この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Firepower Chassis Manager の [論理デバイス(Logical Devices)] ページを使用して、論理デバイスを作成、編集、削除します。
論理デバイスを作成すると、Firepower アプライアンス Supervisor は、指定されたソフトウェア バージョンをダウンロードし、ブートストラップおよび管理インターフェイスの設定を指定されたモジュール、または、クラスタの場合は、Firepower シャーシにインストールされたすべてのモジュールにダウンロードして論理デバイスを展開します。
(注) |
作成できるのは、論理デバイスまたはその他のいずれか 1 つのタイプのみです。つまり、3 つのセキュリティ モジュールをインストールしている場合、セキュリティ モジュールにスタンドアロンの論理デバイスは作成できず、残りの 2 つの論理デバイスを使用してクラスタを作成することになります。 |
スタンドアロン:Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。
(注) |
スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
クラスタ:Firepower シャーシにインストールされたすべてのモジュールが単一の論理デバイスとしてまとめてグループ化されるクラスタを作成できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注) |
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注) |
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。 |
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、データ タイプのインターフェイスを 1 つ以上設定する必要があります。
クラスタリングを利用すると、シャーシ内のすべてのセキュリティ モジュールをまとめて 1 つの論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
(注) |
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみをサポートします。 |
クラスタは、複数のセキュリティ モジュールで構成され、1 つの単一ユニットとして機能します。Firepower 9300 にクラスタを展開すると、次を実行します。
クラスタ制御リンクを作成し、セキュリティ モジュール間での通信を行います。このリンクは、クラスタ通信に Firepower 9300 のバックプレーンを利用します。
すべてのセキュリティ モジュール上のアプリケーション内にクラスタ ブートストラップ設定を作成します。
クラスタを展開すると、Firepower 9300 スーパバイザが最小限のブートストラップ設定を各セキュリティ モジュールにプッシュします。この設定には、クラスタ名、クラスタ制御リンクのインターフェイス、およびその他のクラスタ設定が含まれています。クラスタリング環境をカスタマイズする場合は、ユーザはセキュリティ モジュール内でブートストラップ設定の一部を設定できます。
データ インターフェイスをスパンド EtherChannel としてクラスタに割り当てます。
Firepower 9300 スーパバイザは、スパンド EtherChannel 上のトラフィックの負荷をすべてのセキュリティ モジュールに分散させます。
(注) |
管理インターフェイスを除き、インターフェイスは個別にサポートされません。 |
すべてのセキュリティ モジュールが共有する管理インターフェイスを別に割り当てます。
クラスタリングおよびセキュリティ モジュール レベルでの動作の詳細については、お使いのセキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。以下のセクションで、クラスタリングの概念および実装について詳しく説明します。
クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。
マスター ユニットでのみ、すべての設定を行う必要があります。その設定がスレーブ ユニットに複製されます。
クラスタ制御リンクはポートチャネル 48 を使用して自動的に作成されます。メンバ インターフェイスはありません。このクラスタ タイプの EtherChannel はシャーシ内クラスタリングのためのクラスタ通信に Firepower 9300 のバックプレーンを利用します。後でクラスタ間クラスタリングをサポートするときに、この EtherChannel に外部接続用のメンバ インターフェイスを追加できます。ポートチャネル 48 インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前に定義しておき、それをクラスタ制御リンクとして使用します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド EtherChannel とは対照的に、特殊な独立型のインターフェイスです。管理インターフェイスでは、各ユニットに直接接続することができます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
クラスタ制御リンクは、ほかのクラスタ タイプのインターフェイスが定義されていない場合は、ポートチャネル 48 を使用します。
クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニットに自動的に生成されます。
ステップ 1 |
クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
[論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。 [論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスをまったく設定していない場合は、その旨を通知するメッセージが表示されます。 |
ステップ 4 |
[デバイスの追加(Add Device)] をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。 既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。 |
ステップ 5 | [デバイス名(Device Name)] に論理デバイスの名前を入力します。この名前はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 が使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 |
ステップ 6 | [テンプレート(Template)] には、[Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)] を選択します。 |
ステップ 7 | [イメージ バージョン(Image Version)] には、ASA ソフトウェアのバージョンを選択します。 |
ステップ 8 | [デバイス モード(Device Mode)] では、[クラスタ(Cluster)] オプション ボタンをクリックします。 |
ステップ 9 |
[OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタと置換するように求められます。[プロビジョニング - デバイス名(Provisioning - device name)] ウィンドウが表示されます。 |
ステップ 10 | デフォルトでは、定義済みのすべてのインターフェイスがクラスタに割り当てられます。[データ ポート(Data Ports)] 領域を展開し、割り当てをクラスタから解除する各インターフェイスをクリックします。 |
ステップ 11 |
画面の中央のデバイス アイコンをクリックします。 [ASA 設定(ASA Configuration)] ダイアログボックスが表示されます。 |
ステップ 12 | [管理インターフェイス(Management Interface)] をクリックし、以前に作成した管理インターフェイスを選択します。 |
ステップ 13 |
[クラスタ情報(Cluster Information)] 領域で、クラスタ制御リンクの制御トラフィック用の認証キーを設定します。 共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 14 |
[サービス タイプ名(ServiceType Name)][クラスタ グループ名(Cluster Group Name)] を設定します。これは、セキュリティモジュール設定内のクラスタ グループです。 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 15 |
[IPv4] 領域または [IPv6] 領域、あるいはその両方に、管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定に管理インターフェイスを設定するために使用されます。 |
ステップ 16 | [パスワード(Password)] フィールドには、「管理者」ユーザのパスワードを入力します。 |
ステップ 17 | [OK] をクリックして [ASA の設定(ASA Configuration)] ダイアログボックスを閉じます。 |
ステップ 18 |
[保存(Save)] をクリックします。 Firepower 9300 は、指定されたソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることで、クラスタを展開します。 |
ステップ 19 | セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。 |
クラスタは、Firepower 9300 スーパバイザから簡単に展開できます。すべての初期設定が各ユニットに自動的に生成されます。
ステップ 1 |
クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
[論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。 [論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスをまったく設定していない場合は、その旨を通知するメッセージが表示されます。 |
ステップ 4 |
[デバイスの追加(Add Device)] をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。 既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。 |
ステップ 5 | [デバイス名(Device Name)] に論理デバイスの名前を入力します。この名前はクラスタリングまたは管理の設定を行ってインターフェイスを割り当てるために Firepower 9300 が使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 |
ステップ 6 | [テンプレート(Template)] には、[Cisco Firepower 脅威に対する防御(Cisco Firepower Threat Defense)] を選択します。 |
ステップ 7 | [イメージ バージョン(Image Version)] には、脅威に対する防御のソフトウェアのバージョンを選択します。 |
ステップ 8 | [デバイス モード(Device Mode)] では、[クラスタ(Cluster)] オプション ボタンをクリックします。 |
ステップ 9 |
[OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタと置換するように求められます。[プロビジョニング - デバイス名(Provisioning - device name)] ウィンドウが表示されます。 |
ステップ 10 | デフォルトでは、定義済みのすべてのインターフェイスがクラスタに割り当てられます。データ インターフェイスの割り当てを解除するには、[データ ポート(Data Ports)] 領域を展開し、クラスタから割り当てを解除する各インターフェイスをクリックします。 |
ステップ 11 |
画面の中央のデバイス アイコンをクリックします。 [Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスが表示されます。 |
ステップ 12 |
[クラスタ情報(Cluster Information)] タブで、次の項目を入力します。
|
ステップ 13 |
[設定(Settings)] タブで、次の項目を入力します。
|
