Firepower Threat Defense 用のクラスタリング
Firepower 4100/9300 シャーシのクラスタリングについて
クラスタリングのライセンス
クラスタリングの要件と前提条件
クラスタリングガイドラインと制限事項
クラスタリングの設定
FXOS：クラスタユニットの削除
FMC：クラスタメンバーの管理
FMC：クラスタのモニタリング
クラスタリングの例
クラスタリングの参考資料
クラスタリングの履歴

Firepower Threat Defense 用のクラスタリング

クラスタリングを利用すると、複数の FTD ユニットを 1 つの論理デバイスにグループ化できます。クラスタリングは、Firepower 9300 および Firepower 4100 シリーズ上の FTD デバイスでのみサポートされます。クラスタは、単一デバイスのすべての利便性（管理、ネットワークへの統合）を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

（注）

クラスタリングを使用する場合、一部の機能はサポートされません。クラスタリングでサポートされない機能を参照してください。

Firepower 4100/9300 シャーシのクラスタリングについて

Firepower 4100/9300 シャーシにクラスタを展開すると、以下の処理が実行されます。

ユニット間通信用のクラスタ制御リンク（デフォルトのポートチャネル 48）を作成します。

シャーシ内クラスタリングでは（Firepower 9300のみ）、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。

シャーシ間クラスタリングでは、シャーシ間通信用にこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。
アプリケーション内のクラスタブートストラップコンフィギュレーションを作成します。

クラスタを展開すると、クラスタ名、クラスタ制御リンクインターフェイス、およびその他のクラスタ設定を含む最小限のブートストラップコンフィギュレーションがシャーシスーパバイザから各ユニットに対してプッシュされます。

スパンド インターフェイスとして、クラスタにデータインターフェイスを割り当てます。

シャーシ内クラスタリングでは、スパンドインターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンドモードではあらゆるタイプのデータインターフェイスが機能します。シャーシ間クラスタリングでは、すべてのデータインターフェイスでスパンド EtherChannel を使用します。

（注）

管理インターフェイス以外の個々のインターフェイスはサポートされていません。

管理インターフェイスをクラスタ内のすべてのユニットに指定します。

ブートストラップコンフィギュレーション

クラスタを展開すると、クラスタ名、クラスタ制御リンクインターフェイス、およびその他のクラスタ設定を含む最小限のブートストラップコンフィギュレーションが Firepower 9300 シャーシスーパバイザから各ユニットに対してプッシュされます。

クラスタメンバー

クラスタメンバーは連携して動作し、セキュリティポリシーおよびトラフィックフローの共有を達成します。

クラスタ内のメンバーの 1 つが制御ユニットになります。制御ユニットは自動的に決定されます。他のすべてのメンバーはデータユニットになります。

すべてのコンフィギュレーション作業は制御ユニット上でのみ実行する必要があります。コンフィギュレーションはその後、データユニットに複製されます。

機能によっては、クラスタ内でスケーリングしないものがあり、そのような機能については制御ユニットがすべてのトラフィックを処理します。クラスタリングの中央集中型機能を参照してください。

クラスタ制御リンク

クラスタ制御リンクは、ポートチャネル 48 インターフェイスを使用して自動的に作成されます。

シャーシ間クラスタリングでは、このインターフェイスにメンバーインターフェイスはありません。このクラスタタイプの EtherChannel は、シャーシ内クラスタリング用のクラスタ通信に Firepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、EtherChannel に 1 つ以上のインターフェイスを追加する必要があります。

2 メンバシャーシ間クラスタの場合、シャーシと別のシャーシとの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。

クラスタ制御リンクトラフィックには、制御とデータの両方のトラフィックが含まれます。

シャーシ間クラスタリングのクラスタ制御リンクのサイズ

可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。

クラスタ制御リンクトラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロードバランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。

NAT では接続のロードバランシングが低下するので、すべてのリターントラフィックを正しいユニットに再分散する必要があります。
メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。

クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。

（注）

クラスタに大量の非対称（再分散された）トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。

シャーシ間クラスタリングのクラスタ制御リンク冗長性

次の図は、仮想スイッチングシステム（VSS）または仮想ポートチャネル（vPC）環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内のファイアウォールインターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチインターフェイスは同じ EtherChannel ポートチャネルインターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイスローカルであることに注意してください。

シャーシ間クラスタリングのクラスタ制御リンクの信頼性

クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間（RTT）が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタメンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。

クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。

クラスタ制御リンクネットワーク

Firepower 4100/9300 シャーシは、シャーシ ID とスロット ID（127.2.chassis_id.slot_id）に基づいて、各ユニットのクラスタ制御リンクインターフェイスの IP アドレスを自動生成します。クラスタ制御リンクネットワークでは、ユニット間にルータを含めることはできません。レイヤ 2 スイッチングだけが許可されています。

管理ネットワーク

すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。

管理インターフェイス

管理タイプのインターフェイスをクラスタに割り当てる必要があります。このインターフェイスはスパンドインターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各ユニットに直接接続できます。この管理論理インターフェイスはデバイスの他のインターフェイスから切り離されています。これは、Firepower Management Center にデバイスを設定し、登録するために使用されます。管理インターフェイスは、独自のローカル認証、IP アドレス、およびスタティックルーティングを使用します。クラスタの各メンバーは、管理ネットワーク上で、それぞれに異なる IP アドレスを使用します。これらの IP アドレスは、ブートストラップ構成の一部としてユーザーが設定します。

管理インターフェイスは、管理論理インターフェイスと診断論理インターフェイスの間で共有されます。診断論理インターフェイスはオプションであり、ブートストラップ構成の一部としては設定されません。診断インターフェイスは、他のデータインターフェイスと併せて設定できます。診断インターフェイスを設定する場合、メインクラスタ IP アドレスを、そのクラスタの固定アドレス（常に現在の制御ユニットに属するアドレス）として設定します。アドレス範囲も設定して、現在の制御ユニットを含む各ユニットがその範囲内のローカルアドレスを使用できるようにします。このメインクラスタ IP アドレスによって、診断アクセスのアドレスが一本化されます。制御ユニットが変更されると、メインクラスタ IP アドレスは新しい制御ユニットに移動するので、クラスタへのアクセスをシームレスに続行できます。TFTP や syslog などの発信管理トラフィックの場合、制御ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバーに接続します。

クラスタインターフェイス

シャーシ内クラスタリングでは、物理インターフェイスと EtherChannel（ポートチャネルとも呼ばれる）の両方を割り当てることができます。クラスタに割り当てられたインターフェイスはクラスタ内のすべてのメンバーのトラフィックのロードバランシングを行うスパンドインターフェイスです。

シャーシ間クラスタリングでは、データ EtherChannel のみをクラスタに割り当てできます。これらのスパンド EtherChannel は、各シャーシの同じメンバーインターフェイスを含みます。上流に位置するスイッチでは、これらのインターフェイスはすべて単一の EtherChannel に含まれ、スイッチは複数のデバイスに接続されていることを察知しません。

管理インターフェイス以外の個々のインターフェイスはサポートされていません。

スパンド EtherChannel

シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブインターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォールモードでも設定できます。ルーテッドモードでは、EtherChannel は単一の IP アドレスを持つルーテッドインターフェイスとして設定されます。トランスペアレントモードでは、IP アドレスはブリッジグループメンバのインターフェイスではなく BVI に割り当てられます。EtherChannel は初めから、ロードバランシング機能を基本的動作の一部として備えています。

VSS または vPC への接続

インターフェイスの冗長性を確保するため、EtherChannel を VSS または vPC に接続することを推奨します。

コンフィギュレーションの複製

クラスタ内のすべてのノードは、単一の設定を共有します。設定の変更は制御ノードでのみ可能（ブートストラップ設定は除く）で、変更はクラスタに含まれる他のすべてのノードに自動的に同期されます。

クラスタリングのライセンス

FTD はスマートライセンスを使用します。個別のユニットではなく、クラスタ全体にライセンスを割り当てます。ただし、クラスタの各ユニットは機能ごとに個別のライセンスを使用します。クラスタリング機能自体にライセンスは必要ありません。

クラスタメンバーを FMC に追加する際に、そのクラスタに使用する機能ライセンスを指定できます。クラスタのライセンスは、[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] > [ライセンス（License）] 領域で変更できます。

（注）

FMC にライセンスを取得する（および評価モードで実行する）前にクラスタを追加した場合、FMC にライセンスを取得する際にポリシーの変更をクラスタに展開するとトラフィックの中断が発生することがあります。ライセンスモードを変更したことによって、すべてのデータユニットがクラスタをいったん離れてから再参加することになります。

クラスタリングの要件と前提条件

クラスタモデルのサポート

FTD は、次のモデルでのクラスタリングをサポートしています。

Firepower 9300：。クラスタには最大 6 ユニットを含めることができます。たとえば、6 つのシャーシで 1 つのモジュールを使用したり、3 つのシャーシで 2 つのモジュールを使用したり、最大 6 つのモジュールを組み合わせたりできます。シャーシ内クラスタリングとシャーシ間クラスタリングをサポートします。
Firepower 4100 シリーズ：シャーシ間クラスタリングを使用して最大 6 ユニットをサポートします。

ユーザの役割

管理者
アクセス管理者
ネットワーク管理者

シャーシ間のクラスタリングハードウェアおよびソフトウェアの要件

クラスタ内のすべてのシャーシ：

Firepower 4100：すべてのシャーシが同じモデルである必要があります。Firepower 9300：すべてのセキュリティモジュールは同じタイプである必要があります。たとえば、クラスタリングを使用する場合は、Firepower 9300 のすべてのモジュールは SM-40 である必要があります。各シャーシに異なる数のセキュリティモジュールをインストールできますが、すべての空のスロットを含め、シャーシのすべてのモジュールをクラスタに含める必要があります。
イメージアップグレード時を除き、同じ FXOS ソフトウェアを実行する必要があります。
同じ管理インターフェイス、EtherChannel、アクティブインターフェイス、速度、デュプレックスなど、クラスタに割り当てるインターフェイスについても同じインターフェイスの設定を含める必要があります。同じインターフェイス ID の容量が一致し、同じスパンド EtherChannel にインターフェイスを正常にバンドルできれば、シャーシに異なるネットワークモジュールタイプを使用できます。シャーシ間クラスタリングでは、すべてのデータインターフェイスを EtherChannel とする必要があります。（インターフェイスモジュールの追加や削除、または EtherChannel の設定などにより）クラスタリングを有効にした後に FXOS でインターフェイスを変更した場合は、各シャーシで同じ変更を行います（データノードから始めて、制御ノードで終わります）。
同じ NTP サーバを使用する必要があります。FTD では、FMC も同じ NTP サーバーを使用する必要があります。時間を手動で設定しないでください。

シャーシ間クラスタリングのスイッチ要件

Firepower 4100/9300 シャーシのクラスタリングを設定する前に、スイッチの設定を完了し、シャーシからスイッチまですべての EtherChannel を良好に接続してください。
サポートされているスイッチの特性については、『Cisco FXOS Compatibility』を参照してください。

