Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド

Chapter Title

ハイブリッド インターフェイス

検索結果

Updated:
2017年12月13日

章のタイトル: ハイブリッド インターフェイス

ハイブリッド インターフェイス

次のトピックでは、ローカル ハイブリッド インターフェイスの設定方法を示します。

ハイブリッド インターフェイスについて

管理対象デバイス上に論理ハイブリッド インターフェイスを設定することで、Firepower システムが仮想ルータと仮想スイッチの間でトラフィックをブリッジできるようになります。仮想スイッチのインターフェイスで受信した IP トラフィックの宛先が、そのスイッチに関連付けられた論理ハイブリッド インターフェイスの MAC アドレスとなっている場合、システムは、そのトラフィックをレイヤ 3 トラフィックとして処理し、宛先 IP アドレスに応じてトラフィックをルーティングするかトラフィックに応答します。それ以外の宛先が設定されたトラフィックを受信した場合、システムはそのトラフィックをレイヤ 2 トラフィックとして処理し、適切なスイッチングを行います。NGIPSv デバイス上で論理ハイブリッド インターフェイスを設定することはできません。

仮想スイッチと仮想ルータの両方に関連付けられていないハイブリッド インターフェイスは、ルーティングに使用できず、トラフィックを生成することも、トラフィックに応答することもありません。

論理ハイブリッド インターフェイス

レイヤ 2 とレイヤ 3 の間でトラフィックを中継するには、論理ハイブリッド インターフェイスを仮想ルータと仮想スイッチに関連付ける必要があります。仮想スイッチに関連付けることができるハイブリッド インターフェイスは 1 つだけです。一方、仮想ルータには複数のハイブリッド インターフェイスを関連付けることができます。

論理ハイブリッド インターフェイスには、シスコ冗長プロトコル(SFRP)を設定することもできます。SFRP では、指定した IP アドレスに対する冗長なゲートウェイとしてデバイスを機能させることができます。

ハイブリッド インターフェイスの [ICMP 有効応答(ICMP Enable Responses)] オプションを無効にしても、すべてのシナリオで ICMP 応答が抑止されるわけではありません。宛先 IP がハイブリッド インターフェイスの IP で、プロトコルが ICMP であるパケットをドロップするように、アクセス コントロール ポリシーにネットワークベースのルールを追加できます。

管理対象デバイスの [ローカル ルータ トラフィックの検閲(Inspect Local Router Traffic)] オプションを有効にした場合、パケットはホストに到達する前にドロップされるため、すべての応答を防ぐことができます。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。


注意    

デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

関連コンセプト
Snort® の再起動シナリオ
関連タスク
SFRP の設定
関連資料
デバイスの詳細設定
7000 および 8000 シリーズ デバイスおよび NGIPSv の MTU 範囲

論理ハイブリッドインターフェイスの追加

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

任意(Any)

Control

7000 & 8000 シリーズ

リーフのみ

Admin/Network Admin

注意    
7000 または 8000 シリーズ デバイス 設定の変更を展開すると Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびトラフィックの処理方法に応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。 でのルーテッド インターフェイス ペアの追加
手順
    ステップ 1   [デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。
    ステップ 2   ハイブリッド インターフェイスを追加するデバイスの横にある編集アイコン()をクリックします。

    マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

    ステップ 3   [追加(Add)] ドロップダウン メニューから、[論理インターフェイスの追加(Add Logical Interface)] を選択します。
    ステップ 4   [ハイブリッド(Hybrid)] をクリックして、ハイブリッド インターフェイス オプションを表示します。
    ステップ 5   [名前(Name)] フィールドに、インターフェイスの名前を入力します。
    ステップ 6   [仮想ルータ(Virtual Router)] ドロップダウン リストから既存の仮想ルータを選択し、[なし(None)] を選択するか、または [新規(New)] を選択して新しい仮想ルータを追加します。
    (注)     

    新しい仮想ルータを追加する場合は、ハイブリッド インターフェイスのセットアップが完了した後に、[デバイス管理(Device Management)] ページで、その仮想ルータを設定する必要があります。仮想ルータの追加を参照してください。

    ステップ 7   [仮想スイッチ(Virtual Switch)] ドロップダウン リストから既存の仮想スイッチを選択し、[なし(None)] を選択するか、または [新規(New)] を選択して新しい仮想スイッチを追加します。
    (注)     

    新しい仮想スイッチを追加する場合は、ハイブリッド インターフェイスのセットアップが完了した後に、[デバイス管理(Device Management)] ページで、その仮想スイッチを設定する必要があります。仮想スイッチの追加を参照してください。

    ステップ 8   ハイブリッド インターフェイスにトラフィックを処理させるには、[有効(Enabled)] チェックボックスをオンにします。
    (注)     

    このチェックボックスをオフにすると、インターフェイスは無効になり、管理上はダウンした状態になります。

    ステップ 9   [MTU] フィールドに、最大伝送ユニット(MTU)を入力して、パケットの最大許容サイズを指定します。 MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。
    注意       

    デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

    ステップ 10   [ICMP] の横にある [応答を有効にする(Enable Responses)] チェックボックスをオンにして、インターフェイスを ping や traceroute などの ICMP トラフィックに応答可能にします。
    ステップ 11   [IPv6 NDP] の横にある [ルータ アドバタイズメントを有効にする(Enable Router Advertisement)] チェックボックスをオンにして、インターフェイスがルータ アドバタイズメントを伝送できるようにします。このオプションを有効にできるのは、IPv6 アドレスを追加した場合のみです。
    ステップ 12   IP アドレスを追加するには、[追加(Add)] をクリックします。
    ステップ 13   [アドレス(Address)] フィールドに、IP アドレスとサブネット マスクを入力します。次の点に注意してください。

    • ネットワークおよびブロードキャスト アドレス、またはスタティック MAC アドレス 00:00:00:00:00:00 および FF:FF:FF:FF:FF:FF は追加できません。

    • サブネット マスクに関係なく、仮想ルータのインターフェイスに同じ IP アドレスを追加できません。

    ステップ 14   IPv6 アドレスがある場合、オプションで、[IPv6] フィールドの横にある [アドレスの自動設定(Address Autoconfiguration)] チェックボックスをオンにして、インターフェイスの IP アドレスを自動的に設定します。
    ステップ 15   [タイプ(Type)] には、[普通(Normal)] または [SFRP] を選択します。
    ステップ 16   [タイプ(Type)] に SFRP を選択した場合は、SFRPの説明に従いオプションを設定してください。
    ステップ 17   [OK] をクリックします。
    ステップ 18   [保存(Save)] をクリックします。
    次の作業

    関連コンセプト
    Snort® の再起動シナリオ
    関連資料
    7000 および 8000 シリーズ デバイスおよび NGIPSv の MTU 範囲

    論理ハイブリッド インターフェイスの削除

    スマート ライセンス

    従来のライセンス

    サポートされるデバイス

    サポートされるドメイン

    アクセス(Access)

    任意(Any)

    Control

    7000 & 8000 シリーズ

    リーフのみ

    Admin/Network Admin
    手順
      ステップ 1   [デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。
      ステップ 2   論理ハイブリッド インターフェイスを削除するデバイスの横にある編集アイコン()をクリックします。

      マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

      ステップ 3   削除する論理ハイブリッド インターフェイスの横にある削除アイコン()をクリックします。
      ステップ 4   入力を求められた場合、インターフェイスを削除することを確認します。
      次の作業

      このドキュメントは役に立ちましたか?

      Feedbackフィードバック

      シスコに問い合わせ