のマルチインスタンス機能の使用 Firepower 4100/9300

マルチインスタンス機能を使用すると、 セキュリティモジュール/エンジンのリソースのサブセットを使用するコンテナ インスタンスを実行できます。マルチインスタンス機能は、Firepower Threat Defense でのみサポートされています。ASA ではサポートされていません。


(注)  

マルチインスタンス クラスタリングについては、『Firepower Threat Defense でのクラスタの展開』またはFXOS のコンフィギュレーション ガイドを参照してください。



(注)  

本書では、最新の FXOS バージョン機能について網羅しています。機能の変更の詳細については、マルチインスタンス機能の履歴 を参照してください。古いバージョンがインストールされている場合は、ご使用のバージョンの『FXOS 設定ガイド』の手順を参照してください。


マルチインスタンス機能について

Firepower シャーシには、スーパバイザと、論理デバイスをインストールできる最大 3 つのセキュリティ モジュールが含まれています。論理デバイスを使用すると、1 つのアプリケーション インスタンス(Firepower Threat Defenseまたは ASA)を実行できます。論理デバイスを追加するときに、アプリケーション インスタンスのタイプおよびバージョンの定義、インターフェイスの割り当て、アプリケーション構成にプッシュされるブートス トラップ設定の構成も行います。アプリケーション タイプは、1 つのインスタンス(ネイティブ)または複数のインスタンス(コンテナ)を実行できるかどうかを決定します。

論理デバイスのアプリケーション インスタンス:コンテナとネイティブ

アプリケーション インスタンスは次の展開タイプで実行します。

  • ネイティブ インスタンス:ネイティブ インスタンスはセキュリティモジュール/エンジンのすべてのリソース(CPU、RAM、およびディスク容量)を使用するため、ネイティブ インスタンスを 1 つだけインストールできます。

  • コンテナ インスタンス:コンテナ インスタンスでは、セキュリティモジュール/エンジンのリソースのサブセットを使用するため、複数のコンテナ インスタンスをインストールできます。マルチインスタンス機能は、FMC を使用する Firepower Threat Defense でのみサポートされています。ASA または FDM を使用する FTD ではサポートされていません。


    (注)  

    マルチインスタンス機能は、実装は異なりますが、ASA マルチ コンテキスト モードに似ています。マルチ コンテキスト モードでは、単一のアプリケーション インスタンスがパーティション化されますが、マルチインスタンス機能では、独立したコンテナ インスタンスを使用できます。コンテナ インスタンスでは、ハード リソースの分離、個別の構成管理、個別のリロード、個別のソフトウェア アップデート、および Firepower Threat Defense のフル機能のサポートが可能です。マルチ コンテキスト モードでは、共有リソースのおかげで、特定のプラットフォームでより多くのコンテキストをサポートできます。マルチ コンテキスト モードは Firepower Threat Defense では利用できません。


Firepower 9300 の場合、一部のモジュールでネイティブ インスタンスを使用し、他のモジュールではコンテナ インスタンスを使用することができます。

コンテナ インスタンス インターフェイス

コンテナ インターフェイスでの柔軟な物理インターフェイスの使用を可能にするため、FXOS で VLAN サブインターフェイスを作成し、複数のインスタンス間でインターフェイス(VLAN または物理)を共有することができます。ネイティブのインスタンスは、VLAN サブインターフェイスまたは共有インターフェイスを使用できません。 マルチインスタンスクラスタは、クラスタ制御リンクまたは共有インターフェイスを除き、VLAN サブインターフェイスを使用できません。共有インターフェイスの拡張性およびコンテナ インスタンスの VLAN サブインターフェイスの追加を参照してください。

インターフェイス タイプ

各インターフェイスは、次のいずれかのタイプになります。

  • Data:通常のデータに使用します。データインターフェイスを論理デバイス間で共有することはできません。また、論理デバイスからバックプレーンを介して他の論理デバイスに通信することはできません。データインターフェイスのトラフィックの場合、別の論理デバイスに到達するためには、すべてのトラフィックが 1 つのインターフェイス上のシャーシから出て、別のインターフェイスに戻る必要があります。

  • Data-sharing:通常のデータに使用します。コンテナインスタンスでのみサポートされ、これらのデータインターフェイスは 1 つまたは複数の論理デバイス/コンテナインスタンス(FTD-using-FMC 専用)で共有できます。各コンテナ インスタンスは、このインターフェイスを共有する他のすべてのインスタンスと、バック プレーン経由で通信できます。共有インターフェイスは、展開可能なコンテナインスタンスの数に影響を及ぼすことがあります。共有インターフェイスの拡張性を参照してください。共有インターフェイスは、ブリッジ グループ メンバー インターフェイス(トランスペアレントモードまたはルーテッドモード)、インラインセット、パッシブインターフェイス、クラスタ、またはフェールオーバーリンクではサポートされません。

  • Mgmt:アプリケーション インスタンスの管理に使用します。これらのインターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスが、このインターフェイスを介して、インターフェイスを共有する他の論理デバイスと通信することはできません。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。

  • Firepower-eventing:FTD-using-FMC デバイスのセカンダリ管理インターフェイスとして使用します。このインターフェイスを使用するには、FTD CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。Firepower-eventing インターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介してインターフェイスを共有する他の倫理デバイスと通信することはできません。

  • Cluster:クラスタ化された論理デバイスのクラスタ制御リンクとして使用します。デフォルトでは、クラスタ制御リンクは 48 番のポートチャネル上に自動的に作成されます。クラスタタイプは、EtherChannel インターフェイスのみでサポートされます。 マルチインスタンス クラスタリングの場合、デバイス間でクラスタタイプのインターフェイスを共有することはできません。各クラスタが別個のクラスタ制御リンクを使用でできるように、クラスタ EtherChannel に VLAN サブインターフェイスを追加できます。クラスタインターフェイスにサブインターフェイスを追加した場合、そのインターフェイスをネイティブクラスタに使用することはできません。 FDM はクラスタリングをサポートしていません。

スタンドアロン展開とクラスタ展開での FTD および ASA アプリケーションのインターフェイスタイプのサポートについては、次の表を参照してください。

表 1. インターフェイスタイプのサポート

アプリケーション

データ

データ:サブインターフェイス

データ共有

データ共有:サブインターフェイス

管理

Firepower イベント

クラスタ(EtherChannel のみ)

クラスタ:サブインターフェイス

FTD

スタンドアロン ネイティブ インスタンス

対応

対応

対応

スタンドアロン コンテナ インスタンス

対応

対応

対応

対応

対応

対応

クラスタ ネイティブ インスタンス

あり

(シャーシ間クラスタ専用の EtherChannel)

対応

対応

対応

クラスタ コンテナ インスタンス

あり

(シャーシ間クラスタ専用の EtherChannel)

対応

対応

対応

対応

ASA

スタンドアロン ネイティブ インスタンス

対応

対応

対応

クラスタ ネイティブ インスタンス

あり

(シャーシ間クラスタ専用の EtherChannel)

対応

対応

共有インターフェイスの拡張性

コンテナ インスタンスは、data-sharing タイプのインターフェイスを共有できます。この機能を使用して、物理インターフェイスの使用率を節約し、柔軟なネットワークの導入をサポートできます。インターフェイスを共有すると、シャーシは一意の MAC アドレスを使用して、正しいインスタンスにトラフィックを転送します。ただし、共有インターフェイスでは、シャーシ内にフルメッシュトポロジが必要になるため、転送テーブルが大きくなることがあります(すべてのインスタンスが、同じインターフェイスを共有するその他すべてのインスタンスと通信できる必要があります)。そのため、共有できるインターフェイスの数には制限があります。

転送テーブルに加えて、シャーシは VLAN サブインターフェイスの転送用に VLAN グループテーブルも保持します。最大 500 個の VLAN サブインターフェイスを作成できます。

共有インターフェイスの割り当てに次の制限を参照してください。

共有インターフェイスのベスト プラクティス

転送テーブルの拡張性を最適にするには、共有するインターフェイスの数をできる限り少なくします。代わりに、1 つまたは複数の物理インターフェイスに最大 500 個の VLAN サブインターフェイスを作成し、コンテナ インスタンスで VLAN を分割できます。

インターフェイスを共有する場合は、拡張性の高いものから低いものの順に次の手順を実行します。

  1. 最適:単一の親の下のサブインターフェイスを共有し、論理デバイス グループと同じサブインターフェイスのセットを使用します。

    たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに、その EtherChannel のサブインターフェイス(Port-Channel1.100、200、300)を共有します。単一の親のサブインターフェイスを共有する場合、物理/EtherChannel インターフェイスまたは複数の親にわたるサブインターフェイスを共有するときの VLAN グループ テーブルの拡張性は転送テーブルよりも優れています。

    論理デバイスのグループと同じサブインターフェイスのセットを共有しない場合は、(VLAN グループよりも)より多くのリソースを設定で使用することになる可能性があります。たとえば、Port-Channel1.100 を論理デバイス 1 および 2 と共有するとともに、Port-Channel1.200 を論理デバイス 2 および 3 と共有するのではなく、Port-Channel1.100 および 200 を論理デバイス 1、2、3(1 つの VLAN グループ)と共有します。

  2. 普通:親の間でサブインターフェイスを共有します。

    たとえば、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに Port-Channel1.100、Port-Channel2.200、Port-Channel3.300 を共有します。この使用方法は同じ親のサブインターフェイスのみを共有するよりも効率は劣りますが、VLAN グループを利用しています。

  3. 最悪:個々の親インターフェイス(物理または EtherChannel)を共有します。

    この方法は、最も多くの転送テーブル エントリを使用します。

共有インターフェイスの使用状況の例

インターフェイスの共有と拡張性の例について、以下の表を参照してください。以下のシナリオは、すべてのインスタンス間で共有されている管理用の 1 つの物理/EtherChannel インターフェイスと、ハイ アベイラビリティで使用する専用のサブインターフェイスを含むもう 1 つの物理/EtherChannel インターフェイスを使用していることを前提としています。

3 つの SM-44 と firepower 9300

次の表は、物理インターフェイスまたは Etherchannel のみを使用している 9300 の SM-44 セキュリティ モジュールに適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを使用するよりも多くの転送テーブル リソースを使用します。

各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。

表 2. 3 つの SM-44 を備えた Firepower 9300 の物理/EtherChannel インターフェイスとインスタンス

専用インターフェイス

共有インターフェイス

インスタンス数

転送テーブルの使用率(%)

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

16 %

30:

  • 15

  • 15

0

2:

  • インスタンス 1

  • インスタンス 2

14%

14:

  • 14(各 1)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

33:

  • 11(各 1)

  • 11(各 1)

  • 11(各 1)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

33:

  • 11(各 1)

  • 11(各 1)

  • 12(各 1)

3:

  • 1

  • 1

  • 1

34:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 34

102 %

許可しない

30:

  • 30(各 1)

1

6:

  • インスタンス 1 - インスタンス 6

25 %

30:

  • 10(各 5)

  • 10(各 5)

  • 10(各 5)

3:

  • 1

  • 1

  • 1

6:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 4

  • インスタンス 5 - インスタンス 6

23 %

30:

  • 30(各 6)

2

5:

  • インスタンス 1 - インスタンス 5

28%

30:

  • 12(各 6)

  • 18(各 6)

4:

  • 2

  • 2

5:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 5

26 %

24:

  • [6]

  • [6]

  • [6]

  • [6]

7

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

44 %

24:

  • 12(各 6)

  • 12(各 6)

14:

  • 7

  • 7

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 4

41%

次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 9300 上の 3 つの SM-44 セキュリティ モジュールに適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを使用するよりも多くの転送テーブル リソースを使用します。

各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。

表 3. 3 つの SM-44 を備えた Firepower 9300 上の 1 つの親のサブインターフェイスとインスタンス

専用サブインターフェイス

共有サブインターフェイス

インスタンス数

転送テーブルの使用率(%)

168:

  • 168(4 ea.)

0

42:

  • インスタンス 1 - インスタンス 42

33%

224:

  • 224(16 ea.)

0

14:

  • インスタンス 1 - インスタンス 14

27 %

14:

  • 14(各 1)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

33:

  • 11(各 1)

  • 11(各 1)

  • 11(各 1)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

2

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

6:

  • 2

  • 2

  • 2

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

10

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

30:

  • 10

  • 10

  • 10

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

102 %

許可しない

1 つの SM 44 を備えた Firepower 9300

次の表は、物理インターフェイスまたは Etherchannel のみを使用している 1 つの SM-44 を備えた Firepower 9300 に適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを使用するよりも多くの転送テーブル リソースを使用します。

1 つの SM-44 を備えた Firepower 9300 は、最大 14 のインスタンスをサポートできます。

表 4. 1 つの SM-44 を備えた Firepower 9300 の物理/EtherChannel インターフェイスとインスタンス

専用インターフェイス

共有インターフェイス

インスタンス数

転送テーブルの使用率(%)

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

16 %

30:

  • 15

  • 15

0

2:

  • インスタンス 1

  • インスタンス 2

14%

14:

  • 14(各 1)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

14:

  • 7(各 1)

  • 7(各 1)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

32:

  • 8

  • 8

  • 8

  • 8

1

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

21 %

32:

  • 16(各 8)

  • 16(各 8)

2

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 3 - インスタンス 4

20 %

32:

  • 8

  • 8

  • 8

  • 8

2

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

25 %

32:

  • 16(各 8)

  • 16(各 8)

4:

  • 2

  • 2

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 3 - インスタンス 4

24 %

24:

  • 8

  • 8

  • 8

8

3:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

37 %

10:

  • 10(各 2)

10

5:

  • インスタンス 1 - インスタンス 5

69%

10:

  • 6(各 2)

  • 4(各 2)

20:

  • 10

  • 10

5:

  • インスタンス 1 - インスタンス 3

  • インスタンス 4 - インスタンス 5

59%

14:

  • 12(2 ea.)

10

7:

  • インスタンス 1 - インスタンス 7

109%

許可しない

次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 1 つの SM-44 を備えた Firepower 4150 に適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを使用するよりも多くの転送テーブル リソースを使用します。

1 つの SM-44 を備えた Firepower 9300 は、最大 14 のインスタンスをサポートできます。

表 5. 1 つの SM-44 を備えた Firepower 9300 上の 1 つの親のサブインターフェイスとインスタンス

専用サブインターフェイス

共有サブインターフェイス

インスタンス数

転送テーブルの使用率(%)

112:

  • 112(各 8)

0

14:

  • インスタンス 1 - インスタンス 14

17%

224:

  • 224(16 ea.)

0

14:

  • インスタンス 1 - インスタンス 14

17%

14:

  • 14(各 1)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

14:

  • 7(各 1)

  • 7(各 1)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

112:

  • 112(各 8)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

112:

  • 56(各 8)

  • 56(各 8)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

112:

  • 112(各 8)

2

14:

  • インスタンス 1 - インスタンス 14

46 %

112:

  • 56(各 8)

  • 56(各 8)

4:

  • 2

  • 2

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

140:

  • 140(各 10)

10

14:

  • インスタンス 1 - インスタンス 14

46 %

140:

  • 70(各 10)

  • 70(各 10)

20:

  • 10

  • 10

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

共有インターフェイス リソースの表示

転送テーブルと VLAN グループの使用状況を表示するには、scope fabric-interconnect show detail コマンドを入力します。次に例を示します。


Firepower# scope fabric-interconnect
DFirepower /fabric-interconnect # show detail

Fabric Interconnect:
    ID: A
    Product Name: Cisco FPR9K-SUP
    PID: FPR9K-SUP
    VID: V02
    Vendor: Cisco Systems, Inc.
    Serial (SN): JAD104807YN
    HW Revision: 0
    Total Memory (MB): 16185
    OOB IP Addr: 10.10.5.14
    OOB Gateway: 10.10.5.1
    OOB Netmask: 255.255.255.0
    OOB IPv6 Address: ::
    OOB IPv6 Gateway: ::
    Prefix: 64
    Operability: Operable
    Thermal Status: Ok
    Ingress VLAN Group Entry Count (Current/Max): 0/500
    Switch Forwarding Path Entry Count (Current/Max): 16/1021
    Current Task 1:
    Current Task 2:
    Current Task 3:

シャーシがパケットを分類する方法

シャーシに入ってくるパケットはいずれも分類する必要があります。その結果、シャーシは、どのインスタンスにパケットを送信するかを決定できます。

  • 一意のインターフェイス:1 つのインスタンスしか入力インターフェイスに関連付けられていない場合、シャーシはそのインスタンスにパケットを分類します。ブリッジ グループ メンバー インターフェイス(トランスペアレント モードまたはルーテッド モード)、インライン セット、またはパッシブ インターフェイスの場合は、この方法を常にパケットの分類に使用します。

  • 一意の MAC アドレス:シャーシは、共有インターフェイスを含むすべてのインターフェイスに一意の MAC アドレスを自動的に生成します。複数のインスタンスが同じインターフェイスを共有している場合、分類子には各インスタンスでそのインターフェイスに割り当てられた固有の MAC アドレスが使用されます。固有の MAC アドレスがないと、アップストリーム ルータはインスタンスに直接ルーティングできません。アプリケーション内で各インターフェイスを設定するときに、手動で MAC アドレスを設定することもできます。


(注)  

宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製されて各インスタンスに送信されます。


分類例

次の図に、外部インターフェイスを共有する複数のインスタンスを示します。インスタンス C にはルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをインスタンス C に割り当てます。

図 1. MAC アドレスを使用した共有インターフェイスのパケット分類

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。次の図に、インターネットにアクセスするネットワーク内のインスタンス C のホストを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/2.3 で、このイーサネットがインスタンス C に割り当てられているためです。

図 2. 内部ネットワークからの着信トラフィック

トランスペアレント ファイアウォールでは、固有のインターフェイスを使用する必要があります。次の図に、ネットワーク内のインスタンス C のホスト宛のインターネットからのパケットを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/2.3 で、このイーサネットがインスタンス C に割り当てられているためです。

図 3. トランスペアレント ファイアウォール インスタンス

インライン セットの場合は一意のインターフェイスを使用する必要があります。また、それらのセットは物理インターフェイスか、または EtherChannel である必要があります。次の図に、ネットワーク内のインスタンス C のホスト宛のインターネットからのパケットを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/5 で、このイーサネットがインスタンス C に割り当てられているためです。

図 4. FTD のインライン セット

コンテナ インスタンスのカスケード

別のインスタンスの前にコンテナ インスタンスを直接配置することをカスケード コンテナ インスタンスと呼びます。1 つのインスタンスの外部インターフェイスは、別のインスタンスの内部インターフェイスと同じインターフェイスです。いくつかのインスタンスのコンフィギュレーションを単純化する場合、最上位インスタンスの共有パラメータを設定することで、インスタンスをカスケード接続できます。

次の図に、ゲートウェイの背後に 2 つのインスタンスがあるゲートウェイ インスタンスを示します。

図 5. コンテナ インスタンスのカスケード

一般的な複数インスタンス展開

次の例には、ルーテッド ファイアウォール モードのコンテナ インスタンスが 3 つ含まれます。これらには次のインターフェイスが含まれます。

  • 管理:すべてのインスタンスがポート チャネル 1 インターフェイス(管理タイプ)を使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各アプリケーション内で、インターフェイスは同じ管理ネットワークで一意の IP アドレスを使用します。

  • 内部:各インスタンスがポート チャネル 2(データ タイプ)のサブインターフェイスを使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各サブインターフェイスは別々のネットワーク上に存在します。

  • 外部:すべてのインスタンスがポート チャネル 3 インターフェイス(データ共有タイプ)を使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各アプリケーション内で、インターフェイスは同じ管理ネットワークで一意の IP アドレスを使用します。

  • フェールオーバー:各インスタンスがポート チャネル 4(データ タイプ)のサブインターフェイスを使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各サブインターフェイスは別々のネットワーク上に存在します。

一般的な複数インスタンス展開

コンテナ インスタンス インターフェイスの自動 MAC アドレス

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。

アプリケーション内の共有インターフェイスに MAC アドレスを手動で割り当てると、手動で割り当てられた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、アプリケーション内のインターフェイスの MAC アドレスを手動で設定してください。

自動生成されたアドレスは A2 で始まるため、アドレスが重複するリスクがあることから手動 MAC アドレスを A2 で始めることはできません。

FXOS シャーシは、次の形式を使用して MAC アドレスを生成します。

A2xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィックスまたはシステム定義のプレフィックスで、zz.zzzz はシャーシが生成した内部カウンタです。システム定義のプレフィックスは、IDPROM にプログラムされている Burned-in MAC アドレス プール内の最初の MAC アドレスの下部 2 バイトと一致します。connect fxos を使用し、次にshow module を使用して、MAC アドレスプールを表示します。たとえば、モジュール 1 について示されている MAC アドレスの範囲が b0aa.772f.f0b0 ~ b0aa.772f.f0bf の場合、システム プレフィックスは f0b0 になります。

ユーザ定義のプレフィックスは、16 進数に変換される整数です。ユーザ定義のプレフィックスの使用方法を示す例を挙げます。プレフィックスとして 77 を指定すると、シャーシは 77 を 16 進数値 004D(yyxx)に変換します。MAC アドレスで使用すると、プレフィックスはシャーシ ネイティブ形式に一致するように逆にされます(xxyy)。

A24D.00zz.zzzz

プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

A2F1.03zz.zzzz

コンテナ インスタンスのリソース管理

コンテナ インスタンスごとのリソース使用率を指定するには、FXOS で 1 つまたは複数のリソース プロファイルを作成します。論理デバイス/アプリケーション インスタンスを展開するときに、使用するリソース プロファイルを指定します。リソース プロファイルは CPU コアの数を設定します。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。モデルごとに使用可能なリソースを表示するには、コンテナインスタンスの要件と前提条件を参照してください。リソース プロファイルを追加するには、コンテナインスタンスにリソースプロファイルを追加を参照してください。

マルチインスタンス機能のパフォーマンス スケーリング係数

プラットフォームの最大接続数は、ネイティブ インスタンスがメモリと CPU を使用するために計算されます(この値は show resource usage に示されます)。ただし、マルチインスタンス機能を使用する場合、使用可能な最大接続数は、1 つのネイティブインスタンス用の接続数未満になる場合があります。

インスタンスのスループットを計算する方法の詳細については、https://www.cisco.com/c/en/us/products/collateral/security/firepower-ngfw/white-paper-c11-742018.html を参照してください。

コンテナ インスタンスおよびハイ アベイラビリティ

2 つの個別のシャーシでコンテナ インスタンスを使用してハイ アベイラビリティを使用できます。たとえば、それぞれ 10 個のインスタンスを使用する 2 つのシャーシがある場合、10 個のハイ アベイラビリティ ペアを作成できます。ハイ アベイラビリティは FXOS で構成されません。各ハイ アベイラビリティ ペアはアプリケーション マネージャで構成します。

詳細な要件については、「ハイアベイラビリティの要件と前提条件」と「ハイ アベイラビリティ ペアの追加」を参照してください。

エンドツーエンドの手順

この手順では、マルチインスタンス環境に必要なすべての要素を設定します。


(注)  

マルチインスタンス クラスタリングについては、『Firepower Threat Defense でのクラスタの展開』またはFXOS のコンフィギュレーション ガイドを参照してください。


手順


ステップ 1

コンテナインスタンスにリソースプロファイルを追加

シャーシには、「Default-Small」と呼ばれるデフォルト リソース プロファイルが含まれています。このコア数は最小です。このプロファイルだけを使用しない場合は、コンテナ インスタンスを追加する前にプロファイルを追加する必要があります。

ステップ 2

(任意) MAC プール プレフィックスの追加とコンテナ インスタンス インターフェイスの MAC アドレスの表示

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。必要に応じて、生成で使用されるプレフィクスを定義できます。

ステップ 3

インターフェイスの設定

ネイティブ インスタンスと同じ方法で、コンテナ インスタンスでインターフェイスを使用できます。ただし、VLAN サブインターフェイスとデータ共有インターフェイスは、コンテナ インスタンスでのみ使用でき、展開の拡張性と柔軟性を提供します。このガイドでは、共有インターフェイスの制限事項について必ずお読みください。

ステップ 4

FMC 用スタンドアロン Firepower Threat Defense の追加

コンテナ インスタンスは、スタンドアロン デバイスまたはフェールオーバー ペアとしてFTDでのみサポートされます。クラスタリングはサポートされていません。

ステップ 5

ハイ アベイラビリティ ペアの追加

ハイ アベイラビリティ ペアを展開する場合は、このセクションの要件を参照してください。


コンテナインスタンスの要件と前提条件

サポートされるアプリケーション タイプ

  • FMC を使用した Firepower 脅威防御

FTD:モデルごとの最大コンテナインスタンス数とリソース

各コンテナ インスタンスに対して、インスタンスに割り当てる CPU コアの数を指定できます。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスあたり 40 GB に設定されます。

表 6. モデルごとの最大コンテナ インスタンス数とリソース

モデル

最大コンテナインスタンス数

使用可能な CPU コア

使用可能な RAM

使用可能なディスクスペース

Firepower 4110

3

22

53 GB

125.6 GB

Firepower 4112

3

22

78 GB

308 GB

Firepower 4115

7

46

162 GB

308 GB

Firepower 4120

3

46

101 GB

125.6 GB

Firepower 4125

10

62

162 GB

644 GB

Firepower 4140

7

70

222 GB

311.8 GB

Firepower 4145

14

86

344 GB

608 GB

Firepower 4150

7

86

222 GB

311.8 GB

Firepower 9300 SM-24 セキュリティモジュール

7

46

226 GB

656.4 GB

Firepower 9300 SM-36 セキュリティモジュール

11

70

222 GB

640.4 GB

Firepower 9300 SM-40 セキュリティ モジュール

13

78

334 GB

1359 GB

Firepower 9300 SM-44 セキュリティ モジュール

14

86

218 GB

628.4 GB

Firepower 9300 SM-48 セキュリティモジュール

15

94

334 GB

1341 GB

Firepower 9300 SM-56 セキュリティ モジュール

18

110

334 GB

1314 GB

ハイアベイラビリティの要件と前提条件

  • ハイ アベイラビリティ フェールオーバーを設定される 2 つのユニットは、次の条件を満たしている必要があります。

    • 個別のシャーシ上にあること。Firepower 9300 のシャーシ内ハイアベイラビリティはサポートされません。

    • 同じモデルであること。

    • 高可用性論理デバイスに同じインターフェイスが割り当てられていること。

    • インターフェイスの数とタイプが同じであること。ハイ アベイラビリティを有効にする前に、すべてのインターフェイスを FXOS で事前に同じ設定にすること。

  • 高可用性は Firepower 9300 の同じタイプのモジュール間でのみサポートされていますが、2 台のシャーシにモジュールを混在させることができます。たとえば、各シャーシに SM-36、SM-40、および SM-44 を配置できます。SM-36 モジュール間、SM-40 モジュール間、および SM-44 モジュール間に高可用性ペアを作成できます。

  • コンテナインスタンスでは、各装置で同じリソースプロファイル属性を使用する必要があります。

  • 他のハイ アベイラビリティ システム要件については、アプリケーションの構成ガイドのハイアベイラビリティに関する章を参照してください。

注意事項と制約事項

一般的な注意事項

  • コンテナ インスタンスによる複数インスタンス機能は FMC を使用する FTD に対してのみ使用できます。

  • FTD コンテナ インスタンスの場合、1 つの Firepower Management Centerセキュリティモジュール/エンジン のすべてのインスタンスを管理する必要があります。

  • 最大 16 個のコンテナ インスタンスの で TLS 暗号化アクセラレーション を有効にできます。

  • FTD コンテナ インスタンスの場合、次の機能はサポートされていません。

    • Radware DefensePro リンク デコレータ

    • を使用したFTD 設定のバックアップと復元 FMC

    • FMC UCAPL/CC モード

    • ハードウェアへのフローオフロード

VLAN サブインターフェイス

  • サブインターフェイス(および親インターフェイス)はコンテナ インスタンスにのみ割り当てることができます。


    (注)  

    コンテナ インスタンスに親インターフェイスを割り当てる場合、タグなし(非 VLAN)トラフィックのみを渡します。タグなしトラフィックを渡す必要がない限り、親インターフェイスを割り当てないでください。 クラスタタイプのインターフェイスの場合、親インターフェイスを使用することはできません。


  • サブインターフェイスはデータまたはデータ共有タイプのインターフェイス、およびクラスタタイプのインターフェイスでサポートされます。クラスタインターフェイスにサブインターフェイスを追加した場合、そのインターフェイスをネイティブクラスタには使用できません。

  • マルチインスタンス クラスタリングでは、クラスタ制御リンクのサブインターフェイスのみを使用できます。データインターフェイスの場合は、専用インターフェイスを使用する必要があります。

  • 最大 500 個の VLAN ID を作成できます。

  • 論理デバイスアプリケーション内での次の制限事項を確認し、インターフェイスの割り当てを計画する際には留意してください。

    • FTD インライン セットに、またはパッシブ インターフェイスとしてサブインターフェイスを使用することはできません。

    • フェールオーバー リンクに対してサブインターフェイスを使用する場合、その親にあるすべてのサブインターフェイスと親自体のフェールオーバー リンクとしての使用が制限されます。サブインターフェイスの一部をフェールオーバーリンクとして、一部を通常のデータインターフェイスとして、使用することはできません。

データ共有インターフェイス

  • ネイティブ インスタンスではデータ共有インターフェイスを使用することはできません。

  • 共有インターフェイスごとの最大インスタンス数:14。たとえば、Instance1 から Instance14 に Ethernet1/1 を割り当てることができます。

    インスタンスごとの最大共有インターフェイス数:10 たとえば、Ethernet1/1.10 を介して Instance1 に Ethernet1/1.1 を割り当てることができます。

  • クラスタではデータ共有インターフェイスを使用することはできません。

  • 論理デバイスアプリケーション内での次の制限事項を確認し、インターフェイスの割り当てを計画する際には留意してください。

    • トランスペアレント ファイアウォール モード デバイスでデータ共有インターフェイスを使用することはできません。

    • FTD インライン セットでまたはパッシブ インターフェイスとしてデータ共有インターフェイスを使用することはできません。

    • フェールオーバー リンクに対してデータ共有インターフェイスを使用することはできません。

デフォルトの MAC アドレス

  • すべてのインターフェイスの MAC アドレスは MAC アドレス プールから取得されます。サブインターフェイスでは、MAC アドレスを手動で設定する場合、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。「コンテナ インスタンス インターフェイスの自動 MAC アドレス」を参照してください。

コンテナインスタンスにリソースプロファイルを追加

コンテナ インスタンスごとにリソース使用率を指定するには、1 つまたは複数のリソース プロファイルを作成します。論理デバイス/アプリケーション インスタンスを展開するときに、使用するリソース プロファイルを指定します。リソース プロファイルは CPU コアの数を設定します。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。

  • コアの最小数は 6 です。


    (注)  

    コア数が少ないインスタンスは、コア数が多いインスタンスよりも、CPU 使用率が比較的高くなる場合があります。コア数が少ないインスタンスは、トラフィック負荷の変化の影響を受けやすくなります。トラフィックのドロップが発生した場合には、より多くのコアを割り当ててください。


  • コアは偶数(6、8、10、12、14 など)で最大値まで割り当てることができます。 8 コアの使用は推奨されません。8 コアを使用した場合、6 コアの場合よりパフォーマンスがわずかに向上するにすぎません。

  • 利用可能な最大コア数は、セキュリティモジュール/シャーシモデルによって異なります。「コンテナインスタンスの要件と前提条件」を参照してください。

シャーシには、「Default-Small」と呼ばれるデフォルト リソース プロファイルが含まれています。このコア数は最小です。このプロファイルの定義を変更したり、使用されていない場合には削除することもできます。シャーシをリロードし、システムに他のプロファイルが存在しない場合は、このプロファイルが作成されます。

使用中のリソースプロファイルの設定を変更することはできません。リソースプロファイルを使用しているすべてのインスタンスを無効にしてから、リソースプロファイルを変更し、最後にインスタンスを再度有効にする必要があります。確立されたハイ アベイラビリティ ペアまたはクラスタ内のインスタンスのサイズを変更する場合、できるだけ早くすべてのメンバを同じサイズにする必要があります。

FTD インスタンスを FMC に追加した後でリソースプロファイルの設定を変更した場合は、FMC の [デバイス(Devices)] > [デバイス管理(Device Management)] > [デバイス(Device)] > [システム(System)] > [インベントリ(Inventory)]ダイアログボックスで各ユニットのインベントリを更新します。

手順


ステップ 1

[プラットフォーム設定(Platform Settings)] > [リソースプロファイル(Resource Profiles)] を選択し、[追加(Add)] をクリックします。

[リソースプロファイルの追加(Add Resource Profile)] ダイアログボックスが表示されます。

ステップ 2

次のパラメータを設定します。

  • [名前(Name)]:プロファイルの名前を 1 ~ 64 文字で設定します。追加後にこのプロファイルの名前を変更することはできません。

  • [説明(Description)]:プロファイルの説明を最大 510 文字で設定します。

  • [コア数(Number of Cores)]:プロファイルのコア数を 6 ~ 最大数(偶数)で設定します。最大数はシャーシによって異なります。

ステップ 3

[OK] をクリックします。


MAC プール プレフィックスの追加とコンテナ インスタンス インターフェイスの MAC アドレスの表示

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。FXOS シャーシは、次の形式を使用して MAC アドレスを生成します。

A2xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィックスまたはシステム定義のプレフィックスで、zz.zzzz はシャーシが生成した内部カウンタです。システム定義のプレフィックスは、IDPROM にプログラムされている Burned-in MAC アドレス プール内の最初の MAC アドレスの下部 2 バイトと一致します。connect fxos を使用し、次にshow module を使用して、MAC アドレスプールを表示します。たとえば、モジュール 1 について示されている MAC アドレスの範囲が b0aa.772f.f0b0 ~ b0aa.772f.f0bf の場合、システム プレフィックスは f0b0 になります。

詳細については、「コンテナ インスタンス インターフェイスの自動 MAC アドレス」を参照してください。

この手順では、MAC アドレスの表示方法と生成で使用されるプレフィックスのオプションの定義方法について説明します。


(注)  

