はじめに
このドキュメントでは、ファイアウォール脅威対策(FTD)ハイアベイラビリティ(HA)ペアで仮想MACアドレスを設定する方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- セキュアファイアウォール脅威対策(FTD)
- セキュアファイアウォール管理センター(FMC)
使用するコンポーネント
- FMC仮想バージョン7.2.8
- FTD仮想バージョン7.2.7
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
FTD HAペアに仮想MACアドレスを設定することは、ネットワークのアベイラビリティにとって有益です。仮想MACアドレスにより、プライマリおよびセカンダリFTDは一貫したMACアドレスを維持でき、特定のトラフィックの中断を回避できます。
仮想MACアドレスが設定されていない場合、HAペアの各ユニットは、その組み込みMACアドレスを使用して起動します。プライマリユニットを検出せずにセカンダリユニットがブートした場合、セカンダリユニットはアクティブユニットになり、その焼き付けられたMACアドレスを使用します。プライマリユニットが最終的にオンラインになると、セカンダリユニットはネットワーク中断の原因となる可能性があるプライマリユニットのMACアドレスを取得します。プライマリユニットを新しいハードウェアに交換した場合も、新しいMACアドレスが使用されます。デバイスに仮想MACアドレスを設定することで、この中断から保護されます。これは、セカンダリユニットでは常にプライマリユニットのMACアドレスが認識されており、アクティブデバイスである場合は、プライマリユニットの前にオンラインになった場合でも、正しいMACアドレスを使用し続けるためです。
注:仮想MACアドレスとインターフェイスMACアドレスという用語は同じ意味で使用できます。
この設定の利点の詳細については、このガイドを参照してください。
コンフィギュレーション
1. FMCのGUIで、Devicesページに移動し、右端の鉛筆アイコンをクリックしてHAペアを編集します。
FTD HAペア
2. High Availabilityタブで、Interface MAC Addressesというラベルが付いたボックスを見つけます。+アイコンをクリックして、エディタにアクセスします。
インターフェイスMACアドレスボックス
3. エディタからPhysical Interfaceを選択し、Active/StandbyインターフェイスのMacアドレスを設定します。完了したら、OKをクリックします。
インターフェイスのMacアドレスの作成
注:仮想MACアドレスを設定するときは、標準的な規則に従うと便利です。インターフェイス内のアドレスは有効なMACアドレスである必要がありますが、本質的に任意である可能性があります。標準の表記法を使用すると、アップストリームまたはダウンストリームのMACアドレステーブルをチェックする際の管理が容易になります。MACアドレスのフォーマットでは、12桁の16進数が必要です。ピリオドは4桁の各桁を区切ります。
4. 仮想MACアドレスの設定が必要な残りのインターフェイスに対して、このプロセスを繰り返します。
5. 設定が正しいことを確認します。
インターフェイスのMacアドレス設定
6. 設定を保存し、FTD HAペアに展開します。
検証
設定を実行している各デバイスから、仮想MACアドレスが表示されます。
プライマリ(アクティブ)FTD:
実行フェールオーバーの結果の表示
インターフェイス内部結果の表示
Show Interface Outsideの結果
セカンダリ(スタンバイ)FTD:
実行フェールオーバーの結果の表示
インターフェイス内部結果の表示
Show Interface Outsideの結果
これにより、設定が正常に行われたことが確認されます。