングのヒント、設定例、お客様の事例研究、認定やトレーニングに関する情報、および多数の詳細なオンライン リソースへのリンクが盛り込まれています。『Packet』には、次のURLからアクセスしてください。
• 『 iQ Magazine 』は、シスコのテクノロジーを使って収益の増加、ビジネス効率の向上、およびサービスの拡大を図る方法について学ぶことを目的とした、シスコシステムズが発行する成長企業向けの季刊誌です。この季刊誌は、実際の事例研究や事業戦略を用いて、これら企業が直面するさまざまな課題や、問題解決の糸口となるテクノロジーを明確化し、テクノロジーの投資に関して読者が正しい決断を行う手助けをします。『iQ Magazine』には、次のURLからアクセスしてください。
http://www.cisco.com/go/iqmagazine
• 『 Internet Protocol Journal 』は、インターネットおよびイントラネットの設計、開発、運用を担当するエンジニア向けに、シスコシステムズが発行する季刊誌です。『Internet Protocol Journal』には、次のURLからアクセスしてください。
• シスコシステムズは最高水準のネットワーク関連のトレーニングを実施しています。トレーニングの最新情報については、次のURLからアクセスしてください。