Firepower Threat Defense の通常のファイアウォールインターフェイス

この章では、 EtherChannel、VLAN サブインターフェイス、IP アドレスなどを含む通常のファイアウォール FTD インターフェイスの設定について説明します。

（注）

Firepower 4100/9300 の最初のインターフェイスの設定については、インターフェイスの設定を参照してください。

通常のファイアウォールインターフェイスの要件と前提条件

モデルのサポート

FTD

ユーザの役割

管理者
アクセス管理者
ネットワーク管理者

Firepower 1010 スイッチポートの設定

各 Firepower 1010 インターフェイスは、通常のファイアウォールインターフェイスとしてまたはレイヤ 2 ハードウェアスイッチポートとして実行するように設定できます。この項では、スイッチモードの有効化と無効化、VLAN インターフェイスの作成、そのインターフェイスのスイッチポートへの割り当てなど、スイッチポート設定を開始するためのタスクについて説明します。また、この項では、サポート対象のインターフェイスで Power on Ethernet（PoE）をカスタマイズする方法についても説明します。

Firepower 1010 スイッチポートについて

この項では、Firepower 1010 のスイッチポートについて説明します。

Firepower 1010 ポートおよびインターフェイスについて

ポートとインターフェイス

Firepower 1010 物理インターフェイスごとに、ファイアウォールインターフェイスまたはスイッチポートとしてその動作を設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。

物理ファイアウォールインターフェイス：ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。トランスペアレントモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールサービスを適用することによって、レイヤ 2 の同じネットワーク上のインターフェイス間でトラフィックを転送するブリッジグループメンバーです。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット 1/1 インターフェイスはファイアウォールインターフェイスとして設定されます。また、これらのインターフェイスを IPS 専用（インラインセットとパッシブインターフェイス）に設定することもできます。
物理スイッチポート：スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、FTD セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、単一の VLAN に割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 ～ 1/8 は VLAN 1 のアクセススイッチポートとして設定されています。インターフェイスをスイッチポートとして設定することはできません。
論理 VLAN インターフェイス：これらのインターフェイスは物理ファイアウォールインターフェイスと同じように動作しますが、サブインターフェイス、IPS 専用インターフェイス（インラインセットおよびパッシブインターフェイス）、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、FTD デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォールインターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに FTD セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。

Power Over Ethernet

イーサネット 1/7 およびイーサネット 1/8 は Power on Ethernet+（PoE+）をサポートしています。

Auto-MDI/MDIX 機能

すべての Firepower 1010 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーションフェーズでストレートケーブルを検出すると、内部クロスオーバーを実行することでクロスケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。

Firepower 1010 スイッチポートの注意事項と制約事項

高可用性とクラスタリング

クラスタのサポートなし。
高可用性を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットとスタンバイユニットの両方でトラフィックを通過させ続けます。高可用性は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の高可用性のネットワーク設定では、両方のユニットのアクティブなスイッチポートがネットワークループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。理論的には、1 つのスイッチポートを VLAN に配置して、高可用性を正常に使用することができますが、代わりに物理ファイアウォールインターフェイスを使用する設定の方が簡単です。
ファイアウォールインターフェイスはフェールオーバーリンクとしてのみ使用できます。

論理 VLAN インターフェイス

最大 60 の VLAN インターフェイスを作成できます。
また、ファイアウォールインターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。
MAC アドレス：
- ルーテッドファイアウォールモード：すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。MAC アドレスの設定を参照してください。
- トランスペアレントファイアウォールモード：各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。MAC アドレスの設定を参照してください。

ブリッジグループ

同じブリッジグループ内に論理 VLAN インターフェイスと物理ファイアウォールインターフェイスを混在させることはできません。

VLAN インターフェイスおよびスイッチポートでサポートされていない機能

VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。

ダイナミックルーティング
マルチキャストルーティング
等コストマルチパス（ECMP）ルーティング
インラインセットまたはパッシブインターフェイス
EtherChannel
冗長インターフェイス。Firepower 1010 は、どのインターフェイスタイプに対しても冗長インターフェイスをサポートしていません。
フェールオーバーおよびステートリンク
セキュリティグループタグ（SGT）

その他のガイドラインと制約事項

Firepower 1010 には、最大 60 の名前付きインターフェイスを設定できます。
インターフェイスをスイッチポートとして設定することはできません。

デフォルト設定

イーサネット 1/1 はファイアウォールインターフェイスです。
イーサネット 1/2 ～ 1/8 は、VLAN 1 に割り当てられたスイッチポートです。
デフォルトの速度とデュプレックス：デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。

スイッチポートと Power Over Ethernet の設定

スイッチポートおよび PoE を設定するには、次のタスクを実行します。

スイッチポートモードの有効化または無効化

各インターフェイスは、ファイアウォールインターフェイスまたはスイッチポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォールインターフェイスで、残りのイーサネットインターフェイスはスイッチポートとして設定されます。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。

ステップ 2

[スイッチポート（SwitchPort）] 列のスライダをクリックしてスイッチポートモードを設定すると、有効なスライダ（ [有効なスライダ（slider enabled）] ）または無効なスライダ（ [無効なスライダ（slider disabled）] ）と表示されます。

デフォルトでは、スイッチポートは VLAN 1 のアクセスモードに設定されています。トラフィックをルーティングし、FTD セキュリティポリシーに参加するには、論理 VLAN 1 インターフェイス（またはこれらのスイッチポートに設定した任意の VLAN）を手動で追加する必要があります（VLAN インターフェイスの設定を参照）。インターフェイスをスイッチポートモードに設定することはできません。スイッチポートモードを変更すると、サポートされていないすべての設定が削除されます。

VLAN インターフェイスの設定

ここでは、関連付けられたスイッチポートで使用するための VLAN インターフェイスの設定方法について説明します。デフォルトでは、スイッチポートは VLAN1 に割り当てられます。トラフィックをルーティングし、FTD セキュリティポリシーに参加するには、論理 VLAN1 インターフェイス（またはこれらのスイッチポートに設定した任意の VLAN）を手動で追加する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	[インターフェイスの追加（Add Interfaces）] > [VLANインターフェイス（VLAN Interface）] をクリックします。
ステップ 3	[一般（General）] で、次の VLAN 固有のパラメータを設定します。既存の VLAN インターフェイスを編集している場合、[関連付けられているインターフェイス（Associated Interface）] テーブルには、この VLAN のスイッチポートが表示されます。 [VLAN ID] を 1 〜 4070 の範囲に設定します。ただし、内部使用のために予約されている 3968 〜 4047 の範囲の ID は除きます。インターフェイスを保存した後、VLAN ID を変更することはできません。ここでの VLAN ID は、使用される VLAN タグと設定内のインターフェイス ID の両方です。（任意） [インターフェイスVLANでの転送の無効化（Disable Forwarding on Interface VLAN）] の VLAN ID を選択し、別の VLAN への転送を無効にします。たとえば、1 つの VLAN をインターネットアクセスの外部に、もう 1 つを内部ビジネスネットワーク内に、そして 3 つ目をホームネットワークにそれぞれ割り当てます。自宅のネットワークはビジネスネットワークにアクセスする必要がないので、自宅の VLAN で転送を無効にできます。ビジネスネットワークは自宅のネットワークにアクセスできますが、その反対はできません。
ステップ 4	インターフェイス設定を完了するには、次のいずれかの手順を参照してください。ルーテッドモードのインターフェイスの設定ブリッジグループメンバーの一般的なインターフェイスパラメータの設定
ステップ 5	[OK] をクリックします。
ステップ 6	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

スイッチポートのアクセスポートとしての設定

1 つの VLAN にスイッチポートを割り当てるには、アクセスポートとして設定します。アクセスポートは、タグなしのトラフィックのみを受け入れます。デフォルトでは、Ethernet1/2 ～ 1/8 のスイッチポートは VLAN 1 に割り当てられています。

（注）

Firepower 1010 では、ネットワーク内のループ検出のためのスパニングツリープロトコルはサポートされません。したがって、FTD とのすべての接続がネットワークループに陥らないようにする必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 4	（任意） [Description] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 5	[ポートモード（Port Mode）] を [アクセス（Access）] に設定します。
ステップ 6	[VLAN ID] フィールドで、このスイッチポートの VLAN を 1 ～ 4070 の範囲で設定します。デフォルトの VLAN ID は 1 です。
ステップ 7	（任意）このスイッチポートを保護対象として設定するには、[保護済み（Protected）] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。スイッチポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートで [保護済み（Protected）] を有効にすると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。
ステップ 8	（任意） [ハードウェア構成（Hardware Configuration）] をクリックして、デュプレックスと速度を設定します。 [自動ネゴシエーション（Auto-negotiation）] チェックボックス（デフォルト）をオンにして、速度とデュプレックスを自動検出します。このチェックボックスをオフにすると、速度とデュプレックスを手動で設定できます。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。 [速度（Speed）]：[10mbps]、[100mbps]、または [1gbps] を選択します。
ステップ 9	[OK] をクリックします。
ステップ 10	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

スイッチポートのトランクポートとしての設定

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランクポートの作成方法について説明します。トランクポートは、タグなしおよびタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。

トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォールインターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランクポートに同じネイティブ VLAN を設定してください。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 4	（任意） [Description] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 5	[ポートモード（Port Mode）] を [トランク（Trunk）] に設定します。
ステップ 6	[ネイティブVLAN ID（Native VLAN ID）] フィールドで、このスイッチポートのネイティブ VLAN を 1 ～ 4070 の範囲で設定します。デフォルトのネイティブ VLAN ID は 1 です。各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。
ステップ 7	[許可VLAN ID（Allowed VLAN IDs）] フィールドで、このトランクポートの VLAN を 1 ～ 4070 の範囲で入力します。次のいずれかの方法で最大 20 個の ID を指定できます。単一の番号（n）範囲（n-x）番号および範囲は、カンマで区切ります。たとえば、次のように指定します。 5,7-10,13,45-100 カンマの代わりスペースを入力できます。このフィールドにネイティブ VLAN を含めても無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。また、まだネイティブ VLAN タグが付いているトラフィックを受信しません。
ステップ 8	（任意）このスイッチポートを保護対象として設定するには、[保護済み（Protected）] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。スイッチポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチポートで [保護済み（Protected）] を有効にすると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。
ステップ 9	（任意） [ハードウェア構成（Hardware Configuration）] をクリックして、デュプレックスと速度を設定します。 [自動ネゴシエーション（Auto-negotiation）] チェックボックス（デフォルト）をオンにして、速度とデュプレックスを自動検出します。このチェックボックスをオフにすると、速度とデュプレックスを手動で設定できます。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。 [速度（Speed）]：[10mbps]、[100mbps]、または [1gbps] を選択します。
ステップ 10	[OK] をクリックします。
ステップ 11	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

Power over Ethernet の設定

Ethernet 1/7 および Ethernet 1/8 は、IP 電話や無線アクセスポイントなどのデバイス用に Power over Ethernet（PoE）をサポートしています。Firepower 1010 は、IEEE 802.3af（PoE）と 802.3at（PoE+）の両方をサポートしています。PoE+ は、Link Layer Discovery Protocol（LLDP）を使用して電力レベルをネゴシエートします。PoE+ は、受電デバイスに最大 30 ワットの電力を提供できます。電力は必要なときのみ供給されます。

スイッチポートをシャットダウンする場合、ポートをファイアウォールインターフェイスとして設定する場合は、デバイスへの電源を無効にします。

PoE は、デフォルトで Ethernet 1/7 および Ethernet 1/8 で有効になっています。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	Ethernet1/7 または 1/8 のをクリックします。
ステップ 3	[PoE] をクリックします。
ステップ 4	[PoEを有効にする（Enable PoE）] チェックボックスをオンにします。 PoE はデフォルトでイネーブルです。
ステップ 5	（任意） [消費ワット数の自動ネゴシエート（Auto Negotiate Consumption Wattage）] チェックボックスをオフにして、必要なワット数を正確に把握している場合は、[消費ワット数（Consumption Wattage）] を入力します。デフォルトでは、PoE は給電先デバイスのクラスに適したワット数を使用して、給電先デバイスに自動的に電力を供給します。Firepower 1010 は LLDP を使用して、適切なワット数をさらにネゴシエートします。特定のワット数が判明していて、LLDP ネゴシエーションを無効にする場合は、4000 ～ 3 万ミリワットの値を入力します。
ステップ 6	[OK] をクリックします。
ステップ 7	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

EtherChannel と冗長インターフェイスの設定

このセクションでは、EtherChannel インターフェイスと冗長インターフェイスを設定する方法について説明します。

（注）

Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel（ポートチャネル）の追加を参照してください。

（注）

ASA 5500-X モデルだけが冗長インターフェイスをサポートしています。Firepower モデルはサポートしていません。

EtherChannel インターフェイスについて

ここでは、EtherChannel インターフェイスについて説明します。

冗長インターフェイスについて（ASA プラットフォームのみ）

論理冗長インターフェイスは、物理インターフェイスのペア（アクティブインターフェイスとスタンバイインターフェイス）で構成されます。アクティブインターフェイスで障害が発生すると、スタンバイインターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してFirepower Threat Defense デバイスの信頼性を高めることができます。

最大 8 個の冗長インターフェイスペアを設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバーインターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに手動で MAC アドレスを割り当てることができます。これはメンバーインターフェイスの MAC アドレスに関係なく使用されます。アクティブインターフェイスがスタンバイインターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel について

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネットリンク（チャネルグループ）のバンドルで構成される論理インターフェイスです（ポートチャネルインターフェイスと呼びます）。ポートチャネルインターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

チャネルグループインターフェイス

各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります（たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビットイーサネットモジュール）。

チャネルグループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネルグループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブインターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュアルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

FTD EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 に接続できます。

スイッチが仮想スイッチングシステム（VSS）または仮想ポートチャネル（vPC）の一部である場合、同じ EtherChannel 内の FTD インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。スイッチインターフェイスは同じ EtherChannel ポートチャネルインターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。

（注）

FTD デバイスがトランスペアレントファイアウォールモードになっており、2 組の VSS/vPC スイッチ間に FTD デバイスを配置する場合は、EtherChannel 内で FTD デバイスに接続されたすべてのスイッチポートで単方向リンク検出（UDLD）を無効にしてください。スイッチポートで UDLD を有効にすると、他の VSS/vPC ペアの両方のスイッチから送信された UDLD パケットを受信する場合があります。受信側スイッチの受信インターフェイスは「UDLD Neighbor mismatch」という理由でダウン状態になります。

FTD デバイスをアクティブ/スタンバイフェールオーバー展開で使用する場合、FTD デバイスごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 FTD デバイスで、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の FTD デバイスに接続する単一の EtherChannel にグループ化できる場合でも（この場合、個別の FTD システム ID のため、EtherChannel は確立されません）、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ FTD デバイスに送信しないようにするためです。

リンク集約制御プロトコル

リンク集約制御プロトコル（LACP）では、2 つのネットワークデバイス間でリンク集約制御プロトコルデータユニット（LACPDU）を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

アクティブ：LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブモードを使用する必要があります。
パッシブ：LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。ハードウェアモデルではサポートされていません。
オン：EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバインターフェイスの両端が正しいチャネルグループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネルグループ内のスタンバイインターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロードバランシング

FTD デバイスは、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します（この基準は設定可能です）。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスに送信され、以降は結果が 1 となるものは 2 番目のインターフェイスに、結果が 2 となるものは 3 番目のインターフェイスに、というように送信されます。たとえば、15 個のアクティブリンクがある場合、モジュロ演算では 0 ～ 14 の値が得られます。6 個のアクティブリンクの場合、値は 0 ～ 5 となり、以降も同様になります。

アクティブインターフェイスがダウンし、スタンバイインターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティングテーブルの両方からマスクされるため、他のネットワークデバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネルグループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対してトランスペアレントになります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

ポートチャネルインターフェイスは、最も小さいチャネルグループインターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。または、ポートチャネルインターフェイスの MAC アドレスを手動で設定することもできます。グループチャネルインターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネル MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

EtherChannel インターフェイスのガイドライン

ブリッジグループ

ルーテッドモードでは、FMC 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。

高可用性

EtherChannel インターフェイスを高可用性リンクとして使用する場合、高可用性ペアの両方のユニットでその事前設定を行う必要があります。プライマリユニットで設定し、セカンダリユニットに複製されることは想定できません。これは、複製には高可用性リンク自体が必要であるためです。
EtherChannel インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリユニットから複製されます。Firepower 4100/9300 シャーシでは、EtherChannel を含むすべてのインターフェイスを、両方のユニットで事前に設定する必要があります。
高可用性の EtherChannel インターフェイスをモニターできます。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルの高可用性をモニタしているときには、EtherChannel インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、EtherChannel インターフェイスで障害が発生しているように見えます（EtherChannel インターフェイスでは、障害の発生が許容されるメンバインターフェイスの数を設定できます）。
EtherChannel インターフェイスを高可用性またはステートリンクに対して使用する場合、パケットが順不同にならないように、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。高可用性リンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、高可用性を一時的に無効にする必要があります。これにより、その期間中は高可用性が発生することはありません。

モデルのサポート

Firepower 4100/9300 または FTDv の場合、FMC で EtherChannel を追加することはできません。Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。
EtherChannel で Firepower 1010 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

EtherChannel の一般的なガイドライン

モデルで利用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000、2100 モデルは、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります（たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビットイーサネットモジュール）。
チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ（銅と光ファイバ）の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量（1GB と 10GB のインターフェイスなど）を混在させることはできません。
FTD の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。
FTD デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、FTD デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。
Firepower 1000、Firepower 2100 は、LACP レート高速機能をサポートしていません。LACP では常に通常のレートが使用されます。この値は設定不可能です。FXOS で EtherChannel を設定する Firepower 4100/9300 では、LACP レートがデフォルトで高速に設定されていることに注意してください。これらのプラットフォームでは、レートを設定できます。
15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する FTD では、スイッチスタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、FTD EtherChannel がクロススタックに接続されている場合、プライマリスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 （無制限）などを設定します。または、15.1(1)S2 など、より安定したスイッチソフトウェアバージョンにアップグレードできます。
すべての FTD コンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

冗長インターフェイスの設定（ASA プラットフォームのみ）

論理冗長インターフェイスは、物理インターフェイスのペア（アクティブインターフェイスとスタンバイインターフェイス）で構成されます。アクティブインターフェイスで障害が発生すると、スタンバイインターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定してFTDの信頼性を高めることができます。デフォルトでは、冗長インターフェイスは有効になっています。

最大 8 個の冗長インターフェイスペアを設定できます。
両方のメンバーインターフェイスが同じ物理タイプである必要があります。たとえば、両方ともギガビットイーサネットにする必要があります。

（注）

冗長インターフェイスは Firepower プラットフォームではサポートされていません。冗長インターフェイスをサポートするのは ASA 5500-X モデルだけです。

始める前に

名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。最初に名前を削除する必要があります。

注意	コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバーインターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [冗長インターフェイス（Redundant Interface）] をクリックします。
ステップ 4	[一般（General）] タブで、次のパラメータを設定します。 [冗長 ID（Redundant ID）]：1 ～ 8 の整数を設定します。 [プライマリインターフェイス（Primary Interface）]：ドロップダウンリストからインターフェイスを選択します。インターフェイスを追加すると、インターフェイスのコンフィギュレーション（IP アドレスなど）はすべて削除されます。 [セカンダリインターフェイス（Secondary Interface）]：2 番目のインターフェイスは、最初のインターフェイスと同じ物理的なタイプである必要があります。
ステップ 5	[OK] をクリックします。
ステップ 6	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。
ステップ 7	（任意） VLAN サブインターフェイスを追加します。サブインターフェイスの追加を参照してください。
ステップ 8	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはブリッジグループインターフェイスの設定を参照してください。

