Cisco Firepower NGIPSv(VMware 向け)クイック スタート ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2019年4月10日
章のタイトル: VMware 向け Cisco Firepower NGIPSv 展開
VMware 向け Cisco Firepower NGIPSv 展開
Cisco Firepower NGIPSv 仮想デバイスをインストールするには、プラットフォーム インターフェイス(VMware vCloud Director Web ポータルまたは vSphere Client)を使用して、管理プラットフォーム(VMware vCloud Director または VMware vCenter)に OVF(VI または ESXi)テンプレートを展開します。
- VI OVF テンプレートを使用して展開する場合、インストール時に Firepower システム の必須設定を構成できます。この仮想アプライアンスは VMware vCloud Director または VMware vCenter を使用して管理する必要があります。
- ESXi OVF テンプレートを使用して展開する場合、インストール後に Firepower システム の必須設定を構成する必要があります。この仮想アプライアンスは VMware vCloud Director または VMware vCenter のどちらかを使用して管理するか、スタンドアロン アプライアンスとして使用できます。
計画した展開が前提条件(動作環境の前提条件を参照)を満たしていることを確認し、必要なアーカイブ ファイルをダウンロードしたら、VMware vCloud Director Web ポータルまたは vSphere Client を使用して仮想アプライアンスをインストールします。
Cisco Firepower NGIPSv 仮想デバイスのインストールには、次のインストール オプションがあります。
-VI-X.X.X-xxx.ovf
-ESXi-X.X.X-xxx.ovf
ここで、 X.X.X-xxx は、使用するファイルのバージョンとビルド番号を表します。
VI OVF テンプレートを使用して展開する場合、インストール プロセスで、Cisco Firepower NGIPSv 仮想デバイスの初期設定全体を実行できます。次を指定することができます。
ESXi OVF テンプレートを使用して展開する場合、またはセットアップ ウィザードを使用する構成を選択しない場合、VMware コンソールを使用して仮想アプライアンスの初期設定を実行する必要があります。指定する構成に関するガイダンスなど、初期設定の実行の詳細については、VMware 向け Cisco Firepower Virtual の設定を参照してください。
次のオプションのいずれかを使用して、仮想アプライアンスをインストールします。
- Cisco Firepower NGIPSv 仮想デバイスを VMware vCloud Director に展開する(VMware vCloud Director を使用した展開を参照)。
- Cisco Firepower NGIPSv 仮想デバイスを VMware vCenter に展開する(VMware vSphere を使用した展開を参照)。
VMware vCloud Director を使用した展開
VMware vCloud Director Web ポータルを使用すると、vApp テンプレートを使って Cisco Firepower NGIPSv 仮想デバイスを展開できます。展開に VMware vCloud Director を使用するには、組織とカタログを作成し、Cisco.com から取得した OVF パッケージをアップロードして、vApp テンプレートを使って Cisco Firepower NGIPSv を作成します。
仮想アプライアンス OVF パッケージのアップロード
Cisco Firepower NGIPSv 仮想デバイスの OVF パッケージを VMware vCloud Director 組織カタログにアップロードできます。
- vApp テンプレートを含める組織とカタログを作成します。詳細については、『 VMware vCloud Director User's Guide 』を参照してください。
- Cisco.com から OVF テンプレートをダウンロードするには、「インストール ファイルの取得」を参照してください。
1.
VMware vCloud Director Web ポータルで、[カタログ(Catalogs)] > [組織(Organization)] > [vApp テンプレート(vApp Templates)] を選択します。ここで、[組織(Organization)] は、vApp テンプレートを含める組織の名前です。
2. [vApp Templates media] タブで、アップロード アイコン(
)をクリックします。
3. [OVF package] フィールドに、OVF パッケージの場所を入力するか、[Browse] をクリックして Cisco Firepower NGIPSv 仮想デバイスの OVF パッケージを参照します。
-VI-X.X.X-xxx.ovf
ここで、 X.X.X-xxx は、アップロードする OVF パッケージのバージョンとビルド番号を表します。
4. 名前およびオプションで OVF パッケージの説明を入力します。
5. ドロップダウン リストから、vApp テンプレートを含める、仮想データセンター、ストレージ プロファイル、およびカタログを選択します。
- vApp テンプレートから仮想デバイスを作成します。vApp テンプレートの使用を参照してください。
vApp テンプレートの使用
vApp テンプレートを使用して Cisco Firepower NGIPSv 仮想デバイスを作成し、セットアップ ウィザードを使用したインストール時に Firepower システムの必須設定を構成できます。
1. VMware vCloud Director Web ポータルで、[個人用クラウド(My Cloud)] > [vApps] を選択します。
2. [vApp メディア(vApps media)] タブで、追加アイコン(
)をクリックし、カタログから vApp を追加します。
3. テンプレートのメニュー バーの [All Templates] をクリックします。
4. 追加する vApp テンプレートを選択し、Cisco Firepower NGIPSv 仮想デバイスの説明を表示します。
ここで、 X.X.X-xxx は、アーカイブ ファイルのバージョンとビルド番号を表します。
6. 名前およびオプションで vApp の説明を入力します。
7. [リソースの設定(Configure Resources)] 画面で、仮想データセンターを選択し、システム名を入力して(またはデフォルトのシステム名を使用して)、ストレージ プロファイルを選択します。
8. 外部、管理、および内部の送信元に対する宛先と IP の割り当てを選択することにより、OVF テンプレートで使用されるネットワークをインベントリのネットワークにマッピングします。
9. オプションで、[Custom Properties] 画面で、セットアップ ウィザードの Firepower システム の必須設定を入力し、アプライアンスの初期設定を実行します。初期設定をすぐに実行しない場合、VMware 向け Cisco Firepower Virtual の設定の手順を使用して、後で行うことができます。
10. 設定を確認し、[完了(Finish)] をクリックします。
(注)仮想デバイスの [展開後に電源を入れる(Power on after deployment)] オプションを有効化しないでください。センシング インターフェイスをマッピングする必要があります。必ず、アプライアンスの電源を投入する前にセンシング インターフェイスが接続するように設定してください。詳細については、仮想アプライアンスの初期化を参照してください。
- 仮想アプライアンスのハードウェアおよびメモリ設定の変更、またはインターフェイスの設定が必要かどうかを確認します。インストール後の設定を参照してください。
VMware vSphere を使用した展開
VMware vSphere vCenter、vSphere Client、vSphere Web クライアント、または vSphere Hypervisor(スタンドアロン ESXi 展開の場合)を使用して、Cisco Firepower NGIPSv 仮想デバイスを展開できます。vSphere を使用して、VI OVF テンプレートまたは ESXi OVF テンプレートのいずれかによる展開が可能です。
- VI OVF テンプレートを使用して展開する場合、アプライアンスは VMware vCenter または VMware vCloud Director で管理する必要があります。
- OVF ESXi テンプレートを使用して展開する場合、アプライアンスを VMware vCenter または VMware vCloud Director で管理するか、またはスタンドアロン ホストに展開できます。いずれの場合も、インストール後に Firepower システム の必須設定を構成する必要があります。
- Cisco.com から OVF テンプレートをダウンロードするには、「インストール ファイルの取得」を参照してください。
1. vSphere Client を使用して、[ファイル(File)] > [OVF テンプレートの展開(Deploy OVF Template)] をクリックし、以前にダウンロードした OVF テンプレートを展開します。
2. ドロップダウン リストから、Cisco Firepower NGIPSv 仮想デバイスに展開する OVF テンプレートを 1 つ選択します。
ここで、 X.X.X-xxx は、ダウンロードしたアーカイブ ファイルのバージョンとビルド番号を表します。
3. [OVF テンプレートの詳細(OVF Template Details)] ページが表示されるので [次へ(Next)] をクリックします。
4. ライセンス契約書が OVF テンプレート(VI テンプレートのみ)に含まれている場合は、エンドユーザ ライセンス契約のページが表示されます。ライセンス条項に同意し、[次へ(Next)] をクリックすることに同意します。
5. 名前を編集し、Cisco Firepower NGIPSv を配置するインベントリ内のフォルダの場所を選択して、[Next] をクリックすることもできます。
(注)vSphere クライアントが ESXi ホストに直接接続されている場合、フォルダの場所を選択するオプションは表示されません。
6. Cisco Firepower NGIPSv を展開するホストまたはクラスタを選択して、[次へ(Next)] をクリックします。
7. Cisco Firepower NGIPSv を実行するリソース プールに移動して選択し、[次へ(Next)] をクリックします。
(注)このページは、クラスタにリソース プールが含まれている場合にのみ表示されます。
8. 仮想マシン ファイルを保存する場所を選択し、[次へ(Next)] をクリックします。
このページで、宛先クラスタまたはホストですでに設定されているデータストアから選択します。仮想マシン コンフィギュレーション ファイルおよび仮想ディスク ファイルが、このデータストアに保存されます。仮想マシンとそのすべての仮想ディスク ファイルを保存できる十分なサイズのデータストアを選択してください。
9. 仮想マシンの仮想ディスクを保存するためのディスク形式を選択し、[次へ(Next)] をクリックします。
[シックプロビジョン(Thick Provisioned)] を選択すると、すべてのストレージは、ただちに割り当てられます。[シンプロビジョン(Thin Provisioned)] を選択すると、データが仮想ディスクに書き込まれるときに、必要に応じてストレージが割り当てられます。
10. [Network Mapping] 画面で、NGIPSv 管理インターフェイスと 2 つのセンシング インターフェイス(内部および外部)を VMware ネットワークに関連付けます。
OVF テンプレートで指定されたネットワークごとに、インフラストラクチャの [宛先ネットワーク(Destination Networks)] 列を右クリックしてネットワークを選択し、Cisco Firepower NGIPSv インターフェイスごとにネットワーク マッピングを設定して、[次へ(Next)] をクリックします。
Firepower Management Center から到達可能な VM ネットワークに管理インターフェイスが関連付けられていることを確認します。非管理インターフェイスは Firepower Management Center から設定できます。
11. 管理 Firepower Management Center の [Detection Mode] や [Registration] 情報など、ユーザ設定可能なプロパティが OVF テンプレートにパッケージ化されている場合(VI テンプレートのみ)、設定可能なプロパティを設定して [Next] をクリックします。
12. [Ready to Complete] ウィンドウで設定を確認します。
13. 設定を確認したら [Finish] をクリックします。
(注)仮想アプライアンスの [Power on after deployment] オプションを有効にしないでください。センシング インターフェイスをマッピングする必要があります。必ず、アプライアンスの電源を投入する前にセンシング インターフェイスが接続するように設定してください。詳細については、仮想アプライアンスの初期化を参照してください。
14. インストールが完了したら、ステータス ウィンドウを閉じます。
15. ウィザードが完了すると、vSphere Web Client は VM を処理します。[最近使用したタスク(Recent Tasks)] ペインの [グローバル情報(Global Information)] 領域で [OVF 展開の初期設定(Initialize OVF deployment)] ステータスを確認できます。
この手順が終了すると、[Deploy OVF Template] 完了ステータスが表示されます。
その後、Cisco Firepower NGIPSv VM インスタンスがインベントリ内の指定されたデータセンターの下に表示されます。新しい VM の起動には、最大 30 分かかることがあります。
(注)Cisco Licensing Authority に Cisco Firepower NGIPSv を正常に登録するには、Cisco Firepower NGIPSv にインターネット アクセスが必要です。インターネットに接続してライセンス登録を完了させるには、導入後に追加の設定が必要になることがあります。
- 仮想アプライアンスのハードウェアおよびメモリ設定の変更、またはインターフェイスの設定が必要かどうかを確認します。インストール後の設定を参照してください。
インストール後の設定
仮想アプライアンスの展開後に、仮想アプライアンスのハードウェアおよびメモリの設定が展開の要件を満たしていることを確認します。デフォルトの設定は、システム ソフトウェアの実行の最小要件であるため、 減らさない でください。ただし、使用可能なリソースによっては、パフォーマンスを向上させるために仮想アプライアンスのメモリと CPU の数を増やすことができます。次の表に、デフォルトのアプライアンス設定を示します。
|
|
|
|
|---|---|---|
仮想マシンのプロパティの確認
|
|
||||
[Vmware 仮想マシンプロパティ(VMware Virtual Machine Properties)] ダイアログボックスを使用して、選択した仮想マシンのホスト リソースの割り当てを調整できます。このタブで、CPU、メモリ、ディスク、および拡張 CPU リソースを変更できます。また、仮想マシンの仮想イーサネット アダプタ設定の電源接続設定、MAC アドレス、およびネットワーク接続を変更できます。
1. 新しい仮想アプライアンスの名前を右クリックし、コンテキスト メニューから [Edit Settings] を選択するか、メイン ウィンドウの [Getting Started] タブから [Edit virtual machine settings] をクリックします。
2. デフォルトの仮想アプライアンス設定に示すように、[メモリ(Memory)]、[CPU(CPUs)]、および [ハードディスク 1(Hard disk 1)] の設定がデフォルト値以上になっていることを確認します。
アプライアンスのメモリ設定および仮想 CPU の数は、ウィンドウの左側に表示されます。ハード ディスクの プロビジョニング サイズ を表示するには、[ハードディスク 1(Hard disk 1)] をクリックします。
3. オプションで、ウィンドウの左側の適切な設定をクリックしてメモリと仮想 CPU の数を増やし、ウィンドウの右側で変更します。
4. [ネットワークアダプタ 1(Network adapter 1)] 設定が次のようになっていることを確認し、必要に応じて変更します。
a. [デバイスのステータス(Device Status)] の下で、[パワーオン時に接続(Connect at power on)] チェックボックスを有効にします。
b. [MAC アドレス(MAC Address)] の下で、仮想アプライアンスの管理インターフェイスの MAC アドレスを手動で設定します。
仮想アプライアンスに手動で MAC アドレスを割り当て、ダイナミック プール内の他のシステムによる MAC アドレスの変更または競合を回避します。
また、仮想 Cisco Firepower Management Center の場合、MAC アドレスを手動で設定することにより、アプライアンスの再イメージ化が必要になった場合に、Cisco からライセンスを再要求しなくて済みます。
c. [ネットワーク接続(Network Connection)] の下で、[ネットワークラベル(Network label)] に仮想アプライアンスの管理ネットワーク名を設定します。
- 仮想アプライアンスを初期化します。仮想アプライアンスの初期化を参照してください。
- オプションで、アプライアンスの電源を入れる前に、デフォルトの e1000 インターフェイスを vmxnet3 インターフェイスに置き換えるか、追加の管理インターフェイスを作成するか、またはその両方を実行することもできます。インターフェイスの追加と構成を参照してください。
インターフェイスの追加と構成
|
|
||||
デフォルトの e1000(1 Gbit/s)インターフェイスを vmxnet3(10 Gbit/s)インターフェイスに置き換えるには、e1000 インターフェイスのすべてを削除して、vmxnet3 インターフェイスに置き換えます。
展開内でインターフェイスを混在させることはできますが(仮想 Cisco Firepower Management Center で e1000 インターフェイス、およびその管理対象仮想デバイスで vmxnet3 インターフェイスなど)、同じアプライアンス上でインターフェイスを混在させることはできません。アプライアンス上のすべてのセンシング インターフェイスと管理インターフェイスは同じである必要があります(e1000 または vmxnet3 のいずれか)。
e1000 インターフェイスを vmxnet3 インターフェイスに置き換えるには、まず、vSphere Client を使用して既存の e1000 インターフェイスを削除した後、新しい vmxnet3 インターフェイスを追加し、適切なアダプタ タイプとネットワーク接続を選択します。
同じ仮想 Firepower Management Center に 2 つ目の管理インターフェイスを追加して、2 つの異なるネットワークのトラフィックを別々に管理することもできます。2 つ目の管理インターフェイスを 2 つ目のネットワーク上の管理対象デバイスに接続するように、追加の仮想スイッチを構成します。vSphere Client を使用して、仮想アプライアンスに 2 つ目の管理インターフェイスを追加します。
vSphere Client の使用に関する詳細については、VMware の Web サイト(http://vmware.com)を参照してください。複数の管理インターフェイスの詳細については、『 Firepower Management Center Configuration Guide 』の「Managing Devices」を参照してください。
(注)アプライアンスをオンにする前に、インターフェイスに対するすべての変更を実行します。インターフェイスを変更するには、Firepower Management Center から登録解除し、アプライアンスの電源をオフにしてインターフェイスを削除します。その後、新しいインターフェイスを追加してアプライアンスの電源をオンにしてから、Firepower Management Center に再登録します。
仮想デバイスのセンシング インターフェイスの設定
Cisco Firepower NGIPSv 仮想デバイスのセンシング インターフェイスには、無差別モードを受け入れる ESXi ホストの仮想スイッチ上のポートへのネットワーク接続が必要です。
(注)仮想スイッチにポート グループを追加し、無差別モードの仮想ネットワーク接続を実稼動トラフィックから分離します。ポート グループの追加とセキュリティ属性の設定の詳細については、VMware のマニュアルを参照してください。
1. vSphere Client を使用してサーバにログインし、サーバの [設定(Configuration)] タブをクリックします。
[ハードウェア(Hardware)] 選択リストと [ソフトウェア(Software)] 選択リストが表示されます。
2. [ハードウェア(Hardware)] リストで、[ネットワーキング(Networking)] をクリックします。
3. 仮想デバイスのセンシング インターフェイスを接続するスイッチおよびポート グループの [Properties] をクリックします。
4. [Switch Properties] ポップアップ ウィンドウで、[Edit] をクリックします。
5. [Detailed Properties] ポップアップ ウィンドウで、[Security] タブを選択します。
[Policy Exceptions] > [Promiscuous Mode] の下で、無差別モードが [Accept] に設定されていることを確認します。
(注)仮想環境で VLAN トラフィックを監視するには、無差別ポートの VLAN ID を 4095 に設定します。
- 仮想アプライアンスを初期化します。仮想アプライアンスの初期化を参照してください。
フィードバック