Firepower 7000 および 8000 シリーズインストールガイド

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download Firepower 7000 および 8000 シリーズインストールガイド

Transcript

Firepower 7000 および 8000 シリーズインストールガイド

Firepower 7000 および 8000 シリーズインス
トールガイド
バージョン 6.0
2015 年 11 月 5 日
Cisco Systems, Inc.
www.cisco.com
シスコは世界各国 200 箇所にオフィスを開設しています。 
各オフィスの住所、電話番号、FAX 番号は
当社の Web サイトをご覧ください。 
www.cisco.com/go/offices
このマニュアルに記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。このマニュアルに記載されている表現、情報、および
推奨事項は、すべて正確であると考えていますが、明示的であれ黙示的であれ、一切の保証の責任を負わないものとします。このマニュアルに記載されている製
品の使用は、すべてユーザ側の責任になります。
対象製品のソフトウェアライセンスおよび限定保証は、製品に添付された『Information Packet』に記載されています。添付されていない場合には、代理店にご連絡
ください。
The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB’s public
domain version of the UNIX operating system. All rights reserved. Copyright © 1981, Regents of the University of California.
ここに記載されている他のいかなる保証にもよらず、各社のすべてのマニュアルおよびソフトウェアは、障害も含めて「現状のまま」として提供されます。シスコ
およびこれら各社は、商品性の保証、特定目的への準拠の保証、および権利を侵害しないことに関する保証、あるいは取引過程、使用、取引慣行によって発生する
保証をはじめとする、明示されたまたは黙示された一切の保証の責任を負わないものとします。
いかなる場合においても、シスコおよびその供給者は、このマニュアルの使用または使用できないことによって発生する利益の損失やデータの損傷をはじめと
する、間接的、派生的、偶発的、あるいは特殊な損害について、あらゆる可能性がシスコまたはその供給者に知らされていても、それらに対する責任を一切負わな
いものとします。
Cisco and the Cisco logo are trademarks or registered trademarks of Cisco and/or its affiliates in the U.S. and other countries. To view a list of Cisco trademarks, go to this
URL: www.cisco.com/go/trademarks. Third-party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership
relationship between Cisco and any other company. (1110R)
このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、
ネットワークトポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとして
も、それは意図的なものではなく、偶然の一致によるものです。
© 2015 Cisco Systems, Inc. All rights reserved.
CONTENTS
Firepower システムの概要
1-1
Firepower システムアプライアンス
1-2
7000 および 8000 シリーズアプライアンス
仮想アプライアンス
1-3
Cisco ASA with FirePOWER Services 1-3
1-3
バージョン 6.0 に付属のアプライアンス
1-4
Firepower Management Center の各モデルでサポートされる機能
管理対象デバイスの各モデルでサポートされる機能
1-7
7000 および 8000 シリーズデバイスシャーシの指定
1-8
Firepower システムのコンポーネント
Firepower システムのライセンス
1-9
1-12
セキュリティ、インターネットアクセス、および通信ポート
インターネットアクセス要件
1-15
通信ポートの要件
1-16
アプライアンスの事前設定
管理ネットワークでの展開
1-5
1-14
1-19
2-1
管理展開に関する考慮事項
2-1
管理インターフェイスについて
2-2
単一の管理インターフェイス
2-2
複数の管理インターフェイス
2-3
展開オプション
2-3
複数のトラフィックチャネルを持つ場合の展開
ネットワークルートを持つ場合の展開
セキュリティの考慮事項
2-3
2-5
2-5
特殊なケース：8000 シリーズデバイスの接続
Firepower 管理対象デバイスの展開
2-6
3-1
センシングの展開に関する考慮事項
センシングインターフェイスについて
パッシブインターフェイス
3-2
インラインインターフェイス
3-2
スイッチドインターフェイス
3-3
3-1
3-2
Firepower 7000 および 8000 シリーズインストールガイド
1
目次
ルーテッドインターフェイス
3-4
ハイブリッドインターフェイス
3-5
ネットワークへのデバイスの接続
3-5
ハブの使用
3-5
SPAN ポートの使用
3-6
ネットワークタップの使用
3-6
銅線インターフェイスのインライン展開のケーブル配線
3-6
特殊なケース：Firepower 8000 シリーズデバイスの接続
3-8
展開オプション
3-8
仮想スイッチを使用した展開
3-8
仮想ルータの展開
3-9
ハイブリッドインターフェイスによる展開
3-11
ゲートウェイ VPN の展開
3-12
ポリシーベースの NAT を使用した展開
3-13
アクセス制御による展開
3-13
管理対象デバイスでの複数のセンシングインターフェイスの使用
複雑なネットワークの展開
3-20
VPN の統合
3-20
他のエントリポイントでの侵入検知
3-21
マルチサイト環境での展開
3-22
複雑なネットワーク内にある複数の管理インターフェイスの統合
複雑なネットワーク内の管理対象デバイスの統合
3-25
Firepower 管理対象デバイスのインストール
付属品
3-18
3-24
4-1
4-1
セキュリティの考慮事項
4-2
管理インターフェイスの識別
4-2
Firepower 7000 シリーズ
4-2
Firepower 8000 シリーズ
4-3
センシングインターフェイスの識別
Firepower 7000 シリーズ
4-4
Firepower 8000 シリーズ
4-7
4-3
スタック構成でのデバイスの使用
4-14
Firepower 8140 の接続
4-15
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの接続
8000 シリーズスタッキングケーブルの使用
4-20
スタック構成デバイスの管理
4-21
Firepower デバイスのラックマウント
コンソール出力のリダイレクト
Firepower 7000 および 8000 シリーズインストールガイド
2
4-24
4-21
4-16
目次
シェルの使用
4-24
Web インターフェイスの使用方法
4-25
インラインバイパスインターフェイスの設置のテスト
Firepower 管理対象デバイスの設定
設定プロセスについて
設定の開始
5-3
4-26
5-1
5-2
CLI を使用した Firepower デバイス上での初期設定の実行
5-3
CLI を使用した Management Center への Firepower デバイスの登録
初期設定ページ：Firepower デバイス
次の手順
5-5
5-6
5-10
Firepower デバイス上の LCD パネルの使用
6-1
LCD パネルのコンポーネントについて
6-2
LCD 多機能キーの使用
6-3
アイドルディスプレイモード
6-4
ネットワークコンフィギュレーションモード
6-4
LCD パネルを使用したネットワーク再設定の許可
システムステータスモード
情報モード
6-7
6-9
エラーアラートモード
ハードウェア仕様
6-6
6-10
7-1
ラックとキャビネットの取り付けオプション
Firepower 7000 シリーズデバイス
7-1
Firepower 7010、7020、7030、7050 7-1
Firepower 7110 および 7120 7-7
Firepower 7115、7125、および AMP7150
7-1
7-14
Firepower 8000 シリーズデバイス
7-22
Firepower 8000 シリーズシャーシの前面図
7-23
Firepower 8000 シリーズシャーシの背面図
7-27
Firepower 8000 シリーズの物理パラメータと環境パラメータ
Firepower 8000 シリーズモジュール
7-34
出荷時の初期状態に Firepower システムアプライアンスを復元する
はじめる前に
8-1
設定およびイベントのバックアップのガイドライン
復元プロセスにおけるトラフィックフロー
8-2
復元プロセスについて
7-30
8-1
8-1
8-2
Firepower 7000 および 8000 シリーズインストールガイド
3
目次
復元 ISO と更新ファイルの入手
8-3
復元プロセスの開始
8-4
KVM または物理シリアルポートを使用する復元ユーティリティの起動
Lights-Out Management を使用した復元ユーティリティの開始
8-6
対話型メニューを使用したアプライアンスの復元
8-7
アプライアンスの管理インターフェイスの指定
8-9
ISO イメージの場所および転送方式の指定
8-10
復元時のシステムソフトウェアおよび侵入ルールの更新
8-11
ISO および更新ファイルのダウンロードとイメージのマウント
8-12
復元プロセスの開始
8-12
復元設定の保存とロード
8-15
次の手順
8-16
Lights-Out Management の設定
8-16
LOM および LOM ユーザの有効化
8-18
IPMI ユーティリティのインストール
8-19
Firepower デバイスの所要電力
A-1
警告と注意
A-1
静電気対策
A-1
Firepower 70xx ファミリアプライアンス
インストール
A-2
接地要件
A-2
A-1
Firepower 71xx ファミリアプライアンス
インストール
A-4
接地要件
A-5
A-3
Firepower 81xx ファミリアプライアンス
AC 電源の設置
A-6
DC 電源の設置
A-7
接地要件
A-8
A-5
Firepower 82xx ファミリアプライアンス
AC 電源の設置
A-10
DC 電源の設置
A-11
接地要件
A-12
A-9
Firepower および AMP 83xx ファミリアプライアンス
AC 電源の設置
A-14
DC 電源の設置
A-15
接地要件
A-16
Firepower 7000 および 8000 シリーズインストールガイド
4
A-13
8-5
目次
3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用
3D71x5 と AMP7150 SFP のソケットおよびトランシーバ
SFP トランシーバの取り付け
B-2
SFP トランシーバを取り付けるには：
SFP トランシーバの取り外し
B-1
B-3
B-3
Firepower 8000 シリーズモジュールの挿入と取り外し
C-1
Firepower 8000 シリーズデバイスのモジュールスロット
Firepower 81xx ファミリ
C-1
Firepower 82xx ファミリおよび 83xx ファミリ
C-2
付属品
B-1
C-1
C-3
モジュール部品の確認
はじめる前に
C-4
C-4
モジュールまたはスロットカバーの取り外し
モジュールまたはスロットカバーの挿入
ハードドライブのスクラビング
C-5
C-6
D-1
ハードドライブのデータのスクラビング処理
Firepower 管理対象デバイスの事前設定
D-1
E-1
はじめる前に
E-1
必須の事前設定の情報
E-2
オプションの事前設定情報
E-2
時間管理の事前設定
E-3
システムのインストール
デバイスの登録
E-3
E-4
アプライアンスの移送の準備
E-4
Management Centerからのデバイスの削除
E-5
Management Centerからのライセンスの削除
E-5
アプライアンスの電源オフ
E-6
移送に関する考慮事項
E-6
アプライアンスの事前設定のトラブルシューティング
E-7
Firepower 7000 および 8000 シリーズインストールガイド
5
目次
Firepower 7000 および 8000 シリーズインストールガイド
6
CH A P T E R
1
Firepower システムの概要
シスコ Firepower システムは、検出されたアプリケーション、ユーザ、および URL に基づいて
ネットワークへのアクセスを制御する機能と、業界トップのネットワーク侵入防御システムの
セキュリティを統合したものです。また、Firepower システムアプライアンスを使用して、スイッ
チド、ルーテッド、またはハイブリッド（スイッチド兼ルーテッド）環境でサービスを提供した
り、ネットワークアドレス変換（NAT）を実行したり、Firepower 管理対象デバイスの仮想ルータ
間でセキュアなバーチャルプライベートネットワーク（VPN）トンネルを構築したりすること
もできます。
シスコ Firepower Management Center は、Firepower システムのための一元管理コンソールとデー
タベースリポジトリを提供します。ネットワークセグメントにインストールされている管理対
象デバイスは、分析のためにトラフィックを監視します。
パッシブ配置のデバイスは、スイッチ SPAN、仮想スイッチ、ミラーポートなどを使用してネッ
トワーク間を流れるトラフィックを監視します。パッシブセンシングインターフェイスはすべ
てのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラフィックは
再送信されません。
インライン配置のデバイスによって、ネットワーク上のホストの可用性、整合性、または機密性
に影響を及ぼす可能性がある攻撃からネットワークを保護できます。インラインインターフェ
イスはすべてのトラフィックを無条件で受信し、これらのインターフェイスで受信されたトラ
フィックは、配置環境の設定によって明示的にドロップされないかぎり再送信されます。インラ
インデバイスは、単純な侵入防御システムとして配置できます。インラインデバイスを設定し
て、アクセス制御を実行したり、他の方法でネットワークトラフィックを管理したりすることが
できます。
このインストールガイドは、Firepower システムアプライアンス（デバイスおよびManagement
Center）の展開、設置、およびセットアップに関する情報を提供します。また、Firepower システム
アプライアンスのハードウェア仕様と安全性および規制に関する情報も含まれています。
ヒント
物理アプライアンスを管理可能な、または、物理アプライアンスで管理可能な仮想 Firepower
Management Center とデバイスをホストすることができます。ただし、仮想アプライアンスは、シ
ステムのハードウェアベースの機能（冗長性、スイッチング、ルーティングなど）をサポートしま
せん。詳細については、『Firepower NGIPSv for VMware クイックスタートガイド』を参照してく
ださい。
以降のトピックでは、Firepower システムを紹介し、その主要コンポーネントについて説明します。
•
Firepower システムアプライアンス（1-2 ページ）
•
Firepower システムのコンポーネント（1-9 ページ）
•
Firepower システムのライセンス（1-12 ページ）
Firepower 7000 および 8000 シリーズインストールガイド
1-1
第1章
Firepower システムの概要
Firepower システムアプライアンス
•
セキュリティ、インターネットアクセス、および通信ポート（1-14 ページ）
•
アプライアンスの事前設定（1-19 ページ）
Firepower システムアプライアンス
Firepower システムアプライアンスは、トラフィックを検知する管理対象デバイスと管理元の
Firepower Management Center のいずれかです。
物理デバイスは、一定のスループットと機能の範囲内で利用可能な耐障害性のある専用のネッ
トワークアプライアンスです。Firepower Management Center は、これらのデバイスの中央管理点
として機能し、デバイスが生成したイベントを自動的に集約して関連付けます。それぞれの物理
アプライアンスのタイプには、いくつかのモデルがあります。これらのモデルはさらにシリーズ
とファミリに分類されます。Firepower システムの多くの機能は、アプライアンスによって異な
ります。
Firepower Management Center
Firepower Management Center は、Firepower システム展開の一元化された管理ポイントとイベン
トデータベースを提供します。Firepower Management Center は、侵入、ファイル、マルウェア、
ディスカバリ、接続、およびパフォーマンスのデータを集約して相互に関連付け、特定のホスト
に対するイベントの影響を評価し、ホストに侵害の痕跡を付けます。この機能により、デバイス
が相互の関連でレポートする情報をモニタでき、またネットワークで発生するアクティビティ
全体を評価し、制御することができます。
Firepower Management Center の主な機能は次のとおりです。
•
デバイス、ライセンス、およびポリシーの管理
•
表、グラフ、および図を使用したイベントとコンテキスト情報の表示
•
ヘルスとパフォーマンスのモニタリング
•
外部通知とアラート
•
リアルタイムに脅威に対処するための関連付け、侵害の痕跡、および修復機能
•
カスタムおよびテンプレートベースのレポート
管理対象デバイス
組織内のネットワークセグメントに配置されたデバイスは、分析のためにトラフィックを監視
します。パッシブに展開されたデバイスは、ネットワークトラフィックについて理解するうえで
有用です。インラインで展開されている場合は、Firepower デバイスを使用し、複数の基準に基づ
いてトラフィックのフローに影響を及ぼすことができます。各デバイスには、モデルとライセン
スに応じて次のような特徴があります。
•
組織のホスト、オペレーティングシステム、アプリケーション、ユーザ、ファイル、ネット
ワーク、および脆弱性に関する詳細情報を収集します。
•
さまざまなネットワークベースの基準およびその他の基準（アプリケーション、ユーザ、
URL、IP アドレスのレピュテーション、侵入またはマルウェアインスペクションの結果な
ど）に基づいて、ネットワークトラフィックをブロックまたは許可します。
•
スイッチング、ルーティング、DHCP、NAT、および VPN 機能に加えて、設定可能バイパスイ
ンターフェイス、ファストパスルール、および厳密な TCP 強制も備えています。
•
高可用性（冗長性）により操作の継続性を保証したり、スタッキングにより複数のデバイスの
リソースを組み合わせたりすることができます。
Firepower デバイスは、Firepower Management Center で管理する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
1-2
第1章
Firepower システムの概要
Firepower システムアプライアンス
アプライアンスのタイプ
Firepower システムは、シスコが提供するフォールトトレラントな専用の物理ネットワークアプ
ライアンスで動作します。各 Firepower Management Center と管理対象デバイスには複数のモデ
ルがあります。これらのモデルはさらにシリーズおよびファミリに分けられます。
物理管理対象デバイスは、一定範囲のスループットと一定範囲の機能を備えています。物理
Firepower Management Center も、一定範囲のデバイス管理、イベント保管、およびホストとユーザ
のモニタリング機能を備えています。
VMware vSphere Hypervisor または vCloud Director 環境を使用する ESXi ホストとして、64 ビッ
トの仮想Firepower Management Center および仮想 Firepower 管理対象デバイスも配置できます。
どちらのタイプ（物理または仮想）の Management Center も、任意のタイプ（物理、仮想、および
Cisco ASA with FirePOWER Services）のデバイスを管理できます。ただし、Firepower システムの
多くの機能がアプライアンスに依存することに注意してください。
Firepower システムアプライアンスの詳細（サポートする特徴や機能を含む）については、次を参
照してください。
•
7000 および 8000 シリーズアプライアンス（1-3 ページ）
•
仮想アプライアンス（1-3 ページ）
•
Cisco ASA with FirePOWER Services（1-3 ページ）
•
バージョン 6.0 に付属のアプライアンス（1-4 ページ）
•
Firepower Management Center の各モデルでサポートされる機能（1-5 ページ）
•
管理対象デバイスの各モデルでサポートされる機能（1-7 ページ）
7000 および 8000 シリーズアプライアンス
7000 および 8000 シリーズは Firepower 物理アプライアンスです。Firepower 8000 シリーズデバ
イスは、より強力で、Firepower 7000 シリーズデバイスがサポートしていないいくつかの機能を
サポートします。7000 および 8000 シリーズアプライアンスの詳細については、『Firepower 7000
および 8000 シリーズインストールガイド』を参照してください。
仮想アプライアンス
VMware vSphere Hypervisor または VMware vCloud Director 環境を使用して ESXi ホストとして
64 ビット仮想 Firepower Management Center および管理対象デバイスを展開できます。
インストールおよび適用されているライセンスに関係なく、仮想アプライアンスはシステムの
ハードウェアベースの機能（冗長性、リソース共有、スイッチング、ルーティングなど）をサポー
トしません。また、仮想デバイスには Web インターフェイスがありません。仮想アプライアンスの
詳細については、『Firepower NGIPSv for VMware クイックスタートガイド』を参照してください。
Cisco ASA with FirePOWER Services
Cisco ASA with FirePOWER Services（ASA FirePOWER デバイス）は、管理対象デバイスと同様に
機能します。この配置環境では、ASA デバイスは最も重要なシステムポリシーを提供し、アクセ
ス制御、侵入検知と防御、ディスカバリ、および高度なマルウェア対策のためにトラフィックを
Firepower システムに渡します。サポートされている ASA モデルのリストについては、バージョ
ン 6.0 Firepower システムアプライアンスの表を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
1-3
第1章
Firepower システムの概要
Firepower システムアプライアンス
インストールおよび適用されているライセンスに関係なく、ASA FirePOWER デバイスは
Firepower システムの次の機能をサポートしません。
•
ASA FirePOWER デバイスは、Firepower システムのハードウェアベースの機能（高可用性、ス
タッキング、スイッチング、ルーティング、VPN、NAT など）をサポートしません。ただし、
ASA プラットフォームにはこれらの機能が備わっており、ASA CLI と ASDM を使ってこれ
らを設定できます。詳細については、ASA のマニュアルを参照してください。
•
Firepower Management Center の Web インターフェイスを使用して ASA FirePOWER のイン
ターフェイスを設定することはできません。Firepower Management Center では、
ASA FirePOWER デバイスが SPAN ポートモードで展開されている場合、ASA インターフェ
イスを表示しません。
•
Firepower Management Center を使用して ASA FirePOWER プロセスのシャットダウン、再起
動、その他の管理を行うことはできません。
ASA FirePOWER デバイスには、ASA プラットフォームに固有のソフトウェアとコマンドライ
ンインターフェイス（CLI）があります。これらの ASA 固有のツールを使用して、システムをイン
ストールしたり、プラットフォーム固有の他の管理タスクを実行したりすることができます。
注
ASA FirePOWER デバイスを編集して、マルチコンテキストモードからシングルコンテキスト
モード（またはその逆）に切り替えると、デバイスはそのインターフェイスの名前をすべて変更
します。ASA FirePOWER の更新されたインターフェイス名を使用するように、すべての
Firepower セキュリティゾーン、相関ルール、関連する設定を再設定する必要があります。
バージョン 6.0 に付属のアプライアンス
次の表に、Firepower システムバージョン 6.0 と一緒にシスコから提供されるアプライアンスを
示します。
表 1-1
バージョン 6.0 Firepower システムアプライアンス
モデル/ ファミリ
Firepower シリーズフォーム
タイプ
70xx ファミリ：
7000 シリーズ
ハードウェア
デバイス
7000 シリーズ
ハードウェア
デバイス
8000 シリーズ
ハードウェア
デバイス
8000 シリーズ
ハードウェア
デバイス
8000 シリーズ
ハードウェア
デバイス
•
7010、7020、7030、7050
71xx ファミリ：
•
7110、7120
•
7115、7125
•
AMP7150
80xx ファミリ：
•
AMP8050
81xx ファミリ：
•
8120、8130、8140
•
AMP8150
82xx ファミリ：
•
8250
•
8260、8270、8290
Firepower 7000 および 8000 シリーズインストールガイド
1-4
第1章
Firepower システムの概要
Firepower システムアプライアンス
表 1-1
バージョン 6.0 Firepower システムアプライアンス（続き）
モデル/ ファミリ
Firepower シリーズフォーム
タイプ
83xx ファミリ：
8000 シリーズ
ハードウェア
デバイス
64 ビット仮想 NGIPSv
n/a
ソフトウェア
デバイス
ASA FirePOWER：
n/a
ハードウェア
デバイス
n/a
ソフトウェア
デバイス
n/a
ハードウェア
Management
Center
n/a
ソフトウェア
Management
Center
•
8350
•
8360、8370、8390
•
AMP8350
•
AMP8360、AMP8370、AMP8390
•
ASA5585-X-SSP-10、
ASA5585-X-SSP-20、
ASA5585-X-SSP-40、
ASA5585-X-SSP-60
ASA FirePOWER：
•
ASA5506-X ASA5506H-X、
5506W-X、5508-X、ASA5512-X、
ASA5515-X、ASA5518-X、
ASA5525-X、ASA5545-X、
ASA5555-X
Firepower Management Center：
•
MC750、MC1500、MC2000、
MC3500、MC2000、MC4000
64 ビット Firepower Management
Center 仮想
再イメージングすると、アプライアンスに関するすべての設定とイベントデータが失われるこ
とに注意してください。詳細については、「出荷時の初期状態に Firepower システムアプライアン
スを復元する（8-1 ページ）」を参照してください。
ヒント
バージョン 4.10.3 の展開からバージョン 5.2 の展開に特定の設定とイベントデータを移行でき
ます。その後、一連の手順を使用して、バージョン 6.0 に更新できます。詳細については、バージョ
ン 5.2 の『Firepower システム Migration Guide』を参照してください。
Firepower Management Center の各モデルでサポートされる機能
バージョン 6.0 を実行している場合、すべての Firepower Management Center に同様の機能があり
ますが、ごく一部にモデルベースの制限があります。次の表は、システムの主な機能と、これらの
機能をサポートする Firepower Management Center を示しています（これらの機能をサポートす
るデバイスを管理しており、適切なライセンスがインストール/適用済みであることを想定して
います）。
Firepower Management Center の各モデルは、この表に示した機能に加えて、監視できるデバイス
数、保存できるイベント数、および監視できるホストとユーザの数も異なります。詳細について
は、Firepower Management Center 設定ガイドを参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
1-5
第1章
Firepower システムの概要
Firepower システムアプライアンス
また、バージョン 6.0 のシステムを実行する Firepower Management Center の任意のモデルを使用
して、任意のバージョン 6.0 デバイスを管理できますが、多くのシステム機能はデバイスのモデ
ルによって制限されることに留意してください。詳細については、管理対象デバイスの各モデル
でサポートされる機能（1-7 ページ）を参照してください。
表 1-2
Firepower Management Center の各モデルでサポートされる機能
機能
Management Center
Management Center
仮想
yes
管理対象デバイスから報告された検出データ（ホスト、アプリケー
ション、およびユーザ）を収集して、組織のネットワークマップを作成
する
yes
ネットワークトラフィックの位置情報データの表示
yes
yes
侵入検知および防御（IPS）展開を管理する
yes
yes
セキュリティインテリジェンスフィルタ処理を実行するデバイスの
管理
yes
yes
位置情報に基づくフィルタリングを含む、単純なネットワークベース yes
の制御を実行しているデバイスを管理する
yes
アプリケーション制御を実行しているデバイスを管理する
yes
yes
ユーザ制御を実行するデバイスの管理
yes
yes
リテラル URL でネットワークトラフィックをフィルタ処理するデバ yes
イスを管理する
yes
カテゴリとレピュテーションによる URL フィルタリングを実行して
いるデバイスを管理する
yes
yes
ファイルタイプによる単純なファイル制御を実行しているデバイス
を管理する
yes
yes
ネットワークベースの高度なマルウェア防御（AMP）を実行するデバ
イスを管理する
yes
yes
FireAMP 展開からエンドポイントベースのマルウェア（FireAMP）イ
ベントを受信する
yes
yes
デバイスベースでハードウェアベースの機能を管理する：
yes
yes
yes
yes
•
高速パスルール
•
厳密な TCP 強制
•
設定可能バイパスインターフェイス
•
タップモード
•
スイッチングとルーティング
•
NAT ポリシー
•
VPN
デバイスベースの冗長性とリソース共有を管理する：
•
デバイススタック
•
デバイスのハイアベイラビリティ
•
ハイアベイラビリティペアのスタック
Firepower 7000 および 8000 シリーズインストールガイド
1-6
第1章
Firepower システムの概要
Firepower システムアプライアンス
表 1-2
Firepower Management Center の各モデルでサポートされる機能（続き）
機能
Management Center
Management Center
仮想
トラフィックチャネルを使用した内部および外部トラフィックの分
離および管理
yes
yes
複数の管理インターフェイスを使用した異なるネットワーク上のト
ラフィックの分離および管理
yes
yes
マルウェアストレージパックをインストールする
yes
no
eStreamer、ホスト入力、またはデータベースクライアントに接続する
yes
yes
管理対象デバイスの各モデルでサポートされる機能
デバイスはネットワークトラフィックを処理するアプライアンスです。したがって、Firepower
システムの多くの機能は管理対象デバイスのモデルによって異なります。
次の表は、システムの主な機能と、これらの機能をサポートするデバイスを示しています（管理
を行う Firepower Management Center から適切なライセンスがインストール/適用済みであること
を想定しています）。
バージョン 6.0 のシステムを実行する Firepower Management Center の任意のモデルを使用して、任
意のバージョン 6.0 デバイスを管理できますが、いくつかのシステム機能は Firepower Management
Center のモデルによって制限されることに留意してください。詳細については、Firepower
Management Center の各モデルでサポートされる機能（1-5 ページ）を参照してください。
表 1-3
管理対象デバイスモデル別にサポートされる機能
7000 および 8000 シリーズ
ASA FirePOWER
デバイス
Virtual
デバイス
ネットワーク検出：ホスト、アプリケーション、および
ユーザ
yes
yes
yes
侵入検知および防御（IPS）
yes
yes
yes
Security Intelligence フィルタリング
yes
yes
yes
アクセスコントロール：基本的なネットワーク制御
yes
yes
yes
アクセス制御：位置情報ベースのフィルタリング
yes
yes
yes
アクセス制御：アプリケーション制御
yes
yes
yes
アクセス制御：ユーザ制御
yes
yes
yes
アクセス制御：リテラル URL
yes
yes
yes
アクセスコントロール：カテゴリとレピュテーションに
よる URL フィルタリング
yes
yes
yes
ファイル制御：ファイルタイプ別
yes
yes
yes
ネットワークベースの高度なマルウェア防御（AMP）
yes
yes
yes
自動アプリケーションバイパス
yes
no
yes
Fast-Path ルール
8000 シリーズ
no
no
厳密な TCP 強制
yes
no
no
機能
Firepower 7000 および 8000 シリーズインストールガイド
1-7
第1章
Firepower システムの概要
Firepower システムアプライアンス
表 1-3
管理対象デバイスモデル別にサポートされる機能（続き）
7000 および 8000 シリーズ
ASA FirePOWER
デバイス
Virtual
デバイス
設定可能バイパスインターフェイス
ハードウェア制限される
場合を除く
no
no
タップモード
yes
no
no
スイッチングとルーティング
yes
no
no
NAT ポリシー
yes
no
no
VPN
yes
no
no
デバイススタッキング
8140
82xx ファミリ
83xx ファミリ
no
no
デバイスのハイアベイラビリティ
yes
no
no
ハイアベイラビリティペアのスタック
8140
82xx ファミリ
83xx ファミリ
no
no
トラフィックチャネル
yes
no
no
複数の管理インターフェイス
yes
no
no
マルウェアストレージパック
yes
no
no
制限付きコマンドラインインターフェイス（CLI）
yes
yes
yes
外部認証
yes
no
no
eStreamer クライアントへの接続
yes
yes
no
機能
7000 および 8000 シリーズデバイスシャーシの指定
ここでは、7000 シリーズデバイス、8000 シリーズデバイス、およびそれらのシャーシハード
ウェアコードを示します。シャーシコードはシャーシの外側の規制ラベルに記載されており、
ハードウェア認定および安全性のための正式な参照コードです。
7000 シリーズシャーシの指定
次の表に、全世界で使用される 7000 シリーズモデルのシャーシ指定を示します。
表 1-4
7000 シリーズシャーシモデル
Firepower と AMP デバイス
モデル
ハードウェアのシャー
シコード
7010、7020、7030
CHRY-1U-AC
7050
NEME-1U-AC
7110、7120（銅線）
GERY-1U-8-C-AC
7110、7120（ファイバ）
GERY-1U-8-FM-AC
7115、7125、AMP7150
GERY-1U-4C8S-AC
Firepower 7000 および 8000 シリーズインストールガイド
1-8
第1章
Firepower システムの概要
Firepower システムのコンポーネント
8000 シリーズシャーシの指定
次の表に、全世界で使用される 7000 および 8000 シリーズモデルのシャーシ指定を示します。
表 1-5
8000 シリーズシャーシモデル
Firepower と AMP デバイスモデル
ハードウェアのシャー
シコード
AMP8050（AC または DC 電源）
CHAS-1U-AC/DC
8120、8130、8140、AMP8150
（AC または DC 電源）
CHAS-1U-AC/DC
8250、8260、8270、8290 
（AC または DC 電源）
CHAS-2U-AC/DC
8350、8360、8370、8390 
（AC または DC 電源）
PG35-2U-AC/DC
AMP830、AMP8360、AMP8370、AMP8390 PG35-2U-AC/DC
（AC または DC 電源）
Firepower システムのコンポーネント
ここでは、組織のセキュリティ、アクセプタブルユースポリシー、およびトラフィック管理戦略
に役立つ Firepower システムの主要な機能の一部について説明します。
ヒント
Firepower システムの機能の多くが、アプライアンスモデル、ライセンス、およびユーザロール
によって異なります。必要に応じて、Firepower システムのマニュアルに機能とタスクごとの要
件が記載されています。
冗長性およびリソース共有
Firepower システムの冗長性とリソース共有機能を使用すれば、運用継続性を保証し、複数の物
理デバイスの処理リソースを統合することができます。
•
デバイスのスタッキングでは、1 つのスタック構成内で 2 ～ 4 個の物理デバイスを接続する
ことにより、ネットワークセグメントで検査されるトラフィックの量を増やすことができ
ます。
•
デバイスのハイアベイラビリティを使用すれば、複数の 7000 および 8000 シリーズデバイ
スまたはスタック間のネットワーキング機能と設定データの冗長性を構築することができ
ます。
複数の管理インターフェイス
Firepower Management Center、デバイス、またはその両方で複数の管理インターフェイスを使用
して、トラフィックを 2 つのトラフィックチャネルに分離することでパフォーマンスを改善で
きます。このうち管理トラフィックチャネルはデバイス間通信を伝送し、イベントトラフィッ
クチャネルは、侵入イベントなどの大容量のイベントトラフィックを伝送します。両方のトラ
フィックチャネルを同じ管理インターフェイス上で伝送することも、2 つの管理インターフェイ
スに分割して各インターフェイスで 1 つずつトラフィックチャネルを伝送することもできます。
Firepower 7000 および 8000 シリーズインストールガイド
1-9
第1章
Firepower システムの概要
Firepower システムのコンポーネント
また、Firepower Management Center 上の特定の管理インターフェイスから別のネットワークまで
のルートを作成することにより、あるネットワーク上のデバイスからのトラフィックと別のネッ
トワーク上のデバイスからのトラフィックを、Firepower Management Center で別々に管理するこ
ともできます。
追加の管理インターフェイスは、デフォルト管理インターフェイスと同じ多くの機能を備えて
います。ただし、次の例外があります。
•
DHCP は、デフォルト（eth0）管理インターフェイスにのみ設定できます。追加のインター
フェイス（eth1 など）には、固有の静的 IP アドレスとホスト名が必要です。
•
Firepower Management Center と管理対象デバイスが NAT デバイスによって分離されている
場合は、同じデフォルト以外の管理インターフェイスを使用するように両方のトラフィック
チャネルを設定する必要があります。
•
Lights-Out 管理は、デフォルトの管理インターフェイスでのみ使用できます。
•
70xx ファミリでは、トラフィックを 2 つのチャネルに分離して、Firepower Management
Center 上の 1 つ以上の管理インターフェイスにトラフィックを送信するようにそれらの
チャネルを設定できます。ただし、70xx ファミリには 1 つの管理インターフェイスしか含ま
れていないため、デバイスは 1 つの管理インターフェイスのみで Firepower Management
Center から送信されたトラフィックを受信します。
アプライアンスを設置した後、Web ブラウザを使用して複数の管理インターフェイスを設定し
ます。詳細については、『Firepower Management Center 設定ガイド』の「Multiple Management
Interfaces」を参照してください。
ネットワークトラフィックの管理
Firepower システムのネットワークトラフィック管理機能を使用すれば、7000 および 8000 シ
リーズデバイスを組織のネットワークインフラストラクチャの一部として機能させることが
できます。次の作業を実行できます。
•
複数のネットワークセグメント間のパケットスイッチングを実行するようにレイヤ 2 展開
を設定する
•
複数のインターフェイス間のトラフィックをルーティングするようにレイヤ 3 展開を設定
する
•
ネットワークアドレス変換（NAT）を実行する
•
管理対象デバイス上の仮想ルータからリモートデバイスまたはその他のサードパーティ製
VPN エンドポイントへのセキュアな VPN トンネルを構築する
検出およびアイデンティティ
シスコの検出およびアイデンティティテクノロジーでは、ネットワークの全体像を提供するた
めにホスト、オペレーティングシステム、アプリケーション、ユーザ、ファイル、ネットワーク、位
置情報、および脆弱性に関する情報を収集します。
Firepower Management Center の Web インターフェイスを使用して、収集されたデータを表示お
よび分析することができます。また、検出およびアイデンティティを使用することで、アクセス
制御を実施し、侵入ルールの状態を修正できます。
アクセスコントロール
アクセス制御は、ネットワークを通過するトラフィックを指定、検査、および記録することが可
能なポリシーベースの機能です。アクセス制御の一部として、セキュリティインテリジェンス
機能を使用すれば、トラフィックをより詳細な分析にかける前に、特定の IP アドレスをブラック
リストに追加（そのアドレスへのトラフックとそのアドレスからのトラフィックを拒否）するこ
とができます。
Firepower 7000 および 8000 シリーズインストールガイド
1-10
第1章
Firepower システムの概要
Firepower システムのコンポーネント
セキュリティインテリジェンスフィルタリングの実行後は、対象のデバイスがどのトラフィック
をどのように処理するか（単純な IP アドレスのマッチングから、異なるユーザ、アプリケーショ
ン、ポート、および URL が関与する複雑なシナリオまで）を定義することができます。トラフィッ
クを信頼、監視、またはブロックすることも、次のように詳細な分析を実行することもできます。
•
侵入検知と防御
•
ファイル制御
•
ファイルトラッキングとネットワークベースの高度マルウェア防御（AMP）
侵入検知と侵入防御
侵入検知および防御は、ネットワークトラフィックのセキュリティ違反を監視したり、インライ
ン展開で悪意のあるトラフィックをブロックまたは修正したりできるアクセス制御に統合され
たポリシーベースの機能です。侵入ポリシーは次のようなさまざまな要素で構成されます。
•
プロトコルヘッダー値、ペイロードの内容、および特定のパケットサイズの特性を検査する
ルール
•
FireSIGHT の推奨事項に基づくルール状態設定
•
プリプロセッサやその他の検出およびパフォーマンス機能などの高度な設定
•
関連するプリプロセッサとプリプロセッサオプション用のイベントを生成可能なプリプロ
セッサルール
ファイルトラッキング、制御、およびネットワークベースの高度なマルウェア防御（AMP）
マルウェアの影響を特定し、軽減することを容易にするために、Firepower システムのファイル
制御、ネットワークファイルのトラジェクトリ、および高度なマルウェア防御のコンポーネント
はネットワークトラフィック内のファイルの伝送を（マルウェアファイルも含めて）検出、追
跡、取得、分析、およびオプションでブロックすることができます。
ファイル制御は、管理対象デバイスでユーザによる特定のアプリケーションプロトコル経由の
特定のタイプのファイルのアップロード（送信）またはダウンロード（受信）を検出してブロック
することが可能な、アクセス制御に統合されたポリシーベースの機能です。
ネットワークベースの高度なマルウェア対策（AMP）によって、複数のファイルタイプのマル
ウェアに関してネットワークトラフィックを検査できます。アプライアンスでは、検出された
ファイルをさらに分析するためにハードドライブまたは（一部のモデルで）マルウェアスト
レージパックに保存できます。
検出されたファイルを手元に保存するかどうかに関わらず、ファイルの SHA-256 ハッシュ値を
使用して単純な既知ディスポジションルックアップ用にシスコクラウドにそれを送信するこ
とができます。また、脅威のスコアを生成する動的分析を行うためにファイルを送信することも
できます。このコンテキスト情報を使用して、特定のファイルをブロックまたは許可するように
システムを設定できます。
FireAMP はシスコのエンタープライズクラスの高度なマルウェア分析および防御ソリュー
ションで、高度なマルウェアの発生、高度で継続的な脅威、および標的型攻撃を検出、認識、ブ
ロックします。組織に FireAMP のサブスクリプションがある場合は、個々のユーザが自身のコン
ピュータおよびモバイルデバイス（エンドポイントとも呼ばれる）に FireAMP Connector をイン
ストールします。これらの軽量エージェントはシスコクラウドと通信し、さらにクラウドが
Firepower Management Center と通信します。
Firepower Management Center をクラウドに接続するように設定した後で Firepower Management
Center の Web インターフェイスを使用して、組織のエンドポイントでのスキャン、検出、および
検疫の結果として生成されたエンドポイントベースのマルウェアイベントを表示することがで
きます。また、Firepower Management Center は FireAMP データを使用してホスト侵害の兆候を生
成および追跡することに加えて、ネットワークファイルトラジェクトリを表示します。
Firepower 7000 および 8000 シリーズインストールガイド
1-11
第1章
Firepower システムの概要
Firepower システムのライセンス
ネットワークファイルトラジェクトリ機能を使用すれば、ネットワーク全体のファイルの伝送
パスを追跡することができます。システムは SHA-256 ハッシュ値を使用してファイルを追跡し
ます。各ファイルには、関連するトラジェクトリマップが付随しており、これには、一定期間の
ファイルの転送を視覚的に表したものや、ファイルに関する追加情報が含まれています。
アプリケーションプログラミングインターフェイス
アプリケーションプログラミングインターフェース（API）を使用してシステムと対話する方法
がいくつか用意されています。
•
Event Streamer（eStreamer）を使用すると、Firepower システムアプライアンスからの数種類の
イベントデータを、カスタム開発されたクライアントアプリケーションにストリーム配信
できます。
•
データベースアクセス機能を使用すれば、JDBC SSL 接続をサポートするサードパーティ製
クライアントを使用して、Firepower Management Center 上の複数のデータベーステーブルに
対してクエリを実行することができます。
•
ホスト入力機能では、スクリプトまたはコマンドラインファイルを使用してサードパー
ティのソースからデータをインポートすることにより、ネットワークマップの情報を増や
すことができます。
•
修復は、ネットワーク上の特定の条件が満たされたときに Firepower Management Center が自
動的に起動可能なプログラムです。これにより、ユーザが攻撃に即時に対処できない場合で
も攻撃の影響を自動的に緩和でき、またシステムが組織のセキュリティポリシーに準拠し
続けるようにすることができます。
Firepower システムのライセンス
組織に対して Firepower システムの最適な展開を実現するために、さまざまな機能についてライ
センスを取得することができます。Firepower Management Center を使用して、それ自体のライセ
ンスおよび管理対象のデバイスを管理できます。Firepower システムから提供されるライセンス
タイプは管理するデバイスのタイプによって異なります。
•
Firepower、ASA FirePOWER、および NGIPSv デバイスの場合、クラシックライセンスを使用
する必要があります。
デフォルトでは、Firepower Management Center は、ドメインコントロール、ホスト、アプリケー
ション、ユーザの検出、および SSL と TLS で暗号化されたトラフィックの復号と検査を実行でき
ます。
機能に固有のクラシックライセンスにより、管理対象デバイスは次のようなさまざまな機能を
実行できます。
•
侵入検知および防御
•
Security Intelligence フィルタリング
•
Firepower のファイル制御と AMP
•
アプリケーション、ユーザ、および URL 制御
•
スイッチングおよびルーティング
•
デバイスのハイアベイラビリティ
•
ネットワークアドレス変換（NAT）
•
バーチャルプライベートネットワーク（VPN）導入環境
Firepower 7000 および 8000 シリーズインストールガイド
1-12
第1章
Firepower システムの概要
Firepower システムのライセンス
Firepower システムのライセンス付き機能にアクセスできなくなる状況がいくつかあります。
Firepower Management Center からライセンスを削除できますが、これはこの管理対象のすべての
デバイスに影響します。特定の管理対象デバイスでライセンス付き機能を無効にすることもで
きます。最後に、一部のライセンスには有効期限が設定されています。いくつかの例外がありま
すが、期限切れライセンスまたは削除済みライセンスに関連付けられている機能は使用できま
せん。
Firepower システムのクラシックライセンスの概要を以下に示します。
Protection
Protection ライセンスでは、管理対象デバイスで侵入の検出および防御、ファイル制御、セ
キュリティインテリジェンスのフィルタリングを実行することができます。
Control
制御ライセンスは、管理対象デバイスがユーザおよびアプリケーションの制御、スイッチン
グとルーティング（DHCP リレーなど）、および NAT を実行できるようにします。また、デバ
イスの設定を許可し、ハイアベイラビリティペアにスタックします。Control ライセンスに
は、Protection ライセンスが必要です。
URL フィルタリング
URL フィルタリングライセンスでは、管理対象デバイスが定期的に更新されるクラウド
ベースのカテゴリおよびレピュテーションデータを使用して、監視対象ホストが要求した
URL に基づいて、ネットワークを通貨できるトラフィックを判別できます。URL フィルタリ
ングライセンスにはProtection ライセンスが必要です。
マルウェア
マルウェアライセンスにより、管理対象デバイスはネットワークベースの高度なマルウェ
ア防御（AMP）を実行できます。これはネットワーク上で転送されるファイルに含まれるマ
ルウェアを検出し、ブロックする機能です。また、ネットワーク上で転送されるファイルを追
跡するトラジェクトリを表示することもできます。マルウェアライセンスにはProtection ラ
イセンスが必要です。
VPN
VPN ライセンスを使用すると、シスコの管理対象デバイス上の仮想ルータ間、あるいは管理
対象デバイスからリモートデバイスまたは他のサードパーティ製 VPN エンドポイントま
でのセキュアな VPN トンネルを構築できます。VPN ライセンスには、Protection ライセンス
と Control ライセンスが必要です。
クラシックライセンスのタイプと制限の詳細については、『Firepower Management Center 設定ガ
イド』を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
1-13
第1章
Firepower システムの概要
セキュリティ、インターネットアクセス、および通信ポート
セキュリティ、インターネットアクセス、および通信
ポート
Firepower Management Center を保護するには、保護された内部ネットワークにインストールする
必要があります。Firepower Management Center は必要なサービスとポートだけを使用するよう設
定されますが、ファイアウォール外部からの攻撃がそこまで（または管理対象デバイスまで）決
して到達できないようにする必要があります。
Firepower Management Center とその管理対象デバイスが同じネットワーク上に存在する場合は、
デバイス上の管理インターフェイスを、Firepower Management Center と同じ保護された内部ネッ
トワークに接続できます。これにより、Firepower Management Center からデバイスを安全に制御
することができます。また、他のネットワーク上のデバイスからのトラフィックを Firepower
Management Center で管理および分離できるように、複数の管理インターフェイスを設定するこ
ともできます。
アプライアンスの展開方法とは無関係に、アプライアンス間通信は暗号化されます。それでも、
分散型サービス拒否（DDoS）や中間者攻撃などの手段でアプライアンス間の通信が中断、ブロッ
ク、または改ざんされないよう何らかの対策を講じる必要があります。
また、Firepower システムの機能によってはインターネット接続が必要となることにも注意して
ください。デフォルトで、すべてのアプライアンスはインターネットに直接接続するよう設定さ
れます。加えて、システムで特定のポートを開いたままにしておく必要があります。その目的は
基本的なアプライアンス間通信、セキュアなアプライアンスアクセス、および特定のシステム機
能を正しく動作させるために必要なローカル/ インターネットリソースへのアクセスを可能に
することです。
ヒント
Cisco ASA with FirePOWER Services を除いて、Firepower システムアプライアンスではプロキシ
サーバを使用できます。詳細については、Firepower Management Center 設定ガイドを参照してく
ださい。
詳細については、以下を参照してください。
•
インターネットアクセス要件（1-15 ページ）
•
通信ポートの要件（1-16 ページ）
Firepower 7000 および 8000 シリーズインストールガイド
1-14
第1章
Firepower システムの概要
セキュリティ、インターネットアクセス、および通信ポート
インターネットアクセス要件
Firepower システムアプライアンスは、デフォルトで開かれるポート 443/tcp（HTTPS）とポート
80/tcp（HTTP）を介して、インターネットに直接接続するよう設定されます（通信ポートの要件
（1-16 ページ）を参照）。ほとんどの Firepower システムアプライアンスでプロキシサーバを使用
できることに注意してください（『Firepower Management Center 設定ガイド』の「Configuring
Network Settings」の章を参照してください）。プロキシサーバは whois アクセスに使用できない
点にも注意が必要です。
次の表に、Firepower システムの特定の機能におけるインターネットアクセス要件を示します。
表 1-6
Firepower システム機能のインターネットアクセス要件
機能
インターネットアクセスの用途
アプライアンス
動的分析：クエリ
Management Center
動的分析のために、提出済みファイルの脅
威スコアを Collective Security Intelligence ク
ラウドに照会します。
動的分析：送信
動的分析のためにファイルを Collective
管理対象デバイス
Security Intelligence クラウドに提出します。
FireAMP 統合
Collective Security Intelligence クラウドから Management Center
エンドポイントベースの（FireAMP）マル
ウェアイベントを受信します。
侵入ルール、VDB、および GeoDB
の更新
侵入ルール、GeoDB、または VDB の更新を
アプライアンスに直接ダウンロードする
か、ダウンロードをスケジュールします。
Management Center
ネットワークベースの AMP
マルウェアクラウド検索を実行します。
Management Center
RSS フィードダッシュボード
ウィジェット
シスコを含む外部ソースから RSS フィード
データをダウンロードします。
すべて（仮想デバイスと
ASA FirePOWER を除く）
Security Intelligence フィルタ
リング
Firepower システムインテリジェンス
フィードを含む外部ソースからのセキュリ
ティインテリジェンスフィードデータを
ダウンロードします。
Management Center
システムソフトウェアの更新プ
ログラム
システム更新をアプライアンスに直接ダウ
ンロードするか、ダウンロードをスケ
ジュールします。
すべて（仮想デバイスと
ASA FirePOWER を除く）
URL フィルタリング
アクセスコントロール用にクラウドベー Management Center
スの URL カテゴリおよびレピュテーショ
ンデータをダウンロードし、未分類 URL の
検索を実行します。
whois
外部ホストの whois 情報を要求します。
すべて（仮想デバイスと
ASA FirePOWER を除く）
Firepower 7000 および 8000 シリーズインストールガイド
1-15
第1章
Firepower システムの概要
セキュリティ、インターネットアクセス、および通信ポート
通信ポートの要件
Firepower システムアプライアンスは、（デフォルトでポート 8305/tcp を使用する）双方向 SSL 暗
号化通信チャネルを使って通信します。基本的なアプライアンス間通信用にこのポートを開い
たままにする必要があります。他のオープンポートの役割は次のとおりです。
•
アプライアンスの Web インターフェイスにアクセスする
•
アプライアンスへのリモート接続を保護する
•
特定のシステム機能を正しく動作させるために必要なローカル/ インターネットリソースへ
のアクセスを可能にする
一般に、機能関連のポートは、該当する機能を有効化または設定する時点まで、閉じたままにな
ります。たとえば、Firepower Management Center をユーザエージェントに接続するまでは、エー
ジェント通信ポート（3306/tcp）は閉じたままになります。別の例として、LOM を有効にするまで
は、7000 および 8000 シリーズアプライアンス上のポート 623/udp が閉じたままになります。
注意
開いたポートを閉じると展開にどのような影響が及ぶか理解するまでは、開いたポートを閉じ
ないでください。
たとえば、管理対象デバイス上のポート 25/tcp（SMTP）アウトバウンドを閉じると、個別の侵入イ
ベントに関する電子メール通知をデバイスから送信できなくなります（『Firepower Management
Center 設定ガイド』を参照）。別の例として、ポート 443/tcp（HTTPS）を閉じることにより物理管理
対象デバイスの Web インターフェイスへのアクセスを無効にできますが、それと同時に、動的分
析のためにデバイスから疑わしいマルウェアファイルをクラウドに送信できなくなります。
次のように、システムのいくつかの通信ポートを変更できることに注意してください。
•
システムと認証サーバの間の接続を設定するときに、LDAP および RADIUS 認証用のカスタ
ムポートを指定できます（『Firepower Management Center 設定ガイド』を参照）。
•
管理ポート（8305/tcp）を変更できます（『Firepower Management Center 設定ガイド』を参照）。
ただし、シスコでは、デフォルト設定を維持することを強く推奨しています。管理ポートを変
更する場合は、導入内の相互に通信する必要があるすべてのアプライアンスの管理ポートを
変更する必要があります。
•
ポート 32137/tcp を使用すると、アップグレードされた Firepower Management Center が
Collective Security Intelligence クラウドと通信できます。ただし、シスコでは、バージョン 6.0
以降の新規インストールのデフォルトであるポート 443 に切り替えることを推奨していま
す。詳細については、『Firepower Management Center 設定ガイド』を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
1-16
第1章
Firepower システムの概要
セキュリティ、インターネットアクセス、および通信ポート
次の表は、Firepower システムの機能を最大限に活用できるように、各アプライアンスタイプで
必要なオープンポートを示しています。
表 1-7
Firepower システムの機能と運用のためのデフォルト通信ポート
ポート
説明
方向
開いているアプライ
アンス
22/tcp
SSH/SSL
双方向
すべて
アプライアンスへのセキュアなリモート
接続を許可します。
25/tcp
SMTP
発信
すべて
アプライアンスから電子メール通知とア
ラートを送信します。
53/tcp
DNS
発信
すべて
DNS を使用します。
67/udp
DHCP
発信
すべて
DHCP を使用します。
68/udp
80/tcp
目的
注
HTTP
これらのポートはデフォルトで閉じ
られています。
発信
すべて（仮想デバイス RSS フィードダッシュボードウィジェッ
と ASA FirePOWER をトからリモート Web サーバに接続できる
除く）
ようにします。
双方向
Management Center
HTTP 経由でカスタムおよびサードパー
ティのセキュリティインテリジェンス
フィードを更新します。
URL カテゴリおよびレピュテーション
データをダウンロードします（さらにポー
ト 443 も必要）。
161/udp
SNMP
双方向
すべて（仮想デバイス SNMP ポーリング経由でアプライアンス
と ASA FirePOWER をの MIB にアクセスできるようにします。
除く）
162/udp
SNMP
発信
すべて
リモートトラップサーバに SNMP アラー
トを送信します。
389/tcp
LDAP
発信
すべて（仮想デバイス
を除く）
外部認証用に LDAP サーバと通信します。
LDAP
発信
Management Center
