1. はじめに

本ドキュメントでは Firepower Management Center (FMC) で管理しているHA構成のFirepower2100 シリーズを利用時のFTDの各設定のバックアップ、及び復元手順について紹介します。
本ドキュメントは、Firepower Management Center のバージョン 6.2.2.1、Firepower 2110のFTDソフトウェアバージョン 6.2.2.1 を用いて確認、作成しております。なお、前提条件として故障機のFTDには、Interface設定、Routing、Access Control Policy、NAT設定、Platform Setting が設定されているとします。

なお、Firepower System バージョン 6.3以降でFTDのバックアップ・リストア機能に対応したため、リストア機能を利用しての交換も可能です。Firepower System バージョン 6.3以降を利用しており、リストア機能を用いた交換を検討時は、Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時) を参照してください。

2. FTDのバックアップ情報の事前取得

交換機をstandbyとしてHAを組みなおす際に、active機から設定情報はsyncされますが、念のため、FTD のバージョン情報をはじめとして、デバイスの固有設定の保管のために、FMCの Devices > Device Management 内の 各タブ (Device、Interfaces、Routingなど) 内の各設定状況確認と、スクリーンショットを取得しておいてください。及び、その他のFMC側で保存しているポリシー (Access Control PolicyやPlatform Settings、NAT など) のFTDへの割り当て状況に関しても、事前に確認・保管しておいてください。

3. 交換機のソフトウェアバージョンの確認

機器到着後、まず、交換機の電源を入れ、ユーザ名/パスワードは admin/Admin123 でログインします。 インストールされているsoftware と、そのversionを確認します。お客様利用version (6.1, 6.2 等)と同等のFTD software がインストールされていなかった、もしくは、ASA software がインストールされていた場合、リイメージ作業が必要になります。 

例 : 

firepower login: admin
Password: Admin123      (入力した文字は表示されません)
Last login: Wed Jan 16 01:30:29 UTC 2019 from 1.150.0.30 on pts/0
Successful login attempts for user 'admin' : 1

Copyright 2004-2017, Cisco and/or its affiliates. All rights reserved.
Cisco is a registered trademark of Cisco Systems, Inc.
All other trademarks are property of their respective owners.

Cisco Fire Linux OS v6.2.2 (build 11)
Cisco Firepower 2110 Threat Defense v6.2.2 (build 81)

Cisco Firepower Extensible Operating System (FX-OS) Software
TAC support: http://www.cisco.com/tac
Copyright (c) 2009-2015, Cisco Systems, Inc. All rights reserved.

The copyrights to certain works contained in this software are
owned by other third parties and used and distributed under
license.

Certain components of this software are licensed under the "GNU General Public
License, version 3" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, Version 3", available here:
http://www.gnu.org/licenses/gpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU General Public
License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms of
"GNU General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/gpl-2.0.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU LESSER GENERAL
PUBLIC LICENSE, version 3" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU LESSER GENERAL PUBLIC LICENSE" Version 3", available here:
http://www.gnu.org/licenses/lgpl.html. See User Manual (''Licensing'') for
details.

Certain components of this software are licensed under the "GNU Lesser General
Public License, version 2.1" provided with ABSOLUTELY NO WARRANTY under the
terms of "GNU Lesser General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.1.html. See User Manual
(''Licensing'') for details.

Certain components of this software are licensed under the "GNU Library General
Public License, version 2" provided with ABSOLUTELY NO WARRANTY under the terms
of "GNU Library General Public License, version 2", available here:
http://www.gnu.org/licenses/old-licenses/lgpl-2.0.html. See User Manual
(''Licensing'') for details.

firepower# connect ftd
> show version
-------------------[ firepower ]--------------------
Model                     : Cisco Firepower 2110 Threat Defense (77) Version 6.2.2 (Build 81)
UUID                      : e5da7728-163a-11e9-afac-d3351e3b4f65
Rules update version      : 2017-09-13-001-vrt
VDB version               : 290
----------------------------------------------------

>

リイメージ作業が必要な場合は、以下のURLを参考にFTDのリイメージを実施し、software versionを合わせます。

参考リンク： 

Firepower2100: リイメージと FTD初期セットアップ手順

なお、 FMCによる管理を行う場合、"Manage the device locally?" の問いには "no"を入力します。

4. FMCへの接続設定

交換機のmanagement I/F のIPアドレスの設定など初期設定が終わったのち、交換機のFTDにマネージャーであるFMCの情報を登録します。

> configure manager add 1.1.1.2 cisco
Manager successfully configured.
Please make note of reg_key as this will be required while adding Device in FMC.

> show managers
Type                      : Manager
Host                      : 1.1.1.2
Registration              : pending

>

5. FMC側でのデバイス再登録

FMC GUIより、スタンバイピアが応答しない場合は強制break のオプションにチェックをいれて、HA breakを実施してください。その後、旧active機がスタンドアロンで、稼働し続けます。この状況で、FMCに故障機のFTDがデバイスとして残っている状態のため、FMCにて、Devices > Device Management から当該デバイスを削除します。その後、FMCにて、Devices > Device Managementから、右上のAdd > Add Device を開きます。ここで、登録したい新FTDのIPアドレスや、先ほど設定したregistration key (4.の例ですと、"cisco") を入力し、FMCへの登録作業を完了します。

6. FTDのアップグレード

FMCへの登録作業が完了後、FTDを使用していたパッチバージョンへアップグレードします。FMCの System > Updates から事前にアップロードしておいたパッチファイルのインストール作業を当該FTDを対象に実施します。今回の例ですと、6.2.2 のFTDを6.2.2.1へアップグレードします。

7. FTD HAの再構築

交換機のFTDのアップグレード完了後、HAの再構築を行いますが、下記4パターンに分けて説明いたします。なお、現在のSnortの実装上、HA構築時にSnortのrestartが起こるため、それに伴い通信断が発生する可能性があります。

7-1. Primary/Active FTDの故障時

Primary/Active機の交換が必要になった場合、Failoverが発生し、その後のHA stateとしては、Secondary/Activeの状態になっているかと思われます。本トピック5にて、HA breakを実施したのち、旧Secondary機がスタンドアロンで稼働していますので、旧Secondary機を新Primary、交換機をSecondaryとして、HAを再構築します。HA構築後、本来のSecondary機がPrimary/Activeとなっていますので、Failoverを実施し、HA stateを変更してください。Failover後、本来のPrimary機がSecondary/Activeとなりますので、この状況で再度HA breakを実行してください。その後、本来のPrimaryをPrimary/Active として、FMCにてHAを再構築していただければ、復元作業は終了となります。

7-2. Primary/Standby FTDの故障時

Primary/Standby機の交換が必要になった場合、その際のHA stateとしては、Secondary/Activeの状態になっているかと思われます。FTD HAの再構築方法は、7-1 と同手順になります。

7-3. Secondary/Active FTDの故障時

Secondary/Active機の交換が必要になった場合、Failoverが発生し、その後のHA stateとしては、Primary/Activeの状態になっているかと思われます。本トピック5にて、HA breakを実施したのち、旧Primary機がスタンドアロンで稼働していますので、交換機をSecondaryとして、HAを再構築します。こちらで復元作業は終了となります。

7-4. Secondary/Standby FTDの故障時

Secondary/Active機の交換が必要になった場合、その際のHA stateとしては、Primary/Activeの状態になっているかと思われます。FTD HAの再構築方法は、7-3 と同手順になります。