この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Firepower Chassis Manager の [Logical Devices] ページを使用して、論理デバイスを作成、編集、削除します。
論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
(注) |
作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。 |
クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower アプライアンスにアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。
(注) |
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。 |
クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。
セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。
すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。
スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。
Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。
(注) |
管理インターフェイス以外の個々のインターフェイスはサポートされていません。 |
すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。
クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。
クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。
すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。
クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
他のクラスタ タイプのインターフェイスが定義されていない場合、クラスタ制御リンクは 48 番のポートチャネルを使用します。
Firepower 9300 スーパーバイザから簡単にクラスタを導入できます。 すべての初期設定が各ユニットに自動的に生成されます。
ステップ 1 |
クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポートチャネル)を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 導入後にもクラスタにデータ インターフェイスを追加できます。 |
ステップ 2 | 管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 |
ステップ 3 |
[Logical Devices] を選択して [Logical Devices] ページを開きます。 [Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。 論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。 |
ステップ 4 |
[Add Device] をクリックして [Add Device] ダイアログボックスを開きます。 既存のクラスタがある場合は、そのクラスタを削除して新しく追加するように求められます。 セキュリティ モジュールのクラスタ関連のすべての設定が新しい情報に置き換えられます。 |
ステップ 5 | [Device Name] には、論理デバイスの名前を指定します。 この名前は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 |
ステップ 6 | [Template] では、[Cisco Adaptive Security Appliance] を選択します。 |
ステップ 7 | [Image Version] では、ASA ソフトウェア バージョンを選択します。 |
ステップ 8 | [Device Mode] では、[Cluster] オプション ボタンをクリックします。 |
ステップ 9 |
[OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。 [Provisioning - device name] ウィンドウが表示されます。 |
ステップ 10 | デフォルトでは、すべての定義済みインターフェイスがクラスタに割り当てられます。 [Data Ports] 領域を展開し、クラスタから割り当てを解除するインターフェイスをそれぞれクリックします。 |
ステップ 11 |
画面中央のデバイス アイコンをクリックします。 [ASA Configuration] ダイアログボックスが表示されます。 |
ステップ 12 | [Management Interface] をクリックして、先に作成した管理インターフェイスを選択します。 |
ステップ 13 |
[Cluster Information] 領域で、クラスタ制御リンクの制御トラフィックの認証キーを設定します。 共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。 |
ステップ 14 |
[Service Type Name]([Cluster Group Name])を設定します。これはセキュリティ モジュール設定のクラスタグループ名です。 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。 |
ステップ 15 |
[IPv4] と [IPv6] のいずれかまたは両方の領域で、管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。 |
ステップ 16 | [Password] には「admin」ユーザのパスワードを入力します。 |
ステップ 17 | [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。 |
ステップ 18 |
[Save(保存)] をクリックします。 Firepower 9300 スーパーバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。 |
