Konfigurieren von FTD-Hochverfügbarkeit auf Firepower-Appliances

Download-Optionen

  • PDF     (1.0 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:5. Juni 2026
Dokument-ID:212699

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird beschrieben, wie Sie Firepower Threat Defense (FTD) High Availability (HA) auf Firepower-Geräten konfigurieren und überprüfen.

Voraussetzungen

Anforderungen

Es gibt keine spezifischen Anforderungen für dieses Dokument.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • 2 Cisco FirePOWER 9300
  • 2 Cisco FirePOWER 4100-Appliances (7.2.8)
  • FirePOWER Management Center (FMC) (7.2.8)

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Anmerkung: Auf einer FPR9300-Appliance mit FTD können Sie nur Interchassis-HA konfigurieren. Die beiden Einheiten in einer HA-Konfiguration müssen die hier genannten Bedingungen erfüllen.

Aufgabe 1: Überprüfen der Bedingungen

Voraussetzung für diese Aufgabe:

Überprüfen Sie, ob beide FTD-Einheiten die Anforderungen für die Notizen erfüllen und als HA-Einheiten konfiguriert werden können.

Lösung:

Schritt 1: Stellen Sie eine Verbindung zur Management-IP des FPR9300 her, und überprüfen Sie die Modulhardware.

Überprüfen Sie die Hardware des FPR9300-1:

KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

Überprüfen Sie die Hardware des FPR9300-2:

KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

Schritt 2: Melden Sie sich bei FPR9300-1 Chassis Manager an, und navigieren Sie zu Logical Devices (Logische Geräte).

Schritt 3: Überprüfen Sie die Softwareversion, die Nummer und den Schnittstellentyp.

Aufgabe 2: Konfigurieren von FTD HA

Voraussetzung für diese Aufgabe:

Schritt 1: Konfigurieren Sie den Aktiv/Standby-Failover (HA) gemäß Diagramm. In diesem Fall wird ein 41xx-Paar verwendet.

Primary and Secondary FTD

Lösung

Beide FTD-Geräte sind am FMC registriert.

Firepower Security Modules

Schritt 1: Um den FTD-Failover zu konfigurieren, navigieren Sie zu Devices > Device Management (Geräte > Gerätemanagement), und wählen Sie Add High Availability (Hohe Verfügbarkeit hinzufügen).

High Availability Drop-Down Menu

Schritt 2: Geben Sie den primären Peer und den sekundären Peer ein, und wählen Sie Weiter.

Add High Availability Pair

Warnung: Stellen Sie sicher, dass Sie die richtige Einheit als primäre Einheit auswählen. Alle Konfigurationen auf der ausgewählten primären Einheit werden auf die ausgewählte sekundäre FTD-Einheit repliziert. Durch die Replikation kann die aktuelle Konfiguration auf der sekundären Einheit ersetzt werden.

Bedingungen

Um eine hohe Verfügbarkeit zwischen zwei FTD-Geräten zu erreichen, müssen die folgenden Bedingungen erfüllt sein:

  • Gleiches Modell
  • Die gleiche Version, dies gilt für FXOS und FTD - Major (erste Zahl), Minor (zweite Zahl), und Wartung (dritte Zahl) muss gleich sein.
  • Gleiche Anzahl von Schnittstellen
  • Gleiche Art von Schnittstellen
  • Beide Geräte gehören zur gleichen Gruppe/Domäne im FMC.
  • Identische NTP-Konfigurationen (Network Time Protocol)
  • Vollständige Bereitstellung auf dem FMC ohne unbestätigte Änderungen
  • Muss sich im selben Firewall-Modus befinden: geroutet oder transparent
note-icon

Anmerkung: Dies muss sowohl auf FTD-Geräten als auch auf der FMC-GUI überprüft werden, da es Fälle gegeben hat, in denen die FTDs denselben Modus hatten, aber FMC dies nicht widerspiegelt.

  • Auf keiner der Schnittstellen ist DHCP/Point-to-Point Protocol over Ethernet (PPPoE) konfiguriert.
  • Anderer Hostname [Fully Qualified Domain Name (FQDN)] für beide Chassis. Um den Chassis-Hostnamen zu überprüfen, navigieren Sie zu FTD CLI, und führen Sie den folgenden Befehl aus:
firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Anmerkung: In post 6.3 FTD, use the command show chassis detail.

Firepower-module1# show chassis detail 
Chassis URL : https://FP4100-5:443// 
Chassis IP : 10.62.148.187 
Chassis IPv6 : :: 
Chassis Serial Number : JAD19500BAB 
Security Module : 1

Wenn beide Chassis denselben Namen haben, ändern Sie den Namen in einem Chassis mit folgendem Befehl:

KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

Nachdem Sie den Chassis-Namen geändert haben, heben Sie die FTD-Registrierung beim FMC auf, und registrieren Sie es erneut. Fahren Sie dann mit der Erstellung des HA-Paars fort.

Schritt 3: Konfigurieren Sie die hohe Verfügbarkeit, und geben Sie die Einstellungen für die Links an.

In diesem Fall hat die Statusverbindung die gleichen Einstellungen wie die Hochverfügbarkeitsverbindung.

Schritt 4: Wählen Sie Add (Hinzufügen), und warten Sie einige Minuten, bis das HA-Paar bereitgestellt wird.

Add High Availability Pair + Link

Schritt 5: Konfigurieren der Datenschnittstellen (primäre und Standby-IP-Adressen)

Schritt 6: Wählen Sie aus der FMC-GUI die Option HA Edit.

FTD Primary, Active and FTD Secondary, Standby

Schritt 7: Konfigurieren Sie die Schnittstelleneinstellungen:

Edit Mode for Physical Interface

Edit Mode for Physical Interface IP Address

Bei einer Subschnittstelle müssen Sie die übergeordnete Schnittstelle aktivieren:

Edit Mode for Ether Channel Interface

Schritt 8: Navigieren Sie zu Hochverfügbarkeit, und wählen Sie den Schnittstellennamen aus. Klicken Sie auf Bearbeiten, um die Standby-IP-Adressen hinzuzufügen.

Firewall Management Center

Edit Inside

Schritt 9: Führen Sie die gleichen Schritte für die externe Schnittstelle aus.

Schritt 10: Überprüfen der Ergebnisse

Monitored Interfaces - Standby IPv4

Schritt 11: Bleiben Sie auf der Registerkarte für hohe Verfügbarkeit, und konfigurieren Sie virtuelle MAC-Adressen.

Interface MAC Addresses

Schritt 12: Bild der inneren Schnittstelle.

Add Interface MAC Addresses

Schritt 13: Führen Sie die gleichen Schritte für die externe Schnittstelle aus.

Schritt 14: Überprüfen der Ergebnisse

Interface MAC Addresses - Active MAC Addresses and Standby MAC Addresses

Schritt 15. Wählen Sie nach der Konfiguration der Änderungen Speichern und Bereitstellen.

Aufgabe 3: Überprüfen von FTD HA und Lizenz

Voraussetzung für diese Aufgabe:

Überprüfen Sie die FTD HA-Einstellungen, und aktivieren Sie die Lizenzen über die FMC-GUI und die FTD-CLI.

Lösung:

Schritt 1: Navigieren Sie zu Übersicht, überprüfen Sie die HA-Einstellungen, und aktivieren Sie die Lizenzen.

Firewall Management Center Summary

Schritt 2: Führen Sie in der FTD CLISH CLI den Befehl show high-availability config oder show failover aus:

> show high-availability config 
Failover On 
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
Last Failover at: 08:46:30 UTC Jul 18 2024
        This host: Primary - Active 
                Active time: 1999 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.10): Link Down (Shutdown)
                  Interface Outside (192.168.76.10): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)
        Other host: Secondary - Standby Ready 
                Active time: 1466 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.11): Link Down (Shutdown)
                  Interface Outside (192.168.76.11): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics
<output omitted>

Schritt 3: Führen Sie die gleichen Schritte auf dem sekundären Gerät aus.

Schritt 4: Führen Sie den Befehl show failover state in der LINA-CLI aus:

firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

Schritt 5: Überprüfen Sie die Konfigurationseinstellungen der Primäreinheit (LINA CLI):

> show running-config failover
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

> show running-config interface 
!
interface Port-channel2
no nameif
no security-level
no ip address
!
interface Port-channel2.202
vlan 202
nameif Outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
shutdown
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 
>

Aufgabe 4: Wechseln der Failover-Rollen

Voraussetzung für diese Aufgabe:

Switching der Failover-Rollen vom FMC von Primary/Active, Secondary/Standby zu Primary/Standby, Secondary/Active

Lösung:

Schritt 1: Wählen Sie das Symbol aus.

FTD Switch Active Peer

Schritt 2: Bestätigen Sie die Aktion.

