この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
論理デバイスを作成すると、Firepower アプライアンス Supervisor は、指定されたソフトウェア バージョンをダウンロードし、ブートストラップおよび管理インターフェイスの設定を指定されたモジュール、または、クラスタの場合は、Firepower シャーシにインストールされたすべてのモジュールにダウンロードして論理デバイスを展開します。
(注) |
作成できるのは、論理デバイスまたはその他のいずれか 1 つのタイプのみです。つまり、3 つのセキュリティ モジュールをインストールしている場合、セキュリティ モジュールにスタンドアロンの論理デバイスは作成できず、残りの 2 つの論理デバイスを使用してクラスタを作成することになります。 |
スタンドアロン:Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。
(注) |
スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
クラスタ:Firepower シャーシにインストールされたすべてのモジュールが単一の論理デバイスとしてまとめてグループ化されるクラスタを作成できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注) |
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にダウンロードします(Firepower アプライアンス への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
Firepower# scope ssa Firepower /ssa # create logical-device MyDevice1 asa 1 standalone Firepower /ssa/logical-device* # set description "logical device description" Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: <password> Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # show configuration pending +enter logical-device MyDevice1 asa 1 standalone + enter external-port-link inside Ethernet1/1 asa + set decorator "" + set description "inside link" + exit + enter external-port-link management Ethernet1/7 asa + set decorator "" + set description "management link" + exit + enter external-port-link outside Ethernet1/2 asa + set decorator "" + set description "external link" + exit + enter mgmt-bootstrap asa + enter bootstrap-key-secret PASSWORD + set value + exit + enter ipv4 1 default + set gateway 1.1.1.254 + set ip 1.1.1.1 mask 255.255.255.0 + exit + exit + set description "logical device description" +exit Firepower /ssa/logical-device* # commit-buffer
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注) |
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にダウンロードします(Firepower アプライアンス への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、データ タイプのインターフェイスを 1 つ以上設定する必要があります。
Firepower# scope ssa Firepower /ssa #create logical-device MyDevice1 ftd 1 standalone Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 ftd Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 ftd Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 ftd Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # exit Firepower /ssa # scope app ftd 6.0.0.837 Firepower /ssa/app # accept-license-agreement Firepower /ssa/app* # commit-buffer
クラスタリングを利用すると、シャーシ内のすべてのセキュリティ モジュールをまとめて 1 つの論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
(注) |
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみをサポートします。 |
クラスタは、複数のセキュリティ モジュールで構成され、1 つの単一ユニットとして機能します。Firepower 9300 にクラスタを展開すると、次を実行します。
クラスタ制御リンクを作成し、セキュリティ モジュール間での通信を行います。このリンクは、クラスタ通信に Firepower 9300 のバックプレーンを利用します。
すべてのセキュリティ モジュール上のアプリケーション内にクラスタ ブートストラップ設定を作成します。
クラスタを展開すると、Firepower 9300 スーパバイザが最小限のブートストラップ設定を各セキュリティ モジュールにプッシュします。この設定には、クラスタ名、クラスタ制御リンクのインターフェイス、およびその他のクラスタ設定が含まれています。クラスタリング環境をカスタマイズする場合は、ユーザはセキュリティ モジュール内でブートストラップ設定の一部を設定できます。
データ インターフェイスをスパンド EtherChannel としてクラスタに割り当てます。
Firepower 9300 スーパバイザは、スパンド EtherChannel 上のトラフィックの負荷をすべてのセキュリティ モジュールに分散させます。
(注) |
管理インターフェイスを除き、インターフェイスは個別にサポートされません。 |
すべてのセキュリティ モジュールが共有する管理インターフェイスを別に割り当てます。
クラスタリングおよびセキュリティ モジュール レベルでの動作の詳細については、お使いのセキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。以下のセクションで、クラスタリングの概念および実装について詳しく説明します。
クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。
マスター ユニットでのみ、すべての設定を行う必要があります。その設定がスレーブ ユニットに複製されます。
