インターフェイス

ここでは、脅威に対する防御 デバイスでインターフェイスを設定する方法について説明します。

Threat Defense インターフェイスについて

Threat Defense には、データインターフェイスや管理インターフェイスが組み込まれています。

インターフェイス接続にケーブルを(物理的または仮想的に)取り付ける場合、インターフェイスを設定する必要があります。少なくとも、インターフェイスに名前を付け、トラフィックを通過させるために有効化する必要があります。インターフェイスがブリッジ グループのメンバーである場合、これで十分です。ブリッジ グループのメンバーではない場合、インターフェイスに IP アドレスを付与する必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。これは、スイッチのトランク ポートに接続する場合に役立ちます。パッシブインターフェイスではIPアドレスを設定しません。

[インターフェイス(Interfaces)] ページには、インターフェイス タイプのサブページが含まれます。これらは、[インターフェイス(Interfaces)](物理インターフェイスの場合)、[ブリッジグループ(Bridge Groups)][仮想トンネル インターフェイス(Virtual Tunnel Interfaces)][EtherChannel]、および [VLAN](Firepower 1010 および Secure Firewall 1210/1220 の場合)です。Firepower 4100/9300 EtherChannel は [インターフェイス(Interfaces)] ページには表示されますが、[EtherChannel] ページには表示されないことに注意してください。これは、Device Manager ではなく FXOS の EtherChannel パラメータのみを変更できるためです。各ページに、利用可能なインターフェイスとそれぞれの名前、アドレス、モード、状態が示されます。インターフェイスのステータスは、インターフェイスのリストで直接オン/オフを変更できます。このリストは、設定に基づいたインターフェイス特性を示します。メンバーインターフェイスを参照するには、ブリッジ グループ インターフェイス上で [開く/閉じる(open/close)] 矢印を使用します。メンバーインターフェイスはリストにも表示されます。サポートされている親インターフェイスのサブインターフェイスを表示することもできます。これらのインターフェイスが仮想インターフェイスおよびネットワーク アダプタにどのようにマッピングされるかについては、Threat Defense の物理インターフェイスへの VMware ネットワークアダプタとインターフェイスのマッピング方法を参照してください。

以下の各トピックでは、Device Manager を使用してインターフェイスを設定する場合の制限事項、およびインターフェイス管理に関するその他の概念について説明します。

インターフェイス モード

インターフェイスごとに次のモードのいずれかを設定できます。

ルーテッド

レイヤ 3 ルーテッドインターフェイスはそれぞれ、一意のサブネットの IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。

インライン

インターフェイスをインラインセットに追加すると、モードがインラインに変更されます。インラインをモードとして直接選択することはできません。

パッシブ

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワークを流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で設定されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。

スイッチ ポート(Firepower 1010 および Cisco Secure Firewall 1210/1220
スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、脅威に対する防御 セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、それらを単一のVLANに割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。管理インターフェイスをスイッチポートとして設定することはできません。
BridgeGroupMember

ブリッジ グループは、脅威に対する防御 デバイスがルーティングではなくブリッジするインターフェイスのグループです。すべてのインターフェイスは同じネットワーク上にあります。ブリッジ グループは、ブリッジ ネットワーク上の IP アドレスを持つブリッジ仮想インターフェイス(BVI)によって表わされます。

BVI に名前を付けた場合、ルーテッド インターフェイスと BVI の間をルーティングできます。この場合、BVI はメンバー インターフェイスとルーテッド インターフェイスとの間のゲートウェイとして機能します。BVI に名前を付けない場合、ブリッジ グループのメンバー インターフェイス上のトラフィックはブリッジ グループから出ることはできません。通常、インターネットにメンバー インターフェイスをルーティングするため、インターフェイスに名前を付けます。

ルーテッドモードでブリッジグループを使用する方法として、外部スイッチの代わりに 脅威に対する防御 デバイスの予備インターフェイスを使用する方法があります。ブリッジ グループのメンバー インターフェイスにエンドポイントを直接接続できます。スイッチを接続して、さらに多くのエンドポイントを BVI として同じネットワークに追加することもできます。

管理/診断インターフェイス

管理インターフェイス

管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。Device Manager 管理、スマートライセンス、およびデータベースの更新に使用されます。または、管理インターフェイスの代わりにデータインターフェイスを使用して Threat Defense デバイスを管理できます。管理インターフェイスでは、独自のLinux IPアドレスとスタティックルーティングが使用されます。管理インターフェイスは、[デバイス] > [インターフェイス]ページで、またはconfigure network コマンドを使用してCLIで設定できます。

ハードウェアデバイスの場合、管理インターフェイスを設定する一つの方法は、ポートをネットワークに接続しないことです。代わりに、管理 IP アドレスのみを設定し、インターネットからの更新を取得するゲートウェイとしてのデータインターフェイスを使用するように設定します。次に、HTTPS/SSH トラフィック(デフォルトで HTTPS は有効)への内部インターフェイスを開き、内部 IP アドレスを使用して Device Manager を開きます(管理アクセス リストの設定 を参照)。

Threat Defense Virtual の推奨設定は、Management0/0 を内部インターフェイスと同じネットワークに接続し、内部インターフェイスをゲートウェイとして使用することです。

診断インターフェイス(レガシー)

7.3 以降を使用している新しいデバイスの場合、レガシー診断インターフェイスは使用できません。マージされた管理インターフェイスのみを使用できます。

7.4 以降にアップグレードし、診断インターフェイスの設定がない場合は、インターフェイスが自動的にマージされます。

7.4 以降にアップグレードし、診断インターフェイスの設定がある場合は、インターフェイスを手動でマージするか、別の診断インターフェイスを引き続き使用できます。診断インターフェイスのサポートは今後のリリースで削除されるため、できるだけ早くインターフェイスをマージする必要があります。管理インターフェイスと診断インターフェイスを手動でマージするには、管理インターフェイスと診断インターフェイスのマージを参照してください。自動マージを防止する設定には、次のものが含まれます。

  • 「管理」という名前のデータインターフェイス。この名前は、マージされた管理インターフェイスで使用するために予約されています。

  • 診断の IP アドレス

  • 診断で有効な DNS

  • Syslog、またはRADIUS (リモートアクセスVPN用)送信元インターフェイスが診断

  • 送信元インターフェイスが指定されておらず、管理専用(診断を含む)として設定されているインターフェイスが少なくとも1つあるADまたはRADIUS (リモートアクセスVPN用)。これらのサービスのデフォルト ルート ルックアップは、管理専用ルーティングテーブルからデータルーティングテーブルに変更されていて、管理にフォールバックされません。したがって、管理専用インターフェイスを使用するには、ルートルックアップに依存する代わりに、その特定のインターフェイスを選択する必要があります。

  • スタティックルートまたは診断のSLAモニタ

  • 診断を使用したFlexConfig

  • 診断用の DDNS

レガシー診断インターフェイスの動作の詳細については、このガイドの 7.3 バージョンを参照してください。

分離した管理ネットワークを設定する際の推奨事項

(ハードウェアデバイス)分離した管理ネットワークを使用する場合は、物理的管理インターフェイスをスイッチまたはルータに有線で接続します。

Threat Defense Virtual の場合、Management0/0 をデータ インターフェイスから分離したネットワークに接続します。管理 IP アドレスおよび内部インターフェイス IP アドレスは同じサブネットに存在するため、デフォルトの IP アドレスを引き続き使用している場合は、そのいずれかを変更する必要があります。

次に、[デバイス] > [インターフェイス]を選択し、管理インターフェイスを編集して、接続されたネットワークでIPv4アドレスまたはIPv6アドレス(あるいはその両方)を設定します。必要に応じて、IPv4 アドレスをネットワーク上の他のエンドポイントに指定するよう DHCP サーバを設定することもできます。管理ネットワーク上でインターネットまでのルートを持つルータが存在する場合は、それをゲートウェイとして使用します。それ以外の場合は、データインターフェイスをゲートウェイとして使用します。

セキュリティ ゾーン

各インターフェイスは、1 つのセキュリティ ゾーンに割り当てることができます。ゾーンに基づいてセキュリティ ポリシーを適用されます。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。

各ゾーンにはインターフェイスのモードに直接関係するモードがあります。インターフェイスは、同じモードのセキュリティゾーンにのみ追加できます。

ブリッジ グループの場合、メンバー インターフェイスをゾーンに追加することはできますが、ブリッジ仮想インターフェイス(BVI)を追加することはできません。

ゾーンに管理インターフェイスは含めないでください。ゾーンはデータインターフェイスにのみ適用できます。

セキュリティ ゾーンは [オブジェクト(Objects)] ページで作成できます。

IPv6 アドレッシング

IPv6 に対して次の 2 種類のユニキャスト アドレスを設定できます。

  • グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。ブリッジ グループの場合、各メンバーインターフェイスではなくブリッジ仮想インターフェイス(BVI)上でグローバル アドレスを設定します。次のいずれもグローバル アドレスとしては指定できません。

    • 内部で予約済みの IPv6 アドレス:fd00::/56(from=fd00:: to= fd00:0000:0000:00ff:ffff:ffff:ffff:ffff)

    • 未指定アドレス(::/128 など)

    • ループバック アドレス、::1/128

    • マルチキャスト アドレス、ff00::/8

    • リンクローカル アドレス、fe80::/10

  • リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。ブリッジグループでは、BVI で IPv6 を有効化すると、各ブリッジ グループ メンバー インターフェイスのリンクローカル アドレスが自動的に設定されます。リンクローカル アドレスがセグメントでのみ使用可能であり、インターフェイス MAC アドレスに接続されているため、各インターフェイスは独自のアドレスを持つ必要があります。

最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動または手動で設定する必要があります。

Auto-MDI/MDIX 機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

インターフェイスに関する注意事項と制限事項

ここでは、インターフェイスに関する制限事項について説明します。

インターフェイスの設定に関する制限

Device Manager を使用してデバイスを設定する場合、インターフェイス設定に関するいくつかの制限があります。次の機能のいずれかが必要である場合、デバイスを設定するためにManagement Centerを使用する必要があります。

  • ルーテッド ファイアウォール モードのみがサポートされます。トランスペアレント ファイアウォール モードのインターフェイスは設定できません。

  • パッシブ インターフェイスの設定は可能ですが、ERSPAN インターフェイスの設定はできません。

  • 冗長インターフェイスは設定できません。

  • Device Manager で EtherChannel を設定できるモデルは、Firepower 1000、Cisco Secure Firewall 3100、ISA 3000 です。Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。Firepower 4100/9300 の Etherchannel は、単一の物理インターフェイスとともに Device Manager の [Interfaces] ページに表示されます。

  • 追加できるブリッジ グループは 1 つだけです。

  • Threat Defense は、ルーテッドインターフェイスでのみ IPv4 PPPoE をサポートします。PPPoE は、ハイアベイラビリティ ユニットではサポートされません。

デバイス モデルによる VLAN サブインターフェイスの最大数

デバイス モデルにより、設定できる VLAN サブインターフェイスの最大数が制限されます。データ インターフェイスでのみサブインターフェイスを設定することができ、管理インターフェイスでは設定できないことに注意してください。

次の表で、各デバイス モデルの制限について説明します。

モデル

VLAN サブインターフェイスの最大数

Firepower 1010

60

Firepower 1120

512

Firepower 1140、1150

1024

Cisco Secure Firewall 1200

1024

Cisco Secure Firewall 3100

1024

Firepower 4100

1024

Firepower 9300

1024

Threat Defense Virtual

50

ISA 3000

100

物理インターフェイスの設定

少なくとも 1 つの物理インターフェイスを有効にして使用できるようにする必要があります。通常は名前も付けて、IP アドレッシングを設定します。VLAN サブインターフェイスを設定する予定の場合、パッシブ モード インターフェイスを設定している場合、またはインターフェイスをブリッジ グループに追加する予定の場合は、IP アドレスを設定しません。 Firepower 4100/9300 EtherChannel は、単一の物理インターフェイスとともに Device Manager の [インターフェイス(Interfaces)] ページに表示され、この手順はそれらの EtherChannel にも適用されます。シャーシ上の FXOS で、Firepower 4100/9300 Etherchannel のすべてのハードウェア設定を実行する必要があります。


(注)  


物理インターフェイスを Firepower 1010 および Cisco Secure Firewall 1210/1220 スイッチポートとして設定するには、VLAN インターフェイスとスイッチ ポートの構成(1010/1210/1220)を参照してください。

物理インターフェイスをパッシブインターフェイスとして設定するには、パッシブ モードでの物理インターフェイスの設定を参照してください。


接続されたネットワークでの送信を一時的に防ぐために、インターフェイスを無効にできます。インターフェイスの設定を削除する必要はありません。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

編集する物理インターフェイスの [編集(edit)] アイコン(edit icon)をクリックします。

ハイ アベイラビリティ設定でフェールオーバー リンクまたはステートフル フェールオーバー リンクとして使用しているインターフェイスを編集することはできません。

ステップ 3

次の設定を行います。

  1. [インターフェイス名(Interface Name)] を設定します。

    インターフェイスの名前(最大 48 文字)を設定します。英字は小文字でなければなりません。例、[inside] または [outside]。名前を設定しないと、インターフェイスの残りの設定が無視されます。サブインターフェイスを設定するのでない限り、インターフェイスには名前が必要です。注:EtherChannel に追加するインターフェイスの名前は設定しないでください。

    (注)  

     

    名前を変更すると、以前の名前が使用されていたすべての箇所(セキュリティ ゾーン、syslog サーバ オブジェクト、DHCP サーバ定義など)で変更が自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  2. [モード(Mode)]を選択します。

    • [ルーテッド(Routed)]:ルーテッド モード インターフェイスでは、トラフィックはフローの維持、IP 層と TCP 層の両方でのフロー状態のトラッキング、IP の最適化、TCP の正規化、ファイアウォール ポリシーなど、すべてのファイアウォール機能の管理下に置かれます。これが通常のインターフェイス モードです。

    • [インライン(Inline)]:インターフェイスをインラインセットに追加すると、モードがインラインに変更されます。インラインをモードとして直接選択することはできません。インラインセットで使用するインターフェイスを編集する場合は、初期モードとしてルーテッドモードを選択し、どのタイプの IP アドレッシングも設定しないでください。

    • [パッシブ(Passive)]:パッシブ インターフェイスは、スイッチ SPAN またはミラー ポートを使用してネットワーク中のトラフィック フローをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で設定されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。このモードを選択する場合、残りの手順は実行しないでください。代わりに、「パッシブ モードでの物理インターフェイスの設定」を参照してください。パッシブインターフェイスには IP アドレスを設定できません。

    • [スイッチポート(Switch Port)]:(Firepower 1010 および Cisco Secure Firewall 1210/1220)スイッチポートは、同じ VLAN 上のポート間でのハードウェアスイッチングを可能にします。スイッチングされたトラフィックはセキュリティポリシーの対象にはなりません。このモードを選択する場合、残りの手順は実行しないでください。代わりに、次を参照してください。 VLAN インターフェイスとスイッチ ポートの構成(1010/1210/1220)

    後でこのインターフェイスをブリッジ グループに追加すると、モードは自動的に「BridgeGroupMember」に変更されます。ブリッジグループのメンバーインターフェイスには IP アドレスを設定できません。

  3. [ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

    Firepower 4100/9300 デバイス上のインターフェイスの場合は、FXOS でもインターフェイスを有効にする必要があります。

    この物理インターフェイスのサブインターフェイスを設定する場合は、これで完了です。[保存(Save)] をクリックして、VLAN サブインターフェイスと 802.1Q トランキングの設定を続けます。それ以外の場合は、次のステップを続けます。

    (注)  

     

    サブインターフェイスを設定するとしても、インターフェイスに名前を付けて IP アドレスを指定することはできます。これは通常のセットアップではありませんが、このようにセットアップすることが必要であると分かっている場合は、そのように設定できます。

  4. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 4

[IPv4 アドレス(IPv4 Address)] タブをクリックし、IPv4 アドレスを設定します。

[タイプ(Type)] フィールドで以下のいずれかのオプションを選択します。

  • [DHCP]:ネットワーク上の DHCP サーバからアドレスを取得する場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルート メトリック(Route Metric)]:DHCP サーバからデフォルト ルートを取得する場合の、学習されるルートまでのアドミニストレーティブ ディスタンス(1 から 255)。デフォルトは 1 です。

    • [デフォルト ルートを取得(Obtain Default Route)]:DHCP サーバからデフォルト ルートを取得するかどうかを指定します。通常は、デフォルトとなっているこのオプションを選択します。

  • [静的(Static)]:固定アドレスを割り当てる場合は、このオプションを選択します。インターフェイスの IP アドレスとインターフェイスに接続されたネットワークのサブネット マスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続した場合、10.100.10.1/24 と入力できます。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    ハイ アベイラビリティを設定し、HA についてこのインターフェイスをモニタしている場合は、スタンバイ IP アドレスも同じサブネットに設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレス プールを構成する必要があります。DHCP サーバの設定を参照してください。

  • [PPPoE]:ポイントツーポイント プロトコル(PPPoE)を使用してアドレスを取得する必要がある場合は、このオプションを選択します。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ハイアベイラビリティを設定する場合、このオプションは使用できません。次の値を設定します。

    • [グループ名(Group Name)]:この接続を表すために選択したグループ名を指定します。

    • [PPPoEユーザ名(PPPoE Username)]:ISP によって提供されたユーザ名を指定します。

    • [PPPoEパスワード(PPPoE Password)]:ISP によって提供されたパスワードを指定します。

    • [PPP 認証(PPP Authentication)]:[PAP]、[CHAP]、または [MSCHAP] を選択します。

      PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリア テキスト パスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。

    • [PPPoEの学習済みルートメトリック(PPPoE Learned Route Metric)]:アドミニストレーティブ ディスタンスを既知のルートに割り当てます。有効な値は 1 ~ 255 です。デフォルトでは、学習したルートのアドミニストレーティブ ディスタンスは 1 です。

    • [PPPoEからデフォルトルートを取得(Obtain Default Route from PPPoE)]:PPPoE サーバからのデフォルトルートの取得を有効にするには、このチェックボックスをオンにします。

    • [IPアドレスタイプ(Ip Address Type)]:PPPoE サーバから IP アドレスを取得するには、[動的(Dynamic)] を選択します。ISP から静的 IP アドレスが割り当てられている場合は、[静的(Static)] を選択することもできます。

ステップ 5

(オプション)。[IPv6 アドレス(IPv6 Address)] タブをクリックし、IPv6 アドレスを設定します。

  • [状態(State)]:IPv6 プロセスを有効にし、グローバル アドレスを設定しない場合にリンクローカル アドレスを自動的に設定するには、[有効化(Enabled)] を選択します。リンクローカル アドレスは、インターフェイスの MAC アドレスに基づいて生成されます(Modified EUI-64 形式)。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスで設定されているインターフェイスまたは自動設定が有効になっているインターフェイスでの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:このオプションは、アドレスを自動的に設定する場合に選択します。IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカルな IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、Threat Defense デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [スタティック アドレス/プレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全に静的なグローバル IPv6 アドレスおよびネットワーク プレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、IPv6 アドレッシングを参照してください。

    アドレスをリンクローカルとしてのみ使用する場合は、[リンクローカル(Link-Local)] オプションを選択します。リンクローカル アドレスは、ローカル ネットワークの外部ではアクセスできません。ブリッジ グループ インターフェイスにリンクローカル アドレスを設定することはできません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ IP アドレス(Standby IP Address)]:高可用性を設定し、HA に関してこのインターフェイスをモニタリングしている場合は、同じサブネットにスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

  • [RAを抑制(Suppress RA)]:ルータ アドバタイズメントを抑制するかどうかを指定します。ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、Threat Defenseはルータ アドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 6

(オプション)詳細オプションの設定.

