Configuración de alta disponibilidad de FTD en dispositivos Firepower

Actualizado:7 de agosto de 2023
ID del documento:212699

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar y verificar la alta disponibilidad (HA) de Firepower Threat Defense (FTD) (conmutación por error activa/en espera) en FPR9300.

    Prerequisites

    Requirements

    No hay requisitos específicos para este documento.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • 2 dispositivos de seguridad Cisco FirePOWER 9300: FXOS SW 2.0(1.23)
    • FTD versión 10.10.1.1 (compilación 1023)
    • Centro de administración Firepower (FMC): SW 10.10.1.1 (compilación 1023)

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Nota: En un dispositivo FPR9300 con FTD, solo puede configurar HA entre chasis. Las dos unidades en una configuración de HA deben cumplir con las condiciones mencionadas aquí.

    Tarea 1. Verificar las condiciones

    Tarea requerida:

    Verifique que ambos appliances FTD cumplan los requisitos de la nota y se puedan configurar como unidades HA.

    Solución:

    Paso 1. Conéctese a la IP de administración FPR9300 y verifique el hardware del módulo.

    Verifique el hardware FPR9300-1.

    KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

    Verifique el hardware FPR9300-2.

    KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

    Paso 2. Inicie sesión en el administrador de chasis de FPR9300-1 y vaya hasta Dispositivos lógicos.

    Verifique la versión del software, el número y el tipo de interfaces como se muestra en las imágenes.

    FPR9300-1

    FTD High Availability on Firepower - 9300-1 Logical Devices - Software Version, Number and Type of Interfaces

    FPR9300-2

    FTD High Availability on Firepower - 9300-2 Logical Devices - Software Version, Number and Type of Interfaces

    Tarea 2. Configurar FTD HA en FPR9300

    Tarea requerida:

    Configure la conmutación por falla activa / en espera (HA) según este diagrama.

    FTD High Availability on Firepower - FTD HA on FPR9300 Topology

    Solución:

    Ambos dispositivos FTD ya están registrados en el FMC, como se muestra en la imagen.

    FTD High Availability on Firepower - FTD Devices Registered on the FMC

    Paso 1. Para configurar el failover FTD, navegue hasta Devices > Device Management y elija Add High Availability como se muestra en la imagen.

    FTD High Availability on Firepower - Configure FTD Failover

    Paso 2. Ingrese el Peer Primario y el Peer Secundario y elija Continue como se muestra en la imagen.

    FTD High Availability on Firepower - Add High Availability Pair

    Advertencia: Asegúrese de seleccionar la unidad correcta como la unidad principal. Todas las configuraciones de la unidad principal seleccionada se replican en la unidad FTD secundaria seleccionada. Como resultado de la replicación, se puede reemplazar la configuración actual en la unidad secundaria.

    Condiciones

    Para crear una HA entre 2 dispositivos FTD, deben cumplirse estas condiciones:

    • Mismo modelo
    • La misma versión: esto se aplica a FXOS y a FTD. Las versiones principal (primer número), secundaria (segundo número) y de mantenimiento (tercer número) deben ser iguales.
    • Misma cantidad de interfaces
    • El mismo tipo de interfaces
    • Ambos dispositivos forman parte del mismo grupo o dominio en FMC.
    • Tienen una configuración idéntica de protocolo de tiempo de red (NTP).
    • Estar completamente implementado en el FMC sin cambios no registrados.
    • Estar en el mismo modo de firewall: enrutado o transparente.
    note-icon

    Nota: Esto debe comprobarse tanto en los dispositivos FTD como en la GUI de FMC, ya que ha habido casos en los que los FTD tenían el mismo modo, pero FMC no lo refleja.

    • No tiene DHCP/Point-to-Point Protocol over Ethernet (PPPoE) configurado en ninguna de las interfaces.
    • Nombre de host diferente [Nombre de dominio completamente calificado (FQDN)] para ambos chasis. Para verificar el nombre de host del chasis, navegue hasta FTD CLI y ejecute este comando:
    firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

    Nota: En el FTD posterior a la versión 6.3, utilice el comando show chassis detail.

    firepower# show chassis detail
Chassis URL              : https://KSEC-FPR4100-1:443//
Chassis IP               : 192.0.2.1
Chassis Serial Number    : JMX12345678
Security Module          : 1

    Si ambos chasis tienen el mismo nombre, cambie el nombre en uno de ellos con el uso de estos comandos:

    KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

    Después de cambiar el nombre del chasis, anule el registro del FTD del FMC y vuelva a registrarlo. Luego, proceda con la creación del par de HA.

