この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
論理デバイスを作成すると、Firepower 4100/9300 シャーシ スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール/エンジン(シャーシ内クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
[スタンドアロン(Standalone)]:Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。
[クラスタ(Cluster)]:クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。
(注) | 複数のセキュリティ モジュールをサポートする Firepower 4100/9300 シャーシでは、1 つのタイプの論理デバイスのみ(スタンドアロンまたはクラスタ)を作成できます。つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。 |
(注) | スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
Firepower シャーシに取り付けた各セキュリティ モジュール/エンジン用に、スタンドアロン論理デバイスを作成できます。
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
(注) | 任意で、セキュリティ モジュールの ASA ファイアウォールの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
(注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにダウンロードします(Firepower 4100/9300 シャーシ への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
Firepower 4100/9300 シャーシのルーテッド ファイアウォール モード ASA のみを導入できます。
Firepower# scope ssa Firepower /ssa # create logical-device MyDevice1 asa 1 standalone Firepower /ssa/logical-device* # set description "logical device description" Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: <password> Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # show configuration pending +enter logical-device MyDevice1 asa 1 standalone + enter external-port-link inside Ethernet1/1 asa + set decorator "" + set description "inside link" + exit + enter external-port-link management Ethernet1/7 asa + set decorator "" + set description "management link" + exit + enter external-port-link outside Ethernet1/2 asa + set decorator "" + set description "external link" + exit + enter mgmt-bootstrap asa + enter bootstrap-key-secret PASSWORD + set value + exit + enter ipv4 1 default + set gateway 1.1.1.254 + set ip 1.1.1.1 mask 255.255.255.0 + exit + exit + set description "logical device description" +exit Firepower /ssa/logical-device* # commit-buffer
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
(注) | 任意で、セキュリティ モジュールの Firepower Threat Defense 論理デバイスの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
(注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにダウンロードします(Firepower 4100/9300 シャーシ への論理デバイスのソフトウェア イメージのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、少なくとも 1 つのデータ型インターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。
ステップ 1 | セキュリティ サービス モードに入ります。
Firepower# scopessa |
ステップ 2 | 論理デバイスを作成します。
Firepower /ssa # createlogical-device device_nameftd slot_idstandalone device_name は、Firepower 4100/9300 シャーシ スーパバイザが管理設定を行ってインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるデバイス名ではありません。 |
ステップ 3 | 論理デバイスに管理インターフェイスおよびデータ インターフェイスを割り当てます。
Firepower-chassis /ssa/logical-device/external-port-link* # exit name は、Firepower 4100/9300 シャーシ スーパーバイザによって使用されます。これは、セキュリティ モジュールの設定で使用するインターフェイス名ではありません。各インターフェイスに対して、手順を繰り返します。 |
ステップ 4 | 管理ブートストラップのパラメータを設定します。 |
ステップ 5 | エンドユーザ ライセンス契約書に同意します。 |
ステップ 6 | (任意)
Radware DefensePro のインスタンスをインストールします。
Firepower /ssa* # scope slot slot_id Firepower/ssa/slot* # createapp-instance vdp この手順で、論理デバイス設定を確定する最終手順を実行したら、続いて Firepower Threat Defense 論理デバイスを使用して、サービス チェーン内に Radware DefensePro デコレータを設定する必要があります。スタンドアロンの論理デバイスでの Radware DefensePro サービス チェーンの設定の手順を、手順 4 から参照してください。Firepower 4110 および 4120 では、論理デバイス設定を確定する前に、アプリケーション インスタンスを作成する必要があります。 |
ステップ 7 | 設定を確定します。
commit-buffer トランザクションをシステム設定にコミットします。 |
Firepower# scope ssa Firepower /ssa #create logical-device MyDevice1 ftd 1 standalone Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 ftd Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 ftd Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 ftd Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value routed Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FQDN Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value ftd.cisco.com Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key DNS_SERVERS Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 192.168.1.1 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key SEARCH_DOMAINS Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value search.com Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # exit Firepower /ssa* # scope app ftd 6.0.0.837 Firepower /ssa/app* # accept-license-agreement Firepower /ssa/app* # commit-buffer
