ハイ アベイラビリティ Firepower Threat Defense について
フェールオーバーとも呼ばれるハイ アベイラビリティを設定するには、専用フェールオーバー リンク(および任意でステート リンク)を介して相互に接続された 2 台の同じ Firepower Threat Defense デバイスが必要です。Firepower Threat Defense はアクティブ/スタンバイ フェールオーバーをサポートしています。つまり 1 台のユニットがアクティブなユニットとなりトラフィックを渡します。スタンバイ装置は、アクティブにトラフィックを通過させることはありませんが、アクティブ装置の設定やその他の状態情報を同期しています。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。
アクティブ装置(ハードウェア、インターフェイス、ソフトウェアおよび環境ステータス)の状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニタされます。所定の条件に一致すると、フェールオーバーが行われます。
(注) |
ハイ アベイラビリティは、パブリック クラウドで実行される Firepower Threat Defense Virtual ではサポートされていません。 |
ハイ アベイラビリティ のシステム要件
この項では、ハイ アベイラビリティ コンフィギュレーションにある Firepower Threat Defense デバイスのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。
ハードウェア要件
ハイ アベイラビリティ コンフィギュレーションの 2 台の装置は、次の条件を満たしている必要があります。
-
同じモデルであること。 さらに、コンテナ インスタンスでは、同じリソース プロファイル属性を使用する必要があります。
ハイ アベイラビリティ ペアを FMC に追加した後にリソース プロファイルを変更する場合は、 ダイアログ ボックスで各ユニットのインベントリを更新します。
-
インターフェイスの数とタイプが同じであること。
プラットフォーム モード では、ハイ アベイラビリティ を有効にする前に、すべてのインターフェイスが FXOS で同一に事前構成されている必要があります。ハイ アベイラビリティを有効にした後でインターフェイスを変更する場合は、スタンバイ ユニットの FXOS でインターフェイスを変更し、アクティブ ユニットで同じ変更を行います。
ハイ アベイラビリティ コンフィギュレーションで装置に異なるサイズのフラッシュ メモリを使用している場合、小さい方のフラッシュ メモリを取り付けた装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。
ソフトウェア要件
ハイ アベイラビリティ コンフィギュレーションの 2 台の装置は、次の条件を満たしている必要があります。
-
同じファイアウォール モードにあること(ルーテッドまたはトランスペアレント)。
-
ソフトウェア バージョンが同じであること。
-
Firepower Management Center 上で、同じドメインまたはグループに入っていること。
-
NTP 設定が同じであること。脅威に対する防御のための NTP 時刻同期の設定を参照してください。
-
非コミットの変更で、Firepower Management Center 上で完全に展開していること。
-
どのインターフェイスでも、DHCP または PPPoE は変更していないこと。
-
(Firepower 4100/9300)同じフロー オフロード モードを使用し、両方とも有効または無効になっている。
高可用性ペアでの FTD デバイスのライセンス要件
ハイ アベイラビリティ構成での Firepower Threat Defense デバイスは、すべて同じライセンスである必要があります。ハイ アベイラビリティを確立する前に、どのライセンスがセカンダリ/スタンバイ デバイスに割り当てられているかどうかは問題にはなりません。ハイ アベイラビリティの設定中に、Firepower Management Center はスタンバイに割り当てられている不要なライセンスをすべて削除し、プライマリ/アクティブ デバイスに割り当てられているのと同じライセンスで置き換えます。たとえば、アクティブ デバイスは基本ライセンスと Threat ライセンスであり、スタンバイ デバイスは基本ライセンスだけの場合、Firepower Management Center は Cisco Smart Software Manager と通信して、アカウントからスタンバイ デバイス用に使用可能な Threat ラインセンスを取得します。スマート ライセンス アカウントで十分な数の資格が購入されていなければ、正しい数のライセンスを購入するまで、アカウントは非準拠の状態になります。ハイ アベイラビリティ構成には、2 つのスマート ライセンス資格(ペアを構成するデバイスごとに 1 つ)が必要です。
フェールオーバー リンクとステートフル フェールオーバー リンク
フェールオーバー リンクとオプションのステートフル フェールオーバー リンクは、2 つの装置間の専用接続です。シスコでは、フェールオーバー リンクまたはステートフル フェールオーバー リンク内の 2 つのデバイス間で同じインターフェイスを使用することを推奨しています。たとえば、フェールオーバー リンクで、デバイス 1 で eth0 を使用していた場合は、デバイス 2 でも同じインターフェイス(eth0)を使用します。
フェールオーバー リンク
フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。
フェールオーバー リンク データ
次の情報がフェールオーバー リンク経由で伝達されています。
-
装置の状態(アクティブまたはスタンバイ)
-
hello メッセージ(キープアライブ)
-
ネットワーク リンクの状態
-
MAC アドレス交換
-
コンフィギュレーションの複製および同期
フェールオーバー リンクのインターフェイス
使用されていないデータ インターフェイス(物理、冗長、または EtherChannel)はいずれもフェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。サブインターフェイスを使用することもできません。コンテナ インスタンスの Firepower 4100/9300 シャーシで定義されたサブインターフェイスを除きます。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク用にのみ使用できます(ステート リンク用としても使用できます)。
FTD は、ユーザ データとフェールオーバー リンク間でのインターフェイスの共有をサポートしていません。同じ親の別のサブインターフェイスをフェールオーバー リンクやデータのために使用することもできません(Firepower 4100/9300 シャーシのサブインターフェイスのみ)。フェールオーバー リンクに対して Firepower 4100/9300 サブインターフェイスを使用する場合、その親にあるすべてのサブインターフェイスと親自体をフェールオーバー リンクとして使用することは制限されています。
(注) |
フェールオーバーまたはステート リンクとして EtherChannel または冗長インターフェイスを使用している場合、ハイ アベイラビリティを確立する前に、両方のデバイスで同じメンバ インターフェイスを備えた同じ EtherChannel または冗長インターフェイスが存在していることを確認する必要があります。 |
フェールオーバー リンクとして使用される冗長インターフェイスについては、冗長性の増強による次の利点を参照してください:
-
フェールオーバー ユニットが起動すると、メンバー インターフェイスを交互に実行し、アクティブ ユニットを検出します。
-
メンバー インターフェイスの 1 つにあるピアからのキープアライブ メッセージの受信をフェールオーバー ユニットが停止した場合、別のメンバー インターフェイスに切り替えます。
フェールオーバー リンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバー リンクとして使用中の EtherChannel の設定は変更できません。
フェールオーバー リンクの接続
フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。
-
Firepower Threat Defense デバイスのフェールオーバー インターフェイスと同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)に他のデバイスのないスイッチを使用する。
-
イーサネット ケーブルを使用してユニットを直接接続する。外部スイッチは必要ありません。
ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。
ステートフル フェールオーバー リンク
(注) |
ステートフル フェールオーバー リンクの帯域幅は、少なくともデータ インターフェイスの帯域幅と同等にすることを推奨します。 |
フェールオーバー リンクの共有
インターフェイスを節約するための最適な方法はフェールオーバー リンクを共有することです。ただし、設定が大規模でトラフィックが膨大なネットワークを使用している場合は、ステート リンクとフェールオーバー リンク専用のインターフェイスを検討する必要があります。
ステートフル フェールオーバー リンクの専用インターフェイス
ステート リンク専用のデータ インターフェイス(物理、冗長、または EtherChannel)を使用できます。ステート リンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。
次の 2 つの方法のいずれかで、専用のステート リンクを接続します。
-
Firepower Threat Defense デバイスのフェールオーバー インターフェイスと同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)に他のデバイスのないスイッチを使用する。
-
イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。
ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。
Firepower Threat Defense デバイスは、銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているため、クロスオーバー ケーブルまたはストレート ケーブルのいずれかを使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。
長距離のフェールオーバーを使用する場合のステート リンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を上回る場合、フェールオーバー メッセージの再送信によって、パフォーマンスが低下する可能性があります。
フェールオーバー リンクとデータ リンクの中断の回避