    Paso 3. Configure la HA y establezca la configuración de los enlaces.

    En su caso, el enlace de estado tiene la misma configuración que el enlace de alta disponibilidad.

    Elija Add y espere unos minutos a que se implemente el par HA, como se muestra en la imagen.

    FTD High Availability on Firepower - Add High Availability Link, State Link, and IPsec Encryption

    Paso 4. Configurar las interfaces de datos (direcciones IP principales y de reserva)

    En la GUI de FMC, elija la edición de HA como se muestra en la imagen.

    FTD High Availability on Firepower - Choose FTD to Edit

    Paso 5. Configure los ajustes de la interfaz como se muestra en las imágenes.

    Interfaz ethernet 1/5.

    FTD High Availability on Firepower - Edit Physical Interface - Ethernet 1/5

    Interfaz ethernet 1/6.

    FTD High Availability on Firepower - Edit Physical Interface - Ethernet 1/6

    Paso 6. Navegue hasta High Availability y elija el Interface Name Edit para agregar las direcciones IP standby como se muestra en la imagen.

    FTD High Availability on Firepower - Edit Standby IP Addresses

    Paso 7. Para la interfaz interna como se muestra en la imagen.

    FTD High Availability on Firepower - Edit Standby IP Address - Inside Interface

    Paso 8. Haga lo mismo para la interfaz externa.

    Paso 9. Verifique el resultado como se muestra en la imagen.

    FTD High Availability on Firepower - Monitored Interfaces Showing Standby IP Addresses

    Paso 10. Permanezca en la ficha High Availability (Alta disponibilidad) y configure las direcciones MAC virtuales como se muestra en la imagen.

    FTD High Availability on Firepower - Configure Virtual MAC Addresses

    Paso 11. Para la interfaz interna es como se muestra en la imagen.

    FTD High Availability on Firepower - Add Interface MAC Address

    Paso 12. Haga lo mismo para la interfaz externa.

    Paso 13. Verifique el resultado como se muestra en la imagen.

    FTD High Availability on Firepower - Interface MAC Addresses Verification

    Paso 14. Después de configurar los cambios, elija Save and Deploy.

    Tarea 3. Verificar HA y la licencia de FTD

    Tarea requerida:

    Verifique la configuración de HA de FTD y las licencias activadas desde la GUI de FMC y desde la CLI de FTD.

    Solución:

    Paso 1. Vaya a Resumen y verifique la configuración de HA y las licencias activadas como se muestra en la imagen.

    FTD High Availability on Firepower - Verify High Availability Settings and Enabled Licenses

    Paso 2. Desde la CLI de CLISH de FTD, ejecute estos comandos:

    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(1), Mate 9.6(1)
Serial Number: Ours FLM19267A63, Mate FLM19206H7T
Last Failover at: 18:32:38 EEST Jul 21 2016
	This host: Primary - Active
		Active time: 3505 (sec)
		slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
		  Interface diagnostic (0.0.0.0): Normal (Waiting)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)
	Other host: Secondary - Standby Ready
		Active time: 172 (sec)
		slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
		  Interface diagnostic (0.0.0.0): Normal (Waiting)
		slot 1: snort rev (1.0)  status (up)
		slot 2: diskstatus rev (1.0)  status (up)

