基本的なインターフェイス設定

この章では、イーサネット設定、ジャンボ フレーム設定などの基本的なインターフェイス設定について説明します。


(注)  

マルチコンテキスト モードでは、この項のすべてのタスクをシステム実行スペースで実行してください。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。

(注)  

プラットフォーム モードの Firepower 4100/9300 シャーシ では、FXOS オペレーティング システムで基本的なインターフェイス設定を行います。詳細については、お使いのシャーシの設定または導入ガイドを参照してください。

基本的なインターフェイス設定について

この項では、インターフェイスの機能と特殊なインターフェイスについて説明します。

Auto-MDI/MDIX 機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

管理インターフェイス

管理インターフェイスは、使用しているモデルに応じて、管理トラフィック専用の個別インターフェイスとなります。

管理インターフェイスの概要

次のインターフェイスに接続して ASA を管理できます。

  • 任意の通過トラフィック インターフェイス

  • 専用の管理スロット/ポート インターフェイス(使用しているモデルで使用できる場合)

管理アクセスの説明に従って、管理アクセスへのインターフェイスを設定する必要がある場合があります。

管理スロット/ポート インターフェイス

次の表に、モデルごとの管理インターフェイスを示します。

表 1. モデルごとの管理インターフェイス

モデル

管理 0/0

管理 1/1

管理 1/2

通過トラフィックに対して設定可能

サブインターフェイスを使用可能

Firepower 1000

対応

Cisco Secure Firewall 1200

対応

Cisco Secure Firewall 3100

対応

Cisco Secure Firewall 4200

Firepower 4100/9300

N/A

インターフェイス ID は ASA 論理デバイスに割り当てた物理 mgmt タイプ インターフェイスに基づいています。

対応

ISA 3000

対応

ASAv

対応

対応

管理専用トラフィックに対する任意のインターフェイスの使用

任意のインターフェイスを、管理トラフィック用として設定することによって管理専用インターフェイスとして使用できます。これには、EtherChannel インターフェイスも含まれますmanagement-only コマンドを参照)

トランスペアレント モードの管理インターフェイス

トランスペアレント ファイアウォール モードでは、許可される最大通過トラフィック インターフェイスに加えて、管理インターフェイス(物理インターフェイス、サブインターフェイス(使用しているモデルでサポートされている場合)のいずれか)を個別の管理専用インターフェイスとして使用できます。

他のインターフェイスタイプは管理インターフェイスとして使用できません。

Firepower 4100/9300 シャーシ では、管理インターフェイス ID は ASA 論理デバイスに割り当てた mgmt-type インターフェイスに基づいています。


(注)  

管理インターフェイスは、通常のブリッジ グループの一部ではありません。動作上の目的から、設定できないブリッジ グループの一部です。

Management-Only Traffic

管理インターフェイスは to-the-box トラフィックおよび from-the-box トラフィック専用で、トラフィックのパススルーはできません。いずれの場合も、ブリッジグループは他のブリッジグループと通信できないため、トラフィックによるサポートがあった場合でも、管理インターフェイスからブリッジグループに、またはその逆にルーティングすることはできません。

共有 MAC アドレス テーブルおよびスイッチ接続

トランスペアレント ファイアウォール モードでは、管理インターフェイスによってデータ インターフェイスと同じ方法で MAC アドレス テーブルがアップデートされます。したがって、いずれかのスイッチ ポートをルーテッド ポートとして設定しない限り、管理インターフェイスおよびデータ インターフェイスを同じスイッチに接続しないでください(デフォルトでは、Catalyst スイッチがすべての VLAN スイッチ ポートの MAC アドレスを共有します)。そうしないと、物理的に接続されたスイッチから管理インターフェイスにトラフィックが到着すると、ASA によって、データ インターフェイスではなく、管理インターフェイスを使用してスイッチにアクセスするように MAC アドレス テーブルがアップデートされます。この処理が原因で、一時的にトラフィックが中断します。セキュリティ上の理由から、少なくとも 30 秒間は、スイッチからデータ インターフェイスへのパケットのために MAC アドレス テーブルが ASA によって再アップデートされることはありません。

マルチ コンテキスト モード

マルチ コンテキスト モードでは、どのインターフェイスも(これには管理インターフェイスも含まれます)、コンテキスト間で共有させることはできません。サポートされるモデルのコンテキスト単位で管理を行うには、管理インターフェイスのサブインターフェイスを作成し、管理サブインターフェイスを各コンテキストに割り当てます。一部のモデルでは管理インターフェイスのサブインターフェイスが許可されないため、それらのモデルでコンテキスト単位の管理を行うには、データ インターフェイスに接続する必要があります。Firepower 4100/9300 シャーシでは、管理インターフェイスとそのサブインターフェイスは、コンテキスト内で特別に許可された管理インターフェイスとして認識されません。この場合、管理サブインターフェイスをデータインターフェイスとして扱い、BVI に追加する必要があります。

基本インターフェイスの設定のガイドライン

トランスペアレント ファイアウォール モード

マルチ コンテキストのトランスペアレント モードでは、各コンテキストが別個のインターフェイスを使用する必要があります。コンテキスト間でインターフェイスを共有することはできません。

フェールオーバー

データ インターフェイスと、フェールオーバーまたはステートのインターフェイスを共有することはできません。

その他のガイドライン

一部の管理関連のサービスは、管理対象外のインターフェイスが有効になり、ASA が「システム レディ」状態になるまで使用できません。ASA が「System Ready」状態になると、次の syslog メッセージを生成します。 


%ASA-6-199002: Startup completed.  Beginning operation.

基本インターフェイスのデフォルト設定

この項では、工場出荷時のデフォルト コンフィギュレーションが設定されていない場合のインターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスのデフォルトの状態は、そのタイプおよびコンテキスト モードによって異なります。

マルチ コンテキスト モードでは、システム実行スペース内でのインターフェイスの状態にかかわらず、すべての割り当て済みのインターフェイスがデフォルトでイネーブルになっています。ただし、トラフィックがインターフェイスを通過するためには、そのインターフェイスもシステム実行スペース内でイネーブルになっている必要があります。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、それを共有しているすべてのコンテキストでダウンします。

シングル モードまたはシステム実行スペースでは、インターフェイスのデフォルトの状態は次のとおりです。

  • 物理インターフェイス:ディセーブル。

  • VLAN サブインターフェイス:イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。

  • VXLAN VNI インターフェイス:イネーブル。

  • EtherChannel ポートチャネル インターフェイス(ISA 3000):有効。ただし、トラフィックが EtherChannel を通過するためには、チャネル グループ物理インターフェイスもイネーブルになっている必要があります。

  • EtherChannel ポートチャネル インターフェイス(その他のモデル):無効。


(注)  

Firepower 4100/9300 の場合、管理上、シャーシおよび ASA の両方で、インターフェイスを有効および無効にできます。インターフェイスを動作させるには、両方のオペレーティング システムで、インターフェイスを有効にする必要があります。インターフェイスの状態は個別に制御されるので、シャーシと ASA の間の不一致が生じることがあります。

デフォルトの速度および二重通信

  • デフォルトでは、銅線(RJ-45)インターフェイスの速度とデュプレックスは、オートネゴシエーションに設定されます。

デフォルトのコネクタ タイプ

2 つのコネクタ タイプ(copper RJ-45 と fiber SFP)を持つモデルもあります。RJ-45 がデフォルトです。ASA にファイバ SFP コネクタを使用するように設定できます。

デフォルトの MAC アドレス

デフォルトでは、物理インターフェイスはバーンドイン MAC アドレスを使用し、物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。

物理インターフェイスのイネーブル化およびイーサネット パラメータの設定

ここでは、次の方法について説明します。

  • 物理インターフェイスをイネーブルにする。

  • 特定の速度と二重通信(使用できる場合)を設定する。

  • (Cisco Secure Firewall 1200/3100/4200)フロー制御のポーズフレームをイネーブルにする。

  • (Cisco Secure Firewall 3100/4200)前方誤り訂正を設定する。

始める前に

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、changeto system コマンドを入力します。

