Cisco Firepower Threat Defense バージョン 6.1 コンフィギュレーション ガイド(Firepower Device Manager 用)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月8日
章のタイトル: インターフェイス
インターフェイス
Firepower Threat Defenseインターフェイスについて
Firepower Threat Defenseデバイスは、データ インターフェイスに加えて管理/診断インターフェイスが含まれています。次のトピックでは、Firepower Device Manager、および他のインターフェイス管理概念を通じたインターフェイス設定に関する制限事項について説明します。
インターフェイス設定の制限事項
Firepower Device Manager を使用してデバイスを設定する場合、インターフェイス設定に関するいくつかの制限があります。次の機能のいずれかが必要である場合、デバイスを設定するためにFirepower Management Centerを使用する必要があります。
-
ルーテッド ファイアウォール モードのみがサポートされます。トランスペアレント ファイアウォール モードのインターフェイスは設定できません。
-
IPS 専用モードはサポートされていません。IPS 専用処理では、インターフェイスをインライン、インライン タップ、パッシブ、または ERSPAN に設定することはできません。IPS 専用モードのインターフェイスは、多数のファイアウォールのチェックをバイパスし、IPS セキュリティ ポリシーのみをサポートします。対照的に、ファイアウォール モードのインターフェイスでは、トラフィックが、フローの維持、IP レイヤおよび TCP レイヤの両方でのフロー状態の追跡、TCP の標準化などのファイアウォール機能の対象となります。また、任意で、セキュリティ ポリシーに従ってファイアウォール モードのトラフィックに IPS 機能を設定することもできます。
-
冗長インターフェイスでは EtherChannel を設定できません。
-
IPv4 の PPPoE を設定することはできません。インターネット インターフェイスが DSL、ケーブル モデム、または ISP へのその他の接続に接続されていて、ISP が PPPoE を使用して IP アドレスを提供している場合、これらの構成を設定するには、Firepower Management Centerを使用する必要があります。
-
ASA 5512-X、5515-X、5525-X、5545-X、および 5555-X では、オプションのネットワーク インターフェイス カード(EPM)を設置できます。カードはブートストラップの間にのみ検出されます(つまり、インストールの間にローカルまたはリモート管理を切り替えるとき、およびメジャー/マイナー リリース アップグレードの間)。SFP インターフェイスを含むカードでは、Firepower Device Manager が速度とデュプレックスを「自動」に設定しますが、SFP インターフェイスは「自動」に設定された速度とデュプレックスはサポートしていません。速度とデュプレックスは手動で設定する必要があります。速度を 1000 に設定し、デュプレックスを [フル(Full)] に設定してから設定を展開します。リンクが機能しない場合、異なる速度を試行します。
ルーテッド インターフェイス
ルーテッド ファイアウォール モードでは、各インターフェイスは、一意のサブネットで IP アドレスを設定する必要があるレイヤ 3 ルーテッド インターフェイスになります。
1 つのインターフェイスに IPv6 アドレスと IPv4 アドレスの両方を設定できます。IPv4 と IPv6 の両方で、デフォルト ルートを設定してください。
IPv6 アドレス指定
次の 2 種類の IPv6 のユニキャスト アドレスを設定できます。
-
グローバル:グローバル アドレスは、パブリック ネットワークで使用可能なパブリック アドレスです。次のいずれかをグローバル アドレスとして指定することはできません。
-
リンクローカル:リンクローカル アドレスは、直接接続されたネットワークだけで使用できるプライベート アドレスです。ルータは、リンクローカル アドレスを使用してパケットを転送するのではなく、特定の物理ネットワーク セグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決およびネイバー探索などのネットワーク検出機能に使用できます。
最低限、IPv6 が動作するようにリンクローカル アドレスを設定する必要があります。グローバル アドレスを設定すると、リンクローカル アドレスがインターフェイスに自動的に設定されるため、リンクローカル アドレスを個別に設定する必要はありません。グローバル アドレスを設定しない場合は、リンクローカル アドレスを自動的にするか、手動で設定する必要があります。
管理/診断インターフェイスとネットワーク配置
物理的な管理インターフェイスは、診断論理インターフェイスと管理論理インターフェイスの間で共有できます。
管理インターフェイス