Stateful Failover Logical Update Statistics
	Link : fover_link Ethernet1/4 (up)
	Stateful Obj 	xmit       xerr       rcv        rerr
	General		417        0          416        0
	sys cmd  	416        0          416        0
	up time  	0          0          0          0
	RPC services  	0          0          0          0
	TCP conn 	0          0          0          0
	UDP conn 	0          0          0          0
	ARP tbl  	0          0          0          0
	Xlate_Timeout  	0          0          0          0
	IPv6 ND tbl  	0          0          0          0
	VPN IKEv1 SA 	0          0          0          0
	VPN IKEv1 P2 	0          0          0          0
	VPN IKEv2 SA 	0          0          0          0
	VPN IKEv2 P2 	0          0          0          0
	VPN CTCP upd 	0          0          0          0
	VPN SDI upd 	0          0          0          0
	VPN DHCP upd 	0          0          0          0
	SIP Session 	0          0          0          0
	SIP Tx 	0          0          0          0
	SIP Pinhole 	0          0          0          0
	Route Session 	0          0          0          0
	Router ID 	0          0          0          0
	User-Identity 	1          0          0          0
	CTS SGTNAME 	0          0          0          0
	CTS PAC 	0          0          0          0
	TrustSec-SXP 	0          0          0          0
	IPv6 Route 	0          0          0          0
	STS Table 	0          0          0          0

	Logical Update Queue Information
	 	 	Cur 	Max 	Total
	Recv Q: 	0 	10 	416
	Xmit Q: 	0 	11 	2118

>

    Paso 3. Haga lo mismo en el dispositivo secundario.

    Paso 4. Ejecute el comando show failover state desde la CLI de LINA:

    firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

    Paso 5. Verifique la configuración desde la unidad principal (CLI de LINA):

    firepower# show running-config failover
failover
failover lan unit primary
failover lan interface fover_link Ethernet1/4
failover replication http
failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link fover_link Ethernet1/4
failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2
firepower#

firepower# show running-config interface
!
interface Ethernet1/2
 management-only
 nameif diagnostic
 security-level 0
 no ip address
!
interface Ethernet1/4
 description LAN/STATE Failover Interface
!
interface Ethernet1/5
 nameif Inside
 security-level 0
 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
interface Ethernet1/6
 nameif Outside
 security-level 0
 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
firepower#

    Tarea 4. Cambiar los roles de conmutación por error

    Tarea requerida:

    Desde la FMC, cambie los roles de conmutación por error de Principal/Activo, Secundario/De reserva a Principal/De reserva, Secundario/Activo

    Solución:

    Paso 1. Seleccione el icono como se muestra en la imagen.

    FTD High Availability on Firepower - Switch Failover Roles

    Paso 2. Confirme la acción en la ventana emergente como se muestra en la imagen.

    FTD High Availability on Firepower - Switch Failover Roles Confirmation

    Paso 3. Verifique el resultado como se muestra en la imagen.

    FTD High Availability on Firepower - Switch Failover Roles Verification

    Desde la CLI de LINA, puede ver que el comando no failover active se ejecutó en la unidad Principal/Activa:

    Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.
Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'

    También puede verificarlo en el resultado del comando show failover history:

    firepower# show failover history
==========================================================================
From State                 To State                   Reason
10:39:26 EEST Jul 22 2016
Active                     Standby Ready              Set by the config command

    Paso 4. Después de la verificación, vuelva a activar la unidad principal.

    Tarea 5. Interrumpir el par de HA

    Tarea requerida:

    Desde el FMC, interrumpa el par de conmutación por error.

    Solución:

    Paso 1. Seleccione el icono como se muestra en la imagen.

    FTD High Availability on Firepower - Break the Failover Pair

    Paso 2. Verifique la notificación como se muestra en la imagen.

    FTD High Availability on Firepower - Break the Failover Pair Confirmation

    Paso 3. Observe el mensaje como se muestra en la imagen.

    FTD High Availability on Firepower - Break the Failover Pair Message

    Paso 4. Verifique el resultado de la GUI de FMC como se muestra en la imagen.

    FTD High Availability on Firepower - Break the Failover Pair Verification

    show running-config en la unidad principal antes y después de la interrupción de HA:

    Antes de la interrupción de HA

    Después de la interrupción de HA

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    description LAN/STATE Failover Interface

    !

    interface Ethernet1/5

    nameif Inside

    security-level 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    interface Ethernet1/6

    nameif Outside

    security-level 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging standby

    logging buffer-size 100000

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    mtu diagnostic 1500

    mtu Inside 1500

    mtu Outside 1500

    failover

    failover lan unit primary

    failover lan interface fover_link Ethernet1/4

    failover replication http

    failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

    failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

    failover link fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:933c594fc0264082edc0f24bad358031

    :Finalizar

    firepower#

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    no name if

    no security-level

    sin dirección de IP

    !

    interface Ethernet1/5

    nameif Inside

    security-level 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    interface Ethernet1/6

    nameif Outside

    security-level 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging standby

    logging buffer-size 100000

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    mtu diagnostic 1500

    mtu Inside 1500

    mtu Outside 1500

    ningún failover

    no monitor-interface service-module

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:fb6f5c369dee730b9125650517dbb059

    :Finalizar

    firepower#

    show running-config en la unidad secundaria antes y después de la interrupción de HA, como se muestra en la tabla aquí.

    Antes de la interrupción de HA

    Después de la interrupción de HA

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    description LAN/STATE Failover Interface

    !

    interface Ethernet1/5

    nameif Inside

    security-level 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    interface Ethernet1/6

    nameif Outside

    security-level 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging standby

    logging buffer-size 100000

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    mtu diagnostic 1500

    mtu Inside 1500

    mtu Outside 1500

    failover

    failover lan unit secondary

    failover lan interface fover_link Ethernet1/4

    failover replication http

    failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

    failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

    failover link fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    user-identity default-domain LOCAL

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84

    :Finalizar

    firepower#

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    apagado

    no name if

    no security-level

    sin dirección de IP

    !

    interface Ethernet1/5

    apagado

    no name if

    no security-level

    sin dirección de IP

    !

    interface Ethernet1/6

    apagado

    no name if

    no security-level

    sin dirección de IP

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    ningún mensaje de registro 106015

    ningún mensaje de registro 313001

    ningún mensaje de registro 313008

    ningún mensaje de registro 106023

    ningún mensaje de registro 710003

    ningún mensaje de registro 106100

    ningún mensaje de registro 302015

    ningún mensaje de registro 302014

    ningún mensaje de registro 302013

    ningún mensaje de registro 302018

    ningún mensaje de registro 302017

    ningún mensaje de registro 302016

    ningún mensaje de registro 302021

    ningún mensaje de registro 302020

    mtu diagnostic 1500

    ningún failover

    no monitor-interface service-module

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3

    :Finalizar

    firepower#

    Puntos principales a tener en cuenta para la interrupción de HA:

    Unidad primaria

    Unidad secundaria

    Se quita toda la configuración de conmutación por error.

    Las direcciones IP en espera permanecen.

    Se elimina la configuración de inicio.

    Paso 5. Después de finalizar esta tarea, vuelva a crear el par de HA.

    Tarea 6. Desactivar el par de HA

    Tarea requerida:

    Desde la FMC, desactive el par de conmutación por error.

    Solución:

    Paso 1. Elija el icono como se muestra en la imagen.

    FTD High Availability on Firepower - Disable the Failover Pair

    Paso 2. Verifique la notificación y confirme como se muestra en la imagen.

    FTD High Availability on Firepower - Disable the Failover Pair Confirmation

    Paso 3. Después de eliminar la HA, ambos dispositivos no están registrados (se eliminan) de la FMC.

    El resultado de show running-config de la CLI de LINA es el que se muestra en la siguiente tabla:

    Unidad primaria

    Unidad secundaria

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19267A63

    : Hardware: FPR9K-SM-36, 135839 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    description LAN/STATE Failover Interface

    !

    interface Ethernet1/5

    nameif Inside

    security-level 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    interface Ethernet1/6

    nameif Outside

    security-level 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging standby

    logging buffer-size 100000

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    mtu diagnostic 1500

    mtu Inside 1500

    mtu Outside 1500

    failover

    failover lan unit primary

    failover lan interface fover_link Ethernet1/4

    failover replication http

    failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

    failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

    failover link fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:933c594fc0264082edc0f24bad358031

    :Finalizar

    firepower#

    firepower# sh run

    : Guardado

    :

    : Número de serie: FLM19206H7T

    : Hardware: FPR9K-SM-36, 135841 MB de RAM, CPU Xeon serie E5 a 294 MHz, 2 CPU (72 núcleos)

    :

    NGFW Versión 10.10.1.1

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    !

    interface Ethernet1/2

    solo de administración

    nameif diagnostic

    security-level 0

    sin dirección de IP

    !

    interface Ethernet1/4

    description LAN/STATE Failover Interface

    !

    interface Ethernet1/5

    nameif Inside

    security-level 0

    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

    !

    interface Ethernet1/6

    nameif Outside

    security-level 0

    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_remark rule-id 268447744: POLÍTICA DE ACCESO: FTD9300 - Obligatorio/1

    access-list CSM_FW_ACL_ remark rule-id 268447744: L4 RULE: Allow_ICMP

    access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both

    access-list CSM_FW_ACL_ remark rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268441600: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600

    !

    tcp-map UM_STATIC_TCP_MAP

    tcp-options range 6 7 allow

    tcp-options range 9 255 allow

    urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging standby

    logging buffer-size 100000

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    mtu diagnostic 1500

    mtu Inside 1500

    mtu Outside 1500

    failover

    failover lan unit secondary

    failover lan interface fover_link Ethernet1/4

    failover replication http

    failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

    failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

    failover link fover_link Ethernet1/4

    failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2

    icmp unreachable rate-limit 1 -size 1

    no asdm history enable

    arp timeout 14400

    no arp permit-nonconnected

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    user-identity default-domain LOCAL

    aaa proxy-limit disable

    no snmp-server location

    no snmp-server contact

    no snmp-server enable traps snmp authentication linkup linkdown coldstart warm start

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    ssh stricthostkeycheck

    ssh timeout 5

    ssh key-exchange group dh-group1-sha1

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

    match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

    parámetros

    message-length maximum client auto

    message-length maximum 512

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

    parámetros

    eool action allow

    nop action allow

    router-alert action allow

    policy-map global_policy

    class inspection_default

    inspect dns preset_dns_map

    inspect ftp

    inspeccionar h323 h225

    inspeccionar h323 ras

    inspeccionar rsh

    inspect rtsp

    inspect sqlnet

    inspeccionar flaco

    inspeccionar sunrpc

    inspect xdmcp

    inspeccionar sip

    Inspeccionar NetBIOS

    inspect tftp

    inspeccionar icmp

    Inspeccionar error de ICMP

    inspect dcerpc

    inspect ip-options UM_STATIC_IP_OPTIONS_MAP

    class class-default

    set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

    perfil CiscoTAC-1

    no active

    dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

    destination transport-method http

    diagnóstico subscribe-to-alert-group

    entorno subscribe-to-alert-group

    suscribirse al inventario de grupos de alertas mensualmente

    subscribe-to-alert-group configuration periodic month

    subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84

    :Finalizar

    firepower#

    Paso 4. Ambos dispositivos FTD no estaban registrados en el FMC:

    > show managers
No managers configured.

    Principales puntos a tener en cuenta para la opción Desactivar HA en FMC:

    Unidad primaria

    Unidad secundaria

    El dispositivo se elimina de la FMC.

    No se ha eliminado ninguna configuración del dispositivo FTD.

    El dispositivo se elimina de la FMC.

    No se ha eliminado ninguna configuración del dispositivo FTD.

    Paso 5. Ejecute este comando para eliminar la configuración de conmutación por error de los dispositivos FTD:

    > configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

    Nota: Debe ejecutar el comando en ambas unidades

    El resultado:

    Unidad primaria

    Unidad secundaria

    > show failover

    Failover Off
    Failover unit Secondary
    Failover LAN Interface: not Configured
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 1041 maximum
    MAC Address Move Notification Interval not set
    >

    > show failover
    Failover Off (pseudo-Standby)
    Failover unit Secondary
    Failover LAN Interface: FOVER Ethernet1/3.205 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 0 of 1041 maximum
    MAC Address Move Notification Interval not set
    failover replication http

    >

    Principal

    Secundario

    firepower# show run

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    arp timeout 14400

    no arp permit-nonconnected

    arp rate-limit 16384

    !

    interfaz GigabitEthernet1/1

     nameif outside

     manual de CTS

      propagate sgt preserve-untag

      policy static sgt disabled trusted

     security-level 0

     ip address 10.1.1.1 255.255.255.0 <— standby IP was remove

    !