クラスタ制御リンクはポートチャネル 48 を使用して自動的に作成されます。メンバ インターフェイスはありません。このクラスタ タイプの EtherChannel はシャーシ内クラスタリングのためのクラスタ通信に Firepower 9300 のバックプレーンを利用します。後でクラスタ間クラスタリングをサポートするときに、この EtherChannel に外部接続用のメンバ インターフェイスを追加できます。ポートチャネル 48 インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前に定義しておき、それをクラスタ制御リンクとして使用します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド EtherChannel とは対照的に、特殊な独立型のインターフェイスです。管理インターフェイスでは、各ユニットに直接接続することができます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
クラスタ制御リンクは、ほかのクラスタ タイプのインターフェイスが定義されていない場合は、ポートチャネル 48 を使用します。
クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。
ステップ 1 |
クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
クラスタを作成します。
enter logical-device device_name asa "1,2,3" clustered device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。 |
ステップ 4 |
クラスタ パラメータを設定します。 enter cluster-bootstrap |
ステップ 5 |
セキュリティ モジュール設定にクラスタ グループ名を設定します。 set service-typecluster_name 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 6 |
クラスタ インターフェイス モードを設定します。 set mode spanned-etherchannel サポートされているモードは、[Spanned EtherChannel] モードのみです。 |
ステップ 7 |
(オプション)管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定に管理インターフェイスを設定するために使用されます。 |
ステップ 8 |
シャーシ ID を設定します。 set chassis-idid |
ステップ 9 |
クラスタ制御リンクの制御トラフィック用の認証キーを設定します。 set keysecret 共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 10 |
クラスタ ブートストラップ モードを終了します。 exit |
ステップ 11 |
管理およびデータ インターフェイスをクラスタに割り当てます。
exit 例: enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel2 Port-channel2 asa exit enter external-port-link Port-channel3 Port-channel3 asa exit |
ステップ 12 |
設定を確定します。 commit-buffer Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。 |
ステップ 13 | セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。 |
scope eth-uplink scope fabric a create port-channel 1 set port-type data enable create member-port Ethernet1/1 exit create member-port Ethernet1/2 exit exit create port-channel 2 set port-type data enable create member-port Ethernet1/3 exit create member-port Ethernet1/4 exit exit create port-channel 3 set port-type data enable create member-port Ethernet1/5 exit create member-port Ethernet1/6 exit exit create port-channel 4 set port-type mgmt enable create member-port Ethernet2/1 exit create member-port Ethernet2/2 exit exit exit exit commit buffer scope ssa enter logical-device ASA1 asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 1 set ipv4 gateway 10.1.1.254 set ipv4 pool 10.1.1.11 10.1.1.15 set ipv6 gateway 2001:DB8::AA set ipv6 pool 2001:DB8::11 2001:DB8::19 set key f@rscape set mode spanned-etherchannel set service-type cluster1 set virtual ipv4 10.1.1.1 mask 255.255.255.0 set virtual ipv6 2001:DB8::1 prefix-length 64 exit enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel1 Port-channel2 asa exit enter external-port-link Port-channel1 Port-channel3 asa exit enter external-port-link Port-channel1 Port-channel4 asa exit commit-buffer
クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。
ステップ 1 |
クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
セキュリティ サービス モードに入ります。 Firepower# scopessa |
ステップ 4 |
クラスタを作成します。 Firepower /ssa #create logical-devicedevice_nameftd "1,2,3" clustered device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。 |
ステップ 5 |
クラスタ ブートストラップのパラメータを設定します。
|
ステップ 6 |
管理ブートストラップのパラメータを設定します。
|
ステップ 7 | エンド ユーザ ライセンス契約書に同意します。 |
ステップ 8 |
設定を確定します。 commit-buffer Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。 |
ステップ 9 | セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。 |