詳細設定には、ほとんどのネットワークに適したデフォルト値が入力されています。ネットワークの問題を解決するためでない限り、詳細設定を編集しないでください。

ステップ 7

[OK] をクリックします。


次のタスク

  • インターフェイスを適切なセキュリティゾーンに追加します。セキュリティ ゾーンの設定を参照してください。

  • ダイナミック DNS サービスプロバイダーに完全修飾ドメイン名(FQDN)を登録し、DNS サーバの IPv4 と IPv6 の両方のインターフェイスアドレスが更新されるように DDNS を設定します。「ダイナミック DNS(DDNS)の設定」を参照してください。

管理インターフェイスの設定

管理インターフェイスは、[インターフェイス]ページのデータインターフェイスとともに表示される特別なインターフェイスですが、データインターフェイスとしては動作しません。管理インターフェイスには次の使用法があります。

  • IP アドレスへの Web 接続と SSH 接続を開いて、インターフェイスからデバイスを設定できます。

  • システムは、この IP アドレス経由でスマート ライセンスとデータベース更新を取得します。

  • このインターフェイスはsyslogにも使用できます。

CLI セットアップ ウィザードを使用すると、システムの初期設定時にデバイスの管理アドレスとゲートウェイを設定します。Device Manager のセットアップウィザードを使用すると、管理アドレスとゲートウェイはデフォルトのまま変更されません。

必要に応じて、Device Manager でこれらのアドレスを変更できます。configure network ipv4 manual および configure network ipv6 manual コマンドを使用して、CLI で管理アドレスおよびゲートウェイを変更することもできます。デフォルトの管理インターフェイス設定に戻すには、configure network {ipv4 | ipv6} dhcp-dp-route コマンドを使用します。

スタティック アドレスを定義できます。あるいは、管理ネットワーク上の別のデバイスが DHCP サーバとして機能している場合は、DHCP を介してアドレスを取得することもできます。ほとんどのプラットフォームでは、管理インターフェイスはデフォルトでDHCPからIPアドレスを取得します。


注意    


現在接続されているアドレスを変更した場合は、その変更がすぐに適用されるため、変更の保存と同時に Device Manager (または CLI)にアクセスできなくなります。デバイスに接続し直す必要があります。新しいアドレスが有効であること、管理ネットワーク上で使用可能であることを確認します。


始める前に

7.4以降にアップグレードしていて、管理インターフェイスと診断インターフェイスをまだマージしていない場合は、管理インターフェイスと診断インターフェイスのマージを参照してください。

手順


ステップ 1

[デバイス]をクリックしてから、[デバイス] > [インターフェイス]リンクをクリックします。

ステップ 2

管理インターフェイスを編集します。

ステップ 3

管理ゲートウェイの定義方法を選択します。

ゲートウェイは、システムがインターネット経由でスマートライセンスとデータベース更新(VDB、ルール、位置情報、URLなど)を取得し、管理 DNS サーバと NTP サーバに到達する方法を決定します。次のオプションから選択します。

静的 IP オプション:

  • [データインターフェイスをゲートウェイとして使用(Use the Data Interfaces as the Gateway)]:管理インターフェイスに別の管理ネットワークが接続されていない場合、このオプションを選択します。トラフィックは、ルーティングテーブルに基づいてインターネットにルーティングされ、通常は、外部インターフェイスを通過します。このオプションは Threat Defense Virtual デバイスではサポートされません。

  • [一意のゲートウェイを管理インターフェイス用に使用(Use Unique Gateways for the Management Interface)]:管理インターフェイスに別の管理ネットワークが接続されている場合は、IPv4 および IPv6 用の一意のゲートウェイ(下記)を指定します。

DHCP IP オプション:

  • [データインターフェイスへのフォールバックが可能な管理インターフェイス用に一意のゲートウェイを使用(Use Unique Gateways for the Management Interface with Fallback to Data Interfaces)]:DHCP サーバがゲートウェイを提供する場合、システムは管理インターフェイスを介してゲートウェイに管理トラフィックをルーティングします。DHCP サーバがゲートウェイを提供しない場合、システムはデータ インターフェイス ルーティング テーブルに基づいて管理トラフィックをルーティングし、通常は外部インターフェイスを介してトラフィックを送信します。このオプションは Threat Defense Virtual デバイスではサポートされません。

  • [管理インターフェイス用に一意のゲートウェイを使用(フォールバックなし)(Use Unique Gateways for the Management Interface(no Fallback))]:システムは、DHCP サーバの提供するゲートウェイに管理インターフェイスを介して管理トラフィックをルーティングします。DHCP サーバがゲートウェイを提供しない場合、システムが到達できるのは管理インターフェイスのローカルホストのみになります。データインターフェイスを介してルーティングするには、[フォールバック(Fallback)] オプションを選択します。

ステップ 4

IPv4またはIPv6管理アドレス、サブネットマスクかIPv6プレフィックス、および必要に応じてゲートウェイを設定します。

プロパティを少なくとも 1 セット設定する必要があります。1 つのセットを空白のままにすると、そのアドレッシング方式が無効になります。

  • スタティックIPアドレスを設定するには、[タイプ] > [スタティック]を選択します。

  • DHCP または IPv6 自動設定を介してアドレスとゲートウェイを取得するには、[種類(Type)] > [DHCP] を選択します。

ステップ 5

(任意) スタティックIPv4アドレスを設定する場合は、インターフェイスでDHCPサーバを設定します。

管理インターフェイスでDHCPサーバを設定すると、管理ネットワークのクライアントはDHCPプールからアドレスを取得できます。このオプションは Threat Defense Virtual デバイスではサポートされません。

  1. [DHCPサーバを有効にする] > [On] をクリックします。

  2. サーバの [アドレス プール(Address Pool)] を入力します。

    アドレス プールは、アドレスを要求するクライアントに対してサーバが提供できる IP アドレスの下限から上限までの範囲です。IP アドレスの範囲は、管理アドレスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレス、ブロードキャスト アドレス、サブネット ネットワーク アドレスをこれに含めることはできません。アドレスの開始値と終了値をハイフンで区切って指定します。たとえば、「192.168.45.46-192.168.45.254」と入力します。

ステップ 6

[詳細設定]ページで、IPv4の場合は8〜1500、IPv6を有効にした場合は1280〜1500の管理インターフェイスのMTUを設定します。

デフォルト値は 1500 バイトです。

ステップ 7

[保存(Save)] をクリックし、警告を確認して [OK] をクリックします。


ブリッジ グループの設定

ブリッジ グループは、1 つ以上のインターフェイルをグループ化した仮想インターフェイスです。インターフェイスをグループ化する主な理由は、スイッチド インターフェイスのグループを作成することです。このようにして、ワークステーションやその他のエンドポイント デバイスをブリッジ グループに含まれるインターフェイスに直接接続できます。これらのデバイスを別個の物理スイッチを介して接続しなくても、スイッチをブリッジ グループ メンバーに接続できます。

グループ メンバーには IP アドレスがありません。代わりに、すべてのメンバー インターフェイスがブリッジ仮想インターフェイス(BVI)の IP アドレスを共有します。BVI で IPv6 を有効にすると、メンバー インターフェイスに固有のリンク ローカル アドレスが割り当てられます。

メンバーインターフェイスは個別に有効または無効にします。このようにして、使用しないインターフェイスは、ブリッジ グループから削除しなくても無効にできます。ブリッジ グループ自体は常に有効にされます。

一般に、ブリッジ グループ インターフェイス(BVI)には DHCP サーバを設定します。このようにして、メンバー インターフェイスで接続されるすべてのエンドポイントに IP アドレスを提供します。ただし、必要に応じて、メンバー インターフェイスで接続するすべてのエンドポイントにスタティック アドレスを設定することもできます。ブリッジ グループに含まれるすべてのエンドポイントには、ブリッジ グループ IP アドレスと同じサブネット上の IP アドレスが割り当てられていなければなりません。

ガイドラインと制約事項

  • ブリッジグループを 1 つ追加できます。

  • Device Manager 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 の EtherChannel はブリッジグループメンバーとなることができます。

  • Firepower 1010 および Secure Firewall 1210/1220 では、同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。

  • ISA 3000 は、ブリッジグループ BVI1 を使用して事前に設定されています(名前は付けられていません。これは、ルーティングに参加しないことを意味します)。BVI1 にはすべてのデータインターフェイス(GigabitEthernet1/1(outside1)、GigabitEthernet1/2(inside1)、GigabitEthernet1/3(outside2)、および GigabitEthernet1/4(inside2))が含まれます。ネットワークに合わせてBVI1 IPアドレスを設定する必要があります。

始める前に

ブリッジ グループのメンバーにするインターフェイスを設定します。具体的には、各メンバー インターフェイスが以下の要件を満たしている必要があります。

  • インターフェイスには名前が付けられている必要があります。

  • 静的に定義されているか DHCP から取得するかに関わらず、インターフェイスに IPv4 または IPv6 アドレスを定義することはできません。現在使用中のインターフェイスからアドレスを削除する必要がある場合、アドレスを持つインターフェイスに依存する他の設定(スタティック ルート、DHCP サーバ、NAT ルールなど)も、インターフェイスから削除する必要があります。

  • インターフェイスをセキュリティ ゾーンから削除し(ゾーン内にある場合)、インターフェイスの NAT ルールをすべて削除してからでないと、インターフェイスをブリッジ グループに追加することはできません。

手順


ステップ 1

[デバイス(Device)] をクリックし、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックし、[ブリッジグループ(Bridge Groups)] をクリックします。

ブリッジグループのリストに、既存のブリッジグループが表示されます。各ブリッジグループのメンバーインターフェイスを表示するには、開/閉矢印をクリックします。また、メンバーインターフェイスは [インターフェイス(Interfaces)] または [VLAN(VLANs)] ページでも個別に表示されます。

ステップ 2

次のいずれかを実行します。

  • BVI1 ブリッジ グループの編集アイコン(edit icon)をクリックします。

  • [ブリッジグループの作成(Create Bridge Group)] をクリックするか、プラス アイコン(プラスアイコン。)をクリックして、新しいグループを作成します。

    (注)  

     

    定義できるブリッジ グループは 1 つだけです。ブリッジ グループがすでに定義されている場合、新しいグループを作成するのではなく定義済みのグループを編集します。新しいブリッジ グループを作成しなければならない場合は、まず既存のブリッジ グループを削除する必要があります。

  • 不要になったブリッジ グループの削除アイコン(delete icon)をクリックします。ブリッジ グループを削除すると、そのグループのメンバーは標準のルーテッド インターフェイスになります。NAT ルールやセキュリティ ゾーン メンバーシップはすべてそのまま保持されます。これらのインターフェイスを編集して、インターフェイスに IP アドレスを指定できます。新しいブリッジ グループに追加する場合は、まず NAT ルールを削除して、インターフェイスをセキュリティ ゾーンから削除する必要があります。

ステップ 3

以下を設定します。

  1. (任意) [インターフェイス名(Interface Name)] を設定します。

    ブリッジグループの名前(最大 48 文字)を設定します。英字は小文字でなければなりません。例、[inside] または [outside]。このBVIを他の名前付きインターフェイス間のルーティングに参加させる場合は、名前を設定します。

    (注)  

     

    名前を変更すると、以前の名前が使用されていたすべての箇所(セキュリティ ゾーン、syslog サーバ オブジェクト、DHCP サーバ定義など)で変更が自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  2. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

  3. [ブリッジグループメンバー(Bridge Group Members)] のリストを編集します。

    単一のブリッジ グループに追加できるインターフェイスまたはサブインターフェイスの数は、最大 64 個です。

    • インターフェイスの追加:プラスアイコン(プラスアイコン。)をクリックし、1 つ以上のインターフェイスをクリックし、[OK] をクリックします。

    • インターフェイスの削除:対象にカーソルを合わせ、右側に表示される [x] をクリックします。

ステップ 4

[IPv4 アドレス(IPv4 Address)] タブをクリックし、IPv4 アドレスを設定します。

[タイプ(Type)] フィールドで以下のいずれかのオプションを選択します。

  • [静的(Static)]:固定アドレスを割り当てる場合は、このオプションを選択します。ブリッジ グループの IP アドレスとサブネット マスクを入力します。接続されているエンドポイントはすべて、このネットワーク上に存在することになります。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    ハイ アベイラビリティを設定し、HA についてこのインターフェイスをモニタしている場合は、スタンバイ IP アドレスも同じサブネットに設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレス プールを構成する必要があります。DHCP サーバの設定を参照してください。

  • [ダイナミック(Dynamic)](DHCP):ネットワーク上の DHCP サーバからアドレスを取得する場合は、このオプションを選択します。これはブリッジ グループの一般的なオプションではありませんが、必要に応じて設定できます。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルート メトリック(Route Metric)]:DHCP サーバからデフォルト ルートを取得する場合の、学習されるルートまでのアドミニストレーティブ ディスタンス(1 から 255)。デフォルトは 1 です。

    • [デフォルト ルートを取得(Obtain Default Route)]:DHCP サーバからデフォルト ルートを取得するかどうかを指定します。通常は、デフォルトとなっているこのオプションを選択します。

ステップ 5

(オプション)。[IPv6 アドレス(IPv6 Address)] タブをクリックし、IPv6 アドレスを設定します。

  • [状態(State)]:IPv6 プロセスを有効にし、グローバル アドレスを設定しない場合にリンクローカル アドレスを自動的に設定するには、[有効化(Enabled)] を選択します。リンクローカル アドレスは、インターフェイスの MAC アドレスに基づいて生成されます(Modified EUI-64 形式)。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスで設定されているインターフェイスまたは自動設定が有効になっているインターフェイスでの IPv6 処理は無効になりません。

  • [スタティック アドレス/プレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全に静的なグローバル IPv6 アドレスおよびネットワーク プレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、IPv6 アドレッシングを参照してください。

    アドレスをリンクローカルとしてのみ使用する場合は、[リンクローカル(Link-Local)] オプションを選択します。リンクローカル アドレスは、ローカル ネットワークの外部ではアクセスできません。ブリッジ グループ インターフェイスにリンクローカル アドレスを設定することはできません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ IP アドレス(Standby IP Address)]:高可用性を設定し、HA に関してこのインターフェイスをモニタリングしている場合は、同じサブネットにスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

  • [RAを抑制(Suppress RA)]:ルータ アドバタイズメントを抑制するかどうかを指定します。ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、Threat Defense デバイスはルータ アドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 6

(オプション)詳細オプションの設定.

ブリッジ グループ メンバー インターフェイスに対して最も詳細なオプションを設定しますが、一部はブリッジ グループ インターフェイスでも使用できます。

詳細設定には、ほとんどのネットワークに適したデフォルト値が入力されています。ネットワークの問題を解決するためでない限り、詳細設定を編集しないでください。

ステップ 7

[OK]をクリックします。


次のタスク

  • 使用する予定のすべてのメンバー インターフェイスが有効にされていることを確認します。

  • ブリッジ グループの DHCP サーバを設定します。DHCP サーバの設定を参照してください。

  • メンバー インターフェイスを適切なセキュリティ ゾーンに追加します。セキュリティ ゾーンの設定を参照してください。

  • アイデンティティ、NAT、アクセスなどのポリシーを確認し、ブリッジ グループとメンバー インターフェイスに必要なサービスを指定します。

EtherChannel の設定

この項では、EtherChannel およびその設定方法について説明します。


(注)  


次のモデルでは、Device Manager で EtherChannel を追加できます。

  • Firepower 1000

  • Cisco Secure Firewall 1200

  • Cisco Secure Firewall 3100

  • ISA 3000

EtherChannel で Firepower 1010 または Cisco Secure Firewall 1210/1220 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。 Firepower 4100/9300の Etherchannel は、単一の物理インターフェイスとともに Device Manager の [Interfaces] ページに表示されます。また、Threat Defense Virtual などの他のモデルでは、Device Manager で EtherChannel を設定できません。


EtherChannel について

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネット リンク(チャネル グループ)のバンドルで構成される論理インターフェイスです(ポートチャネル インターフェイスと呼びます)。ポートチャネル インターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

チャネル グループのインターフェイス

各チャネル グループには、最大 8 個のアクティブ インターフェイスを持たせることができます。

チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュ アルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

Threat Defense EtherChannelの接続先のデバイスも802.3ad EtherChannelをサポートしている必要があります。たとえば、Catalyst 6500スイッチまたはCisco Nexus 7000に接続できます。

スイッチが仮想スイッチングシステム(VSS)または仮想ポートチャネル(vPC)の一部である場合、同じ EtherChannel 内の Threat Defense インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。個別のスイッチは単一のスイッチのように動作するため、スイッチインターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。

図 1. VSS/vPCへの接続

(注)  


Threat Defense デバイスがトランスペアレント ファイアウォール モードになっており、2 組の VSS/vPC スイッチ間に Threat Defense デバイスを配置する場合は、EtherChannel 内で Threat Defense デバイスに接続されたすべてのスイッチポートで単方向リンク検出(UDLD)を無効にしてください。UDLDを有効にすると、スイッチポートは他のVSS/vPCペアの両方のスイッチから送信されたUDLDパケットを受信する場合があります。受信側スイッチは、"UDLDネイバーの不一致" という理由で受信側インターフェイスをダウン状態にします。


Threat Defense デバイスをアクティブ/スタンバイフェールオーバー展開で使用する場合、Threat Defense デバイスごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 Threat Defense デバイスで、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の Threat Defense デバイスに接続する単一の EtherChannel にグループ化できる場合でも(この場合、個別の Threat Defense システム ID のため、EtherChannel は確立されません)、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ Threat Defense デバイスに送信しないようにするためです。

