Cisco Firepower Threat Defense Virtual for VMware Deployment
Firepower Threat Defense Virtual の VMware 機能のサポート
Firepower Threat Defense Virtual と VMware の前提条件
vSphere 標準スイッチのセキュリティ ポリシー設定の変更
Firepower Threat Defense Virtual と VMware のガイドライン
Firepower Threat Defense Virtual と VMware の制限事項および既知の問題点
VMware vSphere Web クライアントまたは vSphere ハイパーバイザを使用した Firepower Threat Defense Virtual の展開
CLI を使用した Firepower Threat Defense Virtual デバイスの設定
Firepower Threat Defense Virtual の Firepower Management Center への登録
VMware を使用して Cisco Firepower Threat Defense Virtual を導入できます。システム要件およびハイパーバイザのサポートについては『 Cisco Firepower Compatibility Guide 』を参照してください。
次の表に、Firepower Threat Defense Virtual の VMware 機能のサポートを示します。
共有ストレージを使用します。vMotion に関するガイドラインを参照してください。 |
|||
Firepower Threat Defense Virtual VM の障害に対して Firepower のフェールオーバー機能を使用します。 |
|||
Firepower Threat Defense Virtual VM の障害に対して Firepower のフェールオーバー機能を使用します。 |
|||
Firepower Threat Defense Virtual は、VMware vSphere Web クライアントまたは ESXi 上の vSphere スタンドアロン クライアントを使用して展開できます。システム要件については、『 Cisco Firepower Threat Defense Compatibility 』を参照してください。
仮想アプライアンスは、e1000(1 Gbit/s)インターフェイスをデフォルトで使用します。デフォルトのインターフェイスを vmxnet3 または ixgbe(10 Gbit/s)インターフェイスに置き換えることができます。
vSphere 標準スイッチの場合、レイヤ 2 セキュリティ ポリシーには、無差別モード、MAC アドレスの変更、不正送信という 3 つの要素があります。Firepower Threat Defense Virtual は無差別モードを使用して稼働します。また、Firepower Threat Defense Virtual の高可用性は、正常に稼働するために MAC アドレスをアクティブとスタンバイの間で切り替えるかどうかに依存します。
デフォルトの設定は、Firepower Threat Defense Virtual の適切な動作をブロックします。以下の必須の設定を参照してください。
1. vSphere Web クライアントで、ホストに移動します。
2. [管理(Manage)] タブで、[ネットワーク(Networking)] をクリックし、[仮想スイッチ(Virtual switches)] を選択します。
3. リストから標準スイッチを選択し、[設定の編集(Edit settings)] をクリックします。
4. [セキュリティ(Security)] を選択し、現在の設定を表示します。
5. 標準スイッチに接続された仮想マシンのゲスト オペレーティング システムで無差別モードの有効化、MAC アドレスの変更、および不正送信の [承認(Accept)] を選択します。
これらの設定が、Firepower Threat Defense Virtual センサーの管理インターフェイスおよびフェールオーバー(HA)インターフェイスに設定されているすべてのネットワーク上で同じであることを確認します。
Firepower Threat Defense Virtual 導入に使用される特定のハードウェアは、導入されるインスタンスの数や使用要件によって異なります。Firepower Threat Defense Virtual の各インスタンスには、サーバ上での最小リソース割り当て(メモリ容量、CPU 数、およびディスク容量)が必要です。
VMware vCenter Server と ESXi のインスタンスを実行するシステムは、特定のハードウェアおよびオペレーティング システム要件を満たす必要があります。サポートされるプラットフォームのリストについては、VMware のオンライン 互換性ガイド を参照してください。
(注) CPU が VT をサポートしているにもかかわらず BIOS にこのオプションが表示されない場合は、ベンダーに連絡して、VT のサポートを有効にすることができるバージョンの BIOS を要求してください。
Linux コマンド ラインを使用して、CPU ハードウェアに関する情報を取得できます。たとえば、 /proc/cpuinfo ファイルには個々の CPU コアに関する詳細情報が含まれています。 less または cat により、その内容を出力できます。
grep を使用すると、次のコマンドを実行して、ファイルにこれらの値が存在するかどうかを素早く確認することができます。
システムが VT または SSSE3 をサポートしている場合は、フラグのリストに vmx、svm、または ssse3 が表示されます。次の例は、2 つの CPU を搭載しているシステムからの出力を示しています。
