In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie Sie Firepower Threat Defense (FTD) Hochverfügbarkeit (HA) (Aktiv/Standby-Failover) auf der FPR9300 konfigurieren und verifizieren.
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hinweis: Auf einer FPR9300-Appliance mit FTD können Sie nur Interchassis-HA konfigurieren. Die beiden Einheiten in einer HA-Konfiguration müssen die hier genannten Bedingungen erfüllen.
Voraussetzung für diese Aufgabe:
Überprüfen Sie, ob beide FTD-Einheiten die Anforderungen für die Notizen erfüllen und als HA-Einheiten konfiguriert werden können.
Lösung:
Schritt 1: Stellen Sie eine Verbindung zur Management-IP des FPR9300 her, und überprüfen Sie die Modulhardware.
Überprüfen Sie die Hardware des FPR9300-1.
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
Überprüfen Sie die Hardware des FPR9300-2.
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
Schritt 2: Melden Sie sich beim Chassis Manager des FPR9300-1 an, und navigieren Sie zu „Logical Devices“ (Logische Geräte).
Überprüfen Sie die Softwareversion, die Anzahl und den Schnittstellentyp, wie in den Images gezeigt.
FPR9300-1
FPR9300-2
Voraussetzung für diese Aufgabe:
Konfigurieren Sie das Aktiv/Standby-Failover (HA) gemäß diesem Diagramm.
Lösung:
Beide FTD-Geräte sind bereits beim FMC registriert, wie in der Abbildung dargestellt.
Schritt 1: Um FTD-Failover zu konfigurieren, navigieren Sie zu Devices (Geräte) > Device Management (Gerätemanagement) und wählen Add High Availability (Hochverfügbarkeit hinzufügen), wie im Bild dargestellt.
Schritt 2: Geben Sie den primären Peer und den sekundären Peer ein, und wählen Sie Weiter aus, wie im Bild dargestellt.
Warnung: Wählen Sie die richtige Einheit als primäre Einheit aus. Alle Konfigurationen auf der ausgewählten primären Einheit werden auf die ausgewählte sekundäre FTD-Einheit repliziert. Durch die Replikation kann die aktuelle Konfiguration auf der sekundären Einheit ersetzt werden.
Um HA zwischen zwei FTD-Geräten zu erzielen, müssen folgende Bedingungen erfüllt sein:
Hinweis: Dies muss sowohl auf FTD-Geräten als auch auf der FMC-GUI überprüft werden, da es Fälle gegeben hat, in denen die FTDs den gleichen Modus hatten, aber FMC spiegelt dies nicht wider.
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
Hinweis: In Post-6.3 FTD verwenden Sie den Befehl show chassis detail (Chassis-Details anzeigen).
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
Wenn beide Chassis denselben Namen haben, ändern Sie den Namen eines Chassis mit den folgenden Befehlen:
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
Nachdem Sie den Chassis-Namen geändert haben, heben Sie die Registrierung von FTD beim FMC auf, und registrieren Sie es erneut. Fahren Sie dann mit der Erstellung des HA-Paars fort.
Schritt 3: Konfigurieren Sie HA, und geben Sie die Link-Einstellungen an.
In Ihrem Fall hat der Status-Link die gleichen Einstellungen wie der HA-Link.
Wählen Sie Add (Hinzufügen) aus, und warten Sie einige Minuten, bis das HA-Paar wie im Image dargestellt bereitgestellt wird.
Schritt 4: Konfigurieren der Datenschnittstellen (primäre und Standby-IP-Adressen)
Wählen Sie aus der FMC-GUI die Option HA Edit wie im Bild dargestellt aus.
Schritt 5: Konfigurieren Sie die Schnittstelleneinstellungen wie in den Abbildungen dargestellt.
Ethernet-Schnittstelle 1/5:
Ethernet-Schnittstelle 1/6:
Schritt 6: Navigieren Sie zu High Availability, und wählen Sie Interface Name Edit aus, um die Standby-IP-Adressen wie im Bild dargestellt hinzuzufügen.
Schritt 7. Für die interne Schnittstelle siehe Abbildung.
Schritt 8: Wiederholen Sie den Vorgang für die externe Schnittstelle.
Schritt 9. Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.
Schritt 10. Bleiben Sie auf der Registerkarte für hohe Verfügbarkeit, und konfigurieren Sie virtuelle MAC-Adressen wie im Bild dargestellt.
