Konfigurieren von FTD-Hochverfügbarkeit auf Firepower-Appliances

Aktualisiert:7. August 2023
Dokument-ID:212699

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie Firepower Threat Defense (FTD) Hochverfügbarkeit (HA) (Aktiv/Standby-Failover) auf der FPR9300 konfigurieren und verifizieren.

    Voraussetzungen

    Anforderungen

    Es gibt keine spezifischen Anforderungen für dieses Dokument.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • 2x Cisco Firepower 9300 Security Appliance – FXOS-SW 2.0(1.23)
    • FTD-Version 10.10.1.1 (Build 1023)
    • Firepower Management Center (FMC) – SW 10.10.1.1 (Build 1023)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hinweis: Auf einer FPR9300-Appliance mit FTD können Sie nur Interchassis-HA konfigurieren. Die beiden Einheiten in einer HA-Konfiguration müssen die hier genannten Bedingungen erfüllen.

    Aufgabe 1: Überprüfen der Bedingungen

    Voraussetzung für diese Aufgabe:

    Überprüfen Sie, ob beide FTD-Einheiten die Anforderungen für die Notizen erfüllen und als HA-Einheiten konfiguriert werden können.

    Lösung:

    Schritt 1: Stellen Sie eine Verbindung zur Management-IP des FPR9300 her, und überprüfen Sie die Modulhardware.

    Überprüfen Sie die Hardware des FPR9300-1.

    KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

    Überprüfen Sie die Hardware des FPR9300-2.

    KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

    Schritt 2: Melden Sie sich beim Chassis Manager des FPR9300-1 an, und navigieren Sie zu „Logical Devices“ (Logische Geräte).

    Überprüfen Sie die Softwareversion, die Anzahl und den Schnittstellentyp, wie in den Images gezeigt.

    FPR9300-1

    FTD High Availability on Firepower - 9300-1 Logical Devices - Software Version, Number and Type of Interfaces

    FPR9300-2

    FTD High Availability on Firepower - 9300-2 Logical Devices - Software Version, Number and Type of Interfaces

    Aufgabe 2: Konfigurieren von FTD HA auf FPR9300

    Voraussetzung für diese Aufgabe:

    Konfigurieren Sie das Aktiv/Standby-Failover (HA) gemäß diesem Diagramm.

    FTD High Availability on Firepower - FTD HA on FPR9300 Topology

    Lösung:

    Beide FTD-Geräte sind bereits beim FMC registriert, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - FTD Devices Registered on the FMC

    Schritt 1: Um FTD-Failover zu konfigurieren, navigieren Sie zu Devices (Geräte) > Device Management (Gerätemanagement) und wählen Add High Availability (Hochverfügbarkeit hinzufügen), wie im Bild dargestellt.

    FTD High Availability on Firepower - Configure FTD Failover

    Schritt 2: Geben Sie den primären Peer und den sekundären Peer ein, und wählen Sie Weiter aus, wie im Bild dargestellt.

    FTD High Availability on Firepower - Add High Availability Pair

    Warnung: Wählen Sie die richtige Einheit als primäre Einheit aus. Alle Konfigurationen auf der ausgewählten primären Einheit werden auf die ausgewählte sekundäre FTD-Einheit repliziert. Durch die Replikation kann die aktuelle Konfiguration auf der sekundären Einheit ersetzt werden.

    Bedingungen

    Um HA zwischen zwei FTD-Geräten zu erzielen, müssen folgende Bedingungen erfüllt sein:

    • Gleiches Modell
    • Gleiche Version - dies gilt für FXOS und FTD - Major (erste Zahl), Minor (zweite Zahl) und Wartung (dritte Zahl) müssen gleich sein.
    • Gleiche Anzahl von Schnittstellen
    • Gleiche Art von Schnittstellen
    • Beide Geräte gehören zur gleichen Gruppe/Domäne in FMC.
    • Identische NTP-Konfiguration (Network Time Protocol)
    • Vollständige Bereitstellung auf dem FMC ohne unbestätigte Änderungen
    • befinden sich im gleichen Firewall-Modus: geroutet oder transparent.
    note-icon

    Hinweis: Dies muss sowohl auf FTD-Geräten als auch auf der FMC-GUI überprüft werden, da es Fälle gegeben hat, in denen die FTDs den gleichen Modus hatten, aber FMC spiegelt dies nicht wider.