(注) このリリースでは、ixgbe ドライバは、Firepower Threat Defense Virtual のフェールオーバー(HA)の展開をサポートしていません。
症状 :ESXi 6 および ESXi 6.5 で実行されている Firepower Threat Defense Virtual コンソールに次のエラー メッセージが表示される場合があります。
回避策 :デバイスの電源がオフになっているときに、vSphere で仮想マシンの設定を編集してシリアル ポートを追加します。
1. 仮想マシンを右クリックして、[設定の編集(Edit Settings)] をクリックします。
2. [仮想ハードウェア(Virtual Hardware)] タブで、[新規デバイス(New devide)] ドロップダウン メニューから [シリアルポート(Serial Port)] を選択し、[追加(Add)] をクリックします。
シリアル ポートがバーチャル デバイス リストの一番下に表示されます。
3. [仮想ハードウェア(Virtual Hardware)] タブで、[シリアルポート(Serial Port)] を展開し、接続タイプとして [物理シリアルポートを使用(Use physical serial port)] を選択します。
Firepower Threat Defense Virtual アプライアンスをインストールする場合、以下のインストール オプションがあります。
ここで、 X.X.X-xxx は、使用するファイルのバージョンとビルド番号を表します。
–アプライアンスが管理ネットワークで通信することを許可するネットワーク設定
–管理 Cisco Firepower Management Center
(注) この仮想アプライアンスは、VMware vCenter を使用して管理する必要があります。
VMware vSphere Web クライアントを使用して、Firepower Threat Defense Virtual を展開できます。Web クライアントには、vCenter が必要です。また、スタンドアロンの ESXi の展開には、vSphere ハイパーバイザを使用できます。vSphere を使用して、VI OVF テンプレートまたは ESXi OVF テンプレートのいずれかによる展開が可能です。
(注) Cisco.com のログインおよびシスコ サービス契約が必要です。
1. vSphere Client を使用して、[ファイル(File)] > [OVF テンプレートの展開(Deploy OVF Template)] をクリックし、以前にダウンロードした OVF テンプレートを展開します。
2. ドロップダウン リストから、Firepower Threat Defense Virtual デバイス用に展開する OVF テンプレートを 1 つ選択します。
ここで、 X.X.X-xxx は、ダウンロードしたアーカイブ ファイルのバージョンとビルド番号を表します。
3. [OVFテンプレートの詳細(OVF Template Details)] ページが表示されるので [次へ(Next)] をクリックします。
4. ライセンス契約書が OVF テンプレート(VI テンプレートのみ)に含まれている場合は、エンドユーザ ライセンス契約のページが表示されます。ライセンス条項に同意し、[次へ(Next)] をクリックすることに同意します。
5. オプションで、名前を編集し、Firepower Threat Defense Virtual を配置するインベントリ内のフォルダの場所を選択して、[次へ(Next)] をクリックすることもできます。
(注) vSphere クライアントが ESXi ホストに直接接続されている場合、フォルダの場所を選択するオプションは表示されません。
6. Firepower Threat Defense Virtualを展開するホストまたはクラスタを選択して、[次へ(Next)] をクリックします。
7. Firepower Threat Defense Virtual を実行するリソース プールに移動して選択し、[次へ(Next)] をクリックします。
(注) このページは、クラスタにリソース プールが含まれている場合にのみ表示されます。
8. 仮想マシン ファイルを保存する場所を選択し、[次へ(Next)] をクリックします。
このページで、宛先クラスタまたはホストですでに設定されているデータストアから選択します。仮想マシン コンフィギュレーション ファイルおよび仮想ディスク ファイルが、このデータストアに保存されます。仮想マシンとそのすべての仮想ディスク ファイルを保存できる十分なサイズのデータストアを選択してください。
9. 仮想マシンの仮想ディスクを保存するためのディスク形式を選択し、[次へ(Next)] をクリックします。
[シックプロビジョン(Thick Provisioned)] を選択すると、すべてのストレージは、ただちに割り当てられます。[シンプロビジョン(Thin Provisioned)] を選択すると、データが仮想ディスクに書き込まれるときに、必要に応じてストレージが割り当てられます。また、シン プロビジョニングにより、仮想アプライアンスの展開に要する時間を短縮できます。
10. OVF テンプレートで指定されたネットワークごとに、インフラストラクチャの [宛先ネットワーク(Destination Networks)] 列を右クリックしてネットワークを選択し、Firepower Threat Defense Virtual インターフェイスごとにネットワーク マッピングを設定して、[次へ(Next)] をクリックします。
(注) では、少なくとも 4 つのインターフェイスにネットワークを 割り当てるFirepower Threat Defense Virtual 必要があります。4 つのインターフェイスがなければ展開は実行されません。
Firepower Management Center から到達可能な VM ネットワークに Management0-0 インターフェイスが関連付けられていることを確認します。非管理インターフェイスは Firepower Management Center から設定できます。
ネットワークはアルファベット順になっていない可能性があります。ネットワークを見つけることが非常に困難な場合は、[設定の編集(Edit Settings)] ダイアログボックスからネットワークを後で変更できます。展開後、Firepower Threat Defense Virtual インスタンスを右クリックし、[設定の編集(Edit Settings)] を選択して、[設定の編集(Edit Settings)] ダイアログボックスにアクセスします。ただし、この画面には Firepower Threat Defense Virtual インターフェイス ID は表示されません(ネットワーク アダプタ ID のみ)。Firepower Threat Defense Virtual インターフェイスの 送信元ネットワーク と 宛先ネットワーク に関する以下の用語索引を参照してください。
(注) vSphere Client では、少なくとも 4 つのネットワークにインターフェイスを割り当てる必要があります。すべての Firepower Threat Defense Virtual インターフェイスを使用する必要はありません。使用する予定がないインターフェイスについては、Firepower Threat Defense Virtual 設定内でそのインターフェイスを無効のままにしておいて構いません。
Firepower Threat Defense Virtual を展開した後、オプションで、vSphere Client に戻り、 [Edit Settings] ダイアログボックスから他のインターフェイスをさらに追加できます。Firepower Threat Defense Virtual デバイスを展開する際には、合計 10 個のインターフェイスを指定できます。データ インターフェイスについて、 送信元ネットワーク が正しい 宛先ネットワーク にマッピングされ、各データ インターフェイスが一意のサブネットまたは VLAN にマッピングされていることを確認します。詳細については、vSphere Client オンライン ヘルプを参照してください。
11. ユーザ設定可能なプロパティが OVF テンプレート(VI テンプレートのみ)に含まれている場合は、設定可能なプロパティを設定し、[次へ(Next)] をクリックします。
12. [終了準備の完了(Ready to Complete)] ウィンドウで設定を見直し、確認します。オプションで、[展開後に電源を入れる(Power on after deployment)] オプションにチェック マークを付けて、Firepower Threat Defense Virtual に電源を入れ、[終了(Finish)] をクリックします。
ウィザードが完了すると、vSphere Web Client は VM を処理します。[最近使用したタスク(Recent Tasks)] ペインの [グローバル情報(Global Information)] 領域で [OVF展開の初期設定(Initialize OVF deployment)] ステータスを確認できます。
この手順が終了すると、[Deploy OVF Template] 完了ステータスが表示されます。
その後、Firepower Threat Defense Virtual VM インスタンスがインベントリ内の指定されたデータセンターの下に表示されます。新しい VM の起動には、最大 30 分かかることがあります。
(注) Cisco Licensing Authority に Firepower Threat Defense Virtual を正常に登録するには、Firepower Threat Defense Virtual にインターネット アクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。
仮想アプライアンスの展開後に、仮想アプライアンスのハードウェアおよびメモリの設定が展開の要件を満たしていることを確認します(システム要件を参照)。デフォルトの設定は、システム ソフトウェアの実行の最小要件であるため、 減らさない でください。
[Vmware 仮想マシンプロパティ(VMware Virtual Machine Properties)] ダイアログボックスを使用して、選択した仮想マシンのホスト リソースの割り当てを確認できます。このタブで、CPU、メモリ、ディスク、および拡張 CPU リソースを確認できます。また、仮想マシンの仮想イーサネット アダプタ設定の電源接続設定、MAC アドレス、およびネットワーク接続を変更できます。
1. 新しい仮想アプライアンスの名前を右クリックし、コンテキスト メニューから [Edit Settings] を選択するか、メイン ウィンドウの [Getting Started] タブから [Edit virtual machine settings] をクリックします。
2. Firepower Threat Defense Virtual アプライアンスのデフォルト設定に示すように、[メモリ(Memory)] 、[CPU(CPUs)] 、および [ハードディスク 1(Hard disk 1)] の設定がデフォルトに設定されていることを確認します。
アプライアンスのメモリ設定および仮想 CPU の数は、ウィンドウの左側に表示されます。ハード ディスクの プロビジョニング サイズ を表示するには、[ハードディスク1(Hard disk 1)] をクリックします。
3. [ネットワークアダプタ1(Network adapter 1)] 設定が次のようになっていることを確認し、必要に応じて変更します。
a. [デバイスのステータス(Device Status)] の下で、[パワーオン時に接続(Connect at power on)] チェックボックスを有効にします。
b. [MACアドレス(MAC Address)] の下で、仮想アプライアンスの管理インターフェイスの MAC アドレスを手動で設定します。
