論理デバイス Firepower 4100/9300

Firepower 4100/9300 は柔軟なセキュリティプラットフォームが 1 つまたは複数の論理デバイスをインストールすることができます。この章では、基本的なインターフェイスの設定、および Firepower Chassis Manager を使用したスタンドアロンまたはハイアベイラビリティ論理デバイスの追加方法について説明します。クラスタ化された論理デバイスを追加する場合は、Firepower 4100/9300 シャーシの ASA クラスタを参照してください。FXOS CLI を使用する場合は、FXOS CLI コンフィギュレーションガイドを参照してください。高度な FXOS の手順とトラブルシューティングについては、FXOS コンフィギュレーションガイドを参照してください。

Firepower インターフェイスについて

Firepower 4100/9300 シャーシは、物理インターフェイスおよび EtherChannel（ポートチャネル）インターフェイスをサポートします。EtherChannel のインターフェイスには、同じタイプのメンバインターフェイスを最大で 16 個含めることができます。

シャーシ管理インターフェイス

シャーシ管理インターフェイスは、SSH または Firepower Chassis Manager で FXOS シャーシの管理に使用されます。このインターフェイスは、アプリケーション管理の論理デバイスに割り当てる管理タイプのインターフェイスから分離されています。

このインターフェイスのパラメータを設定するには、CLI から設定する必要があります。このインターフェイスについての情報を FXOS CLI で表示するには、ローカル管理に接続し、管理ポートを表示します。

Firepower # connect local-mgmt

Firepower(local-mgmt) # show mgmt-port

物理ケーブルまたは SFP モジュールが取り外されている場合や mgmt-port shut コマンドが実行されている場合でも、シャーシ管理インターフェイスは稼働状態のままである点に注意してください。

インターフェイスタイプ

各インターフェイスは、次のいずれかのタイプになります。

Data：データインターフェイスは論理デバイス間で共有できません。
Data-sharing：コンテナインスタンスでのみサポートされ、これらのデータインターフェイスは 1 つまたは複数の論理デバイス/コンテナインスタンス（FTDのみ）で共有できます。各コンテナインスタンスは、このインターフェイスを共有する他のすべてのインスタンスと、バックプレーン経由で通信できます。共有インターフェイスは、展開可能なコンテナインスタンスの数に影響することがあります。を参照してください。共有インターフェイスは、ブリッジグループメンバインターフェイス（トランスペアレントモードまたはルーテッドモード）、インラインセット、パッシブインターフェイス、またはフェールオーバーリンクではサポートされません。
Mgmt：管理インターフェイスを使用してアプリケーションインスタンスを管理します。外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介して、インターフェイスを共有する他の論理デバイスと通信することはできません。各論理デバイスには、管理インターフェイスを 1 つだけ割り当てることができます。個別のシャーシ管理インターフェイスについては、シャーシ管理インターフェイスを参照してください。
Firepower イベント：このインターフェイスは FTD デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、FTD CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント（Web イベントなど）から管理トラフィックを分類できます。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。Firepower イベントインターフェイスは、外部ホストにアクセスするために 1 つまたは複数の論理デバイスで共有できます。論理デバイスはこのインターフェイスを介してインターフェイスを共有する他の倫理デバイスと通信することはできません。
Cluster：クラスタ化された論理デバイスに使用する特別なインターフェイスタイプです。このタイプは、ユニット間のクラスタ通信用にクラスタ制御リンクに自動的に割り当てられます。デフォルトでは、クラスタ制御リンクは 48 番のポートチャネル上に自動的に作成されます。

シャーシとアプリケーションの独立したインターフェイスの状態

管理上、シャーシおよびアプリケーションの両方で、インターフェイスを有効および無効にできます。インターフェイスを動作させるには、両方のオペレーティングシステムで、インターフェイスを有効にする必要があります。インターフェイスの状態は個別に制御されるので、シャーシとアプリケーションの間の不一致が生じることがあります。

