この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
(注) |
作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。 |
クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower アプライアンスに(ダウンロード)します(論理デバイス ソフトウェア イメージの Firepower アプライアンス へのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
Firepower# scope ssa Firepower /ssa # create logical-device MyDevice1 asa 1 standalone Firepower /ssa/logical-device* # set description "logical device description" Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: <password> Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # show configuration pending +enter logical-device MyDevice1 asa 1 standalone + enter external-port-link inside Ethernet1/1 asa + set decorator "" + set description "inside link" + exit + enter external-port-link management Ethernet1/7 asa + set decorator "" + set description "management link" + exit + enter external-port-link outside Ethernet1/2 asa + set decorator "" + set description "external link" + exit + enter mgmt-bootstrap asa + enter bootstrap-key-secret PASSWORD + set value + exit + enter ipv4 1 default + set gateway 1.1.1.254 + set ip 1.1.1.1 mask 255.255.255.0 + exit + exit + set description "logical device description" +exit Firepower /ssa/logical-device* # commit-buffer
クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。
(注) |
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。 |
クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。
セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。
すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。
スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。
Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。
(注) |
管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。
クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。
すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。
クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
他のクラスタ タイプのインターフェイスが定義されていない場合、クラスタ制御リンクは 48 番のポートチャネルを使用します。
Firepower 9300 スーパーバイザから簡単にクラスタを導入できます。 すべての初期設定が各ユニットに自動的に生成されます。
ステップ 1 |
クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。 ポート チャネルの作成を参照してください。 導入後にクラスタにデータ インターフェイスを追加することもできます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
クラスタを作成します。
enter logical-device device_name asa "1,2,3" clustered device_name は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 まだハードウェアをインストールしていなくても、3 つのセキュリティ モジュールすべてを指定する必要があります。 |
ステップ 4 |
クラスタ パラメータを設定します。 enter cluster-bootstrap |
ステップ 5 |
セキュリティ モジュール設定のクラスタ グループ名を設定します。 set service-typecluster_name 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 6 |
クラスタ インターフェイス モードを設定します。 set mode spanned-etherchannel スパンド EtherChannel モードは、サポートされている唯一のモードです。 |
ステップ 7 |
(任意)管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 |
ステップ 8 |
シャーシ ID を設定します。 set chassis-idid |
ステップ 9 |
クラスタ制御リンクの制御トラフィックの認証キーを設定します。 set keysecret 共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 10 |
クラスタ ブートストラップ モードを終了します。 exit |
ステップ 11 |
クラスタに管理およびデータ インターフェイスを割り当てます。
exit 例: enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel2 Port-channel2 asa exit enter external-port-link Port-channel3 Port-channel3 asa exit |
ステップ 12 |
設定をコミットします。 commit-buffer Firepower 9300 スーパーバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。 |
ステップ 13 | セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
scope eth-uplink scope fabric a create port-channel 1 set port-type data enable create member-port Ethernet1/1 exit create member-port Ethernet1/2 exit exit create port-channel 2 set port-type data enable create member-port Ethernet1/3 exit create member-port Ethernet1/4 exit exit create port-channel 3 set port-type data enable create member-port Ethernet1/5 exit create member-port Ethernet1/6 exit exit create port-channel 4 set port-type mgmt enable create member-port Ethernet2/1 exit create member-port Ethernet2/2 exit exit exit exit commit buffer scope ssa enter logical-device ASA1 asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 1 set ipv4 gateway 10.1.1.254 set ipv4 pool 10.1.1.11 10.1.1.15 set ipv6 gateway 2001:DB8::AA set ipv6 pool 2001:DB8::11 2001:DB8::19 set key f@rscape set mode spanned-etherchannel set service-type cluster1 set virtual ipv4 10.1.1.1 mask 255.255.255.0 set virtual ipv6 2001:DB8::1 prefix-length 64 exit enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel1 Port-channel2 asa exit enter external-port-link Port-channel1 Port-channel3 asa exit enter external-port-link Port-channel1 Port-channel4 asa exit commit-buffer
次の手順を使用してセキュリティ モジュールのコンソールに接続します。
(注) |
コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
ステップ 1 |
セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
|
ステップ 2 |
(任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。 トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。 |
ステップ 3 |
FXOS CLI のスーパーバイザ レベルに戻ります。
|
次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
目次
論理デバイスについて
論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
(注)
作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。
スタンドアロン ASA 論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。
はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower アプライアンスに(ダウンロード)します(論理デバイス ソフトウェア イメージの Firepower アプライアンス へのダウンロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
例
Firepower# scope ssa Firepower /ssa # create logical-device MyDevice1 asa 1 standalone Firepower /ssa/logical-device* # set description "logical device description" Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Value: <password> Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 1.1.1.254 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 1.1.1.1 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* # show configuration pending +enter logical-device MyDevice1 asa 1 standalone + enter external-port-link inside Ethernet1/1 asa + set decorator "" + set description "inside link" + exit + enter external-port-link management Ethernet1/7 asa + set decorator "" + set description "management link" + exit + enter external-port-link outside Ethernet1/2 asa + set decorator "" + set description "external link" + exit + enter mgmt-bootstrap asa + enter bootstrap-key-secret PASSWORD + set value + exit + enter ipv4 1 default + set gateway 1.1.1.254 + set ip 1.1.1.1 mask 255.255.255.0 + exit + exit + set description "logical device description" +exit Firepower /ssa/logical-device* # commit-bufferクラスタの導入
クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。
(注)
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。
クラスタリングについて
クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。
セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。
すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。
スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。
Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。
(注)
管理インターフェイス以外の個々のインターフェイスはサポートされていません。
すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。
クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。
マスターおよびスレーブ ユニットの役割
クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。
すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。
クラスタ制御リンク
クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理インターフェイス
クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
ASA クラスタリングの設定
手順
ステップ 1 クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポート チャネル)を設定します。 ポート チャネルの作成を参照してください。 導入後にクラスタにデータ インターフェイスを追加することもできます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 クラスタを作成します。 scope ssaenter logical-device device_name asa "1,2,3" clustered
device_name は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 まだハードウェアをインストールしていなくても、3 つのセキュリティ モジュールすべてを指定する必要があります。
ステップ 4 クラスタ パラメータを設定します。 enter cluster-bootstrap
ステップ 5 セキュリティ モジュール設定のクラスタ グループ名を設定します。 set service-typecluster_name
名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。
ステップ 6 クラスタ インターフェイス モードを設定します。 set mode spanned-etherchannel
スパンド EtherChannel モードは、サポートされている唯一のモードです。
ステップ 7 (任意)管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。
ステップ 8 シャーシ ID を設定します。 set chassis-idid
ステップ 9 クラスタ制御リンクの制御トラフィックの認証キーを設定します。 set keysecret
共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。
ステップ 10 クラスタ ブートストラップ モードを終了します。 exit
ステップ 11 クラスタに管理およびデータ インターフェイスを割り当てます。 enter external-port-link9300_interface_id asa_interface_idasaexit
例:enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel2 Port-channel2 asa exit enter external-port-link Port-channel3 Port-channel3 asa exitステップ 12 設定をコミットします。 commit-buffer
Firepower 9300 スーパーバイザは、デフォルトのセキュリティ モジュール ソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。
ステップ 13 セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。
例
scope eth-uplink scope fabric a create port-channel 1 set port-type data enable create member-port Ethernet1/1 exit create member-port Ethernet1/2 exit exit create port-channel 2 set port-type data enable create member-port Ethernet1/3 exit create member-port Ethernet1/4 exit exit create port-channel 3 set port-type data enable create member-port Ethernet1/5 exit create member-port Ethernet1/6 exit exit create port-channel 4 set port-type mgmt enable create member-port Ethernet2/1 exit create member-port Ethernet2/2 exit exit exit exit commit buffer scope ssa enter logical-device ASA1 asa "1,2,3" clustered enter cluster-bootstrap set chassis-id 1 set ipv4 gateway 10.1.1.254 set ipv4 pool 10.1.1.11 10.1.1.15 set ipv6 gateway 2001:DB8::AA set ipv6 pool 2001:DB8::11 2001:DB8::19 set key f@rscape set mode spanned-etherchannel set service-type cluster1 set virtual ipv4 10.1.1.1 mask 255.255.255.0 set virtual ipv6 2001:DB8::1 prefix-length 64 exit enter external-port-link Port-channel1 Port-channel1 asa exit enter external-port-link Port-channel1 Port-channel2 asa exit enter external-port-link Port-channel1 Port-channel3 asa exit enter external-port-link Port-channel1 Port-channel4 asa exit commit-bufferクラスタリングの履歴
セキュリティ モジュールのコンソールへの接続
手順次の手順を使用してセキュリティ モジュールのコンソールに接続します。
(注)
コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。
ステップ 1 セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
ステップ 2 (任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。 トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。
ステップ 3 FXOS CLI のスーパーバイザ レベルに戻ります。
例
次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#