2019-10-22 06:45 PM 2024-03-20 02:44 PM 更新
Firepower System バージョン 6.3から、FTD内のLINA(ASA)エンジンとSnortエンジンの各設定のバックアップに対応しました。そのため、バージョン6.3以降を利用時、FTDデバイスのバックアップとリストアが可能となりました。
FTDデバイスのバックアップとリストアに対応している製品は、物理アプライアンスのASA5500-FTDやFPR1000/2100/4100/9300-FTDや 仮想製品の FTDv(VMware)です。 逆に、AWSやAzure、KVM上のFTDvや、クラスタデバイス、コンテナインスタンスは対応してません。
本ドキュメントでは、FTD-HA構成で利用時のバックアップ取得方法と、単体デバイス障害時のリストアと復旧手順を紹介します。FMCで 単一のFTDデバイスを管理時のリストアと復旧にも本ドキュメント内容を参照できます。
本ドキュメントは、Firepower System バージョン 6.4.0.4を利用し、FMCvと FTDvを利用し、確認と作成を行っております。
以下3つのバックアップ方法があります。RMAによる交換を想定したバックアップの場合、AのFMCに保存を実施してください。
A. FMCからFTDバックアップを取得し FMCに保存
B. FMCからFTDバックアップを取得し FTDローカルに保存
C. FMCのスケジューリング機能を用いて定期バックアップ
生成されるバックアップファイルのフォーマットは以下です。
Standalone構成 : <hostname>_<timestamp>.tar
FTD HA構成 : <hostname>_<PRIMARY/SECONDARY>_<timestamp>.tar
1. System > Tools > Backup/Restore > Backup Management から Managed Device Backupを選択
2. 以下画面に遷移するため、対象デバイスを選択し、"Retrieve to Management Center"をチェックし、Start Backup をクリックします
3. バックアップ状況は Taskタブから確認できるため、バックアップファイル収集完了までしばらく待ちます (目安: 数分~十数分)
4. バックアップ完了後、Backup Managementの Device Backupsに FTDデバイスのバックアップファイルが表示されますので、適宜 対象ファイルをチェックし、ダウンロードしたファイルをSCPサーバーに保存など実施してください
1. System > Tools > Backup/Restore > Backup Management から Managed Device Backupを選択
2. 以下画面に遷移するため、対象デバイスを選択し、"Retrieve to Management Center"をチェックせず、Start Backup をクリックします
3. バックアップ状況は Taskタブから確認できるため、バックアップファイル収集完了までしばらく待ちます (目安: 数分~十数分)
4. バックアップ完了後、FTDにアクセスし、/ngfw/var/sf/backup/フォルダ内にバックアップファイルがあることを確認します。以下はFMC経由でFTD SSHアクセスと確認時の操作例です。
Cisco Fire Linux OS v6.4.0 (build 2) Cisco Firepower Management Center for VMWare v6.4.0.4 (build 34) aadmin@FMC:~$ ssh -l admin 1.177.0.197 Password: Last login: Sun Oct 20 03:59:59 UTC 2019 from 1.150.0.27 on pts/0 Copyright 2004-2019, Cisco and/or its affiliates. All rights reserved. Cisco is a registered trademark of Cisco Systems, Inc. All other trademarks are property of their respective owners. Cisco Fire Linux OS v6.4.0 (build 2) Cisco Firepower Threat Defense for VMWare v6.4.0.4 (build 34) > > expert ************************************************************** NOTICE - Shell access will be deprecated in future releases and will be replaced with a separate expert mode CLI. ************************************************************** admin@firepower:~$ sudo su - We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: root@firepower:~# root@firepower:~# ls -l /ngfw/var/sf/backup/ total 56780 -rw-r--r-- 1 www root 27955200 Oct 18 12:12 FTD-01_Primary_20191018080929.tar -rw-r--r-- 1 www root 30187520 Oct 22 05:51 FTD-01_Primary_20191022144815.tar <--- THIS root@firepower:~#
Firepower System バージョン 6.4から対応してます。スケジューリング機能の設定や動作確認方法は以下ドキュメントを参照してください。
Firepower System: Scheduling機能の活用例 (URL DBや VDBの自動更新、バックアップ等)
以下は、毎月22日に FTD-HA構成の各デバイスの設定自動バックアップするための、スケジューリング設定例です。
FTD-HAの運用中の構成で、片側デバイスが起動不可能などで故障し交換時の、リストアと復旧手順例を以下に示します。なお、ほぼ同様の手順でFTDデバイス 1台のみ管理構成でも リストア対応は可能です。
1. FTDのバックアップ方法「A. FMCからFTDバックアップを取得し FMCに保存」で取得した バックアップファイル(tarファイル)を 任意SCPサーバーにアップロード
2. 同モデル・モジュール構成の 交換対象(良品)のリストア予定機に任意IPアドレス(※既存FTDデバイスと重複しないIPアドレス)を利用し 初期セットアップとFMCに登録を実施。この際、リストア予定機は 管理インターフェイスのみネットワークに接続した状態にする
参考URL:
※上記以外のモデルや最新の日本語ドキュメント情報は インストールとアップグレードガイド などを参照
※FPR4100/9300利用時は上記とは別にFXOS設定のリストアも行うこと
3. (必要に応じて) FTDバージョンのアップグレードやパッチ適用を行い、障害機と同じ構成、バージョン、VDBとSRUバージョンに合わせる。障害機が登録されているFMCに リストア予定機を登録することで、FMCのVDBとSRUがFTDで自動的に使われる。
Firepower System: FMCと 管理deviceの パッチ 簡易アップデート手順
https://community.cisco.com/t5/-/-/ta-p/3157005
4. Devices > Device Management を確認し、既存FTD-HAの各機器と、リストア予定機が登録された状態、かつ、バージョンがマッチすること、及び リストア予定機(良品)のヘルス状態が緑丸マークで問題ないことを確認
リストア予定機(良品)で適用中のタスクが無いことを確認
リストア予定機にCLIやSSHアクセスし、バージョンと SRU(Rule update version)と VDBバージョンが、交換予定機のバックアップファイルとマッチしていることを確認。(※なお、SRUやVDBの多少ミスマッチは発生しててもリストア自体は可能だが、極力 SRUとVDBも同じバージョンにあわせることが推奨)
> show version -------------------[ firepower ]-------------------- Model : Cisco Firepower Threat Defense for VMWare (75) Version 6.4.0.4 (Build 34) UUID : 576d5cba-7ba4-11e9-9a8d-f4ccc485cd67 Rules update version : 2018-10-10-001-vrt VDB version : 324 ---------------------------------------------------- > show network ===============[ System Information ]=============== Hostname : firepower DNS Servers : 1.0.0.100 Management port : 8305 IPv4 Default route Gateway : 1.0.0.100 ======================[ eth0 ]====================== State : Enabled Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : 00:50:56:91:54:51 ----------------------[ IPv4 ]---------------------- Configuration : Manual Address : 1.177.121.3 Netmask : 255.0.0.0 Broadcast : 1.255.255.255
リストア予定機で「show managers」コマンドを実行し、対象予定機が"FMC管理モード"であることを確認。(※以下出力例の 1 もしくは 2 の状態であること。 3の場合は、FDMによるローカル管理モードのため、"configure manager delete"コマンドで FMC管理モードに変更)
!! 1. FMC管理モードだが FMCと連携していない状態。続行可
> show managers No managers configured.
!! 2. FMC管理モードで何らかのFMCと連携している状態。続行可
> show managers
Type : Manager
Host : 10.127.245.73
Display name : 10.127.245.73
Version : 7.2.5 (Build 208)
Identifier : 02e14fc8-d12e-11ee-be05-42cfaa327523
Registration : Completed
Management type : Configuration and analytics
!! 3. FDMローカル管理モード ※当モードのままではリストア不可のためモード変更を
> show managers
Managed locally.
5. 交換予定機(障害機)のケーブル抜線などをし、ネットワークから切り離す。この際、FMC上で 交換予定機(障害機)の登録は残したままの状態にすること (※FTDはリストア後にFMCに自動接続するためにFMC側で登録を残しておく必要がある)
6. リストア予定機にCLIやSSHアクセスし、SCPサーバに保存した 交換予定機(障害機)のバックアップファイルを利用してリストア実施。通常、10分前後でリストアと再起動は完了
[構文]
restore remote-manager-backup location [SCP-server-IP] [user] [path] [file-name]
[実行例]
> ping system 1.177.77.77 PING 1.177.77.77 (1.177.77.77) 56(84) bytes of data. 64 bytes from 1.177.77.77: icmp_seq=1 ttl=128 time=1.30 ms ^C --- 1.177.77.77 ping statistics --- 2 packets transmitted, 1 received, 50% packet loss, time 1000ms rtt min/avg/max/mdev = 1.300/1.300/1.300/0.000 ms > > restore remote-manager-backup location 1.177.77.77 ciscocisco / FTD-01_Primary_20191022150355.tar Enter SCP password: *********************************************** Backup Details *********************************************** Model = Cisco Firepower Threat Defense for VMWare Software Version = 6.4.0.4 ←各バージョンがマッチするか最終確認 Serial = 9AW0D2592R4 Hostname = FTD-01_Primary IP Address = 1.177.0.197 ←リストア後のFTDの管理IP Role = PRIMARY VDB Version = 324 ←各バージョンがマッチするか最終確認 SRU Version = 2018-10-10-001-vrt ←各バージョンがマッチするか最終確認 Manager IP(s) = 1.150.0.27 Backup Date = 2019-10-22 15:03:55 Backup Filename = FTD-01_Primary_20191022150355.tar *********************************************** ********************* Caution **************************** Verify that you are restoring a valid backup file. Make sure that software, SRU and VDB Versions on this device match versions from the backup manifest before proceeding. Restore operation will overwrite all configurations on this device with the configurations in backup. Kindly ensure the old device is disconnected from the network to avoid IP conflict. ********************************************************** Are you sure you want to continue (Y/N)Y ←Yでリストア開始 Restoring device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Refreshing Events InfoDB... Added table rna_attribute with table_id 1 Added table rna_client_app with table_id 2 Added table url_cat_stats with table_id 3 Added table transmission_type_stats with table_id 4 Added table app_session_stats with table_id 5 Added table storage_disp_stats with table_id 6 Added table current_users with table_id 7 Added table geoloc_session_stats with table_id 8 Added table rua_event with table_id 9 Added table url_rep_stats with table_id 10 Added table app_ids_stats with table_id 11 Added table whitelist_violations with table_id 12 Added table ip_rep_cat_session_stats with table_id 13 Added table ssl_stats with table_id 14 Added table remediation_status with table_id 15 Added table dns_queries_by_record_type with table_id 16 Added table captured_file with table_id 17 Added table intf_session_stats with table_id 18 Added table session_stats with table_id 19 Added table rna_ip_host with table_id 20 Added table rna_scan_results_tableview with table_id 21 Added table rna_event with table_id 22 .Added table health_alarm_syslog with table_id 23 Added table rna_service with table_id 24 Added table user_ids_stats with table_id 25 Added table ids_impact_stats with table_id 26 Added table ioc_state with table_id 27 Added table qos_rule_session_stats with table_id 28 Added table flow_chunk with table_id 29 Added table rna_flow_stats_prioritized with table_id 30 Added table dce_event with table_id 31 Added table application with table_id 32 Added table wl_dce_event with table_id 33 Added table rna_flow_stats with table_id 34 Added table storage_type_stats with table_id 35 Added table user_ioc_state with table_id 36 Added table audit_log with table_id 37 Added table user_session_stats with table_id 38 Added table user_identities with table_id 39 Rebooting. . . Broadcast message from root@firepower (Tue Oct 22 07:14:13 2019): The system is going down for reboot NOW!
7. リストア完了後、障害機と同じIPアドレスにかわり起動し、FMCに自動接続される
> show network ===============[ System Information ]=============== Hostname : firepower DNS Servers : 208.67.222.222 208.67.220.220 Management port : 8305 IPv4 Default route Gateway : 1.0.0.100 ======================[ br1 ]======================= State : Enabled Channels : Management & Events Mode : Non-Autonegotiation MDI/MDIX : Auto/MDIX MTU : 1500 MAC Address : 00:50:56:91:1C:B8 ----------------------[ IPv4 ]---------------------- Configuration : Manual Address : 1.177.0.197 Netmask : 255.0.0.0 Broadcast : 1.255.255.255 > > show managers Type : Manager Host : 1.150.0.27 Registration : Completed
8. リストア直後は failover機能が無効となっているため、リストア後FTDデバイスの 管理インターフェイスと Failover管理用インターフェイスのみがつながった状態で、"configure high-availability resume"コマンド(※ASAの failoverコマンドと同等)を実行しFailover機能を有効化
> show failover Failover Off Failover unit Primary Failover LAN Interface: FO GigabitEthernet0/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 3 of 61 maximum MAC Address Move Notification Interval not set failover replication http > > configure high-availability resume Successfully resumed high-availablity.
FTD-HA構成で対向機器がActiveの場合、自動で設定とセッションの同期が発生。同期処理が終わるまで、10分前後ほど待つ。同期状態の遷移は、"show failover history" コマンドで確認可能で、最終的に Standby Ready 状態になれば同期は完了
> show failover history ========================================================================== From State To State Reason ========================================================================== 08:09:23 UTC Oct 22 2019 Disabled Negotiation Set by the config command 08:09:27 UTC Oct 22 2019 Negotiation Cold Standby Detected an Active mate 08:09:28 UTC Oct 22 2019 Cold Standby App Sync Detected an Active mate <--- 同期中の状態 ==========================================================================
9. FMCのデプロイボタンをクリックし、最新設定をFTDデバイスにデプロイ
10. FTDデバイスのデータインターフェイスを全て結束
11. show failover コマンドで、各インターフェイスのActive/StandbyのIPアドレスが設定され正常であること、及び、各デバイスのSnortが起動していることを確認
> show failover Failover On Failover unit Secondary Failover LAN Interface: FO GigabitEthernet0/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 61 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.12(2)4, Mate 9.12(2)4 Serial Number: Ours 9AALTJ5XD83, Mate 9A1GX6TF6P1 Last Failover at: 06:54:13 UTC Oct 22 2019 This host: Secondary - Active Active time: 5882 (sec) slot 0: ASAv hw/sw rev (/9.12(2)4) status (Up Sys) Interface inside (10.10.10.10): Normal (Waiting) Interface outside (10.10.20.20): Normal (Not-Monitored) Interface test3100 (0.0.0.0): Normal (Not-Monitored) Interface test3200 (0.0.0.0): Normal (Not-Monitored) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Primary - Standby Ready <--- リストアで復旧機情報 Active time: 24 (sec) Interface inside (10.10.10.11): Normal (Waiting) Interface outside (10.10.20.21): Normal (Not-Monitored) Interface test3100 (0.0.0.0): Normal (Not-Monitored) Interface test3200 (0.0.0.0): Normal (Not-Monitored) Interface diagnostic (0.0.0.0): Unknown (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up)
12. FMCのヘルスモニター機能で、FTDデバイスのヘルス状態が健全(緑の丸)であることを確認
13. FMC上のリストア用に作成した旧デバイス情報を削除
FTD バージョン 7.2 のリストア時の動画です。ご参考ください。
FTDが内部で処理中の可能性もあるため しばらく待つか、Devices > Device Managementの High Availabilityの設定ボタンの「Force refresh High Availability Node Status Refresh」ボタンを押してください。
FTDが内部で処理中の可能性もあるため しばらく待つか、インターフェイスのDown/Up、もしくは 対象デバイスの再起動で復旧を期待できます。
バックアップファイルのSnort設定が何らかの理由で破損していた可能性が考えられます。復旧には、対象機の再起動を reboot コマンドで実行してください。起動時、Active機より ASA(LINA)エンジンと Snortエンジンの最新設定を同期するため、Snortエンジン設定の破損も修復、復旧を期待できます。
> show failover Failover On Failover unit Primary Failover LAN Interface: FO GigabitEthernet0/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 3 of 61 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.10(1)18, Mate 9.10(1)18 Serial Number: Ours 9AW0D2592R4, Mate 9AALTJ5XD83 Last Failover at: 07:37:41 UTC Oct 16 2019 This host: Primary - Failed <---- THIS Active time: 604 (sec) slot 0: ASAv hw/sw rev (/9.10(1)18) status (Up Sys) Interface inside (0.0.0.0): Normal (Waiting) Interface outside (0.0.0.0): Normal (Waiting) Interface test3100 (0.0.0.0): Normal (Not-Monitored) Interface test3200 (0.0.0.0): Normal (Not-Monitored) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (down) <---- THIS slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Active Active time: 218 (sec) Interface inside (10.10.10.10): Normal (Waiting) Interface outside (10.10.20.20): Normal (Waiting) Interface test3100 (0.0.0.0): Normal (Not-Monitored) Interface test3200 (0.0.0.0): Normal (Not-Monitored) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) > reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@firepower (Thu Oct 17 07:35:46 2019):
バックアップファイルのSnort設定が何らかの理由で破損していた可能性が考えられます。復旧には、Device > Device Management > (対象デバイス) > Deviceから GeneralのEditボタンをクリックし、Force Deploy (設定強制適用) を行ってください。FMCから最新設定を強制適用することで内部破損設定の修復、復旧を期待できます。
"ls -l /var/sf/backup"コマンドでローカルバックアップファイルを確認し、任意ファイルを"restore remote-manager-backup <バックアップファイル名>"で指定することで、リストアが可能です。
ローカルバックアップファイルを利用したリストアは、主に素早く設定を以前の状態に戻したい場合に有効です。
> expert admin@firepower:~$ admin@firepower:~$ sudo su - We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things: #1) Respect the privacy of others. #2) Think before you type. #3) With great power comes great responsibility. Password: root@firepower:~# root@firepower:~# ls -l /var/sf/backup total 56872 -rw-r--r-- 1 www root 27955200 Oct 18 12:12 FTD-01_Primary_20191018080929.tar -rw-r--r-- 1 www root 30279680 Oct 20 04:07 FTD-01_Primary_20191021070447.tar root@firepower:~# root@firepower:~# exit logout admin@firepower:~$ exit logout > restore remote-manager-backup FTD-01_Primary_20191021070447.tar *********************************************** Backup Details *********************************************** Model = Cisco Firepower Threat Defense for VMWare Software Version = 6.4.0.4 Serial = 9AW0D2592R4 Hostname = FTD-01_Primary IP Address = 1.177.0.197 Role = PRIMARY VDB Version = 324 SRU Version = 2018-10-10-001-vrt Manager IP(s) = 1.150.0.27 Backup Date = 2019-10-21 07:04:47 Backup Filename = FTD-01_Primary_20191021070447.tar *********************************************** ********************* Caution **************************** Verify that you are restoring a valid backup file. Make sure that software, SRU and VDB Versions on this device match versions from the backup manifest before proceeding. Restore operation will overwrite all configurations on this device with the configurations in backup. Kindly ensure the old device is disconnected from the network to avoid IP conflict. ********************************************************** Are you sure you want to continue (Y/N)Y Restoring device . . . . . . . . . . . . . . . . .
残念ながら、セキュリティ上の理由から対応しておりません。
【FTD保守】 FDMを用いたパッチやVDB適用方法 【FMC管理】 をご参照ください。
Firepower Management Center Configuration Guide, Version 6.4 - Chapter: Backup and Restore
https://www.cisco.com/c/en/us/td/docs/security/firepower/640/configuration/guide/fpmc-config-guide-v64/backup_and_restore.html
Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
https://community.cisco.com/t5/-/-/ta-p/3952716
Firepower System / Firepower Threat Defense (FTD) トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
Cisco Secure Firewall (FTD) - how to ※FTD情報 まとめサイト
https://community.cisco.com/t5/-/-/ta-p/5024782
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます