のマルチインスタンス機能の使用 Firepower 4100/9300

マルチインスタンス機能を使用すると、 セキュリティ モジュール/エンジンのリソースのサブセットを使用するコンテナ インスタンスを実行できます。マルチインスタンス機能は、Firepower Threat Defense でのみサポートされています。ASA ではサポートされていません。


(注)  

本書では、最新の FXOS バージョン機能について網羅しています。機能の変更の詳細については、マルチインスタンス機能の履歴 を参照してください。古いバージョンがインストールされている場合は、ご使用のバージョンの『FXOS 設定ガイド』の手順を参照してください。


マルチインスタンス機能について

Firepower シャーシには、スーパバイザと、論理デバイスをインストールできる最大 3 つのセキュリティ モジュールが含まれています。論理デバイスを使用すると、1 つのアプリケーション インスタンス(Firepower Threat Defenseまたは ASA)を実行できます。論理デバイスを追加するときに、アプリケーション インスタンスのタイプおよびバージョンの定義、インターフェイスの割り当て、アプリケーション構成にプッシュされるブートス トラップ設定の構成も行います。アプリケーション タイプは、1 つのインスタンス(ネイティブ)または複数のインスタンス(コンテナ)を実行できるかどうかを決定します。

論理デバイスのアプリケーション インスタンス:コンテナとネイティブ

アプリケーション インスタンスは次の展開タイプで実行します。

  • ネイティブ インスタンス:ネイティブ インスタンスはセキュリティモジュール/エンジンのすべてのリソース(CPU、RAM、およびディスク容量)を使用するため、ネイティブ インスタンスを 1 つのみインストールできます。

  • コンテナ インスタンス:コンテナ インスタンスでは、セキュリティモジュール/エンジンのリソースのサブセットを使用するため、複数のコンテナ インスタンスをインストールできます。マルチインスタンス機能は、Firepower Threat Defense でのみサポートされています。ASA ではサポートされていません。


    (注)  

    マルチインスタンス機能は、実装は異なりますが、ASA マルチ コンテキスト モードに似ています。マルチ コンテキスト モードでは、単一のアプリケーション インスタンスがパーティション化されますが、マルチインスタンス機能では、独立したコンテナ インスタンスを使用できます。コンテナ インスタンスでは、ハード リソースの分離、個別の構成管理、個別のリロード、個別のソフトウェア アップデート、および Firepower Threat Defense のフル機能のサポートが可能です。マルチ コンテキスト モードでは、共有リソースのおかげで、特定のプラットフォームでより多くのコンテキストをサポートできます。マルチ コンテキスト モードは Firepower Threat Defense では利用できません。


Firepower 9300 の場合、一部のモジュールでネイティブ インスタンスを使用し、他のモジュールではコンテナ インスタンスを使用することができます。

コンテナ インスタンス インターフェイス

コンテナ インターフェイスでの柔軟な物理インターフェイスの使用を可能にするため、FXOS で VLAN サブインターフェイスを作成し、複数のインスタンス間でインターフェイス(VLAN または物理)を共有することができます。ネイティブのインスタンスは、VLAN サブインターフェイスまたは共有インターフェイスを使用できません。共有インターフェイスの拡張性およびコンテナ インスタンスへの VLAN サブインターフェイスの追加を参照してください。

インターフェイス タイプ

各インターフェイスは、次のいずれかのタイプになります。

  • データ:通常のデータに使用します。データ インターフェイスは論理デバイス間で共有できません。

  • データ共有:通常のデータに使用します。コンテナ インスタンスでのみサポートされ、これらのデータ インターフェイスは 1 つまたは複数の論理デバイス/コンテナ インスタンス(FTDのみ)で共有できます。各コンテナ インスタンスは、このインターフェイスを共有する他のすべてのインスタンスと、バック プレーン経由で通信できます。共有インターフェイスは、展開可能なコンテナ インスタンスの数に影響することがあります。共有インターフェイスの拡張性を参照してください。共有インターフェイスは、ブリッジ グループ メンバ インターフェイス(トランスペアレント モードまたはルーテッド モード)、インライン セット、パッシブ インターフェイス、またはフェールオーバー リンクではサポートされません。

  • Mgmt:使用することでアプリケーション インスタンスを管理します。これらのインターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介して、インターフェイスを共有する他の倫理デバイスと通信することはできません。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。

  • Firepower イベント:FTD デバイスのセカンダリ管理インターフェイスとして使用します。このインターフェイスを使用するには、FTD CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。Firepower イベント インターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介してインターフェイスを共有する他の倫理デバイスと通信することはできません。

  • クラスタ:クラスタ化された論理デバイスのクラスタ制御リンクとして使用します。デフォルトでは、クラスタ制御リンクは 48 番のポートチャネル上に自動的に作成されます。このタイプは、EtherChannel インターフェイスのみでサポートされます。

共有インターフェイスの拡張性

コンテナ インスタンスは、data-sharing タイプのインターフェイスを共有できます。この機能を使用すると、柔軟なネットワーキング展開をサポートするだけでなく、物理インターフェイスの使用率を一定に維持することができます。インターフェイスを共有する場合、シャーシは一意の MAC アドレスを使用して適切なインスタンスにトラフィックを転送します。ただし、共有インターフェイスではシャーシ内のフル メッシュ トポロジのニーズによって転送テーブルが大きくなることがあります(すべてのインスタンスが同じインターフェイスを共有しているその他すべてのインスタンスと通信できる必要があります)。そのため、共有できるインターフェイスの数には制限があります。

転送テーブルに加えて、シャーシは VLAN サブインターフェイスの転送用に VLAN グループ テーブルも保持します。親インターフェイスの数とその他の導入決定に応じて、最大 500 個の VLAN サブインターフェイスを作成できます。

共有インターフェイスの割り当てについては、次の制限事項を参照してください。

  • 共有インターフェイスごとの最大インスタンス数:14。たとえば、Instance14 を介して Instance1 に Ethernet1/1 を割り当てることができます。

  • インスタンスごとの最大共有インターフェイス:10。たとえば、Ethernet1/1.10 を介して Instance1 に Ethernet1/1.1 を割り当てることができます。

共有インターフェイスのベスト プラクティス

転送テーブルの拡張性を最適にするには、共有するインターフェイスの数をできる限り少なくします。代わりに、1 つまたは複数の物理インターフェイスに最大 500 個の VLAN サブインターフェイスを作成し、コンテナ インスタンスで VLAN を分割できます。

インターフェイスを共有する場合は、拡張性が高いものから低いものへの順序で次の手順に従います。

  1. 最適:単一の親の下のサブインターフェイスを共有し、論理デバイス グループと同じサブインターフェイスのセットを使用します。

    たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに、その EtherChannel のサブインターフェイス(Port-Channel1.100、200、300)を共有します。単一の親のサブインターフェイスを共有する場合、物理/EtherChannel インターフェイスまたは複数の親にわたるサブインターフェイスを共有するときの VLAN グループ テーブルの拡張性は転送テーブルよりも優れています。

    論理デバイスのグループと同じサブインターフェイスのセットを共有しない場合は、(VLAN グループよりも)より多くのリソースを設定で使用することになる可能性があります。たとえば、Port-Channel1.100 を論理デバイス 1 および 2 と共有するとともに、Port-Channel1.200 を論理デバイス 2 および 3 と共有するのではなく、Port-Channel1.100 および 200 を論理デバイス 1、2、3(1 つの VLAN グループ)と共有します。

  2. 普通:親の間でサブインターフェイスを共有します。

    たとえば、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに Port-Channel1.100、Port-Channel2.200、Port-Channel3.300 を共有します。この使用方法は同じ親のサブインターフェイスのみを共有するよりも効率は劣りますが、VLAN グループを利用しています。

  3. 最悪:個々の親インターフェイス(物理または EtherChannel)を共有します。

    この方法は、最も多くの転送テーブル エントリを使用します。

共有インターフェイスの使用例

インターフェイス共有および拡張性の例については、次の表を参照してください。以下のシナリオは、すべてのインスタンス間で共有されている管理用の 1 つの物理/EtherChannel インターフェイスと、ハイ アベイラビリティで使用する専用のサブインターフェイスを含むもう 1 つの物理/EtherChannel インターフェイスを使用していることを前提としています。

3 つの SM-44 と Firepower 9300

次の表は、物理インターフェイスまたは Etherchannel のみを使用している 9300 の 3 つの SM-44 セキュリティ モジュールに適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。

各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。

表 1. 3 つの SM-44 を備えた Firepower 9300 の物理/EtherChannel インターフェイスとインスタンス

専用インターフェイス

共有インターフェイス

インスタンス数

転送テーブルの使用率(%)

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

16 %

30:

  • 15

  • 15

0

2:

  • インスタンス 1

  • インスタンス 2

14%

14:

  • 14(1 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

33:

  • 11(1 ea.)

