8000 シリーズ デバイスのスタック構成

次のトピックでは、Firepower システムにおける Firepower 8000 シリーズ デバイス スタックの使用方法について説明します。

デバイス スタックについて

スタック構成に含まれるデバイスを使用して、ネットワーク セグメントで検査されるトラフィックの量を増やすことができます。それぞれのスタック構成では、スタックに含まれるすべてのデバイスが同じハードウェアを使用していなければなりません。ただし、マルウェア ストレージ パックが一部またはすべてのデバイスにインストールされていたり、どのデバイスにもインストールされていなかったりする場合があります。また、以下のスタック構成に従って、同じデバイス ファミリのデバイスを使用する必要があります。

スタック構成は Firepower 8140、Firepower 8200 ファミリ、Firepower 8300 ファミリのデバイスでサポートされます。

81xx ファミリの場合:

  • 2 台の Firepower 8140

82xx ファミリの場合:

  • 最大 4 台の Firepower 8250

  • 1 台の Firepower 8260(プライマリ デバイスおよびセカンダリ デバイス)

  • 1 台の Firepower 8270(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)

  • 1 台の Firepower 8290(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)

83xx ファミリの場合:

  • 最大 4 台の Firepower 8350

  • 最大 4 つの AMP8350

  • 1 台の Firepower 8360(容量 40 G のプライマリ デバイスと 1 つのセカンダリ デバイス)

  • 1 つの AMP8360(容量 40 G のプライマリ デバイスとセカンダリ デバイス)

  • 1 台の Firepower 8370(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)

  • 1 つの AMP8370(容量 40 G のプライマリ デバイスと 2 つのセカンダリ デバイス)

  • 1 台の Firepower 8390(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)

  • 1 つの AMP8390(容量 40 G のプライマリ デバイスと 3 つのセカンダリ デバイス)

スタック構成の詳細については、Cisco Firepower 8000 Series Getting Started Guideを参照してください。マルウェア ストレージ パックの詳細については、Firepower System Malware Storage Pack Guideを参照してください。Firepower System Malware Storage Pack Guide


注意    

シスコから供給されたハード ドライブ以外はデバイスに取り付けないでください。サポートされていないハード ドライブを取り付けると、デバイスが破損する可能性があります。マルウェア ストレージ パック キットは、シスコからのみ購入でき、8000 シリーズ デバイスでのみ使用できます。マルウェア ストレージ パックのサポートが必要な場合は、サポートにお問い合わせください。詳細については、Firepower System Malware Storage Pack Guideを参照してください。


スタック構成を確立するときに、各スタック構成デバイスのリソースを 1 つの共有構成に統合します。

1 つのデバイスをプライマリ デバイスとして指定し、そのデバイスにスタック全体のインターフェイスを設定します。その他のデバイスはセカンダリ デバイスとして指定します。セカンダリ デバイスは、現在トラフィックを検知していないデバイスで、かつインターフェイス上にリンクがないデバイスでなければなりません。

単一のデバイスを設定する場合と同じように、プライマリ デバイスを分析対象のネットワーク セグメントに接続します。Cisco Firepower 8000 Series Getting Started Guideで説明されているスタック構成のデバイスの配線手順に従って、セカンダリ デバイスをプライマリ デバイスに接続します。

スタック構成に含まれるすべてのデバイスは、同じハードウェアを使用し、同じソフトウェア バージョンを実行し、同じライセンスが適用されている必要があります。デバイスが NAT ポリシーのターゲットとなっている場合は、プライマリ デバイスとセカンダリ デバイスの両方に同じ NAT ポリシーを適用する必要があります。更新は、Firepower Management Center からスタック全体に対して展開する必要があります。スタック構成の 1 つ以上のデバイスで更新に失敗した場合、スタックはバージョンが混在した状態になります。バージョンが混在するスタックには、ポリシーを展開することも、更新を展開することもできません。この状態を修正するには、スタックを解除するか、バージョンが異なる個々のデバイスを削除し、それらのデバイスを個別に更新してからスタック構成を再確立します。デバイスをスタックに入れた後は、ライセンスの変更は、スタック全体に対してのみ行うことができます。

スタック構成を確立した後は、スタック構成に含まれるすべてのデバイスが単一の共有構成のように機能します。プライマリ デバイスで障害が発生した場合、トラフィックはセカンダリ デバイスに渡されません。この場合、セカンダリ デバイスでスタック ハートビートが失敗したことを通知する、ヘルス アラートが生成されます。

