단계 1

인터페이스를 구성합니다.

1. 클러스터를 구축하기 전에 데이터 유형 인터페이스 또는 EtherChannel(port-channel이라고도 함)을 최소 1개 추가합니다. EtherChannel(포트 채널) 추가 또는 실제 인터페이스 구성를 참조하십시오.

   다중 섀시 클러스터링의 경우, 모든 데이터 인터페이스는 멤버 인터페이스가 최소 1개 있는 Spanned EtherChannel이어야 합니다. 각 섀시에 동일한 EtherChannel을 추가합니다. 스위치의 단일 EtherChannel에 모든 클러스터 유닛의 멤버 인터페이스를 결합합니다. EtherChannel에 대한 자세한 내용은 클러스터링 지침 및 제한 사항 항목을 참고하십시오.

   다중 인스턴스 클러스터링의 경우 클러스터의 FXOS 정의 VLAN 하위 인터페이스 또는 데이터 공유 인터페이스를 사용할 수 없습니다. 애플리케이션 정의 하위 인터페이스만 지원됩니다. 자세한 내용은 FXOS 인터페이스와 애플리케이션 인터페이스 비교를 참조하십시오.

2. 관리 유형 인터페이스 또는 EtherChannel을 추가합니다. EtherChannel(포트 채널) 추가 또는 실제 인터페이스 구성를 참조하십시오.

   관리 인터페이스는 필수 항목입니다. 이 관리 인터페이스는 섀시 관리용으로만 사용되는 섀시 관리 인터페이스(FXOS에서 MGMT, management0 또는 기타 유사한 이름으로 표시되는 섀시 관리 인터페이스 확인 가능)와는 다릅니다.

   다중 섀시 클러스터링의 경우 각 섀시에 동일한 Management(관리) 인터페이스를 추가합니다.

   멀티 인스턴스 클러스터링의 경우 동일한 섀시의 여러 클러스터 또는 독립형 인스턴스에서 동일한 관리 인터페이스를 공유할 수 있습니다.

3. 다중 섀시 클러스터링의 경우, 멤버 인터페이스를 클러스터 제어 링크 EtherChannel에 추가합니다(기본: 포트 채널 48). EtherChannel(포트 채널) 추가의 내용을 참조하십시오.

   격리된 클러스터의 멤버 인터페이스를 단일 Firepower 9300 섀시 내의 보안 모듈에 추가하지 마십시오. 멤버를 추가하면 섀시에서는 이 클러스터를 다중 섀시 클러스터로 가정하며, 예를 들어 Spanned EtherChannel만 사용하도록 허용합니다.

   멤버 인터페이스가 포함되지 않은 경우, Interfaces(인터페이스) 탭에서 port-channel 48 클러스터 유형 인터페이스에 Operation State(운영 상태)가 failed(실패)로 표시됩니다. 단일 Firepower 9300 섀시 내의 보안 모듈에 격리된 클러스터의 경우 이 EtherChannel에는 멤버 인터페이스가 필요하지 않으므로 이 Operation State(운영 상태)를 무시할 수 있습니다.

   각 섀시에 동일한 멤버 인터페이스를 추가합니다. 클러스터 제어 링크는 각 섀시의 디바이스-로컬 EtherChannel입니다. 디바이스별 스위치에서 별도의 EtherChannel을 사용합니다. EtherChannel에 대한 자세한 내용은 클러스터링 지침 및 제한 사항 항목을 참고하십시오.

   다중 인스턴스 클러스터링의 경우 추가 클러스터 유형 Etherchannel를 생성할 수 있습니다. 관리 인터페이스와 달리 클러스터 제어 링크는 여러 디바이스에서 공유할 수 없으므로 각 클러스터에 대한 클러스터 인터페이스가 필요합니다. 그러나 여러 Etherchannel 대신 VLAN 하위 인터페이스를 사용하는 것이 좋습니다. 클러스터 인터페이스에 VLAN 하위 인터페이스를 추가하려면 다음 단계를 참조하십시오.

4. 다중 인스턴스 클러스터링의 경우 각 클러스터에 별도의 클러스터 제어 링크를 사용할 수 있도록 VLAN 하위 인터페이스를 클러스터 EtherChannel에 추가합니다. 컨테이너 인스턴스에 VLAN 하위 인터페이스 추가의 내용을 참조하십시오.