    • Auf keiner der Schnittstellen ist DHCP/Point-to-Point Protocol over Ethernet (PPPoE) konfiguriert.
    • Anderer Hostname [Fully Qualified Domain Name (FQDN)] für beide Chassis. Um den Chassis-Hostnamen zu überprüfen, navigieren Sie zu FTD CLI, und führen Sie den folgenden Befehl aus:
    firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

    Hinweis: In Post-6.3 FTD verwenden Sie den Befehl show chassis detail (Chassis-Details anzeigen).

    firepower# show chassis detail
Chassis URL              : https://KSEC-FPR4100-1:443//
Chassis IP               : 192.0.2.1
Chassis Serial Number    : JMX12345678
Security Module          : 1

    Wenn beide Chassis denselben Namen haben, ändern Sie den Namen eines Chassis mit den folgenden Befehlen:

    KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

    Nachdem Sie den Chassis-Namen geändert haben, heben Sie die Registrierung von FTD beim FMC auf, und registrieren Sie es erneut. Fahren Sie dann mit der Erstellung des HA-Paars fort.

    Schritt 3: Konfigurieren Sie HA, und geben Sie die Link-Einstellungen an.

    In Ihrem Fall hat der Status-Link die gleichen Einstellungen wie der HA-Link.

    Wählen Sie Add (Hinzufügen) aus, und warten Sie einige Minuten, bis das HA-Paar wie im Image dargestellt bereitgestellt wird.

    FTD High Availability on Firepower - Add High Availability Link, State Link, and IPsec Encryption

    Schritt 4: Konfigurieren der Datenschnittstellen (primäre und Standby-IP-Adressen)

    Wählen Sie aus der FMC-GUI die Option HA Edit wie im Bild dargestellt aus.

    FTD High Availability on Firepower - Choose FTD to Edit

    Schritt 5: Konfigurieren Sie die Schnittstelleneinstellungen wie in den Abbildungen dargestellt.

    Ethernet-Schnittstelle 1/5:

    FTD High Availability on Firepower - Edit Physical Interface - Ethernet 1/5

    Ethernet-Schnittstelle 1/6:

    FTD High Availability on Firepower - Edit Physical Interface - Ethernet 1/6

    Schritt 6: Navigieren Sie zu High Availability, und wählen Sie Interface Name Edit aus, um die Standby-IP-Adressen wie im Bild dargestellt hinzuzufügen.

    FTD High Availability on Firepower - Edit Standby IP Addresses

    Schritt 7. Für die interne Schnittstelle siehe Abbildung.

    FTD High Availability on Firepower - Edit Standby IP Address - Inside Interface

    Schritt 8: Wiederholen Sie den Vorgang für die externe Schnittstelle.

    Schritt 9. Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Monitored Interfaces Showing Standby IP Addresses

    Schritt 10. Bleiben Sie auf der Registerkarte für hohe Verfügbarkeit, und konfigurieren Sie virtuelle MAC-Adressen wie im Bild dargestellt.

    FTD High Availability on Firepower - Configure Virtual MAC Addresses

    Schritt 11. Für die interne Schnittstelle siehe Abbildung.

    FTD High Availability on Firepower - Add Interface MAC Address

    Schritt 12: Wiederholen Sie den Vorgang für die externe Schnittstelle.

    Schritt 13: Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Interface MAC Addresses Verification

    Schritt 14: Nachdem Sie die Änderungen konfiguriert haben, wählen Sie Speichern und bereitstellen.

    Aufgabe 3: Überprüfen von FTD HA und Lizenz

    Voraussetzung für diese Aufgabe:

    Überprüfen Sie die FTD HA-Einstellungen und die aktivierten Lizenzen über die FMC-GUI und die FTD-CLI.

    Lösung:

    Schritt 1: Navigieren Sie zu Summary (Zusammenfassung), und überprüfen Sie die HA-Einstellungen und aktivierten Lizenzen, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Verify High Availability Settings and Enabled Licenses

    Schritt 2: Führen Sie in der FTD-CLISH-CLI die folgenden Befehle aus:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(1), Mate 9.6(1)
Serial Number: Ours FLM19267A63, Mate FLM19206H7T
Last Failover at: 18:32:38 EEST Jul 21 2016
	This host: Primary - Active
		Active time: 3505 (sec)
		slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
		  Interface diagnostic (0.0.0.0): Normal (Waiting)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Standby Ready
		Active time: 172 (sec)
		slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
		  Interface diagnostic (0.0.0.0): Normal (Waiting)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
	Link : fover_link Ethernet1/4 (up)
	Stateful Obj 	xmit       xerr       rcv        rerr
	General		417        0          416        0
	sys cmd  	416        0          416        0
	up time  	0          0          0          0
	RPC services  	0          0          0          0
	TCP conn 	0          0          0          0
	UDP conn 	0          0          0          0
	ARP tbl  	0          0          0          0
	Xlate_Timeout  	0          0          0          0
	IPv6 ND tbl  	0          0          0          0
	VPN IKEv1 SA 	0          0          0          0
	VPN IKEv1 P2 	0          0          0          0
	VPN IKEv2 SA 	0          0          0          0
	VPN IKEv2 P2 	0          0          0          0
	VPN CTCP upd 	0          0          0          0
	VPN SDI upd 	0          0          0          0
	VPN DHCP upd 	0          0          0          0
	SIP Session 	0          0          0          0
	SIP Tx 	0          0          0          0
	SIP Pinhole 	0          0          0          0
	Route Session 	0          0          0          0
	Router ID 	0          0          0          0
	User-Identity 	1          0          0          0
	CTS SGTNAME 	0          0          0          0
	CTS PAC 	0          0          0          0
	TrustSec-SXP 	0          0          0          0
	IPv6 Route 	0          0          0          0
	STS Table 	0          0          0          0

	Logical Update Queue Information
	 	 	Cur 	Max 	Total
	Recv Q: 	0 	10 	416
	Xmit Q: 	0 	11 	2118

>

    Schritt 3: Wiederholen Sie den Vorgang für das sekundäre Gerät.

    Schritt 4: Führen Sie den Befehl show failover state über die LINA-CLI aus:

    firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

    Schritt 5: Überprüfen Sie die Konfiguration über die primäre Einheit (LINA-CLI):

    firepower# show running-config failover
failover
failover lan unit primary
failover lan interface fover_link Ethernet1/4
failover replication http
failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link fover_link Ethernet1/4
failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2
firepower#

firepower# show running-config interface
!
interface Ethernet1/2
 management-only
 nameif diagnostic
 security-level 0
 no ip address
!
interface Ethernet1/4
 description LAN/STATE Failover Interface
!
interface Ethernet1/5
 nameif Inside
 security-level 0
 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
interface Ethernet1/6
 nameif Outside
 security-level 0
 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
firepower#

    Aufgabe 4: Ändern der Failover-Rollen

    Voraussetzung für diese Aufgabe:

    Ändern Sie vom FMC aus die Failover-Rollen von „Primär/Aktiv“ und „Sekundär/Standby“ in „Primär/Standby“ und „Sekundär/Aktiv“.

    Lösung:

    Schritt 1: Wählen Sie das Symbol wie in der Abbildung dargestellt aus.

    FTD High Availability on Firepower - Switch Failover Roles

    Schritt 2: Bestätigen Sie die Aktion im Popup-Fenster, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Switch Failover Roles Confirmation

    Schritt 3: Überprüfen Sie das Ergebnis, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Switch Failover Roles Verification

    Über die LINA-CLI können Sie sehen, dass der Befehl no failover active auf der primären/aktiven Einheit ausgeführt wurde:

    Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.
Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'

    Sie können dies auch in der Befehlsausgabe von show failover history überprüfen:

    firepower# show failover history
==========================================================================
From State                 To State                   Reason
10:39:26 EEST Jul 22 2016
Active                     Standby Ready              Set by the config command

    Schritt 4: Erklären Sie nach der Überprüfung die primäre Einheit wieder zur aktiven Einheit.

    Aufgabe 5: Trennen des HA-Paars

    Voraussetzung für diese Aufgabe:

    Trennen Sie das Failover-Paar über das FMC.

    Lösung:

    Schritt 1: Wählen Sie das Symbol wie in der Abbildung dargestellt aus.

    FTD High Availability on Firepower - Break the Failover Pair

    Schritt 2: Überprüfen Sie die Benachrichtigung, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Break the Failover Pair Confirmation

    Schritt 3: Beachten Sie die Meldung, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Break the Failover Pair Message

    Schritt 4: Überprüfen Sie das Ergebnis über die FMC-GUI, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Break the Failover Pair Verification

    show running-config auf der primären Einheit vor und nach der HA-Trennung:

    Vor der HA-Trennung

    Nach der HA-Trennung

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    Beschreibung LAN/STATE Failover Interface

    !

    Schnittstelle Ethernet1/5

    nameif Inside

    Sicherheitsstufe 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    Schnittstelle Ethernet1/6

    nameEIF Außenbereich

    Sicherheitsstufe 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung Standby

    Protokollierung Puffergröße 100000

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    mtu Diagnose 1500

    MTU innerhalb von 1500

    MTU außerhalb 1500

    Failover

    Failover LAN Einheit Primär

    Failover-LAN-Schnittstelle fover_link Ethernet1/4

    Failover-Replikation http

    Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222

    Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444

    Failover-Verbindung fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:933c594fc0264082edc0f24bad358031

    :end

    Feuerkraft#

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    kein NameEIF

    keine Sicherheitsstufe

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/5

    nameif Inside

    Sicherheitsstufe 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    Schnittstelle Ethernet1/6

    nameEIF Außenbereich

    Sicherheitsstufe 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung Standby

    Protokollierung Puffergröße 100000

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    mtu Diagnose 1500

    MTU innerhalb von 1500

    MTU außerhalb 1500

    Kein Failover

    Kein Servicemodul für Überwachungsschnittstelle

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:fb6f5c369dee730b9125650517dbb059

    :end

    Feuerkraft#

    show running-config auf der sekundären Einheit vor und nach der HA-Unterbrechung, wie in der Tabelle hier gezeigt.

