この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Firepower 4100/9300 シャーシ は、EtherChannel(ポートチャネル)のインターフェイスだけでなく、単一のインターフェイスもサポートします。EtherChannel のインターフェイスには、同じタイプのメンバ インターフェイスを最大で 16 個含めることができます。
Firepower Chassis Manager の [インターフェイス(Interfaces)] ページから、シャーシにインストールされているインターフェイスのステータスの表示、インターフェイスのプロパティの編集、インターフェイスの有効化または無効化、ポート チャネルの作成を行えます。
[インターフェイス(Interfaces)] ページは、2 つのセクションで構成されています。
上部のセクションには、Firepower シャーシにインストールされているインターフェイスの視覚的表現が表示されます。インターフェイスのいずれかにマウスのカーソルを合わせると、そのインターフェイスの詳細情報が表示されます。
インターフェイスは、それぞれの現在のステータスを示すために色分けされています。
緑色:そのインターフェイスはインストールされており、有効になっています。
ダーク グレイ:そのインターフェイスはインストールされていますが、無効になっています。
赤色:インターフェイスの動作状態に問題があります。
淡い灰色:インターフェイスがインストールされていません。
(注) | ポート チャネルのポートとして機能するインターフェイスは、このリストに表示されません。 |
下部のセクションには、[All Interfaces] と [ハードウェア バイパス] の 2 つのタブが含まれています。[All Interfaces] タブ:インターフェイスごとに、インターフェイスを有効または無効にできます。[編集(Edit)] をクリックすると、インターフェイスのプロパティ(速度やインターフェイス タイプなど)を編集することもできます。[ハードウェア バイパス] については、ハードウェア バイパス ペアを参照してください。
(注) | ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[動作状態(Operation State)] を [失敗(Failed)] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。 |
各インターフェイスは、次のいずれかのタイプになります。
Data(デフォルト):データ インターフェイスは論理デバイス間で共有できません。
Management:管理インターフェイスは論理デバイス間で共有できます。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。
Firepower Threat Defense アプリケーションでは、物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイス間で共有されます。管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。Firepower Management Centerにデバイスを設定し、登録するために使用されます。別の SSH サーバで動作し、独自のローカル認証、IP アドレス、およびスタティック ルーティングを使用します。configure network コマンドを使用して CLI で設定を構成でき、Management Center の 領域から IP アドレスを変更することもできます。
診断論理インターフェイスは残りのデータインターフェイスとともに、Management Center の 画面で構成できます。診断インターフェイスの使用はオプションです。診断インターフェイスとデータ インターフェイスでは、LDAP または RADIUS 外部認証を許可できます。データ インターフェイスで SSH アクセスを許可しない場合は、たとえば、SSH アクセスの診断インターフェイスを構成することもできます。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
Firepower-eventing:このインターフェイスは Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center コマンド リファレンスの configure network コマンドを参照してください。
Cluster:クラスタ化された論理デバイスに使用する特別なインターフェイス タイプです。このタイプのインターフェイスは、ユニット クラスタ間通信用のクラスタ制御リンクに自動的に割り当てられます。デフォルトでは、クラスタ制御リンクはポートチャネル 48 に自動的に作成されます。
Firepower Threat Defense では、Firepower 9300 および 4100 シリーズの特定のインターフェイス モジュールを使用することで、ハードウェア バイパス 機能を有効にできます。ハードウェア バイパス は、停電時にトラフィックがインライン インターフェイス ペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。
ハードウェア バイパス 機能は、ハードウェア バイパス アプリケーション内で設定されます。これらのインターフェイスを ハードウェア バイパス ペアとして使用する必要はありません。これらは、ASA と Firepower Threat Defense アプリケーションの両方について通常のインターフェイスとして使用できます。ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできないため注意してください。ハードウェア バイパス 機能を使用するには、ポートを EtherChannel として設定しないでください。そうでない場合は、これらのインターフェイスを通常のインターフェイス モードの EtherChannel メンバとして含めることができます。
Firepower Threat Defense は、以下のモデルの特定のネットワーク モジュールのインターフェイス ペアで ハードウェア バイパス をサポートします。
これらのモデルでサポートされている ハードウェア バイパス ネットワーク モジュールは以下のとおりです。
Firepower 6 ポート 1G SX FTW ネットワーク モジュール シングルワイド(FPR-NM-6X1SX-F)
Firepower 6 ポート 10G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10SR-F)
Firepower 6 ポート 10G LR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10LR-F)
Firepower 2 ポート 40G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-2X40G-F)
