Firepower Management Center のハイ アベイラビリティについて
運用の継続性を確保するために、ハイ アベイラビリティ機能を使用して、冗長 Firepower Management Center でデバイスを管理するように指定することができます。Firepower Management Center はアクティブ/スタンバイ ハイ アベイラビリティをサポートしています。つまり 1 台のアプライアンスがアクティブなユニットとなってデバイスを管理します。スタンバイ ユニットは、アクティブにデバイスを管理しません。アクティブ ユニットは、データ ストアに設定データを書き込み、両方のユニットのデータを複製し、必要な場合は同期を使用してスタンバイ ユニットと一部の情報を共有します。
アクティブ/スタンバイ ハイ アベイラビリティでは、プライマリ Firepower Management Center に障害が発生した場合、セカンダリ Firepower Management Center を設定して、プライマリの機能を引き継ぐことができます。プライマリ Firepower Management Center に障害が発生した場合は、セカンダリ Firepower Management Center をプロモートしてアクティブ ユニットにする必要があります。
イベント データは、管理対象デバイスからハイ アベイラビリティ ペアの両方の Firepower Management Center に配信されます。一方の Firepower Management Center で障害が発生した場合、他方の Firepower Management Center の使用を中断せずにネットワークをモニタすることができます。
ハイ アベイラビリティ ペアとして設定する 2 つの Firepower Management Center は、信頼された同じ管理ネットワーク上に存在する必要も、同じ地理的ロケーションに存在する必要もありません。
注意 |
システムでは一部の機能をアクティブ Firepower Management Center に制限しているため、そのアプライアンスで障害が発生した場合は、スタンバイ Firepower Management Center をアクティブにプロモートする必要があります。 |
リモート アクセス VPN のハイ アベイラビリティについて
プライマリ デバイスに、CertEnrollment オブジェクトを使用して登録された ID 証明書を使用したリモート アクセス VPN 設定がある場合、セカンダリ デバイスには、同じ CertEnrollment オブジェクトを使用して登録された ID 証明書が必要です。CertEnrollment オブジェクトは、デバイス固有のオーバーライドにより、プライマリ デバイスとセカンダリ デバイスに異なる値を持つことができます。この制限は、ハイ アベイラビリティの形成前に 2 つのデバイスに同じ CertEnrollment オブジェクトを登録することだけです。
Firepower Management Center 高可用性のシステム要件
この項では、ハイ アベイラビリティ設定にある Firepower Management Center のハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。
ハードウェア要件
-
ハイ アベイラビリティ設定の 2 台の Firepower Management Center は、モデルが同じである必要があります。
-
プライマリ Firepower Management Center バックアップをセカンダリ Firepower Management Center に復元することはできません。
-
帯域幅要件:2 つの Firepower Management Center の間にハイ アベイラビリティ構成を設定するには、それらの間に少なくとも 5 Mbps のネットワーク帯域幅が必要です。
ソフトウェア要件
[アプライアンス情報(Appliance Information)] ウィジェットにアクセスして、ソフトウェア バージョン、侵入ルールの更新バージョン、および脆弱性データベースの更新バージョンを確認します。デフォルトでは、[詳細ダッシュボード(Detailed Dashboard)] と [サマリー ダッシュボード(Summary Dashboard)] の [ステータス(Status)] タブにウィジェットが表示されます。詳細については、[アプライアンス情報(Appliance Information)] ウィジェットを参照してください。
-
ハイ アベイラビリティ設定の 2 台の Firepower Management Center には、同じメジャー(最初の番号)、マイナー(2 番めの番号)、メンテナンス(3 番めの番号)バージョンのソフトウェアがインストールされている必要があります。
-
ハイ アベイラビリティ構成内の 2 つの Firepower Management Center には、同じバージョンの侵入ルールの更新をインストールする必要があります。
-
ハイ アベイラビリティ構成内の 2 つの Firepower Management Center には、同じバージョンの脆弱性データベースの更新をインストールする必要があります。
警告 |
両方の Firepower Management Center でソフトウェア バージョン、侵入ルールの更新バージョン、および脆弱性データベースの更新バージョンが同一でない場合は、ハイ アベイラビリティを確立できません。 |
ライセンス要件
すべてのライセンスタイプ
高可用性ペア内の Firepower Management Center アプライアンスに特別なライセンスは必要ありません。
高可用性設定の Firepower Management Center アプライアンスで管理されているデバイスには、1 つの Firepower Management Center で管理されているデバイスと同じ数の機能ライセンスとサブスクリプションが必要です。
特定ライセンス予約の展開では、プライマリ FMC のみが特定ライセンス予約を必要とします。
システムは、高可用性ペアが形成された時点でアクティブからスタンバイ Firepower Management Center にすべての機能ライセンスを複製し、実行中のデータ同期の間にライセンスの変更を更新します。そのため、ライセンスはフェールオーバー時に使用できます。
スマート ライセンス
例:Firepower Management Center ペアで管理されている 2 つの Firepower Threat Defense デバイスに対して高度なマルウェア防御を有効にしたい場合は、2 つのマルウェア ライセンスと 2 つの TM サブスクリプションを購入し、アクティブ Firepower Management Center を Cisco Smart Software Manager に登録してから、ライセンスをアクティブ Firepower Management Center 上の 2 つの Firepower Threat Defense デバイスに割り当てます。
アクティブな Firepower Management Center のみが Cisco Smart Software Manager に登録されます。フェールオーバーが実行されると、システムは Cisco Smart Software Manager と通信して、スマート ライセンスの付与資格を最初にアクティブだった Firepower Management Center から解放し、新たにアクティブになる Firepower Management Center に割り当てます。
従来のライセンス
例:Firepower Management Center ペアで管理されている 2 つの デバイスに対して高度なマルウェア防御を有効にしたい場合は、2 つのマルウェア ライセンスと 2 つの TAM サブスクリプションを購入し、それらのライセンスを Firepower Management Center に追加してから、ライセンスをアクティブ Firepower Management Center 上の 2 つの デバイスに割り当てます。
高可用性 Firepower Management Center での役割とステータス
プライマリ/セカンダリの役割
Firepower Management Center を高可用性ペアの形でセットアップする際は、一方の Firepower Management Center をプライマリとして設定し、もう一方をセカンダリとして設定します。設定中に、プライマリ ユニットのポリシーは、セカンダリ ユニットに同期されます。この同期が完了すると、プライマリ Firepower Management Center がアクティブ ピアになり、セカンダリ Firepower Management Center がスタンバイ ピアになって、2 つのユニットが管理対象デバイスおよびポリシー設定に対して単一のアプライアンスとして機能します。
アクティブ/スタンバイ ステータス
高可用性ペアを構成する 2 つの Firepower Management Center の間の主な違いは、どちらがアクティブ ピアで、どちらがスタンバイ ピアであるかという点です。アクティブ Firepower Management Center は、完全に機能する状態に維持され、デバイスとポリシーを管理するために使用できます。スタンバイ Firepower Management Center では機能が非表示になるため、設定の変更を行うことはできません。
Firepower Management Center のハイ アベイラビリティを確立するための前提条件
Firepower Management Center ハイ アベイラビリティ ペアを確立する前に、次の操作を行います。
-
必要なポリシーを、対象のセカンダリ Firepower Management Center から対象のプライマリ Firepower Management Center にエクスポートします。詳細については、設定のエクスポートを参照してください。
-
対象のセカンダリ Firepower Management Center にデバイスが追加されていないことを確認します。対象のセカンダリ Firepower Management Center からデバイスを削除し、そのデバイスを対象のプライマリ Firepower Management Center に登録します。詳細については、Firepower Management Center からのデバイスの削除 と Firepower Management Center へのデバイスの追加 を参照してください。
-
対象のプライマリ Firepower Management Center にポリシーをインポートします。詳細については、設定のインポートを参照してください。
-
対象のプライマリ Firepower Management Center で、インポートされたポリシーを確認して、必要に応じて編集し、適切なデバイスに展開します。詳細については、設定変更の展開を参照してください。
-
対象のプライマリ Firepower Management Center で、適切なライセンスを新しく追加したデバイスに関連付けます。詳細については、[デバイス管理(Device Management)] ページで管理対象デバイスにライセンスを割り当てるを参照してください。
-