    Vor der HA-Trennung

    Nach der HA-Trennung

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    Beschreibung LAN/STATE Failover Interface

    !

    Schnittstelle Ethernet1/5

    nameif Inside

    Sicherheitsstufe 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    Schnittstelle Ethernet1/6

    nameEIF Außenbereich

    Sicherheitsstufe 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung Standby

    Protokollierung Puffergröße 100000

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    mtu Diagnose 1500

    MTU innerhalb von 1500

    MTU außerhalb 1500

    Failover

    sekundäre Failover-LAN-Einheit

    Failover-LAN-Schnittstelle fover_link Ethernet1/4

    Failover-Replikation http

    Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222

    Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444

    Failover-Verbindung fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    user-identity default-domain LOCAL

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:e648f92dd7ef47ee611f2aaa5c6cbd84

    :end

    Feuerkraft#

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    herunterfahren

    kein NameEIF

    keine Sicherheitsstufe

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/5

    herunterfahren

    kein NameEIF

    keine Sicherheitsstufe

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/6

    herunterfahren

    kein NameEIF

    keine Sicherheitsstufe

    Keine IP-Adresse

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Keine Protokollierungsmeldung 106015

    Keine Protokollierungsmeldung 313001

    Keine Protokollierungsmeldung 313008

    Keine Protokollierungsmeldung 106023

    Keine Protokollierungsmeldung 710003

    Keine Protokollierungsmeldung 106100

    Keine Protokollierungsmeldung 302015

    Keine Protokollierungsmeldung 302014

    Keine Protokollierungsmeldung 302013

    Keine Protokollierungsmeldung 302018

    Keine Protokollierungsmeldung 302017

    Keine Protokollierungsmeldung 302016

    Keine Protokollierungsmeldung 302021

    Keine Protokollierungsmeldung 302020

    mtu Diagnose 1500

    Kein Failover

    Kein Servicemodul für Überwachungsschnittstelle

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:08ed87194e9f5cd9149fab3c0e9cefc3

    :end

    Feuerkraft#

    Wichtigste Punkte zur HA-Trennung:

    Primäre Einheit

    Sekundäre Einheit

    Alle Failover-Konfigurationen werden entfernt.

    Standby-IP-Adressen bleiben erhalten.

    Alle Konfigurationen werden entfernt.

    Schritt 5: Nachdem Sie diese Aufgabe abgeschlossen haben, erstellen Sie das HA-Paar neu.

    Aufgabe 6: Deaktivieren des HA-Paars

    Voraussetzung für diese Aufgabe:

    Deaktivieren Sie das Failover-Paar über das FMC.

    Lösung:

    Schritt 1: Wählen Sie das Symbol aus, wie es im Bild angezeigt wird.

    FTD High Availability on Firepower - Disable the Failover Pair

    Schritt 2: Überprüfen Sie die Benachrichtigung, und bestätigen Sie sie, wie in der Abbildung dargestellt.

    FTD High Availability on Firepower - Disable the Failover Pair Confirmation

    Schritt 3: Nachdem Sie die HA gelöscht haben, wird die Registrierung beider Geräte beim FMC aufgehoben (d. h. die Geräte werden aus dem FMC entfernt).

    Das Ergebnis von show running-config von der LINA-CLI sieht aus wie in dieser Tabelle dargestellt:

    Primäre Einheit

    Sekundäre Einheit

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    Beschreibung LAN/STATE Failover Interface

    !

    Schnittstelle Ethernet1/5

    nameif Inside

    Sicherheitsstufe 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    Schnittstelle Ethernet1/6

    nameEIF Außenbereich

    Sicherheitsstufe 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung Standby

    Protokollierung Puffergröße 100000

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    mtu Diagnose 1500

    MTU innerhalb von 1500

    MTU außerhalb 1500

    Failover

    Failover LAN Einheit Primär

    Failover-LAN-Schnittstelle fover_link Ethernet1/4

    Failover-Replikation http

    Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222

    Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444

    Failover-Verbindung fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:933c594fc0264082edc0f24bad358031

    :end

    Feuerkraft#

    firepower# sh run

    : Gespeichert

    :

    : Seriennummer: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB RAM, CPU Xeon E5-Serie 2294 MHz, 2 CPUs (72 Kerne)

    :

    NGFW-Version 10.10.1.1

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    !

    Schnittstelle Ethernet1/2

    nur Management

    Nameif-Diagnose

    Sicherheitsstufe 0

    Keine IP-Adresse

    !

    Schnittstelle Ethernet1/4

    Beschreibung LAN/STATE Failover Interface

    !

