FireSIGHT システム インストレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月13日
章のタイトル: FireSIGHT システム アプライアンスの設置
FireSIGHT システム アプライアンスの設置
FireSIGHT システム アプライアンスは、大規模な FireSIGHT システム 展開の一部としてネットワーク上に容易に設置できます。デバイスはネットワーク セグメントに設置され、それに適用された侵入ポリシーに基づいてトラフィックを検査し、侵入イベントを生成します。このデータは防御センターに送信されます。そこでは、データを展開全体で相互に関連付け、セキュリティに対する脅威を調整または処理するように 1 つ以上のデバイスが管理されます。
複数の管理インターフェイスを使用することで、パフォーマンスを向上させたり、2 つの異なるネットワークのトラフィックを分離して管理することができます。初期設置中に、デフォルトの管理インターフェイス( eth0 )を設定します。設置した後、ユーザ インタフェースを介して追加の管理インターフェイスを設定できます。詳細については、FireSIGHT System User Guide を参照してください。
複数のアプライアンスを別々の展開場所で使用するように 1 か所で事前設定できます。事前設定のガイダンスについては、「FireSIGHT システム アプライアンスの事前設定」を参照してください。
(注) ASA FirePOWER デバイスの設置方法については、ASA のマニュアルを参照してください。
FireSIGHT システム アプライアンスの設置方法については、以下の項を参照してください。
•
「付属品」
付属品
FireSIGHT システム アプライアンスに付属のコンポーネントを以下に示します。システムと関連アクセサリを開梱するときに、次のようにパッケージの中身が完全であることを確認してください。
• 電源コード(2 本の電源コードが冗長電源を含むアプライアンスに付属しています)
• カテゴリ 5e イーサネット ストレート ケーブル:防御センター用と管理対象デバイス用にそれぞれ 1 本ずつ
• ラックマウント キット(3D7010、3D7020、3D7030、および 3D7050 のそれぞれに使用する必須のトレイとラックマウント キット)× 1
セキュリティの考慮事項
シスコ では、アプライアンスを設置する前に、次の点を考慮することを推奨しています。
• 無許可ユーザによるアクセスから保護された安全な場所にあるロック付きラックに FireSIGHT システム アプライアンスを配置します。
• FireSIGHT システム アプライアンスの設置、交換、管理、または修理は、訓練を受け、資格要件を満たしている人物にのみ許可します。
• 管理インターフェイスは、必ず、不正アクセスから保護されたセキュアな内部管理ネットワークに接続します。
• アプライアンスへのアクセスを許可可能な特定のワークステーションの IP アドレスを特定します。アプライアンスのシステム ポリシー内のアクセス リストを使用している特定のホストにアプライアンスへのアクセスを限定します。詳細については、『 FireSIGHT System User Guide 』を参照してください。
管理インターフェイスの識別
管理インターフェイスを使用して展開内の各アプライアンスをネットワークに接続します。これにより、防御センターは管理対象デバイスと通信して管理することができます。
FireSIGHT システム アプライアンスは、さまざまなハードウェア プラットフォームで出荷されます。設置手順に従って作業する際、アプライアンスの正しい図を参照してください。
防御センター750
DC750 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、DC750 のデフォルトの管理インターフェイス(1)の位置を示しています。
防御センター 1500
DC1500 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、DC1500 のデフォルトの管理インターフェイス(1)の位置を示しています。
防御センター3500
DC3500 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、DC3500 のデフォルトの管理インターフェイス(1)の位置を示しています。
防御センター 2000 および 4000
DC2000 および DC4000 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、DC2000 および DC4000 のデフォルトの管理インターフェイス(1)の位置を示しています。
FirePOWER 7000 シリーズ
3D7010、3D7020、3D7030、および 3D7050 はシャーシ トレイ幅の半分の 1 U アプライアンスです。次のシャーシ正面図は、デフォルトの管理インターフェイス(1)の位置を示しています。
3D7110/7120、3D7115/7125、および AMP7150 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、デフォルトの管理インターフェイス(1)の位置を示しています。
FirePOWER 8000 シリーズ
3D8120、3D8130、3D8140、および AMP8150 は 1U アプライアンスとして提供されます。次のシャーシ背面図は、デフォルトの管理インターフェイス(1)の位置を示しています。
3D8250 は 2U アプライアンスとして提供されます。3D8260、3D8270、および 3D8290 は 1 つ、2 つ、または 3 つのセカンダリ 2U アプライアンスが付属する 2U アプライアンスとして提供されます。次のシャーシ背面図は、各 2U アプライアンスのデフォルトの管理インターフェイス(1)の位置を示しています。
3D8350 は 2U アプライアンスとして提供されます。3D8360、3D8370、および 3D8390 は 1 つ、2 つ、または 3 つのセカンダリ 2U アプライアンスが付属する 2U アプライアンスとして提供されます。次のシャーシ背面図は、各 2U アプライアンスのデフォルトの管理インターフェイス(1)の位置を示しています。
センシング インターフェイスの識別
管理対象デバイスは、センシング インターフェイスを使用してネットワーク セグメントに接続します。1 つのデバイスで監視可能なセグメントの数は、デバイス上のセンシング インターフェイスの数とネットワーク セグメント上で使用する接続タイプ(パッシブ、インライン、ルーテッド、またはスイッチド)によって異なります。
以下の項では、各管理対象デバイスのセンシング インターフェイスについて説明します。
• 7000 シリーズ 上のセンシング インターフェイスを特定するには、「FirePOWER 7000 シリーズ」を参照してください。
• 8000 シリーズ 上のモジュール スロットを特定するには、「FirePOWER 8000 シリーズ」を参照してください。
• 8000 シリーズ NetMod 上のセンシング インターフェイスを特定するには、「8000 シリーズ モジュール」を参照してください。
接続タイプについては、「センシング インターフェイスについて」を参照してください。
FirePOWER 7000 シリーズ
• 個別にバイパス機能を設定可能な 8 つの銅線インターフェイスを備えたラック トレイ幅が半分の 1U デバイス
• 個別にバイパス機能を設定可能な 8 つの銅線インターフェイスまたは 8 つのファイバ インターフェイスを備えた 1U デバイス
• バイパス機能が設定可能な 4 つの銅線インターフェイスとバイパス機能のない 8 つの Small Form-Factor Pluggable(SFP)ポートを備えた 1U デバイス
3D7010、3D7020、3D7030、および 3D7050
3D7010、3D7020、3D7030、および 3D7050 には、それぞれ設定可能なバイパス機能を持つ 8 つの銅線ポート センシング インターフェイスが付属しています。次のシャーシ前面図に、センシング インターフェイスの位置を示します。
図 4-2 8 ポート 1000BASE-T 銅線設定可能バイパス インターフェイス
|
|
|
||
|
|
|
これらの接続を使用して、最大 8 つのネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
|
|
|
||
|
|
|
デバイスの自動バイパス機能を利用する場合は、2 つのインターフェイスをネットワーク セグメントに垂直に接続します(インターフェイス 1 と 2、3 と 4、5 と 6、または 7 と 8)。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にします。
3D7110 と 3D7120
3D7110 および 3D7120 には、個別にバイパス機能を設定可能な 8 つの銅線ポート センシング インターフェイス(図 4-3 参照)または 8 つのファイバ ポート センシング インターフェイス(図 4-5 参照)が付属しています。以下のシャーシ正面図は、センシング インターフェイス(1)の位置および LED の説明を示しています。
図 4-3 3D7110 と 3D7120 の銅線インターフェイス
|
|
|
図 4-4 8 ポート 1000BASE-T 銅線インターフェイス LED
|
|
|
||
|
|
|
これらの接続を使用して、最大 8 つのネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
デバイスの自動バイパス機能を利用する場合は、ネットワーク セグメントの左側にある 2 つのインターフェイスまたはネットワーク セグメントの右側にある 2 つのインターフェイスを接続する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にします。
図 4-5 3D7110 と 3D7120 のファイバ インターフェイス
|
|
|
図 4-6 8 ポート 1000BASE-SX ファイバ設定可能バイパス LED
|
|
|
||
|
|
|
8 ポート 1000BASE-SX ファイバ設定可能バイパス設定では、LC タイプ(ローカル コネクタ)光トランシーバが使用されます。
これらの接続を使用して、最大 8 つのネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
ヒント 最高のパフォーマンスを得るために、インターフェイス セットを連続的に使用します。インターフェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、ネットワーク セグメントの左側にある 2 つのインターフェイスまたはネットワーク セグメントの右側にある 2 つのインターフェイスを接続する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にします。
3D7115、3D7125、および AMP7150
3D7115、3D7125、および AMP7150 デバイスには、バイパス機能を設定可能な 4 ポート銅線インターフェイスとバイパス機能のない 8 つのホットスワップ可能な Small Form-Factor Pluggable(SFP)ポートが付属しています。次のシャーシ前面図に、センシング インターフェイスの位置を示します。
図 4-7 3D7115、3D7125 および AMP7150 の銅線インターフェイスと SFP インターフェイス
|
|
|
図 4-8 4 ポート 1000BASE-T 銅線インターフェイス LED
|
|
|
||
|
|
|
銅線インターフェイスを使用して、4 つのネットワーク セグメントを受動的に監視することができます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開できます。
デバイスの自動バイパス機能を利用する場合は、ネットワーク セグメントの左側にある 2 つのインターフェイスまたはネットワーク セグメントの右側にある 2 つのインターフェイスを接続する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にします。
シスコ SFP トランシーバを SFP ソケットに取り付ければ、最大 8 つのネットワーク セグメントを受動的に監視することができます。また、インライン非バイパス モードでペア化されたインターフェイスを使用して、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
シスコ SFP トランシーバは、1G 銅線、1G 短距離ファイバ、または 1G 長距離ファイバで使用し、ホットスワップ可能です。デバイス内の銅線またはファイバ トランシーバの任意の組み合わせをパッシブ設定とインライン設定のどちらかで使用できます。SFP トランシーバはバイパス機能を備えていないため、侵入防御展開で使用しないようにする必要があることに注意してください。互換性を保証するために、シスコ から入手可能な SFP トランシーバだけを使用してください。詳細については、「3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用」を参照してください。
|
|
|
||
|
|
|
||
|
|
|
|
|
|
FirePOWER 8000 シリーズ
8000 シリーズ は、10G ネットワーク スイッチを備えた 1 U デバイス、または 10G と 40G のどちらかのネットワーク スイッチを備えた 2 U デバイスとして使用可能です。このデバイスは、完全に組み立てた状態で出荷することも、センシング インターフェイスを含むネットワーク モジュール(NetMod)を取り付けることもできます。
(注) デバイス上の互換性のないスロットに NetMod を取り付けた場合(3D8250 または 3D8350 のスロット 1 と 4 に 40G NetMod を挿入した場合など)または NetMod がシステムと互換性がない場合は、NetMod を設定しようとすると、管理元の防御センターの Web インターフェイスにエラーまたは警告メッセージが表示されます。支援が必要な場合は、サポートに連絡してください。
次のモジュールには、設定可能バイパス センシング インターフェイスが含まれています。
• バイパス機能を設定可能なクアッドポート 1000BASE-T 銅線インターフェイス
• バイパス機能を設定可能なクアッドポート 1000BASE-SX ファイバ インターフェイス
• バイパス機能を設定可能なデュアルポート 10GBASE(MMSR または SMLR)ファイバ インターフェイス
• バイパス機能を設定可能なデュアルポート 40GBASE-SR4 ファイバ インターフェイス(2U デバイスのみ)
次のモジュールには、非バイパス センシング インターフェイスが含まれています。
• バイパス機能のないクアッドポート 1000BASE-T 銅線インターフェイス
• バイパス機能のないクアッドポート 1000BASE-SX ファイバ インターフェイス
• バイパス機能のないデュアルポート 10GBASE(MMSR または SMLR)ファイバ インターフェイス
加えて、スタッキング モジュールは、同じ設定を持つ複数のアプライアンスのリソースを統合したものです。スタッキング モジュールは、3D8140、3D8250、および 3D8350 上ではオプションであり、3D8260、3D8270、3D8290 と 3D8360、3D8370、3D8390 のスタック構成では標準搭載です。
次のシャーシ前面図に、センシング インターフェイスを含むモジュール スロットの位置を示します。
|
|
|
||
|
|
|
||
|
|
|
図 4-12 82xx ファミリと 83xx ファミリのシャーシ前面図
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
|
8000 シリーズ モジュール
8000 シリーズ は、バイパス機能が設定可能な次のモジュール付属で提供できます。
• バイパス機能を設定可能なクアッドポート 1000BASE-T 銅線インターフェイス。詳細については、「クアッドポート 1000BASE-T 銅線設定可能バイパス NetMod LED」を参照してください。
• バイパス機能を設定可能なクアッドポート 1000BASE-SX ファイバ インターフェイス。詳細については、「クアッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod」を参照してください。
• バイパス機能を設定可能なデュアルポート 10GBASE(MMSR または SMLR)ファイバ インターフェイス。詳細については、「デュアルポート 10GBASE(MMSR または SMLR)ファイバ設定可能バイパス NetMod」を参照してください。
• バイパス機能を設定可能なデュアルポート 40GBASE-SR4 ファイバ インターフェイス。詳細については、「デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod」を参照してください。
8000 シリーズ は、バイパス機能が設定できない次のモジュール付属で提供できます。
• バイパス機能のないクアッドポート 1000BASE-T 銅線インターフェイス。詳細については、「クアッドポート 1000BASE-T 銅線非バイパス NetMod LED」を参照してください。
• バイパス機能のないクアッドポート 1000BASE-SX ファイバ インターフェイス。詳細については、「クアッドポート 1000BASE-SX ファイバ非バイパス NetMod LED」を参照してください。
• バイパス機能のないクアッドポート 10GBASE(MMSR または SMLR)ファイバ インターフェイス。詳細については、「クアッドポート 10GBASE(MMSR または SMLR)ファイバ非バイパス NetMod」を参照してください。
スタッキング モジュールは、3D8140、3D8250、および 3D8350 ではオプションであり、3D8260、3D8270、3D8290 と 3D8360、3D8370、3D8390 のスタック構成では標準搭載です。詳細については、「8000 シリーズ スタッキング モジュール」を参照してください。
図 4-13 クアッドポート 1000BASE-T 銅線設定可能バイパス NetMod LED
|
|
|
||
|
|
|
これらの接続を使用して、最大 4 つの異なるネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開することもできます。
デバイスの自動バイパス機能を利用する場合は、ネットワーク セグメントの左側にある 2 つのインターフェイスまたはネットワーク セグメントの右側にある 2 つのインターフェイスを接続する必要があります。これにより、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。また、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にすることもできます。
図 4-14 クアッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod
|
|
|
||
|
|
|
クアッドポート 1000BASE-SX ファイバ設定可能バイパス設定では、LC タイプ(ローカル コネクタ)光トランシーバが使用されます。
この設定を使用して、最大 4 つの異なるネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、管理対象デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開することもできます。
ヒント 最高のパフォーマンスを得るために、インターフェイス セットを連続的に使用します。インターフェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、ネットワーク セグメントの左側にある 2 つのインターフェイスまたはネットワーク セグメントの右側にある 2 つのインターフェイスを接続する必要があります。これにより、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。また、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にすることもできます。
図 4-15 デュアルポート 10GBASE(MMSR または SMLR)ファイバ設定可能バイパス NetMod
|
|
|
||
|
|
|
デュアルポート 10GBASE ファイバ設定可能バイパス設定では、LC タイプ(ローカル コネクタ)光トランシーバが使用されます。これらは MMSR インターフェイスまたは SMLR インターフェイスのいずれかであることに注意してください。
この設定を使用して、最大 2 つの異なるネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、管理対象デバイスを単一のネットワーク上に侵入防御システムとして展開することもできます。
ヒント 最高のパフォーマンスを得るために、インターフェイス セットを連続的に使用します。インターフェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、2 つのインターフェイスをネットワーク セグメントに接続する必要があります。これにより、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを伝送することができます。また、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にすることもできます。
図 4-16 デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod
|
|
|
||
|
|
|
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス設定では、MPO(マルチファイバ プッシュ オン)コネクタ光トランシーバが使用されます。
40G NetMod は、3D8270、3D8290、3D8360、3D8370、および 3D8390、または、40G 対応の 3D8250、3D8260、および 3D8350 でのみ使用できます。40G 対応ではないデバイス上で 40G インターフェイスを作成しようとすると、それを管理する防御センター Web インターフェイスの 40G インターフェイス画面が赤く表示されます。40G 対応の 3D8250 の LCD パネルには「3D 8250-40G」と表示され、40G 対応の 3D8350 の LCD パネルには「3D 8350-40G」と表示されます。
この設定を使用して、最大 2 つの異なるネットワーク セグメントを受動的に監視できます。また、インラインでまたはバイパス モードのインラインでペア化されたインターフェイスを使用して、デバイスを単一のネットワーク上に侵入防御システムとして展開することもできます。
最大 2 つの 40G NetMod を使用できます。1 つ目の NetMod 40G をスロット 3 と 7 に、2 つ目の NetMod 40G をスロット 2 と 6 に取り付けます。スロット 1 と 4 で 40G NetMod を使用することはできません。
|
|
|
||
|
|
|
デバイスの自動バイパス機能を利用する場合は、Web インターフェイスを使用して、インターフェイスのペアをインライン セットとして設定し、そのインライン セット上でパイパス モードを有効にする必要があります。
図 4-18 クアッドポート 1000BASE-T 銅線非バイパス NetMod LED
|
|
|
これらの接続を使用して、最大 4 つの異なるネットワーク セグメントを受動的に監視できます。また、最大 2 つのネットワーク セグメントのインライン設定でペア化されたインターフェイスを使用することもできます。
図 4-19 クアッドポート 1000BASE-SX ファイバ非バイパス NetMod LED
|
|
|
||
|
|
|
クアッドポート 1000BASE-SX ファイバ非バイパス設定では、LC タイプ(ローカル コネクタ)光トランシーバが使用されます。
これらの接続を使用して、最大 4 つの異なるネットワーク セグメントを受動的に監視できます。また、最大 2 つのネットワーク セグメントのインライン設定でペア化されたインターフェイスを使用することもできます。
ヒント 最高のパフォーマンスを得るために、インターフェイス セットを連続的に使用します。インターフェイスをスキップすると、パフォーマンスが低下する可能性があります。
図 4-20 クアッドポート 10GBASE(MMSR または SMLR)ファイバ非バイパス NetMod
|
|
|
||
|
|
|
クアッドポート 10GBASE ファイバ非バイパス設定では、MMSR インターフェイスまたは SMLR インターフェイスを備えた LC タイプ(ローカル コネクタ)光トランシーバが使用されます。
これらの接続を使用して、最大 4 つの異なるネットワーク セグメントを受動的に監視できます。また、最大 2 つのネットワーク セグメントのインライン設定でペア化されたインターフェイスを使用することもできます。
ヒント 最高のパフォーマンスを得るために、インターフェイス セットを連続的に使用します。インターフェイスをスキップすると、パフォーマンスが低下する可能性があります。
8000 シリーズ スタッキング モジュール
スタッキング モジュールは、同じ設定を持つ複数のアプライアンスのリソースを統合したものです。また、スタッキング モジュールは、3D8140、3D8250、および 3D8350 ではオプションで、3D8260、3D8270、3D8290 と 3D8360、3D8370、3D8390 のスタック構成では標準搭載です。
|
|
|
スタッキング モジュールを使用すれば、2 つのデバイスのリソースをそれぞれプライマリ デバイスとセカンダリ デバイスとして統合することができます。プライマリ デバイスにのみセンシング インターフェイスがあります。次のデバイスでスタッキング モジュールを使用できます。
• 3D8140、3D8250、および 3D8350 はスタッキング モジュール付属で提供できます。
• 3D8260 と 3D8360 には、プライマリ デバイスとセカンダリ デバイスにそれぞれ 1 つのスタッキング モジュールが標準で付属しています。
• 3D8270 と 3D8370 には、プライマリ デバイスに 2 つのスタッキング モジュールが、2 つのセカンダリ デバイスのそれぞれに 1 つずつのスタッキング モジュールが標準で付属しています。
• 3D8290 と 3D8390 には、プライマリ デバイスに 3 つのスタッキング モジュールが、3 つのセカンダリ デバイスのそれぞれに 1 つずつのスタッキング モジュールが標準で付属しています。
スタック構成デバイスの使用方法については、 スタック構成でのデバイスの使用を参照してください。
スタック構成でのデバイスの使用
スタック構成内で同じ設定を持つデバイスのリソースを統合することによって、ネットワーク セグメントで検査するトラフィックの量を増やすことができます。1 つのデバイスが、プライマリ デバイスとして指定され、ネットワーク セグメントに接続されます。その他のすべてのデバイスは、セカンダリ デバイスとして指定され、プライマリ デバイスに追加のリソースを提供するために使用されます。防御センターがスタック構成を作成、編集、および管理します。
プライマリ デバイスには、センシング インターフェイスと、接続されているセカンダリ デバイスごとに 1 セットずつのスタッキング インターフェイスがあります。プライマリ デバイス上のセンシング インターフェイスを、非スタック構成デバイスと同じ方法で監視するネットワーク セグメントに接続します。スタッキング ケーブルを使用して、プライマリ デバイス上のスタッキング インターフェイスをセカンダリ デバイス上のスタッキング インターフェイスに接続します。それぞれのセカンダリ デバイスは、スタッキング インターフェイスを使用してプライマリ デバイスに直接接続されます。セカンダリ デバイスにセンシング インターフェイスがある場合、それらは使用されません。
• 1 つの 3D8260(1 つの 10G 対応プライマリ デバイスと 1 つのセカンダリ デバイス)
• 1 つの 3D8270(1 つの 40G 対応プライマリ デバイスと 2 つのセカンダリ デバイス)
• 1 つの 3D8290(1 つの 40G 対応プライマリ デバイスと 3 つのセカンダリ デバイス)
• 1 つの 3D8360(1 つの 40G 対応プライマリ デバイスと 1 つのセカンダリ デバイス)
• 1 つの 3D8370(1 つの 40G 対応プライマリ デバイスと 2 つのセカンダリ デバイス)
• 1 つの 3D8390(1 つの 40G 対応プライマリ デバイスと 3 つのセカンダリ デバイス)
3D8260、3D8270、3D8360、および 3D8370 では、スタック内の全部で 4 つのデバイスに追加のデバイスをスタックできます。
1 つのデバイスがプライマリ デバイスとして指定され、プライマリ ロールを持つ防御センターの Web インターフェイスに表示されます。スタック構成内の他のすべてのデバイスはセカンダリであり、Web インターフェイスでセカンダリ ロールとして表示されます。スタック済みデバイスからの情報を表示する場合を除き、統合されたリソースは 1 つのエンティティとして扱われます。
単一の 3D8140、3D8250、または 3D8350 を接続する場合と同様の方法で、プライマリ デバイスを分析対象のネットワーク セグメントに接続します。スタック配線図に示すように、セカンダリ デバイスをプライマリ デバイスに接続します。
デバイスがネットワーク セグメントと他のデバイスに物理的に接続されたら、防御センターを使用してスタックを設定して管理します。
ここでは、スタック構成デバイスを接続して管理する方法について詳しく説明します。
3D8140 の接続
2 つの 3D8140 をスタック構成で接続できます。1 本の 8000 シリーズ スタッキング ケーブルを使用して、プライマリ デバイスとセカンダリ デバイスの間の物理接続を確立する必要があります。スタッキング ケーブルの使用方法については、「8000 シリーズ スタッキング ケーブルの使用」を参照してください。
デバイスをラック内に設置して、スタッキング モジュール間をケーブルで容易に接続できるようにします。プライマリ デバイスの上または下にセカンダリ デバイスを設置できます。
単一の 3D8140 を接続する場合と同様の方法で、プライマリ デバイスを分析対象のネットワーク セグメントに接続します。セカンダリ デバイスを直接プライマリ デバイスに接続します。
下の図に、プライマリ デバイスの下にセカンダリ デバイスを設置した状態を示します。
ステップ 1 8000 シリーズ スタッキング ケーブルを使用して、プライマリ デバイス上の左側のスタッキング インターフェイスをセカンダリ デバイス上の左側のスタッキング インターフェイスに接続してから、デバイスを管理する防御センターを使用して、システム内のスタック構成デバイスの関係を構築します。右側のスタッキング インターフェイスが接続されていないことに注意してください。「スタック構成デバイスの管理」を参照してください。
82xx ファミリと 83xx ファミリの接続
• 1 つの 3D8260(1 つの 10G 対応プライマリ デバイスと 1 つのセカンダリ デバイス)
• 1 つの 3D8360(1 つの 40G 対応プライマリ デバイスと 1 つのセカンダリ デバイス)
• 1 つの 3D8270 または 3D8370(1 つの 40G 対応プライマリ デバイスと 2 つのセカンダリ デバイス)
• 1 つの 3D8290 または 3D8390(1 つの 40G 対応プライマリ デバイスと 3 つのセカンダリ デバイス)
3D8260、3D8270、3D8360、および 3D8370 では、スタック内の全部で 4 つのデバイスに追加のデバイスをスタックできます。
プライマリ デバイスに接続するセカンダリ デバイスごとに 2 本ずつの 8000 シリーズ スタッキング ケーブルを使用する必要があります。スタッキング ケーブルの使用方法については、「8000 シリーズ スタッキング ケーブルの使用」を参照してください。
デバイスをラック内に設置して、スタッキング モジュール間をケーブルで容易に接続できるようにします。プライマリ デバイスの上または下にセカンダリ デバイスを設置できます。
単一の 3D8250 または 3D8350 を接続する場合と同様の方法で、プライマリ デバイスを分析対象のネットワーク セグメントに接続します。設定内のセカンダリ デバイスの数に必要な分だけ、各セカンダリ デバイスをプライマリ デバイスに直接接続します。
3D8250 または 3D8350 プライマリ デバイスと 1 つのセカンダリ デバイス
次に、3D8250 または 3D8350 プライマリ デバイスと 1 つのセカンダリ デバイスの例を示します。セカンダリ デバイスがプライマリ デバイスの下に設置されています。セカンダリ デバイスにはセンシング インターフェイスがないことに注意してください。
3D8260 または 3D8360 プライマリ デバイスと 1 つのセカンダリ デバイス
次に、3D8260 または 3D8360 の設定例を示します。3D8260 には 10G 対応 3D8250 プライマリ デバイスと 1 つの専用セカンダリ デバイスが含まれています。3D8360 には 40G 対応 3D8350 プライマリ デバイスと 1 つの専用セカンダリ デバイスが含まれています。各設定(3D8260 または 3D8360)で、セカンダリ デバイスがプライマリ デバイスの下に設置されます。
3D8270 または 3D8370 プライマリ デバイス(40G)と 2 つのセカンダリ デバイス
次に、3D8270 または 3D8370 の設定例を示します。3D8270 には 40G 対応 3D8250 プライマリ デバイスと 2 つの専用セカンダリ デバイスが含まれています。3D8370 には 40G 対応 3D8350 プライマリ デバイスと 2 つの専用セカンダリ デバイスが含まれています。各設定(3D8270 または 3D8370)で、1 つのセカンダリ デバイスがプライマリ デバイスの上に設置され、もう 1 つのセカンダリ デバイスがプライマリ デバイスの下に設置されます。
3D8290 または 3D8390 プライマリ デバイス(40G)と 3 つのセカンダリ デバイス
次に、3D8290 または 3D8390 の設定例を示します。3D8290 には 40G 対応 3D8250 プライマリ デバイスと 3 つの専用セカンダリ デバイスが含まれています。3D8370 には 40G 対応 3D8350 プライマリ デバイスと 2 つの専用セカンダリ デバイスが含まれています。各設定(3D8290 または 3D8390)で、1 つのセカンダリ デバイスがプライマリ デバイスの上に設置され、2 つのセカンダリ デバイスがプライマリ デバイスの下に設置されます。
3D8250 または 3D8350 セカンダリ デバイスを接続するには:
ステップ 1 8000 シリーズ スタッキング ケーブルを使用して、プライマリ デバイス上のスタッキング モジュールの左側のインターフェイスをセカンダリ デバイス上のスタッキング モジュールの左側のインターフェイスに接続します。
ステップ 2 2 本目の 8000 シリーズ スタッキング ケーブルを使用して、プライマリ デバイス上のスタッキング モジュールの右側のインターフェイスをセカンダリ デバイス上のスタッキング モジュールの右側のインターフェイスに接続します。
ステップ 3 接続するセカンダリ デバイスごとにステップ 1 と 2 を繰り返します。
ステップ 4 デバイスを管理する防御センターを使用して、スタック構成デバイスの関係を構築し、共有リソースを管理します。「スタック構成デバイスの管理」を参照してください。
8000 シリーズ スタッキング ケーブルの使用
8000 シリーズ スタッキング ケーブルは先端が同様の鍵型になっており、デバイスにケーブルを固定するためのラッチとラッチ解放つまみが付いています。
8000 シリーズ スタッキング ケーブルを使用して、デバイス設定ごとに必要なプライマリ デバイスと各セカンダリ デバイス間の物理接続を構築します。
• 3D8250、3D8260、3D8270、および 3D8290 には接続ごとに 2 本ずつのケーブルが必要
• 3D8350、3D8360、3D8370、および 3D8390 には接続ごとに 2 本ずつのケーブルが必要
スタッキング ケーブルの取り付けまたは取り外し時にデバイスの電源をオフにする必要はありません。
デバイスを物理的に接続したら、防御センターを使用して、スタック構成デバイスを管理します。
ステップ 1 ケーブルを挿入するには、ケーブルの先端を解放つまみを上にして持ち、鍵型の先端部分をスタッキング モジュールのポートに差し込んで、ラッチがカチッと鳴るまで押し込みます。
スタック構成デバイスの管理
防御センターは、デバイス同士のスタック関係を構築し、プライマリ デバイスのインターフェイス セットを制御し、スタック内の統合リソースを管理します。スタック構成デバイスのローカル Web インターフェイス上でインターフェイス セットを管理することはできません。
スタック構成関係が構築されると、すべてのデバイスで単一の共有検出設定を使用してトラフィックが個別に検査されます。プライマリ デバイスで障害が発生した場合は、プライマリ デバイスの設定に基づいてトラフィックが処理されます(つまり、スタック構成関係が存在しない場合と同様)。セカンダリ デバイスで障害が発生した場合は、プライマリ デバイスがトラフィックを検査して、アラートを生成し、トラフィックが破棄された故障中のセカンダリ デバイスにトラフィックを送信し続けます。
スタック済みデバイスを構築および管理する方法については、『 FireSIGHT System User Guide 』の「スタック デバイスの管理」を参照してください。
ラックへのアプライアンスの設置
FireSIGHT システム は、さまざまなハードウェア プラットフォームで提供されます。すべての FireSIGHT システム アプライアンスをラックマウントできます(3D7010、3D7020、3D7030、および 3D7050 用の 1 U 取り付けキットを購入した場合)。アプライアンスを設置するときに、アプライアンスのコンソールにアクセスできることを確認する必要もあります。初期設定でコンソールにアクセスするには、次のいずれかの方法で 1 つの FireSIGHT システム アプライアンスに接続します。
USB キーボードと VGA モニタを任意の FireSIGHT システム アプライアンスに接続できます。これは、キーボード、ビデオ、およびマウス(KVM)スイッチに接続される、ラックマウント アプライアンスで便利です。
次のネットワーク設定を使用して、インターネットに接続してはならないローカル コンピュータを設定します。
イーサネット ケーブルを使用して、ローカル コンピュータ上のネットワーク インターフェイスをアプライアンス上の管理インターフェイスに接続します。アプライアンスと通信するには、HyperTerminal や Xmodem などの端末エミュレーション ソフトウェアを使用します。このソフトウェア用の設定は次のとおりです。
物理 FireSIGHT システム アプライアンス上の管理インターフェイスは、デフォルト IPv4 アドレスで事前に設定されていることに注意してください。ただし、設定プロセスの一部として、管理インターフェイスを IPv6 アドレスで再設定できます。
初期設定後に、次の追加の方法でコンソールにアクセスできます。
物理シリアル ポートを使用して、コンピュータを(3D2100/2500/3500/4500 デバイス以外の)任意の FireSIGHT システム アプライアンスに接続できます。適切なロールオーバー シリアル ケーブル(ヌル モデム ケーブルまたはシスコ コンソール ケーブルとも呼ばれる)を常に接続した状態で、デフォルト VGA 出力をシリアル ポートにリダイレクトするようリモート管理コンソールを設定してください。アプライアンスと通信するには、前述したように端末エミュレーション ソフトウェアを使用します。
シリアル ポートには、アプライアンスによって RJ-45 接続と DB-9 接続のどちらかが実装されています。アプライアンス別のコネクタについては、次の表を参照してください。
|
|
|
|---|---|
適切なロールオーバー ケーブルをデバイスに接続した後、「コンソール出力のリダイレクト」に記載されているようにコンソール出力をリダイレクトします。各アプライアンスのシリアル ポートを特定するには、「ハードウェア仕様」の図を使用してください。
Serial over LAN を使用した Lights-Out Management
LOM 機能を使用すると、SOL 接続を通して シリーズ 3 アプライアンスに対して限定的なアクション セットを実行できます。LOM 対応アプライアンスを工場出荷時設定に復元する必要があるが、このアプライアンスに物理的にアクセスできない場合は、LOM を使用して復元プロセスを実行できます。LOM を使用してアプライアンスに接続した後で、物理シリアル接続を使用する場合と同様の方法で、復元ユーティリティに対してコマンドを発行します。詳細については、「Lights-Out Management の設定」を参照してください。
(注) Lights-Out Management は、デフォルト(eth0)管理インターフェイス上でのみ使用可能です。
LOM を使用してアプライアンスを工場出荷時設定に復元するには、ネットワーク設定を削除 しないでください 。ネットワーク設定を削除すると、LOM 接続もドロップされます。詳細については、「FireSIGHT システム アプライアンスの工場出荷時設定の復元」を参照してください。
ステップ 1 取り付けキットと付属の手順を使用して、アプライアンスをラックに取り付けます。
ステップ 2 キーボードとモニタまたはイーサネット接続を使用してアプライアンスに接続します。
ステップ 3 キーボードとモニタを使用してアプライアンスを設定している場合は、ここでイーサネット ケーブルを使用して管理インターフェイスを保護されたネットワーク セグメントに接続します。
コンピュータを直接アプライアンスの物理管理インターフェイスに接続することによって初期設定プロセスを実行する予定の場合は、設定の完了時に、管理インターフェイスを保護されたネットワークに接続します。
ステップ 4 管理対象デバイスの場合は、インターフェイスに対して適切なケーブルを使用して、センシング インターフェイスを分析対象のネットワーク セグメントに接続します。
• 銅線センシング インターフェイス:デバイスに銅線センシング インターフェイスがある場合は、適切なケーブルを使用してデバイスがネットワークに接続されていることを確認します。「銅線インターフェイスでのインライン展開のケーブル配線」を参照してください。
• ファイバ アダプタ カード:ファイバ アダプタ カードを備えたデバイスの場合は、オプションのマルチモード ファイバ ケーブルの LC コネクタを、任意の順序でアダプタ カード上の 2 つのポートに接続します。SC プラグを分析対象のネットワーク セグメントに接続します。
• ファイバ タップ:オプションの光ファイバ タップを備えたデバイスを展開している場合は、オプションのマルチモード ファイバ ケーブルの SC プラグをタップ上の「アナライザ」ポートに接続します。タップを分析対象のネットワーク セグメントに接続します。
• 銅線タップ:オプションの銅線タップを備えたデバイスを展開している場合は、タップの左側にある A ポートと B ポートを分析対象のネットワーク セグメントに接続します。タップの右側にある A ポートと B ポート(「アナライザ」ポート)をアダプタ カード上の 2 つの銅線ポートに接続します。
管理対象デバイスを展開するためのオプションについては、「管理対象デバイスの展開」を参照してください。
バイパス インターフェイスを備えたデバイスを展開している場合は、デバイスで障害が発生してもネットワーク接続を維持できるデバイスの能力を活用できることに注意してください。設置と遅延のテストについては、「インライン バイパス インターフェイスの設置のテスト」を参照してください。
ステップ 5 電源コードをアプライアンスに接続し、電力源に差し込みます。
アプライアンスに冗長電源がある場合は、電源コードを両方の電源に接続し、別々の電力源に差し込みます。
直接イーサネット接続を使用してアプライアンスを設定する場合は、ローカル コンピュータ上のネットワーク インターフェイスとアプライアンス上の管理インターフェイスの両方のリンク LED が点灯していることを確認してください。管理インターフェイスとネットワーク インターフェイスの LED が点灯していない場合は、クロス ケーブルを使用してみてください。詳細については、「銅線インターフェイスでのインライン展開のケーブル配線」を参照してください。
ステップ 7 次の章の「FireSIGHT システム アプライアンスの設定」に進みます。
コンソール出力のリダイレクト
デフォルトで、FireSIGHT システム アプライアンスは、初期化ステータスまたは init メッセージを VGA ポートに出力します。アプライアンスを工場出荷時設定に復元し、そのライセンスとネットワークの設定を削除すると、コンソール出力も復元ユーティリティによって VGA にリセットされます。物理シリアル ポートまたは SOL を使用してコンソールにアクセスする必要がある場合、初期セットアップの完了後にコンソール出力をシリアル ポートにリダイレクトすることをシスコでは推奨しています。
シェルを使用してコンソール出力をリダイレクトするには、アプライアンスのシェルからスクリプトを実行します。すべての シリーズ 3 アプライアンスが LOM をサポートしますが、7000 シリーズ デバイスは LOM と物理シリアル アクセスを同時にサポートしないことに注意してください。ただし、使用するアクセス方法に関係なく、コンソール設定は同じです。
ステップ 1 キーボード/モニタまたはシリアル接続を使用し、管理者特権を持つアカウントでアプライアンスのシェルにログインします。パスワードは、アプライアンスの Web インターフェイスのパスワードと同じです。
シリーズ 3 または仮想管理対象デバイスでは、シェル プロンプトを表示するのに expert と入力する必要があることに注意してください。
ステップ 2 プロンプトで、以下のコマンドのいずれかを入力して、コンソール出力を設定してください。
VGA を使用してアプライアンスにアクセスする場合は、次のコマンドを入力します。
sudo /usr/local/sf/bin/configure_console.sh vga
物理シリアル ポートを使用してアプライアンスにアクセスする場合は、次のコマンドを入力します。
sudo /usr/local/sf/bin/configure_console.sh serial
SOL 経由で LOM を使用してアプライアンスにアクセスする場合は、次のコマンドを入力します。
sudo /usr/local/sf/bin/configure_console.sh sol
ステップ 3 変更を反映させるには、「 sudo reboot 」と入力してアプライアンスをリブートします。
インライン バイパス インターフェイスの設置のテスト
バイパス インターフェイスを備えた管理対象デバイスは、デバイスの電源がオフになっていても、デバイスが動作不能でもネットワーク接続を維持することができます。このようなデバイスが適切に設置され、それによる遅延が定量化されていることを確認することが重要です。
(注) スイッチのスパニング ツリー ディスカバリ プロトコルは 30 秒のトラフィック遅延を引き起こす可能性があります。シスコ では、次の手順でスパニング ツリーを無効にすることを推奨しています。
銅線インターフェイスにのみ適用可能な次の手順では、インライン バイパス インターフェイスの設置と ping の遅延をテストする方法について説明します。ping テストを実行するネットワークに接続し、管理対象デバイスのコンソールに接続する必要があります。
インライン バイパス インターフェイスが設置されたデバイスをテストするには:
ステップ 1 アプライアンスのインターフェイス セット タイプがインライン バイパス モード用に設定されていることを確認します。
インターフェイス セットをインライン バイパス モード用に設定する手順については、『 FireSIGHT System User Guide 』の「Configuring Inline Sets」を参照してください。
ステップ 2 スイッチ上のすべてのインターフェイス、ファイアウォール、およびデバイスのセンシング インターフェイスを自動ネゴシエーションに設定します。
(注) シスコ デバイスでは、自動 MDIX を使用する場合に自動ネゴシエーションが必要です。
ステップ 3 デバイスの電源をオフにして、すべてのネットワーク ケーブルを外します。
デバイスを再接続して、適切なネットワーク接続が存在することを確認します。デバイスからスイッチおよびファイアウォールへのクロス ケーブルとストレート ケーブルの配線手順を確認します。「銅線インターフェイスでのインライン展開のケーブル配線」を参照してください。
ステップ 4 デバイスの電源をオフにして、デバイス経由でファイアウォールからスイッチに ping できることを確認します。
ステップ 5 ステップ 10 が完了するまで継続的に ping を実行します。
ステップ 7 キーボード/モニタまたはシリアル接続を使用し、管理者特権を持つアカウントでデバイスにログインします。パスワードは、デバイスの Web インターフェイスのパスワードと同じです。
ステップ 8 「 system shutdown 」と入力して、デバイスをシャットダウンします。
また、Web インターフェイスを使用してデバイスをシャットダウンすることもできます。『 FireSIGHT System User Guide 』の「デバイスの管理」の章を参照してください。ほとんどのデバイスで電源をオフにすると、カチッという音がします。この音は、リレーが切り替わって、デバイスがハードウェア バイパスに移行した音です。
ステップ 10 デバイスの電源をオンにして、ping トラフィックが継続的に通過していることを確認します。
ステップ 11 タップ モードをサポートするアプライアンスの場合は、次の条件下で ping 遅延結果をテストして記録できます。
• デバイスの電源がオン、ポリシーにルールが適用されていない、インライン侵入ポリシー保護モード
• デバイスの電源がオン、ポリシーにルールが適用されていない、インライン侵入ポリシー保護タップ モード
• デバイスの電源がオン、ポリシーに調整済みのルールが適用されている、インライン侵入ポリシー保護モード
設置の遅延期間が容認できる範囲であることを確認します。過剰な遅延の問題の解決方法については、『 FireSIGHT System User Guide 』の「Configuring Packet Latency Thresholding and Understanding Rule Latency Thresholding」を参照してください。
フィードバック