1. はじめに
本ドキュメントでは Firepower Management Center (FMC) HA 構成で管理している HA 構成の Firepower4100 シリーズを利用時の FTD の各設定のバックアップ、及び復元手順の流れについてご説明いたします。
本ドキュメントは、Firepower Management Center のバージョン 6.2.3、Firepower 4150 の FTD ソフトウェアバージョン 6.2.3 を用いて確認、作成しております。なお、前提条件として故障機の FTD には、Interface 設定、Routing、Access Control Policy、NAT 設定、Platform Setting が設定されているとします。
なお、Firepower System バージョン 6.3以降でFTDのバックアップ・リストア機能に対応したため、リストア機能を利用しての交換も可能です。Firepower System バージョン 6.3以降を利用しており、リストア機能を用いた交換を検討時は、Firepower System 6.3以降: FTDのバックアップとリストア方法 (FMC管理時) を参照してください。
2. 前提条件 - FMC/FTD/FXOS のバックアップ情報の事前取得
故障が発生した機器をレストアする際に FMC/FTD のバージョン情報をはじめとして、デバイスの固有設定の保管のために、FMC の Devices > Device Management 内の 各タブ ( Device、Interfaces、Routing など) 内の各設定状況確認と、スクリーンショットを取得しておいてください。及び、その他の FMC 側で保存しているポリシー ( Access Control Policy や Platform Settings、NAT など) の FTD への割り当て状況に関しても、事前に確認、及び、保管しておいてください。
また、FTD におきましては FXOS のコンフィグも事前に確認、及び、保管しておいてください。
2-1. FMC のバックアップに関しましては以下をご参考ください。
FireSight/Firepower backup 方法
2-2. FTD のバックアップに関してましては、以下の手順の項目 2 をご参考ください。
Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順
3. FMC ハードウェア機器故障の例
FMC ハードウェア故障の例として、以下の 4 パターンを記載します。
3-1.Primary/Active の FMC が故障した場合
3-2.Primary/Standby の FMC が故障した場合
3-3.Secondary/Active の FMC が故障した場合
3-4.Secondary/Standby の FMC が故障した場合
※注
FMC 交換の作業時、FMC HA Role の変更が発生いたします。FMC HA Role の変更方法は「Cisco Firepower Management Center HA 設定手順」を参照してください。
3-1.Primary/Active の FMC が故障した場合
故障した機器が Primary/Active FMC 機の場合、Secondary 機を Active に変更後、単体 FMCを用意し、FMC の HA 構成をしなおします。手順としては以下となります。
(1)Secondary/Standby 機を Secondary/Active FMC へ Role 変更
(2)代替機を用意
(3)Secondary/Active FMC 機にて FMC の Break HA を実施して Standalone FMC に変更
(4)再度 FMC HA を構成
代替機を Secondary/Standby FMC 機として、(3)の旧 Secondary/Active FMC 機を Primary FMC として FMC HA を構成します。(これは、現在、(3)の旧Secondary/Active 機上に設定が保存されている、かつ Device を管理している為です。)
※HA手順やハードウェア交換につきましては以下を参照ください。
Cisco Firepower Management Center HA 故障時の復旧の流れ
3-2.Primary/Standby の FMC が故障した場合
故障した機器が、Primary/Standby FMC 機の場合、単体 FMC を用意し、FMC HA 構成をしなおします。手順としては以下となります。
(1)代替機を用意
(2)Secondary/Active FMC 機にて FMC の Break HA を実施して Standalone FMC に変更
(3)再度 FMC HA を構成
代替機を Secondary/Standby 機として、(2)の旧 Secondary/Active 機を Primary FMC として FMC HA を構成します。(これは、現在、(2)の旧Secondary/Active 機上に設定が保存されている、かつ Device を管理している為です。)
※HA手順やハードウェア交換につきましては以下を参照ください。
Cisco Firepower Management Center HA 故障時の復旧の流れ
3-3.Secondary/Active の FMC が故障した場合
故障した機器が Secondary/Active FMC 機の場合、Primary 機を Active に変更後、単体 FMCを用意し、FMC の HA 構成をしなおします。手順としては以下となります。
(1)Primary/Standby 機を Primary/Active FMC へ Role 変更
(2)代替機を用意
(3)Primary/Active 機にて FMC の Break HA を実施して Standalone FMC に変更
(4)再度 FMC の HA を構成