仮想アプライアンスに手動で MAC アドレスを割り当て、ダイナミック プール内の他のシステムによる MAC アドレスの変更または競合を回避します。
また、仮想 Cisco Firepower Management Center の場合、MAC アドレスを手動で設定することにより、アプライアンスの再イメージ化が必要になった場合に、Ciscoからライセンスを再要求しなくて済みます。
c. [ネットワーク接続(Network Connection)] の下で、[ネットワークラベル(Network label)] に仮想アプライアンスの管理ネットワーク名を設定します。
仮想マシンの作成時に、VMware はデフォルトの e1000(1 Gbit/s)インターフェイスを設定しています。仮想マシンの作成が終了し、Firepower Threat Defense Virtual が完全にインストールされたら、ネットワーク スループットを向上させるために、e1000 から vmxnet3(10 Gbit/s)または ixgbe(10 Gbit/s)インターフェイスに切り替えることができます。デフォルト e1000 インターフェイスを置き換える際には、以下のガイドラインが重要です。
(注) このリリースでは、ixgbe ドライバは、Firepower Threat Defense Virtual のフェールオーバー(HA)の展開をサポートしていません。
デフォルトの e1000 インターフェイスを置き換えるには、すべての e1000 インターフェイスを削除し、それを vmxnet3 または ixgbe インターフェイスに置き換えます。
展開内でインターフェイスを混在させることはできますが(仮想 Cisco Firepower Management Center で e1000 インターフェイス、およびその管理対象仮想デバイスで vmxnet3 インターフェイスなど)、同じアプライアンス上でインターフェイスを混在させることはできません。アプライアンス上のすべてのセンサー インターフェイスと管理インターフェイスが同じタイプである必要があります。
e1000 インターフェイスを置き換えるには、vSphere Client を使用して、まず既存の e1000 インターフェイスを削除して新しいインターフェイスを追加し、その後で適切なアダプタ タイプとネットワーク接続を選択します。
また、同じ仮想 Firepower Management Center に 2 つ目の管理インターフェイスを追加して、2 つの異なるネットワーク上でトラフィックを別々に管理することもできます。2 つ目の管理インターフェイスを 2 つ目のネットワーク上の管理対象デバイスに接続するように、追加の仮想スイッチを構成します。vSphere Client を使用して、仮想アプライアンスに 2 つ目の管理インターフェイスを追加します。
(注) アプライアンスの電源を入れる前に、インターフェイスに対するすべての変更を実行します。インターフェイスを変更するには、アプライアンスの電源をオフにして、インターフェイスを削除し、新しいインターフェイスを追加してから、アプライアンスの電源をオンにします。
vSphere Client の使用に関する詳細については、VMware の Web サイト( http://vmware.com [英語])を参照してください。複数の管理インターフェイスの詳細については、『 Firepower Management Center Configuration Guide 』の「Managing Devices」を参照してください。
仮想アプライアンスをインストールした後、仮想アプライアンスに初めて電源を入れると初期化が自動的に開始されます。
1. アプライアンスの電源をオンにします。vSphere Client で、インベントリ リストからインポートした仮想アプライアンスの名前を右クリックし、コンテキスト メニューで [電源(Power)] > [電源オン(Power On)] を選択します。
Firepower Threat Defense Virtual アプライアンスには Web インターフェイスがないため、ESXi OVF テンプレートで展開した場合には、CLI を使用して仮想デバイスを設定する必要があります。VI OVF テンプレートを使用して展開し、かつ展開時にセットアップ ウィザードを使用しなかった場合、CLI を使用して Firepower システムで必要な設定を行うことができます。
(注) VI OVF テンプレートで展開しており、セットアップ ウィザードを使用した場合は、仮想デバイスが設定されているため、これ以上の処理は必要ありません。
新しく設定されたデバイスに初めてログインするときに、EULA を読んで同意する必要があります。次に、セットアップ プロンプトに従って管理パスワードを変更し、デバイスのネットワーク設定およびファイアウォール モードを設定します。
セットアップ プロンプトに従う際に、複数の選択肢がある質問では、選択肢が (y/n)
のように括弧で囲まれて示されます。デフォルト値は、 [y]
のように大カッコ内に列挙されます。選択を確定するには、Enter キーを押します。
CLI では、物理デバイスのセットアップ Web ページで要求される設定情報とほぼ同じ情報が要求されます。詳細については、『 Firepower システム Installation Guide 』を参照してください。
(注) 初期セットアップの完了後に仮想デバイスに関するこれらの設定を変更するには、CLI を使用する必要があります。詳細については、『Firepower Management Center Configuration Guide』の「Command Line Reference」の章を参照してください。
2. VMware コンソールで、ユーザ名として admin
、および展開のセットアップ ウィザードで指定した新しい admin アカウント パスワードを使用して、仮想アプライアンスにログインします。