図 2. アクティブ/スタンバイ フェールオーバーと VSS/vPC

Link Aggregation Control Protocol

リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

  • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロード バランシング

Threat Defense デバイスは、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します(この基準は設定可能です)。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_linksの結果が0となるすべてのパケットは、EtherChannel内の最初のインターフェイスへ送信され、以降は結果が1となるものは2番目のインターフェイスへ、結果が2となるものは3番目のインターフェイスへ、というように送信されます。たとえば、15 個のアクティブ リンクがある場合、モジュロ演算では 0 ~ 14 の値が得られます。6 個のアクティブ リンクの場合、値は 0 ~ 5 となり、以降も同様になります。

アクティブ インターフェイスがダウンし、スタンバイ インターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティング テーブルの両方からマスクされるため、他のネットワーク デバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対して透過的になります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

Firepower および Secure Firewall ハードウェア

ポートチャネル インターフェイスは、内部インターフェイスの内部データ 0/1 の MAC アドレスを使用します。または、ポート チャネル インターフェイスの MAC アドレスを手動で設定することもできます。シャーシ上のすべての EtherChannel インターフェイスは同じ MAC アドレスを使用するため、たとえば、SNMP ポーリングを使用する場合、複数のインターフェイスが同じ MAC アドレスを持つことに注意してください。


(注)  


メンバーインターフェイスは、再起動後に内部データ 0/1 MAC アドレスのみを使用します。再起動する前に、メンバーインターフェイスは独自の MAC アドレスを使用するた再起動後に新しいメンバーインターフェイスを追加する場合、MAC アドレスを更新するためにもう一度再起動する必要があります。


EtherChannel インターフェイスのガイドライン

ブリッジグループ

Device Manager 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。

高可用性

  • EtherChannel インターフェイスを 高可用性 リンクとして使用する場合、高可用性 ペアの両方のユニットでその事前設定を行う必要があります。プライマリユニットで設定し、セカンダリユニットに複製されることは想定できません。これは、複製には 高可用性 リンク自体が必要であるためです。

  • EtherChannel インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリユニットから複製されます。Firepower 4100/9300 シャーシ では、EtherChannel を含むすべてのインターフェイスを、両方のユニットで事前に設定する必要があります。

  • 高可用性 の EtherChannel インターフェイスをモニターできます。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルの高可用性をモニタしているときには、EtherChannel インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、EtherChannel インターフェイスで障害が発生しているように見えます。

  • EtherChannel インターフェイスを高可用性 リンクまたはステートリンクに対して使用する場合、異常なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。高可用性リンクとして使用中のEtherChannelの設定は変更できません。設定を変更するには、高可用性 を一時的に無効にする必要があります。これにより、その期間中は 高可用性 が発生することはありません。

サポート モデル

  • 次のモデルでは、Device Manager で EtherChannel を追加できます。

    • Firepower 1000

    • Cisco Secure Firewall 1200

    • Cisco Secure Firewall 3100

    • ISA 3000

    Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。 Firepower 4100/9300の Etherchannel は、単一の物理インターフェイスとともに Device Manager の [Interfaces] ページに表示されます。また、ASA 5500-X シリーズなどの他のモデルでは、Device Manager で EtherChannel を設定できません。

  • EtherChannel で Firepower 1010 または Cisco Secure Firewall 1210/1220 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

EtherChannelの一般的なガイドライン

  • モデルで利用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

  • 各チャネル グループは、最大 8 個のアクティブ インターフェイスを設定できます。

  • チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量(1GB と 10GB のインターフェイスなど)を混在させることはできません。ただし、Cisco Secure Firewall 1200/3100 の場合は、速度が [SFPを検出(Detect SFP)] に設定されている限り、異なるインターフェイス容量をサポートします。この場合、最も低い共通速度が使用されます。

  • Threat Defense の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。

  • Threat Defense デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、Threat Defense デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブVLANタギングは、必ず無効にしてください。

  • LACP レートはモデルによって異なります。レート(通常または高速)を設定すると、デバイスは接続中のスイッチにそのレートを要求します。デバイスの方も接続中のスイッチによって要求されたレートで送信します。両側で同じレートを設定することを推奨します。

    • Firepower 4100/9300:LACP レートは、FXOS ではデフォルトで高速に設定されていますが、通常(低速とも呼ばれる)に設定することもできます。

    • Cisco Secure Firewall 3100LACP レートは、デフォルトで通常(低速)に設定されていますが、デバイスで高速に設定することもできます。

    • 他のすべてのモデル:LACP レートが通常(低速とも呼ばれる)に設定されており、変更できません。つまり、デバイスは接続中のスイッチに常に低速レートを要求します。スイッチのレートを低速に設定して、両側が同じレートで LACP メッセージを送信するように設定することを推奨します。

  • 15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する Threat Defense では、スイッチスタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、Threat Defense EtherChannel がクロススタックに接続されている場合、プライマリスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。

  • すべての Threat Defense コンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

EtherChannel の追加

EtherChannel を追加して、メンバーインターフェイスを割り当てます。


(注)  


次のモデルでは、Device Manager で EtherChannel を追加できます。

  • Firepower 1000

  • Cisco Secure Firewall 1200

  • Cisco Secure Firewall 3100

  • ISA 3000

EtherChannel で Firepower 1010 または Cisco Secure Firewall 1210/1220 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。 Firepower 4100/9300の Etherchannel は、単一の物理インターフェイスとともに Device Manager の [Interfaces] ページに表示されます。また、ASA 5500-X シリーズなどの他のモデルでは、Device Manager で EtherChannel を設定できません。


始める前に

  • チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ(銅と光ファイバ)の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量(1GB と 10GB のインターフェイスなど)を混在させることはできません。ただし、Cisco Secure Firewall 1200/3100 の場合は、速度が [SFPを検出(Detect SFP)] に設定されている限り、異なるインターフェイス容量をサポートします。この場合、最も低い共通速度が使用されます。

  • メンバーインターフェイスに名前を付けることはできません。


    注意    


    コンフィギュレーション内でインターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。


手順


ステップ 1

[デバイス]をクリックし、[インターフェイス]サマリーにあるリンクをクリックし、[EtherChannels]をクリックします。

[Etherchannel] リストには、既存の Etherchannel、それらの名前、アドレス、および状態が表示されます。各 EtherChannel のメンバーインターフェイスを表示するには、開/閉矢印をクリックします。メンバーインターフェイスは [インターフェイス(Interfaces)] ページにも個別に表示されます。

ステップ 2

[EtherChannelの作成(Create EtherChannel)] をクリックするか(現在の EtherChannel がない場合)、またはプラス アイコン([プラス(Plus)] と下向き矢印アイコン。)をクリックして [EtherChannel] をクリックし、新しい EtherChannel を作成します。

ステップ 3

次を設定します。

  1. [インターフェイス名(Interface Name)] を設定します。

    EtherChannel の名前を 48 文字以内で設定します。英字は小文字でなければなりません。例、[inside] または [outside]

    (注)  

     

    名前を変更すると、以前の名前が使用されていたすべての箇所(セキュリティ ゾーン、syslog サーバ オブジェクト、DHCP サーバ定義など)で変更が自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  2. [モード(Mode)] を設定します。

    • [ルーテッド(Routed)]:ルーテッド モード インターフェイスでは、トラフィックはフローの維持、IP 層と TCP 層の両方でのフロー状態のトラッキング、IP の最適化、TCP の正規化、ファイアウォール ポリシーなど、すべてのファイアウォール機能の管理下に置かれます。トラフィックがインターフェイスを経由するようにする場合は、このモードを使用します。これが通常のインターフェイス モードです。

    • [インライン(Inline)]:インターフェイスをインラインセットに追加すると、モードがインラインに変更されます。インラインをモードとして直接選択することはできません。インラインセットで使用するインターフェイスを編集する場合は、初期モードとしてルーテッドモードを選択し、どのタイプの IP アドレッシングも設定しないでください。

    • [パッシブ(Passive)]:パッシブ インターフェイスは、スイッチ SPAN またはミラー ポートを使用してネットワーク中のトラフィック フローをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で設定されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。このモードを選択する場合、残りの手順は実行しないでください。代わりに、「パッシブ モードでの物理インターフェイスの設定」を参照してください。

  3. EtherChannel ID を 1 ~ 48 の範囲で設定します(Firepower 1010 および Secure Firewall 1210 の場合は 1 ~ 8、1220 の場合は 1 ~ 10)。

  4. [ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

  5. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

  6. [EtherChannelモード(EtherChannel Mode)] を指定します。

    • [アクティブ(Active)]:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

    • [オン(On)]:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

  7. (Secure Firewall 3100 のみ) [EtherChannelレート(EtherChannel Rate)]を選択します。接続されているスイッチの設定と一致させる必要があります。

    • [デフォルト(Default)]:デフォルトは [通常(Normal)](低速、30 秒ごと)です。

    • [通常(Normal)]:30 秒ごとに LACP データ ユニットを受信します。

    • [高速(Fast)]:1 秒ごとに LACP データ ユニットを受信します。

  8. [EtherChannelメンバー(EtherChannel Members)] を追加します。

    EtherChannel には、最大 8 つの(無名)インターフェイスを追加できます。

    • インターフェイスの追加:プラスアイコン(プラスアイコン。)をクリックし、1 つ以上のインターフェイスをクリックし、[OK] をクリックします。

    • インターフェイスの削除:対象にカーソルを合わせ、右側に表示される [x] をクリックします。

ステップ 4

[IPv4 アドレス(IPv4 Address)] タブをクリックし、IPv4 アドレスを設定します。

[タイプ(Type)] フィールドで以下のいずれかのオプションを選択します。

  • [DHCP]:ネットワーク上の DHCP サーバからアドレスを取得する場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルート メトリック(Route Metric)]:DHCP サーバからデフォルト ルートを取得する場合の、学習されるルートまでのアドミニストレーティブ ディスタンス(1 から 255)。デフォルトは 1 です。

    • [デフォルト ルートを取得(Obtain Default Route)]:DHCP サーバからデフォルト ルートを取得するかどうかを指定します。通常は、デフォルトとなっているこのオプションを選択します。

  • [静的(Static)]:固定アドレスを割り当てる場合は、このオプションを選択します。インターフェイスの IP アドレスとインターフェイスに接続されたネットワークのサブネット マスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続した場合、10.100.10.1/24 と入力できます。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    ハイ アベイラビリティを設定し、HA についてこのインターフェイスをモニタしている場合は、スタンバイ IP アドレスも同じサブネットに設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレス プールを構成する必要があります。DHCP サーバの設定を参照してください。

  • [PPPoE]:ポイントツーポイント プロトコル(PPPoE)を使用してアドレスを取得する必要がある場合は、このオプションを選択します。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ハイアベイラビリティを設定する場合、このオプションは使用できません。次の値を設定します。

    • [グループ名(Group Name)]:この接続を表すために選択したグループ名を指定します。

    • [PPPoEユーザ名(PPPoE Username)]:ISP によって提供されたユーザ名を指定します。

    • [PPPoEパスワード(PPPoE Password)]:ISP によって提供されたパスワードを指定します。

    • [PPP 認証(PPP Authentication)]:[PAP]、[CHAP]、または [MSCHAP] を選択します。

      PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリア テキスト パスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。

    • [PPPoEの学習済みルートメトリック(PPPoE Learned Route Metric)]:アドミニストレーティブ ディスタンスを既知のルートに割り当てます。有効な値は 1 ~ 255 です。デフォルトでは、学習したルートのアドミニストレーティブ ディスタンスは 1 です。

    • [PPPoEからデフォルトルートを取得(Obtain Default Route from PPPoE)]:PPPoE サーバからのデフォルトルートの取得を有効にするには、このチェックボックスをオンにします。

    • [IPアドレスタイプ(Ip Address Type)]:PPPoE サーバから IP アドレスを取得するには、[動的(Dynamic)] を選択します。ISP から静的 IP アドレスが割り当てられている場合は、[静的(Static)] を選択することもできます。

ステップ 5

(オプション)。[IPv6 アドレス(IPv6 Address)] タブをクリックし、IPv6 アドレスを設定します。

  • [状態(State)]:IPv6 プロセスを有効にし、グローバル アドレスを設定しない場合にリンクローカル アドレスを自動的に設定するには、[有効化(Enabled)] を選択します。リンクローカル アドレスは、インターフェイスの MAC アドレスに基づいて生成されます(Modified EUI-64 形式)。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスで設定されているインターフェイスまたは自動設定が有効になっているインターフェイスでの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:このオプションは、アドレスを自動的に設定する場合に選択します。IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカルな IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、Threat Defense デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [スタティック アドレス/プレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全に静的なグローバル IPv6 アドレスおよびネットワーク プレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、IPv6 アドレッシングを参照してください。

    アドレスをリンクローカルとしてのみ使用する場合は、[リンクローカル(Link-Local)] オプションを選択します。リンクローカル アドレスは、ローカル ネットワークの外部ではアクセスできません。ブリッジ グループ インターフェイスにリンクローカル アドレスを設定することはできません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ IP アドレス(Standby IP Address)]:高可用性を設定し、HA に関してこのインターフェイスをモニタリングしている場合は、同じサブネットにスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

  • [RAを抑制(Suppress RA)]:ルータ アドバタイズメントを抑制するかどうかを指定します。ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、Threat Defenseはルータ アドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 6

[詳細(Advanced)] をクリックし、速度を設定して、メンバーインターフェイスの速度を設定します。

その他の高度なオプションを設定することもできます。詳細オプションの設定を参照してください。

ステップ 7

[OK]をクリックします。


次のタスク

VLAN インターフェイスとスイッチ ポートの構成(1010/1210/1220

各 1010/1210/1220 インターフェイスは、通常のファイアウォール インターフェイスとしてまたはレイヤ 2 ハードウェア スイッチ ポートとして実行するように設定できます。ここでは、スイッチモードの有効化と無効化、VLAN インターフェイスの作成、VLAN へのスイッチ ポートの割り当てなど、スイッチポート設定を開始するためのタスクについて説明します。また、サポートされているインターフェイスで Power on Ethernet(PoE)をカスタマイズする方法についても説明します。

スイッチポートおよびインターフェイスについて

ポートとインターフェイス

1010/1210/1220 の物理インターフェイスごとに、その動作をファイアウォール インターフェイスまたはスイッチ ポートとして設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。

  • 物理ファイアウォール インターフェイス:ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット1/1インターフェイスはファイアウォールインターフェイスとして設定されます。また、これらのインターフェイスを IPS 専用(パッシブインターフェイス)に設定することもできます。

  • 物理スイッチポート:スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、Threat Defense セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、それらを単一のVLANに割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 ~ 1/8 (1010 および 1210)または 1/2 〜 1/10(1220)は VLAN 1 のアクセススイッチポートとして設定されています。Management インターフェイスをスイッチポートとして設定することはできません。

  • 論理 VLAN インターフェイス:これらのインターフェイスは物理ファイアウォール インターフェイスと同じように動作しますが、サブインターフェイス、IPS 専用インターフェイス(インラインセットおよびパッシブインターフェイス)、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、Threat Defense デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォール インターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに Threat Defense セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。

Power Over Ethernet

PoE は 次のように使用できます:

  • Firepower 1010:イーサネット 1/7 および 1/8 で、IEEE 802.3af(PoE)および 802.3at(PoE+)を使用して、ポートあたり最大 30 ワット、合計で最大 60 ワット供給。

  • Cisco Secure Firewall 1210CP:イーサネット 1/5、1/6、1/7、および 1/8 で、IEEE 802.3af(PoE)、802.3at(PoE+)、および 802.3bt(PoE++ および Hi-PoE) を使用して、ポートあたり最大 90 ワット、 合計で最大 120 W 供給。


(注)  


PoE は、1010E、1210CE、および 1220CX ではサポートされていません。


PoE + およびそれ以降の規格では、リンク層検出プロトコル(Link Layer Discovery Protocol、LLDP)を使用して、電力レベルをネゴシエートします。電力は必要な場合にのみ提供されます。

インターフェイスをシャットダウンすると、デバイスへの電源がディセーブルになります。

スイッチポートの注意事項および制約事項

高可用性

  • 高可用性 を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。高可用性 は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の 高可用性 のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニタできますが、スイッチポートはモニタできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、高可用性 を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。

  • ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。

論理 VLAN インターフェイス(SVI)

  • 最大 60 個の VLAN インターフェイスを作成できます。

  • また、ファイアウォール インターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。

  • MAC アドレス:

    • すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。詳細オプションの設定 を参照してください。

ブリッジ グループ

同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。

VLAN インターフェイスおよびスイッチ ポートでサポートされていない機能

VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。

  • ダイナミック ルーティング

  • マルチキャスト ルーティング

  • 等コストマルチパス(ECMP)ルーティング

  • パッシブインターフェイス

  • EtherChannel:スイッチのポートを EtherChannel の一部にはできません。PoE も、EtherChannel のポートではサポートされません。

  • フェールオーバーおよびステートリンク

その他の注意事項と制約事項

  • Firepower 1010 および Cisco Secure Firewall 1210/1220 には、最大 60 個の名前付きインターフェイスを設定できます。

  • Management インターフェイスをスイッチポートとして設定することはできません。

デフォルト設定

  • イーサネット 1/1 はファイアウォール インターフェイスです。

  • 1010/1210 では、イーサネット 1/2 ~ 1/8 が、VLAN 1 に割り当てられたスイッチ ポートです。

  • 1220 では、イーサネット 1/2 ~ 1/10 が、VLAN 1 に割り当てられたスイッチ ポートです。

  • デフォルトの速度とデュプレックス:デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。

VLAN インターフェイスの設定

ここでは、関連付けられたスイッチポートで使用するための VLAN インターフェイスの設定方法について説明します。最初に、スイッチポートに割り当てる VLAN ごとに VLAN インターフェイスを設定する必要があります。


(注)  


特定の VLAN 上でのスイッチポート間のスイッチングのみを有効にし、VLAN と他の VLAN またはファイアウォール インターフェイス間のルーティングを望まない場合は、VLAN インターフェイス名を空のままにします。この場合、IPアドレスを設定する必要もありません。IP設定は無視されます。


手順


ステップ 1

[デバイス]をクリックしてから、[インターフェイス]サマリーにあるリンクをクリックし、[VLANs]をクリックします。

VLANリストには、既存のVLANインターフェイスが表示されます。各 VLAN に関連付けられているスイッチポートを表示するには、開/閉矢印をクリックします。また、スイッチポートは [インターフェイス(Interfaces)] ページでも個別に表示されます。

ステップ 2

[VLANインターフェイスの作成(Create VLAN Interface)](現在の VLAN がない場合)またはプラス アイコン(プラスアイコン。)をクリックして、新しい VLAN インターフェイスを作成します。

