Firepower 1010 スイッチポートの基本インターフェイス設定

各 Firepower 1010 インターフェイスは、通常のファイアウォール インターフェイスとしてまたはレイヤ 2 ハードウェア スイッチ ポートとして実行するように設定できます。この章では、スイッチモードの有効化と無効化、VLAN インターフェイスの作成、そのインターフェイスのスイッチポートへの割り当てなど、スイッチポート設定を開始するためのタスクについて説明します。また、サポート対象のインターフェイスで Power on Ethernet(PoE)をカスタマイズする方法についても説明します。

Firepower 1010 スイッチ ポートについて

この項では、Firepower 1010 のスイッチ ポートについて説明します。

Firepower 1010 ポートおよびインターフェイスについて

ポートとインターフェイス

Firepower 1010 物理インターフェイスごとに、ファイアウォール インターフェイスまたはスイッチポートとしてその動作を設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。

  • 物理ファイアウォール インターフェイス:ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。 トランスペアレントモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールサービスを適用することによって、レイヤ 2 の同じネットワーク上のインターフェイス間でトラフィックを転送するブリッジグループメンバーです。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット 1/1 インターフェイスはファイアウォール インターフェイスとして設定されます。

  • 物理スイッチポート:スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、ASA セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、単一の VLAN に割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 ~ 1/8 は VLAN 1 のアクセススイッチポートとして設定されています。Management インターフェイスをスイッチポートとして設定することはできません。

  • 論理 VLAN インターフェイス:これらのインターフェイスは物理ファイアウォール インターフェイスと同じように動作しますが、サブインターフェイス、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、ASA デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォール インターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに ASA セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。

Power Over Ethernet

イーサネット 1/7 およびイーサネット 1/8 は Power on Ethernet+(PoE+)をサポートしています。

Auto-MDI/MDIX 機能

すべての Firepower 1010 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

Firepower 1010 スイッチ ポートの注意事項と制約事項

コンテキスト モード

Firepower 1010 はマルチ コンテキスト モードをサポートしません。

フェールオーバー とクラスタリング

  • クラスタのサポートなし。

  • アクティブ/スタンバイのフェールオーバーのサポートのみ。

  • フェールオーバーを使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。フェールオーバー は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の フェールオーバー のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、フェールオーバー を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。

  • ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。

論理 VLAN インターフェイス

  • 最大 60 の VLAN インターフェイスを作成できます。

  • また、ファイアウォール インターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。

  • MAC アドレス:

    • ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。手動 MAC アドレス、MTU、および TCP MSS の設定 を参照してください。

    • トランスペアレント ファイアウォール モード:各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。手動 MAC アドレス、MTU、および TCP MSS の設定を参照してください。

ブリッジ グループ

同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。

VLAN インターフェイスおよびスイッチ ポートでサポートされていない機能

VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。

  • ダイナミック ルーティング

  • マルチキャスト ルーティング

  • ポリシーベース ルーティング

  • 等コストマルチパス(ECMP)ルーティング

  • VXLAN

  • EtherChannel

  • フェールオーバーおよびステートリンク

  • トラフィック ゾーン

  • セキュリティグループタグ(SGT)

その他の注意事項と制約事項

  • Firepower 1010 には、最大 60 の名前付きインターフェイスを設定できます。

  • Management インターフェイスをスイッチポートとして設定することはできません。

デフォルト設定

  • イーサネット 1/1 はファイアウォール インターフェイスです。

  • イーサネット 1/2 ~ 1/8 は、VLAN 1 に割り当てられたスイッチ ポートです。

  • デフォルトの速度とデュプレックス:デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。

スイッチ ポートと Power Over Ethernet の設定

スイッチ ポートおよび PoE を設定するには、次のタスクを実行します。

VLAN インターフェイスの設定

ここでは、関連付けられたスイッチ ポートで使用するための VLAN インターフェイスの設定方法について説明します。

手順


ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、[Add] > [VLAN Interface] を選択します。

ステップ 2

[VLAN ID] フィールドに、このインターフェイスの VLAN ID を 1 〜 4070 の範囲で入力します。ただし、内部使用のために予約されている 3968 〜 4047 の範囲の ID は除きます。

ステップ 3

(任意) [Block Traffic From this Interface to] ドロップダウンリストで、この VLAN インターフェイスがトラフィックを開始できない VLAN を選択します。

たとえば、1 つの VLAN をインターネット アクセスの外部に、もう 1 つを内部ビジネス ネットワーク内に、そして 3 つ目をホーム ネットワークにそれぞれ割り当てます。ホームネットワークはビジネスネットワークにアクセスする必要がないので、ホーム VLAN で [Block Traffic From this Interface to] オプションを使用できます。ビジネスネットワークはホームネットワークにアクセスできますが、その反対はできません。

