管理対象デバイスの 2 ～ 8 つの物理ポートを組み合わせて、スイッチド LAG インターフェイスを作成できます。トラフィックを処理できるようにするには、その前に、スイッチド LAG インターフェイスを仮想スイッチに割り当てる必要があります。管理対象デバイスは、最大 14 の LAG インターフェイスをサポートできます。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。

注意	デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

7000 または 8000 シリーズ デバイスの 2 ～ 8 つの物理ポートを組み合わせて、ルーテッド LAG インターフェイスを作成できます。トラフィックをルーティングする前に、ルーテッド LAG インターフェイスを仮想ルータに割り当てる必要があります。管理対象デバイスは、最大 14 の LAG インターフェイスをサポートできます。

ルーテッド LAG インターフェイスにスタティック Address Resolution Protocol（ARP）エントリを追加できます。外部ホストは、トラフィックの送信先となるローカル ネットワーク上の宛先 IP アドレスの MAC アドレスを知る必要がある場合は、ARP 要求を送信します。スタティック ARP エントリを設定する場合、仮想ルータは IP アドレスや関連付けられた MAC アドレスに応答します。

ルーテッド LAG インターフェイスの [ICMP 対応の応答数（ICMP Enable Responses）] オプションを無効にしても、すべてのシナリオで ICMP 応答が抑制されるわけではありません。引き続き、アクセス コントロール ルールを使用して、宛先 IP がルーテッド インターフェイスの IP であり、プロトコルが ICMP である接続を処理することができます。ポートおよび ICMP コードの条件を参照してください。

[ローカル ルータ トラフィックを検査する（Inspect Local Router Traffic）] オプションを有効にすると、パケットはホストに到達する前にドロップされるため、あらゆる応答が抑制されます。ローカル ルータ トラフィックの検査の詳細については、デバイスの詳細設定を参照してください。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。

注意	デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

各スイッチドまたはルーテッド集約インターフェイスごとに、複数の論理スイッチド インターフェイスを追加できます。論理 LAG インターフェイスで受信した VLAN タグ付きトラフィックを処理するには、各論理 LAG インターフェイスをその特定のタグに関連付ける必要があります。物理スイッチドまたはルーテッド インターフェイスに追加するのと同じ方法で、論理インターフェイスをスイッチドまたはルーテッド集約インターフェイスに追加します。

（注）	LAG インターフェイスを作成すると、デフォルトで「タグなし」論理インターフェイスが作成されます。このインターフェイスは lagn.0 ラベルによって識別されます（n は 0 ～ 13 の整数）。動作させるには、各 LAG にこの論理インターフェイスが少なくとも 1 つ必要です。LAG に追加の論理インターフェイスを関連付けて、VLAN タグ付きトラフィックを処理できます。追加する各論理インターフェイスには固有の VLAN タグが必要です。Firepower System は 1 ～ 4094 の VLAN タグをサポートします。

論理ルーテッド インターフェイスには、シスコ冗長プロトコル（SFRP）を設定することもできます。SFRP では、指定した IP アドレスに対する冗長なゲートウェイとしてデバイスを機能させることができます。

論理ルーテッド LAG インターフェイスの [ICMP 有効応答（ICMP Enable Responses）] オプションを無効にしても、すべてのシナリオで ICMP 応答が抑制されるわけではありません。宛先 IP がルーテッド インターフェイスの IP で、プロトコルが ICMP であるパケットをドロップするように、アクセス コントロール ポリシーにネットワークベースのルールを追加できます。

管理対象デバイスの詳細設定である [ローカル ルータ トラフィックの検閲（Inspect Local Router Traffic）] オプションを有効にした場合、パケットはホストに到達する前にドロップされるため、すべての応答を防ぐことができます。

MTU 値の範囲は管理対象デバイスのモデルとインターフェイス タイプによって異なる場合があります。

注意	デバイス上のすべての非管理インターフェイスの中で最大 MTU 値を変更し、設定変更を展開すると、Snort プロセスが再起動され、トラフィック インスペクションが一時的に中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

LAG バンドルのメンバー リンクへのトラフィックの分散方法を決定する出口ロード バランシング アルゴリズムを LAG に割り当てます。ロード バランシング アルゴリズムは、レイヤ 2 MAC アドレス、レイヤ 3 IP アドレス、レイヤ 4 ポート番号（TCP/UDP トラフィック）など、さまざまなパケット フィールドの値に基づいてハッシュを決定します。選択したロード バランシング アルゴリズムは、LAG バンドルのメンバー リンクすべてに適用されます。

LAG を設定する場合は、次のオプションから展開シナリオに対応するロード バランシング アルゴリズムを選択します。

• 宛先 IP（Destination IP）

• [宛先 MAC（Destination MAC）]

• [接続先ポート（Destination Port）]

• ソース IP

• [送信元 MAC（Source MAC）]

• 送信元ポート

• [送信元/宛先 IP（Source and Destination IP）]

• [送信元/宛先 MAC（Source and Destination MAC）]

• [送信元/宛先ポート（Source and Destination Port）]

  （注）	LAG の両端に同じロード バランシング アルゴリズムを設定する必要があります。必要に応じて、上位層のアルゴリズムが下位層のアルゴリズムにバックオフされます（例：ICMP トラフィックに対してレイヤ 3 にバックオフされるレイヤ 4 アルゴリズムなど）。

リンク アグリゲーションでは、両方のエンドポイントで各リンクの速度とメディアが同じである必要があります。リンク プロパティを動的に変更できるので、リンク選択ポリシーは、システムによるリンク選択プロセスの管理方法を決定する上で役立ちます。最大ポート数を最大化するリンク選択ポリシーはリンク冗長性をサポートし、総帯域幅を最大化するリンク選択ポリシーを全体的なリンク速度をサポートします。安定したリンク選択ポリシーは、リンク状態の過剰な変更を最小限に抑えようとします。

（注）	LAG の両端に同じリンク選択ポリシーを設定する必要があります。

次のオプションから展開シナリオに対応するリンク選択ポリシーを選択します。

• [最大ポート数（Highest Port Count）]：冗長性を向上させる最大アクティブ ポート数を割り当てるには、このオプションを選択します。

• [最大合計帯域幅（Highest Total Bandwidth）]：集約リンクに最大合計帯域幅を割り当てるには、このオプションを選択します。

• [安定（Stable）]：最大の課題がリンクの安定性と信頼性である場合は、このオプションを選択します。LAG を設定すると、アクティブ リンクは、ポート数や帯域幅が追加された場合ではなく、どうしても必要な場合（リンク障害などの場合）にのみ変更されます。

• [LACP 優先順位（LACP Priority）]：LAG でアクティブにするリンクを LACP アルゴリズムにより決定するには、このオプションを選択します。この設定は、展開目標が未定義の場合や、LAG の一端のデバイスが Firepower Management Center によって管理されていない場合に適しています。

LACP は、動的リンク アグリゲーションをサポートするリンク選択方式の自動化における主要部分です。LACP を有効にすると、LACP の優先度に基づいたリンク選択ポリシーは LACP の次のプロパティを使用します。

LACP システム プライオリティ

リンク アグリゲーションにおいて優位なデバイスを判断するには、LACP を実行している各パートナー デバイスにこの値を設定します。値が小さいシステムほど、システム プライオリティが高くなります。動的リンク アグリゲーションでは、最初に、LACP システム優先順位の高いシステム側でメンバー リンクに選択された状態が設定され、次に、優先順位の低いシステムでメンバー リンクが適宜設定されます。0 ～ 65535 を指定できます。値を指定しない場合、デフォルトの優先順位は 32768 になります。

LACP リンク優先順位。

集約グループに属する各リンクにこの値を設定します。リンク優先順位によって、LAG におけるアクティブ リンクとスタンバイ リンクが決まります。値が小さいリンクほど優先順位が高くなります。アクティブ リンクがダウンすると、最も優先順位の高いスタンバイ リンクが選択され、ダウンしたリンクと交換されます。ただし、複数のリンクの LACP リンク優先順位が同じである場合は、物理ポート番号が最も小さいリンクがスタンバイ リンクとして選択されます。0 ～ 65535 を指定できます。値を指定しない場合、デフォルトの優先順位は 32768 になります。

LACP を有効にする場合は、LAG の両端で転送モードを指定して、ペアになったデバイス間での LACP パケットの交換方法を指定する必要があります。LACP モードには次の 2 つのオプションがあります。

• [アクティブ（Active）]：デバイスをアクティブ ネゴシエーション ステートにするにはこのモードを選択します。このモードでは、デバイスは LACP パケットを送信することにより、リモート リンクとのネゴシエーションを開始します。

• [パッシブ（Passive）]：デバイスをパッシブ ネゴシエーション ステートにするにはこのモードを選択します。このモードでは、デバイスは受信した LACP パケットには応答しますが、LACP ネゴシエーションを開始しません。

  （注）	どちらのモードでも、LACP はリンク間でネゴシエートして、それらのリンクがポート速度などの基準に基づいてリンク バンドルを形成可能かどうかを判定できます。ただし、パッシブ対パッシブの構成は避けるようにしてください。そのような構成では、基本的に LAG の両端がリスニング モードになります。

LACP には、デバイス間での LACP パケットの送信頻度を定義するタイマーがあります。LACP は次のレートでパケットを交換します。

• [低速（Slow）]：30 秒

• [高速（Fast）]：1 秒

このオプションが適用されたデバイスは、LAG の反対側のパートナー デバイスからこの頻度で LACP パケットを受信することを予期します。

（注）	LAG がデバイス スタック内の管理対象デバイスに設定されている場合は、プライマリ デバイスだけがパートナー システムとの LACP 通信に参加します。すべてのセカンダリ デバイスは、LACP メッセージをプライマリ デバイスに転送します。プライマリ デバイスは、動的な LAG の変更をセカンダリ デバイスにリレーします。