/Firepower Threat Defense デバイス は、自身のインターフェイス間を同じネットワークで接続します。トランスペアレント ファイアウォールはルーテッド ホップではないので、既存のネットワークに簡単に導入できます。

次の図に、外部デバイスが内部デバイスと同じサブネット上にある一般的なトランスペアレント ファイアウォール ネットワークを示します。内部ルータと各ホストは、外部ルータに直接接続されているように見えます。

各ブリッジ仮想インターフェイス（BVI）IP アドレスのほかに、別の /診断 スロット ポート インターフェイスを追加できます。このインターフェイスはどのブリッジ グループにも属さず、/Firepower Threat Defense デバイス への管理トラフィックのみを許可します。

トランスペアレント ファイアウォールで直接サポートされていない機能の場合は、アップストリーム ルータとダウンストリーム ルータが機能をサポートできるようにトラフィックの通過を許可することができます。たとえば、アクセス ルールを使用することによって、（サポートされていない DHCP リレー機能の代わりに）DHCP トラフィックを許可したり、IP/TV で作成されるようなマルチキャスト トラフィックを許可したりできます。また、トランスペアレント ファイアウォールを通過するルーティング プロトコル隣接関係を確立することもできます。つまり、OSPF、RIP、EIGRP、または BGP トラフィックをアクセス ルールに基づいて許可できます。同様に、HSRP や VRRP などのプロトコルは /Firepower Threat Defense デバイス を通過できます。

各ブリッジグループには、ブリッジ仮想インターフェイス（BVI）が含まれます。/Firepower Threat Defense デバイス は、ブリッジ グループから発信されるパケットの発信元アドレスとしてこの BVI IP アドレスを使用します。BVI IP アドレスはブリッジグループ メンバー インターフェイスと同じサブネット上になければなりません。BVI では、セカンダリ ネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。

トランスペアレント モード：インターフェイス ベースの各機能はブリッジ グループのメンバー インターフェイスだけを指定でき、これらについてのみ使用できます。

ルーテッド モード：BVI はブリッジグループと他のルーテッド インターフェイス間のゲートウェイとして機能します。ブリッジグループ/ルーテッド インターフェイス間でルーティングするには、BVI を指定する必要があります。一部のインターフェイスベース機能に代わり、BVI 自体が利用できます。

• DHCPv4 サーバ：BVI のみが DHCPv4 サーバの構成をサポートします。

• スタティック ルート：BVI のスタティック ルートを設定できます。メンバー インターフェイスのスタティック ルートは設定できません。

• syslog サーバと /Firepower Threat Defense デバイス 由来の他のトラフィック：syslog サーバ（または SNMP サーバ、/Firepower Threat Defense デバイス からトラフィックが送信される他のサービス）を指定する際、BVI またはメンバー インターフェイスのいずれも指定できます。

ルーテッド モードで BVI を指定しない場合、/Firepower Threat Defense デバイス はブリッジ グループのトラフィックをルーティングしません。この設定は、ブリッジグループのトランスペアレント ファイアウォール モードを複製します。クラスタリング、EtherChannel、冗長または メンバーインターフェイスが不要であれば、ルーテッド モードの使用を検討すべきです。ルーテッド モードでは、トランスペアレント モードと同様に 1 つ以上の分離されたブリッジグループを含めることができます。また、モードが混在する導入に関しては、通常のルーテッド インターフェイスも含めることができます。

ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックは /Firepower Threat Defense デバイス 内の他のブリッジ グループにはルーティングされません。また、トラフィックは外部ルータから /Firepower Threat Defense デバイス 内の別のブリッジ グループにルーティングされる前に、/Firepower Threat Defense デバイス から出る必要があります。ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。

1 つのブリッジグループにつき複数のインターフェイスを入れることができます。サポートされるブリッジグループとインターフェイスの正確な数については、ファイアウォール モードのガイドラインを参照してください。ブリッジグループごとに 2 つ以上のインターフェイスを使用する場合は、内部、外部への通信だけでなく、同一ネットワーク上の複数のセグメント間の通信を制御できます。たとえば、相互通信を希望しない内部セグメントが 3 つある場合、インターフェイスを別々のセグメントに置き、外部インターフェイスとのみ通信させることができます。または、インターフェイス間のアクセス ルールをカスタマイズし、希望通りのアクセスを設定できます。

次の図に、2 つのブリッジ グループを持つ、/Firepower Threat Defense デバイス に接続されている 2 つのネットワークを示します。

ブリッジグループ トラフィックは他のブリッジ グループまたはルーテッド インターフェイスにルーティングできます。ブリッジグループの BVI インターフェイスに名前を割り当てないことで、ブリッジグループのトラフィックを分離することもできます。BVI に名前を付けると、その BVI はその他の通常のインターフェイスと同様にルーティングに参加します。

ルーテッド モードでブリッジグループを使用する方法として、外部スイッチの代わりに /Firepower Threat Defense デバイス の予備インターフェイスを使用する方法があります。たとえば、デバイスの中には、通常のインターフェイスとして外部インターフェイスを持ち、その他すべてのインターフェイスが内部ブリッジグループに割り当てられているというデフォルト設定のものがあります。このブリッジグループは外部スイッチを置き換えることを目的としているので、すべてのブリッジグループ インターフェイスが自由に通信できるようにアクセス ポリシーを設定する必要があります。

• ユニキャストの IPv4 および IPv6 トラフィックがブリッジグループを通過するにはアクセル ルールが必要です。

• ARP は、アクセス ルールなしで両方向にブリッジグループを通過できます。ARP トラフィックは、ARP インスペクションによって制御できます。

• IPv6 ネイバー探索およびルータ送信要求パケットは、アクセス ルールを使用して通過させることができます。

• ブロードキャストおよびマルチキャスト トラフィックは、アクセス ルールを使用して通過させることができます。

アクセス ポリシーで許可されている場合、以下の宛先 MAC アドレスをブリッジグループで使用できます（レイヤ 3 トラフィックの許可を参照）。このリストにない MAC アドレスはドロップされます。

• FFFF.FFFF.FFFF の TRUE ブロードキャスト宛先 MAC アドレス

• 0100.5E00.0000 ～ 0100.5EFE.FFFF までの IPv4 マルチキャスト MAC アドレス

• 3333.0000.0000 ～ 3333.FFFF.FFFF までの IPv6 マルチキャスト MAC アドレス

• 0100.0CCC.CCCD の BPDU マルチキャスト アドレス

スパニング ツリー プロトコルの使用によるループを回避するため、BPDU はデフォルトで通過します。

ブリッジ グループ内のトラフィックでは、パケットの発信インターフェイスは、ルート ルックアップではなく宛先 MAC アドレス ルックアップを実行することによって決定されます。

ただし、次のトラフィック タイプにはルート ルックアップが必要です。

• /Firepower Threat Defense デバイス で発信されたトラフィック：たとえば、syslog サーバがリモート ネットワークにある場合は、/Firepower Threat Defense デバイス がそのサブネットに到達できるようにデフォルト/スタティック ルートを使用する必要があります。

• /Firepower Threat Defense デバイス から少なくとも 1 ホップ離れており、/Firepower Threat Defense デバイス が NAT を実行するトラフィック：/Firepower Threat Defense デバイス がブリッジ グループ インターフェイスに入ったパケットに対して NAT を実行し、そのパケットがリモート ネットワークからのものだった場合、そのネットワークの /Firepower Threat Defense デバイス のスタティック ルートを設定する必要があります。

  
  
  

  1. 内部ホスト 10.1.1.75 が Web サーバにパケットを送信すると、パケットの実際の送信元アドレス 10.1.1.75 はマッピング アドレス 209.165.201.15 に変更されます。

  2. サーバが応答すると、マッピング アドレス 209.165.201.15 に応答を送信し、/Firepower Threat Defense デバイス がそのパケットを受信します。これは、アップストリーム ルータには、/Firepower Threat Defense デバイス の管理 IP アドレスに転送されるスタティック ルートのこのマッピング ネットワークが含まれるためです。

  3. その後、/Firepower Threat Defense デバイス はマッピング アドレス 209.165.201.15 を変換して実際のアドレス 10.1.1.1.75 に戻します。実際のアドレスは直接接続されているため、/Firepower Threat Defense デバイス はそのアドレスを直接ホストに送信します。

  4. ホスト 192.168.1.2 の場合も、リターン トラフィックを除き、同じプロセスが発生します。/Firepower Threat Defense デバイス はルーティング テーブルでルートを検索し、192.168.1.0/24 の /Firepower Threat Defense デバイス スタティック ルートに基づいてパケットを 10.1.1.3 にあるダウンストリーム ルータに送信します。

• エンドポイントが /Firepower Threat Defense デバイス から少なくとも 1 ホップ離れている Voice over IP（VoIP）と DNS トラフィック：たとえば、あるブリッジグループ メンバー インターフェイスに CCM があり、別のブリッジグループ メンバー インターフェイスにルータと H.323 ゲートウェイがある場合、H.323 ゲートウェイであるルータの正常なコール完了のために、/Firepower Threat Defense デバイス にスタティック ルートを追加する必要があります。検査されるトラフィックに対して NAT を有効化すると、スタティック ルートは、パケットに埋め込まれている本当のホスト アドレスの出力インターフェイスを決定する必要があります。影響を受けるアプリケーションは次のとおりです。

  • DNS

  • H.323

  • RTSP

  • SIP

  • Skinny（SCCP）

  • SunRPC

  • TFTP

次の表に、トランスペアレント モードのブリッジ グループでサポートされない機能を示します。

次の表に、ルーテッド モードのブリッジ グループでサポートされない機能を示します。