    Schnittstelle Ethernet1/5

    nameif Inside

    Sicherheitsstufe 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    Schnittstelle Ethernet1/6

    nameEIF Außenbereich

    Sicherheitsstufe 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: ZUGRIFFSRICHTLINIE: FTD9300 - Erforderlich/1

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_advanced permit icmp any rule-id 268447744 event-log, beide

    access-list CSM_FW_ACL_remark-Regel-ID 268441600: ZUGRIFFSRICHTLINIE: FTD9300 - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung Standby

    Protokollierung Puffergröße 100000

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    mtu Diagnose 1500

    MTU innerhalb von 1500

    MTU außerhalb 1500

    Failover

    sekundäre Failover-LAN-Einheit

    Failover-LAN-Schnittstelle fover_link Ethernet1/4

    Failover-Replikation http

    Failover-MAC-Adresse Ethernet1/5 aaaa.bbb.1111 aaaa.bbb.2222

    Failover-MAC-Adresse Ethernet1/6 aaaa.bbb.333 aaaa.bbb.4444

    Failover-Verbindung fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable Durchsatzratenlimit 1 -Größe 1

    Keine Aktivierung des ASDM-Verlaufs

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    user-identity default-domain LOCAL

    aaa proxy-limit deaktivieren

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    ssh stricthostkeycheck

    SSH-Timeout 5

    ssh key-exchange group dh-group1-sha1

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

    Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

    Parameter

    Maximale Client-Auto-Länge für Nachrichten

    Nachrichtenlänge max. 512

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    Parameter

    öko-Aktion erlauben

    NOP-Aktion zulassen

    Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

    Klassenprüfung_default

    inspect dns pre_dns_map

    FTP überprüfen

    h323 h225 prüfen

    h323 ras überprüfen

    Inspektionsrausch

    rtsp überprüfen

    SQLnet überprüfen

    dünn inspizieren

    inspizieren sunrpc

    inspect xdmcp

    Schluck inspizieren

    Netbios inspizieren

    inspizieren tftp

    ICMP überprüfen

    ICMP-Fehler überprüfen

    inspizieren dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

    Profil CiscoTAC-1

    nicht aktiv

    Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

    Ziel-Transportmethode http

    subscribe-to-alert-group-Diagnose

    Umgebung für Abonnenten-Warnungs-Gruppen

    Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

    Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

    Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:e648f92dd7ef47ee611f2aaa5c6cbd84

    :end

    Feuerkraft#

    Schritt 4: Die Registrierung beider Geräte beim FMC wurde aufgehoben:

    > show managers
No managers configured.

    Die wichtigsten zu beachtenden Punkte für die Option zum Deaktivieren von HA im FMC:

    Primäre Einheit

    Sekundäre Einheit

    Das Gerät wird aus dem FMC entfernt.

    Es wird keine Konfiguration aus dem FTD-Gerät entfernt.

    Das Gerät wird aus dem FMC entfernt.

    Es wird keine Konfiguration aus dem FTD-Gerät entfernt.

    Schritt 5: Führen Sie diesen Befehl aus, um die Failover-Konfiguration von den FTD-Geräten zu entfernen:

    > configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

    Hinweis: Sie müssen den Befehl auf beiden Geräten ausführen.

    Ergebnis:

    Primäre Einheit

    Sekundäre Einheit

    > show failover

    Failover Off
    Failover unit Secondary
    Failover LAN Interface: not Configured
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 1041 maximum
    MAC Address Move Notification Interval not set
    >

    > show failover
    Failover Off (pseudo-Standby)
    Failover unit Secondary
    Failover LAN Interface: FOVER Ethernet1/3.205 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 0 of 1041 maximum
    MAC Address Move Notification Interval not set
    failover replication http

    >

    Primary

    Sekundär

    firepower# show run

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    ARP-Ratengrenze 16384

    !

    interface GigabitEthernet1/1

     nameif extern

     CTS-Handbuch

      Weitergeben sgt serve untag

      Richtlinie statisches sgt deaktiviert Vertrauenswürdig

     Sicherheitsstufe 0

     ip address 10.1.1.1 255.255.255.0 <— standby IP was remove

    !

    interface GigabitEthernet1/2

     nameif inside

     CTS-Handbuch

      Weitergeben sgt serve untag

      Richtlinie statisches sgt deaktiviert Vertrauenswürdig

     Sicherheitsstufe 0

     ip address 192.168.1.1 255.255.255.0 <— standby IP was remove

    !

    interface GigabitEthernet1/3

     Beschreibung LAN Failover Interface

    !

    interface GigabitEthernet1/4

     Beschreibung STATE Failover Interface

    !

    interface GigabitEthernet1/5

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/6

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/7

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/8

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    Schnittstellenmanagement1/1

     nur Management

     Nameif-Diagnose

     CTS-Handbuch

      Weitergeben sgt serve untag

      Richtlinie statisches sgt deaktiviert Vertrauenswürdig

     Sicherheitsstufe 0

     Keine IP-Adresse

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy

    access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268435456: ZUGRIFFSRICHTLINIE: FTD_HA - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268435456