Firepower# scope ssa Firepower /ssa #create logical-device FTD ftd "1,2,3" clustered Firepower /ssa/logical-device* # create cluster-bootstrap Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool 10.0.0.3 10.0.0.5 Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 10.0.0.6 mask 255.255.255.0 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway 10.0.0.1 Firepower /ssa/logical-device/cluster-bootstrap* # set service-type ftd-cluster Firepower /ssa/logical-device/cluster-bootstrap* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 2 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.32 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 3 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.33 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # exit Firepower /ssa # scope app ftd 6.0.0.837 Firepower /ssa/app # accept-license-agreement Firepower /ssa/app* # commit-buffer
セキュリティ モジュールのコンソールに接続するには、次の手順を使用します。
(注) |
コンソールへの接続に問題が発生した場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
ステップ 1 |
セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
|
ステップ 2 |
(任意)モジュール OSを終了して FXOS モジュールの CLI に戻るには、Ctrl-A-D を入力します。 トラブルシューティングのために FXOS モジュールの CLI にアクセスする場合があります。 |
ステップ 3 |
FXOS CLI のスーパバイザ レベルに戻ります。
|
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
Firepower# scope ssa Firepower /ssa # show logical-device Logical Device: Name Description Slot ID Mode Operational State Template Name ---------- ----------- ---------- ---------- ------------------------ ------------- FTD 1,2,3 Clustered Ok ftd Firepower /ssa # delete logical-device FTD Firepower /ssa* # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Disabled Stopping 6.0.0.837 6.0.0.837 Not Applicable ftd 2 Disabled Offline 6.0.0.837 6.0.0.837 Not Applicable ftd 3 Disabled Not Available 6.0.0.837 Not Applicable Firepower /ssa* # scope slot 1 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 2 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 3 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # commit-buffer
目次
論理デバイスについて
論理デバイスを作成すると、Firepower アプライアンス Supervisor は、指定されたソフトウェア バージョンをダウンロードし、ブートストラップおよび管理インターフェイスの設定を指定されたモジュール、または、クラスタの場合は、Firepower シャーシにインストールされたすべてのモジュールにダウンロードして論理デバイスを展開します。
次の 2 つのタイプの論理デバイスのいずれかを作成できます。
(注)
作成できるのは、論理デバイスまたはその他のいずれか 1 つのタイプのみです。つまり、3 つのセキュリティ モジュールをインストールしている場合、セキュリティ モジュールにスタンドアロンの論理デバイスは作成できず、残りの 2 つの論理デバイスを使用してクラスタを作成することになります。
スタンドアロン:Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。
(注)
スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。クラスタ:Firepower シャーシにインストールされたすべてのモジュールが単一の論理デバイスとしてまとめてグループ化されるクラスタを作成できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
スタンドアロン ASA 論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注)
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にダウンロードします(Firepower アプライアンス への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
例
Firepower# scope ssa Firepower /ssa # create logical-device MyDevice1 asa 1 standalone Firepower /ssa/logical-device* # set description "logical device description" Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: <password> Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # show configuration pending +enter logical-device MyDevice1 asa 1 standalone + enter external-port-link inside Ethernet1/1 asa + set decorator "" + set description "inside link" + exit + enter external-port-link management Ethernet1/7 asa + set decorator "" + set description "management link" + exit + enter external-port-link outside Ethernet1/2 asa + set decorator "" + set description "external link" + exit + enter mgmt-bootstrap asa + enter bootstrap-key-secret PASSWORD + set value + exit + enter ipv4 1 default + set gateway 1.1.1.254 + set ip 1.1.1.1 mask 255.255.255.0 + exit + exit + set description "logical device description" +exit Firepower /ssa/logical-device* # commit-buffer脅威に対する防御用のスタンドアロン論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注)
