この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
論理デバイスを作成すると、Firepower 4100/9300 シャーシ スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール/エンジン(シャーシ内クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
[スタンドアロン(Standalone)]:Firepower シャーシに取り付けた各セキュリティ モジュール/エンジンに、スタンドアロン論理デバイスを作成できます。
[クラスタ(Cluster)]:クラスタリングを利用すると、複数のセキュリティ モジュールをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。Firepower 9300 などの複数のモジュール デバイスが、シャーシ内クラスタリングをサポートします。
![]() (注) | 複数のセキュリティ モジュールをサポートする Firepower 4100/9300 シャーシでは、1 つのタイプの論理デバイスのみ(スタンドアロンまたはクラスタ)を作成できます。つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。 |
![]() (注) | スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
Firepower Chassis Manager の [論理デバイス(Logical Devices)] ページを使用して、論理デバイスを作成、編集、削除します。 [論理デバイス(Logical Devices)] ページには、各 Firepower 4100/9300 シャーシセキュリティ モジュール/エンジンにインストールされている論理デバイスの情報エリアが含まれます。
各論理デバイス エリアのヘッダーには次の情報が含まれます。
論理デバイスの一意の名前。
セキュリティ モジュール/エンジンにインストールされているメイン アプリケーションの名前(ASA または FTD)。
論理デバイスのモード(スタンドアロンまたはクラスタ)。
[ステータス(Status)]:論理デバイスの状態を示します。
[ok]:論理デバイスの設定は完了しています。
[設定未完了(incomplete-configuration)]:論理デバイス設定は未完了です。
各論理デバイス エリアには次の情報が含まれます。
[セキュリティ モジュール(Security Module)]:セキュリティ モジュールを示します。
[ポート(Ports)]:アプリケーション インスタンスに割り当てられたポートを示します。
[アプリケーション(Application)]:セキュリティ モジュールで実行しているアプリケーションを示します。
[バージョン(Version)]:セキュリティ モジュールで実行しているアプリケーションのソフトウェア バージョン番号を示します。
![]() (注) | Firepower Threat Defense の論理デバイスへの更新は Firepower Management Center を使用して行います。Firepower Chassis Manager の および ページには反映されません。これらのページで、表示されるバージョンは、Firepower Threat Defense 論理デバイスを作成するために使用されたソフトウェア バージョン(CSP イメージ)を示します。 |
[管理 IP(Management IP)]:論理デバイス管理 IP として割り当てられているローカル IP アドレスを示します。
[管理 URL(Management URL)]:アプリケーション インスタンスに割り当てられている管理 URL を示します。
[ゲートウェイ(Gateway)]:アプリケーション インスタンスに割り当てられているネットワーク ゲートウェイ アドレスを示します。
[管理ポート(Management Port)]:アプリケーション インスタンスに割り当てられている管理ポートを示します。
[ステータス(Status)]:アプリケーション インスタンスの状態を示します。
[オンライン(Online)]:アプリケーションは実行中であり、動作しています。
[オフライン(Offline)]:アプリケーションは停止され、使用できません。
[インストール(Installing)]:アプリケーションのインストールを実行しています。
[未インストール(Not Installed)]:アプリケーションがインストールされていません。
[インストール失敗(Install Failed)]:アプリケーションのインストールに失敗しました。
[起動中(Starting)]:アプリケーションを起動しています。
[起動失敗(Start Failed)]:アプリケーションの起動に失敗しました。
[開始(Started)]:アプリケーションは正常に開始し、アプリケーション エージェントのハートビートを待機しています。
[停止中(Stopping)]:アプリケーションは停止処理中です。
[停止失敗(Stop Failed)]:アプリケーションをオフラインにできませんでした。
[応答していません(Not Responding)]:アプリケーションは応答不能です。
[更新中(Updating)]:アプリケーション ソフトウェアのアップグレードが進行中です。
[更新失敗(Update Failed)]:アプリケーション ソフトウェアのアップグレードに失敗しました。
[更新成功(Update Succeeded)]:アプリケーション ソフトウェアのアップグレードに成功しました。
Firepower シャーシに取り付けた各セキュリティ モジュール/エンジン用に、スタンドアロン論理デバイスを作成できます。
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
![]() (注) | 任意で、セキュリティ モジュールの ASA ファイアウォールの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
![]() (注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
Firepower 4100/9300 シャーシのルーテッド ファイアウォール モード ASA のみを導入できます。ASA をトランスペアレント ファイアウォール モードに変更するには、この手順を完了した後、「ASA をトランスペアレント ファイアウォール モードに変更する」を参照してください。
Firepower 4100/9300 シャーシ にインストールされたそれぞれのセキュリティ モジュール/エンジンにスタンドアロン論理デバイスを作成できます。FirePOWER 9300 などの複数のモジュールのデバイスでは、クラスタを設定している場合はスタンドアロン論理デバイスを作成できません。スタンドアロン デバイスを設定する前にクラスタを削除する必要があります。
![]() (注) | 任意で、セキュリティ モジュールの Firepower Threat Defense 論理デバイスの前に配置される DDoS 検出および緩和サービスとして、サードパーティ Radware 製の DefensePro の仮想プラットフォームをインストールできます(サービス チェーンについてを参照)。 |