クラスタリングを利用すると、複数のデバイスをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。複数のモジュールを含む Firepower 9300 は、1 つのシャーシ内のすべてのモジュールをクラスタにグループ化する、シャーシ内クラスタリングをサポートします。複数のシャーシをまとめてグループ化する、シャーシ間クラスタリングも使用できます。シャーシ間クラスタリングは、Firepower 4100 シリーズなどの単一モジュール デバイスの唯一のオプションです。
クラスタは、1 つの論理ユニットとして機能する複数のデバイスから構成されます。クラスタを Firepower 4100/9300 シャーシ に展開すると、以下の処理が実行されます。
ユニット間通信用のクラスタ制御リンク(デフォルトではポート チャネル 48)を作成します。シャーシ内クラスタリングでは(Firepower 9300のみ)、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、シャーシ間通信用にこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。
アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ コンフィギュレーションが Firepower 4100/9300 シャーシ スーパバイザからプッシュされます。クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、アプリケーション内でユーザが設定できます。
スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。
シャーシ内クラスタリングでは、スパンド インターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。
(注) | 管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
管理インターフェイスをクラスタ内のすべてのユニットに指定します。
ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタのメンバの 1 つがプライマリ ユニットになります。標準出荷単位は自動的に決定されます。他のすべてのメンバはセカンダリ単位です。
すべてのコンフィギュレーション作業は標準出荷単位でのみ実行する必要があります。コンフィギュレーションはその後、セカンダリ単位に複製されます。
クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。シャーシ内クラスタリングでは、このインターフェイスにメンバ インターフェイスはありません。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。このクラスタ タイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300 バックプレーンを使用します。
2 メンバー シャーシ間クラスタの場合、シャーシと別のシャーシとの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。
クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。
NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。
メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。
クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。
(注) | クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。 |
次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の Firepower 4100/9300 シャーシ インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。
クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。
クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。
Firepower 4100/9300 シャーシは、シャーシ ID とスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイスの IP アドレスを自動生成します。この IP アドレスは、FXOS でもアプリケーション内でも手動で設定することはできません。クラスタ制御リンク ネットワークでは、ユニット間にルータを含めることはできません。レイヤ 2 スイッチングだけが許可されています。サイト間のトラフィックには、オーバーレイ トランスポート仮想化(OTV)を使用することを推奨します。
すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。
ASA の場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在の標準出荷単位に属します。アドレス範囲も設定して、現在の標準出荷単位を含む各単位がその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。標準出荷単位が変更されると、メイン クラスタ IP アドレスは新しい標準出荷単位に移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在の標準出荷単位に関連付けられています。個々のメンバーを管理するには、ローカル IP アドレスに接続します。TFTP や syslog などの発信管理トラフィックの場合、標準出荷単位を含む各単位は、ローカル IP アドレスを使用してサーバに接続します。
Firepower Threat Defense では、同じネットワークの各単位に管理 IP アドレスを割り当てます。各単位を Management Centerに追加するときは、次の IP アドレスを使用します。
シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはブリッジ グループ メンバのインターフェイスではなく BVI に割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。
各クラスタ シャーシを、個別のサイト ID に属するように設定できます。
サイト ID は、サイト固有の MAC アドレスおよび IP アドレスと連動します。クラスタから送信されたパケットは、サイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。この機能により、スイッチが 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスを学習してしまうのを防いでいます。MAC フラッピングが発生しないよう、サイト MAC アドレスのみを学習します。サイト固有の MAC アドレスおよび IP アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされます。
また、サイト ID は LISP インスペクションおよびディレクタ ローカリゼーションを使用してフロー モビリティを有効にして、パフォーマンスを高め、データセンターのサイト間クラスタリングで発生するラウンドトリップ時間の遅延を短縮するためにも使用されます。
サイト間クラスタリングの詳細については、以下の項を参照してください。
Data Center Interconnect のサイジング:クラスタリングの前提条件
サイト間のガイドライン:クラスタリングに関するガイドライン
サイト間の例:サイト間クラスタリングの例
Firepower 4100 シリーズ:すべてのシャーシが同じモデルである必要があります。Firepower 9300:すべてのセキュリティ モジュールは同じタイプである必要があります。空のスロットを含め、シャーシ内にあるすべてのモジュールはクラスタに属している必要がありますが、各シャーシに設置されているセキュリティ モジュールの数はさまざまでかまいません。
同じ管理インターフェイス、EtherChannel、アクティブ インターフェイス、速度、デュプレックスなど、クラスタに割り当てるインターフェイスについても同じインターフェイスの設定を含める必要があります。同じインターフェイス ID の容量が一致し、同じスパンド EtherChannel にインターフェイスを正常にバンドルできれば、シャーシに異なるネットワーク モジュール タイプを使用できます。シャーシ間クラスタリングのすべてのデータ インターフェイスが EtherChannel であることに注意してください。
同じ NTP サーバを使用する必要があります。また、Firepower Threat Defense の場合、Firepower Management Center は同じ NTP サーバを使用する必要があります。時間を手動で設定しないでください。
ASA:各 FXOS シャーシは、ライセンス認証局またはサテライト サーバに登録されている必要があります。セカンダリ ユニットは追加料金なしで使用できます。永続ライセンスを予約するには、シャーシごとに別個のライセンスを購入する必要があります。Firepower Threat Defense では、すべてのライセンスは Firepower Management Center で処理されます。
Firepower 4100/9300 シャーシでクラスタリングを設定する前に、必ずスイッチの設定を完了し、シャーシからのすべての EtherChannel をスイッチに正常に接続してください。
