インターフェースの概要
管理/診断インターフェイス
- 管理インターフェイス
- 診断インターフェイス（レガシー）
インターフェイスモードとタイプ
セキュリティゾーンとインターフェイスグループ
Auto-MDI/MDIX 機能
冗長インターフェイス（廃止）
インターフェイスのデフォルト設定
セキュリティゾーンおよびインターフェイスグループオブジェクトの作成
物理インターフェイスの有効化およびイーサネット設定の構成
EtherChannel インターフェイスの設定
Firewall Management Center とのインターフェイスの変更の同期
Cisco Secure Firewall 3100 のネットワークモジュールの管理
インターフェイスの履歴

インターフェースの概要

Firewall Threat Defense デバイスには、種々のモードで設定できるデータインターフェイス、および管理/診断インターフェイスが組み込まれています。

管理/診断インターフェイス

物理管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイスの間で共有されています。

管理インターフェイス

管理インターフェイスは、デバイスの他のインターフェイスとは分離されています。Firewall Management Centerにデバイスを設定し、登録するために使用されます。また、固有の IP アドレスとスタティックルーティングを使用します。管理インターフェイスを設定するには、CLI で configure network コマンドを使用します。管理インターフェイスを Firewall Management Center に追加した後にその IP アドレスを CLI で変更した場合、Secure Firewall Management Center での IP アドレスを [デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Devices）] > [管理（Management）] エリアで一致させることができます。

または、管理インターフェイスの代わりにデータインターフェイスを使用して Firewall Threat Defense を管理できます。

診断インターフェイス（レガシー）

診断論理インターフェイスは残りのデータインターフェイスとともに、[Devices] > [Device Management] > [Interfaces] 画面で構成できます。診断インターフェイスの使用はオプションです（シナリオについては、ルーテッドモードおよびトランスペアレントモードの展開を参照）。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。これは SSH をサポートしません。データインターフェイスまたは管理インターフェイスのみに SSH を使用できます。診断インターフェイスは、SNMP や syslog のモニタリングに役立ちます。

（注）

診断インターフェイスと管理インターフェイスは 1 つの物理ポートを共有しますが、同じネットワーク上の各インターフェイスには異なる IP アドレスを割り当てる必要があります。

インターフェイスモードとタイプ

通常のファイアウォールモードと IPS 専用モードの 2 つのモードで Firewall Threat Defense インターフェイスを展開できます。同じデバイスにファイアウォールインターフェイスと IPS 専用インターフェイスの両方を含めることができます。

通常のファイアウォールモード

ファイアウォールモードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、IP 最適化、TCP の正規化などのファイアウォール機能の対象となります。オプションで、セキュリティポリシーに従ってこのトラフィックに IPS 機能を設定することもできます。

設定できるファイアウォールインターフェイスのタイプは、ルーテッドモードとトランスペアレントモードのどちらのファイアウォールモードがそのデバイスに設定されているかによって異なります。詳細については、トランスペアレントファイアウォールモードまたはルーテッドファイアウォールモードを参照してください。

ルーテッドモードインターフェイス（ルーテッドファイアウォールモードのみ）：ルーティングを行う各インターフェイスは異なるサブネット上にあります。
ブリッジグループインターフェイス（ルーテッドおよびトランスペアレントファイアウォールモード）：複数のインターフェイスをネットワーク上でグループ化することができ、Firepower Threat Defense デバイスはブリッジング技術を使用してインターフェイス間のトラフィックを通過させることができます。各ブリッジグループには、ネットワーク上で IP アドレスが割り当てられるブリッジ仮想インターフェイス（BVI）が含まれます。ルーテッドモードでは、Firepower Threat Defense デバイスは BVI と通常のルーテッドインターフェイス間をルーティングします。トランスペアレントモードでは、各ブリッジグループは分離されていて、相互通信できません。

IPS 専用モード

パッシブまたはインラインのいずれかの IPS 展開でデバイスを設定できます。パッシブ展開では、ネットワークトラフィックのフローからアウトオブバンドでシステムを展開します。インライン展開では、2 つのインターフェイスを一緒にバインドすることで、ネットワークセグメント上でシステムを透過的に設定します。

セキュリティゾーンとインターフェイスグループ

各インターフェイスは、セキュリティゾーンおよびインターフェイスグループに割り当てることができます。その上で、ゾーンまたはグループに基づいてセキュリティポリシーを適用します。たとえば、1 つ以上のデバイスの「内部」インターフェイスを「内部」ゾーンに割り当て、「外部」インターフェイスを「外部」ゾーンに割り当てることができます。次に、同じゾーンを使用するすべてのデバイスについて、トラフィックが内部ゾーンから外部ゾーンに移動できるようにアクセスコントロールポリシーを設定できます。

各オブジェクトに属するインターフェイスを表示するには、[オブジェクト（Objects）] > [オブジェクト管理（Object Management）]を選択し、[インターフェイス（Interface）] の順に選択します。このページでは、管理対象デバイスで設定されているセキュリティゾーンとインターフェイスグループの一覧が表示されます。各インターフェイスオブジェクトを展開して、各インターフェイスオブジェクトのインターフェイスのタイプを表示できます。

（注）

あらゆるゾーンに適用されるポリシー（グローバルポリシー）は、ゾーン内のインターフェイスだけでなく、ゾーンに割り当てられていないインターフェイスにも適用されます。

（注）

診断/管理インターフェイスは、ゾーンまたはインターフェイスグループには属しません。

セキュリティゾーンとインターフェイスグループ

インターフェイスオブジェクトには次の 2 つのタイプがあります。

セキュリティゾーン：インターフェイスは、1 つのセキュリティゾーンにのみ属することができます。
インターフェイスグループ：インターフェイスは複数のインターフェイスグループ（および 1 つのセキュリティゾーン）に属することができます。

NAT ポリシー、プレフィルタポリシー、および QoS ポリシーでインターフェイスグループを使用できるほか、Syslog サーバーや DNS サーバーなどのインターフェイス名を直接指定できる機能も使用できます。

ポリシーによっては、セキュリティゾーンだけをサポートする場合も、ゾーンとグループの両方をサポートする場合もあります。セキュリティゾーンはすべての機能でサポートされているため、インターフェイスグループが提供する機能を必要としないない限り、デフォルトでセキュリティゾーンを使用する必要があります。

既存のセキュリティゾーンをインターフェイスグループに、またはその逆に変更することはできません。代わりに、新しいインターフェイスオブジェクトを作成する必要があります。

（注）

トンネルゾーンはインターフェイスオブジェクトではありませんが、特定の設定ではセキュリティゾーンの代わりにトンネルゾーンを使用できます。トンネルゾーンおよびプレフィルタリングを参照してください。

インターフェイスオブジェクトタイプ

次のインターフェイスオブジェクトタイプを参照してください。

パッシブ：IPS 専用パッシブまたは ERSPAN インターフェイスの場合。
インライン：IPS 専用インラインセットインターフェイスの場合。
スイッチド：通常のファイアウォールブリッジグループインターフェイスの場合。
ルーテッド：通常のファイアウォールルーテッドインターフェイスの場合。
ASA：（セキュリティゾーンのみ）レガシー ASA FirePOWER デバイスインターフェイスの場合。

インターフェイスオブジェクト内のすべてのインターフェイスは、同じタイプである必要があります。インターフェイスオブジェクトを作成した後、それに含まれるインターフェイスのタイプを変更することはできません。

インターフェイス名

インターフェイス（またはゾーン名）自体では、セキュリティポリシーに関してデフォルトの動作が提供されません。将来の構成での間違いを防ぐために、わかりやすい名前を使用することをお勧めします。適切な名前とは、論理セグメントまたはトラフィック仕様を表すものです。次に例を示します。

内部インターフェイスの名前：InsideV110、InsideV160、InsideV195
DMZ インターフェイスの名前：DMZV11、DMZV12、DMZV-TEST
外部インターフェイスの名前：Outside-ASN78、Outside-ASN91

Auto-MDI/MDIX 機能

RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーションフェーズでストレートケーブルを検出すると、内部クロスオーバーを実行することでクロスケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビットイーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。

冗長インターフェイス（廃止）

冗長インターフェイスは、ASA 5500-X プラットフォームでのみサポートされます。他のプラットフォームに対して設定することは推奨しません。

インターフェイスのデフォルト設定

この項では、インターフェイスのデフォルト設定を示します。

インターフェイスのデフォルトの状態

インターフェイスの状態は、タイプによって異なります。

物理インターフェイス：ディセーブル。初期セットアップで有効になる管理インターフェイスは例外です。物理インターフェイスには、スイッチポートが含まれます。
VLAN サブインターフェイス：イネーブル。ただし、トラフィックがサブインターフェイスを通過するためには、物理インターフェイスもイネーブルになっている必要があります。
EtherChannel ポートチャネルインターフェイス（ ISA 3000）：有効。ただし、トラフィックが EtherChannel を通過するためには、チャネルグループ物理インターフェイスもイネーブルになっている必要があります。
EtherChannel ポートチャネルインターフェイス（Firepower および Cisco Secure Firewall モデル）：無効。

（注）

Firepower 4100/9300 の場合、管理上、シャーシおよび Firewall Management Center の両方で、インターフェイスを有効および無効にできます。インターフェイスを動作させるには、両方のオペレーティングシステムで、インターフェイスを有効にする必要があります。インターフェイスの状態は個別に制御されるので、シャーシと Firewall Management Center の間の不一致が生じることがあります。

デフォルトの速度および二重通信

デフォルトでは、銅線（RJ-45）インターフェイスの速度とデュプレックスは、オートネゴシエーションに設定されます。

デフォルトでは、光ファイバ（SFP）インターフェイスの速度とデュプレックスは最大速度に設定され、自動ネゴシエーションが有効です。

Cisco Secure Firewall 3100 の場合、速度は、インストールされている SFP の速度を検出するように設定されています。

セキュリティゾーンおよびインターフェイスグループオブジェクトの作成

デバイスインターフェイスを割り当てることができるセキュリティゾーンとインターフェイスグループを追加します。

ヒント

空のインターフェイスオブジェクトを作成し、後からインターフェイスを追加できます。インターフェイスを追加するには、インターフェイスに名前が付いている必要があります。インターフェイスを設定しているときに、セキュリティゾーンを作成することもできます（インターフェイスグループは作成できません）。

始める前に

各種インターフェイスオブジェクトの使用要件および制限を理解します。セキュリティゾーンとインターフェイスグループを参照してください。

手順

ステップ 1	[オブジェクト（Objects）] > [オブジェクト管理（Object Management）]を選択します。
ステップ 2	オブジェクトタイプのリストから、[インターフェイス（Interface）] を選択します。
ステップ 3	[追加（Add）] > [セキュリティゾーン（Security Zone）] または [追加（Add）] > [インターフェイスグループ（Interface Group）] をクリックします。
ステップ 4	名前を入力します。ネットワークまたはポートオブジェクトと同じ名前を使用しないでください。これらのオブジェクト名はデバイスに展開されますが、名前が重複すると展開が失敗します。
ステップ 5	[インターフェイスタイプ（Interface Type）] を選択します。
ステップ 6	（任意） [デバイス（Device）] > [インターフェイス（Interfaces）] ドロップダウンリストから、追加するインターフェイスを含むデバイスを選択します。この画面でインターフェイスを割り当てる必要はありません。代わりに、インターフェイスを設定するときに、インターフェイスをゾーンまたはグループに割り当てることができます。
ステップ 7	[保存（Save）] をクリックします。

次のタスク

アクティブポリシーがオブジェクトを参照する場合は、設定変更を展開します。設定変更の展開を参照してください。

物理インターフェイスの有効化およびイーサネット設定の構成

ここでは、次の方法について説明します。

物理インターフェイスを有効にします。デフォルトでは、物理インターフェイスは無効になっています（Diagnostic インターフェイスを除く）。
特定の速度と二重通信を設定します。デフォルトでは、速度とデュプレックスは [自動（Auto）] に設定されます。

この手順は、インターフェイス設定のごく一部にすぎません。この時点では、他のパラメータを設定しないようにします。たとえば、EtherChannel インターフェイスの一部として使用するインターフェイスには名前を付けることはできません。

（注）

Firepower 4100/9300 の場合、FXOS の基本インターフェイスの設定を行います。詳細については、物理インターフェイスの設定を参照してください。

（注）

Firepower 1010 のスイッチポートについては、Firepower 1010 のスイッチポートの設定を参照してください。

始める前に

Firewall Management Center に追加した後、デバイスの物理インターフェイスを変更した場合、[インターフェイス（Interfaces）] の左上にある [デバイスからのインターフェイスの同期（Sync Interfaces from device）] をクリックしてそのインターフェイスリストを更新する必要があります。ホットスワップをサポートする Cisco Secure Firewall 3100 については、デバイスのインターフェイスを変更する前に「Cisco Secure Firewall 3100 のネットワークモジュールの管理」を参照してください。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、Firewall Threat Defenseデバイス[編集（Edit）]（編集アイコン）をクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。

ステップ 2

編集するインターフェイス [編集（Edit）]（編集アイコン）をクリックします。

ステップ 3

[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。

ステップ 4

（任意） [Description] フィールドに説明を追加します。

説明は 200 文字以内で入力できます。改行を入れずに 1 行で入力します。

ステップ 5

（任意） [ハードウェア構成（Hardware Configuration）] > [速度（Speed）]をクリックして、デュプレックスと速度を設定します。

[デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。SFP インターフェイスは [全二重（Full）] のみをサポートします。

[速度（Speed）]：速度を選択します（モデルによって異なります）。（Cisco Secure Firewall 3100 のみ）[SFPを検出（Detect SFP）] を選択してインストールされている SFP モジュールの速度を検出し、適切な速度を使用します。デュプレックスは常に全二重で、自動ネゴシエーションは常に有効です。このオプションは、後でネットワークモジュールを別のモデルに変更し、速度を自動的に更新する場合に便利です。

（注）

高可用性（HA）またはクラウド制御リンクインターフェイスの速度は変更できません。

[自動ネゴシエーション（Auto-negotiation）]：速度、リンクステータス、およびフロー制御をネゴシエートするようにインターフェイスを設定します。

[前方誤り訂正モード（Forward Error Correction Mode）]：（Cisco Secure Firewall 3100 のみ）25 Gbps 以上のインターフェイスの場合は、前方誤り訂正（FEC）を有効にします。EtherChannel メンバーインターフェイスの場合は、EtherChannel に追加する前に FEC を設定する必要があります。自動を使用する場合に選択する設定は、トランシーバのタイプと、インターフェイスが固定（内蔵）かネットワークモジュールかによって異なります。

表 1. 自動設定のデフォルト FEC
トランシーバタイプ	固定ポートのデフォルト FEC（イーサネット 1/9 ～ 1/16）	ネットワークモジュールのデフォルト FEC
25G-SR	第 74 条 FC-FEC	第 108 条 RS-FEC
25G-LR	第 74 条 FC-FEC	第 108 条 RS-FEC
10/25G-CSR	第 74 条 FC-FEC	第 74 条 FC-FEC
25G-AOCxM	第 74 条 FC-FEC	第 74 条 FC-FEC
25G-CU2.5/3M	自動ネゴシエーション	自動ネゴシエーション
25G-CU4/5M	自動ネゴシエーション	自動ネゴシエーション

ステップ 6

（任意）（Firepower 1100/2100、Cisco Secure Firewall 3100）[ハードウェア設定（Hardware Configuration）] > [ネットワーク接続（Network Connectivity）] の順にクリックして Link Layer Discovery Protocol（LLDP）を有効にします。

[LLDP受信の有効化（Enable LLDP Receive）]：ファイアウォールがピアから LLDP パケットを受信できるようにします。
[LLDP送信の有効化（Enable LLDP Transmit）]：ファイアウォールがピアに LLDP パケットを送信できるようにします。

ステップ 7

（任意）（Cisco Secure Firewall 3100）[ハードウェア設定（Hardware Configuration）] > [ネットワーク接続（Network Connectivity）] をクリックし、[フロー制御送信（Flow Control Send）] をオンにして、フロー制御の一時停止（XOFF）フレームを有効にします。

フロー制御により、接続しているイーサネットポートは、輻輳しているノードがリンク動作をもう一方の端で一時停止できるようにすることによって、輻輳時のトラフィックレートを制御できます。脅威防御ポートで輻輳が生じ（内部スイッチでキューイングリソースが枯渇）、それ以上はトラフィックを受信できなくなった場合、ポーズフレームを送信することによって、その状態が解消されるまで送信を中止するように、そのポートから相手ポートに通知します。ポーズフレームを受信すると、送信側デバイスはデータパケットの送信を中止するので、輻輳時のデータパケット損失が防止されます。

（注）

Firewall Threat Defense は、リモートピアがトラフィックをレート制御できるように、ポーズフレームの送信をサポートしています。

ただし、ポーズフレームの受信はサポートされていません。

内部スイッチには、それぞれ 250 バイトの 8000 バッファのグローバルプールがあり、スイッチはバッファを各ポートに動的に割り当てます。バッファ使用量がグローバルハイウォーターマーク（2 MB（8000 バッファ））を超えると、フロー制御が有効になっているすべてのインターフェイスからポーズフレームが送信されます。また、バッファがポートのハイウォーターマーク（.3125 MB（1250 バッファ））を超えると、特定のインターフェイスからポーズフレームが送信されます。ポーズの送信後、バッファ使用量が低ウォーターマークよりも下回ると、XON フレームを送信できます（グローバルでは 1.25MB（5000 バッファ）、ポートごとに 25 MB（1000 バッファ））リンクパートナーは、XON フレームを受信するとトラフィックを再開できます。

802.3x に定義されているフロー制御フレームのみがサポートされています。プライオリティベースのフロー制御はサポートされていません。

ステップ 8

[モード（Mode）] ドロップダウンリストで、次のいずれかを選択します。

[なし（None）]: この設定を通常のファイアウォールインターフェイスおよびインラインセットに選択します。その後の設定に基づいて、モードが [ルーテッド（Routed）]、[スイッチド（Switched）]、または [インライン（Inline）] に自動的に変更されます。
[パッシブ（Passive）]：この設定を IPS 専用インターフェイスに選択します。
[Erspan]：この設定を Erspan パッシブ IPS 専用インターフェイスに選択します。

ステップ 9

[優先度（Priority）] フィールドに、0 ～ 65535 の範囲の数値を入力します。

この値は、ポリシーベースのルーティング構成で使用されます。優先度は、複数の出力インターフェイス間でトラフィックを分散する方法を決定するために使用されます。

ステップ 10

[OK] をクリックします。

ステップ 11

[Save（保存）] をクリックします。

これで、[展開（Deploy）] > [展開（Deployment）] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。

ステップ 12

インターフェイスの構成を続行します。

EtherChannel インターフェイスの設定

ここでは、EtherChannel インターフェイスの設定方法について説明します。

（注）

Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel（ポートチャネル）の追加を参照してください。

EtherChannel インターフェイスについて

ここでは、EtherChannel インターフェイスについて説明します。

EtherChannel について

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネットリンク（チャネルグループ）のバンドルで構成される論理インターフェイスです（ポートチャネルインターフェイスと呼びます）。ポートチャネルインターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

モデルでサポートされているインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。

チャネルグループのインターフェイス

各チャネルグループには、最大 8 個のアクティブインターフェイスを持たせることができます。ただし、ISA 3000 は、16 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。

チャネルグループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネルグループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブインターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュアルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

Firewall Threat Defense EtherChannelの接続先のデバイスも802.3ad EtherChannelをサポートしている必要があります。たとえば、Catalyst 6500スイッチまたはCisco Nexus 7000に接続できます。

スイッチが仮想スイッチングシステム（VSS）または仮想ポートチャネル（vPC）の一部である場合、同じ EtherChannel 内の Firewall Threat Defense インターフェイスを VSS/vPC 内の個別のスイッチに接続できます。個別のスイッチは単一のスイッチのように動作するため、スイッチインターフェイスは同じ EtherChannel ポートチャネルインターフェイスのメンバです。

（注）

Firewall Threat Defense デバイスがトランスペアレントファイアウォールモードになっており、2 組の VSS/vPC スイッチ間に Firewall Threat Defense デバイスを配置する場合は、EtherChannel 内で Firewall Threat Defense デバイスに接続されたすべてのスイッチポートで単方向リンク検出（UDLD）を無効にしてください。UDLDを有効にすると、スイッチポートは他のVSS/vPCペアの両方のスイッチから送信されたUDLDパケットを受信する場合があります。受信側スイッチは、"UDLDネイバーの不一致" という理由で受信側インターフェイスをダウン状態にします。

Firewall Threat Defense デバイスをアクティブ/スタンバイフェールオーバー展開で使用する場合、Firewall Threat Defense デバイスごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 Firewall Threat Defense デバイスで、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の Firewall Threat Defense デバイスに接続する単一の EtherChannel にグループ化できる場合でも（この場合、個別の Firewall Threat Defense システム ID のため、EtherChannel は確立されません）、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ Firewall Threat Defense デバイスに送信しないようにするためです。

Link Aggregation Control Protocol

リンク集約制御プロトコル（LACP）では、2 つのネットワークデバイス間でリンク集約制御プロトコルデータユニット（LACPDU）を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

アクティブ：LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブモードを使用する必要があります。
パッシブ：LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。ハードウェアモデルではサポートされていません。
オン：EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバインターフェイスの両端が正しいチャネルグループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネルグループ内のスタンバイインターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロードバランシング

Firewall Threat Defense デバイスは、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します（この基準は設定可能です）。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_linksの結果が0となるすべてのパケットは、EtherChannel内の最初のインターフェイスへ送信され、以降は結果が1となるものは2番目のインターフェイスへ、結果が2となるものは3番目のインターフェイスへ、というように送信されます。たとえば、15 個のアクティブリンクがある場合、モジュロ演算では 0 ～ 14 の値が得られます。6 個のアクティブリンクの場合、値は 0 ～ 5 となり、以降も同様になります。

アクティブインターフェイスがダウンし、スタンバイインターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティングテーブルの両方からマスクされるため、他のネットワークデバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネルグループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対して透過的になります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

Firepower および Secure Firewall ハードウェア

ポートチャネルインターフェイスは、内部インターフェイスの内部データ 0/1 の MAC アドレスを使用します。または、ポートチャネルインターフェイスの MAC アドレスを手動で設定することもできます。シャーシ上のすべての EtherChannel インターフェイスは同じ MAC アドレスを使用するため、たとえば、SNMP ポーリングを使用する場合、複数のインターフェイスが同じ MAC アドレスを持つことに注意してください。

（注）

メンバーインターフェイスは、再起動後に内部データ 0/1 MAC アドレスのみを使用します。再起動する前に、メンバーインターフェイスは独自の MAC アドレスを使用するた再起動後に新しいメンバーインターフェイスを追加する場合、MAC アドレスを更新するためにもう一度再起動する必要があります。

EtherChannel インターフェイスのガイドライン

ブリッジグループ

ルーテッドモードでは、Firewall Management Center 定義の EtherChannel はブリッジグループメンバーとしてサポートされません。Firepower 4100/9300 上の Etherchannel は、ブリッジグループメンバーにすることができます。