ステップ 3

次を設定します。

  1. [インターフェイス名(Interface Name)] を設定します。

    VLANの名前を48文字以内で設定します。英字は小文字でなければなりません。例、[inside] または [outside]

    VLANと他のVLANまたはファイアウォールインターフェイス間のルーティングを望まない場合は、VLANインターフェイス名を空のままにします。

    (注)  

     

    名前を変更すると、以前の名前が使用されていたすべての箇所(セキュリティ ゾーン、syslog サーバ オブジェクト、DHCP サーバ定義など)で変更が自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  2. [モード(Mode)] は [ルーテッド(Routed)] のままにします。

    後でこの VLAN インターフェイスをブリッジグループに追加すると、モードは自動的に BridgeGroupMember に変更されます。ブリッジグループのメンバーインターフェイスには、IP アドレスを設定できません。

  3. [ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

  4. [VLAN ID] を 1 ~ 4070 の間で設定します。

    インターフェイスを保存した後は、VLAN IDを変更できません。 VLAN IDは、使用するVLANタグと設定内のインターフェイスIDの両方です。

  5. (任意) [このVLANに転送しない(Do not forward to this VLAN)] フィールドに、この VLAN インターフェイスがトラフィックを開始できない VLAN ID を入力します。

    たとえば、1 つの VLAN をインターネットアクセスの外部に、もう 1 つを内部ビジネスネットワーク内に、そして 3 つ目をホームネットワークにそれぞれ割り当てます。自宅のネットワークはビジネスネットワークにアクセスする必要がないので、自宅の VLAN で [このインターフェイスから次へのトラフィックをブロックする(Block Traffic From this Interface to)] オプションを使用できます。ビジネスネットワークは自宅のネットワークにアクセスできますが、その反対はできません。

  6. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 4

[IPv4 アドレス(IPv4 Address)] タブをクリックし、IPv4 アドレスを設定します。

[タイプ(Type)] フィールドで以下のいずれかのオプションを選択します。

  • [DHCP]:ネットワーク上の DHCP サーバからアドレスを取得する場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルート メトリック(Route Metric)]:DHCP サーバからデフォルト ルートを取得する場合の、学習されるルートまでのアドミニストレーティブ ディスタンス(1 から 255)。デフォルトは 1 です。

    • [デフォルト ルートを取得(Obtain Default Route)]:DHCP サーバからデフォルト ルートを取得するかどうかを指定します。通常は、デフォルトとなっているこのオプションを選択します。

  • [静的(Static)]:固定アドレスを割り当てる場合は、このオプションを選択します。インターフェイスの IP アドレスとインターフェイスに接続されたネットワークのサブネット マスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続した場合、10.100.10.1/24 と入力できます。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    ハイ アベイラビリティを設定し、HA についてこのインターフェイスをモニタしている場合は、スタンバイ IP アドレスも同じサブネットに設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレス プールを構成する必要があります。DHCP サーバの設定を参照してください。

  • [PPPoE]:ポイントツーポイント プロトコル(PPPoE)を使用してアドレスを取得する必要がある場合は、このオプションを選択します。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ハイアベイラビリティを設定する場合、このオプションは使用できません。次の値を設定します。

    • [グループ名(Group Name)]:この接続を表すために選択したグループ名を指定します。

    • [PPPoEユーザ名(PPPoE Username)]:ISP によって提供されたユーザ名を指定します。

    • [PPPoEパスワード(PPPoE Password)]:ISP によって提供されたパスワードを指定します。

    • [PPP 認証(PPP Authentication)]:[PAP]、[CHAP]、または [MSCHAP] を選択します。

      PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリア テキスト パスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。

    • [PPPoEの学習済みルートメトリック(PPPoE Learned Route Metric)]:アドミニストレーティブ ディスタンスを既知のルートに割り当てます。有効な値は 1 ~ 255 です。デフォルトでは、学習したルートのアドミニストレーティブ ディスタンスは 1 です。

    • [PPPoEからデフォルトルートを取得(Obtain Default Route from PPPoE)]:PPPoE サーバからのデフォルトルートの取得を有効にするには、このチェックボックスをオンにします。

    • [IPアドレスタイプ(Ip Address Type)]:PPPoE サーバから IP アドレスを取得するには、[動的(Dynamic)] を選択します。ISP から静的 IP アドレスが割り当てられている場合は、[静的(Static)] を選択することもできます。

ステップ 5

(オプション)。[IPv6 アドレス(IPv6 Address)] タブをクリックし、IPv6 アドレスを設定します。

  • [状態(State)]:IPv6 プロセスを有効にし、グローバル アドレスを設定しない場合にリンクローカル アドレスを自動的に設定するには、[有効化(Enabled)] を選択します。リンクローカル アドレスは、インターフェイスの MAC アドレスに基づいて生成されます(Modified EUI-64 形式)。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスで設定されているインターフェイスまたは自動設定が有効になっているインターフェイスでの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:このオプションは、アドレスを自動的に設定する場合に選択します。IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカルな IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、Threat Defense デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [スタティック アドレス/プレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全に静的なグローバル IPv6 アドレスおよびネットワーク プレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、IPv6 アドレッシングを参照してください。

    アドレスをリンクローカルとしてのみ使用する場合は、[リンクローカル(Link-Local)] オプションを選択します。リンクローカル アドレスは、ローカル ネットワークの外部ではアクセスできません。ブリッジ グループ インターフェイスにリンクローカル アドレスを設定することはできません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ IP アドレス(Standby IP Address)]:高可用性を設定し、HA に関してこのインターフェイスをモニタリングしている場合は、同じサブネットにスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

  • [RAを抑制(Suppress RA)]:ルータ アドバタイズメントを抑制するかどうかを指定します。ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、Threat Defenseはルータ アドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 6

(オプション)詳細オプションの設定.

詳細設定には、ほとんどのネットワークに適したデフォルト値が入力されています。ネットワークの問題を解決するためでない限り、詳細設定を編集しないでください。

ステップ 7

[OK]をクリックします。


次のタスク

スイッチ ポートのアクセス ポートとしての設定

1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。Firepower 1010 および Cisco Secure Firewall 1210 では、イーサネット 1/2 ~ 1/8 スイッチ ポートが、デフォルトで VLAN 1 に割り当てられています。Cisco Secure Firewall 1220 では、イーサネット 1/2 ~ 1/10 スイッチ ポートが、デフォルトで VLAN 1 に割り当てられています。


(注)  


Firepower 1010 および Secure Firewall 1210/1220 では、ネットワーク内のループ検出のためのスパニングツリー プロトコルはサポートされません。したがって、Threat Defense デバイスとのすべての接続は、ネットワークループ内で終わらないようにする必要があります。


始める前に

アクセスポートを割り当てる VLAN ID に VLAN インターフェイスを追加します。アクセスポートは、タグなしトラフィックのみを受け入れます。「VLAN インターフェイスの設定」を参照してください。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

編集する物理インターフェイスの [編集(edit)] アイコン(edit icon)をクリックします。

ステップ 3

次の設定を行います。

  1. スイッチポートの [インターフェイス名(Interface Name)] は設定しないでください。関連付けられている VLAN インターフェイスのみが名前付きインターフェイスです。

  2. [モード(Mode)] を [スイッチポート(Switch Port)] に設定します。

  3. [ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

  4. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 4

[VLAN] をクリックして、次のように設定します。

  1. (任意) このスイッチポートを保護対象として設定するには、[保護ポート(Protected Port)] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。

    スイッチポート間の相互通信を防ぐのは、スイッチポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染や他のセキュリティ侵害が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3つのWebサーバをホストするDMZがある場合、各スイッチポートにこのオプションを適用すると、3つのWebサーバを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバすべてと通信でき、その逆も可能ですが、Web サーバは相互に通信できません。

  2. [使用タイプ(Usage Type)] で、[アクセス(Access)] をクリックします。

  3. [アクセスVLAN(Access VLAN)] の場合は、下矢印をクリックして既存の VLAN インターフェイスのいずれかを選択します。

    新しい VLAN インターフェイスを追加するには、[新しいVLANの作成(Create new VLAN)] をクリックします。VLAN インターフェイスの設定を参照してください。

ステップ 5

[OK] をクリックします。


スイッチ ポートのトランク ポートとしての設定

この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランクポートは、タグなしトラフィックとタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。

トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、デバイスが正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。デバイスは、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。

始める前に

トランクポートを割り当てる VLAN ID ごとに VLAN インターフェイスを追加します。「VLAN インターフェイスの設定」を参照してください。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

編集する物理インターフェイスの [編集(edit)] アイコン(edit icon)をクリックします。

ステップ 3

次の設定を行います。

  1. スイッチポートの [インターフェイス名(Interface Name)] は設定しないでください。関連付けられている VLAN インターフェイスのみが名前付きインターフェイスです。

  2. [モード(Mode)] を [スイッチポート(Switch Port)] に設定します。

  3. [ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

  4. (任意) [説明(Description)] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 4

[VLAN] をクリックして、次のように設定します。

  1. (任意) このスイッチポートを保護対象として設定するには、[保護ポート(Protected Port)] チェックボックスをオンにします。これにより、スイッチポートが同じ VLAN 上の他の保護されたスイッチポートと通信するのを防ぐことができます。

    スイッチポート間の相互通信を防ぐのは、スイッチポート上のデバイスが主に他の VLAN からアクセスされ、VLAN 内のアクセスを許可する必要がなく、感染や他のセキュリティ侵害が発生した際に、個々のデバイスを相互に孤立させる場合です。たとえば、3つのWebサーバをホストするDMZがある場合、各スイッチポートにこのオプションを適用すると、3つのWebサーバを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバすべてと通信でき、その逆も可能ですが、Web サーバは相互に通信できません。

  2. [使用タイプ(Usage Type)] で、[トランク(Trunk)] をクリックします。

  3. (任意) [ネイティブトランクVLAN(Native Trunk VLAN)] の場合は、下矢印をクリックしてネイティブ VLAN の既存の VLAN インターフェイスのいずれかを選択します。

    デフォルトのネイティブVLANは1です。

    各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。

    新しい VLAN インターフェイスを追加するには、[新しいVLANの作成(Create new VLAN)] をクリックします。VLAN インターフェイスの設定を参照してください。

  4. [関連付けられているVLAN(Associated VLANs)] で、プラス アイコン(プラスアイコン。)をクリックして、1 つまたは複数の既存の VLAN インターフェイスを選択します。

    このフィールドにネイティブ VLAN を含めると、無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。さらに、ネイティブ VLAN タグ付きのトラフィックは受信されません。

    新しい VLAN インターフェイスを追加するには、[新しいVLANの作成(Create new VLAN)] をクリックします。VLAN インターフェイスの設定を参照してください。

ステップ 5

[OK] をクリックします。


Power over Ethernet の設定

Power over Ethernet(PoE)ポートは、IP 電話や無線アクセスポイントなどのデバイスに電力を供給します。PoE はデフォルトでイネーブルです。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

Firepower 1010 の Ethernet 1/7 または 1/8、または Secure Firewall 1210CP の Ethernet 1/5 ~ 1/8 の任意のインターフェイスの編集アイコン(edit icon)をクリックします。

ステップ 3

[PoE] をクリックして、次のように設定します。

  1. [Power Over Ethernet] を有効にするには、スライダ(有効になっているスライダ。)をクリックして有効にします。

    PoE はデフォルトでイネーブルです。

  2. (任意) 必要なワット数を正確に把握している場合は、[消費ワット数(Consumption Wattage)] を入力します。

    消費量を手動で設定するには、ワット数をミリワット単位で指定します。範囲は 4000 から30000(1010 の場合)または 90000(1210CP の場合)です。ワット数を手動で設定し、LLDP ネゴシエーションを無効にする場合は、このコマンドを使用します。手動割り当ての場合、 show power inline 出力にクラスが n/a と表示されます。これは、クラスが消費電力の決定に使用されないためです。

    デフォルトでは、PoE は受電デバイスのクラスに適したワット数を使用して、受電デバイスに自動的に電力を供給します。ファイアウォールは LLDP を使用して、さらに適切なワット数をネゴシエートします。特定クラスのデバイスを接続すると、より多くの電力を使用する必要がある場合に備えて、そのクラスの最大値までプロビジョニングが行われます。たとえば、12.95W を要求するクラス 4 デバイスを追加した場合、そのデバイスが現在その電力すべてを使用していなくても、30W が割り当てられます。一部のデバイスは、電力要件を再ネゴシエートできます。デバイスに必要な電力が割り当てられている電力よりも少ないことがわかっている場合は、代わりに [消費ワット数(Consumption Wattage)] を手動で設定して、他のデバイス用に電力を解放できます。

ステップ 4

[OK] をクリックします。


VLAN サブインターフェイスと 802.1Q トランキングの設定

VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

物理インターフェイスをスイッチのトランク ポートに接続する場合は、サブインターフェイスを作成します。スイッチ トランク ポートで表示できる各 VLAN のサブインターフェイスを作成します。物理インターフェイスをスイッチのアクセス ポートに接続する場合は、サブインターフェイスを作成しても意味がありません。

ガイドラインと制約事項

  • 物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。サブインターフェイスでトラフィックを通過させるには、物理インターフェイスを有効にする必要があるため、物理インターフェイスでトラフィックを通過させないためにインターフェイスに名前を付けないようにする必要があります。物理インターフェイスにタグのないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます。

  • Firepower 1010 および Cisco Secure Firewall 1210/1220:サブインターフェイスは、スイッチポートおよび VLAN インターフェイスではサポートされていません。

  • 必要に応じて詳細設定を変更することはできますが、ブリッジ グループ メンバー インターフェイスの IP アドレスを設定することはできません。

  • 同じ親インターフェイスのすべてのサブインターフェイスは、ブリッジ グループ メンバーかルーテッド インターフェイスのいずれかである必要があります。混在および一致はできません。

  • Threat Defense はダイナミック トランキング プロトコル(DTP)をサポートしないため、接続されているスイッチポートを無条件にトランキングするように設定する必要があります。

  • 親インターフェイスと同じ組み込みの MAC アドレスを使用するので、脅威に対する防御 デバイスで定義されたサブインターフェイスに一意の MAC アドレスを割り当てできます。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、脅威に対する防御 デバイスで特定のインスタンスでのトラフィックの中断を回避できます。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。EtherChannel にサブインターフェイスを追加するには、[EtherChannel] をクリックします。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

次のいずれかを実行します。

  • [Interfaces] ページで、プラスアイコン(プラスアイコン。)をクリックして、新しいサブインターフェイスを作成します。
  • [EtherChannel] ページで、プラスと下矢印のアイコン([プラス(Plus)] と下向き矢印アイコン。)をクリックし、[Subinterface] を選択します。
  • 編集するサブインターフェイスの編集アイコン(edit icon)をクリックします。

不要になったサブインターフェイスを削除する場合は、対象のサブインターフェイスの削除アイコン(delete icon)をクリックします。

ステップ 3

[ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

ステップ 4

親インターフェイス、名前、および説明を設定します。

  1. [Parent Interface] を選択します。

    親インターフェイスは、サブインターフェイスの追加先となる物理インターフェイスです。いったん作成したサブインターフェイスの親インターフェイスは変更できません。

  2. [Subinterface Name](最大 48 文字)を設定します。

    英字は小文字でなければなりません。例、[inside] または [outside]。名前を設定しないと、インターフェイスの残りの設定が無視されます。

    (注)  

     

    名前を変更すると、以前の名前が使用されていたすべての箇所(セキュリティ ゾーン、syslog サーバ オブジェクト、DHCP サーバ定義など)で変更が自動的に反映されます。ただし、通常、ポリシーや設定に名前のないインターフェイスは使用できないため、最初に古い名前を使用しているすべての設定を削除しないと、その名前は削除できません。

  3. [モード(Mode)] を [ルーテッド(Routed)] に設定します。

    後でこのインターフェイスをブリッジグループに追加すると、モードは自動的に「BridgeGroupMember」に変更されます。ブリッジグループのメンバーインターフェイスには IP アドレスを設定できません。

  4. (任意) [Description] を設定します。

    説明は 200 文字以内で、改行を入れずに 1 行で入力します。

  5. [VLAN ID] を設定します。

    このサブインターフェイス上のパケットにタグを付けるために使用する VLAN ID を 1 ~ 4094 の範囲で入力します。

  6. [サブインターフェイスID(Subinterface ID)] を設定します。

    サブインターフェイス ID を 1 ~ 4294967295 の範囲の整数で入力します。この ID は、インターフェイス ID に追加されます。たとえば、Ethernet1/1.100 のようになります。便宜上 VLAN ID を一致させることもできますが、必須ではありません。サブインターフェイスを作成した後は、ID を変更できません。

ステップ 5

[IPv4 アドレス(IPv4 Address)] タブをクリックし、IPv4 アドレスを設定します。

[タイプ(Type)] フィールドで以下のいずれかのオプションを選択します。

  • [DHCP]:ネットワーク上の DHCP サーバからアドレスを取得する場合は、このオプションを選択します。高可用性を設定する場合、このオプションは使用できません。必要に応じて、次のオプションを変更します。

    • [ルート メトリック(Route Metric)]:DHCP サーバからデフォルト ルートを取得する場合の、学習されるルートまでのアドミニストレーティブ ディスタンス(1 から 255)。デフォルトは 1 です。

    • [デフォルト ルートを取得(Obtain Default Route)]:DHCP サーバからデフォルト ルートを取得するかどうかを指定します。通常は、デフォルトとなっているこのオプションを選択します。

  • [静的(Static)]:固定アドレスを割り当てる場合は、このオプションを選択します。インターフェイスの IP アドレスとインターフェイスに接続されたネットワークのサブネット マスクを入力します。たとえば、10.100.10.0/24 ネットワークを接続した場合、10.100.10.1/24 と入力できます。このアドレスがネットワーク上ですでに使用されていないことを確認します。

    ハイ アベイラビリティを設定し、HA についてこのインターフェイスをモニタしている場合は、スタンバイ IP アドレスも同じサブネットに設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

    (注)  

     

    インターフェイスに対して設定されている DHCP サーバがある場合は、その設定が表示されます。DHCP アドレス プールを編集または削除できます。インターフェイスの IP アドレスを別のサブネットに変更する場合は、インターフェイスの変更を保存する前に、DHCP サーバを削除するか、新しいサブネット上にアドレス プールを構成する必要があります。DHCP サーバの設定を参照してください。

  • [PPPoE]:ポイントツーポイント プロトコル(PPPoE)を使用してアドレスを取得する必要がある場合は、このオプションを選択します。インターフェイスが DSL モデム、ケーブルモデム、または ISP への他の接続に接続されており、ISP が PPPoE を使用して IP アドレスを提供している場合は、PPPoE が必要になる場合があります。ハイアベイラビリティを設定する場合、このオプションは使用できません。次の値を設定します。

