この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firepower Chassis Managerの [論理デバイス(Logical Devices)] ページを使用して、論理デバイスを作成、編集、削除します。
論理デバイスを作成すると、FXOS シャーシスーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール/エンジン(シャーシ内クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
![]() (注) | 複数のセキュリティ モジュールをサポートするFXOS シャーシでは、1 つのタイプの論理デバイスのみ(スタンドアロンまたはクラスタ)を作成できます。つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。 |
![]() (注) | スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
[スタンドアロン(Standalone)]:Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。
[クラスタ(Cluster)]:クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。
[論理デバイス(Logical Devices)] ページには、各 FXOS シャーシセキュリティ モジュール/エンジンにインストールされている論理デバイスの情報エリアが含まれます。
各論理デバイス エリアのヘッダーには次の情報が含まれます。
論理デバイスの一意の名前。
セキュリティ モジュール/エンジンにインストールされているメイン アプリケーションの名前(ASA または FTD)。
論理デバイスのモード(スタンドアロンまたはクラスタ)。
[ステータス(Status)]:論理デバイスの状態を示します。
[ok]:論理デバイスの設定は完了しています。
[設定未完了(incomplete-configuration)]:論理デバイス設定は未完了です。
各論理デバイス エリアには次の情報が含まれます。
[セキュリティ モジュール(Security Module)]:セキュリティ モジュールを示します。
[ポート(Ports)]:アプリケーション インスタンスに割り当てられたポートを示します。
[アプリケーション(Application)]:セキュリティ モジュールで実行しているアプリケーションを示します。
[バージョン(Version)]:セキュリティ モジュールで実行しているアプリケーションのソフトウェア バージョン番号を示します。
![]() (注) | Firepower Threat Defenseの論理デバイスへの更新は Firepower Management Center を使用して行います。Firepower Chassis Manager の および ページには反映されません。これらのページで、表示されるバージョンは、Firepower Threat Defense論理デバイスを作成するために使用されたソフトウェア バージョン(CSP イメージ)を示します。 |
[管理 IP(Management IP)]:論理デバイス管理 IP として割り当てられているローカル IP アドレスを示します。
[管理 URL(Management URL)]:アプリケーション インスタンスに割り当てられている管理 URL を示します。
[ゲートウェイ(Gateway)]:アプリケーション インスタンスに割り当てられているネットワーク ゲートウェイ アドレスを示します。
[管理ポート(Management Port)]:アプリケーション インスタンスに割り当てられている管理ポートを示します。
[ステータス(Status)]:アプリケーション インスタンスの状態を示します。
[オンライン(Online)]:アプリケーションは実行中であり、動作しています。
[オフライン(Offline)]:アプリケーションは停止され、使用できません。
[インストール(Installing)]:アプリケーションのインストールを実行しています。
[未インストール(Not Installed)]:アプリケーションがインストールされていません。
[インストール失敗(Install Failed)]:アプリケーションのインストールに失敗しました。
[起動中(Starting)]:アプリケーションを起動しています。
[起動失敗(Start Failed)]:アプリケーションの起動に失敗しました。
[開始(Started)]:アプリケーションは正常に開始し、アプリケーション エージェントのハートビートを待機しています。
[停止中(Stopping)]:アプリケーションは停止処理中です。
[停止失敗(Stop Failed)]:アプリケーションをオフラインにできませんでした。
[応答していません(Not Responding)]:アプリケーションは応答不能です。
[更新中(Updating)]:アプリケーション ソフトウェアのアップグレードが進行中です。
[更新失敗(Update Failed)]:アプリケーション ソフトウェアのアップグレードに失敗しました。
[更新成功(Update Succeeded)]:アプリケーション ソフトウェアのアップグレードに成功しました。
FXOS シャーシにインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
![]() (注) | 任意で、セキュリティ モジュールの ASA ファイアウォールの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
![]() (注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを FXOS シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
FXOS シャーシにインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
![]() (注) | 任意で、セキュリティ モジュールの Firepower Threat Defense 論理デバイスの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
![]() (注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを FXOS シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、少なくとも 1 つのデータ型インターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。
クラスタリングを利用すると、複数のデバイスをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。複数のモジュールを含む Firepower 9300 は、1 つのシャーシ内のすべてのモジュールをクラスタにグループ化する、シャーシ内クラスタリングをサポートします。複数のシャーシをまとめてグループ化する、シャーシ間クラスタリングも使用できます。シャーシ間クラスタリングは、Firepower 4100 シリーズなどの単一モジュール デバイスの唯一のオプションです。
クラスタは、1 つの論理ユニットとして機能する複数のデバイスから構成されます。FXOS シャーシ にクラスタを導入すると、以下の処理が実行されます。
ユニット間通信用のクラスタ制御リンク(デフォルトではポート チャネル 48)を作成します。シャーシ内クラスタリングでは(Firepower 9300のみ)、このリンクは、クラスタ通信にFirepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、シャーシ間通信用にこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。
アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ コンフィギュレーションが FXOS シャーシ スーパーバイザからプッシュされます。クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、アプリケーション内でユーザが設定できます。
スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。
シャーシ内クラスタリングでは、スパンド インターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。
![]() (注) | 管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
管理インターフェイスをクラスタ内のすべてのユニットに指定します。
ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタのメンバの 1 つが標準出荷単位です。標準出荷単位は自動的に決定されます。他のすべてのメンバはセカンダリ単位です。
すべてのコンフィギュレーション作業は標準出荷単位でのみ実行する必要があります。コンフィギュレーションはその後、セカンダリ単位に複製されます。
クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。シャーシ内クラスタリングでは、このインターフェイスにメンバ インターフェイスはありません。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。このクラスタ タイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300バックプレーンを使用します。
2 メンバ シャーシ間クラスタの場合、シャーシと別のシャーシとの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。
クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に、例を示します。
NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。
メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。
クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。
![]() (注) | クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。 |
次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の FXOS シャーシ インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。
クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。
クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。
すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。
ASA の場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在の標準出荷単位に属します。アドレス範囲も設定して、現在の標準出荷単位を含む各単位がその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。標準出荷単位が変更されると、メイン クラスタ IP アドレスは新しい標準出荷単位に移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在の標準出荷単位に関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。TFTP や syslog などの発信管理トラフィックの場合、標準出荷単位を含む各単位は、ローカル IP アドレスを使用してサーバに接続します。
Firepower Threat Defenseでは、同じネットワークの各単位に管理 IP アドレスを割り当てます。各単位を Management Centerに追加するときは、次の IP アドレスを使用します。
シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはブリッジ グループ メンバのインターフェイスではなく BVI に割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。
各クラスタ シャーシを、個別のサイト ID に属するように設定できます。
サイト ID は、サイト固有の MAC アドレスおよび IP アドレスと連動します。クラスタから送信されたパケットは、サイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。この機能により、スイッチが 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスを学習してしまうのを防いでいます。MAC フラッピングが発生しないよう、サイト MAC アドレスのみを学習します。サイト固有の MAC アドレスおよび IP アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされます。
また、サイト ID は LISP インスペクションを使用するフロー モビリティを有効にするためにも使用されます。
Firepower 4100 シリーズ:すべてのシャーシが同じモデルである必要があります。Firepower 9300:すべてのセキュリティ モジュールが同じタイプである必要があります。各シャーシに異なる数量のセキュリティ モジュールを設置できますが、シャーシ内にあるすべてのモジュールがクラスタに属している必要があります。
同じ管理インターフェイス、EtherChannel、アクティブ インターフェイス、速度、デュプレックスなど、クラスタに割り当てるインターフェイスについても同じインターフェイスの設定を含める必要があります。同じインターフェイス ID の容量が一致し、同じスパンド EtherChannel にインターフェイスを正常にバンドルできれば、シャーシに異なるネットワーク モジュール タイプを使用できます。シャーシ間クラスタリングのすべてのデータ インターフェイスが EtherChannel であることに注意してください。
同じ NTP サーバを使用する必要があります。また、Firepower Threat Defense の場合、Firepower Management Center は同じ NTP サーバを使用する必要があります。時間を手動で設定しないでください。
ASA を使用しているときにライセンス認証局に登録されている必要があります。Firepower Threat Defense の場合、すべてのライセンスが Firepower Management Center によって処理されます。
FXOS シャーシでクラスタリングを設定する前に、必ずスイッチの設定を完了し、シャーシからのすべての EtherChannel をスイッチに正常に接続してください。
サポートされているスイッチのリストについては、「Cisco FXOS Compatibility」を参照してください。
ASR 9006 でデフォルト以外の MTU を設定する場合は、デバイスの MTU よりも 14 バイト大きい ASR インターフェイス MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。デバイスの MTU と ASR IPv4 MTU を一致させる必要があることに注意してください。
クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。
スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。
スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタ内のデバイスへのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、vlan キーワードを使用しないでください。デバイスのデフォルトのロードバランシング アルゴリズムを変更しないでください。
スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。
Cisco Nexus スイッチのクラスタに接続されたすべての EtherChannel インターフェイスで、LACP グレースフル コンバージェンス機能をディセーブルにする必要があります。
クラスタ制御リンク パスのネットワーク エレメントでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。
Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、デバイスに接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。
router(config)# port-channelidhash-distributionfixed
FXOS EtherChannel にはデフォルトで [標準(normal)] に設定されている LACP レートがあります。この設定ではポート チャネル メンバのバンドルに 30 秒以上かけるように設定できますが、これによりクラスタ ユニット クラスタのヘルスチェックが失敗し、ユニットがクラスタから削除されることがあります。LACP レートを [高速(fast)] に変更することを推奨します。 次に、「デフォルトの」lacp ポリシーを変更する例を示します。
firepower# scope org firepower /org # scope lacppolicy default firepower /org/lacppolicy# set lacp-rate fast firepower /org* # commit-buffer
15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0(無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。
スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。
スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。
デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。
クラスタ制御リンクはポート チャネル 48 を使用します。
クラスタは、FXOS シャーシスーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)]タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)]と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバ インターフェイスを持つ EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。 |
ステップ 3 | シャーシ間クラスタリングでは、ポート チャネル 48 にメンバ インターフェイスを追加し、クラスタ制御リンクとして使用します。
メンバ インターフェイスを含めないと、論理デバイスを展開したときに、Firepower Chassis Managerでこのクラスタがシャーシ内クラスタとみなされ、[シャーシ ID(Chassis ID)]フィールドが表示されません。各シャーシに同じメンバ インターフェイスを追加します。 |
ステップ 4 | [論理デバイス(Logical Devices)]を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 |
ステップ 5 | [デバイスの追加(Add Device)]をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。
既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。 |
ステップ 6 | [デバイス名(Device Name)]に論理デバイスの名前を入力します。この名前はクラスタリングの設定を行ってインターフェイスを割り当てるために FXOS シャーシのスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 |
ステップ 7 | [テンプレート(Template)]には、[Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)] を選択します。 |
ステップ 8 | [イメージ バージョン(Image Version)]には、ASA ソフトウェアのバージョンを選択します。 |
ステップ 9 | [デバイス モード(Device Mode)]では、[クラスタ(Cluster)] オプション ボタンをクリックします。 |
ステップ 10 | [新しいクラスタの作成(Create a new cluster)]オプション ボタンをクリックします。 |
ステップ 11 | [OK]をクリックします。
スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。[プロビジョニング - デバイス名(Provisioning - device name)]ウィンドウが表示されます。 デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。 |
ステップ 12 | 画面中央のデバイス アイコンをクリックします。
[ASA の設定(ASA Configuration)] ダイアログボックスが、[クラスタ情報(Cluster Information)]タブが選択された状態で表示されます。 |
ステップ 13 | [シャーシ ID(Chassis ID)]フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。 |
ステップ 14 | サイト間クラスタリングの場合、[サイト ID(Site ID)]フィールドに、このシャーシのサイト ID を 1 ~ 8 の範囲で入力します。 |
ステップ 15 | [クラスタ キー(Cluster Key)]フィールドで、クラスタ制御リンクの制御トラフィック用の認証キーを設定します。
共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 16 | [クラスタ グループ名(Cluster Group Name)] を設定します。これは、セキュリティ モジュール設定内のクラスタ グループです。
名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 17 | [管理インターフェイス(Management Interface)]をクリックし、以前に作成した管理インターフェイスを選択します。 |
ステップ 18 | 管理インターフェイスの [アドレス タイプ(Address Type)]を選択します。
この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 |
ステップ 19 | [設定(Settings)]タブの [パスワード(Password)] に、「admin」ユーザのパスワードを入力します。 |
ステップ 20 | [OK]をクリックして [ASA の設定(ASA Configuration)] ダイアログボックスを閉じます。 |
ステップ 21 | [保存(Save)]をクリックします。
FXOS シャーシスーパバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを展開します。 |
ステップ 22 | シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。 |
ステップ 23 | 標準出荷単位セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