論理デバイスについて

論理デバイスでは、1 つのアプリケーションインスタンス（ASA または Firepower Threat Defense のいずれか）および 1 つのオプションデコレータアプリケーション（Radware DefensePro）を実行し、サービスチェーンを形成できます。

論理デバイスを追加する場合は、アプリケーションインスタンスタイプとバージョンを定義し、インターフェイスを割り当て、アプリケーション設定に送信されるブートストラップ設定を構成することもできます。

（注）

Firepower 9300 の場合、シャーシ内のすべてのモジュールに同じアプリケーションインスタンスタイプ（ASA または FTD）をインストールする必要があります。現時点では、異なるタイプはサポートされていません。モジュールでは、異なるバージョンのアプリケーションインスタンスタイプを実行できます。

スタンドアロン論理デバイスとクラスタ化論理デバイス

次の論理デバイスタイプを追加することができます。

スタンドアロン：スタンドアロン論理デバイスはスタンドアロンユニットまたはハイアベイラビリティペアのユニットとして動作します。

クラスタ：クラスタ化論理デバイスを使用すると複数のユニットをグループ化することで、単一デバイスのすべての利便性（管理、ネットワークへの統合）を提供し、同時に複数デバイスによるスループットの向上と冗長性を実現できます。Firepower 9300 などの複数のモジュールデバイスが、シャーシ内クラスタリングをサポートします。Firepower 9300 のすべての 3 つのモジュールアプリケーションインスタンスは、1 つの論理デバイスに属しています。

（注）

Firepower 9300 の場合、すべてのモジュールがクラスタに属している必要があります。1 つのセキュリティモジュールにスタンドアロン論理デバイスを作成し、残り 2 つのセキュリティモジュールを使用してクラスタを作成することはできません。

論理デバイスに関する注意事項と制約事項

ガイドラインと制限事項については、以下のセクションを参照してください。

Firepower インターフェイスに関する注意事項と制約事項

次のインラインセット FTD

デフォルトの MAC アドレス

デフォルトの MAC アドレスの割り当ては、インターフェイスのタイプによって異なります。

物理インターフェイス：物理インターフェイスは、Burned-in MAC Address を使用します。
EtherChannel：EtherChannel の場合は、そのチャネルグループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対してトランスペアレントになります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。ポートチャネルインターフェイスは、プールからの一意の MAC アドレスを使用します。インターフェイスのメンバーシップは、MAC アドレスには影響しません。

一般的なガイドラインと制限事項

ファイアウォールモード

FTD および ASA のブートストラップ設定でファイアウォールモードをルーテッドまたはトランスペアレントに設定することができます。

ハイアベイラビリティ

アプリケーション設定内でハイアベイラビリティを設定します。
任意のデータインターフェイスをフェールオーバーリンクおよびステートリンクとして使用できます。
詳細については、フェールオーバーシステム要件を参照してください。

コンテキストモード

マルチコンテキストモードは ASA でのみサポートされています。
展開後に、ASA のマルチコンテキストモードを有効にします。

インターフェイスの設定

デフォルトでは、物理インターフェイスは無効になっています。インターフェイスを有効にし、EtherChannels、、インターフェイスプロパティを編集して。

物理インターフェイスの設定

インターフェイスを物理的に有効および無効にすること、およびインターフェイスの速度とデュプレックスを設定することができます。インターフェイスを使用するには、インターフェイスを FXOS で物理的に有効にし、アプリケーションで論理的に有効にする必要があります。

始める前に

すでに EtherChannel のメンバーであるインターフェイスは個別に変更できません。EtherChannel に追加する前に、設定を行ってください。

手順

ステップ 1

インターフェイスモードに入ります。

scope eth-uplink

scope fabric a

ステップ 2

インターフェイスを有効にします。

enter interface interface_id

enable

例:


Firepower /eth-uplink/fabric # enter interface Ethernet1/8
Firepower /eth-uplink/fabric/interface # enable

（注）

すでにポートチャネルのメンバであるインターフェイスは個別に変更できません。ポートチャネルのメンバであるインターフェイスで enter interface コマンドまたは scope interface コマンドを使用すると、オブジェクトが存在しないことを示すエラーを受け取ります。ポートチャネルに追加する前に、enter interface コマンドを使用してインターフェイスを編集する必要があります。

ステップ 3

（任意）インターフェイスタイプを設定します。

set port-type {data | mgmt | cluster }

例:


Firepower /eth-uplink/fabric/interface # set port-type mgmt

data キーワードがデフォルトのタイプです。cluster キーワードは選択しないでください。デフォルトでは、Cluster Control Link はポートチャネル 48 に自動的に作成されます。

ステップ 4

インターフェイスでサポートされている場合、自動ネゴシエーションを有効化または無効化します。

set auto-negotiation {on | off }

例:


Firepower /eth-uplink/fabric/interface* # set auto-negotiation off

ステップ 5

インターフェイスの速度を設定します。

set admin-speed {10mbps |100mbps |1gbps |10gbps |40gbps |100gbps }

例:


Firepower /eth-uplink/fabric/interface* # set admin-speed 1gbps

ステップ 6

インターフェイスのデュプレックスモードを設定します。

set admin-duplex {fullduplex | halfduplex }

例:


Firepower /eth-uplink/fabric/interface* # set admin-duplex halfduplex

ステップ 7

デフォルトのフロー制御ポリシーを編集した場合は、インターフェイスにすでに適用されています。新しいポリシーを作成した場合は、そのポリシーをインターフェイスに適用します。

set flow-control-policy name

例:


Firepower /eth-uplink/fabric/interface* # set flow-control-policy flow1

ステップ 8

設定を保存します。

commit-buffer

例:


Firepower /eth-uplink/fabric/interface* # commit-buffer
Firepower /eth-uplink/fabric/interface #

EtherChannel（ポートチャネル）の追加

EtherChannel（別名ポートチャネル）には、同じタイプのメンバーインターフェイスを最大 16 個含めることができます。リンク集約制御プロトコル（LACP）では、2 つのネットワークデバイス間でリンク集約制御プロトコルデータユニット（LACPDU）を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理データインターフェイスを次のように設定できます。

アクティブ：LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブモードを使用する必要があります。
オン：EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

非データインターフェイスはアクティブモードのみをサポートします。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバインターフェイスの両端が正しいチャネルグループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネルグループ内のスタンバイインターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [一時停止（Suspended）] 状態になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [Suspended] 状態になります。

EtherChannel がスタンドアロン論理デバイスのデータまたは管理インターフェイスとして追加された
EtherChannel がクラスタの一部である論理デバイスの管理インターフェイスまたは Cluster Control Link として追加された
EtherChannel がクラスタの一部である論理デバイスのデータインターフェイスとして追加され、少なくとも 1 つのユニットがクラスタに参加している

EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [Suspended] 状態に戻ります。

手順

ステップ 1	インターフェイスモードを開始します。 scope eth-uplink scope fabric a
ステップ 2	ポートチャネルを作成します。 create port-channel `id` enable
ステップ 3	メンバインターフェイスを割り当てます。 create member-port `interface_id` 例: Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/1 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/2 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/3 Firepower /eth-uplink/fabric/port-channel/member-port* # exit Firepower /eth-uplink/fabric/port-channel* # create member-port Ethernet1/4 Firepower /eth-uplink/fabric/port-channel/member-port* # exit
ステップ 4	（任意）インターフェイスタイプを設定します。 set port-type {data \| mgmt \| cluster } 例: `Firepower /eth-uplink/fabric/port-channel # set port-type data` data キーワードがデフォルトのタイプです。このポートチャネルをデフォルトではなくクラスタ制御リンクとして使用する場合以外は、cluster キーワードを選択しないでください。
ステップ 5	（任意）ポートチャネルのすべてのメンバのインターフェイス速度を設定します。 set speed {10mbps \| 100mbps \| 1gbps \| 10gbps \| 40gbps \| 100gbps } 例: `Firepower /eth-uplink/fabric/port-channel* # set speed 1gbps`
ステップ 6	（任意）ポートチャネルのすべてのメンバのデュプレックスを設定します。 set duplex {fullduplex \| halfduplex } 例: `Firepower /eth-uplink/fabric/port-channel* # set duplex fullduplex`
ステップ 7	インターフェイスでサポートされている場合、自動ネゴシエーションを有効化または無効化します。 set auto-negotiation {on \| off } 例: `Firepower /eth-uplink/fabric/interface* # set auto-negotiation off`
ステップ 8	データインターフェイスの LACP ポートチャネルモードを設定します。非データインターフェイスの場合、モードは常にアクティブです。 set port-channel-mode {active \| on } 例: `Firepower /eth-uplink/fabric/port-channel* # set port-channel-mode on`
ステップ 9	デフォルトのフロー制御ポリシーを編集した場合は、インターフェイスにすでに適用されています。新しいポリシーを作成した場合は、そのポリシーをインターフェイスに適用します。 set flow-control-policy `name` 例: `Firepower /eth-uplink/fabric/interface* # set flow-control-policy flow1`
ステップ 10	設定をコミットします。 commit-buffer

論理デバイスの設定

スタンドアロン論理デバイスまたはハイアベイラビリティのペアを Firepower 4100/9300 シャーシに追加します。

クラスタリングについては、Firepower 4100/9300 シャーシの ASA クラスタを参照してください。

スタンドアロン ASA の追加

スタンドアロンの論理デバイスは、単独またはハイアベイラビリティペアで動作します。Firepower 9300 などの複数のモジュールデバイスでは、クラスタまたはスタンドアロンデバイスを導入できます。クラスタはすべてのモジュールを使用する必要があるため、たとえば、2 モジュールクラスタと単一のスタンドアロンデバイスをうまく組み合わせることはできません。

Firepower 4100/9300 シャーシからルーテッドまたはトランスペアレントファイアウォールモード ASA を展開できます。

マルチコンテキストモードの場合、最初に論理デバイスを展開してから、ASA アプリケーションでマルチコンテキストモードを有効にする必要があります。

始める前に

論理デバイスに使用するアプリケーションイメージを Cisco.com からダウンロードして、そのイメージを Firepower 4100/9300 シャーシ。

（注）

論理デバイスで使用する管理インターフェイスを設定します。管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理インターフェイスと同じではありません（FXOS では、シャーシ管理インターフェイスは MGMT、management0 のような名前で表示されます）。

手順

ステップ 1	セキュリティサービスモードを開始します。 scope ssa 例: `Firepower# scope ssa Firepower /ssa #`
ステップ 2	アプリケーションインスタンスのイメージバージョンを設定します。使用可能なイメージを表示します。使用するバージョン番号に注意してください。 show app 例: `Firepower /ssa # show app Name Version Author Supported Deploy Types CSP Type Is Default App ---------- --------------- ---------- ---------------------- ----------- -------------- asa 9.9.1 cisco Native Application No asa 9.10.1 cisco Native Application Yes ftd 6.2.3 cisco Native Application Yes` セキュリティモジュール / エンジンスロットに範囲を設定します。 scope slot `slot_id` `slot_id` は、Firepower 4100 の場合は常に 1、Firepower 9300 の場合は 1、2、または 3 です。例: `Firepower /ssa # scope slot 1 Firepower /ssa/slot #` アプリケーションインスタンスを作成します。 enter app-instance asa `device_name` `device_name` は 1 ～ 64 文字の範囲で指定できます。このインスタンスの論理デバイスを作成するときに、このデバイス名を使用します。例: `Firepower /ssa/slot # enter app-instance asa ASA1 Firepower /ssa/slot/app-instance* #` ASA イメージバージョンを設定します。 set startup-version `version` 例: `Firepower /ssa/slot/app-instance* # set startup-version 9.10.1` スロットモードを終了します。 exit 例: `Firepower /ssa/slot/app-instance* # exit Firepower /ssa/slot* #` ssa モードを終了します。 exit 例: `Firepower /ssa/slot* # exit Firepower /ssa* #` 例: `Firepower /ssa # scope slot 1 Firepower /ssa/slot # enter app-instance asa ASA1 Firepower /ssa/slot/app-instance* # set startup-version 9.10.1 Firepower /ssa/slot/app-instance* # exit Firepower /ssa/slot* # exit Firepower /ssa* #`
ステップ 3	論理デバイスを作成します。 enter logical-device `device_name` asa `slot_id` standalone 以前に追加したアプリケーションインスタンスと同じ `device_name` を使用します。例: `Firepower /ssa # enter logical-device ASA1 asa 1 standalone Firepower /ssa/logical-device* #`
ステップ 4	管理およびデータインターフェイスを論理デバイスに割り当てます。各インターフェイスに対して、手順を繰り返します。 create external-port-link `name` `interface_id` asa set description `description` exit `name` ：name は Firepower 4100/9300 シャーシスーパーバイザによって使用されます。これは、ASA の設定で使用するインターフェイス名ではありません。 `description` ：フレーズを引用符（"）で囲み、スペースを追加します。例: Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa Firepower /ssa/logical-device/external-port-link* # set description "inside link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa Firepower /ssa/logical-device/external-port-link* # set description "management link" Firepower /ssa/logical-device/external-port-link* # exit Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa Firepower /ssa/logical-device/external-port-link* # set description "external link" Firepower /ssa/logical-device/external-port-link* # exit
ステップ 5	管理ブートストラップ情報を設定します。ブートストラップオブジェクトを作成します。 create mgmt-bootstrap asa 例: `Firepower /ssa/logical-device* # create mgmt-bootstrap asa Firepower /ssa/logical-device/mgmt-bootstrap* #` ファイアウォールモード（ルーテッドまたはトランスペアレント）を指定します。 create bootstrap-key FIREWALL_MODE set value {routed \| transparent } exit 例: `Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key FIREWALL_MODE Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value routed Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit Firepower /ssa/logical-device/mgmt-bootstrap* #` 管理者を指定し、パスワードを指定します。 create bootstrap-key-secret PASSWORD set value 値の入力：`password` 値の確認：`password` exit 例: 事前設定されている ASA 管理者ユーザおよびイネーブルパスワードはパスワードの回復時に役立ちます。FXOS アクセスが可能な場合、管理者ユーザパスワードを忘れたときにリセットできます。例: `Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value Enter a value: floppylampshade Confirm the value: floppylampshade Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit Firepower /ssa/logical-device/mgmt-bootstrap* #` IPv4 管理インターフェイス設定を設定します。 create ipv4 `slot_id` default set ip `ip_address` mask `network_mask` set gateway `gateway_address` exit 例: `Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.10.10.34 mask 255.255.255.0 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.10.10.1 Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit Firepower /ssa/logical-device/mgmt-bootstrap* #` IPv6 管理インターフェイス設定を設定します。 create ipv6 `slot_id` default set ip `ip_address` prefix-length `prefix` set gateway `gateway_address` exit 例: `Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv6 1 default Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # set ip 2001:0DB8:BA98::3210 prefix-length 64 Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # set gateway 2001:0DB8:BA98::3211 Firepower /ssa/logical-device/mgmt-bootstrap/ipv6* # exit Firepower /ssa/logical-device/mgmt-bootstrap* #` 管理ブートストラップモードを終了します。 exit 例: `Firepower /ssa/logical-device/mgmt-bootstrap* # exit Firepower /ssa/logical-device* #`
ステップ 6	設定を保存します。 commit-buffer 例: `Firepower /ssa/logical-device* # commit-buffer Firepower /ssa/logical-device #`

例


Firepower# scope ssa
Firepower /ssa # scope slot 1
Firepower /ssa/slot # enter app-instance asa MyDevice1
Firepower /ssa/slot/app-instance* # set startup-version 9.10.1
Firepower /ssa/slot/app-instance* # exit
Firepower /ssa/slot* # exit
Firepower /ssa* # create logical-device MyDevice1 asa 1 standalone
Firepower /ssa/logical-device* # create external-port-link inside Ethernet1/1 asa
Firepower /ssa/logical-device/external-port-link* # set description "inside link"
Firepower /ssa/logical-device/external-port-link* # exit
Firepower /ssa/logical-device* # create external-port-link management Ethernet1/7 asa
Firepower /ssa/logical-device/external-port-link* # set description "management link"
Firepower /ssa/logical-device/external-port-link* # exit
Firepower /ssa/logical-device* # create external-port-link outside Ethernet1/2 asa
Firepower /ssa/logical-device/external-port-link* # set description "external link"
Firepower /ssa/logical-device/external-port-link* # exit
Firepower /ssa/logical-device* # create mgmt-bootstrap asa
Firepower /ssa/logical-device/mgmt-bootstrap* # enter bootstrap-key FIREWALL_MODE
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # set value transparent
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # exit
Firepower /ssa/logical-device/mgmt-bootstrap* # create bootstrap-key-secret PASSWORD
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # set value
Enter a value: secretglassine
Confirm the value: secretglassine
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key-secret* # exit
Firepower /ssa/logical-device/mgmt-bootstrap* # create ipv4 1 default
Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set gateway 10.0.0.1
Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # set ip 10.0.0.31 mask 255.255.255.0
Firepower /ssa/logical-device/mgmt-bootstrap/ipv4* # exit
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key* # commit-buffer
Firepower /ssa/logical-device/mgmt-bootstrap/bootstrap-key #

ハイアベイラビリティペアの追加

ASA ハイアベイラビリティ（フェールオーバーとも呼ばれる）は、FXOS ではなく、アプリケーション内で設定します。ただし、ハイアベイラビリティのシャーシを準備するには、次の手順を参照してください。

始める前に

ハイアベイラビリティシステム要件については、フェールオーバーシステム要件。

手順

ステップ 1

各論理デバイスは個別のシャーシ上にある必要があります。Firepower 9300 のシャーシ内のハイアベイラビリティは推奨されず、サポートされない可能性があります。

ステップ 2

各論理デバイスに同一のインターフェイスを割り当てます。

ステップ 3

フェールオーバーリンクとステートリンクに対して 1 つまたは 2 つのデータインターフェイスを割り当てます。

これらのインターフェイスは、2 つのシャーシ間でハイアベイラビリティトラフィックを交換します。統合されたフェールオーバーリンクとステートリンクには、10 GB のデータインターフェイスを使用することを推奨します。使用可能なインターフェイスがあれば、別のフェールオーバーおよびステートのリンクを使用できます。ステートリンクには、ほとんどの帯域幅が必要です。フェールオーバーリンクまたはステートリンクに管理タイプのインターフェイスを使用することはできません。同じネットワークセグメント上で他のデバイスをフェールオーバーインターフェイスとして使用せずに、シャーシ間でスイッチを使用することをお勧めします。

ステップ 4

論理デバイスでハイアベイラビリティを有効にします。ハイアベイラビリティのためのフェールオーバーを参照してください。

ステップ 5

ハイアベイラビリティを有効にした後にインターフェイスを変更する必要がある場合は、スタンバイユニットを最初に変更し、次にアクティブユニットを変更します。

（注）

ASA の場合、FXOS でインターフェイスを削除すると（たとえば、ネットワークモジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど）、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。

ASA 論理デバイスのインターフェイスの変更

ASA 論理デバイスでは、管理インターフェイスの割り当て、割り当て解除、または置き換えを行うことができます。ASDM は、新しいインターフェイスを自動的に検出します。

始める前に

物理インターフェイスの設定およびEtherChannel（ポートチャネル）の追加に従って、インターフェイスを設定し、EtherChannel を追加します。
論理デバイスに影響を与えずに、割り当てられた EtherChannel のメンバーシップを編集できます。
すでに割り当てられているインターフェイスを EtherChannel に追加するには（たとえば、デフォルトではすべてのインターフェイスがクラスタに割り当てられます）、まず論理デバイスからインターフェイスの割り当てを解除し、次に EtherChannel にインターフェイスを追加する必要があります。新しい EtherChannel の場合、デバイスに EtherChannel を割り当てることができます。
FXOS で割り当てられたインターフェイスを削除すると（たとえば、ネットワークモジュールの削除、EtherChannel の削除、または割り当てられたインターフェイスの EtherChannel への再割り当てなど）、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。
クラスタリングまたはフェールオーバーのために、必ずすべてのユニットでインターフェイスを追加または削除します。最初にスレーブ / スタンバイユニットでインターフェイスを変更してから、マスター / アクティブユニットで変更することをお勧めします。新しいインターフェイスは管理上ダウンした状態で追加されるため、インターフェイスモニタリングに影響を及ぼしません。

手順

ステップ 1	セキュリティサービスモードを開始します。 Firepower# scope ssa
ステップ 2	論理デバイスを編集します。 Firepower /ssa # scope logical-device `device_name`
ステップ 3	論理デバイスからインターフェイスの割り当てを解除します。 Firepower /ssa/logical-device # delete external-port-link `name` show external-port-link コマンドを入力して、インターフェイス名を表示します。管理インターフェイスの場合、新しい管理インターフェイスを追加する前に、現在のインターフェイスを削除し、commit-buffer コマンドを使用して変更をコミットします。
ステップ 4	論理デバイスに新しいインターフェイスを割り当てます。 Firepower /ssa/logical-device* # create external-port-link `name` `interface_id` asa
ステップ 5	設定をコミットします。 commit-buffer トランザクションをシステムの設定にコミットします。

アプリケーションのコンソールへの接続

次の手順に従ってアプリケーションのコンソールに接続します。

手順

ステップ 1	コンソール接続または Telnet 接続を使用して、モジュール CLI に接続します。 connect module `slot_number` `{` console \| telnet } 複数のセキュリティモジュールをサポートしないデバイスのセキュリティエンジンに接続するには、`slot_number` として 1 を使用します。 Telnet 接続を使用する利点は、モジュールに対して同時に複数のセッションを持つことができ、接続速度が速くなることです。例: `Firepower# connect module 1 console Telnet escape character is '~'. Trying 127.5.1.1... Connected to 127.5.1.1. Escape character is '~'. CISCO Serial Over LAN: Close Network Connection to Exit Firepower-module1>`
ステップ 2	アプリケーションのコンソールに接続します。 connect asa 例: `Firepower-module1> connect asa Connecting to asa(asa1) console... hit Ctrl + A + D to return to bootCLI [...] asa>`
ステップ 3	アプリケーションコンソールを終了して FXOS モジュール CLI に移動します。 ASA：Ctrl-a, d と入力トラブルシューティングのために FXOS モジュールの CLI を使用する場合があります。
ステップ 4	FXOS CLI のスーパバイザレベルに戻ります。コンソールを終了します。 ~ と入力 Telnet アプリケーションに切り替わります。 Telnet アプリケーションを終了するには、次を入力します。 telnet>quit Telnet セッションを終了します。 Ctrl-], . と入力

例

次に、セキュリティモジュール 1 の ASA に接続してから、FXOS CLI のスーパバイザレベルに戻る例を示します。

Firepower# connect module 1 console
Telnet escape character is '~'.
Trying 127.5.1.1...
Connected to 127.5.1.1.
Escape character is '~'.

CISCO Serial Over LAN:
Close Network Connection to Exit

Firepower-module1>connect asa
asa> ~
telnet> quit
Connection closed.
Firepower#

論理デバイスの履歴


機能	バージョン	詳細
Firepower 4100/9300 のクラスタ制御リンクのカスタマイズ可能な IP アドレス	9.10.1	クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。FXOS でクラスタを展開するときに、ネットワークを設定できるようになりました。シャーシは、シャーシ ID およびスロット ID（127.2.chassis_id.slot_id）に基づいて、各ユニットのクラスタ制御リンクインターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック（127.0.0.0/8）およびマルチキャスト（224.0.0.0/4）アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを設定できるようになりました。新規/変更された [Firepower Chassis Manager] 画面： [Logical Devices] > [Add Device] > [Cluster Information] 新規/変更されたオプション：[CCL Subnet IP] フィールド新規/変更された FXOS コマンド： set cluster-control-link network
オンモードでのデータ EtherChannel のサポート	9.10.1	データおよびデータ共有 EtherChannel をアクティブ LACP モードまたはオンモードに設定できるようになりました。Etherchannel の他のタイプはアクティブモードのみをサポートします。新規/変更されたコマンド：set port-channel-mode
Firepower 4100/9300 シャーシ上の ASA のサイト間クラスタリングの改良	9.7(1)	ASAクラスタを展開するとき、各 Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は、ASA アプリケーション内でサイト ID を設定する必要がありました。この新機能により初期展開が簡単になります。ASA 構成内でサイト ID を設定することはできないことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、ASA 9.7(1) および FXOS 2.1.1 へのアップグレードをお勧めします。このアップグレードでは、いくつかの点で安定性とパフォーマンスが改善されています。次のコマンドが変更されました。site-id
Firepower 4100 シリーズのサポート	9.6(1)	FXOS 1.1.4 では、ASA クラスタリングは、Firepower 4100 シリーズのシャーシ間クラスタリングをサポートします。変更されたコマンドはありません。
6 つのモジュールのシャーシ間クラスタリング、および FirePOWER 9300 ASA アプリケーションのサイト間クラスタリング	9.5(2.1)	FXOS 1.1.3 では、シャーシ間、さらにサイト間クラスタリングを有効にできます。最大 6 つのシャーシに最大 6 つのモジュールを含めることができます。変更されたコマンドはありません。
Firepower 9300 用シャーシ内 ASA クラスタリング	9.4（1.150）	FirePOWER 9300 シャーシ内では、最大 3 つセキュリティモジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。次のコマンドを導入しました。cluster replication delay、debug service-module、management-only individual、show cluster chassis

CLI ブック 1：Cisco ASA シリーズ 9.10 CLI コンフィギュレーション ガイド（一般的な操作）

偏向のない言語

翻訳について

検索結果

章のタイトル： 論理デバイス Firepower 4100/9300

論理デバイス Firepower 4100/9300

Firepower インターフェイスについて

シャーシ管理インターフェイス

インターフェイス タイプ

シャーシとアプリケーションの独立したインターフェイスの状態

論理デバイスについて

スタンドアロン論理デバイスとクラスタ化論理デバイス

論理デバイスに関する注意事項と制約事項

Firepower インターフェイスに関する注意事項と制約事項

次のインライン セット FTD

デフォルトの MAC アドレス

一般的なガイドラインと制限事項

ファイアウォール モード

ハイ アベイラビリティ

コンテキスト モード

インターフェイスの設定

物理インターフェイスの設定

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

EtherChannel（ポート チャネル）の追加

手順

例:

例:

例:

例:

例:

例:

例:

論理デバイスの設定

スタンドアロン ASA の追加

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例

ハイ アベイラビリティ ペアの追加

始める前に

手順

ASA 論理デバイスのインターフェイスの変更

始める前に

手順

アプリケーションのコンソールへの接続

手順

例:

例:

例

論理デバイスの履歴

このドキュメントは役に立ちましたか?

シスコに問い合わせ

CLI ブック 1：Cisco ASA シリーズ 9.10 CLI コンフィギュレーションガイド（一般的な操作）

章のタイトル：論理デバイス Firepower 4100/9300

インターフェイスタイプ

次のインラインセット FTD

ファイアウォールモード

ハイアベイラビリティ

コンテキストモード

EtherChannel（ポートチャネル）の追加

ハイアベイラビリティペアの追加