    • [グループ名(Group Name)]:この接続を表すために選択したグループ名を指定します。

    • [PPPoEユーザ名(PPPoE Username)]:ISP によって提供されたユーザ名を指定します。

    • [PPPoEパスワード(PPPoE Password)]:ISP によって提供されたパスワードを指定します。

    • [PPP 認証(PPP Authentication)]:[PAP]、[CHAP]、または [MSCHAP] を選択します。

      PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリア テキスト パスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。

    • [PPPoEの学習済みルートメトリック(PPPoE Learned Route Metric)]:アドミニストレーティブ ディスタンスを既知のルートに割り当てます。有効な値は 1 ~ 255 です。デフォルトでは、学習したルートのアドミニストレーティブ ディスタンスは 1 です。

    • [PPPoEからデフォルトルートを取得(Obtain Default Route from PPPoE)]:PPPoE サーバからのデフォルトルートの取得を有効にするには、このチェックボックスをオンにします。

    • [IPアドレスタイプ(Ip Address Type)]:PPPoE サーバから IP アドレスを取得するには、[動的(Dynamic)] を選択します。ISP から静的 IP アドレスが割り当てられている場合は、[静的(Static)] を選択することもできます。

ステップ 6

(オプション)。[IPv6 アドレス(IPv6 Address)] タブをクリックし、IPv6 アドレスを設定します。

  • [状態(State)]:IPv6 プロセスを有効にし、グローバル アドレスを設定しない場合にリンクローカル アドレスを自動的に設定するには、[有効化(Enabled)] を選択します。リンクローカル アドレスは、インターフェイスの MAC アドレスに基づいて生成されます(Modified EUI-64 形式)。

    (注)  

     

    IPv6 を無効にしても、明示的な IPv6 アドレスで設定されているインターフェイスまたは自動設定が有効になっているインターフェイスでの IPv6 処理は無効になりません。

  • [アドレスの自動設定(Address Auto Configuration)]:このオプションは、アドレスを自動的に設定する場合に選択します。IPv6 ステートレス自動設定は、デバイスが存在するリンクで使用するグローバルな IPv6 プレフィックスのアドバタイズメントなどの、IPv6 サービスを提供するようにルータが設定されている場合に限り、グローバルな IPv6 アドレスを生成します。IPv6 ルーティング サービスがリンクで使用できない場合、リンクローカルな IPv6 アドレスのみが取得され、そのデバイスが属するネットワーク リンクの外部にアクセスできません。リンクローカル アドレスは Modified EUI-64 インターフェイス ID に基づいています。

    RFC 4862 では、ステートレス自動設定用に設定されたホストはルータ アドバタイズメント メッセージを送信しないと規定されていますが、この場合は、Threat Defense デバイスがルータ アドバタイズメント メッセージを送信します。メッセージを抑制して、RFC に準拠するためには、[RA を抑制(Suppress RA)] を選択します。

  • [スタティック アドレス/プレフィックス(Static Address/Prefix)]:ステートレス自動設定を使用しない場合、完全に静的なグローバル IPv6 アドレスおよびネットワーク プレフィックスを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、IPv6 アドレッシングを参照してください。

    アドレスをリンクローカルとしてのみ使用する場合は、[リンクローカル(Link-Local)] オプションを選択します。リンクローカル アドレスは、ローカル ネットワークの外部ではアクセスできません。ブリッジ グループ インターフェイスにリンクローカル アドレスを設定することはできません。

    (注)  

     

    リンクローカル アドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。たとえば fe80::20d:88ff:feee:6a82 のようになります。Modified EUI-64 形式に基づくリンクローカル アドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカル アドレスによりパケットがドロップされることがあります。

  • [スタンバイ IP アドレス(Standby IP Address)]:高可用性を設定し、HA に関してこのインターフェイスをモニタリングしている場合は、同じサブネットにスタンバイ IPv6 アドレスも設定します。スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。

  • [RAを抑制(Suppress RA)]:ルータ アドバタイズメントを抑制するかどうかを指定します。ネイバー デバイスがデフォルトのルータ アドレスをダイナミックに把握できるように、Threat Defenseはルータ アドバタイズメントに参加できます。デフォルトでは、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)は、設定済みの各 IPv6 インターフェイスに定期的に送信されます。

    ルータ アドバタイズメントもルータ送信要求メッセージに応答して送信されます(ICMPv6 Type 133)。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定できます。

    Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを抑制できます。

ステップ 7

(オプション)詳細オプションの設定.

詳細設定には、ほとんどのネットワークに適したデフォルト値が入力されています。ネットワークの問題を解決するためでない限り、詳細設定を編集しないでください。

ステップ 8

[OK] をクリックします。


次のタスク

  • サブインターフェイスを適切なセキュリティゾーンに追加します。セキュリティ ゾーンの設定を参照してください。

  • ダイナミック DNS サービスプロバイダーに完全修飾ドメイン名(FQDN)を登録し、DNS サーバの IPv4 と IPv6 の両方のインターフェイスアドレスが更新されるように DDNS を設定します。「ダイナミック DNS(DDNS)の設定」を参照してください。

パッシブ インターフェイスの設定

パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワークを流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。

パッシブ展開で設定されたシステムでは、特定のアクション(トラフィックのブロッキングなど)を実行できません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。

パッシブ インターフェイスを使用して、ネットワーク上のトラフィックをモニタし、トラフィックに関する情報を収集します。たとえば、侵入ポリシーを適用して、ネットワークを攻撃する脅威のタイプを特定したり、ユーザが作成している Web 要求の URL カテゴリを確認することができます。さまざまなセキュリティ ポリシーおよびルールを実装して、アクティブに展開されたシステムの動作を確認し、アクセス制御やその他のルールに基づいてトラフィックをドロップすることができます。

ただし、パッシブ インターフェイスはトラフィックに影響を与えることができないため、多数の設定上の制限が存在します。これらのインターフェイスは、システムがトラフィックをピークすることを可能にするだけです。パッシブ インターフェイスに入るパケットがデバイスを出ることはありません。

ここでは、パッシブ インターフェイスとそれらの設定方法について説明します。

パッシブ インターフェイスを使用する理由

パッシブ インターフェイスの主な目的は、単純なデモンストレーション モードを提供することです。単一の送信元ポートをモニタするようにスイッチをセットアップし、ワークステーションを使用して、パッシブ インターフェイスでモニタしたテスト トラフィックを送信することができます。これにより、脅威に対する防御 システムが接続を評価したり脅威を特定したりする方法を確認できます。システムの実行方法に問題がなければ、その方法をネットワーク内にアクティブに展開して、パッシブ インターフェイスの設定を削除できます。

ただし、次のサービスを提供するために実稼働環境でパッシブ インターフェイスを使用することもできます。

  • 純粋な IDS 展開:システムをファイアウォールまたは IPS(侵入防御システム)として使用しない場合、IDS(侵入検知システム)としてパッシブに展開できます。この展開方法では、アクセス制御ルールを使用してすべてのトラフィックに侵入ポリシーを適用します。また、システムでスイッチ上の複数の送信元ポートもモニタします。さらに、ダッシュボードを使用してネットワークで見られる脅威をモニタすることができます。ただし、このモードでは、この脅威を防ぐためにできることはありません。

  • 混合展開:アクティブ ルーテッド インターフェイスとパッシブ インターフェイスを同じシステム上に混在させることができます。これにより、脅威に対する防御 デバイスをいくつかのネットワークでファイアウォールとして展開すると同時に、複数のパッシブ インターフェイスを他のネットワーク内のトラフィックをモニターするように設定することができます。

パッシブ インターフェイスに関する制限事項

パッシブ モード インターフェイスとして定義する物理インターフェイスには次の制限があります。

  • パッシブ インターフェイスのサブインターフェイスは設定できません。

  • パッシブ インターフェイスをブリッジ グループに含めることはできません。

  • パッシブ インターフェイスで IPv4 アドレスまたは IPv6 アドレスを設定することはできません。

  • パッシブ インターフェイスに [管理のみ(Management Only)] オプションを選択することはできません。

  • このインターフェイスはパッシブ モード セキュリティ ゾーンにのみ含めることができます。ルーテッド セキュリティ ゾーンに含めることはできません。

  • パッシブ セキュリティ ゾーンをアクセス制御またはアイデンティティ ルールの送信元基準に含めることは可能です。パッシブ ゾーンを宛先基準で使用することはできません。パッシブ ゾーンとルーテッド ゾーンを同じルールに混在させることもできません。

  • パッシブ インターフェイスの管理アクセス ルール(HTTPS または SSH)を設定することはできません。

  • パッシブ インターフェイスを NAT ルールで使用することはできません。

  • パッシブ インターフェイスのスタティック ルートを設定することはできません。パッシブ インターフェイスをルーティング プロトコルの設定で使用することもできません。

  • パッシブ インターフェイスで DHCP サーバを設定することはできません。パッシブ インターフェイスを使用して自動設定で DHCP 設定を取得することもできません。

  • パッシブ インターフェイスを syslog サーバ設定で使用することはできません。

  • パッシブ インターフェイスではどのタイプの VPN も設定することはできません。

ハードウェア Threat Defense パッシブインターフェイスのスイッチの設定

ハードウェア 脅威に対する防御 デバイス上のパッシブインターフェイスは、ネットワークスイッチを正しく設定している場合にのみ機能します。次の手順は、Cisco Nexus 5000 シリーズ スイッチに基づいています。別のタイプのスイッチでは、コマンドが異なる可能性があります。

基本的な考え方としては、SPAN(スイッチド ポート アナライザ)またはミラー ポートを設定し、そのポートにパッシブ インターフェイスを接続し、スイッチでモニタリング セッションを設定して、1 つまたは複数の送信元ポートから SPAN またはミラー ポートにトラフィックのコピーを送信します。

手順


ステップ 1

スイッチ上のポートをモニタ(SPAN またはミラー)ポートとして設定します。


switch(config)# interface Ethernet1/48 
switch(config-if)# switchport monitor 
switch(config-if)#

ステップ 2

モニタへのポートを特定するモニタリング セッションを定義します。

SPAN またはミラー ポートを宛先ポートとして定義していることを確認します。次の例では、2 つの送信元ポートがモニタされています。


switch(config)# monitor session 1 
switch(config-monitor)# source interface ethernet 1/7 
switch(config-monitor)# source interface ethernet 1/8 
switch(config-monitor)# destination interface ethernet 1/48 
switch(config-monitor)# no shut 

ステップ 3

(任意)show monitor session コマンドを使用して、設定を確認します。

次の例に、セッション 1 の概要出力を示します。


switch# show monitor session 1 brief 
   session 1
---------------
type              : local
state             : up
source intf       :
    rx            : Eth1/7        Eth1/8
    tx            : Eth1/7        Eth1/8
    both          : Eth1/7        Eth1/8
source VSANs      :
destination ports : Eth1/48

Legend: f = forwarding enabled, l = learning enabled

ステップ 4

脅威に対する防御 パッシブインターフェイスからスイッチ上の宛先ポートにケーブルを物理的に接続します。

物理接続を行う前後に、パッシブ モードでインターフェイスを設定できます。「パッシブ モードでの物理インターフェイスの設定」を参照してください。


Threat Defense Virtual パッシブインターフェイスの VLAN の設定

Threat Defense Virtual デバイスのパッシブインターフェイスは、仮想ネットワーク上で VLAN を正しく設定した場合にのみ機能します。次の手順を実行してください。

  • Threat Defense Virtual インターフェイスを、無差別モードで設定した VLAN に接続します。その後、パッシブ モードでの物理インターフェイスの設定での説明に従ってインターフェイスを設定します。パッシブ インターフェイスでは、プロミスキャス VLAN 上のすべてのトラフィックのコピーが認識されます。

  • 同じ VLAN に、1 つ以上のエンドポイント デバイス(仮想 Windows システムなど)を接続します。VLAN からインターネットへの接続がある場合は、単一のデバイスを使用できます。それ以外の場合は、2 つ以上のデバイスが必要です。URL カテゴリのデータを取得するには、インターネット接続が必要です。

パッシブ モードでの物理インターフェイスの設定

インターフェイスはパッシブ モードで設定できます。パッシブ モードで動作するインターフェイスは、単に、スイッチ自体(ハードウェア デバイスの場合)またはプロミスキャス VLAN(Threat Defense Virtual の場合)で設定されたモニタリング セッションの送信元ポートからのトラフィックをモニタします。スイッチまたは仮想ネットワークで設定する必要がある内容の詳細については、次のトピックを参照してください。

トラフィックに影響を及ぼすことなくモニタ対象スイッチ ポートからのトラフィックを分析するには、パッシブ モードを使用します。パッシブ モードを使用するエンドツーエンドの例については、ネットワークでトラフィックを受動的にモニタする方法を参照してください。

手順


ステップ 1

[Device] をクリックし、[Interfaces] サマリーにあるリンクをクリックし、[Interfaces] または [EtherChannel] をクリックします。

ステップ 2

編集する物理インターフェイスまたは EtherChannel の編集アイコン(edit icon)をクリックします。

現在使用されていないインターフェイスを選択します。使用中のインターフェイスをパッシブ インターフェイスに変換する場合は、最初にセキュリティ ゾーンからインターフェイスを削除し、そのインターフェイスを使用する他のすべての設定を削除する必要があります。

ステップ 3

[ステータス(Status)] スライダを [有効(enabled)] 設定(有効になっているスライダ。)に設定します。

ステップ 4

以下を設定します。

  • [インターフェイス名(Interface Name)]:インターフェイスの名前(最大 48 文字)。英字は小文字でなければなりません。たとえば、monitor などです。

  • [モード(Mode)]:[パッシブ(Passive)] を選択します。

  • (オプション)[説明(Description)]:説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。

(注)  

 

IPv4 アドレスまたは IPv6 アドレスを設定することはできません。[詳細(Advanced)] タブで変更できるのは、MTU、デュプレックス、速度設定のみです。

ステップ 5

[OK] をクリックします。


次のタスク

パッシブ インターフェイスを作成するだけでは、インターフェイスで確認されるトラフィックの情報を十分にダッシュボードに示すことはできません、次の手順も実行する必要があります。使用例で次の手順について説明します。ネットワークでトラフィックを受動的にモニタする方法を参照してください。

  • パッシブ セキュリティ ゾーンを作成し、それにインターフェイスを追加します。セキュリティ ゾーンの設定を参照してください。

  • パッシブ セキュリティ ゾーンを送信元ゾーンとして使用するアクセス制御ルールを作成します。通常は、これらのルールに侵入ポリシーを適用して、IDS(侵入検知システム)モニタリングを実装します。アクセス コントロール ポリシーの設定を参照してください。

  • 必要に応じて、パッシブ セキュリティ ゾーン向けに SSL 復号およびアイデンティティ ルールを作成し、セキュリティ インテリジェンス ポリシーを有効にします。

インラインセットの設定

インラインセットは、IPS 専用インターフェイスを提供します。別のファイアウォールがこれらのインターフェイスを保護していて、ファイアウォール機能のオーバーヘッドを避けたい場合、IPS 専用のインターフェイスを実装することがあります。

インラインセットはワイヤ上のバンプのように動作し、2 つのインターフェイスを一緒にバインドし、既存のネットワークに組み込みます。この機能によって、隣接するネットワークデバイスの設定がなくても、任意のネットワーク環境にデバイスをインストールすることができます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。

ガイドラインと制約事項

  • インライン セットは Firepower 1000 シリーズISA 3000Cisco Secure Firewall 3100 のデバイスモデルでのみ構成できます。

  • ISA 3000 は、インライン セットでのハードウェア バイパスをサポートしていません。代わりに、停電時のハードウェアバイパスの設定(ISA 3000)の説明に従ってハードウェア バイパスを構成してください。

  • インラインセットで許可されるインターフェイスタイプ:物理、EtherChannel。

  • インラインセットに管理インターフェイスを含めることはできません。

  • インラインセットで使用されるインターフェイスの属性(名前、モード、インターフェイス ID、MTU、IP アドレス)は変更できません。

  • タップモードを有効にすると、Snort フェールオープンは無効になります。

  • Bidirectional Forwarding Detection(BFD)エコーパケットは、インラインセットを使用するときに、デバイスを介して許可されません。BFD を実行しているデバイスの両側に 2 つのネイバーがある場合、デバイスは BFD エコーパケットをドロップします。両方が同じ送信元および宛先 IP アドレスを持ち、LAND 攻撃の一部であるように見えるからです。

  • インラインセットとパッシブインターフェイスについては、デバイスではパケットで 802.1Q ヘッダーが 2 つまでサポートされます(Q-in-Q サポートとも呼ばれます)。ファイアウォールタイプのインターフェイスでは Q-in-Q はサポートされず、802.1Q ヘッダーは 1 つだけサポートされることに注意してください。

  • インラインセット内のインターフェイスは、ルーティング、NAT、DHCP(サーバー、クライアント、またはリレー)、VPN、TCP インターセプト、アプリケーション インスペクション、または NetFlow をサポートしません。

始める前に

  • 脅威防御インライン ペア インターフェイスに接続する STP 対応スイッチに対して STP PortFast を設定することを推奨します。

  • インラインセットのメンバーとなる物理インターフェイスまたは EtherChannel インターフェイスを設定します。名前、デュプレックス、速度、ルーテッドモード(パッシブを選択しないでください)の値のみを設定します。手動 IP アドレス、DHCP、または PPoE などのアドレッシングタイプは設定しないでください。


    (注)  


    インターフェイスをインラインセットに追加すると、モードがインラインに変更されます。インラインをモードとして直接選択することはできません。


手順


ステップ 1

[デバイス(Device)] をクリックして、[インターフェイス(Interfaces)] サマリーのリンクをクリックしてから、[インラインセット(Inline Sets)] をクリックします。

ステップ 2

次のいずれかを実行します。

  • [+] をクリックして、新しいインラインセットを作成します。

  • 既存のインラインセットを変更するには、そのインラインセットの編集アイコン(edit icon)をクリックします。

  • インラインセットが不要になった場合は、そのインラインセットの削除アイコン(delete icon)をクリックします。

ステップ 3

次のオプションを構成します

  • インラインセットの [名前(Name)] を設定します。

  • (オプション)[MTU] を変更します。

    デフォルトの MTU は 1500 です。より大きなパッケージを処理するには、より高い値に設定できます。

ステップ 4

[一般(General)] タブで、インターフェイスペアを追加します。ペアごとに 2 つのインターフェイスを選択する必要があります。不要なペアは削除できます。

インラインセットにインターフェイスを追加すると、そのモードは [ルーテッド(Routed)] から [インライン(Inline)] に変更されます。インターフェイスの属性は、インラインセットから削除するまで編集できません。