  • 11(1 ea.)

  • 11(1 ea.)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

33:

  • 11(1 ea.)

  • 11(1 ea.)

  • 12(1 ea.)

3:

  • 1

  • 1

  • 1

34:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 34

102 %

許可しない

30:

  • 30(1 ea.)

1

6:

  • インスタンス 1 - インスタンス 6

25 %

30:

  • 10(5 ea.)

  • 10(5 ea.)

  • 10(5 ea.)

3:

  • 1

  • 1

  • 1

6:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 4

  • インスタンス 5 - インスタンス 6

23 %

30:

  • 30(6 ea.)

2

5:

  • インスタンス 1 - インスタンス 5

28%

30:

  • 12(6 ea.)

  • 18(6 ea.)

4:

  • 2

  • 2

5:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 5

26 %

24:

  • 6

  • 6

  • 6

  • 6

7

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

44 %

24:

  • 12(6 ea.)

  • 12(6 ea.)

14:

  • 7

  • 7

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 2 - インスタンス 4

41%

次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 9300 上の 3 つの SM-44 セキュリティ モジュールに適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。

各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。

表 2. 3 つの SM-44 を備えた Firepower 9300 上の 1 つの親のサブインターフェイスとインスタンス

専用サブインターフェイス

共有サブインターフェイス

インスタンス数

転送テーブルの使用率(%)

168:

  • 168(4 ea.)

0

42:

  • インスタンス 1 - インスタンス 42

33%

224:

  • 224(16 ea.)

0

14:

  • インスタンス 1 - インスタンス 14

27 %

14:

  • 14(1 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

33:

  • 11(1 ea.)

  • 11(1 ea.)

  • 11(1 ea.)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

3:

  • 1

  • 1

  • 1

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

2

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

6:

  • 2

  • 2

  • 2

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

98%

70:

  • 70(5 ea.)

10

14:

  • インスタンス 1 - インスタンス 14

46 %

165:

  • 55(5 ea.)

  • 55(5 ea.)

  • 55(5 ea.)

30:

  • 10

  • 10

  • 10

33:

  • インスタンス 1 - インスタンス 11

  • インスタンス 12 - インスタンス 22

  • インスタンス 23 - インスタンス 33

102 %

許可しない

1 つの SM-44 を備えた Firepower 9300

次の表は、物理インターフェイスまたは Etherchannel のみを使用している 1 つの SM-44 を備えた Firepower 9300 に適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。

1 つの SM-44 を備えた Firepower Firepower 9300 は、最大 14 のインスタンスをサポートできます。

表 3. 1 つの SM-44 を備えた Firepower 9300 の物理/EtherChannel インターフェイスとインスタンス

専用インターフェイス

共有インターフェイス

インスタンス数

転送テーブルの使用率(%)

32:

  • 8

  • 8

  • 8

  • 8

0

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

16 %

30:

  • 15

  • 15

0

2:

  • インスタンス 1

  • インスタンス 2

14%

14:

  • 14(1 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

14:

  • 7(1 ea.)

  • 7(1 ea.)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

32:

  • 8

  • 8

  • 8

  • 8

1

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

21 %

32:

  • 16(8 ea.)

  • 16(8 ea.)

2

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 3 - インスタンス 4

20 %

32:

  • 8

  • 8

  • 8

  • 8

2

4:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

  • インスタンス 4

25 %

32:

  • 16(8 ea.)

  • 16(8 ea.)

4:

  • 2

  • 2

4:

  • インスタンス 1 - インスタンス 2

  • インスタンス 3 - インスタンス 4

24 %

24:

  • 8

  • 8

  • 8

8

3:

  • インスタンス 1

  • インスタンス 2

  • インスタンス 3

37 %

10:

  • 10(2 ea.)

10

5:

  • インスタンス 1 - インスタンス 5

69%

10:

  • 6(2 ea.)

  • 4(2 ea.)

20:

  • 10

  • 10

5:

  • インスタンス 1 - インスタンス 3

  • インスタンス 4 - インスタンス 5

59%

14:

  • 12(2 ea.)

10

7:

  • インスタンス 1 - インスタンス 7

109%

許可しない

次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 1 つの SM-44 を備えた Firepower 9300 に適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。

1 つの SM-44 を備えた Firepower 9300 は、最大 14 のインスタンスをサポートできます。

表 4. 1 つの SM-44 を備えた Firepower 9300 上の 1 つの親のサブインターフェイスとインスタンス

専用サブインターフェイス

共有サブインターフェイス

インスタンス数

転送テーブルの使用率(%)

112:

  • 112(8 ea.)

0

14:

  • インスタンス 1 - インスタンス 14

17%

224:

  • 224(16 ea.)

0

14:

  • インスタンス 1 - インスタンス 14

17%

14:

  • 14(1 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

14:

  • 7(1 ea.)

  • 7(1 ea.)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

112:

  • 112(8 ea.)

1

14:

  • インスタンス 1 - インスタンス 14

46 %

112:

  • 56(8 ea.)

  • 56(8 ea.)

2:

  • 1

  • 1

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

112:

  • 112(8 ea.)

2

14:

  • インスタンス 1 - インスタンス 14

46 %

112:

  • 56(8 ea.)

  • 56(8 ea.)

4:

  • 2

  • 2

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

140:

  • 140(10 ea.)

10

14:

  • インスタンス 1 - インスタンス 14

46 %

140:

  • 70(10 ea.)

  • 70(10 ea.)

20:

  • 10

  • 10

14:

  • インスタンス 1 - インスタンス 7

  • インスタンス 8 - インスタンス 14

37 %

共有インターフェイス リソースの表示

転送テーブルと VLAN グループの使用状況を表示するには、scope fabric-interconnect show detail コマンドを入力します。次に例を示します。


Firepower# scope fabric-interconnect
DFirepower /fabric-interconnect # show detail

Fabric Interconnect:
    ID: A
    Product Name: Cisco FPR9K-SUP
    PID: FPR9K-SUP
    VID: V02
    Vendor: Cisco Systems, Inc.
    Serial (SN): JAD104807YN
    HW Revision: 0
    Total Memory (MB): 16185
    OOB IP Addr: 10.10.5.14
    OOB Gateway: 10.10.5.1
    OOB Netmask: 255.255.255.0
    OOB IPv6 Address: ::
    OOB IPv6 Gateway: ::
    Prefix: 64
    Operability: Operable
    Thermal Status: Ok
    Ingress VLAN Group Entry Count (Current/Max): 0/500
    Switch Forwarding Path Entry Count (Current/Max): 16/1021
    Current Task 1:
    Current Task 2:
    Current Task 3:

シャーシがパケットを分類する方法

シャーシに入ってくるパケットはいずれも分類する必要があります。その結果、シャーシは、どのインスタンスにパケットを送信するかを決定できます。

  • 一意のインターフェイス:入力インターフェイスと関連付けられているインスタンスが 1 つのみの場合、シャーシはパケットをそのインスタンスに分類します。ブリッジ グループ メンバ インターフェイス(トランスペアレント モードまたはルーテッド モード)、インライン セット、またはパッシブ インターフェイスの場合は、この方法を常にパケットの分類に使用します。

  • 一意の MAC アドレス:シャーシは、共有インターフェイスを含むすべてのインターフェイスに一意の MAC アドレスを自動的に生成します。複数のインスタンスが同じインターフェイスを共有している場合、分類子には各インスタンスでそのインターフェイスに割り当てられた一意の MAC アドレスが使用されます。一意の MAC アドレスがないと、アップストリーム ルータはインスタンスに直接ルーティングできません。アプリケーション内で各インターフェイスを設定するときに、手動で MAC アドレスを設定することもできます。ただし、MAC アドレスを手動で設定すると、サブインターフェイスを共有していない場合でも、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。


(注)  

宛先 MAC アドレスがマルチキャストまたはブロードキャスト MAC アドレスの場合、パケットが複製されて各インスタンスに送信されます。


分類例

次の図に、外部インターフェイスを共有する複数のインスタンスを示します。インスタンス C にはルータがパケットを送信する MAC アドレスが含まれているため、分類子はパケットをインスタンス C に割り当てます。

図 1. MAC アドレスを使用した共有インターフェイスのパケット分類

内部ネットワークからのものを含め、新たに着信するトラフィックすべてが分類される点に注意してください。次の図に、インターネットにアクセスするネットワーク内のインスタンス C のホストを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/2.3 で、このイーサネットがインスタンス C に割り当てられているためです。

図 2. 内部ネットワークからの着信トラフィック

トランスペアレント ファイアウォールでは、固有のインターフェイスを使用する必要があります。次の図に、ネットワーク内のインスタンス C のホストに向けられたインターネットからのパケットを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/2.3 で、このイーサネットがインスタンス C に割り当てられているためです。

図 3. トランスペアレント ファイアウォール インスタンス

インライン セットの場合、一意のインターフェイスを使用する必要があり、そのインターフェイスは物理インターフェイスまたは Etherchannel である必要があります。次の図に、ネットワーク内のインスタンス C のホストに向けられたインターネットからのパケットを示します。分類子は、パケットをインスタンス C に割り当てます。これは、入力インターフェイスがイーサネット 1/5 で、このイーサネットがインスタンス C に割り当てられているためです。

図 4. FTD のインライン セット

コンテナ インスタンスのカスケード

別のインスタンスの前にコンテナ インスタンスを直接配置することをカスケード コンテナ インスタンスと呼びます。1 つのインスタンスの外部インターフェイスは、別のインスタンスの内部インターフェイスと同じインターフェイスです。いくつかのインスタンスの設定を単純化する場合、最上位のインスタンスの共有パラメータを設定することで、インスタンスをカスケードできます。

次の図に、ゲートウェイの背後に 2 つのインスタンスがあるゲートウェイ インスタンスを示します。

図 5. コンテナ インスタンスのカスケード

一般的な複数インスタンス展開

次の例には、ルーテッド ファイアウォール モードのコンテナ インスタンスが 3 つ含まれます。これらには次のインターフェイスが含まれます。

  • 管理:すべてのインスタンスがポートチャネル 1 インターフェイス(管理タイプ)を使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各アプリケーション内で、インターフェイスは同じ管理ネットワークで一意の IP アドレスを使用します。

  • 内部:各インスタンスがポートチャネル 2(データ タイプ)のサブインターフェイスを使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各サブインターフェイスは別々のネットワーク上に存在します。

  • 外部:すべてのインスタンスがポートチャネル 3 インターフェイス(データ共有タイプ)を使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各アプリケーション内で、インターフェイスは同じ管理ネットワークで一意の IP アドレスを使用します。

  • フェールオーバー:各インスタンスがポートチャネル 4(データ タイプ)のサブインターフェイスを使用します。この EtherChannel には 2 つの 10 ギガビット イーサネット インターフェイスが含まれます。各サブインターフェイスは別々のネットワーク上に存在します。

一般的な複数インスタンス展開

コンテナ インスタンス インターフェイスの自動 MAC アドレス

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。

アプリケーション内の共有インターフェイスに MAC アドレスを手動で割り当てると、手動で割り当てられた MAC アドレスが使用されます。後で手動 MAC アドレスを削除すると、自動生成されたアドレスが使用されます。生成した MAC アドレスがネットワーク内の別のプライベート MAC アドレスと競合することがまれにあります。この場合は、アプリケーション内のインターフェイスの MAC アドレスを手動で設定してください。

自動生成されたアドレスは A2 で始まるため、アドレスが重複するリスクがあることから手動 MAC アドレスを A2 で始めることはできません。


(注)  

MAC アドレスを手動で設定すると、サブインターフェイスを共有していない場合でも、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。


FXOS シャーシは、次の形式を使用して MAC アドレスを生成します。

A2xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィックスまたはシステム定義のプレフィックスであり、zz.zzzz はシャーシが生成した内部カウンタです。システム定義のプレフィックスは、IDPROM にプログラムされている Burned-in MAC アドレス プール内の最初の MAC アドレスの下部 2 バイトと一致します。connect fxos を使用し、次に show module を使用して、MAC アドレス プールを表示します。たとえば、モジュール 1 について示されている MAC アドレスの範囲が b0aa.772f.f0b0 ~ b0aa.772f.f0bf の場合、システム プレフィックスは f0b0 になります。

ユーザ定義のプレフィックスは、16 進数に変換される整数です。ユーザ定義のプレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、シャーシは 77 を 16 進数値 004D(yyxx)に変換します。MAC アドレスで使用すると、プレフィックスはシャーシ ネイティブ形式に一致するように逆にされます(xxyy)。

A24D.00zz.zzzz

プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

A2F1.03zz.zzzz

コンテナ インスタンスのリソース管理

コンテナ インスタンスごとのリソース使用率を指定するには、FXOS で 1 つまたは複数のリソース プロファイルを作成します。論理デバイス/アプリケーション インスタンスを展開する場合は、使用するリソース プロファイルを指定します。リソース プロファイルは CPU コアの数を設定します。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。モデルごとの使用可能なリソースを表示するには、コンテナ インスタンスの要件と前提条件を参照してください。リソース プロファイルを追加するには、コンテナ インスタンスのリソース プロファイルの追加を参照してください。

コンテナ インスタンスおよびハイ アベイラビリティ

2 つの個別のシャーシでコンテナ インスタンスを使用してハイ アベイラビリティを使用できます。たとえば、10 個のインスタンスを持つシャーシを 2 つ使用する場合は、10 個のハイ アベイラビリティ ペアを作成できます。ハイ アベイラビリティは FXOS で構成されません。各ハイ アベイラビリティ ペアはアプリケーション マネージャで構成します。

各装置で同じリソース プロファイル属性を使用する必要があります。

各ハイ アベイラビリティ ペアには専用のフェールオーバー リンクが必要です。データ共有インターフェイスを使用することはできません。親インターフェイスでサブインターフェイスを作成し、各インスタンスのサブインターフェイスを割り当てて、フェールオーバー リンクとして使用することをお勧めします。


(注)  

クラスタリングはサポートされません。


エンドツーエンドの手順

この手順では、マルチインスタンス環境に必要なすべての要素を設定します。

手順


ステップ 1

コンテナ インスタンスのリソース プロファイルの追加

シャーシには、「Default-Small」と呼ばれるデフォルト リソース プロファイルが含まれています。このコア数は最小です。このプロファイルだけを使用しない場合は、コンテナ インスタンスを追加する前にプロファイルを追加する必要があります。

ステップ 2

(任意) MAC プール プレフィックスの追加とコンテナ インスタンス インターフェイスの MAC アドレスの表示

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。必要に応じて、生成で使用されるプレフィクスを定義できます。

ステップ 3

インターフェイスの設定

ネイティブ インスタンスと同じ方法で、コンテナ インスタンスでインターフェイスを使用できます。ただし、VLAN サブインターフェイスとデータ共有インターフェイスは、コンテナ インスタンスでのみ使用でき、展開の拡張性と柔軟性を提供します。このガイドでは、共有インターフェイスの制限事項について必ずお読みください。

ステップ 4

スタンドアロン Firepower Threat Defense の追加

コンテナ インスタンスは、スタンドアロン デバイスまたはフェールオーバー ペアとしてFTDでのみサポートされます。クラスタリングはサポートされていません。

ステップ 5

ハイ アベイラビリティ ペアの追加

ハイ アベイラビリティ ペアを展開する場合は、このセクションの要件を参照してください。


コンテナ インスタンスの要件と前提条件

サポートされるアプリケーション タイプ

  • Firepower Threat Defense

FTD:モデルごとの最大コンテナ インスタンス数とリソース

各コンテナ インスタンスに対して、インスタンスに割り当てる CPU コアの数を指定できます。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。