手順

ステップ 1

設定するインターフェイスを指定します。

interface physical_interface

例:


ciscoasa(config)# interface gigabitethernet 0/0

physical_interface ID には、タイプ、スロット、およびポート番号(type[slot/] port)が含まれます。

物理インターフェイスのタイプには、次のものがあります。

  • ethernet

    gigabitethernet

  • tengigabitethernet

  • management

タイプに続けてスロット/ポートを入力します。たとえば、gigabitethernet0/1 というようになります。タイプとスロット/ポートの間のスペースは任意です。

ステップ 2

(任意) 速度を選択します(モデルによって異なります)。

speed {auto | speed | nonegotiate | sfp-detect}

例:


ciscoasa(config-if)# speed 100

Firepower 1100 光ファイバインターフェイスの場合、speed nonegotiate を指定すると速度が 1,000 Mbps に設定され、フロー制御パラメータとリモート障害情報のリンクネゴシエーションがディセーブルになります。Cisco Secure Firewall 1200/3100/4200 については、negotiate-auto コマンドを参照してください。

(Cisco Secure Firewall 1200/3100/4200 のみ)sfp-detect を選択してインストールされている SFP モジュールの速度を検出し、適切な速度を使用します。デュプレックスは常に全二重で、自動ネゴシエーションは常に有効です。このオプションは、後でネットワークモジュールを別のモデルに変更し、速度を自動的に更新する場合に便利です。Cisco Secure Firewall 1250には、2500 Mbps の最大速度を設定できます。

ステップ 3

(Cisco Secure Firewall 1200/3100/4200)自動ネゴシエーションを設定します。

negotiate-auto

自動ネゴシエーションは、速度とは別に設定されます。

例:


ciscoasa(config-if)# negotiate-auto

ステップ 4

(任意) RJ-45 インターフェイスのデュプレックスを設定します。

duplex {auto | full | half}

SFP インターフェイスは全二重のみをサポートします。

例:


ciscoasa(config-if)# duplex full

ステップ 5

(任意) (Cisco Secure Firewall 3100/4200)25 Gbps 以上のインターフェイスの場合は、前方誤り訂正(FEC)を設定します。

fec {auto | cl108-rs | cl74-fc | cl91-rs | disable}

EtherChannel メンバーインターフェイスの場合は、EtherChannel に追加する前に FEC を設定する必要があります。自動を使用する場合に選択する設定は、トランシーバのタイプと、インターフェイスが固定(内蔵)かネットワークモジュールかによって異なります。

(注)  

 

インターフェイスが EtherChannel から削除された場合、ASA の再起動後に、FEC および自動ネゴシエーションの設定が変更されます。これは予期される動作であるため、FEC および自動ネゴシエーションを手動で再設定する必要があります。
表 2. 自動設定のデフォルト FEC

トランシーバ タイプ

固定ポートのデフォルト FEC(イーサネット 1/9 ~ 1/16)

ネットワークモジュールのデフォルト FEC

25G-SR

cl108-rs

cl108-rs

25G-LR

cl108-rs

cl108-rs

10/25G-CSR

cl108-rs

cl74-fc

25G-AOCxM

cl74-fc

cl74-fc

25G-CU2.5/3M

自動ネゴシエーション

自動ネゴシエーション

25G-CU4/5M

自動ネゴシエーション

自動ネゴシエーション

25/50/100G

cl91-rs

cl91-rs

ステップ 6

(任意) (Cisco Secure Firewall 1200/3100/4200)1 ギガビット以上のインターフェイスでフロー制御のポーズ(XOFF)フレームをイネーブルにします。

flowcontrol send on

例:


ciscoasa(config-if)# flowcontrol send on

フロー制御により、接続しているイーサネット ポートは、輻輳しているノードがリンク動作をもう一方の端で一時停止できるようにすることによって、輻輳時のトラフィック レートを制御できます。ASA ポートで輻輳が生じ(内部スイッチでキューイングリソースが枯渇)、それ以上はトラフィックを受信できなくなった場合、ポーズフレームを送信することによって、その状態が解消されるまで送信を中止するように、そのポートから相手ポートに通知します。ポーズ フレームを受信すると、送信側デバイスはデータ パケットの送信を中止するので、輻輳時のデータ パケット損失が防止されます。

(注)  

 

ASA は、リモートピアがトラフィックをレート制御できるように、ポーズ フレームの送信をサポートしています。

ただし、ポーズフレームの受信はサポートされていません。

内部スイッチには、それぞれ 250 バイトの 8000 バッファのグローバルプールがあり、スイッチはバッファを各ポートに動的に割り当てます。バッファ使用量がグローバル ハイ ウォーター マーク(2 MB(8000 バッファ))を超えると、フロー制御が有効になっているすべてのインターフェイスからポーズフレームが送信されます。また、バッファがポートのハイ ウォーター マーク(.3125 MB(1250 バッファ))を超えると、特定のインターフェイスからポーズフレームが送信されます。ポーズの送信後、バッファ使用量が低ウォーターマークよりも下回ると、XON フレームを送信できます(グローバルでは 1.25MB(5000 バッファ)、ポートごとに 25 MB(1000 バッファ))リンク パートナーは、XON フレームを受信するとトラフィックを再開できます。

802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。

ステップ 7

インターフェイスをイネーブルにします。

no shutdown

例:


ciscoasa(config-if)# no shutdown

インターフェイスをディセーブルにするには、shutdown コマンドを入力します。shutdown コマンドを入力すると、すべてのサブインターフェイスもシャットダウンします。インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスは、そのインターフェイスを共有しているすべてのコンテキストでシャットダウンします。

ジャンボフレームサポートの有効化(ASA 仮想、ISA 3000)

ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(ACL など)の最大使用量が制限される場合があります。ASA MTU はレイヤ 2(14 バイト)および VLAN ヘッダー(4 バイト)を含まずにペイロードサイズを設定するので、モデルによっては MTU 最大値が 9198 になることに注意してください。

この手順は、ISA 3000、および ASA 仮想 にのみ適用できます。その他のモデルは、デフォルトでジャンボフレームをサポートしています。

ジャンボフレームは、8GB RAM 未満の ASAv5 および ASAv10 ではサポートされません。

始める前に

  • マルチ コンテキスト モードでは、システム実行スペースでこのオプションを設定します。

  • この設定を変更した場合は、ASA のリロードが必要です。

  • ジャンボフレームを送信する必要のある各インターフェイスの MTU を、デフォルト値の 1500 より大きい値に設定してください。たとえば、mtu コマンドを使用して値を 9198 に設定します。マルチ コンテキスト モードでは、各コンテキスト内で MTU を設定します。

  • Be sure to adjust the TCP MSS, either to disable it for non-IPsec traffic (use the sysopt connection tcpmss 0 command), or to increase it in accord with the MTU.

手順

ジャンボ フレーム サポートをイネーブルにします。

jumbo-frame reservation

次に、ジャンボ フレームの予約をイネーブルにし、コンフィギュレーションを保存して ASA をリロードする例を示します。 


ciscoasa(config)# jumbo-frame reservation
WARNING: this command will take effect after the running-config is saved
and the system has been rebooted. Command accepted.

ciscoasa(config)# write memory
Building configuration...
Cryptochecksum: 718e3706 4edb11ea 69af58d0 0a6b7cb5

70291 bytes copied in 3.710 secs (23430 bytes/sec)
[OK]
ciscoasa(config)# reload
Proceed with reload? [confirm] Y

Cisco Secure Firewall 3100/4200 のネットワークモジュールの管理

最初にファイアウォールの電源をオンにする前にネットワークモジュールをインストールした場合、アクションは不要です。ネットワークモジュールは有効になり、使用できる状態になっています。

