- はじめに
- 背景
- 通信の組み合わせ
- 構成例
- 設定例
- 1.FPR01 デバイスの基本設定
- Step 1. インタフェースタイプの設定
- Step 2. リソースプロファイルの追加
- Step 3. 仮想MACアドレスの設定(オプション)
- Step 4. インスタンスの追加
- Step 5. インスタンスに設定の割り当て
- 2.FPR02 デバイスの基本設定
- 3.HA の設定
- Step 1. インスタンスをFMCへの登録
- Step 2. Instance01 の HA 設定
- Step 3. HA 状態の確認
- Step 4. Active IP の設定
- Step 5. Standby IP の設定
- Step 6. Instance02 の HA 設定
- 4.ACP の追加
- HA状態の確認
- 1.FPR01 の Instance01
- 2.FPR01 の Instance02
- 3.FPR02 の Instance01
- 4.FPR02 の Instance02
- ライセンス消費状況の確認
- 動作確認例
- 1.クラッシュ発生前の通信状況
- Step 1. Instance01 経由の通信
- Step 2. Instance02 経由の通信
- 2.FPR01 の Instance01 にクラッシュ発生
- 3.クラッシュ発生後の通信状況
- Step 1. Instance01 のHA切り替え
- Step 2. Instance02 への影響確認
- Step 3. FMCで HA 状態の確認
- Step 4. HA 状態の切り戻す(オプション)
- 参考情報
はじめに
Cisco Firepower Threat Defense (FTD) マルチインスタンス環境において、フェイルオーバー機能を利用することで、セキュリティインスタンスの冗長性と可用性を高めることができます。フェイルオーバーは、アクティブ/スタンバイの構成で実装され、1つのインスタンス(アクティブ)が障害に遭遇した場合に、別のインスタンス(スタンバイ)が自動的にその役割を引き継ぎます。
本ドキュメントは、Cisco Firepower 4145 NGFW Appliance (FTD) バージョン 7.2.5 にて確認、作成をしております。
Cisco Firepower 4145 NGFW Appliance は最大14個のインスタンスがサポートされます。各セキュリティアプライアンスでサポートされるインスタンスの数について、Maximum Container Instances(Firepower 4100/9300) や Maximum Container Instances(Firepower 3100) をご確認ください。
背景
Cisco Firepower Threat Defense (FTD) マルチインスタンスは、Cisco Firepower シリーズに属するセキュリティアプライアンス上で複数の独立したセキュリティコンテキスト(インスタンス)を実行できる機能です。この機能により、一つの物理的なセキュリティデバイス上で複数のバーチャルファイアウォールを稼働させることができます。マルチインスタンス機能を使用することで、異なるセキュリティポリシーや管理要件を持つ複数の組織や部門が、一つの物理デバイスを共有しつつ、互いに独立したセキュリティ環境を持つことが可能になります。
通信の組み合わせ
本ドキュメントは2台の Cisco Firepower 4145 において、それぞれに2つのインスタンスを作成し、インスタンスの Failover 構成・設定例とその動作確認について、実例を交え紹介します。
デバイスとインスタンスの構成例:
通信の組み合わせの例:
構成例
本ドキュメントは、以下の構成で、設定・動作確認例を紹介します。
ロジック構成図:
物理構成図:
設定例
1.FPR01 デバイスの基本設定
Step 2. リソースプロファイルの追加
(1) FCM の Platform Settings > Resource Profiles パスより、Add ボタンをクリックし、FPR01 デバイスの1番目のリソースプロファイルを追加します。
- Name : Instance01
- Number of Cores : 10
*注意:
- インスタンスのHAを組み込むためには、両デバイスのインスタンスで、同じリソースプロファイルを使用する必要があります。
- プロファイルの名前は1文字から64文字の間で設定してください。このプロファイルを追加した後、名前を変更することはできません。
(2) FPR01 デバイスの2番目のリソースプロファイルを設定します。
- Name : Instance02
- Number of Cores : 20
(3) FPR01デバイスで、2つのリソースプロファイルが正常に追加されたことを確認します。
Step 3. 仮想MACアドレスの設定(オプション)
マルチインスタンス機能において、各インスタンスインターフェースに対し、FXOS により、自動的に仮想MACアドレスが生成されます。手動で仮想MACアドレスを設定することも可能です。仮想MACアドレスについての詳細は、Add a MAC Pool Prefix and View MAC Addresses for Container Instance Interfaces をご参照ください。
Step 4. インスタンスの追加
FCM の Logical Devices パスより、Add プルダウンリストで Add Standalone を選択し、2つのインスタンスを追加します。
インスタンス1:
- Device Name : FTD01
- Instance Type : Container
インスタンス2:
- Device Name : FTD02
