概要

8000 シリーズ アプライアンスをスタック構成にすることで、ネットワーク セグメントで検査されるトラフィックの量を増やせるとともに、スタックを構成するアプライアンスのリソースを単一の共有された設定で使用できるようになります。このドキュメントでは、FirePOWER 8000 シリーズのスタック構成で設定する方法を説明します。

スタック展開では、ネットワーク セグメントに接続されたデバイスのうちの 1 つがプライマリ デバイスとして指定され、その他すべてのデバイスは、プライマリ デバイスに追加リソースを提供するためのセカンダリ デバイスとして導入されます。

前提条件

要件

スタックを構成するすべてのデバイスが以下の要件を満たしていることを確認します。

  • スタック ケーブルがそれぞれのスタック モジュールに接続されていること

    ヒント:スタック ケーブルを注文する必要がある場合は、PID FP-NMSB-CABLE= で注文してください。同様に、スタック モジュールを注文する必要がある場合は、スタック モジュールの PID として FP8000-STACK-MOD を使用してください。

  • 同じハードウェアを使用していること
  • 同じソフトウェア バージョンを使用していること
  • 同じアクセス コントロール ポリシーおよび(該当する場合は)同じ NAT ポリシーを使用していること
  • 同じライセンスを使用していること

注:8360 などのハイエンド デバイスの場合、スタックを形成した後は 1 つのライセンスを適用するだけで済みます。この場合、スタックを構成する個々のデバイスにライセンスを適用する必要はありません。デバイスのスタック構成が完了すると、ライセンス ページはデバイス セクションではなく、スタック セクションに表示されます。

サポートされるデバイス

以下のチャートに、スタック構成での使用がサポートされる FirePOWER デバイスのモデルを要約します。各モデルの詳細な仕様とスループットについては、関連するデータ シートを参照してください。

製品ファミリ サポートされるモデル

プライマリ デバイス

セカンダリデバイス

ラック ユニット合計
81xx ファミリ 8140 単一の 8140 ではスタックを構成できません。 1U
8140* プライマリとしての 8140 が 1 台  セカンダリとしての 8140 が 1 台 2U
82xx ファミリ 8250 単一の 8250 ではスタックを構成できません。 2U
8260 プライマリとしての 8250 が 1 台 セカンダリとしての 8250 が 1 台 4U
8270 プライマリとしての 8250 が 1 台 セカンダリとしての 8250 が 2 台 6U
8290 プライマリとしての 8250 が 1 台 セカンダリとしての 8250 が 3 台 8U
83xx ファミリ 8350 単一の 8350 ではスタックを構成できません。 2U
8360 プライマリとしての 8350 が 1 台 セカンダリとしての 8350 が 1 台 4U
8370 プライマリとしての 8350 が 1 台 セカンダリとしての 8350 が 2 台 6U
8390 プライマリとしての 8350 が 1 台 セカンダリとしての 8350 が 3 台 8U

* 8140 モデル デバイスのシャーシは、8120 モデルおよび 8130 モデルのシャーシと同一です。ただし、スタック機能は 8140 モデルでのみ使用できます。82xx および 83xx ファミリとは異なり、モデル番号は 2 台の 8140 デバイスで変わりません。

登録チェックリスト

  • 複数のデバイスをスタック構成にするには、それらすべてのデバイスを FireSIGHT Management Center に登録する必要があります。この要件が満たされない場合、Management Center ではスタックへのデバイスを許可しません。その場合、スタックを構成するのに十分な数のデバイスがないと通知するエラー メッセージが表示されます。





    たとえば、3 台の 8370 デバイスでスタックを構成する場合、プライマリ デバイスだけでなく、他の 2 台のセカンダリ デバイスも Management Center に登録する必要があります。


  • すべてのスタック メンバーには、個別の管理 IP アドレスを設定する必要があります。

使用するコンポーネント

このドキュメントでは、以下の製品の情報を使用します。

  • FireSIGHT Management Center 仮想アプライアンス(ソフトウェア バージョン 5.4.1.2)
  • 2 台の FirePOWER 8140 デバイス(両方ともバージョン 5.4.0.3 を実行)
  • スタック ケーブル
  • スタック ネットワーク モジュール(NetMod)

スタック ネットワーク モジュールが使用可能になると、そのモジュールが以下のように Management Center のユーザ インターフェイスに表示されます。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

設定手順

要件が満たされたら、FireSIGHT Management Center を使用してスタックを設定します。スタックを設定するには、以下の手順に従います。

手順 1:FireSIGHT Management Center にログインします。[Device] > [Device Management]に移動します。表示されるページで、スタック メンバーにするデバイスのライセンス、OS バージョン、アクセス コントロール ポリシーが同じであるかどうかを確認できます。

注:両方のデバイスでシステム ポリシーと正常性ポリシーを同じにすることは必須ではありませんが、適用されるすべてのポリシーを同じにすることを推奨します。スタックを構成するすべてのデバイスは、同じアクセス コントロール ポリシーを使用する必要があります。

ステップ2:右上隅で、[追加]を選択し、ドロップダウンリストから[追加]を選択します。[Add Stack]> [Primary Device] を選択します。 

手順 3:スタックの名前を追加します。スタックを正常に構成するには、少なくとも 1 つのセカンダリ スタック メンバーが必要です。セカンダリ スタック メンバーを追加するには、[Add]を選択します。

ステップ4:[追加]をクリックすると、次のページが表示されます。使用可能なプライマリ デバイスのうちの 1 つを選択します。 

手順 5:物理的に接続されている、該当するスタック ケーブルを選択します。

ステップ6:上記のステップを完了すると、次のページが表示されます。[Stack]ボタンをクリックします。 

スタックを構成するデバイス上のアクセス コントロール ポリシーに少しでも不一致があると、以下のエラー メッセージが表示されます。

前提条件がすべて満たされていて、上記の手順に従った場合、経過表示バーが表示されます。

プロセスが完了した時点で、スタックが設定されます。スタックが正常に設定されると、このステータスを確認する [Stack Status]メッセージが表示されます。

確認

1. [Devices] > [Device Management]に移動します。管理対象デバイスの一覧が表示されます。

2.新しく形成されたスタックを確認します。[Stack]タブをクリックします。[Stack] ページには、スタックに関するさまざまな情報が表示されます。

3. [スタック]ページで、スタックのライセンスを表示できます。

注:スタックのライセンスを有効にするには、[Stack]タブを使用します。ただし、個々のデバイスのライセンスを有効にする場合は、[Devices]ページを使用します。

必要に応じて、個々のスタック メンバーで変更を加えることもできます。それには、[Select Device]ドロップダウン メニューを使用します。