7000 および 8000 シリーズ デバイスのハイ アベイラビリティについて
7000 および 8000 シリーズ デバイス ハイ アベイラビリティを利用することで、2 つのピア デバイス間または 2 つのピア デバイス スタック間のネットワーキング機能と設定データの冗長性を確保できます。
2 つのピア デバイスまたは 2 つのピア デバイス スタックを、ポリシーの展開、システムの更新、登録を行う単一の論理システムとして機能するハイ アベイラビリティ ペアとして構成することにより、構成の冗長性を実現できます。その他の設定データは、システムによって自動的に同期されます。
(注) |
スタティック ルート、非 SFRP IP アドレス、およびルーティングの優先順位は、ピア デバイスまたはピア デバイス スタック間で同期されません。各ピア デバイスまたはピア デバイス スタックは、独自のルーティング インテリジェンスを維持します。 |
デバイスのハイ アベイラビリティ要件
7000 および 8000 シリーズ デバイスのハイ アベイラビリティ ペアを構成するには、以下に従う必要があります。
-
単一デバイスと単一デバイスのペア、またはデバイス スタックとデバイス スタックのペアのみを構成できます。
-
両方のデバイスまたはデバイス スタックが正常なヘルス ステータスであり、同じソフトウェアを実行し、同じライセンスが有効になっている必要があります。詳細については、ヘルス モニタの使用を参照してください。特に、デバイスでのハードウェア障害は許容されません。ハードウェア障害が発生すると、デバイスがメンテナンス モードに入り、フェールオーバーがトリガーされます。
(注)
デバイスのペアを構成した後は、ペアを構成する個々のデバイスのライセンス オプションを変更することはできませんが、ハイ アベイラビリティ ペア全体のライセンスは変更できます。
-
各デバイスまたはスタック内の各プライマリ デバイスにインターフェイスを設定する必要があります。
-
両方のデバイスまたはデバイス スタックのプライマリ メンバーが同じモデルである必要があり、銅ケーブルまたは光ファイバの同じインターフェイスが必要です。
-
デバイス スタックのハードウェア構成は同一でなければなりませんが、インストール済みのマルウェア ストレージ パックについてはその限りではありません。たとえば、Firepower 8290 と別の 8290 のペアを構成することができます。どちらかのスタック内でマルウェア ストレージ パックが、どのデバイスに存在しなくても、1 つのデバイスにのみ、またはすべてのデバイスに存在しても構いません。
注意
Cisco から供給されたハード ドライブ以外はデバイスに取り付けないでください。サポートされていないハード ドライブを取り付けると、デバイスが破損する可能性があります。マルウェア ストレージ パック キットは、シスコからのみ購入でき、8000 シリーズ デバイスでのみ使用できます。マルウェア ストレージ パックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、Firepower System Malware Storage Pack Guideを参照してください。
-
デバイスが NAT ポリシーのターゲットとなっている場合、両方のピアに同じ NAT ポリシーを適用する必要があります。
-
マルチドメイン展開では、7000 または 8000 シリーズ デバイスのハイ アベイラビリティまたはリーフ ドメイン内のデバイス スタックのみを確立できます。
(注) |
フェールオーバーとリカバリの後に、SFRP はマスター ノードにプリエンプション処理します。 |
デバイス ハイ アベイラビリティ フェールオーバーとメンテナンス モード
7000 および 8000 シリーズ デバイス ハイ アベイラビリティのフェールオーバーは、手動または自動で行われます。手動でフェールオーバーをトリガーするには、ペアを構成するデバイスまたはスタックのいずれかでメンテナンス モードを開始します。
自動フェールオーバーは、アクティブ デバイスまたはアクティブ スタックの正常性が損なわれた場合、システム更新時、または管理者権限によりデバイスがシャットダウンされた場合に発生します。また、自動フェールオーバーは、アクティブ デバイスまたはデバイス スタックで NMSB 障害、NFE 障害、ハードウェア障害、ファームウェア障害、重大なプロセス障害、ディスク フル エラー、または 2 つのスタック構成のデバイス間のリンク障害が起きた場合にも発生します。スタンバイのデバイスまたはスタックの正常性がアクティブ デバイス同様に損なわれている場合は、フェールオーバーは行われず、クラスタは縮退状態になります。また、いずれかのデバイスまたはデバイス スタックがメンテナンス モードになっている場合も、フェールオーバーは行われません。アクティブ スタックからスタック ケーブルを切断すると、そのスタックはメンテナンス モードに入ることに注意してください。アクティブ スタックのセカンダリ デバイスをシャットダウンした場合も、スタックはメンテナンス モードに入ります。
(注) |