検出された LDAP ユーザに関するメタ
データを取得します。
HTTPS
着信
すべて（仮想デバイスアプライアンスの Web インターフェイス
と ASA FirePOWER をにアクセスします。
除く）
636/tcp
389/tcp
636/tcp
443/tcp
Firepower 7000 および 8000 シリーズインストールガイド
1-17
第1章
Firepower システムの概要
セキュリティ、インターネットアクセス、および通信ポート
表 1-7
Firepower システムの機能と運用のためのデフォルト通信ポート（続き）
ポート
説明
方向
開いているアプライ
アンス
目的
443/tcp
HTTPS
双方向
Management Center
次のものを取得します。
AMQP
•
ソフトウェア、侵入ルール、VDB、およ
び GeoDB の更新
•
URL カテゴリおよびレピュテーショ
ンデータ（さらにポート 80 も必要）
•
シスコインテリジェンスフィードお
よび他のセキュアなセキュリティイ
ンテリジェンスフィード
•
エンドポイントベースの（FireAMP）
マルウェアイベント
•
ファイルに関してネットワークトラ
フィックで検出されたマルウェアの
性質
•
送信されたファイルに関する動的分
析情報
クラウド通信
7000 および 8000 シ
リーズデバイス
デバイスのローカル Web インターフェイ
スを使用してソフトウェア更新をダウン
ロードします。
7000 および 8000 シ
リーズ、仮想デバイ
ス、および
ASA FirePOWER
動的分析用にファイルをシスコクラウド
に送信します。
514/udp
syslog
発信
すべて
リモート syslog サーバにアラートを送信
します。
623/udp
SOL/LOM
双方向
7000 および 8000 シ
リーズ
Serial Over LAN（SOL）接続を使用して
Lights-Out Management を実行できるよう
にします。
1500/tcp
Management Center
2000/tcp
データベース着信
アクセス
サードパーティクライアントによるデー
タベースへの読み取り専用アクセスを可
能にします。
1812/udp
RADIUS
双方向
すべて（仮想デバイス外部認証とアカウンティングのために
と ASA FirePOWER を RADIUS サーバと通信します。
除く）
3306/tcp
ユーザエー
ジェント
着信
Management Center
ユーザエージェントと通信します。
8302/tcp
eStreamer
双方向
すべて（仮想デバイス
を除く）
eStreamer クライアントと通信します。
8305/tcp
アプライアン双方向
ス通信
すべて
展開におけるアプライアンス間で安全に
通信します。必須です。
1813/udp
Firepower 7000 および 8000 シリーズインストールガイド
1-18
第1章
Firepower システムの概要
アプライアンスの事前設定
表 1-7
Firepower システムの機能と運用のためのデフォルト通信ポート（続き）
開いているアプライ
アンス
目的
ホスト入力ク双方向
ライアント
Management Center
ホスト入力クライアントと通信します。
クラウド通信双方向
Management Center
アップグレード対象のManagement Center
とシスコクラウドの通信を可能にします。
ポート
説明
8307/tcp
32137/tcp
方向
アプライアンスの事前設定
あとで他のサイトに展開するために、1 つの場所で一元的に複数のアプライアンスと Firepower
Management Center を事前設定することができます。アプライアンスを事前設定するときの考慮
事項については、Firepower 管理対象デバイスの事前設定（E-1 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
1-19
第1章
アプライアンスの事前設定
Firepower 7000 および 8000 シリーズインストールガイド
1-20
Firepower システムの概要
CH A P T E R
2
管理ネットワークでの展開
Firepower システムは、それぞれ固有のネットワークアーキテクチャのニーズに応じて展開する
ことができます。Management Centerが、Firepower システムの集中管理コンソールおよびデータ
ベースリポジトリとなります。トラフィック接続を収集して分析するために、複数のネットワー
クセグメントにデバイスを設置します。
Management Centerは管理インターフェイスを使用して、信頼できる管理ネットワーク（つまり、
公開されている外部トラフィックではない安全な内部ネットワーク）に接続します。デバイス
は、管理インターフェイスを使用してManagement Centerに接続します。
そして、デバイスはセンシングインターフェイスを使用して外部ネットワークに接続して、トラ
フィックをモニタします。展開におけるセンシングインターフェイスの使用方法の詳細につい
ては、Firepower 管理対象デバイスの展開（3-1 ページ）を参照してください。
注
ASA FirePOWER のデバイスの展開シナリオについて詳しくは、ASA のマニュアルを参照してく
ださい。
管理展開に関する考慮事項
管理展開の決定は、さまざまな要因に基づいて行われます。以下の質問に答えることは、最も効
率的かつ効果的なシステムを構成するための展開オプションの理解に役立ちます。
•
デフォルトの単一の管理インターフェイスを使用してデバイスをManagement Centerに接続
しますか? パフォーマンスを向上したり、Management Centerで受信した別のネットワークか
らのトラフィックを分離するために、追加の管理インターフェイスを有効化しますか? 詳細
については、「管理インターフェイスについて（2-2 ページ）」を参照してください。
•
パフォーマンスを向上するために、トラフィックチャネルを有効化してManagement Center
と管理対象デバイスの間に 2 つの接続を作成しますか? Management Center と管理対象デバ
イスの間のスループット容量をさらに増加するために、複数の管理インターフェイスを使用
しますか? 詳細については、「複数のトラフィックチャネルを持つ場合の展開（2-3 ページ）」
を参照してください。
•
単一のManagement Centerを使用して、別のネットワークデバイスからのトラフィックを管理
および分離しますか? 詳細については、「ネットワークルートを持つ場合の展開（2-5 ページ）」
を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
2-1
第2章
管理ネットワークでの展開
管理インターフェイスについて
•
保護された環境に管理インターフェイスを展開しますか? アプライアンスのアクセスは、特
定のワークステーション IP アドレスに制限されますか? セキュリティの考慮事項（2-5 ペー
ジ）には、管理インターフェイスを安全に展開するための考慮事項が説明されています。
•
8000 シリーズデバイスを展開しますか? 詳細については、「特殊なケース：8000 シリーズデ
バイスの接続（2-6 ページ）」を参照してください。
管理インターフェイスについて
管理インターフェイスは、防御センターが管理するすべてのデバイスと Management Centerの間
の通信手段を提供します。アプライアンス間のトラフィック制御を正常に維持することが、展開
の成功に不可欠です。
Management Center および Firepower デバイス上では、Management Center またはデバイス上、あ
るいは両方の管理インターフェイスを使用して、アプライアンス間のトラフィックを 2 種類の
トラフィックチャネルに分類できます。管理トラフィックチャネルは、すべての内部トラフィッ
ク（アプライアンスおよびシステムの管理専用のデバイス間トラフィックなど）を伝送し、イベ
ントトラフィックチャネルは、すべてのイベントトラフィック（すなわち、侵入イベントやマル
ウェアイベントなどの大容量イベントトラフィック）を伝送します。トラフィックを 2 つのチャ
ネルに分割することにより、アプライアンス間に 2 つの接続ポイントが作成されてスループッ
トが増大するために、パフォーマンスが向上します。また、複数の管理インターフェイスを有効
化して、アプライアンス間のスループットをさらに向上させたり、異なるネットワーク上のデバ
イス間のトラフィックの管理と分離を行うこともできます。
デバイスを Management Center に登録した後、各アプライアンスの Web インターフェイスを使
用してデフォルト設定を変更し、トラフィックチャネルや複数の管理インターフェイスの有効
化ができます。設定については、『Firepower Management Center 設定ガイド』の「Configuring
Appliance Settings」を参照してください。
通常、管理インターフェイスは、アプライアンスの背面に配置されています。詳細については、
「管理インターフェイスの識別（4-2 ページ）」を参照してください。
単一の管理インターフェイス
デバイスをManagement Centerに登録すると、Management Center上の管理インターフェイスとデ
バイス上の管理インターフェイスとの間のすべてのトラフィックを伝送する単一通信チャネル
が確立されます。
以下の図に、デフォルトの単一通信チャネルを示します。1 つのインターフェイスにより、管理ト
ラフィックとイベントトラフィックの両方が 1 つの通信チャネルで伝送されます。
Firepower 7000 および 8000 シリーズインストールガイド
2-2
第2章
管理ネットワークでの展開
展開オプション
複数の管理インターフェイス
複数の管理インターフェイスを有効化および設定して、それぞれに固有の IPv4 または IPv6 アド
レス（および必要に応じてホスト名）を割り当て、各トラフィックチャネルを異なる管理イン
ターフェイスに送信することによって、トラフィックスループットを大幅に向上できます。負荷
が軽い管理トラフィックの搬送用には小さなインターフェイスを構成し、負荷が大きいイベン
トトラフィックの搬送用には大きなインターフェイスを構成します。デバイスを別々の管理イ
ンターフェイスに登録し、同一のインターフェイスに対して両方のトラフィックチャネルを構
成したり、Management Centerによって管理されるすべてのデバイスのイベントトラフィック
チャネルを専用の管理インターフェイスで伝送することができます。
また、Management Center上の特定の管理インターフェイスから別のネットワークまでのルート
を作成することにより、あるネットワーク上のデバイスからのトラフィックと別のネットワー
ク上のデバイスからのトラフィックを、Management Centerで別々に管理することもできます。
追加の管理インターフェイスは、次の例外を除いて、デフォルトの管理インターフェイスと同じ
ように機能します。
•
DHCP は、デフォルト（eth0）管理インターフェイスにのみ設定できます。追加のインター
フェイス（eth1 など）には、固有の静的 IP アドレスとホスト名が必要です。シスコでは、追加
の管理インターフェイスの DNS エントリを設定する代わりに、これらのインターフェイス
に対する IP アドレスのみを使用して Management Center およびデバイスを登録することを
推奨しています。
•
デフォルト以外の管理インターフェイスを使用してManagement Center と管理対象デバイス
を接続する場合、それらのアプライアンスが NAT デバイスによって分離されているならば、
同じ管理インタフェースを使用するよう両方のトラフィックチャネルを設定する必要があ
ります。
•
Lights-Out Management は、デフォルトの管理インターフェイスでのみ使用できます。
•
70xx ファミリでは、トラフィックを 2 つのチャネルに分離して、Management Center上の 1 つ
以上の管理インターフェイスにトラフィックを送信するようにそれらのチャネルを設定で
きます。ただし、70xx ファミリには 1 つの管理インターフェイスしかないため、デバイスは
唯一の管理インターフェイス上でManagement Centerから送信されたトラフィックを受信し
ます。
展開オプション
トラフィックチャネルを使用してトラフィックフローを管理することで、1 つ以上の管理イン
ターフェイスを使用してシステムのパフォーマンスを向上させることができます。さらに、
Management Centerおよびその管理対象デバイス上の専用の管理インターフェイスを使用して別
のネットワークまでのルートを作成することにより、異なるネットワーク上のデバイス間のト
ラフィックを分離することもできます。詳細については、次の項を参照してください。
複数のトラフィックチャネルを持つ場合の展開
1 つの管理インターフェイス上で 2 つのトラフィックチャネルを使用する場合、Management
Center と管理対象デバイスの間に 2 つの接続を作成します。同じインターフェイス上の 2 つの
チャネルのうちの一方が管理トラフィックを伝送し、もう一方がイベントトラフィックを伝送
します。
次の例は、同じインターフェイス上に 2 つの独立したトラフィックチャネルを持つ通信チャネ
ルを示しています。
Firepower 7000 および 8000 シリーズインストールガイド
2-3
第2章
管理ネットワークでの展開
展開オプション
複数の管理インターフェイスを使用する場合、トラフィックチャネルを 2 つの管理インター
フェイスに分割することによりパフォーマンスを向上できます。それによって両方のインター
フェイス容量が増し、トラフィックフローが増加します。一方のインターフェイスで管理トラ
フィックチャネルを伝送し、もう一方のインターフェイスでイベントトラフィックチャネルを
伝送します。いずれかのインターフェイスで障害が発生した場合は、すべてのトラフィックがア
クティブインターフェイスに再ルーティングされるため、接続が維持されます。
次の図は、2 つの管理インターフェイス上にある管理トラフィックチャネルとイベントトラ
フィックチャネルを示しています。
専用の管理インターフェイスを使用して、複数のデバイスからのイベントトラフィックのみを
伝送することができます。この設定では、管理トラフィックチャネルを伝送する別の管理イン
ターフェイスに各デバイスを登録し、すべてのデバイスからのすべてのイベントトラフィック
を、Management Center上の 1 つの管理インターフェイスで伝送します。インターフェイスで障害
が発生した場合は、トラフィックがアクティブインターフェイスに再ルーティングされるため、
接続が維持されます。すべてのデバイスのイベントトラフィックが同じインターフェイスで伝
送されることから、トラフィックはネットワーク間で分離されないことに注意してください。
以下の図では、2 台のデバイスが別々の管理チャネルトラフィックインターフェイスを使用し、
イベントトラフィックチャネルに対しては同じ専用インターフェイスを共有しています。
Firepower 7000 および 8000 シリーズインストールガイド
2-4
第2章
管理ネットワークでの展開
ネットワークルートを持つ場合の展開
ネットワークルートを持つ場合の展開
Management Center上の特定の管理インターフェイスから別のネットワークまでのルートを作成
できます。そのネットワークのデバイスをManagement Center上の指定された管理インターフェ
イスに登録すると、別のネットワーク上のデバイスと Management Centerの間で独立した接続が
実現されます。両方のトラフィックチャネルが同じ管理インターフェイスを使用するように設
定することで、そのデバイスからのトラフィックが他のネットワーク上のデバイストラフィッ
クから確実に分離された状態を維持できます。ルーテッドインターフェイスはManagement
Center上の他のすべてのインターフェイスから分離されているため、ルーテッド管理インター
フェイスに障害が発生した場合、接続が失われます。
ヒント
デバイスを、デフォルト（eth0）の管理インターフェイス以外の管理インターフェイスの静的 IP
アドレスに登録する必要があります。DHCP は、デフォルトの管理インターフェイスだけでサ
ポートされています。
Management Center をインストールした後に、Web インターフェイスを使用して、複数の管理イン
ターフェイスを設定します。詳しくは、『Firepower Management Center 設定ガイド』の「Configuring
Appliance Settings」を参照してください。
次の図では、2 つのデバイスですべてのトラフィックに対して別々の管理インターフェイスを使
用することにより、ネットワークトラフィックを分離しています。さらに管理インターフェイス
を追加して、デバイスごとに独立した管理トラフィックチャネルインターフェイスとイベント
トラフィックチャネルインターフェイスを構成できます。
セキュリティの考慮事項
管理インターフェイスを安全な環境に展開するために、シスコでは次の事項を考慮することを
推奨しています。
•
管理インターフェイスは、必ず、不正アクセスから保護された信頼できる内部管理ネット
ワークに接続します。
•
アプライアンスへのアクセスを許可可能な特定のワークステーションの IP アドレスを特定
します。アプライアンスのシステムポリシー内のアクセスリストを使用している特定のホ
ストにアプライアンスへのアクセスを限定します。詳細については、『Firepower Management
Center 設定ガイド』を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
2-5
第2章
管理ネットワークでの展開
特殊なケース：8000 シリーズデバイスの接続
特殊なケース：8000 シリーズデバイスの接続
サポートされるデバイス：8000 シリーズ
Management Center に 8000 シリーズデバイスを登録するときは、接続の両側で自動ネゴシエー
ションするか、または両側を同じ固定速度に設定して安定したネットワークリンクを確保する
必要があります。8000 シリーズデバイスは、半二重のネットワークリンクをサポートしません。
また、接続の反対側の速度構成やデュプレックス構成の違いもサポートしません。
Firepower 7000 および 8000 シリーズインストールガイド
2-6
CH A P T E R
3
Firepower 管理対象デバイスの展開
Firepower Management Center にデバイスを登録したら、侵入検知システムを使用してトラフィッ
クを監視するため、または侵入防御システムを使用してネットワークを脅威から保護するため
に、デバイスのセンシングインターフェイスをネットワークセグメントに展開します。
注
ASA FirePOWER のデバイスの展開シナリオについて詳しくは、ASA のマニュアルを参照してく
ださい。
展開に関するその他の情報については、シスコ販売部門から入手できる『Best Practices Guide』を
参照してください。
センシングの展開に関する考慮事項
センシングの展開に関する決定は、さまざまな要素に基づいて行います。以下の質問に答えるこ
とで、自分のネットワークの脆弱な領域を理解し、侵入検知と侵入防御のニーズを明確にするこ
とができます。
•
パッシブまたはインラインのどちらのインターフェイスで管理対象デバイスを展開します
か。デバイスはパッシブと他のインラインが混在しているインターフェイスをサポートしま
すか。詳細については、「センシングインターフェイスについて（3-2 ページ）」を参照してく
ださい。
•
どのようにして管理対象デバイスをネットワークに接続しますか。ハブを使用しますか。
タップを使用しますか。スイッチのスパニングポートを使用しますか。仮想スイッチを使用
しますか。詳細については、「ネットワークへのデバイスの接続（3-5 ページ）」を参照してくだ
さい。
•
ネットワーク上のすべての攻撃を検出しますか、またはファイアウォールを通過する攻撃だ
けを検出しますか。特殊なセキュリティポリシーを必要とする、財務、会計、人事記録、生産
コード、その他の機密性の高い保護された情報など、特定の資産がネットワーク上に存在し
ますか。詳細については、「展開オプション（3-8 ページ）」を参照してください。
•
管理対象デバイスの複数のセンシングインターフェイスを、ネットワークタップからのさ
まざまな接続を再結合するために使用しますか、またはさまざまなネットワークからのトラ
フィックをキャプチャして評価するために使用しますか。複数のセンシングインターフェ
イスを、仮想ルータまたは仮想スイッチのどちらとして機能するように使用しますか。詳細
については、「管理対象デバイスでの複数のセンシングインターフェイスの使用（3-18 ペー
ジ）」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-1
第3章
Firepower 管理対象デバイスの展開
センシングインターフェイスについて
•
リモートワーカーには、VPN またはモデムアクセスのどちらを提供しますか。侵入防御の展
開を必要とするリモートオフィスがありますか。請負業者その他の臨時スタッフを雇用し
ていますか。それらのスタッフは、特定のネットワークセグメントにアクセスが制限されて
いますか。ネットワークを顧客、サプライヤ、ビジネスパートナーなど他の組織のネットワー
クと統合しますか。詳細については、「複雑なネットワークの展開（3-20 ページ）」を参照して
ください。
センシングインターフェイスについて
以下の項では、さまざまなセンシングインターフェイスが Firepower システムの機能に与える影
響について説明します。パッシブおよびインラインインターフェイスに加えて、ルーテッド、ス
イッチド、ハイブリッドの各インターフェイスもあります。
センシングインターフェイスはデバイスの前面にあります。センシングインターフェイスを識
別するには、センシングインターフェイスの識別（4-3 ページ）を参照してください。
パッシブインターフェイス
スイッチの SPAN、仮想スイッチ、またはミラーポートを使用して、ネットワークで送られるト
ラフィックを監視するパッシブ展開を設定し、スイッチ上の他のポートからトラフィックをコ
ピーできるようにすることができます。パッシブインターフェイスを使用すると、ネットワーク
トラフィックのフローに含まれていなくても、ネットワーク内のトラフィックを検査できます。
パッシブ展開で設定されている場合、システムはトラフィックのブロッキングやシェーピング
など、特定のアクションを実行できません。パッシブインターフェイスはすべてのトラフィック
を無条件で受信し、受信したトラフィックを再送信しません。
インラインインターフェイス
2 つのポートを一緒にバインドすることで、インライン構成をネットワークセグメントにトラ
ンスペアレントに設定します。インラインインターフェイスを使用すると、隣接するネットワー
クデバイスを設定しなくても、デバイスを任意のネットワーク設定でインストールできます。イ
ンラインインターフェイスは、すべてのトラフィックを無条件に受信します。その後、明示的に
ドロップされたものを除いて、それらのインターフェイスで受信されたすべてのトラフィック
が再送信されます。インライン展開でトラフィックを処理するには、その前に、インラインセッ
トにインラインインターフェイスのペアを割り当てる必要があります。
注
インターフェイスをインラインインターフェイスとして設定する場合、NetMod での隣接ポート
も自動的にインラインインターフェイスとなり、ペアが完成します。
設定可能なバイパスのインラインセットによって、ハードウェアに重大な障害（デバイスへの電
力供給の停止など）が生じた場合に、トラフィックを処理する方法を選択できます。あるネット
ワークセグメントでは接続性が重要であると判断し、別のネットワークセグメントでは未検査
のトラフィックを許可できないと判断する場合があります。設定可能なバイパスのインライン
セットを使用すると、ネットワークトラフィックのトラフィックフローを次のいずれかの方法
で管理できます。
Firepower 7000 および 8000 シリーズインストールガイド
3-2
第3章
Firepower 管理対象デバイスの展開
センシングインターフェイスについて
•
バイパス：バイパスに設定されたインターフェイスペアでは、デバイスに障害が生じた場合
に、すべてのトラフィックのフローが続行します。トラフィックは、デバイスをバイパスし、
そのデバイスによる検査や他の処理をバイパスします。バイパスでは、検査が行われないト
ラフィックがネットワークセグメント間を通過する可能性がありますが、ネットワークの
接続性は保持されます。
•
非バイパス：非バイパスの設定されたインターフェイスペアでは、デバイスに障害が生じた
場合に、すべてのトラフィックが停止します。障害が発生しているデバイスに到達したトラ
フィックは、そのデバイスに入れられません。非バイパスでは、未検査のトラフィックがネッ
トワークセグメントを通過することを許可しませんが、デバイスに障害が発生すると、ネッ
トワークセグメントは接続を失います。ネットワークセキュリティの重要性がトラフィッ
クの損失よりも優先される展開環境では、非バイパスインターフェイスを使用します。
デバイスに障害が生じた場合にトラフィックのフローが続行するようにするには、インライン
セットをバイパスとして設定します。デバイスに障害が発生した場合にトラフィックを停止す
るには、インラインセットを非バイパスとして設定します。再イメージ化によって、バイパス
モードの Firepower デバイスが非バイパスの設定にリセットされて、バイパスモードを再設定す
るまでは、ネットワーク上のトラフィックが中断されることに注意してください。詳細について
は、復元プロセスにおけるトラフィックフロー（8-2 ページ）を参照してください。
設定可能なバイパスインターフェイスは、すべての Firepower デバイスに含めることができます。
8000 シリーズデバイスには、バイパスに設定できないインターフェイスを持つ NetMods を含め
ることもできます。NetMods の詳細については、Firepower 8000 シリーズモジュール（7-34 ペー
ジ）を参照してください。他の拡張インターフェイスオプションには、タップモード、リンクス
テート伝搬、トランスペアレントインラインモード、ストリクト TCP モードが含まれます。イン
ラインインターフェイスセットを設定する方法については、『Firepower Management Center 設定
ガイド』の「Configuring Inline Sets」を参照してください。インラインインターフェイスの使用方
法について詳しくは、ネットワークへのデバイスの接続（3-5 ページ）を参照してください。
Firepower Management Center を使用して ASA FirePOWER デバイスのバイパスインターフェイ
スを設定することはできません。インラインモードの ASA FirePOWER デバイスを設定する方
法について詳しくは、ASA のドキュメントを参照してください。
スイッチドインターフェイス
レイヤ 2 展開環境の Firepower デバイスにスイッチドインターフェイスを設定することで、複数
のネットワーク間でのパケットスイッチングに対応できます。また、Firepower デバイスにスタ
ンドアロンブロードキャストドメインとして機能する仮想スイッチを設定して、ネットワーク
を論理セグメントに分割することもできます。仮想スイッチは、ホストからの Media Access
Control（MAC）のアドレスを使用して、パケットの送信先を判別します。
スイッチドインターフェイスには、物理設定または論理設定を使用できます。
•
物理スイッチドインターフェイスは、スイッチングが設定された物理インターフェイスで
す。タグなし VLAN トラフィックを処理するために物理スイッチドインターフェイスを使
用します。
•
論理スイッチドインターフェイスは、物理インターフェイスと VLAN タグを関連付けます。
VLAN タグが指定されたトラフィックを処理するために論理インターフェイスを使用します。
Firepower 7000 および 8000 シリーズインストールガイド
3-3
第3章
Firepower 管理対象デバイスの展開
センシングインターフェイスについて
仮想スイッチはスタンドアロンブロードキャストドメインとして機能し、ネットワークを論理セ
グメントに分割します。仮想スイッチは、ホストからの Media Access Control（MAC）のアドレスを
使用して、パケットの送信先を判別します。仮想スイッチを設定すると、そのスイッチは最初、ス
イッチ内にある使用可能なすべてのポートを介してパケットをブロードキャストします。時間
の経過と共に、スイッチはタグの付けられたリターントラフィックを使用して、各ポートに接続
されたネットワークにどのホストが存在するかを学習します。
デバイスを仮想スイッチとして設定し、残りのインターフェイスを使用して監視対象のネット
ワークセグメントに接続できます。デバイス上で仮想スイッチを使用するには、物理スイッチド
インターフェイスを作成した後、『Firepower Management Center 設定ガイド』の「Setting Up Virtual
Switches」に記載されている手順に従ってください。
ルーテッドインターフェイス
レイヤ 3 展開の Firepower デバイスにルーテッドインターフェイスを設定し、複数のインター
フェイス間でトラフィックをルーティングすることができます。トラフィックをルーティング
するには、各インターフェイスに IP アドレスを割り当て、インターフェイスを仮想ルータに割り
当てる必要があります。
ゲートウェイのバーチャルプライベートネットワーク（ゲートウェイ VPN）または Network
Address Translation（NAT）と併用するための、ルーテッドインターフェイスを設定できます。詳細
については、ゲートウェイ VPN の展開（3-12 ページ）およびポリシーベースの NAT を使用した展
開（3-13 ページ）を参照してください。
また、宛先アドレスに基づいてパケット転送の決定を行ってパケットをルーティングするよう
に、システムを設定できます。ルーテッドインターフェイスとして設定されるインターフェイス
は、レイヤ 3 トラフィックを受信および転送します。ルータは転送基準に基づいて発信インター
フェイスから宛先を取得し、適用されるセキュリティポリシーがアクセスコントロール規則に
よって指定されます。
ルーテッドインターフェイスには、物理設定または論理設定を使用できます。
•
物理ルーテッドインターフェイスは、ルーティングが設定された物理インターフェイスで
す。タグなし VLAN トラフィックを処理するために物理ルーテッドインターフェイスを使
用します。
•
論理スイッチドインターフェイスは、物理インターフェイスと VLAN タグを関連付けます。
VLAN タグが指定されたトラフィックを処理するために論理インターフェイスを使用します。
レイヤ 3 展開でルーテッドインターフェイスを使用するには、仮想ルータを設定し、それらに
ルーテッドインターフェイスを割り当てる必要があります。仮想ルータは、レイヤ 3 トラフィッ
クをルーティングするルーテッドインターフェイスのグループです。
デバイスを仮想ルータとして設定し、残りのインターフェイスを使用して監視対象のネット
ワークセグメントに接続できます。また、TCP のセキュリティを最大にするために、厳格な TCP
を適用することもできます。デバイス上で仮想ルータを使用するには、デバイスに物理ルーテッ
ドインターフェイスを作成した後、『Firepower Management Center 設定ガイド』の「Setting Up
Virtual Routers」に記載されている手順に従ってください。
Firepower 7000 および 8000 シリーズインストールガイド
3-4
第3章
Firepower 管理対象デバイスの展開
ネットワークへのデバイスの接続
ハイブリッドインターフェイス
Firepower デバイス上に論理ハイブリッドインターフェイスを設定することで、Firepower シス
テムが仮想ルータと仮想スイッチの間でトラフィックをブリッジできるようになります。仮想
スイッチのインターフェイスで受信した IP トラフィックが、関連付けられているハイブリッド
論理インターフェイスの MAC アドレスにアドレス指定されている場合、システムはそれをレイ
ヤ 3 トラフィックとして処理して、送信先 IP アドレスに応じてトラフィックをルーティングす
るかまたはトラフィックに応答します。他のトラフィックを受信した場合、システムはそれをレ
イヤ 2 トラフィックとして扱い、適切にスイッチングします。
ハイブリッドインターフェイスを作成するには、まず仮想スイッチと仮想ルータを設定してか
ら、仮想スイッチと仮想ルータをハイブリッドインターフェイスに追加します。仮想スイッチと
仮想ルータの両方に関連付けられていないハイブリッドインターフェイスは、ルーティング用
に使用することができず、トラフィックの生成やトラフィックへの応答は行いません。
Network Address Translation (NAT) とのハイブリッドインターフェイスを設定して、ネットワー
ク間でトラフィックを渡すことができます。詳細については、ポリシーベースの NAT を使用した
展開（3-13 ページ）を参照してください。
デバイス上でハイブリッドインターフェイスを使用するには、デバイスにハイブリッドイン
ターフェイスを定義した後、『Firepower Management Center 設定ガイド』の「Setting Up Hybrid
Interfaces」に記載されている手順に従ってください。
ネットワークへのデバイスの接続
管理対象デバイスのセンシングインターフェイスは複数の方法でネットワークに接続できま
す。パッシブまたはインラインインターフェイスを使用してハブまたはネットワークタップを
設定するか、またはパッシブインターフェイスを使用して Span ポートを設定します。
ハブの使用
イーサネットハブは、管理対象デバイスがネットワークセグメント上のすべてのトラフィック
を確実に認識できるようにするシンプルな方法です。このタイプのほとんどのハブは、セグメン
ト上のいずれかのホストの IP トラフィックを受け取って、ハブに接続されたすべてのデバイス
にブロードキャストします。ハブに設定されたインターフェイスを接続して、セグメント上のす
べての入力および出力トラフィックを監視します。ハブを使用しても、パケット衝突が生じる可
能性があるため、検出エンジンが大量のネットワーク上のパケットをすべて認識できるとは限
りません。トラフィックの少ないシンプルなネットワークでは、このことはほとんど問題になり
ません。トラフィック量の大きいネットワークでは、ハブ以外のオプションの方が良い結果を得
られる場合もあります。ハブに障害が発生したり、電源が失われた場合は、ネットワーク接続が
切断されることに注意してください。シンプルなネットワークでは、そのネットワークが停止し
ます。
一部のデバイスは、ハブとして販売されていても実際にはスイッチとして機能するものであり、
各パケットをすべてのポートに伝送しません。ハブに管理対象デバイスを接続しても、すべての
トラフィックが認識されないときには、別のハブを購入するか、または SPAN ポートを持つス
イッチを使用しなければならない場合があります。
Firepower 7000 および 8000 シリーズインストールガイド
3-5
第3章
Firepower 管理対象デバイスの展開
ネットワークへのデバイスの接続
SPAN ポートの使用
多くのネットワークスイッチには、1 つ以上のポートからのトラフィックをミラーイングする
SPAN ポートが含まれています。SPAN ポートに設定されたインターフェイスを接続することに
より、すべてのポートから混合トラフィック（通常は入力および出力）を監視できます。この機能
を含むスイッチがネットワーク上の適切な場所にすでに存在する場合は、管理対象デバイスの
コスト以外には追加の機器コストをほとんどかけずに、複数セグメントでの検出を展開できま
す。トラフィック量の多いネットワークでは、このソリューションにはいくつかの制約が伴いま
す。SPAN ポートが 200Mbps を処理することができ、3 つのミラー対象ポートのそれぞれが
100Mbps まで処理できる場合、SPAN ポートはオーバーサブスクライブされてパケットをドロッ
プするようになり、管理対象デバイスの効率が減少する可能性があります。
ネットワークタップの使用
ネットワークタップにより、ネットワークフローを中断したりネットワークトポロジを変更し
なくても、トラフィックをパッシブに監視できます。さまざまな帯域幅に対応したタップをすぐ
に使用できるので、ネットワークセグメントの着信パケットと発信パケットの両方を分析でき
ます。ほとんどのタップでは 1 つのネットワークセグメントだけを監視できるため、スイッチ上
に 8 つあるポートの内の 2 つでトラフィックを監視するには得策ではありません。代わりに、
ルータとスイッチの間にタップを設置すれば、スイッチへの IP ストリーム全体にアクセスする
ことができます。
設計上、ネットワークタップは入力トラフィックと出力トラフィックを、2 つの異なるケーブル
での 2 つの異なるストリームに分割します。管理対象デバイスは、通信の 2 つの部分を再結合す
る複数センシングインターフェイスのオプションを提供し、トラフィックストリーム全体がデ
コーダ、プリプロセッサ、および検出エンジンによって評価されるようにします。
銅線インターフェイスのインライン展開のケーブル配線
ネットワークにデバイスをインラインで展開し、デバイスのバイパス機能を使用してデバイス
の障害時にネットワーク接続が維持されるようにする場合は、接続箇所をケーブル配線する方
法に特別な注意を払ってください。
光ファイババイパスケーブルインターフェイスによってデバイスを展開する場合は、接続箇所
が確実に結合され、ケーブルがよじれていないことを確認する以外に、特別なケーブル配線の問
題はありません。ただし、光ファイバネットワークインターフェースではなく銅線を使用して
デバイスを展開している場合は、デバイスモデルが異なれば使用するネットワークカードも異
なるので、使用するデバイスモデルに注意する必要があります。一部の 8000 シリーズ NetMods
では、バイパス設定が許可されないことに注意してください。
デバイスのネットワークインターフェイスカード（NIC）でサポートしている Auto-Medium
Dependent Interface Crossover（Auto-MDI-X）と呼ばれる機能を使用すると、ネットワークイン
ターフェイスは、ストレートイーサネットケーブルまたはクロスイーサネットケーブルのどち
らかを自動的に選択して別のネットワークデバイスに接続します。Firepower デバイスは、クロ
スオーバー接続としてバイパスされます。
デバイスを展開することなく通常どおりにデバイスを配線します。デバイスへの電源供給が失
われても、リンクは機能する必要があります。通常は、2 本のストレートケーブルを使用して、2
つのエンドポイントにデバイスを接続します。
Firepower 7000 および 8000 シリーズインストールガイド
3-6
第3章
Firepower 管理対象デバイスの展開
ネットワークへのデバイスの接続
図 3-1
クロス線のバイパス接続のケーブル配線
次の表は、ハードウェアバイパス設定で、クロスケーブルまたはストレートケーブルを使用す
るケースを示しています。展開環境では、レイヤ 2 ポートがストレート（MDI）エンドポイントと
して機能し、レイヤ 3 ポートがクロス（MDIX）エンドポイントとして機能することに注意してく
ださい。バイパスが正常に機能するためには、クロスの合計（ケーブルとアプライアンス）が奇数
であることが必要です。
表 3-1
ハードウェアバイパスの有効な設定
エンドポイント 1 ケーブル
管理対象デバイス
ケーブル
エンドポイント 2
MDIX
ストレート
ストレート
ストレート
MDI
MDI
クロス
ストレート
ストレート
MDI
MDI
ストレート
ストレート
クロス
MDI
MDI
ストレート
ストレート
ストレート
MDIX
MDIX
ストレート
クロス
ストレート
MDIX
MDI
ストレート
クロス
ストレート
MDI
MDI
クロス
クロス
クロス
MDI
MDIX
クロス
クロス
ストレート
MDI
すべてのネットワーク環境が一意であり、エンドポイントの Auto-MDI-X のサポートの組み合わ
せが異なっていることに注意してください。デバイスが正しいケーブル配線で設置されている
ことを確認する最も簡単な方法は、まずデバイスの電源をオフにした上で、1 本のクロスケーブ
ルと 1 本のストレートケーブルを使用してデバイスを 2 つのエンドポイントに接続することで
す。2 つのエンドポイントが通信可能であることを確認します。それらが通信できない場合は、い
ずれかのケーブルのタイプが正しくありません。いずれかのケーブル（1 本のみ）を他のタイプ
（ストレートまたはクロス）に切り替えてください。
インラインデバイスの電源を落とした状態で 2 つのエンドポイントが正常に通信可能になった
後に、デバイスの電源を入れます。Auto-MDI-X 機能は、2 つのエンドポイントが通信を続行する
ようにします。インラインデバイスを交換する必要がある場合は、元のデバイスとそれに代わる
デバイスとでバイパス特性が異なる場合に備えて、新しいデバイスの電源を落とし、その新しい
デバイスとエンドポイントとが通信できるようにする手順を繰り返す必要があります。
Auto-MDI-X 設定は、ネットワークインターフェイスの自動ネゴシエーションを許可した場合に
のみ正しく機能します。ネットワーク環境で [Network Interface] ページの [Auto Negotiate] オプ
ションを無効にすることが必要な場合は、インラインネットワークインターフェイス用に正し
い MDI/MDIX オプションを指定します。詳細については、『Firepower Management Center 設定ガ
イド』の「Configuring Inline Interfaces」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-7
第3章
Firepower 管理対象デバイスの展開
展開オプション
特殊なケース：Firepower 8000 シリーズデバイスの接続
Firepower 8000 シリーズの管理対象デバイスを Firepower Management Center に登録するときは、
接続の両側で自動ネゴシエーションを使用するか、またはその両側を同じ固定速度に設定して、
ネットワークリンクが安定したものとなるようにする必要があります。8000 シリーズの管理対
象デバイスは、半二重のネットワークリンクをサポートしません。また、接続の反対側の速度構
成やデュプレックス構成の違いもサポートしません。
展開オプション
ネットワークセグメントに管理対象デバイスを展開すると、侵入検知システムを使用してトラ
フィックを監視したり、侵入防止システムを使用してネットワークを脅威から保護することが
できます。
また、仮想スイッチ、仮想ルータ、またはゲートウェイ VPN として動作するように管理対象デバ
イスを配置することもできます。さらに、ポリシーを使用して、ネットワークのトラフィックを
ルーティングしたり、トラフィックへのアクセスを制御することができます。
仮想スイッチを使用した展開
インラインインターフェイスをスイッチドインターフェイスとして設定することにより、管理
対象デバイスに仮想スイッチを作成できます。仮想スイッチは、展開にレイヤ 2 パケットスイッ
チングを提供します。[Advanced] オプションには、スタティック MAC アドレスの設定、スパニン
グツリープロトコルの有効化、厳密な TCP の適用、およびドメインレベルでのブリッジプロト
コルデータユニット（BPDU）のドロップが含まれます。スイッチドインターフェイスについて
詳しくは、スイッチドインターフェイス（3-3 ページ）を参照してください。
仮想スイッチには、トラフィックを処理するために複数のスイッチドインターフェイスを含め
る必要があります。それぞれの仮想スイッチで、システムは、スイッチドインターフェイスとし
て設定されたポートのセットに対してのみトラフィックをスイッチングします。たとえば、4 つ
のスイッチドインターフェイスのある仮想スイッチを設定した場合、システムが 1 つのポート
を介してトラフィックパケットを受信すると、それらのパケットはスイッチ上の残りの 3 つの
ポートだけにブロードキャストされます。
トラフィックを許可するように仮想スイッチを設定するには、物理ポートに複数のスイッチド
インターフェイスを設定し、仮想スイッチを追加して設定してから、仮想スイッチをスイッチド
インターフェイスに割り当てます。システムは、外部物理インターフェイスで受信される、待機
するスイッチドインターフェイスのないトラフィックをドロップします。システムが VLAN タ
グのないパケットを受信し、そのポートの物理スイッチドインターフェイスが設定されていな
い場合、そのパケットはドロップされます。システムが VLAN タグ付きのパケットを受信した場
合、論理スイッチ型インターフェイスが設定されていなければ、同じくパケットはドロップされ
ます。
必要に応じて追加の論理スイッチドインターフェイスを物理ポートに定義できますが、トラ
フィックを処理するために、論理スイッチドインターフェイスを仮想スイッチに割り当てる必
要があります。
仮想スイッチには、拡張性の利点があります。物理スイッチを使用する場合、スイッチ上の使用
可能なポートの数によって制限されます。物理スイッチを仮想スイッチに置き換える場合は、使
用する帯域幅と、展開に導入する複雑さのレベルによってのみ制限されます。
Firepower 7000 および 8000 シリーズインストールガイド
3-8
第3章
Firepower 管理対象デバイスの展開
展開オプション
ワークグループ接続やネットワークセグメントなど、レイヤ 2 スイッチを使う場合、仮想スイッ
チを使用します。作業者が大半の時間をローカルセグメントで費やす場合、レイヤ 2 スイッチは
特に効果的です。大規模な展開（たとえば、ブロードキャストトラフィック、Voice-over-IP、複数
ネットワークを含む展開など）では、仮想スイッチを、展開の小規模なネットワークセグメント
で使用できます。
複数の仮想スイッチを同じ管理対象デバイスに展開する場合、各ネットワークの必要に応じて、
さまざまなレベルのセキュリティを維持できます。
図 3-2
管理対象デバイスの仮想スイッチ
この例では、管理対象デバイスが、2 つの別個のネットワーク（172.16.1.0/20 と 192.168.1.0/24）か
らのトラフィックを監視します。どちらのネットワークも同じ管理対象デバイスによって監視さ
れますが、仮想スイッチは、同じネットワーク上にあるコンピュータやサーバにのみトラフィッ
クを渡します。トラフィックは、172.16.1.0/24 仮想スイッチを介してコンピュータ A からコン
ピュータ B に（青色の線で示されているように）渡し、同じ仮想スイッチを介してコンピュータ
B からコンピュータ A に（緑色の線で示されているように）渡すことができます。同様に、トラ
フィックは、192.168.1.0/24 仮想スイッチを介してファイルと Web サーバ間で（赤色の線とオレ
ンジ色の線で示されているように）受け渡すことができます。ただし、コンピュータがサーバと
同じ仮想スイッチ上にないため、そのコンピュータと Web またはファイルサーバ間でトラ
フィックを受け渡すことができません。
スイッチドインターフェイスおよび仮想スイッチの設定の詳細については、『Firepower
Management Center 設定ガイド』の「Setting Up Virtual Switches」を参照してください。
仮想ルータの展開
管理対象デバイスに仮想ルータを作成して、複数のネットワーク間のトラフィックをルーティン
グしたり、プライベートネットワークをパブリックネットワーク（インターネットなど）に接続
することができます。仮想ルータは、2 つのルーテッドインターフェイスを接続して、展開のため
に、宛先アドレスに応じたレイヤ 3 パケット転送の決定を提供します。必要に応じて、仮想ルータ
での厳密な TCP 適用を有効にすることができます。ルーテッドインターフェイスの詳細につい
ては、ルーテッドインターフェイス（3-4 ページ）を参照してください。ゲートウェイ VPN と共に
仮想ルータを使用する必要があります。詳細については、ゲートウェイ VPN の展開（3-12 ページ）
を参照してください。
仮想ルータには、同じブロードキャストドメイン内にある 1 つ以上の個別のデバイスから、物理
的または論理的にルーティングされた設定を含めることができます。VLAN タグを持つ物理イ
ンターフェイスで受信されたトラフィックを処理するためには、各論理インターフェイスをそ
の特定のタグに関連付ける必要があります。トラフィックをルーティングするには、論理ルー
テッドインターフェイスを仮想ルータに割り当てる必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
3-9
第3章
Firepower 管理対象デバイスの展開
展開オプション
仮想ルータを設定するには、物理設定または論理設定によってルーテッドインターフェイスを設
定します。タグのない VLAN のトラフィックを処理するために、物理ルーテッドインターフェイ
スを設定できます。また、指定の VLAN タグのあるトラフィックを処理するために、論理ルー
テッドインターフェイスを作成することもできます。システムは、外部物理インターフェイスで
受信される、待機するルーテッドインターフェイスのないトラフィックをドロップします。シス
テムが VLAN タグのないパケットを受信し、そのポートの物理ルーテッドインターフェイスが
設定されていない場合、そのパケットはドロップされます。システムが VLAN タグのあるパケッ
トを受信し、論理ルーテッドインターフェイスが設定されていない場合も、そのパケットはド
ロップされます。
仮想ルータには、拡張性の利点があります。物理ルータによって接続可能なネットワークの数が
制限されるときには、複数の仮想ルータを同じ管理対象デバイスに設定できます。同じデバイス
にルータを配置すると、展開の物理的な複雑さが軽減され、1 つのデバイスから複数のルータを
監視および管理できます。
レイヤ 3 物理ルータを使用して、展開内の複数のネットワーク間でトラフィックを転送したり、
プライベートネットワークをパブリックネットワークに接続する場合、仮想ルータを使用しま
す。仮想ルータは、さまざまなセキュリティ要件を持つ多数のネットワークまたはネットワーク
セグメントを含む大規模な展開で、特に効果的です。
管理対象デバイスに仮想ルータを展開すると、1 台のアプライアンスで複数のネットワークを相
互接続することや、複数のネットワークをインターネットに接続することが可能になります。
図 3-3
管理対象デバイスの仮想ルータ
この例では、トラフィックがネットワーク 172.16.1.0/20 上のコンピュータとネットワーク
192.168.1.0/24 上のサーバ間（青と緑の線で示されている）を移動できるように、管理対象デバイ
スに仮想ルータが含まれます。仮想ルータの 3 番目のインターフェイスにより、各ネットワーク
からのトラフィックを、ファイアウォールとの間で受け渡す（赤色とオレンジ色の線で示されて
いる）ことができます。
詳細については、『Firepower Management Center 設定ガイド』の「Setting Up Virtual Routers」を参照
してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-10
第3章
Firepower 管理対象デバイスの展開
展開オプション
ハイブリッドインターフェイスによる展開
仮想スイッチと仮想ルータを使用して、レイヤ 2 とレイヤ 3 ネットワーク間でトラフィックを
ルーティングするために、管理対象デバイスにハイブリッドインターフェイスを作成できます。
これにより、スイッチ上でローカルトラフィックをルーティングしたり、外部ネットワークとの
間でトラフィックをルーティングできる、1 つのインターフェイスが提供されます。最適な結果
を得るためには、インターフェイスにポリシーベースの NAT を設定して、ハイブリッドインター
フェイスでネットワークアドレス変換を行えるようにしてください。ポリシーベースの NAT を
使用した展開（3-13 ページ）を参照してください。
ハイブリッドインターフェイスには、1 つ以上のスイッチドインターフェイスと 1 つ以上のルー
テッドインターフェイスを含める必要があります。共通展開は 2 つのスイッチドインターフェ
イスで構成されています。それらは、プライベートまたはパブリックで、トラフィックをローカ
ルネットワークに渡すための仮想スイッチ、およびネットワークにトラフィックをルーティン
グするための仮想ルータとして設定されています。
ハイブリッドインターフェイスを作成するには、まず仮想スイッチと仮想ルータを設定してか
ら、仮想スイッチと仮想ルータをハイブリッドインターフェイスに追加します。仮想スイッチと
仮想ルータの両方に関連付けられていないハイブリッドインターフェイスは、ルーティング用
に使用することができず、トラフィックの生成やトラフィックへの応答は行いません。
ハイブリッドインターフェイスは、コンパクトであり、拡張性に優れているという利点がありま
す。単一のハイブリッドインターフェイスを使用すると、レイヤ 2 とレイヤ 3 の両方のトラフィッ
クルーティング機能が結合して 1 つのインターフェイスとなって、展開内の物理アプライアン
スの数が減り、トラフィックのための単一の管理インタフェースが提供されます。
レイヤ 2 とレイヤ 3 の両方のルーティング機能が必要な場合、ハイブリッドインターフェイスを使
用します。この展開は、スペースやリソースが限られている展開での小さなセグメントに最適です。
ハイブリッドインターフェイスを展開すると、トラフィックをローカルネットワークから外部
またはパブリックネットワーク（インターネットなど）に渡すことができると共に、ハイブリッ
ドインターフェイスでの仮想スイッチと仮想ルータに関する個別のセキュリティ上の考慮事項
に対応することができます。
図 3-4
管理対象デバイスのハイブリッドインターフェイス
この例では、コンピュータ A とコンピュータ B は同じネットワーク上に存在し、管理対象デバ
イスに設定されたレイヤ 2 の仮想スイッチを使用して通信します（青と緑の線で示されていま
す）。管理対象デバイス上で設定されている仮想ルータは、ファイアウォールへのレイヤ 3 アク
セスを提供します。ハイブリッドインターフェイスは、仮想スイッチと仮想ルータのレイヤ 2 お
よびレイヤ 3 機能を結合して、各コンピュータからハイブリッドインターフェイスを介して
ファイアウォールに（赤色とオレンジ色の線で示されているように）トラフィックを渡すことが
できるようにします。
詳細については、『Firepower Management Center 設定ガイド』の「Setting Up Hybrid Interfaces」を参
照してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-11
第3章
Firepower 管理対象デバイスの展開
展開オプション
ゲートウェイ VPN の展開
ライセンス：VPN
ローカルゲートウェイとリモートゲートウェイ間のセキュアなトンネルを確立するために、
ゲートウェイバーチャルプライベートネットワーク（ゲートウェイ VPN）接続を作成できます。
ゲートウェイ間のセキュアなトンネルは、それらの間の通信を保護します。
シスコ管理対象デバイスの仮想ルータからリモートデバイスや他のサードパーティ VPN エン
ドポイントへのセキュア VPN トンネルを作成するには、インターネットプロトコルセキュリ
ティ（IPSec）プロトコルスイートを使用して Firepower システムを設定します。VPN 接続が確立
されると、ローカルゲートウェイの背後にあるホストは、セキュアな VPN トンネルを介してリ
モートゲートウェイの背後にあるホストに接続できます。VPN エンドポイントは、トンネルの
セキュリティアソシエーションを作成するために、Internet Key Exchange（IKE）のバージョン 1
またはバージョン 2 のプロトコルを使用して相互に認証を行います。システムは、IPsec 認証ヘッ
ダー（AH）モードまたは IPsec カプセル化セキュリティペイロード（ESP）モードで稼動します。
AH と ESP はどちらも認証を提供し、ESP は暗号化も提供します。
ゲートウェイ VPN は、ポイントツーポイント展開、スター型展開、またはメッシュ型展開で使用
できます。
•
ポイントツーポイント展開では、2 つのエンドポイントを直接（1 対 1 の関係）相互接続しま
す。両方のエンドポイントがピアデバイスとして設定され、どちらのデバイスもセキュアな
接続を開始できます。少なくともどちらかのデバイスが、VPN 対応の管理対象デバイスであ
る必要があります。
リモートに位置するホストがパブリックネットワークを使用してネットワーク内のホスト
に接続する場合は、ポイントツーポイント展開を使用してネットワークのセキュリティを確
保してください。
•
スター展開は、ハブと複数のリモートエンドポイント（リーフノード）間のセキュアな接続
を確立します。ハブノードと個々のリーフノード間の接続は、それぞれ別個の VPN トンネ
ルです。通常、ハブノードは本社にある VPN 対応の管理対象デバイスです。リーフノードは
支店に配置し、大半のトラフィックを開始します。
インターネットまたは他のサードパーティのネットワークを介したセキュアな接続を使用
して、組織の本社と支店を接続し、すべての社員に組織のネットワークに対する制御された
アクセス権を付与するには、スター展開を使用します。
•
メッシュ展開は、VPN トンネルによってすべてのエンドポイントをまとめて接続します。こ
れにより、1 つのエンドポイントに障害が発生しても残りのエンドポイントは相互の通信を
続行できるので、冗長性が提供されます。
分散した支店のグループを接続して、1 つまたは複数の VPN トンネルで障害が発生しても
トラフィックが続行できるようにするには、メッシュ展開を使用します。冗長性のレベルは、
この設定で展開する VPN 対応の管理対象デバイスの数によって決まります。
ゲートウェイ VPN の設定の詳細については、『Firepower Management Center 設定ガイド』の
「Gateway VPN」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-12
第3章
Firepower 管理対象デバイスの展開
展開オプション
ポリシーベースの NAT を使用した展開
ポリシーベースのネットワークアドレス変換（NAT）を使用してポリシーを定義し、NAT の実行
方法を指定できます。単一のインターフェイス、1 つ以上のデバイス、またはネットワーク全体を
ポリシーのターゲットにすることができます。
静的（1 対 1）変換または動的（1 対多）変換を設定できます。動的変換は順序に依存することに注
意してください。つまり、最初に一致するルールが適用されるまで、ルールが順に検索されます。
一般に、ポリシーベースの NAT は以下の展開で機能します。
•
プライベートネットワークアドレスを非表示にする。
プライベートネットワークからパブリックネットワークにアクセスするとき、NAT はプラ
イベートネットワークアドレスをパブリックネットワークアドレスに変換します。ユー
ザーの特定のプライベートネットワークアドレスは、パブリックネットワークで非表示に
なります。
•
プライベートネットワークサービスへのアクセスを許可する。
パブリックネットワークがプライベートネットワークにアクセスするとき、NAT はパブ
リックアドレスをプライベートネットワークアドレスに変換します。パブリックネット
ワークは、ユーザーの特定のプライベートネットワークアドレスにアクセスできます。
•
複数のプライベートネットワーク間でトラフィックをリダイレクトする。
プライベートネットワークのサーバが接続先のプライベートネットワークのサーバにアク
セスするとき、プライベートアドレスが重複しないようにするため、そしてトラフィックが
それらのサーバ間を移動できるようにするために、NAT は 2 つのプライベートネットワー
ク間でプライベートアドレスを変換します。
ポリシーベースの NAT を使用すると、ハードウェアを追加する必要がなくなり、侵入検知または
防御システムの設定と NAT が 1 つのユーザインターフェイスに統合されます。詳細について
は、『Firepower Management Center 設定ガイド』の「Using NAT Policies」を参照してください。
アクセス制御による展開
アクセス制御は、ネットワークに出入りしたりネットワーク内を移動したりできるトラフィッ
クに対して、指定、検査、およびログ記録を行えるようにするポリシーベースの機能です。以下の
項では、アクセス制御が展開でどのように機能するかを説明します。この機能の詳細について
は、『Firepower Management Center 設定ガイド』を参照してください。
アクセス制御ポリシーは、システムがネットワークのトラフィックを処理する方法を指定しま
す。アクセス制御ルールをポリシーに追加して、ネットワークトラフィックの処理とログ記録の
方法をより詳細に制御することができます。
アクセス制御ルールを含まないアクセス制御ポリシーは、以下のデフォルトアクションの 1 つ
を使用してトラフィックを処理します。
•
ネットワークに入らないようにすべてのトラフィックをブロックする
•
ネットワークに入るすべてのトラフィックを詳細な検査なしで信頼する
•
すべてのトラフィックがネットワークに入ることを許可し、ネットワークディスカバリポ
リシーのみを使用してトラフィックを検査する
•
ネットワークに入るすべてのトラフィックを許可して受け入れ、侵入ポリシーとネットワー
ク検出ポリシーによるトラフィックの検査を実行する
Firepower 7000 および 8000 シリーズインストールガイド
3-13
第3章
Firepower 管理対象デバイスの展開
展開オプション
アクセス制御ルールはさらに、ターゲットのデバイスがトラフィックを処理する方法を定義し
ます。これには、簡単な IP アドレスマッチングから、さまざまなユーザー、アプリケーション、
ポート、および URL が関係する複雑なシナリオまで含まれます。各ルールに対して、ルールアク
ション（つまり、侵入ポリシーやファイルポリシーに基づいて、一致するトラフィックに対して
信頼、監視、ブロック、検査のどれを行うか）を指定します。
アクセス制御は、セキュリティインテリジェンスデータに基づいてトラフィックをフィルタリ
ングできます。これは、送信元または宛先 IP アドレスに基づいて、アクセス制御ポリシーごとに、
ネットワークを通過できるトラフィックを指定する機能です。この機能により、トラフィックが
ブロックされて検査されない、拒否される IP アドレスのブラックリストを作成できます。
サンプルの展開では、一般的なネットワークセグメントを例示しています。これらの場所のそれ
ぞれに管理対象デバイスを展開すると、さまざまな目的のために役立ちます。以下の項では、一
般的な場所についての推奨事項を説明します。
•
ファイアウォールの内側（3-14 ページ）では、アクセス制御がファイアウォールを通過するト
ラフィックに対してどのように機能するかを説明します。
•
DMZ 上（3-15 ページ）では、DMZ 内のアクセス制御がネットワーク外部と接触するサーバ
を保護する仕組みについて説明しています。
•
内部ネットワーク上（3-16 ページ）では、アクセス制御が意図的または偶発的な攻撃から内部
ネットワークをどのように保護するかを説明します。
•
コアネットワーク上（3-16 ページ）では、厳密なルールのアクセス制御ポリシーが重要な資
産をどのように保護するかを説明します。
•
リモートまたはモバイルネットワーク上（3-17 ページ）では、アクセス制御がリモートロ
ケーションやモバイルデバイス上のトラフィックから、ネットワークをどのように監視し
保護するかを説明します。
ファイアウォールの内側
ファイアウォールの内側の管理対象デバイスは、ファイアウォールによって許可された着信ト
ラフィックや、誤った設定のためにファイアウォールを通過したトラフィックを監視します。一
般的なネットワークセグメントには、DMZ、内部ネットワーク、コア、モバイルアクセス、リモー
トネットワークなどがあります。
次の図は、Firepower システムを通過するトラフィックフローを例示して、そのトラフィックに
実行される検査のタイプを詳しく示しています。高速パスで処理されたトラフィックやブラッ
クリストに登録されたトラフィックに対しては、検査が行われないことに注意してください。ア
クセス制御ルールやデフォルトアクションによって処理されるトラフィックの場合、フローと
検査はルールアクションによって異なります。分かりやすくするために、ルールアクションは
図に示されていませんが、システムは信頼されるトラフィックやブロックされたトラフィック
に対してどのような検査も実行しません。また、デフォルトアクションではファイル検査がサ
ポートされていません。
Firepower 7000 および 8000 シリーズインストールガイド
3-14
第3章
Firepower 管理対象デバイスの展開
展開オプション
着信パケットは、最初に高速パスルールについてチェックされます。一致が見つかった場合、ト
ラフィックは高速パスで処理されます。一致が見つからない場合、セキュリティインテリジェン
スベースのフィルタリングにより、パケットがブラックリストに登録されているかどうかを判別
します。含まれていない場合は、アクセス制御ルールが適用されます。パケットがルールの条件を
満たす場合、トラフィックフローと検査はルールアクションによって決まります。パケットが
ルールに一致しない場合、トラフィックフローと検査はデフォルトポリシーアクションによっ
て決まります。（モニタルールの場合は例外です。この場合は、トラフィックが引き続き評価され
ます）。各アクセスコントロールポリシーのデフォルトアクションは、高速パス処理またはブ
ラックリスト登録が行われなかったトラフィック、あるいはモニタルール以外のルールと一致
したトラフィックを管理します。高速パスが使用できるのは、8000 シリーズデバイスのみです。
アクセス制御ルールを作成して、ネットワークトラフィックの処理とログ記録の方法をより詳
細に制御することができます。ルールごとに、特定の条件に一致するトラフィックに適用するア
クション（信頼する、監視する、ブロックする、または検査する）を指定します。
DMZ 上
DMZ 内には、ネットワーク外部と接触するサーバ（Web、FTP、DNS、メールなど）があり、DMZ が
内部ネットワークでメール中継や Web プロキシなどのサービスをユーザに提供する場合もあり
ます。
DMZ に保存されるコンテンツは静的なものであり、変更が計画されて実行される場合には、明
確な連絡と事前の通知が行われます。DMZ 内のサーバに生じる変更は計画されているものだけ
なので、このセグメントでの攻撃は通常はインバウンドで、すぐに明らかになります。このセグ
メントのための有効なアクセス制御ポリシーは、サービスへのアクセスを厳格に制御し、新しい
ネットワークイベントを検索します。
DMZ 内のサーバには、DMZ がネットワークを介して照会できるデータベースを含めることが
できます。DMZ と同様に予期しない変更が生じることはありませんが、データベースのコンテ
ンツはより機密性が高く、Web サイトや他の DMZ サービスよりも強力な保護を必要とします。
DMZ のアクセス制御ポリシーに加えて強力な侵入ポリシーを設定することは、効果的な戦略と
なります。
このセグメントに展開された管理対象デバイスは、DMZ 内の侵害されたサーバから発信され
る、インターネットに対する攻撃を検出できます。ネットワークディスカバリを使用してネット
ワークトラフィックの監視を行うと、それらの公開されているサーバで変更点（予期されない
サービスが突然現れるなど）を監視して、DMZ 内の侵害されたサーバを発見するために役立ち
ます。
Firepower 7000 および 8000 シリーズインストールガイド
3-15
第3章
Firepower 管理対象デバイスの展開
展開オプション
内部ネットワーク上
悪意のある攻撃は内部ネットワーク上のコンピュータから生じることがあります。これらの攻
撃は、作為的であることも（たとえば、不明なコンピュータがネットワーク上に突然現れるなど）、
予想外の感染であることもあります（たとえば、オフサイトで感染した職場のラップトップがネッ
トワークに接続されて、ウイルスが拡散するなど）。内部ネットワークでのリスクはアウトバウン
ドである可能性もあります（コンピュータが疑わしい外部 IP アドレスに情報を送信するなど）。
このダイナミックネットワークでは、アウトバウンドトラフィックに加えてすべての内部トラ
フィックにも、厳密なアクセス制御ポリシーが必要です。ユーザとアプリケーション間のトラ
フィックを厳密に制御する、アクセス制御ルールを追加します。
コアネットワーク上
コア資産は、あらゆるコストを払ってでも保護する必要がある、ビジネスの成功に不可欠な資産
です。コア資産はビジネスの性質によって異なりますが、典型的なコア資産には、財務センター
や管理センター、さらには知的財産のリポジトリが含まれます。コア資産のセキュリティが侵犯
された場合、ビジネスが破たんする可能性があります。
ビジネスが機能するためには、このセグメントが容易に使用可能でなければならないものの、厳
密に制限され制御される必要もあります。アクセス制御では、リスクが最も高いネットワークセ
グメント（リモートネットワークやモバイルデバイスなど）が、それらの資産にアクセスできな
いようにする必要があります。このセグメントでは、ユーザやアプリケーションのアクセスに厳
密なルールを適用して、最も積極的な制御を使用します。
Firepower 7000 および 8000 シリーズインストールガイド
3-16
第3章
Firepower 管理対象デバイスの展開
展開オプション
リモートまたはモバイルネットワーク上
オフサイトに位置するリモートネットワークでは、多くの場合、バーチャルプライベートネッ
トワーク（VPN）を使用してプライマリネットワークへのアクセスを提供します。モバイルデバ
イスやパーソナルデバイスの業務目的での使用（「スマートフォン」を使用して社内電子メール
にアクセスする、など）は、ますます一般的になっています。
これらのネットワークは、迅速かつ継続的に変更される、非常に動的な環境となることがありま
す。専用のモバイルまたはリモートネットワークに管理対象デバイスを展開すると、不明な外部
ソースに出入りするトラフィックを監視および管理するための、厳格なアクセスコントロール
ポリシーを作成することができます。ポリシーは、ユーザ、ネットワーク、およびアプリケーショ
ンがコアリソースにアクセスする方法を厳密に制限して、リスクを軽減できます。
Firepower 7000 および 8000 シリーズインストールガイド
3-17
第3章
Firepower 管理対象デバイスの展開
管理対象デバイスでの複数のセンシングインターフェイスの使用
管理対象デバイスでの複数のセンシングインターフェイ
スの使用
管理対象デバイスのネットワークモジュールには、複数のセンシングインターフェイスが用意
されています。以下の目的で、管理対象デバイスにおいて複数のセンシングインターフェイスを
使用できます。
注
•
ネットワークタップからの個別の接続を再結合する
•
さまざまなネットワークからのトラフィックを検知して評価する
•
仮想ルータとして実行する
•
仮想スイッチとして機能させる
各センシングインターフェイスは、デバイスの評価対象となる完全なスループットを受信でき
ますが、管理対象デバイスでの合計トラフィックが帯域幅の評価を超えるとパケットの消失が
発生します。
ネットワークタップのある管理対象デバイス上に複数のセンシングインターフェイスを展開
することは、簡単なプロセスです。以下の図に、トラフィック量の多いネットワークセグメント
上に設置されたネットワークタップを示します。
このシナリオでは、タップが別個のセンシングインターフェイスを介して着信および発信トラ
フィックを伝送します。管理対象デバイス上で複数のセンシングインターフェイスアダプタ
カードをタップに接続すると、管理対象デバイスはトラフィックを単一のデータストリームに
組み合わせます。これにより、トラフィックが分析可能になります。
以下の図に示すようなギガビット光タップでは、管理対象デバイス上にある 2 組のセンシング
インターフェイスは、どちらもタップのコネクタによって使用されることに注意してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-18
第3章
Firepower 管理対象デバイスの展開
管理対象デバイスでの複数のセンシングインターフェイスの使用
仮想スイッチを使用して、展開のタップとスイッチの両方を置き換えることができます。タップを
仮想スイッチに置き換える場合は、タップのパケット配信保証を失うことに注意してください。
個別のネットワークからデータを捕捉するインターフェイスを作成することもできます。次の
図は、デュアルセンシングインターフェイスのアダプタがある単一のデバイスと、2 つのネット
ワークに接続された 2 つのインターフェイスを示しています。
Firepower 7000 および 8000 シリーズインストールガイド
3-19
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
1 つのデバイスを使用して両方のネットワークセグメントを監視することに加えて、デバイス
の仮想スイッチの機能を使用して、展開にある両方のスイッチを置き換えることができます。
複雑なネットワークの展開
エンタープライズのネットワークは、VPN などのリモートアクセスを必要とする場合や、ビジ
ネスパートナーやバンキング接続などの複数のエントリーポイントを持つ場合があります。
VPN の統合
バーチャルプライベートネットワーク（VPN）は、IP トンネリング技術を使用して、ローカル
ネットワークのセキュリティをインターネット上のリモートユーザに提供します。一般に、VPN
ソリューションは IP パケット内のデータペイロードを暗号化します。IP ヘッダーは暗号化され
ていないので、そのパケットを他のパケットと同様にパブリックネットワーク経由で送信する
ことができます。パケットが宛先ネットワークに到達すると、ペイロードが復号化されて、パ
ケットは適切なホストに送られます。
ネットワークアプライアンスは VPN パケットの暗号化されたペイロードを分析できないため、
管理対象デバイスを VPN 接続の終端エンドポイントの外部に配置すると、すべてのパケット情
報にアクセスできるようになります。次の図は、管理対象デバイスを VPN 環境に展開する方法
を例示しています。
管理対象デバイスとの VPN 接続の両側で、ファイアウォールとタップを置き換えることができ
ます。タップを管理対象デバイスに置き換える場合は、タップのパケット配信保証を失うことに
注意してください。
Firepower 7000 および 8000 シリーズインストールガイド
3-20
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
他のエントリポイントでの侵入検知
多くのネットワークには、複数のアクセスポイントが含まれています。インターネットに接続す
る単一の境界ルータの代わりに、一部の企業は、インターネット、モデムバンク、およびビジネス
パートナーのネットワークへの直接リンクの組み合わせを使用します。一般に、管理対象デバイ
スは、ファイアウォールの近く（ファイアウォールの内部、ファイアウォールの外部、または両
方）に、そしてビジネスデータの整合性と機密性のために重要なネットワークセグメントに展
開する必要があります。次の図は、管理対象デバイスを、複数のエントリポイントが存在する複
雑なネットワークの主な場所に設置する方法を示しています。
ファイアウォールとルータを、そのネットワークセグメントに展開された管理対象デバイスに
置き換えることができます。
Firepower 7000 および 8000 シリーズインストールガイド
3-21
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
マルチサイト環境での展開
多くの組織では、地理的に分散している企業全体で侵入検知を展開し、1 か所からすべてのデー
タを分析することを望んでいます。この形態をサポートするために、Firepower システムで提供
している Firepower Management Center は、組織のさまざまな場所に展開されている管理対象デ
バイスからのイベントを集約して相互に関連付けます。同じ地理的な場所で同じネットワーク
に複数の管理対象デバイスと Firepower Management Center を展開する場合とは異なり、分散し
た地理的な場所に管理対象デバイスを展開する場合には、管理対象デバイスおよびデータスト
リームのセキュリティが確保されるように注意しなければなりません。データを保護するには、
管理対象デバイスと Firepower Management Center を、保護されていないネットワークから隔離
する必要があります。これは、VPN を介した管理対象デバイスからのデータストリームを送信
することによって、または次の図のように他のセキュアなトンネリングプロトコルによって実
行できます。
Firepower 7000 および 8000 シリーズインストールガイド
3-22
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
ファイアウォールとルータを、各ネットワークセグメントに展開された管理対象デバイスに置
き換えることができます。
Firepower 7000 および 8000 シリーズインストールガイド
3-23
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
複雑なネットワーク内にある複数の管理インターフェイスの統合
任意の展開内の複数の管理インターフェイスを設定して、さまざまなネットワークを監視して
おり、同じ Firepower Management Center によって管理されるデバイスからトラフィックを分離
できます。複数の管理インターフェイスを使用して、固有の IP アドレス（IPv4 または IPv6）を持
つ管理インターフェイスを Firepower Management Center に追加し、その管理インターフェイス
から管理対象のデバイスを含むネットワークへのルートを作成できます。新しい管理インター
フェイスにデバイスを登録すると、そのデバイスのトラフィックは、Firepower Management
Center のデフォルト管理インターフェイスに登録されたデバイスのトラフィックから分離され
ます。
ヒント
デバイスを、デフォルト（eth0）の管理インターフェイス以外の管理インターフェイスの静的 IP
アドレスに登録する必要があります。DHCP は、デフォルトの管理インターフェイスだけでサ
ポートされています。
Firepower 7000 および 8000 シリーズインストールガイド
3-24
第3章
Firepower 管理対象デバイスの展開
複雑なネットワークの展開
トラフィックチャネルのために別個の管理インターフェイスを使用する場合を除いて、複数の
管理インターフェイスが NAT 環境でサポートされます。詳細については、「管理ネットワークで
の展開（2-1 ページ）」を参照してください。Lights-Out Management は、追加の管理インターフェイ
スではなく、デフォルトの管理インターフェイスでのみサポートされることに注意してください。
Firepower Management Center をインストールした後に、Web インターフェイスを使用して、複数
の管理インターフェイスを設定します。詳細については、『Firepower Management Center 設定ガ
イド』の「Configuring Appliance Settings」を参照してください。
複雑なネットワーク内の管理対象デバイスの統合
単純な複数セクターからなるネットワークよりも複雑なネットワークトポロジに管理対象デバ
イスを展開できます。ここでは、プロキシサーバ、NAT デバイス、および VPN が存在する環境に
管理対象デバイスを展開する場合に、ネットワーク検出および脆弱性の分析に伴う問題に加え、
Firepower Management Center を使用して複数の管理対象デバイスを管理する方法、およびマルチ
サイト環境での管理対象デバイスの展開と管理について説明します。
プロキシサーバと NAT との統合
ネットワークアドレス変換（NAT）のデバイスやソフトウェアがファイアウォールの外側に配置
されており、ファイアウォールの内側に内部ホストの IP アドレスが効果的に隠されている場合
があります。管理対象デバイスがこれらのデバイスやソフトウェアと監視されるホストの間に
配置されている場合は、システムがプロキシや NAT デバイスの背後にあるホストを正確に識別
しない可能性があります。このような場合、シスコでは、ホストが正しく検出されるように、プロ
キシまたは NAT デバイスで保護されているネットワークセグメント内に管理対象デバイスを
配置するように推奨しています。
ロードバランシング方式との統合
一部のネットワーク環境では、Web ホスティングや FTP ストレージサイトなどのサービスに対
してネットワークロードバランシングを実行するために、「サーバファーム」設定が使用されま
す。ロードバランシング環境では、IP アドレスが、固有のオペレーティングシステムの複数のホ
スト間で共有されます。この場合、システムはオペレーティングシステムの変更を検出するの
で、高い信頼値を持つ静的なオペレーティングシステム ID を提供できません。影響を受けるホ
ストにある別個のオペレーティングシステムの数に応じて、システムは、多数のオペレーティン
グシステムの変更イベントを生成するか、またはより低い信頼値を持つ静的なオペレーティン
グシステム ID を示します。
検出に関するその他の考慮事項
識別されているホストの TCP/IP スタックに変更が生じた場合は、システムがホストのオペレー
ティングシステムを正確に識別できないことがあります。場合によっては、パフォーマンスを向
上させるためにこれを行うことがあります。たとえば、インターネットインフォメーション
サービス（IIS）の Web サーバを実行する Windows ホストの管理者は、TCP ウィンドウサイズを
大きくして受信するデータの量を増やし、パフォーマンスを向上させるように勧められていま
す。別の例として、TCP/IP スタックの変更によって本当のオペレーティングシステムを不明瞭
にして、正確に識別できないようにし、攻撃対象とならないようにする場合があります。この対
処方法が用いられるシナリオとして考えられるのは、攻撃者がネットワークの偵察スキャンを
実施して特定のオペレーティングシステムを持つホストを識別してから、そのオペレーティン
グシステムに合った手段を使用して、それらのホストを対象にした攻撃を行うことです。
Firepower 7000 および 8000 シリーズインストールガイド
3-25
第3章
複雑なネットワークの展開
Firepower 7000 および 8000 シリーズインストールガイド
3-26
Firepower 管理対象デバイスの展開
CH A P T E R
4
Firepower 管理対象デバイスのインストール
Firepower システムアプライアンスは、大規模な Firepower システム展開の一部としてネット
ワーク上に容易に設置できます。デバイスはネットワークセグメントに設置され、それに適用さ
れた侵入ポリシーに基づいてトラフィックを検査し、侵入イベントを生成します。このデータは
Firepower Management Center に送信されます。そこでは、データを展開全体で相互に関連付け、セ
キュリティに対する脅威を調整または処理するように 1 つ以上のデバイスが管理されます。
ヒント
複数の管理インターフェイスを使用することで、パフォーマンスを向上させたり、2 つの異なる
ネットワークのトラフィックを分離して管理することができます。初期設置中に、デフォルトの
管理インターフェイス（eth0）を設定します。設置した後、ユーザインタフェースを介して追加の
管理インターフェイスを設定できます。詳細については、『Firepower Management Center 設定ガ
イド』を参照してください。
複数のアプライアンスを別々の展開場所で使用するように 1 箇所で事前設定できます。事前設
定のガイダンスについては、Firepower 管理対象デバイスの事前設定（E-1 ページ）を参照してく
ださい。
注
ASA FirePOWER デバイスの設置方法については、ASA のマニュアルを参照してください。
付属品
Firepower デバイスに付属のコンポーネントのリストを以下に示します。システムと関連アクセ
サリを開梱するときに、次のようにパッケージの中身が完全であることを確認してください。
•
アプライアンス× 1
•
電源コード（2 本の電源コードが冗長電源を含むアプライアンスに付属しています）
•
カテゴリ 5e イーサネットストレートケーブル：Firepower デバイス用に 2 本
•
ラックマウントキット（Firepower 7010、7020、7030、および 7050 のそれぞれに使用する必須
のトレイとラックマウントキット）× 1
Firepower 7000 および 8000 シリーズインストールガイド
4-1
第4章
Firepower 管理対象デバイスのインストール
セキュリティの考慮事項
セキュリティの考慮事項
シスコでは、アプライアンスを設置する前に、次の点を考慮することを推奨しています。
•
無許可ユーザによるアクセスから保護された安全な場所にあるロック付きラックにアプラ
イアンスを配置します。
•
アプライアンスの設置、交換、管理、または修理は、訓練を受け、資格要件を満たしている人物
にのみ許可します。
•
管理インターフェイスは、必ず、不正アクセスから保護されたセキュアな内部管理ネット
ワークに接続します。
•
アプライアンスへのアクセスを許可可能な特定のワークステーションの IP アドレスを特定
します。アプライアンスのシステムポリシー内のアクセスリストを使用している特定のホ
ストにアプライアンスへのアクセスを限定します。詳細については、『Firepower Management
Center 設定ガイド』を参照してください。
管理インターフェイスの識別
管理インターフェイスを使用して展開内の各アプライアンスをネットワークに接続します。こ
れにより、Firepower Management Center は管理対象デバイスと通信して管理することができま
す。設置手順に従って作業する際、アプライアンスの正しい図を参照してください。
Firepower 7000 シリーズ
Firepower 7010、7020、7030、および 7050 はシャーシトレイ幅の半分の 1U アプライアンスです。
次のシャーシ前面図に、デフォルトの管理インターフェイスを示します。
Firepower 7110/7120、7115/7125、および AMP7150 は 1U アプライアンスとして提供されます。次
のシャーシ背面図は、デフォルトの管理インターフェイスの位置を示しています。
Firepower 7000 および 8000 シリーズインストールガイド
4-2
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
Firepower 8000 シリーズ
Firepower 8120、8130、8140、および AMP8150 は 1U アプライアンスとして提供されます。次の
シャーシ背面図は、デフォルトの管理インターフェイスの位置を示しています。
Firepower 8250 は 2U アプライアンスとして提供されます。Firepower 8260、8270、および 8290 は
1 つ、2 つ、または 3 つのセカンダリ 2U アプライアンスが付属する 2U アプライアンスとして提
供されます。次のシャーシ背面図は、各 2U アプライアンスのデフォルトの管理インターフェイ
スの位置を示しています。
Firepower および AMP 8350 は 2U アプライアンスとして提供されます。Firepower および AMP
8360、8370、8390 は 1 つ、2 つ、または 3 つのセカンダリ 2U アプライアンスが付属する 2U アプラ
イアンスとして提供されます。次のシャーシ背面図は、各 2U アプライアンスのデフォルトの管
理インターフェイスの位置を示しています。
センシングインターフェイスの識別
Firepower デバイスは、センシングインターフェイスを使用してネットワークセグメントに接続
します。1 つのデバイスで監視可能なセグメントの数は、デバイス上のセンシングインターフェ
イスの数とネットワークセグメント上で使用する接続タイプ（パッシブ、インライン、ルーテッ
ド、またはスイッチド）によって異なります。
以下の項では、各 Firepower デバイスのセンシングインターフェイスについて説明します。
•
7000 シリーズ上のセンシングインターフェイスを特定するには、Firepower 7000 シリーズ
（4-4 ページ）を参照してください。
•
8000 シリーズ上のモジュールスロットを特定するには、Firepower 8000 シリーズ（4-7 ペー
ジ）を参照してください。
•
8000 シリーズ NetMod 上のセンシングインターフェイスを特定するには、Firepower 8000 シ
リーズモジュール（4-9 ページ）を参照してください。
接続タイプについては、センシングインターフェイスについて（3-2 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-3
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
Firepower 7000 シリーズ
次の設定で、7000 シリーズを使用することができます。
•
個別にバイパス機能を設定可能な 8 つの銅線インターフェイスを備えたラックトレイ幅が
半分の 1U デバイス
•
個別にバイパス機能を設定可能な 8 つの銅線インターフェイスまたは 8 つのファイバイン
ターフェイスを備えた 1U デバイス
•
バイパス機能が設定可能な 4 つの銅線インターフェイスとバイパス機能のない 8 つの Small
Form-Factor Pluggable（SFP）ポートを備えた 1U デバイス
Firepower 7010、7020、7030、7050
Firepower 7010、7020、7030、および 7050 には、それぞれ設定可能なバイパス機能を持つ 8 つの銅
線ポートセンシングインターフェイスが付属しています。次のシャーシ前面図に、センシング
インターフェイスの位置を示します。
図 4-1
8 ポート 1000BASE-T 銅線設定可能バイパスインターフェイス
これらの接続を使用して、最大 8 つのネットワークセグメントを受動的に監視できます。また、
インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用し
て、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
デバイスの自動バイパス機能を利用する場合は、2 つのインターフェイスをネットワークセグ
メントに垂直に接続します（インターフェイス 1 と 2、3 と 4、5 と 6、または 7 と 8）。自動バイパス
機能を使用すれば、デバイスで障害が発生した場合や電源を消失した場合でもトラフィックを
伝送することができます。インターフェイスを接続したら、Web インターフェイスを使用して、
インターフェイスのペアをインラインセットとして設定し、そのインラインセット上でパイパ
スモードを有効にします。
Firepower 7000 および 8000 シリーズインストールガイド
4-4
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
Firepower 7110 および 7120
Firepower 7110 および 7120 には、個別にバイパス機能を設定可能な 8 つの銅線ポートセンシン
グインターフェイスまたは 8 つのファイバポートセンシングインターフェイスが付属してい
ます。次のシャーシ前面図に、センシングインターフェイスの位置を示します。
図 4-2
Firepower 7110 および 7120 銅線インターフェイス
図 4-3
8 ポート 1000BASE-T 銅線インターフェイス
これらの接続を使用して、最大 8 つのネットワークセグメントを受動的に監視できます。また、
インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用し
て、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
デバイスの自動バイパス機能を利用する場合は、ネットワークセグメントの左側にある 2 つの
インターフェイスまたはネットワークセグメントの右側にある 2 つのインターフェイスを接続
する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を
消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、
Web インターフェイスを使用して、インターフェイスのペアをインラインセットとして設定し、
そのインラインセット上でパイパスモードを有効にします。
図 4-4
Firepower 7110 および 7120 ファイバインターフェイス
図 4-5
8 ポート 1000BASE-SX ファイバ設定可能バイパス
8 ポート 1000BASE-SX ファイバ設定可能バイパス設定では、LC タイプ（ローカルコネクタ）光
トランシーバが使用されます。
Firepower 7000 および 8000 シリーズインストールガイド
4-5
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
これらの接続を使用して、最大 8 つのネットワークセグメントを受動的に監視できます。また、
インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用し
て、デバイスを最大 4 つのネットワーク上に侵入防御システムとして展開できます。
ヒント
最高のパフォーマンスを得るために、インターフェイスセットを連続的に使用します。インター
フェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、ネットワークセグメントの左側にある 2 つの
インターフェイスまたはネットワークセグメントの右側にある 2 つのインターフェイスを接続
する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を
消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、
Web インターフェイスを使用して、インターフェイスのペアをインラインセットとして設定し、
そのインラインセット上でパイパスモードを有効にします。
Firepower 7115、7125、および AMP7150
Firepower 7115、7125、および AMP7150 デバイスには、バイパス機能を設定可能な 4 ポート銅線
インターフェイスとバイパス機能のない 8 つのホットスワップ可能な Small Form-Factor
Pluggable（SFP）ポートが付属しています。次のシャーシ前面図に、センシングインターフェイス
の位置を示します。
図 4-6
Firepower 7115、7125 および AMP7150 の銅線インターフェイスと SFP インターフェイス
図 4-7
4 つの 1000BASE-T 銅線インターフェイス
銅線インターフェイスを使用して、4 つのネットワークセグメントを受動的に監視することがで
きます。また、インラインでまたはバイパスモードのインラインでペア化されたインターフェイ
スを使用して、デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開できます。
デバイスの自動バイパス機能を利用する場合は、ネットワークセグメントの左側にある 2 つの
インターフェイスまたはネットワークセグメントの右側にある 2 つのインターフェイスを接続
する必要があります。自動バイパス機能を使用すれば、デバイスで障害が発生した場合や電源を
消失した場合でもトラフィックを伝送することができます。インターフェイスを接続したら、
Web インターフェイスを使用して、インターフェイスのペアをインラインセットとして設定し、
そのインラインセット上でパイパスモードを有効にします。
Firepower 7000 および 8000 シリーズインストールガイド
4-6
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
SFP インターフェイス
シスコ SFP トランシーバを SFP ソケットに取り付ければ、最大 8 つのネットワークセグメント
を受動的に監視することができます。また、インライン非バイパスモードでペア化されたイン
ターフェイスを使用して、デバイスを最大 4 つのネットワーク上に侵入検知システムとして展
開できます。
シスコ SFP トランシーバは、1G 銅線、1G 短距離ファイバ、または 1G 長距離ファイバで使用し、
ホットスワップ可能です。デバイス内の銅線またはファイバトランシーバの任意の組み合わせ
をパッシブ設定とインライン設定のどちらかで使用できます。SFP トランシーバはバイパス機
能を備えていないため、侵入防御展開で使用しないようにする必要があることに注意してくだ
さい。互換性を保証するために、シスコから入手可能な SFP トランシーバだけを使用してくださ
い。詳細については、「3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用（B-1 ペー
ジ）」を参照してください。
図 4-8
サンプル SFP トランシーバ
図 4-9
SFP ソケット
Firepower 8000 シリーズ
8000 シリーズは、10G ネットワークスイッチを備えた 1 U デバイス、または 10G と 40G のどち
らかのネットワークスイッチを備えた 2 U デバイスとして使用可能です。このデバイスは、完全
に組み立てた状態で出荷することも、センシングインターフェイスを含むネットワークモ
ジュール（NetMod）を取り付けることもできます。
注
デバイス上の互換性のないスロットに NetMod を取り付けた場合（Firepower 8250 または
Firepower または AMP 8350 のスロット 1 と 4 に 40G NetMod を挿入した場合など）または
NetMod がシステムと互換性がない場合は、NetMod を設定しようとすると、管理元の Firepower
Management Centerの Web インターフェイスにエラーまたは警告メッセージが表示されます。支
援が必要な場合は、サポートに連絡してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-7
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
次のモジュールには、設定可能バイパスセンシングインターフェイスが含まれています。
•
バイパス機能を設定可能なクワッドポート 1000BASE-T 銅線インターフェイス
•
バイパス機能を設定可能なクワッドポート 1000BASE-SX ファイバインターフェイス
•
バイパス機能を設定可能なデュアルポート 10GBASE（MMSR または SMLR）ファイバイン
ターフェイス
•
バイパス機能を設定可能なデュアルポート 40GBASE-SR4 ファイバインターフェイス（2U
デバイスのみ）
次のモジュールには、非バイパスセンシングインターフェイスが含まれています。
•
バイパス機能のないクワッドポート 1000BASE-T 銅線インターフェイス
•
バイパス機能のないクワッドポート 1000BASE-SX ファイバインターフェイス
•
バイパス機能のないデュアルポート 10GBASE（MMSR または SMLR）ファイバインター
フェイス
加えて、スタッキングモジュールは、同じ設定を持つ複数のアプライアンスのリソースを統合し
たものです。スタックモジュールは、Firepower 8140、8250、および 8350 上ではオプションであ
り、Firepower 8260、8270、8290 と Firepower および AMP 8360、8370、8390 のスタック構成では標
準搭載です。
注意
モジュールはホットスワップ可能ではありません。詳細については、「Firepower 8000 シリーズ
モジュールの挿入と取り外し（C-1 ページ）」を参照してください。
次のシャーシ前面図に、センシングインターフェイスを含むモジュールスロットの位置を示し
ます。
図 4-10
Firepower 81xx ファミリのシャーシ前面図
図 4-11
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリシャーシの正面図
Firepower 7000 および 8000 シリーズインストールガイド
4-8
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
Firepower 8000 シリーズモジュール
Firepower 8000 シリーズは、バイパス機能が設定可能な次のモジュール付属で提供できます。
•
バイパス機能を設定可能なクワッドポート 1000BASE-T 銅線インターフェイス。詳細につい
ては、「図 4-12 クワッドポート 1000BASE-T 銅線設定可能バイパス NetMod（4-9 ページ）」を
参照してください。
•
バイパス機能を設定可能なクワッドポート 1000BASE-SX ファイバインターフェイス。詳細
については、「図 4-13 クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod
（4-10 ページ）」を参照してください。
•
バイパス機能を設定可能なデュアルポート 10GBASE（MMSR または SMLR）ファイバイン
ターフェイス。詳細については、「図 4-14デュアルポート 10GBASE（MMSR または SMLR）
ファイバ設定可能バイパス NetMod（4-10 ページ）」を参照してください。
•
バイパス機能を設定可能なデュアルポート 40GBASE-SR4 ファイバインターフェイス。詳細
については、「図 4-15デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod
（4-11 ページ）」を参照してください。
Firepower 8000 シリーズは、バイパス機能が設定できない次のモジュール付属で提供できます。
•
バイパス機能のないクワッドポート 1000BASE-T 銅線インターフェイス。詳細については、
「図 4-17 クワッドポート 1000BASE-T 銅線非バイパス NetMod（4-12 ページ）」を参照してく
ださい。
•
バイパス機能のないクワッドポート 1000BASE-SX ファイバインターフェイス。詳細につい
ては、「図 4-18 クワッドポート 1000BASE-SX ファイバ非バイパス NetMod（4-12 ページ）」を
参照してください。
•
バイパス機能のないクワッドポート 10GBASE（MMSR または SMLR）ファイバインター
フェイス。詳細については、「図 4-19 クワッドポート 10GBASE（MMSR または SMLR）ファイ
バ非バイパス NetMod（4-13 ページ）」を参照してください。
スタックモジュールは、Firepower 8140、8250、および 8350 上ではオプションであり、Firepower
8260、8270、8290 と Firepower 8360、8370、8390 のスタック構成では標準搭載です。詳細について
は、「Firepower 8000 シリーズスタックモジュール（4-13 ページ）」を参照してください。
図 4-12
クワッドポート 1000BASE-T 銅線設定可能バイパス NetMod
これらの接続を使用して、最大 4 つの異なるネットワークセグメントを受動的に監視できます。
また、インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使
用して、デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開することもでき
ます。
Firepower 7000 および 8000 シリーズインストールガイド
4-9
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
デバイスの自動バイパス機能を利用する場合は、ネットワークセグメントの左側にある 2 つの
インターフェイスまたはネットワークセグメントの右側にある 2 つのインターフェイスを接続
する必要があります。これにより、デバイスで障害が発生した場合や電源を消失した場合でもト
ラフィックを伝送することができます。また、Web インターフェイスを使用して、インターフェ
イスのペアをインラインセットとして設定し、そのインラインセット上でパイパスモードを有
効にすることもできます。
図 4-13
クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod
クワッドポート 1000BASE-SX ファイバ設定可能バイパス設定では、LC タイプ（ローカルコネク
タ）光トランシーバが使用されます。
この設定を使用して、最大 4 つの異なるネットワークセグメントを受動的に監視できます。ま
た、インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用
して、管理対象デバイスを最大 2 つのネットワーク上に侵入防御システムとして展開すること
もできます。
ヒント
最高のパフォーマンスを得るために、インターフェイスセットを連続的に使用します。インター
フェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、ネットワークセグメントの左側にある 2 つの
インターフェイスまたはネットワークセグメントの右側にある 2 つのインターフェイスを接続
する必要があります。これにより、デバイスで障害が発生した場合や電源を消失した場合でもト
ラフィックを伝送することができます。また、Web インターフェイスを使用して、インターフェ
イスのペアをインラインセットとして設定し、そのインラインセット上でパイパスモードを有
効にすることもできます。
図 4-14
デュアルポート 10GBASE（MMSR または SMLR）ファイバ設定可能バイパス NetMod
デュアルポート 10GBASE ファイバ設定可能バイパス設定では、LC タイプ（ローカルコネクタ）
光トランシーバが使用されます。これらは MMSR インターフェイスまたは SMLR インターフェ
イスのいずれかであることに注意してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-10
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
この設定を使用して、最大 2 つの異なるネットワークセグメントを受動的に監視できます。ま
た、インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用
して、管理対象デバイスを単一のネットワーク上に侵入防御システムとして展開することもで
きます。
ヒント
最高のパフォーマンスを得るために、インターフェイスセットを連続的に使用します。インター
フェイスをスキップすると、パフォーマンスが低下する可能性があります。
デバイスの自動バイパス機能を利用する場合は、2 つのインターフェイスをネットワークセグ
メントに接続する必要があります。これにより、デバイスで障害が発生した場合や電源を消失し
た場合でもトラフィックを伝送することができます。また、Web インターフェイスを使用して、
インターフェイスのペアをインラインセットとして設定し、そのインラインセット上でパイパ
スモードを有効にすることもできます。
図 4-15
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス設定では、MPO（マルチファイバプッ
シュオン）コネクタ光トランシーバが使用されます。
次の 8000 シリーズモデルでのみ 40G NetMod を使用できます。
注意
•
Firepower 8270 および 8290
•
Firepower および AMP 8360、8370、および 8390
•
Firepower 8250 および 8260（40G 対応である必要があります）
•
Firepower および AMP 8350（40G 対応である必要があります）
40G 対応ではないデバイス上で 40G インターフェイスを作成しようとすると、それを管理する
Firepower Management Center Web インターフェイスの 40G インターフェイス画面が赤く表示さ
れます。40G 対応の 8250 の LCD パネルには「8250-40G」と表示され、40G 対応の 8350 の LCD パ
ネルには「8350-40G」と表示されます。
この設定を使用して、最大 2 つの異なるネットワークセグメントを受動的に監視できます。ま
た、インラインでまたはバイパスモードのインラインでペア化されたインターフェイスを使用
して、デバイスを単一のネットワーク上に侵入防御システムとして展開することもできます。
Firepower 7000 および 8000 シリーズインストールガイド
4-11
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
最大 2 つの 40G NetMod を使用できます。1 つ目の NetMod 40G をスロット 3 と 7 に、2 つ目の
NetMod 40G をスロット 2 と 6 に取り付けます。スロット 1 と 4 で 40G NetMod を使用すること
はできません。
図 4-16
40G NetMod の配置
デバイスの自動バイパス機能を利用する場合は、Web インターフェイスを使用して、インター
フェイスのペアをインラインセットとして設定し、そのインラインセット上でパイパスモード
を有効にする必要があります。
図 4-17
クワッドポート 1000BASE-T 銅線非バイパス NetMod
これらの接続を使用して、最大 4 つの異なるネットワークセグメントを受動的に監視できます。
また、最大 2 つのネットワークセグメントのインライン設定でペア化されたインターフェイス
を使用することもできます。
図 4-18
クワッドポート 1000BASE-SX ファイバ非バイパス NetMod
クワッドポート 1000BASE-SX ファイバ非バイパス設定では、LC タイプ（ローカルコネクタ）光
トランシーバが使用されます。
これらの接続を使用して、最大 4 つの異なるネットワークセグメントを受動的に監視できます。
また、最大 2 つのネットワークセグメントのインライン設定でペア化されたインターフェイス
を使用することもできます。
ヒント
最高のパフォーマンスを得るために、インターフェイスセットを連続的に使用します。インター
フェイスをスキップすると、パフォーマンスが低下する可能性があります。
Firepower 7000 および 8000 シリーズインストールガイド
4-12
第4章
Firepower 管理対象デバイスのインストール
センシングインターフェイスの識別
図 4-19
クワッドポート 10GBASE（MMSR または SMLR）ファイバ非バイパス NetMod
クワッドポート 10GBASE ファイバ非バイパス設定では、MMSR インターフェイスまたは SMLR
インターフェイスを備えた LC タイプ（ローカルコネクタ）光トランシーバが使用されます。
注意
クワッドポート 10GBASE 非バイパス NetMod には、取り外し不可能な Small Form-Factor
Pluggable（SFP）トランシーバが実装されています。SFP を取り外そうとすると、モジュールを破
損する可能性があります。
これらの接続を使用して、最大 4 つの異なるネットワークセグメントを受動的に監視できます。
また、最大 2 つのネットワークセグメントのインライン設定でペア化されたインターフェイス
を使用することもできます。
ヒント
最高のパフォーマンスを得るために、インターフェイスセットを連続的に使用します。インター
フェイスをスキップすると、パフォーマンスが低下する可能性があります。
Firepower 8000 シリーズスタックモジュール
スタッキングモジュールは、同じ設定を持つ複数のアプライアンスのリソースを統合したもの
です。スタックモジュールは次の 8000 シリーズモデルでオプションです。
•
Firepower 8140 および 8250
•
Firepower および AMP 8350
スタックモジュールは次の 8000 シリーズスタック構成に含まれます。
•
Firepower 8260、8270、および 8290
•
Firepower および AMP 8360、8370、および 8390
スタッキングモジュールを使用すれば、2 つのデバイスのリソースをそれぞれプライマリデバ
イスとセカンダリデバイスとして統合することができます。プライマリデバイスにのみセンシ
ングインターフェイスがあります。次のデバイスでスタッキングモジュールを使用できます。
Firepower 7000 および 8000 シリーズインストールガイド
4-13
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
•
Firepower 8140、8250、および 8350 はスタックモジュール付属で提供できます。
•
Firepower 8260 のスタック構成には、プライマリデバイスに 1 つのスタックモジュールが、
セカンダリデバイスに 1 つのスタックモジュールが付属しています。
•
Firepower および AMP 8360 のスタック構成には、プライマリデバイスに 1 つのスタックモ
ジュールが、セカンダリデバイスに 1 つのスタックモジュールが付属しています。
•
Firepower 8270 のスタック構成には、プライマリデバイスに 2 つのスタックモジュールが、
2 台のセカンダリデバイスそれぞれに 1 つのスタックモジュールが付属しています。
•
Firepower および AMP 8370 のスタック構成には、プライマリデバイスに 2 つのスタックモ
ジュールが、2 台のセカンダリデバイスそれぞれに 1 つのスタックモジュールが付属してい
ます。
•
Firepower 8290 のスタック構成には、プライマリデバイスに 3 つのスタックモジュールが、3
台のセカンダリデバイスそれぞれに 1 つのスタックモジュールが付属しています。
•
Firepower および AMP 8390 のスタック構成には、プライマリデバイスに 3 つのスタックモ
ジュールが、3 台のセカンダリデバイスそれぞれに 1 つのスタックモジュールが付属してい
ます。
スタック構成デバイスの使用方法については、スタック構成でのデバイスの使用を参照してく
ださい。
スタック構成でのデバイスの使用
スタック構成内で同じ設定を持つデバイスのリソースを統合することによって、ネットワーク
セグメントで検査するトラフィックの量を増やすことができます。1 つのデバイスが、プライマ
リデバイスとして指定され、ネットワークセグメントに接続されます。その他のすべてのデバ
イスは、セカンダリデバイスとして指定され、プライマリデバイスに追加のリソースを提供す
るために使用されます。Firepower Management Center がスタック構成を作成、編集、および管理し
ます。
プライマリデバイスには、センシングインターフェイスと、接続されているセカンダリデバイ
スごとに 1 セットずつのスタッキングインターフェイスがあります。プライマリデバイス上の
センシングインターフェイスを、非スタック構成デバイスと同じ方法で監視するネットワーク
セグメントに接続します。スタッキングケーブルを使用して、プライマリデバイス上のスタッ
キングインターフェイスをセカンダリデバイス上のスタッキングインターフェイスに接続し
ます。それぞれのセカンダリデバイスは、スタッキングインターフェイスを使用してプライマ
リデバイスに直接接続されます。セカンダリデバイスにセンシングインターフェイスがある場
合、それらは使用されません。
次の設定でデバイスをスタックできます。
•
2 台の Firepower 8140
•
最大 4 台の Firepower 8250
•
1 つの Firepower 8260（1 つの 10G 対応プライマリデバイスと 1 つのセカンダリデバイス）
•
1 つの Firepower 8270（1 つの 40G 対応プライマリデバイスと 2 つのセカンダリデバイス）
•
1 つの Firepower 8290（1 つの 40G 対応プライマリデバイスと 3 つのセカンダリデバイス）
•
最大 4 台の Firepower または AMP 8350
•
1 つの Firepower または AMP 8360（1 つの 40G 対応プライマリデバイスと 1 つのセカンダリ
デバイス）
Firepower 7000 および 8000 シリーズインストールガイド
4-14
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
•
1 つの Firepower または AMP 8370（1 つの 40G 対応プライマリデバイスと 2 つのセカンダリ
デバイス）
•
1 つの Firepower または AMP 8390（1 つの 40G 対応プライマリデバイスと 3 つのセカンダリ
デバイス）
Firepower 8260 および 8270 デバイスと Firepower または AMP 8360 および 8370 デバイスの場
合、デバイスを追加して合計 4 台までデバイスをスタックできます。
1 つのデバイスがプライマリデバイスとして指定され、プライマリロールを持つ Firepower
Management Center の Web インターフェイスに表示されます。スタック構成内の他のすべてのデ
バイスはセカンダリであり、Web インターフェイスでセカンダリロールとして表示されます。ス
タック済みデバイスからの情報を表示する場合を除き、統合されたリソースは 1 つのエンティ
ティとして扱われます。
単一の Firepower 8140、Firepower 8250、および Firepower または AMP 8350 を接続する場合と同
様の方法で、プライマリデバイスを分析対象のネットワークセグメントに接続します。スタッ
ク配線図に示すように、セカンダリデバイスをプライマリデバイスに接続します。
注意
すべてのデバイスのスタックメンバに対して管理インターフェイスが設定され、機能する必要
があります。すべてのデバイスを単一のデバイスとして登録し、これらをスタックしてください。
スタック構成のセカンダリデバイスの管理インターフェイスを削除したり、無効化したりしな
いでください。これにより、スタックメンバはそれぞれヘルスをレポートし、設定情報を交換で
きます。
デバイスがネットワークセグメントと他のデバイスに物理的に接続されたら、Firepower
Management Center を使用してスタックを設定して管理します。
ここでは、スタック構成デバイスを接続して管理する方法について詳しく説明します。
•
Firepower 8140 の接続（4-15 ページ）
•
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの接続（4-16 ページ）
•
8000 シリーズスタッキングケーブルの使用（4-20 ページ）
•
スタック構成デバイスの管理（4-21 ページ）
Firepower 8140 の接続
2 つの Firepower 8140 をスタック構成で接続できます。1 本の 8000 シリーズスタッキングケー
ブルを使用して、プライマリデバイスとセカンダリデバイスの間の物理接続を確立する必要が
あります。スタッキングケーブルの使用方法については、8000 シリーズスタッキングケーブル
の使用（4-20 ページ）を参照してください。
デバイスをラック内に設置して、スタッキングモジュール間をケーブルで容易に接続できるよ
うにします。プライマリデバイスの上または下にセカンダリデバイスを設置できます。
単一の Firepower 8140 を接続する場合と同様の方法で、プライマリデバイスを分析対象のネット
ワークセグメントに接続します。セカンダリデバイスを直接プライマリデバイスに接続します。
下の図に、プライマリデバイスの下にセカンダリデバイスを設置した状態を示します。
Firepower 7000 および 8000 シリーズインストールガイド
4-15
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
Firepower 8140 セカンダリデバイスを接続するには：
ステップ 1
8000 シリーズスタッキングケーブルを使用して、プライマリデバイス上の左側のスタッキン
グインターフェイスをセカンダリデバイス上の左側のスタッキングインターフェイスに接続
してから、デバイスを管理する Firepower Management Center を使用して、システム内のスタック
構成デバイスの関係を構築します。右側のスタッキングインターフェイスが接続されていない
ことに注意してください。スタック構成デバイスの管理（4-21 ページ）を参照してください。
注意
すべてのデバイスのスタックメンバに対して管理インターフェイスが設定され、機能する必要
があります。すべてのデバイスを単一のデバイスとして登録し、これらをスタックしてください。
スタック構成のセカンダリデバイスの管理インターフェイスを削除したり、無効化したりしな
いでください。これにより、スタックメンバはそれぞれヘルスをレポートし、設定情報を交換で
きます。
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの接続
次の設定のいずれかを接続できます。
•
最大 4 台の 8250
•
最大 4 つの Firepower 8350 または AMP8350
•
1 つの Firepower 8260（1 つの 10G 対応プライマリデバイスと 1 つのセカンダリデバイス）
•
1 つの Firepower または AMP 8360（1 つの 40G 対応プライマリデバイスと 1 つのセカンダリ
デバイス）
•
1 つの Firepower 8270（1 つの 40G 対応プライマリデバイスと 2 つのセカンダリデバイス）
•
1 つの Firepower または AMP 8370（1 つの 40G 対応プライマリデバイスと 2 つのセカンダリ
デバイス）
•
1 つの Firepower 8290（1 つの 40G 対応プライマリデバイスと 3 つのセカンダリデバイス）
•
1 つの Firepower または AMP 8390（1 つの 40G 対応プライマリデバイスと 3 つのセカンダリ
デバイス）
次の構成では、デバイスを追加して合計 4 台までデバイスをスタックできます。
•
Firepower 8260 および 8270
•
Firepower または AMP 8360
•
Firepower または AMP 8370
プライマリデバイスに接続するセカンダリデバイスごとに 2 本ずつの 8000 シリーズスタッキ
ングケーブルを使用する必要があります。スタッキングケーブルの使用方法については、
8000 シリーズスタッキングケーブルの使用（4-20 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-16
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
デバイスをラック内に設置して、スタッキングモジュール間をケーブルで容易に接続できるよ
うにします。プライマリデバイスの上または下にセカンダリデバイスを設置できます。
単一の Firepower 8250 または 8350（Firepower または AMP）を接続する場合と同様の方法で、プラ
イマリデバイスを分析対象のネットワークセグメントに接続します。設定内のセカンダリデバ
イスの数に必要な分だけ、各セカンダリデバイスをプライマリデバイスに直接接続します。
注意
すべてのデバイスのスタックメンバに対して管理インターフェイスが設定され、機能する必要
があります。すべてのデバイスを単一のデバイスとして登録し、これらをスタックしてください。
スタック構成のセカンダリデバイスの管理インターフェイスを削除したり、無効化したりしな
いでください。これにより、スタックメンバはそれぞれヘルスをレポートし、設定情報を交換で
きます。
8250 または 8350 プライマリデバイスと 1 つのセカンダリデバイス
次に、Firepower 8250 または 8350（Firepower または AMP）プライマリデバイスと 1 つのセカンダ
リデバイスの例を示します。セカンダリデバイスがプライマリデバイスの下に設置されていま
す。セカンダリデバイスにはセンシングインターフェイスがないことに注意してください。
8260 または 8360 プライマリデバイスと 1 つのセカンダリデバイス
次に、Firepower 8260 または 8360（Firepower または AMP）の設定例を示します。Firepower 8260 に
は 10G 対応 8250 プライマリデバイスと 1 つの専用セカンダリデバイスが含まれています。
Firepower または AMP 8360 には 40G 対応 8350 プライマリデバイスと 1 つの専用セカンダリデ
バイスが含まれています。各設定（8260 または 8360）で、セカンダリデバイスがプライマリデバ
イスの下に設置されます。
Firepower 7000 および 8000 シリーズインストールガイド
4-17
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
8270 または 8370 プライマリデバイス（40G）と 2 つのセカンダリデバイス
次に、Firepower 8270 または 8370（Firepower または AMP）の設定例を示します。Firepower 8270 に
は 40G 対応 8250 プライマリデバイスと 2 つの専用セカンダリデバイスが含まれています。
Firepower または AMP 8370 には 40G 対応 8350 プライマリデバイスと 2 つの専用セカンダリデ
バイスが含まれています。各設定（8270 または 8370）で、1 つのセカンダリデバイスがプライマ
リデバイスの上に設置され、もう 1 つのセカンダリデバイスがプライマリデバイスの下に設置
されます。
8290 または 8390 プライマリデバイス（40G）と 3 つのセカンダリデバイス
次に、Firepower 8290 または 8390（Firepower または AMP）の設定例を示します。Firepower 8290 に
は 40G 対応 8250 プライマリデバイスと 3 つの専用セカンダリデバイスが含まれています。
Firepower または AMP 8370 には 40G 対応 8350 プライマリデバイスと 2 つの専用セカンダリデ
バイスが含まれています。各設定（8290 または 8390）で、1 つのセカンダリデバイスがプライマ
リデバイスの上に設置され、2 つのセカンダリデバイスがプライマリデバイスの下に設置され
ます。
Firepower 7000 および 8000 シリーズインストールガイド
4-18
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
8250 または 8350 セカンダリデバイスを接続するには：
ステップ 1
8000 シリーズスタッキングケーブルを使用して、プライマリデバイス上のスタッキングモ
ジュールの左側のインターフェイスをセカンダリデバイス上のスタッキングモジュールの左
側のインターフェイスに接続します。
ステップ 2
2 本目の 8000 シリーズスタッキングケーブルを使用して、プライマリデバイス上のスタッキン
グモジュールの右側のインターフェイスをセカンダリデバイス上のスタッキングモジュール
の右側のインターフェイスに接続します。
ステップ 3
接続するセカンダリデバイスごとにステップ 1 と 2 を繰り返します。
ステップ 4
デバイスを管理する Firepower Management Center を使用して、スタック構成デバイスの関係を
構築し、共有リソースを管理します。スタック構成デバイスの管理（4-21 ページ）を参照してくだ
さい。
注意
すべてのデバイスのスタックメンバに対して管理インターフェイスが設定され、機能する必要
があります。すべてのデバイスを単一のデバイスとして登録し、これらをスタックしてください。
スタック構成のセカンダリデバイスの管理インターフェイスを削除したり、無効化したりしな
いでください。これにより、スタックメンバはそれぞれヘルスをレポートし、設定情報を交換で
きます。
Firepower 7000 および 8000 シリーズインストールガイド
4-19
第4章
Firepower 管理対象デバイスのインストール
スタック構成でのデバイスの使用
8000 シリーズスタッキングケーブルの使用
8000 シリーズスタッキングケーブルは先端が同様の鍵型になっており、デバイスにケーブルを
固定するためのラッチとラッチ解放つまみが付いています。
8000 シリーズスタッキングケーブルを使用して、デバイス設定ごとに必要なプライマリデバ
イスと各セカンダリデバイス間の物理接続を構築します。
•
Firepower 8250、8260、8270、および 8290 には接続ごとに 2 本ずつのケーブルが必要
•
Firepower または AMP 8350、8360、8370、および 8390 には接続ごとに 2 本ずつのケーブルが