ステップ 19 | セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。 |
次の手順を使用してセキュリティ モジュールのコンソールに接続します。
(注) |
コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。 |
ステップ 1 |
セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
|
ステップ 2 |
(任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。 トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。 |
ステップ 3 |
FXOS CLI のスーパーバイザ レベルに戻ります。
|
次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#
目次
論理デバイスについて
Firepower Chassis Manager の [Logical Devices] ページを使用して、論理デバイスを作成、編集、削除します。
論理デバイスを作成すると、Firepower アプライアンス スーパーバイザは指定されたバージョンのソフトウェアをダウンロードし、指定されたセキュリティ モジュール(クラスタの場合は、Firepower シャーシにインストールされたすべてのセキュリティ モジュール)にブートストラップ コンフィギュレーションと管理インターフェイスの設定をプッシュすることで論理デバイスを展開します。
論理デバイスは次の 2 つのタイプのいずれかを作成できます。
(注)
作成できる論理デバイスのタイプは、どちらか一方のみです。 つまり、3 つのセキュリティ モジュールがインストールされている場合でも、1 つのセキュリティ モジュールでスタンドアロン論理デバイスを作成し、残り 2 つの論理デバイスを使用してクラスタを作成する、といったことはできません。
スタンドアロン ASA 論理デバイスの作成
クラスタを設定していない場合は、Firepower シャーシに取り付けた各セキュリティ モジュールにスタンドアロン論理デバイスを作成できます。 クラスタを設定している場合は、スタンドアロン デバイスを設定する前に、クラスタを削除する必要があります。
はじめる前に手順
論理デバイスに使用するセキュリティ モジュールに、すでに論理デバイスが設定されている場合は、まず既存の論理デバイスを削除してください(論理デバイスの削除を参照)。
論理デバイスに使用するアプリケーション イメージを Cisco.com からダウンロードして(Cisco.com からのイメージのダウンロードを参照)、そのイメージを Firepower アプライアンスにアップロードします(Firepower アプライアンス へのイメージのアップロードを参照)。
論理デバイスで使用する管理インターフェイスを設定します。
クラスタの導入
クラスタリングを利用すると、シャーシのすべてのセキュリティ モジュールを 1 つの論理デバイスとしてグループ化できます。 クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を提供すると同時に、複数デバイスの高いスループットおよび冗長性を実現します。クラスタリングは、ASA セキュリティ モジュールに対してのみ利用できます。
(注)
Firepower 9300 は複数のシャーシにまたがる(シャーシ間)クラスタをサポートしません。シャーシ内クラスタリングのみがサポートされます。
クラスタリングについて
クラスタは、1 つのユニットとして機能する複数のセキュリティ モジュールから構成されます。 Firepower 9300 にクラスタを導入すると、以下の処理が実行されます。
セキュリティ モジュール間の通信のため、クラスタ制御リンクを作成します。 このリンクは、Firepower 9300 のクラスタ通信用バックプレーンを使用します。
すべてのセキュリティ モジュールに、アプリケーション内でクラスタ ブートストラップ構成を作成します。
クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各セキュリティ モジュールに対して、最小限のブートストラップ構成が Firepower 9300 スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、セキュリティ モジュール内でユーザが設定できます。
スパンされた EtherChannel として、クラスタにデータ インターフェイスを割り当てます。
Firepower 9300 スーパーバイザは、スパンされた EtherChannel のトラフィックをすべてのセキュリティ モジュール間で負荷分散を行います。
(注)
管理インターフェイス以外の個々のインターフェイスはサポートされていません。
すべてのセキュリティ モジュールで共有する個別の管理インターフェイスを割り当てます。
クラスタリングの詳細と、クラスタリングがセキュリティ モジュール レベルで動作する仕組みについては、セキュリティ モジュール アプリケーションのクラスタリングの章を参照してください。 ここでは、クラスタリングの概念と実装について詳しく説明します。
マスターおよびスレーブ ユニットの役割
クラスタ内のメンバの 1 つがマスター ユニットです。 マスター ユニットは自動的に決定されます。 他のすべてのメンバはスレーブ ユニットです。
すべてのコンフィギュレーション作業は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。
クラスタ制御リンク
クラスタ制御リンクは、メンバ インターフェイスを使用せずに、48 番のポートチャネル インターフェイスを使用して自動的に作成されます。 このクラスタ タイプの EtherChannel では、シャーシ内クラスタリングのクラスタ通信に Firepower 9300 のバックプレーンを使用します。 その後、シャーシ間クラスタリングがサポートされると、外部接続用としてこの EtherChannel にメンバー インターフェイスを追加できるようになります。 48 番のポートチャネル インターフェイスを使用しない場合は、代わりにクラスタ タイプの EtherChannel を事前設定することで、クラスタ制御リンクとして使用できます。
クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。
管理インターフェイス
