2024-04-10 05:22 PM 2024-04-10 09:17 PM 更新
Cisco Firepower Threat Defense (FTD) マルチインスタンス環境において、フェイルオーバー機能を利用することで、セキュリティインスタンスの冗長性と可用性を高めることができます。フェイルオーバーは、アクティブ/スタンバイの構成で実装され、1つのインスタンス(アクティブ)が障害に遭遇した場合に、別のインスタンス(スタンバイ)が自動的にその役割を引き継ぎます。
本ドキュメントは、Cisco Firepower 4145 NGFW Appliance (FTD) バージョン 7.2.5 にて確認、作成をしております。
Cisco Firepower 4145 NGFW Appliance は最大14個のインスタンスがサポートされます。各セキュリティアプライアンスでサポートされるインスタンスの数について、Maximum Container Instances(Firepower 4100/9300) や Maximum Container Instances(Firepower 3100) をご確認ください。
Cisco Firepower Threat Defense (FTD) マルチインスタンスは、Cisco Firepower シリーズに属するセキュリティアプライアンス上で複数の独立したセキュリティコンテキスト(インスタンス)を実行できる機能です。この機能により、一つの物理的なセキュリティデバイス上で複数のバーチャルファイアウォールを稼働させることができます。マルチインスタンス機能を使用することで、異なるセキュリティポリシーや管理要件を持つ複数の組織や部門が、一つの物理デバイスを共有しつつ、互いに独立したセキュリティ環境を持つことが可能になります。
本ドキュメントは2台の Cisco Firepower 4145 において、それぞれに2つのインスタンスを作成し、インスタンスの Failover 構成・設定例とその動作確認について、実例を交え紹介します。
デバイスとインスタンスの構成例:
通信の組み合わせの例:
本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。
ロジック構成図:
物理構成図:
(1) FCM の Platform Settings > Resource Profiles パスより、Add ボタンをクリックし、FPR01 デバイスの1番目のリソースプロファイルを追加します。
*注意:
(2) FPR01 デバイスの2番目のリソースプロファイルを設定します。
(3) FPR01デバイスで、2つのリソースプロファイルが正常に追加されたことを確認します。
マルチインスタンス機能において、各インスタンスインターフェースに対し、FXOS により、自動的に仮想MACアドレスが生成されます。手動で仮想MACアドレスを設定することも可能です。仮想MACアドレスについての詳細は、Add a MAC Pool Prefix and View MAC Addresses for Container Instance Interfaces をご参照ください。
FCM の Logical Devices パスより、Add プルダウンリストで Add Standalone を選択し、2つのインスタンスを追加します。
インスタンス1:
インスタンス2:
*注意:
インスタンス1の追加例:
インスタンス1(FTD01)に対し、下記 (1) ~ (3) の操作を実施します。
(1) FCM の Logical Devices タブで、Click to configure アイコンをクリックし、リソースプロファイルなどの情報を設定します。
(2) FCM の Logical Devices タブで、左側の Data Ports 中のインターフェースをクリックし、データインターフェースの割り当てを実施します。
(3) インスタンス1(FTD01)が立ち上げるまで、待ちます。
(4) インスタンス2(FTD02)に対し、同じく (1) ~ (3) の操作を実施します。
インスタンス2(FTD02)の設定内容:
(5) FCM の Logical Devices タブで、2つのインスタンスが Online 状態であることを確認します。
(6) (オプション)FXOS CLI で show app-instance コマンドにより、インスタンスの状態も確認できます。
FPR4145-ASA-K9# scope ssa
FPR4145-ASA-K9 /ssa # scope slot 1
FPR4145-ASA-K9 /ssa/slot # show app-Instance
Application Instance:
