バックアップと復元

バックアップと復元について

災害から回復する能力は、システム保守計画の重要な部分を占めます。災害復旧計画の一環として、セキュアなリモートの場所への定期的なバックアップを実行することをお勧めします。

オンデマンドバックアップ

FMC から FMCおよび多数の FTD デバイスのオンデマンドバックアップを実行できます。

詳細については、「FMC または管理対象デバイスのバックアップ」を参照してください。

スケジュール バックアップ

FMC でスケジューラを使用して、バックアップを自動化できます。FMC からデバイスのリモートバックアップをスケジュールすることもできます。

FMC のセットアッププロセスでは、設定のみのバックアップを毎週ローカルに保存するようにスケジュールされます。これは、オフサイトのフルバックアップの代わりにはなりません。初期設定が完了したら、スケジュールされたタスクを確認し、組織のニーズに合わせて調整する必要があります。

詳細については、「スケジュール バックアップ」を参照してください。

バックアップファイルの保存

バックアップはローカルに保存することができます。ただし、NFS、SMB、または SSHFS ネットワークボリュームをリモートストレージとしてマウントして、FMC および管理対象デバイスを安全なリモートロケーションにバックアップすることをお勧めします。これを実行すると、その後のすべてのバックアップがそのボリュームにコピーされますが、引き続き FMC を使用してそれらを管理することができます。

詳細については、リモート ストレージ管理およびバックアップとリモートストレージの管理を参照してください。

FMC および管理対象デバイスの復元

ローカルの [バックアップ管理(Backup Management)] ページから FMC を復元します。FTD デバイスを復元するには、FTD CLI を使用する必要があります。ただし、SD カードと [Reset] ボタンを使用する ISA 3000 ゼロタッチ復元は除きます。

詳細については、「FMC および管理対象デバイスの復元」を参照してください。

バックアップの内容

FMC のバックアップには、次のものを含めることができます。

  • 設定。

    FMC Web インターフェイスで指定できるすべての設定は、リモートストレージと監査ログサーバー証明書の設定を除いて、設定のバックアップに含まれます。マルチドメイン展開では、設定をバックアップする必要があります。イベントまたは TID データのみをバックアップすることはできません。

  • イベント。

    イベントのバックアップには、FMC データベース内のすべてのイベントが含まれます。ただし、FMC のイベントバックアップには侵入イベントのレビューステータスは含まれません。復元された侵入イベントは、[確認済みイベント(Reviewed Events)] ページには表示されません。

  • Threat Intelligence Director(TID)データ。

    詳細については、「TID データのバックアップおよび復元について」を参照してください。

デバイスバックアップは常に設定のみです。

復元の内容

設定を復元すると、ごくわずかの例外を除いて、バックアップされたすべての設定が上書きされます。FMC では、イベントおよび TID データを復元すると、侵入イベントを除くすべての既存のイベントおよび TID データが上書きされます。

次のことを理解して計画してください。

  • バックアップされていないものは復元できません。

    FMC の設定のバックアップには、リモートストレージと監査ログサーバー証明書の設定が含まれないため、復元後にそれらを再設定する必要があります。また、FMC のイベントのバックアップには侵入イベントのレビューステータスが含まれないため、復元された侵入イベントは [確認済みイベント(Reviewed Events)] ページには表示されません。

  • VPN 証明書の復元は失敗します。

    FTD 復元プロセスでは、VPN 証明書が FTD デバイスから削除されます。これには、バックアップの作成後に追加された証明書も含まれます。FTD デバイスを復元した後に、すべての VPN 証明書を再追加/再登録する必要があります。

  • 工場出荷時の FMC または再イメージ化された FMC ではなく、設定済みの FMC に復元すると、侵入イベントおよびファイルリストがマージされます。

    FMC のイベント復元プロセスでは、侵入イベントは上書きされません。代わりに、バックアップ内の侵入イベントがデータベースに追加されます。重複を避けるには、復元する前に既存の侵入イベントを削除してください。

    FMC の設定復元プロセスでは、AMP for Networks で使用されるクリーンおよびカスタム検出ファイルリストは上書きされません。代わりに、既存のファイルリストとバックアップ内のファイルリストがマージされます。ファイルリストを置き換えるには、復元する前に既存のファイルリストを削除してください。

バックアップと復元の要件

バックアップと復元には、次の要件があります。

モデル要件:バックアップ

次をバックアップできます。

  • FMC

  • FTD スタンドアロンデバイス、ネイティブインスタンス、および HA ペア

  • VMware デバイスの FTDv(スタンドアロンまたは HA ペア)

次のバックアップはサポートされていません

  • FTD コンテナインスタンス

  • FTD クラスタ

  • VMware 向け FTDv 以外の FTDv の実装

  • NGIPSv

  • ASA FirePOWER

バックアップと復元がサポートされていないデバイスを交換する必要がある場合は、デバイス固有の設定を手動で再作成する必要があります。ただし、FMC をバックアップすると、管理対象デバイスに展開するポリシーやその他の設定のほか、デバイスから FMC にすでに送信されているイベントはバックアップされます。

モデル要件:復元

交換用の管理対象デバイスは、交換するものと同じモデルで、同じ数のネットワークモジュールと同じタイプおよび数の物理インターフェイスを備えている必要があります。

FMC の場合、RMA シナリオでバックアップと復元を使用できるだけでなく、FMC 間で設定とイベントを移行するためにバックアップと復元を使用できます。サポート対象の移行先モデルなどの詳細については、『Firepower Management Center Model Migration Guide』を参照してください。

バージョン要件

バックアップの最初のステップとして、パッチレベルを書き留めておきます。バックアップを復元するには、古いアプライアンスと新しいアプライアンスで、パッチを含め、同じバージョンの Firepower が実行されている必要があります。

さらに、Firepower 4100/9300 シャーシで Firepower ソフトウェアを復元するには、シャーシで互換性のある FXOS バージョンが実行されている必要があります。

FMC バックアップの場合、同じ VDB も必要です。同じ SRU は必要ではありません

ライセンス要件

ベストプラクティスと手順の説明に従って、ライセンスまたは孤立した権限付与の問題に対処してください。ライセンスの競合に気付いた場合は、Cisco TAC にお問い合わせください。

ドメインの要件

方法:

  • FMC のバックアップまたは復元:グローバルのみ。

  • FMC からのデバイスをバックアップ:グローバルのみ。

  • デバイスの復元:なし。デバイスをローカルに復元してください。

マルチドメイン展開では、イベント/TID データのみをバックアップすることはできません。設定もバックアップする必要があります。

バックアップと復元の注意事項と制限事項

バックアップと復元には次の注意事項と制限事項があります。

バックアップと復元はディザスタリカバリ/RMA 用です

バックアップと復元は、主に RMA シナリオを対象としています。問題または障害がある物理アプライアンスの復元プロセスを開始する前に、交換用のハードウェアについて Cisco TAC にお問い合わせください。

FMC 間で設定とイベントを移行するためにバックアップと復元を使用することもできます。これにより、組織の拡大、物理実装から仮想実装への移行、ハードウェアの更新など、技術面またはビジネス面の理由による FMC の交換が容易になります。

バックアップと復元は、コンフィギュレーションのインポート/エクスポートではありません

バックアップ ファイルは、アプライアンスを一意に識別する情報を含んでおり、共有することはできません。アプライアンスまたはデバイス間で設定をコピーする目的で、または新しい設定をテストする際に設定を保存する方法としてバックアップおよび復元プロセスを使用しないでください。代わりに、インポート/エクスポート機能を使用してください。

たとえば、FTD デバイスのバックアップには、デバイスの管理 IP アドレスと、デバイスが管理 FMC に接続するために必要なすべての情報が含まれます。別の FMC によって管理されているデバイスに FTD バックアップを復元しないでください(復元されたデバイスがバックアップで指定された FMC への接続を試みるため)。

復元は個別かつローカルです

FMC および管理対象デバイスは、個別かつローカルに復元します。これは、以下を意味します。

  • 高可用性(HA)FMC またはデバイスに一括で復元することはできません。このガイドの復元手順では、HA 環境での復元方法について説明します。

  • FMC を使用してデバイスを復元することはできません。FMC の場合は、Web インターフェイスを使用して復元することができます。FTD デバイスの場合は、SD カードと [Reset] ボタンを使用する ISA 3000 ゼロタッチ復元を除き、FTD CLI を使用する必要があります。