Schritt 11. Für die interne Schnittstelle siehe Abbildung.
Schritt 12: Wiederholen Sie den Vorgang für die externe Schnittstelle.
Schritt 13: Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.
Schritt 14: Nachdem Sie die Änderungen konfiguriert haben, wählen Sie Speichern und bereitstellen.
Voraussetzung für diese Aufgabe:
Überprüfen Sie die FTD HA-Einstellungen und die aktivierten Lizenzen über die FMC-GUI und die FTD-CLI.
Lösung:
Schritt 1: Navigieren Sie zu Summary (Zusammenfassung), und überprüfen Sie die HA-Einstellungen und aktivierten Lizenzen, wie in der Abbildung dargestellt.
Schritt 2: Führen Sie in der FTD-CLISH-CLI die folgenden Befehle aus:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
Schritt 3: Wiederholen Sie den Vorgang für das sekundäre Gerät.
Schritt 4: Führen Sie den Befehl show failover state über die LINA-CLI aus:
firepower# show failover state State Last Failure Reason Date/Time This host - Primary Active None Other host - Secondary Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016 ====Configuration State=== Sync Done ====Communication State=== Mac set firepower#
Schritt 5: Überprüfen Sie die Konfiguration über die primäre Einheit (LINA-CLI):
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
Voraussetzung für diese Aufgabe:
Ändern Sie vom FMC aus die Failover-Rollen von „Primär/Aktiv“ und „Sekundär/Standby“ in „Primär/Standby“ und „Sekundär/Aktiv“.
Lösung:
Schritt 1: Wählen Sie das Symbol wie in der Abbildung dargestellt aus.
Schritt 2: Bestätigen Sie die Aktion im Popup-Fenster, wie in der Abbildung dargestellt.
Schritt 3: Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.
Über die LINA-CLI können Sie sehen, dass der Befehl no failover active auf der primären/aktiven Einheit ausgeführt wurde:
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Sie können dies auch in der Befehlsausgabe von show failover history überprüfen:
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
Schritt 4: Erklären Sie nach der Überprüfung die primäre Einheit wieder zur aktiven Einheit.
Voraussetzung für diese Aufgabe:
Trennen Sie das Failover-Paar über das FMC.
Lösung:
Schritt 1: Wählen Sie das Symbol wie in der Abbildung dargestellt aus.
Schritt 2: Überprüfen Sie die Benachrichtigung, wie in der Abbildung dargestellt.
Schritt 3: Beachten Sie die Meldung, wie in der Abbildung dargestellt.
Schritt 4: Überprüfen Sie das Ergebnis über die FMC-GUI, wie in der Abbildung dargestellt.
show running-config auf der primären Einheit vor und nach der HA-Trennung:
Vor der HA-Trennung |
Nach der HA-Trennung |
firepower# sh run : Gespeichert : : Seriennummer: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 Beschreibung LAN/STATE Failover Interface ! Schnittstelle Ethernet1/5 nameif Inside Sicherheitsstufe 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! Schnittstelle Ethernet1/6 nameEIF Außenbereich Sicherheitsstufe 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung Standby Protokollierung Puffergröße 100000 Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 mtu Diagnose 1500 MTU innerhalb von 1500 MTU außerhalb 1500 Failover Failover LAN Einheit Primär Failover-LAN-Schnittstelle fover_link Ethernet1/4 Failover-Replikation http Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222 Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444 Failover-Verbindung fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:933c594fc0264082edc0f24bad358031 :end Feuerkraft# |
firepower# sh run : Gespeichert : : Seriennummer: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! Schnittstelle Ethernet1/5 nameif Inside Sicherheitsstufe 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! Schnittstelle Ethernet1/6 nameEIF Außenbereich Sicherheitsstufe 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung Standby Protokollierung Puffergröße 100000 Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 mtu Diagnose 1500 MTU innerhalb von 1500 MTU außerhalb 1500 Kein Failover Kein Servicemodul für Überwachungsschnittstelle icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:fb6f5c369dee730b9125650517dbb059 :end Feuerkraft# |
show running-config auf der sekundären Einheit vor und nach der HA-Unterbrechung, wie in der Tabelle hier gezeigt.