なお、Cisco Security Packet Analyzer と統合のための対象のセカンダリ Firepower Management Center の既存設定は、同期が発生した場合は上書きされます。必要に応じて、対象のプライマリ Firepower Management Center でこのような設定を再作成します。
これで、ハイ アベイラビリティの確立に進むことができます。詳細については、Firepower Management Center ハイ アベイラビリティの確立を参照してください。
Firepower Management Center のハイ アベイラビリティ ペアでのイベント処理
ハイ アベイラビリティ ペアの両方の Firepower Management Center が管理対象デバイスからイベントを受信するため、アプライアンスの管理 IP アドレスは共有されません。これは Firepower Management Center で障害が発生した場合に、継続的な処理を確保するために介入する必要がないことを意味します。
AMP クラウド接続とマルウェア情報
ハイ アベイラビリティ ペアを構成する Firepower Management Center は、ファイル ポリシーおよび関連する設定は共有しますが、シスコ AMP クラウド接続およびマルウェア処理は共有しません。運用の継続性を確保し、検出されたファイルのマルウェア処理が両方の Firepower Management Center で同じであるようにするためには、プライマリとセカンダリ両方の Firepower Management Center が AMP クラウドにアクセスできる必要があります。
URL フィルタリングとセキュリティ インテリジェンス
URL フィルタリングとセキュリティ インテリジェンスの設定および情報は、ハイ アベイラビリティ展開の Firepower Management Center の間で同期されます。ただし、プライマリ Firepower Management Center だけが、セキュリティ インテリジェンス フィードの更新用の URL カテゴリおよびレピュテーション データをダウンロードします。
プライマリ Firepower Management Center に障害が発生した場合は、セカンダリ Firepower Management Center がインターネットにアクセスして脅威インテリジェンスを更新できることを確認する必要があるだけでなく、セカンダリ Firepower Management Center の Web インターフェイスを使用してセカンダリをアクティブにプロモートする必要もあります。
Firepower Management Center のフェールオーバー中のユーザ データの処理
プライマリ Firepower Management Center で障害が発生した場合、ユーザ エージェント、ISE/ISE-PIC、TS エージェント、またはキャプティブ ポータル デバイスから報告されるすべてのログインは、それらのユーザが前に確認されて Firepower Management Center にダウンロードされていた場合でも、フェールオーバーのダウンタイム中に識別することはできません。識別されていないユーザは、Firepower Management Center で [不明(Unknown)] のユーザとして記録されます。
ダウンタイム後、不明のユーザはアイデンティティ ポリシーのルールに従って再確認され、処理されます。
Firepower Management Center ハイ アベイラビリティ ペアの構成管理
ハイ アベイラビリティ展開では、アクティブな Firepower Management Center のみがデバイスを管理し、ポリシーを適用できます。両方の Firepower Management Center は継続的な同期状態を保ちます。
アクティブ状態の Firepower Management Center に障害が発生すると、ハイ アベイラビリティ ペアは縮退状態となります。縮退状態は、スタンバイ状態のアプライアンスを手動でアクティブ状態に上げるまで続きます。スタンバイ状態のアプライアンスをアクティブ状態に上げると、両アプライアンスのメンテナンス モードが終了します。
Cisco Threat Intelligence Director (TID) およびハイ アベイラビリティ構成
ハイ アベイラビリティ構成のアクティブな Firepower Management Center で TID をホスティングする場合、システムは TID 構成と TID データをスタンバイ Firepower Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Firepower Management Center で TID データの定期的なバックアップを実行することを推奨します。
詳細は、TID データのバックアップおよび復元についてを参照してください。
バックアップ中の Firepower Management Center の高可用性動作
Firepower Management Center 高可用性ペアでバックアップを実行する場合、バックアップ動作によってピア間の同期が一時停止します。この動作中は、引き続きアクティブな Firepower Management Center を使用できますが、スタンバイ ピアを使用することはできません。
バックアップが完了すると、同期が再開され、少しの間、アクティブ ピアでのプロセスが無効になります。この一時停止中、[高可用性(High Availability)] ページには、すべてのプロセスが再開されるまでは一時的に保留ページが表示されます。
Firepower Management Center ハイ アベイラビリティのスプリットブレイン
