Firepower インターフェイスについて
Firepower 4100/9300 シャーシは、物理インターフェイス、コンテナ インスタンス用の VLAN サブインターフェイス、および EtherChannel(ポートチャネル)インターフェイスをサポートします。EtherChannel のインターフェイスには、同じタイプのメンバ インターフェイスを最大で 16 個含めることができます。
シャーシ管理インターフェイス
シャーシ管理インターフェイスは、SSH または Firepower Chassis Manager で FXOS シャーシの管理に使用されます。このインターフェイスは [MGMT] として [Interfaces] タブの上部に表示されます。[Interfaces] タブでは、このインターフェイスの有効と無効を切り替えられるだけです。このインターフェイスは、アプリケーション管理の論理デバイスに割り当てる管理タイプのインターフェイスから分離されています。
このインターフェイスのパラメータを設定するには、CLI から設定する必要があります。管理 IP アドレスの変更も参照してください。このインターフェイスについての情報を FXOS CLI で表示するには、ローカル管理に接続し、管理ポートを表示します。
Firepower # connect local-mgmt
Firepower(local-mgmt) # show mgmt-port
物理ケーブルまたは SFP モジュールが取り外されている場合や mgmt-port shut コマンドが実行されている場合でも、シャーシ管理インターフェイスは稼働状態のままである点に注意してください。
インターフェイス タイプ
各インターフェイスは、次のいずれかのタイプになります。
-
Data:データ インターフェイスは論理デバイス間で共有できません。
-
Data-sharing:コンテナ インスタンスでのみサポートされ、これらのデータ インターフェイスは 1 つまたは複数の論理デバイス/コンテナ インスタンス(FTDのみ)で共有できます。各コンテナ インスタンスは、このインターフェイスを共有する他のすべてのインスタンスと、バックプレーン経由で通信できます。共有インターフェイスは、展開可能なコンテナ インスタンスの数に影響することがあります。共有インターフェイスの拡張性を参照してください。共有インターフェイスは、ブリッジ グループ メンバ インターフェイス(トランスペアレント モードまたはルーテッド モード)、インライン セット、パッシブ インターフェイス、またはフェールオーバー リンクではサポートされません。
-
Mgmt:管理インターフェイスを使用してアプリケーション インスタンスを管理します。外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介して、インターフェイスを共有する他の論理デバイスと通信することはできません。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。個別のシャーシ管理インターフェイスについては、シャーシ管理インターフェイスを参照してください。
FTD アプリケーションでは、物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイス間で共有されます。管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。これは、Firepower Management Center にデバイスを設定し、登録するために使用されます。独自のローカル認証、IP アドレス、およびスタティック ルーティングを使用します。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。
診断論理インターフェイスは残りのデータインターフェイスとともに、FMC の 画面で構成できます。診断インターフェイスの使用はオプションです。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
-
Firepower イベント:このインターフェイスは FTD デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、FTD CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント(Web イベントなど)から管理トラフィックを分類できます。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。Firepower イベント インターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介してインターフェイスを共有する他の倫理デバイスと通信することはできません。
-
Cluster:クラスタ化された論理デバイスに使用する特別なインターフェイス タイプです。このタイプは、ユニット間のクラスタ通信用にクラスタ制御リンクに自動的に割り当てられます。デフォルトでは、クラスタ制御リンクは 48 番のポートチャネル上に自動的に作成されます。
ハードウェア バイパス ペア
FTD の場合、Firepower 9300 および 4100 シリーズの特定のインターフェイス モジュールを使用して、ハードウェア バイパス 機能を有効にします。ハードウェア バイパスにより、停電中のインライン インターフェイス ペア間でトラフィックが流れ続けます。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。
ハードウェア バイパス 機能は、FTD アプリケーション内で設定されます。これらのインターフェイスを ハードウェア バイパス ペアとして使用する必要はありません。これらは、ASA と FTD アプリケーションの両方について通常のインターフェイスとして使用できます。ハードウェア バイパス 対応のインターフェイスをブレークアウト ポート用に設定することはできないため注意してください。ハードウェア バイパス 機能を使用するには、ポートを EtherChannel として設定しないでください。そうでない場合は、これらのインターフェイスを通常のインターフェイス モードの EtherChannel メンバとして含めることができます。
FTD は、以下のモデルの特定のネットワーク モジュールのインターフェイス ペアで ハードウェア バイパス をサポートします。
-
Firepower 9300
-
Firepower 4100 シリーズ
