この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、 EtherChannel、VLAN サブインターフェイス、IP アドレスなどを含む通常のファイアウォール Firewall Threat Defense インターフェイスの設定について説明します。
 (注) |
Firepower 4100/9300 の最初のインターフェイスの設定については、インターフェイスの設定を参照してください。 |
Threat Defense
管理者
アクセス管理者
ネットワーク管理者
Firepower 1010 の各インターフェイスは、通常のファイアウォール インターフェイスとしてまたはレイヤ 2 ハードウェア スイッチ ポートとして実行するように設定できます。この項では、スイッチ モードの有効化と無効化、VLAN インターフェイスの作成、そのインターフェイスのスイッチ ポートへの割り当てなど、スイッチ ポート設定を開始するためのタスクについて説明します。また、サポートされているインターフェイスで Power on Ethernet(PoE)をカスタマイズする方法についても説明します。
この項では、Firepower 1010 のスイッチ ポートについて説明します。
1010 の物理インターフェイスごとに、その動作をファイアウォール インターフェイスまたはスイッチ ポートとして設定できます。物理インターフェイスとポートタイプ、およびスイッチポートを割り当てる論理 VLAN インターフェイスについては、次の情報を参照してください。
物理ファイアウォール インターフェイス:ルーテッドモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールと VPN サービスを適用することによって、レイヤ 3 のネットワーク間でトラフィックを転送します。 トランスペアレントモードでは、これらのインターフェイスは、設定済みのセキュリティポリシーを使用してファイアウォールサービスを適用することによって、レイヤ 2 の同じネットワーク上のインターフェイス間でトラフィックを転送するブリッジグループメンバーです。ルーテッドモードでは、一部のインターフェイスでブリッジグループメンバーとして、その他のインターフェイスでレイヤ 3 インターフェイスとして、統合ルーティングおよびブリッジングを使用することもできます。デフォルトでは、イーサネット1/1インターフェイスはファイアウォールインターフェイスとして設定されます。また、これらのインターフェイスを IPS 専用(インラインセットとパッシブインターフェイス)に設定することもできます。
物理スイッチポート:スイッチポートは、ハードウェアのスイッチ機能を使用して、レイヤ 2 でトラフィックを転送します。同じ VLAN 上のスイッチポートは、ハードウェアスイッチングを使用して相互に通信できます。トラフィックには、Firewall Threat Defense セキュリティポリシーは適用されません。アクセスポートはタグなしトラフィックのみを受け入れ、それらを単一のVLANに割り当てることができます。トランクポートはタグなしおよびタグ付きトラフィックを受け入れ、複数の VLAN に属することができます。デフォルトでは、イーサネット 1/2 ~ 1/8 は VLAN 1 のアクセススイッチポートとして設定されています。Diagnostic インターフェイスをスイッチポートとして設定することはできません。
論理 VLAN インターフェイス:これらのインターフェイスは物理ファイアウォール インターフェイスと同じように動作しますが、サブインターフェイス、IPS 専用インターフェイス(インラインセットおよびパッシブインターフェイス)、または EtherChannel インターフェイスを作成できないという例外があります。スイッチポートが別のネットワークと通信する必要がある場合、Firewall Threat Defense デバイスは VLAN インターフェイスにセキュリティポリシーを適用し、別の論理 VLAN インターフェイスまたはファイアウォール インターフェイスにルーティングします。ブリッジグループメンバーとして VLAN インターフェイスで統合ルーティングおよびブリッジングを使用することもできます。同じ VLAN 上のスイッチポート間のトラフィックに Firewall Threat Defense セキュリティポリシーは適用されませんが、ブリッジグループ内の VLAN 間のトラフィックにはセキュリティポリシーが適用されるため、ブリッジグループとスイッチポートを階層化して特定のセグメント間にセキュリティポリシーを適用できます。
PoE は 、IEEE 802.3af(PoE)および 802.3at(PoE+)を使用して、イーサネット 1/7 およびイーサネット 1/8 でポートあたり最大 30 ワットまで供給できます。
PoE + では、リンク層検出プロトコル(Link Layer Discovery Protocol、LLDP)を使用して、電力レベルをネゴシエートします。電力は必要な場合にのみ提供されます。
インターフェイスをシャットダウンすると、デバイスへの電源がディセーブルになります。
すべてのスイッチポートで、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。
クラスタはサポートされません。
高可用性 を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットとスタンバイユニットの両方でトラフィックを通過させ続けます。高可用性 は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の 高可用性 のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニタできますが、スイッチポートはモニタできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、高可用性 を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。
ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。
最大 60 個の VLAN インターフェイスを作成できます。
また、ファイアウォール インターフェイスで VLAN サブインターフェイスを使用する場合、論理 VLAN インターフェイスと同じ VLAN ID は使用できません。
MAC アドレス:
ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが 1 つの MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。MAC アドレスの設定 を参照してください。
トランスペアレント ファイアウォール モード:各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。MAC アドレスの設定を参照してください。
同じブリッジ グループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。
VLAN インターフェイスおよびスイッチポートは、次の機能をサポートしていません。
ダイナミック ルーティング
マルチキャスト ルーティング
等コストマルチパス(ECMP)ルーティング
インラインセットまたはパッシブインターフェイス
EtherChannel:スイッチのポートを EtherChannel の一部にはできません。PoE も、EtherChannel のポートではサポートされません。
フェールオーバーおよびステートリンク
セキュリティグループタグ(SGT)
Firepower 1010 には、最大 60 個の名前付きインターフェイスを設定できます。
Diagnostic インターフェイスをスイッチポートとして設定することはできません。
イーサネット 1/1 はファイアウォール インターフェイスです。
イーサネット 1/2 ~ 1/8 が、VLAN 1 に割り当てられたスイッチ ポートです。
デフォルトの速度とデュプレックス:デフォルトでは、速度とデュプレックスは自動ネゴシエーションに設定されます。
スイッチ ポートおよび PoE を設定するには、次のタスクを実行します。
各インターフェイスは、ファイアウォール インターフェイスまたはスイッチ ポートのいずれかになるように個別に設定できます。デフォルトでは、イーサネット 1/1 はファイアウォール インターフェイスで、残りのイーサネット インターフェイスはスイッチ ポートとして設定されます。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
[スイッチポート(SwitchPort)] 列のスライダをクリックしてスイッチポートモードを設定すると、[有効なスライダ(Slider enabled)]( デフォルトでは、スイッチ ポートは VLAN 1 のアクセス モードに設定されています。トラフィックをルーティングし、Firewall Threat Defense セキュリティ ポリシーに参加するには、論理 VLAN 1 インターフェイス(またはこれらのスイッチ ポートに設定した任意の VLAN)を手動で追加する必要があります(VLAN インターフェイスの設定を参照)。管理インターフェイスをスイッチポートモードに設定することはできません。スイッチ ポート モードを変更すると、サポートされていないすべての設定が削除されます。  さらに、インターフェイスがすでに有効になっている場合は、無効になります。インターフェイスを再度有効にしたことを確認してください。 |
ここでは、関連付けられたスイッチポートで使用するための VLAN インターフェイスの設定方法について説明します。デフォルトでは、スイッチポートは VLAN1 に割り当てられます。トラフィックをルーティングし、Firewall Threat Defense セキュリティポリシーに参加するには、論理 VLAN1 インターフェイス(またはこれらのスイッチポートに設定した任意の VLAN)を手動で追加する必要があります。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
をクリックします。 |
|
ステップ 3 |
[一般(General)] で、次の VLAN 固有のパラメータを設定します。  既存の VLAN インターフェイスを編集している場合、[関連付けられているインターフェイス(Associated Interface)] テーブルには、この VLAN のスイッチ ポートが表示されます。 |
|
ステップ 4 |
インターフェイス設定を完了するには、次のいずれかの手順を参照してください。 |
|
ステップ 5 |
[OK] をクリックします。 |
|
ステップ 6 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
1 つの VLAN にスイッチ ポートを割り当てるには、アクセス ポートとして設定します。アクセス ポートは、タグなしのトラフィックのみを受け入れます。では、イーサネット 1/2 ~ 1/8 は、デフォルトで VLAN 1 に割り当てられています。
(注) |
デバイスは、ネットワーク内のループ検出に使用されるスパニングツリープロトコルをサポートしていません。したがって、Firewall Threat Defense とのすべての接続は、ネットワークループ内で終わらないようにする必要があります。 |
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( 
|
|
ステップ 3 |
[有効(Enabled)] チェック ボックスをオンにして、インターフェイスを有効化します。 |
|
ステップ 4 |
(任意) [Description] フィールドに説明を追加します。 説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。 |
|
ステップ 5 |
[ポートモード(Port Mode)] を [アクセス(Access)] に設定します。 |
|
ステップ 6 |
[VLAN ID] フィールドで、このスイッチ ポートの VLAN を 1 ~ 4070 の範囲で設定します。 デフォルトの VLAN ID は 1 です。 |
|
ステップ 7 |
(任意) このスイッチ ポートを保護対象として設定するには、[保護済み(Protected)] チェックボックスをオンにします。これにより、スイッチ ポートが同じ VLAN 上の他の保護されたスイッチ ポートと通信するのを防ぐことができます。 スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチ ポートで [保護済み(Protected)] を有効にすると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。 |
|
ステップ 8 |
(任意) [ハードウェア構成(Hardware Configuration)] をクリックして、デュプレックスと速度を設定します。 
[自動ネゴシエーション(Auto-negotiation)] チェックボックス(デフォルト)をオンにして、速度とデュプレックスを自動検出します。このチェックボックスをオフにすると、速度とデュプレックスを手動で設定できます。
|
|
ステップ 9 |
[OK] をクリックします。 |
|
ステップ 10 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
この手順では、802.1Q タグ付けを使用して複数の VLAN を伝送するトランク ポートの作成方法について説明します。トランクポートは、タグなしトラフィックとタグ付きトラフィックを受け入れます。許可された VLAN のトラフィックは、トランクポートを変更せずに通過します。
トランクは、タグなしトラフィックを受信すると、そのトラフィックをネイティブ VLAN ID にタグ付けして、ASA が正しいスイッチポートにトラフィックを転送したり、別のファイアウォール インターフェイスにルーティングしたりできるようにします。ASA は、トランクポートからネイティブ VLAN ID トラフィックを送信する際に VLAN タグを削除します。タグなしトラフィックが同じ VLAN にタグ付けされるように、他のスイッチのトランク ポートに同じネイティブ VLAN を設定してください。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( 
|
|
ステップ 3 |
[有効(Enabled)] チェック ボックスをオンにして、インターフェイスを有効化します。 |
|
ステップ 4 |
(任意) [Description] フィールドに説明を追加します。 説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。 |
|
ステップ 5 |
[ポートモード(Port Mode)] を [トランク(Trunk)] に設定します。 |
|
ステップ 6 |
[ネイティブVLAN ID(Native VLAN ID)] フィールドで、このスイッチ ポートのネイティブ VLAN を 1 ~ 4070 の範囲で設定します。 デフォルトのネイティブVLANは1です。 各ポートのネイティブ VLAN は 1 つのみですが、すべてのポートに同じネイティブ VLAN または異なるネイティブ VLAN を使用できます。 |
|
ステップ 7 |
[許可VLAN ID(Allowed VLAN IDs)] フィールドで、このトランク ポートの VLAN を 1 ~ 4070 の範囲で入力します。 次のいずれかの方法で最大 20 個の ID を指定できます。
このフィールドにネイティブ VLAN を含めると、無視されます。トランクポートは、ネイティブ VLAN トラフィックをポートから送信するときに、常に VLAN タグを削除します。さらに、ネイティブ VLAN タグ付きのトラフィックは受信されません。 |
|
ステップ 8 |
(任意) このスイッチ ポートを保護対象として設定するには、[保護済み(Protected)] チェックボックスをオンにします。これにより、スイッチ ポートが同じ VLAN 上の他の保護されたスイッチ ポートと通信するのを防ぐことができます。 スイッチ ポート上のデバイスが主に他の VLAN からアクセスされる場合、VLAN 内アクセスを許可する必要がない場合、および感染やその他のセキュリティ侵害に備えてデバイスを相互に分離する場合に、スイッチ ポートが相互に通信しないようにします。たとえば、3 つの Web サーバーをホストする DMZ がある場合、各スイッチ ポートで [保護済み(Protected)] を有効にすると、Web サーバーを相互に分離できます。内部ネットワークと外部ネットワークはいずれも 3 つの Web サーバーすべてと通信でき、その逆も可能ですが、Web サーバーは相互に通信できません。 |
|
ステップ 9 |
(任意) [ハードウェア構成(Hardware Configuration)] をクリックして、デュプレックスと速度を設定します。  [自動ネゴシエーション(Auto-negotiation)] チェックボックス(デフォルト)をオンにして、速度とデュプレックスを自動検出します。このチェックボックスをオフにすると、速度とデュプレックスを手動で設定できます。
|
|
ステップ 10 |
[OK] をクリックします。 |
|
ステップ 11 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
Power over Ethernet(PoE)ポートは、IP 電話や無線アクセスポイントなどのデバイスに電力を供給します。PoE はデフォルトでイネーブルです。この手順では、PoE を無効および有効にする方法と、オプションパラメータを設定する方法について説明します。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
の [編集(Edit)]( |
|
ステップ 3 |
[PoE] をクリックします。 
|
|
ステップ 4 |
[PoEを有効にする(Enable PoE)] チェックボックスをオンにします。 PoE はデフォルトでイネーブルです。 |
|
ステップ 5 |
自動ネゴシエーションまたは手動電源を選択します。
|
|
ステップ 6 |
[OK] をクリックします。 |
|
ステップ 7 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
ここでは、ループバック インターフェイスを設定する方法について説明します。
