El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo configurar y verificar la alta disponibilidad (HA) de Firepower Threat Defense (FTD) (conmutación por error activa/en espera) en FPR9300.
No hay requisitos específicos para este documento.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Nota: En un dispositivo FPR9300 con FTD, solo puede configurar HA entre chasis. Las dos unidades en una configuración de HA deben cumplir con las condiciones mencionadas aquí.
Tarea requerida:
Verifique que ambos appliances FTD cumplan los requisitos de la nota y se puedan configurar como unidades HA.
Solución:
Paso 1. Conéctese a la IP de administración FPR9300 y verifique el hardware del módulo.
Verifique el hardware FPR9300-1.
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
Verifique el hardware FPR9300-2.
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
Paso 2. Inicie sesión en el administrador de chasis de FPR9300-1 y vaya hasta Dispositivos lógicos.
Verifique la versión del software, el número y el tipo de interfaces como se muestra en las imágenes.
FPR9300-1
FPR9300-2
Tarea requerida:
Configure la conmutación por falla activa / en espera (HA) según este diagrama.
Solución:
Ambos dispositivos FTD ya están registrados en el FMC, como se muestra en la imagen.
Paso 1. Para configurar el failover FTD, navegue hasta Devices > Device Management y elija Add High Availability como se muestra en la imagen.
Paso 2. Ingrese el Peer Primario y el Peer Secundario y elija Continue como se muestra en la imagen.
Advertencia: Asegúrese de seleccionar la unidad correcta como la unidad principal. Todas las configuraciones de la unidad principal seleccionada se replican en la unidad FTD secundaria seleccionada. Como resultado de la replicación, se puede reemplazar la configuración actual en la unidad secundaria.
Para crear una HA entre 2 dispositivos FTD, deben cumplirse estas condiciones:
Nota: Esto debe comprobarse tanto en los dispositivos FTD como en la GUI de FMC, ya que ha habido casos en los que los FTD tenían el mismo modo, pero FMC no lo refleja.
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
Nota: En el FTD posterior a la versión 6.3, utilice el comando show chassis detail.
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
Si ambos chasis tienen el mismo nombre, cambie el nombre en uno de ellos con el uso de estos comandos:
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
Después de cambiar el nombre del chasis, anule el registro del FTD del FMC y vuelva a registrarlo. Luego, proceda con la creación del par de HA.
Paso 3. Configure la HA y establezca la configuración de los enlaces.
En su caso, el enlace de estado tiene la misma configuración que el enlace de alta disponibilidad.
Elija Add y espere unos minutos a que se implemente el par HA, como se muestra en la imagen.
Paso 4. Configurar las interfaces de datos (direcciones IP principales y de reserva)
En la GUI de FMC, elija la edición de HA como se muestra en la imagen.
Paso 5. Configure los ajustes de la interfaz como se muestra en las imágenes.
Interfaz ethernet 1/5.
Interfaz ethernet 1/6.
Paso 6. Navegue hasta High Availability y elija el Interface Name Edit para agregar las direcciones IP standby como se muestra en la imagen.
Paso 7. Para la interfaz interna como se muestra en la imagen.
Paso 8. Haga lo mismo para la interfaz externa.
Paso 9. Verifique el resultado como se muestra en la imagen.
Paso 10. Permanezca en la ficha High Availability (Alta disponibilidad) y configure las direcciones MAC virtuales como se muestra en la imagen.
Paso 11. Para la interfaz interna es como se muestra en la imagen.
Paso 12. Haga lo mismo para la interfaz externa.
Paso 13. Verifique el resultado como se muestra en la imagen.
Paso 14. Después de configurar los cambios, elija Save and Deploy.
Tarea requerida:
Verifique la configuración de HA de FTD y las licencias activadas desde la GUI de FMC y desde la CLI de FTD.
Solución:
Paso 1. Vaya a Resumen y verifique la configuración de HA y las licencias activadas como se muestra en la imagen.
Paso 2. Desde la CLI de CLISH de FTD, ejecute estos comandos:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
Paso 3. Haga lo mismo en el dispositivo secundario.
Paso 4. Ejecute el comando show failover state desde la CLI de LINA:
firepower# show failover state State Last Failure Reason Date/Time This host - Primary Active None Other host - Secondary Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016 ====Configuration State=== Sync Done ====Communication State=== Mac set firepower#
Paso 5. Verifique la configuración desde la unidad principal (CLI de LINA):
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
Tarea requerida:
Desde la FMC, cambie los roles de conmutación por error de Principal/Activo, Secundario/De reserva a Principal/De reserva, Secundario/Activo
Solución:
Paso 1. Seleccione el icono como se muestra en la imagen.
