Firewall Management Center 7.4でのクラスタサービサビリティの改善の設定

ダウンロード オプション

  • PDF     (1.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.1 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (921.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 7 月 22 日
Document ID:222100

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、FMC 7.4でのサービスアビリティの向上の使用方法について説明します。

    最新情報

    • Cluster Control Link(CCL)リンクの診断と、設定が正しいことを確認するためのサポート。
    • これで、Cluster Lina CLIがFirewall Management Center(FMC)で表示できるようになりました。
    • 生成のトラブルシューティング
      • クラスタ内のすべてのデバイスに対して一度に生成できるようになりました。
      • トラブルシューティングの生成は、ノードがクラスタへの参加に失敗した場合に自動的に行われます。
      • Devices > Cluster/Deviceタブからのトラブルシューティングの生成とナビゲーション

    前提条件、サポート対象プラットフォーム、ライセンス

    最低限のソフトウェアおよびハードウェアプラットフォーム

    アプリケーションと最小バージョン

    管理対象デバイス 

    サポートされる管理対象デバイスの最小バージョンが必要 

    注意事項

    Cisco Secure Firewall 7.4

    FTDでのクラスタリングをサポートするすべて

    「トラブルシューティングの生成」機能の拡張にのみ、FTDバージョン7.4以降が必要です

    ・ FMCオンプレミス+ FMC REST API

    ・ クラウド型FMC

    これはFMCの機能なので、FMC 7.4で管理できるすべてのデバイスに設定を適用できます。

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • 7.4を実行するCisco Firewall Management Center(FMC) 
    • 7.4以降を実行するCisco Firepower Threat Defense(FTD)。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    CCLリンク診断

    Cluster SummaryページのCluster Control Link Interface MTU警告

    問題

    • クラスタリングでは、クラスタ制御リンクにデータインターフェイスよりも大きなMTUが必要です。
    • MTUを十分に高い値に設定しないことが多いため、信頼性に問題が生じます。
    • ノード間でクラスタ状態を同期させるには、プラットフォームに基づいて、CCL MTUを最大データインターフェイスMTUよりも100または154バイト多くする必要があります。

    CCL MTU =(最大データインターフェイスMTU) + 100 |154 

    たとえば、FTDvデバイスの場合、1700バイトが最大データインターフェイスMTUであれば、CCLインターフェイスMTUの値は1854に設定されます。
    1854 = 1700 + 154

    プラットフォームごとの推奨MTUサイズ

    Platform

    最大データインターフェイスMTUの例

    追加

    CCLリンクのMTUの推奨合計設定

    Sec FW 3100シリーズ

    1700

    100

    1800

    FTDv

    1700

    154

    1854

    解決方法

    • クラスタが作成されると、CCLリンクのMTU値は、インターフェイス上で自動的に推奨値に設定されます。
      スイッチ側の設定をこの値に一致させます。
    • 警告メッセージの例:
      クラスタリングでは、クラスタ制御リンクに高いMTUが必要です。現在のデータインターフェイスMTUの最大値は1500バイトです。推奨されるクラスタ制御リンクMTUは1654バイト以上です。 先に進む前に、接続されているスイッチがデータインターフェイスとクラスタ制御リンクのMTUに一致していることを確認してください。一致していないと、クラスタの形成に失敗します。
    • CCLインターフェイスのスイッチ側の設定がこの値と一致しない場合、デバイスはクラスタに参加できません。 

    クラスタの追加の警告バナー

    クラスタのライブステータスでのCCL pingテスト

    CCL接続の確認

    • CCL MTUパケットサイズでCCL接続を確認するためのユーザプロビジョニングが必要

    解決方法

    CCL pingコマンド

    パブリッククラウド用のCCL MTUサイズの追加

    AWSおよびAzure Cluster MTU値

    7.4パブリッククラウドFTDvクラスタでは、新たに推奨されるCCLおよびデータインターフェイスのMTU値があります。

    7.3での推奨されるCCL MTU

    推奨 

    7.4のCCL MTU

    7.3での推奨されるデータインターフェイスMTU

    推奨 

    7.4のデータインターフェイスMTU

    Azure NLBクラスター

    1554

    1454

    1400

    1300

    Azure GWLBクラスター

    1554

    1454

    1454

    1374

    AWS GWLBクラスター

    1960

    1980

    1806

    1826

    クラスタを7.4バージョンにアップグレードした後、FMCはCCLおよびデータインターフェイスMTUを推奨値に更新します。

    FMCで使用可能なCLI

    デバイス/クラスタタブで使用可能なデバイスラインCLIプロンプト

    FMCからのクラスタラインCLIの実行

    • FMCからクラスタLINAトラブルシューティングCLIを実行できるようになりました。

    CLIオプション

    一般的に使用されるCLI(デフォルトで表示)

    定義済みCLI

    定義済みクラスタCLI

    • デフォルトで実行されるCLIは次のとおりです。

                   show running-config cluster(推奨)

                   クラスタ情報の表示

                   クラスタ情報の状態の表示

                   show cluster info transport cp(隠しコマンド)

                   show version

                   show asp drop

                   show counters

                   show arp

                   show int ip brief(隠しコマンド)

                   show blocks

                   show cpu detailed(隠しコマンド)

                   show interface <ccl_interface>

                   ping <ccl_ip> size <ccl_mtu> repeat 2

    使用可能なコマンドの手動入力

    CLI コマンド

    トラブルシューティングの生成

    ノード結合失敗時の自動トラブルシューティング生成

    • ノードがクラスタへの参加に失敗すると、デバイスのトラブルシューティングが自動的に生成されます。
    • タスクマネージャに通知が表示されます。

    クラスタノードの障害

    デバイスタブとクラスタタブで使用可能なトリガーとダウンロードボタンのトラブルシューティング

    クラスタトラブルシューティングの生成の簡素化

    ログとダウンロードを追加

    クラスタトラブルシューティングの生成

    デバイスの選択

    ノード(デバイス)のトラブルシューティングの生成

    [ログ]または[ダウンロード]をクリックします

    クラスタトラブルシューティング生成の通知の完了

    タスクマネージャには、クラスタ内の各ノードのトラブルシューティング生成の進行状況が表示されます。それを待ってからDownloadをクリックします。

    タスク通知

    Q & A

    Q: Azureでは、MTUに対してAWSでは減少しますが増加しますか?

    A:パブリッククラウドの新しいMTU値については、Azureでは推奨されるMTUが減りますが、AWSでは増えます。


    Q:アップグレード中にMTUが自動的に変更される場合、Syslogエントリはありますか。

    A:いいえ。現時点ではSyslogエントリは作成されていません。これが必要な場合は、見直すことができます。


    Q:各ノードのMTU値はどこに表示されていますか。

    A: Clusterタブのdevice management > interfacesページで、MTU値を列で表示します。


    Q:この障害は、スイッチが設定されていないか、または他のノードが設定されていないために発生していますか。

    A:いいえ。これは警告メッセージであり、ユーザにはいつも表示されます。


    Q:MTUサイズを表示するには、どのコマンドをshow clusterで使用しますか。

    A:CCL pingはデフォルトで、CLIのデフォルトで表示されます。

    Q: AWSの場合、スイッチのMTUを増やす手順をドキュメント化できますか?

    A:テクニカルパブで確認します。

    Q:HWについては、3100シリーズのみをリストしていますが、4K/9K/2K/1Kについてはどうですか。

    A:9300、4100、3100でのクラスタリングと仮想のみ。3100はFMCから実行できますが、4100と9300のクラスタはFMCではなくシャーシマネージャで実行されます。


    Q:デバイスのアップグレード後に変更を有効にするには、FMCから導入する必要がありますか。

    A:はい。アップグレード後に導入する必要があります。推奨されるMTU値を使用する必要があります。


    Q:FTDがGREトンネルが構築されるパスの途中で、トンネルのフラッピングやダウンが見られるかのように、MTUが変更されたことを示す警告メッセージをユーザに表示しますか。

    A:ドキュメントに記載されています。警告メッセージを処理できます。ノードは制御ノードに合わせて調整されます。スイッチを新しい値に調整する必要があります。制御ノードのアップグレード後に値が変更される。MTU値は制御によって送信されます。


    Q:アップグレード後にMTUを変更する場合、FTDデバイスをリブートしますか。

    A:アップグレード時にMTU値が変更されても、FTDでは明示的なリブートはトリガーされません。

    改訂履歴

    改訂 発行日 注釈
    2.0
    2024年7月17日
    代替テキストが追加されました。更新された書式。
    1.0
    2024年7月17日
    初版リリース

    更新履歴

    改定 発行日 コメント
    1.0
    22-Jul-2024
    初版
    TAC Authored

    シスコ エンジニア提供

    • スラビスリヴァスタヴァ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています