تكوين برنامج FTD عالي التوافر على أجهزة Firepower
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين التوافر العالي (HA) لـ Firepower Threat Defense (FTD) (تجاوز الفشل النشط/الاحتياطي) على FPR9300.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- عدد جهازي أمان Cisco Firepower الإصدار 9300 - FXOS SW الإصدار 2.0(1.23)
- الإصدار 10.10.1.1 من FTD (بنية 1023)
- مركز بيانات Firepower (FMC) - SW 10.10.1.1 (النسخة 1023)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المهمة 1. التحقق من الشروط
متطلبات المهمة:
تحقق من أن كلا جهازي FTD يستوفيان متطلبات الملاحظة ويمكن تكوينهما كوحدات HA.
الحل:
الخطوة 1. قم بالاتصال ب FPR9300 Management IP وتحقق من أجهزة الوحدة النمطية.
تحقق من أجهزة FPR9300-1.
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
تحقق من أجهزة FPR9300-2.
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
الخطوة 2. قم بتسجيل الدخول إلى مدير الهيكل FPR9300-1 وانتقل إلى الأجهزة المنطقية.
تحقق من إصدار البرنامج ورقم ونوع الواجهات كما هو موضح في الصور.
FPR9300-1
FPR9300-2
المهمة 2. تكوين FTD HA على FPR9300
متطلبات المهمة:
قم بتكوين تجاوز الفشل النشط/الاحتياطي (HA) وفقًا لهذا المخطط.
الحل:
يتم تسجيل كلا جهازي FTD بالفعل على FMC كما هو موضح في الصورة.
الخطوة 1. لتكوين تجاوز فشل برنامج الإرسال فائق السرعة (FTD)، انتقل إلى الأجهزة > إدارة الأجهزة واختر إضافة توفر عال كما هو موضح في الصورة.
الخطوة 2. أدخل النظير الأساسي والنظير الثانوي واختر متابعة كما هو موضح في الصورة.
المعايير
لإنشاء توافر عالٍ (HA) بين جهازين من أجهزة FTD، يجب أن تتحقق هذه الشروط:
- الطراز نفسه
- الإصدار نفسه- ينطبق هذا على FXOS وعلى FTD - رئيسي (رقم أول)، ثانوي (رقم ثان)، والصيانة (رقم ثالث) يجب أن تكون متساوية.
- نفس عدد الواجهات
- نفس نوع الواجهات
- كلا الجهازين كجزء من نفس المجموعة/المجال في FMC.
- لديهم تكوين بروتوكول وقت الشبكة (NTP) مماثل.
- أن يتم نشره بالكامل على FMC بدون تغييرات غير ملتزمة.
- أن يكون في نفس وضع جدار الحماية: موجه أو شفاف.
ملاحظة: يجب التحقق من هذا على كل من أجهزة FTD وواجهة المستخدم الرسومية (GUI) ل FMC حيث كانت هناك حالات كان فيها ل FTDs الوضع نفسه، ولكن لا تعكس FMC هذا.
- لا يحتوي على بروتوكول DHCP/من نقطة إلى نقطة عبر الإيثرنت (PPPoE) تم تكوينه في أي من الواجهات.
- اسم المضيف المختلف [اسم المجال المؤهل بالكامل (FQDN)] لكل من الهيكل. للتحقق من اسم المضيف للهيكل، انتقل إلى واجهة سطر الأوامر (CLI) من FTD وشغل هذا الأمر:
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
إذا كان كلا الهيكلين القاعديين لهما الاسم نفسه، فغيّر الاسم في أحدهما باستخدام هذه الأوامر:
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
بعد تغيير اسم الهيكل القاعدي، قم بإلغاء تسجيل FTD من FMC وتسجيله مرة أخرى. ثم تابع إنشاء زوج التوافر العالي (HA).
الخطوة 3. شكلت ال HA وحللت الروابط عملية إعداد.
في حالتك، يكون لارتباط الحالة نفس إعدادات ارتباط التوافر العالي.
أختر إضافة وانتظر دقائق قليلة حتى يتم نشر زوج HA كما هو موضح في الصورة.
الخطوة 4. تكوين واجهات البيانات (عناوين IP الأساسية والاحتياطية)
من واجهة المستخدم الرسومية FMC، أختر تحرير HA كما هو موضح في الصورة.
الخطوة 5. قم بتكوين إعدادات الواجهة كما هو موضح في الصور.
واجهة إيثرنت 1/5.
واجهة إيثرنت 1/6.
الخطوة 6. انتقل إلى الإتاحة العالية واختر تحرير اسم الواجهة لإضافة عناوين IP الاحتياطية كما هو موضح في الصورة.
الخطوة 7. للواجهة الداخلية كما هو موضح في الصورة.
الخطوة 8. قم بنفس الإجراء للواجهة الخارجية.
الخطوة 9. تحقق من النتيجة كما هو موضح في الصورة.
الخطوة 10. ابق على علامة التبويب عالي التوافر، وقم بتكوين عناوين MAC الظاهرية كما هو موضح في الصورة.
الخطوة 11. بالنسبة للواجهة الداخلية كما هو موضح في الصورة.
الخطوة 12. قم بنفس الإجراء للواجهة الخارجية.
الخطوة 13. تحقق من النتيجة كما هو موضح في الصورة.
الخطوة 14. بعد تكوين التغييرات، أختر حفظ ونشر.
المهمة 3. التحقق من FTD HA والترخيص
متطلبات المهمة:
تحقق من إعدادات التوافر العالي لبرنامج FTD والتراخيص الممكَّنة من واجهة المستخدم الرسومية FMC ومن واجهة سطر أوامر FTD.
الحل:
الخطوة 1. انتقل إلى الملخص وتحقق من إعدادات HA والتراخيص الممكنة كما هو موضح في الصورة.
الخطوة 2. من واجهة سطر الأوامر (CLI) الخاصة ب FTD، قم بتشغيل الأوامر التالية:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
الخطوة 3. قم بالمثل على الجهاز الثانوي.
الخطوة 4. قم بتشغيل أمر show failover state من واجهة سطر الأوامر (CLI) عبر LINA:
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
الخطوة 5. التحقق من التكوين من الوحدة الأساسية (CLI الخاص بواجهة سطر الأوامر (LINA)):
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
المهمة 4. تبديل أدوار تجاوز الفشل
متطلبات المهمة:
من FMC، قم بتبديل أدوار تجاوز الفشل من أساسي/نشط، وثانوي/احتياطي إلى أساسي/احتياطي، وثانوي/نشط
الحل:
الخطوة 1. حدد الأيقونة كما هو موضح في الصورة.
الخطوة 2. قم بتأكيد العملية على النافذة المنبثقة كما هو موضح في الصورة.
الخطوة 3. تحقق من النتيجة كما هو موضح في الصورة.
من واجهة سطر أوامر LINA، يمكنك ملاحظة أنه تم تنفيذ الأمر no failover active على الوحدة الأساسية/النشطة:
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
كما يمكنك التحقق من صحته في إخراج الأمر show failover history :
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
الخطوة 4. بعد التحقق، قم بتفعيل الوحدة الأساسية مرة أخرى.
المهمة 5. كسر زوج HA
متطلبات المهمة:
من FMC، اقطع زوج تجاوز الفشل.
الحل:
الخطوة 1. حدد الأيقونة كما هو موضح في الصورة.
الخطوة 2. تحقق من الإخطار كما هو موضح في الصورة.
الخطوة 3. لاحظ الرسالة كما هو موضح في الصورة.
الخطوة 4. تحقق من نتيجة واجهة المستخدم الرسومية (GUI) ل FMC كما هو موضح في الصورة.
show running-config على الوحدة الأساسية قبل قطع التوافر العالي وبعده:
| قبل قطع HA |
بعد قطع HA |
| تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19267A63 : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135839 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/5 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! واجهة Ethernet1/6 اسم خارج مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل وضع التسجيل الاحتياطي حجم مخزن التسجيل المؤقت 10000 تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 تجاوز الفشل الوحدة الرئيسية لتخطي الأعطال واجهة LAN لتجاوز الفشل من خلال_LINK إيثرنت 1/4 بروتوكول HTTP للنسخ المتطابق للأعطال عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/5 aaa.bbb.111 aaa.bbb.222 عنوان التحكم في الوصول إلى الوسائط (MAC) للتجاوز للفشل شبكة إيثرنت 1/6 aaa.bbb.333aaa.bbb.444 إرتباط تجاوز الفشل من خلال FOVER_LINK إيثرنت 1/4 واجهة تجاوز الفشل IP من خلال الإصدار 10.10.1.1 255.255.255.0 في وضع الاستعداد 10.10.1.2 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:933c594fc0264082edc0f24bad358031 : نهاية Firepower# |
تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19267A63 : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135839 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/5 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! واجهة Ethernet1/6 اسم خارج مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل وضع التسجيل الاحتياطي حجم مخزن التسجيل المؤقت 10000 تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 عدم تجاوز الفشل no monitor-interface service-module ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:fb6f5c369dee730b9125650517dbb059 : نهاية Firepower# |
show running-config على الوحدة الثانوية قبل فاصل HA وبعده كما هو موضح في الجدول هنا.
| قبل قطع HA |
بعد قطع HA |
| تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19206H7T : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135841 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/5 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! واجهة Ethernet1/6 اسم خارج مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل وضع التسجيل الاحتياطي حجم مخزن التسجيل المؤقت 10000 تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 تجاوز الفشل وحدة الشبكة المحلية الافتراضية الثانوية واجهة LAN لتجاوز الفشل من خلال_LINK إيثرنت 1/4 بروتوكول HTTP للنسخ المتطابق للأعطال عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/5 aaa.bbb.111 aaa.bbb.222 عنوان التحكم في الوصول إلى الوسائط (MAC) للتجاوز للفشل شبكة إيثرنت 1/6 aaa.bbb.333aaa.bbb.444 إرتباط تجاوز الفشل من خلال FOVER_LINK إيثرنت 1/4 واجهة تجاوز الفشل IP من خلال الإصدار 10.10.1.1 255.255.255.0 في وضع الاستعداد 10.10.1.2 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 مجال افتراضي محلي ل user-identity تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : نهاية Firepower# |
تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19206H7T : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135841 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/5 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/6 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 MTU Diagnostic 1500 عدم تجاوز الفشل no monitor-interface service-module ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3 : نهاية Firepower# |
النقاط الرئيسية التي يجب ملاحظتها في قطع التوافر العالي:
| الوحدة الأساسية |
الوحدة الثانوية |
| تتم إزالة جميع تكوينات تجاوز الفشل. تبقى عناوين IP الاحتياطية. |
تتم إزالة كل التكوين. |
الخطوة 5. بعد الانتهاء من هذه المهمة، قم بإعادة إنشاء زوج HA.
المهمة 6. تعطيل زوج HA
متطلبات المهمة:
من FMC، قم بتعطيل زوج تجاوز الفشل.
الحل:
الخطوة 1. أختر الأيقونة كما هو موضح في الصورة.
الخطوة 2. تحقق من الإعلام وتأكد كما هو موضح في الصورة.
الخطوة 3. بعد حذف HA، يتم إلغاء تسجيل (إزالة) كلا الجهازين من FMC.
نتيجة show running-config من واجهة سطر أوامر LINA كما هو موضح في الجدول هنا:
| الوحدة الأساسية |
الوحدة الثانوية |
| تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19267A63 : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135839 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/5 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! واجهة Ethernet1/6 اسم خارج مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل وضع التسجيل الاحتياطي حجم مخزن التسجيل المؤقت 10000 تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 تجاوز الفشل الوحدة الرئيسية لتخطي الأعطال واجهة LAN لتجاوز الفشل من خلال_LINK إيثرنت 1/4 بروتوكول HTTP للنسخ المتطابق للأعطال عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/5 aaa.bbb.111 aaa.bbb.222 عنوان التحكم في الوصول إلى الوسائط (MAC) للتجاوز للفشل شبكة إيثرنت 1/6 aaa.bbb.333aaa.bbb.444 إرتباط تجاوز الفشل من خلال FOVER_LINK إيثرنت 1/4 واجهة تجاوز الفشل IP من خلال الإصدار 10.10.1.1 255.255.255.0 في وضع الاستعداد 10.10.1.2 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:933c594fc0264082edc0f24bad358031 : نهاية Firepower# |
تشغيل Firepower# sh : تم الحفظ : : الرقم التسلسلي: FLM19206H7T : الأجهزة: FPR9K-SM-36 وذاكرة وصول عشوائي (RAM) سعة 135841 ميجابايت ووحدة معالجة مركزية طراز Xeon فئة E5 بسرعة 2294 ميجاهرتز، وحدتا معالجة مركزية (72 مركزا) : NGFW، الإصدار 10.10.1.1 ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء ! واجهة إيثرنت 1/2 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/5 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! واجهة Ethernet1/6 اسم خارج مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 268447744: سياسة الوصول: FTD9300 - إلزامية/1 access-list csm_fw_acl_ ملاحظة rule-id 268447744: قاعدة l4: allow_icmp الوصول-list CSM_FW_ACL_ تصريح متقدم ICMP أي قاعدة-id 268447744 لسجل الأحداث كلا access-list CSM_FW_ACL_ ملاحظة rule-id 268441600: نهج الوصول: FTD9300 - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268441600: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268441600 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 يسمح نطاق خيارات بروتوكول TCP رقم 9 255 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل وضع التسجيل الاحتياطي حجم مخزن التسجيل المؤقت 10000 تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 تجاوز الفشل وحدة الشبكة المحلية الافتراضية الثانوية واجهة LAN لتجاوز الفشل من خلال_LINK إيثرنت 1/4 بروتوكول HTTP للنسخ المتطابق للأعطال عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/5 aaa.bbb.111 aaa.bbb.222 عنوان التحكم في الوصول إلى الوسائط (MAC) للتجاوز للفشل شبكة إيثرنت 1/6 aaa.bbb.333aaa.bbb.444 إرتباط تجاوز الفشل من خلال FOVER_LINK إيثرنت 1/4 واجهة تجاوز الفشل IP من خلال الإصدار 10.10.1.1 255.255.255.0 في وضع الاستعداد 10.10.1.2 ICMP الذي يتعذر الوصول إليه rate-limit 1 -size 1 لا يمكن تمكين محفوظات ASDM مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 مجال افتراضي محلي ل user-identity تعطيل AAA Proxy-limit لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp لا يوجد خادم snmp تمكين رسائل مصادقة SNMP ربط يعمل على تقليل دفء بدء التشغيل محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 فحص SSH strictStkeycheck مهلة SSH 5 مجموعة تبادل مفاتيح SSH DH-Group1-SHA1 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : نهاية Firepower# |
الخطوة 4. لم يتم تسجيل كلا جهازي FTD من FMC:
> show managers No managers configured.
النقاط الرئيسية التي يجب ملاحظتها فيما يتعلق بخيار تعطيل التوافر العالي (HA) في FMC:
| الوحدة الأساسية |
الوحدة الثانوية |
| تتم إزالة الجهاز من FMC. لم تتم إزالة أي تكوين من جهاز FTD. |
تتم إزالة الجهاز من FMC. لم تتم إزالة أي تكوين من جهاز FTD. |
الخطوة 5. قم بتشغيل هذا الأمر لإزالة تكوين تجاوز الفشل من أجهزة FTD:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
النتيجة:
| الوحدة الأساسية |
الوحدة الثانوية |
|
> show failover Failover Off |
> show failover > |
| أساسي |
ثانوية |
| تشغيل عرض Firepower# ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل حد معدل ARP 16384 ! واجهة GigabitEthernet1/1 اسم خارج دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 10.1.1.1 255.255.255.0 <— تمت إزالة IP الاحتياطي ! واجهة GigabitEthernet1/2 إسم داخل دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 192.168.1.1 255.255.255.0 <— تمت إزالة عنوان IP الاحتياطي ! الواجهة GigabitEthernet1/3 واجهة تجاوز فشل شبكة LAN للوصف ! واجهة GigabitEthernet1/4 واجهة تجاوز فشل حالة الوصف ! واجهة GigabitEthernet1/5 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/6 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/7 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/8 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! إدارة الواجهة 1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 الوصول-list CSM_FW_ACL_ السماح المتقدم UDP أي EQ 3544 base-id 998 access-list CSM_FW_ACL_ ملاحظة rule-id 268435456: نهج الوصول: FTD_HA - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268435456: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268435456 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل دخول 710005 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 MTU Diagnostic 1500 عدم تجاوز الفشل ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM access-group CSM_FW_ACL_ global 00 مجتمع ***** صيغة 2c لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp مجتمع خادم snmp ***** زر خدمة sw-reset محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 لا يوجد TCP-inspection فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص esmtp فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:768a03e90b9d3539773b9d7af66b3452 |
تشغيل عرض Firepower# ! اسم المضيف Firepower enable كلمة 8Ry2YjIyt7RRXU24 يشفر أسماء مهلة ARP 14400 لا يوجد تصريح ARP غير المتصل حد معدل ARP 16384 ! واجهة GigabitEthernet1/1 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/2 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! الواجهة GigabitEthernet1/3 واجهة تجاوز فشل شبكة LAN للوصف ! واجهة GigabitEthernet1/4 واجهة تجاوز فشل حالة الوصف ! واجهة GigabitEthernet1/5 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/6 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/7 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة GigabitEthernet1/8 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! إدارة الواجهة 1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! وضع FTP الخامل ngips conn-match vlan-id access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 الوصول-list CSM_FW_ACL_ السماح المتقدم UDP أي EQ 3544 base-id 998 access-list CSM_FW_ACL_ ملاحظة rule-id 268435456: نهج الوصول: FTD_HA - الافتراضي/1 access-list csm_fw_acl_ ملاحظة rule-id 268435456: قاعدة L4: قاعدة الإجراء الافتراضي الوصول-list CSM_FW_ACL_ تصريح متقدم ip أي قاعدة-id 268435456 ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء تمكين التسجيل الطابع الزمني للتسجيل تصحيح الأخطاء المخزن مؤقتا للتسجيل logging flash-minimum-free 1024 logging flash-maximum-distribution 3076 لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل دخول 710005 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 MTU Diagnostic 1500 عدم تجاوز الفشل وحدة الشبكة المحلية الافتراضية الثانوية واجهة شبكة LAN لتجاوز الفشل لشبكة GigabitEthernet1/3 بروتوكول HTTP للنسخ المتطابق للأعطال شبكة جيجابت إيثرنت في حالة إرتباط التغلب على الأعطال 1/4 واجهة تجاوز الفشل IP من أجل الاستعداد 10.10.1.1 255.255.255.0 10.1.2 واجهة تجاوز الفشل حالة IP 10.10.2.1 255.255.255.0 في وضع الاستعداد 10.10.2.2 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 لا يمكن تمكين محفوظات ASDM access-group CSM_FW_ACL_ global المهلة xlate 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 المهلة مع الاستمرار 0:00:15 مجال افتراضي محلي ل user-identity تعطيل AAA Proxy-limit مضيف خادم SNMP خارج مجتمع 192.168.1.100 **** الإصدار 2c لا يوجد موقع لخادم SNMP لا توجد جهة اتصال لخادم snmp مجتمع خادم snmp ***** زر خدمة sw-reset محول لا نهائي شيخوخة PMTU لارتباط أمان IPSec سياسة تجمع الثقة للتشفير ca مهلة برنامج Telnet 5 مهلة وحدة التحكم 0 Dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default مطابقة فحص افتراضي-حركة مرور ! ! فحص نوع خريطة السياسة إعداد DNS المسبق_dns_map بارامترات الحد الأقصى لسيارات العميل لطول الرسالة الحد الأقصى لطول الرسالة 512 لا يوجد TCP-inspection فحص نوع خريطة السياسة ip-options UM_STATIC_IP_OPTIONS_MAP بارامترات السماح بإجراء eool السماح بإجراء NOP السماح بإجراء تنبيه الموجه خريطة السياسة العامة العامة_السياسة class inspection_default فحص إعداد DNS المسبق_dns_map فحص FTP قم بتفتيش h323 h225 فحص h323 ras فحص RSH فحص RTSP فحص esmtp فحص sqlnet أفحص النحافة فحص SunRPC فحص xdmcp فحص SIP فحص NetBIOS فحص TFTP فحص ICMP فحص خطأ ICMP فحص DCERPC فحص ip-options UM_STATIC_IP_OPTIONS_MAP الفئة الافتراضية ضبط الاتصال خيارات متقدمة UM_STATIC_TCP_MAP ! عمومي_policy-service-policy سياق اسم المضيف الخاص بالمطالبة الاتصال بالمنزل profile CiscoTAC-1 لا يوجد نشط غاية عنوان http https://tools.cisco.com/its/service/oddce/services/DDCEService البريد الإلكتروني لعنوان الوجهة callhome@cisco.com غاية transport-method http تشخيص الاشتراك في مجموعة التنبيه بيئة الاشتراك في مجموعة التنبيه مخزون الاشتراك في مجموعة التنبيه الشهري الدوري تكوين الاشتراك في مجموعة التنبيه شهريا تتبع بيانات الاشتراك في مجموعة التنبيه بشكل دوري يوميا cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f |
النقاط الرئيسية التي يجب ملاحظتها بشأن تعطيل HA من واجهة سطر أوامر FTD:
| الوحدة الأساسية |
الوحدة الثانوية |
| تكوين تجاوز الفشل و IPs الاحتياطيمهلة 3:00:00 المهلة ضرب-xlate 0:00:30 المهلة conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 المهلة SunRPC 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 المهلة sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 المهلة sip-temporary-media 0:02:00 uauth 0:05:00 مطلقا المهلة tcp-proxy-reassembly 0:00:30 مهلة التعويم-conn 0:00:00 المهلة مع الاستمرار 0:00:15 تعطيل AAA Proxy-limit تمت إزالة مضيف خادم SNMP خارج الإصدار 192.168.1.1. |
|
الخطوة 6. بعد الانتهاء من المهمة، قم بتسجيل الأجهزة في FMC وتمكين زوج HA.
المهمة 7. تعليق HA
متطلبات المهمة:
قم بتعليق التوافر العالي من واجهة سطر أوامر FTD CLISH
الحل:
الخطوة 1. في FTD الأساسي، قم بتشغيل الأمر والتأكيد (اكتب YES).
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
الخطوة 2. التحقق من التغييرات على الوحدة الأساسية:
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
الخطوة 3. النتيجة على الوحدة الثانوية:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
الخطوة 4. إستئناف الخدمة الفعلية على الوحدة الأساسية:
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
الخطوة 5. النتيجة على الوحدة الثانوية بعد استئنافك ههه:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
الأسئلة المتداولة (FAQ)
عند نسخ التكوين نسخا متماثلا، هل يتم حفظه مباشرة (سطرا بسطر) أو في نهاية النسخ المتماثل؟
في نهاية النسخ المتماثل. الدليل موجود في نهاية إخراج الأمر debug fover sync الذي يعرض النسخ المتماثل للأمر/التكوين:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
ماذا يحدث إذا كانت الوحدة في حالة إستعداد كاذب (تم تعطيل تجاوز الفشل) ثم قمت بإعادة تحميلها بينما الوحدة الأخرى تم تمكين تجاوز الفشل وكانت نشطة؟
ينتهي بك الأمر في سيناريو نشط/نشط (على الرغم من أنه من الناحية الفنية يتميز بالنشاط/تجاوز الفشل). وبشكل خاص، بمجرد ظهور الوحدة، يتم تعطيل تجاوز الفشل، ولكن تستخدم الوحدة نفس عناوين IP الخاصة بالوحدة النشطة. بشكل فعّال، لديك:
- الوحدة - 1: فعال
- الوحدة-2: تم إيقاف تجاوز الفشل. تستخدم الوحدة نفس عناوين IP للبيانات مثل Unit-1، لكن عناوين MAC مختلفة.
ماذا يحدث لتكوين تجاوز الفشل إذا قمت بتعطيل تجاوز الفشل يدويا (تكوين تعليق عالي التوفر)، ثم قمت بإعادة تحميل الجهاز؟
عندما تقوم بتعطيل تجاوز الفشل، فإنه ليس تغييرا دائما (لا يتم حفظه في startup-config ما لم تقرر القيام بذلك بشكل صريح). يمكنك إعادة تحميل/إعادة تحميل الوحدة بطريقتين مختلفتين، وبالطريقة الثانية يجب عليك توخي الحذر:
الحالة 1. إعادة التشغيل من Clish
لا يطلب إعادة التشغيل من CLISH تأكيدًا. وبالتالي، لا يتم حفظ تغيير التكوين في تكوين بدء التشغيل:
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
يحتوي running-config على تجاوز الفشل معطل. في هذه الحالة، كانت الوحدة في وضع الاستعداد ودخلت في حالة الاستعداد الزائفة كما هو متوقع لتجنب سيناريو نشط/نشط:
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
يتضمن برنامج startup-config إمكانية تجاوز الفشل التي لا تزال ممكنة:
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
إعادة تشغيل الجهاز من CLISH (الأمر reboot ):
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
بمجرد أن تكون الوحدة قيد التشغيل، نظرًا لتمكين تجاوز الفشل، يدخل الجهاز مرحلة تفاوض تجاوز الفشل ويحاول اكتشاف النظير البعيد:
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
الحالة 2. إعادة التشغيل من واجهة سطر الأوامر (CLI) لنظام التشغيل Lina
يطلب إعادة التمهيد من LINA (الأمر reload) التأكيد. لذلك، في حالة تحديد Y (نعم)، يتم حفظ تغيير التكوين في startup-config:
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
بمجرد أن تكون الوحدة قيد التشغيل، يتم تعطيل تجاوز الفشل:
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
معلومات ذات صلة
- يمكن العثور على جميع إصدارات دليل تكوين Cisco Firepower Management Center هنا
التنقل عبر وثائق الدفاع عن تهديد جدار الحماية الآمن من Cisco
- يمكن العثور على جميع إصدارات FXOS Chassis Manager وأدلة تكوين واجهة سطر الأوامر (CLI) هنا
تصفح وثائق Cisco Firepower 4100/9300 FXOS
- يوصي مركز المساعدة التقنية العالمي (TAC) من Cisco بشدة بهذا الدليل المرئي للمعرفة العملية المتعمقة حول تقنيات أمان الجيل التالي من Cisco Firepower:
- لجميع عمليات التهيئة واستكشاف أخطاء الملاحظات الفنية المتعلقة بتقنيات FirePOWER وإصلاحها
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
07-Aug-2023 |
برنامج SEO المحدث ومتطلبات النمط والتنسيق. |
2.0 |
04-Aug-2022 |
تم تحديث المقالة لتنسيق متطلبات النمط والترجمة الآلية والجراثيم والنحو. |
1.0 |
29-Sep-2021 |
الإصدار الأولي |
التعليقات