  • FMC のユーザーアカウントを使用して、いずれかの管理対象デバイスにログインし、復元することはできません。FMC およびデバイスでは、独自のユーザーアカウントが維持されます。

Firepower 4100/9300 のコンフィギュレーションのインポート/エクスポートに関するガイドライン

Firepower 4100/9300 シャーシの論理デバイスとプラットフォームのコンフィギュレーション設定を含む XML ファイルをリモート サーバまたはローカル コンピュータにエクスポートするコンフィギュレーションのエクスポート機能を使用できます。そのコンフィギュレーション ファイルを後でインポートして Firepower 4100/9300 シャーシに迅速にコンフィギュレーション設定を適用し、よくわかっている構成に戻したり、システム障害から回復させたりすることができます。

ガイドラインと制限

  • コンフィギュレーション ファイルの内容は、修正しないでください。コンフィギュレーション ファイルが変更されると、そのファイルを使用するコンフィギュレーション インポートが失敗する可能性があります。

  • 用途別のコンフィギュレーション設定は、コンフィギュレーション ファイルに含まれていません。用途別の設定やコンフィギュレーションを管理するには、アプリケーションが提供するコンフィギュレーション バックアップ ツールを使用する必要があります。

  • Firepower 4100/9300 シャーシへのコンフィギュレーションのインポート時、Firepower 4100/9300 シャーシのすべての既存のコンフィギュレーション(論理デバイスを含む)は削除され、インポートファイルに含まれるコンフィギュレーションに完全に置き換えられます。

  • RMA シナリオを除き、コンフィギュレーション ファイルのエクスポート元と同じ Firepower 4100/9300 シャーシだけにコンフィギュレーション ファイルをインポートすることをお勧めします。

  • インポート先の Firepower 4100/9300 シャーシのプラットフォーム ソフトウェア バージョンは、エクスポートしたときと同じバージョンになるはずです。異なる場合は、インポート操作の成功は保証されません。シスコは、Firepower 4100/9300 シャーシをアップグレードしたりダウングレードしたりするたびにバックアップ設定をエクスポートすることを推奨します。

  • インポート先の Firepower 4100/9300 シャーシでは、エクスポートしたときと同じスロットに同じネットワークモジュールがインストールされている必要があります。

  • インポート先の Firepower 4100/9300 シャーシでは、インポートするエクスポートファイルに定義されているすべての論理デバイスに、正しいソフトウェア アプリケーション イメージがインストールされている必要があります。

  • 既存のバックアップファイルが上書きされるのを回避するには、バックアップ操作内のファイル名を変更するか、既存のファイルを別の場所にコピーします。


(注)  

FXOS のインポート/エクスポートは FXOS の設定のみをバックアップするため、ロジックアプリを個別にバックアップする必要があります。FXOS の設定をインポートすると、論理デバイスが再起動され、工場出荷時のデフォルト設定でデバイスが再構築されます。

バックアップと復元のベストプラクティス

バックアップと復元には、次のベストプラクティスがあります。

バックアップのタイミング

メンテナンスの時間帯やその他の使用率の低い時間帯にバックアップすることをお勧めします。

バックアップデータの収集中に、データの相関付けが一時的に停止して(FMC のみ)、バックアップ関連の設定を変更できなくなることがあります。イベントデータを含める場合、eStreamer などのイベント関連機能は使用できません。

次の状況でバックアップする必要があります。

  • 定期的にスケジュールされたバックアップ。

    災害復旧計画の一環として、定期的なバックアップを実行することをお勧めします。

    バージョン 6.5.0 以降の FMC のセットアッププロセスでは、設定のみのバックアップを毎週ローカルに保存するようにスケジュールされます。これは、オフサイトのフルバックアップの代わりにはなりません。初期設定が完了したら、スケジュールされたタスクを確認し、組織のニーズに合わせて調整する必要があります。詳細については、「スケジュール バックアップ」を参照してください。

  • SLR が変更された後。

    特定ライセンス予約(SLR)に変更を加えた後に、FMC をバックアップします。変更を加えてから古いバックアップを復元すると、特定ライセンスの戻りコードに問題が発生し、孤立した権限付与が発生する可能性があります。

  • アップグレードまたは再イメージ化の前。

    アップグレードが致命的な失敗であった場合は、再イメージ化を実行し、復元する必要がある場合があります。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。最近のバックアップがある場合は、通常の操作にすばやく戻ることができます。

  • アップグレードの後。

    アップグレード後にバックアップします。これにより、新しくアップグレードした展開のスナップショットが得られます。新しい FMC バックアップファイルがデバイスがアップグレードされたことを「認識」するように、管理対象デバイスをアップグレードしたに FMC をバックアップすることをお勧めします。

バックアップファイルのセキュリティの維持

バックアップは、暗号化されていないアーカイブ(.tar)ファイルとして保存されます。

PKI オブジェクトの秘密キー(展開をサポートするために必要な公開キー証明書とペアになった秘密キーを表す)は、バックアップされる前に復号されます。バックアップを復元すると、このキーはランダムに生成されるキーで再暗号化されます。


注意    

Firepower アプライアンスを安全なリモートロケーションにバックアップし、転送が成功することを確認することをお勧めします。ローカルに残っているバックアップは、手動または(ローカルに保存されたバックアップが消去される)アップグレードプロセスによって削除される可能性があります。

特に、バックアップファイルは暗号化されていないため、不正アクセスを許可しないでください。バックアップ ファイルが変更されていると、復元プロセスは失敗します。Admin/Maint ロールを持つユーザーは [バックアップ管理(Backup Management)]ページにアクセスでき、そこでリモートストレージからファイルを移動および削除できることに注意してください。

FMC のシステム設定では、NFS、SMB、または SSHFS ネットワークボリュームをリモートストレージとしてマウントできます。これを実行すると、その後のすべてのバックアップがそのボリュームにコピーされますが、引き続き FMC を使用してそれらを管理することができます。詳細については、リモート ストレージ管理およびバックアップとリモートストレージの管理を参照してください。

FMC だけがネットワークボリュームをマウントすることに注意してください。管理対象デバイスのバックアップファイルは、FMC を介してルーティングされます。FMC とそのデバイスの間に大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

FMC ハイアベイラビリティ展開でのバックアップと復元

FMC ハイアベイラビリティ展開では、一方の FMC をバックアップしても他方はバックアップされません。定期的に両方のピアをバックアップする必要があります。一方の HA ピアを他方のバックアップファイルで復元しないでください。バックアップ ファイルは、アプライアンスを一意に識別する情報を含んでおり、共有することはできません。

正常なバックアップがなくても HA FMC を交換できることに注意してください。正常なバックアップの有無にかかわらず、HA FMC の交換の詳細については、ハイアベイラビリティペアでの FMC の交換を参照してください。

FTD ハイアベイラビリティ展開でのバックアップと復元

FTD HA 展開では、次のことを行う必要があります。

  • FMC からデバイスペアをバックアップしますが、復元は FTD CLI から個別かつローカルに行います。

    バックアッププロセスにより、FTD HA デバイスの一意のバックアップファイルが生成されます。一方の HA ピアを他方のバックアップファイルで復元しないでください。バックアップ ファイルは、アプライアンスを一意に識別する情報を含んでおり、共有することはできません。

    FTD HA デバイスの役割は、バックアップファイル名に示されます。復元する際は、必ず、適切なバックアップファイル(プライマリまたはセカンダリ)を選択してください。

  • 復元する前に HA を一時停止または解除しないでください。

    HA 設定を維持することで、交換用デバイスを、復元後に簡単に再接続できます。これを行うには、HA 同期を再開する必要があることに注意してください。

  • 両方のピアで CLI コマンドの restore を同時に実行しないでください。

    バックアップが正常に完了したら、HA ペアの一方または両方のピアを交換できます。任意の物理的な交換タスク(ラックからの取り外し、ラックへの再設置など)を同時に実行できます。ただし、再起動を含め、最初のデバイスの復元プロセスが完了するまで、2 つ目のデバイスで restore コマンドを実行しないでください。

正常なバックアップがなくても FTD HA デバイスを交換できることに注意してください。FTD ハイアベイラビリティペアでのユニット交換を参照してください。

Firepower 4100/9300 シャーシのバックアップと復元

Firepower 4100/9300 シャーシで Firepower ソフトウェアを復元するには、シャーシで互換性のある FXOS バージョンが実行されている必要があります。

Firepower 4100/9300 シャーシをバックアップする場合は、FXOS 設定もバックアップすることを強くお勧めします。追加のベストプラクティスについては、Firepower 4100/9300 のコンフィギュレーションのインポート/エクスポートに関するガイドラインを参照してください。

バックアップ前

バックアップの前に、次のことを行う必要があります。

  • FMC で VDB と SRU を更新します。

    常に最新の脆弱性データベース(VDB)と侵入ルール(SRU)を使用することをお勧めします。FMC をバックアップする前に、シスコ サポートおよびダウンロード サイト の新しいバージョンがないか確認してください。

    バックアップを復元するには VDB のバージョンが一致している必要があるため、これは VDB にとって特に重要です。VDB はダウングレードできないため、交換した FMC にバックアップされた FMC よりも新しい VDB がある状況は望ましくありません。

  • ディスク容量を確認します。

    バックアップを開始する前に、アプライアンスまたはリモートストレージサーバーに十分なディスク容量があることを確認します。使用可能な容量は、[バックアップ管理(Backup Management)] ページに表示されます。

    十分な容量がない場合、バックアップが失敗する可能性があります。特にバックアップをスケジュールする場合は、必ず、バックアップファイルを定期的にプルーニングするか、リモートの保存場所により多くのディスク容量を割り当ててください。

復元前

復元の前に、次のことを行う必要があります。

  • ライセンスの変更を元に戻します。

    バックアップを実行した後に行われたライセンス変更を元に戻します。

    そうしないと、復元後にライセンスの競合や孤立した権限付与が発生する可能性があります。ただし、Cisco Smart Software Manager(CSSM)の登録を解除しないでください。CSSM の登録を解除すると、復元後に再度登録を解除してから再登録する必要があります。

    復元が完了したら、ライセンスを再設定します。ライセンスの競合や孤立した権限付与に気付いた場合は、Cisco TAC にお問い合わせください。

  • 障害のあるアプライアンスを切断します。

    管理インターフェイスを切断し、デバイスの場合はデータインターフェイスも切断します。

    FTD デバイスを復元すると、交換用デバイスの管理 IP アドレスが古いデバイスの管理 IP アドレスに設定されます。IP の競合を回避するには、バックアップを交換用デバイスに復元する前に、古いデバイスを管理ネットワークから切断します。

    FMC を復元しても管理 IP アドレスが変更されないことに注意してください。交換時に手動で設定する必要があります。必ず、設定する前に、古いアプライアンスをネットワークから切断してください。

  • 管理対象デバイスの登録を解除しないでください。

    FMC または管理対象デバイスのいずれを復元する場合でも、アプライアンスをネットワークから物理的に切断しても、デバイスの FMC 登録を解除しないでください。

    登録を解除した場合は、一部のデバイス設定(セキュリティゾーンとインターフェイスのマッピングなど)をやり直す必要があります。復元後、FMC とデバイスは正常に通信を開始します。

  • 再イメージ化します。

    RMA シナリオでは、交換用アプライアンスは、工場出荷時のデフォルト設定で納品されます。ただし、交換用アプライアンスがすでに設定されている場合は、再イメージ化することをお勧めします。再イメージ化によって、システムパスワードを含むほとんどの設定が工場出荷時の初期状態に戻ります。メジャーバージョンにのみ再イメージ化できるため、再イメージ化後にパッチの適用が必要な場合があります。

    再イメージ化しない場合は、FMC の侵入イベントおよびファイルリストが上書きされるのではなくマージされることに注意してください。

復元後

復元の後に、次のことを行う必要があります。

  • 復元されなかったものをすべて再設定します。

    これには、ライセンス、リモートストレージ、および監査ログサーバー証明書設定の再設定が含まれる場合があります。 また、失敗した FTDVPN 証明書を再追加/再登録する必要があります。

  • FMC で VDB と SRU を更新します。

    常に最新の脆弱性データベース(VDB)と侵入ルール(SRU)を使用することをお勧めします。

  • 展開します。

    FMC を復元したら、すべての管理対象デバイスに展開します。デバイスを復元したら、そのデバイスに展開します。この展開は必須です。1 つまたは複数のデバイスが期限切れとしてマークされていない場合は、[デバイス管理(Device Management)] ページから強制的に展開します:デバイスへの既存の設定の再展開

FMC または管理対象デバイスのバックアップ

サポートされるアプライアンスのオンデマンドバックアップまたはスケジュールバックアップを実行できます。

FMC からデバイスをバックアップする場合、バックアッププロファイルは必要ありません。ただし、FMC のバックアップにはバックアッププロファイルが必要です。。オンデマンド バックアップ プロセスでは、新しいバックアッププロファイルを作成できます。

詳細については、以下を参照してください。

FMC のバックアップ

FMC のオンデマンドバックアップを実行するには、次の手順を実行します。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

手順

ステップ 1

[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] を選択します。

[バックアップ管理(Backup Management)] ページには、ローカルとリモートで保存されたすべてのバックアップが一覧表示されます。また、バックアップの保存に使用できるディスク容量も一覧表示されます。十分な容量がない場合、バックアップが失敗する可能性があります。

ステップ 2

既存のバックアッププロファイルを使用するか、新しく開始するかを選択します。

FMC のバックアップでは、バックアッププロファイルを使用または作成する必要があります。

  • 既存のバックアッププロファイルを使用するには、[バックアッププロファイル(Backup Profiles)] をクリックします。

    使用するプロファイルの横にある編集アイコンをクリックします。[バックアップの開始(Start Backup)] をクリックして、今すぐバックアップを開始することができます。プロファイルを編集する場合は、次の手順に進みます。

  • [Firepower 管理バックアップ(Firepower Management Backup)] をクリックして新しく開始し、新しいバックアッププロファイルを作成します。

    [名前(Name)] にバックアップファイルの名前を入力します。

ステップ 3

バックアップするものを選択します。

  • バックアップ構成

  • イベントのバックアップ

  • Threat Intelligence Director のバックアップ

マルチドメイン展開では、設定をバックアップする必要があります。イベントまたは TID データのみをバックアップすることはできません。これらの各選択肢のバックアップ対象および対象外の詳細については、バックアップと復元についてを参照してください。

ステップ 4

FMC のバックアップファイルの保存場所に注意してください。

これは、ローカルストレージ(/var/sf/backup/)またはリモート ネットワーク ボリュームのいずれかにすることができます。詳細については、「バックアップとリモートストレージの管理」を参照してください。

ステップ 5

(任意)[完了時にコピー(Copy when complete)] を有効にして、完了した FMC バックアップをリモートサーバーにコピーします。

ホスト名または IP アドレス、リモートディレクトリへのパス、およびユーザー名とパスワードを入力します。パスワードの代わりに SSH 公開キーを使用するには、[SSH 公開キー(SSH Public Key)] フィールドの内容を、リモートサーバー上の指定ユーザーの authorized_keys ファイルにコピーします。
(注)   

このオプションは、バックアップをローカルに保存し、リモートの場所にも SCP で保存する場合に便利です。SSH リモートストレージを設定した場合は、[完了時にコピー(Copy when complete)] を使用してバックアップファイルを同じディレクトリにコピーしないでください
ステップ 6

(任意)[電子メール(Email)] を有効にして、バックアップの完了時に通知する電子メールアドレスを入力します。

電子メール通知を受信するには、メールサーバーに接続するように FMC を設定する必要があります(メール リレー ホストおよび通知アドレスの設定)。

ステップ 7

[バックアップの開始(Start Backup)] をクリックしてオンデマンドバックアップを開始します。

既存のバックアッププロファイルを使用しない場合、システムが自動的に作成し、それを使用します。今すぐバックアップを実行しない場合は、[保存(Save)] または [新規として保存(Save As New)] をクリックしてプロファイルを保存することができます。どちらの場合も、新しく作成されたプロファイルを使用して、スケジュールされたバックアップを設定できます。

ステップ 8

デバイスが再起動するまで、Message Center で進行状況をモニターします。

バックアップ データの収集中に、データの相関付けが一時的に停止してバックアップ関連の設定を変更できなくなることがあります。リモートストレージが設定されている場合または [完了時にコピー(Copy when complete)] が有効になっている場合は、FMC が一時ファイルをリモートサーバーに書き込むことがあります。これらのファイルは、バックアッププロセスの最後にクリーンアップされます。

次のタスク

リモートストレージが設定されている場合または [完了時にコピー(Copy when complete)] が有効になっている場合は、バックアップファイルの転送が成功したことを確認します。

FMC からのデバイスのバックアップ

次のいずれかのデバイスのオンデマンドバックアップを実行するには、この手順を使用してください。

  • FTD:物理デバイス、スタンドアロンまたは HA

  • FTDv:VMware、スタンドアロンまたは HA

バックアップと復元は、他のプラットフォームまたは構成(クラスタ化されたデバイスやコンテナインスタンスなど)ではサポートされていません。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

Firepower 4100/9300 シャーシをバックアップする場合は、FXOS 設定もバックアップすることが特に重要です(FXOS コンフィギュレーション ファイルのエクスポート)。

手順

ステップ 1

[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] を選択し、[管理対象デバイスのバックアップ(Managed Device Backup)] をクリックします。

ステップ 2

1 つ以上の管理対象デバイスを選択します。

ステップ 3

デバイスバックアップファイルの保存場所に注意してください。

これは、ローカルストレージ(/var/sf/remote-backup/)またはリモート ネットワーク ボリュームのいずれかにすることができます。ISA 3000 では、SD カードが取り付けられている場合、バックアップのコピーも SD カード(/mnt/disk3/backup)に作成されます。詳細については、「バックアップとリモートストレージの管理」を参照してください。

ステップ 4

リモートストレージを設定しなかった場合は、[管理センターで取得する(Retrieve to Management Center)] を有効または無効にできます。

  • 有効(デフォルト):バックアップが FMC の /var/sf/remote-backup/ に保存されます。

  • 無効:バックアップがデバイスの /var/sf/backup に保存されます。

リモート バックアップ ストレージを設定している場合、バックアップ ファイルはリモートに保存され、このオプションは無効になります。

ステップ 5

[バックアップの開始(Start Backup)] をクリックしてオンデマンドバックアップを開始します。

ステップ 6

デバイスが再起動するまで、Message Center で進行状況をモニターします。

次のタスク

リモートストレージを設定した場合は、バックアップファイルの転送が成功したことを確認します。

FXOS コンフィギュレーション ファイルのエクスポート

エクスポート設定機能を使用して、Firepower 4100/9300 シャーシの論理デバイスとプラットフォーム構成設定を含む XML ファイルをリモート サーバまたはローカル コンピュータにエクスポートします。


(注)  

この手順では、FTD をバックアップするときに FXOS 設定をエクスポートするための Firepower Chassis Manager の使用方法について説明します。CLI の手順については、該当するバージョンの『 Cisco Firepower 4100/9300 FXOS CLI Configuration Guide 』を参照してください。

始める前に

ガイドラインと制限事項」を確認してください。

手順
ステップ 1

Firepower Chassis Manager [システム(System)] > [設定(Configuration)] > [エクスポート(Export)] の順に選択します。

ステップ 2

コンフィギュレーション ファイルをローカル コンピュータにエクスポートするには、次の手順を実行します。

  1. [ローカル(Local)] をクリックします。

  2. [エクスポート(Export)] をクリックします。

    コンフィギュレーション ファイルが作成され、ブラウザによって、ファイルがデフォルトのダウンロード場所に自動的にダウンロードされるか、またはファイルを保存するようプロンプトが表示されます。
ステップ 3

コンフィギュレーション ファイルをリモート サーバにエクスポートするには、次の操作を行います。

  1. [リモート(Remote)] をクリックします。

  2. リモート サーバとの通信で使用するプロトコルを選択します。選択できるプロトコルは、FTP、TFTP、SCP、または SFTP のいずれかです。

  3. バックアップ ファイルを格納する場所のホスト名または IP アドレスを入力します。サーバ、ストレージ アレイ、ローカル ドライブ、または Firepower 4100/9300 シャーシがネットワーク経由でアクセス可能な任意の読み取り/書き込みメディアなどを指定できます。

    IP アドレスではなくホスト名を使用する場合は、DNS サーバを設定する必要があります。

  4. デフォルト以外のポートを使用する場合は、[ポート(Port)] フィールドにポート番号を入力します。

  5. リモート サーバにログインするためのユーザ名を入力します。プロトコルが TFTP の場合、このフィールドは適用されません。

  6. リモート サーバのユーザ名のパスワードを入力します。プロトコルが TFTP の場合、このフィールドは適用されません。

  7. [場所(Location)] フィールドに、ファイル名を含む設定ファイルをエクスポートする場所のフル パスを入力します。

  8. [エクスポート(Export)] をクリックします。

    コンフィギュレーション ファイルが作成され、指定の場所にエクスポートされます。

バックアッププロファイルの作成

バックアッププロファイルとは、保存済みの一連の設定(何をバックアップするか、どこにバックアップファイルを保存するかなど)です。

FMC のバックアップにはバックアッププロファイルが必要です。FMC からデバイスをバックアップする場合、バックアッププロファイルは必要ありません。

FMC のオンデマンドバックアップを実行する場合、既存のバックアッププロファイルを選択しないと、システムが自動的に作成し、それを使用します。その後、新しく作成されたプロファイルを使用して、スケジュールされたバックアップを設定できます。

次の手順では、オンデマンドバックアップを実行せずにバックアッププロファイルを作成する方法について説明します。

手順

ステップ 1

[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] を選択し、[バックアッププロファイル(Backup Profiles)] をクリックします。

ステップ 2

[プロファイルの作成(Create Profile)] をクリックし、[名前(Name)] に名前を入力します。

ステップ 3

バックアップするものを選択します。

  • バックアップ構成

  • イベントのバックアップ

  • Threat Intelligence Director のバックアップ

マルチドメイン展開では、設定をバックアップする必要があります。イベントまたは TID データのみをバックアップすることはできません。これらの各選択肢のバックアップ対象および対象外の詳細については、バックアップと復元についてを参照してください。

ステップ 4

バックアップファイルの保存場所に注意してください。

これは、ローカルストレージ(/var/sf/backup/)またはリモート ネットワーク ボリュームのいずれかにすることができます。ISA 3000 では、SD カードが取り付けられている場合、バックアップのコピーも SD カード(/mnt/disk3/backup)に作成されます。詳細については、「バックアップとリモートストレージの管理」を参照してください。

ステップ 5

(任意)[完了時にコピー(Copy when complete)] を有効にして、完了した FMC バックアップをリモートサーバーにコピーします。

ホスト名または IP アドレス、リモートディレクトリへのパス、およびユーザー名とパスワードを入力します。パスワードの代わりに SSH 公開キーを使用するには、[SSH 公開キー(SSH Public Key)] フィールドの内容を、リモートサーバー上の指定ユーザーの authorized_keys ファイルにコピーします。
(注)   

このオプションは、バックアップをローカルに保存し、リモートの場所にも SCP で保存する場合に便利です。SSHFS リモートストレージを設定した場合は、[完了時にコピー(Copy when complete)] を使用してバックアップファイルを同じディレクトリにコピーしないでください
ステップ 6

(任意)[電子メール(Email)] を有効にして、バックアップの完了時に通知する電子メールアドレスを入力します。

電子メール通知を受信するには、メールサーバーに接続するように FMC を設定する必要があります(メール リレー ホストおよび通知アドレスの設定)。

ステップ 7

[保存(Save)] をクリックします。

FMC および管理対象デバイスの復元

FMC の場合は、Web インターフェイスを使用してバックアップから復元します。 FTD デバイスの場合は、FTD CLI を使用する必要があります。FMC を使用してデバイスを復元することはできません。

ここでは、FMC と管理対象デバイスを復元する方法について説明します

バックアップからの FMC の復元

FMC のバックアップを復元する場合、バックアップファイルに含まれるコンポーネント(イベント、設定、TID データ)の一部またはすべての復元を選択できます。


(注)  

設定を復元すると、ごくわずかの例外を除いて、すべての設定が上書きされます。また、FMC が再起動されます。イベントおよび TID データを復元すると、侵入イベントを除くすべての既存のイベントおよび TID データが上書きされます。準備が整っていることを確認してください。

バックアップから FMC を復元するには、次の手順を実行します。FMC の HA 展開でのバックアップと復元の詳細については、ハイアベイラビリティペアでの FMC の交換を参照してください。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

手順

ステップ 1

復元する FMC にログインします。
ステップ 2

[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] を選択します。

[バックアップ管理(Backup Management)] ページには、ローカルとリモートで保存されたすべてのバックアップファイルが一覧表示されます。バックアップファイルをクリックすると、そのコンテンツが表示されます。

バックアップファイルが一覧になく、ローカルコンピュータに保存している場合は、[バックアップのアップロード(Upload Backup)] をクリックします。バックアップとリモートストレージの管理を参照してください。

ステップ 3

復元するバックアップファイルを選択し、[復元(Restore)] をクリックします。

ステップ 4

利用可能コンポーネントから復元するコンポーネントを選択し、もう一度 [復元(Restore)] をクリックして開始します。

ステップ 5

デバイスが再起動するまで、Message Center で進行状況をモニターします。

設定を復元する場合は、FMC の再起動後に再度ログインできます。

次のタスク

  • 必要に応じて、復元前に元に戻したライセンス設定を再指定します。ライセンスの競合や孤立した権限付与に気付いた場合は、Cisco TAC にお問い合わせください。

  • 必要に応じて、リモートストレージと監査ログサーバー証明書の設定を再指定します。これらの設定は、バックアップには含まれていません。

  • (オプション)SRU と VDB を更新します。シスコ サポートおよびダウンロード サイトで利用可能な SRU や VDB が現在実行中のバージョンより新しい場合は、新しいバージョンをインストールすることをお勧めします。

  • 設定変更を展開します。設定変更の展開を参照してください。

バックアップからの FTD の復元:Firepower 1000/2100、ASA-5500-X、ISA 3000

FTD のバックアップと復元は、RMA を対象としています。設定を復元すると、管理 IP アドレスを含む、デバイス上のすべての設定が上書きされます。また、デバイスが再起動されます。

ハードウェア障害が発生した場合のために、この手順で、スタンドアロンまたは HA ペアの Firepower 1000/2100、ASA-5500-X、または ISA 3000 FTD デバイスを交換する方法の概要を示します。交換するデバイスの正常なバックアップにアクセスできることを前提としています。FMC からのデバイスのバックアップを参照してください。SD カードを使用した ISA 3000 でのゼロタッチ復元については、バックアップからのゼロタッチ復元 FTD:ISA 3000を参照してください。

FTD HA 環境では、この手順を使用して、いずれかまたは両方のピアを交換することができます。両方を交換するには、CLI コマンドの restore 自体を除き、両方のデバイスですべての手順を同時に実行します。正常なバックアップがなくても FTD HA デバイスを交換できることに注意してください。FTD ハイアベイラビリティペアでのユニット交換を参照してください。


(注)  

ネットワークからデバイスを切断する場合でも、FMC の登録を解除しないでください。FTD HA 環境では、HA を一時停止または解除しないでください。これらのリンクを維持することで、交換用デバイスを、復元後に自動的に再接続できます。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

手順

ステップ 1

交換用ハードウェアについては、Cisco TAC にお問い合わせください。

同じ数のネットワークモジュールと同じタイプおよび数の物理インターフェイスを備えた同じモデルを入手してください。シスコ返品ポータル から RMA プロセスを開始できます。
ステップ 2

障害のあるデバイスの正常なバックアップを見つけます。

バックアップ設定に応じて、デバイスのバックアップは次の場所に保存されています。

  • 障害のあるデバイス自体の /var/sf/backup

  • FMC の /var/sf/remote-backup

  • リモートの保存場所。

FTD HA 環境では、ペアを 1 つのユニットとしてバックアップしますが、バックアッププロセスによって一意のバックアップファイルが生成されます。デバイスの役割は、バックアップファイル名に示されます。

バックアップの唯一のコピーが、障害のあるデバイス上にある場合は、ここで別の場所にコピーします。デバイスを再イメージ化すると、バックアップが消去されます。他に問題が発生した場合、バックアップを回復できなくなる可能性があります。詳細については、「バックアップとリモートストレージの管理」を参照してください。

交換用デバイスにはバックアップが必要ですが、復元プロセス中に SCP によってバックアップを取得できます。交換用デバイスに SCP でアクセス可能な場所にバックアップを配置しておくことをお勧めします。または、バックアップを交換用デバイス自体にコピーすることができます。
ステップ 3

障害のあるデバイスを取り外します(ラックから取り外します)。

すべてのインターフェイスの接続を切断します。FTD HA 環境では、これにフェールオーバーリンクが含まれます。

ご使用のモデル用のハードウェア設置ガイドとスタートアップガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

(注)   

ネットワークからデバイスを切断する場合でも、FMC の登録を解除しないでください。FTD HA 環境では、HA を一時停止または解除しないでください。これらのリンクを維持することで、交換用デバイスを、復元後に自動的に再接続できます。

ステップ 4

交換用デバイスを取り付け、管理ネットワークに接続します。

デバイスを電源に接続し、管理インターフェイスを管理ネットワークに接続します。FTD HA 環境では、フェールオーバーリンクを接続します。ただし、データインターフェイスは接続しないでください。

ご使用のモデル用のハードウェア設置ガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides
ステップ 5

(任意)交換用の デバイスを再イメージ化します。

RMA シナリオでは、交換用デバイスは、工場出荷時のデフォルト設定で納品されます。交換用デバイスが障害のあるデバイスと同じメジャーバージョンを実行していない場合は、再イメージ化することをお勧めします。

Cisco ASA and Firepower Threat Defense Reimage Guideを参照してください。

ステップ 6

交換用デバイスで初期設定を行います。

FTD CLI に admin ユーザーとしてアクセスします。コンソールを使用するか、工場出荷時のデフォルトの管理インターフェイス IP アドレス(192.168.45.45)に SSH で接続することができます。セットアップウィザードでは、管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定を指定するように求められます。

障害のあるデバイスと同じ管理 IP アドレスを設定しないでください。それにより、パッチを適用するためにデバイスを登録する必要がある場合に問題が発生する可能性があります。復元プロセスにより、管理 IP アドレスが正しくリセットされます。

ご使用のモデル用のスタートアップガイドで、初期設定に関するトピックを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

(注)   

交換用デバイスにパッチを適用する必要がある場合は、スタートアップガイドの説明に従って FMC 登録プロセスを開始します。パッチを適用する必要がない場合は、登録しないでください。

ステップ 7

交換用デバイスが、障害のあるデバイスと同じ Firepower ソフトウェアバージョン(パッチを含めて)を実行していることを確認します。

既存のデバイスが FMC から削除されていないことを確認します。交換用デバイスは物理ネットワークから管理対象外である必要があり、新しいハードウェアと交換する FTD パッチは同じバージョンである必要があります。FTD CLI には、アップグレードコマンドはありません。パッチを適用するには、次の手順を実行します。

  1. FMC Web インターフェイスから、デバイス登録プロセスを完了します:FMC へのデバイスの追加

    新しい AC ポリシーを作成し、デフォルトアクション「Network Discovery」を使用します。このポリシーはそのままにします。機能や変更を追加しないでください。これは、デバイスを登録して、機能が含まれないポリシーを展開するために使用されています。これにより、ライセンスを要求されなくなり、その後、デバイスにパッチを適用できます。バックアップが復元されると、ライセンスとポリシーが予想どおりの状態に復元されます。

  2. デバイスにパッチを適用します:Cisco Firepower Management Center Upgrade Guide

  3. FMC から、パッチを適用したばかりのデバイスの登録を解除します:FMC からのデバイスの削除

    登録を解除しないと、復元プロセスによって「古い」デバイスが再起動した後に、ゴーストデバイスが FMC に登録されます。

ステップ 8

交換用デバイスがバックアップファイルにアクセスできることを確認します。

復元プロセスでは SCP によってバックアップを取得できるため、バックアップをアクセス可能な場所に配置することをお勧めします。または、交換用デバイス自体(/var/sf/backup)にバックアップを手動でコピーすることもできます。

ステップ 9

FTD CLI から、バックアップを復元します。

FTD CLI に admin ユーザーとしてアクセスします。コンソールを使用するか、新しく設定された管理インターフェイス(IP アドレスまたはホスト名)に SSH で接続することができます。復元プロセスによってこの IP アドレスが変更されることに注意してください。

復元するには、次の手順を実行します。

  • SCP を使用:restore remote-manager-backup location scp-hostname username filepath backup tar-file

  • ローカルデバイスから:restore remote-manager-backup backup tar-file

FTD HA 環境では、必ず、適切なバックアップファイル(プライマリまたはセカンダリ)を選択してください。役割は、バックアップファイル名に示されます。HA ペアの両方のデバイスを復元する場合は、これを順番に実行します。再起動を含め、最初のデバイスの復元プロセスが完了するまで、2 つ目のデバイスで restore コマンドを実行しないでください。

ステップ 10

FMC にログインし、交換用デバイスが接続されるまで待ちます。

復元が完了すると、デバイスは、ユーザーを CLI からログアウトさせ、再起動して、自動的に FMC に接続します。この時点では、デバイスが期限切れと表示されます。
ステップ 11

展開する前に、復元後のタスクを実行し、復元後の問題を解決します。

  • ライセンスの競合や孤立した権限付与を解決します。Cisco TAC にお問い合わせください。

  • HA 同期を再開します。FTD CLI から、configure high-availability resume と入力します。ハイ アベイラビリティの中断と再開 を参照してください。

  • すべての VPN 証明書を再追加/再登録します。復元プロセスでは、VPN 証明書(バックアップの実行後に追加された証明書を含む)が FTD デバイスから削除されます。FTD 証明書の管理 を参照してください。

ステップ 12

設定を展開します。

この展開は必須です。復元されたデバイスが期限切れとしてマークされていない場合は、[デバイス管理(Device Management)] ページから強制的に展開します:デバイスへの既存の設定の再展開
ステップ 13

デバイスのデータインターフェイスを接続します。

ご使用のモデル用のハードウェア設置ガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

次のタスク

復元が成功し、交換用デバイスが予期どおりにトラフィックを通過させていることを確認します。

バックアップからの FTD の復元:Firepower 4100/9300 シャーシ

FTD のバックアップと復元は、RMA を対象としています。設定を復元すると、管理 IP アドレスを含む、デバイス上のすべての設定が上書きされます。また、デバイスが再起動されます。

次の手順は、ハードウェア障害が発生した場合に Firepower 4100/9300 シャーシ を交換する方法の概要を示しています。次の正常なバックアップにアクセスできることを前提としています:


(注)  

ネットワークからデバイスを切断する場合でも、FMC の登録を解除しないでください。登録を維持することで、交換後のデバイスを、復元後に自動的に再接続できます。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

手順

ステップ 1

交換用ハードウェアについては、Cisco TAC にお問い合わせください。

同じ数のネットワークモジュールと同じタイプおよび数の物理インターフェイスを備えた同じモデルを入手してください。シスコ返品ポータル から RMA プロセスを開始できます。
ステップ 2

障害のあるデバイスの正常なバックアップを見つけます。

バックアップ設定に応じて、デバイスのバックアップは次の場所に保存されています。

  • 障害のあるデバイス自体の /var/sf/backup

  • FMC の /var/sf/remote-backup

  • リモートの保存場所。

バックアップの唯一のコピーが、障害のあるデバイス上にある場合は、ここで別の場所にコピーします。デバイスを再イメージ化すると、バックアップが消去されます。他に問題が発生した場合、バックアップを回復できなくなる可能性があります。詳細については、「バックアップとリモートストレージの管理」を参照してください。

交換用デバイスにはバックアップが必要ですが、復元プロセス中に SCP によってバックアップを取得できます。交換用デバイスに SCP でアクセス可能な場所にバックアップを配置しておくことをお勧めします。または、バックアップを交換用デバイス自体にコピーすることができます。
ステップ 3

FXOS 設定の正常なバックアップを見つけます。
ステップ 4

障害のあるデバイスを取り外します(ラックから取り外します)。

すべてのインターフェイスの接続を切断します。

ご使用のモデル用のハードウェア設置ガイドとスタートアップガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

(注)   

ネットワークからデバイスを切断する場合でも、FMC の登録を解除しないでください。登録を維持することで、交換後のデバイスを、復元後に自動的に再接続できます。

ステップ 5

交換用デバイスを取り付け、管理ネットワークに接続します。

デバイスを電源に接続し、管理インターフェイスを管理ネットワークに接続します。ただし、データインターフェイスは接続しないでください。

ご使用のモデル用のハードウェア設置ガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides
ステップ 6

(任意)交換用の デバイスを再イメージ化します。

RMA シナリオでは、交換用デバイスは、工場出荷時のデフォルト設定で納品されます。交換用デバイスが障害のあるデバイスと同じメジャーバージョンを実行していない場合は、再イメージ化することをお勧めします。

該当するバージョンの Cisco Firepower 4100/9300 FXOS Firepower Chassis Manager のコンフィギュレーションガイドに記載されている工場出荷時のデフォルト設定の復元に関する説明を参照してください。

ステップ 7

FXOS が互換性のあるバージョンを実行していることを確認します。

論理デバイスを再追加する前に、互換性のある FXOS バージョンを実行している必要があります。Firepower Chassis Manager を使用して、バックアップされた FXOS 設定をインポートすることができます:コンフィギュレーション ファイルのインポート
ステップ 8

Firepower Chassis Manager を使用して、論理デバイスを追加し、初期設定を行います。

障害のあるシャーシ上の 1 つまたは複数の論理デバイスと同じ管理 IP アドレスを設定しないでください。それにより、パッチを適用するために論理デバイスを登録する必要がある場合に問題が発生する可能性があります。復元プロセスにより、管理 IP アドレスが正しくリセットされます。

ご使用のモデル用のスタートアップガイドで、FMC の展開に関する章を参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

(注)   

論理デバイスにパッチを適用する必要がある場合は、スタートアップガイドの説明に従って FMC に登録します。パッチを適用する必要がない場合は、登録しないでください。

ステップ 9

交換用デバイスが、障害のあるデバイスと同じ Firepower ソフトウェアバージョン(パッチを含めて)を実行していることを確認します。

既存のデバイスが FMC から削除されていないことを確認します。交換用デバイスは物理ネットワークから管理対象外である必要があり、新しいハードウェアと交換する FTD パッチは同じバージョンである必要があります。FTD CLI には、アップグレードコマンドはありません。パッチを適用するには、次の手順を実行します。

  1. FMC Web インターフェイスから、デバイス登録プロセスを完了します:FMC へのデバイスの追加

    新しい AC ポリシーを作成し、デフォルトアクション「Network Discovery」を使用します。このポリシーはそのままにします。機能や変更を追加しないでください。これは、デバイスを登録して、機能が含まれないポリシーを展開するために使用されています。これにより、ライセンスを要求されなくなり、その後、デバイスにパッチを適用できます。バックアップが復元されると、ライセンスとポリシーが予想どおりの状態に復元されます。

  2. デバイスにパッチを適用します:Cisco Firepower Management Center Upgrade Guide

  3. FMC から、パッチを適用したばかりのデバイスの登録を解除します:FMC からのデバイスの削除

    登録を解除しないと、復元プロセスによって「古い」デバイスが再起動した後に、ゴーストデバイスが FMC に登録されます。

ステップ 10

交換用デバイスがバックアップファイルにアクセスできることを確認します。

復元プロセスでは SCP によってバックアップを取得できるため、バックアップをアクセス可能な場所に配置することをお勧めします。または、交換用デバイス自体(/var/sf/backup)にバックアップを手動でコピーすることもできます。

ステップ 11

FTD CLI から、バックアップを復元します。

FTD CLI に admin ユーザーとしてアクセスします。コンソールを使用するか、新しく設定された管理インターフェイス(IP アドレスまたはホスト名)に SSH で接続することができます。復元プロセスによってこの IP アドレスが変更されることに注意してください。

復元するには、次の手順を実行します。

  • SCP を使用:restore remote-manager-backup location scp-hostname username filepath backup tar-file

  • ローカルデバイスから:restore remote-manager-backup backup tar-file

ステップ 12

FMC にログインし、交換用デバイスが接続されるまで待ちます。

復元が完了すると、デバイスは、ユーザーを CLI からログアウトさせ、再起動して、自動的に FMC に接続します。この時点では、デバイスが期限切れと表示されます。
ステップ 13

展開する前に、復元後のタスクを実行し、復元後の問題を解決します。

  • ライセンスの競合や孤立した権限付与を解決します。Cisco TAC にお問い合わせください。

  • すべての VPN 証明書を再追加/再登録します。復元プロセスでは、VPN 証明書(バックアップの実行後に追加された証明書を含む)が FTD デバイスから削除されます。FTD 証明書の管理 を参照してください。

ステップ 14

設定を展開します。

この展開は必須です。復元されたデバイスが期限切れとしてマークされていない場合は、[デバイス管理(Device Management)] ページから強制的に展開します:デバイスへの既存の設定の再展開
ステップ 15