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にダウンロードします(Firepower アプライアンス への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、データ タイプのインターフェイスを 1 つ以上設定する必要があります。
例
Firepower# scope ssa Firepower /ssa #create logical-device MyDevice1 ftd 1 standalone Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 ftd Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 ftd Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 ftd Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # exit Firepower /ssa # scope app ftd 6.0.0.837 Firepower /ssa/app # accept-license-agreement Firepower /ssa/app* # commit-bufferクラスタの展開
クラスタリングを利用すると、シャーシ内のすべてのセキュリティ モジュールをまとめて 1 つの論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
(注)
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみをサポートします。
クラスタリングについて
クラスタは、複数のセキュリティ モジュールで構成され、1 つの単一ユニットとして機能します。Firepower 9300 にクラスタを展開すると、次を実行します。
クラスタ制御リンクを作成し、セキュリティ モジュール間での通信を行います。このリンクは、クラスタ通信に Firepower 9300 のバックプレーンを利用します。
すべてのセキュリティ モジュール上のアプリケーション内にクラスタ ブートストラップ設定を作成します。
クラスタを展開すると、Firepower 9300 スーパバイザが最小限のブートストラップ設定を各セキュリティ モジュールにプッシュします。この設定には、クラスタ名、クラスタ制御リンクのインターフェイス、およびその他のクラスタ設定が含まれています。クラスタリング環境をカスタマイズする場合は、ユーザはセキュリティ モジュール内でブートストラップ設定の一部を設定できます。
データ インターフェイスをスパンド EtherChannel としてクラスタに割り当てます。
Firepower 9300 スーパバイザは、スパンド EtherChannel 上のトラフィックの負荷をすべてのセキュリティ モジュールに分散させます。
(注)
管理インターフェイスを除き、インターフェイスは個別にサポートされません。
すべてのセキュリティ モジュールが共有する管理インターフェイスを別に割り当てます。
クラスタリングおよびセキュリティ モジュール レベルでの動作の詳細については、お使いのセキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。以下のセクションで、クラスタリングの概念および実装について詳しく説明します。
マスターおよびスレーブ ユニットのロール
クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。
マスター ユニットでのみ、すべての設定を行う必要があります。その設定がスレーブ ユニットに複製されます。
クラスタ制御リンク
クラスタ制御リンクはポートチャネル 48 を使用して自動的に作成されます。メンバ インターフェイスはありません。このクラスタ タイプの EtherChannel はシャーシ内クラスタリングのためのクラスタ通信に Firepower 9300 のバックプレーンを利用します。後でクラスタ間クラスタリングをサポートするときに、この EtherChannel に外部接続用のメンバ インターフェイスを追加できます。ポートチャネル 48 インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前に定義しておき、それをクラスタ制御リンクとして使用します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理インターフェイス
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド EtherChannel とは対照的に、特殊な独立型のインターフェイスです。管理インターフェイスでは、各ユニットに直接接続することができます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
ASA クラスタリングの設定
手順
ステップ 1 クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 クラスタを作成します。 scope ssaenter logical-device device_name asa "1,2,3" clustered
device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。
ステップ 4 クラスタ パラメータを設定します。 enter cluster-bootstrap
ステップ 5 セキュリティ モジュール設定にクラスタ グループ名を設定します。 set service-typecluster_name
名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。
ステップ 6 クラスタ インターフェイス モードを設定します。 set mode spanned-etherchannel
サポートされているモードは、[Spanned EtherChannel] モードのみです。
ステップ 7 (オプション)管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定に管理インターフェイスを設定するために使用されます。
ステップ 8 シャーシ ID を設定します。 set chassis-idid
ステップ 9 クラスタ制御リンクの制御トラフィック用の認証キーを設定します。 set keysecret
共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。
ステップ 10 クラスタ ブートストラップ モードを終了します。 exit
ステップ 11 管理およびデータ インターフェイスをクラスタに割り当てます。 enter external-port-link9300_interface_id asa_interface_idasaexit
例:enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel2 Port-channel2 asa exit enter external-port-link Port-channel3 Port-channel3 asa exitステップ 12 設定を確定します。 commit-buffer
Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。
ステップ 13 セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。
例
