Threat Defense インターフェイスについて
Threat Defense には、データインターフェイスや管理インターフェイスが組み込まれています。
インターフェイス接続にケーブルを(物理的または仮想的に)取り付ける場合、インターフェイスを設定する必要があります。少なくとも、インターフェイスに名前を付け、トラフィックを通過させるために有効化する必要があります。インターフェイスがブリッジ グループのメンバーである場合、これで十分です。ブリッジ グループのメンバーではない場合、インターフェイスに IP アドレスを付与する必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。これは、スイッチのトランク ポートに接続する場合に役立ちます。パッシブインターフェイスではIPアドレスを設定しません。
[インターフェイス(Interfaces)] ページには、インターフェイス タイプのサブページが含まれます。これらは、[インターフェイス(Interfaces)](物理インターフェイスの場合)、[ブリッジグループ(Bridge Groups)]、[仮想トンネル インターフェイス(Virtual Tunnel Interfaces)]、[EtherChannel]、および [VLAN](Firepower 1010 および Secure Firewall 1210/1220 の場合)です。Firepower 4100/9300 EtherChannel は [インターフェイス(Interfaces)] ページには表示されますが、[EtherChannel] ページには表示されないことに注意してください。これは、Device Manager ではなく FXOS の EtherChannel パラメータのみを変更できるためです。各ページに、利用可能なインターフェイスとそれぞれの名前、アドレス、モード、状態が示されます。インターフェイスのステータスは、インターフェイスのリストで直接オン/オフを変更できます。このリストは、設定に基づいたインターフェイス特性を示します。メンバーインターフェイスを参照するには、ブリッジ グループ インターフェイス上で [開く/閉じる(open/close)] 矢印を使用します。メンバーインターフェイスはリストにも表示されます。サポートされている親インターフェイスのサブインターフェイスを表示することもできます。これらのインターフェイスが仮想インターフェイスおよびネットワーク アダプタにどのようにマッピングされるかについては、Threat Defense の物理インターフェイスへの VMware ネットワークアダプタとインターフェイスのマッピング方法を参照してください。
以下の各トピックでは、Device Manager を使用してインターフェイスを設定する場合の制限事項、およびインターフェイス管理に関するその他の概念について説明します。
インターフェイス モード
インターフェイスごとに次のモードのいずれかを設定できます。
- ルーテッド
-
レイヤ 3 ルーテッドインターフェイスはそれぞれ、一意のサブネットの IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
- インライン
-
インターフェイスをインラインセットに追加すると、モードがインラインに変更されます。インラインをモードとして直接選択することはできません。
- パッシブ
-
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワークを流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で設定されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。
- スイッチ ポート(Firepower 1010 および Cisco Secure Firewall 1210/1220)
- スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、脅威に対する防御 セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、それらを単一のVLANに割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。管理インターフェイスをスイッチポートとして設定することはできません。
- BridgeGroupMember
-
ブリッジ グループは、脅威に対する防御 デバイスがルーティングではなくブリッジするインターフェイスのグループです。すべてのインターフェイスは同じネットワーク上にあります。ブリッジ グループは、ブリッジ ネットワーク上の IP アドレスを持つブリッジ仮想インターフェイス(BVI)によって表わされます。
BVI に名前を付けた場合、ルーテッド インターフェイスと BVI の間をルーティングできます。この場合、BVI はメンバー インターフェイスとルーテッド インターフェイスとの間のゲートウェイとして機能します。BVI に名前を付けない場合、ブリッジ グループのメンバー インターフェイス上のトラフィックはブリッジ グループから出ることはできません。通常、インターネットにメンバー インターフェイスをルーティングするため、インターフェイスに名前を付けます。
ルーテッドモードでブリッジグループを使用する方法として、外部スイッチの代わりに 脅威に対する防御 デバイスの予備インターフェイスを使用する方法があります。ブリッジ グループのメンバー インターフェイスにエンドポイントを直接接続できます。スイッチを接続して、さらに多くのエンドポイントを BVI として同じネットワークに追加することもできます。
管理/診断インターフェイス
管理インターフェイス
管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。Device Manager 管理、スマートライセンス、およびデータベースの更新に使用されます。または、管理インターフェイスの代わりにデータインターフェイスを使用して Threat Defense デバイスを管理できます。管理インターフェイスでは、独自のLinux IPアドレスとスタティックルーティングが使用されます。管理インターフェイスは、 ページで、またはconfigure network コマンドを使用してCLIで設定できます。