代替機を Secondary/Standby として、(3)の旧 Primary/Active 機を Primary FMC として FMC HA を構成します。(これは、現在、(3)の旧Primary/Active 機上に設定が保存されている、かつ Device を管理している為です。)
※HA手順やハードウェア交換につきましては以下を参照ください。
Cisco Firepower Management Center HA 故障時の復旧の流れ
3-4.Secondary/Standby FMC が故障した場合
故障した機器が、Secondary/Standby FMC 機の場合、単体 FMC を用意し、FMC の HA 構成をしなおします。手順としては以下となります。
(1)代替機を用意
(2)Primary/Active 機にて FMC の Break HA を実施して Standalone FMC に変更
(3)再度 FMC の HA を構成
代替機を Secondary/Standby FMC として FMC の HA を構成します。
※HA手順やハードウェア交換につきましては以下を参照ください。
Cisco Firepower Management Center HA 故障時の復旧の流れ
4. FTD ハードウェア機器故障の例
FTD ハードウェア故障の例として、以下の 4 パターンを記載します。
4-1.Primary/Active の FTD が故障した場合
4-2.Primary/Standby の FTD が故障した場合
4-3.Secondary/Active の FTD が故障した場合
4-4.Secondary/Standby の FTD が故障した場合
※注
FMC への Device 登録後、FTD HA の再構築を行います。FTD HA の再構築に関しまして FTD の実装上、HA 構築時に Active/Standby の両機にて Snort の Restart が発生する為、それに伴い通信断が発生する可能性があります。
4-1.Primary/Active の FTD が故障した場合
FTD Primary/Active 機の交換が必要になった場合、FTD の Failover が発生し、その後の FTD の HA state としては、Secondary/Active の状態になっているかと思われます。FMC にて FTD の HA break を実施したのち、旧 Secondary FTD 機がスタンドアロンで稼働していますので、旧 Secondary 機を新 Primary FTD、交換機を新 Secondary FTD として、FTD HA を再構築します。FTD HA 構築後、本来の Secondary 機が Primary/Active となっていますので、Failover を実施し FTD の HA state を変更してください。Failover 後、本来の Primary 機が Secondary/Active となりますので、この状況で FMC から再度 FTD HA break を実行してください。その後、本来の Primary 機を Primary/Active として、FMC にて FTD HA を再構築していただければ、復元作業は終了となります。
※HA手順やハードウェア交換につきましては以下を参照ください。
Firepower4100 - FMC standalone + FTD HA : FTD HA 利用時の FPR4100 シリーズの交換手順( FMC 管理)
4-2.Primary/Standby の FTD が故障した場合
Primary/Standby 機の FTD の交換が必要になった場合、その際の FTD HA state としては、Secondary/Active の状態になっているかと思われます。FTD HA の再構築方法は 4-1 と同じ手順になります。
※HA手順やハードウェア交換につきましては以下を参照ください。
Firepower4100 - FMC standalone + FTD HA : FTD HA 利用時の FPR4100 シリーズの交換手順( FMC 管理)
4-3.Secondary/Active の FTD が故障した場合
Secondary/Active 機の FTD の交換が必要になった場合、FTD の Failover が発生し、その後の FTD の HA state としては、Primary/Active の状態になっているかと思われます。FMC にて FTD の HA break を実施したのち、旧 Primary FTD 機がスタンドアロンで稼働していますので、交換機を Secondary として FTD HA を再構築します。
※HA手順やハードウェア交換につきましては以下を参照ください。
Firepower4100 - FMC standalone + FTD HA : FTD HA 利用時の FPR4100 シリーズの交換手順( FMC 管理)
4-4.Secondary/Standby の FTD が故障した場合
Secondary/Active 機の FTD 交換が必要になった場合、その際の FTD の HA state としては、Primary/Active の状態になっているかと思われます。FTD HA の再構築方法は 4-3 と同じ手順になります。
※HA手順やハードウェア交換につきましては以下を参照ください。
Firepower4100 - FMC standalone + FTD HA : FTD HA 利用時の FPR4100 シリーズの交換手順( FMC 管理)
参考情報
FireSight/Firepower backup 方法
Cisco Firepower Management Center HA 設定手順
Cisco Firepower Management Center HA 故障時の復旧の流れ
Firepower4100-FTD: FTD利用時のFPR4100シリーズの交換手順
Firepower4100 - FMC standalone + FTD HA : FTD HA 利用時の FPR4100 シリーズの交換手順( FMC 管理)