ステップ 4

[OK] をクリックします。

ステップ 5

[Apply] をクリックします。


スイッチ ポートのアクセス ポートとしての設定

1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。アクセス ポートは、タグなしのトラフィックのみを受け入れます。デフォルトでは、Ethernet1/2 ~ 1/8 のスイッチ ポートが有効になっていて、VLAN 1 に割り当てられています。


(注)  


Firepower 1010 では、ネットワーク内のループ検出のためのスパニングツリー プロトコルはサポートされません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。


手順


ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Access] オプションボタンをクリックします。

ステップ 6

このスイッチポートに関連付けられている [Access VLAN ID] を 1 ~ 4070 の範囲で入力します。

デフォルトは VLAN 1 です。

ステップ 7

[General] をクリックします。

ステップ 8

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 9

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 10

[OK] をクリックします。

ステップ 11

[Apply] をクリックします。


スイッチ ポートのトランク ポートとしての設定

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランクポートは、タグなしトラフィックとタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。

トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。

手順


ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Trunk] オプションボタンをクリックします。

ステップ 6

[Trunk Native VLAN ID] を 1 ~ 4070 の範囲で入力します。デフォルトは VLAN 1 です。

各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

ステップ 7

このスイッチポートに関連付けられている [Trunk Allowed VLAN IDs] を 1 ~ 4070 の範囲で入力します。

このフィールドにネイティブ VLAN を含めても無視されます。トランク ポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。また、まだネイティブ VLAN タグが付いているトラフィックを受信しません。

ステップ 8

[General] をクリックします。

ステップ 9

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 10

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 11

[OK] をクリックします。

ステップ 12

[Apply] をクリックします。


Power over Ethernet の設定

Ethernet 1/7 および Ethernet 1/8 は、IP 電話や無線アクセスポイントなどのデバイス用に Power over Ethernet(PoE)をサポートしています。Firepower 1010 は、IEEE 802.3af(PoE)と 802.3at(PoE+)の両方をサポートしています。PoE+ は、Link Layer Discovery Protocol(LLDP)を使用して電力レベルをネゴシエートします。PoE+ は、受電デバイスに最大 30 ワットの電力を提供できます。電力は必要なときのみ供給されます。

インターフェイスをシャットダウンすると、デバイスへの給電が無効になります。

PoE は、デフォルトで Ethernet 1/7 および Ethernet 1/8 で有効になっています。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。

手順


ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイス(イーサネット 1/7 または 1/8)を選択して [Edit] をクリックします。

ステップ 2

[Power Over Ethernet] をクリックします。

ステップ 3

[Enabled] をオンにします。

ステップ 4

[Consumption Mode] で、[Configure] または [Auto] オプションボタンをクリックします。

  • [Auto]:給電先デバイスのクラスに適したワット数を使用して、給電先デバイスに自動的に電力を供給します。Firepower 1010 は LLDP を使用して、適切なワット数をさらにネゴシエートします。

  • [Configure]:[Consumption Wattage] フィールドにワット数を手動で指定します(4000 ~ 30000)。ワット数を手動で設定し、LLDP ネゴシエーションを無効にする場合は、このコマンドを使用します。

ステップ 5

[OK] をクリックします。

ステップ 6

[Apply] をクリックします。

ステップ 7

現在の PoE+ ステータスを表示するには、[Monitor] > [Interfaces] > [Power on Ethernet] を選択して、現在の PoE+ ステータスを表示します。


スイッチポートのモニタリング

  • [Monitoring] > [Interfaces] > [ARP Table]

    スタティック エントリやダイナミック エントリを含む ARP テーブルを表示します。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

  • [Monitoring] > [Interfaces] > [MAC Address Table]

    スタティックおよびダイナミック MAC アドレス エントリを表示します。

  • [Monitoring] > [Interfaces] > [Interface Graphs]

    インターフェイスの統計情報をグラフ形式またはテーブル形式で表示できます。

  • [Monitoring] > [Interfaces] > [L2 Switching]

    VLAN とスイッチポートの関連付けおよびスタティックおよびダイナミック MAC アドレスエントリを表示します。

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]

    PoE+ ステータスを表示します。

スイッチポートの履歴

表 1. スイッチポートの履歴

機能名

バージョン

機能情報

Firepower 1010 ハードウェア スイッチのサポート

9.13(1)

Firepower 1010 では、各イーサネット インターフェイスをスイッチ ポートまたはファイアウォール インターフェイスとして設定できます。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Switch Port]

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add VLAN Interface]

  • [Monitoring] > [Interfaces] > [L2 Switching]

イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート

9.13(1)

Firepower 1010 は、イーサネット 1/7 およびイーサネット 1/8 での Power over Ethernet+(PoE+) をサポートしています。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]