PDF(1.1 MB) عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub(883.3 KB) العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle)(794.1 KB) عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٥ يونيو ٢٠٢٦
معرّف المستند:212699
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية تكوين "الدفاع عن تهديد الطاقة النارية (FTD) عالي التوفر (HA)" والتحقق من صحته على أجهزة FirePOWER.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
2xCisco Firepower 9300
2xCisco Firepower 4100 (7.2.8)
مركز إدارة Firepower (FMC) (7.2.8)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ملاحظة: على جهاز FPR9300 باستخدام FTD، يمكنك تكوين HA داخل الهيكل فقط. يجب أن تستوفي الوحدتان في تكوين HA الشروط المذكورة هنا.
المهمة 1. تحقق من الشروط
متطلبات المهمة:
تحقق من أن كل من أجهزة FTD تفي بمتطلبات الملاحظة ويمكن تكوينها كوحدات HA.
الحل:
الخطوة 1. اتصل بعنوان IP الخاص بإدارة FPR9300 وتحقق من مكونات الوحدة النمطية.
تحقق من أجهزة FPR9300-1:
KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36
1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36
1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36
KSEC-FPR9K-1-A#
تحقق من أجهزة FPR9300-2:
KSEC-FPR9K-2-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36
1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36
1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36
KSEC-FPR9K-2-A#
الخطوة 2. سجل الدخول إلى FPR9300-1 Chassis Manager وانتقل إلى الأجهزة المنطقية.
الخطوة 3. تحقق من إصدار البرنامج ورقمه ونوع الواجهة.
المهمة 2. تكوين FTD HA
متطلبات المهمة:
الخطوة 1. قم بتكوين تجاوز الفشل النشط/الاحتياطي (HA) وفقا للرسم التخطيطي. في هذه الحالة، يتم إستخدام زوج 41xx.
الحل
كلا جهازي FTD مسجلان على FMC.
الخطوة 1. لتكوين تجاوز فشل FTD، انتقل إلى الأجهزة> إدارة الأجهزة واختر إضافة توفر عال.
يدخل خطوة 2. النظير الأساسي والنظير الثانوي ويختار إستمرار.
تحذير: تأكد من تحديد الوحدة الصحيحة كوحدة أساسية. يتم نسخ جميع التكوينات الموجودة في الوحدة الأساسية المحددة نسخا متماثلا إلى وحدة FTD الثانوية المحددة. ونتيجة للنسخ المتماثل، يمكن إستبدال التكوين الحالي على الوحدة الثانوية.
المعايير
لإنشاء HA بين جهازي FTD، يجب الوفاء بهذه الشروط:
الطراز نفسه
الإصدار نفسه، ينطبق هذا على FXOS وعلى FTD - رئيسي (رقم أول)، ثانوي (رقم ثان)، والصيانة (رقم ثالث) يجب أن تكون متساوية.
نفس عدد الواجهات
نفس نوع الواجهات
كلا الجهازين كجزء من نفس المجموعة/المجال في FMC
لها تكوينات بروتوكول وقت الشبكة (NTP) متطابقة
يجب النشر بالكامل على FMC دون إجراء تغييرات غير ملتزمة
يجب أن يكون في نفس وضع جدار الحماية: موجه أو شفاف
ملاحظة: يجب التحقق من هذا على كل من أجهزة FTD وواجهة المستخدم الرسومية (GUI) ل FMC نظرا لوجود حالات كان فيها ل FTD نفس الوضع، ولكن لا تعكس FMC هذا.
لا يحتوي على بروتوكول DHCP/من نقطة إلى نقطة عبر الإيثرنت (PPPoE) الذي تم تكوينه على أي من الواجهات.
اسم المضيف المختلف [اسم المجال المؤهل بالكامل (FQDN)] لكل من الهيكل. للتحقق من اسم المضيف للهيكل، انتقل إلى واجهة سطر الأوامر (CLI) من FTD وشغل هذا الأمر:
firepower# show chassis-management-url
https://KSEC-FPR9K-1.cisco.com:443//
ملاحظة: في أعقاب 6. 3 (FTD)، أستخدم الأمر show chassis detail.
Firepower-module1# show chassis detail Chassis URL : https://FP4100-5:443// Chassis IP : 10.62.148.187 Chassis IPv6 : :: Chassis Serial Number : JAD19500BAB Security Module : 1
إذا كان كلا الهيكلين لهما نفس الاسم، فقم بتغيير الاسم في واحد باستخدام هذا الأمر:
KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exitFPR9K-1new-A#
بعد تغيير اسم الهيكل، قم بإلغاء تسجيل FTD من FMC وقم بتسجيله مرة أخرى. ثم تابع إنشاء زوج التوافر العالي (HA).
الخطوة 3. كوّن التوافر العالي (HA) وحدّد إعدادات الارتباطات.
في هذه الحالة، يكون لارتباط الحالة نفس إعدادات الارتباط عالي التوافر.
الخطوة 4. أختر إضافة وانتظر بضع دقائق لنشر زوج HA.
الخطوة 5. قم بتكوين واجهات البيانات (عناوين IP الأساسية والاحتياطية).
الخطوة 6. من واجهة المستخدم الرسومية (GUI) ل FMC، أختر تحرير HA.
الخطوة 7. قم بتكوين إعدادات الواجهة:
في حالة الواجهة الفرعية، يجب تمكين الواجهة الأصلية:
الخطوة 8. انتقل إلى الإتاحة العالية واختر اسم الواجهة، انقر فوق تحرير لإضافة عناوين IP في وضع الاستعداد.
الخطوة 9. أكمل الخطوات نفسها للواجهة الخارجية.
الخطوة 10. تحقق من النتائج.
الخطوة 11. ابق على علامة التبويب عالية التوفر، وقم بتكوين عناوين MAC الظاهرية.
الخطوة 12. داخل صورة الواجهة.
الخطوة 13. أكمل الخطوات نفسها للواجهة الخارجية.
الخطوة 14. تحقق من النتائج.
الخطوة 15. بعد تكوين التغييرات، أختر حفظ ونشر.
المهمة 3. التحقق من التوافر العالي (HA) الخاص بـ FTD والترخيص
متطلبات المهمة:
تحقق من إعدادات FTD HA وتمكين التراخيص من واجهة المستخدم الرسومية (GUI) ل FMC و CLI (واجهة سطر الأوامر (CLI) ل FTD.
الحل:
الخطوة 1. انتقل إلى الملخص وفحص إعدادات HA وتمكين التراخيص.
الخطوة 2. من واجهة سطر الأوامر (CLI) الخاصة ب FTD، قم بتشغيل الأمر show high-availability config أو show failed over:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: FOVER Port-channel3 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 2 of 1291 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.18(4)210, Mate 9.18(4)210 Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG Last Failover at: 08:46:30 UTC Jul 18 2024 This host: Primary - Active Active time: 1999 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) Interface Inside (192.168.75.10): Link Down (Shutdown) Interface Outside (192.168.76.10): Normal (Not-Monitored) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 1466 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) Interface Inside (192.168.75.11): Link Down (Shutdown) Interface Outside (192.168.76.11): Normal (Not-Monitored) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up)
الخطوة 4. شغّل الأمر show failover state من واجهة سطر أوامر LINA:
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
الخطوة 5. تحقق من إعدادات التكوين من الوحدة الأساسية (LINA CLI):
> show running-config failover failover failover lan unit primary failover lan interface FOVER Port-channel3 failover replication http failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link FOVER Port-channel3 failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
> show running-config interface ! interface Port-channel2 no nameif no security-level no ip address ! interface Port-channel2.202 vlan 202 nameif Outside cts manual propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! interface Port-channel3 description LAN/STATE Failover Interface ! interface Ethernet1/1 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 shutdown nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 >
المهمة 4. أدوار تجاوز فشل المبدّل
متطلبات المهمة:
من FMC، قم بتبديل أدوار تجاوز الفشل من أساسي/نشط، وثانوي/احتياطي إلى أساسي/احتياطي، وثانوي/نشط.
الحل:
الخطوة 1. حدد الأيقونة.
الخطوة 2. تأكد من الإجراء.
يمكنك إستخدام إخراج الأمر show failover history :
في Active الجديد
في وضع الاستعداد الجديد
> إظهار محفوظات تجاوز الفشل ============================================================================================================== من ولاية إلى أخرى ==============================================================================================================
09:27:11 UTC يوليو 18 2024 الاستعداد فقط نشط الوحدة الأخرى تريدني نشطة (يتم تعيينه بواسطة الأمر config)
09:27:11 UTC يوليو 18 2024 فقط "إستنزاف نشط" آخر يريدني نشط (يتم تعيينه بواسطة الأمر config)
09:27:11 UTC يوليو 18 2024 Active Flow Active Application Config تريدني وحدة أخرى نشطة (يتم تعيينه بواسطة الأمر config)
09:27:11 UTC يوليو 18 2024 التطبيق النشط ل config active config مطبق على وحدة أخرى يريدني نشطة (يتم تعيينه بواسطة الأمر config)
09:27:11 UTC يوليو 18 2024 Active Config Application Active Other Unit تريد مني Active (يتم تعيينه بواسطة الأمر config)
> إظهار محفوظات تجاوز الفشل ============================================================================================================== من ولاية إلى أخرى ==============================================================================================================
09:27:11 UTC يوليو 18 2024 وضع الاستعداد النشط الجاهزة المحدد بواسطة الأمر config (لا يوجد تجاوز فشل نشط)
الخطوة 3. بعد التحقق، أجعل الوحدة الأساسية نشطة مرة أخرى.
المهمة 5. قطع زوج التوافر العالي (HA)
متطلبات المهمة:
من FMC، اقطع زوج تجاوز الفشل.
الحل:
الخطوة 1. حدد الأيقونة.
الخطوة 2. مراجعة الإخطار.
الخطوة 3. لاحظ الرسالة.
الخطوة 4. تحقق من النتائج من واجهة المستخدم الرسومية (GUI) ل FMC أو من واجهة سطر الأوامر.
الخطوة 5. إظهار running-config على الوحدة الأساسية قبل وبعد راحة HA:
الوحدة الأساسية/الاحتياطية قبل راحة HA
الوحدة الأساسية بعد راحة HA
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM1949C5RR : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower تمكين كلمة المرور **** مشفرة strong-encryption-disable service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 اسم خارج دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! interface Port-channel3 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 اسم داخل دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! وضع FTP الخامل ngips conn-match vlan-id التحكم بالوصول إلى البحث عن كائنات access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: نهج الوصول: acp_simple - الافتراضي access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 تجاوز الفشل الوحدة الرئيسية لتخطي الأعطال واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3 بروتوكول HTTP للنسخ المتطابق للأعطال عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/4 aaa.bbb.111 aaa.bbb.222 عنوان MAC لتجاوز الفشل منفذ-channel2.202 aaa.bbb.333aaa.bbb.444 قناة المنفذ 3 الخاصة برفق تجاوز الفشل واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2
<الإخراج محذوف>
> معلومات: هذه الوحدة في حالة الاستعداد حاليا. من خلال تعطيل تجاوز الفشل، ستظل هذه الوحدة في حالة الاستعداد.
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM1949C5RR : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower تمكين كلمة المرور **** مشفرة strong-encryption-disable service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel3 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/1 الإدارة فقط الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/4 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! وضع FTP الخامل ngips conn-match vlan-id التحكم بالوصول إلى البحث عن كائنات access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: نهج الوصول: acp_simple - إلزامي access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: قاعدة L7: القاعدة 1 تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 عدم تجاوز الفشل <الإخراج محذوف>
الوحدة الثانوية/النشطة قبل فاصل HA
الوحدة الثانوية بعد راحة HA
>show config : إدخرنا
: : الرقم التسلسلي: FLM2108V9YG : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower تمكين كلمة المرور **** مشفرة strong-encryption-disable service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 اسم خارج دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! interface Port-channel3 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! وضع FTP الخامل ngips conn-match vlan-id التحكم بالوصول إلى البحث عن كائنات access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: نهج الوصول: acp_simple - إلزامي access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: قاعدة L7: القاعدة 1 تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 تجاوز الفشل وحدة الشبكة المحلية الافتراضية الثانوية واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3 بروتوكول HTTP للنسخ المتطابق للأعطال قناة المنفذ 3 الخاصة برفق تجاوز الفشل واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2
<الإخراج محذوف>
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM2108V9YG : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower تمكين كلمة المرور **** مشفرة strong-encryption-disable service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 اسم خارج دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11 ! interface Port-channel3 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 اسم داخل مستوى الأمان 0 عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11 ! وضع FTP الخامل ngips conn-match vlan-id التحكم بالوصول إلى البحث عن كائنات access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: نهج الوصول: acp_simple - إلزامي access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: قاعدة L7: القاعدة 1 تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500 MTU Diagnostic 1500 وحدة الحد الأقصى للنقل (MTU) داخل 1500 عدم تجاوز الفشل لا توجد واجهة جهاز عرض في الخارج no monitor-interface service-module
<الإخراج محذوف>
النقاط الرئيسية التي يجب ملاحظتها في قطع التوافر العالي:
الوحدة الأساسية/الاحتياطية
الوحدة الثانوية/النشطة
تتم إزالة جميع تكوينات تجاوز الفشل
تمت إزالة جميع تكوين IP
تتم إزالة جميع تكوينات تجاوز الفشل
ما زالت بروتوكولات الإنترنت (IP) الاحتياطية باقية، ولكنها تمت إزالتها في النشر التالي
الخطوة 6. بمجرد أن تنتهي من هذه المهمة، أعد إنشاء زوج HA.
المهمة 6. حذف زوج HA
تستند هذه المهمة إلى إعداد HA على 41xx باستخدام برنامج 7.2.8. في هذه الحالة، كانت الأجهزة في البداية موجودة في هذه الولايات:
أساسي/وضع الاستعداد
ثانوي/نشط
متطلبات المهمة:
من FMC، احذف زوج تجاوز الفشل.
الحل:
الخطوة 1. أختر الأيقونة.
الخطوة 2. قم بمراجعة الإعلام والتأكيد.
الخطوة 3. بعد حذف HA، يتم إلغاء تسجيل (إزالة) الجهازين من FMC.
الخطوة 4. إظهار نتيجة running-config من واجهة سطر الأوامر (CLI) ل LINA:
الوحدة الأساسية (جاهزة)
الوحدة الثانوية (نشطة)
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM1949C5RR : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower-module1 تمكين كلمة المرور **** مشفرة strong-encryption-disable لا يوجد بروتوكول تفتيش ASP-DP service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 نظام NameIf NET202 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2 ! interface Port-channel2.203 vlan 203 نظام NameIf Net203 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2 ! interface Port-channel3 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 نظام NameIf NET204 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2 ! وضع FTP الخامل ngips conn-match vlan-id لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: نهج الوصول: acp_simple - الافتراضي access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 MTU NET202 1500 MTU NET203 1500 MTU Diagnostic 1500 MTU NET204 1500 تجاوز الفشل الوحدة الرئيسية لتخطي الأعطال واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3 بروتوكول HTTP للنسخ المتطابق للأعطال قناة المنفذ 3 الخاصة برفق تجاوز الفشل واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2 monitor-interface NET202 monitor-interface NET203 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1
<الإخراج محذوف>
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.2 255.255.255.0 config Port-channel2.203 NET203 172.16.203.2 255.255.255.0 config Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد Ethernet1/4 NET204 172.16.204.2 255.255.255.0 Config
> إظهار تجاوز الفشل تشغيل تجاوز الفشل وحدة تجاوز الفشل الرئيسية واجهة شبكة LAN لتجاوز الفشل: Fover Port-channel3 (up) مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 4 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC بروتوكول HTTP للنسخ المتطابق للأعطال الإصدار: ملكنا 9،18(4)210، رفيق زواجه 9،18(4)210 الرقم التسلسلي: FLM1949C5RR، Mate FLM2108V9YG آخر عملية لتجاوز الفشل في: 13:56:37 بالتوقيت العالمي المنسق 16 يوليو 2024 هذا المضيف: أساسي - الاستعداد الوقت النشط: 0 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) واجهة NET202 (172.16.202.2): عادي (monitore) الواجهة NET203 (172.16.203.2): عادي (monitore) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.2): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up) مضيف آخر: ثانوي - نشط الوقت النشط: 70293 (ثانية) واجهة NET202 (172.16.202.1): عادي (monitore) الواجهة NET203 (172.16.203.1): عادي (monitore) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.1): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up)
<الإخراج محذوف>
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM2108V9YG : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower-module1 تمكين كلمة المرور **** مشفرة strong-encryption-disable لا يوجد بروتوكول تفتيش ASP-DP service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 نظام NameIf NET202 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2 ! interface Port-channel2.203 vlan 203 نظام NameIf Net203 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2 ! interface Port-channel3 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 نظام NameIf NET204 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2 ! وضع FTP الخامل ngips conn-match vlan-id لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: نهج الوصول: acp_simple - الافتراضي access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 MTU NET202 1500 MTU NET203 1500 MTU Diagnostic 1500 MTU NET204 1500 تجاوز الفشل وحدة الشبكة المحلية الافتراضية الثانوية واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3 بروتوكول HTTP للنسخ المتطابق للأعطال قناة المنفذ 3 الخاصة برفق تجاوز الفشل واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2 monitor-interface NET202 monitor-interface NET203 ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1
<الإخراج محذوف>
>عرض IP عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config
> إظهار تجاوز الفشل تشغيل تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: Fover Port-channel3 (up) مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 4 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC بروتوكول HTTP للنسخ المتطابق للأعطال الإصدار: ملكنا 9،18(4)210، رفيق زواجه 9،18(4)210 الرقم التسلسلي: FLM2108V9YG، Mate FLM1949C5RR آخر عملية لتجاوز الفشل في: 13:42:35 بالتوقيت العالمي المنسق 16 يوليو 2024 هذا المضيف: ثانوي - نشط الوقت النشط: 70312 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) واجهة NET202 (172.16.202.1): عادي (monitore) الواجهة NET203 (172.16.203.1): عادي (monitore) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.1): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up) مضيف آخر: أساسي - الاستعداد الوقت النشط: 0 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) واجهة NET202 (172.16.202.2): عادي (monitore) الواجهة NET203 (172.16.203.2): عادي (monitore) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.2): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up)
<الإخراج محذوف>
الخطوة 5. تم إلغاء تسجيل كلا جهازي FTD من FMC:
> show managers
No managers configured.
النقاط الرئيسية التي يجب ملاحظتها فيما يتعلق بخيار تعطيل التوافر العالي (HA) في FMC:
الوحدة الأساسية
الوحدة الثانوية
تتم إزالة الجهاز من FMC.
لم تتم إزالة أي تكوين من جهاز FTD.
تتم إزالة الجهاز من FMC.
لم تتم إزالة أي تكوين من جهاز FTD.
السيناريو 1:
قم بتشغيل الأمر configure high-availability disable لإزالة تكوين تجاوز الفشل من جهاز FTD النشط:
> configure high-availability disable ? Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces) <cr>
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.
النتيجة:
الوحدة الأساسية (وضع الاستعداد السابق)
الوحدة الثانوية (نشطة سابقا)
> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.
> show failover Failover Off (pseudo-Standby) Failover unit Primary Failover LAN Interface: FOVER Port-channel3 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 0 of 1291 maximum MAC Address Move Notification Interval not set failover replication http
> show ip System IP Addresses: Interface Name IP address Subnet mask Method Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset Current IP Addresses: Interface Name IP address Subnet mask Method Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
> show failover Failover Off Failover unit Secondary Failover LAN Interface: not Configured Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 4 of 1291 maximum MAC Address Move Notification Interval not set
> show ip System IP Addresses: Interface Name IP address Subnet mask Method Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG Current IP Addresses: Interface Name IP address Subnet mask Method Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
أساسي (وضع الاستعداد السابق)
ثانوي (نشط مسبقا)
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM1949C5RR : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower-module1 تمكين كلمة المرور **** مشفرة strong-encryption-disable لا يوجد بروتوكول تفتيش ASP-DP service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP <- تتم إزالة عناوين IP ! interface Port-channel3 واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف ! واجهة Ethernet1/1 الإدارة فقط الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/4 الإغلاق بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! وضع FTP الخامل ngips conn-match vlan-id لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: نهج الوصول: acp_simple - الافتراضي access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 عدم تجاوز الفشل الوحدة الرئيسية لتخطي الأعطال واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3 بروتوكول HTTP للنسخ المتطابق للأعطال قناة المنفذ 3 الخاصة برفق تجاوز الفشل واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2 no monitor-interface service-module
<الإخراج محذوف>
> show running-config : إدخرنا
: : الرقم التسلسلي: FLM2108V9YG : الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا) : NGFW، الإصدار 7.2.8 ! اسم المضيف Firepower-module1 تمكين كلمة المرور **** مشفرة strong-encryption-disable لا يوجد بروتوكول تفتيش ASP-DP service-module 0 keepalive-timeout 4 عداد خدمة الوحدة النمطية 0 keepalive 6 أسماء لا يوجد عنوان تلقائي
! interface port-channel2 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! interface Port-channel2.202 vlan 202 نظام NameIf NET202 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2 ! interface Port-channel2.203 vlan 203 نظام NameIf Net203 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2 ! interface Port-channel3 بلا اسم لا يوجد مستوى أمني لا يوجد عنوان IP ! واجهة Ethernet1/1 الإدارة فقط تشخيص الأسماء دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 لا يوجد عنوان IP ! واجهة Ethernet1/4 نظام NameIf NET204 دليل CTS الرقيب المتكاثر Preserve-untag سياسة رقيب ثابت معطل موثوق به مستوى الأمان 0 عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2 ! وضع FTP الخامل ngips conn-match vlan-id لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث access-group CSM_FW_ACL_ global access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج عامل التصفية المسبق: النفق الافتراضي ونهج الأولوية access-list CSM_FW_ACL_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998 access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998 access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998 الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998 الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998 access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: نهج الوصول: acp_simple - الافتراضي access-list CSM_FW_ACL_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_ ! tcp-map UM_STATIC_TCP_MAP السماح بنطاق خيارات TCP 6 7 السماح بنطاق خيارات TCP 9 18 يسمح نطاق خيارات بروتوكول TCP رقم 20 255 مسح TCP-options MD5 السماح بعلامة عاجلة ! بدون جهاز النداء لا توجد رسالة تسجيل 106015 لا توجد رسالة تسجيل 313001 لا توجد رسالة تسجيل 313008 لا توجد رسالة تسجيل 106023 لا توجد رسالة تسجيل 710003 لا توجد رسالة تسجيل 106100 لا توجد رسالة تسجيل دخول 302015 لا توجد رسالة تسجيل دخول 302014 لا توجد رسالة تسجيل 302013 لا توجد رسالة تسجيل دخول 302018 لا توجد رسالة تسجيل دخول 302017 لا توجد رسالة تسجيل دخول 302016 لا توجد رسالة تسجيل 302021 لا توجد رسالة تسجيل دخول 302020 MTU NET202 1500 MTU NET203 1500 MTU Diagnostic 1500 MTU NET204 1500 عدم تجاوز الفشل monitor-interface NET202 monitor-interface NET203 no monitor-interface service-module
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA من واجهة سطر الأوامر (CLI) النشطة الخاصة ب FTD:
وحدة نشطة
وحدة إحتياطية
تمت إزالة تكوين تجاوز الفشل
لم تتم إزالة عناوين IP الاحتياطية
تتم إزالة تكوينات الواجهة.
لم تتم إزالة تكوين تجاوز الفشل، ولكن تم تعطيل تجاوز الفشل (وضع الاستعداد الظاهري)
عند هذه النقطة، أنت يستطيع أعجزت ال HA على وحدة الاستعداد السابقة.
السيناريو 2 (غير مستحسن
تحذير: يؤدي هذا السيناريو إلى حالة نشطة/نشطة، ولهذا السبب لا يوصى به. لا يظهر إلا للوعي.
قم بتشغيل الأمر configure high-availability disable" لإزالة تكوين تجاوز الفشل من جهاز FTD في وضع الاستعداد:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': YES Successfully disabled high-availability.
النتيجة:
أساسي (وضع الاستعداد السابق)
ثانوي (نشط)
> إظهار تجاوز الفشل إيقاف تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: غير مكون مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 4 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.1 255.255.255.0 يدوي <- يستخدم الجهاز نفس عناوين IP كما هو الحال مع النشاط السابق! دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0 عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0 دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
> إظهار تجاوز الفشل تجاوز الفشل <- لا يتم تعطيل تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: Fover Port-channel3 (up) مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 4 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC بروتوكول HTTP للنسخ المتطابق للأعطال الإصدار: ملكنا 9،18(4)210، رفيق زواجه 9،18(4)210 الرقم التسلسلي: FLM2108V9YG، Mate FLM1949C5RR آخر عملية لتجاوز الفشل في: 12:44:06 UTC يوليو 17 2024 هذا المضيف: ثانوي - نشط الوقت النشط: 632 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.1): عادي (monitore) الواجهة NET203 (172.16.203.1): عادي (monitore) واجهة NET202 (172.16.202.1): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up) مضيف آخر: أساسي - معطل الوقت النشط: 932 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) تشخيص الواجهة (0.0.0.0): غير معروف (قيد الانتظار) الواجهة NET204 (172.16.204.2): غير معروف (monitore) الواجهة NET203 (172.16.203.2): غير معروف (monitore) واجهة NET202 (172.16.202.2): غير معروف (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up)
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-channel2.202 NET202 172.16.202.1 255.255.255.0 يدوي <- يستخدم الجهاز نفس عناوين IP كما هو الحال في وضع الاستعداد السابق! دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0 عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0 دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA من واجهة سطر الأوامر (CLI) النشطة الخاصة ب FTD:
وحدة نشطة
وحدة إحتياطية
لم تتم إزالة تكوين تجاوز الفشل ويبقى ممكنا
يستخدم الجهاز نفس عناوين IP مثل وحدة الاستعداد السابقة
تمت إزالة تكوين تجاوز الفشل
يستخدم الجهاز نفس عناوين IP الخاصة بالوحدة النشطة
السيناريو 3:
قم بتشغيل الأمر configure high-availability disable clear-interfaces لإزالة تكوين تجاوز الفشل من جهاز FTD النشط:
> configure high-availability disable clear-interfaces High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
>
النتيجة:
أساسي (وضع الاستعداد السابق)
ثانوي (نشط مسبقا)
> إظهار تجاوز الفشل إيقاف تجاوز الفشل (وضع الاستعداد الظاهري) وحدة تجاوز الفشل الرئيسية واجهة شبكة LAN لتجاوز الفشل: Fover Port-channel3 (up) مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 0 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC بروتوكول HTTP للنسخ المتطابق للأعطال
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد >
> إظهار تجاوز الفشل إيقاف تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: غير مكون مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 0 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة >
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA مع الواجهات الواضحة من واجهة سطر الأوامر (CLI) في FTD النشطة:
وحدة نشطة
وحدة إحتياطية
تمت إزالة تكوين تجاوز الفشل
تمت إزالة عناوين IP
لم تتم إزالة تكوين تجاوز الفشل، ولكن تم تعطيل تجاوز الفشل (وضع الاستعداد الظاهري)
تمت إزالة عناوين IP
السيناريو 4
قم بتشغيل الأمر configure high-availability disable clear-interfaces لإزالة تكوين تجاوز الفشل من جهاز FTD في وضع الاستعداد:
> configure high-availability disable clear-interfaces High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': YES Successfully disabled high-availability.
>
النتيجة:
أساسي (وضع الاستعداد السابق)
ثانوي (نشط)
> إظهار تجاوز الفشل إيقاف تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: غير مكون مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 0 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة >
> إظهار تجاوز الفشل تشغيل تجاوز الفشل وحدة تجاوز الفشل الثانوية واجهة شبكة LAN لتجاوز الفشل: Fover Port-channel3 (up) مهلة إعادة الاتصال 0:00:00 تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية سياسة الواجهة 1 الواجهات المراقبة 4 من 1291 كحد أقصى لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC بروتوكول HTTP للنسخ المتطابق للأعطال الإصدار: ملكنا 9،18(4)210، رفيق زواجه 9،18(4)210 الرقم التسلسلي: FLM2108V9YG، Mate FLM1949C5RR آخر عملية لتجاوز الفشل في: 07:06:56 UTC يوليو 18 2024 هذا المضيف: ثانوي - نشط الوقت النشط: 1194 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) تشخيص الواجهة (0.0.0.0): عادي (انتظار) الواجهة NET204 (172.16.204.1): عادي (monitore) واجهة NET202 (172.16.202.1): عادي (monitore) الواجهة NET203 (172.16.203.1): عادي (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up) مضيف آخر: أساسي - معطل الوقت النشط: 846 (ثانية) الفتحة 0: حالة UCSB-B200-M3-U/HW/SW (0.0/9.18(4)210) (UP SYS) تشخيص الواجهة (0.0.0.0): غير معروف (قيد الانتظار) الواجهة NET204 (172.16.204.2): غير معروف (monitore) واجهة NET202 (172.16.202.2): غير معروف (monitore) الواجهة NET203 (172.16.203.2): غير معروف (monitore) الفتحة 1: حالة (up) snort rev (1.0) الفتحة 2: حالة مراجعة الحالة (1.0) (up)
> show ip عناوين IP للنظام: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0 دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0 عناوين IP الحالية: طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0 دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0 Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA مع الواجهات الواضحة من واجهة سطر الأوامر (CLI) في FTD النشطة:
وحدة نشطة
وحدة إحتياطية
لم تتم إزالة تكوين تجاوز الفشل
لم تتم إزالة عناوين IP
تمت إزالة تكوين تجاوز الفشل
تمت إزالة عناوين IP
الخطوة 6. بمجرد الانتهاء من هذه المهمة، قم بتسجيل الأجهزة في FMC وتمكين زوج HA.
المهمة 7. تعليق التوافر العالي (HA)
متطلبات المهمة:
قم بتعليق التوافر العالي من واجهة سطر أوامر FTD CLISH.
الحل:
الخطوة 1. على FTD الأساسي، قم بتشغيل الأمر والتأكيد (اكتب نعم).
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.
الخطوة 2. تحقق من التغييرات على الوحدة الأساسية:
> show high-availability configFailover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 3. النتيجة على الوحدة الثانوية:
> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 4. إستئناف HA على الوحدة الأساسية:
> configure high-availability resume
Successfully resumed high-availablity.
> .
No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
>
> show high-availability configFailover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 5. النتائج على الوحدة الثانوية بعد إستئناف HA:
> ..
Detected an Active mate
Beginning configuration replication from mate.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.
>
> show high-availability configFailover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>
الأسئلة المتداولة (FAQ)
س: عند نسخ التكوين نسخا متماثلا، هل يتم حفظه مباشرة (سطرا بسطر) أو في نهاية النسخ المتماثل؟ أ: في نهاية النسخ المتماثل. الدليل موجود في نهاية إخراج الأمر debug fover sync الذي يعرض النسخ المتماثل للأمر/التكوين:
س:ماذا يحدث إذا كانت الوحدة في حالة إستعداد كاذب (تم تعطيل تجاوز الفشل) ثم تقوم بإعادة تحميلها بينما الوحدة الأخرى قد تم تمكين تجاوز الفشل وكانت نشطة؟ أ: ينتهي بك الأمر في سيناريو نشط/نشط (على الرغم من أنه من الناحية الفنية يتميز بالنشاط/تجاوز الفشل). وعلى وجه التحديد، بمجرد ظهور الوحدة، يتم تعطيل تجاوز الفشل، ومع ذلك، فإن الوحدة تستخدم نفس عناوين بروتوكول الإنترنت (IP) للوحدة النشطة. بشكل فعّال، لديك:
الوحدة 1: نشط
الوحدة 2: تم إيقاف تجاوز الفشل وتستخدم الوحدة نفس عناوين IP الخاصة بالبيانات مثل Unit-1، ولكن عناوين MAC مختلفة.
س: ماذا يحدث لتكوين تجاوز الفشل إذا قمت بتعطيل تجاوز الفشل يدويا (تكوين تعليق عالي التوفر)، ثم قمت بإعادة تحميل الجهاز؟ a: عند تعطيل تجاوز الفشل، لا يكون هذا تغييرا دائما (لم يتم حفظه في startup-config ما لم تقرر القيام بذلك بشكل صريح). يمكنك إعادة تحميل/إعادة تحميل الوحدة بطريقتين مختلفتين، وبالطريقة الثانية يجب عليك توخي الحذر:
الحالة 1. إعادة التشغيل من CLISH
لا يطلب إعادة التشغيل من CLISH تأكيدًا. وبالتالي، لم يتم حفظ تغيير التكوين في startup-config:
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.
يحتوي running-config على تجاوز الفشل معطل. في هذه الحالة، كانت الوحدة في وضع الاستعداد ودخلت في حالة الاستعداد الزائفة كما هو متوقع لتجنب سيناريو نشط/نشط:
firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
يتضمن برنامج startup-config إمكانية تجاوز الفشل التي لا تزال ممكنة:
firepower# show startup | include failoverfailover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
إعادة تشغيل الجهاز من CLISH (الأمر reboot ):
> reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...
بمجرد أن تكون الوحدة قيد التشغيل، نظرًا لتمكين تجاوز الفشل، يدخل الجهاز مرحلة تفاوض تجاوز الفشل ويحاول اكتشاف النظير البعيد:
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
الحالة 2. إعادة التشغيل من واجهة سطر الأوامر (CLI) عبر LINA: reboot من LINA (reload أمر) وهو يطلب تأكيد. لذلك، في حالة تحديد Y (نعم) ويتم حفظ تغيير التكوين في startup-config:
firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This disables the failover in the startup-config
Cryptochecksum: 31857237 8658f618 3234be7c 854d583a
8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failoverno failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
بمجرد أن تكون الوحدة قيد التشغيل، يتم تعطيل تجاوز الفشل:
firepower# show failover | include FailFailover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
ملاحظة: لتجنب هذا السيناريو، تأكد من عدم حفظ التغييرات على startup-config عند مطالبتك.
معلومات ذات صلة
ارجع إلى جميع إصدارات دليل تكوين مركز إدارة Cisco Firepower:
التعليقات