管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。これはコンフィギュレーション インターフェイス を実行し、デバイスのコマンドライン インターフェイス(CLI)にアクセスしてさまざまな機能の更新情報を取得するために使用されます。アドレスは ページで設定します。configure network コマンドを使用して、CLIに追加の設定を構成できます。
診断インターフェイス
診断論理インターフェイスは、他のデータ インターフェイスと一緒に設定できます。診断インターフェイスの使用はオプションです。たとえば、データ インターフェイスを介してリモート syslog サーバにログ メッセージを送信する必要がない場合は、IP アドレスを設定します。診断インターフェイスは管理トラフィックのみを許可し、トラフィックのスルーは許可しません。
ルーテッド モードの導入
内部ルータがない場合は診断インターフェイスの IP アドレスを設定しないことをお勧めします。診断インターフェイスの IP アドレスを設定しなければ、他のデータ インターフェイスと同じネットワーク上に管理インターフェイスを配置できます。診断インターフェイスを設定すると、一般的にその IP アドレスは管理 IP アドレスと同じネットワークになり、他のデータ インターフェイスと同じネットワーク上に存在できない標準インターフェイスと見なされます。管理インターフェイスは更新のためにインターネットにアクセスする必要があるため、管理インターフェイスを内部インターフェイスと同じネットワーク上に置くと、内部にスイッチのみを持つFirepower Threat Defenseデバイスを導入して、そのゲートウェイとして内部インターフェイスを指定することができます。内部スイッチを使用する次の導入を参照してください。
ASA 5506-X、ASA 5508-X、または ASA 5516-X で上記のシナリオをケーブル接続するには、次を参照してください。
診断 IP アドレスを設定する場合は、内部ルータが必要です。
セキュリティ ゾーン
各インターフェイスは、単一のセキュリティ ゾーンに割り当てることができます。その後、ゾーンに基づいてセキュリティ ポリシーを適用します。たとえば、内部インターフェイスを内部ゾーンに割り当て、外部インターフェイスを外部ゾーンに割り当てることができます。また、たとえば、トラフィックが内部から外部に移動できるようにアクセス コントロール ポリシーを設定することはできますが、外部から内部に向けては設定できません。
診断/管理インターフェイスはゾーンに含まれません。ゾーンは、データ インターフェイスにのみ適用されます。
[オブジェクト(Objects)]ページで、セキュリティ ゾーンを作成できます。
Auto-MDI/MDIX 機能
RJ-45 インターフェイスでは、デフォルトの自動ネゴシエーション設定に Auto-MDI/MDIX 機能も含まれています。Auto-MDI/MDIX は、オートネゴシエーション フェーズでストレート ケーブルを検出すると、内部クロスオーバーを実行することでクロス ケーブルによる接続を不要にします。インターフェイスの Auto-MDI/MDIX をイネーブルにするには、速度とデュプレックスのいずれかをオートネゴシエーションに設定する必要があります。速度とデュプレックスの両方に明示的に固定値を指定すると、両方の設定でオートネゴシエーションがディセーブルにされ、Auto-MDI/MDIX もディセーブルになります。ギガビット イーサネットの速度と二重通信をそれぞれ 1000 と全二重に設定すると、インターフェイスでは常にオートネゴシエーションが実行されるため、Auto-MDI/MDIX は常にイネーブルになり、ディセーブルにできません。
MTU について
MTU は、Firepower Threat Defense デバイス が特定のイーサネット インターフェイスで送信する最大フレーム ペイロード サイズを指定します。MTU の値は、イーサネット ヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレーム サイズです。たとえば MTU を 1500 に設定した場合、想定されるフレーム サイズはヘッダーを含めて 1518 バイト、VLAN を使用する場合は 1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。
パス MTU ディスカバリ
Firepower Threat Defense デバイス は、パス MTU ディスカバリ(RFC 1191 に規定)をサポートします。つまり、2 台のホスト間のネットワーク パス内のすべてのデバイスで MTU を調整できます。したがって、パスの最小 MTU の標準化が可能です。
MTU およびフラグメンテーション
IPv4 では、出力 IP パケットが指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは宛先(場合によっては中間ホップ)で組み立て直されますが、フラグメント化はパフォーマンス低下の原因となります。IPv6 では、通常、パケットをフラグメント化することはできません。したがって、フラグメント化を避けるために、IP パケットを MTU サイズ以内に収める必要があります。
UDP または ICMP の場合、アプリケーションではフラグメント化を避けるために MTU を考慮する必要があります。
 (注) | Firepower Threat Defense デバイス はメモリに空きがある限り、設定された MTU よりも大きいフレームを受信できます。 |
MTU とジャンボ フレーム
MTU が大きいほど、大きいパケットを送信できます。パケットが大きいほど、ネットワークの効率が良くなる可能性があります。次のガイドラインを参照してください。
-
トラフィック パスの MTU の一致:すべての Firepower Threat Defense デバイス インターフェイスとトラフィック パス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することをお勧めします。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。
ジャンボ フレームへの対応:ジャンボ フレームとは、標準的な最大値 1522 バイト(レイヤ 2 ヘッダーおよび VLAN ヘッダーを含む)より大きく、9216 バイトまでのイーサネット パケットのことです。ジャンボ フレームに対応するために、9198 バイトまでの MTU を設定できます。
(注)
MTU を増やすとジャンボ フレームに割り当てられるメモリが増加し、他の機能(アクセス ルールなど)の最大使用量が制限される場合があります。ASA 5500-X シリーズ デバイスで、MTU をデフォルトの 1500 以上に増やす場合、システムを再起動する必要があります。
インターフェイスの設定
インターフェイス接続のためにケーブルを接続するとき、インターフェイスを設定する必要があります。最小限の作業として、物理インターフェイスを有効にし、このインターフェイスに IP アドレスを割り当てる必要があります。単一の物理インターフェイスではなく、VLAN サブインターフェイスを特定のポートで作成する場合、通常、物理インターフェイスではなくサブインターフェイス上で IP アドレスを設定します。VLAN サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。
インターフェイス リストは、利用可能なインターフェイス、その名前、アドレスおよびステータスを表示します。インターフェイスのステータスは、インターフェイスのリストで直接オン/オフを変更できます。このリストは、設定に基づいたインターフェイス特性を示します。
インターフェイスの現在の状態をモニタするには、ポート グラフィックを使用します。マウス オーバーでその IP アドレス、有効なステータスとリンク ステータスを確認します。IP アドレスは DHCP を使用して静的に割り当てたり取得したりできます。
インターフェイス ポートは、次のカラー コーディングを使用します。
-
緑:インターフェイスが設定され、イネーブルであり、リンクが稼働中です。
-
グレー:インターフェイスがイネーブルではありません。
-
オレンジ/赤:インターフェイスが設定され、イネーブルですが、リンクがダウンしています。インターフェイスが有線接続されている場合、これは修正が必要なエラー状態です。インターフェイスが有線接続されていない場合、これは予想される状態です。
次に、インターフェイスの設定方法について説明します。
物理インターフェイスの設定
少なくとも、使用する物理インターフェイスは有効にする必要があります。通常は名前も付けて、IP アドレッシングを設定します。VLAN サブインターフェイスを作成する予定の場合、、IP アドレッシングを設定する必要はありません。
接続されたネットワークでの送信を一時的に防ぐために、インターフェイスを無効にすることができます。インターフェイスの設定を削除する必要はありません。
| ステップ 1 | [デバイス(Device)]メニューのデバイス名クリックして、[インターフェイス(Interfaces)] サマリのリンクをクリックします。 インターフェイス リストに、使用可能なインターフェイス、インターフェイス名、アドレス、および状態が表示されます。 | ||||
| ステップ 2 | 編集する物理インターフェイスの編集アイコン( )をクリックします。 | ||||
| ステップ 3 | インターフェイスを有効にするには、 をクリックします。 この物理インターフェイスのサブインターフェイスを設定する予定の場合、すでに設定している可能性が高いです。[保存(Save)]をクリックして、VLAN サブインターフェイスと 802.1Q トランキングの設定に進みます。保存しない場合は、次に進みます。
| ||||
| ステップ 4 | 以下を設定します。
| ||||
| ステップ 5 | [IPv4 アドレス(IPv4 Address)]タブをクリックして、IPv4 アドレスを設定します。
[タイプ(Type)]フィールドから次のいずれかのオプションを選択します。
| ||||
| ステップ 6 | (オプション)[IPv6 アドレス(IPv6 Address)]タブをクリックして、IPv6 アドレスを設定します。
| ||||
| ステップ 7 | (オプション)詳細インターフェイス オプションの設定
詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。 | ||||
| ステップ 8 | [保存(Save)]をクリックします。 |
VLAN サブインターフェイスと 802.1Q トランキングの設定
VLAN サブインターフェイスを使用すると、1 つの物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやデバイスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。
物理インターフェイス上のタグなしパケットの禁止:サブインターフェイスを使用する場合、通常は、物理インターフェイスをトラフィックが通過しないようにします。これは、物理インターフェイスはタグなしパケットを通過させるためです。トラフィックがサブインターフェイスを通過するためには物理インターフェイスを有効にする必要があるため、物理インターフェイスに名前を付けないことで、物理インターフェイスをトラフィックが通過しないようにします。物理インターフェイスにタグなしパケットを通過させる場合は、通常どおりインターフェイスに名前を付けることができます。
| ステップ 1 | [デバイス(Device)]メニューのデバイス名クリックして、[インターフェイス(Interfaces)] サマリのリンクをクリックします。 インターフェイス リストに、使用可能なインターフェイス、インターフェイス名、アドレス、および状態が表示されます。サブインターフェイスはそれぞれの物理インターフェイスの下にグループ化されます。 | ||||
| ステップ 2 | 次のいずれかを実行します。
サブインターフェイスが不要になった場合は、削除するサブインターフェイスの削除アイコン( | ||||
| ステップ 3 | インターフェイスを有効にするには、 をクリックします。 | ||||
| ステップ 4 | 親インターフェイス、名前、説明を設定します。
| ||||
| ステップ 5 | サブインターフェイスの一般的な特性を設定します。 | ||||
| ステップ 6 | [IPv4 アドレス(IPv4 Address)]タブをクリックして、IPv4 アドレスを設定します。
[タイプ(Type)]フィールドから次のいずれかのオプションを選択します。
| ||||
| ステップ 7 | (オプション)[IPv6 アドレス(IPv6 Address)]タブをクリックして、IPv6 アドレスを設定します。
| ||||
| ステップ 8 | (オプション)詳細インターフェイス オプションの設定
詳細設定には、ほとんどのネットワークに適しているデフォルト設定があります。デフォルト設定はネットワークの問題を解決する場合のみ編集します。 | ||||
| ステップ 9 | [保存(Save)]をクリックします。 |
詳細インターフェイス オプションの設定
詳細インターフェイス オプションには、ほとんどのネットワークに適しているデフォルト設定があります。ネットワークの問題を解決する場合のみ設定を行います。
次の手順は、インターフェイスがすでに定義されていることを前提としています。これらの設定は、インターフェイスの初期編集時または作成時にも編集できます。
モニタリング インターフェイス
次の領域に、インターフェイスに関する一部の基本情報を表示できます。
-
。[スループット(Throughput)]ダッシュボードには、システムを介して移動するトラフィックに関する情報が表示されます。すべてのインターフェイスに関する情報を表示できます。または、調査する特定のインターフェイスを選択できます。
-
および [出力ゾーン(Egress Zones)]。これらのダッシュボードには、インターフェイスで構成されるゾーンに基づいた統計情報が表示されます。詳細について、この情報を掘り下げることができます。
-
[デバイス(Device)]。接続図にインターフェイスのステータスが表示されます。ポートの上にマウスを移動すると、インターフェイスの IP アドレス、インターフェイスの状態、およびリンク ステートが表示されます。この情報を使用すると、起動している必要がある場合にダウンしているインターフェイスを特定できます。
CLI でのインターフェイスのモニタリング
デバイス CLI にログインして次のコマンドを使用すると、インターフェイス関連の動作および統計情報に関するより詳細な情報を取得することもできます。
-
show interface は、インターフェイスの統計情報および設定情報を表示します。このコマンドには多数のキーワードがあり、必要な情報を取得するために使用できます。使用可能なオプションを表示するには、「?」をキーワードとして使用します。
-
show ipv6 interface は、インターフェイスに関する IPv6 設定情報を表示します。
-
show bridge-group は、メンバー情報や IP アドレスを含む、ブリッジ仮想インターフェイス(BVI)に関する情報を表示します。
-
show conn は、インターフェイスを介して現在確立されている接続に関する情報を表示します。
-
show traffic は、各インターフェイスを介して移動するトラフィックに関する統計情報を表示します。
-
show ipv6 traffic は、デバイスを介して移動する IPv6 トラフィックに関する統計情報を表示します。
-
show dhcpd は、インターフェイスでの DHCP の使用状況、特にインターフェイスで設定されている DHCP サーバに関する統計情報とその他の情報を表示します。
フィードバック