Firepower Management Center バージョン 6.2 コンフィギュレーションガイド

通常の（ファイアウォール）モードインターフェイスの設定

通常のインターフェイスでは、物理インターフェイスを設定し、冗長インターフェイス、EtherChannel インターフェイス、および VLAN サブインターフェイスを作成することもできます。ルーテッドインターフェイスまたはブリッジインターフェイスを設定できます。

手順

ステップ 1	Firepower Threat Defense アプライアンスの場合は、次のタスクを実行します。FXOS シャーシ上の Firepower Threat Defense の場合は、Firepower 4100/9300 シャーシスーパバイザで基本のインターフェイス設定を構成します。詳細については、『Firepower 9300 configuration guide』を参照してください。物理インターフェイスの有効化およびイーサネット設定の構成（任意）冗長インターフェイスの設定冗長インターフェイスを設定して Firepower Threat Defense の信頼性を高めることができます。（任意） EtherChannel の設定 EtherChannel により複数のインターフェイスを組み合わせることができるため、単一ネットワークに帯域幅を増大し、インターフェイス冗長性を提供することもできます。
ステップ 2	（任意） VLAN サブインターフェイスと 802.1Q トランキングの設定. VLAN サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。
ステップ 3	ルーテッドモードのインターフェイスの設定またはのブリッジグループインターフェイスの設定
ステップ 4	（任意） IPv6 アドレッシングの設定
ステップ 5	（任意）インターフェイスの詳細設定を実行します。インターフェイスの MAC アドレス、MTU、およびその他の設定を手動で設定できます。

物理インターフェイスの有効化およびイーサネット設定の構成


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

ここでは、次の方法について説明します。

物理インターフェイスを有効にします。デフォルトでは、物理インターフェイスは無効になっています（診断インターフェイスを除く）。
特定の速度と二重通信を設定します。デフォルトでは、速度とデュプレックスは [自動（Auto）] に設定されます。

この手順は、インターフェイス設定のごく一部にすぎません。この時点では、他のパラメータを設定しないようにします。たとえば、EtherChannel または冗長インターフェイスの一部として使用するインターフェイスには名前を付けることはできません。

（注）

FXOS シャーシ上の Firepower Threat Defense の場合は、Firepower 4100/9300 シャーシで基本のインターフェイス設定を構成します。詳細については、『Firepower 9300 configuration guide』を参照してください。

始める前に

Management Center に追加した後、デバイスの物理インターフェイスを変更した場合、[インターフェイス（Interfaces）] タブの左上にある [デバイスからのインターフェイスの同期（Sync Interfaces from device）] ボタンをクリックしてそのインターフェイスリストを更新する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[モード（Mode）] ドロップダウンリストで、[なし（None）] を選択します。通常のファイアウォールインターフェイスのモードは [なし（None）] に設定されています。他のモードは IPS 専用インターフェイスタイプ向けです。
ステップ 4	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 5	（任意） [説明（Description）] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 6	（任意） [ハードウェア構成（Hardware Configuration）] タブをクリックして、デュプレックスと速度を設定します。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。[自動（Auto）] は、インターフェイスによってサポートされる場合のみデフォルトとなります。 [速度（Speed）]：[10]、[100]、[1000]、または [自動（Auto）] を選択します。デフォルトは [自動（Auto）] です。インターフェイスのタイプによって、選択可能なオプションが制限されます。
ステップ 7	[OK] をクリックします。
ステップ 8	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

EtherChannel インターフェイスと冗長インターフェイス

このセクションでは、EtherChannel インターフェイスと冗長インターフェイスを設定する方法について説明します。

EtherChannel インターフェイスと冗長インターフェイスについて

ここでは、EtherChannel インターフェイスと冗長インターフェイスについて説明します。

冗長インターフェイス

論理冗長インターフェイスは、物理インターフェイスのペア（アクティブインターフェイスとスタンバイインターフェイス）で構成されます。アクティブインターフェイスで障害が発生すると、スタンバイインターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して Firepower Threat Defense デバイスの信頼性を高めることができます。

最大 8 個の冗長インターフェイスペアを設定できます。

冗長インターフェイスの MAC アドレス

冗長インターフェイスでは、追加した最初の物理インターフェイスの MAC アドレスを使用します。コンフィギュレーションでメンバーインターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。または、冗長インターフェイスに手動で MAC アドレスを割り当てることができます。これはメンバーインターフェイスの MAC アドレスに関係なく使用されます。アクティブインターフェイスがスタンバイインターフェイスにフェールオーバーすると、トラフィックが中断しないように同じ MAC アドレスが維持されます。

EtherChannel

802.3ad EtherChannel は、単一のネットワークの帯域幅を増やすことができるように、個別のイーサネットリンク（チャネルグループ）のバンドルで構成される論理インターフェイスです（ポートチャネルインターフェイスと呼びます）。ポートチャネルインターフェイスは、インターフェイス関連の機能を設定するときに、物理インターフェイスと同じように使用します。

最大 48 個の EtherChannel を設定できます。

チャネルグループインターフェイス

各チャネルグループは、最大 16 個のアクティブインターフェイスを設定できます。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。16 個のアクティブインターフェイスの場合、スイッチがこの機能をサポートしている必要があります（たとえば、Cisco Nexus 7000 と F2 シリーズ 10 ギガビットイーサネットモジュール）。

チャネルグループのインターフェイスはすべて、同じタイプおよび同じ速度である必要があります。チャネルグループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。RJ-45 か SFP コネクタのいずれかで設定できるインターフェイスの場合、同一の EtherChannel に RJ-45 インターフェイスと SFP インターフェイスを混在させることができます。

EtherChannel によって、チャネル内の使用可能なすべてのアクティブインターフェイスのトラフィックが集約されます。インターフェイスは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号に基づいて、独自のハッシュアルゴリズムを使用して選択されます。

別のデバイスの EtherChannel への接続

Firepower Threat Defense デバイス EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 に接続できます。

スイッチが仮想スイッチングシステム（VSS）または仮想ポートチャネル（vPC）の一部である場合、同じ EtherChannel 内の Firepower Threat Defense デバイスインターフェイスを VSS/vPC 内の個別のスイッチに接続できます。スイッチインターフェイスは同じ EtherChannel ポートチャネルインターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。

Firepower Threat Defense デバイスをアクティブ/スタンバイフェールオーバー配置で使用する場合、Firepower Threat Defense デバイスごとに 1 つ、VSS/vPC 内のスイッチで個別の EtherChannel を作成する必要があります。各 Firepower Threat Defense デバイスで、1 つの EtherChannel が両方のスイッチに接続します。すべてのスイッチインターフェイスを両方の Firepower Threat Defense デバイスに接続する単一の EtherChannel にグループ化できる場合でも（この場合、個別の Firepower Threat Defense デバイスシステム ID のため、EtherChannel は確立されません）、単一の EtherChannel は望ましくありません。これは、トラフィックをスタンバイ Firepower Threat Defense デバイスに送信しないようにするためです。

リンク集約制御プロトコル

リンク集約制御プロトコル（LACP）では、2 つのネットワークデバイス間でリンク集約制御プロトコルデータユニット（LACPDU）を交換することによって、インターフェイスが集約されます。

EtherChannel 内の各物理インターフェイスを次のように設定できます。

アクティブ：LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブモードを使用する必要があります。
パッシブ：LACP アップデートを受信します。パッシブ EtherChannel は、アクティブ EtherChannel のみと接続を確立できます。
オン：EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。

LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバインターフェイスの両端が正しいチャネルグループに接続されていることがチェックされます。「オン」モードではインターフェイスがダウンしたときにチャネルグループ内のスタンバイインターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

ロードバランシング

Firepower Threat Defense デバイスは、パケットの送信元および宛先 IP アドレスをハッシュすることによって、パケットを EtherChannel 内のインターフェイスに分散します（この基準は設定可能です）。生成されたハッシュ値をアクティブなリンクの数で割り、そのモジュロ演算で求められた余りの値によってフローの割り当て先のインターフェイスが決まります。hash_value mod active_links の結果が 0 となるすべてのパケットは、EtherChannel 内の最初のインターフェイスへ送信され、以降は結果が 1 となるものは 2 番目のインターフェイスへ、結果が 2 となるものは 3 番目のインターフェイスへ、というように送信されます。たとえば、15 個のアクティブリンクがある場合、モジュロ演算では 0 ～ 14 の値が得られます。6 個のアクティブリンクの場合、値は 0 ～ 5 となり、以降も同様になります。

アクティブインターフェイスがダウンし、スタンバイインターフェイスに置き換えられない場合、トラフィックは残りのリンク間で再バランスされます。失敗はレイヤ 2 のスパニングツリーとレイヤ 3 のルーティングテーブルの両方からマスクされるため、他のネットワークデバイスへのスイッチオーバーはトランスペアレントです。

EtherChannel MAC アドレス

1 つのチャネルグループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対してトランスペアレントになります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。

ポートチャネルインターフェイスは、最も小さいチャネルグループインターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。または、ポートチャネルインターフェイスの MAC アドレスを手動で設定することもできます。グループチャネルインターフェイスのメンバーシップを変更する場合は、固有の MAC アドレスを設定することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネル MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。

EtherChannel インターフェイスと冗長インターフェイのガイドライン

ブリッジグループ

ルーテッドモードでは、EtherChannel はブリッジグループメンバーとしてサポートされません。

高可用性

冗長インターフェイスまたは EtherChannel インターフェイスを高可用性リンクとして使用する場合、高可用性ペアの両装置内で事前設定が必要です。プライマリ装置で設定し、その設定がセカンダリ装置に複製されることはありません。これは、高可用性リンク自体が複製に必要であるためです。
冗長インターフェイスまたは EtherChannel インターフェイスをステートリンクに対して使用する場合、特別なコンフィギュレーションは必要ありません。コンフィギュレーションは通常どおりプライマリ装置から複製されます。
冗長インターフェイスまたは EtherChannel インターフェイスから、高可用性をモニタできます。。アクティブなメンバーインターフェイスがスタンバイインターフェイスにフェールオーバーした場合、デバイスレベルの高可用性をモニタ中、このアクティビティが冗長インターフェイスまたは EtherChannel インターフェイスの障害発生の原因のように見えません。すべての物理インターフェイスで障害が発生した場合にのみ、冗長インターフェイスまたは EtherChannel インターフェイスで障害が発生しているように見えます（EtherChannel インターフェイスでは、障害の発生が許容されるメンバインターフェイスの数を設定できます）。
EtherChannel インターフェイスを高可用性またはステートリンクに使用する場合、out-of-order パケット（順番の乱れたパケット）を防ぐために、EtherChannel のインターフェイスを 1 つだけ使用します。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。高可用性リンクとして使用中の EtherChannel の設定は変更できません。設定を変更するには、変更時に EtherChannel をシャットダウンするか、高可用性を一時的にディセーブルにする必要があります。どちらの操作でも、その間は高可用性は行われません。

モデルのサポート

EtherChannel は、Firepower Threat Defense デバイスアプライアンスでのみサポートされています。ではサポートされませんFirepower Threat Defense Virtual。
Firepower 4100/9300 シャーシでは、Firepower Threat Defense デバイス OS ではなく、FXOS で EtherChannel を構成します。
Firepower 4100/9300 シャーシでは、冗長インターフェイスはサポートされません。

冗長インターフェイス

最大 8 個の冗長インターフェイスペアを設定できます。
すべての Firepower Threat Defense デバイスコンフィギュレーションは、メンバ物理インターフェイスではなく論理冗長インターフェイスを参照します。
EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを Firepower Threat Defense デバイス上で設定できます。
アクティブインターフェイスをシャットダウンすると、スタンバイインターフェイスがアクティブになります。
冗長インターフェイスは、診断 slot/port インターフェイスをメンバーとしてサポートしません。ただし、診断以外のインターフェイスで構成される冗長インターフェイスを、管理専用として設定することができます。

EtherChannel

EtherChannel は、Firepower Threat Defense デバイスアプライアンスでのみサポートされています。ではサポートされませんFirepower Threat Defense Virtual。
最大 48 個の EtherChannel を設定できます。
各チャネルグループは、最大 16 個のアクティブインターフェイスを設定できます。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。
チャネルグループのすべてのインターフェイスは、同じタイプと速度である必要があります。チャネルグループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。RJ-45 または SFP コネクタを使用するように設定できるインターフェイスの場合、同一の EtherChannel に RJ-45 インターフェイスと SFP インターフェイスの両方を含めることができることに注意してください。
Firepower Threat Defense デバイス EtherChannel の接続先のデバイスも 802.3ad EtherChannel をサポートしている必要があります。たとえば、Catalyst 6500 スイッチまたは Cisco Nexus 7000 スイッチに接続できます。
Firepower Threat Defense デバイスは、VLAN タグ付きの LACPDU をサポートしていません。Cisco IOS vlan dot1Q tag native コマンドを使用して、隣接スイッチのネイティブ VLAN タギングをイネーブルにすると Firepower Threat Defense デバイスはタグ付きの LACPDU をドロップします。隣接スイッチのネイティブ VLAN タギングは、必ずディセーブルにしてください。
15.1(1)S2 以前の Cisco IOS ソフトウェアバージョンを実行する Firepower Threat Defense デバイスでは、スイッチスタックへの EtherChannel の接続がサポートされませんでした。デフォルトのスイッチ設定では、Firepower Threat Defense デバイス EtherChannel がクロススタックに接続されている場合、マスタースイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0（無制限）などを設定します。または、15.1(1)S2 など、より安定したスイッチソフトウェアバージョンにアップグレードできます。
すべての Firepower Threat Defense デバイスコンフィギュレーションは、メンバ物理インターフェイスではなく論理 EtherChannel インターフェイスを参照します。
EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。ただし、同じ物理インターフェイスを使用するのでなければ、両方のタイプを Firepower Threat Defense デバイス上で設定できます。

冗長インターフェイスの設定

論理冗長インターフェイスは、物理インターフェイスのペア（アクティブインターフェイスとスタンバイインターフェイス）で構成されます。アクティブインターフェイスで障害が発生すると、スタンバイインターフェイスがアクティブになって、トラフィックを通過させ始めます。冗長インターフェイスを設定して Firepower Threat Defense の信頼性を高めることができます。デフォルトでは、冗長インターフェイスは有効になっています。

（注）

FXOS シャーシ上の Firepower Threat Defense では、冗長インターフェイスはサポートされません。

始める前に

最大 8 個の冗長インターフェイスペアを設定できます。
両方のメンバーインターフェイスが同じ物理タイプである必要があります。たとえば、両方ともギガビットイーサネットにする必要があります。
名前が設定されている場合は、物理インターフェイスを冗長インターフェイスに追加できません。最初に名前を削除する必要があります。


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

注意	コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバーインターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [冗長インターフェイス（Redundant Interface）] をクリックします。
ステップ 4	[一般（General）] タブで、次のパラメータを設定します。 [冗長 ID（Redundant ID）]：1 ～ 8 の整数を設定します。 [プライマリインターフェイス（Primary Interface）]：ドロップダウンリストからインターフェイスを選択します。インターフェイスを追加すると、インターフェイスのコンフィギュレーション（IP アドレスなど）はすべて削除されます。 [セカンダリインターフェイス（Secondary Interface）]：2 番目のインターフェイスは、最初のインターフェイスと同じ物理的なタイプである必要があります。
ステップ 5	[OK] をクリックします。
ステップ 6	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。
ステップ 7	（任意） VLAN サブインターフェイスを追加します。VLAN サブインターフェイスと 802.1Q トランキングの設定を参照してください。
ステップ 8	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはのブリッジグループインターフェイスの設定を参照してください。

EtherChannel の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

ここでは、EtherChannel ポートチャネルインターフェイスの作成、インターフェイスの EtherChannel への割り当て、EtherChannel のカスタマイズ方法について説明します。

（注）

FXOS シャーシ上の Firepower Threat Defense の場合は、Firepower 4100/9300 シャーシスーパバイザで EtherChannel を設定します。詳細については、『Firepower 9300 configuration guide』を参照してください。

始める前に

最大 48 個の EtherChannel を設定できます。
各チャネルグループは、最大 16 個のアクティブインターフェイスを設定できます。8 個のアクティブインターフェイスだけをサポートするスイッチの場合、1 つのチャネルグループに最大 16 個のインターフェイスを割り当てることができます。インターフェイスは 8 個のみアクティブにできるため、残りのインターフェイスは、インターフェイスの障害が発生した場合のスタンバイリンクとして動作できます。
チャネルグループのすべてのインターフェイスは、同じタイプ、速度、および二重通信である必要があります。半二重はサポートされません。
名前が設定されている場合は、物理インターフェイスをチャネルグループに追加できません。最初に名前を削除する必要があります。

（注）

コンフィギュレーション内で物理インターフェイスをすでに使用している場合、名前を削除すると、このインターフェイスを参照しているすべてのコンフィギュレーションが消去されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	物理インターフェイスの有効化およびイーサネット設定の構成に従って、メンバーインターフェイスを有効にします。
ステップ 3	[インターフェイスの追加（Add Interfaces）] > [Ether Channel インターフェイス（Ether Channel Interface）] をクリックします。
ステップ 4	[一般（General）] タブで、[Ether Channel ID（Ether Channel ID）] を 1 ～ 48 の数値に設定します。
ステップ 5	[使用可能なインターフェイス（Available Interfaces）] 領域でインターフェイスをクリックし、[追加（Add）] をクリックして [選択したインターフェイス（Selected Interface）] 領域にそのインターフェイスを移動します。メンバーを作成するすべてのインターフェイスに対して繰り返します。すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。Management Center では、一致しないインターフェイスの追加は防止されません。
ステップ 6	（任意） [詳細（Advanced）] タブをクリックして EtherChannel をカスタマイズします。[情報（Information）] サブタブで次のパラメータを設定します。 [ロードバランシング（Load Balance）]：パケットをグループチャネルインターフェイス間でロードバランスするために使用する基準を選択します。デフォルトでは、Firepower Threat Defense デバイスはパケットの送信元および宛先 IP アドレスに従って、インターフェイスでのパケットのロードをバランスします。パケットが分類される基準になるプロパティを変更する場合は、別の基準のセットを選択します。たとえば、トラフィックが同じ送信元および宛先 IP アドレスに大きく偏っている場合、EtherChannel 内のインターフェイスに対するトラフィックの割り当てがアンバランスになります。別のアルゴリズムに変更すると、トラフィックはより均等に分散される場合があります。ロードバランシングの詳細については、ロードバランシングを参照してください。 [LACP モード（LACP Mode）]：[アクティブ（Active）]、[パッシブ（Passive）]、または [オン（On）] を選択します。[アクティブ（Active）] モード（デフォルト）を使用することを推奨します。 [アクティブな物理インターフェイス：範囲（Active Physical Interface: Range）]：左側のドロップダウンリストから、EtherChannel をアクティブにするために必要なアクティブインターフェイスの最小数を 1 ～ 16 の範囲で選択します。デフォルトは 1 です。右側のドロップダウンリストから、EtherChannel で許可されるアクティブインターフェイスの最大数を 1 ～ 16 の範囲で選択します。デフォルトは 8 です。スイッチが 16 個のアクティブインターフェイスをサポートしていない場合、このコマンドは必ず 8 以下に設定する必要があります。 [アクティブな MAC アドレス（Active Mac Address）]：必要に応じて手動 MAC アドレスを設定します。mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
ステップ 7	（任意） [ハードウェア構成（Hardware Configuration）] タブをクリックしてデュプレックスと速度を設定し、すべてのメンバーインターフェイスでこれらの設定を上書きします。これらのパラメータはチャネルグループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。
ステップ 8	[OK] をクリックします。
ステップ 9	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。
ステップ 10	（任意） VLAN サブインターフェイスを追加します。VLAN サブインターフェイスと 802.1Q トランキングの設定を参照してください。
ステップ 11	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはのブリッジグループインターフェイスの設定を参照してください。

VLAN サブインターフェイスと 802.1Q トランキングの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

VLAN サブインターフェイスを使用すると、1 つの物理インターフェイス、冗長インターフェイス、または EtherChannel インターフェイスを、異なる VLAN ID でタグ付けされた複数の論理インターフェイスに分割できます。VLAN サブインターフェイスが 1 つ以上あるインターフェイスは、自動的に 802.1Q トランクとして設定されます。VLAN では、所定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスまたはデバイスを追加しなくても、ネットワーク上で使用できるインターフェイスの数を増やすことができます。

始める前に

物理インターフェイス上のタグなしパケットの禁止：サブインターフェイスを使用する場合、物理インターフェイスでトラフィックを通過させないようにすることもよくあります。物理インターフェイスはタグのないパケットを通過させることができるためです。この特性は、冗長インターフェイスペアのアクティブな物理インターフェイスと EtherChannel リンクにも当てはまります。サブインターフェイスでトラフィックを通過させるには物理、冗長、または EtherChannel インターフェイスを有効にする必要があるため、インターフェイスに名前を付けないことでトラフィックを通過させないようにします。物理、冗長、または EtherChannel インターフェイスにタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	[インターフェイスの追加（Add Interfaces）] > [インターフェイス（Sub Interface）] をクリックします。
ステップ 3	[一般（General）] タブで、次のパラメータを設定します。 [インターフェイス（Interface）]：サブインターフェイスを追加する物理、冗長、またはポートチャネルインターフェイスを選択します。 [サブインターフェイス ID（Sub-Interface ID）]：サブインターフェイス ID を 1 ～ 4294967295 の範囲の整数で入力します。許可されるサブインターフェイスの番号は、プラットフォームによって異なります。設定後は ID を変更できません。 [VLAN ID]：VLAN ID を 1 ～ 4094 の範囲で入力します。これは、このサブインターフェイス上のパケットにタグを付けるために使用されます。
ステップ 4	[OK] をクリックします。
ステップ 5	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。
ステップ 6	ルーテッドまたはトランスペアレントモードインターフェイスのパラメータを設定します。ルーテッドモードのインターフェイスの設定またはのブリッジグループインターフェイスの設定を参照してください。

ルーテッドモードインターフェイスおよびトランスペアレントモードインターフェイス

この項では、ルーテッドファイアウォールモードおよびトランスペアレントファイアウォールモードで、すべてのモデルに対応する標準のインターフェイス設定を完了するためのタスクについて説明します。

ルーテッドモードインターフェイスとトランスペアレントモードインターフェイスについて

Firepower Threat Defense デバイスは、ルーテッドおよびブリッジという 2 つのタイプのインターフェイスをサポートします。

各レイヤ 3 ルーテッドインターフェイスに、固有のサブネット上の IP アドレスが必要です。

ブリッジされたインターフェイスはブリッジグループに属し、すべてのインターフェイスが同じネットワーク上にあります。ブリッジグループはブリッジネットワークに IP アドレスを持つブリッジ仮想インターフェイス（BVI）によって表されます。ルーテッドモードは、ルーテッドインターフェイスとブリッジインターフェイスの両方をサポートし、ルーテッドインターフェイスと BVI との間のルーティングが可能です。トランスペアレントファイアウォールモードでは、ブリッジグループと BVI インターフェイスのみがサポートされます。

デュアル IP スタック（IPv4 および IPv6）

Firepower Threat Defense デバイスは、インターフェイス上で IPv6 アドレスと IPv4 アドレスの両方をサポートしています。IPv4 と IPv6 の両方で、デフォルトルートを設定してください。

ルーテッドモードおよびトランスペアレントモードのインターフェイスのガイドラインおよび要件

高可用性

この章の手順で高可用性リンクインターフェイスを設定しないでください。詳細については、「高可用性」の章を参照してください。
高可用性を使用する場合、データインターフェイスの IP アドレスとスタンバイアドレスを手動で設定する必要があります。DHCP および PPPoE はサポートされません。[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。詳細については、「高可用性」の章を参照してください。

IPv6

IPv6 はすべてのインターフェイスでサポートされます。
トランスペアレントモードでは、IPv6 アドレスは手動でのみ設定できます。
Firepower Threat Defense デバイスは、IPv6 エニーキャストアドレスはサポートしません。

トランスペアレントモードとブリッジグループのガイドライン

64 のインターフェイスをもつブリッジグループを 250 まで作成できます。
直接接続された各ネットワークは同じサブネット上に置かれている必要があります。
Firepower Threat Defense デバイスでは、セカンダリネットワーク上のトラフィックはサポートされていません。BVI IP アドレスと同じネットワーク上のトラフィックだけがサポートされています。
IPv4 の場合は、管理トラフィックと、Firepower Threat Defense デバイスを通過するトラフィックの両方の各ブリッジグループに対し、BVI の IP アドレスが必要です。IPv6 アドレスは BVI でサポートされますが必須ではありません。
IPv6 アドレスは手動でのみ設定できます。
BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。サブネットにホストサブネット（255.255.255.255）を設定することはできません。
管理インターフェイスはブリッジグループのメンバーとしてサポートされません。
トランスペアレントモードでは、少なくとも 1 つのブリッジグループを使用し、データインターフェイスがブリッジグループに属している必要があります。
トランスペアレントモードでは、接続されたデバイス用のデフォルトゲートウェイとして BVI IP アドレスを指定しないでください。デバイスは Firepower Threat Defense デバイスの反対側にあるルータをデフォルトゲートウェイとして指定する必要があります。
トランスペアレントモードでは、管理トラフィックの戻りパスを指定するために必要なデフォルト ルートは、1 つのブリッジグループネットワークからの管理トラフィックにだけ適用されます。これは、デフォルトルートはブリッジグループのインターフェイスとブリッジグループネットワークのルータ IP アドレスを指定しますが、ユーザは 1 つのデフォルトルートしか定義できないためです。複数のブリッジグループネットワークからの管理トラフィックが存在する場合は、管理トラフィックの発信元ネットワークを識別する標準のスタティックルートを指定する必要があります。
トランスペアレントモードでは、PPPoE は診断インターフェイスとしてサポートされません。
ルーテッドモードでは、ブリッジグループと他のルーテッドインターフェイスの間をルーティングするために、BVI を指定する必要があります。
ルーテッドモードでは、EtherChannel インターフェイスがブリッジグループのメンバーとしてサポートされません。

ルーテッドモードのインターフェイスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

この手順では、名前、セキュリティゾーン、および IPv4 アドレスを設定する方法について説明します。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。ルーテッドインターフェイスは、ルーテッドタイプインターフェイスであり、ルーテッドタイプのゾーンにのみ属することができます。
ステップ 5	[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。ハイアベイラビリティの場合は、静的 IP アドレスのみを使用できます。[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバからデフォルトルートを取得します。 [DHCP ルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。 [PPPoE を使用（Use PPPoE）]：インターフェイスが DSL、ケーブルモデム、またはその他の手段で ISP に接続されていて、ISP が PPPoE を使用して IP アドレスを割り当てる場合は、次のパラメータを設定します。 [VPDN グループ名（VPDN Group Name）]：この接続を表すために選択するグループ名を指定します。 [PPPoE ユーザ名（PPPoE User Name）]：ISP によって提供されたユーザ名を指定します。 [PPPoE パスワード/パスワードの確認（PPPoE Password/Confirm Password）]：ISP によって提供されたパスワードを指定し、確認します。 [PPP 認証（PPP Authentication）]：[PAP]、[CHAP]、または [MSCHAP] を選択します。 PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリアテキストパスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。 [PPPoE ルートメトリック（PPPoE route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます。有効な値は 1 ～ 255 です。デフォルトでは、学習したルートのアドミニストレーティブディスタンスは 1 です。 [ルート設定の有効化（Enable Route Settings）]：手動で PPPoE の IP アドレスを設定するには、このチェックボックスをオンにして、[IP アドレス（IP Address）] を入力します。 [フラッシュにユーザ名とパスワードを保存（Store Username and Password in Flash）]：フラッシュメモリにユーザ名とパスワードを保存します。 Firepower Threat Defense は、NVRAM の特定の場所にユーザ名とパスワードを保存します。
ステップ 6	（任意） IPv6 アドレッシングの設定については、IPv6 アドレッシングの設定を参照してください。
ステップ 7	[OK] をクリックします。
ステップ 8	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

のブリッジグループインターフェイスの設定

ブリッジグループは、Firepower Threat Defense デバイスがルーティングではなくブリッジするインターフェイスのグループです。ブリッジグループはトランスペアレントファイアウォールモード、ルーテッドファイアウォールモードの両方でサポートされています。ブリッジグループの詳細については、ブリッジグループについてを参照してください。

ブリッジグループと関連インターフェイスを設定するには、次の手順を実行します。

ブリッジグループメンバーの一般的なインターフェイスパラメータの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

この手順は、ブリッジグループメンバーインターフェイスの名前とセキュリティゾーンを設定する方法について説明します。

始める前に

物理インターフェイスの有効化およびイーサネット設定の構成.
同じブリッジグループで、さまざまな種類のインターフェイス（物理インターフェイス、VLAN サブインターフェイス、EtherChannel、冗長インターフェイス）を含めることができます。診断インターフェイスはサポートされていません。ルーテッドモードでは、EtherChannel はサポートされません。
特別なインターフェイスを設定します。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。ブリッジグループメンバーインターフェイスは、スイッチドタイプインターフェイスであり、スイッチドタイプのゾーンにのみ属することができます。このインターフェイスに対して IP アドレス設定は行わないでください。ブリッジ仮想インターフェイス（BVI）に対してのみ IP アドレスを設定します。BVI はゾーンに属しておらず、BVI にはアクセスコントロールポリシーを適用できないことに注意してください。
ステップ 5	[OK] をクリックします。
ステップ 6	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

ブリッジ仮想インターフェイス（BVI）の設定

ブリッジグループごとに、IP アドレスを設定する BVI が必要です。Firepower Threat Defense はブリッジグループが発信元になるパケットの送信元アドレスとして、この IP アドレスを使用します。BVI IP アドレスは、接続されたネットワークと同じサブネット内にある必要があります。IPv4 トラフィックの場合、すべてのトラフィックを通過させるには、BVI IP アドレスが必要です。IPv6 トラフィックの場合は、少なくとも、トラフィックを通過させるリンクローカルアドレスを設定する必要があります。リモート管理などの管理操作を含めたフル機能を実現するために、グローバル管理アドレスを設定することを推奨します。

ルーテッドモードの場合、BVI に名前を指定すると、BVI がルーティングに参加します。名前を指定しなければ、ブリッジグループはトランスペアレントファイアウォールモードの場合と同じように隔離されたままになります。

（注）

個別の診断インターフェイスでは、設定できないブリッジグループ（ID 301）は、設定に自動的に追加されます。このブリッジグループはブリッジグループの制限に含まれません。

始める前に

セキュリティゾーンに BVI を追加することはできません。そのため、BVI にアクセスコントロールポリシーを適用することはできません。ゾーンに基づいてブリッジグループのメンバーインターフェイスにポリシーを適用する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	[インターフェイスの追加（Add Interfaces）] > [ブリッジグループインターフェイス（Bridge Group Interface）] を選択します。
ステップ 3	（ルーテッドモード）[名前（Name）] フィールドに、名前を 48 文字以内で入力します。トラフィックをブリッジグループメンバーの外部（たとえば、外部インターフェイスや他のブリッジグループのメンバー）にルーティングする必要がある場合は、BVI に名前を付ける必要があります。名前は大文字と小文字が区別されません。
ステップ 4	[ブリッジグループ ID（Bridge Group ID）] フィールドに、1 ～ 250 の間のブリッジグループ ID を入力します。
ステップ 5	（オプション）[説明（Description）] フィールドに、このブリッジグループの説明を入力します。
ステップ 6	[インターフェイス（Interfaces）] タブでインターフェイスをクリックし、[追加（Add）] をクリックして [選択したインターフェイス（Selected Interfaces）] 領域にそのインターフェイスを移動します。ブリッジグループのメンバーにするすべてのインターフェイスに対して繰り返します。
ステップ 7	（トランスペアレントモード）[IPv4] タブをクリックします。[IP アドレス（IP Address）] フィールドに IPv4 アドレスおよびサブネットマスクを入力します。 BVI にはホストアドレス（/32 または 255.255.255.255）を割り当てないでください。また、/30 サブネットなど（255.255.255.252）、ホストアドレスが 3 つ未満（アップストリームルータ、ダウンストリームルータ、トランスペアレントファイアウォールにそれぞれ 1 つずつ）の他のサブネットを使用しないでください。Firepower Threat Defense デバイスは、サブネットの先頭アドレスと最終アドレスで送受信されるすべての ARP パケットをドロップします。たとえば、/30 サブネットを使用し、そのサブネットからアップストリームルータへの予約済みアドレスを割り当てた場合、Firepower Threat Defense デバイスはダウンストリームルータからアップストリームルータへの ARP 要求をドロップします。ハイアベイラビリティの場合は、[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。
ステップ 8	（ルーテッドモード）[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。ハイアベイラビリティの場合は、静的 IP アドレスのみを使用できます。[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバからデフォルトルートを取得します。 [DHCP ルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。
ステップ 9	（任意） IPv6 アドレッシングの設定については、IPv6 アドレッシングの設定を参照してください。
ステップ 10	[OK] をクリックします。
ステップ 11	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

トランスペアレントモードの診断（管理）インターフェイスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

トランスペアレントファイアウォールモードでは、すべてのインターフェイスがブリッジグループに属している必要があります。唯一の例外は診断 slot/port インターフェイスです。Firepower 4100/9300 シャーシでは、診断インターフェイス ID は Firepower Threat Defense 論理デバイスに割り当てた mgmt-type インターフェイスに基づいています。他のインターフェイスタイプは診断インターフェイスとして使用できません。シングルモードまたはコンテキストごとに 1 つの診断インターフェイスを設定できます。

始める前に

このインターフェイスをブリッジグループに割り当てないでください。設定できないブリッジグループ（ID 301）は、コンフィギュレーションに自動的に追加されます。このブリッジグループはブリッジグループの制限に含まれません。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	診断インターフェイスの編集アイコン（）をクリックします。
ステップ 3	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 4	[IPv4] タブをクリックします。IP アドレスを設定するには、[IP タイプ（IP Type）] ドロップダウンリストにある次のオプションのいずれかを使用します。 [静的 IP を使用する（Use Static IP）]：IP アドレスおよびサブネットマスクを入力します。 [DHCP の使用（Use DHCP）]：次のオプションのパラメータを設定します。 [DHCP を使用してデフォルトルートを取得（Obtain default route using DHCP）]：DHCP サーバからデフォルトルートを取得します。 [DHCP ルートメトリック（DHCP route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます（1 ～ 255）。学習したルートのデフォルトのアドミニストレーティブディスタンスは 1 です。 [PPPoE の使用（Use PPPoE）]：次のパラメータを設定します。 [VPDN グループ名（VPDN Group Name）]：グループ名を指定します。 [PPPoE ユーザ名（PPPoE User Name）]：ISP によって提供されたユーザ名を指定します。 [PPPoE パスワード/パスワードの確認（PPPoE Password/Confirm Password）]：ISP によって提供されたパスワードを指定し、確認します。 [PPP 認証（PPP Authentication）]：[PAP]、[CHAP]、または [MSCHAP] を選択します。 PAP は認証時にクリアテキストのユーザ名とパスワードを渡すため、セキュアではありません。CHAP では、サーバのチャレンジに対して、クライアントは暗号化された「チャレンジとパスワード」およびクリアテキストのユーザ名を返します。CHAP は PAP よりセキュアですが、データを暗号化しません。MSCHAP は CHAP に似ていますが、サーバが CHAP のようにクリアテキストパスワードを扱わず、暗号化されたパスワードだけを保存、比較するため、CHAP よりセキュアです。また、MSCHAP では MPPE によるデータの暗号化のためのキーを生成します。 [PPPoE ルートメトリック（PPPoE route metric）]：アドミニストレーティブディスタンスを学習したルートに割り当てます。有効な値は 1 ～ 255 です。デフォルトでは、学習したルートのアドミニストレーティブディスタンスは 1 です。 [ルート設定の有効化（Enable Route Settings）]：手動で PPPoE の IP アドレスを設定するには、このチェックボックスをオンにして、[IP アドレス（IP Address）] を入力します。 [フラッシュにユーザ名とパスワードを保存（Store Username and Password in Flash）]：フラッシュメモリにユーザ名とパスワードを保存します。 Firepower Threat Defense は、NVRAM の特定の場所にユーザ名とパスワードを保存します。
ステップ 5	（任意） IPv6 アドレッシングの設定については、IPv6 アドレッシングの設定を参照してください。
ステップ 6	[OK] をクリックします。
ステップ 7	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

IPv6 アドレッシングの設定

ここでは、ルーテッドモードおよびトランスペアレントモードで IPv6 アドレッシングを設定する方法について説明します。

IPv6 について

このセクションには、IPv6 に関する情報が含まれています。

IPv6 アドレス指定

次の 2 種類の IPv6 のユニキャストアドレスを設定できます。

グローバル：グローバルアドレスは、パブリックネットワークで使用可能なパブリックアドレスです。ブリッジグループの場合、このアドレスは各メンバーインターフェイスごとに設定するのではなく、BVI 用に設定する必要があります。また、トランスペアレントモードで管理インターフェイスのグローバルな IPv6 アドレスを設定することもできます。
リンクローカル：リンクローカルアドレスは、直接接続されたネットワークだけで使用できるプライベートアドレスです。ルータは、リンクローカルアドレスを使用してパケットを転送するのではなく、特定の物理ネットワークセグメント上で通信だけを行います。ルータは、アドレス設定またはアドレス解決などのネイバー探索機能に使用できます。ブリッジグループでは、メンバーインターフェイスのみがリンクローカルアドレスを所有しています。BVI にはリンクローカルアドレスはありません。

最低限、IPv6 が動作するようにリンクローカルアドレスを設定する必要があります。グローバルアドレスを設定すると、リンクローカルアドレスがインターフェイスに自動的に設定されるため、リンクローカルアドレスを個別に設定する必要はありません。ブリッジグループインターフェイスでは、BVI でグローバルアドレスを設定した場合、Firepower Threat Defense デバイスが自動的にメンバーインターフェイスのリンクローカルアドレスを生成します。グローバルアドレスを設定しない場合は、リンクローカルアドレスを自動的にするか、手動で設定する必要があります。

Modified EUI-64 インターフェイス ID

RFC 3513「Internet Protocol Version 6 (IPv6) Addressing Architecture」（インターネットプロトコルバージョン 6 アドレッシングアーキテクチャ）では、バイナリ値 000 で始まるものを除き、すべてのユニキャスト IPv6 アドレスのインターフェイス識別子部分は長さが 64 ビットで、Modified EUI-64 形式で組み立てることが要求されています。Firepower Threat Defense デバイスでは、ローカルリンクに接続されたホストにこの要件を適用できます。

この機能がインターフェイスで有効化されていると、そのインターフェイス ID が Modified EUI-64 形式を採用していることを確認するために、インターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに照らして確認されます。IPv6 パケットがインターフェイス ID に Modified EUI-64 形式を採用していない場合、パケットはドロップされ、次のシステムログメッセージが生成されます。


325003: EUI-64 source address check failed.

