この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
論理デバイスを作成すると、Firepower 4100/9300 シャーシ スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール/エンジン(シャーシ内クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
スタンドアロン:Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。
クラスタ:クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。
(注) | 複数のセキュリティ モジュールを使用する Firepower 9300 アプライアンスでは、1 つのタイプの論理デバイスのみ(スタンドアロンまたはクラスタ)を作成できます。つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つのセキュリティ モジュールを使用してクラスタを作成する、といったことはできません。 |
(注) | スタンドアロン論理デバイスを設定する場合は、シャーシのすべてのモジュールに同じソフトウェア タイプをインストールしてください。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
Firepower Chassis Manager の [Logical Devices] ページを使用して、論理デバイスを作成、編集、削除します。[Logical Devices] ページには、各 Firepower 4100/9300 シャーシセキュリティ モジュール/エンジンにインストールされている論理デバイスの情報エリアが含まれています。
各論理デバイス エリアのヘッダーには次の情報が含まれています。
論理デバイスの一意の名前。
論理デバイスのモード(スタンドアロンまたはクラスタ)。
[Status]:論理デバイスの状態を示します。
[ok]:論理デバイスの設定は完了しています。
[incomplete-configuration]:論理デバイス設定は未完了です。
各論理デバイス エリアには次の情報が含まれています。
[Security Module]:セキュリティ モジュールを示します。
[Ports]:アプリケーション インスタンスに割り当てられたポートを示します。
[Application]:セキュリティ モジュールで実行しているアプリケーションを示します。
[Version]:セキュリティ モジュールで実行しているアプリケーションのソフトウェア バージョン番号を示します。
(注) | Firepower Threat Defense の論理デバイスへの更新は Firepower Management Center を使用して行います。Firepower Chassis Manager の および ページには反映されません。これらのページで、表示されるバージョンは、Firepower Threat Defense 論理デバイスを作成するために使用されたソフトウェア バージョン(CSP イメージ)を示します。 |
[Management IP]:論理デバイス管理 IP として割り当てられているローカル IP アドレスを示します。
[Management URL]:アプリケーション インスタンスに割り当てられている管理 URL を示します。
[Gateway]:アプリケーション インスタンスに割り当てられているネットワーク ゲートウェイ アドレスを示します。
[Management Port]:アプリケーション インスタンスに割り当てられている管理ポートを示します。
[Status]:アプリケーション インスタンスの状態を示します。
[Online]:アプリケーションは実行中であり、動作しています。
[Offline]:アプリケーションは停止され、使用できません。
[Installing]:アプリケーションのインストールを実行しています。
[Not Installed]:アプリケーションがインストールされていません。
[Install Failed]:アプリケーションのインストールに失敗しました。
[Starting]:アプリケーションを起動しています。
[Start Failed]:アプリケーションの起動に失敗しました。
[Started]:アプリケーションは正常に開始し、アプリケーション エージェントのハートビートを待機しています。
[Stopping]:アプリケーションは停止処理中です。
[Stop Failed]:アプリケーションをオフラインにできませんでした。
[Not Responding]:アプリケーションは応答不能です。
[Updating]:アプリケーション ソフトウェアの更新が進行中です。
[Update Failed]:アプリケーション ソフトウェアの更新に失敗しました。
[Update Succeeded]:アプリケーション ソフトウェアの更新に成功しました。
[Unsupported]:このインストール済みアプリケーションはサポートされていません。
[Attributes]:現在実行中のアプリケーション インスタンスの追加属性を示します。
(注) | アプリケーションのブートストラップ設定を変更した後、直ちにアプリケーション インスタンスを起動しなければ、[Attributes] フィールドには現在実行中のアプリケーションに関する情報が表示され、アプリケーションを再起動するまで変更は反映されません。 |
[Cluster Operation Status]:アプリケーション インスタンスに割り当てられている管理 URL を示します。
[Management IP/Firepower Management IP]:アプリケーション インスタンスに割り当てられている管理 IP アドレスを示します。
[Cluster Role]:アプリケーション インスタンスのクラスタ ロールを示します。
[HA Role]:アプリケーション インスタンスの高可用性ロールを示します。
[Management URL]:アプリケーション インスタンスに割り当てられている管理アプリケーションの URL を示します。
[UUID]:アプリケーション インスタンスの汎用一意識別子を示します。
Firepower Chassis Manager の [Logical Devices] ページから、論理デバイスに対して次の機能を実行できます。
[Refresh]:[Logical Devices] ページに表示されている情報が更新されます。
[Add Device]:論理デバイスを作成できます。
[Edit]:既存の論理デバイスを編集できます。
[Update Version]:論理デバイス上のソフトウェアをアップグレードまたはダウングレードできます。
[Delete]:論理デバイスが削除されます。
[Show Configuration]:ダイアログ ボックスが開き、論理デバイスまたはクラスタの構成情報が JSON 形式で表示されます。クラスタに含める追加デバイスを作成する際は、この構成情報をコピーして使用できます。
[Enable/Disable]:アプリケーション インスタンスが有効化/無効化されます。
[Upgrade/Downgrade]:アプリケーション インスタンスをアップグレード/ダウングレードできます。
[Go To Device Manager]:アプリケーション インスタンスに定義されている Firepower Management Center または ASDM へのリンクを提示します。
Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
(注) | 任意で、セキュリティ モジュールの ASA ファイアウォールの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(「サービス チェーンについて」を参照)。 |
(注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(「論理デバイスの削除」を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理インターフェイスと同じではありません(シャーシ管理インターフェイスは、[Interfaces] タブの上部に [MGMT] として表示されます)。
Firepower 4100/9300 シャーシのルーテッド ファイアウォール モード ASA のみを導入できます。ASA をトランスペアレント ファイアウォール モードに変更するには、この手順を完了し、「ASA のトランスペアレント ファイアウォール モードへの変更」を参照してください。
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
(注) | 任意で、セキュリティ モジュールの Firepower Threat Defense 論理デバイスの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(「サービス チェーンについて」を参照)。 |
(注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理インターフェイスと同じではありません(シャーシ管理インターフェイスは、[Interfaces] タブの上部に [MGMT] として表示されます)。また、少なくとも 1 つのデータ型のインターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。
クラスタリングを利用すると、複数のデバイスをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。複数のモジュールを含む Firepower 9300 は、1 つのシャーシ内のすべてのモジュールをクラスタにグループ化する、シャーシ内クラスタリングをサポートします。複数のシャーシをまとめてグループ化する、シャーシ間クラスタリングも使用できます。シャーシ間クラスタリングは、Firepower 4100 シリーズなどの単一モジュール デバイスの唯一のオプションです。
クラスタは、単一の論理ユニットとして機能する複数のデバイスから構成されます。Firepower 4100/9300 シャーシ にクラスタを導入すると、以下の処理が実行されます。
ユニット間通信用のクラスタ制御リンク(デフォルトのポート チャネル 48)を作成します。シャーシ内クラスタリングでは(Firepower 9300のみ)、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、シャーシ間通信のために、この EtherChannel に物理インターフェイスを手動で割り当てる必要があります。
アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ構成が Firepower 4100/9300 シャーシ スーパーバイザからプッシュされます。クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、アプリケーション内でユーザが設定できます。
スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。
シャーシ内クラスタリングでは、スパンド インターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。
(注) | 管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
管理インターフェイスをクラスタ内のすべてのユニットに指定します。
ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタのメンバーの 1 つが標準出荷単位です。標準出荷単位は自動的に決定されます。他のすべてのメンバーはセカンダリ単位です。
すべてのコンフィギュレーション作業は標準出荷単位でのみ実行する必要があります。コンフィギュレーションはその後、セカンダリ単位に複製されます。
クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。シャーシ内クラスタリングでは、このインターフェイスにメンバー インターフェイスはありません。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。このクラスタ タイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300 バックプレーンを使用します。
2 メンバー シャーシ間クラスタの場合、シャーシと別のシャーシとの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。
クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。
NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。
メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。
クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。
(注) | クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。 |
次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の Firepower 4100/9300 シャーシ インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。
クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。
クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。
Firepower 4100/9300 シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。FXOS とアプリケーション内のどちらでも、この IP アドレスを手動で設定することはできません。クラスタ制御リンク ネットワークには、ユニット間のルータを含めることはできません。レイヤ 2 スイッチングのみが許可されます。サイト間トラフィックには、オーバーレイ トランスポート仮想化(OTV)を使用することをお勧めします。
すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。
クラスタに管理タイプのインターフェイスを割り当てることができます。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。
