Firepower 1010 と Cisco Secure Firewall 1210/1220 スイッチポートの基本インターフェイス設定

Firepower 1010 または Cisco Secure Firewall 1210/1220 の各インターフェイスは、通常のファイアウォール インターフェイスとしてまたはレイヤ 2 ハードウェアスイッチポートとして実行するように設定できます。この章では、スイッチモードの有効化と無効化、VLAN インターフェイスの作成、そのインターフェイスのスイッチポートへの割り当てなど、スイッチポート設定を開始するためのタスクについて説明します。また、サポート対象のインターフェイスで Power on Ethernet(PoE)をカスタマイズする方法についても説明します。

スイッチ ポートについて

この項では、Firepower 1010/1210/1220 のスイッチ ポートについて説明します。

スイッチポートおよびインターフェイスについて

ポートとインターフェイス

1010/1210/1220 の物理インターフェイスごとに、その動作をファイアウォール インターフェイスまたはスイッチ ポートとして設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。

  • 物理ファイアウォール インターフェイス:ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。 トランスペアレントモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールサービスを適用することによって、レイヤ 2 の同じネットワーク上のインターフェイス間でトラフィックを転送するブリッジグループメンバーです。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット1/1インターフェイスはファイアウォールインターフェイスとして設定されます。

  • 物理スイッチポート:スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、ASA セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、それらを単一のVLANに割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 ~ 1/8 (1010 および 1210)または 1/2 〜 1/10(1220)は VLAN 1 のアクセススイッチポートとして設定されています。Management インターフェイスをスイッチポートとして設定することはできません。

  • 論理 VLAN インターフェイス:これらのインターフェイスは物理ファイアウォール インターフェイスと同じように動作しますが、サブインターフェイス、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、ASA デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォール インターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに ASA セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。

Power Over Ethernet

PoE は 次のように使用できます:

  • Firepower 1010:イーサネット 1/7 および 1/8 で、IEEE 802.3af(PoE)および 802.3at(PoE+)を使用して、ポートあたり最大 30 ワット、合計で最大 60 ワット供給。

  • Cisco Secure Firewall 1210CP:イーサネット 1/5、1/6、1/7、および 1/8 で、IEEE 802.3af(PoE)、802.3at(PoE+)、および 802.3bt(PoE++ および Hi-PoE) を使用して、ポートあたり最大 90 ワット、 合計で最大 120 W 供給。

PoE + およびそれ以降の規格では、リンク層検出プロトコル(Link Layer Discovery Protocol、LLDP)を使用して、電力レベルをネゴシエートします。電力は必要な場合にのみ提供されます。

インターフェイスをシャットダウンすると、デバイスへの電源がディセーブルになります。

Auto-MDI/MDIX 機能

すべてのスイッチポートで、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

スイッチポートの注意事項および制約事項

コンテキスト モード

  • Firepower 1010 はマルチ コンテキスト モードをサポートしません。

  • Secure Firewall 1210/1220 でスイッチ ポートを使用しない場合、マルチ コンテキスト モードのみがサポートされます。

フェールオーバー とクラスタリング

  • クラスタはサポートされません。

  • アクティブ/スタンバイのフェールオーバーのみサポートされます。

  • フェールオーバー を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。フェールオーバー は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の フェールオーバー のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニタできますが、スイッチポートはモニタできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、フェールオーバー を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。

  • ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。

論理 VLAN インターフェイス(SVI)

  • 最大 60 個の VLAN インターフェイスを作成できます。

  • また、ファイアウォール インターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。

  • MAC アドレス:

    • ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。手動 MAC アドレス、MTU、および TCP MSS の設定 を参照してください。

    • トランスペアレント ファイアウォール モード:各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。手動 MAC アドレス、MTU、および TCP MSS の設定を参照してください。