サポートされているスイッチのリストについては、「Cisco FXOS Compatibility」を参照してください。
次の計算と同等の帯域幅をクラスタ制御リンク トラフィック用に Data Center Interconnect(DCI)に確保する必要があります。
メンバーの数が各サイトで異なる場合、計算には大きい方の値を使用します。DCI の最小帯域幅は、1 つのメンバーに対するクラスタ制御リンクのサイズ未満にすることはできません。
Firepower 9300 の ASA:シャーシ内、シャーシ間、およびサイト間のクラスタリングでサポート。
Firepower 4100 シリーズ の ASA:シャーシ間およびシャーシ内クラスタリングでサポート。
Firepower 9300 の Firepower Threat Defense:シャーシ内およびシャーシ間クラスタリングでサポート。
Firepower 4100 シリーズ の Firepower Threat Defense:シャーシ間クラスタリングでサポート。
Radware DefensePro:ASA によるシャーシ内クラスタリングでサポート。
Radware DefensePro:Firepower Threat Defense によるシャーシ内クラスタリングでサポート。
ASR 9006 でデフォルト以外の MTU を設定する場合は、クラスタ デバイスの MTU よりも 14 バイト大きい ASR インターフェイス MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。クラスタ デバイスの MTU と ASR IPv4 MTU を一致させる必要があることに注意してください。
クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。
スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないことに注意してください。そのため、クラスタリングで ISSU を使用することは推奨されません。
スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタ内のデバイスへのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、vlan キーワードを使用しないでください。
スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。
クラスタ制御リンク パスのスイッチでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。
Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、クラスタ デバイスに接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。
router(config)# port-channel idhash-distributionfixed
スイッチ接続用に、EtherChannel モードをアクティブに設定します。クラスタ制御リンクであっても、Firepower 4100/9300 シャーシではオン モードはサポートされません。
FXOS EtherChannel にはデフォルトで [標準(normal)] に設定されている LACP レートがあります。この設定ではポート チャネル メンバのバンドルに 30 秒以上かけるように設定できますが、これによりクラスタ ユニット クラスタのヘルスチェックが失敗し、ユニットがクラスタから削除されることがあります。LACP レートを [高速(fast)] に変更することを推奨します。 次に、「デフォルトの」lacp ポリシーを変更する例を示します。
firepower# scope org firepower /org # scope lacppolicy default firepower /org/lacppolicy# set lacp-rate fast firepower /org* # commit-buffer
(注) | Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないため、クラスタリングで ISSU を使用することは推奨されません。 |
15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0(無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。
スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。
スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。
デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。
クラスタ制御リンクはポート チャネル 48 を使用します。
クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
Firepower 4100/9300 シャーシからルーテッド ファイアウォール モードの ASA クラスタのみを導入できます。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を設定します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバ インターフェイスを持つ EtherChannel である必要があります。各シャーシに EtherChannel を追加します。 | ||
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 | ||
ステップ 3 | ポート チャネル 48 はクラスタ制御リンクとして予約されます。シャーシ間クラスタリングでは、ポート チャネル に1 つ以上のインターフェイスを追加します。 | ||
ステップ 4 | セキュリティ サービス モードに入ります。
scopessa 例: Firepower # scope ssa Firepower /ssa # | ||
ステップ 5 | クラスタを作成します。
enter logical-device device_nameasa "1,2,3" clustered 例: Firepower /ssa # enter logical-device ASA1 asa "1,2,3" clustered Firepower /ssa/logical-device* # device_name は、Firepower 4100/9300 シャーシ スーパバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。まだハードウェアをインストールしていない場合でも、3 つすべてのセキュリティ モジュールを指定する必要があります。
| ||
ステップ 6 | クラスタ パラメータを設定します。
enter cluster-bootstrap 例: Firepower /ssa/logical-device* # enter cluster-bootstrap Firepower /ssa/logical-device/cluster-bootstrap* # | ||
ステップ 7 | セキュリティ モジュール設定でクラスタ グループ名を設定します。
set service-type cluster_name 例: Firepower /ssa/logical-device/cluster-bootstrap* # set service-type cluster1 Firepower /ssa/logical-device/cluster-bootstrap* # 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 | ||
ステップ 8 | クラスタ インターフェイス モードを設定します。
set mode spanned-etherchannel 例: Firepower /ssa/logical-device/cluster-bootstrap* # set mode spanned-etherchannel Firepower /ssa/logical-device/cluster-bootstrap* # サポートされているモードは、スパンド EtherChannel モードのみです。 | ||
ステップ 9 | 管理 IP アドレス情報を設定します。
この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 例: Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 gateway 10.1.1.254 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv4 pool 10.1.1.11 10.1.1.27 Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 gateway 2001:DB8::AA Firepower /ssa/logical-device/cluster-bootstrap* # set ipv6 pool 2001:DB8::11 2001:DB8::27 Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv4 10.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/cluster-bootstrap* # set virtual ipv6 2001:DB8::1 prefix-length 64 | ||
ステップ 10 | シャーシ ID を設定します。