Vor der HA-Trennung |
Nach der HA-Trennung |
firepower# sh run : Gespeichert : : Seriennummer: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 Beschreibung LAN/STATE Failover Interface ! Schnittstelle Ethernet1/5 nameif Inside Sicherheitsstufe 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! Schnittstelle Ethernet1/6 nameEIF Außenbereich Sicherheitsstufe 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung Standby Protokollierung Puffergröße 100000 Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 mtu Diagnose 1500 MTU innerhalb von 1500 MTU außerhalb 1500 Failover sekundäre Failover-LAN-Einheit Failover-LAN-Schnittstelle fover_link Ethernet1/4 Failover-Replikation http Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222 Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444 Failover-Verbindung fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:e648f92dd7ef47ee611f2aaa5c6cbd84 :end Feuerkraft# |
firepower# sh run : Gespeichert : : Seriennummer: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! Schnittstelle Ethernet1/5 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! Schnittstelle Ethernet1/6 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Keine Protokollierungsmeldung 106015 Keine Protokollierungsmeldung 313001 Keine Protokollierungsmeldung 313008 Keine Protokollierungsmeldung 106023 Keine Protokollierungsmeldung 710003 Keine Protokollierungsmeldung 106100 Keine Protokollierungsmeldung 302015 Keine Protokollierungsmeldung 302014 Keine Protokollierungsmeldung 302013 Keine Protokollierungsmeldung 302018 Keine Protokollierungsmeldung 302017 Keine Protokollierungsmeldung 302016 Keine Protokollierungsmeldung 302021 Keine Protokollierungsmeldung 302020 mtu Diagnose 1500 Kein Failover Kein Servicemodul für Überwachungsschnittstelle icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:08ed87194e9f5cd9149fab3c0e9cefc3 :end Feuerkraft# |
Wichtigste Punkte zur HA-Trennung:
Primäre Einheit |
Sekundäre Einheit |
Alle Failover-Konfigurationen werden entfernt. Standby-IP-Adressen bleiben erhalten. |
Alle Konfigurationen werden entfernt. |
Schritt 5: Nachdem Sie diese Aufgabe abgeschlossen haben, erstellen Sie das HA-Paar neu.
Voraussetzung für diese Aufgabe:
Deaktivieren Sie das Failover-Paar über das FMC.
Lösung:
Schritt 1: Wählen Sie das Symbol aus, wie es im Bild angezeigt wird.
Schritt 2: Überprüfen Sie die Benachrichtigung, und bestätigen Sie sie, wie in der Abbildung dargestellt.
Schritt 3: Nachdem Sie die HA gelöscht haben, wird die Registrierung beider Geräte beim FMC aufgehoben (d. h. die Geräte werden aus dem FMC entfernt).
Das Ergebnis von show running-config von der LINA-CLI sieht aus wie in dieser Tabelle dargestellt:
Primäre Einheit |
Sekundäre Einheit |
firepower# sh run : Gespeichert : : Seriennummer: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 Beschreibung LAN/STATE Failover Interface ! Schnittstelle Ethernet1/5 nameif Inside Sicherheitsstufe 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! Schnittstelle Ethernet1/6 nameEIF Außenbereich Sicherheitsstufe 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung Standby Protokollierung Puffergröße 100000 Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 mtu Diagnose 1500 MTU innerhalb von 1500 MTU außerhalb 1500 Failover Failover LAN Einheit Primär Failover-LAN-Schnittstelle fover_link Ethernet1/4 Failover-Replikation http Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222 Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444 Failover-Verbindung fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:933c594fc0264082edc0f24bad358031 :end Feuerkraft# |
firepower# sh run : Gespeichert : : Seriennummer: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne) : NGFW-Version 10.10.1.1 ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ! Schnittstelle Ethernet1/2 nur Management Nameif-Diagnose Sicherheitsstufe 0 Keine IP-Adresse ! Schnittstelle Ethernet1/4 Beschreibung LAN/STATE Failover Interface ! Schnittstelle Ethernet1/5 nameif Inside Sicherheitsstufe 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! Schnittstelle Ethernet1/6 nameEIF Außenbereich Sicherheitsstufe 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung Standby Protokollierung Puffergröße 100000 Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 mtu Diagnose 1500 MTU innerhalb von 1500 MTU außerhalb 1500 Failover sekundäre Failover-LAN-Einheit Failover-LAN-Schnittstelle fover_link Ethernet1/4 Failover-Replikation http Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222 Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444 Failover-Verbindung fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable Durchsatzratenlimit 1 -Größe 1 Keine Aktivierung des ASDM-Verlaufs ARP-Timeout 14400 keine ARP-Verbindung zugelassen Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit deaktivieren kein SNMP-Serverstandort kein snmp-server-kontakt no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 ssh stricthostkeycheck SSH-Timeout 5 ssh key-exchange group dh-group1-sha1 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:e648f92dd7ef47ee611f2aaa5c6cbd84 :end Feuerkraft# |
Schritt 4: Die Registrierung beider Geräte beim FMC wurde aufgehoben:
> show managers No managers configured.
Die wichtigsten zu beachtenden Punkte für die Option zum Deaktivieren von HA im FMC:
Primäre Einheit |
Sekundäre Einheit |
Das Gerät wird aus dem FMC entfernt. Es wird keine Konfiguration aus dem FTD-Gerät entfernt. |
Das Gerät wird aus dem FMC entfernt. Es wird keine Konfiguration aus dem FTD-Gerät entfernt. |
Schritt 5: Führen Sie diesen Befehl aus, um die Failover-Konfiguration von den FTD-Geräten zu entfernen:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
Hinweis: Sie müssen den Befehl auf beiden Geräten ausführen.
Ergebnis:
Primäre Einheit |
Sekundäre Einheit |
> show failover Failover Off |
> show failover > |
Primary |
Sekundär |
firepower# show run ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ARP-Timeout 14400 keine ARP-Verbindung zugelassen ARP-Ratengrenze 16384 ! interface GigabitEthernet1/1 nameif extern CTS-Handbuch Weitergeben sgt serve untag Richtlinie statisches sgt deaktiviert Vertrauenswürdig Sicherheitsstufe 0 ip address 10.1.1.1 255.255.255.0 <— standby IP was remove ! interface GigabitEthernet1/2 nameif inside CTS-Handbuch Weitergeben sgt serve untag Richtlinie statisches sgt deaktiviert Vertrauenswürdig Sicherheitsstufe 0 ip address 192.168.1.1 255.255.255.0 <— standby IP was remove ! interface GigabitEthernet1/3 Beschreibung LAN Failover Interface ! interface GigabitEthernet1/4 Beschreibung STATE Failover Interface ! interface GigabitEthernet1/5 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/6 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/7 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/8 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! Schnittstellenmanagement1/1 nur Management Nameif-Diagnose CTS-Handbuch Weitergeben sgt serve untag Richtlinie statisches sgt deaktiviert Vertrauenswürdig Sicherheitsstufe 0 Keine IP-Adresse ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268435456: ZUGRIFFSRICHTLINIE: FTD_HA - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 18 allow tcp-options range 20 255 allow tcp-options md5 Löschen Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 Keine Protokollierungsmeldung 106015 Keine Protokollierungsmeldung 313001 Keine Protokollierungsmeldung 313008 Keine Protokollierungsmeldung 106023 Keine Protokollierungsmeldung 710005 Keine Protokollierungsmeldung 710003 Keine Protokollierungsmeldung 106100 Keine Protokollierungsmeldung 302015 Keine Protokollierungsmeldung 302014 Keine Protokollierungsmeldung 302013 Keine Protokollierungsmeldung 302018 Keine Protokollierungsmeldung 302017 Keine Protokollierungsmeldung 302016 Keine Protokollierungsmeldung 302021 Keine Protokollierungsmeldung 302020 MTU außerhalb von 1500 mtu innerhalb von 1500 mtu Diagnose 1500 Kein Failover icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs Zugriffsgruppe CSM_FW_ACL_ global 00 Community ***** Version 2c kein SNMP-Serverstandort kein snmp-server-kontakt snmp-server community ***** Service-SW-Reset-Taste crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 keine TCP-Inspektion policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen ESMTP überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme: 768a03e90b9d3539773b9d7af66b3452 |
firepower# show run ! Hostname-Firewall enable password 8Ry2YjIyt7RRXU24 verschlüsselt Namen ARP-Timeout 14400 keine ARP-Verbindung zugelassen ARP-Ratengrenze 16384 ! interface GigabitEthernet1/1 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/2 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/3 Beschreibung LAN Failover Interface ! interface GigabitEthernet1/4 Beschreibung STATE Failover Interface ! interface GigabitEthernet1/5 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/6 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/7 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! interface GigabitEthernet1/8 herunterfahren kein NameEIF keine Sicherheitsstufe Keine IP-Adresse ! Schnittstellenmanagement1/1 nur Management Nameif-Diagnose CTS-Handbuch Weitergeben sgt serve untag Richtlinie statisches sgt deaktiviert Vertrauenswürdig Sicherheitsstufe 0 Keine IP-Adresse ! FTP-Modus passiv ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268435456: ZUGRIFFSRICHTLINIE: FTD_HA - Standard/1 access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACL RULE access-list CSM_FW_ACL_ advanced permit ip any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 18 allow tcp-options range 20 255 allow tcp-options md5 Löschen Zulassung unter einer Eilflagge ! Kein Pager Protokollierung aktivieren Protokollierungszeitstempel Protokollierung gepuffertes Debugging Protokollierung flash-minimum-free 1024 Protokollierung flash-maximum-allocation 3076 Keine Protokollierungsmeldung 106015 Keine Protokollierungsmeldung 313001 Keine Protokollierungsmeldung 313008 Keine Protokollierungsmeldung 106023 Keine Protokollierungsmeldung 710005 Keine Protokollierungsmeldung 710003 Keine Protokollierungsmeldung 106100 Keine Protokollierungsmeldung 302015 Keine Protokollierungsmeldung 302014 Keine Protokollierungsmeldung 302013 Keine Protokollierungsmeldung 302018 Keine Protokollierungsmeldung 302017 Keine Protokollierungsmeldung 302016 Keine Protokollierungsmeldung 302021 Keine Protokollierungsmeldung 302020 MTU außerhalb von 1500 mtu innerhalb von 1500 mtu Diagnose 1500 Kein Failover sekundäre Failover-LAN-Einheit Failover LAN-Schnittstelle FOVER GigabitEthernet1/3 Failover-Replikation http Failover-Verbindung STATE GigabitEthernet1/4 failover interface ip FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2 failover interface ip STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2 icmp unreachable rate-limit 1 burst-size 1 Keine Aktivierung des ASDM-Verlaufs Zugriffsgruppe CSM_FW_ACL_ global Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 Timeout Conn-Holddown 0:00:15 user-identity default-domain LOCAL aaa proxy-limit deaktivieren snmp-server host outside 192.168.1.100 community ***** version 2c kein SNMP-Serverstandort kein snmp-server-kontakt snmp-server community ***** Service-SW-Reset-Taste crypto ipsec Sicherheitszuordnung pmtu-aging unendlich crypto ca trustpool-Richtlinie Telnet-Timeout 5 Konsolentimeout 0 Dynamic-Access-Policy-Record DfltAccessPolicy ! class-map inspection_default Übereinstimmung mit Standard-Prüfdatenverkehr ! ! policy-map type inspect dns pre_dns_map Parameter Maximale Client-Auto-Länge für Nachrichten Nachrichtenlänge max. 512 keine TCP-Inspektion policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP Parameter öko-Aktion erlauben NOP-Aktion zulassen Router-Warnaktion zulassen Richtlinienzuordnung global_policy Klassenprüfung_default inspect dns pre_dns_map FTP überprüfen h323 h225 prüfen h323 ras überprüfen Inspektionsrausch rtsp überprüfen ESMTP überprüfen SQLnet überprüfen dünn inspizieren inspizieren sunrpc inspect xdmcp Schluck inspizieren Netbios inspizieren inspizieren tftp ICMP überprüfen ICMP-Fehler überprüfen inspizieren dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP ! service-policy global Hostname-Kontext der Eingabeaufforderung Call-Home Profil CiscoTAC-1 nicht aktiv Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService E-Mail-Adresse des Empfängers callhome@cisco.com Ziel-Transportmethode http subscribe-to-alert-group-Diagnose Umgebung für Abonnenten-Warnungs-Gruppen Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich Telemetrie von Abonnenten zu Warngruppen, täglich Kryptoprüfsumme:ac9b8f401e18491fee653f4cfe0ce18f |
Die wichtigsten zu beachtenden Punkte für die Option zum Deaktivieren von HA über die FTD-CLI:
Primäre Einheit |
Sekundäre Einheit |
Failover-Konfiguration und Standby-IPs sind Zeitüberschreitung xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 Timeout Conn-Holddown 0:00:15 aaa proxy-limit deaktivieren snmp-server host outside 192.168.1.1 entfernt. |
|
Schritt 6: Nachdem Sie die Aufgabe abgeschlossen haben, registrieren Sie die Geräte beim FMC, und aktivieren Sie das HA-Paar.
Voraussetzung für diese Aufgabe:
Setzen Sie HA über die FTD-CLISH-CLI aus.
Lösung:
Schritt 1: Führen Sie auf dem primären FTD den Befehl aus, und bestätigen Sie (geben Sie YES (Ja) ein).
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Schritt 2: Überprüfen Sie die Änderungen an der primären Einheit:
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Schritt 3: Ergebnis auf der sekundären Einheit:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Schritt 4: Setzen Sie HA auf der primären Einheit fort:
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Schritt 5: Ergebnis auf der sekundären Einheit, nachdem Sie HA fortgesetzt haben:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
Wenn die Konfiguration repliziert wird, wird sie sofort (zeilenweise) oder am Ende der Replikation gespeichert?
Am Ende der Replikation. Der Nachweis ist am Ende der Ausgabe des Befehls debug fover sync zu finden, der die Konfigurations-/Befehlsreplikation zeigt:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
Was passiert, wenn sich eine Einheit im Pseudo-Standby-Status befindet (Failover deaktiviert) und Sie sie dann neu laden, während die andere Einheit Failover aktiviert hat und aktiv ist?
Sie landen in einem Aktiv/Aktiv-Szenario (obwohl es sich technisch gesehen um ein Aktiv/Failover-Aus handelt). Genau genommen wird Failover deaktiviert, sobald die Einheit in Betrieb genommen wird, aber die Einheit verwendet die gleichen IPs wie das aktive Gerät. Effektiv bedeutet dies:
Was passiert mit der Failover-Konfiguration, wenn Sie den Failover manuell deaktivieren (Hochverfügbarkeits-Suspend konfigurieren) und dann das Gerät neu laden?
Wenn Sie den Failover deaktivieren, handelt es sich nicht um eine permanente Änderung (wird nicht in der Startkonfiguration gespeichert, es sei denn, Sie möchten dies ausdrücklich tun). Sie können das Gerät auf zwei verschiedene Arten neu starten/neu laden, und mit der zweiten Methode müssen Sie vorsichtig sein:
Fall 1: Neustart über CLISH
Beim Neustart über CLISH wird keine Bestätigung verlangt. Daher wird die Konfigurationsänderung nicht in der Startkonfiguration gespeichert:
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Bei der aktuellen Konfiguration ist der Failover deaktiviert. In diesem Fall war das Gerät Standby und wechselte erwartungsgemäß in den Pseudo-Standby-Status, um ein Active/Active-Szenario zu vermeiden:
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Für die Startkonfiguration ist Failover weiterhin aktiviert:
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Starten Sie das Gerät über CLISH neu (Befehl reboot):
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
Sobald die Einheit hochgefahren ist, wechselt sie in die Failover-Aushandlungsphase, da Failover aktiviert ist, und versucht, den Remote-Peer zu erkennen:
User enable_1 logged in to firepower Logins over the last 1 days: 1. Failed logins since the last login: 0. Type help or '?' for a list of available commands. firepower> . Detected an Active mate
Fall 2: Neustart über LINA-CLI
Beim Neustart über LINA (Befehl reload) wird eine Bestätigung angefordert. Falls Sie also Y (Yes) auswählen, wird die Konfigurationsänderung in der Startkonfiguration gespeichert:
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Sobald die Einheit hochgefahren ist, wird Failover deaktiviert:
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Hinweis: Um dieses Szenario zu vermeiden, stellen Sie sicher, dass Sie die Änderungen nicht in der Startkonfiguration speichern, wenn Sie dazu aufgefordert werden.
Navigieren in der Cisco Secure Firewall Threat Defense-Dokumentation
Navigieren in der Cisco Firepower 4100/9300 FXOS-Dokumentation
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
3.0 |
07-Aug-2023 |
Aktualisierte Suchmaschinenoptimierung, Stilanforderungen und Formatierung. |
2.0 |
04-Aug-2022 |
Artikel aktualisiert für Formatierung, Stilanforderungen, maschinelle Übersetzung, Gerunds und Grammatik. |
1.0 |
29-Sep-2021 |
Erstveröffentlichung |