初回ブートアップ後にネットワークモジュールのインストールを変更する必要がある場合は、次の手順を参照してください。

ブレークアウトポートの設定

40GB 以上のインターフェイスごとに 10GB のブレークアウトポートを設定できます。この手順では、ポートの分割と再参加の方法について説明します。ブレークアウトポートは、EtherChannel への追加を含め、他の物理イーサネットポートと同じように使用できます。

設定でインターフェイスがすでに使用されている場合は、存在しなくなるインターフェイスに関連する設定を手動で削除する必要があります。

始める前に

  • サポートされているブレークアウトケーブルを使用する必要があります。詳細については、ハードウェア設置ガイドを参照してください。

  • クラスタリングまたはフェールオーバーの場合、クラスタ/フェールオーバーリンクで(分割用の)親インターフェイスか(再結合用の)子インターフェイスが使用されていないことを確認してください。クラスタ/フェールオーバーリンクに使用されている場合、インターフェイスを変更することはできません。

手順

ステップ 1

40GB 以上のインターフェイスから 10GB ポートを分割します。

breakout slot port

たとえば、Ethernet2/1 40GB インターフェイスを分割するには、スロット2ポート1 を指定します。分割後の子インターフェイスは、Ethernet2/1/1、Ethernet2/1/2、Ethernet2/1/3、および Ethernet2/1/4 として識別されます。

クラスタリングまたはフェールオーバーの場合は、制御ノード/アクティブユニットでこの手順を実行します。インターフェイスの変更は他のノードに複製されます。

例:


ciscoasa(config)# breakout 2 1
ciscoasa(config)# breakout 2 2
ciscoasa(config)# breakout 2 3
ciscoasa(config)# breakout 2 4

ステップ 2

インターフェイスを復元するには、ブレークアウトポートを再結合します。

no breakout slot port

クラスタリングまたはフェールオーバーの場合は、制御ノード/アクティブユニットでこの手順を実行します。モジュールの状態は他のノードに複製されます。

インターフェイスのすべての子ポートを再結合する必要があります。

例:


ciscoasa(config)# no breakout 2 1

ネットワークモジュールの追加

初回起動後にファイアウォールにネットワークモジュールを追加するには、次の手順を実行します。新しいモジュールを追加するには、リロードが必要です。クラスタリングまたはフェールオーバーの場合、ゼロダウンタイムはサポートされないため、この手順は必ずメンテナンスウィンドウ中に実行してください。

手順

ステップ 1

ハードウェア設置ガイドに従ってネットワークモジュールをインストールします。ファイアウォールの電源がオンの状態でネットワークモジュールをインストールできます。

クラスタリングまたはフェールオーバーの場合は、すべてのノードにネットワークモジュールをインストールします。

ステップ 2

ファイアウォールをリロードします。ASA のリロード[ツール(Tools)] > [システムのリロード(System Reload)] を参照してください。

クラスタリングまたはフェールオーバーの場合は、すべてのノードをリロードします。ネットワークモジュールが異なるノードはクラスタ/フェールオーバーペアに参加できないため、クラスタ/フェールオーバーペアを再作成する前に、新しいモジュールですべてのノードをリロードする必要があります。

ステップ 3

ネットワークモジュールを有効化します。

no netmod 2 disable

クラスタリングまたはフェールオーバーの場合は、制御ノード/アクティブユニットでこの手順を実行します。モジュールの状態は他のノードに複製されます。

例:


ciscoasa(config)# no netmod 2 disable

ネットワークモジュールの交換方法

リロードすることなく、同じタイプの新しいモジュールのネットワークモジュールをホットスワップできます。ただし、現在のモジュールを安全に取り外すには、シャットダウンする必要があります。この手順では、古いモジュールをシャットダウンし、新しいモジュールをインストールして有効にする方法について説明します。

クラスタリングまたはフェールオーバーの場合、クラスタ制御リンク/フェールオーバーリンクがモジュール上にあると、ネットワークモジュールを無効化できません。

手順

ステップ 1

クラスタリングまたはフェールオーバーの場合は、次の手順を実行します。

  • クラスタリング:ホットスワップを実行するユニットがデータノードであることを確認します(「制御ノードの変更」を参照)。次に、そのノードでクラスタリングを無効化します。非アクティブノードになるまたはノードの非アクティブ化を参照してください。

    クラスタ制御リンクがネットワークモジュール上にある場合は、クラスタから脱退する必要があります。クラスタからの脱退 を参照してください。アクティブなクラスタ制御リンクがあるネットワークモジュールを無効化することはできません。

  • フェールオーバー:ホットスワップを実行するユニットがスタンバイノードであることを確認します。フェールオーバーの強制実行 を参照してください。

    フェールオーバーリンクがネットワークモジュール上にある場合は、フェールオーバーを無効化する必要があります。フェールオーバーのディセーブル化 を参照してください。アクティブなフェールオーバーリンクがあるネットワークモジュールを無効化することはできません。

ステップ 2

ネットワークモジュールを無効化します。

netmod 2 disable

例:


ciscoasa(config)# netmod 2 disable

ステップ 3

ハードウェア設置ガイドに従ってネットワークモジュールを交換します。ファイアウォールの電源がオンの状態でネットワークモジュールを交換できます。

ステップ 4

ネットワークモジュールを有効化します。

no netmod 2 disable

例:


ciscoasa(config)# no netmod 2 disable

ステップ 5

クラスタリングまたはフェールオーバーの場合は、次の手順を実行します。

  • クラスタリング:ノードをクラスタに追加して戻します。クラスタへの再参加を参照してください。

  • フェールオーバー:フェールオーバーを無効化した場合は、もう一度フェールオーバーを実行します。

ネットワークモジュールを別のタイプに交換する

ネットワークモジュールを別のタイプに交換する場合は、リロードが必要です。新しいモジュールのインターフェイス数が古いモジュールよりも少ない場合は、存在しなくなるインターフェイスに関連する構成を手動で削除する必要があります。クラスタリングまたはフェールオーバーの場合、ゼロダウンタイムはサポートされないため、この手順は必ずメンテナンスウィンドウ中に実行してください。

手順

ステップ 1

ネットワークモジュールを無効化します。

netmod 2 disable

クラスタリングまたはフェールオーバーの場合は、制御ノード/アクティブユニットでこの手順を実行します。モジュールの状態は他のノードに複製されます。設定を保存しないでください。リロードすると、保存された設定でモジュールが有効になります。

例:


ciscoasa(config)# netmod 2 disable

ステップ 2

ハードウェア設置ガイドに従ってネットワークモジュールを交換します。ファイアウォールの電源がオンの状態でネットワークモジュールを交換できます。

クラスタリングまたはフェールオーバーの場合は、すべてのノードにネットワークモジュールをインストールします。

ステップ 3

ファイアウォールをリロードします。ASA のリロード[ツール(Tools)] > [システムのリロード(System Reload)] を参照してください。

クラスタリングまたはフェールオーバーの場合は、すべてのノードをリロードします。ネットワークモジュールが異なるノードはクラスタ/フェールオーバーペアに参加できないため、クラスタ/フェールオーバーペアを再作成する前に、新しいモジュールですべてのノードをリロードする必要があります。

ステップ 4

再ロードの前に設定を保存した場合は、モジュールを再有効化する必要があります。

ネットワーク モジュールの取り外し

ネットワークモジュールを完全に削除する場合は、次の手順に従います。ネットワークモジュールを削除するには、リロードが必要です。クラスタリングまたはフェールオーバーの場合、ゼロダウンタイムはサポートされないため、この手順は必ずメンテナンスウィンドウ中に実行してください。

始める前に

クラスタリングまたはフェールオーバーの場合、クラスタ/フェールオーバーリンクがネットワークモジュール上にないことを確認してください。この場合、モジュールを削除することはできません。

手順

ステップ 1

ネットワークモジュールを無効にして設定を保存します。

netmod 2 disable

write memory

クラスタリングまたはフェールオーバーの場合は、制御ノード/アクティブユニットでこの手順を実行します。モジュールの状態は他のノードに複製されます。

例:


ciscoasa(config)# netmod 2 disable
ciscoasa(config)# write memory

ステップ 2

ハードウェア設置ガイドに従ってネットワークモジュールを削除します。ファイアウォールの電源がオンの状態でネットワークモジュールを削除できます。

クラスタリングまたはフェールオーバーの場合は、すべてのノードのネットワークモジュールを削除します。

ステップ 3

ファイアウォールをリロードします。ASA のリロード[ツール(Tools)] > [システムのリロード(System Reload)] を参照してください。

クラスタリングまたはフェールオーバーの場合は、すべてのノードをリロードします。ネットワークモジュールが異なるノードはクラスタ/フェールオーバーペアに参加できないため、クラスタ/フェールオーバーペアを再作成する前に、モジュールのないすべてのノードをリロードする必要があります。

インターフェイスのモニタリング

次のコマンドを参照してください。


(注)  

Firepower 、および Secure Firewall モデルの場合、一部の統計は ASA コマンドで表示されません。FXOS コマンドを使用して、より詳細なインターフェイス統計情報を表示する必要があります。

  • /eth-uplink/fabric# show interface

  • /eth-uplink/fabric# show port-channel

  • /eth-uplink/fabric/interface# show stats

詳細については、『FXOS troubleshooting guide』を参照してください。

  • show interface

    インターフェイス統計情報を表示します。

  • show interface ip brief

    インターフェイスの IP アドレスとステータスを表示します。

  • (Secure Firewall 1200)show interface egress shaper

    出力シェーパーの統計情報を表示します。

基本インターフェイスの例

次の設定例を参照してください。

物理インターフェイス パラメータの例

次に、シングル モードで物理インターフェイスのパラメータを設定する例を示します。 


interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown

マルチ コンテキスト モードの例

次に、システム コンフィギュレーション用にマルチ コンテキスト モードでインターフェイス パラメータを設定し、GigabitEthernet 0/1.1 サブインターフェイスをコンテキスト A に割り当てる例を示します。 


interface gigabitethernet 0/1
speed 1000
duplex full
no shutdown
interface gigabitethernet 0/1.1
vlan 101
context contextA
allocate-interface gigabitethernet 0/1.1

基本インターフェイスの設定の履歴

表 3. インターフェイスの履歴

機能名

リリース

機能情報

Cisco Secure Firewall 1200 シリーズのサポート

9.22(1)

フロー制御、FEC、SFP の検出、自動ネゴシエーションなどの機能がサポートされています。

Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正(FEC)が、25 GB+ SR、CSR、および LR トランシーバの cl74-fc から cl108-rs に変更されました

9.18(3)/9.19(1)

Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB SR、CSR、および LR トランシーバのデフォルトのタイプが cl74-fc ではなく cl108-rs に設定されるようになりました。

新規/変更されたコマンド: fec

Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止

9.18(1)

トラフィック バーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リング バッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズ フレームをイネーブルにすると、このような問題の発生を抑制できます。

新規/変更されたコマンド: flowcontrol send on

Secure Firewall 3130 および 3140 のブレークアウトポート

9.18(1)

Cisco Secure Firewall 3130 および 3140 の 40 GB インターフェースごとに 4 つの 10 GB ブレークアウトポートを構成できるようになりました。

新規/変更されたコマンド: breakout

Cisco Secure Firewall 3100 におけるネットワークモジュールのホットスワップのサポート

9.17(1)

Cisco Secure Firewall 3100 では、ファイアウォールの電源がオンの状態でネットワークモジュールを追加または削除できます。モジュールを同じタイプの別のモジュールに交換する場合、再起動は必要ありません。最初の起動の後にモジュールを追加するか、モジュールを完全に削除するか、モジュールを新しいタイプのモジュールに交換する場合は、再起動が必要です。

新規/変更されたコマンド: netmod

Cisco Secure Firewall 3100 における前方誤り訂正のサポート

9.17(1)

Cisco Secure Firewall 3100 25 Gbps インターフェイスは、前方誤り訂正(FEC)をサポートします。FEC はデフォルトで有効になっており、[自動(Auto)] に設定されています。

新規/変更されたコマンド: fec

Cisco Secure Firewall 3100 における SFP に基づく速度設定のサポート

9.17(1)

Cisco Secure Firewall 3100 は、インストールされている SFP に基づくインターフェイスの速度検出をサポートします。SFP の検出はデフォルトで有効になっています。このオプションは、後でネットワークモジュールを別のモデルに変更し、速度を自動的に更新する場合に便利です。

新規/変更されたコマンド: speed sfp-detect

Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスで有効または無効にすることができます。

9.17(1)

Secure Firewall 3100 の自動ネゴシエーションは、1 ギガビット以上のインターフェイスについて、速度とは別に有効または無効にすることができます。

新規/変更されたコマンド:negotiate-auto

Firepower 1100 および 2100 の光ファイバインターフェイスでの速度の自動ネゴシエーションの無効化

9.14(1)

自動ネゴシエーションを無効にするように Firepower 1100 または 2100 光ファイバインターフェイスを設定できるようになりました。10GB インターフェイスの場合、自動ネゴシエーションなしで速度を 1GB に設定できます。速度が 10 GB に設定されているインターフェイスの自動ネゴシエーションは無効にできません。

新規/変更されたコマンド: speed nonegotiate

ASA 仮想 の管理 0/0 インターフェイスでの通過トラフィックサポート

9.6(2)

ASA 仮想 の管理 0/0 インターフェイスでトラフィックを通過させることができるようになりました。以前は、Microsoft Azure 上の ASA 仮想 のみで通過トラフィックをサポートしていました。今後は、すべての ASA 仮想 で通過トラフィックがサポートされます。任意で、このインターフェイスを管理専用に設定できますが、デフォルトでは管理専用に設定されていません。

次のコマンドが変更されました。 management-only

ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(5)/8.4(2)

すべての ASA モデルでギガビット イーサネット インターフェイスのフロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

flowcontrol コマンドが変更されました。

ASA 5580 10 ギガビット イーサネット インターフェイスでのフロー制御のポーズ フレームのサポート

8.2(2)

フロー制御のポーズ(XOFF)フレームをイネーブルにできるようになりました。

この機能は、ASA 5585-X でもサポートされます。

flowcontrol コマンドが導入されました。

ASA 5580 に対するジャンボ パケット サポート

8.1(1)

ASA 5580 はジャンボフレームをサポートします。ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび FCS を含む)より大きく、9216 バイトまでのイーサネット パケットのことです。イーサネット フレームを処理するためのメモリ容量を増やすことにより、すべてのインターフェイスに対してジャンボ フレームのサポートをイネーブルにできます。ジャンボ フレームに割り当てるメモリを増やすと、他の機能(ACL など)の最大使用量が制限される場合があります。

この機能は、ASA 5585-X でもサポートされます。

jumbo-frame reservation コマンドが導入されました。

ASA 5510 Security Plus ライセンスに対するギガビット イーサネット サポート

7.2(3)

ASA 5510 は、GE(ギガビット イーサネット)を Security Plus ライセンスのあるポート 0 および 1 でサポートするようになりました。ライセンスを Base から Security Plus にアップグレードした場合、外部 Ethernet 0/0 および Ethernet 0/1 ポートの容量は、元の FE(ファスト イーサネット)の 100 Mbps から GE の 1000 Mbps に増加します。インターフェイス名は Ethernet 0/0 および Ethernet 0/1 のままです。speed コマンドを使用してインターフェイスの速度を変更します。また、show interface コマンドを使用して各インターフェイスの現在の設定速度を確認します。

ASA 5510 上の基本ライセンスに対する増加したインターフェイス

7.2(2)

ASA 5510 上の基本ライセンスについて、最大インターフェイス数が 3 プラス管理インターフェイスから無制限のインターフェイスに増加しました。