はじめに

本ドキュメントでは Cisco Firepower Device Manager（以降、FDM と記載）の HA 構成時操作に必要な基本的な HA 構成方法、HA Break方法、及び、Role の変更方法について記載します。本ドキュメントでは、FPR2130のバージョン: 7.0.4 を使用して確認しております。  

HA 設定の事前事項

1. Hardware要件：
・HA構成機器は同じHardwareモデルである必要があります。
・HA構成機器はInterface数が同様で、Interfaceタイプも同じにする必要があります。
・搭載している（ネットワーク）モジュールも一致する必要があります。

2. Software要件：
・HA構成機器は同じソフトウェアバージョンにする必要があります。
   これはMajor、Minor、Maintenanceバージョンまですべて一致する必要があります。

3. 主なLicense要件：
・HA構成機器は同じライセンス状態にする必要があります。
   両方とも（base licenseなどとして）Smart Software Managerに登録するか、両方とも評価モードにする必要があります。
・FDMのSmart Licenseの登録については、下記をご参考ください。
https://community.cisco.com/t5/-/-/ta-p/3162388#toc-hId-1401404556

4. その他の事前事項：
・各装置はそれぞれのManagement IP Addressを設定する必要があります（Management IP Addressは同期されません）。
・NTP設定が一致する必要があります。
・すべてのInterfaceはStatic IPアドレスにする必要がります。DHCPはサポートされません。（特に初期セットアップ直後は、Ethernet1/1,1/2はDHCP設定の状態のため、削除する必要があります）
・Failover InterfaceとStateful Interfaceにはnameifがなく、また、InterfaceモードもRoutedにする必要があります。（Passiveモードはサポートしておりません）。
・HAを構築する前に、Pendingのタスクがないことが前提となります。

HA 設定方法

Primary機：

1. デバイス ＜ High Availability ＜ 「設定」をクリックし、次の画面で「プライマリデバイス」をクリック。

2. 下記のようにFailoverの設定を実施し、「アクティブHA」をクリック。

3. しばらくすると、下記のポップアップが表示されますため、「再度コピーするには、ここをクリックします」をクリックし、設定をコピー後、メモし、「終了」⇒「わかりました」の順で選択。

Secondary機：

1. Device ＜ High Availability ＜ 「設定」をクリックし、次の画面で「セカンダリデバイス」をクリック。

2.「クリップボードから貼り付けます」をクリックし、上記手順３でコピーした内容を貼り付け、「アクティブHA」をクリック。

3. しばらくすると、下記の画面がポップアップされますので、「わかりました」を選択。

HAが完了すると、デバイス ＜ High Availability画面にて、下記のように確認することができます。

尚、コマンドラインにてもHAの状態を確認することが可能となります。

firepower# connect ftd
> show failover 
Failover On 
Failover unit Primary
Failover LAN Interface: failover-link Ethernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 1293 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(3)18, Mate 9.16(3)18
Serial Number: Ours JAD254203SV, Mate JAD25390JPP
Last Failover at: 08:33:46 UTC May 8 2023
        This host: Primary - Active 
                Active time: 27 (sec)
                slot 0: FPR-2130 hw/sw rev (1.5/9.16(3)18) status (Up Sys)
                 Interface outside (0.0.0.0/fe80::8224:8fff:fe2b:bf24): Normal (Monitored)
                 Interface diagnostic (0.0.0.0): Normal (Waiting)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)
        Other host: Secondary - Standby Ready 
                 Active time: 89 (sec)
                 slot 0: FPR-2130 hw/sw rev (1.5/9.16(3)18) status (Up Sys)
                  Interface outside (0.0.0.0/fe80::c64d:84ff:feee:4c24): Normal (Monitored)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                 slot 1: snort rev (1.0) status (up)
                 slot 2: diskstatus rev (1.0) status (up)
...

HA Break方法

HAの解除やHAの構築の処理中には、Snortの再起動が発生し、通信影響が発生しますため、メンテナンス時間帯での作業をお願いいたします。

1. Primary機にて、デバイス ＜ High Availabilityをクリック。

2. 歯車アイコンから、HAの中断 < ポップアップ画面にて、「中断」の順で選択。

HA Role変更方法

1. デバイス ＜ High Availabilityから、スイッチモードをクリックし、OKを選択。（こちらはPrimary/Secondaryのいずれでも実施可能となります）。

参考情報

• Cisco Firepower Threat Defense Configuration Guide for Firepower Device Manager, Version 7.0
• Firepower System: FTD HA: FTD冗長構成の組み方とトラブルシューティング (FMC利用時)
• Firepower System and FTDトラブルシューティング