表 5. モデルごとの最大コンテナ インスタンス数とリソース

モデル

最大コンテナ インスタンス数

使用可能な CPU コア数

使用可能な RAM

使用可能なディスク容量

Firepower 4110

3

22

53 GB

125.6 GB

Firepower 4120

3

46

101 GB

125.6 GB

Firepower 4140

7

70

222 GB

311.8 GB

Firepower 4150

7

86

222 GB

311.8 GB

Firepower 9300 SM-24 セキュリティ モジュール

7

46

226 GB

656.4 GB

Firepower 9300 SM-36 セキュリティ モジュール

11

70

222 GB

640.4 GB

Firepower 9300 SM-44 セキュリティ モジュール

14

86

218 GB

628.4 GB

注意事項と制約事項

一般的な注意事項

  • コンテナ インスタンスでのマルチインスタンス機能は、FTD に対してのみ使用可能です。

  • FTD コンテナ インスタンスの場合、1 つの Firepower Management Centerセキュリティ モジュール/エンジン のすべてのインスタンスを管理する必要があります。

  • FTD コンテナ インスタンスの場合、次の機能はサポートされていません。

    • クラスタ

    • Radware DefensePro リンク デコレータ

    • FMC バックアップおよび復元

    • FMC UCAPL/CC モード


    (注)  

    SSL HW のアクセラレーションは、モジュール/セキュリティ エンジンの 1 つのコンテナ インスタンスでのみサポートされています。SSL のハードウェア アクセラレーションが他のコンテナ インスタンスで無効になっています。詳細については、『Firepower Management Center Configuration Guide』を参照してください。


VLAN サブインターフェイス

  • ネットワーク導入に応じて、最大 500 の VLAN ID を使用してシャーシあたり 250 ~ 500 のサブインターフェイスを作成できます。

  • サブインターフェイスは、データまたはデータ共有タイプのインターフェイスでのみサポートされます。

  • サブインターフェイス(および親インターフェイス)はコンテナ インスタンスにのみ割り当てることができます。


    (注)  

    コンテナ インスタンスに親インターフェイスを割り当てる場合、タグなし(非 VLAN)トラフィックのみを渡します。タグなしトラフィックを渡す必要がない限り、親インターフェイスを割り当てないでください。


  • 論理デバイス アプリケーション内の次の制限事項を確認してください。インターフェイスの割り当てを計画する際は、これらの制限事項に留意してください。

    • FTD インライン セットのサブインターフェイスを使用することはできません。また、パッシブ インターフェイスとして使用することはできません。

    • フェールオーバー リンクに対してサブインターフェイスを使用する場合、その親にあるすべてのサブインターフェイスと親自体のフェールオーバー リンクとしての使用が制限されます。一部のサブインターフェイスをフェールオーバー リンクとして使用し、一部を通常のデータ インターフェイスとして使用することはできません。

データ共有インターフェイス

  • 共有インターフェイスごとの最大インスタンス数:14。たとえば、Instance14 を介して Instance1 に Ethernet1/1 を割り当てることができます。

  • インスタンスごとの最大共有インターフェイス:10。たとえば、Ethernet1/1.10 を介して Instance1 に Ethernet1/1.1 を割り当てることができます。

  • ネイティブ インスタンスでデータ共有インターフェイスを使用することはできません。

  • 論理デバイス アプリケーション内の次の制限事項を確認してください。インターフェイスの割り当てを計画する際は、これらの制限事項に留意してください。

    • トランスペアレント ファイアウォール モード デバイスではデータ共有インターフェイスを使用することはできません。

    • FTD インライン セットでまたはパッシブ インターフェイスとしてデータ共有インターフェイスを使用することはできません。

    • フェールオーバー リンクに対してデータ共有インターフェイスを使用することはできません。

デフォルトの MAC アドレス

すべてのインターフェイスの MAC アドレスは、MAC アドレス プールから取得されます。コンテナ インスタンス インターフェイスの自動 MAC アドレスを参照してください。

コンテナ インスタンスのリソース プロファイルの追加

コンテナ インスタンスごとにリソース使用率を指定するには、1 つまたは複数のリソース プロファイルを作成します。論理デバイス/アプリケーション インスタンスを展開するときに、使用するリソース プロファイルを指定します。リソース プロファイルは CPU コアの数を設定します。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。

  • コアの最小数は 6 です。

  • 内部アーキテクチャにより 8 コアを指定することはできません。

  • コアを偶数(6、10、12、14 など)で最大値まで割り当てることができます。

  • 利用可能な最大コア数は、セキュリティ モジュール / シャーシ モデルによって異なります。コンテナ インスタンスの要件と前提条件を参照してください。

シャーシには、「Default-Small」と呼ばれるデフォルト リソース プロファイルが含まれています。このコア数は最小です。このプロファイルの定義を変更したり、使用されていない場合には削除することもできます。シャーシをリロードし、システムに他のプロファイルが存在しない場合は、このプロファイルが作成されます。

現在使用されている場合、リソース プロファイル設定を変更することはできません。それを使用しているすべてのインスタンスを無効にしてから、リソース プロファイルを変更し、最後にインスタンスを再度有効にする必要があります。確立されたハイ アベイラビリティ ペア内のインスタンスのサイズを変更する場合、できるだけ早くすべてのメンバを同じサイズにする必要があります。

FTD インスタンスを FMC に追加した後にリソース プロファイル設定を変更する場合は、[Devices] > [Device Management] > [Device] > [System] > [Inventory] ダイアログボックスで各ユニットのインベントリを更新します。

手順


ステップ 1

[Platform Settings] > [Resource Profiles] を選択し、[Add] をクリックします。

[Add Resource Profile] ダイアログボックスが表示されます。

ステップ 2

次のパラメータを設定します。

  • Name:プロファイルの名前を 1 ~ 64 文字で設定します。追加後にこのプロファイルの名前を変更することはできません。

  • Description:プロファイルの説明を最大 510 文字で設定します。

  • Number of Cores:シャーシに応じて、プロファイルのコア数を 6 ~ 最大数(偶数)で設定します。8 コアを指定することはできません。

ステップ 3

[OK] をクリックします。


MAC プール プレフィックスの追加とコンテナ インスタンス インターフェイスの MAC アドレスの表示

FXOS シャーシは、各インスタンスの共有インターフェイスが一意の MAC アドレスを使用するように、コンテナ インスタンス インターフェイスの MAC アドレスを自動的に生成します。FXOS シャーシは、次の形式を使用して MAC アドレスを生成します。

A2xx.yyzz.zzzz

xx.yy はユーザ定義のプレフィックスまたはシステム定義のプレフィックスであり、zz.zzzz はシャーシが生成した内部カウンタです。システム定義のプレフィックスは、IDPROM にプログラムされている Burned-in MAC アドレス プール内の最初の MAC アドレスの下部 2 バイトと一致します。connect fxos を使用し、次に show module を使用して、MAC アドレス プールを表示します。たとえば、モジュール 1 について示されている MAC アドレスの範囲が b0aa.772f.f0b0 ~ b0aa.772f.f0bf の場合、システム プレフィックスは f0b0 になります。

詳細については、「コンテナ インスタンス インターフェイスの自動 MAC アドレス」を参照してください。

この手順では、MAC アドレスの表示方法と生成で使用されるプレフィックスのオプションの定義方法について説明します。


(注)  

論理デバイスの展開後に MAC アドレスのプレフィックスを変更すると、トラフィックが中断される可能性があります。


手順


ステップ 1

[Platform Settings] > [Mac Pool] を選択します。

このページには、MAC アドレスを使用したコンテナ インスタンスやインターフェイスとともに生成された MAC アドレスが表示されます。

ステップ 2

(任意) MAC アドレスの生成時に使用される MAC アドレスのプレフィックスを追加します。

  1. [Add Prefix] をクリックします。

    [Set the Prefix for the MAC Pool] ダイアログ ボックスが表示されます。

  1. 1 ~ 65535 の 10 進数を入力します。このプレフィックスは 4 桁の 16 進数値に変換され、MAC アドレスの一部として使用されます。

    プレフィックスの使用方法を示す例の場合、プレフィックス 77 を設定すると、シャーシは 77 を 16 進数値 004D(yyxx)に変換します。MAC アドレスで使用すると、プレフィックスはシャーシ ネイティブ形式に一致するように逆にされます(xxyy)。

    A24D.00zz.zzzz

    プレフィックス 1009(03F1)の場合、MAC アドレスは次のようになります。

    A2F1.03zz.zzzz

  2. [OK] をクリックします。

    プレフィックスを使用して新しい MAC アドレスが生成され、割り当てられます。現在のプレフィックスと生成される 16 進数はテーブルの上に表示されます。


インターフェイスの設定

デフォルトでは、物理インターフェイスは無効になっています。インターフェイスを有効にし、EtherChannels を追加して、VLAN サブインターフェイスを追加し、、インターフェイス プロパティを編集して、ブレークアウト ポートを設定できます


(注)  

FXOS でインターフェイスを削除した場合(たとえば、ネットワーク モジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど)、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。


物理インターフェイスの設定

インターフェイスを物理的に有効および無効にすること、およびインターフェイスの速度とデュプレックスを設定することができます。インターフェイスを使用するには、インターフェイスを FXOS で物理的に有効にし、アプリケーションで論理的に有効にする必要があります。

始める前に

  • すでに EtherChannel のメンバーであるインターフェイスは個別に変更できません。EtherChannel に追加する前に、設定を行ってください。

手順


ステップ 1

[Interfaces] を選択して [Interfaces] ページを開きます。

[All Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

ステップ 2

編集するインターフェイスの行の [Edit] をクリックし、[Edit Interface] ダイアログボックスを開きます。

ステップ 3

インターフェイスをイネーブルにするには、[Enable] チェックボックスをオンにします。インターフェイスをディセーブルにするには、[Enable] チェックボックスをオフにします。

ステップ 4

インターフェイスの [Type] を次から選択します。DataData-sharingMgmtFirepower-eventing、または Cluster

[Cluster] タイプは選択しないでください。デフォルトでは、Cluster Control Link はポートチャネル 48 に自動的に作成されます。

ステップ 5

(任意) [Speed] ドロップダウン リストからインターフェイスの速度を選択します。

ステップ 6

(任意) インターフェイスで [Auto Negotiation] がサポートされている場合は、[Yes] または [No] オプション ボタンをクリックします。

ステップ 7

(任意) [Duplex] ドロップダウン リストからインターフェイスのデュプレックスを選択します。

ステップ 8

[OK] をクリックします。


EtherChannel(ポート チャネル)の追加

EtherChannel(別名ポート チャネル)には、同じタイプのメンバー インターフェイスを最大 16 個含めることができます。リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理データまたはデータ共有インターフェイスを次のように設定できます。

  • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

  • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。


(注)  

モードを On から Active に変更するか、Active から On に変更すると、EtherChannel が動作状態になるまで最大 3 分かかることがあります。


非データ インターフェイスはアクティブ モードのみをサポートします。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。 「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [Suspended] 状態になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [Suspended] 状態になります。

  • EtherChannel がスタンドアロン論理デバイスのデータまたは管理インターフェイスとして追加された

  • EtherChannel がクラスタの一部である論理デバイスの管理インターフェイスまたは Cluster Control Link として追加された

  • EtherChannel がクラスタの一部である論理デバイスのデータ インターフェイスとして追加され、少なくとも 1 つのユニットがクラスタに参加している

EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [Suspended] 状態に戻ります。

手順


ステップ 1

[Interfaces] を選択して [Interfaces] ページを開きます。

[All Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

ステップ 2

インターフェイス テーブルの上にある [Add Port Channel]をクリックして、[Add Port Channel]ダイアログボックスを開きます。

ステップ 3

[Port Channel ID]フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。

クラスタ化した論理デバイスを導入すると、ポートチャネル 48 はクラスタ制御リンク用に予約されます。クラスタ制御リンクにポートチャネル 48 を使用しない場合は、別の ID で EtherChannel を設定し、インターフェイスにクラスタ タイプを選択できます。シャーシ内クラスタリングでは、インターフェイスをクラスタ EtherChannel に割り当てないでください。

ステップ 4

ポート チャネルを有効化するには、[Enable]チェックボックスをオンにします。ポート チャネルをディセーブルにするには、[Enable]チェックボックスをオフにします。

ステップ 5

インターフェイスの [Type] を次から選択します。[Data][Data-sharing][Mgmt][Firepower-eventing]、または [Cluster]

デフォルトの代わりに、このポートチャネルを Cluster Control Link として使用する場合以外は、[Cluster\ タイプを選択しないでください。

ステップ 6

ドロップダウン リストでメンバ インターフェイスの [Admin Speed] を設定します。

ステップ 7

データまたはデータ共有インターフェイスに対して、LACP ポートチャネル [Mode]、[Active] または [On] を選択します。

非データまたはデータ共有インターフェイスの場合、モードは常にアクティブです。

ステップ 8

[Admin Duplex]、[Full Duplex] または [Half Duplex] を設定します。

ステップ 9

ポート チャネルにインターフェイスを追加するには、[Available Interface]リストでインターフェイスを選択し、[Add Interface]をクリックしてそのインターフェイスを [Member ID] リストに移動します。同じタイプと速度の最大 16 のインターフェイスを追加できます。

ヒント 

複数のインターフェイスを一度に追加できます。複数の個別インターフェイスを選択するには、Ctrlキーを押しながら目的のインターフェイスをクリックします。一連のインターフェイスを選択するには、その範囲の最初のインターフェイスを選択し、Shiftキーを押しながら最後のインターフェイスをクリックして選択します。

ステップ 10

ポート チャネルからインターフェイスを削除するには、[Member ID]リストでそのインターフェイスの右側にある[Delete]ボタンをクリックします。

ステップ 11

[OK]をクリックします。


コンテナ インスタンスへの VLAN サブインターフェイスの追加

ネットワーク配置に応じて、250 ~ 500 の VLAN サブインターフェイスをシャーシに追加できます。

インターフェイスごとの VLAN ID は一意であることが必要です。またコンテナ インスタンス内では、すべての割り当てられたインターフェイスで VLAN ID が一意であることが必要です。異なるコンテナ インターフェイスに割り当てられている限り、VLAN ID を別のインターフェイス上で再利用できます。ただし、同じ ID を使用していても、各サブインターフェイスが制限のカウント対象になります。

ネイティブ インスタンスの場合、アプリケーション内でのみ VLAN サブインターフェイスを作成できます。コンテナ インスタンスの場合、FXOS VLAN サブインターフェイスが定義されていないインターフェイスのアプリケーション内でも VLAN サブインターフェイスを作成できます。これらのサブインターフェイスには FXOS 制限が適用されません。サブインターフェイスを作成するオペレーティング システムの選択は、ネットワーク導入および個人設定によって異なります。たとえば、サブインターフェイスを共有するには、FXOS でサブインターフェイスを作成する必要があります。FXOS サブインターフェイスを優先するもう 1 つのシナリオでは、1 つのインターフェイス上の別のサブインターフェイス グループを複数のインスタンスに割り当てます。たとえば、インスタンス A で VLAN 2-11 を、インスタンス B で VLAN 12-21 を、インスタンス C で VLAN 22-31 を使用して Port-Channel1 を使うとします。アプリケーション内でこれらのサブインターフェイスを作成する場合、FXOS 内で親インターフェイスを共有しますが、これはお勧めしません。このシナリオを実現する 3 つの方法については、次の図を参照してください。

VLAN サブインターフェイスのシナリオ

手順


ステップ 1

[Interfaces] を選択して [All Interfaces] タブを開きます。

[All Interfaces] タブには、ページの上部に現在インストールされているインターフェイスが視覚的に表示され、下の表にはインストールされているインターフェイスのリストが示されています。

ステップ 2

[Add New > Subinterface] をクリックして [Add Subinterface] ダイアログボックスを開きます。

ステップ 3

インターフェイス [Type][Data] または [Data-sharing] を選択します。

サブインターフェイスはデータまたはデータ共有タイプのインターフェイスでのみサポートされます。タイプは親インターフェイスのタイプに依存しません。たとえば、データ共有タイプの親インターフェイスとデータ タイプのサブインターフェイスを持つことができます。

ステップ 4

ドロップダウンリストから親 [Interface] を選択します。

現在論理デバイスに割り当てられている物理インターフェイスにサブインターフェイスを追加することはできません。親の他のサブインターフェイスが割り当てられている場合は、親インターフェイス自体が割り当てられていない限り、新しいサブインターフェイスを追加できます。

ステップ 5

[Subinterface ID] を 1 ~ 4294967295 で入力します。

この ID は interface_id.subinterface_id として親インターフェイスの ID に付加されます。たとえば、サブインターフェイスを ID 100 でイーサネット 1/1 に追加する場合、そのサブインターフェイス ID はイーサネット 1/1.100 になります。利便性を考慮して一致するように設定することができますが、この ID は VLAN ID と同じではありません。

ステップ 6

1 ~ 4095 の間で [VLAN ID] を設定します。

ステップ 7

[OK] をクリックします。

親インターフェイスを展開して、その下にあるすべてのサブインターフェイスを表示します。


スタンドアロン Firepower Threat Defense の追加

スタンドアロンの論理デバイスは、単独またはハイ アベイラビリティ ペアで動作します。複数のセキュリティ モジュールを搭載する Firepower 9300 では、クラスタまたはスタンドアロン デバイスを導入できます。クラスタはすべてのモジュールを使用する必要があるため、たとえば、2 モジュール クラスタと単一のスタンドアロン デバイスをうまく組み合わせることはできません。

一部のモジュールでネイティブ インスタンスを使用し、その他のモジュールでコンテナ インスタンスを使用することができます。

始める前に

  • 論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードしてCisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower 4100/9300 シャーシFirepower セキュリティ アプライアンスへのイメージのアップロードを参照)アップロードします。


    (注)  

    Firepower 9300 の場合、異なるアプリケーション タイプ(ASA と FTD)をシャーシ内の別個のモジュールにインストールすることができます。別個のモジュールでは、異なるバージョンのアプリケーション インスタンス タイプも実行できます。


  • 論理デバイスで使用する管理インターフェイスを設定します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理ポートと同じではありません(シャーシ管理インターフェイスは、[Interfaces] タブの上部に [MGMT] として表示されます)

  • また、少なくとも 1 つのデータ型インターフェイスを設定する必要があります。必要に応じて、すべてのイベントのトラフィック(Web イベントなど)を運ぶ firepower-eventing インターフェイスも作成できます。詳細については、「インターフェイス タイプ」を参照してください。

  • コンテナ インスタンスに対して、デフォルトのプロファイルを使用しない場合は、コンテナ インスタンスのリソース プロファイルの追加に従ってリソース プロファイルを追加します。

  • コンテナ インスタンスの場合、最初にコンテナ インスタンスをインストールする前に、ディスクが正しいフォーマットになるように セキュリティ モジュール/エンジン を再度初期化する必要があります。[Security Modules] または [Security Engine] を選択して、[[Reinitialize] アイコン([reinitialize] アイコン)] をクリックします。既存の論理デバイスは削除されて新しいデバイスとして再インストールされるため、ローカルのアプリケーション設定はすべて失われます。ネイティブ インスタンスとコンテナ インスタンスを交換する場合は、必ずネイティブ インスタンスを削除する必要があります。ネイティブ インスタンスをコンテナ インスタンスに自動的に移行することはできません。 詳細については、セキュリティ モジュール/エンジンの再初期化を参照してください。

  • 次の情報を用意します。

    • このデバイスのインターフェイス ID

    • 管理インターフェイス IP アドレスとネットワーク マスク

    • ゲートウェイ IP アドレス

    • FMC 選択した IP アドレスおよび/または NAT ID

    • DNS サーバの IP アドレス。

    • FTD ホスト名とドメイン名

手順


ステップ 1

[Logical Devices] を選択します。

ステップ 2

[Add Device] をクリックし、次のパラメータを設定します。

  1. デバイス名を入力します。

    この名前は、シャーシ スーパバイザが管理設定を行ってインターフェイスを割り当てるために使用します。これはアプリケーション設定で使用されるデバイス名ではありません。

  2. [Template] では、[Cisco Firepower Threat Defense] を選択します。

  3. [Image Version] を選択します。

  4. [Instance Type] で [Container] または [Native] を選択します。

    ネイティブ インスタンスはセキュリティ モジュール/エンジンのすべてのリソース(CPU、RAM、およびディスク容量)を使用するため、ネイティブ インスタンスを 1 つのみインストールできます。コンテナ インスタンスでは、セキュリティ モジュール/エンジンのリソースのサブセットを使用するため、複数のコンテナ インスタンスをインストールできます。

  5. [Device Mode] では、[Standalone] オプション ボタンをクリックします。

  6. [OK] をクリックします。

    [Provisioning - device name] ウィンドウが表示されます。

ステップ 3

[Data Ports] 領域を展開し、デバイスに割り当てるインターフェイスをそれぞれクリックします。

[Interfaces] ページでは、以前に有効にしたデータとデータ共有インターフェイスのみを割り当てることができます。後でFMCのこれらのインターフェイスを有効にして設定します。これには、IP アドレスの設定も含まれます。

コンテナ インスタンスごとに最大 10 のデータ共有インターフェイスを割り当てることができます。また、各データ共有インターフェイスは、最大 14 個のコンテナ インスタンスに割り当てることができます。データ共有インターフェイスは [sharing] アイコン([sharing] アイコン で示されます。

ハードウェア バイパス 対応のポートは次のアイコンで表示されます:。特定のインターフェイス モジュールでは、インライン セット インターフェイスに対してのみハードウェア バイパス機能を有効にできます(FMC設定ガイドを参照)。ハードウェア バイパスは、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。ハードウェア バイパス ペアの両方のインターフェイスとも割り当てられていない場合、割り当てが意図的であることを確認する警告メッセージが表示されます。ハードウェア バイパス 機能を使用する必要はないため、単一のインターフェイスを割り当てることができます。

ステップ 4

画面中央のデバイス アイコンをクリックします。

初期ブートストラップ設定を設定できるダイアログボックスが表示されます。これらの設定は、初期導入専用、またはディザスタ リカバリ用です。通常の運用では、後でアプリケーション CCLI 設定のほとんどの値を変更できます。

ステップ 5

[General Information] タブで、次の手順を実行します。

  1. (Firepower 9300 の場合)[Security Module Selection] の下で、この論理デバイスに使用するセキュリティ モジュールをクリックします。

  2. コンテナのインスタンスでは、リソースのプロファイルを指定します。

    後でさまざまなリソース プロファイルを割り当てると、インスタンスがリロードされ、これには約 5 分かかることがあります。確立されたハイ アベイラビリティ ペアの場合に、異なるサイズのリソース プロファイルを割り当てるときは、すべてのメンバのサイズが同じであることをできるだけ早く確認してください。

  3. [Management Interface] を選択します。

    このインターフェイスは、論理デバイスを管理するために使用されます。このインターフェイスは、シャーシ管理ポートとは別のものです。

  4. 管理インターフェイスの [Address Type] を [IPv4 only]、[IPv6 only]、または [IPv4 and IPv6] から選択します。

  5. [Management IP] アドレスを設定します。

    このインターフェイスの固有の IP アドレスを設定します。

  6. ネットワーク マスクまたはプレフィックス長を入力します。

  7. ネットワーク ゲートウェイ アドレスを入力します。

ステップ 6

[Settings] タブで、次の手順を実行します。

  1. 登録時にFMCとデバイス間で共有する [Registration Key] を入力します。

    このキーには、1 ~ 37 文字の任意のテキスト文字列を選択できます。FTDを追加するときに、 FMCに同じキーを入力します。

  2. CLI アクセスのFTD管理ユーザの [Password] を入力します。

  3. 管理FMCFirepower Management Center の IP を入力します。FMC の IP アドレスがわからない場合は、このフィールドを空白のままにし、[Firepower Management Center NAT ID] フィールドにパスフレーズを入力します。

  4. FTD SSH セッションからエキスパート モード、[Yes] 、または [No] を許可します。エキスパート モードでは、高度なトラブルシューティングに FTD シェルからアクセスできます。

    このオプションで [Yes] を選択すると、SSH セッションからコンテナ インスタンスに直接アクセスするユーザがエキスパート モードを開始できます。このオプションで [No] を選択すると、FXOS CLI からコンテナ インスタンスにアクセスするユーザがエキスパート モードを開始できます。インスタンス間の分離を増やすには、[No] を選択することをお勧めします。

    マニュアルの手順で求められた場合、または Cisco Technical Assistance Center から求められた場合のみ、エキスパート モードを使用します。このモードを開始するには、FTD CLI で expert コマンドを使用します。

  5. カンマ区切りリストとして [Search Domains] を入力します。

  6. [Firewall Mode] に[Transparen] または [Routed] を選択します。

    ルーテッド モードでは、FTDはネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。これに対し、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように動作するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

    ファイアウォール モードは初期展開時にのみ設定します。ブートストラップの設定を再適用する場合、この設定は使用されません。

  7. カンマ区切りリストとして [DNS Servers] を入力します。

    たとえば、FMCのホスト名を指定する場合、FTDは DNS を使用します。

  8. (任意) Firepower Management Center NAT IDを入力します。これは、新しいデバイスを追加するときに FMC でも入力します。

    通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。NAT ID として、1 ~ 37 文字の任意のテキスト文字列を指定できます。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。

  9. FTD完全修飾ホスト名を入力します。

  10. Firepower イベントの送信に使用する [Eventing Interface] を選択します。指定しない場合は、管理インターフェイスが使用されます。

    このインターフェイスは、Firepower イベント インターフェイスとして定義する必要があります。

ステップ 7

[Agreement] タブで、エンド ユーザ ライセンス(EULA)を読んで、同意します。

ステップ 8

[OK] をクリックして、設定ダイアログボックスを閉じます。

ステップ 9

[Save] をクリックします。

シャーシは、指定したソフトウェア バージョンをダウンロードし、アプリケーション インスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。[ 論理デバイス(Logical Devices) ] ページで、新しい論理デバイスのステータスを確認します。論理デバイスの [Status] が [online] と表示されたら、アプリケーションでセキュリティポリシーの設定を開始できます。

ステップ 10

FTDを管理デバイスとして追加し、セキュリティ ポリシーの設定を開始するには、FMC設定ガイドを参照してください。


ハイ アベイラビリティ ペアの追加

Firepower Threat Defense またはASAハイ アベイラビリティ(フェールオーバーとも呼ばれる)は、FXOS ではなくアプリケーション内で設定されます。ただし、ハイ アベイラビリティのシャーシを準備するには、次の手順を参照してください。

始める前に

  • ハイ アベイラビリティ フェールオーバー設定の 2 つのユニットは、次のことを行う必要があります。

    • 同じモデルであること。

    • ハイ アベイラビリティ論理デバイスに同じインターフェイスが割り当てられていること。

    • インターフェイスの数とタイプが同じであること。ハイ アベイラビリティを有効にする前に、すべてのインターフェイスを FXOS で同じように事前設定する必要があります。

  • 他の高可用性システム要件については、アプリケーションの構成ガイドの高可用性に関する章を参照してください。

手順


ステップ 1

各論理デバイスは個別のシャーシ上にある必要があります。Firepower 9300 のシャーシ内のハイ アベイラビリティは推奨されず、サポートされない可能性があります。

ステップ 2

各論理デバイスに同一のインターフェイスを割り当てます。

ステップ 3

フェールオーバー リンクとステート リンクに 1 つまたは 2 つのデータ インターフェイスを割り当てます。

これらのインターフェイスは、2 つのシャーシ間でハイ アベイラビリティ トラフィックを交換します。統合されたフェールオーバー リンクとステート リンクには、10 GB のデータ インターフェイスを使用することを推奨します。使用可能なインターフェイスがあれば、別のフェールオーバーおよびステートのリンクを使用できます。ステート リンクには、ほとんどの帯域幅が必要です。フェールオーバー リンクまたはステート リンクに管理タイプのインターフェイスを使用することはできません。同じネットワーク セグメント上で他のデバイスをフェールオーバー インターフェイスとして使用せずに、シャーシ間でスイッチを使用することをお勧めします。

コンテナ インスタンスの場合、データ共有インターフェイスは、フェールオーバー リンクではサポートされていません。親インターフェイスまたは EtherChannel でサブインターフェイスを作成し、各インスタンスのサブインターフェイスを割り当てて、フェールオーバー リンクとして使用することをお勧めします。同じ親のすべてのサブインターフェイスをフェールオーバー リンクとして使用する必要があることに注意してください。あるサブインターフェイスをフェールオーバー リンクとして使用し、他のサブインターフェイス(または親インターフェイス)を通常のデータ インターフェイスとして使用することはできません。

ステップ 4

論理デバイスでハイ アベイラビリテを有効にします。

ステップ 5

ハイ アベイラビリティを有効にした後にインターフェイスを変更する必要がある場合は、スタンバイ ユニットを最初に変更し、次にアクティブ ユニットを変更します。

(注)   

ASA の場合、FXOS でインターフェイスを削除すると(たとえば、ネットワーク モジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど)、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。


インターフェイスのトラブルシューティング

エラー:スイッチの転送パスに 1076 エントリがあり、1024 の制限を超えています。インターフェイスを追加する場合は、論理デバイスに割り当てられている共有インターフェイスの数を減らすか、論理デバイス共有インターフェイスの数を減らすか、または共有されていないサブインターフェイスを使用します。サブインターフェイスを削除すると、このメッセージが表示されます。これは、残りの設定がスイッチの転送パスのテーブル内に収まるように最適化されなくなったためです。削除の使用例に関するトラブルシューティング情報については、『FXOS 設定ガイド』を参照してください。[Scope ' fabric-interconnect '] の下の [show detail] を使用して、現在のスイッチ転送パスのエントリ数を表示します。

論理デバイスから共有サブインターフェイスを削除しようとしたときにこのエラーが表示される場合は、新しい設定が共有サブインターフェイス向けのこのガイドラインに従っていないためです。論理デバイスの同じグループと同じサブインターフェイスのセットを使用します。1 つの論理デバイスから共有サブインターフェイスを削除すると、さらに多くの VLAN グループを作成できるため、転送テーブルの使用効率が低くなります。この状況に対処するには、CLI を使用して共有サブインターフェイスを同時に追加および削除し、同じ論理デバイスのグループに対して同じサブインターフェイスのセットを維持する必要があります。

詳細については、次のシナリオを参照してください。これらのシナリオは、次のインターフェイスと論理デバイスから始まります。

  • 同じ親で設定された共有サブインターフェイス:Port-Channel1.100(VLAN 100)、Port-Channel1.200(VLAN 200)、Port-Channel1.300(VLAN 300)

  • 論理デバイス グループ:LD1、LD2、LD3、LD4

シナリオ 1:1 つの論理デバイスからサブインターフェイスを削除するが、他の論理デバイスに割り当てられたままにする

サブインターフェイスは削除しないでください。代わりに、アプリケーション設定で無効にするだけにしてください。サブインターフェイスを削除する必要がある場合は、一般に共有インターフェイスの数を減らして、転送テーブルに収まるようにする必要があります。

シナリオ 2:1 つの論理デバイスからセット内のすべてのサブインターフェイスを削除する

CLI で論理デバイスからセット内のすべてのサブインターフェイスを削除し、設定を保存して、削除が同時に行えるようにします。

  1. 参照用の VLAN グループを表示します。次の出力では、グループ 1 には、3 つの共有サブインターフェイスを表す VLAN 100、200、300 が含まれています。

    
    firepower# connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               100  present
                                               200  present
                                               300  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present
    firepower(fxos)# exit
    firepower#
    
    
  2. 変更する論理デバイスに割り当てられている共有サブインターフェイスを表示します。

    
    firepower# scope ssa
    firepower /ssa # scope logical-device LD1
    firepower /ssa/logical-device # show external-port-link
    
    External-Port Link:
        Name                           Port or Port Channel Name Port Type          App Name   Description
        ------------------------------ ------------------------- ------------------ ---------- -----------
        Ethernet14_ftd                 Ethernet1/4               Mgmt               ftd
        PC1.100_ftd                    Port-channel1.100         Data Sharing       ftd
        PC1.200_ftd                    Port-channel1.200         Data Sharing       ftd
        PC1.300_ftd                    Port-channel1.300         Data Sharing       ftd
    
    
  3. 論理デバイスからサブインターフェイスを削除してから、設定を保存します。

    
    firepower /ssa/logical-device # delete external-port-link PC1.100_ftd
    firepower /ssa/logical-device* # delete external-port-link PC1.200_ftd
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # commit-buffer
    firepower /ssa/logical-device #
    
    

    中間で設定をコミットした場合は、2 つの VLAN グループが終了したことになります。これにより、スイッチ転送パス エラーが生成され、設定を保存できなくなる可能性があります。

