概要
このドキュメントでは、ローカルで管理されるSecure Firewall Threat Defense(FTD)のアクティブ/スタンバイのハイアベイラビリティ(HA)ペアをセットアップする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Secure Firewall Threat DefenseのGUIまたはシェルによる初期設定
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- FPR2110バージョン7.2.5:Firepower Device Manager(FDM)でローカルに管理
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
Network Topology
設定
ハイアベイラビリティのためのプライマリユニットの設定
ステップ 1:Deviceをクリックし、右上隅のHigh Availabilityステータスの横にあるConfigureボタンを押します。
ステップ 2:High Availabilityページで、Primary Deviceボックスをクリックします。
ステップ 3:フェールオーバーリンクのプロパティを設定します。
セカンダリファイアウォールに直接接続したインターフェイスを選択し、プライマリおよびセカンダリのIPアドレスとサブネットのネットマスクを設定します。
ステートフルフェールオーバーリンクのUse the Same Interface as the Failover Linkチェックボックスにチェックマークを付けます。
IPSec Encryption Keyボックスをクリアし、Activate HAをクリックして変更を保存します。
ヒント:フェールオーバートラフィック専用の小さなマスクサブネットを使用して、セキュリティ違反やネットワークの問題をできるだけ回避します。
警告:システムは即座に設定をデバイスに展開します。導入ジョブを開始する必要はありません。設定が保存され、展開が進行中であることを示すメッセージが表示されない場合は、ページの上部までスクロールしてエラーメッセージを確認します。設定もクリップボードにコピーされます。コピーを使用して、セカンダリユニットをすばやく設定できます。セキュリティを強化するため、暗号化キーを設定した場合は、クリップボードのコピーに暗号化キーは含まれません。
ステップ 4:設定が完了すると、次の手順を説明するメッセージが表示されます。情報を読み、「Got It」をクリックします。
セカンダリユニットをハイアベイラビリティ用に設定する
ステップ 1:Deviceをクリックし、右上隅のHigh Availabilityステータスの横にあるConfigureボタンを押します。
ステップ 2:High Availabilityページで、Secondary Deviceボックスをクリックします。
ステップ 3:フェールオーバーリンクのプロパティを設定します。プライマリFTDの設定後にクリップボードに保存されている設定を貼り付けるか、手動で続行できます。
ステップ 3.1:クリップボードから貼り付けるには、Paste from Clipboardボタンをクリックし、設定を貼り付け(Ctrl+Vを同時に押します)、OKをクリックします。
ステップ 3.2:手動で続行するには、セカンダリファイアウォールに直接接続したインターフェイスを選択し、プライマリおよびセカンダリのIPアドレスとサブネットのネットマスクを設定します。ステートフルフェールオーバーリンクのUse the Same Interface as the Failover Linkチェックボックスにチェックマークを付けます。
ステップ 4:IPSec Encryption Keyボックスをクリアし、Activate HAをクリックして変更を保存します。
警告:システムは即座に設定をデバイスに展開します。導入ジョブを開始する必要はありません。設定が保存され、展開が進行中であることを示すメッセージが表示されない場合は、ページの上部までスクロールしてエラーメッセージを確認します。
ステップ 5:設定が完了すると、次に行う必要がある手順を説明するメッセージが表示されます。情報を読み、「Got It」をクリックします。
確認
- この時点で、デバイスのステータスは、ハイアベイラビリティページのセカンダリデバイスであることが最も多く示されます。プライマリデバイスとの結合が成功すると、デバイスはプライマリとの同期を開始し、最終的にモードがスタンバイに変更され、ピアがアクティブに変更されます。
- プライマリFTDでは、ほとんどの場合、ハイアベイラビリティステータスが表示されますが、アクティブおよびピア:スタンバイと表示されます。
- プライマリFTDへのSSHセッションを開き、コマンドshow running-config failoverを発行して設定を確認します。
- show failover stateコマンドを使用して、デバイスの現在のステータスを検証します。