    !

    tcp-map UM_STATIC_TCP_MAP

      tcp-options range 6 7 allow

      tcp-options range 9 18 allow

      tcp-options range 20 255 allow

      tcp-options md5 Löschen

      Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    Keine Protokollierungsmeldung 106015

    Keine Protokollierungsmeldung 313001

    Keine Protokollierungsmeldung 313008

    Keine Protokollierungsmeldung 106023

    Keine Protokollierungsmeldung 710005

    Keine Protokollierungsmeldung 710003

    Keine Protokollierungsmeldung 106100

    Keine Protokollierungsmeldung 302015

    Keine Protokollierungsmeldung 302014

    Keine Protokollierungsmeldung 302013

    Keine Protokollierungsmeldung 302018

    Keine Protokollierungsmeldung 302017

    Keine Protokollierungsmeldung 302016

    Keine Protokollierungsmeldung 302021

    Keine Protokollierungsmeldung 302020

    MTU außerhalb von 1500

    mtu innerhalb von 1500

    mtu Diagnose 1500

    Kein Failover

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    Zugriffsgruppe CSM_FW_ACL_ global

    00 Community ***** Version 2c

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    snmp-server community *****

    Service-SW-Reset-Taste

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

     Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

     Parameter

      Maximale Client-Auto-Länge für Nachrichten

      Nachrichtenlänge max. 512

      keine TCP-Inspektion

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     Parameter

      öko-Aktion erlauben

      NOP-Aktion zulassen

      Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

     Klassenprüfung_default

      inspect dns pre_dns_map

      FTP überprüfen

      h323 h225 prüfen

      h323 ras überprüfen

      Inspektionsrausch

      rtsp überprüfen

      ESMTP überprüfen

      SQLnet überprüfen

      dünn inspizieren

      inspizieren sunrpc

      inspect xdmcp

      Schluck inspizieren

    Netbios inspizieren

      inspizieren tftp

      ICMP überprüfen

      ICMP-Fehler überprüfen

      inspizieren dcerpc

      inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     class class-default

      Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

     Profil CiscoTAC-1

      nicht aktiv

      Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

      E-Mail-Adresse des Empfängers callhome@cisco.com

      Ziel-Transportmethode http

      subscribe-to-alert-group-Diagnose

      Umgebung für Abonnenten-Warnungs-Gruppen

      Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

      Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

      Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme: 768a03e90b9d3539773b9d7af66b3452

    firepower# show run

    !

    Hostname-Firewall

    enable password 8Ry2YjIyt7RRXU24 verschlüsselt

    Namen

    ARP-Timeout 14400

    keine ARP-Verbindung zugelassen

    ARP-Ratengrenze 16384

    !

    interface GigabitEthernet1/1

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/2

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/3

     Beschreibung LAN Failover Interface

    !

    interface GigabitEthernet1/4

     Beschreibung STATE Failover Interface

    !

    interface GigabitEthernet1/5

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/6

     herunterfahren

     kein NameEIF

    keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/7

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    interface GigabitEthernet1/8

     herunterfahren

     kein NameEIF

     keine Sicherheitsstufe

     Keine IP-Adresse

    !

    Schnittstellenmanagement1/1

     nur Management

     Nameif-Diagnose

    CTS-Handbuch

      Weitergeben sgt serve untag

      Richtlinie statisches sgt deaktiviert Vertrauenswürdig

     Sicherheitsstufe 0

     Keine IP-Adresse

    !

    FTP-Modus passiv

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy

    access-list CSM_FW_ACL_ remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998

    Zugriffsliste CSM_FW_ACL_ Anmerkung Regel-ID 268435456: ZUGRIFFSRICHTLINIE: FTD_HA - Standard/1

    access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACL RULE

    access-list CSM_FW_ACL_ advanced permit ip any rule-id 268435456

    !

    tcp-map UM_STATIC_TCP_MAP

      tcp-options range 6 7 allow

      tcp-options range 9 18 allow

      tcp-options range 20 255 allow

      tcp-options md5 Löschen

      Zulassung unter einer Eilflagge

    !

