この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firepower 4100/9300 シャーシ は単一のインターフェイスだけでなく、EtherChannel(ポートチャネル)インターフェイスもサポートします。EtherChannel インターフェイスには、同じタイプのメンバー インターフェイスを最大 16 個含めることができます。
Firepower Chassis Manager の [Interfaces] ページでは、シャーシにインストールされたインターフェイスのステータスの表示、インターフェイス プロパティの編集、インターフェイスの有効化と無効化、およびポート チャネルの作成を行うことができます。
[Interfaces] ページは、次の 2 つのセクションから構成されています。
上部のセクションには、Firepower シャーシにインストールされているインターフェイスが視覚的に表示されます。いずれかのインターフェイスにカーソルを合わせると、そのインターフェイスに関する追加情報が表示されます。
インターフェイスは現在のステータスを示すために色分けされています。
緑色:インターフェイスはインストール済みで、有効になっています。
濃い灰色:インターフェイスはインストール済みですが、無効になっています。
赤色:インターフェイスの動作状態に問題があります。
淡い灰色:インターフェイスがインストールされていません。
(注) | ポート チャネルのポートとして機能するインターフェイスは、このリストに表示されません。 |
下部のセクションには、[All Interfaces] と [ハードウェア バイパス] の 2 つのタブが含まれています。[All Interfaces] タブ:インターフェイスごとに、インターフェイスを有効または無効にできます。[Edit] をクリックすると、インターフェイスのプロパティ(速度やインターフェイス タイプなど)を編集することもできます。[ハードウェア バイパス] については、ハードウェア バイパス ペアを参照してください。
(注) | ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[Operation State] を [Failed] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。 |
各インターフェイスは、次のいずれかのタイプになります。
Data(デフォルト):データ インターフェイスは論理デバイス間で共有できません。
Management:管理インターフェイスは論理デバイス間で共有できます。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。
Firepower Threat Defense アプリケーションでは、物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイス間で共有されます。管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。Firepower Management Centerにデバイスを設定し、登録するために使用されます。別の SSH サーバで動作し、独自のローカル認証、IP アドレス、およびスタティック ルーティングを使用します。configure network コマンドを使用して CLI で設定を構成でき、Management Center の 領域から IP アドレスを変更することもできます。
診断論理インターフェイスは残りのデータインターフェイスとともに、Management Center の 画面で構成できます。診断インターフェイスの使用はオプションです。診断インターフェイスとデータ インターフェイスでは、LDAP または RADIUS 外部認証を許可できます。データ インターフェイスで SSH アクセスを許可しない場合は、たとえば、SSH アクセスの診断インターフェイスを構成することもできます。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
Firepower-eventing:このインターフェイスは Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center コマンド リファレンスの configure network コマンドを参照してください。
Cluster:クラスタ化された論理デバイスに使用する特別なインターフェイス タイプです。このタイプは、ユニット間のクラスタ通信用にクラスタ制御リンクに自動的に割り当てられます。デフォルトでは、クラスタ制御リンクは 48 番のポートチャネル上に自動的に作成されます。
Firepower Threat Defense では、FirePOWER 9300 および 4100 シリーズの特定のインターフェイス モジュールを使用することで、ハードウェア バイパス 機能を有効にできます。ハードウェア バイパス は、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。
ハードウェア バイパス 機能は、ハードウェア バイパス アプリケーション内で設定されます。これらのインターフェイスを ハードウェア バイパス ペアとして使用する必要はありません。これらは、ASA と Firepower Threat Defense アプリケーションの両方について通常のインターフェイスとして使用できます。ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできないため注意してください。ハードウェア バイパス 機能を使用するには、ポートを EtherChannel として設定しないでください。そうでない場合は、これらのインターフェイスを通常のインターフェイス モードの EtherChannel メンバとして含めることができます。
Firepower Threat Defense は、以下のモデルの特定のネットワーク モジュールのインターフェイス ペアで ハードウェア バイパス をサポートします。
これらのモデルでサポートされている ハードウェア バイパス ネットワーク モジュールは以下のとおりです。
FirePOWER 6 ポート 1G SX FTW ネットワーク モジュール シングルワイド(FPR-NM-6X1SX-F)
FirePOWER 6 ポート 10G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10SR-F)
FirePOWER 6 ポート 10G LR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10LR-F)
FirePOWER 2 ポート 40G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-2X40G-F)
Firepower 8 ポート 1G Copper FTW ネットワーク モジュール シングルワイド(FPR-NM-8X1G-F)
ハードウェア バイパス では以下のポート ペアのみ使用できます。
Firepower 4100/9300 シャーシは、デフォルトで有効になっているジャンボ フレームをサポートします。Firepower 4100/9300 シャーシにインストールされた特定の論理デバイスのジャンボ フレーム サポートを有効にするには、論理デバイスのインターフェイスに適切な MTU の設定を構成する必要があります。
Firepower 4100/9300 シャーシのアプリケーションでサポートされている最大 MTU は、9184 です。
ステップ 1 | [Interfaces] を選択して [Interfaces] ページを開きます。
[Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。 |
ステップ 2 | 管理状態を変更するインターフェイスごとに、次のいずれかの手順を実行します。
|
EtherChannel(別名ポートチャネル)は、同じタイプの最大 16 のメンバ インターフェイスを含めることができます。
Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [Suspended] 状態になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [Suspended] 状態になります。
EtherChannel がスタンドアロン論理デバイスのデータまたは管理ポートとして追加された
EtherChannel がクラスタの一部である論理デバイスの管理または CCL ポートとして追加された
EtherChannel がデータがクラスタの一部である論理デバイスのデータ ポートとして追加され、また少なくとも 1 つのセキュリティ モジュールがクラスタに参加している
EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [Suspended] 状態に戻ります。
Firepower 4100/9300 シャーシは、Active Link Aggregation Control Protocol(LACP)モードの EtherChannel のみをサポートします。最適な互換性を得るために、接続スイッチ ポートをアクティブ モードに設定することを推奨します。
ステップ 1 | [Interfaces] を選択して [Interfaces] ページを開きます。
[Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。 | ||
ステップ 2 | インターフェイス テーブルの上にある [Add Port Channel]をクリックして、[Add Port Channel]ダイアログボックスを開きます。 | ||
ステップ 3 | [Port Channel ID]フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。
クラスタ化した論理デバイスを導入すると、ポートチャネル 48 はクラスタ制御リンク用に予約されます。クラスタ制御リンクにポートチャネル 48 を使用しない場合は、別の ID で EtherChannel を設定し、インターフェイスにクラスタ タイプを選択できます。インターフェイスをクラスタ EtherChannel に割り当てないでください。 | ||
ステップ 4 | ポート チャネルを有効化するには、[Enable]チェックボックスをオンにします。ポート チャネルをディセーブルにするには、[Enable]チェックボックスをオフにします。 | ||
ステップ 5 | [Type]ドロップダウン リストで、[Data]、[Mgmt]、[Cluster]からポート チャネルのタイプを選択します。 | ||
ステップ 6 | 選択しない場合は [Interfaces]タブをクリックします。 | ||
ステップ 7 | ポート チャネルにインターフェイスを追加するには、[Available Interface]リストでインターフェイスを選択し、[Add Interface]をクリックしてそのインターフェイスを [Member ID] リストに移動します。同じタイプと速度の最大 16 のインターフェイスを追加できます。
| ||
ステップ 8 | ポート チャネルからインターフェイスを削除するには、[Member ID]リストでそのインターフェイスの右側にある[Delete]ボタンをクリックします。 | ||
ステップ 9 | [Settings] タブをクリックします。 | ||
ステップ 10 | [Speed]ドロップダウン リストから、ポート チャネルの速度を選択します。 | ||
ステップ 11 | [OK] をクリックします。 |
Firepower 4100/9300 シャーシで使用するブレークアウト ケーブルを設定するには、次の手順に従います。ブレークアウト ケーブルを使用すれば、1 つの 40 Gbps ポートの代わりに 4 つの 10 Gbps ポートを利用できます。
ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできません。
ステップ 1 | [Interfaces] を選択して [Interfaces] ページを開きます。
[Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。 ブレークアウト ケーブルに対応できるインターフェイスが、現在そのように設定されていない場合は、そのインターフェイスの行に [Breakout Port] アイコンが表示されます。ブレークアウト ケーブルを使用するように設定されているインターフェイスの場合、個々のブレークアウト インターフェイスが別々にリストされます(例:イーサネット 2/1/1、2/1/2、2/1/3、2/1/4)。 |
ステップ 2 | 1 つの 40 Gbps インターフェイスを 4 つの 10 Gbpsインターフェイスに変換するには、次の手順を実行します。 |
ステップ 3 | 4 つの 10 Gbps ブレークアウト インターフェイスを 1 つの 40 Gbps インターフェイスに再度変換するには、次の手順を実行します。 |