これらのモデルでサポートされている ハードウェア バイパス ネットワーク モジュールは以下のとおりです。
-
FirePOWER 6 ポート 1G SX FTW ネットワーク モジュール シングルワイド(FPR-NM-6X1SX-F)
-
FirePOWER 6 ポート 10G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10SR-F)
-
FirePOWER 6 ポート 10G LR FTW ネットワーク モジュール シングルワイド(FPR-NM-6X10LR-F)
-
FirePOWER 2 ポート 40G SR FTW ネットワーク モジュール シングルワイド(FPR-NM-2X40G-F)
-
Firepower 8 ポート 1G Copper FTW ネットワーク モジュール シングルワイド(FPR-NM-8X1G-F)
ハードウェア バイパス では以下のポート ペアのみ使用できます。
-
1 と 2
-
3 と 4
-
5 と 6
-
7 および 8
ジャンボ フレーム サポート
Firepower 4100/9300 シャーシは、デフォルトで有効になっているジャンボ フレームをサポートします。Firepower 4100/9300 シャーシにインストールされた特定の論理デバイスのジャンボ フレーム サポートを有効にするには、論理デバイスのインターフェイスに適切な MTU の設定を構成する必要があります。
Firepower 4100/9300 シャーシのアプリケーションでサポートされている最大 MTU は、9184 です。
共有インターフェイスの拡張性
コンテナ インスタンスはデータ共有タイプ インターフェイスを共有できます。この機能を使用すると、柔軟なネットワーキング展開をサポートするだけでなく、物理インターフェイスの使用率を一定に維持することができます。インターフェイスを共有する場合、シャーシは一意の MAC アドレスを使用して適切なインスタンスにトラフィックを転送します。ただし、共有インターフェイスではシャーシ内のフル メッシュ トポロジのニーズによって転送テーブルが大きくなることがあります(すべてのインスタンスが同じインターフェイスを共有しているその他すべてのインスタンスと通信できる必要があります)。そのため、共有できるインターフェイスの数には制限があります。
転送テーブルに加えて、シャーシは VLAN サブインターフェイスの転送用に VLAN グループ テーブルも保持します。親インターフェイスの数とその他の導入決定に応じて、最大 500 個の VLAN サブインターフェイスを作成できます。
共有インターフェイスの割り当てについては、次の制限事項を参照してください。
-
共有インターフェイスごとの最大インスタンス数:14。たとえば、Instance14 を介して Instance1 に Ethernet1/1 を割り当てることができます。
-
インスタンスごとの最大共有インターフェイス:10。たとえば、Ethernet1/1.10 を介して Instance1 に Ethernet1/1.1 を割り当てることができます。
共有インターフェイスのベスト プラクティス
転送テーブルに最適な拡張性を実現するには、できるだけ少ないインターフェイスを共有します。代わりに、1 つまたは複数の物理インターフェイスで最大 500 の VLAN サブインターフェイスを作成し、コンテナ インスタンス間で VLAN を分割できます。
インターフェイスを共有する場合は、拡張性の高いものから低いものの順に次の手順を実行します。
-
単一の親でサブインターフェイスを共有します。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに、その EtherChannel のサブインターフェイス(Port-Channel1.100、200、300)を共有します。単一の親のサブインターフェイスを共有する場合、物理/EtherChannel インターフェイスを共有するときの VLAN グループ テーブルの拡張性は転送テーブルよりも優れています。
-
親の間でサブインターフェイスを共有します。たとえば、Port-Channel1、Port-Channel2、Port-Channel3 の代わりに Port-Channel1.100、Port-Channel2.200、Port-Channel3.300 を共有します。
-
個々の親インターフェイス(物理または EtherChannel)の共有を制限します。
共有インターフェイスの使用例
インターフェイス共有および拡張性の例については、次の表を参照してください。以下のシナリオでは、すべてのインスタンス全体で共有する管理用に 1 つの物理/EtherChannel インターフェイスを使用し、ハイ アベイラビリティで使用するために専用サブインターフェイスを含む別の物理または EtherChannel インターフェイスを使用します。
3 つの SM-44 と Firepower 9300
次の表は、物理インターフェイスまたは Etherchannel のみを使用している 9300 の 3 つの SM-44 セキュリティ モジュールに適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。
各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。
専用インターフェイス |
共有インターフェイス |
インスタンス数 |
転送テーブルの使用率(%) |
---|---|---|---|
32:
|
0 |
4:
|
16 % |
30:
|
0 |
2:
|
14% |
14:
|
1 |
14:
|
46 % |
33:
|
3:
|
33:
|
98% |
33:
|
3:
|
34:
|
102 % 許可しない |
30:
|
1 |
6:
|
25 % |
30:
|
3:
|
6:
|
23 % |
30:
|
2 |
5:
|
28% |
30:
|
4:
|
5:
|
26 % |
24:
|
7 |
4:
|
44 % |
24:
|
14:
|
4:
|
41% |
次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 9300 上の 3 つの SM-44 セキュリティ モジュールに適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。
各 SM-44 モジュールは、最大 14 のインスタンスをサポートできます。インスタンスは、制限内に収める必要に応じてモジュール間で分割されます。
専用サブインターフェイス |
共有サブインターフェイス |
インスタンス数 |
転送テーブルの使用率(%) |
---|---|---|---|
168:
|
0 |
42:
|
33% |
224:
|
0 |
14:
|
27 % |
14:
|
1 |
14:
|
46 % |
33:
|
3:
|
33:
|
98% |
70:
|
1 |
14:
|
46 % |
165:
|
3:
|
33:
|
98% |
70:
|
2 |
14:
|
46 % |
165:
|
6:
|
33:
|
98% |
70:
|
10 |
14:
|
46 % |
165:
|
30:
|
33:
|
102 % 許可しない |
1 つの SM-44 を備えた Firepower 9300
次の表は、物理インターフェイスまたは Etherchannel のみを使用している 1 つの SM-44 を備えた Firepower 9300 に適用されます。サブインターフェイスがなければ、インターフェイスの最大数が制限されます。さらに、複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。
1 つの SM-44 を備えた Firepower Firepower 9300 は、最大 14 のインスタンスをサポートできます。
専用インターフェイス |
共有インターフェイス |
インスタンス数 |
転送テーブルの使用率(%) |
---|---|---|---|
32:
|
0 |
4:
|
16 % |
30:
|
0 |
2:
|
14% |
14:
|
1 |
14:
|
46 % |
14:
|
2:
|
14:
|
37 % |
32:
|
1 |
4:
|
21 % |
32:
|
2 |
4:
|
20 % |
32:
|
2 |
4:
|
25 % |
32:
|
4:
|
4:
|
24 % |
24:
|
8 |
3:
|
37 % |
10:
|
15 |
5:
|
99% |
10:
|
30:
|
5:
|
85 % |
12:
|
15 |
6:
|
127 % 許可しない |
次の表は、単一の親物理インターフェイス上でサブインターフェイスを使用している 1 つの SM-44 を備えた Firepower 9300 に適用されます。たとえば、同じ種類のインターフェイスをすべてバンドルするための大規模な EtherChannel を作成し、EtherChannel のサブインターフェイスを共有します。複数の物理インターフェイスを共有するには、複数のサブインターフェイスを共有するよりも多くの転送テーブル リソースを使用します。
1 つの SM-44 を備えた Firepower 9300 は、最大 14 のインスタンスをサポートできます。
専用サブインターフェイス |
共有サブインターフェイス |
インスタンス数 |
転送テーブルの使用率(%) |
---|---|---|---|
112:
|
0 |
14:
|
17% |
224:
|
0 |
14:
|
17% |
14:
|
1 |
14:
|
46 % |
14:
|
2:
|
14:
|
37 % |
112:
|
1 |
14:
|
46 % |
112:
|
2:
|
14:
|
37 % |
112:
|
2 |
14:
|
46 % |
112:
|
4:
|
14:
|
37 % |
140:
|
10 |
14:
|
46 % |
140:
|
20:
|
14:
|
37 % |
共有インターフェイス リソースの表示
転送テーブルおよび VLAN グループの使用状況を表示するには、scope fabric-interconnect で show detail コマンドを入力します。次に例を示します。
Firepower# scope fabric-interconnect
DFirepower /fabric-interconnect # show detail
Fabric Interconnect:
ID: A
Product Name: Cisco FPR9K-SUP
PID: FPR9K-SUP
VID: V02
Vendor: Cisco Systems, Inc.
Serial (SN): JAD104807YN
HW Revision: 0
Total Memory (MB): 16185
OOB IP Addr: 10.10.5.14
OOB Gateway: 10.10.5.1
OOB Netmask: 255.255.255.0
OOB IPv6 Address: ::
OOB IPv6 Gateway: ::
Prefix: 64
Operability: Operable
Thermal Status: Ok
Ingress VLAN Group Entry Count (Current/Max): 0/500
Switch Forwarding Path Entry Count (Current/Max): 16/1021
Current Task 1:
Current Task 2:
Current Task 3:
Firepower Threat Defense のインライン セット リンク ステートの伝達
インライン セットはワイヤ上のバンプのように動作し、2 つのインターフェイスを一緒にバインドし、既存のネットワークに組み込みます。この機能によって、隣接するネットワーク デバイスの設定がなくても、任意のネットワーク環境にシステムをインストールすることができます。インライン インターフェイスはすべてのトラフィックを無条件に受信しますが、これらのインターフェイスで受信されたすべてのトラフィックは、明示的にドロップされない限り、インライン セットの外部に再送信されます。
FTD アプリケーションでインライン セットを設定し、リンク ステート伝達を有効にすると、FTD はインライン セット メンバーシップを FXOS シャーシに送信します。リンク ステート伝達により、インライン セットのインターフェイスの 1 つが停止した場合、シャーシは、インライン インターフェイス ペアの 2 番目のインターフェイスも自動的に停止します。停止したインターフェイスが再び起動すると、2 番目のインターフェイスも自動的に起動します。つまり、1 つのインターフェイスのリンク ステートが変化すると、シャーシはその変化を検知し、その変化に合わせて他のインターフェイスのリンク ステートを更新します。ただし、シャーシからリンク ステートの変更が伝達されるまで最大 4 秒かかります。障害状態のネットワーク デバイスを避けてトラフィックを自動的に再ルーティングするようルータが設定された復元力の高いネットワーク環境では、リンク ステート伝播が特に有効です。