クラスタリングガイドラインと制限事項

シャーシ間クラスタリングのスイッチ

接続されているスイッチが、クラスタデータインターフェイスとクラスタ制御リンクインターフェイスの両方の MTU と一致していることを確認します。クラスタ制御リンクインターフェイスの MTU は、データインターフェイスの MTU より 100 バイト以上大きく設定する必要があります。そのため、スイッチを接続するクラスタ制御リンクを適切に設定してください。クラスタ制御リンクのトラフィックにはデータパケット転送が含まれるため、クラスタ制御リンクはデータパケット全体のサイズに加えてクラスタトラフィックのオーバーヘッドにも対応する必要があります。
Cisco IOS XR システムでデフォルト以外の MTU を設定する場合は、クラスタデバイスの MTU よりも 14 バイト大きい IOS インターフェイスの MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。クラスタデバイス MTU は、IOS IPv4 MTU と一致させる必要があります。この調整は、Cisco Catalyst および Cisco Nexus スイッチでは必要ありません。
クラスタ制御リンクインターフェイスのスイッチでは、クラスタユニットに接続されるスイッチポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。
スイッチでは、EtherChannel ロードバランシングアルゴリズム source-dest-ip または source-dest-ip-port（Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照）を使用することをお勧めします。クラスタのデバイスにトラフィックを不均一に配分する場合があるので、ロードバランスアルゴリズムでは vlan キーワードを使用しないでください。
スイッチの EtherChannel ロードバランシングアルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリープロトコルが再始動します。トラフィックが再び流れ出すまでに、少し時間がかかります。
一部のスイッチは、LACP でのダイナミックポートプライオリティをサポートしていません（アクティブおよびスタンバイリンク）。ダイナミックポートプライオリティを無効化することで、スパンド EtherChannel との互換性を高めることができます。
クラスタ制御リンクパスのスイッチでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。
ポートチャネルバンドルのダウンタイムは、設定されているキープアライブインターバルを超えてはなりません。
Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、クラスタデバイスに接続されているポートチャネルでのハッシュアルゴリズムを固定に変更します。

router(config)# port-channel id hash-distribution fixed

アルゴリズムをグローバルに変更しないでください。VSS ピアリンクに対しては適応型アルゴリズムを使用できます。

Firepower 4100/9300 クラスタは LACP グレースフルコンバージェンスをサポートしています。したがって、接続されている Cisco Nexus スイッチで LACP グレースフルコンバージェンスを有効のままにしておくことができます。
スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。FXOS EtherChannel にはデフォルトで [高速（fast）] に設定されている LACP レートがあります。Nexus シリーズなど一部のスイッチでは、インサービスソフトウェアアップグレード（ISSU）を実行する際に LACP 高速レートがサポートされないことに注意してください。そのため、クラスタリングで ISSU を使用することは推奨されません。

シャーシ間クラスタリングの EtherChannel

15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェアバージョンでは、クラスタユニットはスイッチスタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタユニット EtherChannel がクロススタックに接続されている場合、制御ユニットのスイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 （無制限）などを設定します。または、15.1(1)S2 など、より安定したスイッチソフトウェアバージョンにアップグレードできます。
スパンド EtherChannel とデバイスローカル EtherChannel のコンフィギュレーション：スパンド EtherChannel とデバイスローカル EtherChannel に対してスイッチを適切に設定します。
- スパンド EtherChannel：クラスタユニット スパンド EtherChannel（クラスタのすべてのメンバに広がる）の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネルグループ内にあることを確認してください。
- デバイスローカル EtherChannel：クラスタユニット デバイスローカル EtherChannel（クラスタ制御リンク用に設定された EtherChannel もこれに含まれます）は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタユニット EtherChannel を結合して 1 つの EtherChannel としないでください。

その他のガイドライン

ユニットを既存のクラスタに追加したときや、ユニットをリロードしたときは、一時的に、限定的なパケット/接続ドロップが発生します。これは想定どおりの動作です。場合によっては、ドロップされたパケットが原因で接続がハングすることがあります。たとえば、FTP 接続の FIN/ACK パケットがドロップされると、FTP クライアントがハングします。この場合は、FTP 接続を再確立する必要があります。
スパンド EtherChannel インターフェイスに接続された Windows 2003 Server を使用している場合、syslog サーバポートがダウンしたときにサーバが ICMP エラーメッセージを抑制しないと、多数の ICMP メッセージがクラスタに送信されることになります。このようなメッセージにより、クラスタの一部のユニットで CPU 使用率が高くなり、パフォーマンスに影響する可能性があります。ICMP エラーメッセージを調節することを推奨します。
冗長性を持たせるため、VSS または vPC に EtherChannel を接続することを推奨します。
シャーシ内では、スタンドアロンモードで一部のシャーシセキュリティモジュールをクラスタ化し、他のセキュリティモジュールを実行することはできません。クラスタ内にすべてのセキュリティモジュールを含める必要があります。
復号された TLS/SSL 接続の場合、復号状態は同期されず、接続オーナーに障害が発生すると、復号された接続がリセットされます。新しいユニットへの新しい接続を確立する必要があります。復号されていない接続（復号しないルールに一致）は影響を受けず、正しく複製されます。

デフォルト

クラスタのヘルスチェック機能は、デフォルトで有効になり、ホールド時間は 3 秒です。デフォルトでは、すべてのインターフェイスでインターネットヘルスモニタリングが有効になっています。
失敗したクラスタ制御リンクのクラスタ自動再参加機能は、5 分間隔で無制限に試行されるように設定されます。
失敗したデータインターフェイスのクラスタ自動再参加機能は、5 分後と、2 に設定された増加間隔で合計で 3 回試行されます。
HTTP トラフィックでは、5 秒間の接続複製遅延がデフォルトで有効になっています。

クラスタリングの設定

クラスタは、Firepower 4100/9300 シャーシスーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。その後、ユニットを FMC に追加し、1 つのクラスタにグループ化できます。

FXOS：FTD クラスタの追加

単独の Firepower 9300 シャーシをシャーシ内クラスタとして追加することも、複数のシャーシをシャーシ間クラスタリングに追加することもできます。

シャーシ間クラスタリングでは、各シャーシを別々に設定します。1 つのシャーシにクラスタを追加したら、導入を簡単にするため、ブートストラップ設定を最初のシャーシから次のシャーシにコピーし、

FTD クラスタの作成

クラスタは、Firepower 4100/9300 シャーシスーパバイザから簡単に展開できます。すべての初期設定が各ユニット用に自動生成されます。

シャーシ間クラスタリングでは、各シャーシを別々に設定します。導入を容易にするために、1 つのシャーシにクラスタを導入し、その後、最初のシャーシから次のシャーシにブートストラップコンフィギュレーションをコピーできます。

Firepower 9300 シャーシでは、モジュールがインストールされていない場合でも、3 つのすべてのモジュールでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。

始める前に

論理デバイスに使用するアプリケーションイメージを Cisco.com からダウンロードして、そのイメージを Firepower 4100/9300 シャーシにアップロードします。
次の情報を用意します。
- 管理インターフェイス ID、IP アドレス、およびネットワークマスク
- ゲートウェイ IP アドレス
- FMC 選択した IP アドレス/NAT ID
- DNS サーバの IP アドレス
- FTD ホスト名とドメイン名

手順

ステップ 1

インターフェイスを設定します。

クラスタを展開する前に、1 つ以上のデータタイプのインターフェイスまたは EtherChannel（ポートチャネルとも呼ばれる）を追加します。EtherChannel（ポートチャネル）の追加または物理インターフェイスの設定を参照してください。

シャーシ間クラスタリングの場合は、すべてのデータインターフェイスが、少なくとも 1 つのメンバーインターフェイスを持つスパンド EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。スイッチ上で、すべてのクラスタユニットからメンバーインターフェイスを 1 つの EtherChannel へと結合します。シャーシ間クラスタリングの EtherChannel についての詳細は、クラスタリングガイドラインと制限事項を参照してください。
管理タイプのインターフェイスまたは EtherChannel を追加します。EtherChannel（ポートチャネル）の追加または物理インターフェイスの設定を参照してください。

管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理インターフェイスと同じではありません（FXOS では、シャーシ管理インターフェイスは MGMT、management0 のような名前で表示されます）。

シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。
シャーシ間クラスタリングでは、メンバーインターフェイスをクラスタ制御リンクのEtherChannel（デフォルトではポートチャネル 48）に追加します。EtherChannel（ポートチャネル）の追加を参照してください。

シャーシ内クラスタリングのメンバーインターフェイスを追加しないでください。メンバーを追加すると、シャーシはこのクラスタがシャーシ間であると見なし、例えばスパンド Etherchannel のみを使用できるようになります。

[インターフェイス（Interfaces）] タブで、ポートチャネル 48 クラスタタイプのインターフェイスは、メンバインターフェイスが含まれていない場合は、[動作状態（Operation State）] を [失敗（failed）] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバインターフェイスを必要としないため、この動作状態は無視して構いません。

各シャーシに同じメンバインターフェイスを追加します。クラスタ制御リンクは、各シャーシのデバイスローカル EtherChannel です。デバイスごとにスイッチで個別の EtherChannel を使用します。シャーシ間クラスタリングの EtherChannel についての詳細は、クラスタリングガイドラインと制限事項を参照してください。
（任意）イベントインターフェイスを追加します。EtherChannel（ポートチャネル）の追加または物理インターフェイスの設定を参照してください。

このインターフェイスは、FTD デバイスのセカンダリ管理インターフェイスです。このインターフェイスを使用するには、FTD CLI で IP アドレスなどのパラメータを設定する必要があります。たとえば、イベント（Web イベントなど）から管理トラフィックを分類できます。FTD コマンドリファレンスの configure network コマンドを参照してください。

シャーシ間クラスタリングの場合、各シャーシに同じイベンティングインターフェイスを追加します。

ステップ 2

[論理デバイス（Logical Devices）] を選択します。

ステップ 3

[追加（Add）] > [クラスタ（Cluster）] をクリックし、次のパラメータを設定します。

[必要な操作（I want to:）] > [新しいクラスタの作成（Create New Cluster）] を選択します。
デバイス名を入力します。

この名前は、シャーシスーパバイザが管理設定を行ってインターフェイスを割り当てるために内部で使用します。これはアプリケーション設定で使用されるデバイス名ではありません。
[Template] では、[Cisco Firepower Threat Defense] を選択します。
[Image Version] を選択します。
[Instance Type] の場合、[Native] タイプのみサポートされます。
[OK] をクリックします。

[Provisioning - device name] ウィンドウが表示されます。

ステップ 4

このクラスタに割り当てるインターフェイスを選択します。

デフォルトでは、すべての有効なインターフェイスが割り当てられます。

ステップ 5

画面中央のデバイスアイコンをクリックします。

ダイアログボックスが表示され、初期のブートストラップ設定を行うことができます。これらの設定は、初期導入専用、またはディザスタリカバリ用です。通常の運用では、後でアプリケーション CCLI 設定のほとんどの値を変更できます。

ステップ 6

[クラスタ情報（Cluster Information）] ページで、次の手順を実行します。

シャーシ間クラスタリングでは、シャーシ ID フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。

このフィールドは、クラスタ制御リンク Port-Channel 48 にメンバーインターフェイスを追加した場合にのみ表示されます。
サイト間クラスタリングの場合、[サイト ID（Site ID）] フィールドに、このシャーシのサイト ID を 1 ～ 8 の範囲で入力します。FlexConfig 機能。ディレクタのローカリゼーション、サイト冗長性、クラスタフローモビリティなど、冗長性と安定性を向上させることを目的としたサイト間クラスタの追加のカスタマイズは、FMC FlexConfig 機能を使用した場合にのみ設定できます。
[Cluster Key] フィールドで、クラスタ制御リンクの制御トラフィック用の認証キーを設定します。

共有秘密は、1 ～ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパストラフィック（接続状態アップデートや転送されるパケットなど）には影響しません。データパストラフィックは、常にクリアテキストとして送信されます。
[クラスタグループ名（Cluster Group Name）] を設定します。これは、論理デバイス設定のクラスタグループ名です。

名前は 1 ～ 38 文字の ASCII 文字列であることが必要です。
[Management Interface] を選択します。

このインターフェイスは、論理デバイスを管理するために使用されます。このインターフェイスは、シャーシ管理ポートとは別のものです。

ハードウェアバイパス対応のインターフェイスをマネジメントインターフェイスとして割り当てると、割り当てが意図的であることを確認する警告メッセージが表示されます。
（任意） CCL サブネット IP を a.b.0.0 に設定します。

クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。この場合、クラスタの固有ネットワークに任意の/16 ネットワークアドレスを指定します（ループバック（127.0.0.0/8）、マルチキャスト（224.0.0.0/4）、内部（169.254.0.0/16）のアドレスを除く）。値を 0.0.0.0 に設定すると、デフォルトのネットワークが使用されます。

シャーシは、シャーシ ID とスロット ID（a.b.chassis_id.slot_id）に基づいて、各ユニットのクラスタ制御リンクインターフェイスの IP アドレスを自動生成します。

ステップ 7

[設定（Settings）] ページで、以下を実行します。

[登録キー（Registration Key）] フィールドに、登録時に FMC とクラスタメンバー間で共有するキーを入力します。

このキーには、1 ～ 37 文字の任意のテキスト文字列を選択できます。FTD を追加するときに、FMC に同じキーを入力します。
CLI アクセス用の FTD 管理ユーザの [Password] を入力します。
[Firepower Management CenterのIP（Firepower Management Center IP）] フィールドに、管理側の FMC の IP アドレスを入力します。FMC の IP アドレスがわからない場合は、このフィールドを空白のままにして、[Firepower Management Center NAT ID] フィールドにパスフレーズを入力します。
（任意） [Search Domains] フィールドに、管理ネットワークの検索ドメインのカンマ区切りのリストを入力します。
（任意） [ファイアウォールモード（Firewall Mode）] ドロップダウンリストから、[トランスペアレント（Transparent）] または [ルーテッド（Routed）] を選択します。

ルーテッドモードでは、FTDはネットワーク内のルータホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。一方、トランスペアレントファイアウォールは、「Bump In The Wire」または「ステルスファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータホップとしては認識されません。

ファイアウォールモードは初期展開時にのみ設定します。ブートストラップの設定を再適用する場合、この設定は使用されません。
（任意） [DNSサーバ（DNS Servers）] フィールドに、DNS サーバのカンマ区切りのリストを入力します。

たとえば、FMCのホスト名を指定する場合、FTDは DNS を使用します。
（任意） [Firepower Management Center NAT ID] フィールドにパスフレーズを入力します。このパスフレーズは、新しいデバイスとしてクラスタを追加するときに FMC でも入力します。

通常は、ルーティングと認証の両方の目的で両方の IP アドレス（登録キー付き）が必要です。FMC がデバイスの IP アドレスを指定し、デバイスが FMC の IP アドレスを指定します。ただし、IP アドレスの 1 つのみがわかっている場合（ルーティング目的の最小要件）は、最初の通信用に信頼を確立して正しい登録キーを検索するために、接続の両側に一意の NAT ID を指定する必要もあります。NAT ID として、1 ~ 37 文字の任意のテキスト文字列を指定できます。FMC およびデバイスでは、初期登録の認証と承認を行うために、登録キーおよび NAT ID（IP アドレスではなく）を使用します。
（任意） [Fully Qualified Hostname] フィールドに、FTD デバイスの完全修飾名を入力します。

有効な文字は、a 〜 z の文字、0 〜 9 の数字、ドット（.）、ハイフン（-）です。最大文字数は 253 です。
（任意） [イベンティングインターフェイス（Eventing Interface）] ドロップダウンリストから、イベントを送信するインターフェイスを選択します。指定しない場合は、管理インターフェイスが使用されます。

イベントに使用する別のインターフェイスを指定するには、firepower-eventing インターフェイスとしてインターフェイスを設定する必要があります。ハードウェアバイパス対応のインターフェイスを Eventing インターフェイスとして割り当てると、割り当てが意図的であることを確認する警告メッセージが表示されます。

ステップ 8

[インターフェイス情報（Interface Information）] ページで、クラスタ内のセキュリティモジュールのそれぞれに管理 IP アドレスを設定します。[アドレスタイプ（Address Type）] ドロップダウンリストからアドレスのタイプを選択し、セキュリティモジュールごとに次の手順を実行します。

（注）

モジュールがインストールされていない場合でも、シャーシの 3 つすべてのモジュールスロットで IP アドレスを設定する必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。

[Management IP] フィールドで、IP アドレスを設定します。

モジュールごとに同じネットワーク上の一意の IP アドレスを指定します。
[Network Mask] または [Prefix Length] に入力します。
ネットワークゲートウェイアドレスを入力します。

ステップ 9

[利用規約（Agreement）] タブで、エンドユーザライセンス（EULA）を読んで、同意します。

ステップ 10

[OK] をクリックして、設定ダイアログボックスを閉じます。

ステップ 11

[保存（Save）] をクリックします。

シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーションインスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。[ 論理デバイス（Logical Devices） ] ページで、新しい論理デバイスのステータスを確認します。論理デバイスの [ステータス（Status）] に [オンライン（Online）] と表示されている場合、残りのクラスタシャーシを追加するか、シャーシ内クラスタリングでアプリケーションのクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません（Security module not responding）] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。

ステップ 12

シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。

Firepower Chassis Manager の最初のシャーシで、右上の [設定の表示（Show Configuration）] アイコンをクリックして、表示されるクラスタ設定をコピーします。
次のシャーシの Firepower Chassis Manager に接続し、この手順に従って論理デバイスを追加します。
[必要な操作（I want to:）] > [既存のクラスタへの参加（Join an Existing Cluster）] を選択します。
[OK] をクリックします。
[クラスタ詳細のコピー（Copy Cluster Details）] ボックスに、最初のシャーシのクラスタ設定を貼り付け、[OK] をクリックします。
画面中央のデバイスアイコンをクリックします。クラスタ情報は大半は事前に入力済みですが、次の設定は変更する必要があります。
- [シャーシ ID（Chassis ID）]：一意のシャーシ ID を入力します。
- Site ID：サイト間クラスタリングの場合、このシャーシのサイト ID（1 ～ 8）を入力します。ディレクタのローカリゼーション、サイト冗長性、クラスタフローモビリティなど、冗長性と安定性を向上させることを目的としたサイト間クラスタの追加のカスタマイズは、FMC FlexConfig 機能を使用した場合にのみ設定できます。
- [クラスタキー（Cluster Key）]：（事前に入力されていない）同じクラスタキーを入力します。
- [管理 IP（Management IP）]：各モジュールの管理アドレスを、他のクラスタメンバーと同じネットワーク上に存在する一意の IP アドレスとなるように変更します。
[OK] をクリックします。
[保存（Save）] をクリックします。

シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーションインスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。各クラスタメンバーの [論理デバイス（Logical Devices）] ページで、新しい論理デバイスのステータスを確認します。各クラスタメンバーの論理デバイスの [ステータス（Status）] に [オンライン（Online）] と表示されたら、アプリケーションでクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません（Security module not responding）] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。

ステップ 13

管理 IP アドレスを使用して、FMC に制御ユニットを追加します。

すべてのクラスタユニットは、FMC に追加する前に、FXOS で正常な形式のクラスタ内に存在している必要があります。

FMC がデータユニットを自動的に検出します。

クラスタノードの追加

既存のクラスタ内の FTD クラスタノードを追加または交換します。FXOS に新しいクラスタノードを追加すると、FMC によりノードが自動的に追加されます。

（注）

このプロシージャにおける FXOS の手順は、新しいシャーシの追加のみに適用されます。クラスタリングがすでに有効になっている Firepower 9300 に新しいモジュールを追加する場合、モジュールは自動的に追加されます。

始める前に

置き換える場合は、FMC から古いクラスタノードを削除する必要があります。新しいノードに置き換えると、FMC 上の新しいデバイスとみなされます。
インターフェイスの設定は、新しいシャーシでの設定と同じである必要があります。FXOS シャーシ設定をエクスポートおよびインポートし、このプロセスを容易にすることができます。

手順

ステップ 1	既存のクラスタシャーシ Firepower Chassis Manager で、[論理デバイス（Logical Devices）] をクリックします。
ステップ 2	右上の [設定の表示（Show Configuration）] アイコンをクリックし、表示されるクラスタ設定をコピーします。
ステップ 3	新しいシャーシの Firepower Chassis Manager に接続して、[追加（Add）] > [クラスタ（Cluster）] をクリックします。
ステップ 4	[デバイス名（Device Name）] に論理デバイスの名前を入力します。
ステップ 5	[OK] をクリックします。
ステップ 6	[クラスタ詳細のコピー（Copy Cluster Details）] ボックスに、最初のシャーシのクラスタ設定を貼り付け、[OK] をクリックします。
ステップ 7	画面中央のデバイスアイコンをクリックします。クラスタ情報は大半は事前に入力済みですが、次の設定は変更する必要があります。 [シャーシ ID（Chassis ID）]：一意のシャーシ ID を入力します。 Site ID：サイト間クラスタリングの場合、このシャーシのサイト ID（1 ～ 8）を入力します。この機能は、FMC FlexConfig 機能を使用した場合にのみ構成可能です。 [クラスタキー（Cluster Key）]：（事前に入力されていない）同じクラスタキーを入力します。 [管理 IP（Management IP）]：各モジュールの管理アドレスを、他のクラスタメンバーと同じネットワーク上に存在する一意の IP アドレスとなるように変更します。 [OK] をクリックします。
ステップ 8	[保存（Save）] をクリックします。シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーションインスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。各クラスタメンバーの [論理デバイス（Logical Devices）] ページで、新しい論理デバイスのステータスを確認します。各クラスタメンバーの論理デバイスの [ステータス（Status）] に [オンライン（Online）] と表示されたら、アプリケーションでクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません（Security module not responding）] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。

FMC：クラスタの追加

クラスタユニットのいずれかを新しいデバイスとして Firepower Management Center に追加します。FMC は、他のすべてのクラスタメンバーを自動検出します。

始める前に

クラスタを追加するためのこの方法には、Firepower Threat Defense バージョン 6.2 以降が必要です。以前のバージョンのデバイスを管理する必要がある場合には、そのバージョンの Firepower Management Center コンフィギュレーションガイドを参照してください。
クラスタを Management Center に追加する前に、すべてのクラスタユニットが FXOS 上の正常に形成されたクラスタ内に存在している必要があります。また、どのユニットが制御ユニットかを確認することも必要です。Firepower Chassis Manager の [論理デバイス（Logical Devices）] 画面を参照するか、または Firepower Threat Defense の show cluster info コマンドを使用します。

手順

ステップ 1	FMC で、[デバイス（Devices）] > [デバイス管理（Device Management）] を選択してから、[追加（Add）] > [デバイスの追加（Add Device）] を選択し、クラスタを展開したときに割り当てた制御ユニットの管理 IP アドレスを使用して制御ユニットを追加します。 [ホスト（Host）] フィールドに、制御ユニットの IP アドレスまたはホスト名を入力します。最適なパフォーマンスを得るため、制御ユニットの追加を推奨しますが、クラスタの任意のユニットを追加できます。デバイスのセットアップ時に NAT ID を使用した場合は、このフィールドを入力する必要がない可能性があります。詳細については、「NAT 環境」を参照してください。 [表示名（Display Name）] フィールドに、FMC での制御ユニットの表示名を入力します。この表示名はクラスタ用ではありません。追加する制御ユニット専用です。後で、他のクラスタメンバーの名前やクラスタ表示名を変更できます。 [登録キー（Registration Key）] フィールドに、FXOS にクラスタを展開したときに使用したものと同じ登録キーを入力します。登録キーは、1 回限り使用可能な共有シークレットです。マルチドメイン展開では、現在のドメインに関係なく、デバイスをリーフドメインに割り当てます。現在のドメインがリーフドメインである場合、デバイスは自動的に現在のドメインに追加されます。現在のドメインがリーフドメインでない場合、登録後、デバイスを設定するために、リーフドメインに切り替える必要があります。（任意）デバイスをデバイスグループに追加します。登録後すぐに、デバイスに展開する最初の [アクセスコントロールポリシー（Access Control Policy）] を選択するか、新しいポリシーを作成します。新しいポリシーを作成する場合は、基本ポリシーのみを作成します。必要に応じて、後でポリシーをカスタマイズできます。デバイスに適用するライセンスを選択します。デバイスの設定時に、NAT ID を使用した場合、[詳細（Advanced）] セクションを展開し、[一意の NAT ID（Unique NAT ID）] フィールドに同じ NAT ID を入力します。 [パケットの転送（Transfer Packets）] チェックボックスをオンにし、デバイスで FMC にパケットを転送することを許可します。このオプションは、デフォルトで有効です。このオプションを有効にして IPS や Snort などのイベントがトリガーされた場合は、デバイスが検査用としてイベントメタデータ情報とパケットデータを FMC に送信します。このオプションを無効にした場合は、イベント情報だけが FMC に送信され、パケットデータは送信されません。 [登録（Register）] をクリックします。 FMC は、制御ユニットを識別して登録した後に、すべてのデータユニットを登録します。制御ユニットが正常に登録されていない場合、クラスタは追加されません。クラスタがシャーシで稼働状態になかったか、その他の接続問題が原因で、登録エラーが発生する場合があります。こうした状況では、クラスタユニットを再度追加することをお勧めします。 [デバイス（Devices）] > [デバイス管理（Device Management）] ページにクラスタ名が表示されます。クラスタを展開して、クラスタユニットを表示します。現在登録されているユニットには、ロードアイコンが表示されます。クラスタユニットの登録をモニターするには、[通知（Notifications）] アイコンをクリックし、[タスク（Tasks）] を選択します。FMC は、ユニットの登録ごとにクラスタ登録タスクを更新します。いずれかのユニットの登録に失敗した場合には、クラスタメンバーの照合を参照してください。
ステップ 2	クラスタのをクリックして、デバイス固有の設定を指定します。ほとんどの設定は、クラスタ内のメンバーユニットではなくクラスタ全体に適用できます。たとえば、ユニットごとに表示名を変更できますが、インターフェイスはクラスタ全体についてのみ設定できます。
ステップ 3	[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] 画面に、[全般（General）]、[ライセンス（License）]、[システム（System）]、および [ヘルス（Health）] の設定が表示されます。次のクラスタ固有の項目を参照してください。 [全般（General）] > [名前（Name）]：をクリックして、クラスタの表示名を変更します。その後に、[名前（Name）] フィールドを設定します。 [全般（General）] > [クラスタステータスの表示（View cluster status）]：[クラスタステータスの表示（View cluster status）] リンクをクリックして [クラスタステータス（Cluster Status）] ダイアログボックスを開きます。 [クラスタステータス（Cluster Status）] ダイアログボックスで、[照合（Reconcile）] をクリックしてデータユニットの登録を再試行することもできます。 [ライセンス（License）]：をクリックして、ライセンス付与資格を設定します。
ステップ 4	[デバイス（Devices）] > [デバイス管理（Device Management）] > [デバイス（Devices）] の右上のドロップダウンメニューで、クラスタ内の各メンバーを選択し、次の設定を指定することができます。 [全般（General）] > [名前（Name）]：をクリックして、クラスタメンバーの表示名を変更します。その後に、[名前（Name）] フィールドを設定します。 [管理（Management）] > [ホスト（Host）]：デバイス設定で管理 IP アドレスを変更する場合、FMC で新しいアドレスを一致させてネットワーク上のデバイスに到達できるようにし、[管理（Management）] 領域で [ホスト（Host）] アドレスを編集します。

FMC：クラスタ、データおよび診断インターフェイスの設定

この手順では、FXOS にクラスタを展開したときにクラスタに割り当てられた各データインターフェイスの基本的なパラメータを設定します。シャーシ間クラスタリングの場合、データインターフェイスは常にスパンド EtherChannel インターフェイスです。シャーシ間クラスタリングのクラスタ制御リンクインターフェイスの場合、MTU をデフォルトから増やす必要があります。個別インターフェイスとして実行できる唯一のインターフェイスである診断インターフェイスを設定することもできます。

（注）

シャーシ間クラスタリングにスパンド EtherChannel を使用している場合、クラスタリングが完全に有効になるまで、ポートチャネルインターフェイスは起動しません。この要件により、クラスタのアクティブではないユニットにトラフィックが転送されるのが防がれます。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、クラスタの横にあるをクリックします。

ステップ 2

[インターフェイス（Interfaces）] をクリックします。

ステップ 3

クラスタ制御リンクを設定します。

シャーシ間クラスタリングの場合、クラスタ制御リンク MTU に、データインターフェイスの最大 MTU より少なくとも 100 バイト高い値を指定します。クラスタ制御リンクのトラフィックにはデータパケット転送が含まれるため、クラスタ制御リンクはデータパケット全体のサイズに加えてクラスタトラフィックのオーバーヘッドにも対応する必要があります。MTU の最大値を 9184 バイトに設定し、最小値を 1400 バイトに設定することをお勧めします。たとえば、最大 MTU は 9184 バイトであるため、データインターフェイスの最大 MTU は 9084 になり、クラスタ制御リンクは 9184 に設定できます。

クラスタ制御リンクインターフェイスは、デフォルトで Port-Channel48 です。

クラスタ制御リンクインターフェイスのをクリックします。
[全般（General）] ページの [MTU] フィールドに、1400 ～ 9184 の値を入力します。最大の 9184 を使用することをお勧めします。
[OK] をクリックします。

ステップ 4

データインターフェイスを設定します。

（任意）データインターフェイスに VLAN サブインターフェイスを設定します。この手順の残りの部分は、サブインターフェイスに適用されます。サブインターフェイスの追加を参照してください。
データインターフェイスのをクリックします。

ルーテッドモードのインターフェイスの設定またはブリッジグループインターフェイスの設定に従い、名前、IP アドレス、およびその他のパラメータを設定します。

（注）

クラスタ制御リンクインターフェイスの MTU がデータインターフェイスの MTU より 100 バイト以上大きくない場合、データインターフェイスの MTU を減らす必要があるというエラーが表示されます。手順ステップ 3 を参照して、クラスタ制御リンクの MTU を増やしてください。その後、データインターフェイスの設定を続行できます。

シャーシ間クラスタの場合は、EtherChannel の手動グローバル MAC アドレスを設定します。[詳細設定（Advanced）] をクリックし、[アクティブなMACアドレス（Active MAC Address）] フィールドに、MAC アドレスを H.H.H 形式で設定します。H は 16 ビットの 16 進数です。

たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。MAC アドレスはマルチキャストビットセットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

[スタンバイMACアドレス（Standby MAC Address）] は設定しないでください。無視されます。

潜在的なネットワークの接続問題を回避するために、スパンド EtherChannel にはグローバル MAC アドレスを設定する必要があります。MAC アドレスが手動設定されている場合、その MAC アドレスは現在の制御ユニットに留まります。MAC アドレスを設定していない場合に、制御ユニットが変更された場合、新しい制御ユニットはインターフェイスに新しい MAC アドレスを使用します。これにより、一時的なネットワークの停止が発生する可能性があります。
[OK] をクリックします。他のデータインターフェイスについても前述の手順を繰り返します。

ステップ 5

（任意）診断インターフェイスを設定します。

診断インターフェイスは、個別インターフェイスモードで実行できる唯一のインターフェイスです。syslog メッセージや SNMP などに、このインターフェイスを使用できます。

[オブジェクト（Objects）] > [オブジェクト管理（Object Management）] > [アドレスプール（Address Pools）] を選択して、IPv4 または IPv6 アドレスプールを追加します。アドレスプールを参照してください。

最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。仮想 IP アドレスはこのプールには含まれませんが、同一ネットワーク上に存在している必要があります。各ユニットに割り当てられる正確なローカルアドレスを事前に決定することはできません。
[デバイス（Devices）] > [デバイス管理（Device Management）] > [インターフェイス（Interfaces）] で、診断インターフェイスのをクリックします。
[IPv4] で [IPアドレス（IP Address）] とマスクを入力します。この IP アドレスは、そのクラスタの固定アドレスで、常に現在の制御ユニットに属します。
作成したアドレスプールを [IPv4 アドレスプール（IPv4 Address Pool） ] ドロップダウンリストから選択します。
[IPv6] > [基本（Basic）] で、[IPv6アドレスプール（IPv6 Address Pool）] ドロップダウンリストから、作成したアドレスプールを選択します。
通常どおり、他のインターフェイス設定を行います。

ステップ 6

[Save（保存）] をクリックします。

これで、[展開（Deploy）] をクリックし、割り当てたデバイスにポリシーを展開できます。変更はポリシーを展開するまで有効になりません。

FXOS：クラスタユニットの削除

ここでは、ユニットをクラスタから一時的に、または永続的に削除する方法について説明します。

一時的な削除

たとえば、ハードウェアまたはネットワークの障害が原因で、クラスタユニットはクラスタから自動的に削除されます。この削除は、条件が修正されるまでの一時的なものであるため、クラスタに再参加できます。また、手動でクラスタリングを無効にすることもできます。

デバイスが現在クラスタ内に存在するか確認するには、Firepower Chassis Manager [論理デバイス（Logical Devices）] ページで、show cluster info コマンドを使用してアプリケーション内のクラスタステータスを確認します。

FMC を使用した FTD では、FMC デバイスリストにデバイスを残し、クラスタリングを再度有効にした後ですべての機能を再開できるようにする必要があります。

アプリケーションでのクラスタリングの無効化：アプリケーション CLI を使用してクラスタリングを無効にすることができます。cluster remove unit name コマンドを入力して、ログインしているユニット以外のすべてのユニットを削除します。ブートストラップコンフィギュレーションは変更されず、制御ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。制御ユニットを削除するためにデータユニットでこのコマンドを入力した場合は、新しい制御ユニットが選定されます。

デバイスが非アクティブになると、すべてのデータインターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィックフローを再開するには、クラスタリングを再度有効にします。管理インターフェイスは、そのユニットがブートストラップ設定から受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードしてもユニットがクラスタ内でまだアクティブではない場合、管理インターフェイスは無効になります。

クラスタリングを再度有効にするには、FTD で cluster enable を入力します。
アプリケーションインスタンスの無効化：Firepower Chassis Manager の [論理デバイス（Logical Devices）] ページで有効なスライダ（）をクリックします。無効なスライダ（）を使用して後で再度有効にすることができます。
セキュリティモジュール/エンジンのシャットダウン：Firepower Chassis Manager の [セキュリティモジュール/エンジン（Security Module/Engine）] ページで、[電源オフ（Power Off）] アイコンをクリックします。
シャーシのシャットダウン：Firepower Chassis Managerの [概要（Overview）] ページで、[シャットダウン（Shut Down）] アイコンをクリックします。

完全な削除

次の方法を使用して、クラスタメンバを完全に削除できます。

FMC を使用した FTD の場合、シャーシでクラスタリングを無効にした後でユニットを FMC デバイスリストから削除してください。

論理デバイスの削除：Firepower Chassis Manager の [論理デバイス（Logical Devices）] ページで、をクリックします。その後、スタンドアロンの論理デバイスや新しいクラスタを展開したり、同じクラスタに新しい論理デバイスを追加したりすることもできます。
サービスからのシャーシまたはセキュリティモジュールの削除：サービスからデバイスを削除する場合は、交換用ハードウェアをクラスタの新しいメンバーとして追加できます。

FMC：クラスタメンバーの管理

クラスタを導入した後は、コンフィギュレーションを変更し、クラスタメンバを管理できます。

新規クラスタメンバーの追加

FXOS に新しいクラスタメンバーを追加すると、Firepower Management Center によりメンバーが自動的に追加されます。

始める前に

インターフェイスの設定が他のシャーシと交換用ユニットで同じ設定になっていることを確認します。

手順

ステップ 1

FXOS のクラスタに新しいユニットを追加します。『FXOS コンフィギュレーションガイド』を参照してください。

新しいユニットがクラスタに追加されるまで待機します。Firepower Chassis Manager の [論理デバイス（Logical Devices）] 画面を参照するか、または Firepower Threat Defense の show cluster info コマンドを使用してクラスタステータスを表示します。

ステップ 2

新しいクラスタメンバーは自動的に追加されます。交換用ユニットの登録状況をモニターするには、次のように表示します。

[クラスタステータス（Cluster Status）] ダイアログボックス（ [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] タブ > [全般（General）] 領域 > [クラスタステータスの表示（View Cluster Status）] > [クラスタのライブステータス（Cluster Live Status）]リンクから使用可能）で、シャーシ上でクラスタに追加中のユニットに「クラスタに追加中...（Joining cluster...）」と示されます。クラスタに追加された後に、FMC はこれの登録を試み、ステータスが「登録可能（Available for Registration）」に変わります。登録が完了すると、ステータスが「同期状態（In Sync）」に変わります。登録に失敗すると、ユニットは「登録可能（Available for Registration）」の状態に留まります。この場合、[照合（Reconcile）] をクリックして再登録を強制します。
[システムステータス（System status）] > [タスク（Tasks）]：FMC にすべての登録イベントとエラーが表示されます。
[デバイス（Devices）] > [デバイス管理（Device Management）]：デバイスの一覧表示ページでクラスタを展開して、左側にロードアイコンがある場合は、ユニットが登録中であることを示しています。

クラスタメンバーの置換

既存クラスタ内のクラスタメンバーを置き換えることができます。FMC は交換ユニットを自動検出します。ただし、FMC 内の古いクラスタメンバーは手動で削除する必要があります。また、この手順は再初期化したユニットにも適用されます。その場合は、ハードウェアが同じでも新しいメンバーとして表示されます。

始める前に

インターフェイス設定が他のシャーシに関する交換ユニットと同じであることを確認します。

手順

ステップ 1	新しいシャーシの場合、可能であれば、FXOS 内の古いシャーシの設定をバックアップして復元します。 Firepower 9300 のモジュールを交換する場合は、次の手順を実行する必要はありません。古いシャーシのバックアップ FXOS 設定がない場合は、最初に新規クラスタメンバーの追加の手順を実行します。以下のすべての手順については、FXOS コンフィギュレーションガイド [英語] を参照してください。設定のエクスポート機能を使用して、Firepower 4100/9300 シャーシの論理デバイスとプラットフォームの構成時の設定を含んでいる XML ファイルをエクスポートします。交換用シャーシに設定ファイルをインポートします。ライセンス契約に同意します。必要に応じて、論理デバイスのアプリケーションインスタンスバージョンをアップグレードして、残りのクラスタと一致させます。
ステップ 2	古いユニットの FMC で、[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、をクリックします。
ステップ 3	ユニットを削除することを確認します。ユニットがクラスタから削除され、FMC デバイスリストからも削除されます。
ステップ 4	新しいクラスタメンバーまたは再初期化したクラスタメンバーは自動的に追加されます。交換用ユニットの登録状況をモニターするには、次のように表示します。 [クラスタステータス（Cluster Status）] ダイアログボックス（ [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] ページ > [全般（General）] 領域 > [クラスタステータスの表示（View Cluster Status）] > [クラスタのライブステータス（Cluster Live Status）]リンク）で、シャーシ上でクラスタに追加中のユニットに「クラスタに追加中...（Joining cluster...）」と示されます。クラスタに追加された後に、FMC はこれの登録を試み、ステータスが「登録可能（Available for Registration）」に変わります。登録が完了すると、ステータスが「同期状態（In Sync）」に変わります。登録に失敗すると、ユニットは「登録可能（Available for Registration）」の状態に留まります。この場合、[照合（Reconcile）] [すべて（All）]をクリックして再登録を強制します。システム > [タスク（Tasks）]：FMC にすべての登録イベントとエラーが表示されます。 [デバイス（Devices）] > [デバイス管理（Device Management）]：デバイスの一覧表示ページでクラスタを展開して、左側にロードアイコンがある場合は、ユニットが登録中であることを示しています。

メンバーの非アクティブ化

ユニットの削除に備えて、またはメンテナンスのために一時的にメンバーを非アクティブ化する場合があります。この手順は、メンバーを一時的に非アクティブ化するためのものです。ユニットは引き続き FMC デバイスリストに表示されます。

ログインしているユニット以外のメンバーを非アクティブにするには、FTD CLI で次のステップを実行します。

（注）

ユニットが非アクティブになると、すべてのデータインターフェイスがシャットダウンされます。管理インターフェイスのみがトラフィックを送受信できます。トラフィックフローを再開するには、クラスタリングを再度有効にします。管理インターフェイスは、そのユニットがブートストラップ設定から受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードする場合、クラスタでユニットがまだ非アクティブになっていると、管理インターフェイスは無効になります。それ以降のコンフィギュレーション作業には、コンソールを使用する必要があります。

手順

ステップ 1

FTD CLI にアクセスします。

ステップ 2

ユニットをクラスタから削除します。

cluster remove unit unit_name

ブートストラップコンフィギュレーションは変更されず、制御ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。制御ユニットを削除するためにデータユニットでこのコマンドを入力した場合は、新しい制御ユニットが選定されます。

メンバ名を一覧表示するには、cluster remove unit ? と入力するか、show cluster info コマンドを入力します。

例:


> cluster remove unit ?

Current active units in the cluster:
ftd1
ftd2
ftd3

> cluster remove unit ftd2
WARNING: Clustering will be disabled on unit ftd2. To bring it back
to the cluster please logon to that unit and re-enable clustering

ステップ 3

クラスタリングを再び有効にするには、クラスタへの再参加を参照してください。

クラスタへの再参加

障害が発生したインターフェイスなど、ユニットがクラスタから削除された場合または手動でクラスタリングを無効にした場合、ユニット CLI にアクセスして、クラスタに手動で再参加させる必要があります。クラスタへの再参加を試行する前に、障害が解決されていることを確認します。クラスタからユニットが削除される理由の詳細については、クラスタへの再参加を参照してください。

手順

ステップ 1

クラスタに再参加させる必要のあるユニットの CLI に、コンソールポートからアクセスするか、管理インターフェイスへの SSH を使用してアクセスします。ユーザ名 admin と、初期セットアップ時に設定したパスワードを使用してログインします。

ステップ 2

クラスタリングを有効にします。

cluster enable

データユニットの削除

クラスタメンバーを完全に削除する必要がある場合（たとえば、Firepower 9300 でモジュールを削除する場合、またはシャーシを削除する場合）は、FMC からメンバーを削除する必要があります。

メンバーが正常なクラスタの一部である場合、またはメンバーを一時的に無効にするだけの場合は、メンバーを削除しないでください。FXOS のクラスタから完全に削除するには、 FXOS：クラスタユニットの削除を参照してください。FMC から削除しても、まだクラスタの一部である場合、トラフィックを引き続き通過させ、制御ユニット（FMC が管理できない制御ユニット）になる可能性もあります。

始める前に

ユニットを手動で非アクティブ化するには、メンバーの非アクティブ化を参照してください。ユニットを削除する前に、手動で、またはヘルス障害により、ユニットが非アクティブになっている必要があります。

手順

ステップ 1

ユニットが FMC から削除できる状態であることを確認します。

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、クラスタのをクリックします。
[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] > [全般（General）] 領域で、[現在のクラスタの概要（Current Cluster Summary）] リンクをクリックして [クラスタステータス（Cluster Status）] ダイアログボックスを開きます。
削除するデバイスが削除可能状態であることを確認します。

ステータスが古い場合は、[照合（Reconcile）] をクリックして強制的に更新します。

ステップ 2

削除するデータユニットの FMC で、[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、をクリックします。

ステップ 3

ユニットを削除することを確認します。

ユニットがクラスタから削除され、FMC デバイスリストからも削除されます。

クラスタメンバーの照合

クラスタメンバーの登録に失敗した場合、シャーシから Firepower Management Center に対してクラスタメンバーシップを照合することができます。たとえば、FMC が特定のプロセスで占領されているか、またはネットワークに問題がある場合、データユニットの登録に失敗することがあります。

手順

ステップ 1

[デバイス（Devices）] > [デバイス管理（Device Management）] を選択し、クラスタのをクリックします。

ステップ 2

[クラスタ（Cluster）] > [全般（General）] 領域で、[現在のクラスタの概要（Current Cluster Summary）] リンクをクリックして [クラスタステータス（Cluster Status）] ダイアログボックスを開きます。

ステップ 3

[Reconcile] をクリックします。

クラスタステータスの詳細については、FMC：クラスタのモニタリングを参照してください。

FMC：クラスタのモニタリング

クラスタのモニタリングは、Firepower Management Center および FTD CLI で実行できます。

[Cluster Status] ダイアログボックスには、 [デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] ページ > [全般（General）] 領域 > [クラスタステータスの表示（View cluster status）] > [クラスタのライブステータス（Cluster Live Status）] リンクからアクセスできます。

クラスタメンバーステータスには、次の状態が含まれます。
- 同期中（In Sync）：装置は FMC に登録されています。
- Available for Registration：装置はクラスタの一部ですが、まだ FMC に登録されていません。装置が登録に失敗した場合、[Reconcile] をクリックして登録を再試行することができます。
- Available for Deletion：装置は FMC に登録されていますが、クラスタの非アクティブなメンバーです。クラスタリング設定は、後で再有効化する予定がある場合は変更せずに維持できます。または、装置をクラスタから削除することも可能です。
- クラスタに参加中（Joining cluster）：装置がシャーシ上でクラスタに参加していますが、参加は完了していません。参加後に FMC に登録されます。
このダイアログボックスを更新するには、閉じてから再度開きます。
システム > [Tasks] ページ。

[Tasks] ページには、各装置が登録されるごとに、クラスタ登録タスクの最新の状況が表示されます。
[デバイス（Devices）] > [デバイス管理（Device Management）] > cluster_name。

デバイスの一覧表示ページでクラスタを展開すると、制御装置（IP アドレスの横にその役割が示されている）を含め、すべてのメンバ装置を表示できます。登録中の装置には、ロード中のアイコンが表示されます。
show cluster {access-list [acl_name] | conn [count] | cpu [usage] | history | interface-mode | memory | resource usage | service-policy | traffic | xlate count}

クラスタ全体の集約データまたはその他の情報を表示するには、show cluster コマンドを使用します。
show cluster info [auto-join | clients | conn-distribution | flow-mobility counters | goid [options] | health | incompatible-config | loadbalance | old-members | packet-distribution | trace [options] | transport { asp | cp}]

クラスタ情報を表示するには、show cluster info コマンドを使用します。

クラスタリングの例

これらの例には、一般的な導入が含まれます。

スティック上のファイアウォール

異なるセキュリティドメインからのデータトラフィックには、異なる VLAN が関連付けられます。たとえば内部ネットワーク用には VLAN 10、外部ネットワークには VLAN 20 とします。各は単一の物理ポートがあり、外部スイッチまたはルータに接続されます。トランキングがイネーブルになっているので、物理リンク上のすべてのパケットが 802.1q カプセル化されます。は、VLAN 10 と VLAN 20 の間のファイアウォールです。

スパンド EtherChannel を使用するときは、スイッチ側ですべてのデータリンクがグループ化されて 1 つの EtherChannel となります。が使用不可能になった場合は、スイッチは残りのユニット間でトラフィックを再分散します。

トラフィックの分離

内部ネットワークと外部ネットワークの間で、トラフィックを物理的に分離できます。

上の図に示すように、左側に一方のスパンド EtherChannel があり、内部スイッチに接続されています。他方は右側にあり、外部スイッチに接続されています。必要であれば、各 EtherChannel 上に VLAN サブインターフェイスを作成することもできます。

スパンド EtherChannel とバックアップリンク（従来の 8 アクティブ/8 スタンバイ）

従来の EtherChannel のアクティブポートの最大数は、スイッチ側からの 8 に制限されます。8 ユニットから成るクラスタがあり、EtherChannel にユニットあたり 2 ポートを割り当てた場合は、合計 16 ポートのうち 8 ポートをスタンバイモードにする必要があります。FTD は、どのリンクをアクティブまたはスタンバイにするかを、LACP を使用してネゴシエートします。VSS または vPC を使用してマルチスイッチ EtherChannel をイネーブルにした場合は、スイッチ間の冗長性を実現できます。FTD では、すべての物理ポートが最初にスロット番号順、次にポート番号順に並べられます。次の図では、番号の小さいポートが「制御」ポートとなり（たとえば Ethernet 1/1）、他方が「データ」ポートとなります（たとえば Ethernet 1/2）。ハードウェア接続の対称性を保証する必要があります。つまり、すべての制御リンクは 1 台のスイッチが終端となり、すべてのデータリンクは別のスイッチが終端となっている必要があります（VSS/vPC が使用されている場合）。次の図は、クラスタに参加するユニットが増えてリンクの総数が増加したときに、どのようになるかを示しています。

原則として、初めにチャネル内のアクティブポート数を最大化し、そのうえで、アクティブな制御ポートとアクティブなデータポートの数のバランスを保ちます。5 番目のユニットがクラスタに参加したときは、トラフィックがすべてのユニットに均等には分散されないことに注意してください。

リンクまたはデバイスの障害が発生したときも、同じ原則で処理されます。その結果、ロードバランシングが理想的な状態にはならないこともあります。次の図は、4 ユニットのクラスタを示しています。このユニットの 1 つで、単一リンク障害が発生しています。

ネットワーク内に複数の EtherChannel を設定することも考えられます。次の図では、EtherChannel が内部に 1 つ、外部に 1 つあります。FTD は、一方の EtherChannel で制御とデータの両方のリンクが障害状態になった場合にクラスタから削除されます。これは、その FTD がすでに内部ネットワークへの接続を失っているにもかかわらず、外部ネットワークからトラフィックを受信するのを防ぐためです。

クラスタリングの参考資料

このセクションには、クラスタリングの動作に関する詳細情報が含まれます。

Firepower Threat Defense の機能とクラスタリング

FTD の一部の機能はクラスタリングではサポートされず、一部は制御ユニットだけでサポートされます。その他の機能については適切な使用に関する警告がある場合があります。

クラスタリングでサポートされない機能

次の各機能は、クラスタリングが有効なときは設定できず、コマンドは拒否されます。

（注）

クラスタリングでもサポートされていない FlexConfig 機能（WCCP インスペクションなど）を表示するには、ASA の一般的な操作のコンフィギュレーションガイドを参照してください。FlexConfig では、FMC GUI にはない多くの ASA 機能を設定できます。FTD の FlexConfig ポリシーを参照してください。

リモートアクセス VPN（SSL VPN および IPsec VPN）
DHCP クライアント、サーバー、およびプロキシ。DHCP リレーはサポートされています。
高可用性
統合ルーティングおよびブリッジング
FMC UCAPL/CC モード

クラスタリングの中央集中型機能

次の機能は、制御ユニット上だけでサポートされます。クラスタの場合もスケーリングされません。

（注）

中央集中型機能のトラフィックは、クラスタ制御リンク経由でメンバーユニットから制御ユニットに転送されます。

再分散機能を使用する場合は、中央集中型機能のトラフィックが中央集中型機能として分類される前に再分散が行われて、制御ユニット以外のユニットに転送されることがあります。この場合は、トラフィックが制御ユニットに送り返されます。

中央集中型機能については、制御ユニットで障害が発生するとすべての接続がドロップされるので、新しい制御ユニット上で接続を再確立する必要があります。

サイト間 VPN
次のアプリケーションインスペクション：
- DCERPC
- NetBIOS
- RSH
- SUNRPC
- TFTP
- XDMCP
ダイナミックルーティング
スタティックルートモニターリング

ダイナミックルーティングおよびクラスタリング

ルーティングプロセスは制御ユニット上だけで実行されます。ルートは制御ユニットを介して学習され、セカンダリに複製されます。ルーティングパケットがデータユニットに到着した場合は、制御ユニットにリダイレクトされます。

データユニットが制御ユニットからルートを学習した後は、各ユニットが個別に転送に関する判断を行います。

OSPF LSA データベースは、制御ユニットからデータユニットに同期されません。制御ユニットのスイッチオーバーが発生した場合は、隣接ルータが再起動を検出します。スイッチオーバーは透過的ではありません。OSPF プロセスが IP アドレスの 1 つをルータ ID として選択します。必須ではありませんが、スタティックルータ ID を割り当てることができます。これで、同じルータ ID がクラスタ全体で使用されるようになります。割り込みを解決するには、OSPF ノンストップフォワーディング機能を参照してください。

接続設定

接続制限は、クラスタ全体に適用されます。各ノードには、ブロードキャストメッセージに基づくクラスタ全体のカウンタの推定値があります。クラスタ全体で接続制限を設定しても、効率性を考慮して、厳密に制限数で適用されない場合があります。各ノードでは、任意の時点でのクラスタ全体のカウンタ値が過大評価または過小評価される可能性があります。ただし、ロードバランシングされたクラスタでは、時間の経過とともに情報が更新されます。

FTP とクラスタリング

FTP D チャネルとコントロールチャネルのフローがそれぞれ別のクラスタメンバーによって所有されている場合は、D チャネルのオーナーは定期的にアイドルタイムアウトアップデートをコントロールチャネルのオーナーに送信し、アイドルタイムアウト値を更新します。ただし、コントロールフローのオーナーがリロードされて、コントロールフローが再ホスティングされた場合は、親子フロー関係は維持されなくなります。したがって、コントロールフローのアイドルタイムアウトは更新されません。

NAT とクラスタリング

NAT は、クラスタの全体的なスループットに影響を与えることがあります。インバウンドおよびアウトバウンドの NAT パケットが、それぞれクラスタ内の別の FTD に送信されることがあります。ロードバランシングアルゴリズムは IP アドレスとポートに依存していますが、NAT が使用されるときは、インバウンドとアウトバウンドとで、パケットの IP アドレスやポートが異なるからです。NAT オーナーではない FTD に到着したパケットは、クラスタ制御リンクを介してオーナーに転送されるため、クラスタ制御リンクに大量のトラフィックが発生します。NAT オーナーは、セキュリティおよびポリシーチェックの結果に応じてパケットの接続を作成できない可能性があるため、受信側ノードは、オーナーへの転送フローを作成しないことに注意してください。

それでもクラスタリングで NAT を使用する場合は、次のガイドラインを考慮してください。

ポートブロック割り当てによる PAT：この機能については、次のガイドラインを参照してください。
- ホストあたりの最大制限は、クラスタ全体の制限ではなく、ノードごとに個別に適用されます。したがって、ホストあたりの最大制限が 1 に設定されている 3 ノードクラスタでは、ホストからのトラフィックが 3 つのノードすべてにロードバランシングされている場合、3 つのブロックを各ノードに 1 つずつ割り当てることができます。
- バックアッププールからバックアップノードで作成されたポートブロックは、ホストあたりの最大制限の適用時には考慮されません。
- PAT IP アドレスのオーナーがダウンすると、バックアップノードは PAT の IP アドレス、対応するポートブロック、および xlate を所有します。通常の PAT アドレスでポートが不足している場合、新しい要求を処理するために引き継いだアドレスを使用できます。接続が最終的にタイムアウトすると、ブロックは解放されます。
- PAT プールが完全に新しい IP アドレスの範囲で変更される On-the-fly PAT ルールの変更では、新しいプールが有効になっていてもいまだ送信中の xlate バックアップ要求に対する xlate バックアップの作成が失敗します。この動作はポートのブロック割り当て機能に固有なものではなく、プールが分散されトラフィックがクラスタノード間でロードバランシングされるクラスタ展開でのみ見られる一時的な PAT プールの問題です。
ダイナミック PAT 用 NAT プールアドレス分散：制御ノードは、アドレスをクラスタ全体に均等に分配します。メンバーが接続を受信し、アドレスが割り当てられていない場合、その接続は PAT の制御ノードに転送されます。クラスタメンバが（障害により）クラスタから離脱した場合、バックアップメンバは PAT IP アドレスを取得し、バックアップで通常の PAT IP アドレスが使い果たされると、新しいアドレスを使用できるようになります。各ノードがアドレスを受信し、アドレスを引き継いだメンバーが古いアドレスを使用している場合に障害が発生したノードが新しいアドレスを取得できるようにするには、少なくともクラスタ内のノードと同じ数の NAT アドレスに加えて、少なくとも 1 つの追加アドレスが含まれていることを確認してください。アドレス割り当てを表示するには、show nat pool cluster コマンドを使用します。
複数のルールにおける PAT プールの再利用：複数のルールで同じ PAT プールを使用するには、ルールにおけるインターフェイスの選択に注意を払う必要があります。すべてのルールで特定のインターフェイスを使用するか、あるいはすべてのルールで「任意の」インターフェイスを使用するか、いずれかを選択する必要があります。ルール全般にわたって特定のインターフェイスと「任意」のインターフェイスを混在させることはできません。混在させると、システムがリターントラフィックとクラスタ内の適切なノードを一致させることができなくなる場合があります。ルールごとに固有の PAT プールを使用することは、最も信頼性の高いオプションです。
ラウンドロビンなし：PAT プールのラウンドロビンは、クラスタリングではサポートされません。
制御ノードによって管理されるダイナミック NAT xlate：制御ノードが xlate テーブルを維持し、データノードに複製します。ダイナミック NAT を必要とする接続をデータノードが受信したときに、その xlate がテーブル内にない場合、データノードは制御ノードに xlate を要求します。データノードが接続を所有します。
旧式の xlates：接続所有者の xlate アイドル時間が更新されません。したがって、アイドル時間がアイドルタイムアウトを超える可能性があります。refcnt が 0 で、アイドルタイマー値が設定されたタイムアウトより大きい場合は、旧式の xlate であることを示します。
次のインスペクション用のスタティック PAT はありません。
- FTP
- RSH
- SQLNET
- TFTP
- XDMCP
- SIP

SIP インスペクションとクラスタリング

制御フローは、（ロードバランシングにより）任意のノードに作成できますが、子データフローは同じノードに存在する必要があります。

SNMP とクラスタリング

SNMP エージェントは、個々の FTD を、その診断インターフェイスのローカル IP アドレスによってポーリングします。クラスタの統合データをポーリングすることはできません。

SNMP ポーリングには、メインクラスタ IP アドレスではなく、常にローカルアドレスを使用してください。SNMP エージェントがメインクラスタ IP アドレスをポーリングする場合、新しい制御ノードが選択されると、新しい制御ノードのポーリングは失敗します。

クラスタリングで SNMPv3 を使用している場合、最初のクラスタ形成後に新しいクラスタノードを追加すると、SNMPv3 ユーザーは新しいノードに複製されません。ユーザーを削除して再追加し、設定を再展開して、ユーザーを新しいノードに強制的に複製する必要があります。

syslog とクラスタリング

クラスタの各ノードは自身の syslog メッセージを生成します。ロギングを設定して、各ノードの syslog メッセージヘッダーフィールドで同じデバイス ID を使用するか、別の ID を使用するかを設定できます。たとえば、ホスト名設定はクラスタ内のすべてのノードに複製されて共有されます。ホスト名をデバイス ID として使用するようにロギングを設定した場合、すべてのノードで生成される syslog メッセージが 1 つのノードから生成されているように見えます。クラスタブートストラップ設定で割り当てられたローカルノード名をデバイス ID として使用するようにロギングを設定した場合、syslog メッセージはそれぞれ別のノードから生成されているように見えます。

TLS/SSL 接続とクラスタリング

TLS/SSL 接続の復号状態は同期されず、接続オーナーに障害が発生すると、復号された接続がリセットされます。新しいユニットへの新しい接続を確立する必要があります。復号されていない接続（復号しないルールに一致）は影響を受けず、正しく複製されます。

Cisco TrustSec とクラスタリング

制御ノードだけがセキュリティグループタグ（SGT）情報を学習します。その後、制御ノードからデータノードに SGT が渡されるため、データノードは、セキュリティポリシーに基づいて SGT の一致を判断できます。

VPN とクラスタリング

サイト間 VPN は、中央集中型機能です。制御ユニットのみが VPN 接続をサポートします。

（注）

リモートアクセス VPN は、クラスタリングではサポートされません。

VPN 機能を使用できるのは制御ユニットだけであり、クラスタの高可用性機能は活用されません。制御ユニットで障害が発生した場合は、すべての既存の VPN 接続が失われ、VPN ユーザーにとってはサービスの中断となります。新しい制御ユニットが選定されたときに、VPN 接続を再確立する必要があります。

VPN トンネルをスパンドインターフェイスのアドレスに接続すると、接続が自動的に制御ユニットに転送されます。

VPN 関連のキーと証明書は、すべてのユニットに複製されます。

パフォーマンススケーリング係数

複数のユニットをクラスタに結合すると、期待できる合計クラスタパフォーマンスは、最大合計スループットの約 80% になります。

たとえば、TCP スループットについては、3 つの SM-40 モジュールを備えた Firepower 9300 が処理できる実際のファイアウォールトラフィックは、単独動作時は約 135 Gbps となります。2 シャーシの場合、最大スループットの合計は 270 Gbps（2 シャーシ X 135 Gbps）の約 80 %、つまり 216 Gbps です。

制御ユニットの選定

クラスタのメンバーは、クラスタ制御リンクを介して通信して制御ユニットを選定します。方法は次のとおりです。

クラスタを展開すると、各ユニットは選定要求を 3 秒ごとにブロードキャストします。
プライオリティの高い他のユニットがこの選定要求に応答します。プライオリティはクラスタの展開時に設定され、設定の変更はできません。

45 秒経過しても、プライオリティの高い他のユニットからの応答を受信していない場合は、そのユニットが制御ユニットになります。

（注）

最高のプライオリティを持つユニットが複数ある場合は、クラスタユニット名、次にシリアル番号を使用して制御ユニットが決定されます。

後からクラスタに参加したユニットのプライオリティの方が高い場合でも、そのユニットが自動的に制御ユニットになることはありません。既存の制御ユニットは常に制御ユニットのままです。ただし、制御ユニットが応答を停止すると、その時点で新しい制御ユニットが選定されます。
「スプリットブレイン」シナリオで一時的に複数の制御ユニットが存在する場合、優先順位が最も高いユニットが制御ユニットの役割を保持し、他のユニットはデータユニットの役割に戻ります。

（注）

特定のユニットを手動で強制的に制御ユニットにすることができます。中央集中型機能については、制御ユニット変更を強制するとすべての接続がドロップされるので、新しい制御ユニット上で接続を再確立する必要があります。

クラスタ内のハイアベイラビリティ

クラスタリングは、シャーシ、ユニットとインターフェイスの正常性を監視し、ユニット間で接続状態を複製することにより、ハイアベイラビリティを提供します。

シャーシアプリケーションのモニターリング

シャーシアプリケーションのヘルスモニターリングは常に有効になっています。Firepower 4100/9300 シャーシスーパバイザは、FTD アプリケーションを定期的に確認します（毎秒）。FTD デバイスが作動中で、Firepower 4100/9300 シャーシスーパバイザと 3 秒間通信できなければ、FTD デバイスは syslog メッセージを生成して、クラスタを離れます。

Firepower 4100/9300 シャーシスーパバイザが 45 秒後にアプリケーションと通信できなければ、FTD デバイスをリロードします。FTD デバイスがスーパバイザと通信できなければ、自身をクラスタから削除します。

装置のヘルスモニターリング

各ユニットは、クラスタ制御リンクを介してブロードキャストキープアライブハートビートパケットを定期的に送信します。タイムアウト期間内にデータノードからキープアライブハートビートパケット、またはその他のパケットを受信しない場合、制御ノードはクラスタからデータノードを削除します。データノードが制御ノードからパケットを受信しない場合、残りのノードから新しい制御ノードが選択されます。

ノードで実際に障害が発生したためではなく、ネットワークの障害が原因で、ノードがクラスタ制御リンクを介して相互に通信できない場合、クラスタは「スプリットブレイン」シナリオに移行する可能性があります。このシナリオでは、分離されたデータノードが独自の制御ノードを選択します。たとえば、2 つのクラスタロケーション間でルータに障害が発生した場合、ロケーション 1 の元の制御ノードは、ロケーション 2 のデータノードをクラスタから削除します。一方、ロケーション 2 のノードは、独自の制御ノードを選択し、独自のクラスタを形成します。このシナリオでは、非対称トラフィックが失敗する可能性があることに注意してください。クラスタ制御リンクが復元されると、より優先順位の高い制御ノードが制御ノードの役割を保持します。詳細については、制御ユニットの選定を参照してください。

インターフェイスモニタリング

各ノードは、使用中のすべてのハードウェアインターフェイスのリンクステータスを監視し、ステータスの変更を制御ノードに報告します。シャーシ間クラスタリングでは、スパンド EtherChannel はクラスタ Link Aggregation Control Protocol（cLACP）を使用します。各シャーシはリンクステータスと cLACP プロトコルメッセージをモニターして EtherChannel でポートがアクティブであるかどうかを判別し、インターフェイスがダウンしている場合には FTD アプリケーションに通知します。デフォルトではすべての物理インターフェイスがモニターされます（EtherChannel インターフェイスのメイン EtherChannel を含む）。アップ状態の名前付きインターフェイスのみモニターできます。たとえば、名前付き EtherChannel がクラスタから削除されるまでは、EtherChannel のすべてのメンバーポートは失敗しなければなりません。

特定のノードで監視対象のインターフェースに障害が発生し、その他のノードでそのインターフェイスがアクティブになっている場合、そのノードはクラスタから削除されます。FTD デバイスによってノードがクラスタから削除されるまでの時間は、そのノードが確立済みのメンバーであるかクラスタに参加しようとしているかによって異なります。FTD デバイスは、ノードがクラスタに参加する最初の 90 秒間はインターフェイスを監視しません。この間にインターフェイスのステータスが変化しても、FTD デバイスはクラスタから削除されません。確立済みのメンバーの場合は、500 ミリ秒後にノードが削除されます。

シャーシ間クラスタリングでは、クラスタから EtherChannel を追加または削除した場合、各シャーシに変更を加えられるように、インターフェイスヘルスモニタリングは 95 秒間中断されます。

デコレータアプリケーションのモニタリング

インターフェイスに Radware DefensePro アプリケーションなどのデコレータアプリケーションをインストールした場合、ユニットがクラスタ内にとどまるには FTD デバイス、デコレータアプリケーションの両方が動作している必要があります。両方のアプリケーションが動作状態になるまで、ユニットはクラスタに参加しません。いったんクラスタに参加すると、ユニットはデコレータアプリケーションが正しく動作しているか 3 秒ごとにモニターします。デコレータアプリケーションがダウンすると、ユニットはクラスタから削除されます。

障害後のステータス

クラスタ内のノードで障害が発生したときに、そのノードでホストされている接続は他のノードにシームレスに移行されます。トラフィックフローのステート情報は、制御ノードのクラスタ制御リンクを介して共有されます。

制御ノードで障害が発生した場合、そのクラスタの他のメンバーのうち、優先順位が最高（番号が最小）のメンバーが制御ノードになります。

障害イベントに応じて、FTD は自動的にクラスタへの再参加を試みます。

（注）

FTD が非アクティブになり、クラスタへの自動再参加に失敗すると、すべてのデータインターフェイスがシャットダウンされ、管理/診断インターフェイスのみがトラフィックを送受信できます。

クラスタへの再参加

クラスタメンバがクラスタから削除された後、クラスタに再参加するための方法は、削除された理由によって異なります。

最初に参加するときに障害が発生したクラスタ制御リンク：クラスタ制御リンクの問題を解決した後、クラスタリングを再び有効にして、手動でクラスタに再参加する必要があります。
クラスタに参加した後に障害が発生したクラスタ制御リンク：FTD は、無限に 5 分ごとに自動的に再参加を試みます。
データインターフェイスの障害：FTD は自動的に最初は 5 分後、次に 10 分後、最終的に 20 分後に再参加を試みます。20 分後に参加できない場合、FTD アプリケーションはクラスタリングを無効にします。データインターフェイスの問題を解決した後、手動でクラスタリングを有効にする必要があります。
ユニットの障害：ユニットがヘルスチェック失敗のためクラスタから削除された場合、クラスタへの再参加は失敗の原因によって異なります。たとえば、一時的な電源障害の場合は、クラスタ制御リンクが稼働している限り、ユニットは再起動するとクラスタに再参加します。FTD アプリケーションは 5 秒ごとにクラスタへの再参加を試みます。
シャーシアプリケーション通信の障害：FTD アプリケーションはシャーシアプリケーションの状態が回復したことを検出すると、自動的にクラスタへの再参加を試みます。
内部エラー：内部エラーには、アプリケーション同期のタイムアウト、一貫性のないアプリケーションステータスなどがあります。
障害が発生した設定の展開：FMC から新しい設定を展開し、展開が一部のクラスタメンバーでは失敗し、他のメンバーでは成功した場合、失敗したユニットがクラスタから削除されます。クラスタリングを再度有効にして手動でクラスタに再参加する必要があります。制御ユニットで展開が失敗した場合、展開はロールバックされ、メンバーは削除されません。

データパス接続状態の複製

どの接続にも、1 つのオーナーおよび少なくとも 1 つのバックアップオーナーがクラスタ内にあります。バックアップオーナーは、障害が発生しても接続を引き継ぎません。代わりに、TCP/UDP のステート情報を保存します。これは、障害発生時に接続が新しいオーナーにシームレスに移管されるようにするためです。バックアップオーナーは通常ディレクタでもあります。

トラフィックの中には、TCP または UDP レイヤよりも上のステート情報を必要とするものがあります。この種類のトラフィックに対するクラスタリングのサポートの可否については、次の表を参照してください。

表 1. クラスタ全体で複製される機能
トラフィック	状態のサポート	注
アップタイム	対応	システムアップタイムをトラッキングします。
ARP テーブル	対応	—
MAC アドレステーブル	対応	—
ユーザアイデンティティ	対応	—
IPv6 ネイバーデータベース	対応	—
ダイナミックルーティング	対応	—
SNMP エンジン ID	なし	—

クラスタが接続を管理する方法

接続をクラスタの複数のノードにロードバランシングできます。接続のロールにより、通常動作時とハイアベイラビリティ状況時の接続の処理方法が決まります。

接続のロール

接続ごとに定義された次のロールを参照してください。

オーナー：通常、最初に接続を受信するノード。オーナーは、TCP 状態を保持し、パケットを処理します。1 つの接続に対してオーナーは 1 つだけです。元のオーナーに障害が発生すると、新しいノードが接続からパケットを受信したときにディレクタがそれらのノードの新しいオーナーを選択します。
バックアップオーナー：オーナーから受信した TCP/UDP ステート情報を格納するノード。障害が発生した場合、新しいオーナーにシームレスに接続を転送できます。バックアップオーナーは、障害発生時に接続を引き継ぎません。オーナーが使用不可能になった場合、（ロードバランシングに基づき）その接続からのパケットを受信する最初のノードがバックアップオーナーに問い合わせて、関連するステート情報を取得し、そのノードが新しいオーナーになります。

ディレクタ（下記参照）がオーナーと同じノードでない限り、ディレクタはバックアップオーナーでもあります。オーナーが自分をディレクタとして選択した場合は、別のバックアップオーナーが選択されます。

1 台のシャーシに最大 3 つのクラスタノードを搭載できる Firepower 9300 のクラスタリングでは、バックアップオーナーがオーナーと同じシャーシにある場合、シャーシ障害からフローを保護するために、別のシャーシから追加のバックアップオーナーが選択されます。
ディレクタ：フォワーダからのオーナールックアップ要求を処理するノード。オーナーは、新しい接続を受信すると、送信元/宛先 IP アドレスおよびポートのハッシュに基づいてディレクタを選択し、新しい接続を登録するためにそのディレクタにメッセージを送信します。パケットがオーナー以外のノードに到着した場合、そのノードはどのノードがオーナーかをディレクタに問い合わせることで、パケットを転送できます。1 つの接続に対してディレクタは 1 つだけです。ディレクタが失敗すると、オーナーは新しいディレクタを選択します。

ディレクタがオーナーと同じノードでない限り、ディレクタはバックアップオーナーでもあります（上記参照）。オーナーがディレクタとして自分自身を選択すると、別のバックアップオーナーが選択されます。

ICMP/ICMPv6 ハッシュの詳細：
- エコーパケットの場合、送信元ポートは ICMP 識別子で、宛先ポートは 0 です。
- 応答パケットの場合、送信元ポートは 0 で、宛先ポートは ICMP 識別子です。
- 他のパケットの場合、送信元ポートと宛先ポートの両方が 0 です。

フォワーダ：パケットをオーナーに転送するノード。フォワーダが接続のパケットを受信したときに、その接続のオーナーが自分ではない場合は、フォワーダはディレクタにオーナーを問い合わせてから、そのオーナーへのフローを確立します。これは、この接続に関してフォワーダが受信するその他のパケット用です。ディレクタは、フォワーダにもなることができます。フォワーダが SYN-ACK パケットを受信した場合、フォワーダはパケットの SYN クッキーからオーナーを直接取得できるので、ディレクタに問い合わせる必要がないことに注意してください。（TCP シーケンスのランダム化を無効にした場合は、SYN Cookie は使用されないので、ディレクタへの問い合わせが必要です）。存続期間が短いフロー（たとえば DNS や ICMP）の場合は、フォワーダは問い合わせの代わりにパケットを即座にディレクタに送信し、ディレクタがそのパケットをオーナーに送信します。1 つの接続に対して、複数のフォワーダが存在できます。最も効率的なスループットを実現できるのは、フォワーダが 1 つもなく、接続のすべてのパケットをオーナーが受信するという、優れたロードバランシング方法が使用されている場合です。

（注）

クラスタリングを使用する場合は、TCP シーケンスのランダム化を無効にすることは推奨されません。SYN/ACK パケットがドロップされる可能性があるため、一部の TCP セッションが確立されない可能性があります。

フラグメントオーナー：フラグメント化されたパケットの場合、フラグメントを受信するクラスタノードは、フラグメントの送信元と宛先の IP アドレス、およびパケット ID のハッシュを使用してフラグメントオーナーを特定します。その後、すべてのフラグメントがクラスタ制御リンクを介してフラグメント所有者に転送されます。スイッチのロードバランスハッシュで使用される 5 タプルは、最初のフラグメントにのみ含まれているため、フラグメントが異なるクラスタノードにロードバランシングされる場合があります。他のフラグメントには、送信元ポートと宛先ポートは含まれず、他のクラスタノードにロードバランシングされる場合があります。フラグメント所有者は一時的にパケットを再アセンブルするため、送信元/宛先 IP アドレスとポートのハッシュに基づいてディレクタを決定できます。新しい接続の場合は、フラグメントの所有者が接続所有者として登録されます。これが既存の接続の場合、フラグメント所有者は、クラスタ制御リンクを介して、指定された接続所有者にすべてのフラグメントを転送します。その後、接続の所有者はすべてのフラグメントを再構築します。

新しい接続の所有権

新しい接続がロードバランシング経由でクラスタのノードに送信される場合は、そのノードがその接続の両方向のオーナーとなります。接続のパケットが別のノードに到着した場合は、そのパケットはクラスタ制御リンクを介してオーナーノードに転送されます。逆方向のフローが別のノードに到着した場合は、元のノードにリダイレクトされます。

TCP のサンプルデータフロー

次の例は、新しい接続の確立を示します。

SYN パケットがクライアントから発信され、FTD の 1 つ（ロードバランシング方法に基づく）に配信されます。これがオーナーとなります。オーナーはフローを作成し、オーナー情報をエンコードして SYN Cookie を生成し、パケットをサーバに転送します。
SYN-ACK パケットがサーバから発信され、別の FTD（ロードバランシング方法に基づく）に配信されます。この FTD はフォワーダです。
フォワーダはこの接続を所有してはいないので、オーナー情報を SYN Cookie からデコードし、オーナーへの転送フローを作成し、SYN-ACK をオーナーに転送します。
オーナーはディレクタに状態アップデートを送信し、SYN-ACK をクライアントに転送します。
ディレクタは状態アップデートをオーナーから受信し、オーナーへのフローを作成し、オーナーと同様に TCP 状態情報を記録します。ディレクタは、この接続のバックアップオーナーとしての役割を持ちます。
これ以降、フォワーダに配信されたパケットはすべて、オーナーに転送されます。
パケットがその他のノードに配信された場合、そのノードはディレクタに問い合わせてオーナーを特定し、フローを確立します。
フローの状態が変化した場合は、状態アップデートがオーナーからディレクタに送信されます。

クラスタリングの履歴

機能

バージョン

詳細

デッド接続検出（DCD）の発信側および応答側の情報、およびクラスタ内の DCD のサポート。

6.5

デッド接続検出（DCD）を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。

新しい/変更されたコマンド：show conn （出力のみ）

サポートされているプラットフォーム：Firepower 4100/9300 の Firepower Threat Defense

強化された Firepower Threat Defense クラスタの Firepower Management Center への追加

6.3

Firepower Management Center にクラスタの任意のユニットを追加できるようになりました。他のクラスタユニットは自動的に検出されます。以前は、各クラスタユニットを個別のデバイスとして追加し、Management Center でグループ化してクラスタにする必要がありました。クラスタユニットの追加も自動で実行されるようになりました。ユニットは手動で削除する必要があることに注意してください。

新規/変更された画面：

[デバイス（Devices）] > [デバイス管理（Device Management）] > [追加（Add）] ドロップダウンメニュー > [デバイス（Devices）] > [デバイスの追加（Add Device）] ダイアログボックス

[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）] タブ > [全般（General）] 領域 > [クラスタの登録ステータス（Cluster Registration Status）] リンク > [クラスタステータス（Cluster Status）] ダイアログボックス

サポートされているプラットフォーム：Firepower 4100/9300 の Firepower Threat Defense

中央集中型機能としてのクラスタリングによるサイト間 VPN のサポート

6.2.3.3

クラスタリングを使用してサイト間 VPN を設定できるようになりました。サイト間 VPN は、中央集中型機能です。制御ユニットのみが VPN 接続をサポートします。

サポートされているプラットフォーム：Firepower 4100/9300 の Firepower Threat Defense

内部エラーの発生後に自動的にクラスタに再参加します。

6.2.3

以前は、多くの内部エラー状態によって、クラスタユニットがクラスタから削除され、ユーザーが問題を解決した後で、手動でクラスタに再参加する必要がありました。現在は、ユニットが自動的に、5 分、10 分、20 分の間隔でクラスタに再参加しようとします。内部エラーには、アプリケーション同期のタイムアウト、一貫性のないアプリケーションステータスなどがあります。

新しい/変更されたコマンド：show cluster info auto-join

変更された画面はありません。

サポートされているプラットフォーム：Firepower 4100/9300 の Firepower Threat Defense

6 モジュールのシャーシ間クラスタリング、Firepower 4100 サポート

6.2

FXOS 2.1.1 では、Firepower 9300 および 4100 でシャーシ間クラスタリングを有効化できるようになりました。Firepower 9300 の場合、最大 6 つのモジュールを含めることができます。たとえば、6 つのシャーシで 1 つのモジュールを使用したり、3 つのシャーシで 2 つのモジュールを使用したり、最大 6 つのモジュールを組み合わせたりできます。Firepower 4100 の場合、最大 6 つのシャーシを含めることができます。

（注）

サイト間クラスタリングもサポートされていません。しかし、サイト固有の MAC および IP アドレス、ディレクタのローカリゼーション、サイトの冗長性、クラスタフローモビリティなどの冗長性と安定性を向上させるためのカスタマイズは、FlexConfig 機能を使用した場合にのみ設定できます。

変更された画面はありません。

サポートされているプラットフォーム：Firepower 4100/9300 の Firepower Threat Defense

Firepower 9300 用シャーシ内クラスタリング

6.0.1

FirePOWER 9300 シャーシ内では、最大 3 つのセキュリティモジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。

新しい/変更された画面：

[デバイス（Devices）] > [デバイス管理（Device Management）] > [追加（Add）] > -[クラスタの追加（Add Cluster）]

[デバイス（Devices）] > [デバイス管理（Device Management）] > [クラスタ（Cluster）]

サポートされているプラットフォーム：Firepower 9300 の Firepower Threat Defense

Firepower Management Center バージョン 6.5 コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： Firepower Threat Defense 用のクラスタリング

Firepower Threat Defense 用のクラスタリング

Firepower 4100/9300 シャーシのクラスタリングについて

ブートストラップ コンフィギュレーション

クラスタ メンバー

クラスタ制御リンク

シャーシ間クラスタリングのクラスタ制御リンクのサイズ

シャーシ間クラスタリングのクラスタ制御リンク冗長性

シャーシ間クラスタリングのクラスタ制御リンクの信頼性

クラスタ制御リンク ネットワーク

管理ネットワーク

管理インターフェイス

クラスタ インターフェイス

スパンド EtherChannel

VSS または vPC への接続

コンフィギュレーションの複製

クラスタリングのライセンス

クラスタリングの要件と前提条件

クラスタ モデルのサポート

ユーザの役割

シャーシ間のクラスタリング ハードウェアおよびソフトウェアの要件

シャーシ間クラスタリングのスイッチ要件

クラスタリング ガイドラインと制限事項

シャーシ間クラスタリングのスイッチ

シャーシ間クラスタリングの EtherChannel

その他のガイドライン

デフォルト

クラスタリングの設定

FXOS：FTD クラスタの追加

FTD クラスタの作成

始める前に

手順

クラスタノードの追加

始める前に

手順

FMC：クラスタの追加

始める前に

手順

FMC：クラスタ、データおよび診断インターフェイスの設定

手順

FXOS：クラスタユニットの削除

一時的な削除

完全な削除

FMC：クラスタメンバーの管理

新規クラスタ メンバーの追加

始める前に

手順

クラスタ メンバーの置換

始める前に

手順

メンバーの非アクティブ化

手順

例:

クラスタへの再参加

手順

データユニットの削除

始める前に

手順

クラスタ メンバーの照合

手順

FMC：クラスタのモニタリング

クラスタリングの例

スティック上のファイアウォール

トラフィックの分離

スパンド EtherChannel とバックアップ リンク（従来の 8 アクティブ/8 スタンバイ）

クラスタリングの参考資料

Firepower Threat Defense の機能とクラスタリング

クラスタリングでサポートされない機能

クラスタリングの中央集中型機能

ダイナミック ルーティングおよびクラスタリング

接続設定

FTP とクラスタリング

NAT とクラスタリング

SIP インスペクションとクラスタリング

SNMP とクラスタリング

syslog とクラスタリング

Firepower Management Center バージョン 6.5 コンフィギュレーションガイド

ブートストラップコンフィギュレーション

クラスタメンバー

クラスタ制御リンクネットワーク

クラスタインターフェイス

クラスタモデルのサポート

シャーシ間のクラスタリングハードウェアおよびソフトウェアの要件

クラスタリングガイドラインと制限事項

新規クラスタメンバーの追加

クラスタメンバーの置換

クラスタメンバーの照合

スパンド EtherChannel とバックアップリンク（従来の 8 アクティブ/8 スタンバイ）

ダイナミックルーティングおよびクラスタリング

パフォーマンススケーリング係数

クラスタ内のハイアベイラビリティ

シャーシアプリケーションのモニターリング

装置のヘルスモニターリング

インターフェイスモニタリング

デコレータアプリケーションのモニタリング

データパス接続状態の複製