scope eth-uplink scope fabric a create port-channel 1 set port-type data enable create member-port Ethernet1/1 exit create member-port Ethernet1/2 exit exit create port-channel 2 set port-type data enable create member-port Ethernet1/3 exit create member-port Ethernet1/4 exit exit create port-channel 3 set port-type data enable create member-port Ethernet1/5 exit create member-port Ethernet1/6 exit exit create port-channel 4 set port-type mgmt enable create member-port Ethernet2/1 exit create member-port Ethernet2/2 exit exit exit exit commit buffer scope ssa enter logical-device ASA1 asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 1 set ipv4 gateway 10.1.1.254 set ipv4 pool 10.1.1.11 10.1.1.15 set ipv6 gateway 2001:DB8::AA set ipv6 pool 2001:DB8::11 2001:DB8::19 set key f@rscape set mode spanned-etherchannel set service-type cluster1 set virtual ipv4 10.1.1.1 mask 255.255.255.0 set virtual ipv6 2001:DB8::1 prefix-length 64 exit enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel1 Port-channel2 asa exit enter external-port-link Port-channel1 Port-channel3 asa exit enter external-port-link Port-channel1 Port-channel4 asa exit commit-buffer脅威に対する防御用のクラスタリング設定
手順
ステップ 1 クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 セキュリティ サービス モードに入ります。 Firepower# scopessa
ステップ 4 クラスタを作成します。 Firepower /ssa #create logical-devicedevice_nameftd "1,2,3" clustered
device_name はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。ハードウェアをまだインストールしていない場合でも、3 つのセキュリティ モジュールすべてを指定する必要があります。
ステップ 5 クラスタ ブートストラップのパラメータを設定します。
ステップ 6 管理ブートストラップのパラメータを設定します。
ステップ 7 エンド ユーザ ライセンス契約書に同意します。 ステップ 8 設定を確定します。 commit-buffer
Firepower 9300 は、デフォルトのセキュリティ モジュール ソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることによってクラスタを展開します。
ステップ 9 セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。
例
Firepower# scope ssa Firepower /ssa #create logical-device FTD ftd "1,2,3" clustered Firepower /ssa/logical-device* # create cluster-bootstrap Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool 10.0.0.3 10.0.0.5 Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 10.0.0.6 mask 255.255.255.0 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway 10.0.0.1 Firepower /ssa/logical-device/cluster-bootstrap* # set service-type ftd-cluster Firepower /ssa/logical-device/cluster-bootstrap* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 2 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.32 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 3 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.33 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # exit Firepower /ssa # scope app ftd 6.0.0.837 Firepower /ssa/app # accept-license-agreement Firepower /ssa/app* # commit-bufferクラスタリングの履歴
セキュリティ モジュールのコンソールへの接続
手順セキュリティ モジュールのコンソールに接続するには、次の手順を使用します。
(注)
コンソールへの接続に問題が発生した場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。
ステップ 1 セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
ステップ 2 (任意)モジュール OSを終了して FXOS モジュールの CLI に戻るには、Ctrl-A-D を入力します。 トラブルシューティングのために FXOS モジュールの CLI にアクセスする場合があります。
ステップ 3 FXOS CLI のスーパバイザ レベルに戻ります。
例
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#論理デバイスの削除
手順
例
Firepower# scope ssa Firepower /ssa # show logical-device Logical Device: Name Description Slot ID Mode Operational State Template Name ---------- ----------- ---------- ---------- ------------------------ ------------- FTD 1,2,3 Clustered Ok ftd Firepower /ssa # delete logical-device FTD Firepower /ssa* # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Disabled Stopping 6.0.0.837 6.0.0.837 Not Applicable ftd 2 Disabled Offline 6.0.0.837 6.0.0.837 Not Applicable ftd 3 Disabled Not Available 6.0.0.837 Not Applicable Firepower /ssa* # scope slot 1 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 2 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 3 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # commit-buffer