ハードウェア モデルでサポートされている場合は、 [バイパス(Bypass)] モードも選択します。ハードウェア バイパスは、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。この機能は、高可用性モードまたは EtherChannel では使用できません。同じインラインセットに対して [バイパス(Bypass)] および [リンクステートの伝達(Propagate Link State)] を有効にしないでください。

  • [無効(Disabled)]:ハードウェア バイパスがサポートされているインターフェイスに対してハードウェア バイパスを無効に設定するか、ハードウェア バイパスがサポートされていないインターフェイスを使用します。

  • [スタンバイ(Standby)]:サポート対象のインターフェイスでハードウェア バイパスをスタンバイ状態に設定します。スタンバイ状態の場合、トリガーイベントが発生するまで、インターフェイスは通常動作を保ちます。

  • [Bypass-Force]:インターフェイスペアを手動で強制的にバイパス状態にします。

ステップ 5

[詳細(Advanced)] タブで、次のオプションパラメータを設定します。

  • [モード(Mode)]:[インライン(Inline)] モードは標準モードであり、デバイスを通過するトラフィックに影響を与えます。

    [タップ(Tap)] モードでは、デバイスはインラインで展開されますが、ネットワーク トラフィック フローは妨げられません。代わりに、デバイスは各パケットのコピーを作成して、パケットを分析できるようにします。それらのタイプのルールでは、ルールがトリガーされると侵入イベントが生成され、侵入イベントのテーブルビューにはトリガーの原因となったパケットがインライン展開でドロップされたことが示されることに注意してください。インライン展開されたデバイスでタップ モードを使用することには、利点があります。たとえば、デバイスがインラインであるかのようにデバイスとネットワーク間の配線をセットアップし、デバイスで生成される侵入イベントのタイプを分析することができます。その結果に基づいて、効率性に影響を与えることなく最適なネットワーク保護を提供するように、侵入ポリシーを変更してドロップ ルールを追加できます。デバイスをインラインで展開する準備ができたら、タップ モードを無効にして、デバイスとネットワーク間の配線を再びセットアップせずに、不審なトラフィックのドロップを開始することができます。[タップ(Tap)] モードは、トラフィックによってはデバイスのパフォーマンスに大きく影響することに注意してください。

  • [Snortフェールオープン(Snort Fail Open)]:Snort プロセスがビジーであるか、ダウンしている場合に、インスペクション(有効)またはドロップ(無効)されることなく、新規および既存のトラフィックを通過させる場合は、[ビジー(Busy)] オプションおよび [ダウン(Down)] オプションのいずれかまたは両方を有効または無効にします。

    デフォルトでは、Snort プロセスがダウンしている場合はトラフィックをインスペクションなしで通過させ、ビジーの場合はトラフィックをドロップします。

    Snort プロセスの状態には以下の意味があります。

    • [ビジー(Busy)]:トラフィックバッファが満杯なため、トラフィックを高速処理できません。デバイスの処理量を超えるトラフィックが存在していること、またはその他のソフトウェアリソースの問題があることを示しています。

    • [ダウン(Down)]:プロセスの再起動を必要とする設定を展開したため、プロセスが再起動中です。

    ダウン状態になった Snort プロセスは、再び稼働中になった時点で新しい接続を検査します。誤検知と検出漏れを防ぐために、Snort プロセスはインライン インターフェイス、ルーテッド インターフェイス、またはトランスペアレント インターフェイス上の既存の接続を検査しません。これは、プロセスのダウン中に初期セッション情報が失われている可能性があるためです。

    (注)  

     

    Snort プロセスが開始できない場合、Snort プロセスに依存する機能は動作しません。該当する機能には、アプリケーション制御とディープ インスペクションが含まれます。システムでは、シンプルかつ容易に判断できるトランスポート層とネットワークの特性を使用して、基本的なアクセスコントロールのみ実行されます。

  • [Propagate Link State]:リンクステートの伝達を設定します。

    インライン セットのインターフェイスの 1 つが停止した場合、リンク ステート伝播によってインライン インターフェイス ペアのもう一方のインターフェイスも自動的に停止します。停止したインターフェイスが再び起動すると、もう一方のインターフェイスも自動的に起動します。つまり、いずれかのインターフェイスのリンク ステートが変更されると、デバイスがその変更を検知し、もう一方のインターフェイスのリンク ステートを更新して両方のインターフェイスのリンク ステートを一致させるということです。リンク ステートの変更が伝播されるまでに最大 4 秒かかることに注意してください。障害状態のネットワーク デバイスを避けてトラフィックを自動的に再ルーティングするようルータが設定された復元力の高いネットワーク環境では、リンク ステート伝播が特に有効です。

ステップ 6

[OK] をクリックします。


インターフェイスの詳細オプションの設定

[詳細(Advanced)] オプションには、MTU、ハードウェア設定、管理専用、MAC アドレス、およびその他の設定が含まれています。

MAC アドレスについて

Media Access Control(MAC)アドレスを手動で設定してデフォルトをオーバーライドできます。

高可用性設定の場合は、インターフェイスのアクティブ MAC アドレスとスタンバイ MAC アドレスの両方を設定できます。アクティブ ユニットがフェールオーバーしてスタンバイ ユニットがアクティブになると、その新規アクティブ ユニットがアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。

デフォルトの MAC アドレス

デフォルトのMACアドレスの割り当ては、インターフェイスのタイプによって異なります。

  • 物理インターフェイス:物理インターフェイスでは、Burned-In MAC Address を使用します。

  • VLAN インターフェイス(Firepower 1010 および Secure Firewall 1210/1220):すべての VLAN インターフェイスが MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。詳細オプションの設定を参照してください。

  • EtherChannel:EtherChannel の場合、そのチャネルグループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対して透過的になります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。ポートチャネル インターフェイスは、プールにある一意の MAC アドレスを使用します。インターフェイス メンバーシップは MAC アドレスに影響しません。

  • サブインターフェイス: 物理インターフェイスのすべてのサブインターフェイスは同じBurned-In MAC Addressを使用します。サブインターフェイスに一意のMACアドレスを割り当てることが必要になる場合があります。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になり、Threat Defense で特定のインスタンスでのトラフィックの中断を避けることができます。

MTU について

MTU は、Threat Defense デバイス が特定のイーサネット インターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU の値は、イーサネット ヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレーム サイズです。たとえば、MTU を 1500 に設定すると、予想されるフレーム サイズはヘッダーを含めて 1518 バイトで、VLAN を使用する場合は 1522 です。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

パス MTU ディスカバリ

Threat Defense デバイス は、Path MTU Discovery(RFC 1191 の定義に従う)をサポートします。つまり、2 台のホスト間のネットワーク パス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。

MTU とフラグメンテーション

IPv4 の場合、出力 IP パケットが、指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは送信先(場合によっては中継先)で組立て直されます。フラグメント化はパフォーマンス低下の原因となります。IPv6 の場合、通常、パケットのフラグメント化は許可されません。したがってフラグメント化を避けるために、IP パケットを MTU サイズ以内におさめる必要があります。

UDP または ICMP の場合、アプリケーションは、フラグメンテーションを避けるために、MTU を考慮する必要があります。


(注)  


Threat Defense デバイス はメモリに空きがある限り、設定された MTU よりも大きいフレームを受信します。


MTU とジャンボ フレーム

MTU が大きくなると、より大きなパケットを送信できます。大きなパケットはネットワークにとってより効率的です。次のガイドラインを参照してください。

  • トラフィックパスの MTU の一致:すべての Threat Defense インターフェイスの MTU と、トラフィックパス上のその他のデバイスインターフェイスの MTU を同じ値に設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。

  • ジャンボ フレームへの対応:ジャンボ フレームとは、標準的な最大値 1522 バイト(レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む)より大きく、9216 バイトまでのイーサネット パケットのことです。ジャンボフレームに対応するために、MTU を 9,000 バイト以上に設定できます。最大値はモデルによって異なります。


    (注)  


    MTU を増やすとジャンボ フレームに割り当てるメモリが増え、他の機能(アクセス ルールなど)の最大使用量が制限される場合があります。Threat Defense Virtual のデフォルト値の 1,500 よりも MTU のサイズを大きくする場合は、システムを再起動する必要があります。高可用性にデバイスが設定されている場合、スタンバイ デバイスも再起動する必要があります。ジャンボフレームのサポートが常に有効な場合、その他のモデルを再起動する必要はありません。


詳細オプションの設定

インターフェイスの詳細オプションには、ほとんどのネットワークに適したデフォルト設定値が入力されています。ネットワーキングの問題を解決している場合、またはハイ アベイラビリティを設定する場合にのみ、これを設定します。

次の手順では、インターフェイスが定義済みであることを前提としています。インターフェイスを最初に編集または作成するときに、これらの設定を編集することもできます。

制限事項

  • ブリッジ グループの場合、これらのオプションのほとんどはメンバー インターフェイスで設定します。DAD 試行回数と HA モニタリングの有効化を除き、これらのオプションはブリッジ仮想インターフェイス(BVI)では使用できません。

  • 管理インターフェイスに MTU、デュプレックス、速度を設定することはできません。

  • 拡張オプションは、Firepower 1010 および Cisco Secure Firewall 1210/1220 スイッチポートでは使用できません。

  • Firepower 4100/9300 のインターフェイスにデュプレックスおよび速度を設定することはできません。インターフェイスのこれらの機能を設定するには、FXOS を使用します。

  • パッシブ インターフェイスでは、MTU、デュプレックス、速度のみ設定できます。インターフェイスの管理のみを行うことはできません。

手順


ステップ 1

[デバイス(Device)] をクリックし、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックし、次にインターフェイス タイプをクリックして、インターフェイスのリストを表示します。

ステップ 2

編集するインターフェイスの編集アイコン(edit icon)をクリックします。

ステップ 3

[詳細オプション(Advanced Options)] をクリックします。

ステップ 4

インターフェイスの状態をハイ アベイラビリティ設定でピア装置にフェールオーバーするかどうか判断する際の要素にする場合は、[HAモニタリングの有効化(Enable for HA Monitoring)] を選択します。

このオプションは、ハイ アベイラビリティを設定しない場合は無視されます。インターフェイスの名前を設定しない場合も、無視されます。

ステップ 5

データ インターフェイスを管理専用に指定する場合は、[管理専用(Management Only)] を選択します。

管理専用インターフェイスはトラフィックを通過させないため、データ インターフェイスを管理専用として設定してもほとんど価値はありません。管理/診断インターフェイスは、常に管理専用であるため、この設定を変更することはできません。

ステップ 6

Cisco Trustsec を有効にするには、[セキュリティグループタグの伝達(Propagate Security Group Tag)] を選択します。

名前付きか名前なしかにかかわらず、物理、サブインターフェイス、EtherChannel、VLAN、管理、または BVI インターフェイスで Cisco TrustSec を有効または無効にできます。デフォルトでは、インターフェイスに名前を付けると、Cisco TrustSec が自動的に有効になります。

ステップ 7

[MTU](最大伝送ユニット)を任意の値に設定します。

デフォルトの MTU は 1500 バイトです。最小値と最大値は、プラットフォームによって異なります。ジャンボ フレームが頻繁にやり取りされるネットワークでは、大きな値に設定します。

(注)  

 

ISA 3000 シリーズデバイス、Threat Defense Virtual で MTU を 1500 より大きい値に設定する場合は、デバイスを再起動する必要があります。高可用性にデバイスが設定されている場合、スタンバイ デバイスも再起動する必要があります。ジャンボフレームのサポートが常に有効な場合、その他のモデルを再起動する必要はありません。

ステップ 8

(物理インターフェイスのみ)速度およびデュプレックスの設定を変更します。

デフォルトでは、インターフェイスは接続相手のインターフェイスに対し、互いに最適なデュプレックスおよび速度をネゴシエートしますが、必要に応じて、特定のデュプレックスおよび速度を強制的に適用することもできます。記載されているオプションは、インターフェイスでサポートされるもののみです。ネットワーク モジュールのインターフェイスにこれらのオプションを設定する前に、インターフェイスの設定に関する制限 をお読みください。

  • [二重(Duplex)][ハーフ(Half)]、または [フル(Full)] を選択します。SFP インターフェイスは [全二重(Full)] のみをサポートします。

  • [速度(Speed)]:実際のオプションは、モデルとインターフェイスタイプによって異なります。速度、[自動(Auto)]、[ネゴシエーションなし(No Negotiate)]、または [SFPを検出(Detect SFP)] を選択してください。Firepower 1100 ファイバポートの場合、[ネゴシエーションなし(No Negotiate)] を指定すると速度が 1,000 Mbps に設定され、フロー制御パラメータとリモート障害情報のリンクネゴシエーションが無効になります。(Cisco Secure Firewall 3100 のみ)[SFPを検出(Detect SFP)] を選択してインストールされている SFP モジュールの速度を検出し、適切な速度を使用します。デュプレックスは常に全二重で、自動ネゴシエーションは常に有効です。このオプションは、後でネットワークモジュールを別のモデルに変更し、速度を自動的に更新する場合に便利です。Cisco Secure Firewall 1250では、2.5Gbps のインターフェイス速度を構成できます。

  • (Cisco Secure Firewall 3100 のみ)[自動ネゴシエーション(Auto Negotiation)] :インターフェイスのタイプに応じて、フロー制御パラメータとリモート障害情報のリンクステータスをネゴシエートするようにインターフェイスを設定します。

  • [前方誤り訂正モード(Forward Error Correction Mode)] :(Cisco Secure Firewall 3100 のみ)25 Gbps 以上のインターフェイスの場合は、前方誤り訂正(FEC)を有効にします。EtherChannel メンバーインターフェイスの場合は、EtherChannel に追加する前に前方誤り訂正を設定する必要があります。自動を使用する場合に選択する設定は、トランシーバのタイプと、インターフェイスが固定(内蔵)かネットワークモジュールかによって異なります。

    表 1. 自動設定のデフォルト FEC

    トランシーバ タイプ

    固定ポートのデフォルト FEC(イーサネット 1/9 ~ 1/16)

    ネットワークモジュールのデフォルト FEC

    25G-SR

    第 108 条 RS-FEC

    第 108 条 RS-FEC

    25G-LR

    第 108 条 RS-FEC

    第 108 条 RS-FEC

    10/25G-CSR

    第 108 条 RS-FEC

    第 74 条 FC-FEC

    25G-AOCxM

    第 74 条 FC-FEC

    第 74 条 FC-FEC

    25G-CU2.5/3M

    自動ネゴシエーション

    自動ネゴシエーション

    25G-CU4/5M

    自動ネゴシエーション

    自動ネゴシエーション

ステップ 9

[IPv6設定(IPv6 Configuration)] を変更します。

  • [DHCPクライアントの有効化(Enable DHCP Client)]:DHCPv6 を使用してアドレスを取得します。

    ルータアドバタイズメントからデフォルトルートを取得するには、[DHCPを使用してデフォルトルートを取得(Obtain default route using DHCP)] をオンにします。

  • [Enable DHCP for IPv6 address configuration]:IPv6 ルータのアドバタイズメント パケットに、管理アクセス設定フラグを設定するかどうか。このフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを IPv6 自動設定クライアントに通知します。
  • [Enable DHCP for IPv6 non-address configuration]:IPv6 ルータのアドバタイズメント パケットに、その他のアクセス設定フラグを設定するかどうか。このフラグは、DHCPv6 から DNS サーバ アドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
  • [DAD 試行回数(DAD Attempts)]:インターフェイスで重複アドレス検出(DAD)を実行する回数を 0 ~ 600 の範囲で指定します。デフォルトは 1 です。ステートレス自動設定プロセスでは、アドレスがインターフェイスに割り当てられる前に、DAD によって新しいユニキャスト IPv6 アドレスの一意性が確認されます。重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイスで IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。インターフェイスは、ネイバー送信要求メッセージを使用して、重複アドレス検出を実行します。重複アドレス検出(DAD)プロセスを無効にするには、この値を 0 に設定します。

ステップ 10

(必要に応じて、サブインターフェイスおよびハイ アベイラビリティ装置に推奨されます)MAC アドレスを設定します。

デフォルトでは、システムはインターフェイスのネットワーク インターフェイス カード(NIC)に焼き込まれた MAC アドレスを使用します。したがって、インターフェイスのすべてのサブインターフェイスは同じ MAC アドレスを使用するため、サブインターフェイスごとに一意のアドレスを作成する必要がある場合があります。手動設定されたアクティブ/スタンバイ MAC アドレスも、ハイ アベイラビリティを設定する場合に推奨されます。MAC アドレスを定義すると、フェールオーバー時にネットワークの一貫性を維持することができます。

  • [MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

  • [スタンバイMACアドレス(Standby MAC Address)]:ハイ アベイラビリティで使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 11

[OK] をクリックします。


インターフェイスの変更のスキャンとインターフェイスの移行

デバイスのインターフェイスを変更すると、デバイスは変更が発生したことを Device Manager に通知します。インターフェイスのスキャンを実行するまで、設定を展開することはできません。Device Manager では、セキュリティポリシー内のインターフェイスを別のインターフェイスに移行することができるため、インターフェイスの削除はほぼシームレスに実行できます。

インターフェイスのスキャンと移行について

Scanning

デバイスのインターフェイスを変更すると、デバイスは変更が発生したことを Device Manager に通知します。インターフェイスのスキャンを実行するまで、設定は展開できません。インターフェイスの追加、削除、または復元を検出するスキャンの後に設定を展開できますが、削除されたインターフェイスを参照している設定の部分は展開されません。

スキャンを必要とするインターフェイスの変更には、インターフェイスの追加や削除が含まれます。たとえば、ネットワークモジュールの変更、Firepower 4100/9300 シャーシ上に割り当てられたインターフェイスの変更、Threat Defense Virtual でのインターフェイスの変更などです。

次の変更は、スキャン後の展開をブロックしません。

  • セキュリティゾーンのメンバーシップ

  • EtherChannelインターフェイス メンバーシップ

  • Firepower 1010 および Secure Firewall 1210/1220 VLAN インターフェイス スイッチポートのメンバーシップ

  • BVI を参照するポリシーのブリッジ グループ インターフェイスのメンバーシップ


(注)  


syslog サーバの出力インターフェイスの変更によって展開がブロックされることはありませんが、syslog サーバの設定は、手動で、またはインターフェイス交換機能を使用して修正する必要があります。


Migrating

新しいインターフェイスの追加や未使用のインターフェイスの削除が、脅威に対する防御 の設定に与える影響は最小限です。ただし、セキュリティポリシーで使用されているインターフェイスを削除すると、設定に影響を及ぼします。インターフェイスは、セキュリティゾーン、NAT、VPN、ルーティング、DHCP サーバなど、脅威に対する防御 設定内の多くの場所で直接参照できます。

Device Manager では、セキュリティ ポリシー内のインターフェイスを別のインターフェイスに移行することができるため、インターフェイスの削除はほぼシームレスに実行できます。


(注)  


移行機能は、名前、IPアドレス、およびその他の設定をインターフェイス間でコピーしません。この機能は、古いインターフェイスではなく新しいインターフェイスを参照するようにセキュリティポリシーを変更します。移行する前に、新しいインターフェイスの設定を手動で設定する必要があります。


インターフェイスを削除する必要がある場合は、古いインターフェイスを削除する「前に」、新しいインターフェイスを追加し、古いインターフェイスを移行することをお勧めします。インターフェイスの追加と削除を同時に行っても移行プロセスは機能します。ただし、削除されたインターフェイスやそれらを参照するポリシーを「手動で」編集することはできません。そのため、移行を段階的に実行する方が簡単になる場合があります。

同じタイプのインターフェイスを交換する場合(たとえば、ネットワークモジュールを RMA する必要がある場合)は、次のことができます。1. シャーシからモジュールを取り外す。2. スキャンを実行する。3. 削除されたインターフェイスとは関係のない変更を展開する。4. モジュールを交換する。5. 新しいスキャンを実行する。6. インターフェイス関連の変更を含め、設定を展開します。新しいインターフェイスのインターフェイス ID と特性が古いインターフェイスと同じである場合は、移行を実行する必要はありません。

インターフェイスのスキャンと移行に関する注意事項と制限事項

サポートされていないインターフェイスの移行

  • BVI への物理インターフェイス

  • ファイアウォール インターフェイスへのパッシブインターフェイス

  • ブリッジグループメンバー

  • EtherChannel インターフェイスメンバー

  • ISA 3000 ハードウェア バイパス メンバー

  • Firepower 1010 および Secure Firewall 1210/1220 VLAN インターフェイスまたはスイッチポート

  • 診断インターフェイス

  • HAフェールオーバーおよびステートリンク

  • さまざまなタイプのインターフェイスの移行(たとえば、物理インターフェイスを必要とする機能へのブリッジ グループ インターフェイスの移行)

その他のガイドライン

  • インターフェイスを削除する必要がある場合は、古いインターフェイスを削除する「前に」、新しいインターフェイスを追加し、古いインターフェイスを移行することをお勧めします。

  • Threat Defense Virtual では、インターフェイスリストの末尾でインターフェイスの追加や削除が行われるだけです。他の場所でインターフェイスを追加または削除した場合、ハイパーバイザによってインターフェイスの番号が再設定され、その結果、設定内のインターフェイス ID が誤ったインターフェイスと一致します。

  • スキャン/移行が失敗した場合は、シャーシの元のインターフェイスを復元し、元の状態に戻すために再スキャンします。

  • バックアップの場合は、新しいインターフェイスを使用して新しいバックアップを作成してください。古い設定で復元すると、古いインターフェイス情報が復元され、スキャン/置換を再度実行する必要が生じます。

  • HA の場合は、アクティブユニットでインターフェイススキャンを実行する前に、両方の装置で同じインターフェイスの変更を行います。アクティブユニットでスキャン/移行を実行する必要があるだけです。設定の変更はスタンバイ ユニットに複製されます。

インターフェイスのスキャンと移行

Device Manager でインターフェイスの変更をスキャンし、削除されたインターフェイスからインターフェイス設定を移行します。インターフェイス設定の移行のみを必要とする場合は(スキャンは不要)、次の手順のうちスキャンに関連するステップを無視してください。


(注)  


移行機能は、名前、IPアドレス、およびその他の設定をインターフェイス間でコピーしません。この機能は、古いインターフェイスではなく新しいインターフェイスを参照するようにセキュリティポリシーを変更します。移行する前に、新しいインターフェイスの設定を手動で設定する必要があります。


手順


ステップ 1

シャーシでインターフェイスを追加または削除します。

インターフェイスを削除する必要がある場合は、古いインターフェイスを削除する「前に」、新しいインターフェイスを追加し、古いインターフェイスの置き換えを実行することをお勧めします。

ステップ 2

インターフェイスの変更をスキャンします。

インターフェイスのスキャンを実行するまで、設定は展開できません。スキャンの前に展開しようとすると、次のエラーが表示されます。

  1. [デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにある [すべてのインターフェイスを表示(View All Interfaces)] リンクをクリックします。

  2. [インターフェイス(Interfaces)] アイコン()をクリックします。

  3. インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。

    スキャン後、削除されたインターフェイスは、[インターフェイス]ページに注意記号とともに表示されます。

ステップ 3

既存のインターフェイスを新しいインターフェイスに移行するには、次の手順を実行します。

  1. 新しいインターフェイスに名前、IPアドレスなどを設定します。

    削除するインターフェイスの既存のIPアドレスと名前を使用する場合は、新しいインターフェイスでこれらの設定を使用できるように、まず古いインターフェイスをダミーの名前とIPアドレスで再設定する必要があります。

  2. 古いインターフェイスの[移行]アイコンをクリックします。

    このプロセスによって、インターフェイスを参照しているすべての設定で、古いインターフェイスが新しいインターフェイスに移行されます。

  3. [移行先:(Migrate to:)] ドロップダウンリストから新しいインターフェイスを選択します。

  4. [インターフェイス(Interfaces)] ページにメッセージが表示されます。メッセージ内のリンクをクリックします。

  5. [タスクリスト(Task List)] を調べて、移行が成功したことを確認します。

  6. 移行が失敗した場合は、APIエクスプローラで理由を確認できます。

    API エクスプローラを開くには、[詳細オプション(More options)] ボタン([その他のオプション(More options)] ボタン。)をクリックし、[APIエクスプローラ(API Explorer)] を選択します。[インターフェイス(Interface)] > [GET/jobs/interfacemigrations] を選択し、[試してみる(Try it Out!)] をクリックします。

ステップ 4

設定を展開します。

削除されたインターフェイスを参照する設定の部分は展開されません。その場合、次のメッセージが表示されます。

ステップ 5

シャーシの古いインターフェイスを取り外し、別のスキャンを実行します。

削除されたインターフェイスのうちポリシーで使用されなくなったものは、[インターフェイス(Interfaces)] ページから削除されます。

ステップ 6

設定を再度展開し、使用していないインターフェイスを設定から削除します。


Secure Firewall 3100 のネットワークモジュールの管理

最初にファイアウォールの電源をオンにする前にネットワークモジュールをインストールした場合、アクションは不要です。ネットワークモジュールは有効になり、使用できる状態になっています。

初回ブートアップ後にネットワークモジュールのインストールを変更する必要がある場合は、次の手順を参照してください。

ブレークアウトポートの設定

40GB 以上のインターフェイスごとに 10GB のブレークアウトポートを設定できます。この手順では、ポートの分割と再参加の方法について説明します。ブレークアウトポートは、EtherChannel への追加を含め、他の物理イーサネットポートと同じように使用できます。

ハイアベイラビリティの場合は、アクティブユニットでこの手順を実行します。インターフェイスの変更は他のユニットに複製されます。

始める前に

  • サポートされているブレークアウトケーブルを使用する必要があります。詳細については、ハードウェア設置ガイドを参照してください。

  • このインターフェイスは、ご使用の構成では使用できませんサブインターフェイスを持つことも、EtherChannel の一部にすることもできません。

  • ハイアベイラビリティの場合、ハイアベイラビリティ用のインターフェイスの命名、有効化、またはモニタリングもできません。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[インターフェイス(Interfaces)] タブがデフォルトで選択されます。インターフェイスリストに、物理インターフェイスとそれぞれの名前、アドレス、状態が表示されます。

ステップ 2

40GB 以上のインターフェイスから 10GB ポートを分割するために、インターフェイスの右側にある [ブレークアウト(Breakout)] アイコン(ブレークアウトアイコン)をクリックします。

確認ダイアログボックスで、[OK] をクリックします。インターフェイスが使用中の場合は、エラーメッセージが表示されます。分割を再試行する前に、ユースケースを解決する必要があります。たとえば、別のインターフェイスを使用するように設定を変更することができます。

たとえば、Ethernet2/1 40GB インターフェイスを分割する場合、分割後の子インターフェイスは、Ethernet2/1/1、Ethernet2/1/2、Ethernet2/1/3、および Ethernet2/1/4 として識別されます。

インターフェイスのグラフィックでは、分割されたポートは によって示されます。ブレークアウトポートのステータスの詳細を示すページは、左右の矢印をクリックしてスクロールすることができます。

ステップ 3

ブレークアウトポートを再参加させるには、インターフェイスの右側にある [参加(Join)] アイコン(参加アイコン)をクリックします。

確認ダイアログボックスで、[OK] をクリックします。子ポートが使用中の場合は、エラーメッセージが表示されます。再参加を再試行する前に、ユースケースを解決する必要があります。たとえば、別のインターフェイスを使用するように設定を変更することができます。

インターフェイスのすべての子ポートを再参加させる必要があります。

ステップ 4

設定を展開します。


ネットワークモジュールの追加

初回起動後にファイアウォールにネットワークモジュールを追加するには、次の手順を実行します。新しいモジュールを追加するには、再起動が必要です。

手順


ステップ 1

ハードウェア設置ガイドに従ってネットワークモジュールをインストールします。

ハイアベイラビリティの場合は、両方のユニットにネットワークモジュールをインストールします。

ステップ 2

ファイアウォールを再起動します。システムの再起動またはシャットダウンを参照してください。ハイ アベイラビリティの場合は、スタンバイユニットを再起動してから、スタンバイユニットでこの手順の残りを実行します。

ステップ 3

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにある [すべてのインターフェイスを表示(View All Interfaces)] リンクをクリックします。

次のグラフィックは、インターフェイススキャンが必要であることを示しています。

図 3. インターフェイススキャンが必要
インターフェイススキャンが必要

ステップ 4

[インターフェイススキャン(Interface Scan)] をクリックして、ネットワークモジュールの新しい詳細情報でページを更新します。

インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。

図 4. インターフェイスのスキャン
インターフェイスのスキャン

ステップ 5

インターフェイスのグラフィックで、スライダー(無効になっているスライダ。)をクリックしてネットワークモジュールを有効にします。

図 5. ネットワークモジュールの有効化
ネットワークモジュールの有効化

ステップ 6

ネットワークモジュールを有効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 6. 有効化の確認
有効化の確認

ステップ 7

ハイアベイラビリティの場合は、アクティブユニットを変更し(アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)を参照)、新しいスタンバイユニットに対して上記の手順を実行します。


ネットワークモジュールの交換方法

再起動することなく、同じタイプの新しいモジュールのネットワークモジュールをホットスワップできます。ただし、現在のモジュールを安全に取り外すには、シャットダウンする必要があります。この手順では、古いモジュールをシャットダウンし、新しいモジュールをインストールして有効にする方法について説明します。

始める前に

ハイアベイラビリティの場合、フェールオーバーリンクがモジュール上にあると、ネットワークモジュールを無効化できません。ハイアベイラビリティを解除する必要があります(ハイ アベイラビリティの破棄を参照)。モジュールをホットスワップした後、ハイアベイラビリティを再編成できます。

手順


ステップ 1

ハイアベイラビリティの場合、ホットスワップを実行するユニットがスタンバイノードであることを確認します。アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)を参照してください。

ステップ 2

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにある [すべてのインターフェイスを表示(View All Interfaces)] リンクをクリックします。

ステップ 3

インターフェイスのグラフィックで、スライダー(有効になっているスライダ。)をクリックしてネットワークモジュールを無効にします。

図 7. ネットワークモジュールの無効化
ネットワークモジュールの無効化

ステップ 4

ネットワークモジュールを無効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 8. 無効化の確認
無効化の確認

ステップ 5

ハードウェア設置ガイドに従ってネットワークモジュールをインストールします。

ステップ 6

インターフェイスのグラフィックで、スライダー(無効になっているスライダ。)をクリックしてネットワークモジュールを有効にします。

図 9. ネットワークモジュールの有効化
ネットワークモジュールの有効化

ステップ 7

ネットワークモジュールを有効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 10. 有効化の確認
有効化の確認

ネットワークモジュールを別のタイプに交換する

ネットワークモジュールを別のタイプに交換する場合は、再起動が必要です。新しいモジュールのインターフェイス数が古いモジュールよりも少ない場合は、存在しなくなるインターフェイスに関連する構成を手動で削除する必要があります。

始める前に

ハイアベイラビリティの場合、フェールオーバーリンクがモジュール上にあると、ネットワークモジュールを無効化できません。ハイアベイラビリティを解除する必要があります(ハイ アベイラビリティの破棄 を参照)。これにより、アクティブユニットの再起動時にダウンタイムが発生するようになります。ユニットの再起動が完了したら、ハイアベイラビリティを再編成できます。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにある [すべてのインターフェイスを表示(View All Interfaces)] リンクをクリックします。ハイアベイラビリティの場合は、最初にスタンバイユニットでこの手順を実行します。

ステップ 2

インターフェイスのグラフィックで、スライダー(有効になっているスライダ。)をクリックしてネットワークモジュールを無効にします。

図 11. ネットワークモジュールの無効化
ネットワークモジュールの無効化

ステップ 3

ネットワークモジュールを無効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 12. 無効化の確認
無効化の確認

ステップ 4

ハードウェア設置ガイドに従って、デバイスの古いネットワークモジュールを取り外し、新しいネットワークモジュールと交換します。

ステップ 5

ファイアウォールを再起動します。システムの再起動またはシャットダウンを参照してください。

ステップ 6

[インターフェイス(Interfaces)] ページの次のグラフィックは、インターフェイススキャンが必要であることを示しています。[インターフェイススキャン(Interface Scan)] をクリックして、ネットワークモジュールの新しい詳細情報でページを更新します。

図 13. インターフェイススキャンが必要
インターフェイススキャンが必要

ステップ 7

インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。

図 14. インターフェイスのスキャン
インターフェイスのスキャン

スキャン後、削除されたインターフェイスは、[インターフェイス(Interfaces)] ページに注意記号とともに表示されます。

図 15. 削除されたインターフェイス
削除されたインターフェイス

ステップ 8

ネットワークモジュールのインターフェイスの数が減少した場合は、削除されたインターフェイスを直接参照する設定を削除する必要があります。

セキュリティ ゾーンを参照するポリシーは影響を受けません。必要に応じて、設定を別のインターフェイスに移行させることができます。インターフェイスのスキャンと移行を参照してください。

ステップ 9

インターフェイスのグラフィックで、スライダー(無効になっているスライダ。)をクリックしてネットワークモジュールを有効にします。

図 16. ネットワークモジュールの有効化
ネットワークモジュールの有効化

ステップ 10

ネットワークモジュールを有効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 17. 有効化の確認
有効化の確認

ステップ 11

インターフェイス速度を変更するには、詳細オプションの設定を参照してください。

デフォルトの速度は、[SFPを検出(Detect SFP)] に設定されています。これにより、取り付けられている SFP から適切な速度が検出されます。速度を手動で特定の値に設定しており、その速度の変更が必要になった場合にのみ、速度を修正する必要があります。

ステップ 12

設定を変更する必要がある場合は、[展開(Deployment)] アイコンをクリックします。

ネットワークモジュールの変更を保存するためだけに展開する必要はありません。

ステップ 13

ハイアベイラビリティの場合は、アクティブユニットを変更し(アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)を参照)、新しいスタンバイユニットに対して上記の手順を実行します。


ネットワーク モジュールの取り外し

ネットワークモジュールを完全に削除する場合は、次の手順に従います。ネットワークモジュールを削除するには、再起動が必要です。

始める前に

ハイアベイラビリティの場合は、フェールオーバーリンクがネットワークモジュール上にないことを確認してください。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにある [すべてのインターフェイスを表示(View All Interfaces)] リンクをクリックします。ハイアベイラビリティの場合は、最初にスタンバイユニットでこの手順を実行します。

ステップ 2

インターフェイスのグラフィックで、スライダー(有効になっているスライダ。)をクリックしてネットワークモジュールを無効にします。

図 18. ネットワークモジュールの無効化
ネットワークモジュールの無効化

ステップ 3

ネットワークモジュールを無効にするかどうかを確認するメッセージが表示されます。[Yes] をクリックします。

図 19. 無効化の確認
無効化の確認

ステップ 4

ファイアウォールで、ネットワークモジュールを削除します。

ステップ 5

ファイアウォールを再起動します。システムの再起動またはシャットダウンを参照してください。

ステップ 6

[インターフェイス(Interfaces)] ページの次のグラフィックは、インターフェイススキャンが必要であることを示しています。[インターフェイススキャン(Interface Scan)] をクリックして、ネットワークモジュールの適切な詳細情報でページを更新します。

図 20. インターフェイススキャンが必要
インターフェイススキャンが必要

ステップ 7

インターフェイスがスキャンされるのを待ってから、[OK] をクリックします。

スキャン後、削除されたインターフェイスは、[インターフェイス(Interfaces)] ページに注意記号とともに表示されます。

図 21. 削除されたインターフェイス
削除されたインターフェイス

ステップ 8

削除されたインターフェイスを直接参照するすべての設定を削除する必要があります。

セキュリティ ゾーンを参照するポリシーは影響を受けません。必要に応じて、設定を別のインターフェイスに移行させることができます。インターフェイスのスキャンと移行を参照してください。

ステップ 9

設定を変更する必要がある場合は、[展開(Deployment)] アイコンをクリックします。

ネットワークモジュールの変更を保存するためだけに展開する必要はありません。

ステップ 10

ハイアベイラビリティの場合は、アクティブユニットを変更し(アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)を参照)、新しいスタンバイユニットに対して上記の手順を実行します。


管理インターフェイスと診断インターフェイスのマージ

Threat Defense 7.4 以降では、マージされた管理インターフェイスと診断インターフェイスがサポートされます。診断インターフェイスを使用する設定がある場合、インターフェイスは自動的にマージされないため、次の手順を実行する必要があります。この手順では、設定の変更を確認し、場合によっては手動で設定を修正する必要があります。

バックアップ/復元機能は、マージの状態(マージされていないかマージされている)を保存および復元します。たとえば、インターフェイスをマージしてから、古いマージされていない設定を復元すると、復元された設定はマージされていない状態になります。

次の表に、レガシー診断インターフェイスで使用可能な設定と、マージの完了方法を示します。

表 2. Device Manager 統合管理インターフェイスのサポート

レガシー診断インターフェイスの設定

マージ動作

管理でサポートされるかどうか

インターフェイス

「管理」インターフェイスが [Interfaces] ページに表示され、設定できるようになりました。以前は、[System Settings] > [Management Interface] ページで設定が可能でした。