シナリオ 3:グループ内のすべての論理デバイスからサブインターフェイスを削除する

CLI でグループ内のすべての論理デバイスからサブインターフェイスを削除し、設定を保存して、削除が同時に行えるようにします。次に例を示します。

  1. 参照用の VLAN グループを表示します。次の出力では、グループ 1 には、3 つの共有サブインターフェイスを表す VLAN 100、200、300 が含まれています。

    
    firepower# connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               100  present
                                               200  present
                                               300  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present 
  2. 各論理デバイスに割り当てられているインターフェイスを表示し、共通の共有サブインターフェイスに注意してください。同じ親インターフェイス上に存在する場合、それらは 1 つの VLAN グループに属し、 show ingress-vlan-groups リストに一致するはずです。Firepower Chassis Managerでは、各共有サブインターフェイスにカーソルを合わせると、割り当てられているインスタンスを確認することができます。

    図 6. 共有インターフェイスごとのインスタンス
    共有インターフェイスごとのインスタンス

    CLI では、割り当てられたインターフェイスを含むすべての論理デバイスの特性を表示できます。

    
    firepower# scope ssa
    firepower /ssa # show logical-device expand
    
    Logical Device:
        Name: LD1
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:25
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD2
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:28
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD3
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:2B
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
        Name: LD4
        Description:
        Slot ID: 1
        Mode: Standalone
        Oper State: Ok
        Template Name: ftd
    
        External-Port Link:
            Name: Ethernet14_ftd
            Port or Port Channel Name: Ethernet1/4
            Port Type: Mgmt
            App Name: ftd
            Description:
    
            Name: PC1.100_ftd
            Port or Port Channel Name: Port-channel1.100
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            Name: PC1.200_ftd
            Port or Port Channel Name: Port-channel1.200
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
            System MAC address:
                Mac Address
                -----------
                A2:F0:B0:00:00:2E
    
            Name: PC1.300_ftd
            Port or Port Channel Name: Port-channel1.300
            Port Type: Data Sharing
            App Name: ftd
            Description:
    
    [...]
    
    
  3. 各論理デバイスからサブインターフェイスを削除してから、設定を保存します。

    
    firepower /ssa # scope logical device LD1
    firepower /ssa/logical-device # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD2
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD3
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # exit
    firepower /ssa* # scope logical-device LD4
    firepower /ssa/logical-device* # delete external-port-link PC1.300_ftd
    firepower /ssa/logical-device* # commit-buffer
    firepower /ssa/logical-device #
    
    

中間で設定をコミットした場合は、2 つの VLAN グループが終了したことになります。これにより、スイッチ転送パス エラーが生成され、設定を保存できなくなる可能性があります。

シナリオ 4:1 つまたは複数の論理デバイスにサブインターフェイスを追加する

CLI でグループ内のすべての論理デバイスにサブインターフェイスを追加し、その後、その追加が同時になるように設定を保存します。

  1. 各論理デバイスにサブインターフェイスを追加し、設定を保存します。

    
    firepower# scope ssa
    firepower /ssa # scope logical-device LD1
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD2
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD3
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # exit
    firepower /ssa/logical-device* # exit
    firepower /ssa # scope logical-device LD4
    firepower /ssa/logical-device # create external-port-link PC1.400_ftd Port-channel1.400 ftd
    firepower /ssa/logical-device/external-port-link* # commit-buffer
    firepower /ssa/logical-device/external-port-link # 
    
    

    中間で設定をコミットした場合は、2 つの VLAN グループが終了したことになります。これにより、スイッチ転送パス エラーが生成され、設定を保存できなくなる可能性があります。

  2. Port-Channel1.400 VLAN ID が VLAN グループ 1 に追加されたことを確認できます。

    
    firepower /ssa/logical-device/external-port-link # connect fxos
    [...]
    firepower(fxos)# show ingress-vlan-groups
    ID   Class ID  Status         INTF         Vlan Status
    1    1         configured
                                               200  present
                                               100  present
                                               300  present
                                               400  present
    2048 512       configured
                                               0    present
    2049 511       configured
                                               0    present
    firepower(fxos)# exit
    firepower /ssa/logical-device/external-port-link # 
    
    

マルチインスタンス機能の履歴

機能名

プラットフォーム リリース

機能情報

ASA および FTD を同じ Firepower 9300 の別のモジュールでサポート

2.6.1

ASA および FTD 論理デバイスを同じ Firepower 9300 上で展開できるようになりました。

(注)   

Requires ASA 9.12(1) and Firepower 6.4.0.

変更された画面はありません。

FTDブートストラップ設定では 、Firepower シャーシ マネージャでのFMCの NAT ID を設定できるようになりました。

2.6.1

Firepower シャーシ マネージャで FMCNAT ID を設定できるようになりました。以前は、FXOS CLI またはFTD CLI 内でのみ NAT ID を設定できました。通常は、ルーティングと認証の両方の目的で両方の IP アドレス(登録キー付き)が必要です。FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合(ルーティング目的の最小要件)は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID(IP アドレスではなく)を使用します。

新しい/変更された画面:

[Logical Devices] > [Add Device] > [Settings] > [Firepower Management Center NAT ID] フィールド

モジュール/セキュリティ エンジンのいずれかの FTD コンテナ インスタンスでの SSL ハードウェア アクセラレーションのサポート

2.6.1

これで、モジュール/セキュリティ エンジンのいずれかのコンテナ インスタンスに対して SSL ハードウェア アクセラレーションを有効にすることができるようになりました。他のコンテナ インスタンスに対して SSL ハードウェア アクセラレーションは無効になっていますが、ネイティブ インスタンスには有効になっています。詳細については、『Firepower Management Center Configuration Guide』を参照してください。

新規/変更されたコマンド:config hwCrypto enable show hwCrypto

変更された画面はありません。

Firepower Threat Defense のマルチインスタンス機能

2.4.1

単一のセキュリティ エンジンまたはモジュールに、それぞれ Firepower Threat Defense コンテナ インスタンスがある複数の論理デバイスを展開できるようになりました。以前は、単一のネイティブ アプリケーション インスタンスのみ展開できました。ネイティブ インスタンスも引き続きサポートされています。Firepower 9300 の場合、一部のモジュールでネイティブ インスタンスを使用し、他のモジュールではコンテナ インスタンスを使用することができます。

柔軟な物理インターフェイスの使用を可能にするため、FXOS で VLAN サブインターフェイスを作成し、複数のインスタンス間でインターフェイスを共有することができます。コンテナ インスタンスを展開する場合、割り当てられた CPU コアの数を指定する必要があります。RAM はコアの数に従って動的に割り当てられ、ディスク容量はインスタンスごとに 40 GB に設定されます。このリソース管理を使用すると、各インスタンスのパフォーマンス機能をカスタマイズできます。

2 つの個別のシャーシでコンテナ インスタンスを使用してハイ アベイラビリティを使用することができます。たとえば、10 個のインスタンスを持つシャーシを 2 つ使用する場合は、10 個のハイ アベイラビリティ ペアを作成できます。クラスタリングはサポートされません。

(注)   

マルチインスタンス機能は、実装は異なりますが、ASA マルチ コンテキスト モードに似ています。マルチ コンテキスト モードでは、単一のアプリケーション インスタンスがパーティション化されますが、マルチインスタンス機能では、独立したコンテナ インスタンスを使用できます。コンテナ インスタンスでは、ハード リソースの分離、個別の構成管理、個別のリロード、個別のソフトウェア アップデート、および Firepower Threat Defense のフル機能のサポートが可能です。マルチ コンテキスト モードでは、共有リソースのおかげで、特定のプラットフォームでより多くのコンテキストをサポートできます。マルチ コンテキスト モードは Firepower Threat Defense では利用できません。

(注)   

FTD バージョン 6.3 以降が必要です。

新規/変更された [Firepower Chassis Manager] 画面:

[Overview] > [Devices]

[Interfaces] > [All Interfaces] > [Add New]ドロップダウン メニュー > [Subinterface]

[Interfaces] > [All Interfaces] > [Type]

[Logical Devices] > [Add Device]

[Platform Settings] > [Mac Pool]

[Platform Settings] > [Resource Profiles]

新規/変更された [Firepower Management Center] 画面:

[Devices] > [Device Management] > [Edit] アイコン > [Interfaces] タブ