Firepower 8 ポート 1G Copper FTW ネットワーク モジュール シングルワイド(FPR-NM-8X1G-F)
ハードウェア バイパス では以下のポート ペアのみ使用できます。
Firepower 4100/9300 シャーシは、デフォルトで有効になっているジャンボ フレームをサポートします。Firepower 4100/9300 シャーシにインストールされた特定の論理デバイスのジャンボ フレーム サポートを有効にするには、論理デバイスのインターフェイスに適切な MTU の設定を構成する必要があります。
Firepower 4100/9300 シャーシのアプリケーションでサポートされている最大 MTU は、9184 です。
ステップ 1 | [インターフェイス(Interfaces)] を選択して、[インターフェイス(Interfaces)] ページを開きます。
[インターフェイス(Interface)] ページには、現在インストールされているインターフェイスの視覚的表現がページの上部に表示され、下の表にはインストールされているインターフェイスのリストが示されます。 |
ステップ 2 | 変更を設定する管理状態のインターフェイスごとに、次のいずれかの手順を実行します。
|
EtherChannel(別名ポートチャネル)は、同じタイプの最大 16 のメンバ インターフェイスを含めることができます。
Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [一時停止(Suspended)] 状態になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [一時停止(Suspended)] 状態になります。
EtherChannel がスタンドアロン論理デバイスのデータまたは管理ポートとして追加された
EtherChannell がクラスタの一部である論理デバイスの管理または CCL ポートとして追加された
EtherChannell がデータがクラスタの一部である論理デバイスのデータ ポートとして追加され、また少なくとも 1 つのセキュリティ モジュールがクラスタに参加している
EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [一時停止(Suspended)] 状態に戻ります。
Firepower 4100/9300 シャーシは、Active Link Aggregation Control Protocol(LACP)モードの EtherChannel のみをサポートします。最適な互換性を得るために、接続スイッチ ポートをアクティブ モードに設定することを推奨します。
ステップ 1 | [インターフェイス(Interfaces)] を選択して、[インターフェイス(Interfaces)] ページを開きます。
[インターフェイス(Interface)] ページには、現在インストールされているインターフェイスの視覚的表現がページの上部に表示され、下の表にはインストールされているインターフェイスのリストが示されます。 | ||
ステップ 2 | インターフェイス テーブルの上にある [ポート チャネルの追加(Add Port Channel)] をクリックし、[ポート チャネルの追加(Add Port Channel)] ダイアログボックスを開きます。 | ||
ステップ 3 | [ポート チャネル ID(Port Channel ID)] フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。
ポートチャネル 48 は、クラスタ化された論理デバイスを展開するときのクラスタ制御リンクとして予約されています。クラスタ制御リンクにポートチャネル 48 を使用しない場合は、別の ID で EtherChannel を設定し、インターフェイスにクラスタ タイプを選択できます。クラスタ EtherChannel にはインターフェイスを割り当てないでください。 | ||
ステップ 4 | ポート チャネルを有効にするには、[有効化(Enable)] チェックボックスをオンにします。ポート チャネルを無効にするには、[有効化(Enable)] チェックボックスをオフにします。 | ||
ステップ 5 | [タイプ(Type)] ドロップダウン リストで、ポート チャネルのタイプを [データ(Data)]、[管理(Mgmt)]、または [クラスタ(Cluster)] から選択します。 | ||
ステップ 6 | 選択していない場合は、[インターフェイス(Interfaces)] タブをクリックします。 | ||
ステップ 7 | インターフェイスをポート チャネルに追加するには、[使用可能なインターフェイス(Available Interface)] でインターフェイスを選択し、[インターフェイスの追加(Add Interface)] をクリックして、そのインターフェイスを [メンバ ID(Member ID)] リストに移動します。同じタイプで同じ速度のインターフェイスを最大 16 個追加できます。
| ||
ステップ 8 | ポート チャネルからインターフェイスを削除するには、[メンバ ID(Member ID)] リストのインターフェイスの右側にある [削除(Delete)] ボタンをクリックします。 | ||
ステップ 9 | [設定(Settings)] タブをクリックします。 | ||
ステップ 10 | [速度(Speed)] ドロップダウンリストから、ポート チャネルの速度を選択します。 | ||
ステップ 11 | [OK] をクリックします。 |
Firepower 4100/9300 シャーシで使用するブレークアウト ケーブルを設定するには、次の手順に従います。ブレークアウト ケーブルを使用すると、1 つの 40 Gbps ポートの代わりに 4 つの 10 Gbps ポートを実装できます。
ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできません。
ステップ 1 | [インターフェイス(Interfaces)] を選択して、[インターフェイス(Interfaces)] ページを開きます。
[インターフェイス(Interface)] ページには、現在インストールされているインターフェイスの視覚的表現がページの上部に表示され、下の表にはインストールされているインターフェイスのリストが示されます。 ブレークアウト ケーブルに対応できるインターフェイスが、現在そのように設定されていない場合は、そのインターフェイスの行に [ブレークアウト ポート(Breakout Port)] アイコンが表示されます。ブレークアウト ケーブルを使用するように設定されているインターフェイスの場合、個々のブレークアウト インターフェイスが別々にリストされます(例:イーサネット 2/1/1、2/1/2、2/1/3、2/1/4)。 |
ステップ 2 | 1 つの 40 Gbps インターフェイスを 4 つの 10 Gbps インターフェイスに変換するには、次の手順を実行します。 |
ステップ 3 | 4 つの 10 Gbps ブレークアウト インターフェイスを 1 つの 40 Gbps インターフェイスに再度変換するには、次の手順を実行します。 |