デバイス スタックについて
スタック構成に含まれるデバイスを使用して、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。それぞれのスタック構成では、スタックに含まれるすべてのデバイスが同じハードウェアを使用していなければなりません。ただし、マルウェア ストレージ パックが一部またはすべてのデバイスにインストールされていたり、どのデバイスにもインストールされていなかったりする場合があります。また、以下のスタック構成に従って、同じデバイス ファミリのデバイスを使用する必要があります。
スタック構成は Firepower 8140、Firepower 8200 ファミリ、Firepower 8300 ファミリのデバイスでサポートされます。
81xx ファミリの場合:
-
2 台の Firepower 8140
82xx ファミリの場合:
-
最大 4 台の Firepower 8250
-
1 台の Firepower 8260(プライマリ デバイスおよびセカンダリ デバイス)
-
1 台の Firepower 8270(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)
-
1 台の Firepower 8290(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)
83xx ファミリの場合:
-
最大 4 台の Firepower 8350
-
最大 4 つの AMP8350
-
1 台の Firepower 8360(容量 40 G のプライマリ デバイスと 1 つのセカンダリ デバイス)
-
1 つの AMP8360(容量 40 G のプライマリ デバイスとセカンダリ デバイス)
-
1 台の Firepower 8370(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)
-
1 つの AMP8370(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)
-
1 台の Firepower 8390(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)
-
1 つの AMP8390(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)
スタック構成の詳細については、Cisco Firepower 8000 シリーズ スタートアップ ガイドを参照してください。マルウェア ストレージ パックの詳細については、Firepower System Malware Storage Pack Guideを参照してください。Firepower System Malware Storage Pack Guide。
注意 |
Cisco から供給されたハード ドライブ以外はデバイスに取り付けないでください。サポートされていないハード ドライブを取り付けると、デバイスが破損する可能性があります。マルウェア ストレージ パック キットは、シスコからのみ購入でき、8000 シリーズ デバイスでのみ使用できます。マルウェア ストレージ パックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、Firepower System Malware Storage Pack Guideを参照してください。 |
スタック構成を確立するときに、各スタック構成デバイスのリソースを 1 つの共有構成に統合します。
1 つのデバイスをプライマリ デバイスとして指定し、そのデバイスにスタック全体のインターフェイスを設定します。その他のデバイスはセカンダリ デバイスとして指定します。セカンダリ デバイスは、現在トラフィックを検知していないデバイスで、かつインターフェイス上にリンクがないデバイスでなければなりません。
単一のデバイスを設定する場合と同じように、プライマリ デバイスを分析対象のネットワーク セグメントに接続します。Cisco Firepower 8000 シリーズ スタートアップ ガイドで説明されているスタック構成のデバイスの配線手順に従って、セカンダリ デバイスをプライマリ デバイスに接続します。
スタック構成に含まれるすべてのデバイスは、同じハードウェアを使用し、同じソフトウェア バージョンを実行し、同じライセンスが適用されている必要があります。デバイスが NAT ポリシーのターゲットとなっている場合は、プライマリ デバイスとセカンダリ デバイスの両方に同じ NAT ポリシーを適用する必要があります。更新は、Firepower Management Center からスタック全体に対して展開する必要があります。スタック構成の 1 つ以上のデバイスで更新に失敗した場合、スタックはバージョンが混在した状態になります。バージョンが混在するスタックには、ポリシーを展開することも、更新を展開することもできません。この状態を修正するには、スタックを解除するか、バージョンが異なる個々のデバイスを削除し、それらのデバイスを個別に更新してからスタック構成を再確立します。デバイスをスタックに入れた後は、ライセンスの変更は、スタック全体に対してのみ行うことができます。
スタック構成を確立した後は、スタック構成に含まれるすべてのデバイスが単一の共有構成のように機能します。プライマリ デバイスで障害が発生した場合、トラフィックはセカンダリ デバイスに渡されません。この場合、セカンダリ デバイスでスタック ハートビートが失敗したことを通知する、ヘルス アラートが生成されます。
スタック内のセカンダリ デバイスで障害が発生すると、設定可能なバイパスが有効になっているインライン セットがプライマリ デバイス上でバイパス モードになります。それ以外のすべての設定では、システムは、失敗したセカンダリ デバイスへ継続してトラフィックをロード バランシングします。いずれの場合も、リンクが失われたことを示すためのヘルス アラートが生成されます。
デバイス スタックは展開内で単一のデバイスと同じように使用できますが、いくつかの例外があります。ハイ アベイラビリティ ペアに 7000 または 8000 シリーズ デバイスがある場合は、デバイスのハイ アベイラビリティ ペアまたはハイ アベイラビリティ ペアのデバイスをスタックできません。また、デバイス スタックに NAT を設定することもできません。
(注) |
スタック構成のデバイスからのイベント データを、eStreamer を使用して外部クライアント アプリケーションに配信する場合は、各デバイスからデータを収集して、各デバイスが同じように設定されていることを確認します。eStreamer 設定は、スタック構成のデバイス間で自動的に同期されません。 |
マルチドメイン展開では、同じドメインに属しているデバイスのみをスタックできます。