   클러스터 인터페이스에 하위 인터페이스를 추가하면 네이티브 클러스터에서 해당 인터페이스를 사용할 수 없습니다.

5. (선택 사항) 이벤트 인터페이스를 추가합니다. EtherChannel(포트 채널) 추가 또는 실제 인터페이스 구성를 참조하십시오.

   이 인터페이스는 threat defense 디바이스의 보조 관리 인터페이스입니다. 이 인터페이스를 사용하려면 threat defense CLI에서 해당 IP 주소 및 기타 매개변수를 구성해야 합니다. 예를 들면 관리 트래픽을 이벤트(예: 웹 이벤트)에서 분리할 수 있습니다. threat defense 명령 참조에서 configure network 명령을 참조하십시오.

   다중 섀시 클러스터링의 경우 각 섀시에 동일한 Eventing(이벤트) 인터페이스를 추가합니다.

단계 2

Logical Devices(논리적 디바이스)를 선택합니다.

단계 3

Add(추가) > Cluster(클러스터)를 클릭하고 다음 파라미터를 설정합니다.

1. I want to:(수행할 작업:) > Create New Cluster(새 클러스터 생성)를 선택합니다.

2. Device Name(디바이스 이름)을 입력합니다.

   이 이름은 내부적으로 섀시 수퍼바이저가 관리 설정을 구성하고 인터페이스를 할당하는 데 사용됩니다. 이는 애플리케이션 구성에 사용되는 디바이스 이름이 아닙니다.

3. Template(템플릿)에서 Cisco Firepower Threat Defense를 선택합니다.

4. Image Version(이미지 버전)을 선택합니다.

5. Instance Type(인스턴스 유형)의 경우 Native(네이티브) 또는 Container(컨테이너)를 선택합니다.

   네이티브 인스턴스는 보안 모듈/엔진의 모든 리소스(CPU, RAM 및 디스크 공간)를 사용합니다. 따라서 하나의 기본 인스턴스만 설치할 수 있습니다. 컨테이너 인스턴스는 보안 모듈/엔진의 리소스 하위 집합을 사용합니다. 따라서 여러 개의 컨테이너 인스턴스를 설치할 수 있습니다.

6. (컨테이너 인스턴스만 해당) Resource Type(리소스 유형)의 드롭다운 목록에서 리소스 프로파일 중 하나를 선택합니다.

   Firepower 9300의 경우 이 프로파일은 보안 모듈의 각 인스턴스에 적용됩니다. 이 절차에서 나중에 보안 모듈별로 서로 다른 프로파일을 설정할 수 있습니다. 예를 들어 다른 보안 모듈 유형을 사용하면서 더 성능이 낮은 모델에서 더 많은 CPU를 사용할 수도 있습니다. 클러스터를 생성하기 전에 올바른 프로파일을 선택하는 것이 좋습니다. 새 프로파일을 생성해야 하는 경우 클러스터 생성을 취소하고 컨테이너 인스턴스에 대한 리소스 프로파일 추가을 사용해 하나를 추가합니다.

7. OK(확인)를 클릭합니다.

   Provisioning - device name(프로비저닝 - 디바이스 이름) 창이 표시됩니다.

단계 4

이 클러스터에 할당할 인터페이스를 선택합니다.

네이티브 모드 클러스터링의 경우: 유효한 모든 인터페이스가 기본적으로 할당되어 있습니다. 여러 클러스터 유형의 인터페이스를 지정했다면 하나를 제외하고 모두 선택 해제합니다.

다중 인스턴스 클러스터링의 경우: 클러스터에 할당할 각 데이터 인터페이스를 선택하고 클러스터 유형 포트 채널 또는 포트 채널 하위 인터페이스도 선택합니다.

단계 5

화면 중앙의 디바이스 아이콘을 클릭합니다.

단계 6

Cluster Information(클러스터 정보) 페이지에서 다음 작업을 수행합니다.

1. (Firepower 9300 컨테이너 인스턴스만 해당) 보안 모듈(SM) 및 리소스 프로파일 선택 영역에서 모듈별로 다른 리소스 프로파일을 설정할 수 있습니다. 예를 들어 다른 보안 모듈 유형을 사용하면서 더 성능이 낮은 모델에서 더 많은 CPU를 사용할 수도 있습니다.

2. 다중 섀시 클러스터링의 경우, Chassis ID(섀시 ID) 필드에 섀시 ID를 입력합니다. 클러스터의 각 섀시는 고유 ID를 사용해야 합니다.

   이 필드는 클러스터 제어 링크 Port-Channel 48에 멤버 인터페이스를 추가한 경우에만 나타납니다.

3. 사이트 간 클러스터링의 경우 이 섀시에 대해 Site ID(사이트 ID) 필드에 1~8의 사이트 ID를 입력합니다. FlexConfig 기능. 디렉터 현지화, 사이트 이중화, 클러스터 플로우 이동성 같은 이중화 및 안정성을 개선하기 위한 추가적인 사이트 간 클러스터 맞춤화는 management center FlexConfig 기능을 사용하는 경우에만 구성 가능합니다.

4. Cluster Key(클러스터 키) 필드에서 클러스터 제어 링크의 제어 트래픽에 대한 인증 키를 구성합니다.

   공유 비밀은 1자 ~ 63자로 된 ASCII 문자열입니다. 공유 비밀은 키를 생성하는 데 사용됩니다. 이 옵션은 연결 상태 업데이트 및 전달된 패킷을 비롯한 데이터 경로 트래픽에 영향을 미치지 않으며, 항상 일반 텍스트로 전송됩니다.

5. Cluster Group Name(클러스터 그룹 이름)(논리적 디바이스 구성의 클러스터 그룹 이름)을 설정합니다.

   이름은 1자 ~ 38자로 된 ASCII 문자열이어야 합니다.

6. Management Interface(관리 인터페이스)를 선택합니다.

   이 인터페이스는 논리적 디바이스를 관리하는 데 사용됩니다. 이 인터페이스는 섀시 관리 포트와 별개입니다.

   하드웨어 바이패스 지원 인터페이스를 Management(관리) 인터페이스로 할당할 경우 그러한 할당이 의도적인지를 확인하는 경고 메시지가 표시됩니다.

7. (선택 사항) CCL Subnet IP(CCL 서브넷 IP)를 a.b.0.0으로 설정합니다.

   기본적으로 클러스터 제어 링크는 127.2.0.0/16 네트워크를 사용합니다. 그러나 일부 네트워킹 구축에서는 127.2.0.0/16 트래픽 통과를 허용하지 않습니다. 이 경우 루프백(127.0.0.0/8) 및 멀티캐스트(224.0.0.0/4) 및 내부 (169.254.0.0/16) 주소를 제외한 모든 /16 네트워크 주소를 클러스터용 고유 네트워크에 지정합니다. 값을 0.0.0.0으로 설정하는 경우 기본 네트워크가 사용됩니다.

   섀시에서는 섀시 ID 및 슬롯 ID a.b.chassis_id.slot_id를 기준으로 하여 각 유닛에 대해 클러스터 제어 링크 인터페이스 IP 주소를 자동 생성합니다.

단계 7

Settings(설정) 페이지에서 다음 작업을 완료합니다.

1. Registration Key(등록 키)필드에 등록하는 동안 management center와 클러스터 멤버 간에 공유할 키를 입력합니다.

   이 키에 대해 1~37자의 텍스트 문자열을 선택할 수 있습니다. 위협 방어를 추가하는 경우 management center에 동일한 키를 입력합니다.

2. 위협 방어 관리 사용자가 CLI에 액세스할 때 사용할 Password(비밀번호)를 입력합니다.

3. Firepower Management Center IP 필드에 management center를 관리하기 위한 IP 주소를 입력합니다. management center IP 주소를 알 수 없는 경우, 이 필드를 비워두고 Firepower Management Center NAT ID 필드에 암호를 입력합니다.

4. (선택 사항) 컨테이너 인스턴스의 경우, Permit Export mode from FTD SSH sessions(FTD SSH 세션에서 전문가 모드 허용)에 대해 Yes(예) 또는 No(아니요)를 선택합니다. 전문가 모드에서는 고급 트러블슈팅을 위한 위협 방어 셸 액세스 기능이 제공됩니다.

   이 옵션에 대해 Yes(예)를 선택하는 경우 SSH 세션에서 컨테이너 인스턴스에 직접 액세스할 수 있는 사용자가 전문가 모드를 시작할 수 있습니다. No(아니요)를 선택하는 경우에는 FXOS CLI에서 컨테이너 인스턴스에 액세스할 수 있는 사용자만 전문가 모드를 시작할 수 있습니다. 각 인스턴스를 더욱 명확하게 격리할 수 있도록 No(아니요)를 선택하는 것이 좋습니다.

   문서에 설명되어 있는 절차에 따라 Expert 모드가 필요하다고 알려주는 경우 또는 Cisco Technical Assistance Center에서 사용하도록 요청하는 경우에만 Expert 모드를 사용합니다. 이 모드를 설정하려면 위협 방어 CLI에서 expert 명령을 사용합니다.

5. (선택 사항) Search Domains(검색 도메인) 필드에 관리 네트워크의 쉼표로 구분된 검색 도메인 목록을 입력합니다.

6. (선택 사항) Firewall Mode(방화벽 모드) 드롭다운 목록에서 Transparent(투명) 또는 Routed(라우팅됨)를 선택합니다.

   라우팅 모드에서 위협 방어는 네트워크의 라우터 홉으로 간주됩니다. 라우팅할 각 인터페이스가 다른 서브넷에 있습니다. 이와 반대로 투명 방화벽은 “비활성 엔드포인트(bump in the wire)” 또는 “은폐형 방화벽(stealth firewall)” 같은 역할을 수행하는 레이어 2 방화벽이며, 연결된 디바이스에 대한 라우터 홉으로 표시되지 않습니다.

   방화벽 모드는 초기 구축 시에만 설정됩니다. 부트스트랩 설정을 다시 적용하는 경우에는 이 설정이 사용되지 않습니다.

7. (선택 사항) DNS Servers(DNS 서버) 필드에 쉼표로 구분된 DNS 서버 목록을 입력합니다.

   예를 들어, management center의 호스트 이름을 지정하는 경우, 위협 방어에서는 DNS를 사용합니다.

8. (선택 사항) 새 디바이스로 클러스터를 추가할 때 management center에도 입력할 암호를 Firepower Management Center NAT ID 필드에 입력합니다.

   일반적으로 라우팅 목적과 인증 두 가지 목적에 IP 주소(등록 키와 함께)가 모두 필요합니다. management center는 디바이스 IP 주소를 지정하고 디바이스는 management center IP 주소를 지정합니다. 그러나 라우팅을 위한 최소 요구 사항인 IP 주소 중 하나만 알고 있는 경우, 초기 통신에 대한 신뢰를 설정하고 올바른 등록 키를 조회하려면 연결의 양쪽에서 고유 NAT ID도 지정해야 합니다. 1~37자의 임의의 텍스트 문자열을 NAT ID로 지정할 수 있습니다. management center 및 디바이스는 등록 키 및 NAT ID(IP 주소 대신)를 사용하여 초기 등록을 인증하고 권한을 부여합니다.

9. (선택 사항) Fully Qualified Hostname(정규화된 호스트 이름) 필드에 위협 방어 디바이스의 정규화된 이름을 입력합니다.

   유효한 문자는 a부터 z까지의 문자, 0과 9 사이의 숫자, 점(.) 및 하이픈(-)입니다. 최대 문자 수는 253자입니다.

10. (선택 사항) Eventing Interface(Eventing 인터페이스) 드롭다운 목록에서 이벤트가 전송되어야 할 인터페이스를 선택합니다. 인터페이스가 지정되지 않은 경우, 관리 인터페이스가 사용됩니다.

    이벤트에 사용할 별도의 인터페이스를 지정하려면 인터페이스를 Firepower 이벤트 처리 인터페이스로 구성해야 합니다. 하드웨어 바이패스 지원 인터페이스를 Eventing(이벤트) 인터페이스로 할당하는 경우 그러한 할당이 의도적인지를 확인하는 경고 메시지가 표시됩니다.

단계 8

Interface Information(인터페이스 정보) 페이지에서 클러스터의 각 보안 모듈의 관리 IP 주소를 구성합니다. Address Type(주소 유형) 드롭다운 목록에서 주소 유형을 선택한 다음 각 보안 모듈에 대해 다음 작업을 수행합니다.

참고	모듈을 설치하지 않은 경우에도 섀시의 3개 모듈 슬롯 모두에 대해 IP 주소를 설정해야 합니다. 3개 모듈을 모두 구성하지 않은 경우 클러스터가 나타나지 않습니다.

1. Management IP(관리 IP) 필드에서 IP 주소를 구성합니다.

   각 모듈에 대해 동일한 네트워크에서 고유한 IP 주소를 지정합니다.

2. Network Mask(네트워크 마스크) 또는 Prefix Length(접두사 길이)를 입력합니다.

3. Network Gateway(네트워크 게이트웨이) 주소를 입력합니다.

단계 9

Agreement(계약) 탭에서 EULA(End User License Agreement)를 읽고 내용에 동의해야 합니다.

단계 10

OK(확인)를 클릭하여 구성 대화 상자를 닫습니다.

단계 11

Save(저장)를 클릭합니다.

섀시에서 지정된 소프트웨어 버전을 다운로드하고 부트스트랩 구성 및 관리 인터페이스 설정을 애플리케이션 인스턴스에 푸시하여 논리적 디바이스를 구축합니다. Logical Devices(논리적 디바이스) 페이지에서 새 논리적 디바이스의 상태를 확인합니다. 논리적 디바이스의 Status(상태)가 online(온라인)으로 표시되면 나머지 클러스터 섀시를 추가할 수도 있고, 단일 Firepower 9300 섀시 내의 보안 모듈에 격리된 클러스터의 경우 애플리케이션 내에서 클러스터 구성을 시작할 수도 있습니다. 프로세스의 일부로 "보안 모듈이 응답하지 않음" 상태가 표시될 수 있습니다. 이 상태는 정상이며 일시적입니다.

단계 12

다중 섀시 클러스터링의 경우, 다음 섀시를 클러스터에 추가합니다.

1. 섀시 관리자의 첫 번째 섀시에서 오른쪽 상단에 있는 Show Configuration(구성 표시) 아이콘을 클릭하여 표시된 클러스터 구성을 복사합니다.

2. 다음 섀시에 있는 섀시 관리자에 연결하고 이 절차에 따라 논리적 디바이스를 추가합니다.

3. I want to:(수행할 작업:) > Join an Existing Cluster(기존 클러스터에 조인)를 선택합니다.

4. OK(확인)를 클릭합니다.

5. Copy Cluster Details(클러스터 세부사항 복사) 상자에서 첫 번째 섀시의 클러스터 구성에 붙여 넣고 OK(확인)를 클릭합니다.

6. 화면 중앙의 디바이스 아이콘을 클릭합니다. 클러스터 정보는 대부분 미리 채워지지만 다음 설정은 변경해야 합니다.

   • Chassis ID(섀시 ID) - 고유한 섀시 ID를 입력합니다.

   • Site ID(사이트 ID) - 사이트 간 클러스터링의 경우 이 섀시에 대해 1~8 사이의 사이트 ID를 입력합니다. 디렉터 현지화, 사이트 이중화, 클러스터 플로우 이동성 같은 이중화 및 안정성을 개선하기 위한 추가적인 사이트 간 클러스터 맞춤화는 management center FlexConfig 기능을 사용하는 경우에만 구성 가능합니다.

   • Cluster Key(클러스터 키) - (미리 채워지지 않음) 동일한 클러스터 키를 입력합니다.

   • Management IP(관리 IP) - 각 모듈의 관리 주소를 다른 클러스터 멤버와 동일한 네트워크에 있는 고유 IP 주소로 변경합니다.

   OK(확인)를 클릭합니다.

7. Save(저장)를 클릭합니다.

   섀시에서 지정된 소프트웨어 버전을 다운로드하고 부트스트랩 구성 및 관리 인터페이스 설정을 애플리케이션 인스턴스에 푸시하여 논리적 디바이스를 구축합니다. Logical Devices(논리적 디바이스) 페이지에서 각 클러스터 멤버의 새 논리적 디바이스의 상태를 확인합니다. 각 클러스터 멤버의 논리적 디바이스의 Status(상태)가 online(온라인)으로 표시되면 애플리케이션 내에서 클러스터 구성을 시작할 수 있습니다. 프로세스의 일부로 "보안 모듈이 응답하지 않음" 상태가 표시될 수 있습니다. 이 상태는 정상이며 일시적입니다.

   

단계 13

관리 IP 주소를 사용하여 제어 유닛을 management center에 추가합니다.

단계 1

이전에 management center를 사용하여 위협 방어 이미지를 업그레이드한 경우 클러스터의 각 섀시에서 다음 단계를 수행합니다.

1. System(시스템) > Updates(업데이트) 페이지를 사용하여 섀시에 실행 중인 위협 방어 이미지를 설치합니다.

2. Logical Devices(논리적 디바이스)를 클릭하고 버전 설정 아이콘()를 클릭합니다. 여러 모듈이 있는 Firepower 9300의 경우 각 모듈의 버전을 설정합니다.

   Startup Version(시작 버전)에는 구축에 사용한 원래 패키지가 표시됩니다. Current Version(현재 버전)에는 업그레이드한 버전이 표시됩니다.

3. New Version(새 버전) 드롭다운 메뉴에서 업로드한 버전을 선택합니다. 이 버전은 표시된 현재 버전과 일치해야 하며, 새 버전과 일치하도록 시작 버전을 설정합니다.

4. 새 섀시에 새 이미지 패키지가 설치되어 있는지 확인합니다.

단계 2

기존 클러스터 섀시 섀시 관리자에서 Logical Devices(논리적 디바이스)를 클릭합니다.

단계 3

오른쪽 상단에 있는 설정 표시 아이콘을 클릭하여 표시된 클러스터 설정을 복사합니다.

단계 4

새 섀시에서 섀시 관리자에 연결한 다음 Add(추가) > Cluster(클러스터)를 클릭합니다.

단계 5

Device Name(디바이스 이름)에 논리적 디바이스의 이름을 입력합니다.

단계 6

OK(확인)를 클릭합니다.

단계 7

Copy Cluster Details(클러스터 세부사항 복사) 상자에서 첫 번째 섀시의 클러스터 구성에 붙여 넣고 OK(확인)를 클릭합니다.

단계 8

화면 중앙의 디바이스 아이콘을 클릭합니다. 클러스터 정보는 일부 미리 채워지지만 다음 설정은 기입해야 합니다.

• Chassis ID(섀시 ID) - 고유한 섀시 ID를 입력합니다.

• Site ID(사이트 ID) - 사이트 간 클러스터링의 경우 이 섀시에 대해 1~8 사이의 사이트 ID를 입력합니다. management center FlexConfig 기능을 통해서만 이 기능을 구성할 수 있습니다.

• Cluster Key(클러스터 키) - 동일한 클러스터 키를 입력합니다.

• Management IP(관리 IP) - 각 모듈의 관리 주소를 다른 클러스터 멤버와 동일한 네트워크에 있는 고유 IP 주소로 변경합니다.

• Fully Qualified Hostname(정규화된 호스트 이름) - 동일한 호스트 이름을 입력합니다.

• Password(비밀번호) - 동일한 비밀번호를 입력합니다.

• Registration Key(등록 키) - 동일한 등록 키를 입력합니다.

OK(확인)를 클릭합니다.

단계 9

Save(저장)를 클릭합니다.

섀시에서 지정된 소프트웨어 버전을 다운로드하고 부트스트랩 구성 및 관리 인터페이스 설정을 애플리케이션 인스턴스에 푸시하여 논리적 디바이스를 구축합니다. Logical Devices(논리적 디바이스) 페이지에서 각 클러스터 멤버의 새 논리적 디바이스의 상태를 확인합니다. 각 클러스터 멤버의 논리적 디바이스의 Status(상태)가 online(온라인)으로 표시되면 애플리케이션 내에서 클러스터 구성을 시작할 수 있습니다. 프로세스의 일부로 "보안 모듈이 응답하지 않음" 상태가 표시될 수 있습니다. 이 상태는 정상이며 일시적입니다.