クラスタに管理タイプのインターフェイスを割り当てることができます。 このインターフェイスはスパンド EtherChannel ではなく、特別な個別インターフェイスです。 管理インターフェイスによって各ユニットに直接接続できます。
メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。 アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。 このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。 ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。
たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。 個々のメンバを管理するには、ローカル IP アドレスに接続します。
TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。
ASA クラスタリングの設定
手順
ステップ 1 クラスタを導入する前に、少なくとも 1 つのデータ タイプのインターフェイスまたは EtherChannel(別名ポートチャネル)を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 導入後にもクラスタにデータ インターフェイスを追加できます。
ステップ 2 管理タイプのインターフェイスまたは EtherChannel を追加します。 ポート チャネルの作成またはインターフェイス プロパティの編集を参照してください。 ステップ 3 [Logical Devices] を選択して [Logical Devices] ページを開きます。 [Logical Devices] ページに、シャーシに設定された論理デバイスのリストが表示されます。 論理デバイスが設定されていない場合は、これを通知するメッセージが代わりに表示されます。
ステップ 4 [Add Device] をクリックして [Add Device] ダイアログボックスを開きます。 既存のクラスタがある場合は、そのクラスタを削除して新しく追加するように求められます。 セキュリティ モジュールのクラスタ関連のすべての設定が新しい情報に置き換えられます。
ステップ 5 [Device Name] には、論理デバイスの名前を指定します。 この名前は、Firepower 9300 スーパーバイザがクラスタリングを設定してインターフェイスを割り当てるために使用します。これはセキュリティ モジュール設定で使用されるクラスタ名ではありません。 ステップ 6 [Template] では、[Cisco Adaptive Security Appliance] を選択します。 ステップ 7 [Image Version] では、ASA ソフトウェア バージョンを選択します。 ステップ 8 [Device Mode] では、[Cluster] オプション ボタンをクリックします。 ステップ 9 [OK] をクリックします。 スタンドアロン デバイスを設定している場合は、新しいクラスタに置き換えるように求められます。 [Provisioning - device name] ウィンドウが表示されます。
ステップ 10 デフォルトでは、すべての定義済みインターフェイスがクラスタに割り当てられます。 [Data Ports] 領域を展開し、クラスタから割り当てを解除するインターフェイスをそれぞれクリックします。 ステップ 11 画面中央のデバイス アイコンをクリックします。 [ASA Configuration] ダイアログボックスが表示されます。
ステップ 12 [Management Interface] をクリックして、先に作成した管理インターフェイスを選択します。 ステップ 13 [Cluster Information] 領域で、クラスタ制御リンクの制御トラフィックの認証キーを設定します。 共有秘密は、1 ~ 63 文字の ASCII 文字列です。 共有秘密は、キーを生成するために使用されます。 このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。
ステップ 14 [Service Type Name]([Cluster Group Name])を設定します。これはセキュリティ モジュール設定のクラスタグループ名です。 名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。
ステップ 15 [IPv4] と [IPv6] のいずれかまたは両方の領域で、管理 IP アドレス情報を設定します。 この情報は、セキュリティ モジュール設定で管理インターフェイスを設定するために使用されます。
ステップ 16 [Password] には「admin」ユーザのパスワードを入力します。 ステップ 17 [OK] をクリックして、[ASA Configuration] ダイアログボックスを閉じます。 ステップ 18 [Save(保存)] をクリックします。 Firepower 9300 スーパーバイザは、指定したソフトウェア バージョンをダウンロードし、各セキュリティ モジュールにクラスタ ブートストラップ コンフィギュレーションと管理インターフェイス設定をプッシュすることで、クラスタを導入します。
ステップ 19 セキュリティ モジュールに接続してクラスタリング設定をカスタマイズします。
セキュリティ モジュールのコンソールへの接続
手順次の手順を使用してセキュリティ モジュールのコンソールに接続します。
(注)
コンソールへのアクセスで問題が発生する場合は、別の SSH クライアントを試すか、SSH クライアントを新しいバージョンにアップグレードすることを推奨します。
ステップ 1 セキュリティ モジュールのコンソールに接続するには、次の手順を実行します。
ステップ 2 (任意)Ctrl+A+D キーを押し、モジュール OS コンソールを終了して FXOS モジュール CLI に移動します。 トラブルシューティングのために FXOS モジュール CLI にアクセスする場合があります。
ステップ 3 FXOS CLI のスーパーバイザ レベルに戻ります。
例
次の例では、セキュリティ モジュール 1 の ASA に接続してから、FXOS CLI のスーパーバイザ レベルに戻ります。
Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>connect asa asa> ~ telnet> quit Connection closed. Firepower#