すべてのインターフェイスで同時に障害が発生する可能性を減らすために、フェールオーバー リンクとデータ インターフェイスは異なるパスを通すことを推奨します。フェールオーバー リンクがダウンした場合、フェールオーバーが必要かどうかの決定に、Firepower Threat Defense デバイスはデータ インターフェイスを使用できます。その後、フェールオーバー動作は、フェールオーバー リンクの正常性が復元されるまで停止されます。
耐障害性フェールオーバー ネットワークの設計については、次の接続シナリオを参照してください。
シナリオ 1:非推奨
2 つの Firepower Threat Defense デバイス間のフェールオーバーとデータ インターフェイスの両方を接続するために 1 つのスイッチまたは一連のスイッチを使用している場合、スイッチまたはスイッチ間リンクがダウンしていると、両方の Firepower Threat Defense デバイスがアクティブになります。したがって、次の図で示されている 2 つの接続方式は推奨しません。
シナリオ 2:推奨
フェールオーバー リンクには、データ インターフェイスと同じスイッチを使用しないことを推奨します。代わりに、次の図に示すように、別のスイッチを使用するか直接ケーブルを使用して、フェールオーバー リンクを接続します。
シナリオ 3:推奨
Firepower Threat Defense データ インターフェイスが複数セットのスイッチに接続されている場合、フェールオーバー リンクはいずれかのスイッチに接続できます。できれば、次の図に示すように、ネットワークのセキュアな側(内側)のスイッチに接続します。
シナリオ 4:推奨
最も信頼性の高いフェールオーバー構成では、次の図に示すように、フェールオーバー リンクに冗長インターフェイスを使用します。
ハイ アベイラビリティ の MAC アドレスと IP アドレス
インターフェイスを設定する場合、同じネットワーク上のアクティブ IP アドレスとスタンバイ IP アドレスを指定できます。一般的に、フェールオーバーが発生した場合、新しいアクティブ装置がアクティブな IP アドレスと MAC アドレスを引き継ぎます。ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。
(注) |
スタンバイ アドレスを設定することが推奨されていますが、必須ではありません。スタンバイ IP アドレスがないと、アクティブ装置はスタンバイ インターフェイスの状態を確認するためのネットワーク テストを実行できません。リンク ステートのみ追跡できます。また、管理目的でそのインターフェイスのスタンバイ装置に接続することもできません。 |
ステート リンク用の IP アドレスおよび MAC アドレスは、フェールオーバー実行後も変更されません。
アクティブ/スタンバイ IP アドレスと MAC アドレス
アクティブ/スタンバイ ハイ アベイラビリティ の場合、フェールオーバー イベント中の IP アドレスと MAC アドレスの使用については、次を参照してください。
-
アクティブな装置は常にプライマリ装置の IP アドレスと MAC アドレスを使用します。
-
アクティブ装置が故障すると、スタンバイ装置は故障した装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。
-
故障した装置がオンラインに復帰すると、スタンバイ状態となり、スタンバイ IP アドレスと MAC アドレスを引き継ぎます。
ただし、セカンダリ装置がプライマリ装置を検出せずにブートした場合、セカンダリ装置がアクティブ装置になります。プライマリ装置の MAC アドレスを認識していないため、自分の MAC アドレスを使用します。プライマリ装置が使用可能になると、セカンダリ(アクティブ)装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。同様に、プライマリ装置を新しいハードウェアと交換すると、新しい MAC アドレスが使用されます。
仮想 MAC アドレスがこの中断を防ぎます。なぜなら、アクティブ MAC アドレスは起動時にセカンダリ装置によって認識され、プライマリ装置のハードウェアが新しくなっても変わらないからです。仮想 MAC アドレスを設定しなかった場合、トラフィック フローを復元するために、接続されたルータの ARP テーブルをクリアする必要がある場合があります。Firepower Threat Defense デバイス は MAC アドレスを変更するときに、スタティック NAT アドレスに対して Gratuitous ARP を送信しません。そのため、接続されたルータはこれらのアドレスの MAC アドレスの変更を認識できません。
仮想 MAC アドレス
Firepower Threat Defense デバイス には、仮想 MAC アドレスを設定する複数の方法があります。1 つの方法のみ使用することをお勧めします。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。
マルチインスタンス機能では、FXOS シャーシがすべてのインターフェイスにプライマリ MAC アドレスのみを自動生成します。プライマリおよびセカンダリ MAC アドレスの両方で、生成された MAC アドレスを仮想 MAC アドレスで上書きすることができますが、セカンダリ MAC アドレスを事前に定義することは必須ではありません。セカンダリ MAC アドレスを設定すると、セカンダリ装置のハードウェアが新しい場合に、to-the-box 管理トラフィックが中断されないようになります。
ステートフル フェールオーバー
ステート フェールオーバー中にアクティブ装置は接続ごとのステート情報をスタンバイ装置に継続的に渡します。。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。
サポートされる機能
ステートフル フェールオーバーでは、次のステート情報がスタンバイ Firepower Threat Defense デバイスに渡されます。
-
NAT 変換テーブル
-
TCP 接続と UDP 接続、および HTTP 接続状態を含む状態。他のタイプの IP プロトコルおよび ICMP は、新しいパケットが到着したときに新しいアクティブ ユニットで確立されるため、アクティブ装置によって解析されません。
-
厳密な TCP 強制を含む、Snort の接続状態、インスペクション結果、およびピンホール情報。
-
ARP テーブル
-
レイヤ 2 ブリッジ テーブル(ブリッジ グループ用)
-
ISAKMP および IPSec SA テーブル
-
GTP PDP 接続データベース
-
SIP シグナリング セッションとピンホール。
-
スタティックおよびダイナミック ルーティング テーブル:ステートフル フェールオーバーはダイナミック ルーティング プロトコル(OSPF や EIGRP など)に参加するため、アクティブ装置上のダイナミック ルーティング プロトコルによる学習ルートが、スタンバイ装置のルーティング情報ベース(RIB)テーブルに維持されます。フェールオーバー イベントで、アクティブなセカンダリ ユニットには最初にプライマリ ユニットをミラーリングするルールがあるため、パケットは通常は最小限の中断でトラフィックに移動します。フェールオーバーの直後に、新しくアクティブになった装置で再コンバージェンス タイマーが開始されます。次に、RIB テーブルのエポック番号が増加します。再コンバージェンス中に、OSPF および EIGRP ルートは新しいエポック番号で更新されます。タイマーが期限切れになると、失効したルート エントリ(エポック番号によって決定される)はテーブルから削除されます。これで、RIB には新しくアクティブになった装置での最新のルーティング プロトコル転送情報が含まれています。
(注)
ルートは、アクティブ装置上のリンクアップまたはリンクダウン イベントの場合のみ同期されます。スタンバイ装置上でリンクがアップまたはダウンすると、アクティブ装置から送信されたダイナミック ルートが失われることがあります。これは正常な予期された動作です。
-
DHCP サーバ:DHCP アドレス リースは複製されません。ただし、インターフェイスで設定された DHCP サーバは、DHCP クライアントにアドレスを付与する前にアドレスが使用されていないことを確認するために ping を送信するため、サービスに影響はありません。ステート情報は、DHCP リレーまたは DDNS とは関連性がありません。
-
アクセス コントロール ポリシーの判断:フェールオーバー時には、トラフィックの照合(URL、URL カテゴリ、地理位置情報など)、侵入検知、マルウェア、ファイル タイプに関する判断が保持されます。ただし、フェールオーバーの時点で評価される接続には、次のような注意事項があります。
-
AVC:App-ID 判定は複製されますが、検出状態は複製されません。フェールオーバーが発生する前に、App-ID 判定が完了および同期されていれば、正常に同期は行われます。
-
侵入検知状態:フェールオーバーの際、フロー中にピックアップが発生すると、新しいインスペクションは完了しますが、古い状態は失われます。
-
ファイル マルウェア ブロッキング:ファイルの処分は、フェールオーバー前にできるようになる必要があります。
-
ファイル タイプ検出とブロッキング:ファイル タイプは、フェールオーバー前に特定される必要があります。元のアクティブ デバイスでファイルを特定している間にフェールオーバーが発生すると、ファイル タイプの同期は失われます。ファイル ポリシーでそのファイル タイプがブロックされている場合でも、新しいアクティブ デバイスはファイルをダウンロードします。
-
-
ユーザ エージェントと ISE セッション ディレクトリを介してパッシブに収集されたユーザと IP アドレスのマッピングを含むアイデンティティ ポリシーや、キャプティブ ポータルを介したアクティブ認証の、ユーザ識別の判断。フェールオーバーの時点でアクティブ認証していたユーザには、再度認証を求めるプロンプトが表示されることがあります。
-
ネットワーク AMP:クラウド ルックアップは各デバイスから独立しているため、一般的に、フェールオーバーはこの機能には影響しません。具体的には次のとおりです。
-
署名ルックアップ:ファイルの送信中にフェールオーバーが発生した場合、ファイル イベントは生成されず、検出も発生しません。
-
ファイル ストレージ:ファイルの保存中にフェールオーバーが発生した場合、元のアクティブ デバイスに保存されます。ファイルの保存中に元のアクティブなデバイスがダウンした場合、ファイルは保存されません。
-
ファイルの事前分類(ローカル分析):事前分類中にフェールオーバーが発生した場合、検出は失敗します。
-
ファイル ダイナミック分析(クラウドとの接続性):フェールオーバーが発生しても、システムはクラウドにファイルを提出できます。
-
アーカイブ ファイル サポート:分析中にフェールオーバーが発生した場合、システムはファイル/アーカイブ内の可視性を失います。
-
カスタム ブラックリスト:フェールオーバーが発生した場合、イベントは生成されません。
-
-
セキュリティ インテリジェンス判断。ただし、フェールオーバーの時点で処理されていた DNS ベースの判断は完了しません。
-
RA VPN:リモート アクセス VPN エンド ユーザは、フェールオーバー後に VPN セッションを再認証または再接続する必要はありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。
サポートされない機能
ステートフル フェールオーバーでは、次のステート情報はスタンバイ Firepower Threat Defense デバイスに渡されません。
-
GRE や IP-in-IP などのプレーン テキスト トンネル内のセッション。トンネル内のセッションは複製されず、新しいアクティブ ノードは、既存のインスペクションの判定を再利用して、正しいポリシー ルールを照合することができません。
-
SSL 復号ポリシーにより復号された接続:復号状態は同期されず、現在の復号された接続はリセットされ、ブロックされます。新しい接続が適切に機能します。(復号しないルールと一致する)復号されない接続は影響を受けず、他の TCP 接続と同様に正しく複製されます。
-
TCP ステート バイパス接続
-
マルチキャスト ルーティング。
ハイ アベイラビリティのためのブリッジ グループの要件
ブリッジ グループを使用する場合は、ハイ アベイラビリティに関して特別な考慮事項があります。
アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニング ツリー プロトコル(STP)を実行しているスイッチ ポートは、トポロジ変更を検出すると 30 ~ 50 秒間ブロッキング状態に移行できます。ポートがブロッキング状態の間のブリッジ グループ メンバー インターフェイスでのトラフィックの損失を回避するために、次の回避策のいずれかを設定できます。
-
アクセス モードのスイッチ ポート:スイッチで STP PortFast 機能を有効にします。
interface interface_id spanning-tree portfast
PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディング モードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキング モードに遷移します。
-
スイッチ ポートがトランク モードになっている場合、または STP PortFast を有効にできない場合は、フェールオーバー機能または STP の安定性に影響を与える、次のあまり望ましくない回避策のいずれかを使用できます。
-
ブリッジ グループおよびメンバー インターフェイスでインターフェイス モニタリングを無効にします。
-
フェールオーバー基準のインターフェイス保留時間を、ユニットがフェールオーバーする前に STP が収束できる大きな値に増やします。
-
スイッチの STP タイマーを短くして、STP がインターフェイス保留時間よりも早く収束できるようにします。
-
フェールオーバーのヘルス モニタリング
Firepower Threat Defense デバイスは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。この項では、各装置の状態を判断するために、Firepower Threat Defense デバイスがテストを実行する方法について説明します。
装置のヘルス モニタリング
Firepower Threat Defense デバイスは、hello メッセージでフェールオーバー リンクをモニタして相手装置のヘルスを判断します。フェールオーバー リンクで 3 回連続して hello メッセージを受信しなかったときは、フェールオーバー リンクを含む各データ インターフェイスで LANTEST メッセージを送信し、ピアが応答するかどうかを確認します。Firepower Threat Defense デバイスが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。
-
Firepower Threat Defense デバイスがフェールオーバー リンクで応答を受信した場合、フェールオーバーは行われません。
-
Firepower Threat Defense デバイスがフェールオーバー リンクで応答を受信せず、データ インターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクは故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイにフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。
-
Firepower Threat Defense デバイスがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。
インターフェイス モニタリング
ユニットは、モニタ対象のインターフェイス上で 15 秒間 hello メッセージを受信しなかった場合に、インターフェイス テストを実行します。1 つのインターフェイスに対するインターフェイス テストのいずれかが失敗したものの、他のユニット上のこの同じインターフェイスが正常にトラフィックを渡し続けている場合は、そのインターフェイスに障害があるものと見なされ、デバイスはテストの実行を停止します。
障害が発生したインターフェイスの数に対して定義したしきい値が満たされ(、さらに、アクティブ ユニットでスタンバイ装置よりも多くの障害が発生した場合は、フェールオーバーが発生します。両方のユニット上のインターフェイスに障害が発生した場合は、両方のインターフェイスが「未知」状態になり、フェールオーバー インターフェイス ポリシーで定義されているフェールオーバー限界値に向けてのカウントは行われません。 を参照)
インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したデバイスは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。
インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、デバイスは IPv4 を使用してヘルス モニタリングを実行します。インターフェイスに IPv6 アドレスだけが設定されている場合、 デバイスは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、デバイスは IPv6 全ノード アドレス(FE02::1)を使用します。
インターフェイス テスト
Firepower Threat Defense デバイスでは、次のインターフェイス テストが使用されます。各テストの時間は。
-
リンク アップ/ダウン テスト:インターフェイス ステータスのテストです。リンク アップ/ダウン テストでインターフェイスがダウンしていることが示された場合、 デバイスは障害が発生し、テストが停止したと見なします。ステータスがアップの場合、 デバイスはネットワーク アクティビティを実行します。
-
ネットワーク アクティビティ テスト:ネットワークの受信アクティビティのテストです。テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。テスト中にユニットが適切なパケットを受信すると、すぐにインターフェイスは正常に動作していると見なされます。両方の装置がトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信していない場合は、デバイスは ARP テストを開始します。
-
ARP テスト:ARP が正しく応答するかどうかをテストします。各ユニットは、ARP テーブル内の最新のエントリの IP アドレスに対して単一の ARP 要求を送信します。ユニットがテスト中に ARP 応答またはその他のネットワーク トラフィックを受信する場合、インターフェイスは動作していると見なされます。ユニットが ARP 応答を受信しない場合、 デバイスは、ARP テーブル内の「次の」エントリの IP アドレスに対して単一の ARP 要求を送信します。ユニットがテスト中に ARP 応答またはその他のネットワーク トラフィックを受信する場合、インターフェイスは動作していると見なされます。両方のユニットがトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信していない場合は、デバイスはブートストラップ ping テストを開始します。
-
ブロードキャスト Ping テスト:ping 応答が正しいかどうかをテストします。各ユニットがブロードキャスト ping を送信し、受信したすべてのパケットをカウントします。パケットはテスト中にパケットを受信すると、インターフェイスは正常に動作していると見なされます。両方のユニットがトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信しない場合、ARP テストを使用してテストが再開されます。両方のユニットが ARP およびブロードキャスト Ping テストからトラフィックを受信し続けない場合、これらのテストは引き続き永続的に実行されます。
インターフェイス ステータス
モニタ対象のインターフェイスには、次のステータスがあります。
-
Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。
-
Normal:インターフェイスはトラフィックを受信しています。
-
Normal (Waiting):インターフェイスは起動していますが、ピア ユニットの対応するインターフェイスからまだ hello パケットを受信していません。
-
Normal (Not-Monitored):インターフェイスは動作中ですが、フェールオーバー プロセスによってモニタされていません。
-
Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。
-
Link Down:インターフェイスまたは VLAN は管理上ダウンしています。
-
Link Down (Waiting):インターフェイスまたは VLAN は管理上ダウンしており、ピア ユニットの対応するインターフェイスからまだ hello パケットを受信していません。
-
Link Down (Not-Monitored):インターフェイスまたは VLAN は管理上ダウンしていますが、フェールオーバー プロセスによってモニタされていません。
-
No Link:インターフェイスの物理リンクがダウンしています。
-
No Link (Waiting):インターフェイスの物理リンクがダウンしており、ピア ユニットの対応するインターフェイスから hello パケットをまだ受信していません。
-
No Link (Not-Monitored):インターフェイスの物理リンクがダウンしていますが、フェールオーバー プロセスによってモニタされていません。
-
Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。
フェールオーバー トリガーおよび検出タイミング
次の表に、フェールオーバー トリガー イベントと、関連する障害検出のタイミングを示します。フェールオーバーが発生した場合、フェールオーバーの理由およびその他のハイ アベイラビリティ ペアに関するさまざまな作業をメッセージ センターで表示できます。
フェールオーバートリガー イベント |
最小 |
デフォルト |
最大数 |
---|---|---|---|
アクティブ ユニットで電源切断が生じる、または通常の動作が停止する。 |
800 ミリ秒 |
15 秒 |
45 秒 |
アクティブ ユニット インターフェイス物理リンクがダウンする。 |
500 ミリ秒 |
5 秒 |
15 秒 |
アクティブ ユニットのインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。 |
5 秒 |
25 秒 |
75 秒 |
アクティブ/スタンバイ フェールオーバーについて
アクティブ/スタンバイ フェールオーバーでは、障害が発生した装置の機能を、スタンバイ Firepower Threat Defense デバイス に引き継ぐことができます。アクティブ装置に障害が発生した場合、スタンバイ装置がアクティブ装置になります。
プライマリ/セカンダリの役割とアクティブ/スタンバイ ステータス
アクティブ/スタンバイ フェールオーバーを設定する場合、1 つのユニットをプライマリとして設定し、もう 1 つのユニットをセカンダリとして設定します。設定中に、プライマリ ユニットのポリシーは、セカンダリ ユニットに同期化されます。この時点で、2 つのユニットは、デバイスおよびポリシー設定に関して単一のデバイスとして機能します。ただし、イベント、ダッシュボード、レポートおよびヘルス モニタリングに関しては、別々のデバイスとして引き続き表示されます。
フェールオーバー ペアの 2 つのユニットの主な相違点は、どちらのユニットがアクティブでどちらのユニットがスタンバイであるか、つまりどちらの IP アドレスを使用するか、およびどちらのユニットがアクティブにトラフィックを渡すかということに関連します。
しかし、プライマリ ユニット(設定で指定)とセカンダリ ユニットとの間には、いくつかの相違点があります。
-
両方のユニットが同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ ユニットが常にアクティブ ユニットになります。
-
プライマリ ユニットの MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。このルールの例外は、セカンダリ ユニットがアクティブであり、フェールオーバー リンク経由でプライマリ ユニットの MAC アドレスを取得できない場合に発生します。この場合、セカンダリ ユニットの MAC アドレスが使用されます。
起動時のアクティブ装置の判別
アクティブ装置は、次の条件で判別されます。
-
装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。
-
装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。
-
両方の装置が同時に起動された場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。
フェールオーバー イベント
アクティブ/スタンバイ フェールオーバーでは、フェールオーバーはユニットごとに行われます。
次の表に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ ユニットが行うアクション、スタンバイ ユニットが行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。
障害イベント |
ポリシー |
アクティブ グループのアクション |
スタンバイ グループのアクション |
注記(Notes) |
---|---|---|---|---|
アクティブ ユニットが故障(電源またはハードウェア) |
フェールオーバー |
適用対象外 |
アクティブになる アクティブに故障とマークする |
モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。 |
以前にアクティブであったユニットの復旧 |
フェールオーバーなし |
スタンバイになる |
動作なし |
なし。 |
スタンバイ ユニットが故障(電源またはハードウェア) |
フェールオーバーなし |
スタンバイに故障とマークする |
適用対象外 |
スタンバイ ユニットが故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ ユニットはフェールオーバーを行いません。 |
動作中にフェールオーバー リンクに障害が発生した |
フェールオーバーなし |
フェールオーバー リンクに故障とマークする |
フェールオーバー リンクに故障とマークする |
フェールオーバー リンクがダウンしている間、ユニットはスタンバイ ユニットにフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。 |
スタートアップ時にフェールオーバー リンクに障害が発生した |
フェールオーバーなし |
フェールオーバー リンクに故障とマークする |
アクティブになる |
スタートアップ時にフェールオーバー リンクがダウンしていると、両方のユニットがアクティブになります。 |
ステート リンクの障害 |
フェールオーバーなし |
動作なし |
動作なし |
ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。 |
アクティブ ユニットにおけるしきい値を超えたインターフェイス障害 |
フェールオーバー |
アクティブに故障とマークする |
アクティブになる |
なし。 |
スタンバイ ユニットにおけるしきい値を超えたインターフェイス障害 |
フェールオーバーなし |
動作なし |
スタンバイに故障とマークする |
スタンバイ ユニットが故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ ユニットはフェールオーバーを行いません。 |