クラスタは、FXOS シャーシスーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)]タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)]と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバ インターフェイスを持つ EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。 | ||
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。 | ||
ステップ 3 | シャーシ間クラスタリングでは、ポート チャネル 48 にメンバ インターフェイスを追加し、クラスタ制御リンクとして使用します。
メンバ インターフェイスを含めないと、論理デバイスを展開したときに、Firepower Chassis Managerでこのクラスタがシャーシ内クラスタとみなされ、[シャーシ ID(Chassis ID)]フィールドが表示されません。各シャーシに同じメンバ インターフェイスを追加します。 | ||
ステップ 4 | (任意)Firepower-eventing インターフェイスを追加します。インターフェイス プロパティの編集を参照してください。
このインターフェイスは、Firepower Threat Defenseデバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat DefenseCLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Threat Defense コマンド リファレンスの configure network コマンドを参照してください。 シャーシ間クラスタリングの場合、各シャーシに同じイベンティング インターフェイスを追加します。 | ||
ステップ 5 | [論理デバイス(Logical Devices)]を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 | ||
ステップ 6 | [デバイスの追加(Add Device)]をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。
既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。 | ||
ステップ 7 | [デバイス名(Device Name)]に論理デバイスの名前を入力します。この名前は、FXOS シャーシスーパバイザがクラスタリング設定および管理設定を行ってインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 | ||
ステップ 8 | [テンプレート(Template)]には、[Cisco Firepower 脅威に対する防御(Cisco Firepower Threat Defense)] を選択します。 | ||
ステップ 9 | [イメージ バージョン(Image Version)]では、Firepower Threat Defense ソフトウェア バージョンを選択します。 | ||
ステップ 10 | [デバイス モード(Device Mode)]では、[クラスタ(Cluster)] オプション ボタンをクリックします。 | ||
ステップ 11 | [新しいクラスタの作成(Create a new cluster)]オプション ボタンをクリックします。 | ||
ステップ 12 | [OK]をクリックします。
スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。[プロビジョニング - デバイス名(Provisioning - device name)]ウィンドウが表示されます。 デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。ハードウェア バイパス対応のポートは次のアイコンで表示されます: | ||
ステップ 13 | 画面中央のデバイス アイコンをクリックします。
[Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスが表示されます。 | ||
ステップ 14 | [シャーシ ID(Chassis ID)]フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。 | ||
ステップ 15 | [クラスタ情報(Cluster Information)]タブで、次の項目を入力します。 | ||
ステップ 16 | [設定(Settings)]タブで、次の項目を入力します。 | ||
ステップ 17 | [インターフェイス情報(Interface Information)]タブで、クラスタ内の各セキュリティ モジュールの管理 IP アドレスを設定します。[アドレス タイプ(Address Type)]ドロップダウン リストからアドレスのタイプを選択し、セキュリティ モジュールごとに次の手順を実行します。
| ||
ステップ 18 | [利用規約(Agreement)]タブで、エンド ユーザ ライセンス(EULA)を読んで、同意します。 | ||
ステップ 19 | [OK]をクリックして [Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスを閉じます。 | ||
ステップ 20 | [保存(Save)]をクリックします。
FXOS シャーシスーパバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを展開します。 | ||
ステップ 21 | シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。 | ||
ステップ 22 | 各セキュリティ モジュールを、管理 IP アドレスを使用する Firepower Management Centerに追加してから、Web インターフェイスでクラスタにグループ化します。
すべてのクラスタ ユニットは、Firepower Management Centerに追加する前に、FXOS で正常な形式のクラスタ内に存在している必要があります。 |
CiscoFXOS シャーシは、単一ブレードで複数のサービス(ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションとサービスは、リンクされて、サービス チェーンを形成します。現在サービスされているサービス チェーン コンフィギュレーションでは、サードパーティ製の Radware DefensePro 仮想プラットフォームを ASA ファイアウォールの手前、または Firepower Threat Defense の手前で実行するようにインストールできます。Radware DefensePro は、FXOS シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。FXOS シャーシでサービス チェーンが有効になると、ネットワークからのトラフィックは主要な ASA または Firepower Threat Defense ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
![]() (注) |
|
Radware DefensePro イメージをインストールしてスタンドアロン ASA 論理デバイスの前に単一のサービス チェーンを設定するには、次の手順に従います。
![]() (注) | 4120 セキュリティ アプライアンス上で ASA の前に Radware vDP をインストールする場合、FXOS CLI を使用してデコレータを展開する必要があります。Radware DefensePro を、Firepower 4100 デバイス上で ASA の前にあるサービス チェーンにインストールして設定する方法の詳細な CLI 手順については、『FXOS CLI Configuration Guide』を参照してください。 Radware vDP を任意の Firepower デバイス上の Firepower Threat Defense の前にインストールするには、FXOS CLI を使用してデコレータを展開する必要があります。Radware DefensePro を、Firepower 4100 デバイスまたは Firepower 9300 デバイス上で Firepower Threat Defense の前にあるサービス チェーンにインストールして設定する方法の詳細な CLI 手順については、『FXOS CLI Configuration Guide』を参照してください。 Radware DefensePro アプリケーションは、シャーシ内クラスタのスタンドアロン構成で展開できます。 |
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを FXOS シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
ステップ 1 | 1 つのインターフェイスの管理状態を [Enabled]に設定します(インターフェイスの管理状態の変更を参照)。 |
ステップ 2 | [論理デバイス(Logical Devices)]を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが表示されます。 |
ステップ 3 | スタンドアロン ASA 論理デバイスを作成します(スタンドアロン ASA 論理デバイスの作成を参照)。
スタンドアロン ASA 論理デバイスを作成する手順の最後に [保存(Save)]をクリックする前に、まず以下のステップに従って、ASA 論理デバイスに vDP デコレータを追加する必要があることに注意してください。 |
ステップ 4 | [デコレータ(Decorators)]領域で、[vDP] を選択します。[Radware: Virtual DefensePro - 設定(Radware: Virtual DefensePro - Configuration)] ウィンドウが表示されます。[一般情報(General Information)]タブで、次のフィールドを設定します。 |
ステップ 5 | FXOS シャーシに複数の vDP バージョンをアップロードしている場合は、[バージョン(Version)] ドロップダウンから使用するバージョンを選択します。 |
ステップ 6 | [管理インターフェイス(Management Interface)]ドロップダウンで、この手順のステップ 1 で作成した管理インターフェイスを選択します。 |
ステップ 7 | デフォルトの[アドレス タイプ(Address Type)]([IPv4 のみ(IPv4 only)]、[IPv6 のみ(IPv6 only)]、または [IPv4 および IPv6(IPv4 and IPv6)])を選択します。 |
ステップ 8 | 前のステップで選択した [アドレス タイプ(Address Type)]に基づいて次のフィールドを設定します。 |
ステップ 9 | デバイスに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 10 | [OK]をクリックします。 |
ステップ 11 | [保存(Save)]をクリックします。
Firepower eXtensible Operating Systemは、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
Radware DefensePro イメージをインストールして ASA シャーシ内クラスタの前にサービス チェーンを設定するには、次の手順に従います。Firepower Threat Defense シャーシ内クラスタの前にあるサービス チェーン内で Radware DefensePro リンク デコレータを設定するには、『FXOS CLI Configuration Guide』にある「Configure Radware DefensePro Service Chain on an Intra-Chassis Cluster」を参照してください。
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを FXOS シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
ステップ 1 | 1 つのインターフェイスの管理状態を [Enabled]に設定します(インターフェイスの管理状態の変更を参照)。 |
ステップ 2 | ASA シャーシ内クラスタを設定します(ASA クラスタリングの設定を参照)。
シャーシ内クラスタを設定する手順の最後で [保存(Save)]をクリックする前に、以下のステップに従ってクラスタに vDP デコレータを追加しておく必要があります。 |
ステップ 3 | [デコレータ(Decorators)]領域で、[vDP] を選択します。[Radware: Virtual DefensePro - 設定(Radware: Virtual DefensePro - Configuration)]ダイアログボックスが表示されます。[一般情報(General Information)]タブで、次のフィールドを設定します。 |
ステップ 4 | FXOS シャーシに複数の vDP バージョンをアップロードした場合は、使用する vDP バージョンを [バージョン(Version)] ドロップダウンで選択します。 |
ステップ 5 | [管理インターフェイス(Management Interface)]ドロップダウンで、管理インターフェイスを選択します。 |
ステップ 6 | vDP デコレータに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 7 | [インターフェイス情報(Interface Information)]タブをクリックします。 |
ステップ 8 | 使用する[アドレス タイプ(Address Type)]([IPv4 のみ(IPv4 only)]、[IPv6 のみ(IPv6 only)]、または [IPv4 および IPv6(IPv4 and IPv6)])を選択します。 |
ステップ 9 | 各セキュリティ モジュールで、次のフィールドを設定します。表示されるフィールドは、前のステップで選択した [アドレス タイプ(Address Type)]により異なります。 |
ステップ 10 | [OK]をクリックします。 |
ステップ 11 | [保存(Save)]をクリックします。
Firepower eXtensible Operating Systemは、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
ステップ 12 | [論理デバイス(Logical Devices)]を選択して、[論理デバイス(Logical Devices)] ページを開きます。 |
ステップ 13 | 設定された論理デバイスのリストをスクロールして vDP のエントリを表示します。[管理 IP(Management IP)]列にリストされている属性を確認します。 |
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、APSolute Vision ユーザ ガイドの次の表を参照してください。
Ports for APSolute Vision Server-WBM Communication and Operating System
Communication Ports for APSolute Vision Server with Radware Devices
Radware APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、FXOS CLI を使用して vDP Web サービスを有効にする必要があります。
次の手順に従ってアプリケーションまたはデコレータのコンソールに接続します。
![]() (注) | コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLIのスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#