EtherChannel の設定

ここでは、EtherChannel ポートチャネルインターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

ガイドライン

モデルのインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
各チャネルグループには、最大 16 個のアクティブインターフェイスを持たせることができます。ただし、Firepower 1000 または 2100 は、8 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。
チャネルグループのすべてのインターフェイスは、同じタイプ、速度、および二重通信である必要があります。半二重はサポートされません。

（注）

Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel（ポートチャネル）の追加を参照してください。

始める前に

名前が設定されている場合は、物理インターフェイスをチャネルグループに追加できません。最初に名前を削除する必要があります。

（注）

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバーインターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [Ether Channel インターフェイス（Ether Channel Interface）] をクリックします。
ステップ 4	[一般（General）] タブで、[イーサネットチャネルID（Ether Channel ID）] を 1 ～ 48（Firepower 1010 の場合は 1 および 8）の数値に設定します。
ステップ 5	[使用可能なインターフェイス（Available Interfaces）] 領域でインターフェイスをクリックし、[追加（Add）] をクリックして [選択したインターフェイス（Selected Interface）] 領域にそのインターフェイスを移動します。メンバーを作成するすべてのインターフェイスに対して繰り返します。すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。FMC では、一致しないインターフェイスの追加は防止されません。
ステップ 6	（任意） [詳細（Advanced）] タブをクリックして EtherChannel をカスタマイズします。[情報（Information）] サブタブで次のパラメータを設定します。（ASA 5500-X モデルのみ）[ロードバランシング（Load Balance）]：パケットをグループチャネルインターフェイス間でロードバランスするために使用する基準を選択します。デフォルトでは、FTD デバイスはパケットの送信元および宛先 IP アドレスに従って、インターフェイスでのパケットのロードをバランスします。パケットが分類される基準になるプロパティを変更する場合は、別の基準のセットを選択します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。ロードバランシングの詳細については、ロードバランシングを参照してください。 [LACP モード（LACP Mode）]：[アクティブ（Active）]、[パッシブ（Passive）]、または [オン（On）] を選択します。[アクティブ（Active）] モード（デフォルト）を使用することを推奨します。（ASA 5500-X モデルのみ）[アクティブな物理インターフェイス：範囲（Active Physical Interface: Range）]：左側のドロップダウンリストから、EtherChannel をアクティブにするために必要なアクティブインターフェイスの最小数を 1 ～ 16 の範囲で選択します。デフォルトは 1 です。右側のドロップダウンリストから、EtherChannel で許可されるアクティブインターフェイスの最大数を 1 ～ 16 の範囲で選択します。デフォルトは 16 です。スイッチが 16 個のアクティブインターフェイスをサポートしていない場合、このコマンドは必ず 8 以下に設定する必要があります。 [アクティブな MAC アドレス（Active Mac Address）]：必要に応じて手動 MAC アドレスを設定します。mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
ステップ 7	（任意） [ハードウェア構成（Hardware Configuration）] タブをクリックしてデュプレックスと速度を設定し、すべてのメンバーインターフェイスでこれらの設定を上書きします。これらのパラメータはチャネルグループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。
ステップ 8	[OK] をクリックします。
ステップ 9	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。
ステップ 10	（任意） VLAN サブインターフェイスを追加します。サブインターフェイスの追加を参照してください。
ステップ 11	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはブリッジグループインターフェイスの設定を参照してください。

VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

VLAN サブインターフェイスのガイドラインと制限事項

モデルのサポート

Firepower 1010：VLAN サブインターフェイスは、スイッチポートまたは VLAN インターフェイスではサポートされていません。

高可用性

フェールオーバーリンクまたは状態リンクにサブインターフェイスを使用することはできません。ただし、コンテナインターフェイスの場合は Firepower 4100/9300 シャーシに定義されているサブインターフェイスを使用できます。

その他のガイドライン

物理インターフェイス上のタグなしパケットの禁止：サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイスペアのアクティブな物理インターフェイスと EtherChannel リンクにも当てはまります。サブインターフェイスでトラフィックを通過させるには物理、冗長、または EtherChannel インターフェイスを有効にする必要があるため、インターフェイスに名前を設定しないことでトラフィックを通過させないようにします。物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスでタグのないパケットを通過させる場合は、通常通り名前を設定できます。
インターフェイスのサブインターフェイスは設定できません。
同じ親インターフェイスのすべてのサブインターフェイスは、ブリッジグループメンバーかルーテッドインターフェイスのいずれかである必要があります。混在および一致はできません。
FTD はダイナミックトランキングプロトコル（DTP）をサポートしないため、接続されているスイッチポートを無条件にトランキングするように設定する必要があります。
親インターフェイスと同じ組み込みの MAC アドレスを使用するので、FTD で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービスプロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、FTD で特定のインスタンスでのトラフィックの中断を避けることができます。

デバイスモデルによる VLAN サブインターフェイスの最大数

デバイスモデルにより、設定できる VLAN サブインターフェイスの最大数が制限されます。データインターフェイスでのみサブインターフェイスを設定することができ、管理インターフェイスでは設定できないことに注意してください。

次の表で、各デバイスモデルの制限について説明します。


モデル	VLAN サブインターフェイスの最大数
Firepower 1010	60
Firepower 1120	512
Firepower 1140、1150	1024
Firepower 2100	1024
Firepower 4100	1024
Firepower 9300	1024
FTDv	50
ASA 5508-X	50
ASA 5516-X	100
ASA 5525-X	200
ASA 5545-X	300
ASA 5555-X	500
ISA 3000	100

サブインターフェイスの追加

1 つ以上のサブインターフェイスを物理インターフェイス、冗長インターフェイス、または PortChannel インターフェイスに追加します。

Firepower 4100/9300 の場合、コンテナインターフェイスで使用するためのサブインターフェイスを FXOS で作成します。コンテナインスタンスの VLAN サブインターフェイスの追加を参照してください。これらのサブインターフェイスは FMC のインターフェイスリストに表示されます。FMC にサブインターフェイスを追加することもできますが、FXOS にサブインターフェイスが定義されていない親インターフェイス上に限ります。

（注）

親の物理インターフェイスがタグなしのパケットを渡します。タグなしのパケットを渡さない場合は、セキュリティポリシーの親インターフェイスが含まれていないことを確認します。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、親インターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [サブインターフェイス（Sub Interface）] をクリックします。
ステップ 4	[全般（General）] で、次のパラメータを設定します。 [インターフェイス（Interface）]：サブインターフェイスを追加する物理、冗長、またはポートチャネルインターフェイスを選択します。 [サブインターフェイス ID（Sub-Interface ID）]：サブインターフェイス ID を 1 ～ 4294967295 の範囲の整数で入力します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。 [VLAN ID]：VLAN ID を 1 ～ 4094 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。この VLAN ID は一意である必要があります。
ステップ 5	[OK] をクリックします。
ステップ 6	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。
ステップ 7	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはブリッジグループインターフェイスの設定を参照してください。

ルーテッドモードとトランスペアレントモードのインターフェイスの設定

この項では、ルーテッドファイアウォールモードおよびトランスペアレントファイアウォールモードで、すべてのモデルに対応する標準のインターフェイス設定を完了するためのタスクについて説明します。

ルーテッドモードインターフェイスとトランスペアレントモードインターフェイスについて

ファイアウォールモードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、IP 最適化、TCP の正規化などのファイアウォール機能の対象となります。オプションで、セキュリティポリシーに従ってこのトラフィックに IPS 機能を設定することもできます。

設定できるファイアウォールインターフェイスのタイプは、ルーテッドモードとトランスペアレントモードのどちらのファイアウォールモードがそのデバイスに設定されているかによって異なります。詳細については、Firepower Threat Defense 用のトランスペアレントまたはルーテッドファイアウォールモードを参照してください。

ルーテッドモードインターフェイス（ルーテッドファイアウォールモードのみ）：ルーティングを行う各インターフェイスは異なるサブネット上にあります。
ブリッジグループインターフェイス（ルーテッドおよびトランスペアレントファイアウォールモード）：複数のインターフェイスをネットワーク上でグループ化することができ、Firepower Threat Defense デバイスはブリッジング技術を使用してインターフェイス間のトラフィックを通過させることができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス（BVI）が含まれます。ルーテッドモードでは、Firepower Threat Defense デバイスは BVI と通常のルーテッドインターフェイス間をルーティングします。トランスペアレントモードでは、各ブリッジグループは分離されていて、相互通信できません。

デュアル IP スタック（IPv4 および IPv6）

FTD デバイスは、インターフェイスで IPv6 アドレスと IPv4 アドレスの両方をサポートしています。IPv4 と IPv6 の両方で、デフォルトルートを設定してください。

ルーテッドモードおよびトランスペアレントモードのインターフェイスに関するガイドラインと制限事項

高可用性

フェールオーバーリンクは、この章の手順で設定しないでください。詳細については、「高可用性」の章を参照してください。
高可用性を使用する場合、データインターフェイスの IP アドレスとスタンバイアドレスを手動で設定する必要があります。DHCP および PPPoE はサポートされません。[モニタ対象インターフェイス（Monitored Interfaces）] 領域の [デバイス（Devices）] > [デバイス管理（Device Management）] > [高可用性（High Availability）] タブで、スタンバイ IP アドレスを設定します。詳細については、高可用性の章も参照してください。

IPv6

IPv6 はすべてのインターフェイスでサポートされます。
トランスペアレントモードでは、IPv6 アドレスは手動でのみ設定できます。
FTD デバイスは、IPv6 エニーキャストアドレスはサポートしません。