ブリッジ グループ

同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。

VLAN インターフェイスおよびスイッチ ポートでサポートされていない機能

VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。

  • ダイナミック ルーティング

  • マルチキャスト ルーティング

  • ポリシーベース ルーティング

  • 等コストマルチパス(ECMP)ルーティング

  • VXLAN

  • EtherChannel:スイッチのポートを EtherChannel の一部にはできません。PoE も、EtherChannel のポートではサポートされません。

  • フェールオーバーおよびステートリンク

  • トラフィック ゾーン

  • セキュリティグループタグ(SGT)

その他の注意事項と制約事項

  • Firepower 1010 および Cisco Secure Firewall 1210/1220 には、最大 60 個の名前付きインターフェイスを設定できます。

  • Management インターフェイスをスイッチポートとして設定することはできません。

デフォルト設定

  • イーサネット 1/1 はファイアウォール インターフェイスです。

  • 1010/1210 では、イーサネット 1/2 ~ 1/8 が、VLAN 1 に割り当てられたスイッチ ポートです。

  • 1220 では、イーサネット 1/2 ~ 1/10 が、VLAN 1 に割り当てられたスイッチ ポートです。

  • デフォルトの速度とデュプレックス:デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。

スイッチ ポートと Power Over Ethernet の設定

スイッチ ポートおよび PoE を設定するには、次のタスクを実行します。

VLAN インターフェイスの設定

ここでは、関連付けられたスイッチポートで使用するための VLAN インターフェイス(SVI)の設定方法について説明します。スイッチ ポートを関連付けられた最大 60 個の VLAN インターフェイスを作成できます。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、[Add] > [VLAN Interface] を選択します。

ステップ 2

[VLAN ID] フィールドに、このインターフェイスの VLAN ID を 1 〜 4070 の範囲で入力します。ただし、内部使用のために予約されている 3968 〜 4047 の範囲の ID は除きます。

ステップ 3

(任意) [Block Traffic From this Interface to] ドロップダウンリストで、この VLAN インターフェイスがトラフィックを開始できない VLAN を選択します。

たとえば、1 つの VLAN をインターネットアクセスの外部に、もう 1 つを内部ビジネスネットワーク内に、そして 3 つ目をホームネットワークにそれぞれ割り当てます。ホームネットワークはビジネスネットワークにアクセスする必要がないので、ホーム VLAN で [Block Traffic From this Interface to] オプションを使用できます。ビジネスネットワークはホームネットワークにアクセスできますが、その反対はできません。

ステップ 4

[OK] をクリックします。

ステップ 5

[適用(Apply)] をクリックします。

スイッチ ポートのアクセス ポートとしての設定

1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。アクセス ポートは、タグなしのトラフィックのみを受け入れます。Firepower 1010 および Cisco Secure Firewall 1210 では、イーサネット 1/2 ~ 1/8 スイッチ ポートが、デフォルトで VLAN 1 に割り当てられています。Cisco Secure Firewall 1220 では、イーサネット 1/2 ~ 1/10 スイッチ ポートが、デフォルトで VLAN 1 に割り当てられています。


(注)  

デバイスは、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Access] オプションボタンをクリックします。

ステップ 6

このスイッチポートに関連付けられている [Access VLAN ID] を 1 ~ 4070 の範囲で入力します。

デフォルトは VLAN 1 です。

ステップ 7

[General] をクリックします。

ステップ 8

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 9

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 10

[OK] をクリックします。

ステップ 11

[Apply] をクリックします。

スイッチ ポートのトランク ポートとしての設定

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランクポートは、タグなしトラフィックとタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。

トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Trunk] オプションボタンをクリックします。

ステップ 6

[Trunk Native VLAN ID] を 1 ~ 4070 の範囲で入力します。デフォルトは VLAN 1 です。

各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

ステップ 7

このスイッチポートに関連付けられている [Trunk Allowed VLAN IDs] を 1 ~ 4070 の範囲で入力します。

このフィールドにネイティブ VLAN を含めると、無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。さらに、ネイティブ VLAN タグ付きのトラフィックは受信されません。