ループバック インターフェイスは、物理インターフェイスをエミュレートするソフトウェア専用インターフェイスであり、複数の物理インターフェイスを介して IPv4 および IPv6 に到達できます。ループバック インターフェイスはパス障害の克服に役立ちます。任意の物理インターフェイスからアクセスできるため、1 つがダウンした場合、別のインターフェイスからループバック インターフェイスにアクセスできます。
ループバック インターフェイスは、次の目的で使用できます。
スタティックおよびダイナミック VTI トンネル
Firewall Threat Defense は、ダイナミック ルーティング プロトコルを使用してループバックアドレスを配布できます。または、ピアデバイスでスタティックルートを設定して、 Firewall Threat Defense のいずれかの物理インターフェイスを介してループバック IP アドレスに到達できます。Firewall Threat Defense では、ループバック インターフェイスを指定するスタティックルートを設定できません。
ルーテッド モードのみでサポートされます。
クラスタリングはサポートされません。
物理インターフェイスからループバック インターフェイスへのトラフィックでは、TCP シーケンスのランダム化は常に無効になっています。
デバイスのループバック インターフェイスを追加するには、次の手順を実行します。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
[インターフェイスの追加(Add Interfaces)] ドロップダウンリストから、 を選択します。 |
|
ステップ 3 |
[一般(General)] タブで、次のパラメータを設定します。
|
|
ステップ 4 |
ルーテッド モード インターフェイスのパラメータを設定します。「ルーテッド モードのインターフェイスの設定」を参照してください。 |
システムに過剰な負荷がかからないように、ループバック インターフェイス IP アドレスに送信されるトラフィックのレートを制限する必要があります。グローバルサービスポリシーに接続制限ルールを追加できます。
|
ステップ 1 |
ループバック インターフェイス IP アドレスへのトラフィックを識別する拡張アクセスリストを作成します。
|
||
|
ステップ 2 |
の順に選択し、デバイスに割り当てられているアクセス コントロール ポリシーの [編集(Edit)]( |
||
|
ステップ 3 |
パケットフロー行の最後にある [詳細(More)] ドロップダウン矢印から [詳細設定(Advanced Settings)] をクリックします。 
|
||
|
ステップ 4 |
[Threat Defenseサービスポリシー(Threat Defense Service Policy)] グループで [編集(Edit)]( 
|
||
|
ステップ 5 |
[ルールの追加(Add Rule)] をクリックして、新しいルールを作成します。 
サービス ポリシー ルール ウィザードが開き、ルールの設定プロセスの手順が表示されます。 |
||
|
ステップ 6 |
[インターフェイス オブジェクト(Interface Object)] ステップで、[グローバル(Global)] をクリックしてすべてのインターフェイスに適用されるグローバルルールを作成し、[次へ(Next)] をクリックします。 
|
||
|
ステップ 7 |
[トラフィックフロー(Traffic Flow)] ステップで、ステップ 1 で作成した拡張アクセスリストオブジェクトを選択し、[次へ(Next)] をクリックします。 
|
||
|
ステップ 8 |
[接続設定(Connection Setting)] ステップで、[接続制限(Connections limit)] を設定します。 
[最大TCPおよびUDP(Maximum TCP & UDP)] 接続数をループバック インターフェイスの予期される接続数に設定し、[最大初期接続数(Maximum Embryonic)] の接続数をそれよりも低い数に設定します。予期される必要なループバック インターフェイス セッション数に応じて、たとえば、5/2、10/5、または 1024/512 に設定できます。 初期接続制限を設定すると TCP 代行受信が有効になります。この代行受信によって、TCP SYN パケットを使用してインターフェイスをフラッディングする DoS 攻撃からシステムを保護します。 |
||
|
ステップ 9 |
[終了(Finish)] をクリックして変更を保存します。 |
||
|
ステップ 10 |
[OK] をクリックします。 |
||
|
ステップ 11 |
[詳細設定(Advanced Settings)] ウィンドウで [保存(Save)] をクリックします。 |
||
|
ステップ 12 |
これで、影響を受けるデバイスに変更を展開できます。 |
VLAN サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。
Firepower 1010:VLAN サブインターフェイスは、スイッチポートおよび VLAN インターフェイスではサポートされていません。
フェールオーバーリンクまたは状態リンクやクラスタ制御リンクのサブインターフェイスを使用することはできません。例外はマルチインスタンスモードの場合です。その場合、これらのリンクにはシャーシ定義サブインターフェイスを使用できます。
物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイス ペアのアクティブな物理インターフェイスと EtherChannel リンクにも当てはまります。サブインターフェイスでトラフィックを通過させるには物理、冗長、または EtherChannel インターフェイスを有効にする必要があるため、インターフェイスに名前を設定しないことでトラフィックを通過させないようにします。物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスでタグのないパケットを通過させる場合は、通常通り名前を設定できます。
CLI で設定された専用の管理インターフェイスでも、マネージャアクセスに使用されるデータインターフェイスでも、管理インターフェイスにサブインターフェイスを設定することはできません。
同じ親インターフェイスのすべてのサブインターフェイスは、ブリッジ グループ メンバーかルーテッド インターフェイスのいずれかである必要があります。混在および一致はできません。
Firewall Threat Defense はダイナミック トランキング プロトコル(DTP)をサポートしないため、接続されているスイッチ ポートを無条件にトランキングするように設定する必要があります。
親インターフェイスと同じ組み込みの MAC アドレスを使用するので、Firewall Threat Defense で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になり、Firewall Threat Defense で特定のインスタンスでのトラフィックの中断を避けることができます。
(注) |
MAC アドレスを手動で割り当てる場合は、予期しない動作や停止を避けるために、同じ物理インターフェイス上のすべてのサブインターフェイスに MAC アドレスを割り当てるようにしてください。 |
デバイス モデルにより、設定できる VLAN サブインターフェイスの最大数が制限されます。データ インターフェイスでのみサブインターフェイスを設定することができ、管理インターフェイスでは設定できないことに注意してください。
次の表で、各デバイス モデルの制限について説明します。
|
モデル |
VLAN サブインターフェイスの最大数 |
|---|---|
|
Firepower 1010 |
60 |
|
Firepower 1120 |
512 |
|
Firepower 1140、1150 |
1024 |
|
Firepower 2100 |
1024 |
|
Cisco Secure Firewall 3100 |
1024 |
|
Firepower 4100 |
1024 |
|
Firepower 9300 |
1024 |
|
Firewall Threat Defense Virtual |
50 |
|
ISA 3000 |
100 |
1 つ以上のサブインターフェイスを物理インターフェイス、冗長インターフェイス、または PortChannel インターフェイスに追加します。
Firepower 4100/9300 の場合、コンテナ インターフェイスで使用するためのサブインターフェイスを FXOS で作成します。コンテナ インスタンスの VLAN サブインターフェイスの追加を参照してください。これらのサブインターフェイスは Firewall Management Center のインターフェイスリストに表示されます。Firewall Management Center にサブインターフェイスを追加することもできますが、FXOS にサブインターフェイスが定義されていない親インターフェイス上に限ります。
(注) |
親の物理インターフェイスがタグなしのパケットを渡します。タグなしのパケットを渡さない場合は、セキュリティ ポリシーの親インターフェイスが含まれていないことを確認します。 |
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
物理インターフェイスの有効化およびイーサネット設定の構成に従って、親インターフェイスを有効にします。 |
|
ステップ 3 |
をクリックします。 |
|
ステップ 4 |
[全般(General)] で、次のパラメータを設定します。 
|
|
ステップ 5 |
[OK] をクリックします。 |
|
ステップ 6 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
|
ステップ 7 |
ルーテッドまたはトランスペアレント モード インターフェイスのパラメータを設定します。ルーテッド モードのインターフェイスの設定またはブリッジ グループ インターフェイスの設定を参照してください。 |
この章では、仮想拡張 LAN(VXLAN) インターフェイスの設定方法について説明します。VXLAN インターフェイスは、レイヤ 2 ネットワークを拡張するために、レイヤ 3 物理ネットワーク上のレイヤ 2 仮想ネットワークとして機能します。
VXLAN は、VLAN の場合と同じイーサネットレイヤ 2 ネットワークサービスを提供しますが、より優れた拡張性と柔軟性を備えています。VLAN と比較して、VXLAN には次の利点があります。
データセンター全体でのマルチテナントセグメントの柔軟な配置。
より多くのレイヤ 2 セグメント(最大 1600 万の VXLAN セグメント)に対応するための高度なスケーラビリティ。
ここでは、VXLAN の動作について説明します。VXLAN の詳細については、RFC 7348 を参照してください。Geneve の詳細については、RFC 8926 を参照してください。
Firewall Threat Defense は、次の 2 種類の VXLAN カプセル化をサポートしています。
VXLAN(すべてのモデル):VXLAN は、MAC Address-in-User Datagram Protocol(MAC-in-UDP)のカプセル化を使用します。元のレイヤ 2 フレームに VXLAN ヘッダーが追加され、UDP-IP パケットに置かれます。
Geneve(Firewall Threat Defense Virtual のみ):Geneve には、MAC アドレスに限定されない柔軟な内部ヘッダーがあります。Geneve カプセル化は、Amazon Web Services(AWS)ゲートウェイロードバランサとアプライアンス間のパケットの透過的なルーティング、および追加情報の送信に必要です。
VXLAN トンネル エンドポイント(VTEP)デバイスは、VXLAN のカプセル化およびカプセル化解除を実行します。各 VTEP には 2 つのインターフェイス タイプ(セキュリティ ポリシーを適用する VXLAN Network Identifier(VNI)インターフェイスと呼ばれる 1 つ以上の仮想インターフェイスと、 VTEP 間に VNI をトンネリングする VTEP 送信元インターフェイスと呼ばれる通常のインターフェイス)があります。VTEP 送信元インターフェイスは、VTEP 間通信のトランスポート IP ネットワークに接続されます。
次の図は、2 つの Firewall Threat Defense と、レイヤ 3 ネットワークを介して VTEP として機能し、サイト間の VNI 1、2、3 を拡張する仮想サーバ 2 を示します。Firewall Threat Defense は、VXLAN ネットワークと非 VXLAN ネットワーク間のブリッジまたはゲートウェイとして機能します。
VTEP 間の基盤となる IP ネットワークは、VXLAN オーバーレイに依存しません。カプセル化されたパケットは、発信元 IP アドレスとして開始 VTEP を持ち、宛先 IP アドレスとして終端 VTEP を持っており、外部 IP アドレス ヘッダーに基づいてルーティングされます。VXLAN カプセル化の場合:宛先 IP アドレスは、リモート VTEP が不明な場合、マルチキャストグループにすることができます。Geneve では、Firewall Threat Defense はスタティックピアのみをサポートします。デフォルトでは、 VXLAN の宛先ポートは UDP ポート 4789 です(ユーザーが設定可能)。Geneve の宛先ポートは 6081 です。
VTEP 送信元インターフェイスは、すべての VNI インターフェイスに関連付けられる通常のインターフェイス(物理、EtherChannel、または VLAN)です。Firewall Threat Defense Virtual ごとに 1 つの VTEP 送信元インターフェイスを設定できます。設定できる VTEP 送信元インターフェイスは 1 つだけであるため、VXLAN インターフェイスと Geneve インターフェイスの両方を同じデバイスに設定することはできません。AWS または Azure での Firewall Threat Defense Virtual クラスタリングには例外があり、2 つの VTEP ソースインターフェイスを使用することができます。VXLAN インターフェイスはクラスタ制御リンクに使用され、Geneve(AWS)または VXLAN(Azure)インターフェイスはゲートウェイロードバランサに使用できます。
VTEP 送信元インターフェイスは、VXLANトラフィック専用にすることができますが、その使用に制限されません。必要に応じて、インターフェイスを通常のトラフィックに使用し、そのトラフィックのインターフェイスにセキュリティ ポリシーを適用できます。ただし、VXLAN トラフィックの場合は、すべてのセキュリティポリシーを VNI インターフェイスに適用する必要があります。VTEP インターフェイスは、物理ポートとしてのみ機能します。
トランスペアレント ファイアウォール モードでは、VTEP 送信元インターフェイスは、BVI の一部ではないため、その IP アドレスを設定しません。このインターフェイスは、管理インターフェイスが処理される方法に似ています。
VNI インターフェイスは VLAN インターフェイスに似ています。VNI インターフェイスは、タギングを使用して特定の物理インターフェイスでのネットワーク トラフィックの分割を維持する仮想インターフェイスです。各VNI インターフェイスにセキュリティ ポリシーを直接適用します。
追加できる VTEP インターフェイスは 1 つだけで、すべての VNI インターフェイスは、同じ VTEP インターフェイスに関連付けられます。AWS または Azure での Firewall Threat Defense Virtual クラスタリングには例外があります。AWS クラスタリングの場合、2 つの VTEP ソースインターフェイスを使用することができます。VXLAN インターフェイスはクラスタ制御リンクに使用され、Geneve インターフェイスは AWS ゲートウェイロードバランサに使用できます。Azure クラスタリングの場合、2 つの VTEP ソースインターフェイスを使用することができます。VXLAN インターフェイスはクラスタ制御リンクに使用され、2 つ目の VXLAN インターフェイスは Azure ゲートウェイロードバランサに使用できます。
VTEP 送信元インターフェイスを出入りするトラフィックは、VXLAN 処理、特にカプセル化または非カプセル化の対象となります。
カプセル化処理には、次のタスクが含まれます。
VTEP 送信元インターフェイスにより、VXLAN ヘッダーが含まれている内部 MAC フレームがカプセル化されます。
UDP チェックサム フィールドがゼロに設定されます。
外部フレームの送信元 IP がVTEP インターフェイスの IP に設定されます。
外部フレームの宛先 IP がリモート VTEP IP ルックアップによって決定されます。
カプセル化解除については、次の場合に Firewall Threat Defense によって VXLAN パケットのみがカプセル化解除されます。
これが、宛先ポートが 4789 に設定された UDP パケットである場合(この値はユーザー設定可能です)。
入力インターフェイスが VTEP 送信元インターフェイスである場合。
入力インターフェイスの IP アドレスが宛先 IP アドレスと同じになります。
VXLAN パケット形式が標準に準拠します。
VTEP 送信元インターフェイスを出入りするトラフィックは、Geneve 処理、特にカプセル化または非カプセル化の対象となります。
カプセル化処理には、次のタスクが含まれます。
VTEP 送信元インターフェイスにより、Geneve ヘッダーが含まれている内部 MAC フレームがカプセル化されます。
UDP チェックサム フィールドがゼロに設定されます。
外部フレームの送信元 IP がVTEP インターフェイスの IP に設定されます。
外部フレームの宛先 IP には、設定したピア IP アドレスが設定されます。
カプセル化解除については、次の場合に ASA によって Geneve パケットのみがカプセル化解除されます。
これが、宛先ポートが 6081 に設定された UDP パケットである場合(この値はユーザー設定可能です)。
入力インターフェイスが VTEP 送信元インターフェイスである場合。
入力インターフェイスの IP アドレスが宛先 IP アドレスと同じになります。
Geneve パケット形式が標準に準拠します。