App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd FTD01 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance01 Not Applicable None --> FTD01 Instance is Online
ftd FTD11 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance02 Not Applicable None --> FTD11 Instance is Online
FPR02デバイスの FCM にアクセスし、FPR01 と同じ設定方法で2つのインスタンスを追加します。
FPR02 のインスタンス1:
FPR02 のインスタンス2:
FPR02デバイスの2つのインスタンスが Online 状態であることを確認します。
(1) FMC の Devices パスより、Add プルダウンリストで Device を選択し、2台のFPRデバイスに対し、4つのインスタンスを FMC に登録します。
インスタンス FTD1_FTD01 をFMCへの登録例:
(2) 4つのインスタンスが正常にFMCに登録されたことを確認します。
(1) FMC の Devices > Device Management パスより、Add プルダウンリストから High Availability を選択し、FPR01とFPR02デバイスの Instance01 に対し、FTD01_FTD02_HAという名前でHAペアを設定します。
HAペア (FTD01_FTD02_HA):
(2) Instance01 のHA ペア(FTD01_FTD02_HA)に対し、High Availability Link と State Link の Interface と IPアドレスを設定します。
(1) HA ペア(FTD01_FTD02_HA)にあるFPR01とFPR02デバイスのInstance01のHA状態を確認します。
(1) FMC の Devices > Device Management パスより、HA ペア(FTD01_FTD02_HA)をクリックし、Interfaces タブで、データインターフェースの Active IPアドレスを設定します。
Ethernet1/1 の Active IP の設定例:
(1) FMC の Devices > Device Management パスより、HA ペア(FTD01_FTD02_HA) をクリックし、High Availability タブで、データインターフェースの Standby IP アドレスを設定します。
Ethernet1/1 の Standby IP の設定例:
Instance01 と同じ方法で、FPR01とFPR02デバイスの Instance02 に対し、FTD11_FTD12_HAという名前のHAペアを設定します。
HAペア (FTD11_FTD12_HA) の設定情報:
(1) FMC の Policies > Access Control パスより、inside から outside へのトラフィックを許可するためのACPルールを設定します。
(2) 全ての設定をFPR01とFPR02デバイスにデプロイします。
Instance01とInstance02のHAが正常に組み込んだ後、FPR01とFPR02デバイスの状態が本ドキュメント冒頭の "物理構成図" のHA状態に該当します。以下は各インスタンスへのCLIアクセスで、そのインスタンスのHA状態の確認例です。
HA ペア(FTD01_FTD02_HA)中の FTD1_FTD01 (FPR01 のInstance01) が Primary/Active の状態であることを確認します。
// Instance01 of FPR01 Device
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Primary - Active
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
HA ペア(FTD01_FTD02_HA)中の FTD1_FTD11 (FPR01 のInstance02) が Primary/Active の状態であることを確認します。
// Instance02 of FPR01 Device
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
HA ペア(FTD11_FTD12_HA)中の FTD2_FTD02 (FPR02 のInstance01) が Secondary/Standby の状態であることを確認します。
// Instance01 of FPR02 Device
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
......
Other host: Primary - Active
Active time: 31651 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
HA ペア(FTD11_FTD12_HA)中の FTD2_FTD12 (FPR02 のInstance02) が Secondary/Standby の状態であることを確認します。
// Instance02 of FPR02 Device
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Active time: 31275 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
すべてのライセンスは、インスタンスごとではなく、シャーシごとに消費されます。
・Baseライセンス:自動的に割り当てられます。シャーシごとに1つ。
・機能ライセンス:各インスタンスに手動で割り当てられます。シャーシごとに、各機能が1つのライセンスのみを消費します。
本ドキュメントにおける例でのライセンス消費状況は以下の通りです。
テーブル1:各インスタンスにおけるライセンスの利用状況
FPR01 | Instance01 | Base, URL Filtering, Malware, Threat |
Instance02 | Base, URL Filtering, Malware, Threat | |
FPR02 | Instance01 | Base, URL Filtering, Malware, Threat |
Instance02 | Base, URL Filtering, Malware, Threat |
テーブル2:ライセンスの消費状況
Base | URL Filtering | Malware | Threat |
2 | 2 | 2 | 2 |
FMC GUIで確認できるライセンスの消費状況:
以下は FPR01デバイス の Instance01 がクラッシュした場合の動作例を紹介します。
Instance01 のクラッシュにより、HAペア(FTD01_FTD02_HA)で failover がトリガーされ、Standby側の各Data Interfaceが元 Active Interface のIP/MACアドレスを引き継いで、通信を継続的に確保します。なお、FTDのマルチインスタンス環境では、各インスタンスが独立しており、Instance01 のクラッシュが Instance02 に影響を与えません。
クラッシュ前の通信状況:
FPR01デバイスのInstance01にクラッシュが発生:
クラッシュ後の通信状況:
Win10 - 01 から Win10 - 02 へのFTP接続を実施します。show conn コマンドにより、FPR01とFPR02デバイスの Instance01 でFTPコネクションが生成されたことを確認します。
// FTP connection in Instance01 of FPR01
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:11, bytes 529, flags UIO N1
// FTP connection in Instance01 of FPR02
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:42, bytes 530, flags UIO N1
Win10 - 03 から Win10 - 04 へのFTP接続を実施します。show conn コマンドにより、FPR01とFPR02デバイスの Instance02 でFTPコネクションが生成されたことを確認します。
// FTP connection in Instance02 of FPR01
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:02, bytes 530, flags UIO N1
// FTP connection in Instance02 of FPR02
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:13, bytes 530, flags UIO N1
FPR01デバイス の Instance01(Primary/Active)に対し、crashinfo force watchdog コマンドにより、強制的にクラッシュさせます。
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
FTD01> enable
Password:
FTD01#
FTD01# crashinfo force watchdog
reboot. Do you wish to proceed? [confirm]:
FPR02デバイス の Instance01 が Standby から Active に切り替えて、Instance01 経由のFTP通信が問題ないことを確認します。
// FPR02 の Instance01での実施結果
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Active <---- FPR02のInstance01がActiveに切り替わった
Interface diagnostic (192.168.80.1): Normal (Waiting)
Interface inside (192.168.10.254): Unknown (Waiting)
Interface outside (192.168.20.254): Unknown (Waiting)
......
Other host: Primary - Failed
Interface diagnostic (192.168.80.2): Unknown (Monitored)
Interface inside (192.168.10.253): Unknown (Monitored)
Interface outside (192.168.20.253): Unknown (Monitored)
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:02:25, bytes 533, flags U N1 <---- FTP Connectionに影響なし
Instance01 で発生したクラッシュは Instance02 に影響を与えないことを確認します。show failover や show conn コマンドにより、Instance02 のHA状態を確認します。
// FPR02 の Instance02での実施結果
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:01:18, bytes 533, flags UIO N1
FMC の Devices > All パスより、HA状態を確認します。
Instance01 のHAペア(FTD01_FTD02_HA):
・FTD1_FTD01 : Primary, Standby
・FTD2_FTD02 : Secondary, Active
Instance02 のHAペア(FTD11_FTD12_HA):
・FTD1_FTD01 : Primary, Active
・FTD2_FTD02 : Secondary, Standby
FPR01デバイス の Instance01 が正常に起動できた後、FMC GUI もしくは FTD CLI により、手動でHAのステータスを切り替えます。
FMC GUI の場合、FMC の Devices > All パスより、Instance01 のHAペア(FTD01_FTD02_HA)に対し、Switch Active Peer をクリックした後、HA状態がクラッシュした前の状態に戻ります。
FTD CLI の場合、connect ftd FTD01 と system support diagnostic-cli コマンドにより、FPR01デバイス の Instance01 の ASA CLI に入ります。failover active コマンドにより、Instance01 のHAペア(FTD01_FTD02_HA)の状態を切り替えます。
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
firepower# failover active
Cisco Secure Firewall (FTD) - how to
Firepower System and FTDトラブルシューティング
ファイアウォール トラブルシューティング
Configure FTD High Availability on Firepower Appliances
Use Multi-Instance Capability on the Firepower 4100/9300
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます