إستخدام وضع الاسترداد-config للتكوين الطارئ على الجهاز

المقدمة

يصف هذا وثيقة FTD 7.7 يستعمل إستعادة-config أسلوب ل طارئ على أداة تشكيل.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• الدفاع ضد تهديد FirePOWER (FTD) من Cisco
• مركز إدارة FireSIGHT (FMC) من Cisco

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• برنامج FTD 7.7.0+
• FMC 7.7.0+

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الخلفية

تم إدخال هذه الميزة في الإصدار 7.7.0 ويمكن إستخدامها لإجراء تغييرات التكوين خارج النطاق عندما يكون اتصال الإدارة معطلا.

يتم إجراء تغييرات التكوين هذه مباشرة في واجهة سطر الأوامر (CLI) الخاصة بالجهاز إلى:

• قم باستعادة اتصال الإدارة إذا كنت تستخدم واجهة بيانات للوصول إلى المدير.

• قم بتحديد تغييرات النهج التي لا يمكن انتظارها حتى تتم إستعادة الاتصال.

بمجرد إستعادة اتصال الإدارة:

1. تحتاج إلى الإقرار بإختلافات التكوين الموضحة في تنبيه التكوين خارج النطاق.
2. قم بإجراء نفس التغييرات في وحدة التحكم في الإدارة الأساسية (FMC) قبل النشر، لأن نشر وحدة التحكم في الإدارة الموحدة (FMC) يقوم دائما باستبدال التغييرات المحلية.

أنت يستطيع شكلت هذا سمة منطقة في ال CLI تشخيصي في إستعادة-config أسلوب:

• الواجهات

• المسارات الثابتة

• التوجيه الديناميكي: BGP و OSPF

• عوامل التصفية الأولية

• شبكة VPN من موقع إلى موقع

مثال التكوين

خلفية المعمل

في هذا السيناريو، فقد جهاز FTD مسجل في FMC (باستخدام واجهة البيانات كواجهة إدارة) اتصال الإدارة، ولإصلاح هذه المشكلة، تتم إضافة مسار ثابت إلى FTD باستخدام ميزة recovery-config.

تحتوي وحدة التحكم في إدارة اللوحة الأساسية (FMC) على جهازين للدفاع عن التهديدات مسجلين (10.0.21.72 و 10.0.21.73)، ولكن يمكن الوصول إلى واحد فقط من هذه الأجهزة كما هو موضح في الصور التالية (واجهة سطر الأوامر وواجهة المستخدم الرسومية). 

يستخدم FTD واجهة البيانات لعملية التسجيل إلى FMC. 

كما أن FTD لا يتصل ب FMC من خلال sftunnel .

خطوات التكوين

1. لكي تتمكن من إستخدام ميزة recovery-config، يلزمك تسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب FTD والانتقال إلى وضع lina (دعم النظام diagnostic-cli).

2. قم بتشغيل الأمر configure recovery-config.

3. إذا قمت بكتابة علامة إستفهام (؟)، فسيتم سرد جميع الأوامر المدعومة، كما هو موضح في القائمة التالية.

firepower(recovery-config)# ?

  access-list           Configure an access control element
  as-path               BGP autonomous system path filter
  bfd                   BFD configuration commands
  bfd-template          BFD template configuration
  cluster               Cluster configuration
  community-list        Add a community list entry
  crypto                Configure IPSec, ISAKMP, Certification authority, key
  end                   Exit from configure mode
  exit                  Exit from config mode
  extcommunity-list     Add a extended community list entry
  group-policy          Configure or remove a group policy
  interface             Select an interface to configure
  ip                    Configure IP address pools
  ipsec                 Configure transform-set, IPSec SA lifetime and PMTU
                        Aging reset timer
  ipv6                  Configure IPv6 address pools
  ipv6                  Global IPv6 configuration commands
  isakmp                Configure ISAKMP options
  jumbo-frame           Configure jumbo-frame support
  management-interface  Management interface
  mtu                   Specify MTU(Maximum Transmission Unit) for an interface
  no                    Negate a command or set its defaults
  policy-list           Define IP Policy list
  prefix-list           Build a prefix list
  route                 Configure a static route for an interface
  route-map             Create route-map or enter route-map configuration mode
  router                Enable a routing process
  sla                   IP Service Level Agreement
  sysopt                Set system functional options
  tunnel-group          Create and manage the database of connection specific
                        records for IPSec connections
  vpdn                  Configure VPDN feature
  vrf                   Configure a VRF
  zone                  Create or show a Zone

تحذير: من المتوقع أن تعرف الأوامر المطلوبة للاسترداد أو إستخدام الطوارئ. إن يكون أنت غير متأكد من أي أمر ينبغي كنت استعملت، من المستحسن أن يتصل أنت cisco TAC لإرشاد.

4. بعد تشغيل الأمر configure recovery-config، يتم عرض تنبيه ويطلب منك تأكيد الأمر ومتابعته.

5. بمجرد التأكد من ذلك، يمكنك بدء إستخدام أوامر التكوين المتاحة. في هذا السيناريو، تتم إضافة مسار ثابت إلى الواجهة الخارجية. بعد اكتمال التكوين، قم بتشغيل الأمر exit للخروج من وضع الاسترداد.

أنت مطالب الآن بحفظ التغييرات ويتم عرض تنبيه يعلم أن التغييرات لا يتم الاحتفاظ بها إذا تم إعادة تشغيل الجهاز.

6. يمكنك تأكيد تطبيق التكوين. في هذه الحالة، إظهار المسارات. 

7. بعد عدة دقائق، يعيد هذا التغيير الاتصال مع FMC. تظهر الصور التالية اتصال تم إنشاؤه، أولا في FTD ثم في واجهة سطر الأوامر (CLI) ل FMC.

8. بعد إستعادة التكوين، في واجهة المستخدم الرسومية (GUI) ل FMC، يمكنك الانتقال إلى جهاز > إدارة الأجهزة والنقر على جهازك (في هذه الحالة يكون FTD2-HTZ).

هناك يمكنك أن ترى تنبيه اكتشاف تكوين خارج النطاق. انقر فوق عرض التفاصيل للاطلاع على إختلافات التكوين. 

9. مراجعة تفاصيل التكوين خارج النطاق والاعتراف بالاختلافات.

10. بعد التعرف على إختلافات التكوين، انتقل إلى تكوين التغييرات نفسها التي تم إجراؤها في وضع الاسترداد، ولكن الآن من خلال واجهة المستخدم الرسومية (GUI) ل FMC. في هذا السيناريو، تتم إضافة مسار ثابت.

11. بمجرد حفظ تغييرات التكوين، انتقل إلى نشر التغييرات. يتم عرض تنبيه آخر إعلام بتغييرات التكوين خارج النطاق وتم التعرف عليها، وأن التغييرات تم تجاوزها بواسطة النشر الحالي. 

بمجرد نجاح النشر، تتم مزامنة التكوين مرة أخرى.

المراجع

• https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/release-notes/threat-defense/770/threat-defense-release-notes-77.html
• https://www.cisco.com/c/en/us/td/docs/security/firepower/command_ref/b_Command_Reference_for_Firepower_Threat_Defense/c_3.html#wp4205799262