モデルのガイドライン

ブリッジされた ixgbevf インターフェイスを持つ VMware 上の FTDv では、のブリッジグループはサポートされません。
FirePOWER 2100 シリーズでは、ルーテッドモードのブリッジグループはサポートされません。

トランスペアレントモードとブリッジグループのガイドライン

64 のインターフェイスをもつブリッジグループを 250 まで作成できます。
直接接続された各ネットワークは同一のサブネット上にある必要があります。
FTD デバイスでは、セカンダリネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
デバイスとデバイス間の管理トラフィック、および FTD デバイスを通過するデータトラフィックの各ブリッジグループに対し、BVI の IP アドレスが必要です。IPv4 トラフィックの場合は、IPv4 アドレスを指定します。IPv6 トラフィックの場合は、IPv6 アドレスを指定します。
IPv6 アドレスは手動でのみ設定できます。
BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。サブネットにホストサブネット（255.255.255.255）を設定することはできません。
管理インターフェイスはブリッジグループのメンバーとしてサポートされません。
ブリッジされた ixgbevf インターフェイスを備えた VMware の FTDv の場合、トランスペアレントモードはサポートされておらず、ブリッジグループはルーテッドモードではサポートされていません。
Firepower 2100 シリーズでは、ルーテッドモードのブリッジグループはサポートされません。
Firepower 1010 では、同じブリッジグループ内に論理 VLAN インターフェイスと物理ファイアウォールインターフェイスを混在させることはできません。
Firepower 4100/9300 では、データ共有インターフェイスはブリッジグループのメンバーとしてサポートされません。
トランスペアレントモードでは、少なくとも 1 つのブリッジグループを使用し、データインターフェイスがブリッジグループに属している必要があります。
トランスペアレントモードでは、接続されたデバイス用のデフォルトゲートウェイとして BVI IP アドレスを指定しないでください。デバイスは FTD の他方側のルータをデフォルトゲートウェイとして指定する必要があります。
トランスペアレントモードでは、管理トラフィックの戻りパスを指定するために必要なデフォルト ルートは、1 つのブリッジグループネットワークからの管理トラフィックにだけ適用されます。これは、デフォルトルートはブリッジグループのインターフェイスとブリッジグループネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルトルートしか定義できないためです。複数のブリッジグループネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別する標準のスタティックルートを指定する必要があります。
トランスペアレントモードでは、PPPoE はインターフェイスでサポートされません。
透過モードは、Amazon Web Services、Microsoft Azure、Google Cloud Platform、および Oracle Cloud Infrastructure にデプロイされた脅威防御仮想インスタンスではサポートされていません。
ルーテッドモードでは、ブリッジグループと他のルーテッドインターフェイスの間をルーティングするために、BVI を指定する必要があります。
ルーテッドモードでは、FTD 定義の EtherChannel インターフェイスがブリッジグループのメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。
Bidirectional Forwarding Detection（BFD）エコーパケットは、ブリッジグループメンバを使用するときに、FTD を介して許可されません。BFD を実行している FTD の両側に 2 つのネイバーがある場合、FTD は BFD エコーパケットをドロップします。両方が同じ送信元および宛先 IP アドレスを持ち、LAND 攻撃の一部であるように見えるからです。

その他のガイドラインと要件

FTD では、ファイアウォールインターフェイスについては、パケットで 802.1Q ヘッダーが 1 つだけサポートされ、複数のヘッダー（Q-in-Q）はサポートされません。注：インラインセットとパッシブインターフェイスについては、FTD で Q-in-Q がサポートされ、パケットで 802.1Q ヘッダーが 2 つまでサポートされます。ただし、Firepower 4100/9300 は例外で、802.1Q ヘッダーは 1 つだけサポートされます。

ルーテッドモードのインターフェイスの設定

この手順では、名前、セキュリティゾーン、および IPv4 アドレスを設定する方法について説明します。

始める前に

Firepower 4100/9300
1. 物理インターフェイスの設定
2. （任意）特別なインターフェイスを設定します。
  - EtherChannel（ポートチャネル）の追加
  - コンテナインスタンスの VLAN サブインターフェイスの追加 FXOS で次を実行します。
  - FMC でのサブインターフェイスの追加
（任意）他のすべてのモデル：

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 5	（任意）このインターフェイスを [管理専用（Management Only）] に設定してトラフィックを管理トラフィックに制限します。through-the-box トラフィックは許可されていません。
ステップ 6	（任意） [Description] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 7	[モード（Mode）] ドロップダウンリストで、[なし（None）] を選択します。通常のファイアウォールインターフェイスのモードは [なし（None）] に設定されています。他のモードは IPS 専用インターフェイスタイプ向けです。
ステップ 8	[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。ルーテッドインターフェイスは、ルーテッドタイプインターフェイスであり、ルーテッドタイプのゾーンにのみ属することができます。
ステップ 9	MTU についてはMTU の設定を参照してください。
ステップ 10	[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。高可用性およびクラスタリングインターフェイスは、静的 IP アドレス構成のみをサポートします。DHCP および PPPoE はサポートされていません。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。ハイアベイラビリティの場合は、静的 IP アドレスのみを使用できます。[モニター対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニターできず、リンクステートをトラックすることしかできません。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバーからデフォルトルートを取得します。 [DHCPルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。 [PPPoE を使用（Use PPPoE）]：インターフェイスが DSL、ケーブルモデム、またはその他の手段で ISP に接続されていて、ISP が PPPoE を使用して IP アドレスを割り当てる場合は、次のパラメータを設定します。 [VPDN グループ名（VPDN Group Name）]：この接続を表すために選択するグループ名を指定します。 [PPPoE ユーザ名（PPPoE User Name）]：ISP によって提供されたユーザ名を指定します。 [PPPoE パスワード/パスワードの確認（PPPoE Password/Confirm Password）]：ISP によって提供されたパスワードを指定し、確認します。 [PPP 認証（PPP Authentication）]：[PAP]、[CHAP]、または [MSCHAP] を選択します。 PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリアテキストパスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。 [PPPoE ルートメトリック（PPPoE route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます。有効な値は 1 ～ 255 です。デフォルトでは、学習したルートのアドミニストレーティブディスタンスは 1 です。 [ルート設定の有効化（Enable Route Settings）]：手動で PPPoE の IP アドレスを設定するには、このチェックボックスをオンにして、[IP アドレス（IP Address）] を入力します。 [ルート設定を有効化（Enable Route Settings）] チェックボックスをオンにして、[IPアドレス（IP Address）] を空欄にした場合、ip address pppoe setroute コマンドが次のように適用されます。 `interface GigabitEthernet0/2 nameif inside2_pppoe cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 pppoe client vpdn group test pppoe client route distance 10 ip address pppoe setroute` [フラッシュにユーザー名とパスワードを保存（Store Username and Password in Flash）]：フラッシュメモリにユーザー名とパスワードを保存します。 FTD デバイスは、NVRAM の特定の場所にユーザー名とパスワードを保存します。
ステップ 11	（任意） IPv6 アドレスの設定を参照して [IPv6] タブでの IPv6 アドレスを設定します。
ステップ 12	（任意） MAC アドレスの設定を参照して [詳細設定（Advanced）] タブで MAC アドレスを手動で設定します。
ステップ 13	（任意） [ハードウェア構成（Hardware Configuration）] をクリックして、デュプレックスと速度を設定します。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。RJ-45 インターフェイスのデフォルトは [自動（Auto）] です。SFP インターフェイスでは [自動（Auto）] を選択できません。 [速度（Speed）]：[自動（Auto）] を選択してインターフェイスに速度、リンクステータス、フロー制御をネゴシエートさせるか（[自動（Auto）] は RJ-45 インターフェイスでのみ使用可能）、または特定の速度（[10]、[100]、[1000]、[10000] Mbps）を選択します。SFP インターフェイスの場合、速度を設定すると、リンクステータスとフロー制御の自動ネゴシエーションが有効になります。SFP インターフェイスの場合、ハードウェアによっては、[ネゴシエートなし（No Negotiate）] を選択して、速度を 1000 に設定し、リンクネゴシエーションを無効化できます。
ステップ 14	[OK] をクリックします。
ステップ 15	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

ブリッジグループインターフェイスの設定

ブリッジグループは、Firepower Threat Defense デバイスがルーティングではなくブリッジするインターフェイスのグループです。ブリッジグループはトランスペアレントファイアウォールモード、ルーテッドファイアウォールモードの両方でサポートされています。ブリッジグループの詳細については、ブリッジグループについてを参照してください。

ブリッジグループと関連インターフェイスを設定するには、次の手順を実行します。

ブリッジグループメンバーの一般的なインターフェイスパラメータの設定

この手順は、ブリッジグループメンバーインターフェイスの名前とセキュリティゾーンを設定する方法について説明します。同じブリッジグループで、さまざまな種類のインターフェイス（物理インターフェイス、VLAN サブインターフェイス、VNI インターフェイス、Firepower 1010 VLAN インターフェイス、EtherChannel、冗長インターフェイス）を含めることができます。インターフェイスはサポートされていません。ルーテッドモードでは、EtherChannel はサポートされません。Firepower 4100/9300 では、データ共有タイプのインターフェイスはサポートされていません。

始める前に

Firepower 4100/9300
1. 物理インターフェイスの設定
2. （任意）特別なインターフェイスを設定します。
  - EtherChannel（ポートチャネル）の追加
  - コンテナインスタンスの VLAN サブインターフェイスの追加 FXOS で次を実行します。
  - FMC でのサブインターフェイスの追加
（任意）他のすべてのモデル：