スタック内のセカンダリ デバイスで障害が発生すると、設定可能なバイパスが有効になっているインライン セットがプライマリ デバイス上でバイパス モードになります。それ以外のすべての設定では、システムは、失敗したセカンダリ デバイスへ継続してトラフィックをロード バランスします。いずれの場合も、リンクが失われたことを示すためのヘルス アラートが生成されます。

デバイス スタックは展開内で単一のデバイスと同じように使用できますが、いくつかの例外があります。ハイ アベイラビリティ ペアに 7000 または 8000 シリーズ デバイスがある場合は、デバイスのハイ アベイラビリティ ペアまたはハイ アベイラビリティ ペアのデバイスをスタックできません。また、デバイス スタックに NAT を設定することもできません。


(注)  

スタック構成のデバイスからのイベント データを、eStreamer を使用して外部クライアント アプリケーションに配信する場合は、各デバイスからデータを収集して、各デバイスが同じように設定されていることを確認します。eStreamer 設定は、スタック構成のデバイス間で自動的に同期されません。


マルチドメイン展開では、同じドメインに属しているデバイスのみをスタックできます。

デバイス スタック設定

2 台の Firepower 8140 デバイス、最大 4 台の Firepower 8250、1 台の Firepower 8260、1 台の Firepower 8270、1 台の Firepower 8290、最大 4 台の Firepower 8350、1 台の Firepower 8360、1 台の Firepower 8370、または 1 台の Firepower 8390 をスタック構成し、それらを組み合わせたリソースを単一の共有設定で使用することによって、ネットワーク セグメントで検査されるトラフィック量を増やすことができます。ハイ アベイラビリティ ペアに 7000 または 8000 シリーズ デバイスがある場合、デバイスのハイ アベイラビリティ ペア、またはハイ アベイラビリティ ペアの一方のデバイスのスタックは構成できません。ただし、2 つのデバイス スタックのハイ アベイラビリティ ペアを構成できます。

デバイス スタックを確立すると、これらのデバイスは、[デバイス管理(Device Management)] ページで単一のデバイスとして扱われます。デバイス スタックには、アプライアンスのリストでスタック アイコン()が表示されます。

デバイス スタックの登録を Firepower Management Center から削除すると、その登録は両方のデバイスから削除されます。スタックに含まれるデバイスを Firepower Management Center から削除する方法は、単一の管理対象デバイスを削除する場合と同じです。削除したスタックは、別の Firepower Management Center に登録できます。新しい Firepower Management Center に、スタックに含まれるデバイスのいずれか 1 つを登録するだけで、スタック全体が表示されるようになります。

デバイス スタックを確立した後は、スタックを解除して再確立しない限り、デバイスのプライマリまたはセカンダリとしての役割を変更することはできません。ただし、次の作業を実行できます。

  • 最大 4 台の Firepower 8250 を 1 つのスタックの限度として、2 台または 3 台の Firepower 8250、1 台の Firepower 8260、または 1 台の Firepower 8270 からなる既存のスタックにセカンダリ デバイスを追加できます。

  • 最大 4 台の Firepower 8350 を 1 つのスタックの限度として、2 台または 3 台の Firepower 8350、1 台の Firepower 8360、または 1 台の Firepower 8370 からなる既存のスタックにセカンダリ デバイスを追加できます。

デバイスを追加する場合、スタックのプライマリ デバイスに、追加のデバイスを配線するために必要なスタック NetMods がなければなりません。たとえば、プライマリに単一のスタック NetMod しかない Firepower 8260 を使用している場合、このスタックに別のセカンダリ デバイスを追加することはできません。セカンダリ デバイスを既存のスタックに追加する方法は、最初にスタックに含まれるデバイスの設定を確立したときの方法と同じです。

デバイス スタックの確立

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

Firepower 8140、8200 ファミリ、8300 ファミリ

任意(Any)

Admin/Network Admin

スタック内のすべてのデバイスが同じハードウェア モデル(たとえば、Firepower 8140 と別の 8140)である必要があります。8200 ファミリおよび 8300 ファミリでは、合計 4 つのデバイス(1 つのプライマリ デバイスと最大 3 つのセカンダリ デバイス)でスタックを構成できます。

マルチドメイン展開では、スタック内のすべてのデバイスが同じドメインに属している必要があります。

始める前に

  • プライマリ デバイスとして指定するユニットを決定します。

  • プライマリとセカンダリの関係を指定する前に、ユニット間の配線が適切に行われていることを確認します。ケーブルについては、Cisco Firepower 8000 Series Getting Started Guideを参照してください。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

[追加(Add)] ドロップダウン メニューから、[スタックの追加(Add Stack)] を選択します。

ステップ 3

[プライマリ(Primary)] ドロップダウン リストから、プライマリ デバイスとして運用するために配線したデバイスを選択します。

(注)   