![]() (注) | シャーシのすべてのモジュールに同じソフトウェア タイプをインストールする必要があります。異なるソフトウェア タイプは現在サポートされていません。モジュールは特定のデバイス タイプの異なるバージョンを実行できますが、すべてのモジュールを同じタイプの論理デバイスとして設定する必要があることに注意してください。 |
論理デバイスに使用するセキュリティ モジュール/エンジンに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、少なくとも 1 つのデータ型インターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。
クラスタリングを利用すると、複数のデバイスをグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。複数のモジュールを含む Firepower 9300 は、1 つのシャーシ内のすべてのモジュールをクラスタにグループ化する、シャーシ内クラスタリングをサポートします。複数のシャーシをまとめてグループ化する、シャーシ間クラスタリングも使用できます。シャーシ間クラスタリングは、Firepower 4100 シリーズなどの単一モジュール デバイスの唯一のオプションです。
クラスタは、1 つの論理ユニットとして機能する複数のデバイスから構成されます。クラスタを Firepower 4100/9300 シャーシ に展開すると、以下の処理が実行されます。
ユニット間通信用のクラスタ制御リンク(デフォルトではポート チャネル 48)を作成します。シャーシ内クラスタリングでは(Firepower 9300のみ)、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、シャーシ間通信用にこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。
アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ コンフィギュレーションが Firepower 4100/9300 シャーシ スーパバイザからプッシュされます。クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、アプリケーション内でユーザが設定できます。
スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。
シャーシ内クラスタリングでは、スパンド インターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。
![]() (注) | 管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
管理インターフェイスをクラスタ内のすべてのユニットに指定します。
ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタのメンバの 1 つがプライマリ ユニットになります。標準出荷単位は自動的に決定されます。他のすべてのメンバはセカンダリ単位です。
すべてのコンフィギュレーション作業は標準出荷単位でのみ実行する必要があります。コンフィギュレーションはその後、セカンダリ単位に複製されます。
クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。シャーシ内クラスタリングでは、このインターフェイスにメンバ インターフェイスはありません。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。このクラスタ タイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300 バックプレーンを使用します。
2 メンバー シャーシ間クラスタの場合、シャーシと別のシャーシとの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。
クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。
NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。
メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。
クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。
![]() (注) | クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。 |
次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の Firepower 4100/9300 シャーシ インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。
クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。
クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。
Firepower 4100/9300 シャーシは、シャーシ ID とスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイスの IP アドレスを自動生成します。この IP アドレスは、FXOS でもアプリケーション内でも手動で設定することはできません。クラスタ制御リンク ネットワークでは、ユニット間にルータを含めることはできません。レイヤ 2 スイッチングだけが許可されています。サイト間のトラフィックには、オーバーレイ トランスポート仮想化(OTV)を使用することを推奨します。
すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。
ASA の場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在の標準出荷単位に属します。アドレス範囲も設定して、現在の標準出荷単位を含む各単位がその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。標準出荷単位が変更されると、メイン クラスタ IP アドレスは新しい標準出荷単位に移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在の標準出荷単位に関連付けられています。個々のメンバーを管理するには、ローカル IP アドレスに接続します。TFTP や syslog などの発信管理トラフィックの場合、標準出荷単位を含む各単位は、ローカル IP アドレスを使用してサーバに接続します。
Firepower Threat Defense では、同じネットワークの各単位に管理 IP アドレスを割り当てます。各単位を Management Centerに追加するときは、次の IP アドレスを使用します。
シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはブリッジ グループ メンバのインターフェイスではなく BVI に割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。
各クラスタ シャーシを、個別のサイト ID に属するように設定できます。
サイト ID は、サイト固有の MAC アドレスおよび IP アドレスと連動します。クラスタから送信されたパケットは、サイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。この機能により、スイッチが 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスを学習してしまうのを防いでいます。MAC フラッピングが発生しないよう、サイト MAC アドレスのみを学習します。サイト固有の MAC アドレスおよび IP アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされます。
また、サイト ID は LISP インスペクションおよびディレクタ ローカリゼーションを使用してフロー モビリティを有効にして、パフォーマンスを高め、データセンターのサイト間クラスタリングで発生するラウンドトリップ時間の遅延を短縮するためにも使用されます。
サイト間クラスタリングの詳細については、以下の項を参照してください。
Data Center Interconnect のサイジング:クラスタリングの前提条件
サイト間のガイドライン:クラスタリングに関するガイドライン
サイト間の例:サイト間クラスタリングの例
Firepower 4100 シリーズ:すべてのシャーシが同じモデルである必要があります。Firepower 9300:すべてのセキュリティ モジュールは同じタイプである必要があります。空のスロットを含め、シャーシ内にあるすべてのモジュールはクラスタに属している必要がありますが、各シャーシに設置されているセキュリティ モジュールの数はさまざまでかまいません。
同じ管理インターフェイス、EtherChannel、アクティブ インターフェイス、速度、デュプレックスなど、クラスタに割り当てるインターフェイスについても同じインターフェイスの設定を含める必要があります。同じインターフェイス ID の容量が一致し、同じスパンド EtherChannel にインターフェイスを正常にバンドルできれば、シャーシに異なるネットワーク モジュール タイプを使用できます。シャーシ間クラスタリングのすべてのデータ インターフェイスが EtherChannel であることに注意してください。
同じ NTP サーバを使用する必要があります。また、Firepower Threat Defense の場合、Firepower Management Center は同じ NTP サーバを使用する必要があります。時間を手動で設定しないでください。
ASA:各 FXOS シャーシは、ライセンス認証局またはサテライト サーバに登録されている必要があります。セカンダリ ユニットは追加料金なしで使用できます。永続ライセンスを予約するには、シャーシごとに別個のライセンスを購入する必要があります。Firepower Threat Defense では、すべてのライセンスは Firepower Management Center で処理されます。
Firepower 4100/9300 シャーシでクラスタリングを設定する前に、必ずスイッチの設定を完了し、シャーシからのすべての EtherChannel をスイッチに正常に接続してください。
サポートされているスイッチのリストについては、「Cisco FXOS Compatibility」を参照してください。
次の計算と同等の帯域幅をクラスタ制御リンク トラフィック用に Data Center Interconnect(DCI)に確保する必要があります。
メンバーの数が各サイトで異なる場合、計算には大きい方の値を使用します。DCI の最小帯域幅は、1 つのメンバーに対するクラスタ制御リンクのサイズ未満にすることはできません。
Firepower 9300 の ASA:シャーシ内、シャーシ間、およびサイト間のクラスタリングでサポート。
Firepower 4100 シリーズ の ASA:シャーシ間およびシャーシ内クラスタリングでサポート。
Firepower 9300 の Firepower Threat Defense:シャーシ内およびシャーシ間クラスタリングでサポート。
Firepower 4100 シリーズ の Firepower Threat Defense:シャーシ間クラスタリングでサポート。
Radware DefensePro:ASA によるシャーシ内クラスタリングでサポート。
Radware DefensePro:Firepower Threat Defense によるシャーシ内クラスタリングでサポート。
ASR 9006 でデフォルト以外の MTU を設定する場合は、クラスタ デバイスの MTU よりも 14 バイト大きい ASR インターフェイス MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。クラスタ デバイスの MTU と ASR IPv4 MTU を一致させる必要があることに注意してください。
クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。
スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないことに注意してください。そのため、クラスタリングで ISSU を使用することは推奨されません。
スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタ内のデバイスへのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、vlan キーワードを使用しないでください。
スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。
クラスタ制御リンク パスのスイッチでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。
Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、クラスタ デバイスに接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。
router(config)# port-channel idhash-distributionfixed
スイッチ接続用に、EtherChannel モードをアクティブに設定します。クラスタ制御リンクであっても、Firepower 4100/9300 シャーシではオン モードはサポートされません。
FXOS EtherChannel にはデフォルトで [標準(normal)] に設定されている LACP レートがあります。この設定ではポート チャネル メンバのバンドルに 30 秒以上かけるように設定できますが、これによりクラスタ ユニット クラスタのヘルスチェックが失敗し、ユニットがクラスタから削除されることがあります。LACP レートを [高速(fast)] に変更することを推奨します。 次に、「デフォルトの」lacp ポリシーを変更する例を示します。
firepower# scope org firepower /org # scope lacppolicy default firepower /org/lacppolicy# set lacp-rate fast firepower /org* # commit-buffer
![]() (注) | Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないため、クラスタリングで ISSU を使用することは推奨されません。 |
15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0(無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。
スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。
スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。
デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。
クラスタ制御リンクはポート チャネル 48 を使用します。
クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
Firepower 4100/9300 シャーシからルーテッド ファイアウォール モードの ASA クラスタのみを導入できます。ASA クラスタをトランスペアレント ファイアウォール モードに変更するには、この手順を完了した後、ASA をトランスペアレント ファイアウォール モードに変更するを参照してください。
ステップ 1 | クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 シャーシ間クラスタリングでは、全データ インターフェイスは 1 つ以上のメンバ インターフェイスを持つ EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。
シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。 |
ステップ 3 | シャーシ間クラスタリングでは、ポート チャネル 48 にメンバ インターフェイスを追加し、クラスタ制御リンクとして使用します。
メンバ インターフェイスを含めないと、論理デバイスを展開したときに、Firepower Chassis Managerでこのクラスタがシャーシ内クラスタとみなされ、[シャーシ ID(Chassis ID)] フィールドが表示されません。各シャーシに同じメンバ インターフェイスを追加します。 |
ステップ 4 | [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 |
ステップ 5 | [デバイスの追加(Add Device)] をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。
既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。 |
ステップ 6 | [デバイス名(Device Name)] に論理デバイスの名前を入力します。この名前はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 4100/9300 シャーシ のスーパバイザが使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 |
ステップ 7 | [テンプレート(Template)] には、[Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)] を選択します。 |
ステップ 8 | [イメージ バージョン(Image Version)] には、ASA ソフトウェアのバージョンを選択します。 |
ステップ 9 | [デバイス モード(Device Mode)] では、[クラスタ(Cluster)] オプション ボタンをクリックします。 |
ステップ 10 | [新しいクラスタの作成(Create a new cluster)] オプション ボタンをクリックします。 |
ステップ 11 | [OK] をクリックします。
スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。[プロビジョニング - デバイス名(Provisioning - device name)] ウィンドウが表示されます。 デフォルトでは、すべてのインターフェイスがクラスタに割り当てられます。 |
ステップ 12 | 画面中央のデバイス アイコンをクリックします。
[ASA の設定(ASA Configuration)] ダイアログボックスが、[クラスタ情報(Cluster Information)] タブが選択された状態で表示されます。 |
ステップ 13 | [シャーシ ID(Chassis ID)] フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。 |
ステップ 14 | サイト間クラスタリングの場合、[サイト ID(Site ID)] フィールドに、このシャーシのサイト ID を 1 ~ 8 の範囲で入力します。 |
ステップ 15 | [クラスタ キー(Cluster Key)] フィールドで、クラスタ制御リンクの制御トラフィック用の認証キーを設定します。
共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 16 | [クラスタ グループ名(Cluster Group Name)] を設定します。これは、セキュリティ モジュール設定内のクラスタ グループです。
名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 17 | [管理インターフェイス(Management Interface)] をクリックし、以前に作成した管理インターフェイスを選択します。 |
ステップ 18 | 管理インターフェイスの [アドレス タイプ(Address Type)] を選択します。
この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 |
ステップ 19 | [設定(Settings)] タブの [パスワード(Password)] に、「admin」ユーザのパスワードを入力します。 |
ステップ 20 | [OK] をクリックして [ASA の設定(ASA Configuration)] ダイアログボックスを閉じます。 |
ステップ 21 | [保存(Save)] をクリックします。
Firepower 4100/9300 シャーシ スーパバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを展開します。 |
ステップ 22 | シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。 |
ステップ 23 | 標準出荷単位セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。展開を容易にするために、1 つのシャーシにクラスタを展開し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。
モジュールがインストールされていない場合でも、Firepower 9300 シャーシの 3 つすべてのモジュール スロットでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。
[インターフェイス(Interfaces)] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(failed)] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。
次の例では、内部ルータと外部ルータの間に配置された(ノースサウス挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバーがある場合を示します。クラスタ メンバーは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバーは、内部および外部のスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各データセンターの内部ルータと外部ルータは OSPF を使用し、トランスペアレント ASA を通過します。MAC とは異なり、ルータの IP はすべてのルータで一意です。DCI に高コスト ルートを割り当てることにより、特定のサイトですべてのクラスタ メンバーがダウンしない限り、トラフィックは各データセンター内に維持されます。クラスタが非対称型の接続を維持するため、ASA を通過する低コストのルートは、各サイトで同じブリッジ グループを横断する必要があります。1 つのサイトのすべてのクラスタ メンバーに障害が発生した場合、トラフィックは各ルータから DCI 経由で他のサイトのクラスタ メンバーに送られます。
各サイトのスイッチの実装には、次のものを含めることができます。
サイト間 VSS/vPC:このシナリオでは、データセンター 1 に 1 台のスイッチをインストールし、データセンター 2 に別のスイッチをインストールします。1 つのオプションとして、各データセンターのクラスタ ユニットはローカル スイッチだけに接続し、VSS/vPC トラフィックは DCI を経由します。この場合、接続のほとんどの部分は各データセンターに対してローカルに維持されます。オプションとして、DCI が余分なトラフィック量を処理できる場合、各ユニットを DCI 経由で両方のスイッチに接続できます。この場合、トラフィックは複数のデータセンターに分散されるため、DCI を非常に堅牢にするためには不可欠です。
各サイトのローカル VSS/vPC:スイッチの冗長性を高めるには、各サイトに 2 つの異なる VSS/vPC ペアをインストールできます。この場合、クラスタ ユニットは、両方のローカル スイッチだけに接続されたデータセンター 1 のシャーシおよびこれらのローカル スイッチに接続されたデータセンター 2 のシャーシとはスパンド EtherChannel を使用しますが、スパンド EtherChannel は基本的に「分離」しています。各ローカル VSS/vPC は、スパンド EtherChannel をサイトローカルの EtherChannel として認識します。
次の例では、各サイトのゲートウェイ ルータと 2 つの内部ネットワーク(アプリケーション ネットワークと DB ネットワーク)間に配置された(イーストウェスト挿入)2 つのデータセンターのそれぞれに 2 つのクラスタ メンバーがある場合を示します。クラスタ メンバーは、DCI 経由のクラスタ制御リンクによって接続されています。各サイトのクラスタ メンバーは、内部および外部のアプリケーション ネットワークと DB ネットワークの両方にスパンド EtherChannels を使用してローカル スイッチに接続します。各 EtherChannel は、クラスタ内のすべてのシャーシにスパンされます。
各サイトのゲートウェイ ルータは、HSRP などの FHRP を使用して、各サイトで同じ宛先の仮想 MAC アドレス と IP アドレスを提供します。予期せぬ MAC アドレスのフラッピングを避けるために推奨されている方法は、、ゲートウェイ ルータの実際の MAC アドレスを ASA MAC アドレス テーブルに静的に追加することです。これらのエントリがないと、サイト 1 のゲートウェイがサイト 2 のゲートウェイと通信する場合に、そのトラフィックが ASA を通過して、内部インターフェイスからサイト 2 に到達しようとして、問題が発生する可能性があります。データ VLAN は、オーバーレイ トランスポート仮想化(OTV)(または同様のもの)を使用してサイト間に拡張されます。トラフィックがゲートウェイ ルータ宛てである場合にトラフィックが DCI を通過して他のサイトに送信されないようにするには、フィルタを追加する必要があります。1 つのサイトのゲートウェイ ルータが到達不能になった場合、トラフィックが他のサイトのゲートウェイに送信されるようにフィルタを削除する必要があります。
vPC/VSS オプションについては、スパンド EtherChannel トランスペアレント モード ノースサウス サイト間の例を参照してください。
Firepower 9300 シャーシ内のすべての ASA セキュリティ モジュールをクラスタ化できるようになりました。 |
||
6 つの ASA モジュールのシャーシ間クラスタリング |
1.1.3 |
ASA のシャーシ間クラスタリングが実現されました。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。 次の画面が変更されました。 |
Firepower 9300 の Firepower Threat Defense でのシャーシ内クラスタリング サポート |
1.1.4 |
Firepower 9300 が Firepower Threat Defense アプリケーションでシャーシ内クラスタリングをサポートするようになりました。 次の画面が変更されました。 |
Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改善 |
2.1.1 |
ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は ASA アプリケーション内でサイト ID を設定する必要がありました。この新しい機能は、初期導入を簡単にします。ASA 構成内でサイト ID を設定できなくなったことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。 次の画面が変更されました。 |
6 つの Firepower Threat Defense モジュールのシャーシ間クラスタリング |
2.1.1 |
Firepower Threat Defense のシャーシ間クラスタリングが実現されました。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。 次の画面が変更されました。 |
Cisco Firepower 4100/9300 シャーシは、単一ブレードで複数のサービス(ファイアウォール、サードパーティの DDoS アプリケーションなど)をサポートできます。これらのアプリケーションとサービスは、リンクされて、サービス チェーンを形成します。
現在サービスされているサービス チェーン コンフィギュレーションでは、サードパーティ製の Radware DefensePro 仮想プラットフォームを ASA ファイアウォールの手前、または Firepower Threat Defense の手前で実行するようにインストールできます。Radware DefensePro は、Firepower 4100/9300 シャーシに分散型サービス妨害(DDoS)の検出と緩和機能を提供する KVM ベースの仮想プラットフォームです。Firepower 4100/9300 シャーシでサービス チェーンが有効になると、ネットワークからのトラフィックは主要な ASA または Firepower Threat Defense ファイアウォールに到達する前に DefensePro 仮想プラットフォームを通過する必要があります。
Radware DefensePro 仮想プラットフォームは、Radware vDP(仮想 DefensePro)、またはシンプルに vDP と呼ばれることがあります。Radware DefensePro 仮想プラットフォームは、リンク デコレータと呼ばれることもあります。
Radware DefensePro を Firepower 4100/9300 シャーシに導入する前に、etc/UTC タイムゾーンで NTP サーバを使用するように Firepower 4100/9300 シャーシを構成する必要があります。Firepower 4100/9300 シャーシの日付と時刻の設定の詳細については、日時の設定を参照してください。
Radware DefensePro プラットフォームは、Firepower 9300 セキュリティ アプライアンスのみでサポートされます。
Radware DefensePro プラットフォームは、次のセキュリティ アプライアンスの Firepower Threat Defense でサポートされます。
Firepower 9300
Firepower 4110:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4120:論理デバイスと同時にデコレータを導入する必要があります。デバイスにすでに論理デバイスが設定された後で、デコレータをインストールすることはできません。
Firepower 4140
Firepower 4150
スタンドアロン ASA または Firepower Threat Defense 論理デバイスの前にある単一のサービス チェーンに Radware DefensePro をインストールするには、次の手順に従います。
![]() (注) | Firepower 4120 または 4140 セキュリティ アプライアンス上で ASA の前に Radware vDP をインストールする場合、FXOS CLI を使用してデコレータを展開する必要があります。Radware DefensePro を、Firepower 4100 デバイス上で ASA の前にあるサービス チェーンにインストールして設定する方法の詳細な CLI 手順については、『FXOS CLI Configuration Guide』を参照してください。 |
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
Radware DefensePro アプリケーションを、シャーシ内クラスタ上のスタンドアロン構成で導入できます。シャーシ内クラスタリングについては、シャーシ内クラスタの Radware DefensePro サービス チェーンの設定を参照してください。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプを mgmt に設定してください。あるいは、アプリケーション管理インターフェイスを共有できます。 |
ステップ 2 | [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが表示されます。 |
ステップ 3 | スタンドアロン ASA または Firepower Threat Defense 論理デバイスを作成します(スタンドアロン ASA 論理デバイスの作成または脅威に対する防御用のスタンドアロン論理デバイスの作成を参照)。 |
ステップ 4 | [デコレータ(Decorators)] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - 設定(Radware: Virtual DefensePro - Configuration)] ウィンドウが表示されます。[一般情報(General Information)] タブで、次のフィールドを設定します。 |
ステップ 5 | Firepower 4100/9300 シャーシ に複数の vDP バージョンをアップロードしている場合は、[バージョン(Version)] ドロップダウンから使用するバージョンを選択します。 |
ステップ 6 | [管理インターフェイス(Management Interface)] ドロップダウンで、この手順のステップ 1 で作成した管理インターフェイスを選択します。 |
ステップ 7 | デフォルトの [アドレス タイプ(Address Type)]([IPv4 のみ(IPv4 only)]、[IPv6 のみ(IPv6 only)]、または [IPv4 および IPv6(IPv4 and IPv6)])を選択します。 |
ステップ 8 | 前のステップで選択した [アドレス タイプ(Address Type)] に基づいて次のフィールドを設定します。 |
ステップ 9 | デバイスに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 10 | [OK] をクリックします。 |
ステップ 11 | [保存(Save)] をクリックします。
Firepower eXtensible Operating System は、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
Radware DefensePro イメージをインストールして ASA または Firepower Threat Defense シャーシ内クラスタの前にサービス チェーンを設定するには、次の手順に従います。
vDP イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシにアップロードします(Firepower セキュリティ アプライアンスへのイメージのアップロードを参照)。
ステップ 1 | vDP で別の管理インターフェイスを使用する場合は、インターフェイス プロパティの編集に従ってインターフェイスを有効にし、そのタイプを mgmt に設定してください。あるいは、アプリケーション管理インターフェイスを共有できます。 |
ステップ 2 | ASA または Firepower Threat Defense シャーシ内クラスタを設定します(ASA クラスタリングの設定またはFirepower Threat Defense クラスタリングの設定を参照)。
シャーシ内クラスタを設定する手順の最後で [保存(Save)] をクリックする前に、以下のステップに従ってクラスタに vDP デコレータを追加しておく必要があります。 |
ステップ 3 | [デコレータ(Decorators)] 領域で、[vDP] を選択します。[Radware: Virtual DefensePro - 設定(Radware: Virtual DefensePro - Configuration)] ダイアログボックスが表示されます。[一般情報(General Information)] タブで、次のフィールドを設定します。 |
ステップ 4 | Firepower 4100/9300 シャーシ に複数の vDP バージョンをアップロードした場合は、使用する vDP バージョンを [バージョン(Version)] ドロップダウンで選択します。 |
ステップ 5 | [管理インターフェイス(Management Interface)] ドロップダウンで、管理インターフェイスを選択します。 |
ステップ 6 | vDP デコレータに割り当てる各データ ポートの横にあるチェックボックスをクリックします。 |
ステップ 7 | [インターフェイス情報(Interface Information)] タブをクリックします。 |
ステップ 8 | 使用する [アドレス タイプ(Address Type)]([IPv4 のみ(IPv4 only)]、[IPv6 のみ(IPv6 only)]、または [IPv4 および IPv6(IPv4 and IPv6)])を選択します。 |
ステップ 9 | 各セキュリティ モジュールで、次のフィールドを設定します。表示されるフィールドは、前のステップで選択した [アドレス タイプ(Address Type)] により異なります。 |
ステップ 10 | [OK] をクリックします。 |
ステップ 11 | [保存(Save)] をクリックします。
Firepower eXtensible Operating System は、指定したソフトウェア バージョンをダウンロードし、指定したセキュリティ モジュールにブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。 |
ステップ 12 | [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。 |
ステップ 13 | 設定された論理デバイスのリストをスクロールして vDP のエントリを表示します。[管理 IP(Management IP)] 列にリストされている属性を確認します。 |
Radware APSolute Vision Manager インターフェイスは、さまざまな UDP/TCP ポートを使用して Radware vDP のアプリケーションと通信します。vDP のアプリケーション が APSolute Vision Manager と通信するために、これらのポートがアクセス可能でありファイアウォールによってブロックされないことを確認します。オープンする特定のポートの詳細については、APSolute Vision ユーザ ガイドの次の表を参照してください。
Ports for APSolute Vision Server-WBM Communication and Operating System
Communication Ports for APSolute Vision Server with Radware Devices
Radware APSolute Vision で FXOS シャーシ内に配置される Virtual DefensePro アプリケーションを管理するために、FXOS CLI を使用して vDP Web サービスを有効にする必要があります。
論理デバイスを削除したり、ASA をトランスペアレント モードに変換したり、インターフェイス コンフィギュレーションを変更したり、その他のタスクを既存の論理デバイスで実行することができます。
次の手順に従ってアプリケーションまたはデコレータのコンソールに接続します。
![]() (注) | コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
ステップ 1 | [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 |
ステップ 2 | 削除する論理デバイスの [削除(Delete)] をクリックします。 |
ステップ 3 | [はい(Yes)] をクリックして、この論理デバイスを削除することを確認します。 |
ステップ 4 | [はい(Yes)] をクリックして、このアプリケーション設定を削除することを確認します。 |
ステップ 1 | [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。
[論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。論理デバイスのリストの下に、論理デバイスに関連付けられていないアプリケーション インスタンスのリストが表示されます。 |
ステップ 2 | 削除するアプリケーション インスタンスの [削除(Delete)] をクリックします。 |
ステップ 3 | [はい(Yes)] をクリックして、このアプリケーション インスタンスを削除することを確認します。 |
Firepower 4100/9300 シャーシのルーテッド ファイアウォール モード ASA のみを導入できます。ASA をトランスペアレント ファイアウォール モードに変更するには、初期導入を完了し、ASA CLI 内でファイアウォール モードを変更します。ファイアウォール モードを変更すると設定が消去されるため、Firepower 4100/9300 シャーシから設定を再導入して、ブートストラップ設定を回復する必要があります。ASA はトランスペアレント モードのままで、ブートストラップ設定が機能した状態になります。
ステップ 1 | アプリケーションまたはデコレータのコンソールへの接続に従って、ASA コンソールに接続します。クラスタの場合、プライマリ ユニットに接続します。フェールオーバー ペアの場合、アクティブ ユニットに接続します。 |
ステップ 2 | コンフィギュレーション モードを開始します。
enable configure terminal デフォルトでは、イネーブル パスワードは空白です。 |
ステップ 3 | ファイアウォール モードをトランスペアレントに設定します。
firewall transparent |
ステップ 4 | 設定を保存します。
write memory クラスタまたはフェールオーバー ペアの場合、この設定はセカンダリ ユニットに複製されます。 asa(config)# firewall transparent asa(config)# write memory Building configuration... Cryptochecksum: 9f831dfb 60dffa8c 1d939884 74735b69 3791 bytes copied in 0.160 secs [OK] asa(config)# Beginning configuration replication to Slave unit-1-2 End Configuration Replication to slave. asa(config)# |
ステップ 5 | Firepower Chassis Manager の [論理デバイス(Logical Devices)] ページで、[編集(Edit)] アイコンをクリックして ASA を編集します。
[プロビジョニング(Provisioning)] ページが表示されます。 |
ステップ 6 | デバイスのアイコンをクリックして、ブートストラップ設定を編集します。設定の値を変更し、[OK] をクリックします。
1 つ以上のフィールドの値を変更する必要があります。[パスワード(Password)] を新しいパスワードに変更することを推奨します(この設定は重要ではありません)。 ブートストラップ設定の変更に関する警告が表示されます。[はい(Yes)] をクリックします。 |
ステップ 7 | [保存(Save)] をクリックして、ASA に設定を再導入します。シャーシ間クラスタまたはフェールオーバー ペアの場合、各シャーシでステップ 5 ~ 7 を繰り返してブートストラップ設定を再導入します。
シャーシ/セキュリティ モジュールがリロードし、ASA が再度稼働するまで数分待ちます。これで、ASA ではブートストラップ設定が動作可能になりますが、トランスペアレント モードのままです。 |
Firepower Threat Defense 論理デバイスでは、インターフェイスの割り当てや割り当て解除、または管理インターフェイスの置き換えを行うことができます。その後、Firepower Management Center でインターフェイス設定を同期できます。
インターフェイス プロパティの編集およびポートチャネルの作成に従ってインターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えることなく、Firepower Management Center での同期を必要とせずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトですべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、その後でデバイスに EtherChannel を割り当てることができます。
管理インターフェイスまたは Firepower イベント インターフェイスを管理 EtherChannel に置き換えるには、未割り当てのデータ メンバー インターフェイスが少なくとも 1 つある EtherChannel を作成し、現在の管理インターフェイスをその EtherChannel に置き換える必要があります。Firepower Threat Defense デバイスがリブートした後(管理インターフェイスを変更するとリブートします)、Firepower Management Center で設定を同期すると、(現在未割り当ての)管理インターフェイスを EtherChannel に追加することもできます。
クラスタリングや高可用性のためには、Firepower Management Center で設定を同期する前に、必ずすべてのユニットでインターフェイスを追加または削除してください。新しいインターフェイスは管理上ダウンした状態で追加されるため、インターフェイス モニタリングに影響を及ぼさないことに注意してください。
ステップ 1 | Firepower Chassis Manager で、[論理デバイス(Logical Devices)] を選択します。 |
ステップ 2 | 右上にある [編集(Edit)] アイコンをクリックして、その論理デバイスを編集します。 |
ステップ 3 | [データ ポート(Data Ports)] 領域でデータ インターフェイスの選択を解除して、そのインターフェイスの割り当てを解除します。 |
ステップ 4 | [データ ポート(Data Ports)] 領域で新しいデータ インターフェイスを選択して、そのインターフェイスを割り当てます。 |
ステップ 5 | 次のように、管理インターフェイスまたはイベント インターフェイスを置き換えます。
これらのタイプのインターフェイスでは、変更を保存するとデバイスがリブートします。
管理インターフェイスの IP アドレスを変更した場合は、Firepower Management Center でデバイスの IP アドレスを変更する必要もあります。 と移動します。[管理(Management)] 領域で、ブートストラップ設定アドレスと一致するように IP アドレスを設定します。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | Firepower Management Center にログインします。 |
ステップ 8 | Firepower Threat Defense デバイスの編集アイコン(![]() |
ステップ 9 | [インターフェイス(Interfaces)] タブの左上にある [デバイスからインターフェイスを同期(Sync Interfaces from device)] ボタンをクリックします。 |
ステップ 10 | [保存(Save)] をクリックします。
これで、[展開(Deploy)] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。 |
ASA 論理デバイスでは、管理インターフェイスの割り当て、割り当て解除、または置き換えを行うことができます。ASDM は、新しいインターフェイスを自動的に検出します。
インターフェイス プロパティの編集およびポートチャネルの作成に従って、インターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには(たとえば、デフォルトですべてのインターフェイスがクラスタに割り当てられます)、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、その後でデバイスに EtherChannel を割り当てることができます。
管理インターフェイスを管理 EtherChannel に置き換えるには、未割り当てのデータ メンバー インターフェイスが少なくとも 1 つある EtherChannel を作成し、現在の管理インターフェイスをその EtherChannel に置き換える必要があります。ASA がリロードした後(管理インターフェイスを変更するとリロードします)、(現在未割り当ての)管理インターフェイスを EtherChannel に追加することもできます。
クラスタリングやフェールオーバーでは、新しいインターフェイスが管理上ダウンした状態で追加されるので、インターフェイス モニタリングに影響を及ぼしません。
ステップ 1 | Firepower Chassis Manager で、[論理デバイス(Logical Devices)] を選択します。 |
ステップ 2 | 右上にある [編集(Edit)] アイコンをクリックして、その論理デバイスを編集します。 |
ステップ 3 | [データ ポート(Data Ports)] 領域でデータ インターフェイスの選択を解除して、そのインターフェイスの割り当てを解除します。 |
ステップ 4 | [データ ポート(Data Ports)] 領域で新しいデータ インターフェイスを選択して、そのインターフェイスを割り当てます。 |
ステップ 5 | 次のように、管理インターフェイスを置き換えます。
このタイプのインターフェイスでは、変更を保存するとデバイスがリロードします。
|
ステップ 6 | [保存(Save)] をクリックします。 |