論理デバイスの展開後に MAC アドレスのプレフィックスを変更すると、トラフィックが中断される可能性があります。


手順


ステップ 1

[Platform Settings] > [Mac Pool] を選択します。

このページには、MAC アドレスを使用したコンテナ インスタンスやインターフェイスとともに生成された MAC アドレスが表示されます。

ステップ 2

(任意) MAC アドレスの生成時に使用される MAC アドレスのプレフィックスを追加します。

  1. [プレフィックスの追加(Add Prefix)] をクリックします。

    [Set the Prefix for the MAC Pool] ダイアログ ボックスが表示されます。

  1. 1 ~ 65535 の 10 進数を入力します。このプレフィックスは 4 桁の 16 進数値に変換され、MAC アドレスの一部として使用されます。

    プレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、シャーシは 77 を 16 進数値 004D(yyxx)に変換します。MAC アドレスで使用すると、プレフィックスはシャーシ ネイティブ形式に一致するように逆にされます(xxyy)。

    A24D.00zz.zzzz

    プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

    A2F1.03zz.zzzz

  2. [OK] をクリックします。

    プレフィックスを使用して新しい MAC アドレスが生成され、割り当てられます。現在のプレフィックスと生成される 16 進数はテーブルの上に表示されます。


インターフェイスの設定

デフォルトでは、物理インターフェイスは無効になっています。インターフェイスを有効にし、EtherChannels を追加して、VLAN サブインターフェイスを追加し、、インターフェイス プロパティを編集して、ブレークアウト ポートを設定できます


(注)  

FXOS でインターフェイスを削除した場合(たとえば、ネットワーク モジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど)、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。


物理インターフェイスの設定

インターフェイスを物理的に有効および無効にすること、およびインターフェイスの速度とデュプレックスを設定することができます。インターフェイスを使用するには、インターフェイスを FXOS で物理的に有効にし、アプリケーションで論理的に有効にする必要があります。

始める前に

  • すでに EtherChannel のメンバーであるインターフェイスは個別に変更できません。EtherChannel に追加する前に、設定を行ってください。

手順


ステップ 1

[Interfaces] を選択して、[Interfaces] ページを開きます。

[すべてのインターフェイス(All Interfaces)] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

ステップ 2

編集するインターフェイスの行で [編集(Edit)] をクリックし、[インターフェイスを編集(Edit Interface)] ダイアログボックスを開きます。

ステップ 3

インターフェイスを有効にするには、[有効化(Enable)] チェックボックスをオンにします。インターフェイスをディセーブルにするには、[Enable] チェックボックスをオフにします。

ステップ 4

インターフェイスの [タイプ(Type)] を選択します。

  • データ

  • [データ共有(Data-sharing)]:コンテナインスタンスのみ。

  • 管理

  • [Firepower イベント(Firepower-eventing)]:FTD のみ。

  • [クラスタ(Cluster)]:[クラスタ(Cluster)] タイプは選択しないでください。デフォルトでは、クラスタ制御リンクはポートチャネル 48 に自動的に作成されます。

ステップ 5

(任意) [速度(Speed)] ドロップダウンリストからインターフェイスの速度を選択します。

ステップ 6

(任意) インターフェイスで [自動ネゴシエーション(Auto Negotiation)] がサポートされている場合は、[はい(Yes)] または [いいえ(No)] オプション ボタンをクリックします。

ステップ 7

(任意) [Duplex] ドロップダウンリストからインターフェイスのデュプレックスを選択します。

ステップ 8

(任意) 以前に設定した [ネットワーク制御ポリシー(Network Control Policy)] を選択します。

ステップ 9

[OK] をクリックします。


EtherChannel(ポート チャネル)の追加

EtherChannel(別名ポート チャネル)には、同じタイプのメンバー インターフェイスを最大 16 個含めることができます。リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理データまたはデータ共有インターフェイスを次のように設定できます。

  • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。


(注)  

モードを [On] から [Active] に変更するか、[Active] から [On] に変更すると、EtherChannel が動作状態になるまで最大 3 分かかることがあります。


非データ インターフェイスのみがアクティブ モードをサポートしています。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。 「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [一時停止(Suspended)] 状態(Active LACP モードの場合)または [ダウン(Down)] 状態(On LACP モードの場合)になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [一時停止(Suspended)] 状態になります。

  • EtherChannel がスタンドアロン論理デバイスのデータまたは管理インターフェイスとして追加された

  • EtherChannel がクラスタの一部である論理デバイスの管理インターフェイスまたは Cluster Control Link として追加された

  • EtherChannel がクラスタの一部である論理デバイスのデータ インターフェイスとして追加され、少なくとも 1 つのユニットがクラスタに参加している

EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [一時停止(Suspended)] または [ダウン(Down)] 状態に戻ります。

手順


ステップ 1

[Interfaces] を選択して、[Interfaces] ページを開きます。

[すべてのインターフェイス(All Interfaces)] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

ステップ 2

インターフェイス テーブルの上にある [ポート チャネルの追加(Add Port Channel)] をクリックし、[ポート チャネルの追加(Add Port Channel)] ダイアログボックスを開きます。

ステップ 3

[ポート チャネル ID(Port Channel ID)] フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。

クラスタ化した論理デバイスを導入すると、ポートチャネル 48 はクラスタ制御リンク用に予約されます。クラスタ制御リンクにポートチャネル 48 を使用しない場合は、ポートチャネル 48 を削除し、別の ID を使用してクラスタタイプの EtherChannel を設定できます。複数のクラスタタイプの EtherChannel を追加し、マルチインスタンス クラスタリングで使用する VLAN サブインターフェイスを追加できます。シャーシ内クラスタリングでは、クラスタ EtherChannel にインターフェイスを割り当てないでください。

ステップ 4

ポート チャネルを有効にするには、[有効化(Enable)] チェックボックスをオンにします。ポート チャネルをディセーブルにするには、[Enable]チェックボックスをオフにします。

ステップ 5

インターフェイスの [タイプ(Type)] を選択します。

  • データ

  • [データ共有(Data-sharing)]:コンテナインスタンスのみ。

  • 管理

  • [Firepower イベント(Firepower-eventing)]:FTD のみ。

  • クラスタ

ステップ 6

ドロップダウン リストでメンバー インターフェイスの [Admin Speed] を設定します。

ステップ 7

データまたはデータ共有インターフェイスに対して、LACP ポート チャネル [Mode]、[Active] または [On] を選択します。

非データまたはデータ共有インターフェイスの場合、モードは常にアクティブです。

ステップ 8

[Admin Duplex]、[Full Duplex] または [Half Duplex] を設定します。

ステップ 9

ポート チャネルにインターフェイスを追加するには、[Available Interface]リストでインターフェイスを選択し、[Add Interface]をクリックしてそのインターフェイスを [Member ID] リストに移動します。同じタイプで同じ速度のインターフェイスを最大 16 個追加できます。

ヒント 

複数のインターフェイスを一度に追加できます。複数の個別インターフェイスを選択するには、Ctrl キーを押しながら目的のインターフェイスをクリックします。一連のインターフェイスを選択するには、その範囲の最初のインターフェイスを選択し、Shift キーを押しながら最後のインターフェイスをクリックして選択します。

ステップ 10

ポート チャネルからインターフェイスを削除するには、[Member ID]リストでそのインターフェイスの右側にある[Delete]ボタンをクリックします。

ステップ 11

[OK]をクリックします。


コンテナ インスタンスの VLAN サブインターフェイスの追加

シャーシには最大 500 個のサブインターフェイスを追加できます。

マルチインスタンス クラスタリングの場合、クラスタタイプのインターフェイスにサブインターフェイスを追加するだけです。データインターフェイス上のサブインターフェイスはサポートされません。

インターフェイスごとの VLAN ID は一意である必要があります。コンテナ インスタンス内では、VLAN ID は割り当てられたすべてのインターフェイス全体で一意である必要があります。異なるコンテナ インターフェイスに割り当てられている限り、VLAN ID を別のインターフェイス上で再利用できます。ただし、同じ ID を使用していても、各サブインターフェイスが制限のカウント対象になります。

アプリケーション内にサブインターフェイスを追加することもできます。

手順


ステップ 1

[Interfaces] を選択して [All Interfaces] タブを開きます。

[All Interfaces] タブには、ページの上部に現在インストールされているインターフェイスが視覚的に表示され、下の表にはインストールされているインターフェイスのリストが示されています。

ステップ 2

[Add New > Subinterface] をクリックして [Add Subinterface] ダイアログボックスを開きます。

ステップ 3

インターフェイスの [タイプ(Type)] を選択します。

  • データ

  • データ共有

  • [クラスタ(Cluster)]:クラスタインターフェイスにサブインターフェイスを追加した場合、そのインターフェイスをネイティブクラスタに使用できません。

データインターフェイスおよびデータ共有インターフェイスの場合:タイプは、親インターフェイスのタイプに依存しません。たとえば、データ共有の親とデータサブインターフェイスを設定できます。

ステップ 4

ドロップダウン リストから親インターフェイスを選択します。

現在論理デバイスに割り当てられている物理インターフェイスにサブインターフェイスを追加することはできません。親の他のサブインターフェイスが割り当てられている場合、その親インターフェイス自体が割り当てられていない限り、新しいサブインターフェイスを追加できます。

ステップ 5

[Subinterface ID] を 1 ~ 4294967295 で入力します。

この ID は、interface_id.subinterface_id のように親インターフェイスの ID に追加されます。たとえば、サブインターフェイスを ID 100 でイーサネット 1/1 に追加する場合、そのサブインターフェイス ID はイーサネット 1/1.100 になります。利便性を考慮して一致するように設定することができますが、この ID は VLAN ID と同じではありません。

ステップ 6

1 ~ 4095 の間で [VLAN ID] を設定します。

ステップ 7

[OK] をクリックします。

親インターフェイスを展開し、その下にあるすべてのサブインターフェイスを表示します。


FMC 用スタンドアロン Firepower Threat Defense の追加

スタンドアロンの論理デバイスは、単独またはハイ アベイラビリティ ペアで動作します。複数のセキュリティモジュールを搭載する Firepower 9300 では、クラスタまたはスタンドアロンデバイスのいずれかを展開できます。クラスタはすべてのモジュールを使用する必要があるため、たとえば、2 モジュール クラスタと単一のスタンドアロン デバイスをうまく組み合わせることはできません。

一部のモジュールでネイティブインスタンスを使用し、その他のモジュールでコンテナインスタンスを使用できます。

始める前に

  • 論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして、そのイメージを Firepower 4100/9300 シャーシアップロードします。


    (注)  

    Firepower 9300 の場合は、異なるアプリケーションタイプ(ASA および FTD)をシャーシ内の別個のモジュールにインストールすることができます。別個のモジュールでは、異なるバージョンのアプリケーション インスタンス タイプも実行できます。


  • 論理デバイスで使用する管理インターフェイスを設定します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理ポートと同じではありません(また、[インターフェイス(Interfaces)] タブの上部に [MGMT] として表示されます)

  • また、少なくとも 1 つのデータ タイプのインターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。詳細については、「インターフェイス タイプ」を参照してください。

  • コンテナ インスタンスに対して、デフォルトのプロファイルを使用しない場合は、コンテナインスタンスにリソースプロファイルを追加に従ってリソース プロファイルを追加します。

  • コンテナ インスタンスの場合、最初にコンテナ インスタンスをインストールする前に、ディスクが正しいフォーマットになるように セキュリティモジュール/エンジン を再度初期化する必要があります。[Security Modules] または [Security Engine] を選択して、[再初期化(Reinitialize)] アイコン(再初期化アイコン をクリックします。既存の論理デバイスは削除されて新しいデバイスとして再インストールされるため、ローカルのアプリケーション設定はすべて失われます。ネイティブインスタンスをコンテナインスタンスに置き換える場合は、常にネイティブインスタンスを削除する必要があります。ネイティブインスタンスをコンテナインスタンスに自動的に移行することはできません。

  • 次の情報を用意します。

    • このデバイスのインターフェイス Id

    • 管理インターフェイス IP アドレスとネットワークマスク

    • ゲートウェイ IP アドレス

    • FMC 選択した IP アドレス/NAT ID

    • DNS サーバの IP アドレス

    • FTD ホスト名とドメイン名

手順


ステップ 1

[論理デバイス(Logical Devices)] を選択します。

ステップ 2

[追加(Add)] > [スタンドアロン(Standalone)] をクリックし、次のパラメータを設定します。

  1. デバイス名を入力します。

    この名前は、シャーシスーパバイザが管理設定を行ってインターフェイスを割り当てるために使用します。これはアプリケーション設定で使用されるデバイス名ではありません。

  2. [Template] では、[Cisco Firepower Threat Defense] を選択します。

  3. [Image Version] を選択します。

  4. [インスタンスタイプ(Instance Type)]:[コンテナ(Container)] または [ネイティブ(Native)] を選択します。

    ネイティブ インスタンスはセキュリティモジュール/エンジンのすべてのリソース(CPU、RAM、およびディスク容量)を使用するため、ネイティブ インスタンスを 1 つのみインストールできます。コンテナ インスタンスでは、セキュリティモジュール/エンジンのリソースのサブセットを使用するため、複数のコンテナ インスタンスをインストールできます。

  5. [OK] をクリックします。

    [Provisioning - device name] ウィンドウが表示されます。

ステップ 3

[Data Ports] 領域を展開し、デバイスに割り当てるインターフェイスをそれぞれクリックします。

[Interfaces] ページでは、以前に有効にしたデータとデータ共有インターフェイスのみを割り当てることができます。後で FMC のこれらのインターフェイスを有効にして設定します。これには、IP アドレスの設定も含まれます。

コンテナ インスタンスごとに最大 10 のデータ共有インターフェイスを割り当てることができます。また、各データ共有インターフェイスは、最大 14 個のコンテナインスタンスに割り当てることができます。データ共有インターフェイスは [Sharing] アイコン([Sharing] アイコン で示されます。

ハードウェアバイパス 対応のポートは次のアイコンで表示されます:。特定のインターフェイス モジュールでは、インライン セット インターフェイスに対してのみハードウェア バイパス機能を有効にできます(FMC設定ガイドを参照)。ハードウェア バイパスは、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。ハードウェアバイパス ペアの両方のインターフェイスとも割り当てられていない場合、割り当てが意図的であることを確認する警告メッセージが表示されます。ハードウェアバイパス 機能を使用する必要はないため、単一のインターフェイスを割り当てることができます。

ステップ 4

画面中央のデバイス アイコンをクリックします。

ダイアログボックスが表示され、初期のブートストラップ設定を行うことができます。これらの設定は、初期導入専用、またはディザスタ リカバリ用です。通常の運用では、後でアプリケーション CCLI 設定のほとんどの値を変更できます。

ステップ 5

[一般情報(General Information)] ページで、次の手順を実行します。

  1. (Firepower 9300 の場合)[セキュリティモジュールの選択(Security Module Selection)] の下で、この論理デバイスに使用するセキュリティモジュールをクリックします。

  2. コンテナのインスタンスでは、リソースのプロファイルを指定します。

    後で異なるリソースプロファイルを割り当てると、インスタンスがリロードされ、約 5 分かかることがあります。確立されたハイ アベイラビリティ ペアの場合に、異なるサイズのリソース プロファイルを割り当てるときは、すべてのメンバのサイズが同じであることをできるだけ早く確認してください。

  3. [Management Interface] を選択します。

    このインターフェイスは、論理デバイスを管理するために使用されます。このインターフェイスは、シャーシ管理ポートとは別のものです。

  4. 管理インターフェイスを選択します。[アドレスタイプ(Address Type)]:[IPv4のみ(IPv4 only)]、[IPv6のみ(IPv6 only)]、または [IPv4およびIPv6(IPv4 and IPv6)]

  5. [Management IP] アドレスを設定します。

    このインターフェイスに一意の IP アドレスを設定します。

  6. [Network Mask] または [Prefix Length] に入力します。

  7. ネットワーク ゲートウェイ アドレスを入力します。

ステップ 6

[設定(Settings)] タブで、次の項目を入力します。

  1. ネイティブ インスタンスの場合は、[アプリケーションインスタンスの管理タイプ(Management type of application instance)] ドロップダウン リストで [FMC] を選択します。

    ネイティブ インスタンスは、マネージャとしての FDM もサポートしています。論理デバイスを展開した後にマネージャ タイプを変更することはできません。

  2. 管理 FMC の [Firepower Management Center IP] を入力します。FMC の IP アドレスがわからない場合は、このフィールドを空白のままにして、[Firepower Management Center NAT ID] フィールドにパスフレーズを入力します。

  3. コンテナ インスタンスに対して、FTD SSH セッションでエキスパート モードを許可するかどうかを [Yes] または [No] で指定します。エキスパート モードでは、高度なトラブルシューティングに FTD シェルからアクセスできます。

    このオプションで [Yes] を選択すると、SSH セッションからコンテナインスタンスに直接アクセスするユーザがエキスパートモードを開始できます。[いいえ(No)] を選択した場合、FXOS CLI からコンテナインスタンスにアクセスするユーザのみがエキスパートモードを開始できます。インスタンス間の分離を増やすには、[No] を選択することをお勧めします。

    マニュアルの手順で求められた場合、または Cisco Technical Assistance Center から求められた場合のみ、エキスパート モードを使用します。このモードを開始するには、FTD CLI で expert コマンドを使用します。

  4. カンマ区切りリストとして [検索ドメイン(Search Domains)] を入力します。

  5. [Firewall Mode] を [Transparen] または [Routed] に選択します。

    ルーテッド モードでは、FTDはネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

    ファイアウォール モードは初期展開時にのみ設定します。ブートストラップの設定を再適用する場合、この設定は使用されません。

  6. [DNS Servers] をカンマ区切りのリストとして入力します。

    たとえば、FMCのホスト名を指定する場合、FTDは DNS を使用します。

  7. FTD の [Fully Qualified Hostname] を入力します。

  8. 登録時に FMC とデバイス間で共有する [Registration Key] を入力します。

    このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、FMC に同じキーを入力します。

  9. CLI アクセス用の FTD 管理ユーザの [Password] を入力します。

  10. Firepower イベントの送信に使用する [Eventing Interface] を選択します。指定しない場合は、管理インターフェイスが使用されます。

    このインターフェイスは、Firepower-eventing インターフェイスとして定義する必要があります。

  11. コンテナインスタンスの場合は、[ハードウェア暗号化(Hardware Crypto)] を [有効(Enabled)] または [無効(Disabled)] に設定します。

    この設定により、ハードウェアの TLS 暗号化アクセラレーションが有効になり、特定タイプのトラフィックのパフォーマンスが向上します。この機能はデフォルトでイネーブルになっています。セキュリティモジュールごとに最大 16 個のインスタンスについて TLS 暗号化アクセラレーションを有効にできます。この機能は、ネイティブインスタンスでは常に有効になっています。このインスタンスに割り当てられているハードウェア暗号化リソースの割合を表示するには、show hw-crypto コマンドを入力します。
ステップ 7

[Agreement] タブで、エンド ユーザ ライセンス(EULA)を読んで、同意します。

ステップ 8

[OK] をクリックして、設定ダイアログボックスを閉じます。

ステップ 9

[保存(Save)] をクリックします。

シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーション インスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。[ 論理デバイス(Logical Devices) ] ページで、新しい論理デバイスのステータスを確認します。論理デバイスの [Status] が [online] と表示されたら、アプリケーションでセキュリティ ポリシーの設定を開始できます。

ステップ 10

FTD を管理対象デバイスとして追加し、セキュリティ ポリシーの設定を開始するには、FMC コンフィギュレーション ガイドを参照してください。


ハイ アベイラビリティ ペアの追加

または ASA ハイ アベイラビリティ(フェールオーバーとも呼ばれます)は、FXOS ではなくアプリケーション内で設定されます。ただし、ハイ アベイラビリティのシャーシを準備するには、次の手順を参照してください。

始める前に

ハイアベイラビリティの要件と前提条件を参照してください。

手順


ステップ 1

各論理デバイスに同一のインターフェイスを割り当てます。

ステップ 2

フェールオーバー リンクとステート リンクに 1 つまたは 2 つのデータ インターフェイスを割り当てます。

これらのインターフェイスは、2 つのシャーシの間でハイ アベイラビリティ トラフィックをやり取りします。統合されたフェールオーバー リンクとステート リンクには、10 GB のデータ インターフェイスを使用することを推奨します。別のフェールオーバーおよび状態のリンクを使用できます使用可能なインターフェイスがあれば、状態のリンクには、ほとんどの帯域幅が必要です。フェールオーバー リンクまたはステート リンクに管理タイプのインターフェイスを使用することはできません。同じネットワーク セグメント上で他のデバイスをフェールオーバー インターフェイスとして使用せずに、シャーシ間でスイッチを使用することをお勧めします。

コンテナインスタンスの場合、フェールオーバーリンク用のデータ共有インターフェイスはサポートされていません。親インターフェイスまたは EtherChannel でサブインターフェイスを作成し、各インスタンスのサブインターフェイスを割り当てて、フェールオーバーリンクとして使用することをお勧めします。同じ親のすべてのサブインターフェイスをフェールオーバーリンクとして使用する必要があることに注意してください。あるサブインターフェイスをフェールオーバーリンクとして使用する一方で、他のサブインターフェイス(または親インターフェイス)を通常のデータインターフェイスとして使用することはできません。

ステップ 3

論理デバイスでハイ アベイラビリテを有効にします。

ステップ 4

ハイ アベイラビリティを有効にした後でインターフェイスを変更する必要がある場合は、最初にスタンバイ装置で変更を実行してから、アクティブ装置で変更を実行します。

(注)   

ASA の場合、FXOS でインターフェイスを削除すると(たとえば、ネットワーク モジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど)、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。


インターフェイスのトラブルシューティング

エラー:スイッチの転送パスに 1076 のエントリがあり、1024 の制限を超えています。インターフェイスを追加する場合は、論理デバイスに割り当てられている共有インターフェイスの数を減らすか、論理デバイス共有インターフェイスの数を減らすか、または共有されていないサブインターフェイスを使用します。サブインターフェイスを削除すると、このメッセージが表示されます。これは、残りの設定が [Switch Forwarding Path] テーブル内に収まるように最適化されなくなったためです。削除の使用例に関するトラブルシューティング情報については、FXOS コンフィギュレーション ガイドを参照してください。'scope fabric-interconnect' の 'show detail' を使用して、現在の [Switch Forwarding Path Entry Count] を表示します。

論理デバイスから共有サブインターフェイスを削除しようとしたときにこのエラーが表示される場合は、新しい設定が共有サブインターフェイス向けのこのガイドラインに従っていないためです。同じ論理デバイスのグループと同じサブインターフェイスのセットを使用します。1 つの論理デバイスから共有サブインターフェイスを削除すると、さらに多くの VLAN グループを作成できるため、転送テーブルの使用効率が低くなります。この状況に対処するには、CLI を使用して共有サブインターフェイスを同時に追加および削除し、同じ論理デバイスのグループに対して同じサブインターフェイスのセットを維持する必要があります。

詳細については、次のシナリオを参照してください。これらのシナリオは、次のインターフェイスと論理デバイスから始まります。

  • 同じ親で設定された共有サブインターフェイス:Port-Channel1.100(VLAN 100)、Port-Channel1.200(VLAN 200)、Port-Channel1.300(VLAN 300)

  • 論理デバイス グループ:LD1、LD2、LD3、LD4

シナリオ 1:あるサブインターフェイスを 1 つの論理デバイスから削除するが、他の論理デバイスに割り当てられたままにする

サブインターフェイスは削除しないでください。アプリケーション設定で無効にするだけにしてください。サブインターフェイスを削除する必要がある場合は、一般に共有インターフェイスの数を減らして、転送テーブルに収まるようにする必要があります。

シナリオ 2:1 つの論理デバイスからセット内のすべてのサブインターフェイスを削除する

CLI で論理デバイスからセット内のすべてのサブインターフェイスを削除した後、設定を保存して、削除が同時に実行されるようにします。

  1. 参照用の VLAN グループを表示します。次の出力では、グループ 1 には、3 つの共有サブインターフェイスを表す VLAN 100、200、300 が含まれています。

    
    firepower# connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               100  present
                                               200  present
                                               300  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present
    firepower(fxos)# exit
    firepower#
    
    
  2. 変更する論理デバイスに割り当てられている共有サブインターフェイスを表示します。

    
    firepower# scope ssa
    firepower /ssa # scope logical-device LD1
    firepower /ssa/logical-device # show external-port-link
    
    External-Port Link:
        Name                           Port or Port Channel Name Port Type          App Name   Description
        ------------------------------ ------------------------- ------------------ ---------- -----------
        Ethernet14_ftd                 Ethernet1/4               Mgmt               ftd
        PC1.100_ftd                    Port-channel1.100         Data Sharing       ftd
        PC1.200_ftd                    Port-channel1.200         Data Sharing       ftd
        PC1.300_ftd                    Port-channel1.300         Data Sharing       ftd
    
    
  3. 論理デバイスからサブインターフェイスを削除した後、設定を保存します。

    
    firepower /ssa/logical-device # delete external-port-link PC1.100_ftd
    firepower /ssa/logical-device* # delete external-port-link PC1.200_ftd
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # commit-buffer
    firepower /ssa/logical-device #
    
    

    途中で設定を確定すると、2 つの VLAN グループが存在する結果になります。これにより、スイッチ転送パス エラーが発生し、設定を保存できなくなる場合があります。

シナリオ 3:グループ内のすべての論理デバイスから 1 つのサブインターフェイスを削除する

CLI でグループ内のすべての論理デバイスからサブインターフェイスを削除した後、設定を保存して、削除が同時に実行されるようにします。次に例を示します。

  1. 参照用の VLAN グループを表示します。次の出力では、グループ 1 には、3 つの共有サブインターフェイスを表す VLAN 100、200、300 が含まれています。

    
    firepower# connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               100  present
                                               200  present
                                               300  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present 
  2. 各論理デバイスに割り当てられているインターフェイスを表示し、共通の共有サブインターフェイスに注目してください。同じ親インターフェイス上に存在する場合、それらは 1 つの VLAN グループに属し、show ingress-vlan-groups リストと一致しているはずです。Firepower Chassis Manager では、各共有サブインターフェイスにカーソルを合わせて、割り当てられているインスタンスを確認できます。

    図 6. 共有インターフェイスごとのインスタンス
    共有インターフェイスごとのインスタンス

    CLI では、割り当てられたインターフェイスを含むすべての論理デバイスの特性を表示できます。

    
    firepower# scope ssa
    firepower /ssa # show logical-device expand
    
    Logical Device:
        Name: LD1
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:25
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD2
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:28
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD3
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:2B
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD4
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:2E
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
    
  3. 各論理デバイスからサブインターフェイスを削除した後、設定を保存します。

    
    firepower /ssa # scope logical device LD1
    firepower /ssa/logical-device # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD2
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD3
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD4
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # commit-buffer
    firepower /ssa/logical-device #
    
    

途中で設定を確定すると、2 つの VLAN グループが存在する結果になります。これにより、スイッチ転送パス エラーが発生し、設定を保存できなくなる場合があります。

シナリオ 4:1 つまたは複数の論理デバイスにサブインターフェイスを追加する

CLI でグループ内のすべての論理デバイスにサブインターフェイスを追加し、その後、その追加が同時になるように設定を保存します。

  1. 各論理デバイスにサブインターフェイスを追加してから、設定を保存します。

    
    firepower# scope ssa
    firepower /ssa # scope logical-device LD1
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD2
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD3
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD4
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # commit-buffer
    firepower /ssa/logical-device/external-port-link # 
    
    

    途中で設定を確定すると、2 つの VLAN グループが存在する結果になります。これにより、スイッチ転送パス エラーが発生し、設定を保存できなくなる場合があります。

  2. Port-Channel1.400 VLAN ID が VLAN グループ 1 に追加されたことを確認できます。

    
    firepower /ssa/logical-device/external-port-link # connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               200  present
                                               100  present
                                               300  present
                                               400  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present
    firepower(fxos)# exit
    firepower /ssa/logical-device/external-port-link # 
    
    

マルチインスタンス機能の履歴

機能名

プラットフォームリリース

機能情報

マルチインスタンスクラスタ

2.8.1

コンテナインスタンスを使用してクラスタを作成できるようになりました。Firepower 9300 では、クラスタ内の各モジュールに 1 つのコンテナインスタンスを含める必要があります。セキュリティエンジン/モジュールごとに複数のコンテナインスタンスをクラスタに追加することはできません。クラスタインスタンスごとに同じセキュリティモジュールまたはシャーシモデルを使用することを推奨します。ただし、必要に応じて、同じクラスタ内に異なる Firepower 9300 セキュリティ モジュール タイプまたは Firepower 4100 モデルのコンテナインスタンスを混在させ、一致させることができます。同じクラスタ内で Firepower 9300 と 4100 のインスタンスを混在させることはできません。

新規/変更された画面:

  • [論理デバイス(Logical Devices)] > [クラスタの追加(Add Cluster)]

  • [インターフェイス(Interfaces)] > [すべてのインターフェイス(All Interfaces)] > [新規追加(Add New)] ドロップダウンメニュー > [サブインターフェイス(Subinterface)] > [タイプ(Type)] フィールド

(注)   

Firepower 6.6 が必要です。

複数のコンテナインスタンスの TLS 暗号化アクセラレーション

2.7.1

Firepower 4100/9300 シャーシ上の複数のコンテナインスタンス(最大 16 個)で TLS 暗号化アクセラレーションがサポートされるようになりました。以前は、モジュール/セキュリティエンジンごとに 1 つのコンテナインスタンスに対してのみ TLS 暗号化アクセラレーションを有効にすることができました。

新しいインスタンスでは、この機能がデフォルトで有効になっています。ただし、アップグレードによって既存のインスタンスのアクセラレーションが有効になることは「ありません」。代わりに、enter hw-crypto 次に set admin-state enabled FXOS コマンドを使用します。

新規/変更された [Firepower Chassis Manager] 画面:

[論理デバイス(Logical Devices)] > [デバイスの追加(Add Device)] > [設定(Settings)] > の [ハードウェア暗号化(Hardware Crypto)] ドロップダウンメニュー

(注)   

FTD 6.5 以降が必要です。

Firepower 4115、4125、および 4145

2.6.1

Firepower 4115、4125、および 4145 が導入されました。

(注)   

Firepower 6.4 が必要です。

変更された画面はありません。

ASA および FTD を同じ Firepower 9300 の別のモジュールでサポート

2.6.1

ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。

(注)   

ASA 9.12(1) および Firepower 6.4.0 が必要です。

変更された画面はありません。

FTD ブートストラップ設定については、Firepower Chassis Manager で FMC の NAT ID を設定できるようになりました。

2.6.1

Firepower Chassis Managerで FMC NAT ID を設定できるようになりました。以前は、FXOS CLI または FTD CLI 内でのみ NAT ID を設定できました。通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。

新しい/変更された画面:

[Logical Devices] > [Add Device] > [Settings] > [Firepower Management Center NAT ID] フィールド

モジュール/セキュリティ エンジンのいずれかの FTD コンテナ インスタンスでの SSL ハードウェア アクセラレーションのサポート

2.6.1

これで、モジュール/セキュリティ エンジンのいずれかのコンテナ インスタンスに対して SSL ハードウェア アクセラレーションを有効にすることができるようになりました。他のコンテナ インスタンスに対して SSL ハードウェア アクセラレーションは無効になっていますが、ネイティブ インスタンスには有効になっています。詳細については、『Firepower Management Center Configuration Guide』を参照してください。

新規/変更されたコマンド:config hwCrypto enableshow hwCrypto

変更された画面はありません。

Firepower Threat Defense のマルチインスタンス機能

2.4.1

単一のセキュリティ エンジンまたはモジュールに、それぞれ Firepower Threat Defense コンテナ インスタンスがある複数の論理デバイスを展開できるようになりました。以前は、単一のネイティブ アプリケーション インスタンスを展開できるだけでした。ネイティブ インスタンスも引き続きサポートされています。Firepower 9300 の場合、一部のモジュールでネイティブ インスタンスを使用し、他のモジュールではコンテナ インスタンスを使用することができます。

柔軟な物理インターフェイスの使用を可能にするため、FXOS で VLAN サブインターフェイスを作成し、複数のインスタンス間でインターフェイスを共有することができます。コンテナ インスタンスを展開する場合、割り当てられた CPU コアの数を指定する必要があります。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。このリソース管理を使用すると、各インスタンスのパフォーマンス機能をカスタマイズできます。

2 つの個別のシャーシでコンテナ インスタンスを使用してハイ アベイラビリティを使用することができます。たとえば、10 個のインスタンスを持つシャーシを 2 つ使用する場合は、10 個のハイ アベイラビリティ ペアを作成できます。クラスタリングはサポートされません。

(注)   

マルチインスタンス機能は、実装は異なりますが、ASA マルチ コンテキスト モードに似ています。マルチ コンテキスト モードでは、単一のアプリケーション インスタンスがパーティション化されますが、マルチインスタンス機能では、独立したコンテナ インスタンスを使用できます。コンテナ インスタンスでは、ハード リソースの分離、個別の構成管理、個別のリロード、個別のソフトウェア アップデート、および Firepower Threat Defense のフル機能のサポートが可能です。マルチ コンテキスト モードでは、共有リソースのおかげで、特定のプラットフォームでより多くのコンテキストをサポートできます。マルチ コンテキスト モードは Firepower Threat Defense では利用できません。

(注)   

FTD バージョン 6.3 以降が必要です。

新規/変更された [Firepower Chassis Manager] 画面:

[概要(Overview)] > [デバイス(Devices)]

[インターフェイス(Interfaces)] > [すべてのインターフェイス(All Interfaces)] > [新規追加(Add New)] ドロップダウン メニュー > [サブインターフェイス(Subinterface)] 

[Interfaces] > [All Interfaces] > [Type]

[論理デバイス(Logical Devices)] > [デバイスの追加(Add Device)]

[プラットフォームの設定(Platform Settings)] > [Macプール(Mac Pool)]

[プラットフォームの設定(Platform Settings)] > [リソースのプロファイル(Resource Profiles)]

新規/変更された [Firepower Management Center] 画面:

[Devices] > [Device Management] > [Edit] アイコン > [Interfaces] タブ