ウィザードを使用してパスワードを変更していない場合、または ESXi OVF テンプレートを使用して展開している場合は、パスワードとして Admin123 を使用します。
直後に、デバイスから EULA を読むようにプロンプトが表示されます。
4. admin
アカウントのパスワードを変更します。このアカウントには Configuration CLI アクセス レベルが付与されており、削除することはできません。
(注) Cisco では、大文字と小文字が混在する 8 文字以上の英数字で、1 つ以上の数字を含む強力なパスワードを使用することを推奨しています。辞書に掲載されている単語の使用は避けてください。
VMware コンソールには、設定が実装されるときにメッセージが表示されることがあります。完了したら、このデバイスを Cisco Firepower Management Center に登録するよう要求され、CLI プロンプトが表示されます。
6. コンソールが firepower # プロンプトに戻るときに、設定が正常に行われたことを確認します。
(注) Cisco Licensing Authority に Firepower Threat Defense Virtual を正常に登録するには、Firepower Threat Defense Virtual にインターネット アクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。
仮想デバイスには Web インターフェイスがないため、CLI を使用して仮想デバイスを Cisco Firepower Management Center に登録する必要があります(物理でも仮想でも可)。初期設定プロセス中にデバイスを Firepower Management Center に登録する方が簡単です。これは、すでにデバイスの CLI にログインしているためです。
デバイスを登録するには、 configure manager add
コマンドを使用します。デバイスをFirepower Management Centerへ登録するには、自己生成の一意の英数字登録キーが必ず必要です。これはユーザが指定する簡単なキーで、ライセンス キーとは異なります。
ほとんどの場合は、登録キーと一緒に Firepower Management Center の IP アドレスを指定する必要があります。たとえば次のようにします。
XXX.XXX.XXX.XXX は、管理している Firepower Management Center の IP アドレスで、 my_reg_key は、仮想デバイスに入力した登録キーです。
(注) ESXi プラットフォームでは、vSphere Client を使用して仮想デバイスを Firepower Management Center に登録する場合、設定時に DNS 情報が提供されていなければ、管理している Firepower Management Center の IP アドレス(ホスト名ではない)を使用する必要があります。
ただし、デバイスと Firepower Management Center がネットワーク アドレス変換(NAT)デバイスによって分けられており、Firepower Management Center が NAT デバイスの背後にある場合は、登録キーと共に一意の NAT ID を入力し、IP アドレスの代わりに DONTRESOLVE
を指定します。次に例を示します。
my_reg_key は仮想デバイスに入力した登録キーで、 my_nat_id は NAT デバイスの NAT ID です。
デバイス(Firepower Management Center ではない)が NAT デバイスの背後にある場合は、一意の NAT ID を登録キーと共に入力し、Firepower Management Center のホスト名または IP アドレスを指定します。次に例を示します。
my_reg_key は仮想デバイスに入力した登録キーで、 my_nat_id は NAT デバイスの NAT ID です。
1. CLI 設定(管理者)の権限を持つユーザとして仮想デバイスにログインします。
–VMware コンソールから初期設定を実行している場合は、 admin
ユーザとしてすでにログインしています。このユーザは必要なアクセス レベルを持っています。
–そうでない場合は、VMware コンソールを使用してデバイスにログインします。または、デバイスのネットワーク設定が完了している場合は、SSH を使用してデバイスの管理 IP アドレスまたはホスト名にログインします。
2. プロンプトで、次のような構文の configure manager add
コマンドを使用してデバイスを Cisco Firepower Management Center に登録します。
– {
hostname |
IPv4_address |
IPv6_address | DONTRESOLVE}
は、Firepower Management Center の IP アドレスを表します。Firepower Management Center が直接アドレス指定できない場合は、 DONTRESOLVE
を使用します。
– reg_key は、デバイスを Firepower Management Center へ登録するのに必要な一意の英数字による登録キーです。
(注) 登録キーは、ユーザが生成した 1 回限り使用できる一意のキーで、37 文字を超えてはなりません。有効な文字には、英数字(A~Z、a~z、0~9)、およびハイフン(-)などがあります。Firepower Management Center にデバイスを追加するときは、この登録キーを覚えておく必要があります。
– nat_id は、Cisco Firepower Management Center とデバイス間の登録プロセス中に使用されるオプションの英数字文字列です。ホスト名が DONTRESOLVE に設定されている場合に必須です。
(注) show managers
コマンドを使用して、デバイス登録の状態をモニタします。