アドレス形式の確認は、フローが作成される場合にのみ実行されます。既存のフローからのパケットは確認されません。また、アドレスの確認はローカルリンク上のホストに対してのみ実行できます。

グローバル IPv6 アドレスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

ルーテッドモードの任意のインターフェイスとトランスペアレントモードまたはルーテッドモードの BVI に対してグローバル IPv6 アドレスを設定するには、次の手順を実行します。

（注）

グローバルアドレスを設定すると、リンクローカルアドレスは自動的に設定されるため、別々に設定する必要はありません。ブリッジグループについて、BVI でグローバルアドレスを設定すると、すべてのメンバーインターフェイスのリンクローカルアドレスが自動的に設定されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[IPv6] タブをクリックします。ルーテッドモードでは、[基本（Basic）] タブがデフォルトで選択されています。トランスペアレントモードでは、[アドレス（Address）] タブがデフォルトで選択されています。
ステップ 4	グローバル IPv6 アドレスを次のいずれかの方法で設定します。（ルーテッドインターフェイス）ステートレス自動設定：[自動設定（Autoconfiguration）] チェックボックスをオンにします。インターフェイス上でステートレス自動設定を有効にすると、受信したルータアドバタイズメントメッセージのプレフィックスに基づいて IPv6 アドレスを設定します。ステートレスな自動設定が有効になっている場合、インターフェイスのリンクローカルアドレスは、Modified EUI-64 インターフェイス ID に基づいて自動的に生成されます。 RFC 4862 では、ステートレス自動設定用に設定されたホストはルータアドバタイズメントメッセージを送信しないと規定されていますが、この場合は、Firepower Threat Defense デバイスがルータアドバタイズメントメッセージを送信します。[IPv6] > [設定（Settings）] > [RA の有効化（Enable RA）] チェックボックスをオフにして、メッセージを抑制します。手動設定：グローバル IPv6 アドレスを手動で設定するには、次の手順を実行します。 [アドレス（Address）] タブをクリックして、[アドレスの追加（Add Address）] をクリックします。 [アドレスの追加（Add Address）] ダイアログボックスが表示されます。 [アドレス（Address）] フィールドに、インターフェイス ID を含む完全なグローバル IPv6 アドレス、または IPv6 プレフィックス長と IPv6 プレフィックスのいずれかを入力します。（ルーテッドモード）プレフィックスだけを入力した場合は、必ず [EUI-64 を適用（Enforce EUI 64）] チェックボックスをオンにして、Modified EUI-64 形式を使用してインターフェイス ID を生成するようにしてください。たとえば、2001:0DB8::BA98:0:3210/48（完全なアドレス）または 2001:0DB8::/48（プレフィックス、[EUI 64] はオン）。（[EUI 64の適用（Enforce EUI 64）] を設定しなかった場合は）ハイアベイラビリティのために、[モニタ対象インターフェイス（Monitored Interfaces）] エリアの [デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、スタンバイ IP アドレスを設定します。スタンバイ IP アドレスを設定しない場合、アクティブユニットはネットワークテストを使用してスタンバイインターフェイスをモニタできず、リンクステートをトラックすることしかできません。
ステップ 5	ルーテッドインターフェイスの場合は、オプションで [基本（Basic）] タブで次の値を設定できます。グローバルアドレスを設定しない場合に自動的にリンクローカルアドレスを設定するには、[IPv6 の有効化（Enable IPv6）] チェックボックスをオンにします。グローバルアドレスを設定する必要がなく、リンクローカルアドレスだけを設定する必要がある場合は、リンクローカルアドレスをインターフェイスの MAC アドレスに基づいて作成することもできます（Modified EUI-64 形式。MAC アドレスで使用するビット数は 48 ビットであるため、インターフェイス ID に必要な 64 ビットを埋めるために追加ビットを挿入する必要があります）。ローカルリンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス識別子の使用を適用するには、[EUI-64 を適用（Enforce EUI-64）] チェックボックスをオンにします。リンクローカルアドレスを手動で設定するには、[リンクローカルアドレス（Link-Local address）] フィールドにアドレスを入力します。リンクローカルアドレスは、FE8、FE9、FEA、または FEB で始まっている必要があります。例、fe80::20d:88ff:feee:6a82。グローバルアドレスを設定する必要がなく、リンクローカルアドレスだけを設定する必要がある場合は、リンクローカルアドレスを手動で定義できます。Modified EUI-64 形式に基づくリンクローカルアドレスを自動的に割り当てることを推奨します。たとえば、その他のデバイスで Modified EUI-64 形式の使用が強制される場合、手動で割り当てたリンクローカルアドレスによりパケットがドロップされることがあります。 [アドレス設定の DHCP を有効化（Enable DHCP for address config）] チェックボックスをオンにして、IPv6 ルータアドバタイズメントパケットの Managed Address Config フラグを設定します。 IPv6 ルータアドバタイズメント内のこのフラグは、取得されるステートレス自動設定のアドレス以外のアドレスの取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。 [アドレス設定の DHCP を有効化（Enable DHCP for address config）] チェックボックスをオンにして、IPv6 ルータアドバタイズメントパケットの Other Address Config フラグを設定します。 IPv6 ルータアドバタイズメント内のこのフラグは、DHCPv6 から DNS サーバアドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを、IPv6 自動設定クライアントに通知します。
ステップ 6	ルーテッドインターフェイスの場合は、[プレフィックス（Prefixes）] タブと [設定（Settings）] タブでの設定についてIPv6 ネイバー探索の設定を参照してください。BVI インターフェイスの場合は、[設定（Settings）] タブの以下のパラメータを参照してください。 [DAD 試行（DAD attempts）]：DAD 試行の最大数（1 ～ 600）。重複アドレス検出（DAD）プロセスを無効にするには、この値を 0 に設定します。この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。デフォルトでは 1 になっています。 [NS 間隔（NS Interval）]：インターフェイスでの IPv6 ネイバー要請再送信の間隔（1000 ～ 3600000 ms）。デフォルト値は 1000 ミリ秒です。 [到達可能時間（Reachable Time）]：到達可能性確認イベントが発生した後でリモートの IPv6 ノードを到達可能とみなす時間（0 ～ 3600000 ms）。デフォルト値は 0 ミリ秒です。value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワークデバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ステップ 7	[OK] をクリックします。
ステップ 8	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

IPv6 ネイバー探索の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

IPv6 ネイバー探索プロセスは、ICMPv6 メッセージおよび要請ノードマルチキャストアドレスを使用して、同じネットワーク（ローカルリンク）上のネイバーのリンク層アドレスを特定し、ネイバーの読み出し可能性を確認し、隣接ルータを追跡します。

ノード（ホスト）はネイバー探索を使用して、接続リンク上に存在することがわかっているネイバーのリンク層アドレスの特定や、無効になったキャッシュ値の迅速なパージを行います。また、ホストはネイバー探索を使用して、ホストに代わってパケットを転送しようとしている隣接ルータを検出します。さらに、ノードはこのプロトコルを使用して、どのネイバーが到達可能でどのネイバーがそうでないかをアクティブに追跡するとともに、変更されたリンク層アドレスを検出します。ルータまたはルータへのパスが失われると、ホストは機能している代替ルータまたは代替パスをアクティブに検索します。

始める前に

ルーテッドモードのみでサポートされます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[IPv6] タブをクリックして、[プレフィックス（Prefixes）] タブをクリックします。
ステップ 4	（任意） IPv6 ルータアドバタイズメントに含める IPv6 プレフィックスを設定するには、次の手順を実行します。 [プレフィックスの追加（Add Prefix）] をクリックします。 [アドレス（Address）] フィールドに、プレフィックス長の IPv6 アドレスを入力するか、または [デフォルト（Default）] チェックボックスをオンにして、デフォルトのプレフィックスを使用します。（任意） IPv6 プレフィックスをアドバタイズしない場合は、[アドバタイズメント（Advertisement）] チェックボックスをオフにします。 [オフリンク（Off Link）] チェックボックスをオンにして、指定したプレフィックスがリンクに割り当てられたことを示します。指定したプレフィックスを含むアドレスにトラフィックを送信するノードは、宛先がリンク上でローカルに到達可能であると見なします。このプレフィックスは、オンリンクの判別には使用しないでください。指定されているプレフィックスを自動設定に使用する場合、[自動設定（Autoconfiguration）] チェックボックスをオンにします。 [プレフィックスライフタイム（Prefix Lifetime）] で、[期間（Duration）] または [失効日（Expiration Date）] をクリックします。 [期間（Duration）]：プレフィックスの [優先ライフタイム（Preferred Lifetime）] を秒単位で入力します。この設定は、指定の IPv6 プレフィックスが有効なものとしてアドバタイズする時間です。最大値は無限大です。有効な値は 0 ～ 4294967295 です。デフォルトは 2592000（30 日間）です。プレフィックスの [有効ライフタイム（Valid Lifetime）] を秒単位で入力します。この設定は、指定の IPv6 プレフィックスが優先であるとしてアドバタイズする時間です。最大値は無限大です。有効な値は 0 ～ 4294967295 です。デフォルト設定は、604800（7 日）です。または、[無限大（Infinite）] チェックボックスをオンにして、時間無制限を設定します。 [失効日（Expiration Date）]：[有効（Valid）]、[優先（Preferred）] 日時を選択します。 [OK] をクリックします。
ステップ 5	[設定（Settings）] タブをクリックします。
ステップ 6	（任意） [DAD 試行（DAD attempts）] の最大数、1 ～ 600 を設定します。デフォルトでは 1 になっています。重複アドレス検出（DAD）プロセスをディセーブルにするには、この値を 0 に設定します。この設定では、DAD が IPv6 アドレスで実行されている間に、インターフェイスに連続して送信されるネイバー送信要求メッセージの数を設定します。ステートレス自動設定プロセス中に、重複アドレス検出は、アドレスがインターフェイスに割り当てられる前に、新しいユニキャスト IPv6 アドレスの一意性を確認します。重複アドレスが検出されると、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用対象外となり、次のエラーメッセージが生成されます。 `325002: Duplicate address ipv6_address/MAC_address on interface` 重複アドレスがインターフェイスのリンクローカルアドレスであれば、インターフェイス上で IPv6 パケットの処理はディセーブルになります。重複アドレスがグローバルアドレスであれば、そのアドレスは使用されません。
ステップ 7	（任意） [NS インターバル（NS Interval）] フィールドで、IPv6 ネイバー勧誘再送信の時間の間隔を、1000 ～ 3600000ms で設定します。デフォルト値は 1000 ミリ秒です。ローカルリンク上にある他のノードのリンクレイヤアドレスを検出するため、ノードからネイバー送信要求メッセージ（ICMPv6 Type 135）がローカルリンクに送信されます。ネイバー送信要求メッセージを受信すると、宛先ノードは、ネイバーアドバタイズメントメッセージ（ICPMv6 Type 136）をローカルリンク上に送信して応答します。送信元ノードがネイバーアドバタイズメントを受信すると、送信元ノードと宛先ノードが通信できるようになります。ネイバー送信要求メッセージは、ネイバーのリンク層アドレスが識別された後に、ネイバーの到達可能性の確認にも使用されます。ノードがあるネイバーの到達可能性を検証する場合、ネイバー送信要求メッセージ内の宛先アドレスとして、そのネイバーのユニキャストアドレスを使用します。ネイバーアドバタイズメントメッセージは、ローカルリンク上のノードのリンク層アドレスが変更されたときにも送信されます。
ステップ 8	（任意）到達可能性確認イベントが発生した後でリモート IPv6 ノードが到達可能であると見なされる時間を、[到達可能時間（Reachable Time）] フィールドにて、0 ～ 3600000ms で設定します。デフォルト値は 0 ミリ秒です。value に 0 を使用すると、到達可能時間が判定不能として送信されます。到達可能時間の値を設定し、追跡するのは、受信デバイスの役割です。ネイバー到達可能時間を設定すると、使用できないネイバーを検出できます。時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワークデバイスの処理リソースの消費量が増えます。通常の IPv6 の運用では、あまり短い時間設定は推奨できません。
ステップ 9	（任意）ルータアドバタイズメントの伝送を抑制にするには、[RA を有効にする（Enable RA）] チェックボックスをオフにします。ルータアドバタイズメントの伝送を有効にすると、RA ライフタイムと時間間隔を設定できます。ルータ要請メッセージ（ICMPv6 Type 133）に応答して、ルータアドバタイズメントメッセージ（ICMPv6 Type 134）が自動的に送信されます。ルータ要請メッセージは、システムの起動時にホストから送信されるため、ホストは、次にスケジュールされているルータアドバタイズメントメッセージを待つことなくただちに自動設定を行うことができます。 Firepower Threat Defense デバイスで IPv6 プレフィックスを提供する必要がないインターフェイス（外部インターフェイスなど）では、これらのメッセージを無効にできます。 [RA ライフタイム（RA Lifetime）]：IPv6 ルータアドバタイズメントのルータのライフタイム値を、0 ～ 9000 秒で設定します。デフォルトは 1800 秒です。 [RA インターバル（RA Interval）]：IPv6 ルータアドバタイズメントの伝送の間の時間間隔を、3 ～ 1800 秒で設定します。デフォルトは 200 秒です。
ステップ 10	[OK] をクリックします。
ステップ 11	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