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 5	（任意）このインターフェイスを [管理専用（Management Only）] に設定してトラフィックを管理トラフィックに制限します。through-the-box トラフィックは許可されていません。
ステップ 6	（任意） [Description] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 7	[モード（Mode）] ドロップダウンリストで、[なし（None）] を選択します。通常のファイアウォールインターフェイスのモードは [なし（None）] に設定されています。他のモードは IPS 専用インターフェイスタイプ向けです。このインターフェイスをブリッジグループに割り当てると、[スイッチド（Switched）] がモードに表示されます。
ステップ 8	[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。ブリッジグループメンバーインターフェイスは、スイッチドタイプインターフェイスであり、スイッチドタイプのゾーンにのみ属することができます。このインターフェイスに対して IP アドレス設定は行わないでください。ブリッジ仮想インターフェイス（BVI）に対してのみ IP アドレスを設定します。BVI はゾーンに属しておらず、BVI にはアクセスコントロールポリシーを適用できないことに注意してください。
ステップ 9	MTU についてはMTU の設定を参照してください。
ステップ 10	（任意） [ハードウェア構成（Hardware Configuration）] をクリックして、デュプレックスと速度を設定します。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。RJ-45 インターフェイスのデフォルトは [自動（Auto）] です。SFP インターフェイスでは [自動（Auto）] を選択できません。 [速度（Speed）]：[自動（Auto）] を選択してインターフェイスに速度、リンクステータス、フロー制御をネゴシエートさせるか（[自動（Auto）] は RJ-45 インターフェイスでのみ使用可能）、または特定の速度（[10]、[100]、[1000]、[10000] Mbps）を選択します。SFP インターフェイスの場合、速度を設定すると、リンクステータスとフロー制御の自動ネゴシエーションが有効になります。SFP インターフェイスの場合、ハードウェアによっては、[ネゴシエートなし（No Negotiate）] を選択して、速度を 1000 に設定し、リンクネゴシエーションを無効化できます。
ステップ 11	（任意） IPv6 アドレスの設定を参照して [IPv6] タブでの IPv6 アドレスを設定します。
ステップ 12	（任意） MAC アドレスの設定を参照して [詳細設定（Advanced）] タブで MAC アドレスを手動で設定します。
ステップ 13	[OK] をクリックします。
ステップ 14	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

ブリッジ仮想インターフェイス（BVI）の設定

ブリッジグループごとに、IP アドレスを設定する BVI が必要です。FTD はブリッジグループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、BVI IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカルアドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。

ルーテッドモードの場合、BVI に名前を指定すると、BVI がルーティングに参加します。名前を指定しなければ、ブリッジグループはトランスペアレントファイアウォールモードの場合と同じように隔離されたままになります。

（注）

個別のインターフェイスでは、設定できないブリッジグループ（ID 301）は、設定に自動的に追加されます。このブリッジグループはブリッジグループの制限に含まれません。

始める前に

セキュリティゾーンに BVI を追加することはできません。そのため、BVI にアクセスコントロールポリシーを適用することはできません。ゾーンに基づいてブリッジグループのメンバーインターフェイスにポリシーを適用する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	[インターフェイスの追加（Add Interfaces）] > [ブリッジグループインターフェイス（Bridge Group Interface）] を選択します。
ステップ 3	（ルーテッドモード）[名前（Name）] フィールドに、名前を 48 文字以内で入力します。トラフィックをブリッジグループメンバーの外部（たとえば、外部インターフェイスや他のブリッジグループのメンバー）にルーティングする必要がある場合は、BVI に名前を付ける必要があります。名前は大文字と小文字が区別されません。
ステップ 4	[ブリッジグループ ID（Bridge Group ID）] フィールドに、1 ～ 250 の間のブリッジグループ ID を入力します。
ステップ 5	（オプション）[説明（Description）] フィールドに、このブリッジグループの説明を入力します。
ステップ 6	[インターフェイス（Interfaces）] タブでインターフェイスをクリックし、[追加（Add）] をクリックして [選択したインターフェイス（Selected Interfaces）] 領域にそのインターフェイスを移動します。ブリッジグループのメンバーにするすべてのインターフェイスに対して繰り返します。
ステップ 7	（トランスペアレントモード）[IPv4] タブをクリックします。[IP アドレス（IP Address）] フィールドに IPv4 アドレスおよびサブネットマスクを入力します。 BVI にはホストアドレス（/32 または 255.255.255.255）を割り当てないでください。また、/30 サブネットなど（255.255.255.252）、ホストアドレスが 3 つ未満（アップストリームルータ、ダウンストリームルータ、トランスペアレントファイアウォールにそれぞれ 1 つずつ）の他のサブネットを使用しないでください。FTD デバイスは、サブネットの先頭アドレスと最終アドレスで送受信されるすべての ARP パケットをドロップします。たとえば、/30 サブネットを使用し、そのサブネットからアップストリームルータへの予約済みアドレスを割り当てた場合、FTD デバイスはダウンストリームルータからアップストリームルータへの ARP 要求をドロップします。ハイアベイラビリティの場合は、[モニター対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニターできず、リンクステートをトラックすることしかできません。
ステップ 8	（ルーテッドモード）[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。高可用性およびクラスタリングインターフェイスは、静的 IP アドレス設定のみをサポートします。DHCP はサポートされていません。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。ハイアベイラビリティの場合は、静的 IP アドレスのみを使用できます。[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニターできず、リンクステートをトラックすることしかできません。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバーからデフォルトルートを取得します。 [DHCPルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。
ステップ 9	（任意） IPv6 アドレッシングの設定については、IPv6 アドレスの設定を参照してください。
ステップ 10	（任意）スタティック ARP エントリの追加および静的 MAC アドレスの追加とのブリッジグループの MAC 学習の無効化（トランスペアレントモードの場合のみ）を参照して ARP と MAC を設定します。
ステップ 11	[OK] をクリックします。
ステップ 12	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

トランスペアレントモードの診断（管理）インターフェイスの設定

トランスペアレントファイアウォールモードでは、すべてのインターフェイスがブリッジグループに属している必要があります。唯一の例外は診断 slot/port インターフェイスです。Firepower 4100/9300 シャーシでは、診断インターフェイス ID は FTD 論理デバイスに割り当てた mgmt-type インターフェイスによって異なります。他のインターフェイスタイプは診断インターフェイスとして使用できません。設定できる診断インターフェイスは 1 つです。

始める前に

このインターフェイスをブリッジグループに割り当てないでください。設定できないブリッジグループ（ID 301）は、コンフィギュレーションに自動的に追加されます。このブリッジグループはブリッジグループの制限に含まれません。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	インターフェイスのをクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバーからデフォルトルートを取得します。 [DHCPルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。 [PPPoE の使用（Use PPPoE）]：次のパラメータを設定します。 [VPDN グループ名（VPDN Group Name）]：グループ名を指定します。 [PPPoE ユーザ名（PPPoE User Name）]：ISP によって提供されたユーザ名を指定します。 [PPPoE パスワード/パスワードの確認（PPPoE Password/Confirm Password）]：ISP によって提供されたパスワードを指定し、確認します。 [PPP 認証（PPP Authentication）]：[PAP]、[CHAP]、または [MSCHAP] を選択します。 PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリアテキストパスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。 [PPPoE ルートメトリック（PPPoE route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます。有効な値は 1 ～ 255 です。デフォルトでは、学習したルートのアドミニストレーティブディスタンスは 1 です。 [ルート設定の有効化（Enable Route Settings）]：手動で PPPoE の IP アドレスを設定するには、このチェックボックスをオンにして、[IP アドレス（IP Address）] を入力します。 [フラッシュにユーザー名とパスワードを保存（Store Username and Password in Flash）]：フラッシュメモリにユーザー名とパスワードを保存します。 FTD デバイスは、NVRAM の特定の場所にユーザー名とパスワードを保存します。
ステップ 5	（任意） IPv6 アドレッシングの設定については、IPv6 アドレスの設定を参照してください。
ステップ 6	（任意） [詳細設定（Advanced）] タブで、オプションの設定を実行します。「MAC アドレスの設定」を参照してください。スタティック ARP エントリの追加を参照してください。セキュリティの設定パラメータの設定を参照してください。
ステップ 7	[OK] をクリックします。
ステップ 8	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

IPv6 アドレスの設定

ここでは、ルーテッドモードおよびトランスペアレントモードで IPv6 アドレッシングを設定する方法について説明します。

IPv6 について

このセクションには、IPv6 に関する情報が含まれています。

IPv6 アドレス指定

次の 2 種類の IPv6 のユニキャストアドレスを設定できます。

グローバル：グローバルアドレスは、パブリックネットワークで使用可能なパブリックアドレスです。ブリッジグループの場合、このアドレスは各メンバーインターフェイスごとに設定するのではなく、BVI 用に設定する必要があります。また、トランスペアレントモードで管理インターフェイスのグローバルな IPv6 アドレスを設定することもできます。
リンクローカル：リンクローカルアドレスは、直接接続されたネットワークだけで使用できるプライベートアドレスです。ルータは、リンクローカルアドレスを使用してパケットを転送するのではなく、特定の物理ネットワークセグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決などのネイバー探索機能に使用できます。ブリッジグループでは、メンバーインターフェイスのみがリンクローカルアドレスを所有しています。BVI にはリンクローカルアドレスはありません。

最低限、IPv6 が動作するようにリンクローカルアドレスを設定する必要があります。グローバルアドレスを設定すると、リンクローカルアドレスがインターフェイスに自動的に設定されるため、リンクローカルアドレスを個別に設定する必要はありません。ブリッジグループインターフェイスでは、BVI でグローバルアドレスを設定した場合、FTD デバイスが自動的にメンバーインターフェイスのリンクローカルアドレスを生成します。グローバルアドレスを設定しない場合は、リンクローカルアドレスを自動的にするか、手動で設定する必要があります。

Modified EUI-64 インターフェイス ID

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」（インターネットプロトコルバージョン 6 アドレッシングアーキテクチャ）では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。FTD デバイスでは、ローカルリンクに接続されたホストにこの要件を適用できます。

この機能がインターフェイスで有効化されていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステムログメッセージが生成されます。


325003: EUI-64 source address check failed.

アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカルリンク上のホストに対してのみ実行できます。

グローバル IPv6 アドレスの設定

ルーテッドモードの任意のインターフェイスとトランスペアレントモードまたはルーテッドモードの BVI に対してグローバル IPv6 アドレスを設定するには、次の手順を実行します。

（注）

グローバルアドレスを設定すると、リンクローカルアドレスは自動的に設定されるため、別々に設定する必要はありません。ブリッジグループについて、BVI でグローバルアドレスを設定すると、すべてのメンバーインターフェイスのリンクローカルアドレスが自動的に設定されます。

FTD で定義されているサブインターフェイスの場合、親インターフェイスの同じ Burned-In MAC Address を使用するので、MAC アドレスも手動で設定することをお勧めします。IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、FTD で特定のインスタンスでのトラフィックの中断を避けることができます。MAC アドレスの設定を参照してください。

始める前に

ブリッジグループの IPv6 ネイバー探索では、双方向アクセスルールを使用して、FTD ブリッジグループメンバーインターフェイスでネイバー送信要求（ICMPv6 タイプ 135）およびネイバーアドバタイズメント（ICMPv6 タイプ 136）パケットを明示的に許可する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[IPv6] ページをクリックします。ルーテッドモードでは、[基本（Basic）] ページがデフォルトで選択されています。トランスペアレントモードでは、[アドレス（Address）] ページがデフォルトで選択されています。
ステップ 4	[基本（Basic）] ページで、[IPv6を有効にする（Enable IPv6）] をオンにします。
ステップ 5	グローバル IPv6 アドレスを次のいずれかの方法で設定します。（ルーテッドインターフェイス）ステートレス自動設定：[自動設定（Autoconfiguration）] チェックボックスをオンにします。インターフェイス上でステートレス自動設定を有効にすると、受信したルータアドバタイズメントメッセージのプレフィックスに基づいて IPv6 アドレスを設定します。ステートレスな自動設定が有効になっている場合、インターフェイスのリンクローカルアドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。 RFC 4862 では、ステートレス自動設定用に設定されたホストはルータアドバタイズメントメッセージを送信しないと規定されていますが、この場合は、FTD デバイスがルータアドバタイズメントメッセージを送信します。[IPv6] > [設定（Settings）] > [RA の有効化（Enable RA）] チェックボックスをオフにして、メッセージを抑制します。手動設定：グローバル IPv6 アドレスを手動で設定するには、次の手順を実行します。 [アドレス（Address）] ページ、[アドレスの追加（Add Address）] の順にクリックします。 [アドレスの追加（Add Address）] ダイアログボックスが表示されます。 [アドレス（Address）] フィールドに、インターフェイス ID を含む完全なグローバル IPv6 アドレス、または IPv6 プレフィックス長と IPv6 プレフィックスのいずれかを入力します。（ルーテッドモード）プレフィックスだけを入力した場合は、必ず [EUI-64 を適用（Enforce EUI 64）] チェックボックスをオンにして、Modified EUI-64 形式を使用してインターフェイス ID を生成するようにしてください。たとえば、2001:0DB8::BA98:0:3210/48（完全なアドレス）または 2001:0DB8::/48（プレフィックス、[EUI 64] はオン）。（[EUI 64の適用（Enforce EUI 64）] を設定しなかった場合は）ハイアベイラビリティのために、[モニター対象インターフェイス（Monitored Interfaces）] 領域の[デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）]ページでスタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。
ステップ 6	ルーテッドインターフェイスの場合は、必要に応じて [基本（Basic）] ページで次の値を設定できます。ローカルリンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用するには、[EUI-64 を適用（Enforce EUI-64）] チェックボックスをオンにします。リンクローカルアドレスを手動で設定するには、[リンクローカルアドレス（Link-Local address）] フィールドにアドレスを入力します。リンクローカルアドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。グローバルアドレスを設定する必要がなく、リンクローカルアドレスだけを設定する必要がある場合は、リンクローカルアドレスを手動で定義できます。Modified EUI-64 形式に基づくリンクローカルアドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカルアドレスによりパケットがドロップされることがあります。 [アドレス設定の DHCP を有効化（Enable DHCP for address config）] チェックボックスをオンにして、IPv6 ルータアドバタイズメントパケットの Managed Address Config フラグを設定します。 IPv6 ルータアドバタイズメント内のこのフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。 [アドレス設定の DHCP を有効化（Enable DHCP for address config）] チェックボックスをオンにして、IPv6 ルータアドバタイズメントパケットの Other Address Config フラグを設定します。 IPv6 ルータアドバタイズメント内のこのフラグは、DHCPv6 から DNS サーバーアドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
ステップ 7	ルーテッドインターフェイスの場合は、[プレフィックス（Prefixes）] ページと [設定（Settings）] ページでの設定について「IPv6 ネイバー探索の設定」を参照してください。BVI インターフェイスの場合は、[設定（Settings）] ページの以下のパラメータを参照してください。 [DAD 試行（DAD attempts）]：DAD 試行の最大数（1 ～ 600）。重複アドレス検出（DAD）プロセスをディセーブルにするには、この値を 0 に設定します。この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。デフォルトでは 1 になっています。 [NS 間隔（NS Interval）]：インターフェイスでの IPv6 ネイバー要請再送信の間隔（1000 ～ 3600000 ms）。デフォルト値は 1000 ミリ秒です。 [到達可能時間（Reachable Time）]：到達可能性確認イベントが発生した後でリモートの IPv6 ノードを到達可能とみなす時間（0 ～ 3600000 ms）。デフォルト値は 0 ミリ秒です。value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワークデバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ステップ 8	[OK] をクリックします。
ステップ 9	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

IPv6 ネイバー探索の設定

IPv6 ネイバー探索プロセスは、ICMPv6 メッセージおよび要請ノードマルチキャストアドレスを使用して、同じネットワーク（ローカルリンク）上のネイバーのリンク層アドレスを特定し、ネイバーの読み出し可能性を確認し、隣接ルータを追跡します。

ノード（ホスト）はネイバー探索を使用して、接続リンク上に存在することがわかっているネイバーのリンク層アドレスの特定や、無効になったキャッシュ値の迅速なパージを行います。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送しようとしている隣接ルータを検出します。さらに、ノードはこのプロトコルを使用して、どのネイバーが到達可能でどのネイバーがそうでないかをアクティブに追跡するとともに、変更されたリンク層アドレスを検出します。ルータまたはルータへのパスが失われると、ホストは機能している代替ルータまたは代替パスをアクティブに検索します。

始める前に

ルーテッドモードのみでサポートされます。トランスペアレントモードでサポートされる IPv6 ネイバー設定については、「グローバル IPv6 アドレスの設定」を参照してください。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[IPv6]、[プレフィックス（Prefixes）] の順にクリックします。
ステップ 4	（任意） IPv6 ルータアドバタイズメントに含める IPv6 プレフィックスを設定するには、次の手順を実行します。 [プレフィックスの追加（Add Prefix）] をクリックします。 [アドレス（Address）] フィールドに、プレフィックス長の IPv6 アドレスを入力するか、または [デフォルト（Default）] チェックボックスをオンにして、デフォルトのプレフィックスを使用します。（任意） IPv6 プレフィックスをアドバタイズしない場合は、[アドバタイズメント（Advertisement）] チェックボックスをオフにします。 [オフリンク（Off Link）] チェックボックスをオンにして、指定したプレフィックスがリンクに割り当てられたことを示します。指定したプレフィックスを含むアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。このプレフィックスは、オンリンクの判別には使用しないでください。指定されているプレフィックスを自動設定に使用する場合、[自動設定（Autoconfiguration）] チェックボックスをオンにします。 [プレフィックスライフタイム（Prefix Lifetime）] で、[期間（Duration）] または [失効日（Expiration Date）] をクリックします。 [期間（Duration）]：プレフィックスの [優先ライフタイム（Preferred Lifetime）] を秒単位で入力します。この設定は、指定の IPv6 プレフィックスが有効なものとしてアドバタイズする時間です。最大値は無限大です。有効な値は 0 ～ 4294967295 です。デフォルトは 2592000（30 日間）です。プレフィックスの [有効ライフタイム（Valid Lifetime）] を秒単位で入力します。この設定は、指定の IPv6 プレフィックスが優先であるとしてアドバタイズする時間です。最大値は無限大です。有効な値は 0 ～ 4294967295 です。デフォルト設定は、604800（7 日）です。または、[無限大（Infinite）] チェックボックスをオンにして、時間無制限を設定します。 [失効日（Expiration Date）]：[有効（Valid）]、[優先（Preferred）] 日時を選択します。 [OK] をクリックします。
ステップ 5	[設定（Settings）] をクリックします。
ステップ 6	（任意） [DAD 試行（DAD attempts）] の最大数、1 ～ 600 を設定します。デフォルトでは 1 になっています。重複アドレス検出（DAD）プロセスをディセーブルにするには、この値を 0 に設定します。この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。ステートレス自動設定プロセス中に、重複アドレス検出は、アドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を確認します。重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラーメッセージが生成されます。 `325002: Duplicate address ipv6_address/MAC_address on interface` 重複アドレスがインターフェイスのリンクローカルアドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバルアドレスであれば、そのアドレスは使用されません。
ステップ 7	（任意） [NS インターバル（NS Interval）] フィールドで、IPv6 ネイバー勧誘再送信の時間の間隔を、1000 ～ 3600000ms で設定します。デフォルト値は 1000 ミリ秒です。ローカルリンク上にある他のノードのリンクレイヤアドレスを検出するため、ノードからネイバー送信要求メッセージ（ICMPv6 Type 135）がローカルリンクに送信されます。ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバーアドバタイズメントメッセージ（ICPMv6 Type 136）をローカルリンク上に送信して応答します。送信元ノードがネイバーアドバタイズメントを受信すると、送信元ノードと宛先ノードが通信できるようになります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスが識別された後に、ネイバーの到達可能性の確認にも使用されます。ノードがあるネイバーの到達可能性を検証する場合、ネイバー送信要求メッセージ内の宛先アドレスとして、そのネイバーのユニキャストアドレスを使用します。ネイバーアドバタイズメントメッセージは、ローカルリンク上のノードのリンク層アドレスが変更されたときにも送信されます。
ステップ 8	（任意）到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を、[到達可能時間（Reachable Time）] フィールドにて、0 ～ 3600000ms で設定します。デフォルト値は 0 ミリ秒です。value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワークデバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ステップ 9	（任意）ルータアドバタイズメントの伝送を抑制にするには、[RA を有効にする（Enable RA）] チェックボックスをオフにします。ルータアドバタイズメントの伝送を有効にすると、RA ライフタイムと時間間隔を設定できます。ルータ要請メッセージ（ICMPv6 Type 133）に応答して、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）が自動的に送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定を行うことができます。 Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージをディセーブルにできます。 [RA ライフタイム（RA Lifetime）]：IPv6 ルータアドバタイズメントのルータのライフタイム値を、0 ～ 9000 秒で設定します。デフォルトは 1800 秒です。 [RA インターバル（RA Interval）]：IPv6 ルータアドバタイズメントの伝送の間の時間間隔を、3 ～ 1800 秒で設定します。デフォルトは 200 秒です。
ステップ 10	[OK] をクリックします。
ステップ 11	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