set chassis-id id クラスタの各シャーシは一意の ID が必要です。 例: Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1 Firepower /ssa/logical-device/cluster-bootstrap* # | ||
ステップ 11 | サイト間クラスタリングの場合、サイト ID は 1 ~ 8 の範囲で設定します。
set site-id number 例: Firepower /ssa/logical-device/cluster-bootstrap* # set site-id 1 Firepower /ssa/logical-device/cluster-bootstrap* # | ||
ステップ 12 | クラスタ制御リンクの制御トラフィック用の認証キーを設定します。
set key 例: Firepower /ssa/logical-device/cluster-bootstrap* # set key Key: diamonddogs Firepower /ssa/logical-device/cluster-bootstrap* # 共有秘密を入力するように求められます。 共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 | ||
ステップ 13 | クラスタ ブートストラップ モードおよび論理デバイス モードを終了します。
exit exit | ||
ステップ 14 | 使用可能なソフトウェア バージョンを表示し、使用するバージョンを設定します。 例: /ssa* # scope app asa 9.5.2.1 /ssa/app* # set-default /ssa/app* # exit /ssa* # | ||
ステップ 15 | 設定を確定します。
commit-buffer Firepower 4100/9300 シャーシ スーパバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを展開します。 | ||
ステップ 16 | クラスタに別のシャーシを追加するには、この手順を繰り返しますが、固有の chassis-id と正しい site-id を設定する必要がある場合は設定し、そうでない場合は両方のシャーシで同じ設定を使用します。 | ||
ステップ 17 | 標準出荷単位セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
シャーシ 1:
scope eth-uplink
scope fabric a
enter port-channel 1
set port-type data
enable
enter member-port Ethernet1/1
exit
enter member-port Ethernet1/2
exit
exit
enter port-channel 2
set port-type data
enable
enter member-port Ethernet1/3
exit
enter member-port Ethernet1/4
exit
exit
enter port-channel 3
set port-type data
enable
enter member-port Ethernet1/5
exit
enter member-port Ethernet1/6
exit
exit
enter port-channel 4
set port-type mgmt
enable
enter member-port Ethernet2/1
exit
enter member-port Ethernet2/2
exit
exit
enter port-channel 48
set port-type cluster
enable
enter member-port Ethernet2/3
exit
exit
exit
exit
commit-buffer
scope ssa
enter logical-device ASA1 asa "1,2,3" clustered
enter cluster-bootstrap
set chassis-id 1
set ipv4 gateway 10.1.1.254
set ipv4 pool 10.1.1.11 10.1.1.27
set ipv6 gateway 2001:DB8::AA
set ipv6 pool 2001:DB8::11 2001:DB8::27
set key
Key: f@arscape
set mode spanned-etherchannel
set service-type cluster1
set virtual ipv4 10.1.1.1 mask 255.255.255.0
set virtual ipv6 2001:DB8::1 prefix-length 64
exit
exit
scope app asa 9.5.2.1
set-default
exit
commit-buffer
シャーシ 2:
scope eth-uplink scope fabric a create port-channel 1 set port-type data enable create member-port Ethernet1/1 exit create member-port Ethernet1/2 exit exit create port-channel 2 set port-type data enable create member-port Ethernet1/3 exit create member-port Ethernet1/4 exit exit create port-channel 3 set port-type data enable create member-port Ethernet1/5 exit create member-port Ethernet1/6 exit exit create port-channel 4 set port-type mgmt enable create member-port Ethernet2/1 exit create member-port Ethernet2/2 exit exit create port-channel 48 set port-type cluster enable create member-port Ethernet2/3 exit exit exit exit commit-buffer scope ssa enter logical-device ASA1 asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 2 set ipv4 gateway 10.1.1.254 set ipv4 pool 10.1.1.11 10.1.1.15 set ipv6 gateway 2001:DB8::AA set ipv6 pool 2001:DB8::11 2001:DB8::19 set key Key: f@rscape set mode spanned-etherchannel set service-type cluster1 set virtual ipv4 10.1.1.1 mask 255.255.255.0 set virtual ipv6 2001:DB8::1 prefix-length 64 exit exit scope app asa 9.5.2.1 set-default exit commit-buffer
クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ型のインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバ インターフェイスを持つ EtherChannel である必要があります。各シャーシに EtherChannel を追加します。 | ||
ステップ 2 | (任意)クラスタを展開する前に Firepower-eventing タイプのインターフェイスを設定します。インターフェイス プロパティの編集を参照してください。
このインターフェイスは、Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center コマンド リファレンスの configure network コマンドを参照してください。 | ||
ステップ 3 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 | ||
ステップ 4 | ポート チャネル 48 はクラスタ制御リンクとして予約されます。シャーシ間クラスタリングでは、ポート チャネル に1 つ以上のインターフェイスを追加します。 | ||
ステップ 5 | セキュリティ サービス モードに入ります。
scopessa 例: Firepower # scope ssa Firepower /ssa # | ||
ステップ 6 | クラスタを作成します。
enter logical-device device_nameftd "1,2,3" clustered 例: Firepower /ssa # enter logical-device FTD1 ftd "1,2,3" clustered Firepower /ssa/logical-device* # device_name は、Firepower 4100/9300 シャーシ スーパバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。
| ||
