高可用性(フェールオーバー)

ここでは、アクティブ/スタンバイ フェールオーバーを設定および管理して、Threat Defense システムのハイ アベイラビリティを実現する方法について説明します。

高可用性(フェールオーバー)について

高可用性またはフェールオーバー セットアップは、プライマリ デバイスの障害時にセカンダリ デバイスで引き継ぐことができるように、2 つのデバイスを結合します。これにより、デバイスの障害時にネットワーク運用を維持できます。

ハイアベイラビリティを設定するには、同じ 脅威に対する防御 デバイスが 2 台、専用のフェールオーバーリンク(オプションで、ステートリンク)で相互に接続されている必要があります。2 台の装置はフェールオーバーリンクを介して常に通信し、各装置の動作状態を判断して、展開された設定の変更を同期します。システムでは、フェールオーバーが発生したときにユーザ接続が維持されるように、ステート リンクを使用して接続状態の情報をスタンバイ デバイスに渡します。

この装置はアクティブ/スタンバイ ペアを形成します。1 台の装置がアクティブ装置となり、トラフィックを渡します。スタンバイ装置はアクティブにトラフィックを渡しませんが、アクティブ装置の設定やその他のステータス情報を同期します。

アクティブ装置の健全性(ハードウェア、インターフェイス、ソフトウェア、および環境のステータス)がモニタされ、特定のフェールオーバー条件が満たされているかどうか判断されます。これらの条件が満たされると、アクティブ装置がスタンバイ装置にフェールオーバーし、スタンバイ装置がアクティブになります。

アクティブ/スタンバイ フェールオーバーについて

アクティブ/スタンバイ フェールオーバーでは、障害が発生した装置の機能を、スタンバイ Threat Defense デバイス に引き継ぐことができます。アクティブ装置に障害が発生した場合、スタンバイ装置がアクティブ装置になります。

プライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 つの装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用し、どちらの装置でアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

  • 両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

  • プライマリ装置の MAC アドレスは常にアクティブ IP アドレスと組み合わされます。このルールの例外は、セカンダリ装置がアクティブになり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

起動時のアクティブ装置の判別

アクティブ装置は、次の条件で判別されます。

  • 装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

  • 装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

  • 両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。

フェールオーバー イベント

アクティブ/スタンバイフェールオーバーでは、フェールオーバーは装置ごとに行われます。

次の表に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

表 1. フェールオーバー イベント

障害イベント

ポリシー

アクティブユニットのアクション

スタンバイユニットのアクション

注記

アクティブユニットが故障(電源またはハードウェア)

フェールオーバー

該当なし

アクティブになる

アクティブを障害としてマークする

モニタ対象インターフェイスまたはフェールオーバーリンクでhelloメッセージが受信されることはありません。

以前にアクティブだったユニットが復旧

フェールオーバーなし

スタンバイになる

なし

なし。

スタンバイユニットが故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

該当なし

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー リンクに故障とマークする

フェールオーバー リンクに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

アクティブになる

フェールオーバー リンクに故障とマークする

アクティブになる

フェールオーバー リンクに故障とマークする

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステート リンクの障害

フェールオーバーなし

なし

なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

しきい値を超えたアクティブユニットでインターフェイスに障害が発生

フェールオーバー

アクティブを障害としてマークする

アクティブになる

なし。

しきい値を超えたスタンバイユニットでインターフェイスに障害が発生

フェールオーバーなし

なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンクは 2 つの装置の間の専用接続です。ステートフル フェールオーバー リンクも専用接続ですが、1 つのフェールオーバー リンクをフェールオーバー リンクとステート リンクが組み合わされたものとして使用することも、個別の専用ステート リンクを作成することもできます。フェールオーバー リンクだけを使用する場合は、ステートフルな情報もそのリンクを経由し、ステートフル フェールオーバー機能は失われません。

デフォルトでは、フェールオーバー リンクおよびステートフル フェールオーバー リンク上の通信はプレーン テキスト(暗号化されない)です。IPsec 暗号キーを設定することにより、通信を暗号化してセキュリティを強化することができます。

ここでは、これらのインターフェイスについて詳しく説明するとともに、最良の結果を得るためのデバイスの配線方法に関する推奨事項を示します。

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認し、設定の変更を同期します。

次の情報がフェールオーバー リンク経由で伝達されています。

  • 装置の状態(アクティブまたはスタンバイ)

  • Hello メッセージ(キープアライブ)

  • ネットワーク リンク ステータス

  • MAC アドレス交換

  • 設定の複製と同期化

  • システム データベースの更新。これには、VDB やルールは含まれますが、地理位置情報データベースやセキュリティ インテリジェンス データベースは含まれません。各システムは、地理位置情報の更新やセキュリティ インテリジェンスの更新を個別にダウンロードします。更新スケジュールを作成する場合は、これらの同期が維持されます。ただし、アクティブ デバイスで地理位置情報やセキュリティ インテリジェンスを手動更新する場合は、スタンバイ デバイスでも更新する必要があります。


(注)  

イベント、レポート、および監査ログ データは同期されません。イベント ビューアとダッシュボードには、特定の装置に関連するデータのみが表示されます。また、展開履歴、タスク履歴、およびその他の監査ログ イベントも同期されません。

ステートフル フェールオーバー リンク

システムは、ステート リンクを使用して接続状態の情報をスタンバイ デバイスに渡します。この情報は、フェールオーバーが発生したときにスタンバイ装置が既存の接続を維持するために役立ちます。

フェールオーバー リンクとステートフル フェールオーバー リンクの両方に単一のリンクを使用することは、インターフェイスを節約する最善の方法です。ただし、大規模な構成とトラフィックの多いネットワークを使用する場合は、ステート リンクとフェールオーバー リンクに専用のインターフェイスを使用することを検討する必要があります。

フェールオーバー リンクとステート リンクのインターフェイス

使用されていないものの有効になっているデータインターフェイス(物理または EtherChannel)をフェールオーバーリンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク用にのみ使用できます(ステート リンク用としても使用できます)。フェールオーバーに管理インターフェイスサブインターフェイス、VLAN インターフェイス、あるいはスイッチポートを使用することはできません。

脅威に対する防御 デバイスは、ユーザーデータとフェールオーバーリンク間でのインターフェイスの共有をサポートしていません。

フェールオーバーリンクとステートリンクのサイジングについては、次のガイドラインを参照してください。

  • Firepower 4100/9300: フェールオーバーリンクとステートリンクの組み合わせには、10 GBのデータインターフェイスを使用することを推奨します。

  • 他のすべてのモデル: 1 GBインターフェイスは、フェールオーバーリンクとステートリンクの組み合わせに十分な容量です。

フェールオーバーまたはステート リンクとして EtherChannel インターフェイスを使用している場合、ハイ アベイラビリティを確立する前に、両方のデバイスで同じ ID とメンバー インターフェイスを備えた同じ EtherChannel が存在していることを確認する必要があります。EtherChannel の不一致がある場合は、HA を無効にして、セカンダリユニットの設定を修正する必要があります。順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバー リンクとして使用中の EtherChannel の設定は変更できません。

フェールオーバーおよびステートフル フェールオーバー インターフェイスの接続

未使用のデータ物理インターフェイスは、フェールオーバー リンクやオプションの専用ステート リンクとして使用できます。ただし、現在名前が設定されているインターフェイスやサブインターフェイスを持つインターフェイスは選択できません。フェールオーバーおよびステートフル フェールオーバー リンク インターフェイスは、通常のネットワーキング インターフェイスとして設定されません。フェールオーバー通信用にのみ存在し、通過トラフィックや管理アクセスに使用することはできません。

設定がデバイス間で同期されるため、リンクの両端に同じポート番号を選択する必要があります。たとえば、両方のデバイスで GigabitEthernet1/3 をフェールオーバー リンク用に選択します。

次のいずれかの方法で、フェールオーバーリンクおよび専用ステートリンク(使用する場合)を接続します。

  • 脅威に対する防御 デバイスのフェールオーバー インターフェイスと同じネットワークセグメント(ブロードキャストドメインまたは VLAN)に他の装置のないスイッチを使用する。専用ステートリンクの要件は同じですが、フェールオーバーリンクとは異なるネットワークセグメントに存在する必要があります。


    (注)  

    スイッチを使用する利点は、装置のいずれかのインターフェイスがダウンした場合、障害が発生したインターフェイスのトラブルシューティングが容易であることです。直接ケーブル接続を使用する場合、1 つのインターフェイスに障害が発生すると、リンクが両方のピアでダウンし、どのデバイスで障害が発生しているのかを判別することが困難になります。

  • イーサネット ケーブルを使用してユニットを直接接続する。外部スイッチは必要ありません。脅威に対する防御 は銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

長距離のフェールオーバーを使用する場合のステート リンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を上回る場合、フェールオーバー メッセージの再送信によって、パフォーマンスが低下する可能性があります。

フェールオーバーの中断の回避とデータ リンク

すべてのインターフェイスで同時に障害が発生する可能性を減らすために、フェールオーバー リンクとデータ インターフェイスは異なるパスを通すことを推奨します。フェールオーバー リンクがダウンした場合、フェールオーバーが必要かどうかの決定に、脅威に対する防御 デバイスはデータ インターフェイスを使用できます。その後、フェールオーバー動作は、フェールオーバー リンクのヘルスが復元されるまで停止されます。

耐障害性のあるフェールオーバー ネットワークの設計については、次の接続シナリオを参照してください。

シナリオ 1:非推奨

単一のスイッチまたはスイッチ セットが 2 つの 脅威に対する防御 デバイス間のフェールオーバー インターフェイスとデータ インターフェイスの両方の接続に使用される場合、スイッチまたは Inter-Switch Link(ISL)がダウンすると、両方の 脅威に対する防御 デバイスがアクティブになります。そのため、次の図に示す 2 つの接続方法は推奨されません

図 1. 単一のスイッチを使用した接続:非推奨

単一のスイッチを介した接続推奨しません。

図 2. 2 つのスイッチを使用した接続:非推奨

2 つのスイッチを使用した接続推奨しません。

シナリオ 2:推奨

フェールオーバー リンクには、データ インターフェイスと同じスイッチを使用しないことを推奨します。代わりに、次の図に示すように、異なるスイッチを使用するか直接ケーブルを使用して、フェールオーバー リンクを接続します。

図 3. 異なるスイッチを使用した接続

異なるスイッチを使用した接続

図 4. ケーブルを使用した接続

ケーブルを使用した接続

シナリオ 3:推奨

脅威に対する防御 データ インターフェイスが複数セットのスイッチに接続されている場合、フェールオーバー リンクはいずれかのスイッチに接続できます。できれば、次の図に示すように、ネットワークのセキュアな側(内側)のスイッチに接続します。

図 5. セキュアなスイッチを使用した接続

セキュアなスイッチを使用した接続

ステートフル フェールオーバーがユーザ接続に与える影響

アクティブ装置は、接続状態情報をスタンバイ装置と共有します。これは、スタンバイ装置がユーザに影響を与えずに特定のタイプの接続を維持できることを意味します。

ただし、ステートフル フェールオーバーをサポートしないタイプの接続もあります。これらの接続については、フェールオーバーが発生した場合、ユーザが接続を再確立する必要があります。多くの場合、これは、接続で使用されているプロトコルの動作に基づいて自動的に実行されます。

ここでは、ステートフル フェールオーバーに関してサポートされる機能またはサポートされない機能について説明します。

サポートされる機能

ステートフル フェールオーバーでは、次のステート情報がスタンバイ Threat Defense デバイス に渡されます。

  • NAT 変換テーブル

  • TCP 接続状態と UDP 接続状態(HTTP 接続状態を含む)。その他の IP プロトコル タイプと ICMP は、新しいパケットが到着すると新しいアクティブ デバイスで確立されるため、アクティブ装置によって解析されません。

  • Snort 接続状態、インスペクションの結果、およびピン ホールに関する情報(TCP の厳密な適用を含む)。

  • ARP テーブル

  • レイヤ 2 ブリッジ テーブル(ブリッジ グループ用)

  • ISAKMP および IPSec SA テーブル

  • GTP PDP 接続データベース

  • SIP シグナリング セッションおよびピン ホール。

  • スタティック/ダイナミック ルーティング テーブル:ステートフル フェールオーバーは OSPF や EIGRP などのダイナミック ルーティング プロトコルに参加します。そのため、アクティブ装置上のダイナミック ルーティング プロトコルを介して学習されたルートは、スタンバイ装置のルーティング情報ベース(RIB)テーブルに保持されます。フェールオーバー イベントが発生した場合、最初はアクティブなセカンダリ装置にプライマリ装置をミラーリングするルールがあるため、パケットは通常は最小限の切断でトラフィックに移動します。フェールオーバーの直後に、新しくアクティブになった装置で再コンバージェンス タイマーが開始されます。次に、RIB テーブルのエポック番号が増加します。再コンバージェンス中に、OSPF および EIGRP ルートは新しいエポック番号で更新されます。タイマーが期限切れになると、失効したルート エントリ(エポック番号によって決定される)はテーブルから削除されます。これで、RIB には新しくアクティブになった装置での最新のルーティング プロトコル転送情報が含まれます。


    (注)  

    ルートは、アクティブ装置上のリンクアップまたはリンクダウン イベントの場合のみ同期されます。スタンバイ装置上でリンクがアップまたはダウンすると、アクティブ装置から送信されたダイナミック ルートが失われることがあります。これは正常な予期された動作です。

  • DHCP サーバ:DHCP アドレス リースは複製されません。ただし、インターフェイス上に構成された DHCP サーバは DHCP クライアントにアドレスを付与する前に ping を送信してアドレスが使用されていないことを確認するため、サービスに影響はありません。ステート情報は、DHCP リレーまたは DDNS には関係ありません。

  • アクセス コントロール ポリシーの決定:トラフィックの一致(URL、URL カテゴリ、地理位置情報などを含む)、侵入検知、マルウェア、およびファイル タイプに関する決定は、フェールオーバー時に維持されます。ただし、フェールオーバー時に評価される接続には、次の注意事項があります。

    • AVC:App-ID 判定は複製されますが、検出状態は複製されません。フェールオーバーが発生する前に App-ID 判定が完了および同期していれば、同期は正常に行われます。

    • 侵入検知状態:フェールオーバーの途中でピックアップが発生すると、新しいインスペクションは完了しますが古い状態は失われます。

    • ファイル マルウェア ブロッキング:フェールオーバーの前にファイルの判定結果を利用できるようにする必要があります。

    • ファイル タイプの検出およびブロッキング:フェールオーバーの前にファイル タイプを特定する必要があります。元のアクティブ デバイスでファイルを特定しているときにフェールオーバーが発生すると、ファイル タイプは同期されません。ファイル ポリシーでそのファイル タイプがブロックされていても、新しいアクティブ デバイスはファイルをダウンロードします。

  • アイデンティティ ポリシーによる受動的なユーザ アイデンティティの決定。ただし、キャプティブ ポータル経由のアクティブ認証によって収集されたものではありません。

  • セキュリティ インテリジェンスの決定。

  • RA VPN:リモート アクセス VPN のエンド ユーザは、フェールオーバー後に VPN セッションを再認証または再接続する必要はありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。

  • すべての接続から、確立された接続だけがスタンバイ ASA に複製されます。

サポートされない機能

ステートフル フェールオーバーでは、次のステート情報はスタンバイ Threat Defense デバイス に渡されません。

  • GRE や IP-in-IP などのプレーンテキストトンネル内のセッション。トンネル内のセッションは複製されません。新しいアクティブ ノードでは、正しいポリシー ルールを照合するために既存のインスペクション判定を再利用することはできません。

  • 復号された TLS/SSL 接続:復号状態は同期されず、アクティブユニットに障害が発生すると、復号された接続がリセットされます。新しいアクティブユニットへの新しい接続を確立する必要があります。復号されていない接続(つまり、TLS/SSL[復号しない(Do Not Decrypt)] ルールアクションに一致する)は影響を受けず、正しく複製されます。

  • マルチキャスト ルーティング。

スタンバイ装置で許可される設定の変更とアクション

高可用性モードで運用している場合は、アクティブ装置にのみ設定の変更を加えます。設定を展開すると、新しい変更はスタンバイ装置にも送信されます。

ただし、一部のプロパティはスタンバイ装置固有です。スタンバイ装置では次の設定を変更できます。

  • 管理 IP アドレスとゲートウェイ。

  • カスタマイズされたログイン ページ。

  • CLI のみです。管理者ユーザアカウントや他のローカルユーザアカウントのパスワード。この変更を行うことができるのは CLI のみで、Device Manager で行うことはできません。すべてのローカルユーザは、両方のユニットで個別にパスワードを変更する必要があります。

さらに、スタンバイ デバイスでは次のアクションを実行できます。

  • HA の一時停止、再開、リセット、解除などの高可用性アクションと、アクティブ モードとスタンバイ モードの切り替え。

  • ダッシュボードとイベント データはデバイスごとに一意であり、同期されません。これには、イベント ビューアのカスタム ビューが含まれます。

  • 監査ログ情報はデバイスごとに一意です。

  • スマート ライセンシングの登録。ただし、アクティブ装置でオプションのライセンスを有効または無効にする必要があります。このアクションはスタンバイ装置と同期され、適切なライセンスが要求または解放されます。

  • バックアップ(ただし復元ではない)。バックアップを復元するには装置で HA を解除する必要があります。バックアップに HA 設定が含まれている場合、装置は HA グループに再び参加します。

  • ソフトウェア アップグレードのインストール。

  • トラブルシューティング ログの生成。

  • 地理位置情報データベースまたはセキュリティ インテリジェンス データベースの手動更新。これらのデータベースは、装置間で同期されません。更新スケジュールを作成する場合、装置は独立して一貫性を維持できます。

  • [モニタリング(Monitoring)] > [セッション(Sessions)] ページからアクティブな Device Manager のユーザーセッションを表示したり、セッションを削除できます。

ハイ アベイラビリティのシステム要件

ここでは、ハイ アベイラビリティ設定に 2 台のデバイスを実装する前に満たさなくてはならない要件について説明します。

HA のハードウェア要件

高可用性設定で 2 つのデバイスを結び付けるには、次のハードウェア要件を満たす必要があります。

  • デバイスはまったく同じハードウェア モデルである必要があります。

    Firepower 9300 の場合、ハイ アベイラビリティは同じタイプのモジュール間でのみサポートされていますが、2 台のシャーシにモジュールを混在させることができます。たとえば、各シャーシに SM-36 および SM-44 がある場合、SM-36 モジュール間と SM-44 モジュール間に高可用性ペアを作成できます。

  • デバイスは同じ数の同じタイプのインターフェイスを備えている必要があります。

    Firepower 4100/9300 シャーシの場合、HA を有効にする前に、すべてのインターフェイスを FXOS で同様に事前設定する必要があります。HA を有効にした後にインターフェイスを変更する場合は、スタンバイユニットの FXOS でそのインターフェイスを変更してから、アクティブユニットで同じ変更を行います。

  • デバイスには同じモジュールが取り付けられている必要があります。たとえば、一方にオプションのネットワーク インターフェイス モジュールがある場合は、もう一方のデバイスに同じモジュールを取り付ける必要があります。

  • Firepower 9300 のシャーシ内ハイアベイラビリティはサポートされません。同じ Firepower 9300 シャーシで別の論理デバイス間の HA を設定することはできません。

HA のソフトウェア要件

高可用性設定で 2 つのデバイスを結び付けるには、次のソフトウェア要件を満たす必要があります。

  • デバイスは、まったく同じバージョンのソフトウェア(つまり、1 番目のメジャー番号、2 番目のマイナー番号、および 3 番目のメンテナンス番号が同じ)を実行する必要があります。バージョンは、Device Manager の [デバイス(Devices]) ページで確認できます。また、CLI で show version コマンドを使用して確認することもできます。異なるバージョンを実行するデバイスでも参加できますが、設定がスタンバイ装置にインポートされず、装置を同じソフトウェア バージョンにアップグレードしないとフェールオーバーは機能しません。

  • 両方のデバイスがローカルマネージャモードになっている必要があります。つまり、Device Manager を使用して設定されている必要があります。両方のシステムで Device Manager にログインできる場合は、それらがローカルマネージャモードになっています。CLI で show managers コマンドを使用して確認することもできます。

  • 各デバイスの初期セットアップ ウィザードを完了する必要があります。

  • 各デバイスに固有の管理 IP アドレスが必要です。管理インターフェイスの設定は、デバイス間で同期されません。

  • デバイスの NTP 設定が同じである必要があります。

  • DHCP を使用してアドレスを取得するようにインターフェイスを設定することはできません。つまり、すべてのインターフェイスに静的 IP アドレスが必要です。

  • クラウドサービスの場合は、両方のデバイスを同じリージョンに登録する必要があります。そうしないと、どちらのデバイスも登録できなくなります。複数のクラウドサービスの登録を組み合わせることはできません。

  • ハイ アベイラビリティを設定する前に、保留中の変更を展開する必要があります。

HA のライセンス要件

高可用性を設定する前に、装置が同じ状態(両方とも Essentials ライセンスに登録されているか両方とも評価モードになっている)である必要があります。デバイスが登録されている場合は、それらを異なる Cisco Smart Software Manager アカウントに登録できますが、それらのアカウントは、エクスポート制御機能設定が同じ状態(両方有効または両方無効)である必要があります。ただし、装置ごとに異なるオプション ライセンスを有効にすることは可能です。両方のユニットを登録する場合は、デバイスに対して同じシスコ クラウド サービスのリージョンを選択する必要があります。

デバイスが登録されている場合は、スマートライセンスまたはパーマネントライセンス予約(PLR)のいずれかと同じモードを使用する必要があります。

運用時には、高可用性ペアの装置に同じライセンスが必要です。アクティブ装置で行ったライセンスの変更は、展開時にスタンバイ装置で繰り返されます。

高可用性設定には 2 つのスマート ライセンス権限付与(ペアの各デバイスに 1 つずつ)が必要です。各デバイスに適用するためにアカウントに十分なライセンスがあることを確認する必要があります。ライセンスが不足している場合は、一方のデバイスが準拠状態でも、もう一方のデバイスが非準拠になる可能性があります。

たとえば、アクティブデバイスに Essentials ライセンスと IPS が割り当てられており、スタンバイデバイスに Essentials ライセンスのみが割り当てられている場合、スタンバイ装置は Cisco Smart Software Manager と通信してアカウントから利用可能な IPS を取得します。スマート ライセンス アカウントに購入済みの十分な権限付与が含まれていない場合は、正しい数のライセンスが購入されるまで、アカウントがコンプライアンス適用外(そのため、アクティブ デバイスにコンプライアンスが適用されていてもスタンバイ デバイスはコンプライアンス適用外)になります。


(注)  

輸出規制対象の機能の設定が異なるアカウントにデバイスを登録した場合、または 1 つの装置が登録済みで、もう 1 つが評価モードにある HA ペアを作成しようとした場合、HA の参加が失敗する可能性があります。輸出規制機能に関する設定が不整合な状態で IPsec 暗号化鍵を設定すると、HA を有効化した後に両方のデバイスがアクティブになります。これはサポートされているネットワーク セグメント上のルーティングに影響を与え、回復させるにはセカンダリ ユニットで HA を手動で中断する必要があります。

高可用性のガイドライン

モデルのサポート

  • Firepower 9300Firepower 9300 で HA を設定することができます。ただし、同じ Firepower 9300 シャーシで別の論理デバイス間の HA を設定することはできません。

  • Firepower 1010 および Cisco Secure Firewall 1210/1220

    • 高可用性 を使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットスタンバイユニットの両方でトラフィックを通過させ続けます。高可用性 は、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常の 高可用性 のネットワーク設定では、両方のユニットのアクティブなスイッチ ポートがネットワーク ループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニタできますが、スイッチポートはモニタできません。理論的には、1 つのスイッチ ポートを VLAN に配置して、高可用性 を正常に使用することができますが、代わりに物理ファイアウォール インターフェイスを使用する設定の方が簡単です。

    • ファイアウォール インターフェイスはフェールオーバー リンクとしてのみ使用できます。

    • 高可用性ペアのシャーシの場合、スタンバイユニットの「アクティブ」LED はオレンジ色です。

  • Firepower 1000 シリーズ):デバイスが HA で展開されており、それらのデバイスで何百ものインターフェイスが設定されている場合、フェールオーバー時間の遅延(秒単位)が増加する可能性があります。

  • Threat Defense Virtual:HA 設定は、Microsoft Azure クラウドまたは Amazon Web Services(AWS)クラウドThreat Defense Virtual ではサポートされていません。

その他のガイドライン

  • 169.254.0.0/16 と fd00:0:0:*::/64 は内部的に使用されるサブネットであり、フェールオーバーリンクやステートリンクに使用することはできません。

  • アクティブ装置で展開ジョブを実行すると、アクティブ装置の設定がスタンバイ装置に同期されます。ただし、一部の変更は、変更を展開するまでスタンバイ装置で同期されなくても、保留中の変更に表示されません。次のいずれかを変更すると、変更は非表示になり、スタンバイ装置で設定する前に展開ジョブを実行する必要があります。変更をすぐに適用する必要がある場合は、保留中の変更に表示されている他の変更を行う必要があります。非表示となる変更には、ルール、ジオデータベース、セキュリティ インテリジェンスまたは VDB 更新のスケジュール、バックアップのスケジュール、NTP、管理接続用 HTTP プロキシ、ライセンス権限付与、クラウドサービスオプション、URL フィルタリングオプションの編集が含まれます。

  • プライマリ装置とセカンダリ装置の両方でバックアップを実行する必要があります。バックアップを復元するには、まず HA を解除する必要があります。両方のユニットで同じバックアップを復元しないでください(両方のユニットがアクティブになってしまうため)。代わりに、まず、アクティブする装置でバックアップを復元し、その後に、別のユニットで同等のバックアップを復元してください。

  • さまざまなアイデンティティ ソースの [テスト(Test)] ボタンは、アクティブ装置でのみ機能します。スタンバイ デバイスのアイデンティティ ソース接続をテストする必要がある場合は、まず、モードを切り替えてスタンバイ ピアをアクティブ ピアにする必要があります。

  • 高可用性設定を作成または解除すると、設定の変更が展開されたときに両方のデバイスで Snort 検査プロセスが再開されます。これにより、プロセスが完全に再開されるまでに通過トラフィックの中断が発生する可能性があります。

  • 高可用性の初期設定時に、セカンダリ上のセキュリティ インテリジェンスおよび地理位置情報データベースのバージョンがプライマリ上のバージョンと異なる場合、データベースを更新するジョブはセカンダリ装置でスケジュールされます。これらのジョブは、次の展開時にアクティブ装置から実行されます。HA 結合に失敗した場合でも、これらのジョブはそのまま残り、次の展開時に実行されます。

  • アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリー プロトコル(STP)を実行している接続済みスイッチ ポートは、トポロジ変更を検出すると 30 ~ 50 秒間ブロッキング ステートに移行できます。ポートがブロッキング ステートである間のトラフィックの損失を回避するために、スイッチで STP PortFast 機能を有効にすることができます。

    interface interface_id spanning-tree portfast

    この回避策は、ルーテッド モード インターフェイスとブリッジ グループ インターフェイスの両方に接続されたスイッチに適用されます。PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディング モードに遷移します。ポートは STP に参加し続けます。したがって、ポートがループの一部になる場合、最終的には STP ブロッキング モードに遷移します。

  • 高可用性ペアに接続されているスイッチでポート セキュリティを設定すると、フェールオーバー イベントが発生したときに通信上の問題が発生する可能性があります。この問題は、あるセキュア ポートで設定または学習されたセキュア MAC アドレスが別のセキュア ポートに移動するときに、スイッチのポート セキュリティ機能によって違反フラグが付けられるために発生します。

  • アクティブ/スタンバイ高可用性と VPN IPsec トンネルの場合、VPN トンネル経由で SNMP を使用してアクティブ装置とスタンバイ装置の両方をモニタすることはできません。スタンバイ装置にはアクティブ VPN トンネルがなく、ネットワーク管理システム(NMS)宛てのトラフィックはドロップされます。代わりに、SNMPv3 を暗号化とともに使用して IPSec トンネルを不要にすることができます。

高可用性の構成

ハイ アベイラビリティのセットアップを使用して、デバイスで障害が発生している場合でもネットワーク接続を確保します。アクティブ/スタンバイ ハイ アベイラビリティを使用して、2 台のデバイスがリンクされます。そのため、アクティブ デバイスが故障した場合、スタンバイ デバイスが引き継ぎ、ユーザは接続の問題をほとんど感じません。

次の手順で、アクティブ/スタンバイ ハイ アベイラビリティ(HA)ペアをセットアップするエンドツーエンド プロセスについて説明します。

手順

ステップ 1

2 台の装置でのハイ アベイラビリティの準備

ステップ 2

ハイ アベイラビリティ用のプライマリ装置の設定

ステップ 3

ハイ アベイラビリティ用のセカンダリ装置の設定

ステップ 4

ヘルス モニタリングのフェールオーバー基準の設定

基準には、ピア モニタリングとインターフェイス モニタリングが含まれます。すべてのフェールオーバー基準にはデフォルト設定がありますが、デフォルト設定を調べて、それらがネットワークで機能していることを確認する必要があります。