ASA の場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在の標準出荷単位に属します。アドレス範囲も設定して、現在の標準出荷単位を含む各単位がその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。標準出荷単位が変更されると、メイン クラスタ IP アドレスは新しい標準出荷単位に移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在の標準出荷単位に関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。TFTP や syslog などの発信管理トラフィックの場合、標準出荷単位を含む各単位は、ローカル IP アドレスを使用してサーバに接続します。
Firepower Threat Defense では、同じネットワークの各単位に管理 IP アドレスを割り当てます。各単位を Management Centerに追加するときは、次の IP アドレスを使用します。
シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはブリッジグループ メンバーではなく BVI に割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。
各クラスタ シャーシを個別のサイト ID に属するように設定できます。
サイト IDは、サイト固有の MAC アドレスおよび IP アドレスと連動します。クラスタから送信されたパケットは、サイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。この機能により、MAC フラッピングの原因となる 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスをスイッチが学習するのを防止します。代わりに、スイッチはサイトの MAC アドレスのみを学習します。サイト固有の MAC アドレスおよび IP アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされます。
サイト ID は、LISP インスペクションを使用したフロー モビリティの有効化、データセンターのサイト間クラスタリングのパフォーマンス向上とラウンドトリップ時間の遅延短縮のためのディレクタ ローカリゼーションの有効化。
サイト間クラスタリングの詳細については、以下の項を参照してください。
Data Center Interconnect のサイジング:クラスタリングの要件
サイト間のガイドライン:クラスタリングのガイドライン
サイト間での例:サイト間クラスタリングの例
Firepower4100シリーズ:すべてのシャーシが同一モデルである必要があります。FireFirepower9300:すべてのセキュリティ モジュールが同じタイプである必要があります。各シャーシに異なる数のセキュリティ モジュールをインストールできますが、シャーシのすべてのモジュールをクラスタに含める必要があります(空のスロットを含む)。
クラスタに割り当てるインターフェイスは、管理インターフェイス、EtherChannel、アクティブ インターフェイス、スピード、デュプレックスなど、同じインターフェイス構成を含める必要があります。同じインターフェイス ID の容量が一致し、インターフェイスが同じスパンド EtherChannel に内に問題なくバンドルできる限り、シャーシに異なるタイプのネットワーク モジュールを使用できます。シャーシ間クラスタリングでは、すべてのデータ インターフェイスを EtherChannel とする必要があります。
同じ NTP サーバを使用する必要があります。Firepower Threat Defense のため、Firepower Management Center は同じ NTP サーバを使用する必要があります。手動で時間を設定しないでください。
ASA:各 FXOS シャーシは、License Authority またはサテライト サーバに登録されている必要があります。スレーブ ユニットに追加費用はかかりません。永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入する必要があります。Firepower Threat Defense では、すべてのライセンスは Firepower Management Center で処理されます。
Firepower 4100/9300 シャーシのクラスタリングを設定する前に、スイッチの設定を完了し、シャーシからスイッチまですべての EtherChannel を良好に接続してください。
サポートされているスイッチのリストについては、「Cisco FXOS Compatibility(Cisco FXOS の互換性)」(英語)を参照してください。
次の計算と同等の帯域幅をクラスタ制御リンク トラフィック用に Data Center Interconnect(DCI)に確保する必要があります。
メンバの数が各サイトで異なる場合、計算には大きい方の値を使用します。DCI の最小帯域幅は、1 つのメンバに対するクラスタ制御リンクのサイズ未満にすることはできません。
Firepower 9300 の ASA:シャーシ内、シャーシ間、およびサイト間のクラスタリングでサポート。
Firepower 4100 シリーズ の ASA:シャーシ間およびシャーシ内クラスタリングでサポート。
Firepower 9300 の Firepower Threat Defense:シャーシ内およびシャーシ間クラスタリングでサポート。
Firepower 4100 シリーズ の Firepower Threat Defense:シャーシ間クラスタリングでサポート。
Radware DefensePro:ASA によるシャーシ内クラスタリングでサポート。
Radware DefensePro:Firepower Threat Defense によるシャーシ内クラスタリングでサポート。
ASR 9006 では、非デフォルト MTU を設定する場合は、ASR インターフェイス MTU をクラスタ デバイス MTU より 14 バイト大きく設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係(アジャセンシー)ピアリングの試行が失敗する可能性があります。クラスタ デバイス MTU は、ASR IPv4 MTU と一致する必要があります。
クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。
スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないことに注意してください。そのため、クラスタリングで ISSU を使用することは推奨されません。
スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタのデバイスにトラフィックを不均一に配分する場合があるので、ロード バランス アルゴリズムでは vlan キーワードを使用しないでください。
スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再始動します。トラフィックが再び流れ出すまでに、少し時間がかかります。
クラスタ制御リンク パスのスイッチでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。
Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、クラスタ デバイスに接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。
router(config)# port-channel idhash-distributionfixed
スイッチ接続用に、EtherChannel モードをアクティブに設定します。クラスタ制御リンクであっても、Firepower 4100/9300 シャーシではオン モードはサポートされません。
FXOS EtherChannel にはデフォルトで [normal] に設定されている LACP レートがあります。この設定ではポート チャネル メンバのバンドルに 30 秒以上かけるように設定できますが、これによりクラスタ ユニット クラスタのヘルスチェックが失敗し、ユニットがクラスタから削除されることがあります。LACP レートを [fast] に変更することを推奨します。次に、「デフォルトの」lacp ポリシーを変更する例を示します。
firepower# scope org firepower /org # scope lacppolicy default firepower /org/lacppolicy# set lacp-rate fast firepower /org* # commit-buffer
(注) | Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないため、クラスタリングで ISSU を使用することは推奨されません。 |
15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。
スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。
スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。
デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。
クラスタ制御リンクはポート チャネル 48 を使用します。
Firepower 4100/9300 シャーシ スーパーバイザから簡単にクラスタを導入できます。すべての初期設定が各ユニットに自動的に生成されます。シャーシ間クラスタリングでは、各シャーシを別々に設定します。導入を容易にするために、1 つのシャーシにクラスタを導入し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[Interfaces] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[Operation State] を [failed] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
Firepower 4100/9300 シャーシからルーテッド ファイアウォール モードの ASA クラスタのみを導入できます。ASA クラスタをトランスペアレント ファイアウォール モードに変更するには、この手順を完了し、ASA のトランスペアレント ファイアウォール モードへの変更を参照してください。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
導入後にもクラスタにデータ インターフェイスを追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバー インターフェイスを持つ EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。
シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用される([Interfaces] タブの上部に [MGMT] として表示される)シャーシ管理インターフェイスと同じではありません。 |
ステップ 3 | シャーシ間クラスタリングでは、ポート チャネル 48 にメンバー インターフェイスを追加し、クラスタ制御リンクとして使用します。
メンバー インターフェイスを含めないと、論理デバイスを導入したときに、Firepower Chassis Managerでこのクラスタがシャーシ内クラスタとみなされ、[Chassis ID] フィールドが表示されません。各シャーシに同じメンバ インターフェイスを追加します。 |
ステップ 4 | [Logical Devices] を選択して [Logical Devices] ページを開きます。
[Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 |
ステップ 5 | [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。
既存のクラスタがある場合は、そのクラスタを削除して新しく追加するように求められます。セキュリティ モジュールのクラスタ関連のすべての設定が新しい情報に置き換えられます。 |
ステップ 6 | [Device Name] には、論理デバイスの名前を指定します。この名前は、Firepower 4100/9300 シャーシ スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 |
ステップ 7 | [Template] では、[Cisco Adaptive Security Appliance] を選択します。 |
ステップ 8 | [Image Version] では、ASA ソフトウェア バージョンを選択します。 |
ステップ 9 | [Device Mode] では、[Cluster] オプション ボタンをクリックします。 |
ステップ 10 | [Create New Cluster] ラジオ ボタンをクリックします。 |
ステップ 11 | [OK] をクリックします。
スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。[Provisioning - device name] ウィンドウが表示されます。 デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。 |
ステップ 12 | 画面中央のデバイス アイコンをクリックします。
[ASA Configuration] ダイアログボックスが、[Cluster Information] タブが選択された状態で表示されます。 |
ステップ 13 | [Chassis ID] フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。 |
ステップ 14 | サイト間クラスタリングの場合、[Site ID] フィールドに、このシャーシのサイト ID を 1 ~ 8 の範囲で入力します。 |
ステップ 15 | [Cluster Key] フィールドで、クラスタ制御リンクの制御トラフィックの認証キーを設定します。
共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 16 | [Service Type Name]([Cluster Group Name])を設定します。これはセキュリティモジュール設定のクラスタ グループ名です。
名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 17 | [Management Interface] をクリックして、先に作成した管理インターフェイスを選択します。 |
ステップ 18 | 管理インターフェイスの [Address Type] を選択します。
この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 |
ステップ 19 | [Settings] タブの [Password] に、「admin」ユーザのパスワードを入力します。 |
ステップ 20 | [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。 |
ステップ 21 | [Save] をクリックします。
Firepower 4100/9300 シャーシ スーパーバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。 |
ステップ 22 | シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。 |
ステップ 23 | 標準出荷単位セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
Firepower 4100/9300 シャーシ スーパーバイザから簡単にクラスタを導入できます。すべての初期設定が各ユニットに自動的に生成されます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。導入を容易にするために、1 つのシャーシにクラスタを導入し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
次の例では、内部ルータと外部ルータの間に配置された(ノースサウス挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバがある場合を示します。クラスタ メンバは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバは、内部および外部のスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各データセンターの内部ルータと外部ルータは OSPF を使用し、トランスペアレント ASA を通過します。MAC とは異なり、ルータの IP はすべてのルータで一意です。DCI に高コスト ルートを割り当てることにより、特定のサイトですべてのクラスタ メンバがダウンしない限り、トラフィックは各データセンター内に維持されます。クラスタが非対称型の接続を維持するため、ASA を通過する低コストのルートは、各サイトで同じブリッジ グループを横断する必要があります。1 つのサイトのすべてのクラスタ メンバに障害が発生した場合、トラフィックは各ルータから DCI 経由で他のサイトのクラスタ メンバに送られます。
各サイトのスイッチの実装には、次のものを含めることができます。
Inter-Site VSS/vPC:このシナリオでは、データセンター 1 に 1 台のスイッチをインストールし、データセンター 2 に別のスイッチをインストールします。1 つのオプションとして、各データセンターのクラスタ ユニットはローカル スイッチだけに接続し、VSS/vPC トラフィックは DCI を経由します。この場合、接続のほとんどの部分は各データセンターに対してローカルに維持されます。オプションとして、DCI が余分なトラフィック量を処理できる場合、各ユニットを DCI 経由で両方のスイッチに接続できます。この場合、トラフィックは複数のデータセンターに分散されるため、DCI を非常に堅牢にするためには不可欠です。
各サイトのローカル VSS/vPC:スイッチの冗長性を高めるには、各サイトに 2 つの異なる VSS/vPC ペアをインストールできます。この場合、クラスタ ユニットは、両方のローカル スイッチだけに接続されたデータセンター 1 のシャーシおよびこれらのローカル スイッチに接続されたデータセンター 2 のシャーシとはスパンド EtherChannel を使用しますが、スパンド EtherChannel は基本的に「分離」しています。各ローカル VSS/vPC は、スパンド EtherChannel をサイトローカルの EtherChannel として認識します。
次の例では、各サイトのゲートウェイ ルータと 2 つの内部ネットワーク(アプリケーション ネットワークと DB ネットワーク)間に配置された(イーストウェスト挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバがある場合を示します。クラスタ メンバは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバは、内部および外部のアプリケーション ネットワークと DB ネットワークの両方にスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各サイトのゲートウェイ ルータは、HSRP などの FHRP を使用して、各サイトで同じ宛先の仮想 MAC アドレス と IP アドレスを提供します。予期せぬ MAC アドレスのフラッピングを避けるために推奨されている方法は、ゲートウェイ ルータの実際の MAC アドレスを ASA MAC アドレス テーブルに静的に追加することです。これらのエントリがないと、サイト 1 のゲートウェイがサイト 2 のゲートウェイと通信する場合に、そのトラフィックが ASA を通過して、内部インターフェイスからサイト 2 に到達しようとして、問題が発生する可能性があります。データ VLAN は、オーバーレイ トランスポート仮想化(OTV)(または同様のもの)を使用してサイト間に拡張されます。トラフィックがゲートウェイ ルータ宛てである場合にトラフィックが DCI を通過して他のサイトに送信されないようにするには、フィルタを追加する必要があります。1 つのサイトのゲートウェイ ルータが到達不能になった場合、トラフィックが他のサイトのゲートウェイに送信されるようにフィルタを削除する必要があります。
vPC/VSS オプションについては、スパンド EtherChannel トランスペアレント モード ノースサウス サイト間の例を参照してください。
Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できるようになりました。 |
||
6 つの ASA モジュールのシャーシ間クラスタリング |
1.1.3 |
ASA のシャーシ間クラスタリングが実現されました。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。 次の画面が変更されました。 |
Firepower 9300 の Firepower Threat Defense でのシャーシ内クラスタリング サポート |
1.1.4 |
Firepower 9300 が Firepower Threat Defense アプリケーションでシャーシ内クラスタリングをサポートするようになりました。 次の画面が変更されました。 |
Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善 |
2.1(1) |
ASA クラスタを展開する際に、それぞれの Firepower 4100/9300 シャーシにサイト ID を設定できるようになりました。以前は、ASA アプリケーション内でサイト ID を設定する必要がありました。この新機能により初期展開が簡単になります。ASA 構成内でサイト ID を設定することはできないことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、ASA 9.7(1) および FXOS 2.1.1 へのアップグレードをお勧めします。このアップグレードでは、いくつかの点で安定性とパフォーマンスが改善されています。 次の画面が変更されました。 |
6 つの Firepower Threat Defense モジュールのシャーシ間クラスタリング |
2.1(1) |
Firepower Threat Defense のシャーシ間クラスタリングを有効化できます。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。 次の画面が変更されました。 |
Cisco Firepower 4100/9300 シャーシは、単一ブレードで複数のサービス(ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションとサービスは、リンクされて、サービス チェーンを形成します。
現在サービスされているサービス チェーン コンフィギュレーションでは、サードパーティ製の Radware DefensePro 仮想プラットフォームを ASA ファイアウォールの手前、または Firepower Threat Defense の手前で実行するようにインストールできます。Radware DefensePro は、Firepower 4100/9300 シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。Firepower 4100/9300 シャーシでサービス チェーンが有効になると、ネットワークからのトラフィックは主要な ASA または Firepower Threat Defense ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
Radware DefensePro 仮想プラットフォームは、Radware vDP(仮想 DefensePro)、またはシンプルに vDP と呼ばれることがあります。Radware DefensePro 仮想プラットフォームは、リンク デコレータと呼ばれることもあります。
Radware DefensePro を Firepower 4100/9300 シャーシにデプロイする前に、etc/UTC タイムゾーンで NTP サーバを使用するように Firepower 4100/9300 シャーシを構成する必要があります。Firepower 4100/9300 シャーシの日付と時刻の設定の詳細については、「日時の設定」を参照してください。
Radware DefensePro プラットフォームは、次のセキュリティ アプライアンスの ASA でサポートされています。
Firepower 9300
Firepower 4120:このプラットフォームでは、CLI を使用して Radware DefensePro を導入する必要があります。Firepower Chassis Manager は、この機能をサポートしていません。
Firepower 4140:このプラットフォームでは、CLI を使用して Radware DefensePro を導入する必要があります。Firepower Chassis Manager は、この機能をサポートしていません。
Firepower 4150
Radware DefensePro プラットフォームは、次のセキュリティ アプライアンスの Firepower Threat Defense でサポートされています。
Firepower 9300
Firepower 4110:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4120:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4140
Firepower 4150
Radware DefensePro をスタンドアロン ASA または Firepower Threat Defense 論理デバイスの前にある単一のサービス チェーンにインストールするには、次の手順に従います。
(注) | Firepower 4120 または 4140 セキュリティ アプライアンス上で ASA の前に Radware vDP をインストールする場合、FXOS CLI を使用してデコレータを展開する必要があります。Radware DefensePro を、Firepower 4100 デバイス上で ASA の前にあるサービス チェーンにインストールして設定する方法の詳細な CLI 手順については、『FXOS CLI Configuration Guide』を参照してください。 |
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
Radware DefensePro アプリケーションは、シャーシ内クラスタのスタンドアロン構成で導入できます。シャーシ内クラスタリングについては、シャーシ内クラスタの Radware DefensePro サービス チェーンの設定を参照してください。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプが mgmt になるように設定してください。そうしない場合、アプリケーション管理インターフェイスを共有できます。 |
ステップ 2 | [Logical Devices] を選択して [Logical Devices] ページを開きます。
[Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが表示されます。 |
ステップ 3 | スタンドアロン ASA または Firepower Threat Defense 論理デバイスを作成します(スタンドアロン ASA 論理デバイスの作成またはスタンドアロン脅威防御論理デバイスの作成を参照)。 |
ステップ 4 | [Decorators] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - Configuration] ウィンドウが表示されます。[General Information] タブで、次のフィールドを設定します。 |
ステップ 5 | Firepower 4100/9300 シャーシ に複数の vDP バージョンをアップロードしている場合は、[Version] ドロップダウンから使用するバージョンを選択します。 |
ステップ 6 | [Management Interface] ドロップダウンで、この手順のステップ 1 で作成した管理インターフェイスを選択します。 |
ステップ 7 | デフォルトの [Address Type]([IPv4 only]、[IPv6 only]、または [IPv4 and IPv6])を選択します。 |
ステップ 8 | 前のステップで選択した [Address Type] に基づいて次のフィールドを設定します。 |
ステップ 9 | デバイスに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 10 | [OK] をクリックします。 |
ステップ 11 | [Save] をクリックします。
Firepower eXtensible Operating System は、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
Radware DefensePro イメージをインストールして ASA または Firepower Threat Defense シャーシ内クラスタの前にサービス チェーンを設定するには、次の手順に従います。
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプが mgmt になるように設定してください。そうしない場合、アプリケーション管理インターフェイスを共有できます。 |
ステップ 2 | ASA または Firepower Threat Defense シャーシ内クラスタを設定します(ASA クラスタリングの設定またはFirepower Threat Defense クラスタリングの設定を参照)。
シャーシ内クラスタを設定する手順の最後で [Save] をクリックする前に、以下のステップに従ってクラスタに vDP デコレータを追加しておく必要があります。 |
ステップ 3 | [Decorators] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - Configuration] ダイアログボックスが表示されます。[General Information] タブで、次のフィールドを設定します。 |
ステップ 4 | Firepower 4100/9300 シャーシ に複数の vDP バージョンをアップロードした場合は、使用する vDP バージョンを [Version] ドロップダウンで選択します。 |
ステップ 5 | [Management Interface] ドロップダウンで管理インターフェイスを選択します。 |
ステップ 6 | vDP デコレータに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 7 | [Interface Information] タブをクリックします。 |
ステップ 8 | 使用する [Address Type]([IPv4 only]、[IPv6 only]、または [IPv4 and IPv6])を選択します。 |
ステップ 9 | 各セキュリティ モジュールで、次のフィールドを設定します。表示されるフィールドは、前のステップで選択した [Address Type] により異なります。 |
ステップ 10 | [OK] をクリックします。 |
ステップ 11 | [Save] をクリックします。
Firepower eXtensible Operating System は、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
ステップ 12 | [Logical Devices] を選択して [Logical Devices] ページを開きます。 |
ステップ 13 | 設定された論理デバイスのリストをスクロールして vDP のエントリを表示します。[Management IP] 列に示されている属性を確認します。 |
DefensePro アプリケーションのパスワードを設定します。パスワードを設定するまでは、アプリケーションはオンラインにならないことに注意してください。詳細については、cisco.com に用意されている『Radware DefensePro DDoS Mitigation User Guide』を参照してください。
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、APSolute Vision ユーザ ガイドの次の表を参照してください。
Ports for APSolute Vision Server-WBM Communication and Operating System
Communication Ports for APSolute Vision Server with Radware Devices
Radware APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、FXOS CLI を使用して vDP Web サービスを有効にする必要があります。
論理デバイスを削除し、ASA をトランスペアレント モードに変換し、インターフェイス コンフィギュレーションを変更し、既存の論理デバイスで他のタスクを実行できます。
次の手順に従ってアプリケーションまたはデコレータのコンソールに接続します。
(注) | コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
ステップ 1 | [Logical Devices] を選択して [Logical Devices] ページを開きます。
[Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。論理デバイスのリストの下に、論理デバイスに関連付けられていないアプリケーション インスタンスのリストが表示されます。 |
ステップ 2 | 削除するアプリケーション インスタンスの [Delete] をクリックします。 |
ステップ 3 | [Yes] をクリックして、このアプリケーション インスタンスを削除することを確認します。 |
Firepower 4100/9300 シャーシのルーテッド ファイアウォール モード ASA のみを導入できます。ASA をトランスペアレント ファイアウォール モードに変更するには、初期導入を完了し、ASA CLI 内でファイアウォール モードを変更します。ファイアウォール モードを変更すると設定が消去されるため、Firepower 4100/9300 シャーシから設定を再導入して、ブートストラップ設定を回復する必要があります。ASA はトランスペアレント モードのままで、ブートストラップ設定が機能した状態になっています。
ステップ 1 | アプリケーションまたはデコレータのコンソールへの接続に従って、ASA コンソールに接続します。クラスタの場合、プライマリ ユニットに接続します。フェールオーバー ペアの場合、アクティブ ユニットに接続します。 |
ステップ 2 | コンフィギュレーション モードに入ります。
enable configure terminal デフォルトでは、イネーブル パスワードは空白です。 |
ステップ 3 | ファイアウォール モードをトランスペアレントに設定します。
firewall transparent |
ステップ 4 | 設定を保存します。
write memory クラスタまたはフェールオーバー ペアの場合、この設定はセカンダリ ユニットに複製されます。 asa(config)# firewall transparent asa(config)# write memory Building configuration... Cryptochecksum: 9f831dfb 60dffa8c 1d939884 74735b69 3791 bytes copied in 0.160 secs [OK] asa(config)# Beginning configuration replication to Slave unit-1-2 End Configuration Replication to slave. asa(config)# |
ステップ 5 | Firepower Chassis Manager の [Logical Devices] ページで、[Edit] アイコンをクリックして ASA を編集します。
[Provisioning] ページが表示されます。 |
ステップ 6 | デバイスのアイコンをクリックして、ブートストラップ設定を編集します。設定の値を変更し、[OK] をクリックします。
1 つ以上のフィールドの値を変更する必要があります。この設定は重要ではないため、[Password] を新しいパスワードに変更することを推奨します。 ブートストラップ設定の変更に関する警告が表示されます。[Yes] をクリックします。 |
ステップ 7 | [Save] をクリックして ASA に設定を再導入します。シャーシ間クラスタまたはフェールオーバー ペアの場合、各シャーシでステップ 5 ~ 7 を繰り返してブートストラップ設定を再導入します。 シャーシ/セキュリティ モジュールがリロードし、ASA が再度稼働するまで数分待ちます。ASA は、これでブートストラップ設定が機能するようになりますが、トランスペアレント モードのままです。 |
Firepower Threat Defense 論理デバイスでは、インターフェイスの割り当てや割り当て解除、または管理インターフェイスの置き換えを行うことができます。その後、Firepower Management Center でインターフェイス設定を同期できます。
インターフェイス プロパティの編集およびポート チャネルの作成に従って、インターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えず、かつ Firepower Management Center での同期を必要とせずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトではすべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、デバイスに EtherChannel を割り当てることができます。
管理インターフェイスまたは Firepower イベント インターフェイスを管理 EtherChannel に置き換えるには、未割り当てのデータ メンバー インターフェイスが少なくとも 1 つある EtherChannel を作成し、現在の管理インターフェイスをその EtherChannel に置き換える必要があります。Firepower Threat Defense デバイスがリブートし(管理インターフェイスを変更するとリブートします)、Firepower Management Center で設定を同期すると、(現在未割り当ての)管理インターフェイスも EtherChannel に追加できます。
クラスタリングや高可用性のため、Firepower Management Center で設定を同期する前に、すべてのユニットでインターフェイスを追加または削除していることを確認してください。新しいインターフェイスは管理上ダウンした状態で追加されるため、インターフェイス モニタリングに影響を及ぼさないことに注意してください。
ステップ 1 | Firepower Chassis Manager で、[Logical Devices] を選択します。 |
ステップ 2 | 右上にある [Edit] アイコンをクリックして、その論理デバイスを編集します。 |
ステップ 3 | [Data Ports] 領域でデータ インターフェイスの選択を解除して、そのインターフェイスの割り当てを解除します。 |
ステップ 4 | [Data Ports] 領域で新しいデータ インターフェイスを選択して、そのインターフェイスを割り当てます。 |
ステップ 5 | 次のように、管理インターフェイスまたはイベント インターフェイスを置き換えます。
これらのタイプのインターフェイスでは、変更を保存するとデバイスがリブートします。
管理インターフェイスの IP アドレスを変更した場合は、Firepower Management Center でデバイスの IP アドレスも変更する必要があります。 と移動します。[Management] 領域で、ブートストラップ設定アドレスと一致するように IP アドレスを設定します。 |
ステップ 6 | [Save] をクリックします。 |
ステップ 7 | Firepower Management Center にログインします。 |
ステップ 8 | Firepower Threat Defense デバイスの編集アイコン()をクリックします。[Interfaces] タブがデフォルトで選択されています。 を選択して、 |
ステップ 9 | [Interfaces] タブの左上にある [Sync Interfaces from device] ボタンをクリックします。 |
ステップ 10 | [Save] をクリックします。
これで、[Deploy] をクリックして割り当てられているデバイスにポリシーを展開することができます。変更を展開するまで、変更は有効ではありません。 |
ASA 論理デバイスでは、管理インターフェイスの割り当て、割り当て解除、または置き換えを行うことができます。ASDM は、新しいインターフェイスを自動的に検出します。
インターフェイス プロパティの編集およびポート チャネルの作成に従って、インターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトではすべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、デバイスに EtherChannel を割り当てることができます。
管理インターフェイスを管理 EtherChannel に置き換えるには、未割り当てのデータ メンバー インターフェイスが少なくとも 1 つある EtherChannel を作成し、現在の管理インターフェイスをその EtherChannel に置き換える必要があります。ASA がリロードし(管理インターフェイスを変更するとリロードします)、(現在未割り当ての)管理インターフェイスも EtherChannel に追加できます。
クラスタリングやフェールオーバーのため、新しいインターフェイスは管理上ダウンした状態で追加されるので、インターフェイス モニタリングに影響を及ぼしません。
ステップ 1 | Firepower Chassis Manager で、[Logical Devices] を選択します。 |
ステップ 2 | 右上にある [Edit] アイコンをクリックして、その論理デバイスを編集します。 |
ステップ 3 | [Data Ports] 領域でデータ インターフェイスの選択を解除して、そのインターフェイスの割り当てを解除します。 |
ステップ 4 | [Data Ports] 領域で新しいデータ インターフェイスを選択して、そのインターフェイスを割り当てます。 |
ステップ 5 | 次のように、管理インターフェイスを置き換えます。
このタイプのインターフェイスでは、変更を保存するとデバイスがリロードします。
|
ステップ 6 | [Save] をクリックします。 |
論理デバイスのブートストラップ設定は、変更することができます。変更した後、直ちに新しい設定を使用してアプリケーションを再起動することも、変更を保存しておいて後で新しい設定を使用してアプリケーション インスタンスを再起動することもできます。
ステップ 1 | Firepower Chassis Manager で、[Logical Devices] を選択します。 |
ステップ 2 | 右上にある [Edit] アイコンをクリックして、その論理デバイスを編集します。 |
ステップ 3 | ページ中央のデバイス アイコンをクリックします。 |
ステップ 4 | 必要に応じて論理デバイスの設定を変更します。 |
ステップ 5 | [OK] をクリックします。 |
ステップ 6 | [Save] をクリックして変更を保存し、アプリケーション インスタンスを再起動します。 |