プライマリ デバイスとして配線されていないデバイスを選択すると、以降の手順を実行できなくなります。

ステップ 4

名前を入力します。

ステップ 5

[追加(Add)] をクリックし、スタックに含めるデバイスを選択します。

ステップ 6

[プライマリ デバイスのスロット(Slot on Primary Device)] ドロップダウン リストから、プライマリ デバイスをセカンダリ デバイスに接続するスタック構成ネットワーク モジュールを選択します。

ステップ 7

[セカンダリ デバイス(Secondary Device)] ドロップダウン リストから、セカンダリ デバイスとして運用するために配線したデバイスを選択します。

ステップ 8

[セカンダリ デバイスのスロット(Slot on Secondary Device)] ドロップダウン リストから、セカンダリ デバイスをプライマリ デバイスに接続するスタック構成ネットワーク モジュールを選択します。

ステップ 9

[追加(Add)] をクリックします。

ステップ 10

複数の Firepower 8250、1 つの Firepower 8260、1 つの Firepower 8270 の既存のスタック、複数の Firepower 8350、1 つの Firepower 8360 または 1 つの Firepower 8370 の既存のスタックにセカンダリ デバイスを追加する場合は、手順 5 ~ 9 を繰り返します。

ステップ 11

[スタック(Stack)] をクリックし、デバイス スタックを確立するか、セカンダリ デバイスを追加します。このプロセスではシステム データの同期が行われるため、プロセスが完了するまでに数分かかることに注意してください。


デバイス スタックの編集

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

Firepower 8140、Firepower 8200 ファミリ、Firepower 8300 ファミリ

リーフのみ

Admin/Network Admin

デバイス スタックを確立した後は、デバイス設定を変更すると、通常はスタック全体の設定も変更されます。単一のデバイスの [デバイス(Device)] ページで設定を変更する場合と同じように、アプライアンス エディタの [スタック(Stack)] ページで、スタック設定に変更を加えることができます。

スタックの表示名を変更したり、ライセンスを有効または無効にしたり、システム ポリシーや正常性ポリシーを表示したり、詳細設定を構成したりすることができます。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

設定を編集する、スタックに含まれるデバイスの横にある編集アイコン()をクリックします。

マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[スタック(Stack)] ページのセクションを使用して、単一のデバイス設定を変更する場合と同じように、スタック構成の設定を変更します。


スタック内のデバイスの交換

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

FirePOWER 8140、8200 ファミリ、8300 ファミリ

任意(Any)

Admin/Network Admin

Firepower Management Center がデバイスと通信できない場合に、スタックを分離してデバイスの登録を解除するには、デバイスに接続して CLI コマンドを使用する必要があります。詳細については、関連する章「コンフィギュレーション コマンド」の stacking disable CLI コマンドおよび delete CLI コマンドを参照してください。

スタック内のデバイスを交換するには、以下を行います。

手順


ステップ 1

デバイスを含むスタックを選択し、そのスタックを交換して解除します。詳細については、スタック構成のデバイスの分離を参照してください。

ステップ 2

Firepower Management Center からデバイスを登録解除します。詳細については、Firepower Management Center からのデバイスの削除を参照してください。

ステップ 3

交換デバイスを Firepower Management Center に登録します。詳細については、Firepower Management Center へのデバイスの追加を参照してください。

ステップ 4

交換デバイスを含むデバイス スタックを作成します。詳細については、デバイス スタックの確立を参照してください。


高可用性ペアのスタック内のデバイスの交換

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

Control

Firepower 8140、8200 ファミリ、8300 ファミリ

任意(Any)

Admin/Network Admin

高可用性ペアのメンバーになっているスタックをメンテナンス モードに切り替えた後で、スタック内のセカンダリ デバイスを別のデバイスと交換できます。選択できるデバイスは、現在スタックのメンバーにも、ペアにもなっていないデバイスのみです。新しいデバイスは、デバイス スタックを確立する場合と同じガイドラインに従っている必要があります。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

メンテナンス モードを開始するスタック メンバーの横にあるメンテナンス モード切り替えアイコン()をクリックします。

ステップ 3

[はい(Yes)] をクリックして、メンテナンス モードを確定します。

ステップ 4

デバイス交換アイコン()をクリックします。

ステップ 5

ドロップダウンリストから [交換デバイス(Replacement Device)] を選択します。

ステップ 6

[交換(Replace)] をクリックして、デバイスを交換します。

ステップ 7

メンテナンス モード切り替えアイコン()を再度クリックすると、スタックのメンテナンス モードが即時に終了します。

(注)   

デバイス設定を再展開する必要はありません。


スタックに含まれる個々のデバイスの設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

Firepower 8140、Firepower 8200 ファミリ、Firepower 8300 ファミリ

リーフのみ

Admin/Network Admin

デバイス スタックを確立した後でも、スタック内の個々のデバイスに対して設定できる属性がいくつかあります。スタックに設定されたデバイスに変更を加える方法は、単一のデバイスに変更を加える場合の方法と同じです。このページでは、デバイスの表示名の変更、システム設定の表示、デバイスのシャットダウンまたは再起動、ヘルス情報の表示、およびデバイス管理設定の編集を行うことができます。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

設定を編集する、スタックに含まれるデバイスの横にある編集アイコン()をクリックします。

マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[デバイス(Device)] タブをクリックします。

ステップ 4

[選択されたデバイス(Selected Device)] ドロップダウン リストから、変更するデバイスを選択します。

ステップ 5

[デバイス(Devices)] ページのセクションを使用して、単一のデバイスに対して変更を加える場合と同じように、スタックに含まれる個々のデバイスに変更を加えます。


スタック構成のデバイスでのインターフェイスの設定

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

Firepower 8140、Firepower 8200 ファミリ、Firepower 8300 ファミリ

リーフのみ

Admin/Network Admin

管理インターフェイスを除き、スタック構成のデバイスにインターフェイスを設定するには、スタックのプライマリ デバイスの [インターフェイス(Interfaces)] ページを使用します。管理インターフェイスを設定する場合は、スタックに含まれる任意のデバイスを選択できます。

Firepower スタック構成デバイスの [インターフェイス(Interfaces)] ページに、個々のデバイスのハードウェアおよびインターフェイスのビューがあります。

手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

プライマリ スタック構成デバイスの横で、編集アイコン()をクリックします。

マルチドメイン展開では、リーフ ドメインにいない場合、システムによって切り替えるように求められます。

ステップ 3

[インターフェイス(Interfaces)] タブをクリックします。

ステップ 4

[選択されたデバイス(Selected Device)] ドロップダウン リストから、変更するデバイスを選択します。

ステップ 5

個々のデバイスに設定する場合と同じようにインターフェイスを設定します。センシング インターフェイスの設定を参照してください。


スタック構成のデバイスの分離

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

FirePOWER 8140、8200 ファミリ、8300 ファミリ

任意(Any)

Admin/Network Admin

デバイスのスタック構成を使用する必要がなくなった場合、スタックを解除してデバイスを分離できます。


(注)  

スタック構成のデバイスに障害が発生した場合や、スタックのメンバー デバイス間の通信に障害が発生した場合は、Firepower Management Center Web インターフェイスを使用してスタック構成のデバイスを分離することはできません。この場合は、補助 CLI コマンド configure stacking disable を使用して、それぞれのデバイスから個別にスタック設定を削除します。


手順


ステップ 1

[デバイス(Devices)] > [デバイス管理(Device Management)]を選択します。

ステップ 2

分断するデバイス スタックの横にあるスタックの分断アイコン()をクリックします。

ヒント 

スタックを分断することなく、3 台以上の Firepower 8250 デバイスのスタックからセカンダリ デバイスを削除するには、スタックからの削除アイコン()をクリックします。セカンダリ デバイスを削除すると、システムがそのデバイス抜きで動作するスタックを再設定する間、トラフィック検査、トラフィック フロー、またはリンク状態が短時間中断されます。

ステップ 3

[はい(Yes)] をクリックして、デバイス スタックを分離します。


スタック内のデバイスの交換

スマート ライセンス

従来のライセンス

サポートされるデバイス

サポートされるドメイン

アクセス(Access)

該当なし

任意(Any)

FirePOWER 8140、8200 ファミリ、8300 ファミリ

任意(Any)

Admin/Network Admin

Firepower Management Center がデバイスと通信できない場合に、スタックを分離してデバイスの登録を解除するには、デバイスに接続して CLI コマンドを使用する必要があります。詳細については、関連する章「コンフィギュレーション コマンド」の stacking disable CLI コマンドおよび delete CLI コマンドを参照してください。

スタック内のデバイスを交換するには、以下を行います。

手順


ステップ 1

デバイスを含むスタックを選択し、そのスタックを交換して解除します。詳細については、スタック構成のデバイスの分離を参照してください。

ステップ 2

Firepower Management Center からデバイスを登録解除します。詳細については、Firepower Management Center からのデバイスの削除を参照してください。

ステップ 3

交換デバイスを Firepower Management Center に登録します。詳細については、Firepower Management Center へのデバイスの追加を参照してください。

ステップ 4

交換デバイスを含むデバイス スタックを作成します。詳細については、デバイス スタックの確立を参照してください。