1. はじめに
本ドキュメントでは Firepower Management Center (FMC) で管理している HA 構成の Firepower4100 シリーズを利用時の FTD の各設定のバックアップ、及び復元手順について紹介します。
本ドキュメントは、Firepower Management Center のバージョン 6.2.3、Firepower 4150 の FTD ソフトウェアバージョン 6.2.3 を用いて確認、作成しております。なお、前提条件として故障機の FTD には、Interface 設定、Routing、Access Control Policy、NAT 設定、Platform Setting が設定されているとします。
なお、Firepower System バージョン 6.3以降でFTDのバックアップ・リストア機能に対応したため、リストア機能を利用しての交換も可能です。Firepower System バージョン 6.3以降を利用しており、リストア機能を用いた交換を検討時は、Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時) を参照してください。
2. FTD/FXOS のバックアップ情報の事前取得
交換機を standby として HA を組みなおす際に、active 機から設定情報は sync されますが、念のため、FTD のバージョン情報をはじめとして、デバイスの固有設定の保管のために、FMC の Devices > Device Management 内の 各タブ ( Device、Interfaces、Routing など) 内の各設定状況確認と、スクリーンショットを取得しておいてください。及び、その他の FMC 側で保存しているポリシー ( Access Control Policy や Platform Settings、NAT など) の FTD への割り当て状況に関しても、事前に確認、及び、保管しておいてください。また、FXOS のコンフィグも事前に確認、及び、保管しておいてください。
こちらにつきましては、以下の手順の項目 2 を参考にしてください。
Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順
3. 交換機、筐体、FTD のセットアップ
交換機の到着後、まず、交換機の電源を入れ、ユーザ名/パスワードは admin/Admin123 にてコンソールにでログインします。 最初に Firepower Configuration Manager(FCM) をセットアップし、その後、FTD を FPR4100 シリーズの筐体にセットアップします。
こちらにつきましては、以下の手順の項目 3 を参考にしてください。
Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順
※上記までの手順で、交換機の FMC への登録が完了します。
※注意
FMC でのデバイスの再登録の際は HA break を実施してください(FTD が応答がない場合等は、FTD の強制 break のオプションにチェックをいれてください)。HA break 後、故障していない方の機器がスタンドアロンで稼働し続けます。この状況で、FMC に故障機の FTD がデバイスとして残っている状態のため、FMC にて Devices > Device Management から当該デバイスを削除する必要があります。FMC 上に故障機の Device 情報がない状態になったのを確認後、FMCにて Devices > Device Management 上で右上の Add > Add Device を実行します。この時点で FMC に登録したい新 FTD(交換機)の IP アドレスや、設定した registration key を入力し FMC への Device の登録作業を完了させます。
4. FTD HA の再構築
手順 3 の交換機の FMC への Device 登録後、FTD HA の再構築を行います。FTD HA の再構築に関しまして、下記の 4 パターンに分けて説明いたします。なお、FTD の実装上、HA 構築時に Active/Standby の両機にて Snort の Restart が発生する為、それに伴い通信断が発生する可能性があります。
4-1. Primary/Active FTD の故障時
Primary/Active機の交換が必要になった場合、Failover が発生し、その後の HA state としては、Secondary/Active の状態になっているかと思われます。手順 3 にて HA break を実施したのち、旧 Secondary 機がスタンドアロンで稼働していますので、旧 Secondary 機を新 Primary、交換機を新 Secondary として、FTD HA を再構築します。FTD HA 構築後、本来の Secondary 機が Primary/Active となっていますので、Failover を実施し HA state を変更してください。Failover 後、本来の Primary 機が Secondary/Active となりますので、この状況で再度 HA break を実行してください。その後、本来の Primary を Primary/Active として、FMC にて HA を再構築していただければ、復元作業は終了となります。
4-2. Primary/Standby FTD の故障時
Primary/Standby 機の交換が必要になった場合、その際の HA state としては、Secondary/Active の状態になっているかと思われます。FTD HA の再構築方法は 4-1 と同手順になります。
4-3. Secondary/Active FTD の故障時
Secondary/Active 機の交換が必要になった場合、Failover が発生し、その後の HA state としては、Primary/Active の状態になっているかと思われます。手順 3 にて HA break を実施したのち、旧 Primary 機がスタンドアロンで稼働していますので、交換機を Secondary として FTD HA を再構築します。こちらで復元作業は終了となります。
4-4. Secondary/Standby FTD の故障時
Secondary/Active 機の交換が必要になった場合、その際のHA state としては、Primary/Active の状態になっているかと思われます。FTD HA の再構築方法は 4-3 と同手順になります。
※参考
FTD HA の設定に関しましては以下をご参照ください。
Firepower アプライアンスの設定 FTD 高可用性
Configure FTD High Availability on Firepower Appliances
参考情報
Cisco Firepower 4100/9300 FXOS Compatibility
FXOS: FTD: OSの構造とコマンドプロンプトの移動方法
Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順