高可用性ペアのアクティブな Firepower Management Center が(電源の問題、ネットワークや接続の問題で)ダウンした場合は、スタンバイ Firepower Management Center をアクティブ状態に昇格させることができます。元のアクティブなピアが起動すると、両方のピアがアクティブであるとみなされる場合があります。この状態は「スプリットブレイン」と定義されます。このような状況が発生すると、システムによってアクティブなアプライアンスを選択するように要求されます。それによって、もう一方のアプライアンスはスタンバイ状態に降格します。
アクティブな Firepower Management Center がダウンした(またはネットワーク障害により切断された)場合は、高可用性を中断するか、またはロールを切り替えることができます。スタンバイ Firepower Management Center は縮退状態になります。
(注) |
セカンダリとして使用するアプライアンスがどれであっても、スプリットブレインの解決時にデバイス登録とポリシー設定のすべてが失われます。たとえば、セカンダリに存在し、プライマリには存在しなかったポリシーへの変更は失われます。Firepower Management Center が両方のアプライアンスがアクティブな高可用スプリットブレイン シナリオである場合に、スプリットブレインを解決する前に管理対象デバイスを登録してポリシーを展開する場合は、ハイ アベイラビリティを再確立する前に、ポリシーをエクスポートして、管理対象デバイスを対象のスタンバイ Firepower Management Center から登録解除する必要があります。その後、管理対象デバイスを登録し、目的のアクティブ Firepower Management Center にポリシーをインポートすることができます。 |
ハイ アベイラビリティ ペアでの Firepower Management Center のアップグレード
Cisco は、各種の更新プログラムを電子形式で定期的に配信します。更新プログラムには、システム ソフトウェアのメジャーおよびマイナー アップグレードが含まれます。ハイ アベイラビリティ セットアップでは、これらの更新を両方の Firepower Management Center にインストールする必要が生じることがあります。
警告 |
アップグレード中には、少なくとも 1 つの Firepower Management Center を動作状態に維持してください。 |
始める前に
アップグレードに付属しているリリース ノートまたはアドバイザリ テキストを読んでください。リリース ノートでは、サポートされるプラットフォーム、互換性、前提条件、警告、特定のインストールおよびアンインストールの手順など重要なデータが提供されます。
手順
ステップ 1 |
アクティブ Firepower Management Center の Web インターフェイスにアクセスし、データ同期を一時停止します(Firepower Management Center ペア間の通信の一時停止を参照)。 |
ステップ 2 |
スタンバイ Firepower Management Center をアップグレードします(Firepower Management Center でのソフトウェアの更新を参照)。 |
ステップ 3 |
もう一方の Firepower Management Center をアップグレードします。 |
ステップ 4 |
どちらの Firepower Management Center をスタンバイとして使用するかを決定します。同期を一時停止した後にスタンバイに追加された追加のデバイスまたはポリシーは、アクティブ Firepower Management Center に同期されません。その追加のデバイスのみを登録解除し、維持する必要がある設定をエクスポートします。 新しいアクティブ Firepower Management Center を選択すると、セカンダリとして指定した Firepower Management Center は、同期されていないデバイス登録と展開されたポリシー設定を失います。 |
ステップ 5 |
最新のポリシーとデバイスに必要なすべての設定を含む新しいアクティブ Firepower Management Center を選択して、スプリットブレインを解決します。 |
Firepower Management Center のハイ アベイラビリティのトラブルシューティング
この項では、Firepower Management Center のハイ アベイラビリティ操作のいくつかの一般的なエラーに関するトラブルシューティング情報を示します。
エラー(Error) |
説明 |
ソリューション |
||
---|---|---|---|---|
500 内部(500 Internal) |
ピア ロールの切り替えや同期の一時停止と再開などのクリティカルな Firepower Management Center のハイ アベイラビリティ操作を実行しているときに Web インターフェイスにアクセスしようとすると表示されることがあります。 |
Web インターフェイスを使用する前に、操作が完了するまでお待ちください。 |
||
システム プロセスが起動しています、お待ちください(System processes are starting, please wait) また、Web インターフェイスは応答しません。(Also, the web interface does not respond.) |
ハイ アベイラビリティまたはデータ同期操作中に Firepower Management Center が再起動(手動でまたは電源切断からの回復中に)する場合に表示されることがあります。 |
|