ステップ 14 | [インターフェイス情報(Interface Information)] タブで、クラスタ内のセキュリティ モジュールのそれぞれに管理インターフェイスを設定します。これは、すべてのイベント トラフィック(たとえば、Web イベント)を伝送する Firepower イベント トラフィック チャネルのインターフェイスです。[アドレス タイプ(Address Type)] ドロップダウン リストから、アドレスのタイプを選択し、各セキュリティ モジュールについて次の項目を入力ます。 |
ステップ 15 | [利用規約(Agreement)] タブで、エンド ユーザ ライセンス(EULA)を読んで、同意します。 |
ステップ 16 | [OK] をクリックして [Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスを閉じます。 |
ステップ 17 |
[保存(Save)] をクリックします。 Firepower 9300 は、指定されたソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることで、クラスタを展開します。 |
ステップ 18 | セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。 |
Cisco Firepower Threat Defense のシャーシ内クラスタリング |
1.1(2) |
Firepower 9300 シャーシ内のすべての Threat Defense セキュリティ モジュールをクラスタ化できます。 |
セキュリティ モジュールのコンソールに接続するには、次の手順を使用します。
(注) |
コンソールへの接続に問題が発生した場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
ステップ 1 |
セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
|
ステップ 2 |
(任意)モジュール OSを終了して FXOS モジュールの CLI に戻るには、Ctrl-A-D を入力します。 トラブルシューティングのために FXOS モジュールの CLI にアクセスする場合があります。 |
ステップ 3 |
FXOS CLI のスーパバイザ レベルに戻ります。
|
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
目次
論理デバイスについて
Firepower Chassis Manager の [論理デバイス(Logical Devices)] ページを使用して、論理デバイスを作成、編集、削除します。
論理デバイスを作成すると、Firepower アプライアンス Supervisor は、指定されたソフトウェア バージョンをダウンロードし、ブートストラップおよび管理インターフェイスの設定を指定されたモジュール、または、クラスタの場合は、Firepower シャーシにインストールされたすべてのモジュールにダウンロードして論理デバイスを展開します。
次の 2 つのタイプの論理デバイスのいずれかを作成できます。
(注)
作成できるのは、論理デバイスまたはその他のいずれか 1 つのタイプのみです。つまり、3 つのセキュリティ モジュールをインストールしている場合、セキュリティ モジュールにスタンドアロンの論理デバイスは作成できず、残りの 2 つの論理デバイスを使用してクラスタを作成することになります。
スタンドアロン:Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。
(注)
スタンドアロンの論理デバイスを設定する場合は、同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。クラスタ:Firepower シャーシにインストールされたすべてのモジュールが単一の論理デバイスとしてまとめてグループ化されるクラスタを作成できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
スタンドアロン ASA 論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注)
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
脅威に対する防御用のスタンドアロン論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシにインストールされた各セキュリティ モジュールにスタンドアロンの論理デバイスを作成できます。クラスタを設定している場合は、そのクラスタを削除してから、スタンドアロン デバイスを作成する必要があります。
(注)
同じソフトウェア タイプをシャーシ内のすべてのモジュールにインストールする必要があります。この時点では、異なるタイプのソフトウェアはサポートされていません。特定のデバイス タイプの異なるバージョンを実行することはできます。しかし、すべてのモジュールが同じタイプの論理デバイスとして設定されている必要があります。はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに設定済みの論理デバイスがすでにある場合は、最初にその既存の論理デバイスを削除する必要があります(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードし(Cisco.com からのイメージのダウンロードを参照)、次にそのイメージを Firepower アプライアンス にアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。また、データ タイプのインターフェイスを 1 つ以上設定する必要があります。
クラスタの展開
クラスタリングを利用すると、シャーシ内のすべてのセキュリティ モジュールをまとめて 1 つの論理デバイスとしてグループ化できます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。
(注)
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみをサポートします。
クラスタリングについて
クラスタは、複数のセキュリティ モジュールで構成され、1 つの単一ユニットとして機能します。Firepower 9300 にクラスタを展開すると、次を実行します。
クラスタ制御リンクを作成し、セキュリティ モジュール間での通信を行います。このリンクは、クラスタ通信に Firepower 9300 のバックプレーンを利用します。
すべてのセキュリティ モジュール上のアプリケーション内にクラスタ ブートストラップ設定を作成します。
クラスタを展開すると、Firepower 9300 スーパバイザが最小限のブートストラップ設定を各セキュリティ モジュールにプッシュします。この設定には、クラスタ名、クラスタ制御リンクのインターフェイス、およびその他のクラスタ設定が含まれています。クラスタリング環境をカスタマイズする場合は、ユーザはセキュリティ モジュール内でブートストラップ設定の一部を設定できます。
データ インターフェイスをスパンド EtherChannel としてクラスタに割り当てます。
Firepower 9300 スーパバイザは、スパンド EtherChannel 上のトラフィックの負荷をすべてのセキュリティ モジュールに分散させます。
(注)
管理インターフェイスを除き、インターフェイスは個別にサポートされません。
すべてのセキュリティ モジュールが共有する管理インターフェイスを別に割り当てます。
クラスタリングおよびセキュリティ モジュール レベルでの動作の詳細については、お使いのセキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。以下のセクションで、クラスタリングの概念および実装について詳しく説明します。
マスターおよびスレーブ ユニットのロール
クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。
マスター ユニットでのみ、すべての設定を行う必要があります。その設定がスレーブ ユニットに複製されます。
クラスタ制御リンク
クラスタ制御リンクはポートチャネル 48 を使用して自動的に作成されます。メンバ インターフェイスはありません。このクラスタ タイプの EtherChannel はシャーシ内クラスタリングのためのクラスタ通信に Firepower 9300 のバックプレーンを利用します。後でクラスタ間クラスタリングをサポートするときに、この EtherChannel に外部接続用のメンバ インターフェイスを追加できます。ポートチャネル 48 インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前に定義しておき、それをクラスタ制御リンクとして使用します。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理インターフェイス
管理タイプのインターフェイスをクラスタに割り当てることができます。このインターフェイスはスパンド EtherChannel とは対照的に、特殊な独立型のインターフェイスです。管理インターフェイスでは、各ユニットに直接接続することができます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
ASA クラスタリングの設定
手順
ステップ 1 クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。 [論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスをまったく設定していない場合は、その旨を通知するメッセージが表示されます。
ステップ 4 [デバイスの追加(Add Device)] をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。 既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。
ステップ 5 [デバイス名(Device Name)] に論理デバイスの名前を入力します。この名前はクラスタリングの設定を行ってインターフェイスを割り当てるために Firepower 9300 が使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 ステップ 6 [テンプレート(Template)] には、[Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)] を選択します。 ステップ 7 [イメージ バージョン(Image Version)] には、ASA ソフトウェアのバージョンを選択します。 ステップ 8 [デバイス モード(Device Mode)] では、[クラスタ(Cluster)] オプション ボタンをクリックします。 ステップ 9 [OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタと置換するように求められます。[プロビジョニング - デバイス名(Provisioning - device name)] ウィンドウが表示されます。
ステップ 10 デフォルトでは、定義済みのすべてのインターフェイスがクラスタに割り当てられます。[データ ポート(Data Ports)] 領域を展開し、割り当てをクラスタから解除する各インターフェイスをクリックします。 ステップ 11 画面の中央のデバイス アイコンをクリックします。 [ASA 設定(ASA Configuration)] ダイアログボックスが表示されます。
ステップ 12 [管理インターフェイス(Management Interface)] をクリックし、以前に作成した管理インターフェイスを選択します。 ステップ 13 [クラスタ情報(Cluster Information)] 領域で、クラスタ制御リンクの制御トラフィック用の認証キーを設定します。 共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。
ステップ 14 [サービス タイプ名(ServiceType Name)][クラスタ グループ名(Cluster Group Name)] を設定します。これは、セキュリティモジュール設定内のクラスタ グループです。 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。
ステップ 15 [IPv4] 領域または [IPv6] 領域、あるいはその両方に、管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定に管理インターフェイスを設定するために使用されます。
ステップ 16 [パスワード(Password)] フィールドには、「管理者」ユーザのパスワードを入力します。 ステップ 17 [OK] をクリックして [ASA の設定(ASA Configuration)] ダイアログボックスを閉じます。 ステップ 18 [保存(Save)] をクリックします。 Firepower 9300 は、指定されたソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることで、クラスタを展開します。
ステップ 19 セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。
脅威に対する防御用のクラスタリングの設定
手順
ステップ 1 クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 また、データ インターフェイスはクラスタを展開した後でも、そのクラスタに追加できます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。ポートチャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 [論理デバイス(Logical Devices)] を選択して、[論理デバイス(Logical Devices)] ページを開きます。 [論理デバイス(Logical Devices)] ページに、シャーシに設定されている論理デバイスのリストが表示されます。論理デバイスをまったく設定していない場合は、その旨を通知するメッセージが表示されます。
ステップ 4 [デバイスの追加(Add Device)] をクリックし、[デバイスの追加(Add Device)] ダイアログボックスを表示します。 既存のクラスタが存在する場合は、そのクラスタを削除し、新しいクラスタを追加するように求められます。セキュリティ モジュール上のすべてのクラスタ関連の設定が新しい情報で置換されます。
ステップ 5 [デバイス名(Device Name)] に論理デバイスの名前を入力します。この名前はクラスタリングまたは管理の設定を行ってインターフェイスを割り当てるために Firepower 9300 が使用します。これは、セキュリティ モジュールの設定で使用するクラスタ名ではありません。 ステップ 6 [テンプレート(Template)] には、[Cisco Firepower 脅威に対する防御(Cisco Firepower Threat Defense)] を選択します。 ステップ 7 [イメージ バージョン(Image Version)] には、脅威に対する防御のソフトウェアのバージョンを選択します。 ステップ 8 [デバイス モード(Device Mode)] では、[クラスタ(Cluster)] オプション ボタンをクリックします。 ステップ 9 [OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタと置換するように求められます。[プロビジョニング - デバイス名(Provisioning - device name)] ウィンドウが表示されます。
ステップ 10 デフォルトでは、定義済みのすべてのインターフェイスがクラスタに割り当てられます。データ インターフェイスの割り当てを解除するには、[データ ポート(Data Ports)] 領域を展開し、クラスタから割り当てを解除する各インターフェイスをクリックします。 ステップ 11 画面の中央のデバイス アイコンをクリックします。 [Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスが表示されます。
ステップ 12 [クラスタ情報(Cluster Information)] タブで、次の項目を入力します。
ステップ 13 [設定(Settings)] タブで、次の項目を入力します。
- [登録キー(Registration Key)] フィールドで、登録時に Firepower Management Center と デバイス間で共有するキーを入力します。
- デバイスのパスワードを入力します。
- [Firepower Management Center の IP(Firepower Management Center IP)] フィールドに、管理側の Firepower Management Center の IP アドレスを入力します。
- ファイアウォール モードを選択します。
- ファイアウォール イベントを送信するインターフェイスを選択します。指定しない場合は、管理インターフェイスが使用されます。
ステップ 14 [インターフェイス情報(Interface Information)] タブで、クラスタ内のセキュリティ モジュールのそれぞれに管理インターフェイスを設定します。これは、すべてのイベント トラフィック(たとえば、Web イベント)を伝送する Firepower イベント トラフィック チャネルのインターフェイスです。[アドレス タイプ(Address Type)] ドロップダウン リストから、アドレスのタイプを選択し、各セキュリティ モジュールについて次の項目を入力ます。 ステップ 15 [利用規約(Agreement)] タブで、エンド ユーザ ライセンス(EULA)を読んで、同意します。 ステップ 16 [OK] をクリックして [Cisco Firepower 脅威に対する防御の設定(Cisco Firepower Threat Defense Configuration)] ダイアログボックスを閉じます。 ステップ 17 [保存(Save)] をクリックします。 Firepower 9300 は、指定されたソフトウェアのバージョンをダウンロードし、クラスタのブートストラップ設定と管理インターフェイス設定を各セキュリティ モジュールにプッシュすることで、クラスタを展開します。
ステップ 18 セキュリティ モジュールに接続し、クラスタリング設定をカスタマイズします。
セキュリティ モジュールのコンソールへの接続
手順セキュリティ モジュールのコンソールに接続するには、次の手順を使用します。
(注)
コンソールへの接続に問題が発生した場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。
ステップ 1 セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
ステップ 2 (任意)モジュール OSを終了して FXOS モジュールの CLI に戻るには、Ctrl-A-D を入力します。 トラブルシューティングのために FXOS モジュールの CLI にアクセスする場合があります。
ステップ 3 FXOS CLI のスーパバイザ レベルに戻ります。
例
次に、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザ レベルに戻る例を示します。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#論理デバイスの削除
手順