高可用性

EtherChannel インターフェイスを高可用性リンクとして使用する場合、高可用性ペアの両方のユニットでその事前設定を行う必要があります。プライマリユニットで設定し、セカンダリユニットに複製されることは想定できません。これは、複製には高可用性リンク自体が必要であるためです。
EtherChannel インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリユニットから複製されます。Firepower 4100/9300 シャーシでは、EtherChannel を含むすべてのインターフェイスを、両方のユニットで事前に設定する必要があります。
高可用性の EtherChannel インターフェイスをモニターできます。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルの高可用性をモニタしているときには、EtherChannel インターフェイスで障害が発生しているようには見えません。すべての物理インターフェイスで障害が発生した場合にのみ、EtherChannel インターフェイスで障害が発生しているように見えます（EtherChannel インターフェイスでは、障害の発生が許容されるメンバインターフェイスの数を設定できます）。
EtherChannel インターフェイスを高可用性リンクまたはステートリンクに対して使用する場合、異常なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。高可用性リンクとして使用中のEtherChannelの設定は変更できません。設定を変更するには、高可用性を一時的に無効にする必要があります。これにより、その期間中は高可用性が発生することはありません。

サポートモデル

Firepower 4100/9300 または Firewall Threat Defense Virtual の場合、Firewall Management Center で EtherChannel を追加することはできません。Firepower 4100/9300 は EtherChannel をサポートしていますが、シャーシの FXOS で EtherChannel のすべてのハードウェア設定を実行する必要があります。
EtherChannel で Firepower 1010 のスイッチポートまたは VLAN インターフェイスを使用することはできません。

EtherChannelの一般的なガイドライン

モデルで利用可能なインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
各チャネルグループには、最大 8 個のアクティブインターフェイスを持たせることができます。ただし、ISA 3000 は、16 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。
チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ（銅と光ファイバ）の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量（1GB と 10GB のインターフェイスなど）を混在させることはできません。ただし、Cisco Secure Firewall 3100 の場合は、速度が [SFPを検出（Detect SFP）] に設定されている限り、異なるインターフェイス容量をサポートします。この場合、最も低い共通速度が使用されます。
Firewall Threat Defense の EtherChannel の接続先デバイスも 802.3ad EtherChannel をサポートしている必要があります。
Firewall Threat Defense デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して隣接スイッチのネイティブ VLAN タギングを有効にすると、Firewall Threat Defense デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブVLANタギングは、必ず無効にしてください。
LACP レートはモデルによって異なります。レート（通常または高速）を設定すると、デバイスは接続中のスイッチにそのレートを要求します。デバイスの方も接続中のスイッチによって要求されたレートで送信します。両側で同じレートを設定することを推奨します。
- Firepower 4100/9300：LACP レートは、FXOS ではデフォルトで高速に設定されていますが、通常（低速とも呼ばれる）に設定することもできます。
- Cisco Secure Firewall 3100LACP レートは、デフォルトで通常（低速）に設定されていますが、デバイスで高速に設定することもできます。
- 他のすべてのモデル：LACP レートが通常（低速とも呼ばれる）に設定されており、変更できません。つまり、デバイスは接続中のスイッチに常に低速レートを要求します。スイッチのレートを低速に設定して、両側が同じレートで LACP メッセージを送信するように設定することを推奨します。
15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する Firewall Threat Defense では、スイッチスタックへの EtherChannel の接続がサポートされていませんでした。デフォルトのスイッチ設定では、Firewall Threat Defense EtherChannel がクロススタックに接続されている場合、プライマリスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 （無制限）などを設定します。または、15.1(1)S2 など、より安定したスイッチソフトウェアバージョンにアップグレードできます。
すべての Firewall Threat Defense コンフィギュレーションは、メンバー物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。

EtherChannel の設定

ここでは、EtherChannel ポートチャネルインターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

ガイドライン

モデルのインターフェイスの数に応じて、最大 48 個の Etherchannel を設定できます。
各チャネルグループには、最大 8 個のアクティブインターフェイスを持たせることができます。ただし、ISA 3000 は、16 個のアクティブインターフェイスをサポートしています。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。
チャネルグループ内のすべてのインターフェイスは、メディアタイプと速度が同じでなければなりません。メディアタイプは RJ-45 または SFP のいずれかです。異なるタイプ（銅と光ファイバ）の SFP を混在させることができます。大容量のインターフェイスで速度を低く設定することでインターフェイス容量（1GB と 10GB のインターフェイスなど）を混在させることはできません。ただし、Cisco Secure Firewall 3100 の場合は、速度が [SFPを検出（Detect SFP）] に設定されている限り、異なるインターフェイス容量をサポートします。この場合、最も低い共通速度が使用されます。

（注）

Firepower 4100/9300 の場合は、FXOS の EtherChannel を設定します。詳細については、EtherChannel（ポートチャネル）の追加を参照してください。

始める前に

名前が設定されている場合は、物理インターフェイスをチャネルグループに追加できません。最初に名前を削除する必要があります。

（注）

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、Firewall Threat Defenseデバイス[編集（Edit）]（）をクリックします。[インターフェイス（Interfaces）] タブがデフォルトで選択されます。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバーインターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [Ether Channel インターフェイス（Ether Channel Interface）] をクリックします。
ステップ 4	[一般（General）] タブで、[イーサネットチャネルID（Ether Channel ID）] を 1 ～ 48（Firepower 1010 の場合は 1 ～ 10）の数値に設定します。図 3. EtherChannel インターフェイスの追加
ステップ 5	[使用可能なインターフェイス（Available Interfaces）] 領域でインターフェイスをクリックし、[追加（Add）] をクリックして [選択したインターフェイス（Selected Interface）] 領域にそのインターフェイスを移動します。メンバーを作成するすべてのインターフェイスに対して繰り返します。すべてのインターフェイスのタイプと速度が同じになるようにします。図 4. Available Interfaces
ステップ 6	（任意） [詳細（Advanced）] タブをクリックして EtherChannel をカスタマイズします。[情報（Information）] サブタブで次のパラメータを設定します。図 5. 作成するAdvanced （ISA 3000 のみ）[ロードバランシング（Load Balance）]：パケットをグループチャネルインターフェイス間でロードバランスするために使用する基準を選択します。デフォルトでは、Firewall Threat Defense デバイスはパケットの送信元および宛先 IP アドレスに従って、インターフェイスでのパケットのロードをバランスします。パケットが分類される基準になるプロパティを変更する場合は、別の基準のセットを選択します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。ロードバランシングの詳細については、ロードバランシングを参照してください。 [LACP モード（LACP Mode）]：[アクティブ（Active）]、[パッシブ（Passive）]、または [オン（On）] を選択します。[アクティブ（Active）] モード（デフォルト）を使用することを推奨します。パッシブモードは、ISA 3000 でのみ使用できます。（Cisco Secure Firewall 3100 のみ）[LACPレート（LACP Rate）]：[デフォルト（Default）]、[標準（Normal）]、または [高速（Fast）] を選択します。デフォルトは [標準（Normal）]（低速とも呼ばれる）です。チャネルグループの物理インターフェイスの LACP データユニット受信レートを設定します。両側で同じレートを設定することを推奨します。（ISA 3000 のみ）[アクティブな物理インターフェイス：範囲（Active Physical Interface: Range）]：左側のドロップダウンリストから、EtherChannel をアクティブにするために必要なアクティブインターフェイスの最小数を 1 ～ 16 の範囲で選択します。デフォルトは 1 です。右側のドロップダウンリストから、EtherChannel で許可されるアクティブインターフェイスの最大数を 1 ～ 16 の範囲で選択します。デフォルトは 16 です。スイッチが 16 個のアクティブインターフェイスをサポートしていない場合、このコマンドは必ず 8 以下に設定する必要があります。 [アクティブな MAC アドレス（Active Mac Address）]：必要に応じて手動 MAC アドレスを設定します。mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
ステップ 7	[ハードウェア構成（Hardware Configuration）] タブをクリックし、すべてのメンバーインターフェイスのデュプレックスと速度を設定します。
ステップ 8	[OK] をクリックします。
ステップ 9	[Save（保存）] をクリックします。これで、[展開（Deploy）] > [展開（Deployment）] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。変更を展開するまで、変更は有効ではありません。
ステップ 10	（任意）通常のファイアウォールインターフェイスの場合は、VLAN サブインターフェイスを追加します。サブインターフェイスの追加を参照してください。
ステップ 11	通常のファイアウォールインターフェイスの場合、ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します（ルーテッドモードのインターフェイスの設定またはブリッジグループインターフェイスの設定）。IPS 専用インターフェイスについては、「インラインセットとパッシブインターフェイス」を参照してください。

Firewall Management Center とのインターフェイスの変更の同期

デバイスでのインターフェイスの変更は、Firewall Management Centerや、同期外れの原因となることがあります。Firewall Management Center は次の方法のいずれかでインターフェイスの変更を検出できます。

デバイスから送信されたイベント
Firewall Management Center からの展開の同期

展開を試行したときに Firewall Management Center がインターフェイスを検出すると、その展開は失敗します。最初にインターフェイスの変更を承認する必要があります。
手動同期

Firewall Management Center の外部で実行されるインターフェイスの変更には、同期が必要な 2 つのタイプがあります。

物理インターフェイスの追加または削除：新しいインターフェイスを追加したり、未使用のインターフェイスを削除したりしても、Firewall Threat Defense の設定に対する影響は最小限で済みます。ただし、セキュリティポリシーで使用されているインターフェイスを削除すると、設定に影響を与えます。インターフェイスは、アクセスルール、NAT、SSL、アイデンティティルール、VPN、DHCP サーバなど、Firewall Threat Defense の設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティゾーンを参照するポリシーは影響を受けません。また、論理デバイスに影響を与えず、かつ Firewall Management Center での同期を必要とせずに、割り当てられた EtherChannel のメンバーシップを編集できます。

Firewall Management Center が変更を検出すると、[インターフェイス（Interface）] ページの各インターフェイスの左側にステータス（[削除済み（removed）]、[変更済み（changed）]、または [追加済み（added）]）が表示されます。
Firewall Management Center アクセスインターフェイスの変更：configure network management-data-interface コマンドを使用して Management Center を管理するためのデータインターフェイスを設定する場合は、Management Center で一致する設定変更を手動で行ってから変更を確認する必要があります。これらのインターフェイスの変更を自動で行うことはできません。

この手順では、必要に応じてインターフェイスの変更を手動で同期する方法と検出された変更を確認する方法について説明します。デバイスの変更が一時的なものである場合は、その変更を Firewall Management Center に保存する必要はありません。デバイスが安定するまで待機してから再同期します。

始める前に

ユーザの役割：
- 管理者
- アクセス管理者
- ネットワーク管理者

手順

ステップ 1

ステップ 2

必要に応じて、[インターフェイス（Interfaces）] の左上にある [デバイスの同期（Sync Device）] をクリックします。

ステップ 3

変更が検出されたら、次の手順を参照してください。

物理インターフェイスの追加または削除

インターフェイス設定が変更されたことを示す赤色のバナーが [インターフェイス（Interfaces）] に表示されます。[クリックして詳細を表示（Click to know more）] リンクをクリックしてインターフェイスの変更内容を表示します。
[変更の検証]をクリックして、ポリシーがインターフェイスの変更内容で引き続き機能することを確認します。

エラーが発生した場合は、ポリシーを変更して検証を再実行する必要があります。
[Save（保存）] をクリックします。

これで、[展開（Deploy）] > [展開（Deployment）] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。

FMC アクセスインターフェイスの変更

Firewall Management Center のアクセス設定が変更されたことを示す黄色のバナーが [デバイス（Device）] ページの右上に表示されます。[詳細を表示（View details）] リンクをクリックしてインターフェイスの変更内容を表示します。

[FMCアクセス-設定の詳細（FMC Access - Configuration Details）] ダイアログボックスが開きます。
強調表示されているすべての設定、特にピンクで強調表示されている設定に注意してください。Firewall Management Center で値を手動で設定し、Firewall Threat Defense で値を一致させる必要があります。

たとえば、以下のピンク色のハイライトは、Firewall Threat Defense に存在するものの、Firewall Management Center にはまだ存在しない設定を示しています。

Firewall Management Center でインターフェイスを設定した後のこのページの例を以下に示します。インターフェイス設定が一致し、ピンクのハイライトが消えています。
[確認（Acknowledge）] をクリックします。

Firewall Management Center の設定が完了して展開の準備ができるまで、[確認（Acknowledge）] をクリックしないことをお勧めします。[確認（Acknowledge）] をクリックすると、展開時にブロックが削除されます。Firewall Management Center 設定は、次回展開時に Firewall Threat Defense の残りの競合する設定を上書きします。再展開の前に Firewall Management Center の設定を手動で修正する必要があります。
これで、[展開（Deploy）] > [展開（Deployment）] をクリックし、割り当てたデバイスにポリシーを展開できるようになりました。

Cisco Secure Firewall 3100 のネットワークモジュールの管理

最初にデバイスの電源をオンにする前にネットワークモジュールをインストールした場合、アクションは不要です。ネットワークモジュールは有効になり、使用できる状態になっています。

デバイスの物理インターフェイスの詳細を表示してネットワークモジュールを管理するには、[シャーシの操作（Chassis Operations）] ページを開きます。[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。デバイスの [シャーシの操作（Chassis Operatio）] ページが開きます。

[更新（Refresh）] をクリックして、インターフェイスのステータスを更新します。検出する必要があるデバイスでハードウェアの変更を行った場合は、[モジュールを同期（Sync Modules）] をクリックします。

初回ブートアップ後にネットワークモジュールのインストールを変更する必要がある場合は、次の手順を参照してください。

ブレークアウトポートの設定

40GB 以上のインターフェイスごとに 10GB のブレークアウトポートを設定できます。この手順では、ポートの分割と再参加の方法について説明します。ブレークアウトポートは、EtherChannel への追加を含め、他の物理イーサネットポートと同じように使用できます。

変更はすぐに反映され、デバイスに展開する必要はありません。中断または再参加した後は、以前のインターフェイス状態にロールバックできません。

始める前に

サポートされているブレークアウトケーブルを使用する必要があります。詳細については、ハードウェア設置ガイドを参照してください。
中断または再参加する前に、インターフェイスを次の目的で使用することはできません。
- フェールオーバーリンク
- クラスタ制御リンク
- サブインターフェイスを設定する
- EtherChannel メンバー
- BVI メンバー
- マネージャアクセスインターフェイス
セキュリティポリシーで直接使用されているインターフェイスの中断または再参加は、構成に影響を与える可能性がありますが、アクションはブロックされません。

手順

ステップ 1

[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。ネットワークモジュールの変更はすべてのノードに複製されます。

デバイスの [シャーシの操作（Chassis Operations）] ページが開きます。このページには、デバイスの物理インターフェイスの詳細が表示されます。

ステップ 2

40GB 以上のインターフェイスから 10GB ポートを分割します。

インターフェイスの右側の [ブレイク（Break）]（）をクリックします。

確認ダイアログボックスで [Yes] をクリックします。インターフェイスが使用中の場合は、エラーメッセージが表示されます。分割を再試行する前に、ユースケースを解決する必要があります。

たとえば、Ethernet2/1 40GB インターフェイスを分割する場合、分割後の子インターフェイスは、Ethernet2/1/1、Ethernet2/1/2、Ethernet2/1/3、および Ethernet2/1/4 として識別されます。

インターフェイスのグラフィックでは、分割されたポートの表示は次のようになります。

図 8. ブレークアウトポート
画面上部のメッセージ内のリンクをクリックして [インターフェイス（Interfaces）] ページに移動し、インターフェイスの変更を保存します。

図 9. [インターフェイス（Interface）] ページへの移動
[インターフェイス（Interfaces）] ページの上部で、[クリックして詳細を表示（Click to know more）] をクリックします。[インターフェイスの変更（Interface Changes）] ダイアログボックスが開きます。

図 10. インターフェイスの変更の表示

図 11. インターフェイスの変更
[変更の検証]をクリックして、ポリシーがインターフェイスの変更内容で引き続き機能することを確認します。

エラーが発生した場合は、ポリシーを変更して検証を再実行する必要があります。

セキュリティポリシーで使用されている親インターフェイスを置き換えると、設定に影響を与える場合があります。インターフェイスは、アクセスルール、NAT、SSL、アイデンティティルール、VPN、DHCP サーバーなど、設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティゾーンを参照するポリシーは影響を受けません。
[閉じる（Close）] をクリックして [インターフェイス（Interfaces）] ページに戻ります。
[保存（Save）] をクリックしてインターフェイスの変更をファイアウォールに保存します。
構成を変更する必要があった場合は、[展開（Deploy）] > [展開（Deployment）] に移動してポリシーを展開します。

ブレークアウトポートの変更を保存するためだけに展開する必要はありません。

ステップ 3

ブレークアウトポートを再結合します。

インターフェイスのすべての子ポートを再結合する必要があります。

インターフェイスの右側の [参加（Join）]（）をクリックします。

確認ダイアログボックスで [Yes] をクリックします。子ポートが使用中の場合は、エラーメッセージが表示されます。再参加を再試行する前に、ユースケースを解決する必要があります。
画面上部のメッセージ内のリンクをクリックして [インターフェイス（Interfaces）] ページに移動し、インターフェイスの変更を保存します。

図 12. [インターフェイス（Interface）] ページへの移動
[インターフェイス（Interfaces）] ページの上部で、[クリックして詳細を表示（Click to know more）] をクリックします。[インターフェイスの変更（Interface Changes）] ダイアログボックスが開きます。

図 13. インターフェイスの変更の表示

図 14. インターフェイスの変更
[変更の検証]をクリックして、ポリシーがインターフェイスの変更内容で引き続き機能することを確認します。

エラーが発生した場合は、ポリシーを変更して検証を再実行する必要があります。

セキュリティポリシーで使用されている子インターフェイスを置き換えると、構成に影響を与える可能性があります。インターフェイスは、アクセスルール、NAT、SSL、アイデンティティルール、VPN、DHCP サーバーなど、設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティゾーンを参照するポリシーは影響を受けません。
[閉じる（Close）] をクリックして [インターフェイス（Interfaces）] ページに戻ります。
[保存（Save）] をクリックしてインターフェイスの変更をファイアウォールに保存します。
構成を変更する必要があった場合は、[展開（Deploy）] > [展開（Deployment）] に移動してポリシーを展開します。

ブレークアウトポートの変更を保存するためだけに展開する必要はありません。

ネットワークモジュールの追加

初回起動後にファイアウォールにネットワークモジュールを追加するには、次の手順を実行します。新しいモジュールを追加するには、再起動が必要です。

手順

ステップ 1	ハードウェア設置ガイドに従ってネットワークモジュールをインストールします。クラスタリングまたは高可用性の場合は、すべてのノードにネットワークモジュールをインストールします。
ステップ 2	ファイアウォールを再起動します。デバイスのシャットダウンまたは再起動を参照してください。クラスタリングまたは高可用性の場合は、最初にデータノード/スタンバイユニットを再起動し、それらが復旧するのを待ちます。その後、制御ノード（制御ノードの変更を参照）またはアクティブユニット（Firewall Threat Defense ハイアベイラビリティペアにおけるアクティブピアの切り替えを参照）を変更し、以前の制御ノードまたはアクティブユニットを再起動できます。
ステップ 3	[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。ネットワークモジュールの変更はすべてのノードに複製されます。図 15. シャーシの管理デバイスの [シャーシの操作（Chassis Operatio）] ページが開きます。このページには、デバイスの物理インターフェイスの詳細が表示されます。
ステップ 4	[モジュールの同期（Sync Modules）] をクリックして、ネットワークモジュールの新しい詳細情報でページを更新します。
ステップ 5	インターフェイスのグラフィックで、スライダ（）をクリックしてネットワークモジュールを有効にします。図 16. ネットワークモジュールの有効化
ステップ 6	ネットワークモジュールの有効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 17. 有効化の確認
ステップ 7	画面の上部にメッセージが表示されます。リンクをクリックして [インターフェイス（Interfaces）] ページに移動し、インターフェイスの変更を保存します。図 18. [インターフェイス（Interface）] ページへの移動
ステップ 8	（任意） [インターフェイス（Interfaces）] ページの上部に、インターフェイスの設定が変更されたことを示すメッセージが表示されます。[クリックして詳細を表示（Click to know more）] をクリックすると、[インターフェイスの変更（Interface Changes）] ダイアログボックスが開き、変更が表示されます。図 19. インターフェイスの変更の表示図 20. インターフェイスの変更 [閉じる（Close）] をクリックして [インターフェイス（Interfaces）] ページに戻ります（新しいモジュールを追加しているので、設定への影響はないため、[変更の検証（Validate Changes）] をクリックする必要はありません）。
ステップ 9	[保存（Save）] をクリックしてインターフェイスの変更をファイアウォールに保存します。

ネットワークモジュールの交換方法

再起動することなく、同じタイプの新しいモジュールのネットワークモジュールをホットスワップできます。ただし、現在のモジュールを安全に取り外すには、シャットダウンする必要があります。この手順では、古いモジュールをシャットダウンし、新しいモジュールをインストールして有効にする方法について説明します。

クラスタリングまたは高可用性の場合、制御ノード/アクティブユニットでのみシャーシの操作を実行できます。クラスタ制御リンク/フェールオーバーリンクがモジュール上にある場合は、ネットワークモジュールを無効化できません。

始める前に

手順

ステップ 1	クラスタリングまたは高可用性の場合は、次の手順を実行します。クラスタリング：ホットスワップを実行するユニットがデータノードであることを確認します（制御ノードの変更を参照）。次に、そのノードを分断して、クラスタリングから外します。ノードの除外を参照してください。ホットスワップを実行後、ノードをクラスタに追加し直します。または、制御ノードですべての操作を実行できます。ネットワークモジュールの変更はすべてのデータノードに同期されます。ただし、ホットスワップ中は、すべてのノードでインターフェイスが使用できなくなります。高可用性：ネットワークモジュールを無効にするときにフェールオーバーを回避するには、次の手順を実行します。フェールオーバーリンクがネットワークモジュール上にある場合は、高可用性を分断する必要があります。高可用性ペアの解除を参照してください。アクティブなフェールオーバーリンクがあるネットワークモジュールを無効化することはできません。ネットワークモジュールのインターフェイスのインターフェイスモニタリングを無効にします。スタンバイ IP アドレスとインターフェイスモニタリングの設定を参照してください。
ステップ 2	[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。ネットワークモジュールの変更はすべてのノードに複製されます。図 21. シャーシの管理デバイスの [シャーシの操作（Chassis Operatio）] ページが開きます。このページには、デバイスの物理インターフェイスの詳細が表示されます。
ステップ 3	インターフェイスのグラフィックで、スライダ（）をクリックしてネットワークモジュールを無効にします。図 22. ネットワークモジュールの無効化 [インターフェイス（Interfaces）] ページでは変更を保存しないでください。ネットワークモジュールを交換するため、既存の構成を中断する必要はありません。
ステップ 4	ネットワークモジュールの無効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 23. 無効化の確認
ステップ 5	ハードウェア設置ガイドに従って、デバイスの古いネットワークモジュールを取り外し、新しいネットワークモジュールと交換します。
ステップ 6	Firewall Management Center で、スライダ（）をクリックして新しいモジュールを有効にします。図 24. ネットワークモジュールの有効化
ステップ 7	ネットワークモジュールの有効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 25. 有効化の確認
ステップ 8	クラスタリングまたは高可用性の場合は、次の手順を実行します。クラスタリング：ノードをクラスタに追加して戻します。新しいクラスタノードの追加を参照してください。高可用性：高可用性を解除した場合は、高可用性を再構築します。ハイアベイラビリティペアの追加を参照してください。ネットワークモジュールのインターフェイスのインターフェイスモニタリングを再度有効にします。「スタンバイ IP アドレスとインターフェイスモニタリングの設定」を参照してください。

ネットワークモジュールを別のタイプに交換する

ネットワークモジュールを別のタイプに交換する場合は、再起動が必要です。新しいモジュールのインターフェイス数が古いモジュールよりも少ない場合は、存在しなくなるインターフェイスに関連する構成を手動で削除する必要があります。

クラスタリングまたは高可用性の場合、制御ノード/アクティブユニットでのみシャーシの操作を実行できます。

始める前に

ハイアベイラビリティの場合、フェールオーバーリンクがモジュール上にあると、ネットワークモジュールを無効化できません。高可用性を解除する必要があります（高可用性ペアの解除を参照）。これにより、アクティブユニットの再起動時にダウンタイムが発生するようになります。ユニットの再起動が完了したら、高可用性を再編成できます。

手順

ステップ 1	クラスタリングまたは高可用性の場合は、次の手順を実行します。クラスタリング：ネットワークモジュールを交換している間、ダウンタイムを回避するために、各ノードを一度に 1 つずつ分断し、クラスタから排除することができます。ノードの除外を参照してください。交換が完了したら、ノードをクラスタに戻します。高可用性：ネットワークモジュールを交換している間、フェールオーバーを回避するために、ネットワークモジュール上のインターフェイスのインターフェイスモニタリングを無効にします。スタンバイ IP アドレスとインターフェイスモニタリングの設定を参照してください。
ステップ 2	[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。ネットワークモジュールの変更はすべてのノードに複製されます。図 26. シャーシの管理デバイスの [シャーシの操作（Chassis Operatio）] ページが開きます。このページには、デバイスの物理インターフェイスの詳細が表示されます。
ステップ 3	インターフェイスのグラフィックで、スライダ（）をクリックしてネットワークモジュールを無効にします。図 27. ネットワークモジュールの無効化 [インターフェイス（Interfaces）] ページでは変更を保存しないでください。ネットワークモジュールを交換するため、既存の構成を中断する必要はありません。
ステップ 4	ネットワークモジュールの無効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 28. 無効化の確認
ステップ 5	ハードウェア設置ガイドに従って、デバイスの古いネットワークモジュールを取り外し、新しいネットワークモジュールと交換します。
ステップ 6	ファイアウォールを再起動します。デバイスのシャットダウンまたは再起動を参照してください。クラスタリングまたは高可用性の場合は、最初にデータノード/スタンバイユニットを再起動し、それらが復旧するのを待ちます。その後、制御ノード（制御ノードの変更を参照）またはアクティブユニット（Firewall Threat Defense ハイアベイラビリティペアにおけるアクティブピアの切り替えを参照）を変更し、以前の制御ノードまたはアクティブユニットを再起動できます。
ステップ 7	Firewall Management Center で、[モジュールの同期（Sync Modules）] をクリックして、ネットワークモジュールの新しい詳細情報でページを更新します。
ステップ 8	スライダ（）をクリックして新しいモジュールを有効にします。図 29. ネットワークモジュールの有効化
ステップ 9	ネットワークモジュールの有効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 30. 有効化の確認
ステップ 10	画面上部のメッセージ内のリンクをクリックして [インターフェイス（Interfaces）] ページに移動し、インターフェイスの変更を保存します。図 31. [インターフェイス（Interface）] ページへの移動
ステップ 11	ネットワークモジュールのインターフェイス数が減少した場合： [インターフェイス（Interfaces）] ページの上部で、[クリックして詳細を表示（Click to know more）] をクリックします。[インターフェイスの変更（Interface Changes）] ダイアログボックスが開きます。図 32. インターフェイスの変更の表示図 33. インターフェイスの変更 [変更の検証]をクリックして、ポリシーがインターフェイスの変更内容で引き続き機能することを確認します。エラーが発生した場合は、ポリシーを変更して検証を再実行する必要があります。セキュリティポリシーで使用されているインターフェイスを削除すると、設定に影響を与える場合があります。インターフェイスは、アクセスルール、NAT、SSL、アイデンティティルール、VPN、DHCP サーバーなど、設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティゾーンを参照するポリシーは影響を受けません。 [閉じる（Close）] をクリックして [インターフェイス（Interfaces）] ページに戻ります。
ステップ 12	インターフェイス速度を変更するには、物理インターフェイスの有効化およびイーサネット設定の構成を参照してください。デフォルトの速度は、[SFPを検出（Detect SFP）] に設定されています。これにより、取り付けられている SFP から適切な速度が検出されます。速度を手動で特定の値に設定しており、その速度の変更が必要になった場合にのみ、速度を修正する必要があります。
ステップ 13	[保存（Save）] をクリックしてインターフェイスの変更をファイアウォールに保存します。
ステップ 14	構成を変更する必要があった場合は、[展開（Deploy）] > [展開（Deployment）] に移動してポリシーを展開します。ネットワークモジュールの変更を保存するためだけに展開する必要はありません。
ステップ 15	クラスタリングまたは高可用性の場合は、次の手順を実行します。クラスタリング：ノードをクラスタに追加して戻します。新しいクラスタノードの追加を参照してください。高可用性：ネットワークモジュールのインターフェイスのインターフェイスモニタリングを再度有効にします。「スタンバイ IP アドレスとインターフェイスモニタリングの設定」を参照してください。

ネットワークモジュールの取り外し

ネットワークモジュールを完全に削除する場合は、次の手順に従います。ネットワークモジュールを削除するには、再起動が必要です。

クラスタリングまたは高可用性の場合、制御ノード/アクティブユニットでのみシャーシの操作を実行できます。

始める前に

クラスタリングまたは高可用性の場合は、クラスタ/フェールオーバーリンクがネットワークモジュール上にないことを確認してください。

手順

ステップ 1	[デバイス（Devices）] の [デバイス管理（Device Management）] で、[シャーシ（Chassis）] 列の [管理（Manage）] をクリックします。 > クラスタリングまたは高可用性の場合、このオプションは制御ノード/アクティブユニットでのみ使用できます。ネットワークモジュールの変更はすべてのノードに複製されます。図 34. シャーシの管理デバイスの [シャーシの操作（Chassis Operatio）] ページが開きます。このページには、デバイスの物理インターフェイスの詳細が表示されます。
ステップ 2	インターフェイスのグラフィックで、スライダ（）をクリックしてネットワークモジュールを無効にします。図 35. ネットワークモジュールの無効化
ステップ 3	ネットワークモジュールの無効化を確認するプロンプトが表示されます。[Yes] をクリックします。図 36. 無効化の確認
ステップ 4	画面の上部にメッセージが表示されます。リンクをクリックして [インターフェイス（Interfaces）] ページに移動し、インターフェイスの変更を保存します。図 37. [インターフェイス（Interface）] ページへの移動
ステップ 5	[インターフェイス（Interfaces）] ページの上部に、インターフェイスの設定が変更されたことを示すメッセージが表示されます。図 38. インターフェイスの変更の表示 [クリックして詳細を表示（Click to know more）] をクリックします。[インターフェイスの変更（Interface Changes）] ダイアログボックスが開き、変更が表示されます。図 39. インターフェイスの変更 [変更の検証]をクリックして、ポリシーがインターフェイスの変更内容で引き続き機能することを確認します。エラーが発生した場合は、ポリシーを変更して検証を再実行する必要があります。セキュリティポリシーで使用されているインターフェイスを削除すると、設定に影響を与える場合があります。インターフェイスは、アクセスルール、NAT、SSL、アイデンティティルール、VPN、DHCP サーバーなど、設定における多くの場所で直接参照されている可能性があります。インターフェイスを削除すると、そのインターフェイスに関連付けられている設定がすべて削除されます。セキュリティゾーンを参照するポリシーは影響を受けません。 [閉じる（Close）] をクリックして [インターフェイス（Interfaces）] ページに戻ります。
ステップ 6	[保存（Save）] をクリックしてインターフェイスの変更をファイアウォールに保存します。
ステップ 7	構成を変更する必要があった場合は、[展開（Deploy）] > [展開（Deployment）] に移動してポリシーを展開します。
ステップ 8	ファイアウォールを再起動します。デバイスのシャットダウンまたは再起動を参照してください。クラスタリングまたは高可用性の場合は、最初にデータノード/スタンバイユニットを再起動し、それらが復旧するのを待ちます。その後、制御ノード（制御ノードの変更を参照）またはアクティブユニット（Firewall Threat Defense ハイアベイラビリティペアにおけるアクティブピアの切り替えを参照）を変更し、以前の制御ノードまたはアクティブユニットを再起動できます。