    Kein Pager

    Protokollierung aktivieren

    Protokollierungszeitstempel

    Protokollierung gepuffertes Debugging

    Protokollierung flash-minimum-free 1024

    Protokollierung flash-maximum-allocation 3076

    Keine Protokollierungsmeldung 106015

    Keine Protokollierungsmeldung 313001

    Keine Protokollierungsmeldung 313008

    Keine Protokollierungsmeldung 106023

    Keine Protokollierungsmeldung 710005

    Keine Protokollierungsmeldung 710003

    Keine Protokollierungsmeldung 106100

    Keine Protokollierungsmeldung 302015

    Keine Protokollierungsmeldung 302014

    Keine Protokollierungsmeldung 302013

    Keine Protokollierungsmeldung 302018

    Keine Protokollierungsmeldung 302017

    Keine Protokollierungsmeldung 302016

    Keine Protokollierungsmeldung 302021

    Keine Protokollierungsmeldung 302020

    MTU außerhalb von 1500

    mtu innerhalb von 1500

    mtu Diagnose 1500

    Kein Failover

    sekundäre Failover-LAN-Einheit

    Failover LAN-Schnittstelle FOVER GigabitEthernet1/3

    Failover-Replikation http

    Failover-Verbindung STATE GigabitEthernet1/4

    failover interface ip FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2

    failover interface ip STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2

    icmp unreachable rate-limit 1 burst-size 1

    Keine Aktivierung des ASDM-Verlaufs

    Zugriffsgruppe CSM_FW_ACL_ global

    Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    Timeout Conn-Holddown 0:00:15

    user-identity default-domain LOCAL

    aaa proxy-limit deaktivieren

    snmp-server host outside 192.168.1.100 community ***** version 2c

    kein SNMP-Serverstandort

    kein snmp-server-kontakt

    snmp-server community *****

    Service-SW-Reset-Taste

    crypto ipsec Sicherheitszuordnung pmtu-aging unendlich

    crypto ca trustpool-Richtlinie

    Telnet-Timeout 5

    Konsolentimeout 0

    Dynamic-Access-Policy-Record DfltAccessPolicy

    !

    class-map inspection_default

     Übereinstimmung mit Standard-Prüfdatenverkehr

    !

    !

    policy-map type inspect dns pre_dns_map

     Parameter

      Maximale Client-Auto-Länge für Nachrichten

      Nachrichtenlänge max. 512

    keine TCP-Inspektion

    policy-map type inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     Parameter

      öko-Aktion erlauben

      NOP-Aktion zulassen

      Router-Warnaktion zulassen

    Richtlinienzuordnung global_policy

     Klassenprüfung_default

      inspect dns pre_dns_map

      FTP überprüfen

      h323 h225 prüfen

      h323 ras überprüfen

      Inspektionsrausch

      rtsp überprüfen

      ESMTP überprüfen

      SQLnet überprüfen

      dünn inspizieren

      inspizieren sunrpc

      inspect xdmcp

      Schluck inspizieren

      Netbios inspizieren

      inspizieren tftp

      ICMP überprüfen

      ICMP-Fehler überprüfen

      inspizieren dcerpc

      inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     class class-default

      Verbindung festlegen erweiterte Optionen UM_STATIC_TCP_MAP

    !

    service-policy global

    Hostname-Kontext der Eingabeaufforderung

    Call-Home

     Profil CiscoTAC-1

      nicht aktiv

      Zieladresse: http https://tools.cisco.com/its/service/oddce/services/DDCEService

    E-Mail-Adresse des Empfängers callhome@cisco.com

      Ziel-Transportmethode http

      subscribe-to-alert-group-Diagnose

      Umgebung für Abonnenten-Warnungs-Gruppen

      Abonnement-zu-Warnungs-Gruppe Inventar regelmäßig monatlich

      Konfiguration von Subscribe-to-Alert-Gruppen in regelmäßigen Abständen monatlich

      Telemetrie von Abonnenten zu Warngruppen, täglich

    Kryptoprüfsumme:ac9b8f401e18491fee653f4cfe0ce18f

    Die wichtigsten zu beachtenden Punkte für die Option zum Deaktivieren von HA über die FTD-CLI:

    Primäre Einheit

    Sekundäre Einheit

    Failover-Konfiguration und Standby-IPs sind Zeitüberschreitung xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-vorläufig-media 0:02:00 uauth 0:05:00 absolut

    timeout tcp-proxy-reassembly 0:00:30

    timeout floating-conn 0:00:00

    Timeout Conn-Holddown 0:00:15

    aaa proxy-limit deaktivieren

    snmp-server host outside 192.168.1.1 entfernt.
    • Schnittstellenkonfigurationen werden entfernt.
    • Das Gerät wechselt in den Pseudo-Standby-Modus.

    Schritt 6: Nachdem Sie die Aufgabe abgeschlossen haben, registrieren Sie die Geräte beim FMC, und aktivieren Sie das HA-Paar.

    Aufgabe 7: Aussetzen von HA

    Voraussetzung für diese Aufgabe:

    Setzen Sie HA über die FTD-CLISH-CLI aus.

    Lösung:

    Schritt 1: Führen Sie auf dem primären FTD den Befehl aus, und bestätigen Sie (geben Sie YES (Ja) ein).

