简介
本文档介绍如何设置本地管理的安全防火墙威胁防御(FTD)的主用/备用高可用性(HA)对。
先决条件
要求
建议了解以下主题:
- 通过GUI和/或外壳进行思科安全防火墙威胁防御初始配置。
使用的组件
本文档中的信息基于以下软件和硬件版本:
- FPR2110版本7.2.5由Firepower设备管理器(FDM)本地管理
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
网络拓扑
配置
配置主设备以实现高可用性
步骤1:单击Device,然后按位于右上角High Availability状态旁边的Configure按钮。
第二步:在High Availability页面上,单击Primary Device框。
第三步:配置故障转移链路属性。
选择已直接连接到辅助防火墙的Interface,并设置Primary IP address和Secondary IP address以及子网Netmask。
选中Stateful Failover Link的Use same interface as the Failover Link复选框。
清除IPSec Encryption Key(IPSec加密密钥)框,然后单击Activate HA保存更改。
提示:使用专门用于故障切换流量的小型掩码子网,以尽可能避免安全漏洞和/或网络问题。
警告:系统立即将配置部署到设备。您无需启动部署作业。如果您没有看到表明您的配置已保存且部署正在进行中的消息,请滚动到页面顶部查看错误消息。配置也会复制到剪贴板。您可以使用副本快速配置辅助设备。为增强安全性,剪贴板副本中不包含加密密钥(如果已设置)。
第四步:配置完成后,您将收到一条消息,说明后续步骤。阅读完信息后,单击Got It。
配置辅助设备以实现高可用性
步骤1:单击Device,然后按位于右上角High Availability状态旁边的Configure按钮。
第二步:在High Availability页面上,单击Secondary Device框。
第三步:配置故障转移链路属性。您可以在配置主FTD后粘贴剪贴板中存储的设置,也可以手动继续。
步骤 3.1要从剪贴板粘贴,只需单击从剪贴板粘贴按钮,粘贴到配置中(同时按Ctrl+v),然后单击确定。
步骤 3.2要手动继续,请选择已直接连接到辅助防火墙的Interface,并设置Primary and Secondary IP address以及子网Netmask。选中Stateful Failover Link的Use same interface as the Failover Link复选框。
第四步:清除IPSec Encryption Key(IPSec加密密钥)框,然后单击Activate HA保存更改。
警告:系统立即将配置部署到设备。您无需启动部署作业。如果您没有看到表明您的配置已保存且部署正在进行中的消息,请滚动到页面顶部查看错误消息。
第五步:配置完成后,您将收到一条消息,说明您需要采取的后续步骤。阅读完信息后,单击Got It。
验证
- 此时,您的设备状态大部分指示这是高可用性页面上的辅助设备。如果与主设备的加入成功,设备将开始与主设备同步,最终模式更改为“备用”,对等设备更改为“活动”。
- 主FTD最可能也显示“高可用性”状态,但显示为“活动”和“对等:备用”。
- 打开与主FTD的SSH会话,然后发出命令show running-config failover以验证配置。
- 使用show failover state命令验证设备的当前状态。