インターフェイスの詳細設定

ここでは、インターフェイスの MAC アドレスの設定方法、最大伝送ユニット（MTU）の設定方法、その他の詳細パラメータの設定方法について説明します。

インターフェイスの詳細設定について

ここでは、インターフェイスの詳細設定について説明します。

MAC アドレスについて

手動で MAC アドレスを割り当ててデフォルトをオーバーライドできます。。

デフォルトの MAC アドレス

デフォルトの MAC アドレスの割り当ては、インターフェイスのタイプによって異なります。

物理インターフェイス：物理インターフェイスは Burned-In MAC Address を使用します。
冗長インターフェイス：冗長インターフェイスでは、最初に追加された物理インターフェイスの MAC アドレスが使用されます。構成でメンバインターフェイスの順序を変更すると、MAC アドレスがリストの先頭にあるインターフェイスの MAC アドレスと一致するように変更されます。冗長インターフェイスに MAC アドレスを割り当てると、メンバインターフェイスの MAC アドレスに関係なく、割り当てた MAC アドレスが使用されます。
EtherChannel（Firepower Models）：EtherChannel の場合は、そのチャネルグループに含まれるすべてのインターフェイスが同じ MAC アドレスを共有します。この機能によって、EtherChannel はネットワークアプリケーションとユーザに対してトランスペアレントになります。ネットワークアプリケーションやユーザから見えるのは 1 つの論理接続のみであり、個々のリンクのことは認識しないからです。ポートチャネルインターフェイスは、プールからの一意の MAC アドレスを使用します。インターフェイスのメンバーシップは、MAC アドレスには影響しません。
EtherChannel（ASA モデル）：ポートチャネルインターフェイスは、最も小さいチャネルグループインターフェイスの MAC アドレスをポートチャネル MAC アドレスとして使用します。または、ポートチャネルインターフェイスの MAC アドレスを設定することもできます。グループチャネルインターフェイスメンバーシップが変更された場合に備えて、一意の MAC アドレスを構成することを推奨します。ポートチャネル MAC アドレスを提供していたインターフェイスを削除すると、そのポートチャネル MAC アドレスは次に番号が小さいインターフェイスに変わるため、トラフィックが分断されます。
サブインターフェイス：物理インターフェイスのすべてのサブインターフェイスが同じ Burned-In MAC Address を使用します。サブインターフェイスに固有の MAC アドレスを割り当てることが必要になる場合があります。たとえば、サービスプロバイダーによっては、MAC アドレスに基づいてアクセス制御を行う場合があります。また、IPv6 リンクローカルアドレスは MAC アドレスに基づいて生成されるため、サブインターフェイスに一意の MAC アドレスを割り当てることで IPv6 リンクローカルアドレスも一意にできます。

MTU について

MTU は、Firepower Threat Defense デバイスが特定のイーサネットインターフェイスで送信する最大フレーム ペイロード サイズを指定します。MTU の値は、イーサネットヘッダー、VLAN タギング、またはその他のオーバーヘッドを含まないフレームサイズです。たとえば MTU を 1500 に設定した場合、想定されるフレームサイズはヘッダーを含めて 1518 バイト、VLAN を使用する場合は 1522 バイトです。これらのヘッダーに対応するために MTU 値を高く設定しないでください。

パス MTU ディスカバリ

Firepower Threat Defense デバイスは、Path MTU Discovery（RFC 1191 の定義に従う）をサポートします。つまり、2 台のホスト間のネットワークパス内のすべてのデバイスで MTU を調整できます。したがってパスの最小 MTU の標準化が可能です。

デフォルト MTU

Firepower Threat Defense デバイスのデフォルト MTU は、1500 バイトです。この値には、イーサネットヘッダー、VLAN タギングや他のオーバーヘッド分の 18～22 バイトは含まれません。

MTU およびフラグメンテーション

IPv4 では、出力 IP パケットが指定された MTU より大きい場合、2 つ以上のフレームにフラグメント化されます。フラグメントは宛先（場合によっては中間ホップ）で組み立て直されますが、フラグメント化はパフォーマンス低下の原因となります。IPv6 では、通常、パケットをフラグメント化することはできません。したがって、フラグメント化を避けるために、IP パケットを MTU サイズ以内に収める必要があります。

TCP パケットでは、通常、エンドポイントは MTU を使用して TCP の最大セグメントサイズを決定します（MTU - 40 など）。サイト間 VPN トンネルなどで、追加の TCP ヘッダーが途中で追加される場合、トンネリングエンティティで TCP MSS を下方修正する必要があります。TCP MSS についてを参照してください。

UDP または ICMP の場合、アプリケーションではフラグメント化を避けるために MTU を考慮する必要があります。

（注）

Firepower Threat Defense デバイスはメモリに空きがある限り、設定された MTU よりも大きいフレームを受信します。

MTU とジャンボフレーム

MTU が大きいほど、大きいパケットを送信できます。パケットが大きいほど、ネットワークの効率が良くなる可能性があります。次のガイドラインを参照してください。

トラフィックパスの MTU の一致：すべての Firepower Threat Defense デバイスインターフェイスとトラフィックパス内のその他のデバイスのインターフェイスでは、MTU が同じになるように設定することを推奨します。MTU の一致により、中間デバイスでのパケットのフラグメント化が回避できます。
ジャンボフレームへの対応：MTU は最大で 9198 バイトに設定できます。最大値は、Firepower 4100/9300 シャーシの Firepower Threat Defense Virtual で 9000、Firepower Threat Defense で 9184 です。

TCP MSS について

最大セグメントサイズ（TCP MSS）とは、あらゆる TCP および IP ヘッダーが追加される前の TCP ペイロードのサイズです。UDP パケットは影響を受けません。接続を確立するときの 3 ウェイハンドシェイク中に、クライアントとサーバは TCP MSS 値を交換します。

FlexConfig の Sysopt_Basic オブジェクトを使用して Firepower Threat Defense デバイスで TCP MSS を通過トラフィック用に設定できます。「FlexConfig ポリシー」を参照してください。デフォルトで、最大 TCP MSS は 1380 バイトに設定されます。この設定は、Firepower Threat Defense デバイスが IPsec VPN カプセル化のパケットサイズを追加する必要がある場合に役立ちます。ただし、非 IPsec エンドポイントでは、Firepower Threat Defense デバイスの最大 TCP MSS を無効にする必要があります。

最大 TCP MSS を設定している場合、接続のいずれかのエンドポイントが Firepower Threat Defense デバイスに設定された値を超える TCP MSS を要求すると、Firepower Threat Defense デバイスは要求パケット内の TCP MSS を Firepower Threat Defense デバイスの最大サイズで上書きします。ホストまたはサーバが TCP MSS を要求しない場合、Firepower Threat Defense デバイスは RFC 793 のデフォルト値 536 バイト（IPv4）または 1220 バイト（IPv6）を想定しますが、パケットは変更しません。たとえば、MTU をデフォルトの 1500 バイトのままにします。ホストは、1500 バイトの MSS から TCP および IP のヘッダー長を減算して、MSS を 1460 バイトに設定するように要求します。Firepower Threat Defense デバイスの最大 TCP MSS が 1380（デフォルト）の場合は、Firepower Threat Defense デバイスは TCP 要求パケットの MSS 値を 1380 に変更します。その後、サーバは、1380 バイトのペイロードを含むパケットを送信します。Firepower Threat Defense デバイスは、最大 120 バイトのヘッダーをパケットに追加しても、1500 バイトの MTU サイズに適応することができます。

TCP の最小 MSS も設定できます。ホストまたはサーバが非常に小さい TCP MSS を要求した場合、Firepower Threat Defense デバイスは値を調整します。デフォルトでは、最小 TCP MSS は有効ではありません。

SSL VPN 接続用を含め、to-the-box トラフィックの場合、この設定は適用されません。Firepower Threat Defense デバイスは MTU を使用して、TCP MSS を導き出します。MTU - 40（IPv4）または MTU - 60（IPv6）となります。

デフォルト TCP MSS

デフォルトでは、Firepower Threat Defense デバイスの最大 TCP MSS は 1380 バイトです。このデフォルトは、ヘッダーが最大 120 バイトの IPv4 IPsec VPN 接続に対応しています。この値は、MTU のデフォルトの 1500 バイト内にも収まっています。

TCP MSS の推奨最大設定

デフォルトでは TCP MSS は、Firepower Threat Defense デバイスが IPv4 IPsec VPN エンドポイントとして機能し、MTU が 1500 バイトであることを前提としています。Firepower Threat Defense デバイスが IPv4 IPsec VPN エンドポイントとして機能している場合は、最大 120 バイトの TCP および IP ヘッダーに対応する必要があります。

MTU 値を変更して、IPv6 を使用するか、または IPsec VPN エンドポイントとして Firepower Threat Defense デバイスを使用しない場合は、FlexConfig の Sysopt_Basic オブジェクトを使用して TCP MSS 設定を変更する必要があります。FlexConfig ポリシーを参照してください。次のガイドラインを参照してください。

通常のトラフィック：TCP MSS の制限を無効にし、接続のエンドポイント間で確立された値を受け入れます。一般に接続エンドポイントは MTU から TCP MSS を取得するため、非 IPsec パケットは通常この TCP MSS を満たしています。
IPv4 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 120 に設定します。たとえば、ジャンボフレームを使用しており、MTU を 9000 に設定すると、新しい MTU を使用するために、TCP MSS を 8880 に設定する必要があります。
IPv6 IPsec エンドポイントトラフィック：最大 TCP MSS を MTU - 140 に設定します。

ブリッジグループトラフィックの ARP インスペクション

デフォルトでは、ブリッジグループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします。

ARP インスペクションによって、悪意のあるユーザが他のホストやルータになりすます（ARP スプーフィングと呼ばれる）のを防止できます。ARP スプーフィングが許可されていると、「中間者」攻撃を受けることがあります。たとえば、ホストが ARP 要求をゲートウェイルータに送信すると、ゲートウェイルータはゲートウェイルータの MAC アドレスで応答します。ただし、攻撃者は、ルータの MAC アドレスではなく攻撃者の MAC アドレスで別の ARP 応答をホストに送信します。これで、攻撃者は、すべてのホストトラフィックを代行受信してルータに転送できるようになります。

ARP インスペクションを使用すると、正しい MAC アドレスとそれに関連付けられた IP アドレスがスタティック ARP テーブル内にある限り、攻撃者は攻撃者の MAC アドレスで ARP 応答を送信できなくなります。

ARP インスペクションをイネーブルにすると、Firepower Threat Defense デバイスは、すべての ARP パケット内の MAC アドレス、IP アドレス、および送信元インターフェイスを ARP テーブル内のスタティックエントリと比較し、次のアクションを実行します。

IP アドレス、MAC アドレス、および送信元インターフェイスが ARP エントリと一致する場合、パケットを通過させます。
MAC アドレス、IP アドレス、またはインターフェイス間で不一致がある場合、Firepower Threat Defense デバイスはパケットをドロップします。

ARP パケットがスタティック ARP テーブル内のどのエントリとも一致しない場合、パケットをすべてのインターフェイスに転送（フラッディング）するか、またはドロップするように Firepower Threat Defense デバイスを設定できます。

（注）

専用の診断インターフェイスは、このパラメータが flood に設定されている場合でもパケットをフラッディングしません。

ブリッジグループの MAC アドレステーブル

Firepower Threat Defense デバイスは、通常のブリッジまたはスイッチと同様に、MAC アドレスを学習して MAC アドレステーブルを作成します。デバイスがブリッジグループ経由でパケットを送信すると、Firepower Threat Defense デバイスが MAC アドレスをアドレステーブルに追加します。このテーブルでは MAC アドレスと送信元インターフェイスが関連付けられているため、Firepower Threat Defense デバイスはデバイスのアドレスが指定されたパケットを正しいインターフェイスに送信できます。

Firepower Threat Defense デバイスはファイアウォールなので、パケットの宛先 MAC アドレスがテーブルにない場合、Firepower Threat Defense デバイスは通常のブリッジとは異なり、元のパケットをすべてのインターフェイスにフラッドすることはありません。代わりに、直接接続されたデバイスまたはリモートデバイスに対して次のパケットを生成します。

直接接続されたデバイスへのパケット：Firepower Threat Defense デバイスは宛先 IP アドレスに対して ARP 要求を生成し、ARP 応答を受信したインターフェイスを学習します。
リモートデバイスへのパケット：Firepower Threat Defense デバイスは宛先 IP アドレスへの ping を生成し、ping 応答を受信したインターフェイスを学習します。

元のパケットはドロップされます。

デフォルト設定

ARP インスペクションを有効にした場合、デフォルト設定では、一致しないパケットはフラッディングします。
ダイナミック MAC アドレステーブルエントリのデフォルトのタイムアウト値は 5 分です。
デフォルトでは、各インターフェイスはトラフィックに入る MAC アドレスを自動的に学習し、Firepower Threat Defense デバイスは対応するエントリを MAC アドレステーブルに追加します。

ARP インスペクションと MAC アドレステーブルのガイドライン

ARP インスペクションは、ブリッジグループでのみサポートされます。
MAC アドレステーブル構成は、ブリッジグループでのみサポートされます。

MTU の設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

たとえば、ジャンボフレームを許可するようにインターフェイスの MTU をカスタマイズします。

注意	デバイス上で非管理/診断インターフェイスの最大 MTU 値を変更し、設定の変更を展開すると、Snort プロセスが再起動され、一時的にトラフィックのインスペクションが中断されます。インスペクションは、変更したインターフェイスだけでなく、すべての非管理/診断インターフェイスで中断されます。この中断によってトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、管理対象デバイスのモデルおよびインターフェイスのタイプに応じて異なります。詳細については、Snort® の再起動によるトラフィックの動作を参照してください。

始める前に

MTU を 1500 バイトより大きい値に変更すると、自動的にジャンボフレームが有効になります。ジャンボフレームを使用するには、システムをリロードする必要があります。
インラインセットでインターフェイスを使用する場合、MTU 設定は使用されません。ただし、ジャンボフレームの設定はインラインセットに関連します。ジャンボフレームによりインラインインターフェイスは最大 9000 バイトのパケットを受信できます。ジャンボフレームを有効にするには、すべてのインターフェイスの MTU を 1500 バイトより大きい値に設定する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[一般（General）] タブで、[MTU] を 64 ～ 9198 バイトに設定します。最大値は Firepower Threat Defense Virtual では 9000、Firepower 4100/9300 シャーシ上の Firepower Threat Defense では 9184 です。デフォルト値は 1500 バイトです。
ステップ 4	[OK] をクリックします。
ステップ 5	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。
ステップ 6	MTU を 1500 バイトを超える値に設定する場合は、システムをリロードしてジャンボフレームを有効にします。

MAC アドレスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

MAC アドレスを手動で割り当てることが必要となる場合があります。また、[デバイス（Devices）] > [デバイス管理（Device Management）] > [ハイアベイラビリティ（High Availability）] タブで、アクティブ MAC アドレスとスタンバイ MAC アドレスを設定することもできます。両方の画面でインターフェイスの MAC アドレスを設定した場合は、[インターフェイス（Interfaces）] > [詳細（Advanced）] タブのアドレスが優先されます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[Advanced] タブをクリックします。 [情報（Information）] タブが選択されています。
ステップ 4	[アクティブな MAC アドレス（Active MAC Address）] フィールドに、MAC アドレスを H.H.H 形式で設定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。MAC アドレスはマルチキャストビットセットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。
ステップ 5	[スタンバイMACアドレス（Standby MAC Address）] フィールドに、ハイアベイラビリティで使用する MAC アドレスを入力します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイアドレスを使用します。
ステップ 6	[OK] をクリックします。
ステップ 7	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

スタティック ARP エントリの追加


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

デフォルトでは、ブリッジグループのメンバーの間ですべての ARP パケットが許可されます。ARP パケットのフローを制御するには、ARP インスペクションを有効にします（ARP インスペクションの設定参照）。ARP インスペクションは、ARP パケットを ARP テーブルのスタティック ARP エントリと比較します。

ルーテッドインターフェイスの場合、スタティック ARP エントリを入力できますが、通常はダイナミックエントリで十分です。ルーテッドインターフェイスの場合、直接接続されたホストにパケットを配送するために ARP テーブルが使用されます。送信者は IP アドレスでパケットの宛先を識別しますが、イーサネットにおける実際のパケット配信は、イーサネット MAC アドレスに依存します。ルータまたはホストは、直接接続されたネットワークでパケットを配信する必要がある場合、IP アドレスに関連付けられた MAC アドレスを要求する ARP 要求を送信し、ARP 応答に従ってパケットを MAC アドレスに配信します。ホストまたはルータには ARP テーブルが保管されるため、配信が必要なパケットごとに ARP 要求を送信する必要はありません。ARP テーブルは、ARP 応答がネットワーク上で送信されるたびにダイナミックに更新されます。一定期間使用されなかったエントリは、タイムアウトします。エントリが正しくない場合（たとえば、所定の IP アドレスの MAC アドレスが変更された場合など）、新しい情報で更新される前にこのエントリがタイムアウトする必要があります。

トランスペアレントモードの場合、管理トラフィックなどの Firepower Threat Defense デバイスとの間のトラフィックに、Firepower Threat Defense は ARP テーブルのダイナミック ARP エントリのみを使用します。

始める前に

この画面は、名前付きインターフェイスについてのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[ARP] タブをクリックします（トランスペアレントモードでは、[ARP と MAC（ARP and MAC）]）。
ステップ 4	[ARP 設定を追加（Add ARP Config）] をクリックします。 [ARP 設定を追加（Add ARP Config）] ダイアログボックスが表示されます。
ステップ 5	[IP アドレス（IP Address）] フィールドに、ホストの IP アドレスを入力します。
ステップ 6	[MAC アドレス（MAC Address）] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。
ステップ 7	このアドレスでプロキシ ARP を実行するには、[エイリアスを有効にする（Enable Alias）] チェックボックスをオンにします。 Firepower Threat Defense デバイスは、指定された IP アドレスの ARP 要求を受信すると、指定された MAC アドレスで応答します。
ステップ 8	[OK] をクリックし、次にもう一度 [OK] をクリックして、[詳細設定（Advanced settings）] を閉じます。
ステップ 9	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

静的 MAC アドレスの追加とのブリッジグループの MAC 学習の無効化


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

通常、MAC アドレスは、特定の MAC アドレスからのトラフィックがインターフェイスに入ったときに、MAC アドレステーブルに動的に追加されます。MAC アドレスラーニングを無効にすることができます。ただし、MAC アドレスをスタティックにテーブルに追加しないかぎり、トラフィックは Firepower Threat Defense デバイスを通過できません。スタティック MAC アドレスは、MAC アドレステーブルに追加することもできます。スタティックエントリを追加する利点の 1 つに、MAC スプーフィングに対処できることがあります。スタティックエントリと同じ MAC アドレスを持つクライアントが、そのスタティックエントリに一致しないインターフェイスにトラフィックを送信しようとした場合、Firepower Threat Defense デバイスはトラフィックをドロップし、システムメッセージを生成します。スタティック ARP エントリを追加するときに（スタティック ARP エントリの追加を参照）、スタティック MAC アドレスエントリは MAC アドレステーブルに自動的に追加されます。

始める前に

この画面は、名前付きインターフェイスについてのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[ARP と MAC（ARP and MAC）] タブをクリックします。
ステップ 4	（任意） [MAC ラーニングを有効にする（Enable MAC Learning）] チェックボックスをオフにして MAC ラーニングを無効にします。
ステップ 5	スタティック MAC アドレスを追加するには、[MAC 設定を追加（Add MAC Config）] をクリックします。 [MAC 設定を追加（Add MAC Config）] ダイアログボックスが表示されます。
ステップ 6	[MAC アドレス（MAC Address）] フィールドに、ホストの MAC アドレスを入力します。たとえば、「00e0.1e4e.3d8b」のように入力します。[OK] をクリックします。
ステップ 7	[OK] をクリックして詳細設定を終了します。
ステップ 8	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

セキュリティの設定パラメータの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

この項では、IP スプーフィングの防止方法、完全フラグメントリアセンブルの許可方法、および [プラットフォーム設定（Platform Settings）] でデバイスレベルで設定されるデフォルトのフラグメント設定のオーバーライド方法について説明します。

アンチスプーフィング

この項では、インターフェイスでユニキャストリバースパスフォワーディング（ユニキャスト RPF）を有効にします。ユニキャスト RPF は、ルーティングテーブルに従って、すべてのパケットが正しい送信元インターフェイスと一致する送信元 IP アドレスを持っていることを確認して、IP スプーフィング（パケットが不正な送信元 IP アドレスを使用し、実際の送信元を隠蔽すること）から保護します。

通常、Firepower Threat Defense デバイスは、パケットの転送先を判定するときに宛先アドレスだけを調べます。ユニキャスト RPF は、送信元アドレスも調べるようにデバイスに指示します。そのため、リバースパスフォワーディング（Reverse Path Forwarding）と呼ばれます。Firepower Threat Defense デバイスの通過を許可するすべてのトラフィックについて、送信元アドレスに戻るルートをデバイスのルーティングテーブルに含める必要があります。詳細については、RFC 2267 を参照してください。

たとえば、外部トラフィックの場合、Firepower Threat Defense デバイスはデフォルトルートを使用してユニキャスト RPF 保護の条件を満たすことができます。トラフィックが外部インターフェイスから入り、送信元アドレスがルーティングテーブルにない場合、デバイスはデフォルトルートを使用して、外部インターフェイスを送信元インターフェイスとして正しく識別します。

ルーティングテーブルにあるアドレスから外部インターフェイスにトラフィックが入り、このアドレスが内部インターフェイスに関連付けられている場合、Firepower Threat Defense デバイスはパケットをドロップします。同様に、未知の送信元アドレスから内部インターフェイスにトラフィックが入った場合は、一致するルート（デフォルトルート）が外部インターフェイスを示しているため、デバイスはパケットをドロップします。

ユニキャスト RPF は、次のように実装されます。

ICMP パケットにはセッションがないため、個々のパケットはチェックされません。
UDP と TCP にはセッションがあるため、最初のパケットは逆ルートルックアップが必要です。セッション中に到着する後続のパケットは、セッションの一部として保持されている既存の状態を使用してチェックされます。最初のパケット以外のパケットは、最初のパケットと同じインターフェイスに到着したことを保証するためにチェックされます。

パケットあたりのフラグメント

デフォルトでは、Firepower Threat Defense デバイスは 1 つの IP パケットにつき最大 24 のフラグメントを許可し、最大 200 のフラグメントのリアセンブリ待ちを許可します。NFS over UDP など、アプリケーションが日常的にパケットをフラグメント化する場合は、ネットワークでフラグメント化を許可する必要があります。ただし、トラフィックをフラグメント化するアプリケーションがない場合は、フラグメントが Firepower Threat Defense デバイスを通過できないようにすることをお勧めします。フラグメント化されたパケットは、DoS 攻撃によく使われます。

フラグメントのリアセンブル

Firepower Threat Defense デバイスは、次に示すフラグメントリアセンブルプロセスを実行します。

IP フラグメントは、フラグメントセットが作成されるまで、またはタイムアウト間隔が経過するまで収集されます。
フラグメントセットが作成されると、セットに対して整合性チェックが実行されます。これらのチェックには、重複、テールオーバーフロー、チェーンオーバーフローはいずれも含まれません。
Firepower Threat Defense デバイスで終端する IP フラグメントは、常に完全にリアセンブルされます。
[完全フラグメントリアセンブル（Full Fragment Reassembly）] が無効化されている場合（デフォルト）、フラグメントセットは、さらに処理するためにトランスポート層に転送されます。
[完全フラグメントリアセンブル（Full Fragment Reassembly）] が有効化されている場合、フラグメントセットは、最初に単一の IP パケットに結合されます。この単一の IP パケットは、さらに処理するためにトランスポート層に転送されます。

始める前に

この画面は、名前付きインターフェイスでのみ使用できます。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[詳細（Advanced）] タブをクリックして、[セキュリティ設定（Security Configuration）] タブをクリックします。
ステップ 4	ユニキャストリバースパスフォワーディングを有効にするには、[アンチスプーフィング（Anti-Spoofing）] チェックボックスをオンにします。
ステップ 5	完全フラグメントリアセンブルを有効化するには、[完全フラグメントリアセンブル（Full Fragment Reassembly）] チェックボックスをオンにします。
ステップ 6	パケットごとに許容するフラグメント数を変更するには、[デフォルトフラグメント設定のオーバーライド（Override Default Fragment Setting）] チェックボックスをオンにして、次に示す値を設定します。サイズ（Size）：リアセンブルを待機する IP リアセンブルデータベースに格納可能なパケットの最大数を設定します。デフォルトは 200 です。この値を 1 に設定すると、フラグメントが無効化されます。チェーン（Chain）：1 つの完全な IP パケットにフラグメント化できる最大パケット数を指定します。デフォルトは 24 パケットです。タイムアウト（Timeout）：フラグメント化されたパケット全体が到着するまで待機する最大秒数を指定します。タイマーは、パケットの最初のフラグメントの到着後に開始されます。指定した秒数までに到着しなかったパケットフラグメントがある場合、到着済みのすべてのパケットフラグメントが廃棄されます。デフォルトは 5 秒です。
ステップ 7	[OK] をクリックします。
ステップ 8	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

IPS のみ対応のインターフェイスの設定

IPS のみ対応のインターフェイスでは、パッシブインターフェイス、パッシブ ERSPAN インターフェイス、インラインセットを設定できます。

インラインセットのハードウェアバイパスについて

Firepower 9300 および 4100 シリーズの特定のインターフェイスモジュール（インラインセットの前提条件を参照）では、ハードウェアバイパス機能を有効にできます。ハードウェアバイパスは、停電時にトラフィックがインラインインターフェイスペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。

ハードウェアバイパストリガー

ハードウェアバイパスは次のシナリオでトリガーされることがあります。

Firepower Threat Defense アプリケーションのクラッシュ
セキュリティモジュールの再起動
Firepower のシャーシのクラッシュ
Firepower のシャーシの再起動またはアップグレード
手動トリガー
Firepower のシャーシの電力損失
セキュリティモジュールの電力損失

ハードウェアバイパスのスイッチオーバー

通常の運用からハードウェアバイパスに切り替えたとき、またはハードウェアバイパスから通常の運用に戻したときに、トラフィックが数秒間中断する可能性があります。中断時間の長さに影響を与える可能性があるいくつかの要因があります。たとえば、銅線ポートの自動ネゴシエーション、リンクエラーやデバウンスのタイミングをどのように処理するかなどのオプティカルリンクパートナーの動作、スパニングツリープロトコルのコンバージェンス、ダイナミックルーティングプロトコルのコンバージェンスなどです。この間は、接続が落ちることがあります。

また、通常の操作に戻った後で接続のミッドストリームを分析するときに、アプリケーションの識別エラーが原因で接続が切断されることがあります。

Snort フォールオープンとハードウェアバイパス

タップモード以外のインラインセットでは、[Snort フェールオープン（Snort Fail Open）] オプションを使用して、トラフィックをドロップするか、Snort プロセスがビジーまたはダウンしている場合に検査なしでトラフィックの通過を許可します。Snort フェールオープンは、[ハードウェアバイパス（Hardware Bypass）] 機能でサポートされるインターフェイス上のみでなく、タップモードのものを除くすべてのインラインセットでサポートされます。

[ハードウェアバイパス（Hardware Bypass）] 機能を使用すると、停電時や特定の限定されたソフトウェア障害などのハードウェア障害時にトラフィックが流れます。Snort フェールオープンをトリガーするソフトウェアの障害は、[ハードウェアバイパス（Hardware Bypass）] 機能をトリガーしません。

ハードウェアバイパスのステータス

システムの電源が入っている場合、バイパス LED はハードウェアバイパスのステータスを表示します。LED の説明については、Firepower シャーシハードウェアインストレーションガイドを参照してください。

インラインセットの前提条件

ハードウェアバイパスのサポート

Firepower Threat Defense は、以下のモデルの特定のネットワークモジュールのインターフェイスペアでハードウェアバイパスをサポートします。

Firepower 9300
Firepower 4100 シリーズ

これらのモデルでサポートされているハードウェアバイパスネットワークモジュールは以下のとおりです。

Firepower 6 ポート 1G SX FTW ネットワークモジュールシングルワイド（FPR-NM-6X1SX-F）
Firepower 6 ポート 10G SR FTW ネットワークモジュールシングルワイド（FPR-NM-6X10SR-F）
Firepower 6 ポート 10G LR FTW ネットワークモジュールシングルワイド（FPR-NM-6X10LR-F）
Firepower 2 ポート 40G SR FTW ネットワークモジュールシングルワイド（FPR-NM-2X40G-F）
Firepower 8 ポート 1G Copper FTW ネットワークモジュールシングルワイド（FPR-NM-8X1G-F）

ハードウェアバイパスでは以下のポートペアのみ使用できます。

1 および 2
3 および 4
5 および 6
7 および 8

IPS 専用インターフェイスのガイドライン

一般的なガイドライン

IPS 専用インターフェイスは物理インターフェイスだけをサポートし、EtherChannel、冗長インターフェイス、VLAN などにはできません。ただし、サポートされている Firepower 4100/9300 シャーシに設定されている EtherChannel は例外です。
IPS 専用インターフェイスは、シャーシ間およびシャーシ内クラスタリングでサポートされます。

ハードウェアバイパスのガイドライン

ハードウェアバイパスポートは、インラインセットでのみサポートされます。
ハードウェアバイパスポートを EtherChannel の一部にはできません。
シャーシ内クラスタリングでサポートされます。シャーシ内の最後のユニットに障害が発生すると、ポートはハードウェアバイパスモードになります。シャーシ間クラスタリングはサポートされていません。
クラスタ内のすべてのユニットに障害が発生すると、最終ユニットでハードウェアバイパスがトリガーされ、トラフィックは引き続き通過します。ユニットが復帰すると、ハードウェアバイパスはスタンバイモードに戻ります。ただし、アプリケーショントラフィックと一致するルールを使用すると、それらの接続が切断され、再確立する必要がある場合があります。状態情報がクラスタユニットに保持されず、ユニットがトラフィックを許可されたアプリケーションに属するものとして識別できないため、接続は切断されます。トラフィックのドロップを回避するには、アプリケーションベースのルールの代わりにポートベースのルールを使用します（展開に適している場合）。
高可用性モードでは、ハードウェアバイパスはサポートされていません。

パッシブ IPS 専用インターフェイスの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

ここでは、次の方法について説明します。

インターフェイスを有効にします。デフォルトでは、インターフェイスは無効です。
インターフェイスモードをパッシブまたは ERSPAN に設定します。ERSPAN インターフェイスの場合は、ERSPAN パラメータと IP アドレスを設定します。
MTU を交換してください。デフォルトでは、MTU は 1500 バイトに設定されます。MTU の詳細については、MTU についてを参照してください。
特定の速度と二重通信（使用できる場合）を設定する。デフォルトでは、速度とデュプレックスは [自動（Auto）] に設定されます。

（注）

始める前に

ERSPAN インターフェイスは、デバイスがルーテッドファイアウォールモードになっているときにのみ使用できます。
Management Center に追加した後、デバイスの物理インターフェイスを変更した場合、[インターフェイス（Interfaces）] タブの左上にある [デバイスからのインターフェイスの同期（Sync Interfaces from device）] ボタンをクリックしてそのインターフェイスリストを更新する必要があります。

手順

ステップ 1	[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。
ステップ 2	編集するインターフェイスの編集アイコン（）をクリックします。
ステップ 3	[モード（Mode）] ドロップダウンリストで、[パッシブ（Passive）] または [Erspan] を選択します。
ステップ 4	[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。
ステップ 5	[名前（Name）] フィールドに、48 文字以内で名前を入力します。
ステップ 6	[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。
ステップ 7	（任意） [説明（Description）] フィールドに説明を追加します。説明は 200 文字以内で、改行を入れずに 1 行で入力します。
ステップ 8	（任意） [一般（General）] タブで、[MTU] を 64 ～ 9198 バイトの間で設定します。Firepower Threat Defense Virtual および FXOS シャーシ上の Firepower Threat Defense の場合、最大値は 9000 バイトです。デフォルト値は 1500 バイトです。
ステップ 9	ERSPAN インターフェイスの場合は、次のパラメータを設定します: [フロー ID（Flow Id）]：ERSPAN トラフィックを特定するために送信元と宛先セッションによって使用される ID を、1 ～ 1023 の間で設定します。この ID は、ERSPAN 宛先セッション設定でも入力する必要があります。 [ソース IP（Source IP）]：ERSPAN トラフィックの送信元として使用される IP アドレスを設定します。
ステップ 10	ERSPAN インターフェイスの場合は、[IPv4] タブで IPv4 アドレスとマスクを設定します。
ステップ 11	（任意） [ハードウェア構成（Hardware Configuration）] タブをクリックして、デュプレックスと速度を設定します。正確な速度とデュプレックスオプションはハードウェアによって異なります。 [デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。デフォルトは [自動（Auto）] です。 [速度（Speed）]：[10]、[100]、[1000]、または [自動（Auto）] を選択します。デフォルトは [自動（Auto）] です。
ステップ 12	[OK] をクリックします。
ステップ 13	[保存（Save）] をクリックします。これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

IPS 専用インターフェイスのインラインセットの設定


スマートライセンス	従来のライセンス	サポートされるデバイス	サポートされるドメイン	アクセス
任意（Any）	該当なし	Firepower Threat Defense	任意（Any）	Access Admin Administrator Network Admin

ここでは、インラインセットに追加できる 2 つの物理インターフェイスを有効にして名前を付けます。また、状況に応じて、サポートされるインターフェイスペアに対してハードウェアバイパスを有効にすることができます。

（注）

始める前に

Firepower Threat Defense インラインペアインターフェイスに接続する STP 対応スイッチに対して STP PortFast を設定することをお勧めします。この設定は、ハードウェアバイパスの設定に特に有効でバイパス時間を短縮できます。
Management Center に追加した後、デバイスの物理インターフェイスを変更した場合、[インターフェイス（Interfaces）] タブの左上にある [デバイスからのインターフェイスの同期（Sync Interfaces from device）] ボタンをクリックしてそのインターフェイスリストを更新する必要があります。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、使用する Firepower Threat Defense デバイスの編集アイコン（）をクリックします。デフォルトで [インターフェイス（Interfaces）] タブが選択されています。

ステップ 2

編集するインターフェイスの編集アイコン（）をクリックします。

ステップ 3

[モード（Mode）] ドロップダウンリストで、[なし（None）] を選択します。

このインターフェイスをインラインセットに追加すると、このフィールドにモードのインラインが表示されます。

ステップ 4

[有効（Enabled）] チェックボックスをオンにして、インターフェイスを有効化します。

ステップ 5

[名前（Name）] フィールドに、48 文字以内で名前を入力します。

ステップ 6

[セキュリティゾーン（Security Zone）] ドロップダウンリストで、セキュリティゾーンを選択するか、[新規（New）] をクリックして新しいセキュリティゾーンを追加します。

ステップ 7

（任意） [説明（Description）] フィールドに説明を追加します。

説明は 200 文字以内で、改行を入れずに 1 行で入力します。

ステップ 8

（任意） [ハードウェア構成（Hardware Configuration）] タブをクリックして、デュプレックスと速度を設定します。

正確な速度とデュプレックスオプションはハードウェアによって異なります。

[デュプレックス（Duplex）]：[全（Full）]、[半（Half）]、または [自動（Auto）] を選択します。デフォルトは [自動（Auto）] です。
[速度（Speed）]：[10]、[100]、[1000]、または [自動（Auto）] を選択します。デフォルトは [自動（Auto）] です。

ステップ 9

[OK] をクリックします。

このインターフェイスに対して他の設定は行わないでください。

ステップ 10

インラインセットに追加する 2 番目のインターフェイスの編集アイコン（）をクリックします。

ステップ 11

最初のインターフェイスに関する設定を行います。

ステップ 12

[インラインセット（Inline Sets）] タブをクリックします。

ステップ 13

[インラインセットの追加（Add Inline Set）] をクリックします。

[インラインセットの追加（Add Inline Set）] ダイアログボックスが、[一般（General）] タブが選択された状態で表示されます。

ステップ 14

[名前（Name）] フィールドに、セットの名前を入力します。

ステップ 15

（任意） [MTU] を 64 ～ 9198 バイトの間で変更します。Firepower Threat Defense Virtual および FXOS シャーシ上の Firepower Threat Defense の場合、最大値は 9000 バイトです。

デフォルト値は 1500 バイトです。

ステップ 16

（任意） [バイパス（Bypass）] モードの場合、次のいずれかのオプションを選択します。

[無効（Disabled）]：ハードウェアバイパスがサポートされているインターフェイスの場合はハードウェアバイパスを無効に設定するか、またはハードウェアバイパスがサポートされていないインターフェイスを使用します。
[スタンバイ（Standby）]：サポートされているインターフェイスのハードウェアバイパスをスタンバイ状態に設定します。ハードウェアバイパスインターフェイスのペアのみ表示されます。スタンバイ状態の場合、トリガーイベントが発生するまで、インターフェイスは通常動作を保ちます。
[バイパス強制（Bypass-Force）]：インターフェイスペアを手動で強制的にバイパス状態にします。[インラインセット（Inline Sets）] タブでは、[バイパス強制（Bypass-Force）] モードになっているインターフェイスペアに対して [はい（Yes）] が表示されます。

ステップ 17

[使用可能なインターフェイスペア（Available Interfaces Pairs）] 領域でペアをクリックし、[追加（Add）] をクリックして [選択済みインターフェイスペア（Selected Interface Pair）] 領域にそのペアを移動します。

この領域には、モードが [なし（None）] に設定されている名前付きインターフェイスと有効なインターフェイス間で可能なすべてのペアが表示されます。

ステップ 18

（任意） [詳細（Advanced）] タブをクリックして、次のオプションパラメータを設定します。

[タップモード（Tap Mode）]：インラインタップモードに設定します。

同じインラインセットでこのオプションと厳密な TCP 強制を有効にすることはできないことに注意してください。
[リンクステートの伝達（Propagate Link State）]：リンクステートの伝達を設定します。

リンクステートの伝達によって、インラインセットのインターフェイスの 1 つが停止した場合、インラインインターフェイスペアの 2 番目のインターフェイスも自動的に停止します。停止したインターフェイスが再び起動すると、2 番目のインターフェイスも自動的に起動します。つまり、1 つのインターフェイスのリンクステートが変化すると、デバイスはその変化を検知し、その変化に合わせて他のインターフェイスのリンクステートを更新します。ただし、デバイスからリンクステートの変更が伝達されるまで最大 4 秒かかります。障害状態のネットワークデバイスを自動的に避けてトラフィックを再ルーティングするようにルータが設定されている復元力の高いネットワーク環境では、リンクステートの伝達が特に有効です。
[厳密な TCP 強制（Strict TCP Enforcement）]：TCP のセキュリティを最大限に生かすために、厳密な強制を有効にできます。この機能は 3 ウェイハンドシェイクが完了していない接続をブロックします。

厳密な適用では次のパケットもブロックされます。
- 3 ウェイハンドシェイクが完了していない接続の非 SYN TCP パケット
- レスポンダが SYN-ACK を送信する前に TCP 接続のイニシエータから送信された非 SYN/RST パケット
- SYN の後、セッションの確立前に TCP 接続のレスポンダから送信された非 SYN-ACK/RST パケット
- イニシエータまたはレスポンダから確立された TCP 接続の SYN パケット

[Snort フェールオープン（Snort Fail Open）]：Snort プロセスがビジーであるか、ダウンしている場合に、インスペクション（有効）またはドロップ（無効）されることなく、新規および既存のトラフィックを通過させる場合は、[ビジー（Busy）] オプションおよび [ダウン（Down）] オプションのいずれかまたは両方を有効または無効にします。

デフォルトでは、Snort プロセスがダウンしている場合、トラフィックはインスペクションなしで通過し、Snort プロセスがビジーの場合、トラフィックはドロップされます。

Snort プロセスの状態は、それぞれ次の意味を持ちます。

[ビジー（Busy）]：トラフィックバッファが満杯なため、トラフィックを高速処理できません。デバイスの処理量を超えるトラフィックが存在していること、またはその他のソフトウェアリソースの問題があることを示しています。
[ダウン（Down）]：再起動が必要な設定が展開されたため、プロセスが再起動しています。展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。

Snort プロセスは、ダウンしてから再起動すると、新しい接続のインスペクションを実行します。Snort プロセスでは、誤検出と検出漏れを防ぐために、インラインインターフェイス、ルーテッドインターフェイス、またはトランスペアレントインターフェイスの既存の接続のインスペクションは実行されません。これは、プロセスがダウンしていた間に初期のセッション情報が失われている可能性があるためです。

（注）

Snort フェールオープン時には、Snort プロセスに依存する機能は働きません。そのような機能には、アプリケーション制御とディープインスペクションが含まれます。システムでは、シンプルかつ容易に判断できるトランスポート層とネットワークの特性を使用して、基本的なアクセスコントロールのみ実行されます。

ステップ 19

[インターフェイス（Interfaces）] タブをクリックします。

ステップ 20

いずれかのメンバーインターフェイスの編集（）アイコンをクリックします。

ステップ 21

[セキュリティゾーン（Security Zone）] ドロップダウンリストからセキュリティゾーンを選択するか、[新規（New）] をクリックして、新しいセキュリティゾーンを追加します。

ゾーンは、インラインセットにインターフェイスを追加した後にのみ設定できます。インラインセットにインターフェイスを追加することで、インラインのモードが設定され、インラインタイプのセキュリティゾーンを選択できます。

ステップ 22

[OK] をクリックします。

ステップ 23

2 番目のインターフェイスのセキュリティゾーンを設定します。

ステップ 24

[保存（Save）] をクリックします。

これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更は、実際に展開するまで有効化されません。

機能	バージョン	詳細（Details）
統合ルーティングおよびブリッジング	6.2.0	統合ルーティングおよびブリッジングによって、ブリッジグループとルーテッドインターフェイスの間でルーティングする機能が提供されます。ブリッジグループは、Firepower Threat Defense がルーティングではなくブリッジするインターフェイスのグループです。Firepower Threat Defense は、Firepower Threat Defense がファイアウォールとして機能し続ける点で本来のブリッジとは異なります。つまり、インターフェイス間のアクセス制御が実行され、通常のファイアウォール検査もすべて実行されます。以前は、トランスペアレントファイアウォールモードでのみブリッジグループの設定が可能だったため、ブリッジグループ間でのルーティングはできませんでした。この機能を使用すると、ルーテッドファイアウォールモードのブリッジグループの設定と、ブリッジグループ間およびブリッジグループとルーテッドインターフェイス間のルーティングを実行できます。ブリッジグループは、ブリッジ仮想インターフェイス（BVI）を使用して、ブリッジグループのゲートウェイとして機能することによってルーティングに参加します。Firepower Threat Defense にブリッジグループを割り当てるための追加インターフェイスがある場合、統合ルーティングおよびブリッジングによって、外部のレイヤ 2 スイッチを使用するのではない別の方法が提供されます。ルーテッドモードでは、BVI は名前付きインターフェイスとなり、アクセスルールや DHCP サーバなどの一部の機能に、メンバーインターフェイスとは個別に参加できます。トランスペアレントモードでサポートされるクラスタリングの機能は、ルーテッドモードではサポートされません。マルチキャストルーティングとダイナミックルーティングの機能も、BVI ではサポートされません。 [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [インターフェイスを追加（Add Interfaces）] > [ブリッジグループインターフェイス（Bridge Group Interface）] サポートされるプラットフォーム：すべて（Firepower 2100 と Firepower Threat Defense Virtual を除く）
Firepower Threat Defense インラインセットでの EtherChannel のサポート	6.2.0	Firepower Threat Defense インラインセットで Etherchannel を使用できるようになりました。サポートされるプラットフォーム：Firepower 4100/9300
サポート対象ネットワークモジュールに対する Firepower 4100/9300 でのハードウェアバイパスサポート	6.1.0	ハードウェアバイパスは、停電時にトラフィックがインラインインターフェイスペア間で流れ続けることを確認します。この機能は、ソフトウェアまたはハードウェア障害の発生時にネットワーク接続を維持するために使用できます。新しい/変更された画面： [デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] > [物理インターフェイスの編集（Edit Physical Interface）] サポートされるプラットフォーム：Firepower 4100/9300
Firepower Threat Defense のインラインセットリンクステート伝達サポート	6.1.0	Firepower Threat Defense アプリケーションでインラインセットを設定し、リンクステート伝達を有効にすると、Firepower Threat Defense はインラインセットメンバーシップを FXOS シャーシに送信します。リンクステート伝達により、インラインセットのインターフェイスの 1 つが停止した場合、シャーシは、インラインインターフェイスペアの 2 番目のインターフェイスも自動的に停止します。新規/変更された FXOS コマンド：show fault \|grep link-down、show interface detail サポートされるプラットフォーム：Firepower 4100/9300
Firepower Threat Defense の Firepower イベントタイプインターフェイス	6.0.1	Firepower Threat Defense で使用するために、Firepower イベントとしてインターフェイスを指定できます。このインターフェイスは、Firepower Threat Defense デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、Firepower Threat Defense CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント（Web イベントなど）から管理トラフィックを分類できます。Firepower Management Center 構成ガイドのシステム設定の章にある「管理インターフェイス」のセクションを参照してください。新規/変更された [Firepower Chassis Manager] 画面： [インターフェイス（Interfaces）] > [すべてのインターフェイス（All Interfaces）] > [タイプ（Type）] 新規/変更された FXOS コマンド：set port-type firepower-eventing、show interface サポートされるプラットフォーム：Firepower 4100/9300

Firepower Management Center バージョン 6.2 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： Firepower Threat Defense のインターフェイス

Firepower Threat Defense のインターフェイス

Firepower Threat Defense インターフェイスについて

管理/診断インターフェイスとネットワーク配置

管理インターフェイス

診断インターフェイス

ルーテッド モードの導入

トランスペアレント モードの展開

インターフェイス モードとタイプ

通常のファイアウォール モード

IPS 専用モード

セキュリティ ゾーンとインターフェイス グループ

Auto-MDI/MDIX 機能

通常の（ファイアウォール）モード インターフェイスの設定

手順

物理インターフェイスの有効化およびイーサネット設定の構成

始める前に

手順

EtherChannel インターフェイスと冗長インターフェイス

EtherChannel インターフェイスと冗長インターフェイスについて

冗長インターフェイス

冗長インターフェイスの MAC アドレス

EtherChannel

チャネル グループ インターフェイス

別のデバイスの EtherChannel への接続

リンク集約制御プロトコル

ロード バランシング

EtherChannel MAC アドレス

EtherChannel インターフェイスと冗長インターフェイのガイドライン

ブリッジ グループ

高可用性

モデルのサポート

冗長インターフェイス

EtherChannel

冗長インターフェイスの設定

始める前に

手順

EtherChannel の設定

始める前に

手順

VLAN サブインターフェイスと 802.1Q トランキングの設定

始める前に

手順

ルーテッド モード インターフェイスおよびトランスペアレント モード インターフェイス

ルーテッド モード インターフェイスとトランスペアレント モード インターフェイスについて

デュアル IP スタック（IPv4 および IPv6）

ルーテッド モードおよびトランスペアレント モードのインターフェイスのガイドラインおよび要件

高可用性

IPv6

トランスペアレント モードとブリッジ グループのガイドライン

ルーテッド モードのインターフェイスの設定

始める前に

手順

のブリッジグループ インターフェイスの設定

ブリッジ グループ メンバーの一般的なインターフェイス パラメータの設定

始める前に

手順

ブリッジ仮想インターフェイス（BVI）の設定

始める前に

手順

トランスペアレント モードの診断（管理）インターフェイスの設定

始める前に

手順

IPv6 アドレッシングの設定

IPv6 について

IPv6 アドレス指定

Modified EUI-64 インターフェイス ID

グローバル IPv6 アドレスの設定

手順

IPv6 ネイバー探索の設定

始める前に

手順

インターフェイスの詳細設定

インターフェイスの詳細設定について

MAC アドレスについて

デフォルトの MAC アドレス

ルーテッドモードの導入

トランスペアレントモードの展開

インターフェイスモードとタイプ

通常のファイアウォールモード

セキュリティゾーンとインターフェイスグループ

通常の（ファイアウォール）モードインターフェイスの設定

チャネルグループインターフェイス

ロードバランシング

ブリッジグループ

ルーテッドモードインターフェイスおよびトランスペアレントモードインターフェイス

ルーテッドモードインターフェイスとトランスペアレントモードインターフェイスについて

ルーテッドモードおよびトランスペアレントモードのインターフェイスのガイドラインおよび要件

トランスペアレントモードとブリッジグループのガイドライン

ルーテッドモードのインターフェイスの設定

のブリッジグループインターフェイスの設定

ブリッジグループメンバーの一般的なインターフェイスパラメータの設定

トランスペアレントモードの診断（管理）インターフェイスの設定

MTU とジャンボフレーム

ブリッジグループトラフィックの ARP インスペクション

ブリッジグループの MAC アドレステーブル

ARP インスペクションと MAC アドレステーブルのガイドライン

静的 MAC アドレスの追加とのブリッジグループの MAC 学習の無効化

インラインセットのハードウェアバイパスについて

ハードウェアバイパストリガー

ハードウェアバイパスのスイッチオーバー

Snort フォールオープンとハードウェアバイパス

ハードウェアバイパスのステータス

インラインセットの前提条件

ハードウェアバイパスのサポート

ハードウェアバイパスのガイドライン

IPS 専用インターフェイスのインラインセットの設定