Paso 2. Confirme la acción en la ventana emergente como se muestra en la imagen.
Paso 3. Verifique el resultado como se muestra en la imagen.
Desde la CLI de LINA, puede ver que el comando no failover active se ejecutó en la unidad Principal/Activa:
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
También puede verificarlo en el resultado del comando show failover history:
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
Paso 4. Después de la verificación, vuelva a activar la unidad principal.
Tarea requerida:
Desde el FMC, interrumpa el par de conmutación por error.
Solución:
Paso 1. Seleccione el icono como se muestra en la imagen.
Paso 2. Verifique la notificación como se muestra en la imagen.
Paso 3. Observe el mensaje como se muestra en la imagen.
Paso 4. Verifique el resultado de la GUI de FMC como se muestra en la imagen.
show running-config en la unidad principal antes y después de la interrupción de HA:
Antes de la interrupción de HA |
Después de la interrupción de HA |
firepower# sh run : Guardado : : Número de serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging standby logging buffer-size 100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu Inside 1500 mtu Outside 1500 failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:933c594fc0264082edc0f24bad358031 :Finalizar firepower# |
firepower# sh run : Guardado : : Número de serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 no name if no security-level sin dirección de IP ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging standby logging buffer-size 100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu Inside 1500 mtu Outside 1500 ningún failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:fb6f5c369dee730b9125650517dbb059 :Finalizar firepower# |
show running-config en la unidad secundaria antes y después de la interrupción de HA, como se muestra en la tabla aquí.
Antes de la interrupción de HA |
Después de la interrupción de HA |
firepower# sh run : Guardado : : Número de serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging standby logging buffer-size 100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu Inside 1500 mtu Outside 1500 failover failover lan unit secondary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 :Finalizar firepower# |
firepower# sh run : Guardado : : Número de serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 apagado no name if no security-level sin dirección de IP ! interface Ethernet1/5 apagado no name if no security-level sin dirección de IP ! interface Ethernet1/6 apagado no name if no security-level sin dirección de IP ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager ningún mensaje de registro 106015 ningún mensaje de registro 313001 ningún mensaje de registro 313008 ningún mensaje de registro 106023 ningún mensaje de registro 710003 ningún mensaje de registro 106100 ningún mensaje de registro 302015 ningún mensaje de registro 302014 ningún mensaje de registro 302013 ningún mensaje de registro 302018 ningún mensaje de registro 302017 ningún mensaje de registro 302016 ningún mensaje de registro 302021 ningún mensaje de registro 302020 mtu diagnostic 1500 ningún failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3 :Finalizar firepower# |
Puntos principales a tener en cuenta para la interrupción de HA:
Unidad primaria |
Unidad secundaria |
Se quita toda la configuración de conmutación por error. Las direcciones IP en espera permanecen. |
Se elimina la configuración de inicio. |
Paso 5. Después de finalizar esta tarea, vuelva a crear el par de HA.
Tarea requerida:
Desde la FMC, desactive el par de conmutación por error.
Solución:
Paso 1. Elija el icono como se muestra en la imagen.
Paso 2. Verifique la notificación y confirme como se muestra en la imagen.
Paso 3. Después de eliminar la HA, ambos dispositivos no están registrados (se eliminan) de la FMC.
El resultado de show running-config de la CLI de LINA es el que se muestra en la siguiente tabla:
Unidad primaria |
Unidad secundaria |
firepower# sh run : Guardado : : Número de serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging standby logging buffer-size 100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu Inside 1500 mtu Outside 1500 failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:933c594fc0264082edc0f24bad358031 :Finalizar firepower# |
firepower# sh run : Guardado : : Número de serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos) : NGFW Versión 10.10.1.1 ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 solo de administración nameif diagnostic security-level 0 sin dirección de IP ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1 access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 255 allow urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging standby logging buffer-size 100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu Inside 1500 mtu Outside 1500 failover failover lan unit secondary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 -size 1 no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit disable no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh stricthostkeycheck ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 :Finalizar firepower# |
Paso 4. Ambos dispositivos FTD no estaban registrados en el FMC:
> show managers No managers configured.