ステップ 8

[General] をクリックします。

ステップ 9

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 10

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 11

[OK] をクリックします。

ステップ 12

[Apply] をクリックします。

Power over Ethernet の設定

Power over Ethernet(PoE)ポートは、IP 電話や無線アクセスポイントなどのデバイスに電力を供給します。PoE はデフォルトでイネーブルです。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。

始める前に

マルチ コンテキスト モードでこの手順をシステム実行スペースで実行します。

手順

ステップ 1

[設定(Configuration)] > [デバイス設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [インターフェイス(Interfaces)] を選択し、編集するインターフェイスを選択して [編集(Edit)] をクリックします。

ステップ 2

[Power Over Ethernet] をクリックします。

ステップ 3

[Enabled] をオンにします。

ステップ 4

[Consumption Mode] で、[Configure] または [Auto] オプションボタンをクリックします。

  • [Auto]:給電先デバイスのクラスに適したワット数を使用して、給電先デバイスに自動的に電力を供給します。ファイアウォールは LLDP を使用して、さらに適切なワット数をネゴシエートします。

  • [設定(Configure)][消費ワット数(Consumption Wattage)] フィールドに、ミリワット単位でワット数を手動で入力します(4000~30000(1010)または90000(1210CP)の範囲で指定可能)。ワット数を手動で設定し、LLDP ネゴシエーションを無効にする場合は、このコマンドを使用します。

ステップ 5

[OK] をクリックします。

ステップ 6

[Apply] をクリックします。

ステップ 7

現在の PoE+ ステータスを表示するには、[モニター(Monitor)] > [インターフェイス(Interfaces)] > [イーサーネットの電力(Power on Ethernet)] を選択して、現在の PoE+ ステータスを表示します。

スイッチポートのモニタリング

  • [Monitoring] > [Interfaces] > [ARP Table]

    スタティック エントリやダイナミック エントリを含む ARP テーブルを表示します。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

  • [Monitoring] > [Interfaces] > [MAC Address Table]

    スタティックおよびダイナミック MAC アドレス エントリを表示します。

  • [Monitoring] > [Interfaces] > [Interface Graphs]

    インターフェイスの統計情報をグラフ形式またはテーブル形式で表示できます。

  • [Monitoring] > [Interfaces] > [L2 Switching]

    VLAN とスイッチポートの関連付けおよびスタティックおよびダイナミック MAC アドレスエントリを表示します。

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]

    PoE+ ステータスを表示します。

スイッチポートの履歴

表 1. スイッチポートの履歴

機能名

バージョン

機能情報

Cisco Secure Firewall 1210CP IEEE 802.3bt のサポート(PoE++ および Hi-PoE)

9.23(1)

IEEE 802.3bt のサポートに関連する次の改善を確認してください。

  • PoE++ と Hi-PoE:ポートあたり最大 90 W。

  • シングルシグネチャおよびデュアルシグネチャの受電デバイス(PD)。

  • パワーバジェットが先着順で行われます。

  • show power inline にパワーバジェットフィールドが追加されました。

新規/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]

Cisco Secure Firewall 1210/1220 ハードウェアスイッチのサポート

9.22(1)

Cisco Secure Firewall 1210/1220 では、各イーサネット インターフェイスをスイッチポートまたはファイアウォール インターフェイスとして設定できます。

Cisco Secure Firewall 1210CP PoE+ は、イーサネットポート 1/5 ~ 1/8 でサポートされます

9.22(1)

Cisco Secure Firewall 1210CP は、イーサネットポート 1/5 ~ 1/8 で Power over Ethernet+(PoE+)をサポートします。

Firepower 1010 ハードウェア スイッチのサポート

9.13(1)

Firepower 1010 では、各イーサネット インターフェイスをスイッチ ポートまたはファイアウォール インターフェイスとして設定できます。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Switch Port]

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add VLAN Interface]

  • [Monitoring] > [Interfaces] > [L2 Switching]

イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート

9.13(1)

Firepower 1010 は、イーサネット 1/7 およびイーサネット 1/8 での Power over Ethernet+(PoE+) をサポートしています。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]