Sie können die Befehlsausgabe show failover history verwenden:

Auf dem neuen aktiven

Auf dem neuen Standby

> Failover-Verlauf anzeigen
==========================================================================
Vom Bundesland zum Bundesland - Grund
==========================================================================

09:27:11 UTC 18. Juli 2024
Standby Ready Just Active Andere Einheit will mich aktiv
                                                                                                                 (Einstellung über den Befehl config)

09:27:11 UTC 18. Juli 2024
Nur Active Active Drain Andere Einheit will mich Active
                                                                                                                 (Einstellung über den Befehl config)

09:27:11 UTC 18. Juli 2024
Aktive Entleerung Aktive Konfig. anlegen Andere Einheit möchte Aktiv sein
                                                                                                                 (Einstellung über den Befehl config)

09:27:11 UTC 18. Juli 2024
Aktiv Konfig. Aktive Konfig. angewendet Andere Einheit will Aktiv sein
                                                                                                                 (Einstellung über den Befehl config)

09:27:11 UTC 18. Juli 2024
Aktive Konfiguration angewendet Aktiv Andere Einheit möchte Aktiv
                                                                                                                (Einstellung über den Befehl config)

> Failover-Verlauf anzeigen
==========================================================================
Vom Bundesland zum Bundesland - Grund
==========================================================================

09:27:11 UTC 18. Juli 2024
Active Standby Ready Set über den Konfigurationsbefehl
                                                                                                               (kein Failover aktiv)

Schritt 3: Aktivieren Sie die primäre Einheit nach der Überprüfung erneut.

Aufgabe 5: Aufbrechen des HA-Paars

Voraussetzung für diese Aufgabe:

Trennen Sie das Failover-Paar über das FMC.

Lösung:

Schritt 1: Wählen Sie das Symbol aus.

Switch Active Peer Break

Schritt 2: Überprüfen Sie die Benachrichtigung.

Confirm Break Message Notification

Schritt 3. Notieren Sie sich die Nachricht.

High Availability Notification Message

Schritt 4: Überprüfen der Ergebnisse über die FMC-GUI oder die CLI

Schritt 5: Ausführungskonfiguration auf der primären Einheit vor und nach der HA-Unterbrechung anzeigen:

Primär-/Standby-Einheit vor HA-Unterbrechung

Primäre Einheit nach HA-Unterbrechung

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname-Firewall
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
nameEIF Außenbereich
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
Beschreibung LAN/STATE Failover Interface
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
nameif Inside
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
FTP-Modus passiv
ngips conn-match vlan-id
Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: ZUGRIFFSRICHTLINIE: acp_simple - Standard
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: L4-REGEL: STANDARDAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
MTU außerhalb 1500
mtu Diagnose 1500
MTU innerhalb von 1500
Failover
Failover LAN Einheit Primär
Failover LAN-Schnittstelle FOVER Port-channel3
Failover-Replikation http
Failover-MAC-Adresse Ethernet1/4 aaaa.bbb.1111 aaaa.bbb.2222
Failover-MAC-Adresse Port-channel2.202 aaaa.bbb.333 aaaa.bbb.4444
Failover-Link FOVER Port-channel3
Failover-Schnittstelle ip FOVER 172.16.51.1 255.255.255.0 Standby 172.16.51.2

<Ausgabe weggelassen>

> INFORMATIONEN: Dieses Gerät befindet sich derzeit im Standby-Status. Durch die Deaktivierung von Failover verbleibt das Gerät im Standby-Modus.

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname-Firewall
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
interface Port-channel3
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Ethernet1/1
nur Management
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
FTP-Modus passiv
ngips conn-match vlan-id
Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: ZUGRIFFSRICHTLINIE: acp_simple - Erforderlich
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: L7-REGEL: Regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
Kein Failover
<Ausgabe weggelassen>

Sekundäre/aktive Einheit vor HA-Unterbrechung

Sekundäreinheit nach HA-Unterbrechung

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM2108V9JG
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname-Firewall
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
nameEIF Außenbereich
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
Beschreibung LAN/STATE Failover Interface
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
nameif Inside
Sicherheitsstufe 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
FTP-Modus passiv
ngips conn-match vlan-id
Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: ZUGRIFFSRICHTLINIE: acp_simple - Erforderlich
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: L7-REGEL: Regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
MTU außerhalb 1500
mtu Diagnose 1500
MTU innerhalb von 1500
Failover
sekundäre Failover-LAN-Einheit
Failover LAN-Schnittstelle FOVER Port-channel3
Failover-Replikation http
Failover-Link FOVER Port-channel3
Failover-Schnittstelle ip FOVER 172.16.51.1 255.255.255.0 Standby 172.16.51.2

<Ausgabe weggelassen>

  

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM2108V9JG
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname-Firewall
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
nameEIF Außenbereich
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
nameif Inside
Sicherheitsstufe 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
FTP-Modus passiv
ngips conn-match vlan-id
Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: ZUGRIFFSRICHTLINIE: acp_simple - Erforderlich
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268439552: L7-REGEL: Regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
MTU außerhalb 1500
mtu Diagnose 1500
MTU innerhalb von 1500
Kein Failover
keine Monitorschnittstelle Außenbereich
Kein Servicemodul für Überwachungsschnittstelle

<Ausgabe weggelassen>

Wichtigste Punkte zur HA-Trennung:

Primär-/Standby-Einheit

Sekundäre/aktive Einheit
  • Die gesamte Failover-Konfiguration wird entfernt.
  • Alle IP-Konfigurationen werden entfernt.
  • Die gesamte Failover-Konfiguration wird entfernt.
  • Standby-IPs bleiben erhalten, werden aber bei der nächsten Bereitstellung entfernt

Schritt 6. Wenn Sie diese Aufgabe abgeschlossen haben, erstellen Sie das HA-Paar neu.

Aufgabe 6: Löschen eines HA-Paars

Diese Aufgabe basiert auf einem HA-Setup auf 41xx mit der Software 7.2.8. In diesem Fall befanden sich die Geräte anfangs in den folgenden Zuständen:

  • Primär/Standby
  • Sekundär/Aktiv

Voraussetzung für diese Aufgabe:

Löschen Sie das Failover-Paar vom FMC.

Lösung:

Schritt 1. Wählen Sie das Symbol.

FTD Switch Active Peer - Delete

Schritt 2: Überprüfen und bestätigen Sie die Benachrichtigung.

FTD Switch Active Peer - Confirm Deletion Message

Schritt 3: Nach dem Löschen der HA werden beide Geräte vom FMC abgemeldet (entfernt).

Schritt 4: Anzeigen des Ergebnisses der Ausführungskonfiguration aus der LINA-CLI:

Primäreinheit (Standby)

Sekundäreinheit (aktiv)

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname FirePOWER-Modul1
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
kein asp inspect-dp ack-passthrough
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
NameEIF NET202
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
Schnittstelle Port-channel2.203
VLAN 203
NameEIF NET203
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
Beschreibung LAN/STATE Failover Interface
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
NameEIF NET204
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
FTP-Modus passiv
ngips conn-match vlan-id
Keine Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: ZUGRIFFSRICHTLINIE: acp_simple - Standard
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: L4-REGEL: STANDARDAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
tcp-options md5 Löschen
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
mtu NET202 1500
mtu NET203 1500
mtu Diagnose 1500
mtu NET204 1500
Failover
Failover LAN Einheit Primär
Failover LAN-Schnittstelle FOVER Port-channel3
Failover-Replikation http
Failover-Link FOVER Port-channel3
Failover-Schnittstelle ip FOVER 172.16.51.1 255.255.255.0 Standby 172.16.51.2
Überwachungsschnittstelle NET202
Überwachungsschnittstelle NET203
icmp unreachable rate-limit 1 burst-size 1

<Ausgabe weggelassen>

> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.2 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.2 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.2 255.255.255.0 CONFIG

> Failover anzeigen
Failover ein
Failover-Einheit Primär
Failover-LAN-Schnittstelle: FOVER Port-channel3 (aktiv)
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 4 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.
Failover-Replikation http
Version: Unser 9.18(4)210, Mate 9.18(4)210
Seriennummer: Unser FLM1949C5RR, Mate FLM2108V9YG
Letzter Failover: 13:56:37 UTC 16. Juli 2024
Dieser Host: Primär - Standby-fähig
Aktive Zeit: 0 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstelle NET202 (172.16.202.2): Normal (überwacht)
Schnittstelle NET203 (172.16.203.2): Normal (überwacht)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.2): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)
Anderer Host: Sekundär - Aktiv
Aktive Zeit: 70293 (s)
Schnittstelle NET202 (172.16.202.1): Normal (überwacht)
Schnittstelle NET203 (172.16.203.1): Normal (überwacht)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.1): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)

<Ausgabe weggelassen>

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM2108V9JG
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname FirePOWER-Modul1
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
kein asp inspect-dp ack-passthrough
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
NameEIF NET202
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
Schnittstelle Port-channel2.203
VLAN 203
NameEIF NET203
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
Beschreibung LAN/STATE Failover Interface
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
NameEIF NET204
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
FTP-Modus passiv
ngips conn-match vlan-id
Keine Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: ZUGRIFFSRICHTLINIE: acp_simple - Standard
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: L4-REGEL: STANDARDAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
tcp-options md5 Löschen
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
mtu NET202 1500
mtu NET203 1500
mtu Diagnose 1500
mtu NET204 1500
Failover
sekundäre Failover-LAN-Einheit
Failover LAN-Schnittstelle FOVER Port-channel3
Failover-Replikation http
Failover-Link FOVER Port-channel3
Failover-Schnittstelle ip FOVER 172.16.51.1 255.255.255.0 Standby 172.16.51.2
Überwachungsschnittstelle NET202
Überwachungsschnittstelle NET203
icmp unreachable rate-limit 1 burst-size 1

<Ausgabe weggelassen>

> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

> Failover anzeigen
Failover ein
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: FOVER Port-channel3 (aktiv)
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 4 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.
Failover-Replikation http
Version: Unser 9.18(4)210, Mate 9.18(4)210
Seriennummer: Unser FLM2108V9YG, Mate FLM1949C5RR
Letzter Failover: 13:42:35 UTC 16. Juli 2024
Dieser Host: Sekundär - Aktiv
Aktive Zeit: 70312 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstelle NET202 (172.16.202.1): Normal (überwacht)
Schnittstelle NET203 (172.16.203.1): Normal (überwacht)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.1): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)
Anderer Host: Primär - Standby-fähig
Aktive Zeit: 0 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstelle NET202 (172.16.202.2): Normal (überwacht)
Schnittstelle NET203 (172.16.203.2): Normal (überwacht)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.2): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)

<Ausgabe weggelassen>

Schritt 5: Beide FTD-Geräte wurden vom FMC abgemeldet:

> show managers
No managers configured.

Die wichtigsten zu beachtenden Punkte für die Option zum Deaktivieren von HA im FMC:

Primäre Einheit

Sekundäre Einheit

Das Gerät wird aus dem FMC entfernt.

Es wird keine Konfiguration aus dem FTD-Gerät entfernt.

Das Gerät wird aus dem FMC entfernt.

Es wird keine Konfiguration aus dem FTD-Gerät entfernt.

Szenario 1:

Führen Sie den Befehl configure high-availability disable aus, um die Failover-Konfiguration vom aktiven FTD-Gerät zu entfernen:

> configure high-availability disable ?
Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
<cr> 
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

Ergebnis:

Primäreinheit (ex-Standby)

Sekundäreinheit (ex-aktiv)

> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.

> show failover
Failover Off (pseudo-Standby)
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset

> show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1291 maximum
MAC Address Move Notification Interval not set

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

Primär (ex-Standby)

Sekundär (ex aktiv)

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname FirePOWER-Modul1
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
kein asp inspect-dp ack-passthrough
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse <- IPs werden entfernt
!
interface Port-channel3
Beschreibung LAN/STATE Failover Interface
!
Schnittstelle Ethernet1/1
nur Management
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
herunterfahren
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
FTP-Modus passiv
ngips conn-match vlan-id
Keine Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: ZUGRIFFSRICHTLINIE: acp_simple - Standard
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: L4-REGEL: STANDARDAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
tcp-options md5 Löschen
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
Kein Failover
Failover LAN Einheit Primär
Failover LAN-Schnittstelle FOVER Port-channel3
Failover-Replikation http
Failover-Link FOVER Port-channel3
Failover-Schnittstelle ip FOVER 172.16.51.1 255.255.255.0 Standby 172.16.51.2
Kein Servicemodul für Überwachungsschnittstelle

<Ausgabe weggelassen>

> Laufende Konfiguration anzeigen
: Gespeichert

:
: Seriennummer: FLM2108V9JG
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-Serie 2200 MHz, 2 CPUs (48 Kerne)
:
NGFW-Version 7.2.8
!
Hostname FirePOWER-Modul1
enable password ***** verschlüsselt
Starke Verschlüsselung - Deaktiviert
kein asp inspect-dp ack-passthrough
service-module 0 Keepalive-Timeout 4
service-module 0 keepalive-counter 6
Namen
Keine automatische MAC-Adresse

!
interface Port-channel2
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Port-channel2.202
VLAN 202
NameEIF NET202
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
Schnittstelle Port-channel2.203
VLAN 203
NameEIF NET203
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
kein NameEIF
keine Sicherheitsstufe
Keine IP-Adresse
!
Schnittstelle Ethernet1/1
nur Management
Nameif-Diagnose
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
Keine IP-Adresse
!
Schnittstelle Ethernet1/4
NameEIF NET204
CTS-Handbuch
Weitergeben sgt serve untag
Richtlinie statisches sgt deaktiviert Vertrauenswürdig
Sicherheitsstufe 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
FTP-Modus passiv
ngips conn-match vlan-id
Keine Zugriffskontrolle für Objektgruppen-Suche
Zugriffsgruppe CSM_FW_ACL_ global
access-list CSM_FW_ACL_remark rule-id 9998: VORFILTERRICHTLINIE: Standard-Tunnel- und Prioritätsrichtlinie
access-list CSM_FW_ACL_remark rule-id 9998: REGEL: STANDARD-TUNNELAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: ZUGRIFFSRICHTLINIE: acp_simple - Standard
Zugriffsliste CSM_FW_ACL_ Bemerkung Regel-ID 268434433: L4-REGEL: STANDARDAKTIONSREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow
tcp-options md5 Löschen
Zulassung unter einer Eilflagge
!
Kein Pager
Keine Protokollierungsmeldung 106015
Keine Protokollierungsmeldung 313001
Keine Protokollierungsmeldung 313008
Keine Protokollierungsmeldung 106023
Keine Protokollierungsmeldung 710003
Keine Protokollierungsmeldung 106100
Keine Protokollierungsmeldung 302015
Keine Protokollierungsmeldung 302014
Keine Protokollierungsmeldung 302013
Keine Protokollierungsmeldung 302018
Keine Protokollierungsmeldung 302017
Keine Protokollierungsmeldung 302016
Keine Protokollierungsmeldung 302021
Keine Protokollierungsmeldung 302020
mtu NET202 1500
mtu NET203 1500
mtu Diagnose 1500
mtu NET204 1500
Kein Failover
Überwachungsschnittstelle NET202
Überwachungsschnittstelle NET203
Kein Servicemodul für Überwachungsschnittstelle

Wichtigste Punkte, die Sie beachten sollten, um HA über die aktive FTD-CLI zu deaktivieren:

Aktive Einheit

Standby-Einheit
  • Failover-Konfiguration wird entfernt
  • Standby-IPs werden nicht entfernt.
  • Schnittstellenkonfigurationen werden entfernt.
  • Failover-Konfiguration wird nicht entfernt, Failover ist jedoch deaktiviert (Pseudo-Standby)

An diesem Punkt können Sie die hohe Verfügbarkeit auf dem ehemaligen Standby-Gerät deaktivieren.

Szenario 2 (nicht empfohlen)

Warnung: Dieses Szenario führt zu einer Aktiv/Aktiv-Situation, weshalb es nicht empfohlen wird. Es wird nur zur Bewusstheit gezeigt.

Führen Sie den Befehl 'configure high-availability disable' aus, um die Failover-Konfiguration vom Standby-FTD-Gerät zu entfernen:

> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

Ergebnis:

Primär (ex-Standby)

Sekundär (aktiv)

> Failover anzeigen
Failover aus
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: nicht konfiguriert
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 4 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.


> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual <- Das Gerät verwendet die gleichen IPs wie das ex-Active!
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch

> Failover anzeigen
Failover Ein <- Failover ist nicht deaktiviert.
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: FOVER Port-channel3 (aktiv)
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 4 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.
Failover-Replikation http
Version: Unser 9.18(4)210, Mate 9.18(4)210
Seriennummer: Unser FLM2108V9YG, Mate FLM1949C5RR
Letzter Failover: 12:44:06 UTC 17. Juli 2024
Dieser Host: Sekundär - Aktiv
Aktive Zeit: 632 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.1): Normal (überwacht)
Schnittstelle NET203 (172.16.203.1): Normal (überwacht)
Schnittstelle NET202 (172.16.202.1): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)
Anderer Host: Primär - Deaktiviert
Aktive Zeit: 932 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstellendiagnose (0.0.0.0): Unbekannt (wartet)
Schnittstelle NET204 (172.16.204.2): Unbekannt (überwacht)
Schnittstelle NET203 (172.16.203.2): Unbekannt (überwacht)
Schnittstelle NET202 (172.16.202.2): Unbekannt (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)

> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual <- Das Gerät verwendet die gleichen IPs wie das ehemalige Standby-Gerät.
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch

Wichtigste Punkte, die Sie beachten sollten, um HA über die aktive FTD-CLI zu deaktivieren:

Aktive Einheit

Standby-Einheit
  • Die Failover-Konfiguration wird nicht entfernt und bleibt aktiviert.
  • Das Gerät verwendet die gleichen IPs wie das ehemalige Standby-Gerät.
  • Failover-Konfiguration wird entfernt
  • Das Gerät verwendet die gleichen IPs wie die aktive Einheit.

Szenario 3:

Führen Sie den Befehl configure high-availability disable clear-interfaces aus, um die Failover-Konfiguration vom aktiven FTD-Gerät zu entfernen:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

>

Ergebnis:

Primär (ex-Standby)

Sekundär (ex aktiv)

> Failover anzeigen
Failover aus (Pseudo-Standby)
Failover-Einheit Primär
Failover-LAN-Schnittstelle: FOVER Port-channel3 (aktiv)
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 0 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.
Failover-Replikation http


> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
>

> Failover anzeigen
Failover aus
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: nicht konfiguriert
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 0 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.


> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
>

Wichtigste Punkte für die HA-Funktion zum Deaktivieren und Klarstellen von Schnittstellen aus der aktiven FTD-CLI:

Aktive Einheit

Standby-Einheit
  • Failover-Konfiguration wird entfernt
  • Die IPs werden entfernt.
  • Failover-Konfiguration wird nicht entfernt, Failover ist jedoch deaktiviert (Pseudo-Standby)
  • Die IPs werden entfernt.

Szenario 4

Führen Sie den Befehl 'configure high-availability disable clear-interfaces' aus, um die Failover-Konfiguration vom Standby-FTD-Gerät zu entfernen:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

>

Ergebnis:

Primär (ex-Standby)

Sekundär (aktiv)

> Failover anzeigen
Failover aus
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: nicht konfiguriert
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 0 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.


> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
>

> Failover anzeigen
Failover ein
Sekundäre Failover-Einheit
Failover-LAN-Schnittstelle: FOVER Port-channel3 (aktiv)
Timeout für erneute Verbindung 0:00:00
Abfragehäufigkeit 1 Sekunden, Haltezeit 15 Sekunden
Interface-Abfragehäufigkeit 5 Sekunden, Haltezeit 25 Sekunden
Schnittstellenrichtlinie 1
Überwachte Schnittstellen 4 von maximal 1291
Das Intervall für die Benachrichtigung über die Verschiebung der MAC-Adresse ist nicht festgelegt.
Failover-Replikation http
Version: Unser 9.18(4)210, Mate 9.18(4)210
Seriennummer: Unser FLM2108V9YG, Mate FLM1949C5RR
Letzter Failover: 07:06:56 UTC 18. Juli 2024
Dieser Host: Sekundär - Aktiv
Aktive Zeit: 1194 (Sek.)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstellendiagnose (0.0.0.0): Normal (wartet)
Schnittstelle NET204 (172.16.204.1): Normal (überwacht)
Schnittstelle NET202 (172.16.202.1): Normal (überwacht)
Schnittstelle NET203 (172.16.203.1): Normal (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)
Anderer Host: Primär - Deaktiviert
Aktive Zeit: 846 (s)
Steckplatz 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Schnittstellendiagnose (0.0.0.0): Unbekannt (wartet)
Schnittstelle NET204 (172.16.204.2): Unbekannt (überwacht)
Schnittstelle NET202 (172.16.202.2): Unbekannt (überwacht)
Schnittstelle NET203 (172.16.203.2): Unbekannt (überwacht)
Steckplatz 1: snort rev (1.0) status (up)
Steckplatz 2: diskstatus rev (1.0) status (up)

> IP anzeigen
System-IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch
Aktuelle IP-Adressen:
Schnittstellenname IP-Adresse Subnetzmaske Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Handbuch

Wichtigste Punkte, die zu beachten sind: Deaktivieren Sie HA zusammen mit klaren Schnittstellen aus der Active FTD CLI:

Aktive Einheit

Standby-Einheit
  • Failover-Konfiguration wird nicht entfernt
  • Die IPs werden nicht entfernt.
  • Failover-Konfiguration wird entfernt
  • Die IPs werden entfernt.

Schritt 6: Nachdem Sie diese Aufgabe abgeschlossen haben, registrieren Sie die Geräte beim FMC und aktivieren Sie das HA-Paar.

Aufgabe 7: Hochverfügbarkeit aussetzen

Voraussetzung für diese Aufgabe:

Hochverfügbarkeit aus der FTD CLISH CLI aussetzen.

Lösung:

Schritt 1: Führen Sie auf dem primären FTD den Befehl aus, und bestätigen Sie ihn (geben Sie YES ein).

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Schritt 2. Überprüfen Sie die Änderungen an der primären Einheit:

> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Schritt 3. Das Ergebnis der Sekundäreinheit:

> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

Schritt 4. Hochverfügbarkeit auf der primären Einheit fortsetzen:

> configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Schritt 5. Die Ergebnisse auf der Sekundäreinheit nach der Wiederaufnahme HA:

> ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

Häufig gestellte Fragen


F: Wenn die Konfiguration repliziert wird, wird sie sofort (zeilenweise) oder am Ende der Replikation gespeichert?
A: Am Ende der Replikation. Der Nachweis ist am Ende der Ausgabe des Befehls debug fover sync zu finden, der die Konfigurations-/Befehlsreplikation zeigt:

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory        <--


F:Was passiert, wenn sich eine Einheit im Pseudo-Standby-Status befindet (Failover deaktiviert) und Sie sie dann neu laden, während die andere Einheit Failover aktiviert hat und aktiv ist?
A: Sie landen in einem Aktiv/Aktiv-Szenario (obwohl es technisch ein Aktiv/Failover-Aus ist). Nach dem Einschalten des Geräts wird das Failover deaktiviert. Das Gerät verwendet jedoch die gleichen IPs wie das aktive Gerät. Effektiv bedeutet dies:

  • Einheit 1: Aktiv
  • Einheit 2: Failover ist deaktiviert, und die Einheit verwendet die gleichen Daten-IPs wie Unit-1, aber unterschiedliche MAC-Adressen.


F: Was passiert mit der Failover-Konfiguration, wenn Sie den Failover manuell deaktivieren (Hochverfügbarkeits-Suspend konfigurieren) und dann das Gerät neu laden?
A: Wenn Sie den Failover deaktivieren, handelt es sich nicht um eine permanente Änderung (wird nicht in der Startkonfiguration gespeichert, es sei denn, Sie möchten dies ausdrücklich tun). Sie können das Gerät auf zwei verschiedene Arten neu starten/neu laden, und mit der zweiten Methode müssen Sie vorsichtig sein:

Fall 1: Neustart von CLISH

Beim Neustart über CLISH wird keine Bestätigung verlangt. Die Konfigurationsänderung wird daher nicht in der Startkonfiguration gespeichert:

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Bei der aktuellen Konfiguration ist der Failover deaktiviert. In diesem Fall befand sich das Gerät im Standby-Modus und wurde in den Pseudo-Standby-Status versetzt, um ein Aktiv/Aktiv-Szenario zu vermeiden:

firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


Für die Startkonfiguration ist Failover weiterhin aktiviert:

firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Starten Sie das Gerät über CLISH neu (Befehl reboot):

> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

Sobald die Einheit hochgefahren ist, wechselt sie in die Failover-Aushandlungsphase, da Failover aktiviert ist, und versucht, den Remote-Peer zu erkennen:

User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


Fall 2: Neustart von LINA CLI:
Starten Sie LINA neu (Befehl reload), und Sie werden zur Bestätigung aufgefordert. Falls Sie also Y (Yes) auswählen und die Konfigurationsänderung in der Startkonfiguration gespeichert wird:

firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y  <-- Be careful. This disables the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Sobald die Einheit hochgefahren ist, wird Failover deaktiviert:

firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

Anmerkung: Um dieses Szenario zu vermeiden, stellen Sie sicher, dass Sie die Änderungen nicht in der Startkonfiguration speichern, wenn Sie dazu aufgefordert werden.

Zugehörige Informationen

  • Weitere Informationen finden Sie in allen Versionen des Konfigurationsleitfadens für das Cisco FirePOWER Management Center:

Navigieren in der Cisco Secure Firewall Threat Defense-Dokumentation

  • Weitere Informationen finden Sie im Konfigurationsleitfaden für FXOS Chassis Manager und CLI:

Navigieren in der Cisco Firepower 4100/9300 FXOS-Dokumentation

  • Das Cisco Global Technical Assistance Center (TAC) empfiehlt dringend diesen Leitfaden, um detailliertes praktisches Wissen über die Sicherheitstechnologien der nächsten Generation von Cisco FirePOWER zu erhalten:

Cisco Firepower Threat Defense (FTD): Best Practices für Konfiguration und Fehlerbehebung bei Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS) und Advanced Malware Protection (AMP)

  • Lesen Sie alle technischen Hinweise zur Konfiguration und Fehlerbehebung für die FirePOWER-Technologien:

Cisco Secure Firewall Management Center

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
5.0
05-Jun-2026
SEO aktualisiert, Einführung, Formatierung. Rechtschreibung, Abstand und Nummerierung.
4.0
19-Jul-2024
Aktualisierte Suchmaschinenoptimierung, Stilanforderungen und Formatierung. Darüber hinaus basieren die Tasks jetzt auf der Softwareversion 7.2.8.
3.0
07-Aug-2023
Aktualisierte Suchmaschinenoptimierung, Stilanforderungen und Formatierung.
2.0
04-Aug-2022
Artikel aktualisiert für Formatierung, Stilanforderungen, maschinelle Übersetzung, Gerunds und Grammatik.
1.0
29-Sep-2021
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Olha Yakovenko
    Cisco TAC Engineer
  • Mikis Zafeiroudis
    Cisco TAC Engineer
  • John Long
    Cisco TAC Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.