ステップ 5

(任意。ただし推奨)スタンバイ IP および MAC アドレスの設定

ステップ 6

(オプション)ハイ アベイラビリティ設定の確認

2 台の装置でのハイ アベイラビリティの準備

高可用性を正常に設定するには、多くのことを事前に正しく準備する必要があります。

手順

ステップ 1

デバイスがHA のハードウェア要件に説明されている要件を満たしていることを確認します。

ステップ 2

単一のフェールオーバー リンクを使用するのか、別のフェールオーバー リンクとステートフル フェールオーバー リンクを使用するのかを決め、使用するポートを特定します。

各リンクのそれぞれのデバイスで同じポート番号を使用する必要があります。たとえば、フェールオーバー リンクの場合は両方のデバイスで GigabitEthernet 1/3 を使用します。使用する内容を把握しておくことで、誤ってその他の目的で使用することがなくなります。詳細については、フェールオーバー リンクとステートフル フェールオーバー リンクを参照してください。

ステップ 3

デバイスをインストールしてネットワークに接続し、各デバイスで初期セットアップ ウィザードを完了します。

  1. フェールオーバーの中断の回避とデータ リンクで推奨のネットワーク設計を確認します。

  2. インターフェイスの接続の説明に従い、少なくとも外部インターフェイスだけは接続します。

    その他のインターフェイスも接続できますが、特定のサブネットへの接続には各デバイスで同じポートを使用する必要があります。各デバイスでは同じ設定が共有されるため、デバイスは同じ方法でネットワークに接続する必要があります。

    (注)  

     

    セットアップ ウィザードでは、管理インターフェイスと内部インターフェイスの IP アドレスを変更できません。そのため、プライマリ デバイス上のそれらのインターフェイスのいずれかをネットワークに接続する場合、セカンダリ デバイスのインターフェイスは接続しないでください。接続すると IP アドレスの競合が発生します。ワークステーションをそれらのインターフェイスのいずれかに直接接続し、DHCP を介してアドレスを取得できるため、Device Manager に接続して、デバイスを設定できます。

  3. 各デバイスで初期セットアップ ウィザードを完了します。外部インターフェイスの静的 IP アドレスを指定していることを確認します。さらに、同じ NTP サーバを設定します。詳細については、セットアップウィザードを使用した初期設定の完了を参照してください。

    各装置で同じライセンスと Cisco Success Network オプションを選択します。たとえば、それぞれに評価モードを選択したり、デバイスを登録したりします。

  4. セカンダリ デバイスで、[デバイス(Device)] > [システム設定(System Settings)] > [管理インターフェイス(Management Interface)] を選択して一意の IP アドレスを設定し、必要に応じてゲートウェイを変更します。また、ニーズに合わせて DHCP サーバの設定を無効化または変更します。

  5. セカンダリ デバイスで、[デバイス(Device)] > [インターフェイス(Interface)] を選択し、内部インターフェイスを編集します。IP アドレスを削除するか、または変更します。また、同じネットワーク上に 2 つの DHCP サーバは定義できないため、インターフェイスに定義されている DHCP サーバを削除します。

  6. 設定をセカンダリ デバイスに展開します。

  7. ネットワーク トポロジに基づいて必要な場合は、プライマリ デバイスにログインして、管理アドレス、ゲートウェイ、DHCP サーバの設定、および内部インターフェイスの IP アドレスを変更します。変更を加えた場合は、設定を展開します。

  8. 内部インターフェイス、または管理インターフェイス(別の管理ネットワークを使用する場合)を接続していない場合は、ここでそれらのインターフェイスをスイッチに接続できます。

ステップ 4

デバイスのソフトウェア バージョンが完全に同じである(つまり、同じメジャー(1 番)、マイナー(2 番)、メンテナンス(3 番)の番号が付いている)ことを確認します。バージョンは、Device Manager の [デバイス(Devices]) ページで確認できます。また、CLI で show version コマンドを使用して確認することもできます。

同じソフトウェア バージョンが実行されていない場合は、Cisco.com から推奨のソフトウェア バージョンを取得して、各デバイスにインストールします。詳細については、のアップグレードThreat Defenseを参照してください。

ステップ 5

接続して、フェールオーバー リンクとステートフル フェールオーバー リンクを設定します。

  1. フェールオーバーの中断の回避とデータ リンクで選択した)推奨のネットワーク設計に従い、適切に各デバイスのフェールオーバー インターフェイスをスイッチに接続するか、デバイス間で直接接続します。

  2. 別のステートリンクを使用している場合は、各デバイスのステートフル フェールオーバー インターフェイスも適切に接続します。

  3. 次に各デバイスにログインして、[デバイス(Device)] > [インターフェイス(Interface)] にアクセスします。各インターフェイスを編集し、インターフェイス名や IP アドレスが設定されていないことを確認します。

    名前付きのインターフェイスが設定されている場合、その名前を削除する前に、セキュリティ ゾーンからそれらのインターフェイスを削除して、その他の設定を削除する必要がある場合があります。名前の削除に失敗した場合は、エラー メッセージを調べて、加える必要があるその他の変更を確認します。

ステップ 6

プライマリ デバイスで、残りのデータ インターフェイスを接続してデバイスを設定します。

  1. [デバイス(Device)] > [インターフェイス(Interface)] を選択し、トラフィックの通過に使用される各インターフェイスを編集し、プライマリ静的 IP アドレスを設定します。

  2. セキュリティ ゾーンにインターフェイスを追加し、接続されたネットワーク上のトラフィックの処理に必要な基本的なポリシーを設定します。設定例については、ベストプラクティス:Threat Defense の使用例にリストされているトピックを参照してください。

  3. 設定を展開します。

ステップ 7

HA のソフトウェア要件で説明されているすべての要件を満たしていることを確認します。

ステップ 8

一貫性のあるライセンス(登録済みまたは評価モード)を保有していることを確認します。詳細については、HA のライセンス要件を参照してください。

ステップ 9

セカンダリ デバイスで、残りのデータ インターフェイスをプライマリ デバイスの同等のインターフェイスと同じネットワークに接続します。インターフェイスは設定しないでください。

ステップ 10

各デバイスで [デバイス(Device)] > [システム設定(System Settings)] > [クラウドサービス(Cloud Services)] を選択し、設定が同じであることを確認します。

これで、プライマリ デバイスで高可用性を設定する準備が整いました。

ハイ アベイラビリティ用のプライマリ装置の設定

アクティブ/スタンバイ ハイ アベイラビリティ ペアをセットアップするには、まず、プライマリ デバイスを設定する必要があります。プライマリデバイスは、通常の状況下でアクティブにする予定の装置です。セカンダリデバイスは、プライマリユニットが使用できなくなるまでスタンバイモードのままです。

プライマリにするデバイスを選択し、そのデバイス上の Device Manager にログインして次の手順に従います。


(注)  

いったんハイアベイラビリティペアを確立すると、この手順で説明する設定を編集するにはペアを破棄する必要があります。

始める前に

フェールオーバー リンクとステートフル フェールオーバー リンク用に設定するインターフェイスに名前が付いていないことを確認します。名前が付いている場合は、セキュリティ ゾーン オブジェクトを含め、それらを使用するポリシーからインターフェイスを削除してインターフェイスを編集し、名前を削除する必要があります。また、インターフェイスはパッシブ モードではなくルーテッド モードにする必要もあります。これらのインターフェイスは、HA 設定での使用専用にする必要があります。他のプロセスに使用することはできません。

保留中の変更がある場合は、それらを展開してから HA を設定する必要があります。

手順

ステップ 1

[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側で、[ハイアベイラビリティ(High Availability)] グループの横にある [設定(Configure)] をクリックします。

デバイスで初めて HA を設定する場合、グループは次のように表示されます。


HA を設定する前のハイ アベイラビリティ グループ。

ステップ 3

[ハイアベイラビリティ(High Availability)] ページで、[プライマリデバイス(Primary Device)] ボックスをクリックします。

セカンダリ デバイスが既に設定されていて、その設定をクリップボードにコピーする場合は、[クリップボードから貼り付け(Paste from Clipboard)] ボタンをクリックすると設定を貼り付けることができます。これにより、適切な値でフィールドが更新され、後で確認できます。

ステップ 4

[フェールオーバーリンク(Failover Link)] プロパティを設定します。

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認し、設定の変更を同期します。詳細については、フェールオーバー リンクを参照してください。

  • [物理インターフェイス(Physical Interface)] フェールオーバー リンクとして使用するセカンダリ デバイスに接続するインターフェイスを選択します。名前が付いていないインターフェイスにする必要があります。

    フェールオーバーまたはステート リンクとして EtherChannel インターフェイスを使用している場合、ハイ アベイラビリティを確立する前に、両方のデバイスで同じ ID とメンバー インターフェイスを備えた同じ EtherChannel が存在していることを確認する必要があります。EtherChannel の不一致がある場合は、HA を無効にして、セカンダリユニットの設定を修正する必要があります。順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバー リンクとして使用中の EtherChannel の設定は変更できません。

  • [タイプ(Type)]:インターフェイスに IPv4 アドレスまたは IPv6 アドレスを使用するかどうか選択します。設定できるアドレス タイプは 1 つのみです。

  • [プライマリIP(Primary IP)]:このデバイス上のインターフェイスの IP アドレスを入力します。(192.168.10.1 など)。IPv6 アドレスの場合、標準表記にプレフィックス長を含める必要があります(2001:a0a:b00::a0a:b70/64 など)。

  • [セカンダリIP(Secondary IP)]:セカンダリ デバイス上のインターフェイスについて、リンクのもう一方の端に設定する必要がある IP アドレスを入力します。このアドレスはプライマリ アドレスと同じサブネット上に存在し、プライマリ アドレスとは異なるアドレスである必要があります(192.168.10.2 または 2001:a0a:b00::a0a:b71/64 など)。

  • [ネットマスク(Netmask)](IPv4 のみ):プライマリ/セカンダリ IP アドレスのサブネット マスクを入力します。

ステップ 5

[ステートフルフェールオーバーリンク(Stateful Failover Link)] プロパティを設定します。

システムは、ステート リンクを使用して接続状態の情報をスタンバイ デバイスに渡します。この情報は、フェールオーバーが発生したときにスタンバイ装置が既存の接続を維持するために役立ちます。フェールオーバー リンクと同じリンクを使用するか、別のリンクを設定することができます。

  • [フェールオーバーリンクと同じインターフェイスを使用する(Use the Same Interface as the Failover Link)]:フェールオーバー通信およびステートフル フェールオーバー通信に単一のリンクを使用する場合は、このオプションを選択します。このオプションを選択する場合は、次の手順に進みます。

  • [物理インターフェイス(Physical Interface)]:別のステートフル フェールオーバー リンクを使用する場合は、ステートフル フェールオーバー リンクとして使用するセカンダリ デバイスに接続したインターフェイスを選択します。名前が付いていないインターフェイスにする必要があります。次のプロパティを設定します。

    • [タイプ(Type)]:インターフェイスに IPv4 アドレスまたは IPv6 アドレスを使用するかどうか選択します。設定できるアドレス タイプは 1 つのみです。

    • [プライマリIP(Primary IP)]:このデバイス上のインターフェイスの IP アドレスを入力します。アドレスは、フェールオーバー リンクに使用されるものとは別のサブネット上にある必要があります(192.168.11.1 など)。IPv6 アドレスの場合、標準表記にプレフィックス長を含める必要があります(2001:a0a:b00:a::a0a:b70/64 など)。

    • [セカンダリIP(Secondary IP)]:セカンダリ デバイス上のインターフェイスについて、リンクのもう一方の端に設定する必要がある IP アドレスを入力します。このアドレスはプライマリ アドレスと同じサブネット上に存在し、プライマリ アドレスとは異なるアドレスである必要があります(192.168.11.2 または 2001:a0a:b00:a::a0a:b71/64 など)。

    • [ネットマスク(Netmask)](IPv4 のみ):プライマリ/セカンダリ IP アドレスのサブネット マスクを入力します。

ステップ 6

(オプション)ペアの 2 台の装置間での通信を暗号化する場合は、[IPsec暗号キー(IPsec Encryption Key)] 文字列を入力します。

セカンダリ ノードでまったく同じキーを設定する必要があるため、入力した文字列をメモしてください。

キーを入力しなければ、フェールオーバー リンクとステートフル フェールオーバー リンクでのすべての通信はプレーン テキストで実行されます。インターフェイス間をケーブルで直接接続していない場合、これによってセキュリティの問題が発生することがあります。

(注)  

 

評価モードで HA フェールオーバー暗号化を設定すると、システムは暗号化に DES を使用します。エクスポート準拠アカウントを使用してデバイスを登録すると、デバイスはリブート後に AES を使用します。したがって、アップグレードのインストール後など、何らかの理由でシステムがリブートすると、ピアは通信できなくなり、両方のユニットがアクティブユニットになります。デバイスを登録するまで、暗号化を設定しないことを推奨します。評価モードで暗号化を設定する場合は、デバイスを登録する前に暗号化を削除することを推奨します。

ステップ 7

[HAの有効化(Activate HA)] をクリックします。

システムは、すぐにデバイスに設定を展開します。展開ジョブを開始する必要はありません。設定が保存され、展開が進行中であるというメッセージが表示されない場合は、ページ上部にスクロールして、エラー メッセージを確認します。

設定はクリップボードにもコピーされます。コピーを使用すると、簡単にセカンダリ装置を設定できます。セキュリティを強化するため、暗号キーはクリップボードのコピーには含まれません。

設定が完了すると、実行する必要がある次の手順を説明するメッセージが表示されます。情報を確認したら、[了解(Got It)] をクリックします。

この時点で、[ハイアベイラビリティ(High Availability)] ページが表示され、デバイス ステータスが [ネゴシエーション中(Negotiating)] になっている必要があります。ステータスはピアの設定前でも [アクティブ(Active)] に変わります。設定するまで [故障(Failed)] と表示されます。


プライマリを設定してからセカンダリを設定するまでの HA ステータス。

これで、セカンダリ装置を設定できるようになりました。ハイ アベイラビリティ用のセカンダリ装置の設定を参照してください。

(注)  

 

選択したインターフェイスは直接設定されません。ただし、CLI に show interface と入力すると、インターフェイスが特定の IP アドレスを使用していることが表示されます。インターフェイスには「failover-link」という名前が付いています。別のステート リンクを設定する場合は「stateful-failover-link」になります。

ハイ アベイラビリティ用のセカンダリ装置の設定

プライマリデバイスをアクティブ/スタンバイ ハイ アベイラビリティ向けに設定した後、セカンダリデバイスを設定する必要があります。そのデバイス上の Device Manager にログインして、次の手順に従います。


(注)  

まだそのように設定していない場合は、プライマリデバイスからクリップボードにハイアベイラビリティ設定をコピーします。手動でデータを入力するより、コピーと貼り付けを使用してセカンダリ デバイスを設定するほうがはるかに簡単です。

手順

ステップ 1

[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側で、[ハイアベイラビリティ(High Availability)] グループの横にある [設定(Configure)] をクリックします。

デバイスで初めて HA を設定する場合、グループは次のように表示されます。


HA を設定する前のハイ アベイラビリティ グループ。

ステップ 3

[ハイアベイラビリティ(High Availability)] ページで、[セカンダリデバイス(Secondary Device)] ボックスをクリックします。

ステップ 4

次のいずれかを実行します。

  • [簡単な方法(Easy method)]:[クリップボードから貼り付け(Paste from Clipboard)] ボタンをクリックして設定に貼り付け、[OK] をクリックします。これにより、適切な値でフィールドが更新され、後で確認できます。

  • [手動の方法(Manual method)]:フェールオーバー リンクとステートフル フェールオーバー リンクを直接設定します。プライマリ デバイスに入力したのとまったく同じ設定をセカンダリ デバイスに入力します。

ステップ 5

プライマリ デバイスで [IPSec暗号キー(IPSec Encryption Key)] を設定した場合、まったく同じキーをセカンダリ デバイスに入力します。

ステップ 6

[HAの有効化(Activate HA)] をクリックします。

システムは、すぐにデバイスに設定を展開します。展開ジョブを開始する必要はありません。設定が保存され、展開が進行中であるというメッセージが表示されない場合は、ページ上部にスクロールして、エラー メッセージを確認します。

設定が完了すると、HA が設定されたことを示すメッセージが表示されます。[了解(Got It)] をクリックして、メッセージを閉じます。

この時点で、[ハイアベイラビリティ(High Availability)] ページが表示され、デバイス ステータスにこれがセカンダリ デバイスであることが示されている必要があります。プライマリ デバイスとの結合が成功した場合、デバイスはプライマリと同期して、最終的にはスタンバイ モードになります。ピアがアクティブになります。


HA 結合が成功した場合のセカンダリ装置設定後の HA ステータス。

(注)  

 

選択したインターフェイスは直接設定されません。ただし、CLI に show interface と入力すると、インターフェイスが特定の IP アドレスを使用していることが表示されます。インターフェイスには「failover-link」という名前が付いています。別のステート リンクを設定する場合は「stateful-failover-link」になります。

ヘルス モニタリングのフェールオーバー基準の設定

高可用性設定の装置は、全体的な健全性とインターフェイスの健全性をモニタします。

フェールオーバー基準により、ピアに障害が発生したかどうかを判断するヘルス モニタリング メトリックが定義されます。アクティブ ピアが基準に違反した装置である場合、スタンバイ装置へのフェールオーバーがトリガーされます。スタンバイ ピアが基準に違反した装置である場合、スタンバイ ピアは障害が発生した装置としてマークされ、フェールオーバーに使用できなくなります。

アクティブ デバイスでのみフェールオーバー基準を設定できます。

次の表に、フェールオーバー トリガー イベントと、関連する障害検出のタイミングを示します。

表 2. フェールオーバー基準に基づくフェールオーバー時間

フェールオーバー トリガー イベント

最小

デフォルト

最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のインターフェイスの物理リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

ここでは、フェールオーバー ヘルス モニタリング基準をカスタマイズする方法と、システムがインターフェイスをテストする方法について説明します。

ピア装置のヘルス モニタリング フェールオーバー基準の設定

ハイ アベイラビリティ設定の各ピアは、hello メッセージを使用してフェールオーバー リンクをモニタすることによって相手装置の状態を判断します。装置がフェールオーバー リンクで 3 回連続して hello メッセージを受信しない場合、装置はフェールオーバー リンクを含む各データ インターフェイスに LANTEST メッセージを送信し、ピアが応答するかどうか検証します。デバイスが行うアクションは、相手装置からの応答によって異なります。

  • デバイスがフェールオーバー リンクで応答を受信した場合は、フェールオーバーを行いません。

  • デバイスがフェールオーバー リンクで応答を受信せず、データ インターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

  • デバイスがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。

hello メッセージのポーリング時間および保留時間を設定できます。

手順

ステップ 1

アクティブ デバイスで、[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側に表示される [ハイアベイラビリティ(High Availability)] リンクをクリックします。

フェールオーバー条件は、[ハイアベイラビリティ(High Availability)] ページの右側の列に表示されます。

ステップ 3

[ピアのタイミング設定(Peer Timing Configuration)] を定義します。

これらの設定では、アクティブ デバイスがスタンバイ デバイスにフェールオーバーできる早さを決定します。ポーリング時間が短いほど、デバイスは短時間で障害を検出し、フェールオーバーをトリガーできます。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。ほとんどの場合、デフォルト設定が適切です。

1 回のポーリング期間中に装置がフェールオーバー インターフェイスで hello パケットを検出しなかった場合、残りのインターフェイスで追加テストが実行されます。それでも保持時間内にピア装置から応答がない場合、その装置は故障していると見なされ、故障した装置がアクティブ装置の場合は、スタンバイ装置がアクティブ装置を引き継ぎます。

  • [ポーリング時間(Poll Time)]:hello メッセージ間の間隔。1 ~ 15 秒または 200 ~ 999 ミリ秒を入力します。デフォルト値は 1 秒です。

  • [保留時間(Hold Time)]:装置が、フェールオーバー リンクで hello メッセージを受信する間隔。この時間を経過すると、ピア装置で障害が発生したと見なされます。保留時間は、ポーリング時間の 3 倍以上にする必要があります。1 ~ 45 秒または 800 ~ 999 ミリ秒を入力します。デフォルトは 15 秒です。

ステップ 4

[保存(Save)] をクリックします。

インターフェイスのヘルス モニタリング フェールオーバー基準の設定

デバイス モデルに応じて、最大 211 のインターフェイスをモニタできます。重要なインターフェイスをモニタする必要があります。たとえば、重要なネットワーク間のスループットを保証するインターフェイスなどです。スタンバイ IP アドレスを設定する場合、さらにインターフェイスを常にアップ状態にする必要がある場合にのみインターフェイスをモニタします。

2 回のポーリング期間中に装置がモニタ対象のインターフェイス上で hello メッセージを受信しない場合は、インターフェイス テストを実行します。1 つのインターフェイスに対するインターフェイス テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「Unknown」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したデバイスは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイモードに戻ります。

show monitor-interface コマンドを使用して、CLIまたはCLIコンソールからインターフェイスのHAステータスをモニタできます。詳細については、HA モニター対象インターフェイスのステータスのモニタリングを参照してください。


(注)  

インターフェイスの 1 つがダウンした場合、フェールオーバーの観点からは、これも装置の問題と見なされます。インターフェイスがダウンしていることを装置が検出すると、インターフェイスの保留時間を待たずにすぐにフェールオーバーが発生します(1 インターフェイスのデフォルトしきい値を維持している場合)。インターフェイスの保留時間が有効であるのは、装置が自身のステータスを OK と見なしているときだけです(ピアから hello パケットを受信していなくても)。

始める前に

デフォルトでは、すべての名前付き物理インターフェイスが HA モニタリングに選択されています。したがって、重要ではない物理インターフェイスのモニタリングを無効にする必要があります。サブインターフェイスまたはブリッジ グループでは、手動でモニタリングを有効にする必要があります。

インターフェイス モニタリングを完全に無効にしてインターフェイスの故障によるフェールオーバーを防止するには、単純に、HA モニタリングが有効になっているインターフェイスがないことを確認します。

手順

ステップ 1

アクティブ デバイスで、[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側に表示される [ハイアベイラビリティ(High Availability)] リンクをクリックします。

フェールオーバー条件は、[ハイアベイラビリティ(High Availability)] ページの右側の列に表示されます。

ステップ 3

[インターフェイス障害しきい値(Interface Failure Threshold)] を定義します。

故障したインターフェイスの数がしきい値を満たすと、装置は自身を故障としてマークします。装置がアクティブ装置の場合、スタンバイ装置にフェールオーバーします。装置がスタンバイ装置の場合、自身を故障としてマークすることによって、アクティブ装置はその装置をフェールオーバーに利用できると見なさなくなります。

この条件を設定する場合、モニタするインターフェイスの数を考慮します。たとえば、2 つのインターフェイスでのみモニタリングを有効ににすると、10 個のインターフェイスのしきい値に到達することはありません。インターフェイスのプロパティを編集するときに [詳細オプション(Advanced Options)] タブの [HAモニタリングの有効化(Enable for HA Monitoring)] オプションを選択することで、インターフェイスのモニタリングを設定します。

デフォルトでは、1 つのモニタ対象インターフェイスが故障すると、装置は自身を故障としてマークします。

次の [フェールオーバー条件(Failover Criteria)] オプションのいずれかを選択して、インターフェイス障害のしきい値を設定できます。

  • [故障したインターフェイスの数を超える(Number of failed interfaces exceeds)]:インターフェイスの生の数字を入力します。デフォルトは 1 です。実際には、最大値はデバイス モデルに依存して変わりますが、211 以上を入力することはできません。この条件を使用すると、デバイス サポートよりも大きい数を入力すると展開エラーが発生します。より小さい数を試すか、代わりにパーセンテージを使用します。

  • [故障インターフェイスのパーセンテージを超える(Percentage of failed interfaces exceeds)]:1 ~ 100 の数値を入力します。たとえば、50% と入力して 10 個のインターフェイスをモニタする場合、5 個のインターフェイスが故障するとデバイスは自身を故障としてマークします。

ステップ 4

[インターフェイスタイミング設定(Interface Timing Configuration)] を定義します。

これらの設定では、インターフェイスで障害が発生したかどうかをアクティブデバイスが判断できる早さを決定します。ポーリング時間が短いほど、デバイスは短時間でインターフェイスの障害を検出できます。ただし、検出が早いほど、実際には健全な状態でもビジー状態のインターフェイスが障害発生とマークされ、必要以上に頻繁にフェールオーバーが生じる可能性があります。ほとんどの場合、デフォルト設定が適切です。

インターフェイス リンクがダウンしていると、インターフェイスのテストは実行されません。また、故障したインターフェイスの数が設定されたインターフェイス フェールオーバーしきい値に合致するかまたはそれを超過すると、スタンバイ装置は 1 回のインターフェイス ポーリング期間でアクティブになります。

  • [ポーリング時間(Poll Time)]:hello パケットがデータ インターフェイスで送信される頻度。1 ~ 15 秒または 500 ~ 999 ミリ秒を入力します。デフォルトは 5 秒です。

  • [保留時間(Hold Time)]:保留時間によって、hello パケットを受信できなかったときからインターフェイスが故障とマークされるまでの時間が決まります。5 ~ 75 秒を入力します。ポーリング時間の 5 倍に満たない保持時間は入力できません。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

モニタする各インターフェイスのHAモニタリングを有効にします。

  1. [デバイス(Device)] > [インターフェイス(Interfaces)] を選択します。

    インターフェイスをモニタしている場合、[HAのモニタ]列は[有効]になります。

  2. モニタリング ステータスを変更するインターフェイスの編集アイコン(edit icon)をクリックします。

    フェールオーバー インターフェイスまたはステートフル フェールオーバー インターフェイスは編集できません。インターフェイス モニタリングはそれらに適用されません。

  3. [詳細オプション(Advanced Options)] タブをクリックします。

  4. 必要に応じて、[HAモニタリングの有効化(Enable for HA Monitoring)] チェックボックスを選択または選択解除します。

  5. [OK] をクリックします。

ステップ 7

(任意。ただし推奨)モニタ対象インターフェイスのスタンバイ IP アドレスおよび MAC アドレスを設定します。「スタンバイ IP および MAC アドレスの設定」を参照してください。

システムがインターフェイス ヘルスをテストする方法

システムは、ユーザが高可用性ヘルスをモニタしているインターフェイスを継続的にテストします。インターフェイスのテストに使用されるアドレスは、ユーザが設定するアドレス タイプに基づきます。

  • インターフェイスに IPv4 アドレスと IPv6 アドレスの両方が設定されている場合、デバイスは IPv4 アドレスを使用してヘルス モニタリングを実行します。

  • インターフェイスに IPv6 アドレスだけが設定されている場合、デバイスは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、デバイスは IPv6 全ノード アドレス(FE02::1)を使用します。

システムは、各装置で次のテストを実行します。

  1. リンク アップ/ダウン テスト:インターフェイス ステータスのテストです。リンク アップ/ダウン テストでインターフェイスがダウンしていることが示された場合、装置はそれに障害が発生していると見なします。ステータスが Up(稼働中)の場合、装置はネットワーク動作のテストを実行します。

  2. ネットワーク動作のテスト:ネットワークの受信動作のテストです。このテストでは、LANTEST メッセージを使用して、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。テスト中(最大 5 秒間)に装置がパケットを受信するとすぐに、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。いずれの装置もトラフィックを受信しなかった場合、装置は ARP テストを開始します。

  3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワークトラフィックを発生させるために、1 回に 1 つずつ、これらのデバイスに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のデバイスに送信されます。リストの最後まで来てもトラフィックが受信されない場合は、ping テストが実行されます。

  4. ブロードキャスト ping テスト:このテストでは、ブロードキャスト ping 要求が送信されます。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックがまったく受信されない場合は、もう一度 ARP テストが実行されます。

スタンバイ IP および MAC アドレスの設定

インターフェイスを設定する場合、同じネットワーク上にアクティブ IP アドレスとスタンバイ IP アドレスを指定できます。推奨されてはいますが、スタンバイアドレスは必須ではありません。スタンバイ IP アドレスがなければ、アクティブ装置はネットワーク テストを実行してスタンバイ インターフェイスの状態を確認することはできません。できることはリンク ステートの追跡のみです。また、管理目的でそのインターフェイス上のスタンバイ装置に接続することもできません。

  1. プライマリ装置がフェールオーバーすると、セカンダリ装置はプライマリ装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。

  2. 現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。

ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。

セカンダリ装置がプライマリ装置を検出せずにブートした場合、プライマリ装置の MAC アドレスを認識していないため、セカンダリ装置がアクティブ装置になり、自分の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置(アクティブ)は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。同様に、新しいハードウェアでプライマリ装置をスワップ アウトすると新しい MAC アドレスが使用されます。

仮想 MAC アドレスがこの中断を防ぎます。なぜなら、アクティブ MAC アドレスは起動時にセカンダリ装置によって認識され、プライマリ装置のハードウェアが新しくなっても変わらないからです。仮想 MAC アドレスを手動で設定できます。

仮想 MAC アドレスを設定しなかった場合、トラフィック フローを復元するために、接続されたルータの ARP テーブルのクリアが必要になる場合があります。MACアドレスが変わった場合、Threat Defense デバイスはスタティックNATアドレスに対してGratuitous ARPを送信しません。そのため、接続されたルータはこれらのアドレスのMACアドレス変更を認識できません。

手順

ステップ 1

[デバイス(Device)] > [インターフェイス(Interfaces)] を選択します。

少なくとも、HAをモニタしているインターフェイスのスタンバイIPアドレスとMACアドレスを設定する必要があります。インターフェイスをモニタしている場合、[HAのモニタ(Monitor for HA)] 列は [有効(Enabled)] になります。

ステップ 2

スタンバイ アドレスを設定するインターフェイスの編集アイコン(edit icon)をクリックします。

フェールオーバー インターフェイスまたはステートフル フェールオーバー インターフェイスは編集できません。ハイ アベイラビリティを設定する場合、これらのインターフェイスの IP アドレスを設定します。

ステップ 3

[IPv4アドレス(IPv4 Address)] タブおよび [IPv6アドレス(IPv6 Address)] タブでスタンバイ IP アドレスを設定します。

スタンバイ アドレスは、スタンバイ デバイスでこのインターフェイスによって使用されます。スタンバイ IP アドレスを設定しない場合、アクティブ装置はネットワーク テストを使用してスタンバイ インターフェイスをモニタできません。追跡できるのはリンク ステートだけです。使用している IP バージョンごとにスタンバイ アドレスを設定します。

ステップ 4

[詳細オプション(Advance Options)] タブをクリックして、MAC アドレスを設定します。

デフォルトでは、システムはインターフェイスのネットワーク インターフェイス カード(NIC)に焼き込まれた MAC アドレスを使用します。したがって、インターフェイスのすべてのサブインターフェイスは同じ MAC アドレスを使用するため、サブインターフェイスごとに一意のアドレスを作成する必要がある場合があります。手動設定されたアクティブ/スタンバイ MAC アドレスも、ハイ アベイラビリティを設定する場合に推奨されます。MAC アドレスを定義すると、フェールオーバー時にネットワークの一貫性を維持することができます。

  • [MACアドレス(MAC Address)]:H.H.H 形式の Media Access Control アドレス。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は 000C.F142.4CDE と入力します。MAC アドレスはマルチキャスト ビット セットを持つことはできません。つまり、左から 2 番目の 16 進数字を奇数にすることはできません。

  • [スタンバイMACアドレス(Standby MAC Address)]:ハイ アベイラビリティで使用します。アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

ステップ 5

[OK] をクリックします。

ハイ アベイラビリティ設定の確認

高可用性の設定が完了したら、両方のデバイスが「動作中」でアクティブ/スタンバイ モードであることが、デバイスのステータスに示されていることを確認します。


高可用性ロールおよびモードのステータス。

次の手順を使用して、高可用性の設定が機能していることを確認できます。

手順

ステップ 1

FTP などを使用して、異なるインターフェイス上のホスト間でファイルを送信し、アクティブな装置が予期したとおりにトラフィックを渡しているかどうかをテストします。

設定済みの各インターフェイスに接続されている、少なくとも 1 つのワークステーションからシステムへの接続をテストします。

ステップ 2

次のいずれかを実行して、モードを切り替え、アクティブ装置をスタンバイ装置にします。

  • Device Manager で、[デバイス(Device)] > [ハイアベイラビリティ(High Availability)] ページの歯車メニューから [モードの切り替え(Switch Mode)] を選択します。

  • アクティブ装置の CLI で、no failover active を入力します。

ステップ 3

接続テストを繰り返して、ハイ アベイラビリティ ペア内のその他の装置からも同じ接続を確立できることを確認します。

テストが失敗する場合は、他の装置の同等インターフェイスと同じネットワークにその装置のインターフェイスを接続していることを確認します。

HA ステータスは [ハイアベイラビリティ(High Availability)] ページから確認できます。CLI または装置の CLI コンソールを使用し、show failover コマンドを入力して、フェールオーバーステータスを確認することもできます。また、show interface コマンドを使用して、失敗した接続テストで使用されたインターフェイスのインターフェイス設定を確認できます。

これらの操作で問題を特定できない場合は、他の手順を実行することができます。ハイ アベイラビリティ(フェールオーバー)のトラブルシューティングを参照してください。

ステップ 4

完了したら、モードを切り替えて、元々アクティブだった装置をアクティブ ステータスに戻します。

高可用性の管理

高可用性ペアを管理するには、[デバイス概要(Device Summary)] ページの [高可用性(High Availability)] リンクをクリックします。


高可用性グループ、デバイス概要ページ。

[高可用性(High Availability)] ページには次のものがあります。

  • [ロールおよびモード ステータス(Role and Mode Status)]:左側のステータス エリアには、デバイスがグループ内のプライマリ デバイスかセカンダリ デバイスかが示されます。モードは、このデバイスがアクティブかスタンバイかや、HA が一時停止されているかデバイスがピア デバイスの参加を待っているかが示されます。また、ピア デバイスのステータス(アクティブ、スタンバイ、一時停止、または障害)も示されます。たとえば、現在ログインしているデバイスがプライマリ デバイスであり、アクティブ デバイスでもある場合、セカンダリ デバイスが正常で、必要に応じてフェールオーバーできる状態であれば、ステータスは次のように表示されます。ピアの間のアイコンをクリックすると、デバイス間の設定同期ステータスに関する情報を取得できます。


    高可用性ロールおよびモードのステータス。

  • [直近の失敗理由(Last Failure Reason)]:高可用性(HA)の設定が何らかの理由で失敗した場合(アクティブデバイスが使用不可になり、スタンバイデバイスにフェールオーバーするなど)、直近の失敗の理由がロールとモードのステータスの下に表示されます。このメッセージは、フェールオーバー履歴から取得されます。

  • [フェールオーバー履歴(Failover History)] リンク:このリンクをクリックすると、ペアに含まれるデバイスのステータスの詳細な履歴を確認できます。CLI コンソールが開き、show failover history details コマンドが実行されます。

  • [展開履歴(Deployment History)] リンク:このリンクをクリックすると、イベントがフィルタリングされて展開ジョブだけが表示された監査ログに移動します。

  • 歯車ボタン 歯車/設定] をクリックします。:このボタンをクリックすると、デバイス上でアクションが実行されます。

    • [HA の一時停止(Suspend HA)]/[HA の再開(Resume HA)]:HA を一時停止すると、HA 設定を削除しなくても、デバイスが高可用性ペアとして機能しなくなります。その後、デバイスで HA を再開(つまり再有効化)することができます。詳細については、ハイ アベイラビリティの中断または再開を参照してください。

    • [HA の解除(Break HA)]:HA を解除すると、両方のデバイスから高可用性設定が削除され、それらがスタンドアロン デバイスに戻ります。詳細については、ハイ アベイラビリティの破棄を参照してください。

    • [モードの切り替え(Switch Mode)]:モードを切り替えることにより、アクションを実行するデバイスに応じて、強制的にアクティブ デバイスをスタンバイにしたりスタンバイ デバイスをアクティブにすることができます。詳細については、アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)を参照してください。

  • [高可用性設定(High Availability Configuration)]:このパネルには、フェールオーバー ペアの設定が表示されます。[クリップボードにコピー(Copy to Clipboard)] ボタンをクリックすると情報をクリップボードにロードできます。そこから、セカンダリ デバイスの設定に貼り付けることができます。情報を記録するために別のファイルにコピーすることもできます。この情報には、IPsec 暗号キーを定義したかどうかは示されません。


    (注)  

    HA のインターフェイス設定は、インターフェイスのページ([デバイス(Device)] > [インターフェイス(Interfaces)])に反映されません。HA 設定で使用しているインターフェイスは編集できません。

  • [フェールオーバー基準(Failover Criteria)]:このパネルには、「アクティブ装置に障害が発生したためにスタンバイ装置がアクティブ装置になる必要がある」かどうかを評価する際に使用される健全性の基準を決定する設定が含まれます。これらの基準を調整して、ネットワークで必要なフェールオーバー パフォーマンスを実現してください。詳細については、ヘルス モニタリングのフェールオーバー基準の設定を参照してください。

ここでは、高可用性設定に関連するさまざまな管理タスクについて説明します。

ハイ アベイラビリティの中断または再開

高可用性ペアの装置を中断することができます。これは、次の場合に役立ちます。

  • 両方の装置がアクティブ-アクティブ状態になっていて、フェールオーバー リンクの通信を修正しても問題が解決しない場合。

  • アクティブまたはスタンバイ装置のトラブルシューティングを行い、その間に装置をフェールオーバーしたくない場合。

  • スタンバイ デバイスのソフトウェア アップグレードをインストール中のフェールオーバーを防ぎたい場合。

高可用性を中断する場合は、デバイスのペアがフェールオーバー装置として動作するのを停止します。現在アクティブなデバイスはアクティブなまま、すべてのユーザ接続を処理します。ただし、フェールオーバーの基準の監視が不要になった場合、システムが擬似スタンバイ デバイスにフェールオーバーすることはありません。スタンバイ デバイスの設定は維持されますが、非アクティブのままです。

HA の中断と HA の無効化の主な違いは、中断状態の HA デバイスで高可用性の設定が維持される点にあります。HA を無効化すると、設定は消去されます。そのため、中断システムで HA を再開するオプションがあり、既存の設定を有効にし、2 台のデバイスを再びフェールオーバー ペアとして機能させることができます。

アクティブな装置から高可用性を中断する場合は、アクティブスタンバイの両方の装置で設定が中断されます。スタンバイ装置から高可用性を中断する場合は、スタンバイ装置でのみ中断され、アクティブな装置は中断装置へのフェールオーバーを試みません。

再開できるのは中断状態の装置だけです。ユニットは、ピア ユニットとアクティブ/スタンバイ ステータスをネゴシエートします。


(注)  

必要に応じて、CLI から configure high-availability suspend コマンドを入力して HA を中断できます。HA を再開するには、configure high-availability resume を入力します。

始める前に

Device Manager を使用してハイアベイラビリティを中断した場合、装置をリロードした場合でも、再開するまで中断のままになります。ただし、CLI を使用して中断した場合は一時的な状態なので、リロード時に装置のハイ アベイラビリティの設定が自動的に再開され、ピアとアクティブ/スタンバイ状態がネゴシエートされます。

スタンバイ装置の高可用性を中断する場合は、展開ジョブがアクティブな装置で実行中かどうかを確認してください。展開ジョブの進行中にモードを切り替えると、ジョブが失敗し、設定の変更は失われます。

手順

ステップ 1

[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側に表示される [ハイアベイラビリティ(High Availability)] リンクをクリックします。

ステップ 3

ギア アイコン(歯車/設定] をクリックします。)から適切なコマンドを選択します。

  • [HA の中断(Suspend HA)]:アクションの確認を求められます。メッセージを読んで、[OK] をクリックします。HA ステータスにデバイスが中断モードであることが表示されます。

  • [HA の再開(Resume HA)]:アクションの確認を求められます。メッセージを読んで、[OK] をクリックします。HA ステータスは、装置がピアとネゴシエートした後に正常(アクティブまたはスタンバイ)に戻ります。

ハイ アベイラビリティの破棄

2 台のデバイスをハイ アベイラビリティ ペアとして稼働しない場合は、HA 設定を破棄できます。HA を破棄すると、各デバイスはスタンドアロン デバイスになります。これらの設定は、次のように変更されます。

  • アクティブ デバイスは破棄される前と変わらずすべての設定を維持し、HA 設定が削除されます。

  • スタンバイ デバイスでは HA 設定だけでなくすべてのインターフェイス設定が削除されます。すべての物理インターフェイスは無効になりますが、サブ インターフェイスは無効になりません。管理インターフェイスはアクティブなままであるため、デバイスにログインして再設定することができます。


    (注)  

    または、(API エクスプローラから)BreakHAStatus API リソースを使用し、interfaceOption 属性を使用して、スタンバイ IP アドレスを使用してスタンバイデバイスのインターフェイスを再設定するようシステムに指示することもできます。この結果が必要な場合は、API を使用する必要があります。Device Manager は常にインターフェイスを無効にします。システムは IP アドレスを再設定しますが、そうでない場合にはすべてのインターフェイスオプションが再設定されないため、中断後に変更が展開されるまでトラフィックが期待どおりに動作しない可能性があることに注意してください。

破棄が装置にどのように影響するのかは、破棄を実行するときの各装置の状態によって変わります。

  • 装置が健全なアクティブ/スタンバイ状態である場合、アクティブ装置から HA を破棄します。これにより、HA ペアの両方のデバイスから HA 設定が削除されます。スタンバイ装置でのみ HA を破棄する場合は、スタンバイ装置にログインして HA を中断した後に HA を破棄できます。

  • スタンバイ装置が中断状態または障害状態になっている場合、アクティブ装置から HA を破棄するとアクティブ装置からのみ HA 設定が削除されます。スタンバイ装置にログインして、スタンバイ装置の HA も破棄する必要があります。

  • ピアが HA をネゴシエーションしていたり設定を同期している場合、HA を破棄することはできません。ネゴシエーションまたは同期が完了するか、タイムアウトになるまで待ちます。システムがこの状態でスタックしていると思われる場合は、HA を中断してから HA を破棄することができます。


(注)  

Device Manager を使用する場合、configure high-availability disable コマンドを使用して CLI から HA を破棄することはできません。

始める前に

理想的な結果を得るために、デバイスを健全なアクティブ/スタンバイ状態にして、アクティブ デバイスからこの操作を実行します。

手順

ステップ 1

[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側に表示される [ハイアベイラビリティ(High Availability)] リンクをクリックします。

ステップ 3

歯車アイコン(歯車/設定] をクリックします。)から、[HAの破棄(Break HA)] を選択します。

ステップ 4

確認メッセージを読み、オプションを選択してインターフェイスを無効にするかどうかを決定し、[OK] をクリックします。

スタンバイ装置から HA を破棄する場合は、インターフェイスを無効にするオプションを選択する必要があります。

システムはすぐに、このデバイスとピア デバイスの両方で変更を展開します(可能な場合)。各デバイスで展開が完了して、各デバイスが依存しなくなるまで数分かかることがあります。

アクティブ ピアとスタンバイ ピアの切り替え(強制フェールオーバー)

機能している高可用性ペア(つまり、1 つのピアがアクティブで、もう 1 つがスタンバイ)のアクティブ/スタンバイ モードを切り替えることができます。たとえば、ソフトウェア アップグレードをインストールしている場合は、アクティブな装置をスタンバイに切り替えて、アップグレードがユーザ トラフィックに影響を及ぼさないようにできます。

モードはアクティブまたはスタンバイ装置から切り替えることができますが、ピア装置はその他の装置の観点から機能している必要があります。中断中の装置がある場合、モードを切り替えることはできません(最初に HA を再開する必要があります)。そうしないと、失敗します。


(注)  

必要に応じて、CLI からアクティブモードとスタンバイモードを切り替えることができます。スタンバイ装置から、failover active コマンドを入力します。アクティブ装置から、no failover active コマンドを入力します。

始める前に

モードを切り替える前に、アクティブな装置で展開ジョブが進行中でないことを確認します。展開ジョブの完了を待ってから、モードを切り替えます。

アクティブな装置に保留中の展開していない変更がある場合は、モードを切り替える前に展開します。そうしないと、新しいアクティブな装置から展開ジョブを実行した場合に変更内容が失われます。

手順

ステップ 1

[デバイス(Device)] をクリックします。

ステップ 2

デバイスの概要の右側に表示される [ハイアベイラビリティ(High Availability)] リンクをクリックします。

ステップ 3

ギア アイコンから(歯車/設定] をクリックします。)から、[モードの切り替え(Switch Mode)] を選択します。

ステップ 4

確認メッセージを読んで、[OK] をクリックします。

強制的にフェールオーバーが行われ、アクティブな装置がスタンバイになり、スタンバイ装置が新しいアクティブな装置になります。

フェールオーバー後の未展開の設定変更の保持

高可用性ペアの装置の設定を変更する場合は、アクティブ装置で設定を編集します。その後、変更を展開すると、アクティブ装置とスタンバイ装置の両方が新しい設定で更新されます。アクティブ装置がプライマリ デバイスであるかセカンダリ デバイスであるかは関係ありません。

ただし、未展開の変更は装置間で同期されません。未展開の変更は、変更を行った装置でのみ利用できます。

そのため、未展開の変更があるときにフェールオーバーが発生すると、その変更は新しいアクティブ装置で利用できません。ただし、現在のスタンバイになっている装置では、変更が保持されています。

未展開の変更を取得するには、モードを切り替えてフェールオーバーを強制的に実行し、そのもう一方の装置をアクティブ ステータスに戻す必要があります。新しくアクティブになった装置にログインすると、未展開の変更が利用可能になり、それらを展開できます。[高可用性(High Availability)] 設定の歯車メニュー(歯車/設定] をクリックします。)から [モードの切り替え(Switch Modes)] コマンドを使用します。

次の点に注意してください。

  • スタンバイ装置上に未展開の変更があるときにアクティブ装置から変更を展開すると、スタンバイ装置上の未展開の変更が削除されます。そのため、それらを取得できなくなります。

  • スタンバイ装置が高可用性ペアに参加すると、そのスタンバイ装置上の未展開の変更が削除されます。装置がペアに参加または再参加するたびに、設定が同期されます。

  • 未展開の変更を持つ装置に致命的な障害が発生し、その装置を置き換えたり再イメージ化する必要があった場合は、未展開の変更が完全に失われます。

高可用性モードでのライセンスと登録の変更

高可用性ペアの装置は、ライセンスと登録ステータスが同じである必要があります。変更するには、次の手順に従います。

  • アクティブ装置でオプションのライセンスを有効または無効にします。その後、設定を展開すると、スタンバイ装置が必要なライセンスを要求(または解放)します。ライセンスを有効にする際は、Cisco Smart Software Manager アカウントで十分な数のライセンスが使用可能であることを確認する必要があります。これを確認しないと、一方の装置が準拠、もう一方の装置が非準拠になる可能性があります。

  • 装置を個別に登録または登録解除します。正しく機能させるには、両方の装置を評価モードにするか、両方の装置を登録する必要があります。装置を異なる Cisco Smart Software Manager アカウントに登録できますが、それらのアカウントは、エクスポート制御機能設定が同じ状態(両方有効または両方無効)である必要があります。装置の登録ステータスに一貫性がない場合は、設定の変更を展開できません。

HA IPsec 暗号キーまたは HA 設定の編集

フェールオーバー基準を変更するには、アクティブ装置にログインし、変更を加えて、それらを展開します。

ただし、フェールオーバー リンクで使用される IPsec 暗号キーを変更したり、フェールオーバーまたはステートフル フェールオーバー リンクのインターフェイスや IP アドレスを変更する必要がある場合は、まず HA 設定を解除する必要があります。その後、新しい暗号キーまたはフェールオーバー/ステートフル フェールオーバー リンク設定を使用してプライマリおよびセカンダリ装置を再設定できます。

障害のある装置の正常な装置としてのマーキング

高可用性設定の装置は、定期的なヘルス モニタリングによって、障害が発生した装置としてマーキングされる場合があります。この装置が正常である場合は、ヘルス モニタリング要件を再度満たすと正常なステータスに戻ります。正常なデバイスが、頻繁に、障害が発生したデバイスとしてマーキングされる場合は、ピア タイムアウトの値を増やしたり、重要性の低い特定のインターフェイスのモニタリングを停止したり、インターフェイスのモニタリング タイムアウトを変更することができます。

CLI から failover reset コマンドを入力することにより、障害が発生した装置を強制的に正常な装置として表示させることができます。このコマンドは、アクティブ装置から入力することをお勧めします。それにより、スタンバイ装置のステータスがリセットされます。show failover コマンドまたは show failover state コマンドを使用することにより、装置のフェールオーバーステータスを表示できます。

障害が発生した装置を障害のない状態に復元しても、その装置は自動的にはアクティブになりません。復元された装置は、(強制または通常の)フェールオーバーによってアクティブになるまではスタンバイ状態のままです。

デバイス ステータスをリセットしても、障害が発生したデバイスとしてマーキングされる原因となった問題は解決されません。問題に対処しなかったり、モニタリング タイムアウトを緩和したりすると、そのデバイスは、障害が発生したデバイスとして再びマーキングされます。

ハイアベイラビリティ Threat Defense のアップグレード

ハイアベイラビリティ デバイスをアップグレードするには、この手順を使用します。一度に 1 つずつアップグレードしてください。中断を最小限に抑えるため、スタンバイは常にアップグレードします。つまり、現在のスタンバイをアップグレードし、ロールを切り替えてから、新しいスタンバイをアップグレードします。FXOS を更新する必要がある場合は、どちらかのシャーシで Threat Defense をアップグレードする前に、両方のシャーシで更新してください。その場合も、常にスタンバイをアップグレードします。


注意    

一方のユニットのアップグレード中にもう一方のユニットで設定変更を行ったり展開したりしないでください。また、異なるバージョンのペアに設定変更を展開しないでください。システムが非アクティブに見えても、アップグレード中は手動で再起動またはシャットダウンしないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。失敗した(または進行中)のアップグレードを手動でキャンセルし、失敗したアップグレードを再試行できます。問題が解消されない場合は、Cisco TAC にお問い合わせください。

アップグレード中に発生する可能性のあるこれらの問題およびその他の問題の詳細については、ハイアベイラビリティ Threat Defense のアップグレードのトラブルシューティングを参照してください。

始める前に

アップグレードの計画を完了します。正常に展開され、通信が確立されていることを確認します。


ヒント

アップグレードの計画は、『Cisco Secure Firewall Threat Defense リリースノート』を読むことから始まります。次に、バックアップの作成、アップグレードパッケージの取得、および関連するアップグレード(Firepower 4100/9300 の FXOS など)の実行が含まれます。また、必要な構成変更のチェック、準備状況のチェック、ディスク容量のチェック、実行中のタスクとスケジュールされたタスクの両方のチェックも含まれます。詳細については、お使いのバージョンの『Device Manager 用 Cisco Secure Firewall Threat Defense アップグレードガイドを参照してください。

手順

ステップ 1

スタンバイユニットにログインします。

ステップ 2

[デバイス(Device)] を選択し、[更新(Updates)] パネルの [設定の表示(View Configuration)] をクリックします。

[システムアップグレード(System Upgrade)] パネルには、現在実行中のソフトウェアバージョン、およびすでにアップロードされたアップグレードパッケージが表示されます。

ステップ 3

アップグレードパッケージをアップロードします。

アップロードできるパッケージは 1 つだけです。新しいパッケージをアップロードすると、古いパッケージが置き換えられます。ターゲットバージョンとデバイスモデルに適したパッケージがあることを確認してください。[参照(Browse)] または [別のファイルをアップロード(Upload Another File)][ファイルの置き換え(Replace File)] をクリックしてアップロードを開始します。

アップロードが完了すると、確認ダイアログボックスが表示されます。[OK] をクリックする前に、必要に応じて [すぐにアップグレードを実行(Run Upgrade Immediately)] を選択して、ロールバックオプションを選択し、今すぐアップグレードします。今すぐアップグレードする場合は、アップグレード前のチェックリストをできるだけ多く完了することが特に重要です(次のステップを参照)。

ステップ 4

準備状況チェックを含む、アップグレード前の最終チェックを実行します。

アップグレード前のチェックリストを再確認します。関連するすべてのタスク、特に最終チェックを完了していることを確認してください。 準備状況チェックを手動で実行しない場合、アップグレードの開始時に実行されます。準備状況チェックに失敗すると、アップグレードはキャンセルされます。詳細については、アップグレード準備状況チェックの実行を参照してください。

ステップ 5

[インストール(Install)][今すぐアップグレード(Upgrade Now)] をクリックしてアップグレードを開始します。

  1. ロールバックオプションを選択します。

    [アップグレードに失敗すると自動的にキャンセルされ、前のバージョンにロールバックする(Automatically cancel on upgrade failure and roll back to the previous version)] を選択できます。オプションを有効にすると、アップグレードが失敗した場合、デバイスは自動的にアップグレード前の状態に戻ります。失敗したアップグレードを手動でキャンセルまたは再試行できるようにする場合は、このオプションを無効にします。

  2. [続行(Continue)] をクリックして、アップグレードしてデバイスを再起動します。

    自動的にログオフされ、デバイスが再起動するまでアップグレードを監視できるステータスページに移動します。また、このページには、進行中のインストールをキャンセルするオプションが含まれています。自動ロールバックを無効にしてアップグレードが失敗した場合は、アップグレードを手動でキャンセルするか、再試行できます。

    アップグレード中にトラフィックがドロップされます。

ステップ 6

可能なときに再度ログインし、アップグレードが成功したことを確認します。

[デバイスの概要(Device Summary)] ページには、現在実行中のソフトウェア バージョンとハイアベイラビリティのステータスが表示されます。成功を確認する「とともに」ハイアベイラビリティが再開されるまで、続行しないでください。アップグレードが成功した後もハイアベイラビリティが一時停止されたままになる場合は、ハイアベイラビリティ Threat Defense のアップグレードのトラブルシューティングを参照してください。

ステップ 7

2 つ目のユニットをアップグレードします。

  1. ロールを切り替えてこのデバイスをアクティブにします。[デバイス(Device)] > [ハイアベイラビリティ(High Availability)] を選択し、歯車メニュー(歯車/設定] をクリックします。)から [モードの切り替え(Switch Mode)] を選択してください。ユニットのステータスがアクティブに変わるのを待ち、トラフィックが正常に送信されていることを確認します。ログアウトします。

  2. アップグレードします。前の手順を繰り返して新しいスタンバイにログインして、パッケージをアップロードし、デバイスをアップグレードして、進行状況をモニターし、成功を確認してください。

ステップ 8

デバイスのロールを調べます。

特定のデバイスに優先するロールがある場合は、それらの変更を今すぐ行ってください。

ステップ 9

アクティブユニットにログインします。

ステップ 10

アップグレード後のタスクを完了します。

  1. システムデータベースを更新します。侵入ルール、VDB、GeoDB の自動更新が設定されていない場合は、ここで更新します。

  2. アップグレード後に必要な構成変更が他にもあれば、実行します。

  3. 展開します。

ハイアベイラビリティ Threat Defense のアップグレードのトラブルシューティング

一般的なアップグレードのトラブルシューティング

以下の問題は、スタンドアロンまたはハイアベイラビリティペアのデバイスをアップグレードするときに発生する可能性があります。

アップグレードパッケージのエラー。

適切なアップグレードパッケージを見つけるには、使用しているモデルを シスコ サポートおよびダウンロード サイト で選択または検索し、適切なバージョンのソフトウェアのダウンロードページを参照します。使用可能なアップグレードパッケージは、インストールパッケージ、ホットフィックス、およびその他の該当するダウンロードとともに表示されます。アップグレードパッケージのファイル名には、プラットフォーム、パッケージタイプ(アップグレード、パッチ、ホットフィックス)、ソフトウェアバージョン、およびビルドが反映されています。

バージョン 6.2.1 以降のアップグレードパッケージは署名されており、ファイル名の最後は .sh.REL.tar です。署名付きのアップグレード パッケージは解凍しないでください。 アップグレードパッケージの名前を変更したり、電子メールで転送したりしないでください。

アップグレード中にデバイスにまったく到達できない。

デバイスは、アップグレード中、またはアップグレードが失敗した場合に、トラフィックを渡すことを停止します。アップグレードする前に、ユーザーの位置からのトラフィックがデバイスの管理インターフェイスにアクセスするためにデバイス自体を通過する必要がないことを確認してください。

アップグレード中にデバイスが非アクティブまたは無反応に見える。

進行中のメジャーおよびメンテナンスアップグレードは手動でキャンセルできます。Threat Defense のアップグレードのキャンセルまたは再試行を参照してください。デバイスが応答しない場合、またはアップグレードをキャンセルできない場合は、Cisco TAC にお問い合わせください。


注意    

システムが非アクティブに見えても、アップグレード中は手動で再起動またはシャットダウン「しない」でください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。

アップグレードは成功したが、システムが予期どおりに機能しない。

まず、キャッシュされた情報が更新されていることを確認します。単にブラウザウィンドウを更新して再度ログインするのではなく、URL から「余分な」パスを削除し、ホームページに再接続します(たとえば、http://threat-defense.example.com/)。

引き続き問題が発生し、以前のメジャーリリースまたはメンテナンスリリースに戻す必要がある場合は、復元できる場合があります。Threat Defense の復元を参照してください。復元できない場合は、イメージを再作成する必要があります。

アップグレードが失敗する。

メジャーアップグレードまたはメンテナンスアップグレードを開始する場合は、[アップグレードに失敗すると自動的にキャンセルされる...(Automatically cancel on upgrade failure...)] (自動キャンセル)オプションを使用して、次のように、アップグレードが失敗した場合の動作を選択します。

  • [自動キャンセルが有効(Auto-cancel enabled)](デフォルト):アップグレードが失敗すると、アップグレードがキャンセルされ、デバイスは自動的にアップグレード前の状態に復元されます。問題を修正し、後で再試行してください。

  • [自動キャンセルが無効(Auto-cancel disabled)]:アップグレードが失敗した場合、デバイスはそのままになります。問題を修正してすぐに再試行するか、手動でアップグレードをキャンセルして後で再試行してください。

詳細については、Threat Defense のアップグレードのキャンセルまたは再試行を参照してください。再試行またはキャンセルできない場合、または問題が解消されない場合は、Cisco TAC にお問い合わせください。

ハイアベイラビリティのアップグレードのトラブルシューティング

以下の問題は、ハイアベイラビリティのアップグレードに固有です。

未確定の変更を展開しないと、アップグレードは開始されません。

未確定の変更がないにもかかわらず、すべての未確定の変更を展開する必要があることを示すエラーメッセージが表示される場合は、アクティブユニットにログインして(スタンバイユニットをアップグレードする必要があることに注意してください)、マイナーな変更を作成し、展開してください。その後、変更を元に戻し、再展開してから、スタンバイでアップグレードを再試行します。

この方法では解決せず、ユニットが推奨されるものとは異なるソフトウェアバージョンを実行している場合は、ロールを切り替えてスタンバイユニットをアクティブにしてから、高可用性を一時停止します。一時停止したアクティブユニットから展開して高可用性を再開し、ロールを切り替えてアクティブユニットを再びスタンバイにします。これでアップグレードが動作するはずです。

スタンバイのアップグレード中にアクティブユニットからの展開が失敗するか、アプリケーション同期エラーが発生する。

これは、スタンバイのアップグレード中にアクティブユニットから展開した場合に発生する可能性があります。この操作は、サポートされていません。エラーが発生してもアップグレードを続行してください。両方のユニットをアップグレードした後に、必要な設定変更を行い、アクティブユニットから展開します。エラーは解決するはずです。

これらの問題を回避するために、一方のユニットのアップグレード中にもう一方のユニットで設定変更を行ったり展開したりしないでください。また、異なるバージョンのペアに設定変更を展開しないでください。

アップグレード中に行われた設定変更が失われる。

何らかの理由で、設定変更を行い、異なるバージョンのペアに展開する必要がある場合は、両方のユニットに変更を加える必要があります。そうしないと、下位バージョンのアクティブユニットをアップグレードした後にそれらの設定変更が失われます。

アップグレード後に高可用性が一時停止される。

アップグレード後の再起動の後に、システムがライブラリの更新や Snort の再起動といった最終的な自動タスクを実行している間は、高可用性が一時的に停止されます。アップグレードの「直後」に CLI にログインすると、多くの場合、この状態が見られます。アップグレードが完全に完了して Device Manager が使用可能になっても高可用性が自動的に再開されない場合は、手動で実行してください。

  1. アクティブデバイスとスタンバイデバイスの両方にログインし、タスクリストを確認します。両方のデバイスで、実行されているすべてのタスクが完了するまで待ちます。高可用性を再開するのが早すぎると、その後に、フェールオーバーが原因で停止するという問題が発生する可能性があります。

  2. [デバイス(Device)] > [高可用性(High Availability)]を選択し、歯車メニュー(歯車/設定] をクリックします。)から [HAの再開(Resume HA)] を選択します。

異なるバージョンのペアでフェールオーバーが発生しない。

高可用性の利点は、トラフィックや検査を中断することなく展開をアップグレードできることですが、アップグレードプロセスの実行中は、その全体でフェールオーバーが無効になります。つまり、一方のデバイスがオフラインの場合には、当然、フェールオーバーは無効になりますが(フェールオーバーするものがない、つまり、本質的にすでにフェールオーバーされているため)、それだけではなく、異なるバージョンのペアでもフェールオーバーは無効になります。異なるバージョンのペアが許可される(一時的に)のは、アップグレード中のみです。何らかの問題が発生しても影響が最小限になるメンテナンスウィンドウ中に実行するようにアップグレードをスケジュールし、そのウィンドウ内で両方のデバイスをアップグレードするための十分な時間を確保してください。

アップグレードが一方のデバイスでのみ失敗したか、一方のデバイスが復元され、現在は、異なるバージョンのペアが動作している。

異なるバージョンのペアは、一般的な動作ではサポートされていません。下位バージョンのデバイスをアップグレードするか、上位バージョンのデバイスを復元してください。パッチの場合は復元がサポートされていないため、下位バージョンのデバイスを正常にアップグレードできないときは、高可用性を解除し、一方または両方のデバイスのイメージを再作成してから、高可用性を再確立する必要があります。

ハイ アベイラビリティ ペアでの装置交換

必要に応じて、ネットワーク トラフィックを中断することなくハイ アベイラビリティ グループ内の装置を交換できます。

手順

ステップ 1

交換する装置が機能している場合は、ピア装置にフェールオーバーするようにし、デバイス CLI の shutdown コマンドを使用して、デバイスをグレースフルシャットダウンします。装置が機能していない場合は、ピアがアクティブ モードで動作していることを確認します。

管理者権限がある場合は、Device Manager CLI コンソールから shutdown コマンドを入力することもできます。

ステップ 2

装置をネットワークから取り除きます。

ステップ 3

交換装置を設置して、インターフェイスを再接続します。

ステップ 4

交換装置でデバイス セットアップ ウィザードを完了します。

ステップ 5

ピア装置で [高可用性(High Availability)] ページにアクセスし、設定をクリップボードにコピーします。装置がプライマリ装置か、セカンダリ装置かに注意してください。

保留中の変更がある場合は、それらの変更を展開し、展開が完了するまで待ってから続行します。

ステップ 6

交換装置で [高可用性(High Availability)] グループで [設定(Configure)] をクリックして、ピアから反対側の装置タイプを選択します。つまり、ピアがプライマリの場合は [セカンダリ(Secondary)] を選択し、ピアがセカンダリの場合は [プライマリ(Primary)] を選択します。

ステップ 7

ピアから HA の設定を貼り付け、IPsec キーを入力します(使用する場合)。[HAの有効化(Activate HA)] をクリックします。

展開が完了すると、装置はピアに連絡して HA グループに参加します。アクティブなピアの設定がインポートされ、選択内容に基づいて、交換装置がグループ内のプライマリ装置またはセカンダリ装置になります。これで、HA が正常に動作していることを確認し、必要に応じてモードを切り替えて、新しい装置をアクティブな装置にできます。

高可用性のモニタリング

ここでは、高可用性をモニタする方法について説明します。

イベント ビューアとダッシュボードには、ログインしているデバイスに関するデータだけが表示されることに注意してください。両方のデバイスの統合された情報は表示されません。

フェールオーバーの全般的なステータスと履歴のモニタリング

次の方法で、高可用性の全般的なステータスと履歴をモニタできます。

  • [デバイス概要(Device Summary)]([デバイス(Device)] クリック)の [高可用性(High Availability)] グループに装置のステータスが表示されます。


    高可用性グループ、デバイス概要ページ。

  • [高可用性(High Availability)] ページ([デバイス(Device)] > [高可用性(High Availability)] をクリック)に両方の装置のステータスが表示されます。失敗した場合は、直近の失敗理由(フェールオーバー履歴から)が表示されます。それらの間にある同期のアイコンをクリックすると、追加のステータスが表示されます。


    高可用性ロールおよびモードのステータス。

  • [ハイアベイラビリティ(High Availability)] ページで、ステータスの横にある [フェールオーバー履歴(Failover History)] リンクをクリックします。CLI コンソールが開き、show failover history details コマンドが実行されます。このコマンドを CLI または CLI コンソールに直接入力することもできます。

CLI コマンド

CLI または CLI コンソールで次のコマンドを使用できます。

  • show failover

    装置のフェールオーバー状態に関する情報が表示されます。

  • show failover history [ details]

    過去のフェールオーバーでの状態変更や、状態変更の理由が表示されます。details キーワードを追加すると、ピアユニットのフェールオーバー履歴が表示されます。この情報は、トラブルシューティングに役立ちます。

  • show failover state

    両方の装置のフェールオーバー状態が表示されます。この情報には、装置のプライマリまたはセカンダリ ステータス、装置のアクティブ/スタンバイ ステータス、最後にレポートされたフェールオーバーの理由などが含まれます。

  • show failover statistics

    フェールオーバー インターフェイスの送信(tx)パケット数と受信(rx)パケット数が表示されます。たとえば、装置がパケットを送信しているのに受信パケットがないことが出力に示されている場合は、リンクに問題があります。ケーブルに問題がある、ピアで正しくない IP アドレスが設定されている、装置によってフェールオーバー インターフェイスが異なるサブネットに接続されているといった可能性があります。 

    
> show failover statistics 
        tx:320875
        rx:0

  • show failover interface

    フェールオーバーおよびステートフル フェールオーバー リンクの設定が表示されます。次に例を示します。 

    
> show failover interface 
        interface failover-link GigabitEthernet1/3
                System IP Address: 192.168.10.1 255.255.255.0
                My IP Address    : 192.168.10.1
                Other IP Address : 192.168.10.2
        interface stateful-failover-link GigabitEthernet1/4
                System IP Address: 192.168.11.1 255.255.255.0
                My IP Address    : 192.168.11.1
                Other IP Address : 192.168.11.2

  • show monitor-interface

    高可用性に関してモニタされているインターフェイスに関する情報が表示されます。詳細については、HA モニター対象インターフェイスのステータスのモニタリングを参照してください。

  • show running-config failover

    実行コンフィギュレーション内のフェールオーバー コマンドが表示されます。これらは、高可用性を設定するコマンドです。

HA モニター対象インターフェイスのステータスのモニタリング

いずれかのインターフェイスのHAモニタリングを有効にしている場合は、CLIまたはCLIコンソールでshow monitor-interface コマンドを使用して、モニタ対象インターフェイスのステータスを確認できます。 


> show monitor-interface
	This host: Primary - Active 
		Interface inside (192.168.1.13): Normal (Monitored)
		Interface outside (192.168.2.13): Normal (Monitored)
	Other host: Secondary - Standby Ready 
		Interface inside (192.168.1.14): Normal (Monitored)
		Interface outside (192.168.2.14): Normal (Monitored)

モニタ対象インターフェイスが持つステータスは次のとおりです。

  • (Waiting)(Unknown (Waiting) などのように他のステータスと結合):インターフェイスはピア装置上の対応するインターフェイスから hello パケットをまだ受信していません。

  • Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

  • Normal:インターフェイスはトラフィックを受信しています。

  • Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

  • Link Down:インターフェイスまたは VLAN は管理のためにダウンしています。

  • No Link:インターフェイスの物理リンクがダウンしています。

  • Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

HA 関連の Syslog メッセージのモニタリング

システムは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数の Syslog メッセージを発行します。フェールオーバー関連のメッセージ ID の範囲は 101xxx、102xxx、103xxx、104xxx、105xxx、210xxx、311xxx、709xxx、727xxx です。たとえば、105032 および 105043 はフェールオーバー リンクとの問題を示しています。Syslog メッセージの説明については、https://www.cisco.com/c/en/us/td/docs/security/firepower/Syslogs/b_fptd_syslog_guide.html にある『Cisco Threat Defense Syslog Messages』を参照してください。


(注)  

フェールオーバー時には、システムが論理的にシャットダウンされた後にインターフェイスが起動し、Syslog メッセージ 411001 および 411002 が生成されます。これは通常のアクティビティです。

Syslog メッセージを表示するには、[デバイス(Device)] > [ロギング設定(Logging Settings)] で診断ロギングを設定する必要があります。メッセージを確実にモニタできるように、外部 Syslog サーバを設定してください。

ピア装置での CLI コマンドのリモート実行

CLI から failover exec コマンドを使用することにより、ピアにログインすることなく、ピア デバイスに show コマンドを入力できます。

failover exec { active | standby | mate} コマンド

コマンドを実行する装置(アクティブまたはスタンバイ)を指定するか、ログインしている装置ではない方の装置が応答するようにする場合は mate を入力します。

たとえば、ピアのインターフェイス設定と統計情報を表示するには、次のように入力します。 


> failover exec mate show interface

configure コマンドは入力できません。この機能は、show コマンドで使用します。


(注)  

アクティブ装置にログインしている場合は、failover reload-standby コマンドを使用してスタンバイ装置をリロードできます。

これらのコマンドは、Device Manager CLI コンソールからは入力できません。

ハイ アベイラビリティ(フェールオーバー)のトラブルシューティング

高可用性グループ内の装置が期待どおりに機能していない場合は、次の手順による設定のトラブルシューティングを検討します。

アクティブな装置にピア装置が「障害(Failed)」と表示されている場合は、装置の障害状態のトラブルシューティング参照してください。

手順

ステップ 1

各デバイス(プライマリとセカンダリ)から次の手順を実行します。

  • フェールオーバー リンクのその他のデバイスの IP アドレスに ping を実行します。

  • 別のリンクを使用する場合は、ステートフル フェールオーバー リンクのその他のデバイスの IP アドレスに ping を実行します。

ping が失敗する場合は、各デバイス上のインターフェイスが同じネットワーク セグメントに接続されていることを確認します。直接ケーブル接続を使用している場合は、ケーブルを確認します。

ステップ 2

次の一般的なチェックを行います。

  • プライマリとセカンダリで重複している管理 IP アドレスを確認します。

  • 装置の重複しているフェールオーバー IP アドレスとステートフル フェールオーバー IP アドレスを確認します。

  • 各デバイスの同等のインターフェイス ポートが同じネットワーク セグメントに接続されていることを確認します。

ステップ 3

スタンバイデバイスのタスクリストまたは監査ログを確認します。アクティブなデバイスで展開が成功するごとに、「アクティブ ノードからの設定のインポート(Configuration import from Active node)」タスクの成功を確認できる必要があります。タスクが失敗する場合は、フェールオーバー リンクを確認して、展開を再度実行してください。

(注)  

 

失敗した展開タスクがタスクリストに示されている場合は、展開ジョブ中にフェールオーバーが発生している可能性があります。展開タスクを開始したときにスタンバイデバイスがアクティブ装置であったが、タスク中にフェールオーバーが発生した場合、展開は失敗します。この問題を解決するには、モードを切り替えてスタンバイ装置を再びアクティブ装置にしてから、設定変更を再展開します。

ステップ 4

show failover history コマンドを使用して、デバイスの状態変更に関する詳細情報を取得します。

以下の点を確認します。

  • アプリケーションの同期エラー。

    
12:41:24 UTC Dec 6 2017

App Sync     Disabled     HA state progression failed due to APP SYNC timeout

    アプリケーションの同期フェーズは、アクティブ デバイスの設定がスタンバイ デバイスに転送されるフェーズです。アプリケーションの同期エラーが発生するとデバイスは無効状態になり、そのデバイスをアクティブにすることはできなくなります。

    アプリケーションの同期の問題により、デバイスが無効状態になっている場合は、フェールオーバー リンクとステートフル フェールオーバー リンクのエンドポイント用に、デバイスの別のインターフェイスを使用することができます。リンクの各端には同じポート番号を使用する必要があります。

    show failover コマンドの結果、セカンダリ デバイスが疑似スタンバイ状態にあると表示される場合は、セカンダリ デバイスのフェールオーバー リンクに、プライマリ デバイスに設定したアドレスとは異なる IP アドレスを設定している可能性があります。フェールオーバー リンクの両方のデバイスで同じプライマリ/セカンダリ IP アドレスを使用していることを確認します。

    疑似スタンバイ状態は、プライマリとセカンダリで異なる IPsec キーが設定されている可能性も示しています。

    その他のアプリケーションの同期の問題については、HA アプリケーション同期障害のトラブルシューティング参照してください。

  • (アクティブからスタンバイに移行して戻る)フェールオーバーの頻度が異常に高い場合、フェールオーバー リンクに問題がある可能性があります。最悪のシナリオでは、両方の装置がアクティブになり、トラフィックの通過が中断されます。リンクの各端に ping を実行して接続を確認します。show arp を使用して、フェールオーバー IP アドレスと ARP マッピングが適切であるか確認することもできます。

    フェールオーバーリンクが正常で正しく設定されている場合は、ピアのポーリング時間とホールド時間、インターフェイスのポーリング時間とホールド時間を増やすか、HA の監視対象インターフェイスの数を減らすか、インターフェイスのしきい値を増やすことを検討してください。

  • インターフェイス チェックが原因のエラー。[インターフェイス チェック(Interface Check)] 理由には、障害が発生したと見なされるインターフェイスの一覧が含まれています。それらのインターフェイスをチェックして、正しく設定されていること、ハードウェアの問題がないことを確認します。リンクの反対側のスイッチの設定に問題がないことを確認します。問題がない場合は、それらのインターフェイスに対する HA モニタリングの無効化を検討します。または、インターフェイス障害のしきい値やタイミングを増やすこともできます。 

    
06:17:51 UTC Jan 15 2017

Active    Failed    Interface check

                       This Host:3

                          admin: inside

                          ctx-1: ctx1-1

                          ctx-2: ctx2-1

                       Other Host:0

ステップ 5

スタンバイ装置を検出できず、フェールオーバーリンクの LAN またはケーブル接続の不良など、具体的な理由を見つけられない場合は、次の手順を実行します。

  1. スタンバイ装置で CLI にログインし、failover reset コマンドを入力します。このコマンドにより、装置の状態が「障害」から「非障害」に変わります。次に、アクティブ デバイスの HA ステータスを確認します。スタンバイピアが検出される場合は、これで終了です。

  2. アクティブな装置で CLI にログインし、failover reset コマンドを入力します。アクティブとスタンバイの両方の装置で HA ステータスがリセットされます。デバイス間のリンクが再確立されるのが理想的です。HA のステータスを確認します。正しくない場合は手順を続行します。

  3. アクティブデバイスの CLI から、または Device Manager から、まず HA を中断してから HA を再開します。CLI コマンドは configure high-availability suspend および configure high-availability resume です。

  4. これらの手順が失敗する場合は、スタンバイ デバイスを reboot します。

装置の障害状態のトラブルシューティング

ピア装置のハイ アベイラビリティ ステータス([デバイス(Device)] または [デバイス(Device)] > [ハイアベイラビリティ(High Availability)] ページ)で装置が故障としてマークされている場合、アクティブ装置である装置 A と故障したピアである装置 B に基づいて、考えられる一般的な原因は次のとおりです

  • 装置 B がハイアベイラビリティ向けに設定されていない場合(スタンドアロンモードのままになっている場合)、装置 A は装置 B を故障として表示します。

  • 装置 B で HA を一時停止すると、装置 A は装置 B を故障として表示します。

  • 装置 B をリブートすると、装置 B がリブートを完了してフェールオーバー リンク経由で通信を再開するまで装置 A は装置 B を故障として表示します。

  • 装置 B でアプリケーションの同期(App Sync)が失敗すると、装置 A は装置 B を故障として表示します。HA アプリケーション同期障害のトラブルシューティングを参照してください。

  • 装置 B で装置またはインターフェイスのヘルス モニタリングが失敗すると、装置 A は装置 B を故障として表示します。システム上の問題がないか装置 B を確認します。デバイスをリブートしてみます。装置がおおむね正常な場合は、装置またはインターフェイスのヘルス モニタリング設定を緩和することを検討します。show failover history の出力にインターフェイス正常性チェックのエラーに関する情報が示されます。

  • 両方の装置がアクティブな場合、各装置はピアを故障として表示します。通常、これはフェールオーバー リンクに問題があることを示しています。

    ライセンスの問題を示している可能性もあります。デバイスは一貫したライセンス(両方とも評価モードであるか、両方が登録されている)を保持している必要があります。登録されている場合、使用するスマート ライセンス アカウントは別々であっても構いませんが、どちらのアカウントも輸出制限対象の機能で有効または無効のいずれか同じものを選択している必要があります。輸出規制機能に関する設定が不整合な状態で IPsec 暗号化鍵を設定すると、HA を有効化した後に両方のデバイスがアクティブになります。これはサポートされているネットワーク セグメント上のルーティングに影響を与え、回復させるにはセカンダリ ユニットで HA を手動で中断する必要があります。

HA アプリケーション同期障害のトラブルシューティング

ピア装置が HA グループへの参加に失敗する場合、またはアクティブ装置からの変更を展開しているときにピア装置で障害が発生する場合は、障害が発生した装置にログインして [ハイアベイラビリティ(High Availability)] ページに移動し、[フェールオーバー履歴(Failover History)] リンクをクリックします。show failover history 出力にアプリケーション同期の障害が示されている場合、装置がハイ アベイラビリティ グループとして正しく機能できることをシステムが確認する、HA の検証段階に問題があります。

このタイプの障害は、次のように表示されます。


==========================================================================
From State                 To State                   Reason
==========================================================================
16:19:34 UTC May 9 2018
Not Detected               Disabled                   No Error
 
17:08:25 UTC May 9 2018
Disabled                   Negotiation                Set by the config command
 
17:09:10 UTC May 9 2018
Negotiation                Cold Standby               Detected an Active mate
 
17:09:11 UTC May 9 2018
Cold Standby               App Sync                   Detected an Active mate
 
17:13:07 UTC May 9 2018
App Sync                   Disabled                   CD App Sync error is 
High Availability State Link Interface Mismatch between Primary and Secondary Node

理想としては、From State が App Sync のときに「All validation passed」というメッセージが表示され、ノードが Standby Ready 状態になります。任意の検証で障害が発生すると、ピアは Disabled(Failed)状態になります。問題を解決して、ピアがハイ アベイラビリティ グループとして再度機能するようにする必要があります。アクティブ装置に変更を加えてアプリケーションの同期エラーを修正した場合は、ピア ノードを結合するために、それらを展開して HA を再開する必要があります。

次のメッセージは障害の発生を示し、問題の解決方法について説明しています。これらのエラーは、ノードの結合時および後続の各展開時に発生する可能性があります。ノードの結合中は、システムにより、アクティブ装置で最後に展開された設定に対してチェックが実行されます。

  • ライセンス登録モードがプライマリ ノードとセカンダリ ノードで一致していません。

    ライセンス エラーは、1 つのピアが評価モードになっているときにもう一方のピアが登録されたことを示します。ピアを HA グループに参加させるには、ピアを両方とも登録するか、両方とも評価モードにする必要があります。登録したデバイスを評価モードに戻すことはできないため、[デバイス(Device)] > [スマートライセンス(Smart License)] ページからもう一方のピアを登録する必要があります。

    登録するデバイスがアクティブ装置の場合、デバイスの登録後に展開を実行します。展開することで装置は強制的に更新され、設定が同期されます。これにより、セカンダリ装置はハイ アベイラビリティ グループに正しく参加できます。

  • ライセンス エクスポート コンプライアンスがプライマリ ノードとセカンダリ ノードで一致していません。

    ライセンス コンプライアンス エラーは、デバイスが異なる Cisco Smart Software Manager アカウントに登録されており、1 つのアカウントでは輸出規制された機能が有効で、もう一方のアカウントでは無効になっていることを示します。デバイスは、輸出規制された機能の設定(有効または無効)が同じアカウントに登録される必要があります。[デバイス(Device)] > [スマートライセンス(Smart License)] ページでデバイス登録を変更します。

  • 「ソフトウェア バージョンがプライマリ ノードとセカンダリ ノードで一致していません。(Software version mismatch between Primary and Secondary Node.)」

    ソフトウェア不一致エラーは、ピアが異なるバージョンの Threat Defense ソフトウェアを実行していることを示します。一度に 1 台のデバイスにソフトウェアアップグレードをインストールしている場合、システムは一時的にのみ不一致を許容します。ただし、ピアのアップグレードの間に設定変更を展開することはできません。この問題を解決するには、ピアをアップグレードしてから展開をやり直します。

  • 「物理インターフェイスがプライマリ ノードとセカンダリ ノードで一致していません。(Physical interfaces mismatch between Primary and Secondary Node.)」

    HA グループのスタンバイ装置には、アクティブ装置に存在するすべての物理インターフェイスを持たせる必要があり、それらのインターフェイスには同じハードウェア名とタイプ(GigabitEthernet1/1 など)を持たせる必要があります。このエラーは、アクティブ装置に存在する一部のインターフェイスがスタンバイ装置に存在しないことを示しています。スタンバイ装置にはアクティブ装置よりも多くのインターフェイスを含めることができます。そのため、アクティブにする装置を切り替えるか、または別のピア装置を選択してください。ただし、インターフェイスの不一致状態は一時的にする必要があります。たとえば、ある装置でインターフェイス モジュールを交換していて、そのモジュールを使用せずに短時間装置を実行する必要がある場合などです。通常の動作では、両方の装置についてインターフェイスの数とタイプが同じである必要があります。

  • フェールオーバー リンク インターフェイスがプライマリ ノードとセカンダリ ノードで一致していません。

    各装置でフェールオーバー物理インターフェイスをネットワークにリンクする場合、同じ物理インターフェイスを選択する必要があります。たとえば、各装置で GigabitEthernet1/8 にします。このエラーは、異なるインターフェイスを使用したことを示しています。エラーを解決するには、ピア装置のケーブル配線を修正します。

  • ステートフル フェールオーバー リンク インターフェイスが、プライマリ ノードとセカンダリ ノードで一致していません。

    別々のステートフル フェールオーバー リンクを使用する場合、各装置でステートフル フェールオーバー インターフェイスをネットワークにリンクするときに、同じ物理インターフェイスを選択する必要があります。たとえば、各装置で GigabitEthernet1/7 にします。このエラーは、異なるインターフェイスを使用したことを示しています。エラーを解決するには、ピア装置のケーブル配線を修正します。

  • 「フェールオーバー/ステートフル フェールオーバー リンク EtherChannel のメンバー インターフェイスが、プライマリ ノードとセカンダリ ノードで一致していません(Failover/Stateful failover link EtherChannel's member interfaces mismatch between Primary and Secondary Node)」

    フェールオーバー インターフェイスまたはステートフル フェールオーバー インターフェイスのいずれかに EtherChannel インターフェイスを選択する場合、EtherChannel は各デバイスで同じ ID とメンバーインターフェイスを持つ必要があります。このエラーメッセージは、不一致があるのがフェールオーバーリンクかステートフル フェールオーバー リンクかを示します。エラーを解決するには、EtherChannel インターフェイスの設定を修正し、各デバイスで同じ ID を使用し、同じインターフェイスを含めるようにします。

  • デバイスのモデル番号がプライマリ ノードとセカンダリ ノードで一致していません。

    HA グループに参加するピアは、まったく同じモデルのデバイスである必要があります。このエラーは、ピアが同じデバイス モデルではないことを示しています。異なるピアを選択して HA を設定する必要があります。

  • アクティブノードとスタンバイノードを同じシャーシに配置することはできません。

    同じハードウェアシャーシでホストされているデバイスを使用してハイアベイラビリティを設定することはできません。同じシャーシで複数のデバイスをサポートするモデルでハイアベイラビリティを設定する場合は、別のハードウェアに存在するデバイスを選択する必要があります。

  • 不明なエラーが発生しました。もう一度お試しください。

    アプリケーションの同期中に問題が発生しましたが、システムが問題を特定できませんでした。もう一度設定を展開してみてください。

  • ルール パッケージが破損しています。ルール パッケージを更新して、もう一度試してください。(Rule package is corrupted. Please update the rule package and try again.)」

    侵入ルールデータベースに問題があります。障害が発生したピアで、[デバイス(Device)] > [更新(Updates)] に移動して、[ルール(Rule)] グループの [今すぐ更新(Update Now)] をクリックします。更新が完了するのを待って、変更を展開します。アクティブ装置から展開を再試行できます。

  • プライマリノードとセカンダリノードのクラウドサービスの登録ステータスが一致しません。

    一方のノードはシスコクラウドに登録されていますが、もう一方のノードは登録されていません。高可用性グループを形成するには、両方のノードが登録されているか、どちらも登録されていないことが必要です。各デバイスで[デバイス] > [システム設定] > [クラウドサービス]に移動し、両方のデバイスが同じクラウドサービスリージョンに登録されていることを確認します。

  • アクティブ ノードとスタンバイ ノードとで異なるクラウド リージョンを設定することはできません。

    デバイスが異なるシスコ クラウド サービス リージョンに登録されています。どのリージョンが正しいかを確認し、スマート ライセンシングから他のデバイスの登録を解除し、再登録時に正しいリージョンを選択してください。両方のデバイスのリージョンが間違っている場合は、両方のデバイスの登録を解除し、正しいリージョンに再登録します。

  • 展開パッケージが破損しています。再度実行してください。

    これはシステム エラーです。展開をもう一度試して、この問題を解決する必要があります。