FTD インターフェイスについて
FTD には、データ インターフェイスや管理/診断インターフェイスが組み込まれています。
インターフェイス接続(物理的または仮想)のためにケーブルを接続するとき、インターフェイスを設定する必要があります。最小限の作業として、トラフィックを通過させることができるようにインターフェイスを指定して有効化します。インターフェイスがブリッジ グループのメンバーである場合、これで十分です。ブリッジ グループのメンバーでない場合、インターフェイスに IP アドレスを割り当てる必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。これは、スイッチのトランク ポートに接続する場合に役立ちます。パッシブ インターフェイスでは IP アドレスを設定しません。
インターフェイス リストに、利用可能なインターフェイスとそれぞれの名前、アドレス、モード、状態が示されます。インターフェイスのステータスは、インターフェイスのリストで直接オン/オフを変更できます。このリストは、設定に基づいたインターフェイス特性を示します。また、ブリッジ グループ インターフェイスの開く/閉じる矢印を使用すると、メンバー インターフェイスが表示されます。これはリストにも個別に表示されます。これらのインターフェイスが仮想インターフェイスおよびネットワーク アダプタにどのようにマッピングされるかについては、Firepower Threat Defense の物理インターフェイスへの VMware ネットワーク アダプタとインターフェイスのマッピング方法を参照してください。
次のトピックでは、Firepower Device Manager、および他のインターフェイス管理概念を通じたインターフェイス設定に関する制限事項について説明します。
インターフェイス モード
インターフェイスごとに、次のいずれかのモードを設定できます。
- ルーテッド
-
各レイヤ 3 ルーテッド インターフェイスに、固有のサブネット上の IP アドレスが必要です。通常、これらのインターフェイスをスイッチ、別のルータ上のポート、または ISP/WAN ゲートウェイに接続します。
- パッシブ
-
パッシブ インターフェイスは、スイッチ SPAN(スイッチド ポート アナライザ)またはミラー ポートを使用してネットワーク全体を流れるトラフィックをモニタします。SPAN またはミラー ポートでは、スイッチ上の他のポートからトラフィックをコピーできます。この機能により、ネットワーク トラフィックのフローに含まれなくても、ネットワークでのシステムの可視性が備わります。パッシブ展開で構成されたシステムでは、特定のアクション(トラフィックのブロッキングやシェーピングなど)を実行することができません。パッシブ インターフェイスはすべてのトラフィックを無条件で受信します。このインターフェイスで受信されたトラフィックは再送されません。
- BridgeGroupMember
-
ブリッジ グループは、FTD がルーティングではなくブリッジするインターフェイスのグループです。すべてのインターフェイスが同じネットワーク上にあります。ブリッジグループはブリッジ ネットワークに IP アドレスを持つブリッジ仮想インターフェイス(BVI)によって表されます。
BVI に名前を付けると、ルーテッド インターフェイスと BVI の間のルーティングを実行できます。この場合、BVI はメンバー インターフェイスとルーテッド インターフェイス間のゲートウェイとして機能します。BVI に名前を指定しない場合、ブリッジ グループ メンバーのインターフェイス上のトラフィックはブリッジ グループを離れることができません。通常、インターネットにメンバー インターフェイスをルーティングするため、インターフェイスに名前を付けます。
ブリッジ グループのルーテッド モードでの使い方の 1 つは、外部スイッチの代わりに Firepower Threat Defense デバイスで追加のインターフェイスを使用することです。ブリッジ グループのメンバー インターフェイスにエンドポイントを直接接続できます。また、BVI と同じネットワークにより多くのエンドポイントを追加するために、スイッチを接続できます。
管理/診断インターフェイス
管理ラベル付けされた物理ポート(または、Firepower Threat Defense Virtual の場合は Management0/0 仮想インターフェイス)には、2 つの別個のインターフェイスが実際に関連付けられています。
-
管理仮想インターフェイス:この IP アドレスは、システムの通信に使用されます。これはシステムがスマート ライセンスに使用し、データベースの更新情報を取得するためのアドレスです。これに対して管理セッションを開くことができます(Firepower Device Manager および CLI)。
で定義されている管理アドレスを設定する必要があります。 -
診断物理インターフェイス:物理管理ポートは、実際には診断という名前が付けられています。外部 syslog サーバに syslog メッセージを送信するためにこのインターフェイスを使用できます。診断物理インターフェイスの IP アドレスの設定は任意です。syslog で使用する場合にのみ、インターフェイスを設定します。このインターフェイスは、
ページに表示され、そこで設定できます。診断物理インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
(ハードウェア デバイス)管理/診断を設定する際、物理ポートをネットワークに接続しないことをお勧めします。代わりに、管理 IP アドレスのみを設定し、インターネットからの更新情報を得るためのゲートウェイとして、データ インターフェイスを使用するように設定します。次に、HTTPS/SSH トラフィック(デフォルトで HTTPS は有効)への内部インターフェイスを開き、内部 IP アドレスを使用して Firepower Device Manager を開きます(管理アクセス リストの設定を参照)。
Firepower Threat Defense Virtualの推奨設定は、Management0/0 を内部インターフェイスと同じネットワークに接続し、内部インターフェイスをゲートウェイとして使用することです。診断用に別のアドレスを設定しないでください。
個別の管理ネットワークの設定に関する推奨事項
(ハードウェア デバイス)分離した管理ネットワークを使用する場合は、物理管理/診断インターフェイスをスイッチまたはルータに有線で接続します。
Firepower Threat Defense Virtual では、Management0/0 を任意のデータ インターフェイスから個別のネットワークに接続します。デフォルトの IP アドレスを使用している場合、管理 IP アドレスまたは内部インターフェイス IP アドレスは同一サブネット上にあるため、いずれかを変更する必要があります。
その後、次の設定を行います。
-
を選択して、接続されたネットワークで IPv4 または IPv6 アドレス(または両方)を設定します。必要に応じて、ネットワーク上の他のエンドポイントに IPv4 アドレスを指定するように DHCP サーバを設定できます。管理ネットワーク上にインターネットへのルートを持つルータがある場合、それをゲートウェイとして使用します。なければ、データ インターフェイスをゲートウェイとして使用します。
-
インターフェイスを介して syslog サーバに syslog メッセージを送信しようとする場合にのみ、診断インターフェイスのアドレスを設定します(
)。そうでない場合は、診断用のアドレスは設定しないでください。必要ありません。設定する IP アドレスは、管理 IP アドレスと同じサブネット上に存在する必要があります。DHCP サーバ プールに設定することはできません。たとえば、デフォルト設定では 192.168.45.45 を管理アドレスとして使用し、192.168.45.46-192.168.45.254 を DHCP プールとして使用しているため、192.168.45.1 から 192.168.45.44 のアドレスを使用して診断アドレスを設定できます。
別の管理ネットワークのための管理/診断インターフェイス設定に関する制限事項
物理管理インターフェイスを配線する場合、または Firepower Threat Defense Virtual の場合は、Management0/0 を分離したネットワークに接続し、次の制限に従ってください。
-
管理ネットワークで DHCP サーバを設定する場合、管理インターフェイス(
)で設定します。診断(物理)インターフェイスで DHCP サーバを設定することはできません。 -
管理ネットワークに別の DHCP サーバがある場合、それを無効にしないと管理インターフェイス上でその DHCP サーバが実行されます。一般に、特定のサブネットで複数の DHCP サーバを設定することはできません。
-
管理および診断の両方にアドレスを設定する場合、それらが同じサブネット上にあることを確認します。
-
(ハードウェア デバイスのみ)診断の IP アドレスを設定する場合であっても、データ インターフェイスを管理ゲートウェイとして使用できます。しかし、診断インターフェイスはデータ インターフェイスをゲートウェイとして使用することはありません。診断インターフェイスから他のネットワークへのパスが必要な場合、管理ネットワーク上の別のルータが、診断 IP アドレスから送信されるトラフィックをルーティングする必要があります。必要に応じて、診断インターフェイスにスタティック ルートを設定します( を選択)。
セキュリティ ゾーン
各インターフェイスは単一のセキュリティ ゾーンに割り当てることができます。ゾーンに基づいてセキュリティ ポリシーを適用されます。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。
各ゾーンは、ルーテッドまたはパッシブのいずれかのモードになっています。これはインターフェイスのモードに直接関係します。ルーテッド インターフェイスとパッシブ インターフェイスは、同じモードのセキュリティ ゾーンにのみ追加できます。
ブリッジ グループでは、メンバー インターフェイスをゾーンに追加できますが、ブリッジ仮想インターフェイス(BVI)を追加することはできません。
ゾーンには診断/管理インターフェイスを含めません。ゾーンは、データ インターフェイスにのみ適用されます。
セキュリティ ゾーンは [オブジェクト(Objects)] ページで作成できます。
IPv6 アドレス指定
次の 2 種類の IPv6 のユニキャスト アドレスを設定できます。
-
グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。ブリッジ グループの場合、各メンバーインターフェイスではなくブリッジ仮想インターフェイス(BVI)上でグローバル アドレスを設定します。次のいずれかをグローバル アドレスとして指定することはできません。
-
内部で予約済みの IPv6 アドレス:fd00::/56 (from=fd00:: to= fd00:0000:0000:00ff:ffff:ffff:ffff:ffff)
-
未指定のアドレス(::/128 など)
-
ループバック アドレス(::1/128)
-
マルチキャスト アドレス(ff00::/8)
-
リンクローカル アドレス(fe80::/10)
-
-
リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。ブリッジ グループでは、BVI で IPv6 を有効にすると、自動的に各ブリッジ グループのメンバー インターフェイスのリンクローカル アドレスが設定されます。リンクローカル アドレスがセグメントでのみ使用可能であり、インターフェイス MAC アドレスに接続されているため、各インターフェイスは独自のアドレスを持つ必要があります。
最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX を有効にするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションが無効にされ、Auto-MDI/MDIX も無効になります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常に有効になり、無効にできません。