Firewall Threat Defense がピア VTEP の背後にあるデバイスにパケットを送信する場合、Firewall Threat Defense には次の 2 つの重要な情報が必要です。
リモート デバイスの宛先 MAC アドレス
ピア VTEP の宛先 IP アドレス
Firewall Threat Defense は VNI インターフェイスのリモート VTEP IP アドレスに対する宛先 MAC アドレスのマッピングを維持します。
Firewall Threat Defense がこの情報を検出するには 2 つの方法あります。
単一のピア VTEP IP アドレスを Firewall Threat Defense に静的に設定できます。
Firewall Threat Defense が VXLAN カプセル化 ARP ブロードキャストを VTEP に送信し、エンドノードの MAC アドレスを取得します。
ピア VTEP IP アドレスのグループを Firewall Threat Defense に静的に設定できます。
Firewall Threat Defense が VXLAN カプセル化 ARP ブロードキャストを VTEP に送信し、エンドノードの MAC アドレスを取得します。
マルチキャスト グループは、VNI インターフェイスごとに(または VTEP 全体に)設定できます。
Firewall Threat Defense は、IP マルチキャストパケット内の VXLAN カプセル化 ARP ブロードキャストパケットを VTEP 送信元インターフェイスを経由して送信します。この ARP 要求への応答により、Firewall Threat Defense はリモート VTEP の IP アドレスと、リモート エンド ノードの宛先 MAC アドレスの両方を取得することができます。
このオプションは、Geneve ではサポートされていません。
Firewall Threat Defense Virtual は、静的に定義されたピアのみをサポートします。AWS ゲートウェイロードバランサで Firewall Threat Defense Virtual ピアの IP アドレスを定義できます。Firewall Threat Defense Virtual はゲートウェイロードバランサへのトラフィックを開始しないため、Firewall Threat Defense Virtual でゲートウェイロードバランサの IP アドレスを指定する必要はありません。Geneve トラフィックを受信すると、ピア IP アドレスを学習します。マルチキャストグループは、Geneve ではサポートされていません。
ここでは、Firewall Threat Defense での VXLAN の実装の使用例について説明します。
各 Firewall Threat Defense の VTEP は、VM、サーバ、PC、VXLANのオーバーレイ ネットワークなどのエンド ノード間のブリッジまたはゲートウェイとして機能します。VTEP 送信元インターフェイスを介して VXLAN カプセル化で受信した受信フレームの場合、Firewall Threat Defense は VXLAN ヘッダーを除去して、内部イーサネット フレームの宛先 MAC アドレスに基づいて非 VXLAN ネットワークに接続されている物理インターフェイスに転送します。
Firewall Threat Defense は、常に VXLAN パケットを処理します。つまり、他の 2 つの VTEP 間で VXLAN パケットをそのまま転送する訳ではありません。
ブリッジグループ(トランスペアレント ファイアウォール モードまたは任意ルーテッドモード)を使用する場合、Firewall Threat Defense は、同じネットワークに存在する(リモート)VXLAN セグメントとローカルセグメント間の VXLAN ブリッジとして機能できます。この場合、ブリッジグループのメンバーは通常インターフェイス 1 つのメンバーが通常のインターフェイスで、もう 1 つのメンバーが VNI インターフェイスです。
Firewall Threat Defense は、VXLAN ドメインと非 VXLAN ドメイン間のルータとして機能し、異なるネットワーク上のデバイスを接続します。
VXLAN 拡張 レイヤ 2 ドメインを使用すると、VM は、Firewall Threat Defense が同じラックにないとき、あるいは Firewall Threat Defense がレイヤ 3 ネットワーク上の離れた場所にあるときにsのゲートウェイとして Firewall Threat Defense を指し示すことができます。
このシナリオに関する次の注意事項を参照してください。
VM3 から VM1 へのパケットでは、Firewall Threat Defense がデフォルトゲートウェイであるため、宛先 MAC アドレスは Firewall Threat Defense の MAC アドレスです。
仮想サーバー 2 の VTEP 送信元インターフェイスは、VM3 からパケットを受信してから、VNI 3 の VXLAN タグでパケットをカプセル化して Firewall Threat Defense に送信します。
Firewall Threat Defense は、パケットを受信すると、そのパケットをカプセル化解除して内部フレームを取得します。
Firewall Threat Defense は、ルート ルックアップに内部フレームを使用して、宛先が VNI 2 上であることを認識します。VM1 のマッピングがまだない場合、Firewall Threat Defense は、VNI 2 カプセル化された ARP ブロードキャストを VNI 2 のマルチキャスト グループ IP で送信します。
(注) |
このシナリオでは複数の VTEP ピアがあるため、Firewall Threat Defense は、複数のダイナミック VTEP ピア ディスカバリを使用する必要があります。 |
Firewall Threat Defense は、VNI 2 の VXLAN タグでパケットを再度カプセル化し、仮想サーバ 1 に送信します。カプセル化の前に、Firewall Threat Defense は、内部フレームの宛先 MAC アドレスを変更して VM1 の MAC にします(Firewall Threat Defense で VM1 の MAC アドレスを取得するためにマルチキャスト カプセル化 ARP が必要な場合があります)。
仮想サーバー 1 は、VXLAN パケットを受信すると、パケットをカプセル化解除して内部フレームを VM1 に配信します。
(注) |
この使用例は、現在サポートされている Geneve インターフェイスの唯一の使用例です。 |
AWS ゲートウェイロードバランサは、透過的なネットワークゲートウェイと、トラフィックを分散し、仮想アプライアンスをオンデマンドで拡張するロードバランサを組み合わせます。Firewall Threat Defense Virtual は、分散データプレーン(ゲートウェイ ロード バランサ エンドポイント)を備えたゲートウェイロードバランサ集中型コントロールプレーンをサポートします。次の図は、ゲートウェイロードバランサのエンドポイントからゲートウェイロードバランサに転送されるトラフィックを示しています。ゲートウェイロードバランサは、複数の Firewall Threat Defense Virtual の間でトラフィックのバランスをとり、トラフィックをドロップするか、ゲートウェイロードバランサに送り返す(U ターントラフィック)前に検査します。ゲートウェイロードバランサは、トラフィックをゲートウェイロードバランサのエンドポイントと宛先に送り返します。
Azure サービスチェーンでは、Firewall Threat Defense Virtual がインターネットと顧客サービス間のパケットをインターセプトできる透過的なゲートウェイとして機能します。Firewall Threat Defense Virtual は、ペアリングされたプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。
次の図は、外部 VXLAN セグメント上のパブリックゲートウェイロードバランサから Azure ゲートウェイロードバランサに転送されるトラフィックを示しています。ゲートウェイロードバランサは、複数の Firewall Threat Defense Virtual の間でトラフィックのバランスをとり、トラフィックをドロップするか、外部 VXLAN セグメント上のゲートウェイロードバランサに送り返す前に検査します。Azure ゲートウェイロードバランサは、トラフィックをパブリックゲートウェイロードバランサと宛先に送り返します。
VXLAN カプセル化は、すべてのモデルでサポートされます。
Geneve カプセル化は、次のモデルでサポートされます。
Amazon Web Services(AWS)の Firewall Threat Defense Virtual
ペアプロキシモードの VXLAN は、次のモデルでサポートされています。
Azure の Firewall Threat Defense Virtual
Firepower 1010:スイッチポートおよび VLAN インターフェイスは、VTEP インターフェイスとしてサポートされていません。
Geneve インターフェイスは、ルーテッド ファイアウォール モードでのみサポートされています。
ペアプロキシの VXLAN インターフェイスは、ルーテッド ファイアウォール モードでのみサポートされています。
VNI インターフェイスは、IPv4 と IPv6 の両方のトラフィックをサポートします。
VTEP 送信元インターフェイス IP アドレスは、IPv4 のみをサポートします。
クラスタリングは、クラスタ制御リンク(Firewall Threat Defense Virtual のみ)を除いて、個別インターフェイスモードの VXLAN をサポートしていません。スパンド EtherChannel モードだけが VXLAN をサポートしています。
GWLB で使用する追加の Geneve インターフェイスを使用できる AWS と、GWLB で使用する追加のペアプロキシの VXLAN インターフェイスを使用できる Azure の場合は例外です。
VNI インターフェイスでは、スタティック ルーティングまたはポリシー ベース ルーティングのみをサポートします。ダイナミック ルーティング プロトコルはサポートされません。
VPN に VTEP 送信元インターフェイスを構成したり、VTI として使用したりすることはできません。
VXLAN カプセル化:送信元インターフェイスの MTU が 1,554 バイト未満の場合、Firewall Threat Defense は自動的に MTU を 1,554 バイトに増やします。この場合、イーサネット データグラム全体がカプセル化されるため、新しいパケットのサイズが大きくなるため、より大きな MTU が必要になります。他のデバイスが使用する MTU の方が大きい場合、送信元インターフェイス MTU を、ネットワーク MTU + 54 バイトに設定する必要があります。Firewall Threat Defense Virtual の場合、この MTU は、ジャンボフレーム予約を有効にするためにリスタートする必要があります。
Geneve カプセル化:送信元インターフェイスの MTU が 1,806 バイト未満の場合、Firewall Threat Defense は自動的に MTU を 1,806 バイトに増やします。この場合、イーサネット データグラム全体がカプセル化されるため、新しいパケットのサイズが大きくなるため、より大きな MTU が必要になります。他のデバイスが使用する MTU の方が大きい場合、送信元インターフェイス MTU を、ネットワーク MTU + 306 バイトに設定する必要があります。この MTU は、ジャンボフレーム予約を有効にするためにリスタートする必要があります。
VXLAN または Geneve インターフェイスを設定できます。
VXLAN を設定するには、次の手順を実行します。
(注) |
VXLAN または Geneve を設定できます(Firewall Threat Defense Virtual のみ)。Geneve インターフェイスについては、Geneve インターフェイスの設定を参照してください。 |
(注) |
Azure GWLB の場合、ARM テンプレートを使用して VM を展開するときに、VXLAN インターフェイスが設定されます。このセクションを使用して、設定を変更できます。 |
(Azure GWLB)ゲートウェイロードバランサのヘルスチェックの許可。
Firewall Threat Defense デバイスごとに 1 つの VTEP 送信元インターフェイスを設定できます。VTEP は、ネットワーク仮想化エンドポイント(NVE)として定義されます。VXLAN は、デフォルトのカプセル化タイプです。Azure のFirewall Threat Defense Virtual でのクラスタリングには例外があり、1 つの VTEP ソースインターフェイスをクラスタ制御リンクに使用し、2 つ目のソースインターフェイスを Azure GWLB に接続されたデータインターフェイスに使用できます。
|
ステップ 1 |
ピア VTEP のグループを指定する場合は、ピア IP アドレスを持つネットワークオブジェクトを追加します。ネットワーク オブジェクトの作成 を参照してください。 |
|
ステップ 2 |
の順に選択します。 |
|
ステップ 3 |
VXLAN を設定するデバイスの横にある [編集(Edit)]( |
|
ステップ 4 |
(任意) 送信元インターフェイスが NVE 専用であることを指定します。 ルーテッドモードでは、この設定はオプションです。設定した場合、トラフィックはこのインターフェイスの VXLAN および共通の管理トラフィックのみに制限されます。トランスペアレント ファイアウォール モードでは、この設定は自動的に有効になります。
|
|
ステップ 5 |
まだ表示されていない場合は、[VTEP] をクリックします。 |
|
ステップ 6 |
[NVEの有効化(Enable NVE)] をオンにします。 |
|
ステップ 7 |
[VTEPの追加(Add VTEP)] をクリックします。 |
|
ステップ 8 |
[カプセル化タイプ(Encapsulation Type)] で、[VxLAN] を選択します。 AWS の場合、[VxLAN] と [Geneve] のどちらかを選択できます。他のプラットフォームでは、[VxLAN] が自動的に選択されます。 |
|
ステップ 9 |
[カプセル化ポート(Encapsulation port)] に指定された範囲内で値を入力します。 デフォルト値は 4789 です。 |
|
ステップ 10 |
[VTEP送信元インターフェイス(VTEP Source Interface)] を選択します。 デバイス上にある使用可能な物理インターフェイスのリストから選択します。送信元インターフェイスの MTU が 1554 バイト未満の場合、Firewall Management Center は自動的に MTU を 1554 バイトに増やします。 |
|
ステップ 11 |
[ネイバーアドレス(Neighbor Address)] を選択します。次のオプションを使用できます。
|
|
ステップ 12 |
[OK] をクリックします。 |
|
ステップ 13 |
[保存(Save)] をクリックします。 |
|
ステップ 14 |
ルーテッドインターフェイスのパラメータを設定します。「ルーテッドモードのインターフェイスの設定」を参照してください。 |
VNI インターフェイスを追加してそれを VTEP 送信元インターフェイスに関連付けて、基本インターフェイス パラメータを設定します。
Azure Firewall Threat Defense Virtual の場合、通常の VXLAN インターフェイスを設定するか、Azure GWLB で使用するペアプロキシモードの VXLAN インターフェイスを設定できます。ペアプロキシモードは、クラスタリングでサポートされる唯一のモードです。
|
ステップ 1 |
の順に選択します。 |
|
ステップ 2 |
VXLAN を設定するデバイスの横にある [編集(Edit)]( |
|
ステップ 3 |
[インターフェイス(Interfaces)] をクリックします。 |
|
ステップ 4 |
[インターフェイスの追加(Add Interfaces)] をクリックし、[VNIインターフェイス(VNI Interface)] を選択します。 |
|
ステップ 5 |
[名前(Name)] と [説明(Description)] にインターフェイスの名前と説明をそれぞれ入力します。. |
|
ステップ 6 |
[セキュリティゾーン(Security Zone)] ドロップダウン リストからセキュリティ ゾーンを選択するか、[新規(New)] をクリックして、新しいセキュリティゾーンを追加します。 |
|
ステップ 7 |
指定された範囲内で、[優先度(Priority)] フィールドの値を入力します。デフォルトでは、0 が選択されています。 |
|
ステップ 8 |
[VNI ID] には 1 ~ 10000 の間で値を入力します。 この ID は内部インターフェイス識別子です。 |
|
ステップ 9 |
(Azure GWLB のペアプロキシ VXLAN)プロキシペアモードを有効にして、必要なパラメータを設定します。
|
|
ステップ 10 |
(通常の VXLAN)[VNIセグメントID(VNI Segment ID)] には 1 ~ 16777215 の間の値を入力します。 セグメント ID は VXLAN タギングに使用されます。 |
|
ステップ 11 |
[マルチキャストグループアドレス(Multicast Group IP Address)] を入力します。 VNI インターフェイスに対してマルチキャスト グループを設定しない場合は、VTEP 送信元インターフェイス設定のデフォルト グループが使用されます(使用可能な場合)。VTEP 送信元インターフェイスに対して手動でVTEP ピア IP を設定した場合、VNI インターフェイスに対してマルチキャスト グループを指定することはできません。 |
|
ステップ 12 |
[VTEPインターフェイスにマッピングされているNVE(NVE Mapped to VTEP Interface)] をオンにします。 このオプションにより、インターフェイスが VTEP 送信元インターフェイスに関連付けられます。 |
|
ステップ 13 |
[OK] をクリックします。 |
|
ステップ 14 |
[保存(Save)] をクリックして、インターフェイス設定を保存します。 |
|
ステップ 15 |
ルーテッドまたはトランスペアレント インターフェイスのパラメータを設定します。「ルーテッド モードとトランス ペアレント モードのインターフェイスの設定」を参照してください。 |
Firewall Threat Defense Virtual の Geneve インターフェイスを設定するには、次の手順を実行します。
(注) |
VXLAN または Geneve を設定できます。VXLAN インターフェイスの詳細については、「VXLAN インターフェイスの設定」を参照してください。 |
Firewall Threat Defense Virtual デバイスごとに 1 つの VTEP 送信元インターフェイスを設定できます。VTEP は、ネットワーク仮想化エンドポイント(NVE)として定義されます。。
|
ステップ 1 |
の順に選択します。 |
|
ステップ 2 |
Geneve を設定するデバイスの横にある [編集(Edit)]( |
|
ステップ 3 |
[VTEP] をクリックします。 |
|
ステップ 4 |
[NVEの有効化(Enable NVE)] をオンにします。 |
|
ステップ 5 |
[VTEPの追加(Add VTEP)] をクリックします。 |
|
ステップ 6 |
[カプセル化タイプ(Encapsulation Type)] で、[Geneve] を選択します。 |
|
ステップ 7 |
[カプセル化ポート(Encapsulation port)] に指定された範囲内で値を入力します。 [Geneveポート(Geneve Port)] を変更することは推奨しません。AWS にはポート 6081 が必要です。 |
|
ステップ 8 |
[VTEP送信元インターフェイス(VTEP Source Interface)] を選択します。 デバイス上にある使用可能な物理インターフェイスのリストから選択できます。送信元インターフェイスの MTU が 1806 バイト未満の場合、Firewall Management Center は自動的に MTU を 1806 バイトに増やします。 |
|
ステップ 9 |
[OK] をクリックします。 |
|
ステップ 10 |
[保存(Save)] をクリックします。 |
|
ステップ 11 |
ルーテッドインターフェイスのパラメータを設定します。「ルーテッドモードのインターフェイスの設定」を参照してください。 |
VNI を追加し、その VNI を(VTEP)送信元インターフェイスに関連付けて、基本インターフェイスパラメータを設定します。
|
ステップ 1 |
の順に選択します。 |
||
|
ステップ 2 |
Geneve を設定するデバイスの横にある [編集(Edit)]( |
||
|
ステップ 3 |
[インターフェイス(Interfaces)] をクリックします。 |
||
|
ステップ 4 |
[インターフェイスの追加(Add Interfaces)] をクリックし、[VNIインターフェイス(VNI Interface)] を選択します。 |
||
|
ステップ 5 |
[名前(Name)] フィールドと [説明(Description)] フィールドに、関連情報を入力します。 |
||
|
ステップ 6 |
[VNI ID] フィールドには 1 ~ 10000 の値を入力します。
|
||
|
ステップ 7 |
[プロキシの有効化(Enable Proxy] チェックボックスをオンにします。
このオプションにより、シングルアームプロキシが有効になり、トラフィックは入ったときと同じインターフェイスから出ることができます (U ターントラフィック)。後でインターフェイスを編集する場合、シングルアームプロキシを無効にすることはできません。無効にするには、既存のインターフェイスを削除して、新しい VNI インターフェイスを作成する必要があります。 このオプションは、Geneve VTEP でのみ使用できます。 |
||
|
ステップ 8 |
[VTEPインターフェイスにマッピングされているNVE(NVE Mapped to VTEP Interface)] を選択します。 このオプションにより、インターフェイスが VTEP 送信元インターフェイスに関連付けられます。 |
||
|
ステップ 9 |
[OK] をクリックします。 |
||
|
ステップ 10 |
[保存(Save)] をクリックします。 |
AWS または Azure GWLB では、アプライアンスがヘルスチェックに正しく応答する必要があります。GWLB は、正常と見なされるアプライアンスにのみトラフィックを送信します。SSH、HTTP、または HTTPS のヘルスチェックに応答するように Firewall Threat Defense Virtual を設定する必要があります。
次のいずれかの方法を設定します。
|
ステップ 1 |
SSH を設定します。「セキュアシェルの設定」を参照してください。 GWLB IP アドレスからの SSH を許可します。GWLB は、Firewall Threat Defense Virtual への接続の確立を試行し、ログインの Firewall Threat Defense Virtual のプロンプトが正常性の証拠として取得されます。SSH ログインの試行は 1 分後にタイムアウトします。このタイムアウトに対応するには、GWLB でより長いヘルスチェック間隔を設定する必要があります。 |
|
ステップ 2 |
ポート変換機能を備えたスタティック インターフェイス NAT を使用した HTTP(S) リダイレクトの設定 ヘルスチェックをメタデータ HTTP(S) サーバーにリダイレクトするように Firewall Threat Defense Virtual を設定できます。HTTP(S)ヘルスチェックの場合、HTTP(S)サーバーは 200 〜 399 の範囲のステータスコードで GWLB に応答する必要があります。Firewall Threat Defense Virtual では同時管理接続の数に制限があるため、ヘルスチェックを外部サーバーにオフロードすることもできます。 ポート変換を設定したスタティック インターフェイス NAT を使用すると、ポート(ポート 80 など)への接続を別の IP アドレスにリダイレクトできます。たとえば、Firewall Threat Defense Virtual 外部インターフェイスの宛先を持つ GWLB からの HTTP パケットを、HTTP サーバーの宛先を持つ Firewall Threat Defense Virtual 外部インターフェイスからのように変換します。次に Firewall Threat Defense Virtual はパケットをマッピングされた宛先アドレスに転送します。HTTP サーバーは Firewall Threat Defense Virtual 外部インターフェイスに応答し、Firewall Threat Defense Virtual は GWLB に応答を転送します。GWLB から HTTP サーバーへのトラフィックを許可するアクセスルールが必要です。
|
この項では、ルーテッド ファイアウォール モードおよびトランスペアレント ファイアウォール モードで、すべてのモデルに対応する標準のインターフェイス設定を完了するためのタスクについて説明します。
ファイアウォール モードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、IP 最適化、TCP の正規化などのファイアウォール機能の対象となります。オプションで、セキュリティ ポリシーに従ってこのトラフィックに IPS 機能を設定することもできます。
設定できるファイアウォール インターフェイスのタイプは、ルーテッド モードとトランスペアレント モードのどちらのファイアウォール モードがそのデバイスに設定されているかによって異なります。詳細については、トランスペアレント ファイアウォール モードまたはルーテッド ファイアウォール モードを参照してください。
ルーテッド モード インターフェイス(ルーテッド ファイアウォール モードのみ):ルーティングを行う各インターフェイスは異なるサブネット上にあります。
ブリッジグループ インターフェイス(ルーテッドおよびトランスペアレント ファイアウォール モード):複数のインターフェイスをネットワーク上でグループ化することができ、Firepower Threat Defense デバイスはブリッジング技術を使用してインターフェイス間のトラフィックを通過させることができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス(BVI)が含まれます。 ルーテッド モードでは、Firepower Threat Defense デバイスは BVI と通常のルーテッド インターフェイス間をルーティングします。トランスペアレント モードでは、各ブリッジグループは分離されていて、相互通信できません。
Firewall Threat Defense デバイス は、インターフェイスで IPv6 アドレスと IPv4 アドレスの両方をサポートしています。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。
ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの Firewall Threat Defense 間のフェールオーバーリンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP または Syslog を実行する管理ステーションを直接接続することもできます。
管理インターフェイスとクラスタ制御リンクを除き、クラスタインターフェイスの 31 ビットのサブネットマスクを使用できます。
フェールオーバーに関しては、Firewall Threat Defense インターフェイスの IP アドレスに 31 ビットのサブネットを使用した場合、アドレスが不足しているため、インターフェイス用のスタンバイ IP アドレスは設定できません。通常、アクティブなユニットがインターフェイスのテストを実行し、スタンバイのインターフェイスの健全性を保証できるよう、フェールオーバー インターフェイスはスタンバイ IP アドレスを必要とします。スタンバイ IP アドレスがないと、Firewall Threat Defense はネットワークのテストを実行できず、リンクステートのみしか追跡できません。
ポイントツーポイント接続であるフェールオーバーと任意のステートリンクでは、31 ビットのサブネットも使用できます。
直接接続される管理ステーションがあれば、Firewall Threat Defense 上で SSH または HTTP にポイントツーポイント接続を、または管理ステーション上で SNMP または Syslog にポイントツーポイント接続をそれぞれ使用できます。
次の機能は、31 ビットのサブネットをサポートしていません。
ブリッジ グループ用 BVI インターフェイス - ブリッジ グループには BVI、2 つのブリッジ グループ メンバーに接続された 2 つのホスト用に、少なくとも 3 つのホスト アドレスが必要です。/ 29 サブネット以下を使用する必要があります。
マルチキャスト ルーティング
フェールオーバー リンクは、この章の手順で設定しないでください。詳細については、「高可用性」の章を参照してください。
クラスタインターフェイスの場合は、クラスタリングの章で要件を確認してください。
マルチインスタンスモードの場合、共有インターフェイスはブリッジ グループ メンバー インターフェイス(トランスペアレントモードまたはルーテッドモード)ではサポートされません。
高可用性 を使用する場合、データ インターフェイスの IP アドレスとスタンバイ アドレスを手動で設定する必要があります。DHCP および PPPoE はサポートされません。[モニタ対象インターフェイス(Monitored Interfaces)] 領域の タブで、スタンバイ IP アドレスを設定します。詳細については、高可用性の章も参照してください。
IPv6 はすべてのインターフェイスでサポートされます。
トランスペアレント モードでは、IPv6 アドレスは手動でのみ設定できます。
Firewall Threat Defense デバイスは、IPv6 エニーキャスト アドレスはサポートしません。
DHCPv6 およびプレフィックス委任オプションは、トランスペアレントモード、クラスタリング、または 高可用性 ではサポートされません。
ブリッジされた ixgbevf インターフェイスを持つ VMware 上の Firewall Threat Defense Virtual では、 のブリッジグループはサポートされません。
FirePOWER 2100 シリーズでは、ルーテッド モードのブリッジ グループはサポートされません。
64のインターフェイスをもつブリッジ グループを 250 まで作成できます。
直接接続された各ネットワークは同一のサブネット上にある必要があります。
Firewall Threat Defense デバイス では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
デバイスとデバイス間の管理トラフィック、および Firewall Threat Defense デバイス を通過するデータトラフィックの各ブリッジグループに対し、BVI の IP アドレスが必要です。IPv4 トラフィックの場合は、IPv4 アドレスを指定します。IPv6 トラフィックの場合は、IPv6 アドレスを指定します。
IPv6 アドレスは手動でのみ設定できます。
BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。サブネットにホスト サブネット(255.255.255.255)を設定することはできません。
管理インターフェイスはブリッジ グループのメンバーとしてサポートされません。
マルチインスタンスモードの場合、共有インターフェイスはブリッジ グループ メンバー インターフェイス(トランスペアレントモードまたはルーテッドモード)ではサポートされません。
ブリッジされた ixgbevf インターフェイスを備えた VMware の Firewall Threat Defense Virtual の場合、トランスペアレントモードはサポートされておらず、ブリッジグループはルーテッドモードではサポートされていません。
Firepower 2100 シリーズ では、ルーテッド モードのブリッジ グループはサポートされません。
Firepower 1010 では、同じブリッジグループ内に論理 VLAN インターフェイスと物理ファイアウォール インターフェイスを混在させることはできません。
Firepower 4100/9300 では、データ共有インターフェイスはブリッジ グループのメンバーとしてサポートされません。
トランスペアレント モードでは、少なくとも 1 つのブリッジ グループを使用し、データ インターフェイスがブリッジ グループに属している必要があります。
トランスペアレントモードでは、接続されたデバイス用のデフォルトゲートウェイとして BVI IP アドレスを指定しないでください。デバイスは Firewall Threat Defense の他方側のルータをデフォルトゲートウェイとして指定する必要があります。
トランスペアレント モードでは、管理トラフィックの戻りパスを指定するために必要な default ルートは、1 つのブリッジ グループ ネットワークからの管理トラフィックにだけ適用されます。これは、デフォルト ルートはブリッジ グループのインターフェイスとブリッジ グループ ネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルト ルートしか定義できないためです。複数のブリッジ グループ ネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別する標準のスタティック ルートを指定する必要があります。
トランスペアレント モードでは、PPPoE は Diagnostic インターフェイスでサポートされません。
透過モードは、Amazon Web Services、Microsoft Azure、Google Cloud Platform、および Oracle Cloud Infrastructure にデプロイされた脅威防御仮想インスタンスではサポートされていません。
ルーテッドモードでは、ブリッジ グループと他のルーテッド インターフェイスの間をルーティングするために、BVI を指定する必要があります。
ルーテッド モードでは、Firewall Threat Defense 定義の EtherChannel インターフェイスがブリッジ グループのメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。
Bidirectional Forwarding Detection(BFD)エコー パケットは、ブリッジ グループ メンバを使用するときに、Firewall Threat Defense を介して許可されません。BFD を実行している Firewall Threat Defense の両側に 2 つのネイバーがある場合、Firewall Threat Defense は BFD エコー パケットをドロップします。両方が同じ送信元および宛先 IP アドレスを持ち、LAND 攻撃の一部であるように見えるからです。
Firewall Threat Defense では、ファイアウォール インターフェイスについては、パケットで 802.1Q ヘッダーが 1 つだけサポートされ、複数のヘッダー(Q-in-Q)はサポートされません。注:インラインセットとパッシブインターフェイスについては、FTD で Q-in-Q がサポートされ、パケットで 802.1Q ヘッダーが 2 つまでサポートされます。ただし、Firepower 4100/9300 は例外で、802.1Q ヘッダーは 1 つだけサポートされます。
頻繁なアップ/ダウンステータスの変化などのインターフェイスの問題があると、フローティング接続タイマーが、インターフェイスを通過する接続に正しく適用されない場合があります。インターフェイスのステータスに問題がある場合は、無効な接続をクリアするため、ステータスが安定した後にすべての接続をクリアすることを検討してください。
この手順では、名前、セキュリティ ゾーン、および IPv4 アドレスを設定する方法について説明します。
(注) |
すべてのインターフェイスタイプですべてのフィールドがサポートされているわけではありません。 |
Firepower 4100/9300
(任意)特別なインターフェイスを設定します。
コンテナ インスタンスの VLAN サブインターフェイスの追加 FXOS で次を実行します。
Firewall Management Center でのサブインターフェイスの追加