  • IP アドレス

手動で削除する必要があります。

代わりに現在の管理 IP アドレスが使用されます。

高可用性の場合、管理インターフェイスはスタンバイ IP アドレスをサポートしません。各ユニットには、フェールオーバー後も維持される独自の IP アドレスがあります。そのため、現在のアクティブユニットとの通信に単一の管理 IP アドレスを使用することはできません。

[Interfaces] ペインで設定するか、configure network ipv4 または configure network ipv6 コマンドを使用して CLI で設定します。

  • 「診断」名

自動的に「管理」に変更されます。

(注)  

 

他のインターフェイスに「管理」という名前を付けることはできません。マージを続行するには、名前を変更する必要があります。

「管理」に変更されます。

スタティック ルート

手動で削除する必要があります。

サポートしない

管理インターフェイスには、データインターフェイスに基づく個別の Linux ルーティングテーブルがあります。脅威に対する防御 には、実際のところ、データインターフェイス用と管理専用インターフェイス用の 2 つの「データ」ルーティングテーブルがあります(以前は診断インターフェイスが含まれていましたが、管理専用に設定されたすべてのインターフェイスも含まれています)。トラフィックタイプに応じて、脅威に対する防御 は 1 つのルーティングテーブルをチェックし、次に他のルーティングテーブルにフォールバックします。このルートルックアップには、診断インターフェイスは含まれておらず、管理用の Linux ルーティングテーブルも含まれていません。詳細については、「管理トラフィック用ルーティングテーブル」を参照してください。

configure network static-routes コマンドを使用して、CLI で Linux ルーティングテーブルのスタティックルートを追加できます。

(注)  

 

デフォルトルートは、configure network ipv4 または configure network ipv6 コマンドで設定します。

Syslog サーバ(Syslog Server)

自動的に管理インターフェイスに移動されました。

はい。

syslog サーバーの設定で、管理インターフェイスから syslog を送信するオプションを使用できるようになりました(6.3 以降)。syslog に関して診断インターフェイスを明確に選択していた場合は、管理インターフェイスを使用するように変更されます。

RADIUS サーバ

自動的に管理インターフェイスに移動されました。

はい。

診断インターフェイスを明確に選択していた場合は、管理インターフェイスを使用するように変更されます。

(注)  

 

ルートルックアップを指定した場合、脅威に対する防御 は管理専用インターフェイスからトラフィックを送信できなくなります。この場合、送信元インターフェイスとして管理専用インターフェイスを明示的に選択する必要があります。

AD サーバ

必要に応じて、管理インターフェイスを手動で指定します。

はい。

デフォルトでは、AD サーバー通信のルートルックアップが実行され、7.4 より前のインターフェイスは指定できませんでした。7.4 以降、脅威に対する防御 は、ルートルックアップを使用して管理専用インターフェイスからトラフィックを送信できなくなります。この場合、送信元インターフェイスとして管理専用インターフェイスを明示的に選択できるようになりました。

DDNS

手動で削除する必要があります。

サポートしない

DHCP サーバー

手動で削除する必要があります。

サポートしない

DNS サーバ

自動的に管理インターフェイスに移動されました。

はい。

診断インターフェイスを明確に選択していた場合は、管理インターフェイスを使用するように変更されます。インターフェイス([ANY])を選択しなかった場合は、ルーティングルックアップも変更されます。ルーティングルックアップはデータルーティングテーブルを使用しますが、ルートが見つからない場合、管理専用ルーティングテーブルにフォールバックしません。

(注)  

 

管理インターフェイスには、管理トラフィック専用の個別の DNS ルックアップ設定もあります。

SLA モニタ

手動で削除する必要があります。

サポートしない

FlexConfig

手動で削除する必要があります。

サポートしない

始める前に

  • デバイスの現在のモードを表示するには、脅威に対する防御 CLI で show management-interface convergence コマンドを入力します。次の出力は、管理インターフェイスがマージされていることを示しています。

    
    > show management-interface convergence
    management-interface convergence
    >                   
    

    次の出力は、管理インターフェイスがマージされていないことを示しています。

    
    > show management-interface convergence
    no management-interface convergence
    >                   
    
  • 高可用性ペアの場合は、アクティブユニットでこのタスクを実行します。マージされた設定は、自動的にスタンバイユニットに複製されます。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

[Interfaces] テーブルの上部に、[Management Interface action needed] のメッセージとリンクが表示されます。

ステップ 2

診断インターフェイスを編集し、IP アドレスを削除します。

診断 IP アドレスを削除するまで、マージを完了できません。

ステップ 3

[Management Interface action needed] エリアの [Merge Management Interface] をクリックします。

[Management Interface Merge] ダイアログボックスに、設定内の診断インターフェイスのオカレンスがすべて表示されます。手動で設定を削除または変更する必要があるオカレンスは、警告アイコン付きで表示されます。自動移行も表示されます。

ステップ 4

リストされている設定を手動で削除または変更する必要がある場合は、次の手順を実行します。

設定を変更している間、参考のために [Management Interface Merge] ダイアログボックスは開いたままにできます。

  1. 項目をクリックして設定ページを開きます。その後、項目を削除したり、データインターフェイスを選択したりできます。

  2. [Management Interface Merge] ダイアログボックスの内容を更新するには、[Refresh] をクリックします。

    これで、警告は表示されなくなります。

ステップ 5

[Acknowledge Changes] をクリックしてから、[Proceed] をクリックします。

診断 IP アドレスをまだ削除していない場合、次のエラーが表示されます。

この場合、診断 IP アドレスを削除してから、[Proceed] をもう一度クリックします。

設定がマージされると、成功バナーが表示されます。

ステップ 6

マージされた新しい設定を展開します。

注意    

 

マージを続行しない場合は、展開する前に [Discard All] を使用して変更を破棄し、マージを元に戻すことができます。マージされた設定を展開すると、Device Manager からインターフェイスのマージを解除できます。ただし、診断インターフェイスは手動で再設定する必要があります。「管理インターフェイスのマージ解除」を参照してください。また、マージされていない設定を復元すると、デバイスはマージされていない設定に戻ります。

マージ後、[Interfaces] ページに管理インターフェイスが表示され、設定可能になります。以前は、[System Settings] > [Management Interface] ページで設定が可能でした。

ステップ 7

マージ後は、診断インターフェイスと通信する外部サービスがある場合、管理インターフェイスの IP アドレスを使用するように設定を変更する必要があります。

次に例を示します。

  • SNMP クライアント

  • RADIUS サーバー:RADIUS サーバーでは多くの場合、着信トラフィックの IP アドレスが確認されるため、その IP アドレスを管理アドレスに変更する必要があります。さらに、高可用性ペアの場合、プライマリとセカンダリの両方の管理 IP アドレスを許可する必要があります。診断インターフェイスは、アクティブユニットに存在する単一の「フローティング」IP アドレスをサポートしていましたが、管理インターフェイスはサポートしていません。


管理インターフェイスのマージ解除

Threat Defense 7.4 以降では、マージされた管理インターフェイスと診断インターフェイスがサポートされます。インターフェイスのマージを解除する必要がある場合は、次の手順を実行します。ネットワークをマージモード展開に移行する際は、一時的にマージ解除モードを使用することを推奨します。個別の管理インターフェイスと診断インターフェイスは、将来のすべてのリリースでサポートされなくなる可能性があります。

インターフェイスのマージを解除しても、元の診断設定は復元されません(アップグレードしてからインターフェイスをマージした場合)。診断インターフェイスを手動で再設定する必要があります。また、管理インターフェイスは「管理」という名前になり、名前を「診断」に変更することはできません。

または、バックアップ機能を使用して古いマージされていない設定を保存した場合は、その設定を復元できます。その場合、診断設定は変わらず、デバイスがマージされていない状態になります。

始める前に

  • デバイスの現在のモードを表示するには、脅威に対する防御 CLI で show management-interface convergence コマンドを入力します。次の出力は、管理インターフェイスがマージされていることを示しています。

    
    > show management-interface convergence
    management-interface convergence
    >                   
    

    次の出力は、管理インターフェイスがマージされていないことを示しています。

    
    > show management-interface convergence
    no management-interface convergence
    >                   
    
  • 高可用性ペアの場合は、アクティブユニットでこのタスクを実行します。マージされていない設定は、自動的にスタンバイユニットに複製されます。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

ステップ 2

[Management 1/1] インターフェイス行の右側にある [Unmerge]([Unmerge])をクリックし、[Unmerge Management Interface] ダイアログボックスで [Yes] をクリックします。

図 22. 管理インターフェイスのマージ解除
管理インターフェイスのマージ解除

[Interfaces] ページの上部に成功メッセージが表示されます。

図 23. マージ解除成功
マージ解除成功

ステップ 3

新しいマージされていない設定を展開します。

マージの解除を続行しない場合は、展開する前に [Discard All] を使用して変更を破棄し、マージされたインターフェイスを保持できます。また、マージされた設定を復元すると、デバイスはマージされた設定に戻ります。

マージ解除後、[System Settings] > [Management Interface] ページに管理インターフェイスが表示され、設定可能になります。


停電時のハードウェアバイパスの設定(ISA 3000)

ハードウェア バイパスを有効にして、停電時でもトラフィックがインターフェイス ペア間を通過できるようにできます。サポートされているインターフェイス ペアは銅線インターフェイスの GigabitEthernet 1/1 と 1/2、および GigabitEthernet 1/3 と 1/4 です。光ファイバ イーサネット モデルを保有している場合は、銅線イーサネット ペア(GigabitEthernet 1/1 と 1/2)でのみハードウェア バイパスがサポートされます。デフォルトでは、両方のインターフェイス ペアに対してハードウェア バイパスが有効になります(サポートされている場合)。

ハードウェア バイパスがアクティブの場合、トラフィックはレイヤ 1 でそれらのインターフェイス ペア間を通過します。Device Manager Threat Defense CLI の両方に、インターフェイスがダウンしていることが表示されます。ファイアウォール機能はないため、トラフィックのデバイス通過を許可することのリスクを理解している必要があります。

(この手順で説明されている)TCP シーケンス番号のランダム化は無効にすることをお勧めします。ISA 3000 のデフォルトでは、通過する TCP 接続の初期シーケンス番号(ISN)はランダムな番号に書き換えられます。ハードウェア バイパスがアクティブになると、ISA 3000 はデータ パスには入らず、シーケンス番号は変換されません。受信側のクライアントが予期しないシーケンス番号を受信すると接続がドロップされるため、TCP セッションを再確立する必要があります。TCP シーケンス番号のランダム化が無効になっている場合でも、スイッチオーバー中に一時的にダウンするリンクがあるため、一部の TCP 接続は再確立する必要があります。

CLI コンソールまたは SSH セッションで、show hardware-bypass コマンドを使用して動作ステータスをモニタします。

始める前に

ハードウェア バイパスを機能させるための前提条件:

  • インターフェイス ペアは同じブリッジ グループに配置する必要があります。

  • インターフェイスはスイッチのアクセス ポートに接続する必要があります。トランク ポートには接続しないでください。

手順


ステップ 1

[デバイス(Device)] をクリックしてから、[インターフェイス(Interfaces)] サマリーにあるリンクをクリックします。

ページの上部にある [ハードウェアバイパス(Hardware Bypass)] セクションは、このデバイスに使用できるインターフェイスペアの現在の設定を示します。

ただし、ハードウェア バイパスを有効にする前に、ペアが同じブリッジ グループで設定されていることを確認する必要があります。

ステップ 2

[編集(Edit)] をクリックしてハードウェアバイパスを設定します。

[ハードウェアバイパスの設定(Hardware Bypass Configuration)] ダイアログボックスが表示されます。

ステップ 3

自動ハードウェアバイパス動作を設定するには、インターフェイスペアごとに、[停電時のハードウェアバイパス(Hardware Bypass during Power Down)] エリアで次のいずれかのオプションを選択します。

  • [無効化(Disable)]:ハードウェアバイパスを無効にします。トラフィックは、停電時にデバイスを通過しません。

  • [有効化(Enable)]:停電時にハードウェアバイパスをアクティブにします。ハードウェアバイパスが、停電時にトラフィックが中断されないように確保します。バイパスされたトラフィックは検査されず、セキュリティポリシーは適用されないことに注意してください。電源が復旧したら、ハードウェアバイパスは自動的に無効になるため、トラフィックフローの通常の状態を維持することができ、検査も行われます。ハードウェアバイパスを無効にすると、トラフィックが一時的に中断する可能性があることに注意してください。

  • [永続的に有効化(Enable with Persistence)]:停電時にハードウェアバイパスをアクティブにし、電源の復元後も有効な状態を維持します。電源が復旧したら、[手動ハードウェアバイパス(Manual Hardware Bypass)] スライダを使用してハードウェアバイパスを無効にする必要があります。このオプションでは、トラフィックに一時的な中断が発生したときに制御することができます。

ステップ 4

(任意) ハードウェアバイパスを手動で有効または無効にするには、[手動ハードウェアバイパス(Manual Hardware Bypass)] スライダをクリックします。

たとえば、システムをテストしたり、何らかの理由で、デバイスを一時的にバイパスしようとする場合があります。ハードウェア バイパスの状態を変更するには、設定を展開する必要があることに注意してください。設定を変更するだけでは不十分です。

ハードウェア バイパスを手動で有効化または無効化すると、次の Syslog メッセージが表示されます。メッセージ内の pair は 1/1-1/2 または 1/3-1/4 です。

  • %FTD-6-803002:no protection will be provided by the system for traffic over GigabitEthernet pair

  • %FTD-6-803003: User disabled bypass manually on GigabitEthernet pair

ステップ 5

[OK] をクリックします。

変更はすぐには適用されません。設定を展開する必要があります。

ステップ 6

(オプション)TCP シーケンス番号のランダム化を無効にするために必要な FlexConfig オブジェクトとポリシーを作成します。

  1. [デバイス(Device)] > [詳細設定(Advanced Configuration)] で [設定の表示(View Configuration)] をクリックします。

  2. 詳細設定の目次で [FlexConfig] > [FlexConfigオブジェクト(FlexConfig Objects)] をクリックします。

  3. [+] ボタンをクリックして新しいオブジェクトを作成します。

  4. オブジェクトの名前を入力します。たとえば、 Disable_TCP_Randomization と入力します。

  5. [テンプレート(Template)] エディタに、TCP シーケンス番号のランダム化を無効にするコマンドを入力します。

    コマンドは set connection random-sequence-number disable ですが、ポリシーマップ内の特定のクラスに対して設定する必要があります。最も簡単なアプローチは、ランダムなシーケンス番号をグローバルに無効にする方法です。この場合、次のコマンドを入力する必要があります。

    
    policy-map global_policy
     class default_class
      set connection random-sequence-number disable
    
  6. [ネゲートテンプレート(Negate Template)] エディタで、この設定を元に戻すために必要な行を入力します。

    たとえば、TCP シーケンス番号のランダム化をグローバルに無効にしている場合、ネゲートテンプレートは次のようになります。

    
    policy-map global_policy
     class default_class
      set connection random-sequence-number enable 
    
  7. [OK] をクリックしてオブジェクトを保存します。

    オブジェクトをFlexConfigポリシーに追加する必要があります。オブジェクトを作成するだけでは十分ではありません。

  8. 目次で [FlexConfig ポリシー(FlexConfig Policy)] をクリックします。

  9. [グループ リスト(Group List)] で [+] をクリックします。

  10. [Disable_TCP_Randomization]オブジェクトを選択し、[OK]をクリックします。

    プレビューはテンプレート内のコマンドで更新されます。予想していたコマンドが表示されていることを確認します。

  11. [保存(Save)] をクリックします。

    これで、ポリシーを展開できます。


インターフェイスのモニタリング

次の領域のインターフェイスに関するいくつかの基本情報を表示できます。

  • [デバイス(Device)]。 インターフェイスの現在の状態をモニターするには、ポート グラフィックを使用します。ポートにマウスポインタを合わせると、そのポートの IP アドレス、 EtherChannel メンバーシップ、有効ステータス、リンクステータスが表示されます。IP アドレスはスタティックに割り当てるか、または DHCP を使用して取得することができます。

    インターフェイス ポートでは次のカラー コーディングが使用されます。

    • 緑色:インターフェイスが設定され、有効であり、リンクが稼動しています。

    • 灰色:インターフェイスは無効です。

    • オレンジ色/赤色:インターフェイスが設定され、有効ですが、リンクは停止しています。インターフェイスが有線接続している場合、これは修正する必要があるエラー状況です。インターフェイスが有線接続していない場合、これは想定されるステータスです。

  • [モニタリング(Monitoring)] > [システム(System)]。[スループット(Throughput)] ダッシュボードには、システムを介して移動するトラフィックに関する情報が表示されます。すべてのインターフェイスに関する情報を表示できます。または、調査する特定のインターフェイスを選択できます。

  • [モニタリング(Monitoring)] > [ゾーン(Zones)]。これらのダッシュボードにはインターフェイスを設定するセキュリティ ゾーンに基づく統計情報が表示されます。詳細について、この情報を掘り下げることができます。

CLI でのインターフェイスのモニタリング

CLI コンソールを開くか、またはデバイスの CLI にログインして、次のコマンドを使用し、インターフェイス関連の動作と統計情報に関する詳細情報を取得することもできます。

  • show interface はインターフェイスの統計情報と設定情報を表示します。このコマンドには多数のキーワードがあり、必要な情報を取得するために使用できます。使用可能なオプションを表示するには、「?」をキーワードとして使用します。

  • show ipv6 interface はインターフェイスに関するIPv6設定情報を表示します。

  • show bridge-group は、メンバー情報や IP アドレスを含む、ブリッジ仮想インターフェイス(BVI)に関する情報を表示します。

  • show conn は現在インターフェイスを通じて確立されている接続に関する情報を表示します。

  • show traffic は各インターフェイスを介したトラフィックフローに関する統計情報を表示します。

  • show ipv6 traffic はデバイスを介した IPv6 トラフィックフローに関する統計情報を表示します。

  • show dhcpd はインターフェイスの DHCP 使用状況に関する統計とその他の情報を表示し、特にインターフェイスで設定されている DHCP サーバに関する情報が含まれます。

  • show switch vlan は VLAN とスイッチポートの関連付けを表示します。

  • show switch mac-address-table はスタティックおよびダイナミック MAC アドレスエントリを表示します。

  • show arp はダイナミック、スタティック、およびプロキシ ARP エントリを表示します。

  • show power inline PoE ステータスを表示します。

  • show vpdn group は PPPoE グループと、設定されているユーザ名と認証を表示します。

  • show vpdn username は PPPoE のユーザ名とパスワードを表示します。

  • show vpdn session pppoe state は PPPoE セッションのステータスを表示します。