Principales puntos a tener en cuenta para la opción Desactivar HA en FMC:
Unidad primaria |
Unidad secundaria |
El dispositivo se elimina de la FMC. No se ha eliminado ninguna configuración del dispositivo FTD. |
El dispositivo se elimina de la FMC. No se ha eliminado ninguna configuración del dispositivo FTD. |
Paso 5. Ejecute este comando para eliminar la configuración de conmutación por error de los dispositivos FTD:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
Nota: Debe ejecutar el comando en ambas unidades
El resultado:
Unidad primaria |
Unidad secundaria |
> show failover Failover Off |
> show failover > |
Principal |
Secundario |
firepower# show run ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names arp timeout 14400 no arp permit-nonconnected arp rate-limit 16384 ! interfaz GigabitEthernet1/1 nameif outside manual de CTS propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 10.1.1.1 255.255.255.0 <— standby IP was remove ! interfaz GigabitEthernet1/2 nameif inside manual de CTS propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 ip address 192.168.1.1 255.255.255.0 <— standby IP was remove ! interface GigabitEthernet1/3 description LAN Failover Interface ! interface GigabitEthernet1/4 description STATE Failover Interface ! interface GigabitEthernet1/5 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/6 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/7 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/8 apagado no name if no security-level sin dirección de IP ! interface Management1/1 solo de administración nameif diagnostic manual de CTS propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 sin dirección de IP ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ remark rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1 access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 18 allow tcp-options range 20 255 allow tcp-options md5 clear urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 ningún mensaje de registro 106015 ningún mensaje de registro 313001 ningún mensaje de registro 313008 ningún mensaje de registro 106023 ningún mensaje de registro 710005 ningún mensaje de registro 710003 ningún mensaje de registro 106100 ningún mensaje de registro 302015 ningún mensaje de registro 302014 ningún mensaje de registro 302013 ningún mensaje de registro 302018 ningún mensaje de registro 302017 ningún mensaje de registro 302016 ningún mensaje de registro 302021 ningún mensaje de registro 302020 mtu outside 1500 mtu inside 1500 mtu diagnostic 1500 ningún failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable access-group CSM_FW_ACL_global 00 community ***** versión 2c no snmp-server location no snmp-server contact snmp-server community ***** service sw-reset-button crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect esmtp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Suma de comprobación de cifrado:768a03e90b9d3539773b9d7af66b3452 |
firepower# show run ! hostname firepower enable password 8Ry2YjIyt7RRXU24 encrypted names arp timeout 14400 no arp permit-nonconnected arp rate-limit 16384 ! interfaz GigabitEthernet1/1 apagado no name if no security-level sin dirección de IP ! interfaz GigabitEthernet1/2 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/3 description LAN Failover Interface ! interface GigabitEthernet1/4 description STATE Failover Interface ! interface GigabitEthernet1/5 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/6 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/7 apagado no name if no security-level sin dirección de IP ! interface GigabitEthernet1/8 apagado no name if no security-level sin dirección de IP ! interface Management1/1 solo de administración nameif diagnostic manual de CTS propagate sgt preserve-untag policy static sgt disabled trusted security-level 0 sin dirección de IP ! ftp mode passive ngips conn-match vlan-id access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ remark rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1 access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP tcp-options range 6 7 allow tcp-options range 9 18 allow tcp-options range 20 255 allow tcp-options md5 clear urgente-flag allow ! no pager logging enable sello de hora y fecha de registro logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 ningún mensaje de registro 106015 ningún mensaje de registro 313001 ningún mensaje de registro 313008 ningún mensaje de registro 106023 ningún mensaje de registro 710005 ningún mensaje de registro 710003 ningún mensaje de registro 106100 ningún mensaje de registro 302015 ningún mensaje de registro 302014 ningún mensaje de registro 302013 ningún mensaje de registro 302018 ningún mensaje de registro 302017 ningún mensaje de registro 302016 ningún mensaje de registro 302021 ningún mensaje de registro 302020 mtu outside 1500 mtu inside 1500 mtu diagnostic 1500 ningún failover failover lan unit secondary failover lan interface FOVER GigabitEthernet1/3 failover replication http failover link STATE GigabitEthernet1/4 failover interface ip FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2 failover interface ip STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable access-group CSM_FW_ACL_global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 timeout conn-holddown 0:00:15 user-identity default-domain LOCAL aaa proxy-limit disable snmp-server host outside 192.168.1.100 community ***** version 2c no snmp-server location no snmp-server contact snmp-server community ***** service sw-reset-button crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 console timeout 0 dynamic-access-policy-record DfltAccessPolicy ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parámetros message-length maximum client auto message-length maximum 512 no tcp-inspection policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP parámetros eool action allow nop action allow router-alert action allow policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspeccionar h323 h225 inspeccionar h323 ras inspeccionar rsh inspect rtsp inspect esmtp inspect sqlnet inspeccionar flaco inspeccionar sunrpc inspect xdmcp inspeccionar sip Inspeccionar NetBIOS inspect tftp inspeccionar icmp Inspeccionar error de ICMP inspect dcerpc inspect ip-options UM_STATIC_IP_OPTIONS_MAP class class-default set connection advanced-options UM_STATIC_TCP_MAP ! service-policy global_policy global prompt hostname context call-home perfil CiscoTAC-1 no active dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService correo electrónico de dirección de destino callhome@cisco.com destination transport-method http diagnóstico subscribe-to-alert-group entorno subscribe-to-alert-group suscribirse al inventario de grupos de alertas mensualmente subscribe-to-alert-group configuration periodic month subscribe-to-alert-group telemetry periodic daily Cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f |
Puntos principales a tener en cuenta para desactivar HA de CLI de FTD:
Unidad primaria |
Unidad secundaria |
La configuración de failover y las IP en espera se agotan a las 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout flotante-conn 0:00:00 timeout conn-holddown 0:00:15 aaa proxy-limit disable snmp-server host outside 192.168.1.1 remove. |
|
Paso 6. Después de finalizar la tarea, registre los dispositivos en la FMC y active el par de HA.