ハードウェアデバイスの場合、管理インターフェイスを設定する一つの方法は、ポートをネットワークに接続しないことです。代わりに、管理 IP アドレスのみを設定し、インターネットからの更新を取得するゲートウェイとしてのデータインターフェイスを使用するように設定します。次に、HTTPS/SSH トラフィック(デフォルトで HTTPS は有効)への内部インターフェイスを開き、内部 IP アドレスを使用して Device Manager を開きます(管理アクセス リストの設定 を参照)。
Threat Defense Virtual の推奨設定は、Management0/0 を内部インターフェイスと同じネットワークに接続し、内部インターフェイスをゲートウェイとして使用することです。
診断インターフェイス(レガシー)
7.3 以降を使用している新しいデバイスの場合、レガシー診断インターフェイスは使用できません。マージされた管理インターフェイスのみを使用できます。
7.4 以降にアップグレードし、診断インターフェイスの設定がない場合は、インターフェイスが自動的にマージされます。
7.4 以降にアップグレードし、診断インターフェイスの設定がある場合は、インターフェイスを手動でマージするか、別の診断インターフェイスを引き続き使用できます。診断インターフェイスのサポートは今後のリリースで削除されるため、できるだけ早くインターフェイスをマージする必要があります。管理インターフェイスと診断インターフェイスを手動でマージするには、管理インターフェイスと診断インターフェイスのマージを参照してください。自動マージを防止する設定には、次のものが含まれます。
-
「管理」という名前のデータインターフェイス。この名前は、マージされた管理インターフェイスで使用するために予約されています。
-
診断の IP アドレス
-
診断で有効な DNS
-
Syslog、またはRADIUS (リモートアクセスVPN用)送信元インターフェイスが診断
-
送信元インターフェイスが指定されておらず、管理専用(診断を含む)として設定されているインターフェイスが少なくとも1つあるADまたはRADIUS (リモートアクセスVPN用)。これらのサービスのデフォルト ルート ルックアップは、管理専用ルーティングテーブルからデータルーティングテーブルに変更されていて、管理にフォールバックされません。したがって、管理専用インターフェイスを使用するには、ルートルックアップに依存する代わりに、その特定のインターフェイスを選択する必要があります。
-
スタティックルートまたは診断のSLAモニタ
-
診断を使用したFlexConfig
-
診断用の DDNS
レガシー診断インターフェイスの動作の詳細については、このガイドの 7.3 バージョンを参照してください。
分離した管理ネットワークを設定する際の推奨事項
(ハードウェアデバイス)分離した管理ネットワークを使用する場合は、物理的管理インターフェイスをスイッチまたはルータに有線で接続します。
Threat Defense Virtual の場合、Management0/0 をデータ インターフェイスから分離したネットワークに接続します。管理 IP アドレスおよび内部インターフェイス IP アドレスは同じサブネットに存在するため、デフォルトの IP アドレスを引き続き使用している場合は、そのいずれかを変更する必要があります。
次に、
を選択し、管理インターフェイスを編集して、接続されたネットワークでIPv4アドレスまたはIPv6アドレス(あるいはその両方)を設定します。必要に応じて、IPv4 アドレスをネットワーク上の他のエンドポイントに指定するよう DHCP サーバを設定することもできます。管理ネットワーク上でインターネットまでのルートを持つルータが存在する場合は、それをゲートウェイとして使用します。それ以外の場合は、データインターフェイスをゲートウェイとして使用します。セキュリティ ゾーン
各インターフェイスは、1 つのセキュリティ ゾーンに割り当てることができます。ゾーンに基づいてセキュリティ ポリシーを適用されます。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。
各ゾーンにはインターフェイスのモードに直接関係するモードがあります。インターフェイスは、同じモードのセキュリティゾーンにのみ追加できます。
ブリッジ グループの場合、メンバー インターフェイスをゾーンに追加することはできますが、ブリッジ仮想インターフェイス(BVI)を追加することはできません。
ゾーンに管理インターフェイスは含めないでください。ゾーンはデータインターフェイスにのみ適用できます。
セキュリティ ゾーンは [オブジェクト(Objects)] ページで作成できます。
IPv6 アドレッシング
IPv6 に対して次の 2 種類のユニキャスト アドレスを設定できます。
-
グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。ブリッジ グループの場合、各メンバーインターフェイスではなくブリッジ仮想インターフェイス(BVI)上でグローバル アドレスを設定します。次のいずれもグローバル アドレスとしては指定できません。
-
内部で予約済みの IPv6 アドレス:fd00::/56(from=fd00:: to= fd00:0000:0000:00ff:ffff:ffff:ffff:ffff)
-
未指定アドレス(::/128 など)
-
ループバック アドレス、::1/128
-
マルチキャスト アドレス、ff00::/8
-
リンクローカル アドレス、fe80::/10
-
-
リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。ブリッジグループでは、BVI で IPv6 を有効化すると、各ブリッジ グループ メンバー インターフェイスのリンクローカル アドレスが自動的に設定されます。リンクローカル アドレスがセグメントでのみ使用可能であり、インターフェイス MAC アドレスに接続されているため、各インターフェイスは独自のアドレスを持つ必要があります。
最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動または手動で設定する必要があります。
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。