必要
•
Firepower 8140 には 1 本のケーブルが必要
スタッキングケーブルの取り付けまたは取り外し時にデバイスの電源をオフにする必要はあり
ません。
注意
デバイスを配線するときには、シスコ 8000 シリーズスタッキングケーブルだけを使用してく
ださい。サポートされていないケーブルを使用すると予期せぬエラーが発生する可能性があり
ます。
デバイスを物理的に接続したら、Firepower Management Center を使用して、スタック構成デバイ
スを管理します。
8000 シリーズスタッキングケーブルを挿入するには：
ステップ 1
ケーブルを挿入するには、ケーブルの先端を解放つまみを上にして持ち、鍵型の先端部分をス
タッキングモジュールのポートに差し込んで、ラッチがカチッと鳴るまで押し込みます。
8000 シリーズスタッキングケーブルを取り外すには：
ステップ 1
ケーブルを取り外すには、ラッチを解放するための解放つまみを引っ張ってから、ケーブルの先
端を引き抜きます。
Firepower 7000 および 8000 シリーズインストールガイド
4-20
第4章
Firepower 管理対象デバイスのインストール
Firepower デバイスのラックマウント
スタック構成デバイスの管理
Firepower Management Center は、デバイス同士のスタック関係を構築し、プライマリデバイスの
インターフェイスセットを制御し、スタック内の統合リソースを管理します。スタック構成デバ
イスのローカル Web インターフェイス上でインターフェイスセットを管理することはできま
せん。
スタック構成関係が構築されると、すべてのデバイスで単一の共有検出設定を使用してトラ
フィックが個別に検査されます。プライマリデバイスで障害が発生した場合は、プライマリデ
バイスの設定に基づいてトラフィックが処理されます（つまり、スタック構成関係が存在しない
場合と同様）。セカンダリデバイスで障害が発生した場合は、プライマリデバイスがトラフィッ
クを検査して、アラートを生成し、トラフィックが破棄された故障中のセカンダリデバイスにト
ラフィックを送信し続けます。
スタック構成デバイスを構築および管理する方法については、『Firepower Management Center 設
定ガイド』の「Managing Stacked Devices」を参照してください。
Firepower デバイスのラックマウント
すべての Firepower デバイスをラックマウントできます（Firepower 7010、7020、7030、および 7050
用の 1U マウントキットを購入した場合）。アプライアンスを設置するときに、アプライアンスの
コンソールにアクセスできることを確認する必要もあります。初期設定でコンソールにアクセ
スするには、次のいずれかの方法で 1 つのアプライアンスに接続します。
キーボードとモニタ /KVM
USB キーボードと VGA モニタを 1 つの Firepower デバイスに接続できます。これは、キー
ボード、ビデオ、およびマウス（KVM）スイッチに接続される、ラックマウントアプライアン
スで便利です。
注意
アプライアンスは大容量ストレージデバイスをブートデバイスとして使用する可能性がある
ため、初期セットアップのためにアプライアンスにアクセスするときには、KVM コンソールと
一緒に USB 大容量ストレージを使用しないでください。
管理インターフェイスへのイーサネット接続
次のネットワーク設定を使用して、インターネットに接続してはならないローカルコン
ピュータを設定します。
•
IP アドレス：192.168.45.2
•
ネットマスク：255.255.255.0
•
デフォルトゲートウェイ：192.168.45.1
イーサネットケーブルを使用して、ローカルコンピュータ上のネットワークインターフェ
イスをアプライアンス上の管理インターフェイスに接続します。アプライアンスと通信する
には、HyperTerminal や Xmodem などの端末エミュレーションソフトウェアを使用します。
このソフトウェア用の設定は次のとおりです。
Firepower 7000 および 8000 シリーズインストールガイド
4-21
第4章
Firepower 管理対象デバイスのインストール
Firepower デバイスのラックマウント
•
9600 ボー
•
8 データビット
•
パリティチェックなし
•
1 ストップビット
•
フロー制御なし
管理インターフェイスは、デフォルト IPv4 アドレスで事前に設定されていることに注意し
てください。ただし、設定プロセスの一部として、管理インターフェイスを IPv6 アドレスで
再設定できます。
初期設定後に、次の追加の方法でコンソールにアクセスできます。
シリアル接続/ラップトップ
アプライアンスのシリアルポートを使用して Firepower デバイスにコンピュータを接続で
きます。適切なロールオーバーシリアルケーブル（ヌルモデムケーブルまたはシスココン
ソールケーブルとも呼ばれる）を常に接続した状態で、デフォルト VGA 出力をシリアル
ポートにリダイレクトするようリモート管理コンソールを設定してください。アプライアン
スと通信するには、前述したように端末エミュレーションソフトウェアを使用します。
シリアルポートには、アプライアンスによって RJ-45 接続と DB-9 接続のどちらかが実装さ
れています。アプライアンス別のコネクタについては、次の表を参照してください。
表 4-1
モデル別のシリアルコネクタ
Firepower アプライアンス
コネクタ
70xx ファミリ
RJ-45
71xx ファミリ
DB-9（メス）
8000 シリーズ
RJ-45
適切なロールオーバーケーブルをデバイスに接続した後、コンソール出力のリダイレクト
（4-24 ページ）に記載されているようにコンソール出力をリダイレクトします。各アプライア
ンスのシリアルポートを特定するには、ハードウェア仕様（7-1 ページ）の図を使用してくだ
さい。
Serial over LAN を使用した Lights-Out Management
LOM 機能を使用すると、SOL 接続を通して Firepower Management Center または Firepower
デバイスに対して限定的なアクションセットを実行できます。LOM 対応アプライアンスを
工場出荷時設定に復元する必要があるが、このアプライアンスに物理的にアクセスできない
場合は、LOM を使用して復元プロセスを実行できます。LOM を使用してアプライアンスに
接続した後で、物理シリアル接続を使用する場合と同様の方法で、復元ユーティリティに対
してコマンドを発行します。詳細については、Lights-Out Management の設定（8-16 ページ）を
参照してください。
注
Lights-Out Management は、デフォルト（eth0）管理インターフェイス上でのみ使用可能です。
LOM を使用してアプライアンスを工場出荷時設定に復元するには、ネットワーク設定を削
除しないでください。ネットワーク設定を削除すると、LOM 接続もドロップされます。詳細
については、出荷時の初期状態に Firepower システムアプライアンスを復元する（8-1 ペー
ジ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-22
第4章
Firepower 管理対象デバイスのインストール
Firepower デバイスのラックマウント
アプライアンスを設置するには：
ステップ 1
取り付けキットと付属の手順を使用して、アプライアンスをラックに取り付けます。
ステップ 2
キーボードとモニタまたはイーサネット接続を使用してアプライアンスに接続します。
ステップ 3
キーボードとモニタを使用してアプライアンスを設定している場合は、ここでイーサネットケー
ブルを使用して管理インターフェイスを保護されたネットワークセグメントに接続します。
コンピュータを直接アプライアンスの管理インターフェイスに接続することによって初期設定
プロセスを実行する予定の場合は、設定の完了時に、管理インターフェイスを保護されたネット
ワークに接続します。
ステップ 4
Firepower デバイスの場合は、インターフェイスに対して適切なケーブルを使用して、センシン
グインターフェイスを分析対象のネットワークセグメントに接続します。
•
銅線センシングインターフェイス：デバイスに銅線センシングインターフェイスがある場合
は、適切なケーブルを使用してデバイスがネットワークに接続されていることを確認します。
銅線インターフェイスのインライン展開のケーブル配線（3-6 ページ）を参照してください。
•
ファイバアダプタカード：ファイバアダプタカードを備えたデバイスの場合は、オプション
のマルチモードファイバケーブルの LC コネクタを、任意の順序でアダプタカード上の 2 つ
のポートに接続します。SC プラグを分析対象のネットワークセグメントに接続します。
•
ファイバタップ：オプションの光ファイバタップを備えたデバイスを展開している場合は、
オプションのマルチモードファイバケーブルの SC プラグをタップ上の「アナライザ」ポー
トに接続します。タップを分析対象のネットワークセグメントに接続します。
•
銅線タップ：オプションの銅線タップを備えたデバイスを展開している場合は、タップの左
側にある A ポートと B ポートを分析対象のネットワークセグメントに接続します。タップ
の右側にある A ポートと B ポート（「アナライザ」ポート）をアダプタカード上の 2 つの銅線
ポートに接続します。
管理対象デバイスを展開するためのオプションについては、Firepower 管理対象デバイスの展開
（3-1 ページ）を参照してください。
バイパスインターフェイスを備えたデバイスを展開している場合は、デバイスで障害が発生して
もネットワーク接続を維持できるデバイスの能力を活用できることに注意してください。設置と
遅延のテストについては、インラインバイパスインターフェイスの設置のテスト（4-26 ページ）
を参照してください。
ステップ 5
電源コードをアプライアンスに接続し、電力源に差し込みます。
アプライアンスに冗長電源がある場合は、電源コードを両方の電源に接続し、別々の電力源に差
し込みます。
ステップ 6
アプライアンスの電源をオンにします。
直接イーサネット接続を使用してアプライアンスを設定する場合は、ローカルコンピュータ上の
ネットワークインターフェイスとアプライアンス上の管理インターフェイスの両方のリンク LED
が点灯していることを確認してください。管理インターフェイスとネットワークインターフェ
イスの LED が点灯していない場合は、クロスケーブルを使用してみてください。詳細について
は、銅線インターフェイスのインライン展開のケーブル配線（3-6 ページ）を参照してください。
次の作業
•
次の章の Firepower 管理対象デバイスの設定（5-1 ページ）に進みます。
Firepower 7000 および 8000 シリーズインストールガイド
4-23
第4章
Firepower 管理対象デバイスのインストール
コンソール出力のリダイレクト
コンソール出力のリダイレクト
デフォルトで、Firepower デバイスは、初期化ステータスまたは init メッセージを VGA ポートに
出力します。アプライアンスを工場出荷時設定に復元し、そのライセンスとネットワークの設定
を削除すると、コンソール出力も復元ユーティリティによって VGA にリセットされます。物理
シリアルポートまたは SOL を使用してコンソールにアクセスする必要がある場合、初期セット
アップの完了後にコンソール出力をシリアルポートにリダイレクトすることをシスコでは推奨
しています。
シェルを使用してコンソール出力をリダイレクトするには、アプライアンスのシェルからスク
リプトを実行します。すべての Firepower デバイスが LOM をサポートしますが、7000 シリーズ
デバイスは LOM と物理シリアルアクセスを同時にサポートしないことに注意してください。た
だし、使用するアクセス方法に関係なく、コンソール設定は同じです。
シェルの使用
シェルを使用してコンソール出力をリダイレクトできます。
シェルを使用してコンソール出力をリダイレクトする方法：
アクセス：Admin
ステップ 1
キーボード /モニタまたはシリアル接続を使用し、管理者特権を持つアカウントでアプライアン
スのシェルにログインします。パスワードは、アプライアンスの Web インターフェイスのパス
ワードと同じです。
Firepower デバイスでは、expert と入力してシェルプロンプトを表示する必要があります。
アプライアンスのプロンプトが表示されます。
ステップ 2
プロンプトで、以下のコマンドのいずれかを入力して、コンソール出力を設定してください。
•
VGA を使用してアプライアンスにアクセスする場合は、次のコマンドを入力します。
sudo /usr/local/sf/bin/configure_console.sh vga
•
物理シリアルポートを使用してアプライアンスにアクセスする場合は、次のコマンドを入
力します。
sudo /usr/local/sf/bin/configure_console.sh serial
•
SOL 経由で LOM を使用してアプライアンスにアクセスする場合は、次のコマンドを入力し
ます。
sudo /usr/local/sf/bin/configure_console.sh sol
ステップ 3
変更を反映させるには、「sudo reboot」と入力してアプライアンスをリブートします。
アプライアンスがリブートします。
Firepower 7000 および 8000 シリーズインストールガイド
4-24
第4章
Firepower 管理対象デバイスのインストール
コンソール出力のリダイレクト
Web インターフェイスの使用方法
また、Web インターフェイスを介してコンソール出力をリダイレクトすることもできます。
Web インターフェイスを使用してコンソール出力をリダイレクトする方法：
アクセス：Admin
ステップ 1
[System] > [Configuration] を選択します。
ステップ 2
[Console Configuration] を選択します。
ステップ 3
リモートコンソールアクセスのオプションを選択します。
•
アプライアンスの VGA ポートを使用するには、[VGA] を選択します。これがデフォルトのオ
プションです。
•
アプライアンスのシリアルポートを使用するか、Firepower 7050 または 8000 シリーズデバ
イス上で LOM/SOL を使用する場合には、[Physical Serial Port] を選択します。
LOM 設定が表示されます。
•
7000 シリーズデバイス（Firepower 7050 以外）で LOM/SOL を使用する場合は、[Lights-Out
Management] を選択します。
これらのデバイスでは、SOL と通常のシリアル接続を同時に使用することはできません。
LOM 設定が表示されます。
ステップ 4
ステップ 5
SOL 経由で LOM を設定するには、次の該当する設定値を入力します。
•
アプライアンスの DHCP 設定（[DHCP] または [Static]）
•
LOM に使用する [IP Address]LOM IP アドレスは、アプライアンスの管理インターフェイス
の IP アドレスとは異なる必要があります。
•
アプライアンスの [Netmask]
•
アプライアンスのデフォルトゲートウェイ
[Save] をクリックします。
アプライアンスのリモートコンソール構成が保存されます。Lights-Out Management を構成した
場合は、少なくとも 1 人のユーザに対してそれを有効にする必要があります。LOM および LOM
ユーザの有効化（8-18 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-25
第4章
Firepower 管理対象デバイスのインストール
インラインバイパスインターフェイスの設置のテスト
インラインバイパスインターフェイスの設置のテスト
バイパスインターフェイスを備えた管理対象デバイスは、デバイスの電源がオフになっていて
も、デバイスが動作不能でもネットワーク接続を維持することができます。このようなデバイス
が適切に設置され、それによる遅延が定量化されていることを確認することが重要です。
注
スイッチのスパニングツリーディスカバリプロトコルは 30 秒のトラフィック遅延を引き起こ
す可能性があります。シスコでは、次の手順でスパニングツリーを無効にすることを推奨して
います。
銅線インターフェイスにのみ適用可能な次の手順では、インラインバイパスインターフェイス
の設置と ping の遅延をテストする方法について説明します。ping テストを実行するネットワー
クに接続し、管理対象デバイスのコンソールに接続する必要があります。
はじめる前に
•
Firepower デバイスのインターフェイスセットタイプがインラインバイパスモード用に設
定されていることを確認します。
インターフェイスセットをインラインバイパスモード用に設定する手順については、
『Firepower Management Center 設定ガイド』の「Configuring Inline Sets」を参照してください。
インラインバイパスインターフェイスが設置されたデバイスをテストするには：
アクセス：Admin
ステップ 1
注
ステップ 2
スイッチ上のすべてのインターフェイス、ファイアウォール、およびデバイスのセンシングイン
ターフェイスを自動ネゴシエーションに設定します。
Firepower システムデバイスではデバイスで自動 MDIX を使用するときに自動ネゴシエーショ
ンが必要です。
デバイスの電源をオフにして、すべてのネットワークケーブルを外します。
デバイスを再接続して、適切なネットワーク接続が存在することを確認します。デバイスからス
イッチおよびファイアウォールへのクロスケーブルとストレートケーブルの配線手順を確認し
ます。銅線インターフェイスのインライン展開のケーブル配線（3-6 ページ）を参照してください。
ステップ 3
デバイスの電源をオフにして、デバイス経由でファイアウォールからスイッチに ping できるこ
とを確認します。
ping が失敗した場合は、ネットワーク配線を修正します。
ステップ 4
ステップ 9 が完了するまで継続的に ping を実行します。
ステップ 5
デバイスの電源をオンにします。
ステップ 6
キーボード /モニタまたはシリアル接続を使用し、管理者特権を持つアカウントでデバイスにロ
グインします。パスワードは、デバイスの Web インターフェイスのパスワードと同じです。
デバイスのプロンプトが表示されます。
Firepower 7000 および 8000 シリーズインストールガイド
4-26
第4章
Firepower 管理対象デバイスのインストール
インラインバイパスインターフェイスの設置のテスト
ステップ 7
「system shutdown」と入力して、デバイスをシャットダウンします。
また、Web インターフェイスを使用してデバイスをシャットダウンすることもできます。
『Firepower Management Center 設定ガイド』の「Managing Devices」の章を参照してください。ほと
んどのデバイスで電源をオフにすると、カチッという音がします。この音は、リレーが切り替
わって、デバイスがハードウェアバイパスに移行した音です。
ステップ 8
30 秒間待機します。
ping トラフィックが再開したことを確認します。
ステップ 9
デバイスの電源をオンにして、ping トラフィックが継続的に通過していることを確認します。
ステップ 10
タップモードをサポートする Firepower デバイスの場合は、次の条件下で ping 遅延結果をテス
トして記録できます。
•
デバイスの電源がオフ
•
デバイスの電源がオン、ポリシーにルールが適用されていない、インライン侵入ポリシー保
護モード
•
デバイスの電源がオン、ポリシーにルールが適用されていない、インライン侵入ポリシー保
護タップモード
•
デバイスの電源がオン、ポリシーに調整済みのルールが適用されている、インライン侵入ポ
リシー保護モード
設置の遅延期間が容認できる範囲であることを確認します。過剰な遅延の問題の解決方法につ
いては、『Firepower Management Center 設定ガイド』の「Configuring Packet Latency Thresholding
and Understanding Rule Latency Thresholding」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
4-27
第4章
インラインバイパスインターフェイスの設置のテスト
Firepower 7000 および 8000 シリーズインストールガイド
4-28
Firepower 管理対象デバイスのインストール
CH A P T E R
5
Firepower 管理対象デバイスの設定
Firepower デバイスを展開して設置したら、その新しいアプライアンスが信頼できる管理ネット
ワーク上で通信できるように設定プロセスを完了する必要があります。また、管理者パスワード
を変更し、エンドユーザライセンス契約書（EULA）に同意する必要もあります。
設定プロセスを使用すると、時間の設定、デバイスの登録とライセンス認証、更新のスケジュー
リングなどのさまざまな管理レベルタスクを実行することもできます。設定と登録中に選択さ
れたオプションによって、システムで作成され、適用されるデフォルトインターフェイス、イン
ラインセット、ゾーン、およびポリシーが決定されます。
これらの初期設定とポリシーの目的は、オプションを制限することではなく、アウトオブザボッ
クスエクスペリエンスを提供し、短時間で展開を設定できるようにすることです。デバイスをど
のように初期設定したかに関係なく、その設定はいつでも Firepower Management Center を使用
して変更できます。つまり、たとえば、設定中に検出モードまたはアクセス制御ポリシーを選択
しても、特定のデバイス、ゾーン、またはポリシー設定に固定されません。
初期設定プロセスの各ステップの詳細については、次の項を参照してください。
•
注
注意
設定プロセスについて（5-2 ページ）では、設定プロセスの概要を示します。
シスコでは、設定プロセスに精通していない方は最初にこのセクションを読むことを強く推奨
しています。
•
CLI を使用した Firepower デバイス上での初期設定の実行（5-3 ページ）では、対話式のコマン
ドラインインターフェイス（CLI）を使用して、Firepower デバイス上で設定プロセスを実行
する方法について説明します。
•
初期設定ページ：Firepower デバイス（5-6 ページ）では、デバイスの Web インターフェイスを
使用して、初期設定を完了する方法について説明します。
•
次の手順（5-10 ページ）では、Firepower システム展開の設定時に実行可能な設定後タスクに
関するガイダンスを提供します。
この章の手順では、電源をオンにしたままアプライアンスを設定する方法について説明します。
ただし、何らかの理由で電源をオフにする必要がある場合は、『Firepower Management Center 設
定ガイド』の「Device Management Basics」の章にある手順を使用するか、Firepower デバイスの
CLI から system shutdown コマンドを使用するか、またはアプライアンスのシェル（エキスパー
トモードとも呼ばれます）から shutdown-h now コマンドを使用します。
Firepower 7000 および 8000 シリーズインストールガイド
5-1
第5章
Firepower 管理対象デバイスの設定
設定プロセスについて
設定プロセスについて
新しい Firepower デバイスを展開して設置したら、以前の章の説明に従って、設定プロセスを完
了する必要があります。設定を開始する前に、次の要件を満たしているかどうかを確認してくだ
さい。
モデル
設定するアプライアンスを理解しておく必要があります。詳細については、Firepower システ
ムアプライアンス（1-2 ページ）を参照してください。
アクセス
新しいアプライアンスを設定するには、キーボードとモニタ /KVM（キーボード、ビデオ、お
よびマウス）またはアプライアンスの管理インターフェイスへの直接イーサネット接続を使
用して接続する必要があります。初期設定後は、アプライアンスをシリアルアクセス用に設
定できます。詳細については、Firepower デバイスのラックマウント（4-21 ページ）を参照して
ください。
注
アプライアンスは大容量ストレージデバイスをブートデバイスとして使用する可能性がある
ため、初期セットアップのためにアプライアンスにアクセスするときには、KVM コンソールと
一緒に USB 大容量ストレージを使用しないでください。
情報
少なくとも、アプライアンスが管理ネットワーク上で通信できるようにするために必要な情
報（IPv4 または IPv6 管理 IP アドレス、ネットマスクまたはプレフィックス長、およびデフォ
ルトゲートウェイ）は入手しておきます。
アプライアンスの展開方法がわかっている場合は、設定プロセスが登録とライセンス認証を
含むさまざまな初期管理レベルタスクを実行する良い機会になります。
ヒント
複数のアプライアンスを展開している場合は、先にデバイスを設定してから、管理元の Firepower
Management Center を設定します。デバイスの初期設定プロセスを使用すれば、デバイスを
Firepower Management Center に事前登録できます。Firepower Management Center の設定プロセス
を使用すれば、事前登録した管理対象デバイスを追加してライセンス認証できます。
設定が完了したら、Firepower Management Center Web インターフェイスを使用して、展開用のほ
とんどの管理タスクと分析タスクを実行します。Firepower デバイスは、基本的な管理を実行す
るためにしか使用できないように Web インターフェイスが制限されています。詳細については、
次の手順（5-10 ページ）を参照してください。
ヒント
工場出荷時設定に復元（出荷時の初期状態に Firepower システムアプライアンスを復元する（8-1 ペー
ジ）を参照）後にアプライアンスを設定しており、アプライアンスのライセンスとネットワーク
設定を削除していない場合は、管理ネットワーク上のコンピュータを使用して、アプライアンス
の Web インターフェイスを直接閲覧しながら、設定を実行できます。初期設定ページ：Firepower
デバイス（5-6 ページ）にスキップします。
Firepower 7000 および 8000 シリーズインストールガイド
5-2
第5章
Firepower 管理対象デバイスの設定
CLI を使用した Firepower デバイス上での初期設定の実行
設定の開始
次の図に、Firepower デバイスの設定時に選択可能な設定を示します。
Firepower デバイスへのアクセスによって、その設定方法が決まります。次の選択肢があります。
•
デバイスへの接続方法に関係なく、CLI を使用してデバイスを設定できます。CLI を使用し
た Firepower デバイス上での初期設定の実行（5-3 ページ）を参照してください。
•
直接イーサネット接続経由でアプライアンスにアクセスしている場合は、ローカルコン
ピュータからアプライアンスの Web インターフェイスを閲覧できます。初期設定ページ：
Firepower デバイス（5-6 ページ）を参照してください。
再イメージ化されたデバイスを設定しており、復元プロセスの一部としてネットワーク設定を維持し
ている場合は、SSH または Lights-Out Management（LOM）接続経由で CLI にアクセスできます。また、管
理ネットワーク上のコンピュータからデバイスの Web インターフェイスを閲覧することもできます。
CLI を使用した Firepower デバイス上での初期設定の実行
アクセス：Admin
オプションで、デバイスの Web インターフェイスを使用する代わりに、CLI を使用して Firepower
デバイスを設定できます。CLI を使用して、新しく設定したデバイスに初めてログインした場合
は、EULA を読んで同意する必要があります。その後で、設定プロンプトに従って管理者パス
ワードを変更し、デバイスのネットワーク設定と検出モードを構成します。最後に、デバイスを
管理元の Firepower Management Center に登録します。
設定プロンプトに従う場合は、(y/n) のようにオプションがカッコ内に列挙されます。デフォル
ト値は、[y] のように大カッコ内に列挙されます。Enter キーを押して、選択を確定します。
CLI からはデバイスの設定 Web ページと同じ設定情報の大部分が要求されることに注意してく
ださい。これらのオプションの詳細については、初期設定ページ：Firepower デバイス（5-6 ページ）
を参照してください。
CLI を使用して、Firepower デバイス上の初期設定を完了するには：
ステップ 1
デバイスにログインします。ユーザ名として admin を、パスワードとして Admin123 を使用します。
•
モニタとキーボードが取り付けられたデバイスの場合は、コンソールからログインします。
•
イーサネットケーブルを使用して、コンピュータをデバイスの管理インターフェイスに接
続している場合は、インターフェイスのデフォルト IPv4 アドレス（192.168.45.45）に SSH を
使用して接続します。
直後に、デバイスから EULA を読むように要求されます。
Firepower 7000 および 8000 シリーズインストールガイド
5-3
第5章
Firepower 管理対象デバイスの設定
CLI を使用した Firepower デバイス上での初期設定の実行
ステップ 2
EULA を読んで同意します。
ステップ 3
admin
アカウントのパスワードを変更します。このアカウントは管理者特権が付与されているた
め、削除できません。
このパスワードを使用すると、admin ユーザはデバイスの Web インターフェイスとその CLI に
ログインできます。admin ユーザにはコンフィギュレーション CLI アクセス権が付与されます。
Web インターフェイス用のいずれかのユーザパスワードを変更すると、CLI のパスワードも変
更されます（その逆も同様です）。
シスコでは、大文字と小文字が混在する 8 文字以上の英数字で、1 つ以上の数字を含む強力なパ
スワードを使用することを推奨しています。辞書に掲載されている単語の使用は避けてくださ
い。詳細については、パスワードの変更（5-7 ページ）を参照してください。
ステップ 4
デバイスのネットワーク設定を構成します。
最初に IPv4 管理設定を構成（または無効に）してから、IPv6 に移ります。ネットワーク設定を
手動で指定する場合は、次の手順を実行する必要があります。
•
IPv4 のアドレスを、ドット付き 10 進法形式でネットマスクを含めて入力します。たとえば、
255.255.0.0 のネットマスクを指定できます。
•
IPv6 アドレスをコロン区切りの 16 進形式で入力します。IPv6 プレフィックスに対して、
ビット数を指定します。たとえば、112 のプレフィックス長を指定します。
詳細については、ネットワーク設定（5-7 ページ）を参照してください。設定が実装されたとき
に、コンソールにメッセージが表示される場合があります。
ステップ 5
注意
ステップ 6
LCD パネルを使用したデバイスのネットワーク設定の変更を許可するかどうかを選択します。
このオプションを有効にすると、セキュリティリスクが高まる可能性があります。LCD パネルを
使用してネットワーク設定を構成する場合は、物理アクセスだけが必要で、認証は必要ありませ
ん。詳細については、Firepower デバイス上の LCD パネルの使用（6-1 ページ）を参照してください。
デバイスの展開方法に基づいて検出モードを指定します。
詳細については、検出モード（5-8 ページ）を参照してください。設定が実装されたときに、コン
ソールにメッセージが表示される場合があります。完了したら、このデバイスを Firepower
Management Center に登録するよう要求され、CLI プロンプトが表示されます。
ステップ 7
CLI を使用して、デバイスを管理元の Firepower Management Center に登録するには、次の項（CLI
を使用した Management Center への Firepower デバイスの登録）に進みます。
デバイスは Firepower Management Center で管理する必要があります。今すぐデバイスを登録し
ない場合は、後でデバイスにログインしてそれを登録するまで Firepower Management Center に
追加できません。
ステップ 8
デバイスからログアウトします。
Firepower 7000 および 8000 シリーズインストールガイド
5-4
第5章
Firepower 管理対象デバイスの設定
CLI を使用した Firepower デバイス上での初期設定の実行
CLI を使用した Management Center への Firepower デバイスの登録
アクセス：コンフィギュレーション CLI
シスコでは、CLI を使用して Firepower デバイスを設定した場合は、設定スクリプトの完了時点
で、CLI を使用してデバイスを Firepower Management Center に登録することを推奨しています。
初期設定プロセス中にデバイスを Firepower Management Center に登録する方が簡単です。これ
は、すでにデバイスの CLI にログインしているためです。
デバイスを登録するには、configure manager add コマンドを使用します。デバイスを Firepower
Management Center に登録する場合は、一意の英数字登録キーが必須です。このキーは、長さが 37
文字以下で、ライセンスキーとは異なるシンプルなキーです。
ほとんどの場合、次のように、登録キーと一緒に Firepower Management Center のホスト名または
IP アドレスを指定する必要があります。
configure manager add DC.example.com my_reg_key
ただし、デバイスと Firepower Management Center が NAT デバイスによって分離されている場合
は、次のように、登録キーと一緒に一意の NAT ID を入力し、ホスト名の代わりに DONTRESOLVE を
指定します。
configure manager add DONTRESOLVE my_reg_key my_nat_id
デバイスを Firepower Management Center に登録するには：
ステップ 1
ステップ 2
CLI Configuration アクセスレベルを持つユーザとしてデバイスにログインします。
•
コンソールから初期設定を実行している場合は、必要なアクセスレベルを持つ admin ユーザ
としてすでにログインしています。
•
そうでない場合は、デバイスの管理 IP アドレスまたはホスト名に SSH を使用して接続します。
プロンプトで、次のような構文の configure manager add コマンドを使用してデバイスを
Firepower Management Center に登録します。
configure manager add {hostname | IPv4_address | IPv6_address | DONTRESOLVE} reg_key
[nat_id]
値は次のとおりです。
ステップ 3
は、Firepower Management Center
の完全修飾ホスト名と IP アドレスのどちらかを指定します。Firepower Management Center
が直接アドレス指定できない場合は、DONTRESOLVE を使用します。
•
{hostname | IPv4_address | IPv6_address | DONTRESOLVE}
•
reg_key は、デバイスを Firepower Management Center に登録するために必要な、長さが 37 文
字以下の一意の英数字登録キーです。
•
nat_id
は、Firepower Management Center とデバイス間の登録プロセス中に使用されるオプ
ションの英数字文字列です。ホスト名が DONTRESOLVE に設定されている場合に必須です。
デバイスからログアウトします。
デバイスを Firepower Management Center に追加する準備が整いました。
Firepower 7000 および 8000 シリーズインストールガイド
5-5
第5章
Firepower 管理対象デバイスの設定
初期設定ページ：Firepower デバイス
初期設定ページ：Firepower デバイス
アクセス：Admin
ほとんどの場合、デバイスの Web インターフェイスにログインし、設定ページで初期設定オプ
ションを指定することによって、設定プロセスを完了する必要があります。CLI を使用して初期
設定を実行していた場合、この手順は省略できます（CLI を使用した Firepower デバイス上での
初期設定の実行（5-3 ページ）を参照）。
管理者パスワードを変更して、まだの場合はネットワーク設定を指定し、EULA に同意します。
デバイスを Firepower Management Center に事前登録して検出モードを指定することもできま
す。登録中に選択された検出モードとその他のオプションによって、システムで作成されるデ
フォルトインターフェイス、インラインセット、およびゾーンだけでなく、管理対象デバイスに
最初に適用されるポリシーも決定されます。
Web インターフェイスを使用して Firepower デバイス上で初期設定を完了するには：
ステップ 1
ステップ 2
ブラウザで https://mgmt_ip/ にアクセスします。ここで、mgmt_ip はデバイスの管理インター
フェイスの IP アドレスです。
•
イーサネットケーブルを使用してコンピュータに接続されたデバイスの場合は、そのコン
ピュータ上のブラウザでデフォルトの管理インターフェイスの IPv4 アドレス
（https://192.168.45.45/）にアクセスします。
•
ネットワーク設定がすでに構成されているデバイスの場合は、管理ネットワーク上のコン
ピュータを使用して、デバイスの管理インターフェイスの IP アドレスを閲覧します。
ユーザ名として admin を、パスワードとして Admin123 を使用してログインします。
設定の完了方法については、次の項を参照してください。
ステップ 3
•
パスワードの変更（5-7 ページ）
•
ネットワーク設定（5-7 ページ）
•
Firepower デバイスの LCD パネルの設定（5-7 ページ）
•
リモート管理（5-8 ページ）
•
時刻の設定（5-8 ページ）
•
検出モード（5-8 ページ）
•
自動バックアップ（5-10 ページ）
•
End User License Agreement（5-10 ページ）
完了したら、[Apply] をクリックします。
デバイスが選択内容に従って設定されます。管理者ロールを持つ admin ユーザとして Web イン
ターフェイスにログインします。
ステップ 4
デバイスからログアウトします。
デバイスを Firepower Management Center に追加する準備が整いました。
注
イーサネットケーブルを使用してデバイスに直接接続している場合は、コンピュータの接続を
切断して、デバイスの管理インターフェイスを管理ネットワークに接続します。デバイスの Web
インターフェイスに常時アクセスする必要がある場合は、管理ネットワーク上のコンピュータ
のブラウザで、設定中に設定した IP アドレスまたはホスト名にアクセスします。
Firepower 7000 および 8000 シリーズインストールガイド
5-6
第5章
Firepower 管理対象デバイスの設定
初期設定ページ：Firepower デバイス
パスワードの変更
アカウントのパスワードを変更する必要があります。このアカウントは管理者特権が付与
されているため、削除できません。
admin
このパスワードを使用すると、admin ユーザはデバイスの Web インターフェイスとその CLI に
ログインできます。admin ユーザにはコンフィギュレーション CLI アクセス権が付与されます。
Web インターフェイス用のいずれかのユーザパスワードを変更すると、CLI のパスワードも変
更されます（その逆も同様です）。
シスコでは、大文字と小文字が混在する 8 文字以上の英数字で、1 つ以上の数字を含む強力なパス
ワードを使用することを推奨しています。辞書に掲載されている単語の使用は避けてください。
ネットワーク設定
デバイスのネットワーク設定によって、それが管理ネットワーク上で通信できるようになりま
す。デバイスのネットワーク設定が完了している場合、このページのこのセクションは事前設定
されていることがあります。
Firepower システムは、IPv4 と IPv6 の両方の管理環境にデュアルスタック実装を提供します。管
理ネットワークプロトコル（[IPv4] 、[IPv6] 、または [Both]）を指定する必要があります。選択した
内容に応じて、設定のページにはさまざまなフィールドが表示されます。ここで IPv4 または
IPv6 の管理 IP アドレス、ネットマスクまたはプレフィックスの長さ、およびデフォルトのゲー
トウェイを設定する必要があります。
•
IPv4 の場合は、アドレスとネットマスクをドット付き 10 進法の形式（255.255.0.0 のネット
マスクなど）で設定する必要があります。
•
IPv6 ネットワークの場合は、[Assign the IPv6 address using router autoconfiguration] チェック
ボックスをオンにして IPv6 のネットワーク設定を自動的に割り当てることができます。こ
のチェックボックスをオンにしない場合は、コロンで区切った 16 進形式のアドレスと、プレ
フィックスのビット数を設定する必要があります（プレフィックスの長さ 112 など）。
また、デバイスに対してホスト名とドメインの他に、3 つまでの DNS サーバを指定することもで
きます。
Firepower デバイスの LCD パネルの設定
LCD パネルを使用した Firepower デバイスのネットワーク設定の変更を許可するかどうかを選
択します。
注意
このオプションを有効にすると、セキュリティリスクが高まる可能性があります。LCD パネル
を使用してネットワーク設定を構成する場合は、物理アクセスだけが必要で、認証は必要ありま
せん。詳細については、Firepower デバイス上の LCD パネルの使用（6-1 ページ）を参照してくだ
さい。
Firepower 7000 および 8000 シリーズインストールガイド
5-7
第5章
Firepower 管理対象デバイスの設定
初期設定ページ：Firepower デバイス
リモート管理
シスコデバイスは Firepower Management Center を使用して管理する必要があります。この 2 段
階プロセスでは、最初にデバイス上のリモート管理を設定してから、デバイスを Firepower
Management Center に追加します。操作が簡単になるよう、設定ページでは、デバイスを管理元の
Firepower Management Center に事前登録することができます。
[Register This Device Now] チェックボックスをオンにしたまま、管理元の Firepower Management
Center の IP アドレスまたは完全修飾ドメイン名を [Management Host] として指定します。また、
後でデバイスを Firepower Management Center に登録するときに使用する英数字の [Registration
Key] を入力します。このキーは、長さが 37 文字以下で、ライセンスキーとは異なるシンプルな
キーであることに注意してください。
注
デバイスと Firepower Management Center がネットワークアドレス変換（NAT）デバイスによって
分離されている場合は、初期設定が完了するまでデバイス登録を延期します。詳細については、
『Firepower Management Center 設定ガイド』の「Managing Devices」の章を参照してください。
時刻の設定
デバイスの時刻は、手動で設定することも、Firepower Management Center を含むネットワークタ
イムプロトコル（NTP）サーバから NTP 経由で設定することもできます。シスコでは、Firepower
Management Center を管理対象デバイス用の NTP サーバとして使用することを推奨しています。
また、admin アカウント用のローカル Web インターフェイスで使用されるタイムゾーンを指定
することもできます。現在のタイムゾーンをクリックして、ポップアップウィンドウを使用し
てそれを変更します。
検出モード
デバイスに対して検出モードを選択すると、システムが最初にデバイスインターフェイスをど
のように設定するか、およびこれらのインターフェイスがインラインセットとセキュリティ
ゾーンのどちらに属するかが決定されます。
検出モードはユーザが後から変更できない設定で、設定時にユーザが選択するだけのオプショ
ンです。このオプションの選択により、システムはデバイスの初期設定を調整して行うことがで
きます。一般的には、デバイスがどのように展開されているかに基づいて検出モードを選択する
必要があります。
パッシブ
デバイスがパッシブ展開されている場合は、このモードを侵入検知システム（IDS）として選
択します。パッシブ展開では、ファイルとマルウェアの検出、セキュリティインテリジェン
スの監視、およびネットワークディスカバリ実行できます。
インライン
デバイスが侵入防御システムとしてインラインで展開されている場合、このモードを選択しま
す。通常、侵入防御システムは Fail Open 型であり、一致しないトラフィックが許可されます。
インライン展開では、ネットワーク向け AMP、ファイル制御、セキュリティインテリジェン
スフィルタリング、およびネットワーク検出も実行できます。
Firepower 7000 および 8000 シリーズインストールガイド
5-8
第5章
Firepower 管理対象デバイスの設定
初期設定ページ：Firepower デバイス
すべてのデバイスに対してインラインモードを選択できますが、次のインターフェイスを
使用したインラインセットはバイパス機能が欠如していることに留意してください。
– 8000 シリーズデバイス上の非バイパス NetMod
– 71xx ファミリデバイス上の SFP トランシーバ
注
再イメージ化はインライン展開内のデバイスを非バイパス設定にリセットします。これにより、
バイパスモードを再設定するまで、ネットワーク上のトラフィックが中断されます。詳細につい
ては、復元プロセスにおけるトラフィックフロー（8-2 ページ）を参照してください。
アクセスコントロール
デバイスがアクセス制御展開の一部としてインライン展開されている場合、つまり、アプリ
ケーション、ユーザ、および URL 制御を実行する場合に、このモードを選択します。アクセス
制御を実行するように設定されているデバイスは、通常、フェールクローズであり、一致しな
いトラフィックをブロックします。ルールで、通過させるトラフィックが明示的に指定され
ます。
デバイスの特定のハードウェアベースの機能（（モデルによって異なる）高可用性、厳密な TCP
の適用、ファストパスルール、スイッチング、ルーティング、DHCP、NAT、VPN など）を使用す
る場合は、このモードも選択する必要があります
アクセス制御展開では、ネットワーク向け AMP、ファイル制御、セキュリティインテリジェ
ンスフィルタリング、およびネットワーク検出も実行できます。
ネットワークディスカバリ
デバイスがパッシブ展開されている場合は、ホスト、アプリケーション、およびユーザディ
スカバリのみを実行するためにこのモードを選択します。
次の表に、選択された検出モードに基づいてシステムが作成するインターフェイス、インライン
セット、およびゾーンを示します。
表 5-1
検出モードに基づく初期設定
検出モード
セキュリ
ティゾーン
インライン
セット
インライン
内部と外部
デフォルトインデフォルトインラインセットに追加された
ラインセット
最初のペア：内部ゾーン向けの 1 つと外部
ゾーン向けの 1 つ
パッシブ
パッシブ
なし
パッシブゾーンに割り当てられた最初のペア
アクセスコン
トロール
なし
なし
なし
ネットワーク
ディスカバリ
パッシブ
なし
パッシブゾーンに割り当てられた最初のペア
インターフェイス
セキュリティゾーンは、実際にデバイスが Firepower Management Center に登録されるまでシス
テムで作成されない Firepower Management Center レベルの設定であることに注意してくださ
い。登録時に、適切なゾーン（内部、外部、またはパッシブ）がすでに Firepower Management Center
上に存在していた場合は、登録プロセスによって、列挙されたインターフェイスが既存のゾーン
に追加されます。ゾーンが存在しない場合は、システムがそれを作成してインターフェイスを追
加します。インターフェイス、インラインセット、およびセキュリティゾーンの詳細について
は、『Firepower Management Center 設定ガイド』を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
5-9
第5章
Firepower 管理対象デバイスの設定
次の手順
自動バックアップ
デバイスはデータのアーカイブメカニズムを備えているため、障害発生時に設定とイベント
データを復元できます。初期設定の一部として、自動バックアップを有効にすることができます。
この設定を有効にすると、デバイス上で設定の週次バックアップを作成する予定タスクが作成
されます。
End User License Agreement
EULA をよく読んで、規定に従う場合はチェックボックスをオンにします。指定した情報がすべ
て正しいことを確認して、[Apply] をクリックします。デバイスが選択内容に応じて設定され、管
理元の Firepower Management Center に追加する準備が整います。
次の手順
アプライアンスの初期設定プロセスが完了し、正常に終了したことが確認できたら、シスコで
は、展開での管理を容易にするためのさまざまな管理タスクを完了することを推奨しています。
また、デバイスの登録やライセンスの取得など、初期設定で省略したタスクも完了する必要があ
ります。以降のセクションで説明するタスクの詳細について、および展開の設定を始める方法に
ついては、『Firepower Management Center 設定ガイド』を参照してください。
ヒント
シリアルまたは LOM/SOL 接続を使用してアプライアンスのコンソールにアクセスする場合は、
コンソール出力をリダイレクトする必要があります。インラインバイパスインターフェイスの
設置のテスト（4-26 ページ）を参照してください。特に LOM を使用する場合は、その機能を有効
にするだけでなく、1 人以上の LOM ユーザも有効にする必要があります。LOM および LOM
ユーザの有効化（8-18 ページ）を参照してください。
個別のユーザアカウント
初期セットアップを完了した時点で、システム上には管理者ロールおよびアクセス権を持つ
admin ユーザしか存在しません。このロールを持つユーザには、すべてのメニューが表示され、シ
ステムへの設定アクセス（シェルまたは CLI の使用も含む）が可能です。シスコでは、セキュリ
ティ上および監査上の理由で、admin アカウント（および管理者ロール）の使用を制限することを
推奨します。
システムを使用するユーザごとに個別のアカウントを作成することで、各ユーザが行う操作お
よび変更を監査するだけでなく、各ユーザに関連付けるユーザアクセスロールを制限すること
ができます。これは、ほとんどの設定および分析タスクを実行する Firepower Management Center
で特に重要です。たとえば、アナリストはネットワークのセキュリティを分析するためにイベン
トデータへのアクセスが必要になりますが、展開の管理機能へのアクセスは必要としないかも
しれません。
システムには、さまざまな管理者とアナリスト用に設計された 10 個の事前定義されたユーザ
ロールが用意されています。また、特殊なアクセス権限を持つカスタムユーザロールを作成す
ることもできます。
Firepower 7000 および 8000 シリーズインストールガイド
5-10
第5章
Firepower 管理対象デバイスの設定
次の手順
ヘルスとシステムポリシー
デフォルトでは、すべてのアプライアンスに初期システムポリシーが適用されます。システム
ポリシーは、メール中継ホスト設定や時刻同期設定のような展開内の複数のアプライアンスで
同じになる可能性のある設定を管理します。シスコでは、Firepower Management Center を使用し
て、それ自身およびその管理対象デバイスすべてに同じシステムポリシーを適用することを推
奨しています。
デフォルトで、Firepower Management Center にはヘルスポリシーも適用されます。ヘルスポリ
シーは、ヘルスモニタリング機能の一部として、展開内のアプライアンスのパフォーマンスを継
続的に監視するシステムの条件を提供します。シスコでは、Firepower Management Center を使用
して、その管理対象デバイスすべてにヘルスポリシーを適用することを推奨しています。
ソフトウェアおよびデータベースのアップデート
展開を開始する前に、アプライアンス上のシステムソフトウェアを更新する必要があります。シ
スコでは、展開内のすべてのアプライアンスで Firepower システムの最新バージョンを実行する
ことを推奨します。展開でそれらを使用する場合、最新の侵入ルールのアップデート、VDB、およ
び GeoDB もインストールする必要があります。
注意
Firepower システムの一部を更新する前に、アップデートに添付されているリリースノートまた
はアドバイザリテキストを確認する必要があります。リリースノートでは、サポートされるプ
ラットフォーム、互換性、前提条件、警告、特定のインストールおよびアンインストールの手順な
ど重要なデータが提供されます。
Firepower 7000 および 8000 シリーズインストールガイド
5-11
第5章
次の手順
Firepower 7000 および 8000 シリーズインストールガイド
5-12
Firepower 管理対象デバイスの設定
CH A P T E R
6
Firepower デバイス上の LCD パネルの使用
システムの Web インターフェイスの代わりに、Firepower デバイス前面の LCD パネルを使用し
て、デバイス情報を表示したり、特定の設定を構成したりすることができます。
LCD パネルにはディスプレイと 4 つの多機能キーがあり、複数の異なる動作モードが用意され
ています。モードによって異なる情報が表示され、デバイスの状態に応じて異なる設定を構成で
きるようになっています。
詳細については、次の項を参照してください。
注意
注
•
LCD パネルのコンポーネントについて（6-2 ページ）では、LCD パネルのコンポーネントを識
別する方法、およびパネルのメインメニューを表示する方法を説明しています。
•
LCD 多機能キーの使用（6-3 ページ）では、LCD パネルの Multi-Function キーを使用する方法
を説明しています。
•
アイドルディスプレイモード（6-4 ページ）では、デバイスがアイドル状態のときに LCD パ
ネルに表示される各種のシステム情報について説明しています。
•
ネットワークコンフィギュレーションモード（6-4 ページ）は、LCD パネルを使用してデバ
イスの管理インターフェイスのネットワーク構成（IPv4 または IPv6 アドレス、サブネット
マスクまたはプレフィックス、およびデフォルトゲートウェイ）を設定する方法について説
明します。
LCD パネルを使用して再設定できるようにすると、セキュリティリスクが生じる可能性があり
ます。LCD パネルを使用して設定を行うために必要なのは、物理的なアクセスだけであり、認証
は必要ありません。
•
システムステータスモード（6-7 ページ）では、モニタ対象システムの情報（リンク状態の伝
搬、バイパスステータス、システムリソースなど）を表示する方法、および LCD パネルの輝
度とコントラストを変更する方法を説明しています。
•
情報モード（6-9 ページ）では、システムの識別情報（デバイスのシャーシシリアル番号、IP ア
ドレス、モデル、ソフトウェアおよびファームウェアのバージョンなど）を表示する方法を説
明しています。
•
エラーアラートモード（6-10 ページ）では、LCD パネルでのエラーまたは障害状態（バイパ
ス、ファンステータス、ハードウェアアラートなど）の通知について説明します。
LCD パネルを使用するには、デバイスの電源が投入されている必要があります。デバイスの安全
な電源投入またはシャットダウン方法については、『Firepower Management Center 設定ガイド』
の「Managing Devices」の章を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
6-1
第6章
Firepower デバイス上の LCD パネルの使用
LCD パネルのコンポーネントについて
LCD パネルのコンポーネントについて
Firepower 前面の LCD パネルには、ディスプレイと 4 つの多機能キーがあります。
•
ディスプレイには 2 行のテキスト（各行につき最大 17 文字）と、多機能キーマップが表示さ
れます。マップには、対応する多機能キーで実行できる操作が記号で示されます。
•
多機能キーを使用して、システム情報を表示したり、基本的な設定タスクを実行したりする
ことができます。表示される情報と実行可能なタスクは、LCD パネルのモードに応じて異な
ります。詳細については、LCD 多機能キーの使用（6-3 ページ）を参照してください。
以下の図に、パネルのアイドルディスプレイモード（デフォルトのモード）を示します。この
モードでは、キーマップは表示されません。
図 6-1
アイドルディスプレイモードの LCD パネル
アイドルディスプレイモードでは、パネルに CPU 使用率および使用可能な空きメモリ容量と、
シャーシシリアル番号が交互に表示されます。任意のキーを押すと [Idle Display] モードは中断
し、[Network Configuration]、[System Status]、および [Information] モードにアクセスできる LCD
パネルのメインメニューが表示されます。
以下の図に、メインメニューを示します。メインメニューには、4 つの多機能キー（左上、右上、左
下、右下）のそれぞれに対応するキーマップが表示されます。
図 6-2
LCD パネルのメインメニュー
メインメニューにアクセスするには：
ステップ 1
アイドルディスプレイモードで、任意の多機能キーを押します。
メインメニューが表示されます。
•
デバイスのネットワークコンフィギュレーションを変更する場合は、ネットワークコン
フィギュレーションモード（6-4 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
6-2
第6章
Firepower デバイス上の LCD パネルの使用
LCD 多機能キーの使用
注
•
モニタ対象システムの情報を表示する場合、または LCD パネルの輝度とコントラストを調
整する場合は、システムステータスモード（6-7 ページ）を参照してください。
•
システムの識別情報を表示する場合は、情報モード（6-9 ページ）を参照してください。
LCD パネルがアイドルディスプレイモードに切り替わるときに多機能キーを押すと、パネルに
予期しないメニューが表示されることがあります。
LCD 多機能キーの使用
LCD パネルでは、4 つの多機能キーを使用してメニューとオプションに移動できます。これらの
多機能キーを使用できるのは、ディスプレイにキーマップが表示されている場合です。マップ上
の記号の位置は、各機能およびその機能を実行するために使用するキーの位置に対応します。記
号が表示されていない場合、対応するキーで実行できる機能はありません。
ヒント
LCD パネルのモードによって、記号の機能は異なります（したがって、表示されるキーマップも
異なります）。期待する結果を得られない場合は、LCD パネルのモードを確認してください。
次の表に、多機能キーの機能の説明を示します。
表 6-1
記号
LCD パネルの多機能キー
説明
機能
上矢印
現在のメニューオプションのリストをスクロールアップします。
下矢印
現在のメニューオプションのリストをスクロールダウンします。
←
以下のいずれかの操作を実行します。
→
•
操作を実行せずに、LCD パネルメニューを表示します。
•
カーソルを左に移動します。
•
編集を再度有効にします。
以下のいずれかの操作を実行します。
•
その行に示されているメニューオプションに移動します。
•
カーソルを右に移動します。
•
以降に続くテキストにスクロールします。
X
キャンセル
操作をキャンセルします。
+
追加
選択された数値を 1 つ増やします。
-
減算
選択された数値を 1 つ減らします。
チェックマーク
操作を受け入れます。
Firepower 7000 および 8000 シリーズインストールガイド
6-3
第6章
Firepower デバイス上の LCD パネルの使用
アイドルディスプレイモード
アイドルディスプレイモード
エラーが検出されない状態で、60 秒間操作が行われないと（多機能キーが押されないと）、LCD
パネルはアイドルディスプレイモードに切り替わります。システムがエラーを検出すると、そ
のエラーが解決されるまで、パネルはエラーアラートモードになります（エラーアラートモー
ド（6-10 ページ）を参照）。ネットワーク設定の編集中や診断の実行中も、[Idle Display] モードが
無効になります。
アイドルディスプレイモードでは、パネルに CPU 使用率および使用可能な空きメモリ容量と、
シャーシシリアル番号が（5 秒間隔で）交互に表示されます。
以下に、それぞれの表示例を示します。
CPU: 50%
FREE MEM: 1024 MB
または
Serial Number:
3D99-101089108-BA0Z
アイドルディスプレイモードの状態で多機能キーを押すと、メインメニューが表示されます。
LCD パネルのコンポーネントについて（6-2 ページ）を参照してください。
注
LCD パネルがアイドルディスプレイモードに切り替わるときに多機能キーを押すと、パネルに
予期しないメニューが表示されることがあります。
ネットワークコンフィギュレーションモード
Firepower システムは、IPv4 と IPv6 の両方の管理環境にデュアルスタック実装を提供します。
[Network Configuration] モードでは、LCD パネルを使用して、Firepower デバイスの管理インター
フェイスのネットワーク設定（IP アドレス、サブネットマスクまたはプレフィックス、デフォル
トゲートウェイ）を設定できます。
LCD パネルを使用して Firepower デバイスの IP アドレスを編集する場合、管理元の Management
Center に変更が反映されることを確認してください。場合によっては、デバイス管理設定を手動
で編集する必要があります。詳細については、『』を参照してください。
デフォルトでは、LCD パネルを使用してネットワーク設定を変更する機能は無効になっていま
す。このオプションは、初期設定プロセス中、あるいはデバイスの Web インターフェイスを使用
して有効にすることができます。詳細については、LCD パネルを使用したネットワーク再設定の
許可（6-6 ページ）を参照してください。
注意
このオプションを有効にすると、セキュリティリスクが生じる可能性があります。LCD パネル
を使用してネットワーク設定を構成する場合は、物理アクセスだけが必要で、認証は必要ありま
せん。
Firepower 7000 および 8000 シリーズインストールガイド
6-4
第6章
Firepower デバイス上の LCD パネルの使用
ネットワークコンフィギュレーションモード
[Network Configuration] モードを使用してネットワーク設定を行うには、以下を行います。
ステップ 1
アイドルディスプレイモードで、多機能キーを押してメインメニューを表示します。
メインメニューが表示されます。
Network Config
System Status
ステップ 2
上の行の右矢印キーを押して、ネットワークコンフィギュレーションモードにアクセスします。
LCD パネルに以下のオプションが表示されます。
IPv4
IPv6
ステップ 3
設定する IP アドレスを選択するには、該当する右矢印キーを押します。
•
IPv4 の場合、LCD パネルには次のオプションが表示されます。
IPv4 set to DHCP.
Enable Manual?
•
IPv6 の場合、LCD パネルには次のオプションが表示されます。
IPv6 Disabled.
Enable Manual?
ステップ 4
手動でネットワークを設定するには、右矢印キーを押します。
•
•
IPv4 の場合、LCD パネルに IPv4 アドレスが表示されます。次に例を示します。
IPv4 Address:
- +
194.170.001.001
X
IPv6 の場合、LCD パネルに空白の IPv6 アドレスが表示されます。次に例を示します。
IPv6 Address:
- +
0000:0000:0000:00 X
IPv4 アドレスと IPv6 アドレスのどちらを編集しているかは、パネルの最初の行に示されます。2
番目の行に、編集中の IP アドレスが示されます。カーソルは最初の桁の下に配置され、編集中の
桁を示します。各行の右側にある 2 つの記号は、多機能キーに対応します。
IPv6 アドレスは、ディスプレイに収まりきらないことに注意してください。各桁の編集を進めて
いくとカーソルが右に移動し、IPv6 アドレスが右にスクロールしていきます。
ステップ 5
必要に応じて、カーソルが下に配置されていない桁を編集し、IP アドレスの次の桁に移動します。
•
桁を編集するには、上の行のマイナス（-）キーまたはプラス（+）キーを押して、その桁の数値
を 1 つずつ増減します。
•
IP アドレスの次の桁に移動するには、下の行にある右矢印キーを押して、カーソルを右隣の
桁に移動します。
カーソルが最初の桁に配置されているときには、LCD パネル上の IP アドレスの末尾にキャンセ
ル記号と右矢印記号が表示されます。カーソルが最初の桁以外の桁に配置されているときには、
LCD パネルに左矢印と右矢印の記号が表示されます。
Firepower 7000 および 8000 シリーズインストールガイド
6-5
第6章
Firepower デバイス上の LCD パネルの使用
ネットワークコンフィギュレーションモード
ステップ 6
IPv4 または IPv6 アドレスの編集が完了したら、右矢印キーを再度押してチェックマーク（）
キーを表示し、変更を受け入れます。
右矢印キーを押す前は、ディスプレイ上の機能記号は以下のように表示されます。
IPv4 Address:
- +
194.170.001.001
X
右矢印キーを押した後は、ディスプレイ上の機能記号は以下のように表示されます。
IPv4 Address:
X
194.170.001.001
ステップ 7
IP アドレスに対する変更を受け入れるには、チェックマークキーを押します。
IPv4 の場合、LCD パネルに以下が表示されます。
Subnet Mask:
- +
000.000.000.000
X
IPv6 の場合、LCD パネルに以下が表示されます。
ステップ 8
Prefix:
- +
000.000.000.000
X
IP アドレスを編集する場合と同じ方法で、サブネットマスクまたはプレフィックスを編集し、
チェックマークキーを押して変更を受け入れます。
LCD パネルに以下のオプションが表示されます。
ステップ 9
Default Gateway
- +
000.000.000.000
X
IP アドレスを編集する場合と同じ方法で、デフォルトゲートウェイを編集し、チェックマーク
キーを押して変更を受け入れます。
LCD パネルに以下のオプションが表示されます。
Save?
X
ステップ 10
変更を保存するには、チェックマークキーを押します。
LCD パネルを使用したネットワーク再設定の許可
セキュリティリスクが生じるため、LCD パネルを使用してネットワーク設定を変更する機能
は、デフォルトでは無効になっています。このオプションは、初期設定プロセス中に有効にする
ことができます（設定プロセスについて（5-2 ページ）を参照）。または、以下の手順に従って、デバ
イスの Web インターフェイスで有効にすることもできます。
デバイスの LCD パネルでのネットワーク再設定を許可するには：
アクセス：Admin
ステップ 1
デバイスの初期設定を完了したら、管理者特権が割り当てられたアカウントを使用して、デバイ
スの Web インターフェイスにログインします。
ステップ 2
[System] > [Local] > [Configuration] の順に選択します。
[Information] ページが表示されます。
Firepower 7000 および 8000 シリーズインストールガイド
6-6
第6章
Firepower デバイス上の LCD パネルの使用
システムステータスモード
ステップ 3
[Network] をクリックします。
[Network Settings] ページが表示されます。
ステップ 4
ヒント
[LCD Panel] の下にある [Allow reconfiguration of network configuration] チェックボックスを選択
します。セキュリティ警告が表示されたら、このオプションを有効にすることを確認します。
このページで示される他のオプションの詳細については、『Firepower Management Center 設定ガ
イド』を参照してください。
ステップ 5
[Save] をクリックします。
ネットワーク設定が変更されます。
システムステータスモード
LCD パネルのシステムステータスモードでは、モニタ対象システムの情報として、リンク状態
の伝搬、バイパスステータス、システムリソースなどが表示されます。システムステータスモー
ドでも、LCD パネルの輝度とコントラストを変更できます。
次の表に、このモードで使用できる情報およびオプションを記載します。
表 6-2
システムステータスモードのオプション
オプション
説明
Resources
CPU 使用率と使用可能な空きメモリが表示されます。この情報は、アイ
ドルディスプレイモードでも表示されます。
Link State
現在使用中のインラインセットと、そのセットのリンク状態ステータス
のリストが表示されます。最初の行はインラインセットを識別し、2 番
目の行は、そのセットのステータス（正常またはトリップ）を表示しま
す。次に例を示します。
eth2-eth3:
normal
Fail Open
使用中のバイパスインラインセットと、それらのペアのステータス（正
常またはバイパス）のリストが表示されます。
Fan Status
デバイスのファンとそのステータスのリストが表示されます。
Diagnostics
サポートから使用可能な特定のキーシーケンスを押した後にアクセス
可能になります。
注意
サポートの指示がない限り、診断メニューにアクセ
スしないでください。サポートからの特定の指示な
しで診断メニューにアクセスすると、システムが破
損することがあります。
LCD Brightness
LCD ディスプレイの輝度を調整する場合に使用します。
LCD Contrast
LCD ディスプレイのコントラストを調整する場合に使用します。
Firepower 7000 および 8000 シリーズインストールガイド
6-7
第6章
Firepower デバイス上の LCD パネルの使用
システムステータスモード
システムステータスモードに切り替えてモニタ対象システムの情報を表示するには：
ステップ 1
アイドルディスプレイモードで、多機能キーを押してメインメニューを表示します。
メインメニューが表示されます。
Network Config
System Status
ステップ 2
下の行にある右矢印（）キーを押して、システムステータスモードにアクセスします。
LCD パネルに以下のオプションが表示されます。
Resources
Link State
ステップ 3
下矢印（）キーを押して、オプションをスクロールします。表示するステータスの行で横に表示
された右矢印キーを押します。
選択したオプションに応じて、LCD パネルに表 6-2（6-7 ページ）にリストされている情報が表示
されます。LCD パネルの輝度またはコントラストを変更するには、次の手順を参照してください。
LCD パネルの輝度またはコントラストを調整するには：
ステップ 1
システムステータスモードで、LCD パネルに [LCD Brightness] および [LCD Contrast] オプショ
ンが表示されるまで、下矢印（â）キーを押してオプションをスクロールします。
LCD Brightness
LCD Contrast
ステップ 2
調整する LCD ディスプレイ機能（輝度またはコントラスト）の行で横に表示された右矢印キー
を押します。
LCD パネルに以下のオプションが表示されます。
Increase
Decrease
ステップ 3
右矢印キーを押して、選択したディスプレイ機能の値を増減します。
キーを押すごとに LCD ディスプレイが変化します。
ステップ 4
下矢印を押して、[Exit] オプションを表示します。
Decrease
Exit
ステップ 5
[Exit] 行で右矢印キーを押して設定を保存し、メインメニューに戻ります。
Firepower 7000 および 8000 シリーズインストールガイド
6-8
第6章
Firepower デバイス上の LCD パネルの使用
情報モード
情報モード
LCD パネルの情報モードでは、システムの識別情報として、デバイスのシャーシシリアル番号、
IP アドレス、モデル、およびソフトウェアとファームウェアバージョンが表示されます。サポー
トに支援を要請する場合に、この情報が必要になることがあります。
次の表に、このモードで使用できる情報を記載します。
表 6-3
情報モードのオプション
オプション
説明
IP address
デバイスの管理インターフェイスの IP アドレスが示されます。
Model
デバイスのモデルが示されます。
Serial number
デバイスのシャーシシリアル番号が示されます。
Versions
デバイスのシステムソフトウェアおよびファームウェアのバージョンが
示されます。以下の情報をスクロールするには、多機能キーを使用します。
•
製品バージョン
•
NFE のバージョン
•
マイクロエンジンのバージョン
•
Flash のバージョン
•
GerChr のバージョン
情報モードに切り替えてシステムの識別情報を表示するには：
ステップ 1
アイドルディスプレイモードで、多機能キーを押してメインメニューを表示します。
メインメニューが表示されます。
Network Config
System Status
ステップ 2
LCD パネルに [Information] モードが表示されるまで、下矢印（â）キーを押してモードをスクロー
ルします。
System Status
Information
ステップ 3
下の行にある右矢印（）キーを押して、情報モードにアクセスします。
ステップ 4
下矢印（）キーを押して、オプションをスクロールします。表示する情報の横の行にある右矢印
キーを押します。
選択したオプションに応じて、LCD パネルに表 6-3（6-9 ページ）にリストされている情報が表示
されます。
Firepower 7000 および 8000 シリーズインストールガイド
6-9
第6章
Firepower デバイス上の LCD パネルの使用
エラーアラートモード
エラーアラートモード
ハードウェアエラーや障害状態が発生した場合、[Idle Display] モードは中断されて [Error Alert]
モードになります。エラーアラートモードでは、LCD ディスプレイが点滅し、次の表にリストす
るエラーのうち、1 つ以上のエラーが表示されます。
表 6-4
LCD パネルのエラーアラート
エラー
説明
Hardware alarm
ハードウェアアラームに関するアラート
Link state propagation
ペアになっているインターフェイスのリンク状態が表示されます。
Bypass
バイパスモードで設定されたインラインセットのステータス
が表示されます。
Fan status
ファンがクリティカル条件に達した時点でアラートが出されます。
ハードウェアエラーのアラートが発生すると、LCD ディスプレイにハードウェアアラートのメ
インメニューが次のように表示されます。
HARDWARE ERROR!
Exit
多機能キーを使用して、エラーアラートのリストをスクロールしたり、[Error Alert] モードを終
了したりできます。注意すべき点として、すべてのエラー状態が解決されるまで LCD ディスプ
レイは点滅し、アラートメッセージを表示します。
LCD パネルでは、常にプラットフォームデーモンエラーメッセージが最初に表示され、それに
続いて他のハードウェアエラーメッセージのリストが表示されます。次の表には、Firepower デ
バイスのエラーメッセージに関する基本情報が示されています。ここで、X はアラートを生成す
る NFE アクセラレータカート（0 または 1）を示します。
表 6-5
ハードウェアアラームのエラーメッセージ
エラーメッセージ
監視対象条件
NFE_platformdX
プラットフォームデーモンプラットフォームデーモンが失敗したときにアラートを出し
ます。
NFE_tempX
温度ステータス
HeartBeatX
ハートビート
fragX
nfe_ipfragd（ホス
説明
アクセラレータカードの温度が許容範囲を超えたときにア
ラートを出します。
•
WARNING：80°C/176°F（7000 シリーズ）または 97°C/206°F
（8000 シリーズ）より大きい。
•
CRITICAL：90°C/194°F（7000 シリーズ）または 102°C/215°F
（8000 シリーズ）より大きい。
システムがハートビートを検出できないときにアラートを出
します。
ト
ipfragd
デーモンが失敗したときにアラートを出します。
フラグ）デーモン
rulesX
Rulesd（ホス
トのルール）
Rulesd
デーモンが失敗したときにアラートを出します。
デーモン
TCAMX
TCAM デーモン
TCAM
NFEMessDX
メッセージデーモン
メッセージデーモンが失敗したときにアラートを出します。
Firepower 7000 および 8000 シリーズインストールガイド
6-10
デーモンが失敗したときにアラートを出します。
第6章
Firepower デバイス上の LCD パネルの使用
エラーアラートモード
表 6-5
ハードウェアアラームのエラーメッセージ（続き）
エラーメッセージ
監視対象条件
説明
NFEHardware
ハードウェアステータス
1 つ以上のアクセラレータカードが通信していないときにア
ラートを出します。
NFEcount
検出されたカード
デバイスで検出されたアクセラレータカード数がプラット
フォームの予想アクセラレータカード数に一致しないときに
アラートを表示します。
7000 シリーズのみ：
GerChr_comm
通信
メディアアセンブリが存在しない場合や通信していない場合
にアラートを出します。
8000 シリーズのみ：
NMSB_comm
7000 シリーズのみ：
scmd
デーモンステータス
scmd
デーモンが失敗したときにアラートを出します。
psls
デーモンステータス
psls
デーモンが失敗したときにアラートを出します。
ftwo
デーモンステータス
ftwo
デーモンが失敗したときにアラートを出します。
gerd
8000 シリーズのみ：
scmd
7000 シリーズのみ：
gpsl
8000 シリーズのみ：
psls
7000 シリーズのみ：
gftw
8000 シリーズのみ：
ftwo
NFE_port18
NFE_port19
NFE_port20
NFE_port21
内部リンクのステータス
ネットワークモジュールのスイッチボードとアクセラレータ
カードの間のリンクが失敗したときにアラートを出します。
•
7000 シリーズ
すべてのファミリ：NFE_port18 のみ
•
8000 シリーズ
81xx ファミリ：NFE_port18 および NFE_port19 のみ 
82xx ファミリおよび 83xx ファミリ：NFE_port18、
NFE_port19、NFE_port20、および NFE_port21
LCD ディスプレイにハードウェアアラートのエラーメッセージを表示するには、次の手順に従
います。
Firepower 7000 および 8000 シリーズインストールガイド
6-11
第6章
Firepower デバイス上の LCD パネルの使用
エラーアラートモード
ハードウェアアラートのエラーメッセージを確認するには、以下のようにします。
ステップ 1
[Error Alert] モードで、[HARDWARE ERROR!] 行にある右矢印（）キーを押して、[Error Alert]
モードをトリガーしたハードウェアエラーを表示させます。
LCD パネルに、NFE platform デーモンの障害から始まるエラーアラートメッセージがリストさ
れ、それに続いてエラーメッセージのリストが表示されます。
NFEplatformdX
NFEtempX
ここで、X はアラートを生成したアクセラレータカード（0 または 1）です。
ステップ 2
エラーをさらに表示するには、エラーメッセージの行にある下矢印（）キーを押します。その他
のエラーがない場合、[Exit] 行が表示されます。
Exit
ステップ 3
[Error Alert] モードを終了するには、右矢印（）キーを押します。
アラートをトリガーしたエラーを解決する前にエラーアラートモードを終了すると、LCD パネ
ルはエラーアラートモードに戻ります。支援が必要な場合は、サポートに連絡してください。
Firepower 7000 および 8000 シリーズインストールガイド
6-12
CH A P T E R
7
ハードウェア仕様
Firepower 7000 および 8000 シリーズデバイスは、組織のニーズを満たすさまざまなプラット
フォーム上で提供されます。
ラックとキャビネットの取り付けオプション
Firepower デバイスはラックとサーバキャビネットに設置することができます。Firepower 7010、
7020、7030、および 7050 を除くアプライアンスには、ラックマウントキットが同梱されていま
す。アプライアンスをラックに設置する方法については、ラックマウントキットに付属の取扱説
明書を参照してください。
Firepower 7010、7020、7030、および 7050 にはトレイとラックマウントキットが必要です。これは別個に
入手できます。他のアプライアンス用のラックとキャビネット取り付けキットを別途購入できます。
Firepower 7000 シリーズデバイス
すべての Firepower 7000 シリーズデバイスで、アプライアンスの前面に、アプライアンスを表示
したり、有効な場合に設定したりするための LCD パネルがあります。情報については、次の各項
を参照してください。
•
Firepower 7010、7020、7030、7050（7-1 ページ）
•
Firepower 7110 および 7120（7-7 ページ）
•
Firepower 7115、7125、および AMP7150（7-14 ページ）
Firepower 7010、7020、7030、7050
Firepower 7010、7020、7030、および 7050 デバイスは 70xx ファミリとも呼ばれ、1U アプライアン
スとして提供されます。大きさはラックトレイ幅の半分で、それぞれ設定可能なバイパス機能を
持つ 8 個の銅線インターフェイスが付属しています。Firepower 70xx ファミリアプライアンスの
安全上の考慮事項については、『Regulatory Compliance and Safety Information for FirePOWER and
FireSIGHT Appliances』を参照してください。
詳細については、次の項を参照してください。
•
Firepower 70xx ファミリ前面図（7-2 ページ）
•
Firepower 70xx ファミリ背面図（7-6 ページ）
•
Firepower 70xx ファミリの物理パラメータと環境パラメータ（7-6 ページ）
Firepower 7000 および 8000 シリーズインストールガイド
7-1
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
Firepower 70xx ファミリ前面図
シャーシの前面には、LCD パネル、センシングインターフェイス、前面パネル、および管理イン
ターフェイスがあります。
図 7-1
Firepower 70xx ファミリ（シャーシ：CHRY-1U-AC、NEME-1U-AC）前面図
次の表に、アプライアンスの前面にある機能について示します。
.
表 7-1
Firepower 70xx ファミリシステムコンポーネント：前面図
機能
説明
LCD パネル
複数のモードで動作し、デバイスの設定、エラーメッセージの表示、システムステータスの
表示を行います。詳細については、Firepower デバイス上の LCD パネルの使用（6-1 ペー
ジ）を参照してください。
センシングインターフェ
イス
ネットワークに接続するセンシングインターフェイスです。詳細については、センシ
ングインターフェイス（7-4 ページ）を参照してください。
10/100/1000 イーサネット
管理インターフェイス
アウトオブバンド管理ネットワーク接続を提供します。管理インターフェイスは、メ
ンテナンスおよび設定の目的のみで使用します。サービストラフィックを伝送するこ
とは意図されていません。
前面パネル
システムの動作状態、および電源ボタンなどのさまざまなコントロールを示す LED を
備えています。詳細については、表 7-11 Firepower 7110 および 7120 前面パネルのコン
ポーネント（7-9 ページ）を参照してください。
図 7-2
Firepower 70xx ファミリの前面パネル
表 7-2
前面パネルのコンポーネント
A
リセットボタン
D
システム ID ボタン
B
システムステータス LED
E
電源ボタンおよび LED
C
ハードドライブアクティビティ LED
Firepower 7000 および 8000 シリーズインストールガイド
7-2
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
シャーシの前面パネルは、システムの動作状態を示す LED を備えています。次の表に、前面パネ
ルの LED の説明を示します。
表 7-3
Firepower 70xx ファミリ前面パネル LED
LED
説明
リセットボタン
電源を外さずにアプライアンスをリブートするために使用します。
システムステータス
システムステータスを示します。
•
緑のライトはシステムに電力が供給され正常に動作しているか、または電力が供給
されていないが AC 電源に接続されていることを示します。
•
オレンジのライトはシステム障害を示します。
詳細については、「表 7-4（7-3 ページ）」を参照してください。
ハードドライブアク
ティビティ
ハードドライブステータスを示します。
•
緑のライトの点滅は固定ディスクドライブがアクティブであることを示します。
•
ライトが消灯している場合、ドライブアクティビティがないか、システムの電源が
オフになっています。
システム ID
押されたとき、ID ボタンには青いライトが表示されます。青いライトはシャーシの背面
で確認できます。
電源ボタンおよび LED
アプライアンスに電力が供給されているかどうかを示します。
•
緑のライトはアプライアンスに電源が供給されていて、システムがオンであること
を示します。
•
消灯は、システムがシャットダウンされたか、電力が供給されていないことを示し
ます。
次の表に、システムステータス LED が点灯する条件の説明を示します。
表 7-4
Firepower 70xx ファミリシステムステータス
条件
説明
Critical
次のイベントに関連付けられた重大なまたは回復不可能なしきい値超過
•
温度、電圧、またはファンの重大なしきい値を超過した
•
電源サブシステムの障害
•
プロセッサが正しく取り付けられていない、またはプロセッサが非互換のため、シス
テムの電源をオンにできない
•
重大なイベントロギングエラー。システムメモリの修正不能な ECC エラーや、PCI
SERR および PERR など致命的/修正不可能なバスエラーなど
Firepower 7000 および 8000 シリーズインストールガイド
7-3
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
表 7-4
Firepower 70xx ファミリシステムステータス（続き）
条件
説明
Non-critical
重大でない状態は、次のイベントに関連付けられたしきい値超過です。
•
温度、電圧、またはファンの重大でないしきい値超過
•
システム BIOS からの Set Fault Indication コマンド。BIOS はこのコマンドを使用して
システムメモリや CPU の設定変更などの追加の、重大でないステータスを示す場合
があります。
Degraded 状態は次のイベントに関連付けられています。
Degraded
•
1 つ以上のプロセッサが Fault Resilient Boot（FRB）または BIOS により無効になって
いる
•
BIOS により、システムメモリの一部がディセーブルにされたか、またはマップアウ
トした
•
電源の 1 つのケーブルが外れているか、または機能していない
センシングインターフェイス
Firepower 70xx ファミリアプライアンスには、バイパス機能を個別に設定可能な 8 つの銅線イン
ターフェイスが付属しています。
図 7-3
8 ポート 1000BASE-T 銅線インターフェイス
銅線インターフェイス上のアクティビティ LED とリンク LED については、次の表を参照してく
ださい。
表 7-5
Firepower 70xx ファミリ銅線リンク / アクティビティ LED
ステータス
説明
両方の LED がオフ
インターフェイスにリンクがない。
リンクがオレンジ
インターフェイスのトラフィック速度が 10 Mb または 100 Mb。
リンクが緑
インターフェイスのトラフィック速度が 1 Gb。
アクティビティが緑
に点滅
インターフェイスにリンクがあり、トラフィックが通過中。
Firepower 7000 および 8000 シリーズインストールガイド
7-4
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、銅線インターフェイスのバイパス LED の説明を示します。
表 7-6
Firepower 70xx ファミリ銅線バイパス LED
Status（ステータス）
説明
消灯
インターフェイスペアがバイパスモードでないか、電力が供給されて
いません。
緑色で点灯
インターフェイスペアがバイパスモードになる準備が整っています。
黄色で点灯
インターフェイスペアは意図的にバイパスモードに切り替えられた
かグレースフルにバイパスモードに移行しており、トラフィックを検
査していません。
オレンジに点滅
インターフェイスペアは予期せずにバイパスモードに移行していま
す。すなわちオープンに失敗しました。
10/100/1000 管理インターフェイスはアプライアンスの前面に配置されています。次の表に、管
理インターフェイスに関連付けられた LED の説明を示します。
表 7-7
Firepower 70xx ファミリ管理インターフェイス LED
LED
説明
左（リンク）
7010/20/30
リンクが確立しているかどうかを示します。ライトが点
灯している場合、リンクは動作中です。ライトが消灯して
いる場合は、リンクが存在しません。
7050
10 Mbps リンクの場合、リンクランプは点灯しません。リ
ンクステータスは右（アクティビティ）LED と共通です。
7010/20/30
ポート上のアクティビティを示します。ライトが点滅し
ている場合、アクティビティがあります。ライトが消灯し
ている場合は、アクティビティが存在しません。
7050
10M bps リンクにおいて、ライトが点灯している場合は、
リンクおよびアクティビティが存在します。ライトが消
灯している場合は、リンクおよびアクティビティが存在
しません。
右（アクティビティ）
Firepower 7000 および 8000 シリーズインストールガイド
7-5
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
Firepower 70xx ファミリ背面図
シャーシの背面には、システム ID LED、接続ポート、アーススタッド、および電源コネクタがあ
ります。
図 7-4
Firepower 70xx ファミリ（シャーシ：CHRY-1U-AC）の背面図
次の表に、アプライアンスの背面にある機能の説明を示します。
表 7-8
Firepower 70xx ファミリシステムコンポーネント：背面図
機能
説明
システム ID LED
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定できるよう
にします。青い LED は ID ボタンが押されたことを示します。
USB 2.0 ポート
VGA ポート
シリアルポート
デバイスにモニタおよびキーボードを接続して、ワークステーションとアプライアンス
の間の直接接続を確立できます。
アーススタッド
共通ボンディング網にアプライアンスを接続するために使用します。詳細については、
Firepower デバイスの所要電力（A-1 ページ）を参照してください。
12 V 電源コネクタ
AC 電源からデバイスへの電源接続を提供します。
Firepower 70xx ファミリの物理パラメータと環境パラメータ
次の表に、アプライアンスの物理的な属性と環境パラメータを示します。
表 7-9
Firepower 70xx ファミリの物理パラメータと環境パラメータ
パラメータ
説明
フォームファクタ
1 U、ラックハーフ幅
寸法（奥行 x 幅 x 高さ）
単一シャーシ：31.74 cm x 20.04 cm x 4.21 cm（12.49 インチ x 7.89 インチ x 1.66 インチ）
2 シャーシトレイ：63.62 cm x 43.8 cm x 4.44 cm（25.05 インチ x 17.24 インチ x 1.73 インチ）
シャーシの重量 
最大設置
シャーシ：7 ポンド（3.17 kg）
トレイ内のシングルシャーシと電源：17.7 ポンド（8.03 kg）
シングルトレイ内のダブルシャーシと電源：24.7 ポンド（11.2 kg）
銅線 1000BASE-T
ペア構成内のギガビット銅線イーサネットバイパス対応インターフェイス
ケーブルおよび距離：Cat5E、50 m
Firepower 7000 および 8000 シリーズインストールガイド
7-6
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
表 7-9
Firepower 70xx ファミリの物理パラメータと環境パラメータ（続き）
パラメータ
説明
電源モジュール
200W AC 電源
電圧：公称 100 VAC ～ 240 VAC（最大 90 VAC ～ 264 VAC）
電流：全範囲で最大 2 A
周波数範囲：公称 50/60 Hz（最大 47 Hz ～ 63 Hz）
動作温度
非動作時温度
湿度（動作時）
7010/20/30
32 ～ 104 °F（0 ～ 40 °C）
7050
23 ～ 104 °F（-5 ～ 40 °C）
7010/20/30
-4 °F ～ 158 °F（-20 °C ～ 70 °C）
7050
14 °F ～ 140 °F（-10 °C ～ 60 °C）
7010/20/30
5 ～ 95%（結露しないこと）
これらの制限を超えた動作は保証されず、推奨されません。
7050
5 ～ 85%（結露しないこと）
これらの制限を超えた動作は保証されず、推奨されません。
非動作時湿度
7010/20/30
0 ～ 95%（結露しないこと）
7050
0 ～ 85%（結露しないこと）
ユニットは結露のない最大相対湿度未満で保管してください。ユニットを稼働させる前
に、48 時間以上、最大動作湿度未満で慣らし運転してください。
高度
0（海抜）～ 5905 フィート（0 ～ 1800 m）
冷却要件
682 BTU/時
必要な動作温度範囲内にアプライアンスを維持するための十分な冷却機能を提供しま
す。これに失敗すると、アプライアンスに誤動作や損傷が発生することがあります。
音響ノイズ
53 dBA（アイドル時）62 dBA（プロセッサ最大負荷時）
耐衝撃性
5G の半正弦波衝撃でエラーなし（作用時間 11 ms）
エアーフロー
20 フィート 3（0.57 m3）/分
エアーフローはアプライアンスの前面および側面から入って背面に抜けます。
Firepower 7110 および 7120
71xx ファミリに含まれる Firepower 7110 デバイスと 7120 デバイスは、1U アプライアンスであ
り、バイパス機能を個別に設定可能な 8 つの銅線またはファイバインターフェイスが付属して
います。71xx ファミリアプライアンスの安全上の考慮事項については、『Regulatory Compliance
and Safety Information for FirePOWER and FireSIGHT Appliances』を参照してください。
詳細については、次の項を参照してください。
•
Firepower 7110 シャーシと 7120 シャーシの全面図（7-8 ページ）
•
Firepower 7110 シャーシと 7120 シャーシの背面図（7-12 ページ）
•
Firepower 7110 および 7120 の物理特性および環境パラメータ（7-13 ページ）
Firepower 7000 および 8000 シリーズインストールガイド
7-7
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
Firepower 7110 シャーシと 7120 シャーシの全面図
シャーシの前面には、LCD パネル、USB ポート、および銅線センシングインターフェイスとファ
イバセンシングインターフェイスのどちらかがあります。
図 7-5
銅線インターフェイス付きの Firepower 7110 と 7120（シャーシ：GERY-1U-8-C-AC）
図 7-6
ファイバインターフェイス付きの Firepower 7110 と 7120（シャーシ：GERY-1U-8-FM-AC）
次の表に、アプライアンスの前面にある機能について示します。
表 7-10
Firepower 7110 および 7120 システムコンポーネント：前面図
機能
説明
LCD パネル
複数のモードで動作し、デバイスの設定、エラーメッセージの表示、シ
ステムステータスの表示を行います。詳細については、Firepower デバ
イス上の LCD パネルの使用（6-1 ページ）を参照してください。
前面パネルの USB 2.0 デバイスにキーボードを接続するために使用します。
ポート
前面パネル
システムの動作状態、および電源ボタンなどのさまざまなコントロー
ルを示す LED を備えています。詳細については、図 7-7 Firepower 7110
および 7120 前面パネル（7-8 ページ）を参照してください。
センシングインター
フェイス
ネットワークに接続するセンシングインターフェイスです。詳細につ
いては、Firepower 7110 および 7120 センシングインターフェイス
（7-10 ページ）を参照してください。
図 7-7
Firepower 7110 および 7120 前面パネル
Firepower 7000 および 8000 シリーズインストールガイド
7-8
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
表 7-11
Firepower 7110 および 7120 前面パネルのコンポーネント
A
USB 2.0 コネクタ
E
NIC 1 アクティビティ LED
B
リセットボタン
F
ハードドライブアクティビティ
LED
C
NIC 2 アクティビティ LED
G
ID ボタン
D
システムステータス LED
H
電源ボタンおよび LED
シャーシの前面パネルは、システムの動作状態を示す LED を備えています。次の表に、前面パネ
ルの LED の説明を示します。
表 7-12
Firepower 7110 および 7120 前面パネル LED
LED
説明
NIC アクティビティ
（1 および 2）
ネットワークアクティビティがあるかどうかを示します。
システムステータス
•
緑のライトの点滅はネットワークアクティビティがあることを示します。
•
ライトが消灯している場合、ネットワークアクティビティはありません。
システムステータスを示します。
•
ライトが消灯している場合、システムが正常に動作しているか、電源がオフです。
•
赤のライトは、システムエラーを示します。
詳細については、表 7-13 Firepower 7110 および 7120 システムステータス（7-10 ページ）
を参照してください。
リセットボタン
電源を外さずにアプライアンスをリブートするために使用します。
ハードドライブアク
ティビティ
ハードドライブステータスを示します。
システム ID
電源ボタンおよび LED
•
緑のライトの点滅は固定ディスクドライブがアクティブであることを示します。
•
オレンジのライトは固定ディスクドライブに障害があることを示します。
•
ライトが消灯している場合、ドライブアクティビティがないか、システムの電源が
オフになっています。
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定できるよ
うにします。
•
青いライトは ID ボタンが押されたことを示します。青いライトはアプライアンスの
背面にあります。
•
ライトが消灯している場合、ID ボタンは押されていません。
アプライアンスに電力が供給されているかどうかを示します。
•
緑のライトはアプライアンスに電源が供給されていて、システムがオンであること
を示します。
•
緑のライトの点滅は、アプライアンスに電源が供給されていて、シャットダウンさ
れていることを示します。
•
ライトが消灯している場合は、システムに電力が供給されていません。
Firepower 7000 および 8000 シリーズインストールガイド
7-9
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、システムステータス LED が点灯する条件の説明を示します。
表 7-13
Firepower 7110 および 7120 システムステータス
条件
説明
Critical
次のイベントに関連付けられた重大なまたは回復不可能なしきい値超過
•
温度、電圧、またはファンの重大なしきい値を超過した
•
電源サブシステムの障害
•
プロセッサが正しく取り付けられていない、またはプロセッサが非互換のため、シス
テムの電源をオンにできない
•
重大なイベントロギングエラー。システムメモリの修正不能な ECC エラーや、PCI
SERR および PERR など致命的/修正不可能なバスエラーなど
重大でない状態は、次のイベントに関連付けられたしきい値超過です。
Non-critical
•
温度、電圧、またはファンの重大でないしきい値超過
•
シャーシのトレスパス
•
システム BIOS からの Set Fault Indication コマンド。BIOS はこのコマンドを使用して
システムメモリや CPU の設定変更などの追加の、重大でないステータスを示す場合
があります。
Degraded 状態は次のイベントに関連付けられています。
Degraded
•
1 つ以上のプロセッサが Fault Resilient Boot（FRB）または BIOS により無効になっている
•
BIOS により、システムメモリの一部がディセーブルにされたか、またはマップアウ
トした
•
電源の 1 つのケーブルが外れているか、または機能していない
ヒント Degraded 状態の表示を確認するには、まず電源の接続を確認します。デバイスの
電源をオフにし、両方の電源コードを外し、電源コードを再接続し、デバイスを再
起動します。
注意
電源を安全にオフにするには、『Firepower Management Center 設定
ガイド』の「Managing Devices」の章に記載された手順または CLI か
ら system shutdown コマンドを使用します。
Firepower 7110 および 7120 センシングインターフェイス
Firepower 7110 デバイスと 7120 デバイスには、バイパス機能を個別に設定可能な 8 ポート銅線
インターフェイスまたは 8 ポートファイバインターフェイスが付属しています。
図 7-8
8 ポート 1000BASE-T 銅線インターフェイス
Firepower 7000 および 8000 シリーズインストールガイド
7-10
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、銅線インターフェイスのアクティビティ LED とリンク LED の説明を示します。
表 7-14
Firepower 7110 および 7120 銅線リンク / アクティビティ LED
ステータス
説明
両方の LED がオフ
インターフェイスにリンクがない。
リンクがオレンジ
インターフェイスのトラフィック速度が 10 Mb または 100 Mb。
リンクが緑
インターフェイスのトラフィック速度が 1 Gb。
アクティビティが緑
に点滅
インターフェイスにリンクがあり、トラフィックが通過中。
次の表に、銅線インターフェイスのバイパス LED の説明を示します。
表 7-15
Firepower 7110 および 7120 銅線バイパス LED
ステータス
説明
消灯
インターフェイスペアは、バイパスモードでないか、電力が供給され
ていない。
緑色で点灯
インターフェイスペアは、バイパスモード開始可能。
黄色で点灯
インターフェイスペアはバイパスモードになり、トラフィックを検査
していない。
オレンジに点滅
インターフェイスペアはバイパスモード、すなわちフェールオープ
ンされている。
図 7-9
8 ポート 1000BASE-SX ファイバ設定可能バイパスインターフェイス
次の表に、光ファイバインターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-16
Firepower 7110 および 7120 ファイバリンク / アクティビティ LED
ステータス
説明
上（アクティビティ）
インラインインターフェイスの場合：インターフェイスにアクティビ
ティがある場合、ライトが点灯します。消灯時は、アクティビティがあ
りません。
パッシブインターフェイスの場合：ライトが機能しません。
下（リンク）
インラインインターフェイスまたはパッシブインターフェイスの場
合：インターフェイスにリンクがある場合、ライトが点灯します。消灯
時は、リンクがありません。
Firepower 7000 および 8000 シリーズインストールガイド
7-11
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、光ファイバインターフェイスのアクティビティ LED とリンク LED の説明を示します。
表 7-17
Firepower 7110 および 7120 ファイババイパス LED
ステータス
説明
消灯
インターフェイスペアは、バイパスモードでないか、電力が供給され
ていない。
緑色で点灯
インターフェイスペアは、バイパスモード開始可能。
黄色で点灯
インターフェイスペアはバイパスモードになり、トラフィックを検査
していない。
オレンジに点滅
インターフェイスペアはバイパスモード、すなわちフェールオープ
ンされている。
Firepower 7110 シャーシと 7120 シャーシの背面図
シャーシの背面には、管理インターフェイス、接続ポート、接地スタッド、および電源があります。
図 7-10
Firepower 7110 と 7120（GERY-1U-8-C-AC または GERY-1U-8-FM-AC）の背面図
次の表に、アプライアンスの背面にある機能の説明を示します。
表 7-18
Firepower 7110 および 7120 システムコンポーネント：背面図
機能
説明
VGA ポート
USB ポート
デバイスにモニタ、キーボード、およびマウスを接続して、ワークステーション/
アプライアンス間の直接接続を確立できるようにします。
10/100/1000 イーサネット管理イ
ンターフェイス
アウトオブバンド管理ネットワーク接続を提供します。管理インターフェイス
は、メンテナンスおよび設定目的のみで使用します。サービストラフィックを
伝送することは意図されていません。
システム ID LED
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定
できるようにします。青いライトは ID ボタンが押されたことを示します。
接地スタッド
共通ボンディング網にアプライアンスを接続するために使用します。詳細につ
いては、Firepower デバイスの所要電力（A-1 ページ）を参照してください。
冗長電源
AC 電源からの電力をデバイスに供給します。シャーシの背面から見て、電源 #1
は左側にあり、電源 #2 は右にあります。
電源装置の LED
電源の状態を示します。表 7-20 Firepower 7110 および 7120 電源 LED（7-13 ペー
ジ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
7-12
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
10/100/1000 管理インターフェイスは、アプライアンスの背面にあります。次の表に、管理イン
ターフェイスに関連付けられた LED の説明を示します。
表 7-19
Firepower 7110 および 7120 管理インターフェイス LED
LED
説明
左（アクティビティ）
ポート上のアクティビティを示します。
右（リンク）
•
点滅するライトはアクティビティを示します。
•
消灯は、アクティビティが存在しないことを示します。
リンクが確立しているかどうかを示します。
•
ライトはリンクが確立していることを示します。
•
消灯は、リンクが存在しないことを示します。
電源モジュールは、アプライアンスの背面にあります。次の表に、電源に関連付けられた LED の
説明を示します。
表 7-20
Firepower 7110 および 7120 電源 LED
LED
説明
消灯
電源コードが接続されていません。
赤
このモジュールに電力が供給されていません。
または
モジュール障害、飛んだヒューズ、ファン障害などの電源重大イベン
ト。電源はシャットダウンされます。
赤色に点滅
高温やファン速度低下などの電源警告イベント。電源は動作を継続し
ます。
緑色に点滅
AC 入力が存在します。待機電圧。電源がオフになっています。
グリーン
電源が接続され、オンになっています。
Firepower 7110 および 7120 の物理特性および環境パラメータ
次の表に、アプライアンスの物理的な属性と環境パラメータを示します。
表 7-21
Firepower 7110 および 7120 の物理特性および環境パラメータ
パラメータ
説明
フォームファクタ
1U
寸法（奥行 x 幅 x 高さ）
54.9 cm x 48.3 cm x 4.4 cm（21.6 インチ x 19.0 インチ x 1.73 インチ）
重量
最大設置
12.5 kg（27.5 ポンド）
銅線 1000BASE-T
ペア構成内のギガビット銅線イーサネットバイパス対応インターフェイス
ケーブルおよび距離：Cat5E、50 m
ファイバ 1000BASE-SX
LC コネクタ付きファイババイパス対応インターフェイス
ケーブルおよび距離：SX はマルチモードファイバ（850 nm）、550 m（標準）
Firepower 7000 および 8000 シリーズインストールガイド
7-13
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
表 7-21
Firepower 7110 および 7120 の物理特性および環境パラメータ（続き）
パラメータ
説明
電源モジュール
450 W デュアル冗長（1+1）AC 電源
電圧：公称 100 VAC ～ 240 VAC（最大 85 VAC ～ 264 VAC）
電流：電源ごとに、90 VAC ～ 132 VAC で最大 3 A
電源ごとに、187 VAC ～ 264 VAC で最大 1.5 A
周波数範囲：47 Hz ～ 63 Hz
動作温度
41 ～ 104 °F（5 ～ 40 °C）
非動作時温度
-29 ～ 158 °F（-20 ～ 70 °C）
湿度（動作時）
5 ～ 85%（結露しないこと）
非動作時湿度
5 ～ 90%（77 ～ 95 °F（25 ～ 35 °C）の温度で 82 °F（28 °C）の最大湿球を使用して結露しな
いこと）
ユニットは 95% の非結露相対湿度未満で保管してください。装置を稼働させる前に、少
なくとも 48 時間、最大動作湿度未満で慣らし運転してください。
高度
海抜 0 ～ 5905 フィート（0 ～ 1800 m）
冷却要件
900 BTU/時
必要な動作温度範囲内にアプライアンスを維持するための十分な冷却機能を提供しま
す。これに失敗すると、アプライアンスに誤動作や損傷が発生することがあります。
音響ノイズ
プロセッサ最大負荷、ファン正常動作時 64 dBA
GR-63-CORE 4.6 Acoustic Noise に準拠
耐衝撃性
Bellecore GR-63-CORE 標準に準拠
エアーフロー
140 フィート 3（3.9 m3）/分
側面に換気口がないため、エアーフローはアプライアンスの前面から入って背面に抜け
ます。
Firepower 7115、7125、および AMP7150
71xx ファミリに含まれる Firepower 7115、7125、および AMP7150 デバイスには、バイパス機能を
設定可能な 4 ポート銅線インターフェイスと、バイパス機能のない 8 つのホットスワップ可能な
Small Form-Factor Pluggable（SFP）ポートが付属しています。互換性を保証するため、シスコ SFP
トランシーバだけを使用してください。
注
Firepower AMP7150 には Firepower 7115 および 7125 と共通のフォームファクタが多数あります
が、Firepower システムのネットワーク向け AMP 機能を利用するために最適化されています。
詳細については、次の項を参照してください。
•
Firepower 7115、7125、および AMP7150 シャーシの前面図（7-15 ページ）
•
Firepower 7115、7125、および AMP7150 シャーシの背面図（7-20 ページ）
•
Firepower 7115、7125、および AMP7150 の物理パラメータと環境パラメータ（7-21 ページ）
Firepower 7000 および 8000 シリーズインストールガイド
7-14
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
Firepower 7115、7125、および AMP7150 シャーシの前面図
シャーシの前面には、LCD パネル、USB ポート、前面パネル、および銅線センシングインター
フェイス、および SFP ソケットがあります。
図 7-11
Firepower 7115、7125、および AMP7150（シャーシ：GERY-1U-8-4C8S-AC）の前面図
次の表に、アプライアンスの前面にある機能について示します。
表 7-22
Firepower 7115、7125、および AMP7150 システムコンポーネント：前面図
機能
説明
LCD パネル
複数のモードで動作し、デバイスの設定、エラーメッセージの表示、シ
ステムステータスの表示を行います。詳細については、Firepower デバ
イス上の LCD パネルの使用（6-1 ページ）を参照してください。
前面パネルの USB 2.0 デバイスにキーボードを接続するために使用します。
ポート
前面パネル
システムの動作状態、および電源ボタンなどのさまざまなコントロー
ルを示す LED を備えています。詳細については、図 7-12 Firepower
7115、7125、および AMP7150 前面パネル（7-15 ページ）を参照してくだ
さい。
センシングインター
フェイス
ネットワークに接続するセンシングインターフェイスです。詳細につ
いては、Firepower 7115、7125、および AMP7150 センシングインター
フェイス（7-17 ページ）を参照してください。
図 7-12
Firepower 7115、7125、および AMP7150 前面パネル
表 7-23
Firepower 7115、7125、および AMP7150 前面パネルコンポーネント
A
USB 2.0 コネクタ
E
NIC 1 アクティビティ LED
B
リセットボタン
F
ハードドライブアクティビティ
LED
C
NIC 2 アクティビティ LED
G
ID ボタン
D
システムステータス LED
H
電源ボタンおよび LED
Firepower 7000 および 8000 シリーズインストールガイド
7-15
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
シャーシの前面パネルは、システムの動作状態を示す LED を備えています。次の表に、前面パネ
ルの LED の説明を示します。
表 7-24
Firepower 7115、7125、および AMP7150 前面パネル LED
説明
LED
NIC アクティビティ（1 おネットワークアクティビティがあるかどうかを示します。
よび 2）
• 緑色のライトは、ネットワークアクティビティが存在することを示します。
•
システムステータス
ライトが消灯している場合、ネットワークアクティビティはありません。
システムステータスを示します。
•
ライトが消灯している場合、システムが正常に動作しているか、電源がオフです。
•
赤のライトは、システムエラーを示します。
詳細については、表 7-25 Firepower 7115、7125、および AMP7150 システムステータス
（7-17 ページ）を参照してください。
リセットボタン
電源を外さずにアプライアンスをリブートするために使用します。
ハードドライブアク
ティビティ
ハードドライブステータスを示します。
システム ID
•
点滅する緑色のライトは、固定ディスクドライブがアクティブであることを示します。
•
オレンジのライトは固定ディスクドライブに障害があることを示します。
•
ライトが消灯している場合、ドライブアクティビティがないか、システムの電源が
オフになっています。
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定できるよ
うにします。
電源ボタンおよび LED
•
青色のライトは ID ボタンが押されて、アプライアンスの背面で青色のライトが点灯
していることを示します。
•
ライトが消灯している場合、ID ボタンは押されていません。
アプライアンスに電力が供給されているかどうかを示します。
•
緑のライトはアプライアンスに電源が供給されていて、システムがオンであること
を示します。
•
緑のライトの点滅は、アプライアンスに電源が供給されていて、シャットダウンさ
れていることを示します。
•
消灯は、システムに電力が供給されていないことを示します。
次の表に、システムステータス LED が点灯する条件の説明を示します。
Firepower 7000 および 8000 シリーズインストールガイド
7-16
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
表 7-25
Firepower 7115、7125、および AMP7150 システムステータス
条件
説明
Critical
次のイベントに関連付けられた重大なまたは回復不可能なしきい値超過
•
温度、電圧、またはファンの重大なしきい値を超過した
•
電源サブシステムの障害
•
プロセッサが正しく取り付けられていない、またはプロセッサが非互換のため、シス
テムの電源をオンにできない
•
重大なイベントロギングエラー。システムメモリの修正不能な ECC エラーや、PCI
SERR および PERR など致命的/修正不可能なバスエラーなど
重大でない状態は、次のイベントに関連付けられたしきい値超過です。
Non-critical
•
温度、電圧、またはファンの重大でないしきい値超過
•
シャーシ侵害
•
システム BIOS からの Set Fault Indication コマンド。BIOS はこのコマンドを使用して
システムメモリや CPU の設定変更などの追加の、重大でないステータスを示す場合
があります。
Degraded 状態は次のイベントに関連付けられています。
Degraded
•
1 つ以上のプロセッサが Fault Resilient Boot（FRB）または BIOS により無効になって
いる
•
BIOS により、システムメモリの一部がディセーブルにされたか、またはマップアウ
トした
•
電源の 1 つのケーブルが外れているか、または機能していない
ヒント Degraded 状態の表示を確認するには、まず電源の接続を確認します。デバイスの
電源をオフにし、両方の電源コードを外し、電源コードを再接続し、デバイスを再
起動します。
注意
電源を安全にオフにするには、『Firepower Management Center 設定
ガイド』の「Managing Devices」の章に記載された手順または CLI か
ら system shutdown コマンドを使用します。
Firepower 7115、7125、および AMP7150 センシングインターフェイス
Firepower 7115、7125、および AMP7150 デバイスには、バイパス機能を設定可能な 4 ポート銅線
インターフェイスとバイパス機能のない 8 つのホットスワップ可能な Small Form-Factor
Pluggable（SFP）ポートが付属しています。
図 7-13
4 つの 1000BASE-T 銅線インターフェイス
Firepower 7000 および 8000 シリーズインストールガイド
7-17
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、銅線インターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-26
Firepower 7115、7125、および AMP7150 銅線リンク / アクティビティ LED
ステータス
説明
両方の LED がオフ
インターフェイスにリンクがない。
リンクがオレンジ
インターフェイスのトラフィック速度が 10 Mb または 100 Mb。
リンクが緑
インターフェイスのトラフィック速度が 1 Gb。
アクティビティが緑
に点滅
インターフェイスにリンクがあり、トラフィックが通過中。
次の表に、銅線インターフェイスのバイパス LED の説明を示します。
表 7-27
Firepower 7115、7125、および AMP7150 銅線バイパス LED
ステータス
説明
消灯
インターフェイスペアは、バイパスモードでないか、電力が供給され
ていない。
緑色で点灯
インターフェイスペアは、バイパスモード開始可能。
黄色で点灯
インターフェイスペアはバイパスモードになり、トラフィックを検査
していない。
オレンジに点滅
インターフェイスペアはバイパスモード、すなわちフェールオープ
ンされている。
SFP インターフェイス
1G 銅線、1G 短距離ファイバ、または 1G 長距離ファイバで使用可能な、ホットスワップ可能なシ
スコ SFP トランシーバを最大 8 つまで設置できます。SFP トランシーバにバイパス機能はあり
ません。侵入防御の配置に使用しないでください。詳細については、「3D71x5 および AMP7150 デ
バイスでの SFP トランシーバの使用（B-1 ページ）」を参照してください。
図 7-14
サンプルの SFP トランシーバ
Firepower 7000 および 8000 シリーズインストールガイド
7-18
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
次の表に、光ファイバ LED の説明を示します。
表 7-28
Firepower 7115、7125、および AMP7150 SFP ソケットアクティビティ / リンク LED
ステータス
説明
上（アクティビティ）
インラインインターフェイスの場合：インターフェイスにアクティビ
ティがある場合、ライトが点灯します。消灯時は、アクティビティがあ
りません。
パッシブインターフェイスの場合：ライトが機能しません。
下（リンク）
インラインインターフェイスまたはパッシブインターフェイスの場
合：インターフェイスにリンクがある場合、ライトが点灯します。消灯
時は、リンクがありません。
次の表に、SFP 光トランシーバの仕様の説明を示します。
表 7-29
Firepower 7115、7125、および AMP7150 SFP 光パラメータ
パラメータ
1000BASE-SX
1000BASE-LX
光コネクタ
LC デュプレックス
LC デュプレックス
ビットレート
1000 Mbps
1000 Mbps
ボーレート /符号化/許容値
1250 Mbps
8b/10b 符号化
1250 Mbps
8b/10b 符号化
光インターフェイス
マルチモード
シングルモードのみ
動作距離
6.2 マイル（10 km）
656 フィート（200 m）
62.5 µm / 125 µm ファイバの場合 9 µm / 125 µm ファイバの場合
1640 フィート（500 m）
50 µm / 125 µm ファイバの場合
トランスミッタの波長
770 - 860 nm 
（通常 850 nm）
1270 ～ 1355 nm
（通常 1310 nm）
最大平均起動電力
0 dBm
-3 dBm
最小平均起動電力
-9.5 dBm
-11.5 dBm
レシーバでの最大平均電力
0 dBm
-3 dBm
レシーバ感度
-17 dBm
-19 dBm
Firepower 7000 および 8000 シリーズインストールガイド
7-19
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
Firepower 7115、7125、および AMP7150 シャーシの背面図
シャーシの背面には、管理インターフェイス、接続ポート、接地スタッド、および電源があります。
図 7-15
Firepower 7115、7125、および AMP7150（シャーシ：GERY-1U-8-4C8S-AC）の背面図
次の表に、アプライアンスの背面にある機能について示します。
表 7-30
Firepower 7115、7125、および AMP7150 システムコンポーネント：背面図
機能
説明
VGA ポート
USB ポート
デバイスにモニタ、キーボード、およびマウスを接続して、ワークステーション/ア
プライアンス間の直接接続を確立できるようにします。
10/100/1000 イーサネット管理
インターフェイス
アウトオブバンド管理ネットワーク接続を提供します。管理インターフェイス
は、メンテナンスおよび設定目的のみで使用します。サービストラフィックを伝
送することは意図されていません。
システム ID LED
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定で
きるようにします。青いライトは ID ボタンが押されたことを示します。
接地スタッド
共通ボンディング網にアプライアンスを接続するために使用します。詳細につい
ては、Firepower デバイスの所要電力（A-1 ページ）を参照してください。
冗長電源
AC 電源からの電力をデバイスに供給します。シャーシの背面から見て、電源 #1 は
左側にあり、電源 #2 は右にあります。
電源装置の LED
電源の状態を示します。表 7-32 Firepower 7115、7125、および AMP7150 電源 LED
（7-21 ページ）を参照してください。
10/100/1000 管理インターフェイスは、アプライアンスの背面にあります。次の表に、管理イン
ターフェイスに関連付けられた LED の説明を示します。
表 7-31
Firepower 7115、7125、および AMP7150 管理インターフェイス LED
LED
説明
左（アクティビティ）
ポート上のアクティビティを示します。
右（リンク）
•
点滅するライトはアクティビティを示します。
•
消灯は、アクティビティが存在しないことを示します。
リンクが確立しているかどうかを示します。
•
ライトはリンクが確立していることを示します。
•
消灯は、リンクが存在しないことを示します。
Firepower 7000 および 8000 シリーズインストールガイド
7-20
第7章
ハードウェア仕様
Firepower 7000 シリーズデバイス
電源モジュールは、アプライアンスの背面にあります。次の表に、電源に関連付けられた LED の
説明を示します。
表 7-32
Firepower 7115、7125、および AMP7150 電源 LED
LED
説明
消灯
電源コードが接続されていません。
赤
このモジュールに電力が供給されていません。
または
モジュール障害、飛んだヒューズ、ファン障害などの電源重大イベン
ト。電源はシャットダウンされます。
赤色に点滅
高温やファン速度低下などの電源警告イベント。電源は動作を継続し
ます。
緑色に点滅
AC 入力が存在します。待機電圧。電源がオフになっています。
グリーン
電源が接続され、オンになっています。
Firepower 7115、7125、および AMP7150 の物理パラメータと環境パラメータ
次の表に、アプライアンスの物理属性と環境パラメータの説明を示します。
表 7-33
Firepower 7115、7125、および AMP7150 の物理パラメータと環境パラメータ
パラメータ
説明
フォームファクタ
1U
寸法（D x W x H）
54.9 cm x 48.3 cm x 4.4 cm（21.6 インチ x 19.0 インチ x 1.73 インチ）
重量
最大設置
13.2 kg（29.0 ポンド）
銅線 1000BASE-T
ペア構成内のギガビット銅線イーサネットバイパス対応インターフェイス
ケーブルおよび距離：Cat5E、50 m
銅線 1000BASE-T SFP
ペア構成内のギガビット銅線イーサネット非バイパス対応インターフェイス
ケーブルおよび距離：Cat5E、50 m
光ファイバ 1000BASE-SX
SFP
LC コネクタ付きファイバ非バイパス対応インターフェイス
ファイバ 1000BASE-LX SFP
ケーブルと距離：SX はマルチモードファイバ（850 nm）、550 m（標準）
656 フィート（200 m）（62.5 µm/125 µm ファイバの場合）
1640 フィート（500 m）（50 µm/125 µm ファイバの場合）
LC コネクタ付きファイバ非バイパス対応インターフェイス
ケーブルおよび距離：LX はシングルモード光ファイバ（1310 nm）、10 km 
（9 µm/125 µm 光ファイバ（標準）の場合）
電源モジュール
450 W デュアル冗長（1+1）AC 電源