ステップ 7 | クラスタ ブートストラップのパラメータを設定します。 例: Firepower /ssa/logical-device* # enter cluster-bootstrap Firepower /ssa/logical-device/cluster-bootstrap* # set chassis-id 1 Firepower /ssa/logical-device/cluster-bootstrap* # set key Key: f@arscape Firepower /ssa/logical-device/cluster-bootstrap* # set mode spanned-etherchannel Firepower /ssa/logical-device/cluster-bootstrap* # set service-type cluster1 Firepower /ssa/logical-device/cluster-bootstrap* # exit Firepower /ssa/logical-device/* # | ||
ステップ 8 | 管理ブートストラップのパラメータを設定します。 例: Firepower /ssa/logical-device* # enter mgmt-bootstrap ftd Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FIREPOWER_MANAGER_IP Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 10.0.0.100 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value routed Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key-secret REGISTRATION_KEY Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: ziggy$tardust Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: $pidersfrommars Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FQDN Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value example.cisco.com Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key DNS_SERVERS Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value 192.168.1.1 Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key SEARCH_DOMAINS Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value example.com Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 1 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 2 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.32 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # enter ipv4 3 firepower Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.33 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # | ||
ステップ 9 | 論理デバイス モードを終了します。
exit | ||
ステップ 10 | 使用可能なソフトウェア バージョンを表示し、使用するバージョンを設定します。 例: /ssa # scope app ftd 6.1.0.21 /ssa/app # set-default /ssa/app* # accept-license-agreement /ssa/app* # exit /ssa* # | ||
ステップ 11 | 設定を確定します。
commit-buffer Firepower 4100/9300 シャーシ スーパバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを展開します。 | ||
ステップ 12 | クラスタに別のシャーシを追加するには、この手順を繰り返しますが、固有の chassis-id および固有の管理 IP アドレスを設定する必要がある場合は設定し、そうでない場合は両方のシャーシで同じ設定を使用します。 | ||
ステップ 13 | 各セキュリティ モジュールを、管理 IP アドレスを使用する Firepower Management Center に追加してから、Web インターフェイスでクラスタにグループ化します。
すべてのクラスタ ユニットは、Firepower Management Center に追加する前に、FXOS で正常な形式のクラスタ内に存在している必要があります。 |
scope eth-uplink
scope fabric a
enter port-channel 1
set port-type data
enable
create member-port Ethernet1/1
exit
create member-port Ethernet1/2
exit
exit
enter port-channel 2
set port-type data
enable
create member-port Ethernet1/3
exit
create member-port Ethernet1/4
exit
exit
enter port-channel 3
set port-type firepower-eventing
enable
create member-port Ethernet1/5
exit
create member-port Ethernet1/6
exit
exit
enter port-channel 4
set port-type mgmt
enable
create member-port Ethernet2/1
exit
enter member-port Ethernet2/2
exit
exit
enter port-channel 48
set port-type cluster
enable
enter member-port Ethernet2/3
exit
exit
exit
exit
commit-buffer
scope ssa
enter logical-device FTD1 ftd "1,2,3" clustered
enter cluster-bootstrap
set chassis-id 1
set key cluster_key
set mode spanned-etherchannel
set service-type ftd-cluster
exit
enter mgmt-bootstrap ftd
enter bootstrap-key FIREPOWER_MANAGER_IP
set value 10.0.0.100
exit
enter bootstrap-key FIREWALL_MODE
set value transparent
exit
enter bootstrap-key-secret REGISTRATION_KEY
set value
Value: alladinsane
exit
enter bootstrap-key-secret PASSWORD
set value
Value: widthofacircle
exit
enter bootstrap-key FQDN
set value ftd.cisco.com
exit
enter bootstrap-key DNS_SERVERS
set value 192.168.1.1
exit
enter bootstrap-key SEARCH_DOMAINS
set value search.com
exit
enter ipv4 1 firepower
set gateway 10.0.0.1
set ip 10.0.0.31 mask 255.255.255.0
exit
enter ipv4 2 firepower
set gateway 10.0.0.1
set ip 10.0.0.32 mask 255.255.255.0
exit
enter ipv4 3 firepower
set gateway 10.0.0.1
set ip 10.0.0.33 mask 255.255.255.0
exit
exit
exit
scope app ftd 6.0.0.837
accept-license-agreement
exit
commit-buffer
シャーシ 2:
scope eth-uplink
scope fabric a
enter port-channel 1
set port-type data
enable
create member-port Ethernet1/1
exit
create member-port Ethernet1/2
exit
exit
enter port-channel 2
set port-type data
enable
create member-port Ethernet1/3
exit
create member-port Ethernet1/4
exit
exit
enter port-channel 3
set port-type firepower-eventing
enable
create member-port Ethernet1/5
exit
create member-port Ethernet1/6
exit
exit
enter port-channel 4
set port-type mgmt
enable
create member-port Ethernet2/1
exit
enter member-port Ethernet2/2
exit
exit
enter port-channel 48
set port-type cluster
enable
enter member-port Ethernet2/3
exit
exit
exit
exit
commit-buffer
scope ssa
enter logical-device FTD1 ftd "1,2,3" clustered
enter cluster-bootstrap
set chassis-id 2
set key cluster_key
set mode spanned-etherchannel
set service-type ftd-cluster
exit
enter mgmt-bootstrap ftd
enter bootstrap-key FIREPOWER_MANAGER_IP
set value 10.0.0.100
exit
enter bootstrap-key FIREWALL_MODE
set value transparent
exit
enter bootstrap-key-secret REGISTRATION_KEY
set value
Value: alladinsane
exit
enter bootstrap-key-secret PASSWORD
set value
Value: widthofacircle
exit
enter bootstrap-key FQDN
set value ftd.cisco.com
exit
enter bootstrap-key DNS_SERVERS
set value 192.168.1.1
exit
enter bootstrap-key SEARCH_DOMAINS
set value search.com
exit
enter ipv4 1 firepower
set gateway 10.0.0.1
set ip 10.0.0.31 mask 255.255.255.0
exit
enter ipv4 2 firepower
set gateway 10.0.0.1
set ip 10.0.0.32 mask 255.255.255.0
exit
enter ipv4 3 firepower
set gateway 10.0.0.1
set ip 10.0.0.33 mask 255.255.255.0
exit
exit
exit
scope app ftd 6.0.0.837
accept-license-agreement
exit
commit-buffer
次の例では、内部ルータと外部ルータの間に配置された(ノースサウス挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバーがある場合を示します。クラスタ メンバーは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバーは、内部および外部のスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各データセンターの内部ルータと外部ルータは OSPF を使用し、トランスペアレント ASA を通過します。MAC とは異なり、ルータの IP はすべてのルータで一意です。DCI に高コスト ルートを割り当てることにより、特定のサイトですべてのクラスタ メンバーがダウンしない限り、トラフィックは各データセンター内に維持されます。クラスタが非対称型の接続を維持するため、ASA を通過する低コストのルートは、各サイトで同じブリッジ グループを横断する必要があります。1 つのサイトのすべてのクラスタ メンバーに障害が発生した場合、トラフィックは各ルータから DCI 経由で他のサイトのクラスタ メンバーに送られます。
各サイトのスイッチの実装には、次のものを含めることができます。
サイト間 VSS/vPC:このシナリオでは、データセンター 1 に 1 台のスイッチをインストールし、データセンター 2 に別のスイッチをインストールします。1 つのオプションとして、各データセンターのクラスタ ユニットはローカル スイッチだけに接続し、VSS/vPC トラフィックは DCI を経由します。この場合、接続のほとんどの部分は各データセンターに対してローカルに維持されます。オプションとして、DCI が余分なトラフィック量を処理できる場合、各ユニットを DCI 経由で両方のスイッチに接続できます。この場合、トラフィックは複数のデータセンターに分散されるため、DCI を非常に堅牢にするためには不可欠です。
各サイトのローカル VSS/vPC:スイッチの冗長性を高めるには、各サイトに 2 つの異なる VSS/vPC ペアをインストールできます。この場合、クラスタ ユニットは、両方のローカル スイッチだけに接続されたデータセンター 1 のシャーシおよびこれらのローカル スイッチに接続されたデータセンター 2 のシャーシとはスパンド EtherChannel を使用しますが、スパンド EtherChannel は基本的に「分離」しています。各ローカル VSS/vPC は、スパンド EtherChannel をサイトローカルの EtherChannel として認識します。
次の例では、各サイトのゲートウェイ ルータと 2 つの内部ネットワーク(アプリケーション ネットワークと DB ネットワーク)間に配置された(イーストウェスト挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバーがある場合を示します。クラスタ メンバーは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバーは、内部および外部のアプリケーション ネットワークと DB ネットワークの両方にスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各サイトのゲートウェイ ルータは、HSRP などの FHRP を使用して、各サイトで同じ宛先の仮想 MAC アドレス と IP アドレスを提供します。予期せぬ MAC アドレスのフラッピングを避けるために推奨されている方法は、mac-address-table static outside_interface mac_address コマンドを使用して、ゲートウェイ ルータの実際の MAC アドレスを ASA MAC アドレス テーブルに静的に追加することです。これらのエントリがないと、サイト 1 のゲートウェイがサイト 2 のゲートウェイと通信する場合に、そのトラフィックが ASA を通過して、内部インターフェイスからサイト 2 に到達しようとして、問題が発生する可能性があります。データ VLAN は、オーバーレイ トランスポート仮想化(OTV)(または同様のもの)を使用してサイト間に拡張されます。トラフィックがゲートウェイ ルータ宛てである場合にトラフィックが DCI を通過して他のサイトに送信されないようにするには、フィルタを追加する必要があります。1 つのサイトのゲートウェイ ルータが到達不能になった場合、トラフィックが他のサイトのゲートウェイに送信されるようにフィルタを削除する必要があります。
vPC/VSS オプションについては、スパンド EtherChannel トランスペアレント モード ノースサウス サイト間の例を参照してください。
Cisco Firepower 4100/9300 シャーシは、単一ブレードで複数のサービス(ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションとサービスは、リンクされて、サービス チェーンを形成します。
現在サービスされているサービス チェーン コンフィギュレーションでは、サードパーティ製の Radware DefensePro 仮想プラットフォームを ASA ファイアウォールの手前、または Firepower Threat Defense の手前で実行するようにインストールできます。Radware DefensePro は、Firepower 4100/9300 シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。Firepower 4100/9300 シャーシでサービス チェーンが有効になると、ネットワークからのトラフィックは主要な ASA または Firepower Threat Defense ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
Radware DefensePro 仮想プラットフォームは、Radware vDP(仮想 DefensePro)、またはシンプルに vDP と呼ばれることがあります。Radware DefensePro 仮想プラットフォームは、リンク デコレータと呼ばれることもあります。
Radware DefensePro を Firepower 4100/9300 シャーシに導入する前に、etc/UTC タイムゾーンで NTP サーバを使用するように Firepower 4100/9300 シャーシを構成する必要があります。Firepower 4100/9300 シャーシの日付と時刻の設定の詳細については、日時の設定を参照してください。
Radware DefensePro プラットフォームは、Firepower 9300 セキュリティ アプライアンスのみでサポートされます。
Radware DefensePro プラットフォームは、次のセキュリティ アプライアンスの Firepower Threat Defense でサポートされます。
Firepower 9300
Firepower 4110:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4120:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4140
Firepower 4150
スタンドアロン ASA または Firepower Threat Defense 論理デバイスの前にある単一のサービス チェーンに Radware DefensePro をインストールするには、次の手順に従います。
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにダウンロードします(Firepower 4100/9300 シャーシ への論理デバイスのソフトウェア イメージのダウンロードを参照)。
Radware DefensePro アプリケーションを、シャーシ内クラスタ上のスタンドアロン構成で導入できます。シャーシ内クラスタリングについては、シャーシ内クラスタの Radware DefensePro サービス チェーンの設定を参照してください。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプを mgmt に設定してください。あるいは、アプリケーション管理インターフェイスを共有できます。 |
ステップ 2 | スタンドアロン構成で ASA または Firepower Threat Defense 論理デバイスを作成します(スタンドアロン ASA 論理デバイスの作成または脅威に対する防御用のスタンドアロン論理デバイスの作成を参照)。Firepower 4110 または 4120 セキュリティ アプライアンス上にイメージをインストールする場合には、設定をコミットする前に、vDP を Firepower Threat Defense イメージとともにインストールする必要があることに注意してください。 |
ステップ 3 | セキュリティ サービス モードに入ります。
Firepower# scopessa |
ステップ 4 | Radware vDP インスタンスを作成します。
Firepower /ssa # scope slot slot_id Firepower /ssa/slot # createapp-instance vdp Firepower /ssa/slot/app-instance* # exit Firepower /ssa/slot/* # exit |
ステップ 5 | 設定を確定します。
commit-buffer |
ステップ 6 | セキュリティ モジュールの vDP の設置とプロビジョニングを確認します。
Firepower /ssa # show app-instance 例: Firepower /ssa # show app-instance App Name Slot ID Admin State Oper State Running Version Startup Version Cluster State Cluster Role ---------- ---------- ----------- ---------------- --------------- --------------- --------------- ------------ ftd 1 Enabled Online 6.2.1.62 6.2.1.62 Not Applicable None vdp 1 Disabled Installing 8.10.01.16-5 Not Applicable None |
ステップ 7 | vDP アプリケーションがオンライン状態になった後、論理デバイスにアクセスします。
Firepower /ssa # scopelogical-device device_name |
ステップ 8 | vDP に管理インターフェイスを割り当てます。論理デバイスのものと同じ物理インターフェイスを使用することも、別のインターフェイスを使用することもできます。
Firepower /ssa/logical-device # enterexternal-port-link nameinterface_idvdp Firepower /ssa/logical-device/external-port-link* # exit |
ステップ 9 | vDP の外部管理インターフェイス設定を設定します。 |
ステップ 10 | ASA または Firepower Threat Defense フローの前に vDP を配置するデータ インターフェイスを編集します。
Firepower /ssa/logical-device* # scopeexternal-port-link name インターフェイス名を表示するには、show external-port-link コマンドを入力します。 |
ステップ 11 | 論理デバイスに vDP を追加します。
Firepower /ssa/logical-device/external-port-link* # setdecorator vdp vDP を使用するインターフェイスごとに手順を繰り返します。 |
ステップ 12 | サードパーティのアプリケーションがインターフェイスに設定されていることを確認します。
Firepower /ssa/logical-device/external-port-link* # show detail 例: Firepower /ssa/logical-device/external-port-link # show detail External-Port Link: Name: Ethernet11_ftd Port or Port Channel Name: Ethernet1/1 App Name: ftd Description: Link Decorator: vdp |
ステップ 13 | 設定を確定します。
commit-buffer |
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにダウンロードします(Firepower 4100/9300 シャーシ への論理デバイスのソフトウェア イメージのダウンロードを参照)。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプを mgmt に設定してください。あるいは、アプリケーション管理インターフェイスを共有できます。 | ||
ステップ 2 | ASA シャーシ内クラスタ(ASA クラスタリングの設定を参照)または Firepower Threat Defense シャーシ内クラスタ(Firepower Threat Defense クラスタリングの設定を参照)を設定します。 | ||
ステップ 3 | 外部(クライアント側)ポートを Radware DefensePro でデコレートします。
enter external-port-link name interface_name { asa | ftd} 設定 decoratorvdp 設定 description'''' exit | ||
ステップ 4 | 論理デバイスの外部管理ポートを割り当てます。
enter external-port-link { mgmt_asa | mgmt_ftd } interface_id { asa | ftd } 設定 decorator'''' 設定 description'''' exit | ||
ステップ 5 | DefensePro の外部管理ポートを割り当てます。
enter external-port-linkmgmt_vdp interface_name { asa | ftd } 設定 decorator'''' 設定 description'''' | ||
ステップ 6 | クラスタ ポート チャネルを設定します。
enter external-port-link port-channel48 Port-channel48 { asa | ftd } 設定 decorator'''' 設定 description'''' exit | ||
ステップ 7 | DefensePro の 3 つのすべてのインスタンスの管理ブートストラップを設定します。
enter mgmt-bootstrapvdp enter ipv4 slot_iddefault setgateway gateway_address setip ip_addressmask network_mask exit 例: enter mgmt-bootstrap vdp enter ipv4 1 default set gateway 172.16.0.1 set ip 172.16.4.219 mask 255.255.0.0 exit enter ipv4 2 default set gateway 172.16.0.1 set ip 172.16.4.220 mask 255.255.0.0 exit enter ipv4 3 default set gateway 172.16.0.1 set ip 172.16.4.221 mask 255.255.0.0 exit | ||
ステップ 8 | 管理ブートストラップ設定範囲を終了します。
exit | ||
ステップ 9 | マスター ブレードで、管理 IP を設定し、クラスタリングを有効にします。
deviceclusteringmanagement-channelip deviceclusteringmasterset management-channel ip deviceclusteringstatesetenable | ||
ステップ 10 | 設定を確定します。
commit-buffer
| ||
ステップ 11 | 以下のいずれかの方法で、「primary」と「secondary」の DefensePro インスタンスがどれであるかを確認します。 |
DefensePro アプリケーションがオンラインでもクラスタ化されていない場合は、CLI に次のように表示されます。
App Attribute: App Attribute Key: cluster-role Value: unknownこの「unknown」値が表示された場合は、vDP クラスタを作成するために、DefensePro アプリケーションを入力してマスター IP アドレスを設定する必要があります。
App Attribute: App Attribute Key: cluster-role Value: primary/secondary
scope ssa enter logical-device ld asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 1 set ipv4 gateway 172.16.0.1 set ipv4 pool 172.16.4.216 172.16.4.218 set ipv6 gateway 2010::2 set ipv6 pool 2010::21 2010::26 set key secret set mode spanned-etherchannel set name cisco set virtual ipv4 172.16.4.222 mask 255.255.0.0 set virtual ipv6 2010::134 prefix-length 64 exit enter external-port-link Ethernet1-2 Ethernet1/2 asa set decorator vdp set description "" exit enter external-port-link Ethernet1-3_asa Ethernet1/3 asa set decorator "" set description "" exit enter external-port-link mgmt_asa Ethernet1/1 asa set decorator "" set description "" exit enter external-port-link mgmt_vdp Ethernet1/1 vdp set decorator "" set description "" exit enter external-port-link port-channel48 Port-channel48 asa set decorator "" set description "" exit enter mgmt-bootstrap vdp enter ipv4 1 default set gateway 172.16.0.1 set ip 172.16.4.219 mask 255.255.0.0 exit enter ipv4 2 default set gateway 172.16.0.1 set ip 172.16.4.220 mask 255.255.0.0 exit enter ipv4 3 default set gateway 172.16.0.1 set ip 172.16.4.221 mask 255.255.0.0 exit exit commit-buffer scope ssa scope slot 1 scope app-instance vdp show app-attri App Attribute: App Attribute Key: cluster-role Value: unknown
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、APSolute Vision ユーザ ガイドの次の表を参照してください。
Ports for APSolute Vision Server-WBM Communication and Operating System
Communication Ports for APSolute Vision Server with Radware Devices
Radware APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、FXOS CLI を使用して vDP Web サービスを有効にする必要があります。
論理デバイスを削除したり、ASA をトランスペアレント モードに変換したり、インターフェイス コンフィギュレーションを変更したり、その他のタスクを既存の論理デバイスで実行することができます。
次の手順に従ってアプリケーションまたはデコレータのコンソールに接続します。
(注) | コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
Firepower# scope ssa Firepower /ssa # show logical-device Logical Device: Name Description Slot ID Mode Operational State Template Name ---------- ----------- ---------- ---------- ------------------------ ------------- FTD 1,2,3 Clustered Ok ftd Firepower /ssa # delete logical-device FTD Firepower /ssa* # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Disabled Stopping 6.0.0.837 6.0.0.837 Not Applicable ftd 2 Disabled Offline 6.0.0.837 6.0.0.837 Not Applicable ftd 3 Disabled Not Available 6.0.0.837 Not Applicable Firepower /ssa* # scope slot 1 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 2 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 3 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # commit-buffer
Firepower# scope ssa Firepower /ssa* # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ----------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Disabled Stopping 6.0.0.837 6.0.0.837 Not Applicable ftd 2 Disabled Offline 6.0.0.837 6.0.0.837 Not Applicable ftd 3 Disabled Not Available 6.0.0.837 Not Applicable Firepower /ssa* # scope slot 1 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 2 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # scope slot 3 Firepower /ssa/slot # delete app-instance ftd Firepower /ssa/slot* # exit Firepower /ssa* # commit-buffer
Firepower Threat Defense 論理デバイスでは、インターフェイスの割り当てや割り当て解除、を行うことができます。その後、Firepower Management Center でインターフェイス設定を同期できます。
インターフェイス プロパティの編集およびポートチャネルの作成に従ってインターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えることなく、Firepower Management Center での同期を必要とせずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトですべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、その後でデバイスに EtherChannel を割り当てることができます。
管理インターフェイスまたは Firepower イベント インターフェイスを置き換えるには、Firepower Chassis Manager を使用する必要があります。CLI はこの変更をサポートしていません。
クラスタリングや高可用性のためには、Firepower Management Center で設定を同期する前に、必ずすべてのユニットでインターフェイスを追加または削除してください。新しいインターフェイスは管理上ダウンした状態で追加されるため、インターフェイス モニタリングに影響を及ぼさないことに注意してください。
ASA 論理デバイスでは、管理インターフェイスの割り当て、割り当て解除、または置き換えを行うことができます。ASDM は、新しいインターフェイスを自動的に検出します。
インターフェイス プロパティの編集およびポートチャネルの作成に従って、インターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトですべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、その後でデバイスに EtherChannel を割り当てることができます。
クラスタリングやフェールオーバーでは、新しいインターフェイスが管理上ダウンした状態で追加されるので、インターフェイス モニタリングに影響を及ぼしません。