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    Schritt 2: Überprüfen Sie die Änderungen an der primären Einheit:

    > show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Schritt 3: Ergebnis auf der sekundären Einheit:

    > show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

    Schritt 4: Setzen Sie HA auf der primären Einheit fort:

    > configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Schritt 5: Ergebnis auf der sekundären Einheit, nachdem Sie HA fortgesetzt haben:

    > ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

    Häufig gestellte Fragen


    Wenn die Konfiguration repliziert wird, wird sie sofort (zeilenweise) oder am Ende der Replikation gespeichert?
    Am Ende der Replikation. Der Nachweis ist am Ende der Ausgabe des Befehls debug fover sync zu finden, der die Konfigurations-/Befehlsreplikation zeigt:

    cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory <--


    Was passiert, wenn sich eine Einheit im Pseudo-Standby-Status befindet (Failover deaktiviert) und Sie sie dann neu laden, während die andere Einheit Failover aktiviert hat und aktiv ist?
    Sie landen in einem Aktiv/Aktiv-Szenario (obwohl es sich technisch gesehen um ein Aktiv/Failover-Aus handelt). Genau genommen wird Failover deaktiviert, sobald die Einheit in Betrieb genommen wird, aber die Einheit verwendet die gleichen IPs wie das aktive Gerät. Effektiv bedeutet dies:

    • Einheit 1: Aktiv
    • Einheit 2: Failover ist deaktiviert. Die Einheit verwendet dieselben Daten-IPs wie Einheit 1, jedoch unterschiedliche MAC-Adressen.


    Was passiert mit der Failover-Konfiguration, wenn Sie den Failover manuell deaktivieren (Hochverfügbarkeits-Suspend konfigurieren) und dann das Gerät neu laden?
    Wenn Sie den Failover deaktivieren, handelt es sich nicht um eine permanente Änderung (wird nicht in der Startkonfiguration gespeichert, es sei denn, Sie möchten dies ausdrücklich tun). Sie können das Gerät auf zwei verschiedene Arten neu starten/neu laden, und mit der zweiten Methode müssen Sie vorsichtig sein:

    Fall 1: Neustart über CLISH

    Beim Neustart über CLISH wird keine Bestätigung verlangt. Daher wird die Konfigurationsänderung nicht in der Startkonfiguration gespeichert:

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    Bei der aktuellen Konfiguration ist der Failover deaktiviert. In diesem Fall war das Gerät Standby und wechselte erwartungsgemäß in den Pseudo-Standby-Status, um ein Active/Active-Szenario zu vermeiden:

    firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


    Für die Startkonfiguration ist Failover weiterhin aktiviert:

    firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Starten Sie das Gerät über CLISH neu (Befehl reboot):

    > reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

    Sobald die Einheit hochgefahren ist, wechselt sie in die Failover-Aushandlungsphase, da Failover aktiviert ist, und versucht, den Remote-Peer zu erkennen:

    User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


    Fall 2: Neustart über LINA-CLI
    Beim Neustart über LINA (Befehl reload) wird eine Bestätigung angefordert. Falls Sie also Y (Yes) auswählen, wird die Konfigurationsänderung in der Startkonfiguration gespeichert:

    firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Sobald die Einheit hochgefahren ist, wird Failover deaktiviert:

    firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

    Hinweis: Um dieses Szenario zu vermeiden, stellen Sie sicher, dass Sie die Änderungen nicht in der Startkonfiguration speichern, wenn Sie dazu aufgefordert werden.

    Zugehörige Informationen

    • Alle Versionen des Cisco Firepower Management Center-Konfigurationsleitfadens finden Sie hier:

    Navigieren in der Cisco Secure Firewall Threat Defense-Dokumentation

    • Alle Versionen der Konfigurationsleitfäden für FXOS Chassis Manager und CLI finden Sie hier:

    Navigieren in der Cisco Firepower 4100/9300 FXOS-Dokumentation

    • Das Cisco Global Technical Assistance Center (TAC) empfiehlt dringend diesen Leitfaden, um detailliertes praktisches Wissen über die Sicherheitstechnologien der nächsten Generation von Cisco FirePOWER zu erhalten:

    Cisco Firepower Threat Defense (FTD): Best Practices für Konfiguration und Fehlerbehebung bei Firewalls der nächsten Generation (NGFW), Intrusion Prevention Systemen der nächsten Generation (NGIPS) und Advanced Malware Protection (AMP)

    • Für alle technischen Hinweise zu Konfiguration und Fehlerbehebung, die sich auf die FirePOWER-Technologien beziehen

    Cisco Secure Firewall Management Center

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    3.0
    07-Aug-2023
    Aktualisierte Suchmaschinenoptimierung, Stilanforderungen und Formatierung.
    2.0
    04-Aug-2022
    Artikel aktualisiert für Formatierung, Stilanforderungen, maschinelle Übersetzung, Gerunds und Grammatik.
    1.0
    29-Sep-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Olha Yakovenko
      Cisco TAC Engineer
    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • John Long
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.