デバイスのデータインターフェイスを接続します。

ご使用のモデル用のハードウェア設置ガイドを参照してください:Cisco Firepower NGFW: Install and Upgrade Guides

次のタスク

復元が成功し、交換用デバイスが予期どおりにトラフィックを通過させていることを確認します。

コンフィギュレーション ファイルのインポート

設定のインポート機能を使用して、Firepower 4100/9300 シャーシからエクスポートした構成設定を適用できます。この機能を使用して、既知の良好な構成に戻したり、システム障害を解決したりできます。


(注)  

この手順では、ソフトウェアを復元する前に、Firepower Chassis Manager を使用して FXOS の設定をインポートする方法について説明します。CLI の手順については、該当するバージョンの『 Cisco Firepower 4100/9300 FXOS CLI Configuration Guide 』を参照してください。

始める前に

ガイドラインと制限事項」を確認してください。

手順
ステップ 1

で、Firepower Chassis Manager[システム(System)] > [ツール(Tools)] > [インポート/エクスポート(Import/Export)] を選択します。

ステップ 2

ローカルのコンフィギュレーション ファイルからインポートする場合は、次の操作を行います。

  1. [ローカル(Local)] をクリックします。

  2. [ファイルの選択(Choose File)] をクリックし、インポートするコンフィギュレーション ファイルを選択します。

  3. [インポート(Import)] をクリックします。

    操作の続行を確認するダイアログボックスが開き、シャーシの再起動についての警告が表示されます。

  4. [はい(Yes)] をクリックして、指定したコンフィギュレーション ファイルをインポートします。

    既存の設定が削除され、インポートしたファイルの設定が Firepower 4100/9300 シャーシに適用されます。インポート中にブレークアウト ポートの設定が変更された場合は、Firepower 4100/9300 シャーシの再起動が必要になります。
ステップ 3

リモート サーバからコンフィギュレーション ファイルをインポートする場合は、次の操作を行います。

  1. [リモート(Remote)] をクリックします。

  2. リモート サーバとの通信で使用するプロトコルを選択します。選択できるプロトコルは、FTP、TFTP、SCP、または SFTP のいずれかです。

  3. デフォルト以外のポートを使用する場合は、[ポート(Port)] フィールドにポート番号を入力します。

  4. バックアップ ファイルが格納されている場所のホスト名または IP アドレスを入力します。サーバ、ストレージ アレイ、ローカル ドライブ、または Firepower 4100/9300 シャーシがネットワーク経由でアクセス可能な任意の読み取り/書き込みメディアなどを指定できます。

    IP アドレスではなくホスト名を使用する場合は、DNS サーバを設定する必要があります。

  5. リモート サーバにログインするためのユーザ名を入力します。プロトコルが TFTP の場合、このフィールドは適用されません。

  6. リモート サーバのユーザ名のパスワードを入力します。プロトコルが TFTP の場合、このフィールドは適用されません。

  7. [ファイルパス(File Path)] フィールドに、コンフィギュレーション ファイルのフルパスをファイル名を含めて入力します。

  8. [インポート(Import)] をクリックします。

    操作の続行を確認するダイアログボックスが開き、シャーシの再起動についての警告が表示されます。

  9. [はい(Yes)] をクリックして、指定したコンフィギュレーション ファイルをインポートします。

    既存の設定が削除され、インポートしたファイルの設定が Firepower 4100/9300 シャーシに適用されます。インポート中にブレークアウト ポートの設定が変更された場合は、Firepower 4100/9300 シャーシの再起動が必要になります。

バックアップからの FTD の復元:FTDv

この手順を使用して、故障したまたは障害のある VMware 用 Firepower Threat Defense Virtual デバイスを交換します。


(注)  

ネットワークからデバイスを切断する場合でも、FMC の登録を解除しないでください。登録を維持することで、交換後のデバイスを、復元後に自動的に再接続できます。

始める前に

要件、ガイドライン、制限事項、およびベストプラクティスを確認し、理解する必要があります。 手順をスキップしたり、セキュリティ上の問題を無視しないでください。誤りを避けるには、注意深い計画と準備が役立ちます。

手順

ステップ 1

障害のあるデバイスの正常なバックアップを見つけます。

バックアップ設定に応じて、デバイスのバックアップは次の場所に保存されています。

  • 障害のあるデバイス自体の /var/sf/backup

  • FMC の /var/sf/remote-backup

  • リモートの保存場所。

バックアップの唯一のコピーが、障害のあるデバイス上にある場合は、ここで別の場所にコピーします。デバイスを再イメージ化すると、バックアップが消去されます。他に問題が発生した場合、バックアップを回復できなくなる可能性があります。詳細については、「バックアップとリモートストレージの管理」を参照してください。

交換用デバイスにはバックアップが必要ですが、復元プロセス中に SCP によってバックアップを取得できます。交換用デバイスに SCP でアクセス可能な場所にバックアップを配置しておくことをお勧めします。または、バックアップを交換用デバイス自体にコピーすることができます。
ステップ 2

障害のあるデバイスを取り外します。

仮想マシンをシャットダウンして電源を切り、削除します。手順については、ご使用の仮想環境のマニュアルを参照してください。
ステップ 3

交換用デバイスを展開します。

Cisco Firepower Threat Defense Virtual for VMware Getting Started Guideを参照してください。

ステップ 4

交換用デバイスで初期設定を行います。

VMware コンソールを使用して、FTD CLI に admin ユーザーとしてアクセスします。セットアップウィザードでは、管理 IP アドレス、ゲートウェイ、およびその他の基本ネットワーク設定を指定するように求められます。

障害のあるデバイスと同じ管理 IP アドレスを設定しないでください。それにより、パッチを適用するためにデバイスを登録する必要がある場合に問題が発生する可能性があります。復元プロセスにより、管理 IP アドレスが正しくリセットされます。

スタートアップガイドで、CLI のセットアップに関するトピックを参照してください:Cisco Firepower Threat Defense Virtual for VMware Getting Started Guide

(注)   

交換用デバイスにパッチを適用する必要がある場合は、スタートアップガイドの説明に従って FMC 登録プロセスを開始します。パッチを適用する必要がない場合は、登録しないでください。

ステップ 5

交換用デバイスが、障害のあるデバイスと同じ Firepower ソフトウェアバージョン(パッチを含めて)を実行していることを確認します。

既存のデバイスが FMC から削除されていないことを確認します。交換用デバイスは物理ネットワークから管理対象外である必要があり、新しいハードウェアと交換する FTD パッチは同じバージョンである必要があります。FTD CLI には、アップグレードコマンドはありません。パッチを適用するには、次の手順を実行します。

  1. FMC Web インターフェイスから、デバイス登録プロセスを完了します:FMC へのデバイスの追加

    新しい AC ポリシーを作成し、デフォルトアクション「Network Discovery」を使用します。このポリシーはそのままにします。機能や変更を追加しないでください。これは、デバイスを登録して、機能が含まれないポリシーを展開するために使用されています。これにより、ライセンスを要求されなくなり、その後、デバイスにパッチを適用できます。バックアップが復元されると、ライセンスとポリシーが予想どおりの状態に復元されます。

  2. デバイスにパッチを適用します:Cisco Firepower Management Center Upgrade Guide

  3. FMC から、パッチを適用したばかりのデバイスの登録を解除します:FMC からのデバイスの削除

    登録を解除しないと、復元プロセスによって「古い」デバイスが再起動した後に、ゴーストデバイスが FMC に登録されます。

ステップ 6

交換用デバイスがバックアップファイルにアクセスできることを確認します。

復元プロセスでは SCP によってバックアップを取得できるため、バックアップをアクセス可能な場所に配置することをお勧めします。または、交換用デバイス自体(/var/sf/backup)にバックアップを手動でコピーすることもできます。

ステップ 7

FTD CLI から、バックアップを復元します。

FTD CLI に admin ユーザーとしてアクセスします。コンソールを使用するか、新しく設定された管理インターフェイス(IP アドレスまたはホスト名)に SSH で接続することができます。復元プロセスによってこの IP アドレスが変更されることに注意してください。

復元するには、次の手順を実行します。

  • SCP を使用:restore remote-manager-backup location scp-hostname username filepath backup tar-file

  • ローカルデバイスから:restore remote-manager-backup backup tar-file

ステップ 8

FMC にログインし、交換用デバイスが接続されるまで待ちます。

復元が完了すると、デバイスは、ユーザーを CLI からログアウトさせ、再起動して、自動的に FMC に接続します。この時点では、デバイスが期限切れと表示されます。
ステップ 9

展開する前に、復元後のタスクを実行し、復元後の問題を解決します。

  • ライセンスの競合や孤立した権限付与を解決します。Cisco TAC にお問い合わせください。

  • すべての VPN 証明書を再追加/再登録します。復元プロセスでは、VPN 証明書(バックアップの実行後に追加された証明書を含む)が FTD デバイスから削除されます。FTD 証明書の管理 を参照してください。

ステップ 10

設定を展開します。

この展開は必須です。復元されたデバイスが期限切れとしてマークされていない場合は、[デバイス管理(Device Management)] ページから強制的に展開します:デバイスへの既存の設定の再展開
ステップ 11

データインターフェイスを追加して設定します。

Cisco Firepower Threat Defense Virtual for VMware Getting Started Guideとご使用の仮想環境のマニュアルを参照してください。

次のタスク

復元が成功し、交換用デバイスが予期どおりにトラフィックを通過させていることを確認します。

バックアップとリモートストレージの管理

バックアップは、暗号化されていないアーカイブ(.tar)ファイルとして保存されます。ファイル名には、次のような識別情報が含まれる場合があります。

  • バックアップに関連付けられているバックアッププロファイルまたはスケジュールタスクの名前。

  • バックアップされたアプライアンスの表示名または IP アドレス。

  • アプライアンスのロール(HA ペアのメンバーなど)。

アプライアンスを安全なリモートロケーションにバックアップし、転送が成功することを確認することをお勧めします。アプライアンスに残っているバックアップは、手動またはアップグレードプロセスによって削除できます。アップグレードすると、ローカルに保存されたバックアップは削除されます。オプションの詳細については、バックアップ保存場所を参照してください。


注意    

特に、バックアップファイルは暗号化されていないため、不正アクセスを許可しないでください。バックアップ ファイルが変更されていると、復元プロセスは失敗します。Admin/Maint ロールを持つユーザーは [バックアップ管理(Backup Management)]ページにアクセスでき、そこでリモートストレージからファイルを移動および削除できることに注意してください。

次の手順では、バックアップファイルを管理する方法について説明します。

手順

ステップ 1

[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] を選択します。

[バックアップ管理(Backup Management)]ページには、使用可能なバックアップが一覧表示されます。また、バックアップの保存に使用できるディスク容量も一覧表示されます。十分な容量がない場合、バックアップが失敗する可能性があります。

ステップ 2

次のいずれかを実行します。

表 1. リモートストレージとバックアップファイルの管理
目的 操作手順

FMC のシステム設定を編集せずに、バックアップのリモートストレージを有効または無効にします。

[バックアップのリモートストレージを有効にする(Enable Remote Storage for Backups)] をクリックします。

このオプションは、リモートストレージを設定した後にのみ表示されます。ここで切り替えると、システム設定([システム(System)] > [設定(Configuration)] > [リモートストレージデバイス(Remote Storage Device)])でも切り替わります。

ヒント 
リモートストレージ設定にすばやくアクセスするには、[バックアップ管理(Backup Management)] ページの右上にある [リモートストレージ(Remote Storage)] をクリックします。
(注)   

バックアップをリモート ストレージ ロケーションに保存するには、[Management Centerに取得(Retrieve to Management Center)] オプションを有効にする必要があります(FMC からのデバイスのバックアップ を参照)。

FMC とリモートの保存場所の間でファイルを移動します。

[移動(Move)] をクリックします。

ファイルは必要に応じて何度でも移動したり戻すことができます。これにより、現在の場所では、ファイルがコピーされずに削除されます。

バックアップファイルをリモートストレージから FMC に移動する場合、FMC での保存場所は、バックアップの種類によって異なります。

  • FMC のバックアップ:/var/sf/backup

  • デバイスのバックアップ:/var/sf/remote-backup

バックアップの内容を表示します。

バックアップファイルをクリックします。

バックアップファイルを削除します。

バックアップファイルを選択し、[削除(Delete)] をクリックします。

ローカル保存とリモート保存のどちらのバックアップファイルも削除できます。

ご使用のコンピュータからバックアップファイルをアップロードします。

[バックアップのアップロード(Upload Backup)] をクリックし、バックアップファイルを選択して、もう一度 [バックアップのアップロード(Upload Backup)] をクリックします。

ご使用のコンピュータにバックアップをダウンロードします。

バックアップファイルを選択し、[ダウンロードして(Download)] をクリックします。

バックアップファイルの移動とは異なり、バックアップは FMC から削除されません。

バックアップ保存場所

次の表に、FMC および管理対象デバイスのバックアップ ストレージ オプションを示します。

表 2. バックアップ保存場所
参照先 詳細

リモート。ネットワークボリューム(NFS、SMB、SSHFS)をマウントします。
(注)   

リモートストレージを構成し、[Management Centerに取得(Retrieve to Management Center)] オプションを有効にした場合にのみ、バックアップはリモート ストレージ ロケーションに保存されます(FMC からのデバイスのバックアップ を参照)。

FMC のシステム設定では、NFS、SMB、または SSHFS ネットワークボリュームを FMC およびデバイスバックアップのリモートストレージとしてマウントできます。リモート ストレージ管理を参照してください。)

これを実行すると、その後のすべての FMC バックアップと FMC が開始するデバイスバックアップがそのボリュームにコピーされますが、引き続き FMC を使用してそれらを管理(復元、ダウンロード、アップロード、削除、移動)することができます。

FMC だけがネットワークボリュームをマウントすることに注意してください。管理対象デバイスのバックアップファイルは、FMC を介してルーティングされます。FMC とそのデバイスの間に大容量のデータを転送するための帯域幅があることを確認します。詳細については、『Guidelines for Downloading Data from the Firepower Management Center to Managed Devices』(トラブルシューティング テクニカルノーツ)を参照してください。

リモート。コピー(SCP)します。
(注)   

リモートストレージを構成し、[Management Centerに取得(Retrieve to Management Center)] オプションを有効にした場合にのみ、バックアップはリモート ストレージ ロケーションに保存されます(FMC からのデバイスのバックアップ を参照)。

FMC の場合は、[完了時にコピー(Copy when complete)] オプションを使用して、完了したバックアップをリモートサーバーに安全にコピー(SCP)できます。

ネットワークボリュームをマウントすることによるリモートストレージとは異なり、[完了時にコピー(Copy when complete)] では NFS または SMB ボリュームにコピーすることはできません。CLI オプションを指定したり、ディスク容量のしきい値を設定することもできません。また、レポートのリモートストレージに影響を与えることはありません。さらに、コピーされたバックアップファイルを管理できません。

このオプションは、バックアップをローカルに保存するとともに、リモートの場所への SCP を実行する場合に便利です。

(注)   

FMC のシステム設定で SSHFS リモートストレージを設定する場合は、[完了時にコピー(Copy when complete)] を使用してバックアップファイルを同じディレクトリにコピーしないでください。

ローカル。FMC 上に保存します。

ネットワークボリュームをマウントすることによってリモートストレージを設定しない場合は、FMC にバックアップファイルを保存できます。

  • FMC のバックアップは /var/sf/backup に保存されます。

  • バックアップの実行時に [管理センターで取得する(Retrieve to Management Center)] オプションを有効にすると、デバイスのバックアップは FMC 上の /var/sf/remote-backup に保存されます。

ローカル(デバイスの内部フラッシュメモリ上)。

次の場合、デバイスのバックアップファイルはデバイス上の /var/sf/backup に保存されます。

  • ネットワークボリュームをマウントすることによってリモートストレージを設定しない。

  • [管理センターで取得する(Retrieve to Management Center)] を有効にしない。

バックアップと復元の履歴

機能

バージョン

詳細(Details)

自動的にスケジュールされたバックアップ

6.5

新規または再イメージ化された FMC の場合、セットアッププロセスにより、FMC の設定をバックアップしてローカルに保存する、週次のスケジュールされたタスクが作成されます。

管理対象デバイスのオンデマンドでのリモート バックアップ

6.3

FMC を使用して、特定の管理対象デバイスのリモート バックアップをオンデマンドで実行できるようになりました。

サポートされるプラットフォームについては、バックアップと復元の要件を参照してください。

新規/変更された画面:[システム(System)] > [ツール(Tools)] > [バックアップ/復元(Backup/Restore)] > [管理対象デバイスのバックアップ(Managed Device Backup)]

新規/変更された FTD CLI コマンド: restore