Firepower 1010 と Cisco Secure Firewall 220/1210/1220 スイッチポートの基本インターフェイス構成

Firepower 1010 または Cisco Secure Firewall 220/1210/1220 の各インターフェイスは、通常のファイアウォール インターフェイスとしてまたはレイヤ 2 ハードウェアスイッチポートとして実行するように構成できます。この章では、スイッチモードの有効化と無効化、VLAN インターフェイスの作成、そのインターフェイスのスイッチポートへの割り当てなど、スイッチポート設定を開始するためのタスクについて説明します。また、サポート対象のインターフェイスで Power on Ethernet(PoE)をカスタマイズする方法についても説明します。

スイッチポートについて

この項では、レイヤ 2 スイッチを搭載したモデルのスイッチポートについて説明します。

スイッチポートおよびインターフェイスについて

ポートとインターフェイス

物理インターフェイスごとに、その動作をファイアウォール インターフェイスまたはスイッチポートとして設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。

  • 物理ファイアウォール インターフェイス:ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。 トランスペアレントモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールサービスを適用することによって、レイヤ 2 の同じネットワーク上のインターフェイス間でトラフィックを転送するブリッジグループメンバーです。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット 1/1 インターフェイスはファイアウォール インターフェイスとして設定されます。

  • 物理スイッチポート:スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、ASA セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、単一の VLAN に割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 以上は VLAN 1 のアクセススイッチポートとして構成されています。Management インターフェイスをスイッチポートとして設定することはできません。

  • 論理 VLAN インターフェイス:これらのインターフェイスは物理ファイアウォール インターフェイスと同じように動作しますが、サブインターフェイス、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、ASA デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォール インターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに ASA セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。

Power Over Ethernet

PoE は、次のポートで使用できます。

  • Firepower 1010:イーサネット 1/7 および 1/8 で、IEEE 802.3af(PoE)および 802.3at(PoE+)を使用して、ポートあたり最大 30 ワット、合計で最大 60 ワット供給。

  • Cisco Secure Firewall 1210CP:イーサネット 1/5、1/6、1/7、および 1/8 で、IEEE 802.3af(PoE)、802.3at(PoE+)、および 802.3bt(PoE++ および Hi-PoE)を使用して、ポートあたり最大 90 ワット、合計で最大 120 ワット供給。

PoE + およびそれ以降の規格では、Link Layer Discovery Protocol(LLDP)を使用して、電力レベルをネゴシエートします。電力は必要なときのみ供給されます。

インターフェイスをシャットダウンすると、デバイスへの給電が無効になります。

Auto-MDI/MDIX 機能

すべてのスイッチポートで、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

スイッチポートの前提条件

モデルのサポート

  • Cisco Secure Firewall 200

  • Firepower 1010

  • Cisco Secure Firewall 1210/1220

スイッチポートのガイドライン

コンテキストモード

  • Cisco Secure Firewall 220 は、マルチコンテキストモードをサポートしません。

  • Firepower 1010 はマルチ コンテキスト モードをサポートしません。

  • Cisco Secure Firewall 1210/1220 でスイッチポートを使用しない場合、マルチコンテキストモードのみがサポートされます。

フェイルオーバーおよびクラスタリング

  • クラスタはサポートされません。

  • アクティブ/スタンバイのフェールオーバーのみサポートされます。

  • フェイルオーバー を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。フェイルオーバー は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の フェイルオーバー のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、フェイルオーバー を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。

  • ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。

論理 VLAN インターフェイス(SVI)

  • また、ファイアウォール インターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。VLAN 1 は、論理的なVLANインターフェイス用に予約されています。

  • MAC アドレス:

    • ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。手動 MAC アドレス、MTU、および TCP MSS の設定 を参照してください。

    • トランスペアレント ファイアウォール モード:各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。手動 MAC アドレス、MTU、および TCP MSS の設定を参照してください。

ブリッジ グループ

同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。

VLAN インターフェイスおよびスイッチポートでサポートされていない機能

VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。

  • ダイナミック ルーティング

  • マルチキャスト ルーティング

  • ポリシーベース ルーティング

  • 等コストマルチパス(ECMP)ルーティング

  • VXLAN

  • EtherChannel:スイッチのポートを EtherChannel の一部にはできません。PoE も、EtherChannel のポートではサポートされません。

  • フェールオーバーおよびステートリンク

  • トラフィック ゾーン

  • セキュリティグループタグ(SGT)

