この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firepower 4100/9300 シャーシ は、EtherChannel(ポートチャネル)のインターフェイスだけでなく、単一のインターフェイスもサポートします。EtherChannel のインターフェイスには、同じタイプのメンバ インターフェイスを最大で 16 個含めることができます。
各インターフェイスは、次のいずれかのタイプになります。
Data(デフォルト):データ インターフェイスは論理デバイス間で共有できません。
Management:管理インターフェイスは論理デバイス間で共有できます。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。
Firepower Threat Defense アプリケーションでは、物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイス間で共有されます。管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。Firepower Management Centerにデバイスを設定し、登録するために使用されます。別の SSH サーバで動作し、独自のローカル認証、IP アドレス、およびスタティック ルーティングを使用します。configure network コマンドを使用して CLI で設定を構成でき、Management Center の 領域から IP アドレスを変更することもできます。
診断論理インターフェイスは残りのデータインターフェイスとともに、Management Center の 画面で構成できます。診断インターフェイスの使用はオプションです。診断インターフェイスとデータ インターフェイスでは、LDAP または RADIUS 外部認証を許可できます。データ インターフェイスで SSH アクセスを許可しない場合は、たとえば、SSH アクセスの診断インターフェイスを構成することもできます。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
Firepower-eventing:このインターフェイスは Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center コマンド リファレンスの configure network コマンドを参照してください。
Cluster:クラスタ化された論理デバイスに使用する特別なインターフェイス タイプです。このタイプのインターフェイスは、ユニット クラスタ間通信用のクラスタ制御リンクに自動的に割り当てられます。デフォルトでは、クラスタ制御リンクはポートチャネル 48 に自動的に作成されます。
Firepower Threat Defense では、Firepower 9300 および 4100 シリーズの特定のインターフェイス モジュールを使用することで、ハードウェア バイパス 機能を有効にできます。ハードウェア バイパス は、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。
ハードウェア バイパス 機能は、ハードウェア バイパス アプリケーション内で設定されます。これらのインターフェイスを ハードウェア バイパス ペアとして使用する必要はありません。これらは、ASA と Firepower Threat Defense アプリケーションの両方について通常のインターフェイスとして使用できます。ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできないため注意してください。ハードウェア バイパス 機能を使用するには、ポートを EtherChannel として設定しないでください。そうでない場合は、これらのインターフェイスを通常のインターフェイス モードの EtherChannel メンバとして含めることができます。
Firepower Threat Defense は、以下のモデルの特定のネットワーク モジュールのインターフェイス ペアで ハードウェア バイパス をサポートします。
これらのモデルでサポートされている ハードウェア バイパス ネットワーク モジュールは以下のとおりです。
Firepower 6 ポート 1G SX FTW ネットワーク モジュール シングルワイド(FPR-NM-6X1SX-F)
Firepower 6 ポート 10G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10SR-F)
Firepower 6 ポート 10G LR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10LR-F)
Firepower 2 ポート 40G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-2X40G-F)
Firepower 8 ポート 1G Copper FTW ネットワーク モジュール シングルワイド(FPR-NM-8X1G-F)
ハードウェア バイパス では以下のポート ペアのみ使用できます。
Firepower 4100/9300 シャーシは、デフォルトで有効になっているジャンボ フレームをサポートします。Firepower 4100/9300 シャーシにインストールされた特定の論理デバイスのジャンボ フレーム サポートを有効にするには、論理デバイスのインターフェイスに適切な MTU の設定を構成する必要があります。
Firepower 4100/9300 シャーシのアプリケーションでサポートされている最大 MTU は、9184 です。
EtherChannel(別名ポートチャネル)は、同じタイプの最大 16 のメンバ インターフェイスを含めることができます。
Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [一時停止(Suspended)] 状態になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [一時停止(Suspended)] 状態になります。
EtherChannel がスタンドアロン論理デバイスのデータまたは管理ポートとして追加された
EtherChannell がクラスタの一部である論理デバイスの管理または CCL ポートとして追加された
EtherChannell がデータがクラスタの一部である論理デバイスのデータ ポートとして追加され、また少なくとも 1 つのセキュリティ モジュールがクラスタに参加している
EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [一時停止(Suspended)] 状態に戻ります。
Firepower 4100/9300 シャーシは、Active Link Aggregation Control Protocol(LACP)モードの EtherChannel のみをサポートします。最適な互換性を得るために、接続スイッチ ポートをアクティブ モードに設定することを推奨します。
ステップ 1 | インターフェイス モードに入ります。
scope fabric a |
ステップ 2 | ポートチャネルを作成します。
enable |
ステップ 3 | メンバ インターフェイスを割り当てます。
createmember-port interface_id 例: Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/1 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/2 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/3 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/4 Firepower /eth-uplink/fabric/port-channel/member-port* # exit |
ステップ 4 | (任意)インターフェイス タイプを設定します。
setport-type {data | mgmt | cluster} 例: Firepower /eth-uplink/fabric/port-channel # set port-type mgmt data キーワードがデフォルトのタイプです。このポートチャネルをデフォルトではなくクラスタ制御リンクとして使用する場合以外は、cluster キーワードを選択しないでください。 |
ステップ 5 | (任意)ポートチャネルのすべてのメンバのインターフェイス速度を設定します。
setspeed {10gbps | 1gbps} 例: Firepower /eth-uplink/fabric/port-channel* # set speed 1gbps |
ステップ 6 | 設定を確定します。 commit-buffer |
Firepower 4100/9300 シャーシで使用するブレークアウト ケーブルを設定するには、次の手順に従います。ブレークアウト ケーブルを使用すると、1 つの 40 Gbps ポートの代わりに 4 つの 10 Gbps ポートを実装できます。
ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできません。
シャーシにインストールされているインターフェイスのステータスを表示するのには、次の手順に従います。
Firepower /eth-uplink/fabric # show interface Interface: Port Name Port Type Admin State Oper State State Reason --------------- ------------------ ----------- ---------------- ------------ Ethernet1/1 Mgmt Enabled Up Ethernet1/2 Data Enabled Link Down Link failure or not-connected Ethernet1/3 Data Enabled Up Ethernet1/4 Data Enabled Sfp Not Present Unknown Ethernet1/6 Data Enabled Sfp Not Present Unknown Ethernet1/7 Data Enabled Sfp Not Present Unknown Ethernet1/8 Data Disabled Sfp Not Present Unknown Ethernet2/1 Data Enabled Up Ethernet2/2 Data Enabled Up Ethernet2/4 Data Enabled Up Ethernet2/5 Data Enabled Up Ethernet2/6 Data Enabled Up Ethernet3/2 Data Enabled Up Ethernet3/4 Data Enabled Up