- Instance Type : Container
*注意:
- FTDのコンテナモードを利用するための唯一の方法は、Logical Device 追加時の Instance Type を Container に選択し、デプロイすることです。
- デバイス名(Device Name)を追加した後、その名前を変更することはできません。
インスタンス1の追加例:
Step 5. インスタンスに設定の割り当て
インスタンス1(FTD01)に対し、下記 (1) ~ (3) の操作を実施します。
(1) FCM の Logical Devices タブで、Click to configure アイコンをクリックし、リソースプロファイルなどの情報を設定します。
- Resource Profile : Instance01
- Management Interface : Ethernet1/3
- ManagementIP : x.x.1.1
(2) FCM の Logical Devices タブで、左側の Data Ports 中のインターフェースをクリックし、データインターフェースの割り当てを実施します。
(3) インスタンス1(FTD01)が立ち上げるまで、待ちます。
(4) インスタンス2(FTD02)に対し、同じく (1) ~ (3) の操作を実施します。
(5) FCM の Logical Devices タブで、2つのインスタンスが Online 状態であることを確認します。
(6) (オプション)FXOS CLI で show app-instance コマンドにより、インスタンスの状態も確認できます。
FPR4145-ASA-K9# scope ssa
FPR4145-ASA-K9 /ssa # scope slot 1
FPR4145-ASA-K9 /ssa/slot # show app-Instance
Application Instance:
App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd FTD01 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance01 Not Applicable None --> FTD01 Instance is Online
ftd FTD11 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance02 Not Applicable None --> FTD11 Instance is Online
2.FPR02 デバイスの基本設定
FPR02デバイスの FCM にアクセスし、FPR01 と同じ設定方法で2つのインスタンスを追加します。
FPR02 のインスタンス1:
- Device Name : FTD02
- Instance Type : Container
- Resource Profile : Instance01
- Management Interface : Ethernet1/3
- ManagementIP : x.x.1.2
- Ethernet1/1 = inside
- Ethernet1/2 = outside
- Ethernet1/4 = HA link
FPR02 のインスタンス2:
- Device Name : FTD12
- Instance Type : Container
- Resource Profile : Instance02
- Management Interface : Ethernet1/7
- ManagementIP : x.x.10.2
- Ethernet1/5 = inside
- Ethernet1/6 = outside
- Ethernet1/8 = HA link
FPR02デバイスの2つのインスタンスが Online 状態であることを確認します。
3.HA の設定
Step 1. インスタンスをFMCへの登録
(1) FMC の Devices パスより、Add プルダウンリストで Device を選択し、2台のFPRデバイスに対し、4つのインスタンスを FMC に登録します。
- FPR01 > Instance01 > Display Name : FTD1_FTD01
- FPR01 > Instance02 > Display Name : FTD1_FTD11
- FPR02 > Instance01 > Display Name : FTD2_FTD02
- FPR02 > Instance02 > Display Name : FTD2_FTD12
インスタンス FTD1_FTD01 をFMCへの登録例:
(2) 4つのインスタンスが正常にFMCに登録されたことを確認します。
Step 2. Instance01 の HA 設定
(1) FMC の Devices > Device Management パスより、Add プルダウンリストから High Availability を選択し、FPR01とFPR02デバイスの Instance01 に対し、FTD01_FTD02_HAという名前でHAペアを設定します。
HAペア (FTD01_FTD02_HA):
- Primary Peer : FTD1_FTD01 (FPR01 の Instance01)
- Secondary Peer : FTD2_FTD02 (FPR02 の Instance01)
(2) Instance01 のHA ペア(FTD01_FTD02_HA)に対し、High Availability Link と State Link の Interface と IPアドレスを設定します。
- High Availability Link : Ethernet1/4
- State Link : Ethernet1/4
- Primary IP : 192.168.90.1/24
- Secondary IP : 192.168.90.2/24
Step 3. HA 状態の確認
(1) HA ペア(FTD01_FTD02_HA)にあるFPR01とFPR02デバイスのInstance01のHA状態を確認します。
- FTD1_FTD01 (FPR01 の Instance01) : Primary, Active
- FTD2_FTD02 (FPR02 の Instance01) : Secondary, Standby
Step 4. Active IP の設定
(1) FMC の Devices > Device Management パスより、HA ペア(FTD01_FTD02_HA)をクリックし、Interfaces タブで、データインターフェースの Active IPアドレスを設定します。
- Ethernet1/1 (inside) : 192.168.10.254/24
- Ethernet1/2 (outside) : 192.168.20.254/24
- Ethernet1/3 (diagnostic) : 192.168.80.1/24
Ethernet1/1 の Active IP の設定例:
Step 5. Standby IP の設定
(1) FMC の Devices > Device Management パスより、HA ペア(FTD01_FTD02_HA) をクリックし、High Availability タブで、データインターフェースの Standby IP アドレスを設定します。
- Ethernet1/1 (inside) : 192.168.10.253/24
- Ethernet1/2 (outside) : 192.168.20.253/24
- Ethernet1/3 (diagnostic) : 192.168.80.2/24
Ethernet1/1 の Standby IP の設定例:
Step 6. Instance02 の HA 設定
Instance01 と同じ方法で、FPR01とFPR02デバイスの Instance02 に対し、FTD11_FTD12_HAという名前のHAペアを設定します。
HAペア (FTD11_FTD12_HA) の設定情報:
- Name : FTD11_FTD12_HA
- Primary Peer : FTD1_FTD11
- Secondary Peer : FTD2_FTD12
- High Availability Link : Ethernet1/8
- State Link : Ethernet1/8
- Ethernet1/8 (ha_link Active) : 192.168.91.1/24
- Ethernet1/5 (inside Active) : 192.168.30.254/24
- Ethernet1/6 (outside Active) : 192.168.40.254/24
- Ethernet1/7 (diagnostic Active) : 192.168.81.1/24
- Ethernet1/8 (ha_link Standby) : 192.168.91.2/24
- Ethernet1/5 (inside Standby) : 192.168.30.253/24
- Ethernet1/6 (outside Standby) : 192.168.40.253/24
- Ethernet1/7 (diagnostic Standby) : 192.168.81.2/24
4.ACP の追加
(1) FMC の Policies > Access Control パスより、inside から outside へのトラフィックを許可するためのACPルールを設定します。
(2) 全ての設定をFPR01とFPR02デバイスにデプロイします。
HA状態の確認
Instance01とInstance02のHAが正常に組み込んだ後、FPR01とFPR02デバイスの状態が本ドキュメント冒頭の "物理構成図" のHA状態に該当します。以下は各インスタンスへのCLIアクセスで、そのインスタンスのHA状態の確認例です。
1.FPR01 の Instance01
HA ペア(FTD01_FTD02_HA)中の FTD1_FTD01 (FPR01 のInstance01) が Primary/Active の状態であることを確認します。
// Instance01 of FPR01 Device
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Primary - Active
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
2.FPR01 の Instance02
HA ペア(FTD01_FTD02_HA)中の FTD1_FTD11 (FPR01 のInstance02) が Primary/Active の状態であることを確認します。
// Instance02 of FPR01 Device
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
3.FPR02 の Instance01
HA ペア(FTD11_FTD12_HA)中の FTD2_FTD02 (FPR02 のInstance01) が Secondary/Standby の状態であることを確認します。
// Instance01 of FPR02 Device
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
......
Other host: Primary - Active
Active time: 31651 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
4.FPR02 の Instance02
HA ペア(FTD11_FTD12_HA)中の FTD2_FTD12 (FPR02 のInstance02) が Secondary/Standby の状態であることを確認します。
// Instance02 of FPR02 Device
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Active time: 31275 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
ライセンス消費状況の確認
すべてのライセンスは、インスタンスごとではなく、シャーシごとに消費されます。
・Baseライセンス:自動的に割り当てられます。シャーシごとに1つ。
・機能ライセンス:各インスタンスに手動で割り当てられます。シャーシごとに、各機能が1つのライセンスのみを消費します。
本ドキュメントにおける例でのライセンス消費状況は以下の通りです。
テーブル1:各インスタンスにおけるライセンスの利用状況
| FPR01 | Instance01 | Base, URL Filtering, Malware, Threat |
| Instance02 | Base, URL Filtering, Malware, Threat | |
| FPR02 | Instance01 | Base, URL Filtering, Malware, Threat |
| Instance02 | Base, URL Filtering, Malware, Threat |
テーブル2:ライセンスの消費状況
| Base | URL Filtering | Malware | Threat |
| 2 | 2 | 2 | 2 |
FMC GUIで確認できるライセンスの消費状況:
動作確認例
以下は FPR01デバイス の Instance01 がクラッシュした場合の動作例を紹介します。
Instance01 のクラッシュにより、HAペア(FTD01_FTD02_HA)で failover がトリガーされ、Standby側の各Data Interfaceが元 Active Interface のIP/MACアドレスを引き継いで、通信を継続的に確保します。なお、FTDのマルチインスタンス環境では、各インスタンスが独立しており、Instance01 のクラッシュが Instance02 に影響を与えません。
クラッシュ前の通信状況:
FPR01デバイスのInstance01にクラッシュが発生:
クラッシュ後の通信状況:
1.クラッシュ発生前の通信状況
Step 1. Instance01 経由の通信
Win10 - 01 から Win10 - 02 へのFTP接続を実施します。show conn コマンドにより、FPR01とFPR02デバイスの Instance01 でFTPコネクションが生成されたことを確認します。
// FTP connection in Instance01 of FPR01
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:11, bytes 529, flags UIO N1
// FTP connection in Instance01 of FPR02
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:42, bytes 530, flags UIO N1
Step 2. Instance02 経由の通信
Win10 - 03 から Win10 - 04 へのFTP接続を実施します。show conn コマンドにより、FPR01とFPR02デバイスの Instance02 でFTPコネクションが生成されたことを確認します。
// FTP connection in Instance02 of FPR01
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:02, bytes 530, flags UIO N1
// FTP connection in Instance02 of FPR02
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:13, bytes 530, flags UIO N1
2.FPR01 の Instance01 にクラッシュ発生
FPR01デバイス の Instance01(Primary/Active)に対し、crashinfo force watchdog コマンドにより、強制的にクラッシュさせます。
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
FTD01> enable
Password:
FTD01#
FTD01# crashinfo force watchdog
reboot. Do you wish to proceed? [confirm]:
3.クラッシュ発生後の通信状況
Step 1. Instance01 のHA切り替え
FPR02デバイス の Instance01 が Standby から Active に切り替えて、Instance01 経由のFTP通信が問題ないことを確認します。
// FPR02 の Instance01での実施結果
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Active <---- FPR02のInstance01がActiveに切り替わった
Interface diagnostic (192.168.80.1): Normal (Waiting)
Interface inside (192.168.10.254): Unknown (Waiting)
Interface outside (192.168.20.254): Unknown (Waiting)
......
Other host: Primary - Failed
Interface diagnostic (192.168.80.2): Unknown (Monitored)
Interface inside (192.168.10.253): Unknown (Monitored)
Interface outside (192.168.20.253): Unknown (Monitored)
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:02:25, bytes 533, flags U N1 <---- FTP Connectionに影響なし
Step 2. Instance02 への影響確認
Instance01 で発生したクラッシュは Instance02 に影響を与えないことを確認します。show failover や show conn コマンドにより、Instance02 のHA状態を確認します。
// FPR02 の Instance02での実施結果
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:01:18, bytes 533, flags UIO N1
Step 3. FMCで HA 状態の確認
FMC の Devices > All パスより、HA状態を確認します。
Instance01 のHAペア(FTD01_FTD02_HA):
・FTD1_FTD01 : Primary, Standby
・FTD2_FTD02 : Secondary, Active
Instance02 のHAペア(FTD11_FTD12_HA):
・FTD1_FTD01 : Primary, Active
・FTD2_FTD02 : Secondary, Standby
Step 4. HA 状態の切り戻す(オプション)
FPR01デバイス の Instance01 が正常に起動できた後、FMC GUI もしくは FTD CLI により、手動でHAのステータスを切り替えます。
FMC GUI の場合、FMC の Devices > All パスより、Instance01 のHAペア(FTD01_FTD02_HA)に対し、Switch Active Peer をクリックした後、HA状態がクラッシュした前の状態に戻ります。
FTD CLI の場合、connect ftd FTD01 と system support diagnostic-cli コマンドにより、FPR01デバイス の Instance01 の ASA CLI に入ります。failover active コマンドにより、Instance01 のHAペア(FTD01_FTD02_HA)の状態を切り替えます。
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
firepower# failover active
参考情報
Cisco Secure Firewall (FTD) - how to
Firepower System and FTDトラブルシューティング
ファイアウォール トラブルシューティング
Configure FTD High Availability on Firepower Appliances
Use Multi-Instance Capability on the Firepower 4100/9300
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