その他の注意事項と制約事項

  • 最大 60 の名前付きインターフェイスを構成できます。

  • Management インターフェイスをスイッチポートとして設定することはできません。

デフォルト設定

  • イーサネット 1/1 はファイアウォール インターフェイスです。

  • 1010 では、イーサネット 1/2 ~ 1/8 が、VLAN 1 に割り当てられたスイッチポートです。

  • 1210 では、イーサネット 1/2 ~ 1/8 が、VLAN 1 に割り当てられたスイッチポートです。

  • 1220 では、イーサネット 1/2 ~ 1/10 が、VLAN 1 に割り当てられたスイッチポートです。

  • 220 では、イーサネット 1/2 ~ 1/5 が、VLAN 1 に割り当てられたスイッチポートです。

  • デフォルトの速度とデュプレックス:デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。

スイッチポートと Power Over Ethernet の設定

スイッチ ポートおよび PoE を設定するには、次のタスクを実行します。

VLAN インターフェイスの設定

ここでは、関連付けられたスイッチポートで使用するための VLAN インターフェイス(SVI)の構成方法について説明します。スイッチポートを関連付けられた最大 60 個の VLAN インターフェイスを作成できます。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、[Add] > [VLAN Interface] を選択します。

ステップ 2

[VLAN ID] フィールドに、このインターフェイスの VLAN ID を 1 〜 4070 の範囲で入力します。ただし、内部使用のために予約されている 3968 〜 4047 の範囲の ID は除きます。

ステップ 3

(任意) [Block Traffic From this Interface to] ドロップダウンリストで、この VLAN インターフェイスがトラフィックを開始できない VLAN を選択します。

たとえば、1 つの VLAN をインターネット アクセスの外部に、もう 1 つを内部ビジネス ネットワーク内に、そして 3 つ目をホーム ネットワークにそれぞれ割り当てます。ホームネットワークはビジネスネットワークにアクセスする必要がないので、ホーム VLAN で [Block Traffic From this Interface to] オプションを使用できます。ビジネスネットワークはホームネットワークにアクセスできますが、その反対はできません。

ステップ 4

[OK] をクリックします。

ステップ 5

[Apply] をクリックします。

スイッチポートのアクセスポートとしての構成

1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。アクセス ポートは、タグなしのトラフィックのみを受け入れます。スイッチポートで有効化され、デフォルトで VLAN1 に割り当てられているインターフェイスは次のとおりです。

デバイス モデル

スイッチ ポート インターフェイス

Cisco Secure Firewall 220

イーサネット 1/2 ~ イーサネット 1/5

Firepower 1010

イーサネット 1/2 ~ イーサネット 1/8

Cisco Secure Firewall 1210

イーサネット 1/2 ~ イーサネット 1/8

Cisco Secure Firewall 1220

イーサネット 1/2 ~ イーサネット 1/10

(注)  

デバイスは、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、ASA との接続はいずれもネットワークループ内で終わらないようにする必要があります。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Access] オプションボタンをクリックします。

ステップ 6

このスイッチポートに関連付けられている [Access VLAN ID] を 1 ~ 4070 の範囲で入力します。

デフォルトは VLAN 1 です。

ステップ 7

[General] をクリックします。

ステップ 8

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 9

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 10

[OK] をクリックします。

ステップ 11

[Apply] をクリックします。

スイッチポートのトランクポートとしての設定

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランクポートは、タグなしトラフィックとタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。

トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。

手順

ステップ 1

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] を選択し、編集するインターフェイスを選択して [Edit] をクリックします。

ステップ 2

[Switch Port] をクリックします。

ステップ 3

[Configure an interface to be a Switch Port] チェックボックスをオンにします。

ステップ 4

(任意) [Set this switch port as protected] チェックボックスをオンにして、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぎます。

スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートに [Set this switch port as protected] オプションを適用すると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。

ステップ 5

[Port Mode] の場合は、[Trunk] オプションボタンをクリックします。

ステップ 6

[Trunk Native VLAN ID] を 1 ~ 4070 の範囲で入力します。デフォルトは VLAN 1 です。

各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

ステップ 7

このスイッチポートに関連付けられている [Trunk Allowed VLAN IDs] を 1 ~ 4070 の範囲で入力します。

このフィールドにネイティブ VLAN を含めても無視されます。トランク ポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。また、まだネイティブ VLAN タグが付いているトラフィックを受信しません。

ステップ 8

[General] をクリックします。

ステップ 9

[Enable Interface] をオンにします。

(注)  

 

[General] ページのその他のフィールド([Interface Name] など)は、スイッチポートには適用されません。

ステップ 10

(任意) ハードウェアのプロパティを設定します。

  1. [Configure Hardware Properties] をクリックします。

  2. [Duplex] を選択します。

    デフォルトは [自動(Auto)] です。

  3. [Speed] を選択します。

    デフォルトは [自動(Auto)] です。

  4. [OK] をクリックします。

ステップ 11

[OK] をクリックします。

ステップ 12

[Apply] をクリックします。

Power over Ethernet の設定

Power over Ethernet(PoE)ポートは、IP 電話や無線アクセスポイントなどのデバイスに電力を供給します。PoE はデフォルトでイネーブルです。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。

始める前に

マルチコンテキストモードでこの手順をシステム実行スペースで実行します。

手順

ステップ 1

[設定(Configuration)] > [デバイス設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [インターフェイス(Interfaces)] を選択し、編集するインターフェイスを選択して [編集(Edit)] をクリックします。

ステップ 2

[Power Over Ethernet] をクリックします。

ステップ 3

[Enabled] をオンにします。

ステップ 4

[Consumption Mode] で、[Configure] または [Auto] オプションボタンをクリックします。

  • [Auto]:給電先デバイスのクラスに適したワット数を使用して、給電先デバイスに自動的に電力を供給します。ファイアウォールは LLDP を使用して、さらに適切なワット数をネゴシエートします。

  • [設定(Configure)]:[消費ワット数(Consumption Wattage)] フィールドに、ミリワット単位でワット数を手動で入力します(4,000 ~ 30,000(1010)または 90,000(1210CP)の範囲で指定可能)。ワット数を手動で設定し、LLDP ネゴシエーションを無効にする場合は、このコマンドを使用します。

ステップ 5

[OK] をクリックします。

ステップ 6

[Apply] をクリックします。

ステップ 7

[モニター(Monitor)] > [インターフェイス(Interfaces)] > [Power Over Ethernet] を選択して、現在の PoE ステータスを表示します。

スイッチポートのモニタリング

  • [Monitoring] > [Interfaces] > [ARP Table]

    スタティック エントリやダイナミック エントリを含む ARP テーブルを表示します。ARP テーブルには、MAC アドレスを所定のインターフェイスの IP アドレスにマッピングするエントリが含まれます。

  • [Monitoring] > [Interfaces] > [MAC Address Table]

    スタティックおよびダイナミック MAC アドレス エントリを表示します。

  • [Monitoring] > [Interfaces] > [Interface Graphs]

    インターフェイスの統計情報をグラフ形式またはテーブル形式で表示できます。

  • [Monitoring] > [Interfaces] > [L2 Switching]

    VLAN とスイッチポートの関連付けおよびスタティックおよびダイナミック MAC アドレスエントリを表示します。

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]

    PoE+ ステータスを表示します。

スイッチポートの履歴

表 1. スイッチポートの履歴

機能名

バージョン

機能情報

Cisco Secure Firewall 200 ハードウェアスイッチのサポート

9.24(1)

Cisco Secure Firewall 200 では、各イーサネット インターフェイスをスイッチポートまたはファイアウォール インターフェイスとして設定できます。

Cisco Secure Firewall 1210CP IEEE 802.3bt のサポート(PoE++ および Hi-PoE)

9.23(1)

IEEE 802.3bt のサポートに関連する次の改善を確認してください。

  • PoE++ と Hi-PoE:ポートあたり最大 90 W。

  • シングルシグネチャおよびデュアルシグネチャの受電デバイス(PD)。

  • パワーバジェットが先着順で行われます。

  • show power inline にパワーバジェットフィールドが追加されました。

新規/変更された画面:

  • [設定(Configuration)] > [デバイス設定(Device Setup)] > [インターフェイス設定(Interface Settings)] > [インターフェイス(Interfaces)] > [編集(Edit)] > [Power Over Ethernet]

  • [モニタリング(Monitoring)] > [インターフェイス(Interfaces)] > [Power Over Ethernet]

Cisco Secure Firewall 1210/1220 ハードウェアスイッチのサポート

9.22(1)

Cisco Secure Firewall 1210/1220 では、各イーサネット インターフェイスをスイッチポートまたはファイアウォール インターフェイスとして設定できます

Cisco Secure Firewall 1210CP PoE+ は、イーサネットポート 1/5 ~ 1/8 でサポートされます

9.22(1)

Cisco Secure Firewall 1210CP は、イーサネットポート 1/5 ~ 1/8 で Power over Ethernet+(PoE+)をサポートします。

Firepower 1010 ハードウェア スイッチのサポート

9.13(1)

Firepower 1010 では、各イーサネット インターフェイスをスイッチ ポートまたはファイアウォール インターフェイスとして設定できます。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Switch Port]

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add VLAN Interface]

  • [Monitoring] > [Interfaces] > [L2 Switching]

イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート

9.13(1)

Firepower 1010 は、イーサネット 1/7 およびイーサネット 1/8 での Power over Ethernet+(PoE+) をサポートしています。

新しい/変更された画面:

  • [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Edit] > [Power Over Ethernet]

  • [Monitoring] > [Interfaces] > [Power Over Ethernet]