ハイ アベイラビリティ ペアのアクティブなメンバーがメンテナンス モードになり、アクティブ ロールが他のペア メンバーにフェールオーバーされた場合、元のアクティブ ペアのメンバーは、通常動作に復帰したときに自動的にアクティブ ロールを再要求しません。 |
ハイ アベイラビリティ ペアの設定展開とアップグレードの動作
このトピックでは、ハイ アベイラビリティ ペアでの 7000 および 8000 シリーズ デバイス(およびスタック)のアップグレードと展開の動作について説明します。
展開時の動作
ハイ アベイラビリティ ペアのメンバーに同時に設定の変更を展開します。展開は、両方のピアについて成功するか失敗するかのいずれかです。Firepower Management Center は、アクティブ デバイスに展開します。この展開に成功すると、次に変更がスタンバイに展開されます。
注意 |
展開する際にリソースを要求すると、いくつかのパケットがインスペクションなしでドロップされることがあります。また、一部のコンフィギュレーションを展開すると、トラフィックのインスペクションを中断する Snort プロセスが再開します。この中断中にトラフィックがドロップされるか、それ以上インスペクションが行われずに受け渡されるかは、ターゲット デバイスがトラフィックを処理する方法に応じて異なります。Snort® の再起動によるトラフィックの動作および展開またはアクティブ化された際に Snort プロセスを再起動する設定を参照してください。 |
アップグレード時の動作
ハイ アベイラビリティ ペアのデバイス(またはデバイス スタック)をアップグレードする間に、トラフィック フローまたはインスペクションが中断されることはありません。継続稼働できるように、一度に 1 つずつアップグレードされます。アップグレード中、デバイスはメンテナンス モードで稼働します。
最初にアップグレードするピアは、展開によって異なります。
-
ルーテッドまたはスイッチド:最初にスタンバイをアップグレードします。デバイスの役割が切り替わり、新しくスタンバイになったデバイスがアップグレードされます。アップグレードの完了時には、デバイスの役割は切り替わったままです。アクティブ/スタンバイの役割を維持する場合、アップグレード前に役割を手動で切り替えます。それにより、アップグレード プロセスによって元の役割に切り替わります。
-
アクセス制御のみ:最初にアクティブをアップグレードします。アップグレードの完了時に、アクティブとスタンバイの以前の役割がデバイスで維持されます。
展開タイプとデバイス ハイ アベイラビリティ
7000 または 8000 シリーズ デバイスのハイ アベイラビリティ構成は、Firepower システム展開(パッシブ、インライン、ルーテッド、またはスイッチド)に応じて決定します。同時に複数のロールを持たせてシステムを展開することもできます。4 つの展開タイプのうち、ハイ アベイラビリティを用いた冗長性をもたらすためにデバイスまたはスタックの構成が必要になるのは、パッシブ展開のみです。他の展開タイプでは、デバイス ハイ アベイラビリティを使用しても使用しなくてもネットワークの冗長性を確立できます。各展開タイプにおけるハイ アベイラビリティの概要については、以降の各項を参照してください。
(注) |
レイヤ 3 の冗長性については、デバイス ハイ アベイラビリティを使わずに、Cisco Redundancy Protocol(SFRP)により実現できます。SFRP では、指定した IP アドレスに対する冗長なゲートウェイとしてデバイスを機能させることができます。ネットワークの冗長性では、2 つのデバイスまたは 2 つのスタックが同一のネットワーク接続を提供するように設定することで、ネットワーク上の他のホストに対する接続を維持できます。 |
パッシブ展開での冗長性
一般に、パッシブ インターフェイスは中央スイッチのタップ ポートに接続されます。この場合、スイッチを通過するトラフィックのすべてを、パッシブ インターフェイスで分析することが可能になります。複数のデバイスが同じタップ フィードに接続されている場合、システムはそれぞれのデバイスからイベントを生成します。ハイ アベイラビリティ ペアとして構成されているデバイスは、アクティブまたはスタンバイのいずれかとして機能するため、システムはシステム障害が発生したとしてもトラフィックを分析できると同時に、重複するイベントを防止できます。
インライン展開での冗長性
インライン セットは、自身を通過するパケットのルーティングを制御できないため、展開環境で常にアクティブになっていなければなりません。したがって、冗長性を確立できるかどうかは、外部システムがトラフィックを適切にルーティングするかどうかに依存します。冗長インライン セットは、7000 または 8000 シリーズ デバイスのハイ アベイラビリティを使用しても使用しなくても設定できます。
冗長インライン セットを展開するには、循環ルーティングを防止する一方で、トラフィックがインラインセットのいずれか 1 つだけを通過できるようにネットワーク トポロジーを設定します。インライン セットのいずれかで障害が発生すると、周辺ネットワーク インフラストラクチャがゲートウェイ アドレスへの接続が切断されたことを検出し、ルートを調整して冗長セット経由でトラフィックを送信します。
ルーテッド展開での冗長性
IP ネットワーク内のホストは、既知のゲートウェイ アドレスを使用して、トラフィックをさまざまなネットワークに送信する必要があります。ルーテッド展開で冗長性を確立するには、ルーテッド インターフェイスがゲートウェイ アドレスを共有し、そのアドレスに対するトラフィックを常に 1 つのインターフェイスだけが処理するようにしなければなりません。そのためには、仮想ルータで同じ数の IP アドレスを維持する必要があります。1 つのインターフェイスがアドレスをアドバタイズします。そのインターフェイスがダウンすると、スタンバイ インターフェイスがアドレスのアドバタイズを開始します。
ハイ アベイラビリティ ペアのメンバーではないデバイスでは、複数のルーティングされたインターフェイス間で共有するゲートウェイ IP アドレスの設定し、SFRP によって冗長性を確保します。SFRP は、7000 または 8000 シリーズ デバイスのハイ アベイラビリティを使用しても使用しなくても設定できます。また、OSPF や RIP などのダイナミック ルーティングを使用して冗長性を確保することもできます。
スイッチド展開での冗長性
スイッチド展開では、高度な仮想スイッチ設定の 1 つであるスパニング ツリー プロトコル(STP)を使用して冗長性を確保します。STP はブリッジ型ネットワーク トポロジを管理するプロトコルです。このプロトコルは、スタンバイ リンクを設定することなく、冗長リンクでスイッチド インターフェイスの自動スタンバイを行えるように設計されています。スイッチド展開でのデバイスは、STP に依存して、冗長インターフェイス間のトラフィックを管理します。同じブロードキャスト ネットワークに接続されている 2 つのデバイスは、STP によって計算されたトポロジに基づいてトラフィックを受信します。
(注) |
7000 または 8000 シリーズ デバイスのハイ アベイラビリティ ペアに展開する予定の仮想スイッチを設定する際には、STP を有効にするよう強く推奨します。 |
デバイスのハイ アベイラビリティ設定
7000 または 8000 シリーズ デバイスのハイ アベイラビリティを確立する際には、デバイスまたはスタックのうちの一方をアクティブとして指定し、もう一方をスタンバイとして指定します。システムは、マージした設定を、ペア内のデバイスに適用します。競合が存在する場合、システムはアクティブとして指定されたデバイスまたはスタックの設定を適用します。
デバイスのペアを構成した後は、ペアを構成する個々のデバイスのライセンス オプションを変更することはできませんが、ハイ アベイラビリティ ペア全体のライセンスは変更できます。スイッチド インターフェイスまたはルーテッド インターフェイスで設定しなければならないインターフェイス属性がある場合、システムはハイ アベイラビリティ ペアを確立しますが、そのステータスを保留中に設定します。ユーザが必要な属性を設定した後、システムはハイ アベイラビリティ ペアを完成させて、正常なステータスに設定します。
ハイ アベイラビリティ ペアを確立した後、[デバイス管理(Device Management)] ページでは、ピア デバイスまたはスタックが単一のデバイスとして扱われます。デバイスのハイ アベイラビリティ ペアは、アプライアンス リストではハイ アベイラビリティ アイコン()が表示されます。ユーザが行った設定変更は、いずれもペアを構成するデバイスの間で同期されます。[デバイス管理(Device Management)] ページには、ハイ アベイラビリティ ペアのどのデバイスまたはスタックがアクティブであるかが表示されます。アクティブなデバイスまたはスタックは、手動または自動フェールオーバーが発生すると変更されます。
デバイスのハイ アベイラビリティ ペアの登録を Firepower Management Center から削除すると、その登録は両方のデバイスまたはスタックから削除されます。デバイスのハイ アベイラビリティ ペアを Firepower Management Center から削除する方法は、個々の管理対象デバイスを削除する場合の方法と同じです。
登録が削除されたハイ アベイラビリティ ペアは、別の Firepower Management Center に登録できます。ハイ アベイラビリティ ペアを構成する一方のデバイスを登録するには、ペアのうちアクティブ デバイスにリモート管理を追加してから、そのデバイスを Firepower Management Center に追加します。これにより、ペア全体が追加されます。ハイ アベイラビリティ ペアのうちスタック構成のデバイスを登録するには、どちらか一方のスタックのプライマリ デバイスにリモート管理を追加してから、そのデバイスを Firepower Management Center に追加します。これにより、ペア全体が追加されます。
デバイスのハイ アベイラビリティ ペアを確立したら、ハイ アベイラビリティ リンク インターフェイスを設定する必要があります。
(注) |
ハイ アベイラビリティ ペアのデバイスを使用してダイナミック NAT、HA 状態共有、または VPN を設定する場合は、ハイ アベイラビリティ リンク インターフェイスを構成する必要があります。詳細については、「HA リンク インターフェイスの設定」を参照してください。 |