高度なインターフェイスの設定

この項では、通常のファイアウォールモードのインターフェイスの MAC アドレスの設定方法、最大伝送ユニット（MTU）の設定方法、およびその他の詳細パラメータの設定方法について説明します。

インターフェイスの詳細設定について

ここでは、インターフェイスの詳細設定について説明します。

MAC アドレスについて

手動で MAC アドレスを割り当ててデフォルトをオーバーライドできます。コンテナインスタンスでは、FXOS シャーシがすべてのインターフェイスに一意の MAC アドレスを自動的に生成します。

（注）

親インターフェイスと同じ組み込みの MAC アドレスを使用するので、FTD で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービスプロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、FTD デバイスで特定のインスタンスでのトラフィックの中断を回避できます。

（注）

コンテナインスタンスでは、MAC アドレスを手動で設定すると、サブインターフェイスを共有していない場合でも、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。

デフォルトの MAC アドレス

ネイティブインスタンス向け：

デフォルトの MAC アドレスの割り当ては、インターフェイスのタイプによって異なります。

物理インターフェイス：物理インターフェイスは Burned-In MAC Address を使用します。
VLAN インターフェイス（Firepower 1010）：ルーテッドファイアウォールモード：すべての VLAN インターフェイスが MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。MAC アドレスの設定を参照してください。

トランスペアレントファイアウォールモード：各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。を参照してくださいMAC アドレスの設定。
EtherChannel（Firepower Models）：EtherChannel の場合は、そのチャネルグループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対してトランスペアレントになります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないためです。ポートチャネルインターフェイスは、プールからの一意の MAC アドレスを使用します。インターフェイスのメンバーシップは、MAC アドレスには影響しません。
EtherChannel（ASA モデル）：ポートチャネルインターフェイスは、最も小さいチャネルグループインターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。または、ポートチャネルインターフェイスの MAC アドレスを設定することもできます。グループチャネルインターフェイスメンバーシップが変更された場合に備えて、一意の MAC アドレスを構成することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。
サブインターフェイス（FTD 定義済み）：物理インターフェイスのすべてのサブインターフェイスは同じバーンドイン MAC アドレスを使用します。サブインターフェイスに一意の MAC アドレスを割り当てることが必要になる場合があります。たとえば、サービスプロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、FTD で特定のインスタンスでのトラフィックの中断を避けることができます。

コンテナインスタンス向け：

すべてのインターフェイスの MAC アドレスは MAC アドレスプールから取得されます。サブインターフェイスでは、MAC アドレスを手動で設定する場合、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。コンテナインスタンスインターフェイスの自動 MAC アドレスを参照してください。

MTU について

MTU は、FTD デバイスが特定のイーサネットインターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU の値は、イーサネットヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレームサイズです。たとえば MTU を 1500 に設定した場合、想定されるフレームサイズはヘッダーを含めて 1518 バイト、VLAN を使用する場合は 1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

パス MTU ディスカバリ

FTD デバイスは、Path MTU Discovery（RFC 1191 の定義に従う）をサポートします。つまり、2 台のホスト間のネットワークパス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。

デフォルト MTU

FTD デバイスのデフォルト MTU は、1500 バイトです。この値には、イーサネットヘッダー、VLAN タギングや他のオーバーヘッド分の 18～22 バイトは含まれません。

MTU およびフラグメンテーション

IPv4 では、出力 IP パケットが指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは宛先（場合によっては中間ホップ）で組み立て直されますが、フラグメント化はパフォーマンス低下の原因となります。IPv6 では、通常、パケットをフラグメント化することはできません。したがって、フラグメント化を避けるために、IP パケットを MTU サイズ以内に収める必要があります。

TCP パケットでは、通常、エンドポイントは MTU を使用して TCP の最大セグメントサイズを決定します（MTU - 40 など）。途中で追加の TCP ヘッダーが追加された場合（たとえば、サイト間 VPN トンネル）、TCP MSS はトンネリングエンティティで下方調整しないといけない場合があります。 TCP MSS についてを参照してください。

UDP または ICMP の場合、アプリケーションではフラグメント化を避けるために MTU を考慮する必要があります。

（注）

FTD デバイスはメモリに空きがある限り、設定された MTU よりも大きいフレームを受信します。

MTU とジャンボフレーム

MTU が大きいほど、大きいパケットを送信できます。パケットが大きいほど、ネットワークの効率が良くなる可能性があります。次のガイドラインを参照してください。

トラフィックパスの MTU の一致：すべての FTD インターフェイスとトラフィックパス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。
ジャンボフレームへの対応：ジャンボフレームが有効な場合、MTU を 9,000 バイト以上に設定できます。最大値はモデルによって異なります。

TCP MSS について

最大セグメントサイズ（TCP MSS）とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイハンドシェイク中に、クライアントとサーバーは TCP MSS 値を交換します。

FlexConfig の Sysopt_Basic オブジェクトを使用して FTD デバイスで TCP MSS を通過トラフィック用に設定できます。「FTD の FlexConfig ポリシー」を参照してください。デフォルトで、最大 TCP MSS は 1,380 バイトに設定されます。この設定は、FTD デバイスが IPsec VPN カプセル化のパケットサイズを大きくする必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、FTD デバイスの最大 TCP MSS を無効化する必要があります。

最大 TCP MSS を設定すると、接続のいずれかのエンドポイントが FTD デバイスで設定した値よりも大きな TCP MSS を要求した場合に、FTD デバイスは要求パケットの TCP MSS を FTD デバイスの最大値で上書きします。ホストやサーバが TCP MSS を要求しない場合、FTD デバイスは RFC 793 のデフォルト値 536 バイト（IPv4）または 1220 バイト（IPv6）を想定しますが、パケットを変更することはありません。たとえば、MTU をデフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。FTD デバイスの最大 TCP MSS が 1380（デフォルト）の場合は、FTD デバイスは TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバは、1380 バイトのペイロードを含むパケットを送信します。FTD デバイスはさらに 120 バイトのヘッダーをパケットに追加しますが、それでも 1500 の MTU サイズに収まります。

TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、FTD デバイスは値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。

SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。FTD デバイスは MTU を使用して、TCP MSS を導き出します。MTU - 40（IPv4）または MTU - 60（IPv6）となります。

デフォルト TCP MSS

デフォルトでは、FTD デバイスの最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU のデフォルトの 1500 バイト内にも収まっています。

TCP MSS の推奨最大設定

デフォルトでは TCP MSS は、FTD デバイスが IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。FTD デバイスが IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。

MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして FTD デバイスを使用しない場合は、FlexConfig の Sysopt_Basic オブジェクトを使用して TCP MSS 設定を変更する必要があります。

（注）

MSS を明示的に設定した場合でも、TLS/SSL 復号やサーバ検出などのコンポーネントが特定の MSS を必要とする場合、その MSS はインターフェイス MTU に基づいて設定され、MSS 設定は無視されます。

次のガイドラインを参照してください。

通常のトラフィック：TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。一般に接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
IPv4 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボフレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
IPv6 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 140 に設定します。

ブリッジグループトラフィックの ARP インスペクション

デフォルトでは、ブリッジグループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします。

ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます（ARP スプーフィングと呼ばれる）のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイルータに送信すると、ゲートウェイルータはゲートウェイルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホストトラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

ARP インスペクションを有効化すると、FTD デバイスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティックエントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、FTD デバイスはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送（フラッディング）するか、またはドロップするようにFTD デバイスを設定できます。

（注）

専用のインターフェイスは、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

MAC アドレステーブル

ブリッジグループを使用する場合、FTD は、通常のブリッジまたはスイッチと同様に、MAC アドレスを学習して MAC アドレステーブルを作成します。デバイスがブリッジグループ経由でパケットを送信すると、FTD が MAC アドレスをアドレステーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、FTDは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。ブリッジグループメンバー間のトラフィックには FTD セキュリティポリシーが適用されるため、パケットの宛先 MAC アドレスがテーブルに含まれていなくても、通常のブリッジのように、すべてのインターフェイスに元のパケットを FTD がフラッディングすることはありません。代わりに、直接接続されたデバイスまたはリモートデバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット：FTD は宛先 IP アドレスに対して ARP 要求を生成し、ARP 応答を受信したインターフェイスを学習します。
リモートデバイスへのパケット：FTD は宛先 IP アドレスへの ping を生成し、ping 応答を受信したインターフェイスを学習します。

元のパケットはドロップされます。

デフォルト設定

ARP インスペクションを有効にした場合、デフォルト設定では、一致しないパケットはフラッディングします。
ダイナミック MAC アドレステーブルエントリのデフォルトのタイムアウト値は 5 分です。

デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、FTD デバイスは対応するエントリを MAC アドレステーブルに追加します。

（注）

Firepower Threat Defense デバイスはリセットパケットを生成し、ステートフル検査エンジンによって拒否された接続をリセットします。リセットパケットでは、パケットの宛先 MAC アドレスが ARP テーブルのルックアップに基づいて決定されるのではなく、拒否されるパケット（接続）から直接取得されます。

ARP インスペクションと MAC アドレステーブルのガイドライン

ARP インスペクションは、ブリッジグループでのみサポートされます。
MAC アドレステーブル構成は、ブリッジグループでのみサポートされます。

MTU の設定

たとえば、ジャンボフレームを許可するようにインターフェイスの MTU をカスタマイズします。

注意

デバイス上でデータインターフェイスの最大 MTU 値を変更し、設定の変更を展開すると、Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。インスペクションは、変更したインターフェイスだけでなく、すべてのデータインターフェイスで中断されます。この中断でトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスタイプに応じて異なります。この注意は、診断インターフェイスまたは管理専用のインターフェイスには適用されません。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

始める前に

MTU を 1500 バイトより大きい値に変更すると、自動的にジャンボフレームが有効になります。ASA モデルの場合、ジャンボフレームを使用するには、システムをリロードする必要があります。
インラインセットでインターフェイスを使用する場合、MTU 設定は使用されません。ただし、ジャンボフレームの設定はインラインセットに関連します。ジャンボフレームによりインラインインターフェイスは最大 9000 バイトのパケットを受信できます。ジャンボフレームを有効にするには、すべてのインターフェイスの MTU を 1500 バイトより大きい値に設定する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[一般（General）] タブで、[MTU] を 64 ～ 9198 バイトに設定します。最大値は Firepower Threat Defense Virtual では 9000、Firepower 4100/9300 シャーシ上の FTD では 9184 です。デフォルト値は 1500 バイトです。
ステップ 4	[OK] をクリックします。
ステップ 5	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。
ステップ 6	ASA モデルでは、MTU を 1500 バイトを超える値に設定する場合はシステムをリロードしてジャンボフレームを有効にします。

MAC アドレスの設定

MAC アドレスを手動で割り当てることが必要となる場合があります。また、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定することもできます。両方の画面でインターフェイスの MAC アドレスを設定した場合は、[インターフェイス（Interfaces）] > [詳細（Advanced）] タブのアドレスが優先されます。

（注）

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックします。 [情報（Information）] タブが選択されています。
ステップ 4	[アクティブな MAC アドレス（Active MAC Address）] フィールドに、MAC アドレスを H.H.H 形式で設定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。MAC アドレスはマルチキャストビットセットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。
ステップ 5	[スタンバイMACアドレス（Standby MAC Address）] フィールドに、ハイアベイラビリティで使用する MAC アドレスを入力します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイアドレスを使用します。
ステップ 6	[OK] をクリックします。
ステップ 7	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

スタティック ARP エントリの追加

デフォルトでは、ブリッジグループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします（ARP インスペクションの設定参照）。ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。

ルーテッドインターフェイスの場合、スタティック ARP エントリを入力できますが、通常はダイナミックエントリで十分です。ルーテッドインターフェイスの場合、直接接続されたホストにパケットを配送するために ARP テーブルが使用されます。送信者は IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合（たとえば、所定の IP アドレスの MAC アドレスが変更された場合など）、新しい情報で更新される前にこのエントリがタイムアウトする必要があります。

トランスペアレントモードの場合、管理トラフィックなどの FTD デバイスとの間のトラフィックに、FTD は ARP テーブルのダイナミック ARP エントリのみを使用します。

始める前に

この画面は、名前付きインターフェイスについてのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[ARP] タブをクリックします（トランスペアレントモードでは、[ARP と MAC（ARP and MAC）]）。
ステップ 4	[ARP 設定を追加（Add ARP Config）] をクリックします。 [ARP 設定を追加（Add ARP Config）] ダイアログボックスが表示されます。
ステップ 5	[IP アドレス（IP Address）] フィールドに、ホストの IP アドレスを入力します。
ステップ 6	[MAC アドレス（MAC Address）] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。
ステップ 7	このアドレスでプロキシ ARP を実行するには、[エイリアスを有効にする（Enable Alias）] チェックボックスをオンにします。 FTD デバイスは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。
ステップ 8	[OK] をクリックし、次にもう一度 [OK] をクリックして、[詳細設定（Advanced settings）] を閉じます。
ステップ 9	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

静的 MAC アドレスの追加とのブリッジグループの MAC 学習の無効化

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレステーブルに動的に追加されます。MAC アドレスラーニングを無効にすることができます。ただし、MAC アドレスをスタティックにテーブルに追加しないかぎり、トラフィックは FTD デバイスを通過できません。スタティック MAC アドレスは、MAC アドレステーブルに追加することもできます。スタティックエントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティックエントリと同じ MAC アドレスを持つクライアントが、そのスタティックエントリに一致しないインターフェイスにトラフィックを送信しようとした場合、FTD デバイスはトラフィックをドロップし、システムメッセージを生成します。スタティック ARP エントリを追加するときに（スタティック ARP エントリの追加を参照）、スタティック MAC アドレスエントリは MAC アドレステーブルに自動的に追加されます。

始める前に

この画面は、名前付きインターフェイスについてのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[ARP と MAC（ARP and MAC）] タブをクリックします。
ステップ 4	（任意） [MAC ラーニングを有効にする（Enable MAC Learning）] チェックボックスをオフにして MAC ラーニングを無効にします。
ステップ 5	スタティック MAC アドレスを追加するには、[MAC 設定を追加（Add MAC Config）] をクリックします。 [MAC 設定を追加（Add MAC Config）] ダイアログボックスが表示されます。
ステップ 6	[MAC アドレス（MAC Address）] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。[OK] をクリックします。
ステップ 7	[OK] をクリックして詳細設定を終了します。
ステップ 8	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

セキュリティの設定パラメータの設定

この項では、IP スプーフィングの防止方法、完全フラグメントリアセンブルの許可方法、および [プラットフォーム設定（Platform Settings）] でデバイスレベルで設定されるデフォルトのフラグメント設定のオーバーライド方法について説明します。

アンチスプーフィング

この項では、インターフェイスでユニキャストリバースパスフォワーディング（ユニキャスト RPF）を有効にします。ユニキャスト RPF は、ルーティングテーブルに従って、すべてのパケットが正しい送信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング（パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること）から保護します。

通常、FTD デバイスは、パケットの転送先を判定するときに宛先アドレスだけを調べます。ユニキャスト RPF は、送信元アドレスも調べるようにデバイスに指示します。そのため、リバースパスフォワーディング（Reverse Path Forwarding）と呼ばれます。FTD デバイスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをデバイスのルーティングテーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、FTD デバイスはデフォルトルートを使用してユニキャスト RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティングテーブルにない場合、デバイスはデフォルトルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

ルーティングテーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、FTD デバイスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート（デフォルトルート）が外部インターフェイスを示しているため、デバイスはパケットをドロップします。

ユニキャスト RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
UDP と TCP にはセッションがあるため、最初のパケットは逆ルートルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

パケットあたりのフラグメント

デフォルトでは、FTD デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。NFS over UDP など、アプリケーションが日常的にパケットをフラグメント化する場合は、ネットワークでフラグメント化を許可する必要があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、フラグメントが FTD デバイスを通過できないようにすることをお勧めします。フラグメント化されたパケットは、DoS 攻撃によく使われます。

フラグメントのリアセンブル

FTD デバイスは、次に示すフラグメントリアセンブルプロセスを実行します。

IP フラグメントは、フラグメントセットが作成されるまで、またはタイムアウト間隔が経過するまで収集されます。
フラグメントセットが作成されると、セットに対して整合性チェックが実行されます。これらのチェックには、重複、テールオーバーフロー、チェーンオーバーフローはいずれも含まれません。
FTD デバイスで終端する IP フラグメントは、常に完全にリアセンブルされます。
[完全フラグメントリアセンブル（Full Fragment Reassembly）] が無効化されている場合（デフォルト）、フラグメントセットは、さらに処理するためにトランスポート層に転送されます。
[完全フラグメントリアセンブル（Full Fragment Reassembly）] が有効化されている場合、フラグメントセットは、最初に単一の IP パケットに結合されます。この単一の IP パケットは、さらに処理するためにトランスポート層に転送されます。

始める前に

この画面は、名前付きインターフェイスでのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、FTDデバイスをクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	編集するインターフェイスをクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[セキュリティ設定（Security Configuration）] タブをクリックします。
ステップ 4	ユニキャストリバースパスフォワーディングを有効にするには、[アンチスプーフィング（Anti-Spoofing）] チェックボックスをオンにします。
ステップ 5	完全フラグメントリアセンブルを有効化するには、[完全フラグメントリアセンブル（Full Fragment Reassembly）] チェックボックスをオンにします。
ステップ 6	パケットごとに許容するフラグメント数を変更するには、[デフォルトフラグメント設定のオーバーライド（Override Default Fragment Setting）] チェックボックスをオンにして、次に示す値を設定します。サイズ（Size）：リアセンブルを待機する IP リアセンブルデータベースに格納可能なパケットの最大数を設定します。デフォルトは 200 です。この値を 1 に設定すると、フラグメントが無効化されます。チェーン（Chain）：1 つの完全な IP パケットにフラグメント化できる最大パケット数を指定します。デフォルトは 24 パケットです。タイムアウト（Timeout）：フラグメント化されたパケット全体が到着するまで待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントの到着後に開始されます。指定した秒数までに到着しなかったパケットフラグメントがある場合、到着済みのすべてのパケットフラグメントが廃棄されます。デフォルトは 5 秒です。
ステップ 7	[OK] をクリックします。
ステップ 8	[Save（保存）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。