インターフェイスの履歴


機能	最小 Firewall Management Center	最小 Firewall Threat Defense	詳細
Cisco Secure Firewall 3100 固定ポートのデフォルトの前方誤り訂正（FEC）が、25 GB+ SR、CSR、および LR トランシーバの第 74 条 FC-FEC から第 108 条 RS-FEC に変更されました。	7.2.4	7.2.4	Cisco Secure Firewall 3100 の固定ポートで FEC を Auto に設定すると、25 GB 以上の SR、CSR、および LR トランシーバのデフォルトタイプが第 74 条 FC-FEC ではなく第 108 条 RS-FEC に設定されるようになりました。
Firepower 2100、Cisco Secure Firewall 3100 で LLDP をサポート。	7.2.0	7.2.0	Firepower 2100 および Cisco Secure Firewall 3100 のインターフェイスで Link Layer Discovery Protocol（LLDP）を有効にすることができます。新しい/変更された画面： [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [ネットワーク接続（Network Connectivity）] 新規/変更されたコマンド：show lldp status、show lldp neighbors、show lldp statistics
Cisco Secure Firewall 3100 のフロー制御に対応するためのフレームの一時停止	7.2.0	7.2.0	トラフィックバーストが発生している場合、バーストが NIC の FIFO バッファまたは受信リングバッファのバッファリング容量を超えると、パケットがドロップされる可能性があります。フロー制御用のポーズフレームをイネーブルにすると、このような問題の発生を抑制できます。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [ネットワーク接続（Network Connectivity）]
Cisco Secure Firewall 3100 におけるネットワークモジュールのホットスワップのサポート	7.1.0	7.1.0	Cisco Secure Firewall 3100 では、ファイアウォールの電源がオンの状態でネットワークモジュールを追加または削除できます。モジュールを同じタイプの別のモジュールに交換する場合、再起動は必要ありません。最初の起動の後にモジュールを追加するか、モジュールを完全に削除するか、モジュールを新しいタイプのモジュールに交換する場合は、再起動が必要です。新しい/変更された画面： [デバイス（Devices）] > [デバイス管理（Device Management）] > [シャーシの操作（Chassis Operations）]
Cisco Secure Firewall 3100 における前方誤り訂正のサポート	7.1.0	7.1.0	Cisco Secure Firewall 3100 25 Gbps インターフェイスは、前方誤り訂正（FEC）をサポートします。FEC はデフォルトで有効になっており、[自動（Auto）] に設定されています。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [インターフェイスの編集（Edit Interface）] > [ハードウェア構成（Hardware Configuration）] [速度（Speed）]
Cisco Secure Firewall 3100 における SFP に基づく速度設定のサポート	7.1.0	7.1.0	Cisco Secure Firewall 3100 は、インストールされている SFP に基づくインターフェイスの速度検出をサポートします。SFP の検出はデフォルトで有効になっています。このオプションは、後でネットワークモジュールを別のモデルに変更し、速度を自動的に更新する場合に便利です。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [インターフェイスの編集（Edit Interface）] > [ハードウェア構成（Hardware Configuration）] [速度（Speed）]
Firepower 1100 の LLDP サポート。	7.1.0	7.1.0	Firepower 1100 インターフェイスで Link Layer Discovery Protocol（LLDP）を有効にすることができます。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [LLDP] 新規/変更されたコマンド：show lldp status、show lldp neighbors、show lldp statistics
インターフェイスの自動ネゴシエーションが速度とデュプレックスから独立して設定されるようになり、インターフェイスの同期が改善されました。	7.1.0	7.1.0	インターフェイスの自動ネゴシエーションが速度とデュプレックスから独立して設定されるようになりました。また、Firewall Management Center でインターフェイスを同期すると、ハードウェアの変更がより効果的に検出されます。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [速度（Speed）] サポートされるプラットフォーム：Firepower 1000、2100、Cisco Secure Firewall 3100
Firepower 1100/2100 シリーズファイバインターフェイスで、自動ネゴシエーションの無効化がサポートされるようになりました。	6.7.0	6.7.0	フロー制御とリンクステータスネゴシエーションを無効化するように Firepower 1100/2100 シリーズファイバインターフェイスを設定できるようになりました。以前は、これらのデバイスでファイバインターフェイス速度（1000 または 10000 Mbps）を設定すると、フロー制御とリンクステータスネゴシエーションが自動的に有効になり、無効にはできませんでした。 [自動ネゴシエーション（Auto-negotiation）] の選択を解除し、速度を 1000 に設定してフロー制御とリンクステータスネゴシエーションを無効化できるようになりました。10000 Mbps でネゴシエーションを無効化することはできません。新規/変更された画面：[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [ハードウェア構成（Hardware Configuration）] > [速度（Speed）]

Cisco Secure Firewall Management Center Device Configuration Guide, 7.3 [英語]

偏向のない言語

翻訳について

検索結果

章のタイトル： インターフェースの概要

インターフェースの概要

管理/診断インターフェイス

管理インターフェイス

診断インターフェイス（レガシー）

インターフェイス モードとタイプ

通常のファイアウォール モード

IPS 専用モード

セキュリティ ゾーンとインターフェイス グループ

セキュリティゾーンとインターフェイスグループ

インターフェイス オブジェクト タイプ

インターフェイス名

Auto-MDI/MDIX 機能

冗長インターフェイス（廃止）

インターフェイスのデフォルト設定

インターフェイスのデフォルトの状態

デフォルトの速度および二重通信

セキュリティゾーンおよびインターフェイス グループ オブジェクトの作成

始める前に

手順

次のタスク

物理インターフェイスの有効化およびイーサネット設定の構成

始める前に

手順

EtherChannel インターフェイスの設定

EtherChannel インターフェイスについて

EtherChannel について

チャネル グループのインターフェイス

別のデバイスの EtherChannel への接続

Link Aggregation Control Protocol

ロード バランシング

EtherChannel MAC アドレス

Firepower および Secure Firewall ハードウェア

EtherChannel インターフェイスのガイドライン

ブリッジグループ

高可用性

サポート モデル

EtherChannelの一般的なガイドライン

EtherChannel の設定

始める前に

手順

Firewall Management Center とのインターフェイスの変更の同期

始める前に

手順

Cisco Secure Firewall 3100 のネットワークモジュールの管理

ブレークアウトポートの設定

始める前に

手順

ネットワークモジュールの追加

手順

ネットワークモジュールの交換方法

始める前に

手順

ネットワークモジュールを別のタイプに交換する

始める前に

手順

ネットワーク モジュールの取り外し

始める前に

手順

インターフェイスの履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

章のタイトル：インターフェースの概要

インターフェイスモードとタイプ

通常のファイアウォールモード

セキュリティゾーンとインターフェイスグループ

インターフェイスオブジェクトタイプ

セキュリティゾーンおよびインターフェイスグループオブジェクトの作成

チャネルグループのインターフェイス

ロードバランシング

サポートモデル

ネットワークモジュールの取り外し