Tarea requerida:
Suspender la HA de la CLI de CLISH de FTD
Solución:
Paso 1. En el FTD principal, ejecute el comando y confirme (escriba YES).
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Paso 2. Verifique los cambios en la unidad principal:
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Paso 3. El resultado en la unidad secundaria:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Paso 4. Reanudar HA en la unidad principal:
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Paso 5. El resultado en la unidad secundaria después de reanudar HA:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
Cuando se replica la configuración, ¿se guarda inmediatamente (línea por línea) o al final de la replicación?
Al final de la replicación. La evidencia se encuentra al final del resultado del comando debug fover sync que muestra la réplica de comando/configuración:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
¿Qué sucede si una unidad se encuentra en un estado pseudoen espera (conmutación por error deshabilitada) y luego la recarga mientras la otra unidad tiene la conmutación por error habilitada y está activa?
Usted termina en un escenario Activo/Activo (aunque técnicamente es un escenario Activo/Failover-off). Específicamente, una vez que esté ACTIVA, la conmutación por error se deshabilita, pero la unidad utiliza las mismas IP que la unidad activa. Así que efectivamente, tiene:
¿Qué sucede con la configuración de conmutación por error si deshabilita manualmente la conmutación por error (configurar suspensión de alta disponibilidad) y, a continuación, recarga el dispositivo?
Cuando inhabilita el failover, no es un cambio permanente (no se guarda en startup-config a menos que decida hacer esto explícitamente). Puede reiniciar/recargar la unidad de 2 maneras diferentes y con la segunda debe tener cuidado:
Caso 1. Reiniciar desde CLISH
El reinicio desde CLISH no requiere confirmación. Por lo tanto, el cambio de configuración no se guarda en startup-config:
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
El running-config tiene el failover inhabilitado. En este caso, la unidad estaba en espera y entró en el estado pseudo-en espera como se esperaba para evitar un escenario Activo/Activo:
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
La configuración de inicio tiene la conmutación por fallas aún habilitada:
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Reinicie el dispositivo desde CLISH (comando reboot):
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
Una vez que la unidad está ACTIVA, dado que la conmutación por error esté activada, el dispositivo ingresa en la fase de negociación de conmutación por error e intenta detectar el par remoto:
User enable_1 logged in to firepower Logins over the last 1 days: 1. Failed logins since the last login: 0. Type help or '?' for a list of available commands. firepower> . Detected an Active mate
Caso 2. Reiniciar desde LINA de CLI
Reiniciar desde LINA (comando reload) requiere confirmación. Por lo tanto, en caso de que seleccione Y (Sí), el cambio de configuración se guarda en startup-config:
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Una vez que la unidad está ACTIVA, la conmutación por error se desactiva:
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Nota: Para evitar este escenario, asegúrese de que cuando se le solicite, no guarde los cambios en startup-config.
Navegación por la documentación de Cisco Secure Firewall Threat Defence
Navegación por la documentación de Cisco Firepower 4100/9300 FXOS
Revisión | Fecha de publicación | Comentarios |
---|---|---|
3.0 |
07-Aug-2023 |
SEO actualizado, requisitos de estilo y formato. |
2.0 |
04-Aug-2022 |
Artículo actualizado para formato, requisitos de estilo, traducción automática, gerundios y gramática. |
1.0 |
29-Sep-2021 |
Versión inicial |