電圧：公称 100 VAC ～ 240 VAC（最大 85 VAC ～ 264 VAC）
電流：電源ごとに、90 VAC ～ 132 VAC で最大 3 A
電源ごとに、187 VAC ～ 264 VAC で最大 1.5 A
周波数範囲：47 Hz ～ 63 Hz
動作温度
41 ～ 104 °F（5 ～ 40 °C）
非動作時温度
-29 ～ 158 °F（-20 ～ 70 °C）
Firepower 7000 および 8000 シリーズインストールガイド
7-21
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-33
Firepower 7115、7125、および AMP7150 の物理パラメータと環境パラメータ（続き）
パラメータ
説明
湿度（動作時）
5 ～ 85%（結露しないこと）
非動作時湿度
5 ～ 90%（77 ～ 95 °F（25 ～ 35 °C）の温度で 82 °F（28 °C）の最大湿球を使用して結露し
ないこと）
ユニットは 95% の非結露相対湿度未満で保管してください。装置を稼働させる前
に、少なくとも 48 時間、最大動作湿度未満で慣らし運転してください。
高度
海抜 0 ～ 5905 フィート（0 ～ 1800 m）
冷却要件
900 BTU/時
必要な動作温度範囲内にアプライアンスを維持するための十分な冷却機能を提供
します。これに失敗すると、アプライアンスに誤動作や損傷が発生することがあり
ます。
音響ノイズ
プロセッサ最大負荷、ファン正常動作時 64 dBA
GR-63-CORE 4.6 Acoustic Noise に準拠
耐衝撃性
Bellecore GR-63-CORE 標準に準拠
エアーフロー
140 フィート 3（3.9 m3）/分
側面に換気口がないため、エアーフローはアプライアンスの前面から入って背面に
抜けます。
Firepower 8000 シリーズデバイス
Firepower 8000 シリーズデバイスは、銅線センシングインターフェイスとファイバセンシング
インターフェイスのどちらかを含むネットワークモジュール（NetMod）を使用します。デバイス
は出荷時に完全構成状態とすることも、自分でモジュールを設置することもできます。Firepower
システムをインストールする前にデバイスを組み立てます。モジュールに付属の組立手順を参
照してください。
一部の 8000 シリーズデバイスは、システムの機能を拡張するためスタックできます。スタック
構成キットごとに、NetMod をスタックモジュールに交換し、8000 シリーズスタック構成ケーブ
ルを使用してデバイスをまとめてケーブル接続します。詳細については、「スタック構成でのデ
バイスの使用（4-14 ページ）」を参照してください。
Firepower 8000 シリーズデバイスは、さまざまなシャーシで提供できます。
•
AMP8050 は 1U シャーシであり、最大 3 つのモジュールを収容できます。
•
81xx ファミリとも呼ばれる Firepower 8120、8130、8140、および AMP8150 は、1U シャーシで
あり、最大 3 つのモジュールを収容することができます。Firepower 8140 だけは、スタッキン
グキットを追加して全部で 2U 構成にできます。
•
82xx ファミリに含まれる Firepower 8250 は、2U シャーシであり、最大 7 つのモジュールを収
容することができます。合計 8 U の構成にするため最大 3 個のスタック構成キットを追加で
きます。
•
82xx ファミリに含まれる Firepower 8260 は、2 つの 2U シャーシからなる 4U 構成です。プラ
イマリシャーシは、1 台のスタックモジュールと 6 台のセンシングモジュールを収納しま
す。セカンダリシャーシは、1 台のスタックモジュールを収納します。合計 8 U の構成にする
ため最大 2 個のスタック構成キットを追加できます。
Firepower 7000 および 8000 シリーズインストールガイド
7-22
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
注
•
82xx ファミリに含まれる Firepower 8270 は、3 つの 2U シャーシからなる 6U 構成です。プラ
イマリシャーシは、2 台のスタックモジュールと最大 5 台のセンシングモジュールを収納
します。セカンダリシャーシは、それぞれ 1 台のスタックモジュールを収納します。合計 8 U
の構成にするため 1 個のスタック構成キットを追加できます。
•
82xx ファミリに含まれる Firepower 8290 は、4 つの 2U シャーシからなる 8U 構成です。プラ
イマリシャーシは、3 台のスタックモジュールと最大 4 台のセンシングモジュールを収納
します。セカンダリシャーシは、それぞれ 1 台のスタックモジュールを収納します。このモ
デルは完全に構成済みで、スタック構成キットは使用できません。
•
83xx ファミリに含まれる Firepower 8350 および AMP8350 は、2U シャーシであり、最大 7 つ
のモジュールを収容することができます。合計 8 U の構成にするため最大 3 個のスタック構
成キットを追加できます。
•
83xx ファミリに含まれる Firepower 8360 および AMP8360 は、2 つの 2U シャーシからなる
4U 構成です。プライマリシャーシは、1 台のスタックモジュールと 6 台のセンシングモ
ジュールを収納します。セカンダリシャーシは、1 台のスタックモジュールを収納します。
合計 8 U の構成にするため最大 2 個のスタック構成キットを追加できます。
•
83xx ファミリに含まれる Firepower 8370 および AMP8370 は、3 つの 2U シャーシからなる
6U 構成です。プライマリシャーシは、2 台のスタックモジュールと最大 5 台のセンシング
モジュールを収納します。セカンダリシャーシは、それぞれ 1 台のスタックモジュールを収
納します。合計 8 U の構成にするため 1 個のスタック構成キットを追加できます。
•
83xx ファミリに含まれる Firepower 8390 および AMP8390 は、4 つの 2U シャーシからなる
8U 構成です。プライマリシャーシは、3 台のスタックモジュールと最大 4 台のセンシング
モジュールを収納します。セカンダリシャーシは、それぞれ 1 台のスタックモジュールを収
納します。このモデルは完全に構成済みで、スタック構成キットは使用できません。
AMP モデルには Firepower の対応製品と共通のフォームファクタが少なからずありますが、
Firepower システムのネットワークベースの高度なマルウェア防御（AMP）機能を利用するため
に最適化されています。
詳細については、次の項を参照してください。
•
Firepower 8000 シリーズシャーシの前面図（7-23 ページ）
•
Firepower 8000 シリーズシャーシの背面図（7-27 ページ）
•
Firepower 8000 シリーズの物理パラメータと環境パラメータ（7-30 ページ）
•
Firepower 8000 シリーズモジュール（7-34 ページ）
Firepower 8000 シリーズシャーシの前面図
Firepower 8000 シリーズシャーシは、AMP8x50、81xx ファミリ、82xx ファミリ、または 83xx ファ
ミリに収容できます。AMP8x50、81xx ファミリ、82xx ファミリ、および 83xx ファミリアプライア
ンスの安全上の考慮事項については、『Regulatory Compliance and Safety Information for
FirePOWER and FireSIGHT Appliances』を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
7-23
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
AMP8x50 および Firepower 81xx ファミリシャーシの前面図
シャーシの前面図には、LCD パネル、前面パネル、および 3 つのモジュールスロットが示されて
います。
図 7-16
AMP8x50 および Firepower 81xx ファミリ（シャーシ：CHAS-1U-AC/DC）前面図
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリシャーシの正面図
シャーシの前面図には、LCD パネル、前面パネル、および 7 つのモジュールスロットが示されて
います。
図 7-17
Firepower 82xx ファミリ（シャーシ：CHAS-2U-AC/DC）と Firepower および AMP 83xx ファミ
リ（PG35-2U-AC/DC）前面図
次の表に、アプライアンスの前面にある機能について示します。
表 7-34
Firepower 8000 シリーズシステムコンポーネント：前面図
機能
説明
モジュールスロット
モジュールを収納します。利用可能なモジュールの詳細については、
Firepower 8000 シリーズモジュール（7-34 ページ）を参照してください。
LCD パネル
デバイスの設定、エラーメッセージの表示、およびシステムステータ
スの確認を行うためにさまざまなモードで動作します。詳細について
は、Firepower デバイス上の LCD パネルの使用（6-1 ページ）を参照して
ください。
前面パネルコント
ロール
システムの動作状態、および電源ボタンなどのさまざまなコントロー
ルを示す LED を備えています。詳細については、図 7-19 Firepower
82xx ファミリと Firepower および AMP 83xx ファミリの前面パネル
（7-25 ページ）を参照してください。
前面パネルの USB
ポート
USB 2.0 ポートを使用して、デバイスにキーボードを接続できます。
Firepower 7000 および 8000 シリーズインストールガイド
7-24
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
詳細については、次の項を参照してください。
•
Firepower 8000 シリーズの前面パネル（7-25 ページ）
•
Firepower 8000 シリーズシャーシの背面図（7-27 ページ）
Firepower 8000 シリーズの前面パネル
Firepower および AMP 81xx ファミリ、82xx ファミリ、および 83xx ファミリの前面パネルには、
同じコンポーネントがあります。
図 7-18
Firepower 81xx ファミリの前面パネル
図 7-19
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの前面パネル
表 7-35
Firepower 8000 シリーズ前面パネルのコンポーネント
A
NIC アクティビティ LED
F
リセットボタン
B
予約済み
G
ID ボタン
C
ハードドライブアクティビティ LED
H
電源ボタンおよび LED
D
システムステータス LED
I
USB 2.0 コネクタ
E
マスク不能割り込みボタン
シャーシの前面パネルは、システムの動作状態を示す LED を備えています。次の表に、前面パネ
ルの LED の説明を示します。
表 7-36
Firepower 8000 シリーズ前面パネル LED
LED
説明
NIC アクティビティ
ネットワークアクティビティがあるかどうかを示します。
ハードドライブアク
ティビティ
•
緑はネットワークアクティビティがあることを示します。
•
ライトが消灯している場合、ネットワークアクティビティはありません。
ハードドライブステータスを示します。
•
緑の点滅は固定ディスクドライブがアクティブであることを示します。
•
オレンジは固定ディスクドライブのエラーを示します。
•
ライトが消灯している場合、ドライブアクティビティがないか、システムの電源が
オフになっています。
Firepower 7000 および 8000 シリーズインストールガイド
7-25
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-36
Firepower 8000 シリーズ前面パネル LED （続き）
LED
説明
システムステータス
システムステータスを示します。
•
緑はシステムが正常に動作していることを示します。
•
緑の点滅はシステムが Degraded 状態で動作していることを示します。
•
点滅するオレンジ色は、システムが重大な状態にないことを示します。
•
オレンジ色は、システムが重大なまたは回復不可能な状態にあるか、起動中であるこ
とを示します。
•
ライトがオフの場合、システムは起動処理中またはオフです。
オレンジのステータスライトの方が緑のステータスライトよりも優先されま
す。オレンジ色のライトが点灯または点滅している場合は、緑色のライトが消灯
しています。
注
詳細については、「表 7-37（7-26 ページ）」を参照してください。
システム ID
他の同様のシステムと一緒に高密度ラックに設置されているシステムを特定できるよ
うにします。
電源ボタンおよび LED
•
青いライトは ID ボタンが押されたことを示します。青いライトはアプライアンスの
背面にあります。
•
ライトが消灯している場合、ID ボタンは押されていません。
システムに電力が供給されているかどうかを示します。
•
緑は、システムに電力が供給されていることを示します。
•
ライトが消灯している場合は、システムに電力が供給されていません。
次の表に、システムステータス LED が点灯する条件の説明を示します。
表 7-37
Firepower 8000 シリーズシステムステータス
条件
説明
Critical
次のイベントに関連付けられた重大なまたは回復不可能なしきい値超過
•
温度、電圧、またはファンの重大なしきい値超過
•
電源サブシステムの障害
•
正しく取り付けられていないプロセッサまたは互換性のないプロセッサが原因でシ
ステムの電源がオンにできない
•
重大なイベントロギングエラー、System Memory Uncorrectable ECC エラーと、PCI
SERR や PERR などの致命的な/修正不可能なバスエラーを含む
Firepower 7000 および 8000 シリーズインストールガイド
7-26
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-37
Firepower 8000 シリーズシステムステータス（続き）
条件
説明
Non-critical
重大でない状態は、次のイベントに関連付けられたしきい値超過です。
•
温度、電圧、またはファンの重大でないしきい値超過
•
シャーシのトレスパス
•
システム BIOS からの Set Fault Indication コマンド。BIOS はこのコマンドを使用して
システムメモリや CPU の設定変更などの追加の、重大でないステータスを示す場合
があります。
デグレード状態は次のイベントに関連付けられます。
Degraded
•
1 つ以上のプロセッサが Fault Resilient Boot（FRB）または BIOS によって無効になっ
ている
•
一部のシステムメモリが BIOS によって無効化またはマップアウトされている
•
電源の 1 つのケーブルが外れているか、または機能していない
ヒント Degraded 状態の表示を確認するには、まず電源の接続を確認します。デバイスの
電源をオフにし、両方の電源コードを外し、電源コードを再接続し、デバイスを再
起動します。
注意
電源を安全にオフにするには、『Firepower Management Center 設定
ガイド』の「Managing Devices」の章に記載された手順または CLI か
ら system shutdown コマンドを使用します。
Firepower 8000 シリーズシャーシの背面図
Firepower 8000 シリーズシャーシは、81xx ファミリ、82xx ファミリ、または 83xx ファミリに収容
できます。
AMP8x50 および Firepower 81xx ファミリシャーシの背面図
シャーシ背面図には、接続ポート、管理インターフェイス、および電源が示されています。
図 7-20
AMP8x50 および Firepower 81xx ファミリ（シャーシ：CHAS-1U-AC/DC）背面図
Firepower 7000 および 8000 シリーズインストールガイド
7-27
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
Firepower 82xx ファミリシャーシの背面図
シャーシの背面図には、電源、接続ポート、および管理インターフェイスが示されています。
図 7-21
Firepower 82xx ファミリ（シャーシ：CHAS-2U-AC/DC）背面図
Firepower および AMP 83xx ファミリシャーシの背面図
シャーシの背面図には、電源、接続ポート、および管理インターフェイスが示されています。
図 7-22
Firepower および AMP 83xx ファミリ（シャーシ：PG35-2U-AC/DC）の背面図
次の表に、アプライアンスの背面にある機能の説明を示します。
表 7-38
Firepower 8000 シリーズシステムコンポーネント：背面図
機能
説明
VGA ポート
USB 2.0 ポート
シリアルポートを使用する代わりに、デバイスにモニタ、キーボード、
およびマウスを接続して、ワークステーション/アプライアンス間の直
接接続を確立できるようにします。
RJ45 シリアルポート
（81xx ファミリおよ
び 82xx ファミリ）
デバイス上のすべての管理サービスに直接アクセスするためのワーク
ステーション/アプライアンス間直接接続（RJ45/DB9 アダプタを使用）
を確立できるようにします。RJ45 シリアルポートは、メンテナンスと
設定の目的にのみ使用され、サービストラフィックを伝送するための
ものではありません。
Firepower 7000 および 8000 シリーズインストールガイド
7-28
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-38
Firepower 8000 シリーズシステムコンポーネント：背面図（続き）
機能
説明
RS232 シリアルポートワークステーション/アプライアンス間の直接接続を確立して、デバイ
（83xx ファミリ）。
ス上のすべての管理サービスに直接アクセスできるようにします。
RS232 シリアルポートは、メンテナンスおよび設定目的のみで使用し
ます。サービストラフィックを伝送することは意図されていません。
10/100/1000 イーサ
ネット管理インター
フェイス
アウトオブバンド管理ネットワーク接続を提供します。管理インター
フェイスは、メンテナンスおよび設定の目的のみで使用します。サービ
ストラフィックを伝送することは意図されていません。
冗長電源
AC 電源からの電力をデバイスに供給します。シャーシの背面から見
て、電源 #1 は右側にあり、電源 #2 は左にあります。
接地場所
共通ボンディング網にアプライアンスを接続するために使用します。
詳細については、Firepower デバイスの所要電力（A-1 ページ）を参照し
てください。
10/100/1000 管理インターフェイスは、アプライアンスの背面にあります。次の表に、管理イン
ターフェイスに関連付けられた LED の説明を示します。
表 7-39
Firepower 8000 シリーズ管理インターフェイス LED
LED
説明
左（アクティビティ）
ポートのアクティビティを示します。
右（リンク）
•
ライトの点滅はアクティビティを示します。
•
ライトが消灯している場合、アクティビティはありません。
リンクが動作しているかどうかを示します。
•
ライトはリンクが動作していることを示します。
•
ライトが消灯している場合、リンクはありません。
電源モジュールは、アプライアンスの背面にあります。次の表に、管理インターフェイスに関連
付けられた LED の説明を示します。
表 7-40
Firepower 8000 シリーズ電源 LED
LED
説明
消灯
電源が接続されていません。
オレンジ
このモジュールに電力が供給されていません。
または
モジュール障害、飛んだヒューズ、ファン障害などの電源重大イベン
ト。電源はシャットダウンされます。
オレンジに点滅
高温やファン速度低下などの電源警告イベント。電源は動作を継続し
ます。
緑色に点滅
AC 入力が存在します。待機電圧。電源がオフになっています。
グリーン
電源が接続され、オンになっています。
Firepower 7000 および 8000 シリーズインストールガイド
7-29
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、デバイスの RJ45 シリアルコネクタの一般的な DB9 シリアルコネクタおよび該当す
るピン信号を示します。この表は、シリアル接続アダプタの作成に使用できます。
表 7-41
Firepower 8000 シリーズ RJ-45/DB-9 アダプタ間のピン割り当て
DB-9 ピン
信号
説明
RJ45 ピン
1
DCD/DSR
データキャリア検出/データセットレディ
7
2
RD
受信データ
6
3
TD
伝送データ
3
4
DTR
データターミナルレディ
2
5
GND
地面
4 および 5
接続なし
6
7
RTS
送信要求
1
8
CTS
送信可
8
接続なし
9
Firepower 8000 シリーズの物理パラメータと環境パラメータ
次の表に、AMP8x50 デバイスと 81xx ファミリデバイスの物理属性と環境パラメータの説明を
示します。
表 7-42
AMP8x50 および 81xx ファミリの物理パラメータと環境パラメータ
パラメータ
説明
フォームファクタ
1U
寸法
（奥行 x 幅 x 高さ）
72.8 cm X 43.3 cm X 4.4 cm（28.7 インチ X 17.2 インチ X 1.73 インチ）
重量 
最大搭載量
19.8 kg（43.5 ポンド）
銅線 1000BASE-T 設定可ペア構成内のクワッドポートギガビット銅線イーサネット設定可能バイパスインター
能バイパス NetMod
フェイス
ケーブルおよび距離：Cat5E、50 m
光ファイバ 10GBASE の
設定可能バイパス
MMSR または SMLR
NetMod
LC コネクタを使用したデュアルポートファイバ設定可能バイパスインターフェイス
ケーブルおよび距離：
LR はシングルモード、5000 m（使用可能）
SR はマルチモードファイバ（850 nm）、550 m（標準）
ファイバ 1000BASE-SX
設定可能バイパス
NetMod
LC コネクタを使用したクワッドポートファイバ設定可能バイパスインターフェイス
1000BASE-SX
ケーブルと距離：SX はマルチモードファイバ（850 nm）、550 m（標準）
銅線 1000BASE-T 非バイペア構成内のクワッドポートギガビット銅線イーサネット非バイパスインターフェイス
パス NetMod
ケーブルと距離：Cat5E、50 m
ファイバ 10GBASE 非バ
イパス
MMSR または SMLR
NetMod
LC コネクタを使用したクワッドポートファイバ非バイパスインターフェイス
ケーブルおよび距離：
LR はシングルモード、5000 m（使用可能）
SR はマルチモードファイバ（850 nm）、550 m（標準）
Firepower 7000 および 8000 シリーズインストールガイド
7-30
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-42
AMP8x50 および 81xx ファミリの物理パラメータと環境パラメータ（続き）
パラメータ
説明
ファイバ 1000BASE-SX
非バイパス NetMod
LC コネクタを使用したクワッドポートファイバ非バイパスインターフェイス
1000BASE-SX
ケーブルと距離：SX はマルチモードファイバ（850 nm）、550 m（標準）
電源モジュール
AC または DC 用に設計されたデュアル 650 W 冗長電源。
AC 電圧：公称 100 VAC ～ 240 VAC（最大 85 VAC ～ 264 VAC）
AC 電流：電源ごとに全範囲で最大 5.2 A
電源ごとに、187 VAC ～ 264 VAC で最大 2.6 A
AC 周波数範囲：47 Hz ～ 63 Hz
DC 電圧：RTN を基準に公称 -48 VDC
最大 -40 ～ -72 VDC
DC 電流：電源ごとに最大 11 A
動作温度
50 ～ 95 °F（10 ～ 35 °C）
非動作時温度
-29 °F ～ 158 °F（-20 °C ～ 70 °C）
湿度（動作時）
5 ～ 85%（結露しないこと）
非動作時湿度
5 ～ 90%（77 ～ 95 °F（25 ～ 35 °C）の温度で 82 °F（28 °C）の最大湿球を使用して結露しな
いこと）
高度
海抜 0 フィート～ 6000 フィート（0 ～ 1800 m）
冷却要件
1725 BTU/時
必要な動作温度範囲内にアプライアンスを維持するための十分な冷却機能を提供しま
す。これができない場合は、アプライアンスの誤動作や損傷を引き起こす可能性があり
ます。
音響ノイズ
最大正常作動音は 87.6 dB LWAd（高温）です。
標準正常作動音は 80 dB LWAd です。
耐衝撃性
2G の半正弦波衝撃でエラーなし（作用時間 11 ms）
エアーフロー
160 フィート 3（4.5 m3）/分
キャビネットのユニットの前後、または周囲を十分な空間を設けずに遮断するなどして
エアーフローを制限すると、周囲温度が動作範囲内であっても、ユニットが過熱状態に
なる可能性があります。
エアーフローはアプライアンスの前面から入って背面に抜けます。前後の空間の最小推
奨値は 7.9 インチ（= 20 cm（3.50 インチ））である必要があります。この最小値は、アプライ
アンスの前面に低温の通気の供給が保証できる場合のみ使用できます。
Firepower 7000 および 8000 シリーズインストールガイド
7-31
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、Firepower 82xx ファミリデバイスと Firepower および AMP 83xx ファミリデバイスの
物理的特性と環境パラメータの説明を示します。
表 7-43
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの物理パラメータと環境パラメータ
パラメータ
説明
フォームファクタ
2U
寸法（奥行 x 幅 x 高さ）
73.5 cm x 43.3 cm x 88.2 cm（29.0 インチ x 17.2 インチ x 3.48 インチ）
最大搭載重量
82xx ファミリ： 25.3 kg（58 ポンド）
83xx ファミリ： 30.5 kg（67 ポンド）
銅線 1000BASE-T 設定
可能バイパス NetMod
ペア構成内のクワッドポートギガビット銅線イーサネット設定可能バイパスインター
フェイス
ケーブルおよび距離：Cat5E、50 m
光ファイバ 10GBASE  LC コネクタを使用したデュアルポートファイバ設定可能バイパスインターフェイス
MMSR または SMLR のケーブルおよび距離：
設定可能バイパス
LR はシングルモード、5000 m（使用可能）
NetMod
SR はマルチモードファイバ（850 nm）、550 m（標準）
ファイバ 1000BASE-SX LC コネクタを使用したクワッドポートファイバ設定可能バイパスインターフェイス
1000BASE-SX
設定可能バイパス
NetMod
ケーブルおよび距離：SX はマルチモードファイバ（850 nm）、550 m（標準）
光ファイバ
OTP/MTP コネクタを使用したデュアルポートファイバ設定可能バイパスインターフェ
40GBASE-SR4 の設定可イス
能バイパス NetMod
ケーブルおよび距離：
OM3：850 nm マルチモードで 100 m 
OM4：850 nm マルチモードで 150 m
銅線 1000BASE-T 非バ
イパス NetMod
ペア構成内のクワッドポートギガビット銅線イーサネット非バイパスインターフェイス
ケーブルと距離：Cat5E、50 m
ファイバ 10GBASE 非バ LC コネクタを使用したクワッドポートファイバ非バイパスインターフェイス
イパス
ケーブルおよび距離：
MMSR または SMLR
LR はシングルモード、5000 m（使用可能）
NetMod
SR はマルチモードファイバ（850 nm）、550 m（標準）
ファイバ 1000BASE-SX LC コネクタを使用したクワッドポートファイバ非バイパスインターフェイス 1000BASE-SX
非バイパス NetMod
ケーブルおよび距離：
SX はマルチモードファイバ（850 nm）、550 m（標準）
Firepower 7000 および 8000 シリーズインストールガイド
7-32
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-43
Firepower 82xx ファミリと Firepower および AMP 83xx ファミリの物理パラメータと環境パラメータ（続き）
パラメータ
説明
電源モジュール
82xx ファミリ： AC または DC 用に設計されたデュアル 750 W 冗長電源。
AC 電圧：公称 100 VAC ～ 240 VAC（最大 85 VAC ～ 264 VAC）
AC 電流：電源ごとに全範囲で最大 8 A
電源ごとに、187 VAC ～ 264 VAC で最大 4A
AC 周波数範囲：47 Hz ～ 63 Hz
DC 電圧：RTN を基準に公称 -48 VDC
最大 -40 ～ -72 VDC
DC 電流：電源ごとに最大 18 A
83xx ファミリ： AC または DC 用に設計されたデュアル 1000 W 冗長電源。
AC 電圧：公称 100 VAC ～ 240 VAC（最大 85 VAC ～ 264 VAC）
AC 電流：電源ごとに全範囲で最大 11 A
電源ごとに、187 VAC ～ 264 VAC で最大 5.5 A
AC 周波数範囲：47 Hz ～ 63 Hz
DC 電圧：RTN を基準に公称 -48 VDC
最大 -40 ～ -72 VDC
DC 電流：電源ごとに最大 25 A
動作温度
82xx ファミリ： 50 ～ 95 °F（10 ～ 35 °C）
83xx ファミリ： 41 ～ 104 °F（5 ～ 40 °C）
非動作時温度
-29 ～ 158 °F（-20 ～ 70 °C）
湿度（動作時）
5 ～ 85%（結露しないこと）
非動作時湿度
5 ～ 90%（77 ～ 95 °F（25 ～ 35 °C）の温度で 82 °F（28 °C）の最大湿球を使用して結露しな
いこと）
高度
海抜 0 フィート～ 6000 フィート（0 ～ 1800 m）
冷却要件
最大 2900 BTU/時
必要な動作温度範囲内にアプライアンスを維持するための十分な冷却機能を提供します。
これができない場合は、アプライアンスの誤動作や損傷を引き起こす可能性があります。
音響ノイズ
最大正常作動音は 81.6 dB LWAd（高温）です。
標準正常作動音は 81.4 dB LWAd です。
耐衝撃性
2G の半正弦波衝撃でエラーなし（作用時間 11 ms）
エアーフロー
前から後ろへ、210 フィート 3（6 m3）/分
キャビネットのユニットの前後、または周囲を十分な空間を設けずに遮断するなどして
エアーフローを制限すると、周囲温度が動作範囲内であっても、ユニットが過熱状態にな
る可能性があります。
アプライアンスを通過するエアーフローは、前面から入って背面から出ます。前後の空間
の最小推奨値は 7.9 インチ（20 cm）です。この最小値は、アプライアンスの前面に低温の通
気の供給が保証できる場合のみ使用できます。
Firepower 7000 および 8000 シリーズインストールガイド
7-33
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
Firepower 8000 シリーズモジュール
Firepower 8000 シリーズアプライアンスのセンシングインターフェイスは、銅線インターフェ
イスまたはファイバインターフェイスで提供できます。
注意
モジュールはホットスワップ可能ではありません。詳細については、「Firepower 8000 シリーズ
モジュールの挿入と取り外し（C-1 ページ）」を参照してください。
次のモジュールには、設定可能なバイパスセンシングインターフェイスがあります。
•
バイパス機能を設定可能なクワッドポート 1000BASE-T 銅線インターフェイス。クワッド
ポート 1000BASE-T 銅線設定可能バイパス NetMod（7-35 ページ）を参照してください。
•
バイパス機能を設定可能なクワッドポート 1000BASE-SX ファイバインターフェイス。詳細
については、「クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod（7-36 ペー
ジ）」を参照してください。
•
バイパス機能を設定可能なデュアルポート 10GBASE（MMSR または SMLR）ファイバイン
ターフェイス。詳細については、「デュアルポート 10GBASE（MMSR または SMLR）ファイバ
設定可能バイパス NetMod（7-37 ページ）」を参照してください。
•
バイパス機能を設定可能なデュアルポート 40GBASE-SR4 ファイバインターフェイス（2U
デバイスのみ）詳細については、「デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス
NetMod（7-39 ページ）」を参照してください。
次のモジュールには、非バイパスセンシングインターフェイスが含まれています。
•
バイパス機能のないクワッドポート 1000BASE-T 銅線インターフェイス。詳細については、
「クワッドポート 1000BASE-T 銅線非バイパス NetMod（7-41 ページ）」を参照してください。
•
バイパス機能のないクワッドポート 1000BASE-SX ファイバインターフェイス。詳細につい
ては、「クワッドポート 1000BASE-SX ファイバ非バイパス NetMod（7-41 ページ）」を参照し
てください。
•
バイパス機能のないクワッドポート 10GBASE（MMSR または SMLR）ファイバインター
フェイス。詳細については、「クワッドポート 10GBASE（MMSR または SMLR）ファイバ非バ
イパス NetMod（7-42 ページ）」を参照してください。
加えて、スタックモジュールを使用して、2 つの Firepower 8140、最大 4 つの Firepower 8250、また
は最大 4 つの Firepower または AMD 8350 デバイスを接続し、それらの処理能力を組み合わせて、
スループットを向上させることができます。詳細については、「スタックモジュール（7-43 ペー
ジ）」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
7-34
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
クワッドポート 1000BASE-T 銅線設定可能バイパス NetMod
クワッドポート 1000BASE-T 銅線設定可能バイパス NetMod には、4 つの銅線ポート、およびリ
ンク LED、アクティビティ LED、およびバイパス LED があります。
次の表に、銅線インターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-44
銅線リンク / アクティビティ LED
ステータス
説明
両方の LED がオフ
インターフェイスは、リンクが存在せず、バイパスモードではありま
せん。
リンクがオレンジ
インターフェイス上のトラフィックの速度が 10 Mb または 100 Mb です。
リンク（緑）
インターフェイス上のトラフィックの速度が 1 Gb です。
アクティビティ（点滅
する緑）
インターフェイス上にリンクが存在し、トラフィックが通過しています。
次の表に、銅線インターフェイスのバイパス LED の説明を示します。
表 7-45
銅線のバイパス LED
ステータス
説明
消灯
インターフェイスは、リンクが存在せず、バイパスモードではありま
せん。
緑色で点灯
インターフェイス上にリンクが存在し、トラフィックが通過しています。
黄色で点灯
インターフェイスは意図的に停止されています。
オレンジに点滅
インターフェイスがバイパスモードになっている、つまり、フェール
オープンの状態になっています。
Firepower 7000 および 8000 シリーズインストールガイド
7-35
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod
クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod には、4 つのファイバポート、
およびリンク LED、アクティビティ LED、およびバイパス LED があります。
次の表に、光ファイバインターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-46
光ファイバリンク / アクティビティ LED
ステータス
説明
上
インラインインターフェイスまたはパッシブインターフェイスの場合：
下
•
ライトの点滅はインターフェイスにアクティビティがあることを
示します。
•
ライトが消灯している場合、アクティビティはありません。
インラインインターフェイスの場合：
•
ライトはインターフェイスにアクティビティがあることを示します。
•
ライトが消灯している場合、アクティビティはありません。
パッシブインターフェイスの場合、ライトは常時点灯します。
次の表に、光ファイバインターフェイスのバイパス LED の説明を示します。
表 7-47
光ファイバのバイパス LED
ステータス
説明
消灯
インターフェイスは、リンクが存在せず、バイパスモードではありま
せん。
緑色で点灯
インターフェイス上にリンクが存在し、トラフィックが通過しています。
黄色で点灯
インターフェイスは意図的に停止されています。
オレンジに点滅
インターフェイスがバイパスモードになっている、つまり、フェール
オープンの状態になっています。
次の表に、光ファイバインターフェイスの光仕様の説明を示します。
表 7-48
1000BASE-SX NetMod 光パラメータ
パラメータ
1000BASE-SX
光コネクタ
LC デュプレックス
ビットレート
1000 Mbps
Firepower 7000 および 8000 シリーズインストールガイド
7-36
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
表 7-48
1000BASE-SX NetMod 光パラメータ（続き）
パラメータ
1000BASE-SX
ボーレート /符号化/許容値
1250 Mbps
8b/10b 符号化
光インターフェイス
マルチモード
動作距離
656 フィート（200 m）（62.5 µm/125 µm ファイバの場合）
1640 フィート（500 m）（50 µm/125 µm ファイバの場合）
トランスミッタ波長
770 ～ 860 nm（通常 850 nm）
最大平均起動電力
0 dBm
最小平均起動電力
-9.5 dBm
レシーバでの最大平均電力
0 dBm
レシーバ感度
-17 dBm
デュアルポート 10GBASE（MMSR または SMLR）ファイバ設定可能バイパス NetMod
デュアルポート 10GBASE（MMSR または SMLR）ファイバ設定可能バイパス NetMod には、2 つ
のファイバポート、およびリンク LED、アクティビティ LED、およびバイパス LED があります。
次の表に、光ファイバインターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-49
光ファイバリンク / アクティビティ LED
ステータス
説明
上
インラインインターフェイスまたはパッシブインターフェイスの場合：
下
•
ライトの点滅はインターフェイスにアクティビティがあることを
示します。
•
ライトが消灯している場合、アクティビティはありません。
インラインインターフェイスの場合：
•
ライトはインターフェイスにアクティビティがあることを示します。
•
ライトが消灯している場合、アクティビティはありません。
パッシブインターフェイスの場合、ライトは常時点灯します。
Firepower 7000 および 8000 シリーズインストールガイド
7-37
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、光ファイバインターフェイスのバイパス LED の説明を示します。
表 7-50
光ファイバのバイパス LED
ステータス
説明
消灯
インターフェイスは、リンクが存在せず、バイパスモードではありま
せん。
緑色で点灯
インターフェイス上にリンクが存在し、トラフィックが通過しています。
黄色で点灯
インターフェイスは意図的に停止されています。
オレンジに点滅
インターフェイスがバイパスモードになっている、つまり、フェール
オープンの状態になっています。
次の表に、光ファイバインターフェイスの光パラメータの説明を示します。
表 7-51
10GBASE MMSR および SMLR NetMod 光パラメータ
パラメータ
10GBASE MMSR
10GBASE SMLR
光コネクタ
LC デュプレックス
LC デュプレックス
ビットレート
10.000 Gbps
10.000 Gbps
ボーレート /符号化/許容値
10.3125 Gbps 
64/66b 符号化
+/- 100 ppm
10.3125 Gbps 
64/166b 符号化
+/- 100 ppm
光インターフェイス
マルチモード
シングルモードのみ
動作距離
840 ～ 860 nm 
（標準 850 nm）
1270-1355 nm 
（標準 1310 nm）
6 フィート～ 6.2 マイル（2 m ～ 10 km）
85 フィート（26 m）～ 108 フィート
（33 m）（62.5 µm/125 µm ファイバ（そ 9 µm / 125 µm ファイバの場合
れぞれモデル BW 160 ～ 200）の場合）
216 フィート（66 m）～ 269 フィート
（82 m）（50 µm/125 µm ファイバ（それ
ぞれモデル BW 400 ～ 500）の場合）
980 フィート（300 m）までの距離では高
品質（OM3）ファイバを利用できます。
最短距離（すべて）：
6 フィート（2 m）
トランスミッタの波長
840 ～ 860 nm 
（標準 850 nm）
1270-1355 nm 
（標準 1310 nm）
最大平均起動電力
-1 dBm
-0.5 dBm
最小平均起動電力
-7.3 dBm
-8.2 dBm
レシーバでの最大平均電力
-1 dBm
-0.5 dBm
レシーバ感度
-9.9 dBm
-14.4 dBm
Firepower 7000 および 8000 シリーズインストールガイド
7-38
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod には、2 つのファイバポー
ト、リンク LED、アクティビティ LED、およびバイパス LED があります。
次の 8000 シリーズモデルで 40G NetMod を使用できます。
注意
•
Firepower 8270 および 8290
•
Firepower および AMP 8360、8370、および 8390
•
Firepower 8250 および 8260（40G 対応である必要があります）
•
Firepower および AMP 8350（40G 対応である必要があります）
40G 対応ではないデバイス上で 40G インターフェイスを作成しようとすると、それを管理する
Firepower Management Center Web インターフェイスの 40G インターフェイス画面が赤く表示さ
れます。40G 対応の 8250 の LCD パネルには「8250-40G」と表示され、40G 対応の 8350 の LCD パ
ネルには「8350-40G」と表示されます。配置の詳細については、Firepower 8000 シリーズモジュー
ル（4-9 ページ）を参照してください。
次の表に、光ファイバインターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-52
光ファイバリンク / アクティビティ LED
ステータス
説明
上（アクティビティ）
インターフェイスにアクティビティが発生すると、ライトが点滅しま
す。消灯時は、アクティビティがありません。
下（リンク）
インターフェイスにリンクがある場合、ライトが点灯します。消灯して
いる場合は、リンクが存在しません。
Firepower 7000 および 8000 シリーズインストールガイド
7-39
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、光ファイバインターフェイスのバイパス LED の説明を示します。
表 7-53
ファイババイパス LED
ステータス
説明
消灯
インターフェイスペアは、リンクが存在せず、バイパスモードでない
か、電力が供給されていません。
緑色で点灯
インターフェイスペアは、リンクが存在し、トラフィックが通過してい
ます。
黄色で点灯
インターフェイスは意図的に停止されています。
オレンジに点滅
インターフェイスがバイパスモードになっている、つまり、フェール
オープンの状態になっています。
次の表に、光ファイバインターフェイスの光パラメータの説明を示します。
表 7-54
40GBASE-SR4 NetMod 光パラメータ
パラメータ
40GBASE-SR4
光コネクタ
OTP/MTP 1 列構成、光ファイバポジション 12 個。外
側の 8 個の光ファイバのみ使用されます。
ビットレート
40.000 Gbps
ボーレート /符号化/許容値
10.3125 Gbps 
64/66b 符号化
+/- 100 ppm
光インターフェイス
マルチモード
動作距離
320 フィート（100 m）
50 µm / 125 µm ファイバ（OM3）の場合
最小距離：2 フィート（0.5 m）
40G 光学素子は MPO コネクタ付きの 8 本のファイ
バケーブルで伝送されます。
トランスミッタの波長
840 ～ 860 nm（通常 850 nm）
最大平均起動電力
2.4 dBm
最小平均起動電力
-7.8 dBm
レシーバでの最大平均電力
2.4 dBm
レシーバ感度
-9.5 dBm
Firepower 7000 および 8000 シリーズインストールガイド
7-40
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
クワッドポート 1000BASE-T 銅線非バイパス NetMod
クワッドポート 1000BASE-T 銅線非バイパス NetMod には、4 つの銅線ポートと、リンク LED と
アクティビティ LED があります。
次の表に、銅線 LED の説明を示します。
表 7-55
非バイパス銅線リンク / アクティビティ LED
ステータス
説明
両方の LED がオフ
インターフェイスにリンクがない。
リンクがオレンジ
インターフェイスのトラフィック速度が 10 Mb または 100 Mb。
リンクが緑
インターフェイスのトラフィック速度が 1 Gb。
アクティビティが緑に点滅
インターフェイスにリンクがあり、トラフィックが通過中。
クワッドポート 1000BASE-SX ファイバ非バイパス NetMod
クワッドポート 1000BASE-SX ファイバ非バイパス NetMod には、4 つのファイバポートと、リン
ク LED とアクティビティ LED があります。
ファイバインターフェイス上のリンク LED とアクティビティ LED については、次の表を参照
してください。
表 7-56
非バイパスファイバリンク / アクティビティ LED
ステータス
説明
上
（アクティビティ）
インラインインターフェイスまたはパッシブインターフェイス
の場合：インターフェイスにアクティビティがある場合、ライト
が点滅します。消灯時は、アクティビティがありません。
下
（リンク）
インラインインターフェイスの場合：インターフェイスにリンク
がある場合、ライトが点灯します。消灯時は、リンクがありません。
パッシブインターフェイスの場合：ライトは常時点灯します。
Firepower 7000 および 8000 シリーズインストールガイド
7-41
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、光ファイバインターフェイスの光パラメータの説明を示します。
表 7-57
1000BASE-SX NetMod 光パラメータ
パラメータ
1000BASE-SX
光コネクタ
LC デュプレックス
1000 Mbps
ビットレート
ボーレート /符号化/許容値
1250 Mbps
8b/10b 符号化
光インターフェイス
マルチモード
動作距離
656 フィート（200 m）（62.5 µm/125 µm ファイバの場合）
1640 フィート（500 m）（50 µm/125 µm ファイバの場合）
トランスミッタ波長
最大平均起動電力
770 ～ 860 nm（通常 850 nm）
0 dBm
最小平均起動電力
-9.5 dBm
レシーバでの最大平均電力
0 dBm
レシーバ感度
-17 dBm
クワッドポート 10GBASE（MMSR または SMLR）ファイバ非バイパス NetMod
クワッドポート 10GBASE（MMSR または SMLR）ファイバ非バイパス NetMod には、4 つのファ
イバポートと、リンク LED とアクティビティ LED があります。
注意
クワッドポート 10GBASE 非バイパス NetMod には取り外し不可の SFP があります。SFP を取り
外そうとすると、モジュールが破損することがあります。
次の表に、光ファイバインターフェイスのリンク LED とアクティビティ LED の説明を示します。
表 7-58
光ファイバリンク / アクティビティ LED
ステータス
説明
上
インラインインターフェイスまたはパッシブインターフェイスの場合：
インターフェイスにアクティビティがある場合、ライトが点滅します。
消灯時は、アクティビティがありません。
下
インラインインターフェイスの場合：インターフェイスにリンクがある
場合、ライトが点灯します。消灯時は、リンクがありません。
パッシブインターフェイスの場合：ライトは常時点灯します。
Firepower 7000 および 8000 シリーズインストールガイド
7-42
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の表に、ファイバインターフェイスの光パラメータの説明を示します。
表 7-59
10GBASE MMSR および SMLR NetMod 光パラメータ
パラメータ
10GBASE MMSR
10GBASE SMLR
光コネクタ
LC デュプレックス
LC デュプレックス
ビットレート
10.000 Gbps
10.000 Gbps
ボーレート /
符号化/許容値
10.3125 Gbps
64/66b 符号化
+/- 100 ppm
10.3125 Gbps
64/66b 符号化
+/- 100 ppm
光インターフェイス
マルチモード
シングルモードのみ
動作距離
840 ～ 860 nm 
（標準 850 nm）
1270-1355 nm 
（標準 1310 nm）
85 フィート（26 m）～ 108 フィート（33 m）（62.5 µm/ 6 フィート～ 6.2 マイル（2 m ～ 10 km）
125 µm ファイバ（それぞれモデル BW 160 ～ 200） 9 µm / 125 µm ファイバの場合
の場合）
216 フィート（66 m）～ 269 フィート（82 m）（50 µm/
125 µm ファイバ（それぞれモデル BW 400 ～ 500）
の場合）
980 フィート（300 m）までの距離では高品質（OM3）
ファイバを利用できます。
最短距離（すべて）：
6 フィート（2 m）
トランスミッタの波長
840 ～ 860 nm 
（標準 850 nm）
1270-1355 nm
（標準 1310 nm）
最大平均起動電力
-1 dBm
-0.5 dBm
最小平均起動電力
-7.3 dBm
-8.2 dBm
レシーバでの最大平均
電力
-1 dBm
-0.5 dBm
レシーバ感度
-9.9 dBm
-14.4 dBm
スタックモジュール
スタックモジュールには、8000 シリーズスタック構成ケーブル用の 2 個の接続ポート、アク
ティビティおよびリンクの LED があります。
Firepower 7000 および 8000 シリーズインストールガイド
7-43
第7章
ハードウェア仕様
Firepower 8000 シリーズデバイス
次の 8000 シリーズモデルではオプションとしてスタックモジュールを使用できます。
•
Firepower 8140 および 8250
•
Firepower および AMP 8350
スタックモジュールは次の 8000 シリーズスタック構成に含まれます。
•
Firepower 8260、8270、および 8290
•
Firepower および AMP 8360、8370、および 8390
次の表に、スタック構成 LED の説明を示します。
表 7-60
スタック構成 LED
ステータス
説明
上
インターフェイスのアクティビティを示します。
下
•
ライトの点滅はインターフェイスにアクティビティがあることを
示します。
•
ライトが消灯している場合、アクティビティはありません。
インターフェイスにリンクがあるかどうかを示します。
•
ライトはインターフェイスにリンクがあることを示します。
•
ライトが消灯している場合、リンクはありません。
Firepower 7000 および 8000 シリーズインストールガイド
7-44
CH A P T E R
8
出荷時の初期状態に Firepower システムア
プライアンスを復元する
シスコのサポートサイトで、Firepower 管理対象デバイスの工場出荷時設定の復元と再イメージ
化のための ISO イメージを提供しています。
詳細については、次の項を参照してください。
•
はじめる前に（8-1 ページ）
•
復元プロセスについて（8-2 ページ）
•
復元 ISO と更新ファイルの入手（8-3 ページ）
•
復元プロセスの開始（8-4 ページ）
•
対話型メニューを使用したアプライアンスの復元（8-7 ページ）
•
次の手順（8-16 ページ）
•
Lights-Out Management の設定（8-16 ページ）
はじめる前に
アプライアンスの工場出荷時設定を復元する前に、復元プロセス中に予期されるシステムの動
作を理解しておく必要があります。
設定およびイベントのバックアップのガイドライン
シスコは、復元プロセスを開始する前に、アプライアンスに存在するバックアップファイルを
すべて削除または移動してから、最新のイベントおよび設定データを外部ロケーションにバッ
クアップすることを推奨します。
アプライアンスの工場出荷時設定を復元すると、アプライアンスのほぼすべての設定とイベン
トデータが失われます。復元ユーティリティはアプライアンスのライセンス、ネットワーク、コ
ンソール、Lights-Out Management（LOM）の設定を保持できますが、復元プロセス完了後にその他
のすべての設定タスクを実行する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
8-1
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
復元プロセスについて
復元プロセスにおけるトラフィックフロー
ネットワークのトラフィックフローが中断されないようにするため、シスコは、アプライアン
スの復元を、保守期間中または中断により展開環境に及ぶ影響が最も少ない時間帯に行うこと
を推奨します。
インライン展開された Firepower デバイスを復元すると、デバイスは非バイパス（フェールク
ローズ）設定にリセットされ、ネットワーク上のトラフィックが中断します。デバイスでバイパ
ス対応インラインセットを設定するまで、トラフィックはブロックされます。デバイス設定を編
集してバイパスを設定する方法の詳細については、『Firepower Management Center 設定ガイド』
の「Managing Devices」の章を参照してください。
復元プロセスについて
アクセス：Admin
Firepower デバイスを復元するには、アプライアンスの内部フラッシュドライブから起動し、対
話型メニューを使用して ISO イメージをアプライアンスにダウンロードしてインストールしま
す。便宜上、復元プロセスの一環としてシステムソフトウェアと侵入ルールの更新をインストー
ルできます。
アプライアンスの再イメージ化は、必ず保守期間に実行してください。再イメージ化により、バ
イパスモードのアプリケーションは非バイパス設定にリセットされ、バイパスモードを再設定
するまではネットワーク上のトラフィックが中断されます。詳細については、復元プロセスにお
けるトラフィックフロー（8-2 ページ）を参照してください。
Web インターフェイスを使用してアプライアンスを復元することはできないことに注意してく
ださい。アプライアンスを復元するには、次のいずれかの方法でアプライアンスに接続する必要
があります。
キーボードとモニタ /KVM
アプライアンスに USB キーボードと VGA モニタを接続できます。これは、KVM（キーボー
ド、ビデオ、マウス）スイッチに接続しているラックマウント型アプライアンスで便利です。
リモートアクセス可能な KVM がある場合、物理的にアクセスできない状態でもアプライア
ンスを復元できます。
シリアル接続/ラップトップ
アプライアンスにコンピュータを接続するために、ロールオーバーシリアルケーブル（別名
ヌルモデムケーブルまたはシスココンソールケーブル）を使用できます。シリアルポート
の場所は、アプライアンスのハードウェア仕様を参照してください。アプライアンスと通信
するには、HyperTerminal や Xmodem などの端末エミュレーションソフトウェアを使用しま
す。各アプライアンスのシリアルポートコネクタの表など、詳細についてはシリアル接続/
ラップトップ（4-22 ページ）を参照してください。
Serial over LAN を使用した Lights-Out Management
Serial over LAN（SoL）接続による Lights-Out Management（LOM）を使用して、限定されたアク
ションのセットを Management Center と Firepower デバイス上で実行できます。アプライア
ンスに物理的にアクセスできない場合は、LOM を使用して復元プロセスを実行できます。
LOM を使用してアプライアンスに接続した後で、物理シリアル接続を使用する場合と同様
の方法で、復元ユーティリティに対してコマンドを発行します。Lights-Out Management は、
デフォルト（eth0）の管理インターフェイスでのみ使用できることに注意してください。詳細
については、Lights-Out Management の設定（8-16 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
8-2
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
復元 ISO と更新ファイルの入手
はじめる前に
•
サポートサイトからアプライアンスの復元 ISO イメージを取得します。復元 ISO とその他
の更新ファイルを入手する方法：（8-4 ページ）を参照してください。
Firepower デバイスを復元する方法：
ステップ 1
適切なストレージメディアにイメージをコピーします。
ステップ 2
アプライアンスに接続します。
ステップ 3
アプライアンスを再起動して、復元ユーティリティを起動します。
次の作業
•
Firepower デバイスを復元する方法：（8-3 ページ）の手順を使用して ISO イメージをインス
トールします。
復元 ISO と更新ファイルの入手
アクセス：すべて
シスコは、アプライアンスを元の工場出荷時設定に復元するための ISO イメージを提供してい
ます。アプライアンスを復元する前に、サポートサイトから正しい ISO イメージを取得してくだ
さい。
アプライアンスの復元に使用する ISO イメージは、そのアプライアンスモデルのサポートをシ
スコがいつ導入したかによって異なります。新しいアプライアンスモデルに対応するためにマ
イナーバージョンと共に ISO イメージがリリースされる場合を除いて、通常 ISO イメージはシ
ステムソフトウェアのメジャーバージョン（5.2 や 5.3 など）に関連付けられます。互換性のない
システムのバージョンをインストールしないように、常にアプライアンスで使用可能な最新の
ISO イメージを使用することをシスコは推奨します。
Firepower デバイスでは内部フラッシュドライブを使用してアプライアンスを起動します。これ
により、復元ユーティリティを実行できます。
シスコはまた、アプライアンスでサポートされる最新バージョンのシステムソフトウェアを常
に実行することを推奨します。アプライアンスをサポートされる最新メジャーバージョンに復
元した後で、システムソフトウェア、侵入ルール、脆弱性データベース（VDB）を更新する必要が
あります。詳細については、適用する更新のリリースノートと『Firepower Management Center 設
定ガイド』を参照してください。
便宜上、復元プロセスの一環としてシステムソフトウェアと侵入ルールの更新をインストール
できます。たとえば、デバイスをバージョン 6.0 に復元してから、この復元プロセスの一部として
さらにバージョン 6.0.0.1 に更新できます。ルール更新はManagement Centerだけで必要であるこ
とに注意してください。
Firepower 7000 および 8000 シリーズインストールガイド
8-3
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
復元プロセスの開始
復元 ISO とその他の更新ファイルを入手する方法：
ステップ 1
サポートアカウントのユーザ名とパスワードを使用して、サポートサイト
（https://sso.cisco.com/autho/forms/CDClogin.html）にログインします。
ステップ 2
ソフトウェアダウンロードセクション（https://software.cisco.com/download/navigator.html）を参
照します。
ステップ 3
ダウンロードしてインストールするシステムソフトウェアで表示されるページの [Find] 領域に
検索文字列を入力します。
たとえば、Firepower のソフトウェアダウンロードを検索するには、Firepower と入力します。
ステップ 4
ダウンロードするイメージ（ISO イメージ）を見つけます。
ページの左側にあるリンクの 1 つをクリックして、ページの該当するセクションを表示します。
たとえば、Firepower システムバージョン 5.4.1 のイメージとリリースノートを表示するには、
[5.4.1 Images] をクリックします。
ステップ 5
ダウンロードする ISO イメージをクリックします。
ファイルのダウンロードが開始されます。
ステップ 6
管理ネットワーク上でアプライアンスがアクセスできる HTTP（Web）サーバ、FTP サーバ、また
は SCP 対応ホストにファイルをコピーします。
注意
電子メールを使用して ISO または更新ファイルを転送しないでください。このように転送する
と、ファイルが破損することがあります。また、ファイルの名前を変更しないでください。復元
ユーティリティでは、ファイル名がサポートサイトでの名前と同一であることが必要です。
復元プロセスの開始
内部フラッシュドライブからアプライアンスを起動して、復元プロセスを開始します。
アプライアンスへのアクセスと接続のレベルが適切であり、ISO イメージが正しいことを確認し
たら、次のいずれかの手順でアプライアンスを復元します。
注意
•
KVM または物理シリアルポートを使用する復元ユーティリティの起動（8-5 ページ）では、
LOM にアクセスできないアプライアンスでの復元プロセスの開始方法を説明します。
•
Lights-Out Management を使用した復元ユーティリティの開始（8-6 ページ）では、SOL 接続を
介し、LOM を使用して復元プロセスを開始する方法を説明します。
この章の手順では、アプライアンスの電源をオフにせずにアプライアンスを復元する方法を説
明します。ただし、何らかの理由で電源をオフにする必要がある場合は、アプライアンスの Web
インターフェイス、Firepower デバイスの CLI の system shutdown コマンド、またはアプライアン
スのシェル（エキスパートモードとも呼ばれます）の shutdown-h now コマンドを使用します。
Firepower 7000 および 8000 シリーズインストールガイド
8-4
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
復元プロセスの開始
KVM または物理シリアルポートを使用する復元ユーティリティの
起動
アクセス：Admin
Firepower デバイスの場合、シスコは内部フラッシュドライブに復元ユーティリティを提供します。
注
アプライアンスは大容量ストレージデバイスをブートデバイスとして使用する可能性がある
ため、初期セットアップのためにアプライアンスにアクセスするときには、KVM コンソールと
一緒に USB 大容量ストレージを使用しないでください。
アプライアンスを工場出荷時設定に復元する必要があるが、物理的にアクセスできない場合は、
LOM を使用して復元プロセスを実行できます。Lights-Out Management を使用した復元ユーティ
リティの開始（8-6 ページ）を参照してください。
復元ユーティリティを開始するには、次の手順を実行します。
ステップ 1
キーボード /モニタまたはシリアル接続を使用し、管理者特権を持つアカウントでアプライアン
スにログインします。パスワードは、アプライアンスの Web インターフェイスのパスワードと同
じです。
ステップ 2
アプライアンスを再起動します。
•
Firepower デバイスで、system reboot と入力します。
アプライアンスがリブートします。
ステップ 3
再起動の状況を監視します。
•
システムがデータベースの検査を実行している場合、次のメッセージが表示されることがあ
ります。The system is not operational yet. Checking and repairing database are in
progress. This may take a long time to finish.
•
キーボードとモニタ接続の場合、アプライアンスが現在インストールされているバージョン
のシステムを起動することを防ぐため、矢印キーの 1 つを素早く押します。
•
シリアル接続の場合、BIOS 起動オプションが表示されたら、Tab キーをゆっくりと繰り返し
押します（アプライアンスが現在インストールされているバージョンのシステムを起動する
ことを防ぐため）。LILO boot プロンプトが表示されます。次に例を示します。
LILO 22.8 boot:
System-5.4 System_Restore
ステップ 4
システムを復元することを指定します。
•
キーボード /モニタ接続の場合、矢印キーを使用して [System_Restore] を選択し、Enter キー
を押します。
•
シリアル接続の場合、プロンプトで System_Restore と入力し、Enter キーを押します。
以下の選択項目の後に boot プロンプトが表示されます。
0. Load with standard console
1. Load with serial console
ステップ 5
復元ユーティリティの対話型メニューの表示モードを選択します。
•
キーボード /モニタ接続の場合、0 と入力して Enter キーを押します。
•
シリアル接続の場合、1 と入力して Enter キーを押します。
Firepower 7000 および 8000 シリーズインストールガイド
8-5
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
復元プロセスの開始
表示モードを選ばない場合、復元ユーティリティは 30 秒後にデフォルトの標準コンソールを表
示します。
アプライアンスをこのメジャーバージョンに初めて復元する場合以外は、最後に使用した復元
設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確
認します。
ステップ 6
Enter キーを押して、著作権表示を確認します。
次の作業
•
対話型メニューを使用したアプライアンスの復元（8-7 ページ）に進みます。
Lights-Out Management を使用した復元ユーティリティの開始
アクセス：Admin
アプライアンスを工場出荷時設定に復元する必要があるが、アプライアンスに物理的にアクセ
スできない場合は、LOM を使用して復元プロセスを実行できます。初期設定を行うために LOM
を使用する場合は、初期設定時にネットワーク設定を保持する必要があることに注意してくだ
さい。また、Lights-Out Management は、デフォルト（eth0）の管理インターフェイスでのみ使用で
きることにも注意してください。
注
LOM を使用してアプライアンスを復元する前に、LOM を有効にする必要があります。
Lights-Out Management の設定（8-16 ページ）を参照してください。
Lights-Out Management を使用して復元ユーティリティを開始する方法：
ステップ 1
コンピュータのコマンドプロンプトで、IPMI コマンドを入力して SoL セッションを開始します。
•
IPMItool では次のように入力します。
sudo ipmitool -I lanplus -H IP_address -U username sol activate
•
ipmiutil では次のように入力します。
sudo ipmiutil sol -a -V4 -J3 -N IP_address -U username -P password
ここで、IP_address はアプライアンスの管理インターフェイスの IP アドレス、username は承認
LOM アカウントのユーザ名、password はそのアカウントのパスワードです。sol activate コマン
ドを発行した後に、IPMItool はパスワードの入力を要求することに注意してください。
Firepower デバイスを使用している場合は、expert と入力して、シェルプロンプトを表示します。
ステップ 2
root ユーザとしてアプライアンスをリブートします。
•
Firepower デバイスでは、system reboot と入力します。
アプライアンスがリブートします。
ステップ 3
再起動状況の監視
システムがデータベースの検査を実行している場合、次のメッセージが表示されることがあり
ます。The system is not operational yet. Checking and repairing database are in progress.
This may take a long time to finish.
Firepower 7000 および 8000 シリーズインストールガイド
8-6
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
BIOS 起動オプションが表示されたら、LILO boot プロンプトが表示されるまで Tab キーをゆっ
くりと繰り返し押します（アプライアンスが現在インストールされているバージョンのシステ
ムを起動することを防ぐため）。次に例を示します。
LILO 22.8 boot:
System-5.4 System_Restore
ステップ 4
boot
プロンプトで System_Restore と入力して、復元プロセスを開始します。
以下の選択項目の後に boot プロンプトが表示されます。
0. Load with standard console
1. Load with serial console
ステップ 5
注
と入力して Enter キーを押します。アプライアンスのシリアル接続を介して対話型の復元メ
ニューが読み込まれます。
1
表示モードを選ばない場合、復元ユーティリティは 30 秒後にデフォルトの標準コンソールを表
示します。
アプライアンスをこのメジャーバージョンに初めて復元する場合以外は、最後に使用した復元
設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確
認します。
ステップ 6
Enter キーを押して、著作権表示を確認します。
次の作業
•
対話型メニューを使用したアプライアンスの復元（8-7 ページ）に進みます。
対話型メニューを使用したアプライアンスの復元
Firepower デバイスの復元ユーティリティでは、対話型メニューによって復元処理を進められます。
注
アプライアンスの再イメージ化は、必ず保守期間中に行ってください。再イメージ化により、バ
イパスモードのアプリケーションは非バイパス設定にリセットされ、バイパスモードを再設定
するまではネットワーク上のトラフィックが中断されます。詳細については、復元プロセスにお
けるトラフィックフロー（8-2 ページ）を参照してください。
メニューに表示されるオプションを次の表に示します。
Firepower 7000 および 8000 シリーズインストールガイド
8-7
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
表 8-1
復元メニューのオプション
オプション
説明
1 IP Configuration
復元するアプライアンスの管理インターフェイアプライアンスの管理インターフェイ
スの指定（8-9 ページ）
スに関するネットワーク情報を指定します。こ
れにより、ISO および更新ファイルを格納した
サーバとアプライアンスが通信できるようにな
ります。
2 Choose the transport
protocol
アプライアンスを復元するために使用する ISO ISO イメージの場所および転送方式の
イメージの場所と、アプライアンスでファイル指定（8-10 ページ）
のダウンロードに必要なすべての資格情報を指
定します。
3 Select Patches/Rule
Updates
アプライアンスを ISO イメージのベースバー
復元時のシステムソフトウェアおよ
ジョンに復元した後で適用するシステムソフトび侵入ルールの更新（8-11 ページ）
ウェアおよび侵入ルールの更新を指定します。
4 Download and Mount
ISO
適切な ISO イメージと、システムソフトウェア ISO および更新ファイルのダウンロー
ドとイメージのマウント（8-12 ページ）
または侵入ルールの更新をダウンロードしま
す。ISO イメージをマウントします。
5 Run the Install
復元プロセスを開始します。
6 Save Configuration
後で使用できるように復元設定のセットを保存復元設定の保存とロード（8-15 ページ）
するか、または保存されているセットを読み込
みます。
7 Load Configuration
8 Wipe Contents of Disk
ハードドライブの内容に今後アクセスできな
いようにするため、ハードドライブのスクラビ
ング処理を確実に実行します。
詳細情報の参照先
復元プロセスの開始（8-12 ページ）
ハードドライブのスクラビング
（D-1 ページ）
メニュー内の移動には矢印キーを使用します。メニューオプションを選択するには、上下矢印
キーを使用します。ページ下部にある [OK] ボタンと [Cancel] ボタンの切り替えには、左右矢印
キーを使用します。
メニューには、2 種類のオプションが表示されます。
•
番号付きオプションを選択するには、最初に上下矢印キーを使用して正しいオプションを強
調表示してから、ページ下部で [OK] ボタンが強調表示されている状態で Enter キーを押し
ます。
•
複数項目オプション（オプションボタン）を選択する場合は、最初に上下矢印キーを使用し
て正しいオプションを強調表示してから、スペースバーを押して、そのオプションに [X] の
マークを付けます。選択内容を受け入れるには、[OK] ボタンが強調表示されている状態で
Enter キーを押します。
ほとんどの場合、メニューオプション 1、2、4、および 5 をこの順序で実行します。オプションで、
メニューオプション 3 を追加して、復元プロセスでシステムソフトウェアおよび侵入ルールの
更新をインストールします。
アプライアンスに現在インストールされているバージョンとは異なるメジャーバージョンにア
プライアンスを復元する場合は、2 パス復元プロセスが必要です。1 回目のパスでオペレーティ
ングシステムを更新し、2 回目のパスでシステムソフトウェアの新しいバージョンをインス
トールします。
Firepower 7000 および 8000 シリーズインストールガイド
8-8
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
これが 2 回目のパスであるか、または使用する復元設定が復元ユーティリティにより自動的に
読み込まれる場合は、メニューオプション 4：ISO および更新ファイルのダウンロードとイメー
ジのマウント（8-12 ページ）から開始できます。ただしシスコは、操作を続行する前に復元設定
の内容をダブルチェックすることを推奨しています。
ヒント
以前に保存した設定を使用するには、メニューオプション 6 ：復元設定の保存とロード（8-15
ページ）から開始します。設定を読み込んだら、メニューオプション 4：ISO および更新ファイル
のダウンロードとイメージのマウント（8-12 ページ）に進みます。
対話型メニューを使用してアプライアンスを復元するには、次の手順を使用してください。
ステップ 1
1 IP Configuration：アプライアンスの管理インターフェイスの指定（8-9 ページ）を参照してください。
ステップ 2
2 Choose the transport protocol：ISO イメージの場所および転送方式の指定（8-10 ページ）を参照して
ください。
ステップ 3
3 Select Patches/Rule Updates（オプション）：復元時のシステムソフトウェアおよび侵入ルールの更
新（8-11 ページ）を参照してください。
ステップ 4
4 Download and Mount ISO：ISO および更新ファイルのダウンロードとイメージのマウント（8-12 ペー
ジ）を参照してください。
ステップ 5
5 Run the Install：復元プロセスの開始（8-12 ページ）を参照してください。
アプライアンスの管理インターフェイスの指定
アクセス：Admin
復元ユーティリティを実行する際には、最初に復元するアプライアンスの管理インターフェイ
スを指定します。これにより、ISO および更新ファイルをコピーしたサーバとアプライアンスが
通信できるようになります。LOM を使用する場合は、アプライアンスの管理 IP アドレスが LOM
IP アドレスではないことに注意してください。
アプライアンスの管理インターフェイスを指定するには、次の手順を実行します。
ステップ 1
メインメニューで、[1 IP Configuration] を選択します。
ステップ 2
アプライアンスの管理インターフェイス（通常は [th0]）を選択します。
ステップ 3
管理ネットワークに使用するプロトコル（[IPv4] または [IPv6]）を選択します。
管理インターフェイスに IP アドレスを割り当てるためのオプションが表示されます。
ステップ 4
管理インターフェイスに IP アドレスを割り当てる方法（[Static] または [DHCP]）を選択します。
•
[Static] を選択した場合は、一連のページで、管理インターフェイスの IP アドレス、ネット
ワークマスクまたはプレフィックス長、およびデフォルトゲートウェイを手動で入力する
よう促されます。
•
[DHCP] を選択した場合は、管理インターフェイスの IP アドレス、ネットワークマスクまた
はプレフィックス長、およびデフォルトゲートウェイがアプライアンスにより自動的に検
出され、IP アドレスが表示されます。
Firepower 7000 および 8000 シリーズインストールガイド
8-9
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
ステップ 5
プロンプトが表示されたら、設定を確認します。
プロンプトが表示されたら、アプライアンスの管理インターフェイスに割り当てられている IP
アドレスを確認します。
次の作業
•
次の項（ISO イメージの場所および転送方式の指定）に進みます。
ISO イメージの場所および転送方式の指定
アクセス：Admin
復元プロセスで必要なファイルをダウンロードするために使用される管理 IP アドレスを設定し
たら、次にアプライアンスの復元に使用する ISO イメージを指定する必要があります。これは、
サポートサイト（復元 ISO と更新ファイルの入手（8-3 ページ）を参照）からダウンロードし、Web
サーバ、FTP サーバ、または SCP 対応ホストに保存した ISO イメージです。
対話型メニューで、ダウンロードを実行するために必要な情報の入力が求められます。これらの
情報を次の表に示します。
表 8-2
使用する
方式
HTTP
FTP
SCP
復元ファイルのダウンロードに必要な情報
指定する必要がある情報
•
Web サーバの IP アドレス
•
ISO イメージディレクトリのフルパス（例：/downloads/ISOs/）
•
FTP サーバの IP アドレス
•
資格情報が使用されるユーザのホームディレクトリを基準にした ISO イメー
ジディレクトリの相対パス（例：mydownloads/ISOs/）
•
FTP サーバの認証ユーザ名とパスワード
•
SCP サーバの IP アドレス
•
SCP サーバの認証ユーザ名
•
ISO イメージディレクトリのフルパス
•
先に入力したユーザ名のパスワード
パスワードを入力する前に、アプライアンスから、信頼できるホストのリストに
SCP サーバを追加するよう求められることがある点に注意してください。続行す
るには、同意する必要があります。
復元ユーティリティは、ISO イメージディレクトリ内でも更新ファイルを検索することに注意
してください。
Firepower 7000 および 8000 シリーズインストールガイド
8-10
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
復元ファイルの場所および転送方式を指定するには、次の手順を実行します。
ステップ 1
メインメニューで、[2 Choose the transport protocol] を選択します。
ステップ 2
表示されるページで、[HTTP]、[FTP]、または [SCP] を選択します。
ステップ 3
復元ユーティリティにより表示される一連のページで、表 8-2（8-10 ページ）の説明に従い選択し
たプロトコルに必要な情報を入力します。
情報が正しければ、アプライアンスはサーバに接続し、指定された場所のシスコ ISO イメージの
リストを表示します。
ステップ 4
使用する ISO イメージを選択します。
ステップ 5
プロンプトが表示されたら、設定を確認します。
ステップ 6
復元プロセス中にシステムソフトウェアまたは侵入ルールの更新をインストールしますか?
•
インストールする場合は、次の項（復元時のシステムソフトウェアおよび侵入ルールの更新）
に進みます。
•
インストールしない場合は、ISO および更新ファイルのダウンロードとイメージのマウント
（8-12 ページ）に進みます。復元プロセスが完了したら、システムの Web インターフェイスを
使用して手動で更新をインストールできることに注意してください。
復元時のシステムソフトウェアおよび侵入ルールの更新
アクセス：Admin
オプションで、アプライアンスを ISO イメージのベースバージョンに復元した後で、復元ユー
ティリティを使用してシステムソフトウェアおよび侵入ルールを更新できます。ルール更新は
Management Centerだけで必要となることに注意してください。
復元ユーティリティは、1 つのシステムソフトウェア更新と 1 つのルール更新だけを使用できま
す。ただしシステム更新は直前のメジャーバージョンに対して累積されます。ルール更新も累積
されます。シスコでは、ご使用のアプライアンスに対して使用可能な最新の更新を入手すること
を推奨します。復元 ISO と更新ファイルの入手（8-3 ページ）を参照してください。
復元プロセスでアプライアンスを更新しないことを選択した場合、後でシステムの Web イン
ターフェイスを使用して更新できます。詳細については、インストールする更新のリリースノー
ト、および『Firepower Management Center 設定ガイド』の「Updating System Software」の章を参照し
てください。
復元プロセスの一環として更新をインストールするには、次の手順を実行します。
ステップ 1
メインメニューで [3 Select Patches/Rule Updates] を選択します。
復元ユーティリティは、前の手順（ISO イメージの場所および転送方式の指定（8-10 ページ）を参
照）で指定した場所とプロトコルを使用して、その場所にあるすべてのシステムソフトウェア更
新ファイルのリストを取得して表示します。SCP を使用する場合、更新ファイルリストを表示す
るためのプロンプトが表示されたらパスワードを入力します。
ステップ 2
使用するシステムソフトウェア更新がわかっている場合は、それを選択します。
更新を選択しなくてもかまいません。続行するには、更新を選択せずに Enter キーを押します。適
切な場所にシステムソフトウェア更新がない場合は、Enter キーを押して続行するよう求められ
ます。
Firepower 7000 および 8000 シリーズインストールガイド
8-11
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
復元ユーティリティは、ルール更新ファイルのリストを取得して表示します。SCP を使用する場
合、リストを表示するためのプロンプトが表示されたらパスワードを入力します。
ステップ 3
使用するルール更新がわかっている場合は、それを選択します。
更新を選択しなくてもかまいません。続行するには、更新を選択せずに Enter キーを押します。適
切な場所にルール更新がない場合は、Enter キーを押して続行するよう求められます。
次の作業
•
次の項（ISO および更新ファイルのダウンロードとイメージのマウント）に進みます。
ISO および更新ファイルのダウンロードとイメージのマウント
アクセス：Admin
復元プロセスを呼び出す前の最後の手順として、必要なファイルをダウンロードして ISO イ
メージをマウントします。
はじめる前に
•
この手順を開始する前に、復元設定を後で使用できるように保存しておくことをお勧めしま
す。詳細については、復元設定の保存とロード（8-15 ページ）を参照してください。
ISO イメージをダウンロードしてマウントするには、次の手順を実行します。
ステップ 1
メインメニューで [4 Download and Mount ISO] を選択します。
ステップ 2
プロンプトが表示されたら、選択項目を確認します。SCP サーバからダウンロードする場合は、
プロンプトが表示されたらパスワードを入力します。
該当するファイルがダウンロードされ、マウントされます。
次の作業
•
次の項（復元プロセスの開始）に進みます。
復元プロセスの開始
アクセス：Admin
ISO イメージをダウンロードしてマウントしたら、復元プロセスを開始できます。アプライアン
スに現在インストールされているバージョンとは異なるメジャーバージョンにアプライアンス
を復元する場合は、2 パス復元プロセスが必要です。1 回目のパスでオペレーティングシステム
を更新し、2 回目のパスでシステムソフトウェアの新しいバージョンをインストールします。
2 つのパスのうちの 1 回目のパス（メジャーバージョンの変更のみ）
アプライアンスを異なるメジャーバージョンに復元する場合は、復元ユーティリティによる 1
回目のパスではアプライアンスのオペレーティングシステムと、必要に応じて復元ユーティリ
ティ自体が更新されます。
Firepower 7000 および 8000 シリーズインストールガイド
8-12
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
注
アプライアンスを同じメジャーバージョンに復元する場合、またはこれがこのプロセスの 2 回
目のパスの場合は、次の手順（2 回目のパス、および 1 つのパスのみ（8-14 ページ））に進みます。
2 パス復元プロセスの 1 回目のパスを実行する方法：
ステップ 1
メインメニューで [5 Run the Install] を選択します。
ステップ 2
プロンプトが表示されたら（2 回）、アプライアンスを再起動することを確認します。
ステップ 3
再起動を監視し、復元プロセスを再度開始します。
•
システムがデータベースの検査を実行している場合、次のメッセージが表示されることがあ
ります。The system is not operational yet. Checking and repairing database are in
progress. This may take a long time to finish.
•
キーボードとモニタ接続の場合、アプライアンスが現在インストールされているバージョン
のシステムを起動することを防ぐため、矢印キーの 1 つを素早く押します。
•
シリアル接続または SOL/LOM 接続の場合、BIOS ブートオプションが表示されたら、LILO
boot プロンプトが表示されるまで、Tab キーをゆっくりと繰り返し押します。次に例を示し
ます。
LILO 22.8 boot:
System-5.4 System_Restore
ステップ 4
システムを復元することを指定します。
•
キーボード /モニタ接続の場合、矢印キーを使用して [System_Restore] を選択し、Enter キー
を押します。
•
シリアル接続または SOL/LOM 接続の場合、プロンプトで System_Restore と入力し、Enter
キーを押します。
いずれの場合でも、以下の選択項目の後に boot プロンプトが表示されます。
0. Load with standard console
1. Load with serial console
ステップ 5
復元ユーティリティの対話型メニューの表示モードを選択します。
•
キーボード /モニタ接続の場合、0 と入力して Enter キーを押します。
•
シリアル接続または SOL/LOM 接続の場合、1 と入力して Enter キーを押します。
表示モードを選ばない場合、復元ユーティリティは 30 秒後にデフォルトの標準コンソールを表
示します。
アプライアンスをこのメジャーバージョンに初めて復元する場合以外は、最後に使用した復元
設定がユーティリティにより自動的に読み込まれます。続行するには、一連のページで設定を確
認します。
ステップ 6
Enter キーを押して、著作権表示を確認します。
Firepower 7000 および 8000 シリーズインストールガイド
8-13
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
次の作業
•
対話型メニューを使用したアプライアンスの復元（8-7 ページ）から開始して、プロセスの 2
回目のパスを開始します。
2 回目のパス、および 1 つのパスのみ
復元プロセスの 2 回目のパスまたは 1 つだけのパスを実行するには、次の手順を使用します。
復元プロセスの 2 回目のパスまたは 1 つだけのパスを実行するには、次の手順を実行します。
ステップ 1
メインメニューで [5 Run the Install] を選択します。
ステップ 2
アプライアンスを復元することを確認し、次のステップに進みます。
ステップ 3
アプライアンスのライセンスおよびネットワーク設定を削除するかどうかを選択します。これ
らの設定を削除すると、表示（コンソール）および LOM の設定もリセットされます。
ほとんどの場合、初期設定プロセスが短くなる可能性があるため、これらの設定は削除しないで
ください。復元とそれに続く初期設定の後に設定を変更する場合、通常は、それらの設定を今リ
セットするよりも時間がかかりません。詳細については、次の手順（8-16 ページ）を参照してくだ
さい。
注意
ステップ 4
LOM 接続を使用してアプライアンスを復元する場合には、ネットワーク設定を削除しないでく
ださい。アプライアンスをリブートした後は、LOM 経由で再接続できません。
アプライアンス復元の最終確認を入力します。
復元プロセスの最終段階が開始されます。完了し、プロンプトが表示されたら、アプライアンス
を再起動することを確認します。
注意
復元プロセスが完了するまで十分な時間をおいてください。内部フラッシュドライブを備えた
アプライアンスでは、ユーティリティは最初にフラッシュドライブを更新し、その後このフラッ
シュドライブを使用して他の復元タスクが実行されます。フラッシュ更新中に（Ctrl + C を押す
操作などにより）終了すると、回復不能なエラーが発生する可能性があります。復元にかかる時
間が長すぎる場合、または復元プロセスに関連する他の問題が発生している場合は、終了しない
でください。代わりに、サポートに連絡してください。
注
再イメージ化により、バイパスモードのアプリケーションは非バイパス設定にリセットされ、バ
イパスモードを再設定するまではネットワーク上のトラフィックが中断されます。詳細につい
ては、復元プロセスにおけるトラフィックフロー（8-2 ページ）を参照してください。
次の作業
•
次の手順（8-16 ページ）に進みます。
Firepower 7000 および 8000 シリーズインストールガイド
8-14
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
対話型メニューを使用したアプライアンスの復元
復元設定の保存とロード
アクセス：Admin
復元ユーティリティを使用して復元設定を保存できます。復元設定は、Firepower デバイスを再
び復元する必要が生じた場合に使用します。復元ユーティリティは最後に使用された設定を自
動的に保存しますが、次のような複数の設定を保存することもできます。
•
アプライアンスの管理インターフェイスに関するネットワーク情報。アプライアンスの管理
インターフェイスの指定（8-9 ページ）を参照してください。
•
復元 ISO イメージの場所と、アプライアンスがファイルをダウンロードするために必要とす
る転送プロトコルおよび資格情報。ISO イメージの場所および転送方式の指定（8-10 ページ）
を参照してください。
•
アプライアンスを ISO イメージのベースバージョンに復元した後で適用するシステムソフ
トウェアと侵入ルールの更新（存在する場合）。復元時のシステムソフトウェアおよび侵入
ルールの更新（8-11 ページ）を参照してください。
SCP パスワードは保存されません。ユーティリティがアプライアンスに ISO やその他のファイ
ルを転送するときに SCP を使用する必要があることが設定で指定されている場合は、復元プロ
セスを実行するためにサーバに対して再度認証を行う必要があります。
復元設定を保存するのに最適な時点は、上記の情報の指定後、ISO イメージをダウンロードして
マウントする前です。
復元設定を保存するには、次の手順を実行します。
ステップ 1
復元ユーティリティのメインメニューから、[6 Save Configuration] を選択します。
ユーティリティにより、保存する設定の設定内容の設定が表示されます。
ステップ 2
プロンプトが表示されたら、設定を保存することを確認します。
ステップ 3
プロンプトが表示されたら、設定の名前を入力します。
次の作業
•
保存された設定を使用してアプライアンスを復元する場合は、ISO および更新ファイルのダ
ウンロードとイメージのマウント（8-12 ページ）に進みます。
復元設定を読み込むには、次の手順を実行します。
ステップ 1
メインメニューで、[7 Load Configuration] を選択します。
ユーティリティにより、保存されている復元設定のリストが表示されます。1 番目のオプション
[default_config] は、最後にアプライアンスを復元する際に使用した設定です。その他のオプショ
ンは、これまでに保存した復元設定です。
ステップ 2
使用する設定を選択します。
ユーティリティにより、読み込む設定の設定内容が表示されます。
ステップ 3
プロンプトが表示されたら、設定を読み込むことを確認します。
設定が読み込まれます。プロンプトが表示されたら、アプライアンスの管理インターフェイスに
割り当てられている IP アドレスを確認します。
Firepower 7000 および 8000 シリーズインストールガイド
8-15
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
次の手順
次の作業
•
読み込まれた設定を使用してアプライアンスを復元する場合は、ISO および更新ファイルの
ダウンロードとイメージのマウント（8-12 ページ）に進みます。
次の手順
アプライアンスの工場出荷時設定を復元すると、アプライアンスのほぼすべての設定とイベン
トデータ（インライン展開されたデバイスのバイパス設定を含む）が失われます。詳細について
は、復元プロセスにおけるトラフィックフロー（8-2 ページ）を参照してください。
アプライアンスの復元後に、初期設定プロセスを実行する必要があります。
•
アプライアンスのライセンスおよびネットワーク設定を削除していない場合は、管理ネット
ワーク上のコンピュータを使用して、アプライアンスの Web インターフェイスを直接参照
し、設定を実行できます。詳細については、初期設定ページ：Firepower デバイス（5-6 ページ）
を参照してください。
•
ライセンスとネットワーク設定を削除している場合は、アプライアンスを新品の場合と同様
に設定する必要があります。最初に、管理ネットワークと通信するように設定します。
Firepower 管理対象デバイスの設定（5-1 ページ）を参照してください。
ライセンスおよびネットワーク設定を削除すると、表示（コンソール）設定と LOM 設定もリセッ
トされることに注意してください。初期設定プロセスの完了後：
•
シリアル接続または SOL/LOM 接続を使用してアプライアンスのコンソールにアクセスす
る場合は、コンソール出力をリダイレクトする必要があります。インラインバイパスイン
ターフェイスの設置のテスト（4-26 ページ）を参照してください。
•
LOM を使用する場合は、機能を再度有効にし、1 つ以上の LOM ユーザを有効にします。LOM
および LOM ユーザの有効化（8-18 ページ）を参照してください。
Lights-Out Management の設定
Firepower デバイスを工場出荷時設定に復元する必要があるが、アプライアンスに物理的にアク
セスできない場合は、Lights-Out Management（LOM）を使用して復元プロセスを実行できます。
Lights-Out Management は、デフォルト（eth0）の管理インターフェイスでのみ使用できることに
注意してください。
注
Firepower 71xx、Firepower 82xx、または Firepower または AMP 83xx デバイスのベースボード管理
コントローラ（BMC）は、ホストの電源がオンのときにのみ 1Gbps のリンク速度でアクセスでき
ます。デバイスの電源がオフの場合、BMC は 10/100 Mbps でのみイーサネットリンクを確立で
きます。したがって、デバイスにリモートから電源供給するために LOM を使用している場合は、
10/100 Mbps のリンク速度だけを使用してデバイスをネットワークに接続してください。
LOM 機能により、Serial over LAN（SoL）の接続を使用して、Firepower デバイスに対して限定され
たアクションのセットを実行できます。LOM では、アウトオブバンド管理接続でコマンドライ
ンインターフェイスを使用して、シャーシシリアル番号の確認や、ファン速度や温度などの状
況の監視といった作業を行うことができます。
LOM コマンドの構文は、使用しているユーティリティにより異なりますが、通常 LOM コマンド
には、次の表に示す要素が含まれています。
Firepower 7000 および 8000 シリーズインストールガイド
8-16
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
Lights-Out Management の設定
.
表 8-3
LOM コマンド構文
IPMItool（Linux/Mac） ipmiutil（Windows）
説明
ipmitool
ipmiutil
IPMI ユーティリティを起動します。
n/a
v4
ipmiutil のみ。LOM セッションで管理特権を有効
にします。
-I lanplus
-J3
LOM セッションの暗号化を有効にします。
-H IP_address
-N IP_address
アプライアンスの管理インターフェイスの IP ア
ドレスを指定します。
-U username
-U username
承認済み LOM アカウントのユーザ名を指定します。
n/a（ログオン時に求 -P password
められます）
ipmiutil のみ。承認済み LOM アカウントのパス
ワードを指定します。
command
アプライアンスに対して発行するコマンド。コマ
ンドを発行する場所は、ユーティリティによって
異なります。
command
•
IPMItool の場合、コマンドは最後に入力します。
•
ipmiutil の場合、コマンドは最初に入力します。
IPMItool の場合：
ipmitool -I lanplus -H IP_address -U username command
ipmiutil の場合：
ipmiutil command -V4 -J3 -N IP_address -U username -P password
コマンドと chassis power cycle コマンドは 70xx ファミリアプライアンス
では無効であることに注意してください。Firepower システムでサポートされる LOM コマンド
の完全なリストについては、『Firepower Management Center 設定ガイド』の「Configuring Appliance
Settings」の章を参照してください。
chassis power off
注
SOL を使用して 7000 シリーズデバイスに接続するには、その前に、デバイスの管理インター
フェイスに接続されたサードパーティのスイッチング装置の Spanning Tree Protocol（STP）を無
効にする必要があります。
注
電源の再投入のシナリオによっては、管理インターフェイス経由でネットワークに接続された
Firepower 7050 のベースボード管理コントローラ（BMC）は、DHCP サーバによって割り当てられ
た IP アドレスを消失する可能性があります。このため、シスコでは Firepower 7050 BMC を静的
IP アドレスで設定することを推奨しています。ネットワークケーブルの切断と再接続やデバイ
スの電力遮断と再投入により、リンクの再ネゴシエーションを強制的に行うことができます。
LOM を使用してアプライアンスを復元するには、その前に、アプライアンスと復元を実行する
ユーザの両方に対して LOM を有効にする必要があります。次に、サードパーティの Intelligent
Platform Management Interface（IPMI）ユーティリティを使用して、アプライアンスにアクセスし
ます。また、アプライアンスのコンソール出力をシリアルポートにリダイレクトしていることも
確認する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
8-17
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
Lights-Out Management の設定
詳細については、次の項を参照してください。
•
LOM および LOM ユーザの有効化（8-18 ページ）
•
IPMI ユーティリティのインストール（8-19 ページ）
LOM および LOM ユーザの有効化
アクセス：Admin
LOM を使用してアプライアンスを復元するには、その前に、この機能を有効にして設定する必要
があります。この機能を使用するユーザに対して LOM 権限を明示的に付与する必要もあります。
各アプライアンスのローカル Web インターフェイスを使用して、アプライアンスごとに LOM
と LOM ユーザを設定します。つまり、Management Center を使用して Firepower デバイスで LOM
を設定することはできません。同様に、ユーザはアプライアンスごとに個別に管理されるため、
Management Center で LOM 対応ユーザを有効化または作成しても、Firepower デバイスのユーザ
にはその機能が伝達されません。
LOM ユーザには、次のような制約もあります。
ヒント
•
ユーザに Administrator ロールを割り当てる必要があります。
•
ユーザ名には最大で 16 文字の英数字を使用できます。LOM ユーザに対し、ハイフンとこれ
よりも長いユーザ名はサポートされていません。
•
パスワードには、最大で 20 文字の英数字を使用できます。LOM ユーザに対し、これよりも長
いパスワードはサポートされていません。ユーザの LOM パスワードは、そのユーザのシス
テムパスワードと同じです。
•
Management Center および 8000 シリーズデバイスには、最大 13 人の LOM ユーザを設定で
きます。7000 シリーズデバイスには、最大 8 人の LOM ユーザを設定できます。
以下の作業の詳細については、『Firepower Management Center 設定ガイド』の「Configuring
Appliance Settings」の章を参照してください。
LOM を有効にするには、次の手順を実行します。
ステップ 1
[System] > [Configuration] を選択し、[Console Configuration] をクリックします。
ステップ 2
次のステップは、アプライアンスのモデルによって異なります。
注
•
Firepower 8000 シリーズデバイスで LOM を有効にするには、物理シリアルポートを使用して
リモートアクセスを有効にする必要があります。その後、LOM の IP アドレス、ネットマス
ク、およびデフォルトゲートウェイを指定できます（または DHCP を使用してこれらの値が
自動的に割り当てられるようにします）。
•
Firepower 7000 シリーズデバイスでは [Lights Out Management] を選択して、LOM 設定を行
います。7000 シリーズデバイスでは、LOM と物理シリアルアクセスは同時にサポートされ
ません。
LOM IP アドレスは、アプライアンスの管理インターフェイスの IP アドレスとは異なる必要があ
ります。
Firepower 7000 および 8000 シリーズインストールガイド
8-18
第8章
出荷時の初期状態に Firepower システムアプライアンスを復元する
Lights-Out Management の設定
Firepower システムユーザに対して LOM 機能を有効にするには、次の手順を実行します。
ステップ 1
[System] > [User Management] を選択し、既存のユーザを編集して LOM 許可を追加するか、また
はアプライアンスへの LOM アクセスに使用する新規ユーザを作成します。
ステップ 2
[User Configuration] ページで、[Administrator] ロールがまだ有効になっていない場合は、このロー
ルを有効にします。
ステップ 3
[Allow Lights-Out Management Access] チェックボックスをオンにし、変更を保存します。
IPMI ユーティリティのインストール
アプライアンスへの SOL 接続を作成するには、コンピュータでサードパーティ IPMI ユーティリ
ティを使用します。
Linux または Mac OS が稼働しているコンピュータでは、IPMItool を使用します。IPMItool は多く
の Linux ディストリビューションで標準ですが、Mac には IPMItool をインストールする必要が
あります。最初に、Apple の xCode 開発ツールパッケージが Mac にインストールされていること
を確認します。コマンドライン開発のためのオプションコンポーネント（新しいバージョンでは
「UNIX Development」および「System Tools」、古いバージョンでは「Command Line Support」）がイ
ンストールされていることも確認します。最後に、MacPorts および IPMItool をインストールしま
す。詳細については、検索エンジンを使用するか、または次のサイトを参照してください。
https://developer.apple.com/technologies/tools/
http://www.macports.org/
Windows 環境では ipmiutil を使用します。このツールは各自でコンパイルする必要があります。
コンパイラにアクセスできない場合は、ipmiutil 自体を使用してコンパイルできます。詳細につ
いては、検索エンジンを使用するか、または次のサイトを参照してください。
http://ipmiutil.sourceforge.net/
Firepower 7000 および 8000 シリーズインストールガイド
8-19
第8章
Lights-Out Management の設定
Firepower 7000 および 8000 シリーズインストールガイド
8-20
出荷時の初期状態に Firepower システムアプライアンスを復元する
A P P E N D I X
A
Firepower デバイスの所要電力
警告と注意
このマニュアルには警告と注意の両方が含まれています。警告は、安全性に関連するものです。
警告に従わないと、けがや機器の損傷を引き起こす可能性があります。注意は、正常に機能する
ための要件です。注意に従わないと、操作が正しく行われない結果となることがあります。
注意
機器またはサブアセンブリの屋内ポートは、建物内配線や露出配線、またはケーブル配線のみの
接続に適しています。機器またはサブアセンブリの屋内ポートは、局外設備（OSP）あるいはその
配線に接続されるインターフェイスに金属で接続してはなりません。これらのインターフェイ
スは、屋内インターフェイス専用（GR-1089-CORE Issue 4 に記載されたタイプ 2 ポートまたはタ
イプ 4 ポート）に設計されており、屋外用の OSP ケーブルと区別する必要があります。これらの
インターフェイスを金属で OSP 配線と接続する場合、プライマリプロテクタを追加するだけで
は、十分に保護されません。
静電気対策
注意
アプライアンスの開梱、設置、移動の前に、静電気放電対策手順（接地リストストラップや静電気
防止用の作業台の使用など）を実施してください。過剰な静電気放電は、アプライアンスを損傷
し、意図しない操作が行われる可能性があります。
Firepower 70xx ファミリアプライアンス
ここでは、次の所要電力について説明します。
•
Firepower 7010、7020、および 7030（CHRY-1U-AC）
•
Firepower 7050（NEME-1U-AC）
これらのアプライアンスは、National Electric Code が適用される場所やネットワーク通信施設
で、認定を受けた担当者により設置されるものです。それぞれ、AC アプライアンスとしてのみ使
用可能であることに注意してください。
シスコでは、返品に備えて梱包材を保管しておくことを推奨します。
Firepower 7000 および 8000 シリーズインストールガイド
A-1
付録 A
Firepower デバイスの所要電力
Firepower 70xx ファミリアプライアンス
詳細については、次の項を参照してください。
•
回路の配置、電圧、電流、周波数範囲、および電源コードの詳細についてはインストール
（A-2 ページ）を参照してください。
•
ボンディング位置、推奨される端子、およびアース線の要件については接地要件（A-2 ページ）
を参照してください。
インストール
このアプライアンスは、NFPA 70 の 250 条、National Electric Code（NEC）ハンドブック、および地
域の電気規格の要件に従って設置する必要があります。
このアプライアンスは 1 つの電源を使用します。Firepower システムを装着するネットワーク機
器の入力位置に外部電力サージ保護装置を使用する必要があります。
回路の定格は、アプライアンスのフル定格に基づいている必要があります。
電圧
電源は公称 100VAC ～ 240VAC（最大 90VAC ～ 264VAC）で動作します。この範囲を超える電圧を
使用すると、アプライアンスが損傷する恐れがあります。
電流
ラベルに記載されている定格電流は、フルレンジで最大 2A です。火災発生の可能性を抑えるた
め、適切なワイヤおよびブレーカーを使用する必要があります。
周波数範囲
AC 電源の周波数範囲は 47 Hz ～ 63 Hz です。この範囲外の周波数では、アプライアンスが動作し
ないか、または正しく動作しない可能性があります。
電源コード
電源の電源接続部は IEC C14 コネクタです。IEC C13 コネクタも使用可能です。UL 認定電源
コードを使用する必要があります。最小ワイヤゲージは 16 AWG です。アプライアンスに付属の
コードは 16 AWG、UL 認定コード（NEMA 515P プラグ付き）です。ほかの電源コードについては、
工場にお問い合わせください。
注
電源のコードを切断しないでください。
接地要件
アプライアンスは、共通ボンディング網に接地する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-2
付録 A
Firepower デバイスの所要電力
Firepower 71xx ファミリアプライアンス
ボンディング位置
接地ボンディング位置は、シャーシの背面です。M4 スタッドが提供されます。リング端子を接続
するための外歯ロックワッシャが提供されます。標準接地記号を各スタッドに使用できます。
次の図は、シャーシのボンディング位置を示します。
推奨される端子
接地接続には、UL 認定の端子を使用する必要があります。#6（M3.5）スタッド用の隙間穴付きリ
ング端子を使用できます。16 AWG ワイヤ用には AMP/Tyco 36151 が推奨されます。これは、#6 ス
タッド用の穴付き UL 認定リング端子です。
アース線の要件
単一故障の場合に回路の電流を処理できる十分なサイズのアース線を使用する必要がありま
す。アース線のサイズは、回路保護のために使用されるブレーカーの電流と同等である必要があ
ります。電流（A-2 ページ）を参照してください。
圧着接続を行う前に、裸導線に腐食防止剤が塗布されている必要があります。接地には銅線ケー
ブルだけを使用できます。
Firepower 71xx ファミリアプライアンス
ここでは、次の所要電力について説明します。
•
Firepower 7110 および 7120（GERY-1U-8-AC）
•
Firepower 7115 および 7125（GERY-1U-4C8S-AC）
これらのアプライアンスは、National Electric Code が適用される場所やネットワーク通信施設
で、認定を受けた担当者により設置されるものです。それぞれ、AC アプライアンスとしてのみ使
用可能であることに注意してください。
シスコでは、返品に備えて梱包材を保管しておくことを推奨します。
詳細については、次の項を参照してください。
•
回路の配置、電圧、電流、周波数範囲、および電源コードの詳細についてはインストール
（A-4 ページ）を参照してください。
•
ボンディング位置、推奨される端子、およびアース線の要件については接地要件（A-5 ページ）
を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
A-3
付録 A
Firepower デバイスの所要電力
Firepower 71xx ファミリアプライアンス
インストール
Firepower システムは、NFPA 70 の 250 条、National Electric Code（NEC）ハンドブック、および地域
の電気規格の要件に従って設置する必要があります。
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる 220V 回路に接続しています。各回路は、ラベルに記載されているよ
うに 5A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ 220V 回路に接続されています。この回路の最大引き込み電流量は、ラベル
に記載されているように 5A です。
電圧
電源は公称 100VAC ～ 240VAC（最大 85VAC ～ 264VAC）で動作します。この範囲を超える電圧を
使用すると、アプライアンスが損傷する恐れがあります。
電流
各電源のラベルに記載されている定格電流：電源あたりフルレンジで最大 10A、電源あたり
187VAC ～ 264VAC で最大 5A。火災発生の可能性を抑えるため、適切なワイヤおよびブレーカー
を使用する必要があります。
周波数範囲
AC 電源の周波数範囲は 47 Hz ～ 63 Hz です。この範囲外の周波数では、アプライアンスが動作し
ないか、または正しく動作しない可能性があります。
電源コード
電源の電源接続部は IEC C14 コネクタです。IEC C13 コネクタも使用可能です。UL 認定電源コー
ドを使用する必要があります。最小ワイヤゲージは 16 AWG です。アプライアンスに付属のコー
ドは 16 AWG、UL 認定コード（NEMA 515P プラグ付き）です。ほかの電源コードについては、工場
にお問い合わせください。
Firepower 7000 および 8000 シリーズインストールガイド
A-4
付録 A
Firepower デバイスの所要電力
Firepower 81xx ファミリアプライアンス
接地要件
Firepower システムは共通ボンディング網に接地する必要があります。
ボンディング位置
接地ボンディング位置は、シャーシの背面です。M4 スタッドが提供されます。リング端子を接続
するための外歯ロックワッシャが提供されます。標準接地記号を各スタッドに使用できます。
次の図は、シャーシのボンディング位置を示します。
推奨される端子
接地接続には、UL 認定端子を使用する必要があります。4mm または #8 スタッド用の隙間穴付き
リング端子を使用できます。10-12 AWG 線には、Tyco 34853 が推奨されます。これは、#8 スタッド
用の穴付き UL 認定リング端子です。
アース線の要件
単一故障の場合に回路の電流を処理できる十分なサイズのアース線を使用する必要がありま
す。アース線のサイズは、回路保護のために使用されるブレーカーの電流と同等である必要があ
ります。電流（A-4 ページ）を参照してください。
圧着接続を行う前に、裸導線に腐食防止剤が塗布されている必要があります。接地には銅線ケー
ブルだけを使用できます。
Firepower 81xx ファミリアプライアンス
ここでは、次の所要電力について説明します。
•
Firepower 8120、8130、および 8140（CHAS-1U-AC、CHAS-1U-DC、または CHAS-1U-AC/DC）
これらのアプライアンスは、National Electric Code が適用される場所やネットワーク通信施設
で、認定を受けた担当者により設置されるものです。
シスコでは、返品に備えて梱包材を保管しておくことを推奨します。
詳細については、次の項を参照してください。
•
回路の配置、電圧、電流、周波数範囲、および電源コードの詳細については AC 電源の設置
（A-6 ページ）を参照してください。
•
回路の配置、電圧、電流、接地基準、端子、ブレーカーの要件、および最小ワイヤサイズについ
ては、DC 電源の設置（A-7 ページ）を参照してください。
•
ボンディング位置、推奨される端子、アース線の要件、および DC 電源については接地要件
（A-8 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
A-5
付録 A
Firepower デバイスの所要電力
Firepower 81xx ファミリアプライアンス
AC 電源の設置
Firepower システムは、NFPA 70 の 250 条、National Electric Code（NEC）ハンドブック、および地域
の電気規格の要件に従って設置する必要があります。
注意
AC 電源に DC 電源を接続しないでください。
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる 220V 回路に接続しています。各回路は、ラベルに記載されているよ
うに 5A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ 220V 回路に接続されています。この回路の最大引き込み電流量は、ラベル
に記載されているように 5A です。
AC 電圧
電源は公称 100VAC ～ 240VAC（最大 85VAC ～ 264 VAC）で動作します。この範囲を超える電圧を
使用すると、アプライアンスが損傷する恐れがあります。
AC 電流
各電源のラベルに記載されている定格電流：電源あたりフルレンジで最大 5.2A、電源あたり
187VAC ～ 264VAC で最大 2.6A。火災発生の可能性を抑えるため、適切なワイヤおよびブレー
カーを使用する必要があります。
周波数範囲
AC 電源の周波数範囲は 47 Hz ～ 63 Hz です。この範囲外の周波数では、アプライアンスが動作し
ないか、または正しく動作しない可能性があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-6
付録 A
Firepower デバイスの所要電力
Firepower 81xx ファミリアプライアンス
電源コード
電源の電源接続部は IEC C14 コネクタです。IEC C13 コネクタも使用可能です。UL 認定電源コー
ドを使用する必要があります。最小ワイヤゲージは 16 AWG です。アプライアンスに付属のコー
ドは 16 AWG、UL 認定コード（NEMA 515P プラグ付き）です。ほかの電源コードについては、工場
にお問い合わせください。
DC 電源の設置
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
注意
DC 電源に AC 電源を接続しないでください。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる -48VDC 回路に接続しています。各回路は、ラベルに記載されてい
るように 20A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ –48VDC 回路に接続されています。この回路の最大引き込み電流量は、ラ
ベルに記載されているように 20A です。
注意
この最適化を利用するには、電源コードの定格が各電源のフル定格に基づいている必要があり
ます。
DC 電圧
電源の作動電圧は次のとおりです。
•
公称 -48VDC（RTN を基準）
•
最大 -40VDC ～ -72VDC
この範囲を超える電圧を使用すると、アプライアンスが損傷する恐れがあります。
Firepower 7000 および 8000 シリーズインストールガイド
A-7
付録 A
Firepower デバイスの所要電力
Firepower 81xx ファミリアプライアンス
DC 電流
電源あたり最大 11A
接地基準
DC 電源は、接地基準から完全に隔離されます。
推奨される端子
電源はネジ端子を介して DC 電源に接続します。端子は UL 認定品である必要があります。端子
には、M4 または #8 ネジに対応した穴が付いている必要があります。端子の最大幅は 8.1mm
（0.320 インチ）です。10 ～ 12 ゲージのワイヤ用の代表的な Y 字型端子は Tyco 325197 です。
ブレーカーの要件
定格電圧で定格電流を伝送できる十分な規模のブレーカーを用意する必要があります。回路ブ
レーカーは次の要件を満たしている必要があります。
•
UL 認定
•
CSA 認定（推奨）
•
VDE 認定（推奨）
•
最大負荷電流（20A）に対応
•
設置電圧（電源装置の要件に応じて -40V から -72 VDC）のサポート
•
DC 使用に適した定格
推奨されるブレーカーは Airpax IELK1-1-72-20.0-01-V です。使用する端末のオプションは、イン
ストールによって異なります。このブレーカーは単極、定格 DC 80V の 20A ブレーカーです。こ
のブレーカーは長期遅延型であると示されています。このブレーカーに関する情報は
http://www.airpax.net/site/utilities/eliterature/pdfs/ial.pdf にあります。
最小ワイヤサイズ要件
レースウェイあたり 3 本のワイヤ（1 回路）を使用した給電部では、12 AWG 線を使用できます。
レースウェイあたり複数の回路を使用した給電部では、10 AWG 線を使用する必要があります。
冗長電源用の 2 つの個別の給電部が 2 つの回路であり、10 AWG 線を使用する必要があることに
注意してください。
接地要件
Firepower システムは共通ボンディング網に接地する必要があります。
ボンディング位置
接地ボンディング位置は、シャーシの背面です。M4 スタッドが提供されます。リング端子を接続
するための外歯ロックワッシャが提供されます。標準接地記号を各スタッドに使用できます。
次の図は、1U シャーシのボンディング位置を示します。
Firepower 7000 および 8000 シリーズインストールガイド
A-8
付録 A
Firepower デバイスの所要電力
Firepower 82xx ファミリアプライアンス
推奨される端子
接地接続には、UL 認定端子を使用する必要があります。4mm または #8 スタッド用の隙間穴付き
リング端子を使用できます。10-12 AWG 線には、Tyco 34853 が推奨されます。これは、#8 スタッド
用の穴付き UL 認定リング端子です。
アース線の要件
単一故障の場合に回路の電流を処理できる十分なサイズのアース線を使用する必要がありま
す。アース線のサイズは、回路保護のために使用されるブレーカーの電流と同等である必要があ
ります。AC 回路については、AC 電流（A-6 ページ）を参照してください。DC 電流については、DC
電流（A-8 ページ）を参照してください。
圧着接続を行う前に、裸導線に腐食防止剤が塗布されている必要があります。接地には銅線ケー
ブルだけを使用できます。
DC 電源
各 DC 電源には追加のアース接続があります。これにより、ホットスワップ可能な電源をパワー、
リターン、アースに接続でき、電源を安全に挿入できます。このアースラグを接続する必要があ
ります。
これは M4 ネジと外歯ロックワッシャです。
アース線のサイズは、回路のブレーカーに対応するように調整する必要があります。
Firepower 82xx ファミリアプライアンス
ここでは、次の所要電力について説明します。
•
Firepower 8250、8260、8270、および 8290（CHAS-2U-AC、CHAS-2U-DC、または
CHAS-2U-AC/DC）
これらのアプライアンスは、National Electric Code が適用される場所やネットワーク通信施設
で、認定を受けた担当者により設置されるものです。
シスコでは、返品に備えて梱包材を保管しておくことを推奨します。
詳細については、次の項を参照してください。
•
回路の配置、電圧、電流、周波数範囲、および電源コードの詳細については AC 電源の設置
（A-10 ページ）を参照してください。
•
回路の配置、電圧、電流、接地基準、端子、ブレーカーの要件、および最小ワイヤサイズについ
ては、DC 電源の設置（A-11 ページ）を参照してください。
•
ボンディング位置、推奨される端子、アース線の要件、および DC 電源については接地要件
（A-12 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
A-9
付録 A
Firepower デバイスの所要電力
Firepower 82xx ファミリアプライアンス
AC 電源の設置
Firepower システムは、NFPA 70 の 250 条、National Electric Code（NEC）ハンドブック、および地域
の電気規格の要件に従って設置する必要があります。
注意
AC 電源に DC 電源を接続しないでください。
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる 220V 回路に接続しています。各回路は、ラベルに記載されているよ
うに 5A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ 220V 回路に接続されています。この回路の最大引き込み電流量は、ラベル
に記載されているように 5A です。
AC 電圧
電源は公称 100VAC ～ 240VAC（最大 85VAC ～ 264VAC）で動作します。この範囲を超える電圧を
使用すると、アプライアンスが損傷する恐れがあります。
AC 電流
各電源のラベルに記載されている定格電流：電源あたりフルレンジで最大 8A、電源あたり
187VAC ～ 264VAC で最大 4A。火災発生の可能性を抑えるため、適切なワイヤおよびブレーカー
を使用する必要があります。
周波数範囲
AC 電源の周波数範囲は 47 Hz ～ 63 Hz です。この範囲外の周波数では、アプライアンスが動作し
ないか、または正しく動作しない可能性があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-10
付録 A
Firepower デバイスの所要電力
Firepower 82xx ファミリアプライアンス
電源コード
電源の電源接続部は IEC C14 コネクタです。IEC C13 コネクタも使用可能です。UL 認定電源コー
ドを使用する必要があります。最小ワイヤゲージは 16 AWG です。アプライアンスに付属のコー
ドは 16 AWG、UL 認定コード（NEMA 515P プラグ付き）です。ほかの電源コードについては、工場
にお問い合わせください。
DC 電源の設置
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
注意
DC 電源に AC 電源を接続しないでください。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる -48VDC 回路に接続しています。各回路は、ラベルに記載されてい
るように 20A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ –48VDC 回路に接続されています。この回路の最大引き込み電流量は、ラ
ベルに記載されているように 20A です。
注意
この最適化を利用するには、電源コードの定格が各電源のフル定格に基づいている必要があり
ます。
DC 電圧
電源の作動電圧は次のとおりです。
•
公称 -48VDC（RTN を基準）
•
最大 -40VDC ～ -72VDC
この範囲を超える電圧を使用すると、アプライアンスが損傷する恐れがあります。
Firepower 7000 および 8000 シリーズインストールガイド
A-11
付録 A
Firepower デバイスの所要電力
Firepower 82xx ファミリアプライアンス
DC 電流
電源あたり最大 18A
接地基準
DC 電源は、接地基準から完全に隔離されます。
推奨される端子
電源はネジ端子を介して DC 電源に接続します。端子は UL 認定品である必要があります。端子
には、M4 または #8 ネジに対応した穴が付いている必要があります。端子の最大幅は 8.1mm
（0.320 インチ）です。10 ～ 12 ゲージのワイヤ用の代表的な Y 字型端子は Tyco 325197 です。
ブレーカーの要件
定格電圧で定格電流を伝送できる十分な規模のブレーカーを用意する必要があります。回路ブ
レーカーは次の要件を満たしている必要があります。
•
UL 認定
•
CSA 認定（推奨）
•
VDE 認定（推奨）
•
最大負荷電流（20A）に対応
•
設置電圧（電源装置の要件に応じて -40V から -72 VDC）のサポート
•
DC 使用に適した定格
推奨されるブレーカーは Airpax IELK1-1-72-20.0-01-V です。使用する端末のオプションは、イン
ストールによって異なります。このブレーカーは単極、定格 DC 80V の 20A ブレーカーです。こ
のブレーカーは長期遅延型であると示されています。このブレーカーについて詳しくは、
http://www.airpax.net/site/utilities/eliterature/pdfs/ial.pdf を参照してください。
最小ワイヤサイズ要件
レースウェイあたり 3 本のワイヤ（1 回路）を使用した給電部では、12 AWG 線を使用できます。
レースウェイあたり複数の回路を使用した給電部では、10 AWG 線を使用する必要があります。
冗長電源用の 2 つの個別の給電部が 2 つの回路であり、10 AWG 線を使用する必要があることに
注意してください。
接地要件
Firepower システムは共通ボンディング網に接地する必要があります。
ボンディング位置
接地ボンディング位置は、シャーシの背面です。M4 スタッドが提供されます。リング端子を接続
するための外歯ロックワッシャが提供されます。標準接地記号を各スタッドに使用できます。
次の図は、2U シャーシのボンディング位置を示します。
Firepower 7000 および 8000 シリーズインストールガイド
A-12
付録 A
Firepower デバイスの所要電力
Firepower および AMP 83xx ファミリアプライアンス
推奨される端子
接地接続には、UL 認定端子を使用する必要があります。4mm または #8 スタッド用の隙間穴付き
リング端子を使用できます。10-12 AWG 線には、Tyco 34853 が推奨されます。これは、#8 スタッド
用の穴付き UL 認定リング端子です。
アース線の要件
単一故障の場合に回路の電流を処理できる十分なサイズのアース線を使用する必要がありま
す。アース線のサイズは、回路保護のために使用されるブレーカーの電流と同等である必要があ
ります。AC 回路については、AC 電流（A-6 ページ）を参照してください。DC 電流については、DC
電流（A-8 ページ）を参照してください。
圧着接続を行う前に、裸導線に腐食防止剤が塗布されている必要があります。接地には銅線ケー
ブルだけを使用できます。
DC 電源
各 DC 電源には追加のアース接続があります。これにより、ホットスワップ可能な電源をパワー、
リターン、アースに接続でき、電源を安全に挿入できます。このアースラグを接続する必要があ
ります。
これは M4 ネジと外歯ロックワッシャです。
アース線のサイズは、回路のブレーカーに対応するように調整する必要があります。
Firepower および AMP 83xx ファミリアプライアンス
ここでは、次の所要電力について説明します。
•
Firepower および AMP 8350、8360、8370、および 8390（PG35-2U-AC/DC）
これらのアプライアンスは、National Electric Code が適用される場所やネットワーク通信施設
で、認定を受けた担当者により設置されるものです。
シスコでは、返品に備えて梱包材を保管しておくことを推奨します。
詳細については、次の項を参照してください。
•
回路の配置、電圧、電流、周波数範囲、および電源コードの詳細については AC 電源の設置
（A-14 ページ）を参照してください。
•
回路の配置、電圧、電流、接地基準、端子、ブレーカーの要件、および最小ワイヤサイズについ
ては、DC 電源の設置（A-15 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
A-13
付録 A
Firepower デバイスの所要電力
Firepower および AMP 83xx ファミリアプライアンス
•
ボンディング位置、推奨される端子、アース線の要件、および DC 電源については接地要件
（A-16 ページ）を参照してください。
AC 電源の設置
Firepower システムは、NFPA 70 の 250 条、National Electric Code（NEC）ハンドブック、および地域
の電気規格の要件に従って設置する必要があります。
注意
AC 電源に DC 電源を接続しないでください。
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる 220V 回路に接続しています。各回路は、ラベルに記載されているよ
うに 10A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ 220V 回路に接続されています。この回路の最大引き込み電流量は、ラベル
に記載されているように 10A です。
AC 電圧
電源は公称 100VAC ～ 240VAC（最大 85VAC ～ 264VAC）で動作します。この範囲を超える電圧を
使用すると、アプライアンスが損傷する恐れがあります。
AC 電流
各電源のラベルに記載されている定格電流：電源あたりフルレンジで最大 11A、電源あたり
187VAC ～ 264VAC で最大 5.5A。火災発生の可能性を抑えるため、適切なワイヤおよびブレー
カーを使用する必要があります。
周波数範囲
AC 電源の周波数範囲は 47 Hz ～ 63 Hz です。この範囲外の周波数では、アプライアンスが動作し
ないか、または正しく動作しない可能性があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-14
付録 A
Firepower デバイスの所要電力
Firepower および AMP 83xx ファミリアプライアンス
電源コード
電源の電源接続部は IEC C14 コネクタです。IEC C13 コネクタも使用可能です。UL 認定電源コー
ドを使用する必要があります。最小ワイヤゲージは 16 AWG です。アプライアンスに付属のコー
ドは 16 AWG、UL 認定コード（NEMA 515P プラグ付き）です。ほかの電源コードについては、工場
にお問い合わせください。
DC 電源の設置
冗長電源を作成するためには個別の回路が必要です。入力線での電力グリッチによる電源状態
の問題や電力損失を防ぐため、無停電電源またはバッテリバックアップの電源を使用します。
注意
DC 電源に AC 電源を接続しないでください。
アプライアンス全体を稼働できる十分な電力を各電源に供給します。各電源の定格電圧と定格
電流は、アプライアンスのラベルに記載されています。
Firepower システムを装着するネットワーク機器の入力部に外部電力サージ保護装置を使用し
ます。
専用回路の設置
専用回路を使用する場合、各回路の定格はアプライアンスのフル定格に基づいている必要があ
ります。この設定は、回路の故障や電源の故障に備えたものです。
例：各電源はそれぞれ異なる -48VDC 回路に接続しています。各回路は、ラベルに記載されてい
るように 25A を供給できる必要があります。
共有回路の設置
1 つの回路で両方の電源に電力を供給する場合は、1 つの電源の定格電力がボックス全体に適用
されます。この設定は、電源の故障に対する保護のみを提供します。
例：両方の電源が同じ –48VDC 回路に接続されています。この回路の最大引き込み電流量は、ラ
ベルに記載されているように 25A です。
注意
この最適化を利用するには、電源コードの定格が各電源のフル定格に基づいている必要があり
ます。
DC 電圧
電源の作動電圧は次のとおりです。
•
公称 -48VDC（RTN を基準）
•
最大 -40VDC ～ -72VDC
この範囲を超える電圧を使用すると、アプライアンスが損傷する恐れがあります。
Firepower 7000 および 8000 シリーズインストールガイド
A-15
付録 A
Firepower デバイスの所要電力
Firepower および AMP 83xx ファミリアプライアンス
DC 電流
電源あたり最大 25A
接地基準
DC 電源は、接地基準から完全に隔離されます。
推奨される端子
電源はネジ端子を介して DC 電源に接続します。端子は UL 認定品である必要があります。端子
には、M4 または #8 ネジに対応した穴が付いている必要があります。端子の最大幅は 8.1mm
（0.320 インチ）です。10 ～ 12 ゲージのワイヤ用の代表的な Y 字型端子は Tyco 325197 です。
ブレーカーの要件
定格電圧で定格電流を伝送できる十分な規模のブレーカーを用意する必要があります。回路ブ
レーカーは次の要件を満たしている必要があります。
•
UL 認定
•
CSA 認定（推奨）
•
VDE 認定（推奨）
•
最大負荷電流（20A）に対応
•
設置電圧（電源装置の要件に応じて -40V から -72 VDC）のサポート
•
DC 使用に適した定格
推奨されるブレーカーは Airpax IELK1-1-72-20.0-01-V です。使用する端末のオプションは、イン
ストールによって異なります。このブレーカーは単極、定格 DC 80V の 20A ブレーカーです。こ
のブレーカーは長期遅延型であると示されています。このブレーカーについて詳しくは、
http://www.airpax.net/site/utilities/eliterature/pdfs/ial.pdf を参照してください。
最小ワイヤサイズ要件
レースウェイあたり 3 本のワイヤ（1 回路）を使用した給電部では、12 AWG 線を使用できます。
レースウェイあたり複数の回路を使用した給電部では、10 AWG 線を使用する必要があります。
冗長電源用の 2 つの個別の給電部が 2 つの回路であり、10 AWG 線を使用する必要があることに
注意してください。
接地要件
Firepower システムは共通ボンディング網に接地する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-16
付録 A
Firepower デバイスの所要電力
Firepower および AMP 83xx ファミリアプライアンス
ボンディング位置
接地ボンディング位置は、シャーシの背面です。M4 スタッドが提供されます。リング端子を接続
するための外歯ロックワッシャが提供されます。標準接地記号を各スタッドに使用できます。
次の図は、83xx ファミリ 2U シャーシのボンディング位置を示します。
推奨される端子
接地接続には、UL 認定端子を使用する必要があります。4mm または #8 スタッド用の隙間穴付き
リング端子を使用できます。10-12 AWG 線には、Tyco 34853 が推奨されます。これは、#8 スタッド
用の穴付き UL 認定リング端子です。
アース線の要件
単一故障の場合に回路の電流を処理できる十分なサイズのアース線を使用する必要がありま
す。アース線のサイズは、回路保護のために使用されるブレーカーの電流と同等である必要があ
ります。AC 回路については、AC 電流（A-14 ページ）を参照してください。DC 電流については、
DC 電流（A-16 ページ）を参照してください。
圧着接続を行う前に、裸導線に腐食防止剤が塗布されている必要があります。接地には銅線ケー
ブルだけを使用できます。
DC 電源
各 DC 電源には追加のアース接続があります。これにより、ホットスワップ可能な電源をパワー、
リターン、アースに接続でき、電源を安全に挿入できます。このアースラグを接続する必要があ
ります。
これは M4 ネジと外歯ロックワッシャです。
アース線のサイズは、回路のブレーカーに対応するように調整する必要があります。
Firepower 7000 および 8000 シリーズインストールガイド
A-17
付録 A
Firepower および AMP 83xx ファミリアプライアンス
Firepower 7000 および 8000 シリーズインストールガイド
A-18
Firepower デバイスの所要電力
A P P E N D I X
B
3D71x5 および AMP7150 デバイスでの
SFP トランシーバの使用
3D71x5 と AMP7150 SFP のソケットおよびトランシーバ
3D71x5 と AMP7150 のアプライアンスには、8 つの Small Form-Factor Pluggable（SFP）のソケット
が含まれていて、最大 8 つの SFP トランシーバを含めることができます。
図 B-1
3D71x5 および AMP7150 の正面図
3D71x5 および AMP7150 SFP のソケット
8 個の SFP ソケットには、垂直パターンで 5 から 12 までの番号が付けられています。これらのソ
ケットは、タブから中央に向いて構成されています（上部のソケットは上向き、下部のソケット
は下向きです）。
ソケットの左側にある LED には、各インターフェイスのアクティビティとリンクの情報が示さ
れます。詳細については、「表 7-28 Firepower 7115、7125、および AMP7150 SFP ソケットアクティ
ビティ / リンク LED（7-19 ページ）」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
B-1
付録 B
3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用
SFP トランシーバの取り付け
サンプルの SFP トランシーバ
3D71x5 および AMP7150 は、以下の 3 つの形式を任意に組み合わせた、最大 8 つの SFP トラン
シーバをサポートできます。
•
SFP-C-1：銅線トランシーバ
•
SFP-F-1-SR：短距離ファイバトランシーバ
•
SFP-F-1-LR：長距離ファイバトランシーバ
3D71x5 と AMP7150 では、シスコ SFP トランシーバだけを使用してください。シスコ製ではな
い SFP トランシーバを使用すると、ソケットが故障して、トランシーバ、シャーシ、またはその両
方に永久的な損傷を与える可能性があります。
トランシーバの取り付け取り外しは、デバイスの動作中に行うことができます。設定の変更を確
認するには、Management Centerのユーザインターフェイスを更新してください。
SFP トランシーバにはバイパス機能がありません。これらのトランシーバは、デバイスの障害ま
たは電力損失が発生した場合にデバイスのすべてのトラフィックを停止する、パッシブ展開ま
たはインライン展開で使用します（たとえば、仮想スイッチ、仮想ルータ、アクセス制御ポリ
シー）。
パッシブ展開の場合、最大 8 個のソケットに任意の組み合わせのトランシーバを取り付けて、最
大 8 つのネットワークセグメントをモニタできます。インライン配置の場合、縦に並んだソケッ
ト（5 と 6、7 と 8、9 と 10、または 11 と 12）に任意の組み合わせのトランシーバ（銅線、ファイバ、
この 2 つの混在）を取り付けて、最大 4 つのネットワークセグメントをモニタできます。
トランシーバ上のポートを設定するには、デバイスを管理する Management Centerを使用します。
SFP トランシーバの取り付け
トランシーバを取り付ける際には、適切な静電放電（ESD）手順に従ってください。背面のコンタ
クトには触れないようにしてください。また、コンタクトとポートは、ほこりや汚れが付いてい
ない状態に維持する必要があります。
注意
SFP トランシーバをソケットに無理やり押し込むと、トランシーバが詰まって、トランシーバ、
シャーシ、またはその両方に永久的な損傷を与える可能性があります。
Firepower 7000 および 8000 シリーズインストールガイド
B-2
付録 B
3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用
SFP トランシーバの取り外し
SFP トランシーバを取り付けるには：
ステップ 1
背面のコンタクトに触れないようにして、ベールの両側を指でつまみ、トランシーバの背面を
シャーシ上のソケットに滑り込ませます。上部にあるソケットは上向き、下部にあるソケットは
下向きであることに注意してください。
ステップ 2
ベールをトランシーバーの方にゆっくりと押し込み、ベールを閉じてロックし、トランシーバー
を所定の位置に固定します。
ステップ 3
Firepower 管理対象デバイスのインストール（4-1 ページ）の手順に従って、トランシーバ上の
ポートを設定します。
現在動作中のデバイスにトランシーバを取り付ける場合、変更を確認するには、Management
Centerのユーザインターフェイスを更新する必要があることに注意してください。
SFP トランシーバの取り外し
トランシーバを取り外す際には、適切な静電放電（ESD）手順に従ってください。背面のコンタク
トには触れないようにしてください。また、コンタクトとポートは、ほこりや汚れが付いていな
い状態に維持する必要があります。
SFP トランシーバを取り外すには：
ステップ 1
デバイスから取り外すトランシーバから、すべてのケーブルを取り外します。
ステップ 2
指でベールをつまみ、ゆっくりとトランシーバをシャーシから引き出して、接続機構を外します。
上部に取り付けられたトランシーバの場合は、引き下げます。下部に取り付けられたトランシー
バの場合は、引き上げます。
ステップ 3
指でベールの両端をつかみ、ベールをハンドルとして使用して、ゆっくりとトランシーバを
シャーシから引き出します。その際、トランシーバ背面のコンタクトに触れないように注意して
ください。
Firepower 7000 および 8000 シリーズインストールガイド
B-3
付録 B
SFP トランシーバの取り外し
Firepower 7000 および 8000 シリーズインストールガイド
B-4
3D71x5 および AMP7150 デバイスでの SFP トランシーバの使用
A P P E N D I X
C
Firepower 8000 シリーズモジュールの挿入
と取り外し
Firepower 8000 シリーズデバイスは、展開にモジュール方式による柔軟性を提供します。次の作
業を行う場合に、この項の手順を使用します。
•
新しいモジュールを挿入する
•
事前に装着されているモジュールを取り外すかまたは交換する
Firepower 8000 シリーズデバイスのモジュールスロット
Firepower 8000 シリーズデバイスの次のスロットでモジュールを使用できます。
•
Firepower 81xx ファミリ（C-1 ページ）
•
Firepower 82xx ファミリおよび 83xx ファミリ（C-2 ページ）
デバイスにモジュールを挿入したら、モジュールの使用法の詳細について次の項を参照してく
ださい。
•
センシングインターフェイスの設定については、センシングインターフェイスの識別
（4-3 ページ）を参照してください。
•
スタックモジュールの使用については、スタック構成でのデバイスの使用（4-14 ページ）を
参照してください。
Firepower 81xx ファミリ
Firepower 81xx ファミリデバイスの次のスロットでモジュールを使用できます。
図 C-1
Firepower 81xx ファミリのプライマリデバイス
Firepower 7000 および 8000 シリーズインストールガイド
C-1
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
Firepower 8000 シリーズデバイスのモジュールスロット
スタック設定に関する考慮事項
スタック構成デバイスの場合、モジュールを次のように設定します。
•
NetMod はプライマリデバイスのみに装着します。
•
1 つのスタックモジュールをプライマリモジュールに装着し、もう 1 つのスタックモ
ジュールをセカンダリデバイスに装着します。
Firepower 82xx ファミリおよび 83xx ファミリ
Firepower 82xx ファミリおよび 83xx ファミリデバイスの次のスロットでモジュールを使用でき
ます。
図 C-2
Firepower 82xx ファミリおよび 83xx ファミリプライマリデバイス
スタック設定に関する考慮事項
スタック構成デバイスの場合、モジュールを次のように設定します。
•
NetMod はプライマリデバイスのみに装着します。
•
プライマリデバイスに、スタック構成のセカンダリデバイスごとに 1 つのスタックモ
ジュールを装着し、もう 1 つのスタックモジュールを各セカンダリデバイスに装着します。
図 C-3
Firepower 82xx ファミリおよび 83xx ファミリセカンダリデバイス
Firepower 7000 および 8000 シリーズインストールガイド
C-2
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
付属品
付属品
モジュールアセンブリキットには T8 トルクスドライバと、次の 1 つ以上のモジュールが含ま
れています。
注
注意
•
クワッドポート 1000BASE-T 銅線設定可能バイパス NetMod。詳細については、クワッド
ポート 1000BASE-T 銅線設定可能バイパス NetMod（7-35 ページ）を参照してください。
•
クワッドポート 1000BASE-SX ファイバ設定可能バイパス NetMod。詳細については、クワッド
ポート 1000BASE-SX ファイバ設定可能バイパス NetMod（7-36 ページ）を参照してください。
•
デュアルポート 10GBASE（MMSR または SMLR）ファイバ設定可能バイパス NetMod。詳細
については、デュアルポート 10GBASE（MMSR または SMLR）ファイバ設定可能バイパス
NetMod（7-37 ページ）を参照してください。
•
デュアルポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod。詳細については、デュアル
ポート 40GBASE-SR4 ファイバ設定可能バイパス NetMod（7-39 ページ）を参照してください。
このデュアルスロット NetMod は、容量が 40 G の Firepower 8250 または Firepower または AMP
8350 でのみ使用してください。デバイスをアップグレードする必要がある場合は、『シスコ
8000 シリーズ Device 40G Capacity Upgrade Guide』を参照してください。
•
クワッドポート 1000BASE-T 銅線非バイパス NetMod。詳細については、クワッドポート
1000BASE-T 銅線非バイパス NetMod（7-41 ページ）を参照してください。
•
クアッドポート 1000BASE-SX ファイバ非バイパス NetMod。詳細については、クワッドポー
ト 1000BASE-SX ファイバ非バイパス NetMod（7-41 ページ）を参照してください。
•
クアッドポート 10GBASE（MMSR または SMLR）ファイバ非バイパス NetMod。詳細について
は、クワッドポート 10GBASE（MMSR または SMLR）ファイバ非バイパス NetMod（7-42 ペー
ジ）を参照してください。
クアッドポート 10GBASE ファイバ非バイパス NetMod は、取り外し不可能な着脱可能小型
フォームファクタ（SFP）トランシーバを内蔵しています。SFP を取り外そうとすると、モジュー
ルが破損する恐れがあります。
•
スタックモジュール。詳細については、スタックモジュール（7-43 ページ）を参照してください。
NetMod を Firepower デバイス上の互換性がないスロットに装着する場合、または NetMod にご
使用のシステムとの互換性がない場合は、NetMod を設定しようとすると管理元の Management
Center Web インターフェイスにエラーメッセージまたは警告メッセージが表示されます。支援
が必要な場合は、サポートに連絡してください。
注
韓国の認証（KCC マーク）を受けているフル構成された Firepower デバイスの場合、NetMod を交
換するとその構成が変更される可能性があります。詳しくは、アプライアンスの元のコンフィ
ギュレーションマニュアル、および『Regulatory Compliance and Safety Information for FirePOWER
and FireSIGHT Appliances』マニュアルを参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
C-3
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
モジュール部品の確認
モジュール部品の確認
モジュールのセンシングインターフェイス、速度、寸法に関係なく、すべてのモジュールで付属
部品は同一です。
図 C-4
モジュールまたはスロットカバーの例（開いた状態）
図 C-5
モジュールレバーの例（ネジを穴に取り付け、閉じた状態）
はじめる前に
次のガイドラインを使用してモジュールの挿入または取り外しの準備をしてください。
ヒント
•
すべてのアプライアンスおよびモジュールの部品を確認します。
•
NetMod を装着するスロットを確認します。
NetMod は、使用可能な互換性のあるスロットに挿入できます。
•
スタックモジュールを挿入する正しいスロットを確認します。スタック構成でのデバイス
の使用（4-14 ページ）を参照してください。
•
Firepower 8140：スロット 3
•
Firepower 8250、8260、および 8350、8360 プライマリスロット：スロット 5
•
Firepower 8270 および 8370 プライマリスロット：スロット 5 および 1
•
Firepower 8290 および 8390 プライマリスロット：スロット 5、1、および 4
•
Firepower 82xx および 83xx セカンダリ：スロット S
Firepower 7000 および 8000 シリーズインストールガイド
C-4
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
モジュールまたはスロットカバーの取り外し
注意
•
EMI ガスケットが正しい位置にあることを確認します。
•
アプライアンスからすべての電源コードを抜きます。
モジュールのホットスワップはできません。モジュールを挿入または取り外す前に、電源をオフ
にし、アプライアンスから両方の電源コードを抜きます。
モジュールまたはスロットカバーの取り外し
モジュールを扱うときには、リストストラップの装着や静電気防止作業台の使用など、適切な静
電気防止（ESD）対策に従ってください。損傷を防ぐため、未使用のモジュールは静電気防止用の
袋または箱に入れて保存します。
モジュールまたはスロットカバーを取り外すには、次の手順を実行します。
ステップ 1
付属のドライバを使用して、モジュールのレバーから T8 トルクスネジを取り外して保管します。
ステップ 2
ラッチが解除されるまでレバーをモジュールから引き出します。
Firepower 7000 および 8000 シリーズインストールガイド
C-5
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
モジュールまたはスロットカバーの挿入
ステップ 3
モジュールを滑らせながらスロットから取り出します。
モジュールまたはスロットカバーの挿入
はじめる前に
•
新しいモジュールを挿入できるようにスロットを準備するため、既存のモジュールまたはス
ロットカバーを取り外します。詳細については、「モジュールまたはスロットカバーの取り
外し（C-5 ページ）」を参照してください。
モジュールまたはスロットカバーを挿入するには、次の手順を実行します。
ステップ 1
付属のドライバを使用して、モジュールのレバーから T8 トルクスネジを取り外して保管します。
Firepower 7000 および 8000 シリーズインストールガイド
C-6
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
モジュールまたはスロットカバーの挿入
ステップ 2
ラッチが開くまで、レバーをモジュールから引き出します。ラッチの近端が目で確認できます。
ラッチの遠端はモジュール内側にあります。
ステップ 3
ラッチの遠端がスロットの内側に入り、ラッチの近端がモジュールスロットの外側に接触する
まで、モジュールをスロットに挿入します。
正しいモジュールの配置
正しくないモジュールの配置
Firepower 7000 および 8000 シリーズインストールガイド
C-7
付録 C
Firepower 8000 シリーズモジュールの挿入と取り外し
モジュールまたはスロットカバーの挿入
ステップ 4
注意
ステップ 5
ラッチがはまり、モジュールをスロットに引き込むまで、レバーをモジュールの方へ押します。
力を入れすぎないでください。ラッチがはまらない場合は、モジュールを取り外して位置を整え
直してから、もう一度試してください。
ネジ穴部分をしっかり押し、ラッチが確実にはまるまでモジュールに対してレバーを押し込み
ます。
レバーがモジュールにしっかりと押し込まれると、モジュールがシャーシとぴったりと揃います。
ステップ 6
保管しておいた T8 トルクスネジをレバーに差し込んで締めます。
Firepower 7000 および 8000 シリーズインストールガイド
C-8
A P P E N D I X
D
ハードドライブのスクラビング
Management Center と Firepower デバイスのハードドライブを安全にスクラビングして、その内
容にアクセスできないようにすることができます。たとえば、機密データが含まれている故障し
たアプライアンスを返却する必要がある場合は、この機能を使用してデータを上書きできます。
ハードドライブのデータのスクラビング処理
ディスクのスクラビング処理を行うこのモードは、次の軍用標準規格に準拠しています。
標準規格
DoD スクラブシーケンスは、着脱可能または着脱不可能なリジッドディスクのサニタイズ
に関する DoD 5220.22-M 手順に準拠しています。この手順では、すべてのアドレス可能な場
所を 1 つの文字で上書きし、その補数の文字で上書きし、さらにランダムな文字コードで上
書き処理を行う必要があります。その他の制約については、DoD の資料を参照してください。
注意
ハードドライブのスクラビング処理では、アプライアンスのすべてのデータが失われ、動作不能
になります。
ハードドライブのスクラビングは、対話型メニューを使用したアプライアンスの復元（8-7 ペー
ジ）で説明されているインタラクティブメニューのオプションを使用して行います。
ハードドライブのスクラビング処理を行うには、次の手順を実行します。
アクセス： Admin
ステップ 1
以下のいずれかの項の説明に従い、復元ユーティリティの対話型メニューを表示します。これ
は、アプライアンスへのアクセス方法に応じて異なります。
•
KVM または物理シリアルポートを使用する復元ユーティリティの起動（8-5 ページ）
•
Lights-Out Management を使用した復元ユーティリティの開始（8-6 ページ）
ステップ 2
メインメニューで、[8 Wipe Contents of Disk] を選択します。
ステップ 3
プロンプトが表示されたら、ハードドライブをスクラビング処理することを確認します。
ハードドライブがスクラビング処理されます。スクラビング処理プロセスが完了するまでに数
時間かかることがあります。ドライブの容量が大きいほど、時間がかかります。
Firepower 7000 および 8000 シリーズインストールガイド
D-1
付録 D
ハードドライブのデータのスクラビング処理
Firepower 7000 および 8000 シリーズインストールガイド
D-2
ハードドライブのスクラビング
A P P E N D I X
E
Firepower 管理対象デバイスの事前設定
ステージングロケーション（複数のアプライアンスを事前設定またはステージングするための
中央の場所）で、ターゲットロケーション（ステージングロケーション以外の任意のロケーショ
ン）に展開する Firepower デバイスを事前設定することができます。
アプライアンスを事前設定してターゲットロケーションに展開するには、以下の手順に従います。
ヒント
•
ステージングロケーションでデバイスにシステムをインストールします。
•
オプションで、デバイスをManagement Centerに登録します。
•
オプションで、管理元のManagement Centerからのすべての更新をデバイスにプッシュします。
•
オプションで、Management Centerからデバイスを登録解除します。
•
アプライアンスをシャットダウンし、ターゲットロケーションに移送します。
•
アプライアンスをターゲットロケーションに展開します。
すべての梱包材を保管し、アプライアンスを再梱包するときにはすべての参考資料と電源コー
ドを同梱します。
はじめる前に
アプライアンスを事前設定する前に、ステージングロケーションとターゲットロケーションの
ネットワーク設定情報、ライセンス情報、その他の関連情報を収集します。
ヒント
ステージングロケーションとターゲットロケーションでこの情報を管理するためのスプレッ
ドシートを作成すると便利です。
初期設定時に、アプライアンスをネットワークに接続してシステムをインストールするための
十分な情報を使用してアプライアンスを設定します。オプションで、Management Centerにデバイ
スを接続し、Management Centerからの更新をすべてデバイスにプッシュできます。初期設定のた
めに必要ではなくても、事前設定に役立つ可能性のある機能が他にあればそれらもイネーブル
にすることができます。
Firepower 7000 および 8000 シリーズインストールガイド
E-1
付録 E
Firepower 管理対象デバイスの事前設定
はじめる前に
必須の事前設定の情報
アプライアンスを事前設定するには、最低でも以下の情報が必要です。
•
新しいパスワード（初期設定時にパスワードを変更する必要があります）
•
アプライアンスのホスト名
•
アプライアンスのドメイン名
•
アプライアンスの IP 管理アドレス
•
ターゲットロケーションのアプライアンスのネットワークマスク
•
ターゲットロケーションのアプライアンスのデフォルトゲートウェイ
•
ステージングロケーション（またはターゲットロケーションにアクセス可能な場合はター
ゲットロケーション）の DNS サーバの IP アドレス
•
ステージングロケーション（またはターゲットロケーションにアクセス可能な場合はター
ゲットロケーション）の NTP サーバの IP アドレス
•
ターゲットロケーションの検出モード
オプションの事前設定情報
次のようないくつかのデフォルト設定を変更できます。
注
•
Firepower デバイスを設定する LCD パネルへのアクセスを許可します。
•
アプライアンスの時間を手動で設定する場合は、時間帯を設定します。
•
自動バックアップに使用するリモートストレージロケーションを設定します。
•
LOM を有効にするため、Lights-Out Management（LOM）IP アドレスを設定します
電源の再投入のシナリオによっては、管理インターフェイス経由でネットワークに接続された
Firepower 7050 のベースボード管理コントローラ（BMC）は、DHCP サーバによって割り当てられ
た IP アドレスを消失する可能性があります。このため、シスコでは Firepower 7050 BMC を静的
IP アドレスで設定することを推奨しています。ネットワークケーブルの切断と再接続やデバイ
スの電力遮断と再投入により、リンクの再ネゴシエーションを強制的に行うことができます。
Management Centerにデバイスを登録する場合は、次の情報が必要です。
•
管理対象デバイスの名前または IP アドレス
•
管理ホスト（Management Center）の名前
•
登録キー（最大 37 文字の個人作成の一意の英数字キー）
Firepower 7000 および 8000 シリーズインストールガイド
E-2
付録 E
Firepower 管理対象デバイスの事前設定
システムのインストール
時間管理の事前設定
次の考慮事項に注意します。
•
シスコでは、物理的 NTP サーバと時間を同期することを推奨します。管理対象デバイスを仮
想Management Center と同期しないでください。仮想アプライアンスでパフォーマンス最適
化を行うと、リアルタイムクロックに影響する可能性があります。
•
ステージングロケーションのネットワークからターゲットロケーションの DNS サーバお
よび NTP サーバにアクセスできる場合は、ターゲットロケーションの DNS サーバおよび
NTP サーバの IP アドレスを使用します。それ以外の場合は、ステージングロケーションの
情報を使用し、ターゲットロケーションでリセットします。
•
NTP を使用する代わりに、アプライアンスの時間を手動で設定する場合は、ターゲット展開
環境の時間帯を使用します。時刻の設定（5-8 ページ）を参照してください。
システムのインストール
Firepower 管理対象デバイスのインストール（4-1 ページ）および Firepower 管理対象デバイスの
設定（5-1 ページ）で説明するインストール手順を使用してください。システムを事前設定する際
には、以下に注意してください。
•
LCD パネルを使用した Firepower デバイスネットワーク設定へのアクセスを許可した場合、
物理的にデバイスにアクセスして不正な変更を実行できるというセキュリティ上のリスク
が発生します。Firepower デバイスの LCD パネルの設定（5-7 ページ）を参照してください。
•
Management Center のホスト名または IP アドレスを使用して、デバイスを事前登録します。
後で登録を完了するために、登録キーを書き留めておいてください。リモート管理（5-8 ペー
ジ）を参照してください。
•
デフォルトの検出モードを変更する場合は、ターゲット展開環境の該当する担当員に通知し
てください。検出モードと異なる方法でインターフェイスを設定すると、システムがイン
ターフェイスを誤って割り当てることがあります。検出モード（5-8 ページ）を参照してくだ
さい。
•
デバイスのネットワークアドレス変換（NAT）を設定する必要がある場合は、デバイスの CLI
またはその管理元の Management Center の Web インターフェイスのいずれかからデバイス
を登録するときに、デバイスの NAT ID を指定してください。CLI を使用した Management
Center への Firepower デバイスの登録（5-5 ページ）および『Firepower Management Center 設
定ガイド』の「Working In NAT Environments」を参照してください。
•
ライセンスは、初期設定時に追加します。この時点でライセンスを追加しない場合は、初期設
定時に登録したデバイスが Firepower Management Center にライセンスなしとして追加され
ます。初期設定プロセスの完了後に、各デバイスに個別にライセンスを付与する必要があり
ます。詳細については、『Firepower Management Center インストールガイド』を参照してくだ
さい。
Firepower 7000 および 8000 シリーズインストールガイド
E-3
付録 E
Firepower 管理対象デバイスの事前設定
デバイスの登録
デバイスの登録
アクセス：Admin
Management Centerで実行しているソフトウェアバージョンがデバイスのソフトウェアバー
ジョン以上の場合、Management Centerにデバイスを登録し、管理対象デバイスにポリシーと更新
をプッシュできます。
注
Management Center とその管理対象デバイスをそれぞれ異なるターゲットロケーションに展開す
る場合は、アプライアンスをシャットダウンする前に、Management Centerからデバイスを削除す
る必要があります。Management Centerからのデバイスの削除（E-5 ページ）を参照してください。
デバイスをManagement Centerに登録するには：
ステップ 1
注
デバイスで、ターゲット展開環境のManagement Centerのホスト名または IP アドレスを使用し
て、リモート管理を設定します。後で登録を完了するときに使用できるように、登録キーを書き
留めておいてください。リモート管理（5-8 ページ）を参照してください。
デバイスをManagement Centerに登録するには、デバイス上でリモート管理を設定する必要があ
ります。
次の作業
•
Management Centerで、リモート管理設定の登録情報を使用してデバイスを登録します。詳細
については、『Firepower Management Center インストールガイド』を参照してください。
アプライアンスの移送の準備
移送に向けてアプライアンスを準備するには、アプライアンスの電源を安全にオフにし、アプラ
イアンスを再梱包します。
•
ターゲットロケーションで管理対象デバイスが同じ設定で使用されない場合は、
Management Center からデバイスを削除してから、電源をオフにし、アプライアンスを再梱包
する必要があります。Management Centerからのデバイスの削除（E-5 ページ）を参照してくだ
さい。
•
アプライアンスの電源を安全にオフにするには、アプライアンスの電源オフ（E-6 ページ）を
参照してください。
•
アプライアンスの移送の準備が完了したことを確認するには、移送に関する考慮事項
（E-6 ページ）を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
E-4
付録 E
Firepower 管理対象デバイスの事前設定
アプライアンスの移送の準備
Management Centerからのデバイスの削除
アクセス：Admin
Management Center とその管理対象デバイスを同じターゲットロケーションに展開しない場合
は、Management Centerからデバイスを削除する必要があります。これにより、ターゲットサイト
で異なる Management Centerにデバイスを登録するときに、デバイスが元のManagement Centerの
UUID を検索することを防止できます。
デバイスをManagement Centerから削除するには、次の手順を実行します。
ステップ 1
Management Centerで [Devices] > [Device Management] を選択します。
ステップ 2
削除するデバイスの横にある削除アイコン（
）をクリックします。
プロンプトが表示されたら、デバイスを削除することを確認します。デバイスと Management
Centerの間の通信が切断され、[Device Management] ページからデバイスが削除されます。デバイ
スに設定されているシステムポリシーによって、デバイスが NTP を介してManagement Centerか
ら時間を受信する場合は、デバイスはローカル時間管理に戻ります。
Management Centerからデバイスを削除したら、デバイスがManagement Centerによってリモート
に管理されていないことを確認します。
Firepower デバイスが Management Center によって管理されていないことを確認する方法：
ステップ 1
Firepower デバイスでは Web インターフェイスと CLI のいずれかを使用できます。
•
Firepower デバイスの Web インターフェイスで、[System] > [Registration] > [Remote
Management] に移動し、[Remote Management] 画面の [Host] リストが空であることを確認し
ます。
•
Firepower デバイスの CLI で、コマンド show manager を実行し、ホストが表示されないことを
確認します。
Management Centerからのライセンスの削除
アクセス：Admin
何らかの理由でライセンスを削除する必要がある場合は、次の手順を使用します。シスコは、各
Management Center固有のライセンスキーに基づいてライセンスを生成するため、ある
Management Centerでライセンスを削除し、そのライセンスを別のManagement Centerで再利用す
ることはできない点に注意してください。詳細については、『Firepower Management Center 設定
ガイド』の「Licensing the Firepower システム」を参照してください。
Firepower 7000 および 8000 シリーズインストールガイド
E-5
付録 E
Firepower 管理対象デバイスの事前設定
アプライアンスの移送の準備
ライセンスを削除するには、次の手順を実行します。
ステップ 1
[Systems] > [Licenses] を選択します。
ステップ 2
削除するライセンスの横にある削除アイコン（
）をクリックします。
ライセンスを削除すると、そのライセンスを使用するすべてのデバイスから、ライセンスされて
いる機能が削除されます。たとえば、Protection ライセンスが有効であり、100 台の管理対象デバ
イスに対して有効化されている場合は、このライセンスを削除すると、この 100 台のデバイスす
べてから保護機能が削除されます。
ステップ 3
ライセンスを削除することを確認します。
ライセンスが削除されます。
アプライアンスの電源オフ
アクセス：Admin
電源を取り外す前に、次の手順に従ってアプライアンスの電源を安全にオフにします。
Firepower デバイスの電源を切る方法：
ステップ 1
デバイスで、コマンドラインに次のように入力します。
system shutdown
デバイスが安全にシャットダウンします。
移送に関する考慮事項
ターゲットロケーションへの移送に向けてアプライアンスを準備するには、アプライアンスの
電源を安全にオフにし、再梱包する必要があります。次の考慮事項に注意します。
•
アプライアンスの再梱包には元の梱包材を使用します。
•
アプライアンスに付属のすべての参考資料および電源コードを同梱します。
•
不適切な取り扱いや押しつぶしによる損傷から NetMod および SFP を保護します。
•
新しいパスワードや検出モードを含むすべての設定情報をターゲットロケーションに提供
します。
Firepower 7000 および 8000 シリーズインストールガイド
E-6
付録 E
Firepower 管理対象デバイスの事前設定
アプライアンスの事前設定のトラブルシューティング
アプライアンスの事前設定のトラブルシューティング
アプライアンスがターゲットでの配布用に適切に設定されている場合、そのアプライアンスは
追加の設定なしでインストールして配布できます。
アプライアンスへのログインに問題がある場合、事前設定にエラーがある可能性があります。次
のトラブルシューティング手順を試行してください。
•
すべての電源コードおよび通信ケーブルがアプライアンスに正しく接続されていることを
確認します。
•
アプライアンスの現行パスワードがわかっていることを確認します。ステージングロケー
ションでの初期設定時に、パスワードの変更が求められます。新しいパスワードについては、
ステージングロケーションで提供される設定情報を参照してください。
•
ネットワーク設定が正しいことを確認します。初期設定ページ：Firepower デバイス（5-6 ペー
ジ）を参照してください。
•
正しい通信ポートが正しく動作していることを確認します。ファイアウォールポートの管
理については、ご使用のファイアウォールのマニュアルを参照してください。必要なオープ
ンポートについては、通信ポートの要件（1-16 ページ）を参照してください。
•
展開環境でネットワークアドレス変換（NAT）アプライアンスを使用する場合は、NAT が正
しく設定されていることを確認します。『Firepower Management Center 設定ガイド』の
「Working in NAT Environments」を参照してください。
それでも問題が解決しない場合は、IT 部門に連絡してください。
Firepower 7000 および 8000 シリーズインストールガイド
E-7
付録 E
アプライアンスの事前設定のトラブルシューティング
Firepower 7000 および 8000 シリーズインストールガイド
E-8
Firepower 管理対象デバイスの事前設定

Firepower 7000 および 8000 シリーズ インストール ガイド

Comments

Description

Transcript

Firepower 7000 および 8000 シリーズインストールガイド