(任意)他のすべてのモデル:
AWS 上の Firewall Threat Defense Virtual:Geneve インターフェイスの設定
Firepower 1010:VLAN インターフェイスの設定
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|||||||||||||||||||||||
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|||||||||||||||||||||||
|
ステップ 3 |
[名前(Name)] フィールドに、48 文字以内で名前を入力します。 この名前を「cluster」という語句で始めることはできません。その名前は内部で使用するために予約されています。 |
|||||||||||||||||||||||
|
ステップ 4 |
[有効(Enabled)] チェック ボックスをオンにして、インターフェイスを有効化します。 |
|||||||||||||||||||||||
|
ステップ 5 |
(任意) このインターフェイスを [管理専用(Management Only)] に設定してトラフィックを管理トラフィックに制限します。through-the-box トラフィックは許可されていません。 |
|||||||||||||||||||||||
|
ステップ 6 |
(任意) [Description] フィールドに説明を追加します。 説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。 |
|||||||||||||||||||||||
|
ステップ 7 |
[モード(Mode)] ドロップダウン リストで、[なし(None)] を選択します。 通常のファイアウォール インターフェイスのモードは [なし(None)] に設定されています。他のモードは IPS 専用インターフェイス タイプ向けです。 |
|||||||||||||||||||||||
|
ステップ 8 |
[セキュリティ ゾーン(Security Zone)] ドロップダウン リストからセキュリティ ゾーンを選択するか、[新規(New)] をクリックして、新しいセキュリティ ゾーンを追加します。 ルーテッド インターフェイスは、ルーテッド タイプ インターフェイスであり、ルーテッド タイプのゾーンにのみ属することができます。 |
|||||||||||||||||||||||
|
ステップ 9 |
MTU についてはMTU の設定を参照してください。 |
|||||||||||||||||||||||
|
ステップ 10 |
[優先度(Priority)] フィールドに、0 ~ 65535 の範囲の数値を入力します。 この値は、ポリシーベースのルーティング構成で使用されます。優先度は、複数の出力インターフェイス間でトラフィックをルーティングする方法を決定するために使用されます。詳細については、「ポリシーベース ルーティング ポリシーの設定」を参照してください。 |
|||||||||||||||||||||||
|
ステップ 11 |
[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ(IP Type)] ドロップダウン リストにある次のオプションのいずれかを使用します。 高可用性、クラスタリング、およびループバック インターフェイスは、静的 IP アドレス構成のみをサポートします。DHCP および PPPoE はサポートされていません。
|
|||||||||||||||||||||||
|
ステップ 12 |
(任意) IPv6 アドレスの設定を参照して [IPv6] タブでの IPv6 アドレスを設定します。 |
|||||||||||||||||||||||
|
ステップ 13 |
(任意) MAC アドレスの設定を参照して [詳細設定(Advanced)] タブで MAC アドレスを手動で設定します。 |
|||||||||||||||||||||||
|
ステップ 14 |
(任意) をクリックして、デュプレックスと速度を設定します。
|
|||||||||||||||||||||||
|
ステップ 15 |
(任意) [マネージャアクセス(Manager Access)] ページのデータインターフェイスで Firewall Management Center 管理アクセスを有効にします。 Firewall Threat Defense を最初にセットアップするときに、データインターフェイスからマネージャアクセスを有効にできます。Firewall Threat Defense を Firewall Management Center に追加した後にマネージャアクセスを有効または無効にする場合は、次を参照してください。
マネージャ アクセス インターフェイスをあるデータインターフェイスから別のデータインターフェイスに変更する場合は、元のデータインターフェイスでマネージャアクセスを無効にする必要がありますが、インターフェイス自体はまだ無効にしないでください。展開を実行するには、元のデータインターフェイスを使用する必要があります。新しいマネージャ アクセス インターフェイスで同じ IP アドレスを使用する場合は、元のインターフェイスの IP 設定を削除または変更できます。この変更は展開に影響しません。新しいインターフェイスに別の IP アドレスを使用する場合は、Firewall Management Center に表示されるデバイスの IP アドレスも変更します。Firewall Management Center でのホスト名または IP アドレスの更新を参照してください。スタティックルート、DDNS、DNS 設定などの新しいインターフェイスを使用するように、関連する構成も更新してください。 データインターフェイスからのマネージャアクセスには、次の制限があります。
|
|||||||||||||||||||||||
|
ステップ 16 |
[OK] をクリックします。 |
|||||||||||||||||||||||
|
ステップ 17 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
ブリッジ グループは、Secure Firewall Threat Defense デバイス がルーティングではなくブリッジするインターフェイスのグループです。 ブリッジグループはトランスペアレント ファイアウォール モード、ルーテッド ファイアウォール モードの両方でサポートされています。ブリッジグループの詳細については、ブリッジグループについてを参照してください。
ブリッジグループと関連インターフェイスを設定するには、次の手順を実行します。
この手順は、ブリッジ グループ メンバー インターフェイスの名前とセキュリティ ゾーンを設定する方法について説明します。同じブリッジグループで、さまざまな種類のインターフェイス(物理インターフェイス、VLAN サブインターフェイス、Firepower 1010 VLAN インターフェイス、EtherChannel、冗長インターフェイス)を含めることができます。管理インターフェイスはサポートされていません。 ルーテッド モードでは、EtherChannel はサポートされません。Firepower 4100/9300 では、データ共有タイプのインターフェイスはサポートされていません。
Firepower 4100/9300
(任意)特別なインターフェイスを設定します。
コンテナ インスタンスの VLAN サブインターフェイスの追加 FXOS で次を実行します。
Firewall Management Center でのサブインターフェイスの追加
(任意)他のすべてのモデル:
Firepower 1010:VLAN インターフェイスの設定
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|||||||||||||||||||||||
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|||||||||||||||||||||||
|
ステップ 3 |
[名前(Name)] フィールドに、48 文字以内で名前を入力します。 この名前を「cluster」という語句で始めることはできません。その名前は内部で使用するために予約されています。 |
|||||||||||||||||||||||
|
ステップ 4 |
[有効(Enabled)] チェック ボックスをオンにして、インターフェイスを有効化します。 |
|||||||||||||||||||||||
|
ステップ 5 |
(任意) このインターフェイスを [管理専用(Management Only)] に設定してトラフィックを管理トラフィックに制限します。through-the-box トラフィックは許可されていません。 |
|||||||||||||||||||||||
|
ステップ 6 |
(任意) [Description] フィールドに説明を追加します。 説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。 |
|||||||||||||||||||||||
|
ステップ 7 |
[モード(Mode)] ドロップダウン リストで、[なし(None)] を選択します。 通常のファイアウォール インターフェイスのモードは [なし(None)] に設定されています。他のモードは IPS 専用インターフェイス タイプ向けです。このインターフェイスをブリッジ グループに割り当てると、[スイッチド(Switched)] がモードに表示されます。 |
|||||||||||||||||||||||
|
ステップ 8 |
[セキュリティ ゾーン(Security Zone)] ドロップダウン リストからセキュリティ ゾーンを選択するか、[新規(New)] をクリックして、新しいセキュリティ ゾーンを追加します。 ブリッジ グループ メンバー インターフェイスは、スイッチドタイプ インターフェイスであり、スイッチドタイプのゾーンにのみ属することができます。このインターフェイスに対して IP アドレス設定は行わないでください。ブリッジ仮想インターフェイス(BVI)に対してのみ IP アドレスを設定します。BVI はゾーンに属しておらず、BVI にはアクセス コントロール ポリシーを適用できないことに注意してください。 |
|||||||||||||||||||||||
|
ステップ 9 |
MTU についてはMTU の設定を参照してください。 |
|||||||||||||||||||||||
|
ステップ 10 |
(任意) をクリックして、デュプレックスと速度を設定します。
|
|||||||||||||||||||||||
|
ステップ 11 |
(任意) IPv6 アドレスの設定を参照して [IPv6] タブでの IPv6 アドレスを設定します。 |
|||||||||||||||||||||||
|
ステップ 12 |
(任意) MAC アドレスの設定を参照して [詳細設定(Advanced)] タブで MAC アドレスを手動で設定します。 |
|||||||||||||||||||||||
|
ステップ 13 |
[OK] をクリックします。 |
|||||||||||||||||||||||
|
ステップ 14 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
ブリッジ グループごとに、IP アドレスを設定する BVI が必要です。Firewall Threat Defense はブリッジ グループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、BVI IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカル アドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。
ルーテッド モードの場合、BVI に名前を指定すると、BVI がルーティングに参加します。名前を指定しなければ、ブリッジ グループはトランスペアレント ファイアウォール モードの場合と同じように隔離されたままになります。
(注) |
個別の Diagnostic インターフェイスでは、設定できないブリッジ グループ(ID 301)は、設定に自動的に追加されます。このブリッジ グループはブリッジ グループの制限に含まれません。 |
セキュリティ ゾーンに BVI を追加することはできません。そのため、BVI にアクセス コントロール ポリシーを適用することはできません。ゾーンに基づいてブリッジ グループのメンバー インターフェイスにポリシーを適用する必要があります。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
を選択します。 |
|
ステップ 3 |
(ルーテッド モード)[名前(Name)] フィールドに、名前を 48 文字以内で入力します。 トラフィックをブリッジ グループ メンバーの外部(たとえば、外部インターフェイスや他のブリッジ グループのメンバー)にルーティングする必要がある場合は、BVI に名前を付ける必要があります。名前は大文字と小文字が区別されません。 |
|
ステップ 4 |
[ブリッジ グループ ID(Bridge Group ID)] フィールドに、1 ~ 250 の間のブリッジ グループ ID を入力します。 |
|
ステップ 5 |
(オプション)[説明(Description)] フィールドに、このブリッジ グループの説明を入力します。 |
|
ステップ 6 |
[インターフェイス(Interfaces)] タブでインターフェイスをクリックし、[追加(Add)] をクリックして [選択したインターフェイス(Selected Interfaces)] 領域にそのインターフェイスを移動します。ブリッジ グループのメンバーにするすべてのインターフェイスに対して繰り返します。 |
|
ステップ 7 |
(トランスペアレント モード)[IPv4] タブをクリックします。[IP アドレス(IP Address)] フィールドに IPv4 アドレスおよびサブネット マスクを入力します。 BVI にはホスト アドレス(/32 または 255.255.255.255)を割り当てないでください。また、/30 サブネットなど(255.255.255.252)、ホスト アドレスが 3 つ未満(アップストリーム ルータ、ダウンストリーム ルータ、トランスペアレント ファイアウォールにそれぞれ 1 つずつ)の他のサブネットを使用しないでください。Firewall Threat Defense デバイスは、サブネットの先頭アドレスと最終アドレスで送受信されるすべての ARP パケットをドロップします。たとえば、/30 サブネットを使用し、そのサブネットからアップストリーム ルータへの予約済みアドレスを割り当てた場合、Firewall Threat Defense デバイスはダウンストリーム ルータからアップストリーム ルータへの ARP 要求をドロップします。 高可用性の場合は、[モニター対象インターフェイス(Monitored Interfaces)] エリアの タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブ ユニットはネットワーク テストを使用してスタンバイ インターフェイスをモニターできず、リンク ステートをトラックすることしかできません。 |
|
ステップ 8 |
(ルーテッド モード)[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ(IP Type)] ドロップダウン リストにある次のオプションのいずれかを使用します。 高可用性およびクラスタリング インターフェイスは、静的 IP アドレス設定のみをサポートします。DHCP はサポートされていません。
|
|
ステップ 9 |
(任意) IPv6 アドレッシングの設定については、IPv6 アドレスの設定を参照してください。 |
|
ステップ 10 |
(任意) スタティック ARP エントリの追加および静的 MAC アドレスの追加とブリッジグループの MAC 学習の無効化(トランスペアレント モードの場合のみ)を参照して ARP と MAC を設定します。 |
|
ステップ 11 |
[OK] をクリックします。 |
|
ステップ 12 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
ここでは、ルーテッド モードおよびトランスペアレント モードで IPv6 アドレッシングを設定する方法について説明します。
このセクションには、IPv6 に関する情報が含まれています。
IPv6 に対して次の 2 種類のユニキャスト アドレスを設定できます。
グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。ブリッジ グループの場合、このアドレスは各メンバー インターフェイスごとに設定するのではなく、BVI 用に設定する必要があります。また、トランスペアレント モードで管理インターフェイスのグローバルな IPv6 アドレスを設定することもできます。
リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決などのネイバー探索機能に使用できます。ブリッジ グループでは、メンバー インターフェイスのみがリンクローカル アドレスを所有しています。BVI にはリンクローカル アドレスはありません。
最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。ブリッジ グループ インターフェイスでは、BVI でグローバル アドレスを設定した場合、Firewall Threat Defense デバイス が自動的にメンバー インターフェイスのリンクローカル アドレスを生成します。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。
RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」(インターネット プロトコル バージョン 6 アドレッシング アーキテクチャ)では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。Firewall Threat Defense デバイスでは、ローカル リンクに接続されたホストにこの要件を適用できます。
この機能がインターフェイスで有効化されていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。
325003: EUI-64 source address check failed.
アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカル リンク上のホストに対してのみ実行できます。
Firewall Threat Defense は、(ケーブルモデムに接続された外部インターフェイスなどの)クライアント インターフェイスが 1 つ以上の IPv6 プレフィックスを受け取れるように DHPCv6 プレフィックス委任クライアントとして機能することができ、Firewall Threat Defense はそのプレフィックスをサブネット化して内部インターフェイスに割り当てることが可能です。
Firewall Threat Defense は、(ケーブルモデムに接続された外部インターフェイスなどの)クライアント インターフェイスが 1 つ以上の IPv6 プレフィックスを受け取れるように DHPCv6 プレフィックス委任クライアントとして機能することができ、Firewall Threat Defense はそのプレフィックスをサブネット化して内部インターフェイスに割り当てることが可能です。これにより、内部インターフェイスに接続されているホストは、StateLess Address Auto Configuration(SLAAC)を使用してグローバル IPv6 アドレスを取得できます。ただし、内部 Firewall Threat Defense インターフェイスはプレフィックス委任サーバーとして機能しないため注意してください。Firewall Threat Defense は、SLAAC クライアントにグローバル IP アドレスを提供することしかできません。たとえば、ルータが Firewall Threat Defense に接続されている場合、ASA は SLAAC クライアントとして機能し、IP アドレスを取得できます。しかし、ルータの背後のネットワークに代理プレフィックスのサブネットを使用したい場合、ルータの内部インターフェイス上でそれらのアドレスを手動で設定する必要があります。
Firewall Threat Defense には軽量 DHCPv6 サーバーが含まれており、SLAAC クライアントが情報要求(IR)パケットを Firewall Threat Defense に送信した場合、Firewall Threat Defense は DNS サーバーやドメイン名などの情報を SLAAC クライアントに提供できます。Firewall Threat Defense は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。クライアントが独自の IPv6 アドレスを生成するように設定するには、クライアントで IPv6 自動設定を有効にします。クライアントでステートレスな自動設定を有効にすると、ルータ アドバタイズメント メッセージで受信したプレフィックス(Firewall Threat Defense がプレフィックス委任を使用して受信したプレフィックス)に基づいて IPv6 アドレスが設定されます。
次の例では、Firewall Threat Defense が DHCPv6 アドレスクライアントを使用して、外部インターフェイス上で IP アドレスを受け取るところを示しています。また、ASA は DHCPv6 プレフィックス委任クライアントを使用して代理プレフィックスを取得します。Firewall Threat Defense は、委任されたプレフィックスを /64 ネットワークにサブネット化し、委任されたプレフィックスと手動で設定されたサブネット(::0、::1、または ::2)と各インターフェイスの IPv6 アドレス(0:0:0:1)を使用して、動的に内部インターフェイスにグローバル IPv6 アドレスを割り当てます。これらの内部インターフェイスに接続されている SLAAC クライアントは、各 /64 サブネットの IPv6 アドレスを取得します。
次の例は、Firewall Threat Defense が 4/62 サブネットにプレフィックスをサブネット化するところを示しています。2001:DB8:ABCD:1230::/62、2001:DB8:ABCD:1234::/62、2001:DB8:ABCD:1238::/62、2001:DB8:ABCD:123C::/62。Firewall Threat Defense は、内部ネットワーク(::0)に 2001:DB8:ABCD:1230::/62 の利用可能な 64 サブネット 4 つのいずれかを使用します。ダウンストリーム ルータには、手動で追加の /62 サブネットを使用できます。図のルータは、内部インターフェイス(::4, ::5, and ::6)に 2001:DB8:ABCD:1234::/62 の利用可能な 4 つの /64 サブネットのうちの 3 つを使用します。この場合、内部ルータインターフェイスは委任されたプレフィックスを動的に取得できないため、Firewall Threat Defense 上で委任されたプレフィックスを表示し、ルータ設定にそのプレフィックスを使用する必要があります。通常、リースが期限切れになった場合、ISP は既定のクライアントに同じプレフィックスを委任しますが、Firewall Threat Defense が新しいプレフィックスを受け取った場合、新しいプレフィックスを使用するようルータ設定を変更する必要があります。DHCP の一意識別子(DUID)は、再起動後も存続します。
1 つ以上のインターフェイスで DHCPv6 プレフィクス委任クライアントをイネーブルにします。Firewall Threat Defense は、サブネット化して内部ネットワークに割り当てることができる 1 つ以上の IPv6 プレフィックスを取得します。通常、プレフィックス委任クライアントを有効にしたインターフェイスは DHCPv6 アドレスクライアントを使用して IP アドレスを取得し、その他の Firewall Threat Defense インターフェイスだけが、委任されたプレフィックスから取得されるアドレスを使用します。
この機能は、ルーテッドモードでのみサポートされます。この機能は、クラスタリングまたはハイアベイラビリティではサポートされません。
プレフィックス委任を使用する場合は、IPv6 トラフィックの中断を防ぐために、Firewall Threat Defense IPv6 ネイバー探索のルータアドバタイズメント間隔を DHCPv6 サーバーによって割り当てられるプレフィックスの推奨有効期間よりもはるかに小さい値に設定する必要があります。たとえば、DHCPv6 サーバーでプレフィックス委任の推奨有効期間を 300 秒に設定している場合は、Firewall Threat Defense RA の間隔を 150 秒に設定する必要があります。推奨有効期間を設定するには、show ipv6 general-prefix コマンドを使用します。Firewall Threat Defense RA の間隔を設定するには、「IPv6 ネイバー探索の設定」を参照してください。デフォルトは 200 秒です。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[IPv6] ページをクリックしてから、[DHCP] をクリックします。 |
|
ステップ 4 |
[クライアントPDプレフィックス名(Client PD Prefix Name)] をクリックし、このプレフィックスの名前を入力します。 
名前には最大 200 文字を使用できます。 |
|
ステップ 5 |
(任意) [クライアントPDヒントプレフィックス(Client PD Hint Prefixes)] フィールドにプレフィックスとプレフィックス長を入力し、受信する委任されたプレフィックスに関する DHCP サーバーへのヒントを 1 つ以上指定して [追加(Add)] をクリックします。 通常、特定のプレフィクス長(::/60 など)を要求しますが、以前に特定のプレフィックスを受信しており、リースの期限が切れるときにそれを確実に再取得したい場合は、そのプレフィックスの全体をヒントとして入力できます。複数のヒント(異なるプレフィックスまたはプレフィックス長)を入力すると、どのヒントに従うのか、またはそもそもヒントに従うのかどうかが DHCP サーバによって決定されます。 |
|
ステップ 6 |
[OK] をクリックします。 |
|
ステップ 7 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
ルーテッド モードの任意のインターフェイスとトランスペアレント モードまたはルーテッド モードの BVI に対してグローバル IPv6 アドレスを設定するには、次の手順を実行します。
(注) |
グローバル アドレスを設定すると、リンクローカル アドレスは自動的に設定されるため、別々に設定する必要はありません。ブリッジ グループについて、BVI でグローバル アドレスを設定すると、すべてのメンバー インターフェイスのリンクローカル アドレスが自動的に設定されます。 Firewall Threat Defense で定義されているサブインターフェイスの場合、親インターフェイスの同じ Burned-In MAC Address を使用するので、MAC アドレスも手動で設定することをお勧めします。IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になり、Firewall Threat Defense で特定のインスタンスでのトラフィックの中断を避けることができます。MAC アドレスの設定を参照してください。 |
ブリッジグループの IPv6 ネイバー探索では、双方向アクセスルールを使用して、Firewall Threat Defense ブリッジ グループ メンバー インターフェイスでネイバー送信要求(ICMPv6 タイプ 135)およびネイバーアドバタイズメント(ICMPv6 タイプ 136)パケットを明示的に許可する必要があります。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[IPv6] ページをクリックします。 ルーテッドモードでは、[基本(Basic)] ページがデフォルトで選択されています。トランスペアレントモードでは、[アドレス(Address)] ページがデフォルトで選択されています。 |
|
ステップ 4 |
(任意) [基本(Basic)] ページで、[IPv6を有効にする(Enable IPv6)] をオンにします。 リンクローカルアドレスのみを設定する場合は、このオプションを使用します。それ以外の場合、IPv6 アドレスを設定すると、IPv6 処理が自動的に有効になります。 |
|
ステップ 5 |
グローバル IPv6 アドレスを次のいずれかの方法で設定します。 フェールオーバーやクラスタリング、およびループバック インターフェイスの場合は、IP アドレスを手動で設定する必要がありますクラスタリングの場合、リンクローカルアドレスの手動設定もサポートされていません。
|
|
ステップ 6 |
ルーテッドインターフェイスの場合は、必要に応じて [基本(Basic)] ページで次の値を設定できます。
|
|
ステップ 7 |
ルーテッドインターフェイスの場合は、必要に応じて [DHCP] ページで次の値を設定できます。
|
|
ステップ 8 |
ルーテッドインターフェイスの場合は、[プレフィックス(Prefixes)] ページと [設定(Settings)] ページでの設定について「IPv6 ネイバー探索の設定」を参照してください。BVI インターフェイスの場合は、[設定(Settings)] ページの以下のパラメータを参照してください。
|
|
ステップ 9 |
[OK] をクリックします。 |
|
ステップ 10 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
IPv6 ネイバー探索プロセスは、ICMPv6 メッセージおよび要請ノード マルチキャスト アドレスを使用して、同じネットワーク(ローカル リンク)上のネイバーのリンク層アドレスを特定し、ネイバーの読み出し可能性を確認し、隣接ルータを追跡します。
ノード(ホスト)はネイバー探索を使用して、接続リンク上に存在することがわかっているネイバーのリンク層アドレスの特定や、無効になったキャッシュ値の迅速なパージを行います。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送しようとしている隣接ルータを検出します。さらに、ノードはこのプロトコルを使用して、どのネイバーが到達可能でどのネイバーがそうでないかをアクティブに追跡するとともに、変更されたリンク層アドレスを検出します。ルータまたはルータへのパスが失われると、ホストは機能している代替ルータまたは代替パスをアクティブに検索します。
ルーテッド モードのみでサポートされます。トランスペアレントモードでサポートされる IPv6 ネイバー設定については、「グローバル IPv6 アドレスの設定」を参照してください。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[IPv6]、[プレフィックス(Prefixes)] の順にクリックします。 |
|
ステップ 4 |
(任意) IPv6 ルータ アドバタイズメントに含める IPv6 プレフィックスを設定するには、次の手順を実行します。
|
|
ステップ 5 |
[設定(Settings)] をクリックします。 |
|
ステップ 6 |
(任意) [DAD 試行(DAD attempts)] の最大数、1 ~ 600 を設定します。デフォルトでは 1 になっています。重複アドレス検出(DAD)プロセスをディセーブルにするには、この値を 0 に設定します。 この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。 ステートレス自動設定プロセス中に、重複アドレス検出は、アドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を確認します。 重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラー メッセージが生成されます。 重複アドレスがインターフェイスのリンクローカル アドレスであれば、インターフェイス上で IPv6 パケットの処理は無効になります。重複アドレスがグローバル アドレスであれば、そのアドレスは使用されません。 |
|
ステップ 7 |
(任意) [NS インターバル(NS Interval)] フィールドで、IPv6 ネイバー勧誘再送信の時間の間隔を、1000 ~ 3600000ms で設定します。 デフォルト値は 1000 ミリ秒です。 ローカル リンク上にある他のノードのリンクレイヤ アドレスを検出するため、ノードからネイバー送信要求メッセージ(ICMPv6 Type 135)がローカル リンクに送信されます。ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバー アドバタイズメント メッセージ(ICPMv6 Type 136)をローカル リンク上に送信して応答します。 送信元ノードがネイバー アドバタイズメントを受信すると、送信元ノードと宛先ノードが通信できるようになります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスが識別された後に、ネイバーの到達可能性の確認にも使用されます。ノードがあるネイバーの到達可能性を検証する場合、ネイバー送信要求メッセージ内の宛先アドレスとして、そのネイバーのユニキャスト アドレスを使用します。 ネイバー アドバタイズメント メッセージは、ローカル リンク上のノードのリンク層アドレスが変更されたときにも送信されます。 |
|
ステップ 8 |
(任意) 到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を、[到達可能時間(Reachable Time)] フィールドにて、0 ~ 3600000ms で設定します。 デフォルト値は 0 ミリ秒です。value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。 ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。 |
|
ステップ 9 |
(任意) ルータ アドバタイズメントの伝送を抑制にするには、[RA を有効にする(Enable RA)] チェックボックスをオフにします。ルータ アドバタイズメントの伝送を有効にすると、RA ライフタイムと時間間隔を設定できます。 ルータ要請メッセージ(ICMPv6 Type 133)に応答して、ルータ アドバタイズメント メッセージ(ICMPv6 Type 134)が自動的に送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータ アドバタイズメント メッセージを待つことなくただちに自動設定を行うことができます。 Firewall Threat Defenseで IPv6 プレフィックスを提供する必要がないインターフェイス(外部インターフェイスなど)では、これらのメッセージを無効化できます。
|
|
ステップ 10 |
[OK] をクリックします。 |
|
ステップ 11 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
この項では、通常のファイアウォール モードのインターフェイスの MAC アドレスの設定方法、最大伝送ユニット(MTU)の設定方法、およびその他の詳細パラメータの設定方法について説明します。
ここでは、インターフェイスの詳細設定について説明します。
手動でMACアドレスを割り当てて、デフォルトを上書きすることができます。 コンテナインスタンスの場合、FXOS シャーシはすべてのインターフェイスに対して一意の MAC アドレスを自動的に生成します。
(注) |
親インターフェイスと同じ組み込みの MAC アドレスを使用するので、Firewall Threat Defense で定義されたサブインターフェイスに一意の MAC アドレスを割り当てることもできます。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカルアドレスが可能になり、Firewall Threat Defense デバイスで特定のインスタンスでのトラフィックの中断を回避できます。 |
(注) |
コンテナ インスタンスでは、MAC アドレスを手動で設定すると、サブインターフェイスを共有していない場合でも、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。 |
ネイティブインスタンスの場合:
デフォルトのMACアドレスの割り当ては、インターフェイスのタイプによって異なります。
物理インターフェイス:物理インターフェイスでは、Burned-In MAC Address を使用します。
VLAN インターフェイス(Firepower 1010 および ):ルーテッド ファイアウォール モード:すべての VLAN インターフェイスが MAC アドレスを共有します。接続スイッチがどれもこのシナリオをサポートできるようにします。接続スイッチに固有の MAC アドレスが必要な場合、手動で MAC アドレスを割り当てることができます。MAC アドレスの設定を参照してください。
トランスペアレント ファイアウォール モード:各 VLAN インターフェイスに固有の MAC アドレスがあります。必要に応じて、手動で MAC アドレスを割り当てて、生成された MAC アドレスを上書きできます。MAC アドレスの設定を参照してください。
EtherChannel(Firepower モデル):EtherChannel の場合、そのチャネルグループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワーク アプリケーションとユーザに対して透過的になります。ネットワーク アプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。ポートチャネル インターフェイスは、プールにある一意の MAC アドレスを使用します。インターフェイス メンバーシップは MAC アドレスに影響しません。
EtherChannel(ASA モデル):ポートチャネル インターフェイスは、最も小さいチャネル グループ インターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。または、ポートチャネル インターフェイスの MAC アドレスを設定することもできます。グループ チャネル インターフェイスのメンバーシップが変更された場合に備えて、一意の MAC アドレスを設定することをお勧めします。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネルの MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。
サブインターフェイス(Firewall Threat Defense定義): 物理インターフェイスのすべてのサブインターフェイスは同じBurned-In MAC Addressを使用します。サブインターフェイスに一意のMACアドレスを割り当てることが必要になる場合があります。たとえば、サービス プロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカル アドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで、一意の IPv6 リンクローカル アドレスが可能になり、Firewall Threat Defense で特定のインスタンスでのトラフィックの中断を避けることができます。
コンテナインスタンスの場合:
すべてのインターフェイスの MAC アドレスは、MAC アドレス プールから取得されます。サブインターフェイスの場合、手動で MAC アドレスを設定する場合は、同じ親インターフェイス上のすべてのサブインターフェイスに一意の MAC アドレスを使用して、正しく分類されるようにしてください。コンテナ インスタンス インターフェイスの自動 MAC アドレス を参照してください。
MTU は、Firewall Threat Defense デバイス が特定のイーサネット インターフェイスで送信可能な最大フレームペイロードサイズを指定します。MTU の値は、イーサネット ヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレーム サイズです。たとえば、MTU を 1500 に設定すると、予想されるフレーム サイズはヘッダーを含めて 1518 バイトで、VLAN を使用する場合は 1522 です。これらのヘッダーに対応するために MTU 値を高く設定しないでください。
Geneve については、イーサネットデータグラム全体がカプセル化されるため、新しい IP パケットは大きくなり、より大きな MTU が必要となります。そのため、ASA VTEP 送信元インターフェイスの MTU をネットワーク MTU + 306 バイトに設定する必要があります。
Firewall Threat Defense デバイス は、Path MTU Discovery(RFC 1191 の定義に従う)をサポートします。つまり、2 台のホスト間のネットワーク パス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。
Firewall Threat Defense デバイス のデフォルト MTU は、1500 バイトです。この値には、イーサネット ヘッダー、VLAN タギングや他のオーバーヘッド分の 18~22 バイトは含まれません。
IPv4 の場合、出力 IP パケットが、指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは送信先(場合によっては中継先)で組立て直されます。フラグメント化はパフォーマンス低下の原因となります。IPv6 の場合、通常、パケットのフラグメント化は許可されません。したがってフラグメント化を避けるために、IP パケットを MTU サイズ以内におさめる必要があります。
TCP パケットの場合、通常、エンドポイントが MTU を使用して、TCP 最大セグメント サイズ(たとえば、MTU - 40 など)を判別します。途中で TCP ヘッダーが追加される場合(たとえば、サイト間 VPN トンネルなど)、トンネリング エンティティによって TCP MSS を調整する必要があります。TCP MSS についてを参照してください。
UDP または ICMP の場合、アプリケーションは、フラグメンテーションを避けるために、MTU を考慮する必要があります。
(注) |
Firewall Threat Defense デバイス はメモリに空きがある限り、設定された MTU よりも大きいフレームを受信します。 |
MTU が大きくなると、より大きなパケットを送信できます。大きなパケットはネットワークにとってより効率的です。次のガイドラインを参照してください。
トラフィックパスの MTU の一致:すべての Firewall Threat Defense インターフェイスの MTU と、トラフィックパス上のその他のデバイスインターフェイスの MTU を同じ値に設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。
ジャンボフレームへの対応:ジャンボフレームが有効な場合、MTU を 9,000 バイト以上に設定できます。最大値はモデルによって異なります。
TCP 最大セグメント サイズ(MSS)とは、あらゆる TCP と IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときのスリーウェイ ハンドシェイク中に、クライアントとサーバは TCP MSS 値を交換します。
FlexConfig の Sysopt_Basic オブジェクトを使用して 」を参照してください。「FlexConfig ポリシー」を参照してください。デフォルトで、最大 TCP MSS は 1,380 バイトに設定されます。この設定は、Firewall Threat Defense デバイス が IPsec VPN カプセル化のパケットサイズを大きくする必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、Firewall Threat Defense デバイス の最大 TCP MSS を無効化する必要があります。
最大 TCP MSS を設定すると、接続のいずれかのエンドポイントが Firewall Threat Defense デバイス で設定した値よりも大きな TCP MSS を要求した場合に、Firewall Threat Defense デバイス は要求パケットの TCP MSS を Firewall Threat Defense デバイス の最大値で上書きします。ホストやサーバが TCP MSS を要求しない場合、Firewall Threat Defense デバイス は RFC 793 のデフォルト値 536 バイト(IPv4)または 1220 バイト(IPv6)を想定しますが、パケットを変更することはありません。たとえば、MTU を デフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。Firewall Threat Defense デバイス の最大 TCP MSS が 1380(デフォルト)の場合は、Firewall Threat Defense デバイス は TCP 要求パケットの MSS 値を 1380 に変更します。サーバは、1380 バイトのペイロードを含むパケットを送信します。Firewall Threat Defense デバイス はさらに 120 バイトのヘッダーをパケットに追加しますが、それでも 1500 の MTU サイズに収まります。
TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、Firewall Threat Defense デバイス は値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。
SSL VPN 接続用を含む to-the-box トラフィックには、この設定は適用されません。Firewall Threat Defense デバイス は MTU を使用して、TCP MSS を導き出します。MTU - 40(IPv4)または MTU - 60(IPv6)となります。
デフォルトでは、Firewall Threat Defense デバイス の最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU の デフォルトの 1500 バイト内にも収まっています。
デフォルトでは TCP MSS は、Firewall Threat Defense デバイス が IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。Firewall Threat Defense デバイス が IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。
MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして Firewall Threat Defense デバイス を使用しない場合は、FlexConfig の Sysopt_Basic オブジェクトを使用して TCP MSS 設定を変更する必要があります。
(注) |
MSS を明示的に設定した場合でも、TLS/SSL 復号やサーバ検出などのコンポーネントが特定の MSS を必要とする場合、その MSS はインターフェイス MTU に基づいて設定され、MSS 設定は無視されます。 |
次のガイドラインを参照してください。
通常のトラフィック:TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。一般に接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
IPv4 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボ フレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
IPv6 IPsec エンドポイント トラフィック:最大 TCP MSS を MTU - 140 に設定します。
デフォルトでは、ブリッジ グループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションをイネーブルにします。
ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます(ARP スプーフィングと呼ばれる)のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイ ルータに送信すると、ゲートウェイ ルータはゲートウェイ ルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホスト トラフィックを代行受信してルータに転送できるようになります。
ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。
ARP インスペクションを有効化すると、Firewall Threat Defense デバイスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティック エントリと比較し、次のアクションを実行します。
IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、Firewall Threat Defense デバイスはパケットをドロップします。
ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送(フラッディング)するか、またはドロップするようにFirewall Threat Defense デバイスを設定できます。
(注) |
専用の Diagnostic インターフェイスは、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。 |
ブリッジ グループを使用する場合、Firewall Threat Defense は、通常のブリッジまたはスイッチと同様に、MAC アドレスを学習して MAC アドレス テーブルを作成します。デバイスがブリッジ グループ経由でパケットを送信すると、Firewall Threat Defense が MAC アドレスをアドレス テーブルに追加します。テーブルで MAC アドレスと発信元インターフェイスが関連付けられているため、Firewall Threat Defenseは、パケットが正しいインターフェイスからデバイスにアドレス指定されていることがわかります。ブリッジ グループ メンバー間のトラフィックには Firewall Threat Defense セキュリティ ポリシーが適用されるため、パケットの宛先 MAC アドレスがテーブルに含まれていなくても、通常のブリッジのように、すべてのインターフェイスに元のパケットを Firewall Threat Defense がフラッディングすることはありません。代わりに、直接接続されたデバイスまたはリモート デバイスに対して次のパケットを生成します。
直接接続されたデバイスへのパケット:Firewall Threat Defense は宛先 IP アドレスに対して ARP 要求を生成し、ARP 応答を受信したインターフェイスを学習します。
リモート デバイスへのパケット:Firewall Threat Defense は宛先 IP アドレスへの ping を生成し、ping 応答を受信したインターフェイスを学習します。
元のパケットはドロップされます。
ARP インスペクションを有効にした場合、デフォルト設定では、一致しないパケットはフラッディングします。
ダイナミック MAC アドレス テーブル エントリのデフォルトのタイムアウト値は 5 分です。
デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、Firewall Threat Defense デバイスは対応するエントリを MAC アドレス テーブルに追加します。
(注) |
Secure Firewall Threat Defense デバイス はリセットパケットを生成し、ステートフル検査エンジンによって拒否された接続をリセットします。リセットパケットでは、パケットの宛先 MAC アドレスが ARP テーブルのルックアップに基づいて決定されるのではなく、拒否されるパケット(接続)から直接取得されます。 |
ARP インスペクションは、ブリッジ グループでのみサポートされます。
MAC アドレス テーブル構成は、ブリッジ グループでのみサポートされます。
たとえば、ジャンボ フレームを許可するようにインターフェイスの MTU をカスタマイズします。
、ISA 3000、Firewall Threat Defense Virtualの場合:1500 バイトを超える MTU を変更すると、jumbo-frame reservation が自動的に有効になります。ジャンボフレームを使用するには、システムを再起動する必要があります。クラスタリングをサポートする Firewall Threat Defense Virtual では、Day0 構成で jumbo-frame reservation を有効にすることができるため、その場合は再起動する必要はありません。再起動後、disable jumbo-frame reservation を無効にすることはできません。Firewall Threat Defense Virtual の場合は例外で、サポートされている場合は Day0 構成で jumbo-frame reservation を無効にできます。インライン セットでインターフェイスを使用する場合、MTU 設定は使用されません。ただし、jumbo-frame reservation の設定はインラインセットに関連します。ジャンボフレームによりインラインインターフェイスは最大 9000 バイトのパケットを受信できます。 jumbo-frame reservation を有効にするには、すべてのインターフェイスの MTU を 1500 バイトより大きい値に設定する必要があります。
ジャンボフレームは、他のプラットフォームではデフォルトで有効化されます。
 注意 |
デバイス上でデータインターフェイスの最大 MTU 値を変更し、設定の変更を展開すると、Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。インスペクションは、変更したインターフェイスだけでなく、すべてのデータインターフェイスで中断されます。この中断でトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイス タイプに応じて異なります。この注意は、診断インターフェイスまたは管理専用のインターフェイスには適用されません。詳細については、Snort の再起動によるトラフィックの動作を参照してください。 |
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[全般(General)] タブで [MTU] を設定します。最小値と最大値は、プラットフォームによって異なります。 デフォルト値は 1500 バイトです。 |
|
ステップ 4 |
[OK] をクリックします。 |
|
ステップ 5 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
|
ステップ 6 |
ISA 3000、および Firewall Threat Defense Virtual で MTU を 1,500 バイト超に設定する場合は、システムを再起動して jumbo-frame reservation を有効にします。「デバイスのシャットダウンまたは再起動」を参照してください。 |
MAC アドレスを手動で割り当てることが必要となる場合があります。また、 タブで、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定することもできます。両方の画面でインターフェイスの MAC アドレスを設定した場合は、 タブのアドレスが優先されます。
(注) |
コンテナ インスタンスでは、MAC アドレスを手動で設定すると、サブインターフェイスを共有していない場合でも、分類が正しく行われるように、同じ親インターフェイス上のすべてのサブインターフェイスで一意の MAC アドレスを使用します。 |
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[詳細(Advanced)] タブをクリックします。 |
|
ステップ 4 |
アクティブおよびスタンバイの MAC アドレスを設定します。 |
|
ステップ 5 |
[OK] をクリックします。 |
|
ステップ 6 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
デフォルトでは、ブリッジ グループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします(ARP インスペクション 参照)。ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。
ルーテッド インターフェイスの場合、スタティック ARP エントリを入力できますが、通常はダイナミック エントリで十分です。ルーテッド インターフェイスの場合、直接接続されたホストにパケットを配送するために ARP テーブルが使用されます。送信者は IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合(たとえば、所定の IP アドレスの MAC アドレスが変更された場合など)、新しい情報で更新される前にこのエントリがタイムアウトする必要があります。
トランスペアレント モードの場合、管理トラフィックなどの Firewall Threat Defense デバイスとの間のトラフィックに、Firewall Threat Defense は ARP テーブルのダイナミック ARP エントリのみを使用します。
この画面は、名前付きインターフェイスについてのみ使用できます。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[詳細(Advanced)] タブをクリックして、[ARP] タブをクリックします(トランスペアレントモードでは、[ARP と MAC(ARP and MAC)])。 |
|
ステップ 4 |
[ARP 設定を追加(Add ARP Config)]( |
|
ステップ 5 |
[IP アドレス(IP Address)] フィールドに、ホストの IP アドレスを入力します。 |
|
ステップ 6 |
[MAC アドレス(MAC Address)] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。 |
|
ステップ 7 |
このアドレスでプロキシ ARP を実行するには、[エイリアスを有効にする(Enable Alias)] チェックボックスをオンにします。 Firewall Threat Defense デバイスは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。 |
|
ステップ 8 |
[OK] をクリックし、次にもう一度 [OK] をクリックして、[詳細設定(Advanced settings)] を閉じます。 |
|
ステップ 9 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレス テーブルに動的に追加されます。MAC アドレス ラーニングを無効にすることができます。ただし、MAC アドレスをスタティックにテーブルに追加しないかぎり、トラフィックは Firewall Threat Defense デバイスを通過できません。スタティック MAC アドレスは、MAC アドレス テーブルに追加することもできます。スタティック エントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティック エントリと同じ MAC アドレスを持つクライアントが、そのスタティック エントリに一致しないインターフェイスにトラフィックを送信しようとした場合、Firewall Threat Defense デバイスはトラフィックをドロップし、システム メッセージを生成します。スタティック ARP エントリを追加するときに(スタティック ARP エントリの追加 を参照)、スタティック MAC アドレス エントリは MAC アドレス テーブルに自動的に追加されます。
この画面は、トランスペアレントモードの名前付き BVI でのみ使用できます。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[詳細(Advanced)] タブをクリックして、[ARP と MAC(ARP and MAC)] タブをクリックします。 |
|
ステップ 4 |
(任意) [MAC ラーニングを有効にする(Enable MAC Learning)] チェックボックスをオフにして MAC ラーニングを無効にします。 |
|
ステップ 5 |
スタティック MAC アドレスを追加するには、[MAC 設定を追加(Add MAC Config)] をクリックします。 |
|
ステップ 6 |
[MAC アドレス(MAC Address)] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。[OK] をクリックします。 |
|
ステップ 7 |
[OK] をクリックして詳細設定を終了します。 |
|
ステップ 8 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
この項では、IP スプーフィングの防止方法、完全フラグメント リアセンブルの許可方法、および [プラットフォーム設定(Platform Settings)] でデバイス レベルで設定されるデフォルトのフラグメント設定のオーバーライド方法について説明します。
アンチ スプーフィング
この項では、インターフェイスでユニキャスト リバース パス フォワーディング(ユニキャスト RPF)を有効にします。ユニキャスト RPF は、ルーティング テーブルに従って、すべてのパケットが正しい送信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング(パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること)から保護します。
通常、Firewall Threat Defense デバイスは、パケットの転送先を判定するときに宛先アドレスだけを調べます。ユニキャスト RPF は、送信元アドレスも調べるようにデバイスに指示します。そのため、リバース パス フォワーディング(Reverse Path Forwarding)と呼ばれます。Firewall Threat Defense デバイスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをデバイスのルーティング テーブルに含める必要があります。詳細については、RFC 2267 を参照してください。
たとえば、外部トラフィックの場合、Firewall Threat Defense デバイスはデフォルト ルートを使用してユニキャスト RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティング テーブルにない場合、デバイスはデフォルト ルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。
ルーティング テーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、Firewall Threat Defense デバイスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート(デフォルト ルート)が外部インターフェイスを示しているため、デバイスはパケットをドロップします。
ユニキャスト RPF は、次のように実装されます。
ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
UDP と TCP にはセッションが含まれているため、初期パケットには逆ルートのルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。
パケットあたりのフラグメント
デフォルトでは、Firewall Threat Defense デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。NFS over UDP など、アプリケーションが日常的にパケットをフラグメント化する場合は、ネットワークでフラグメント化を許可する必要があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、フラグメントが Firewall Threat Defense デバイスを通過できないようにすることをお勧めします。フラグメント化されたパケットは、DoS 攻撃によく使われます。
フラグメントのリアセンブル
Firewall Threat Defense デバイスは、次に示すフラグメント リアセンブル プロセスを実行します。
IP フラグメントは、フラグメント セットが作成されるまで、またはタイムアウト間隔が経過するまで収集されます。
フラグメント セットが作成されると、セットに対して整合性チェックが実行されます。これらのチェックには、重複、テール オーバーフロー、チェーン オーバーフローはいずれも含まれません。
Firewall Threat Defense デバイスで終端する IP フラグメントは、常に完全にリアセンブルされます。
[完全フラグメント リアセンブル(Full Fragment Reassembly)] が無効化されている場合(デフォルト)、フラグメント セットは、さらに処理するためにトランスポート層に転送されます。
[完全フラグメント リアセンブル(Full Fragment Reassembly)] が有効化されている場合、フラグメント セットは、最初に単一の IP パケットに結合されます。この単一の IP パケットは、さらに処理するためにトランスポート層に転送されます。
この画面は、名前付きインターフェイスでのみ使用できます。
|
ステップ 1 |
を選択し、Firewall Threat Defenseデバイス[編集(Edit)]( |
|
ステップ 2 |
編集するインターフェイス [編集(Edit)]( |
|
ステップ 3 |
[詳細(Advanced)] タブをクリックして、[セキュリティ設定(Security Configuration)] タブをクリックします。 |
|
ステップ 4 |
ユニキャスト リバース パス フォワーディングを有効にするには、[アンチスプーフィングの有効化(Enable Anti Spoofing)] チェックボックスをオンにします。 |
|
ステップ 5 |
完全フラグメントリアセンブルを有効化するには、[完全フラグメントリアセンブルを許可(Allow Full Fragment Reassembly)] チェックボックスをオンにします。 |
|
ステップ 6 |
パケットごとに許容するフラグメント数を変更するには、[デフォルト フラグメント設定のオーバーライド(Override Default Fragment Setting)] チェックボックスをオンにして、次に示す値を設定します。
|
|
ステップ 7 |
[OK] をクリックします。 |
|
ステップ 8 |
[Save(保存)] をクリックします。 これで、 をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。 |
|
機能 |
最小 Firewall Management Center |
最小 Firewall Threat Defense |
詳細 |
||
|---|---|---|---|---|---|
|
VTI のループバック インターフェイス サポート |
7.3 |
任意(Any) |
ループバック インターフェイスを追加できるようになりました。ループバック インターフェイスは、パス障害の克服に役立ちます。インターフェイスがダウンした場合、ループバック インターフェイスに割り当てられた IP アドレスを使用してすべてのインターフェイスにアクセスできます。VTI の場合、送信元インターフェイスとしてループバック インターフェイスを設定するのに加えて、静的に設定された IP アドレスの代わりに、ループバック インターフェイスから IP アドレスを継承するサポートも追加されています。 新しい/変更された画面:
|
||
|
IPv6 DHCP |
7.3 |
任意(Any) |
Firewall Threat Defense で IPv6 アドレッシングの次の機能がサポートされるようになりました。
新しい/変更された画面: 新規/変更されたコマンド:show bgp ipv6 unicast、show ipv6 dhcp、show ipv6 general-prefix |
||
|
Azure ゲートウェイロードバランサの Firewall Threat Defense Virtual のペアプロキシ VXLAN |
7.3 |
任意(Any) |
Azure ゲートウェイロードバランサ(GWLB)で使用するために、Azure で Firewall Threat Defense Virtual 用のペアプロキシモード VXLAN インターフェイスを設定できます。Firewall Threat Defense Virtual は、ペアリングされたプロキシの VXLAN セグメントを利用して、単一の NIC に外部インターフェイスと内部インターフェイスを定義します。 新しい/変更された画面: サポートされているプラットフォーム:Azure の Firewall Threat Defense Virtual |
||
|
VXLAN のサポート |
7.2 |
任意(Any) |
VXLAN カプセル化のサポートが追加されました。 新しい/変更された画面:
サポートされているプラットフォーム:すべて。 |
||
|
Firewall Threat Defense Virtual の Geneve サポート |
7.1 |
任意(Any) |
Amazon Web Services(AWS)ゲートウェイロードバランサのシングルアームプロキシをサポートするために、Geneve カプセル化サポートが Firewall Threat Defense Virtual に追加されました。AWS ゲートウェイロードバランサは、透過的なネットワークゲートウェイ(全トラフィックの唯一の出入口)と、トラフィックを分散し、トラフィックの需要に合わせて Firewall Threat Defense Virtual を拡張するロードバランサを組み合わせます。 この機能には Snort 3 が必要です。 新しい/変更された画面:
サポートされているプラットフォーム:AWS の Firewall Threat Defense Virtual |
||
|
31 ビット サブネットマスク |
7.0 |
任意(Any) |
ルーテッド インターフェイスに関しては、ポイントツーポイント接続向けの 31 ビットのサブネット に IP アドレスを設定できます。31 ビット サブネットには 2 つのアドレスのみが含まれます。通常、サブネットの最初と最後のアドレスはネットワーク用とブロードキャスト用に予約されており、2 アドレス サブネットは使用できません。ただし、ポイントツーポイント接続があり、ネットワーク アドレスやブロードキャスト アドレスが不要な場合は、IPv4 形式でアドレスを保持するのに 31 サブネット ビットが役立ちます。たとえば、2 つの FTD 間のフェールオーバーリンクに必要なアドレスは 2 つだけです。リンクの一方の側から送信されるパケットはすべてもう一方の側で受信され、ブロードキャスティングは必要ありません。また、SNMP や Syslog を実行する管理ステーションを直接接続することもできます。この機能は、ブリッジグループ用の BVI、またはマルチキャストルーティングではサポートされていません。 新しい/変更された画面:
|
||
|
Firepower 4100/9300 の Firewall Threat Defense 動作リンク状態と物理リンク状態の同期 |
6.7 |
いずれか |
Firepower 4100/9300 シャーシで、Firewall Threat Defense 動作リンク状態をデータインターフェイスの物理リンク状態と同期できるようになりました。現在、FXOS 管理状態がアップで、物理リンク状態がアップである限り、インターフェイスはアップ状態になります。Firewall Threat Defense アプリケーション インターフェイスの管理状態は考慮されません。Firewall Threat Defense からの同期がない場合は、たとえば、Firewall Threat Defense アプリケーションが完全にオンラインになる前に、データインターフェイスが物理的にアップ状態になったり、Firewall Threat Defense のシャットダウン開始後からしばらくの間はアップ状態のままになる可能性があります。インラインセットの場合、この状態の不一致によりパケットがドロップされることがあります。これは、 Firewall Threat Defense が処理できるようになる前に外部ルータが Firewall Threat Defense へのトラフィックの送信を開始することがあるためです。この機能はデフォルトで無効になっており、FXOS の論理デバイスごとに有効にできます。
新規/変更された [Firepower Chassis Manager] 画面: 新規/変更された FXOS コマンド:set link-state-sync enabled、show interface expand detail サポートされているプラットフォーム:Firepower 4100/9300 |
||
|
Firepower 1010 ハードウェア スイッチのサポート |
6.5 |
任意(Any) |
Firepower 1010 では、各イーサネット インターフェイスをスイッチ ポートまたはファイアウォール インターフェイスとして設定できます。 新しい/変更された画面: |
||
|
イーサネット 1/7 およびイーサネット 1/8 での Firepower 1010 PoE+ のサポート |
6.5 |
任意(Any) |
Firepower 1010 は、スイッチ ポートとして設定されている場合、イーサネット 1/7 およびイーサネット 1/8 の Power on Ethernet+(PoE+)をサポートします。 新しい/変更された画面:
|
||
|
コンテナ インスタンスで使用される VLAN サブインターフェイス |
6.3.0 |
いずれか |
柔軟な物理インターフェイスの使用を可能にするため、FXOS で VLAN サブインターフェイスを作成し、複数のインスタンス間でインターフェイスを共有することができます。 新規/変更された Secure Firewall Management Center 画面: アイコン > [インターフェイス(Interfaces)] タブ 新規/変更された Secure Firewall シャーシマネージャ 画面: ドロップダウン メニューの [サブインターフェイス(Subinterface)] 新規/変更された FXOS コマンド:create subinterface、set vlan、show interface、show subinterface サポートされるプラットフォーム:Firepower 4100/9300 |
||
|
コンテナ インスタンスのデータ共有インターフェイス |
6.3.0 |
いずれか |
柔軟な物理インターフェイスの使用を可能にするため、複数のインスタンス間でインターフェイスを共有することができます。 新規/変更された Secure Firewall シャーシマネージャ 画面:
新規/変更された FXOS コマンド:set port-type data-sharing、show interface サポートされるプラットフォーム:Firepower 4100/9300 |
||
|
統合ルーティングおよびブリッジング |
6.2.0 |
いずれか |
統合ルーティングおよびブリッジングによって、ブリッジ グループとルーテッド インターフェイスの間でルーティングする機能が提供されます。ブリッジ グループは、Firewall Threat Defense がルーティングではなくブリッジするインターフェイスのグループです。Firewall Threat Defense は、Firewall Threat Defense がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレント ファイアウォール モードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッド ファイアウォール モードのブリッジ グループの設定と、ブリッジグループ間およびブリッジグループとルーテッド インターフェイス間のルーティングを実行できます。ブリッジ グループは、ブリッジ仮想インターフェイス(BVI)を使用して、ブリッジ グループのゲートウェイとして機能することによってルーティングに参加します。Firewall Threat Defense にブリッジ グループを割り当てるための追加インターフェイスがある場合、統合ルーティングおよびブリッジングによって、外部のレイヤ 2 スイッチを使用するのではない別の方法が提供されます。ルーテッド モードでは、BVI は名前付きインターフェイスとなり、アクセス ルールや DHCP サーバなどの一部の機能に、メンバー インターフェイスとは個別に参加できます。 トランスペアレント モードでサポートされるクラスタリングの機能は、ルーテッド モードではサポートされません。マルチキャスト ルーティングとダイナミック ルーティングの機能も、BVI ではサポートされません。 新規/変更された画面: サポートされているプラットフォーム:すべて(Firepower 2100 と Firewall Threat Defense Virtual を除く) |
フィードバック