    interfaz GigabitEthernet1/2

     nameif inside

     manual de CTS

      propagate sgt preserve-untag

      policy static sgt disabled trusted

     security-level 0

     ip address 192.168.1.1 255.255.255.0 <— standby IP was remove

    !

    interface GigabitEthernet1/3

     description LAN Failover Interface

    !

    interface GigabitEthernet1/4

     description STATE Failover Interface

    !

    interface GigabitEthernet1/5

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/6

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/7

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/8

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface Management1/1

     solo de administración

     nameif diagnostic

     manual de CTS

      propagate sgt preserve-untag

      policy static sgt disabled trusted

     security-level 0

     sin dirección de IP

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy

    access-list CSM_FW_ACL_remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998

    access-list CSM_FW_ACL_ remark rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456

    !

    tcp-map UM_STATIC_TCP_MAP

      tcp-options range 6 7 allow

      tcp-options range 9 18 allow

      tcp-options range 20 255 allow

      tcp-options md5 clear

      urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    ningún mensaje de registro 106015

    ningún mensaje de registro 313001

    ningún mensaje de registro 313008

    ningún mensaje de registro 106023

    ningún mensaje de registro 710005

    ningún mensaje de registro 710003

    ningún mensaje de registro 106100

    ningún mensaje de registro 302015

    ningún mensaje de registro 302014

    ningún mensaje de registro 302013

    ningún mensaje de registro 302018

    ningún mensaje de registro 302017

    ningún mensaje de registro 302016

    ningún mensaje de registro 302021

    ningún mensaje de registro 302020

    mtu outside 1500

    mtu inside 1500

    mtu diagnostic 1500

    ningún failover

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    access-group CSM_FW_ACL_global

    00 community ***** versión 2c

    no snmp-server location

    no snmp-server contact

    snmp-server community *****

    service sw-reset-button

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

     match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

     parámetros

      message-length maximum client auto

      message-length maximum 512

      no tcp-inspection

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

     parámetros

      eool action allow

      nop action allow

      router-alert action allow

    policy-map global_policy

     class inspection_default

      inspect dns preset_dns_map

      inspect ftp

      inspeccionar h323 h225

      inspeccionar h323 ras

      inspeccionar rsh

      inspect rtsp

      inspect esmtp

      inspect sqlnet

      inspeccionar flaco

      inspeccionar sunrpc

      inspect xdmcp

      inspeccionar sip

    Inspeccionar NetBIOS

      inspect tftp

      inspeccionar icmp

      Inspeccionar error de ICMP

      inspect dcerpc

      inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     class class-default

      set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

     perfil CiscoTAC-1

      no active

      dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

      correo electrónico de dirección de destino callhome@cisco.com

      destination transport-method http

      diagnóstico subscribe-to-alert-group

      entorno subscribe-to-alert-group

      suscribirse al inventario de grupos de alertas mensualmente

      subscribe-to-alert-group configuration periodic month

      subscribe-to-alert-group telemetry periodic daily

    Suma de comprobación de cifrado:768a03e90b9d3539773b9d7af66b3452

    firepower# show run

    !

    hostname firepower

    enable password 8Ry2YjIyt7RRXU24 encrypted

    names

    arp timeout 14400

    no arp permit-nonconnected

    arp rate-limit 16384

    !

    interfaz GigabitEthernet1/1

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interfaz GigabitEthernet1/2

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/3

     description LAN Failover Interface

    !

    interface GigabitEthernet1/4

     description STATE Failover Interface

    !

    interface GigabitEthernet1/5

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/6

     apagado

     no name if

    no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/7

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface GigabitEthernet1/8

     apagado

     no name if

     no security-level

     sin dirección de IP

    !

    interface Management1/1

     solo de administración

     nameif diagnostic

    manual de CTS

      propagate sgt preserve-untag

      policy static sgt disabled trusted

     security-level 0

     sin dirección de IP

    !

    ftp mode passive

    ngips conn-match vlan-id

    access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy

    access-list CSM_FW_ACL_remark rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998

    access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998

    access-list CSM_FW_ACL_ remark rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1

    access-list CSM_FW_ACL_ remark rule-id 268435456: L4 RULE: DEFAULT ACTION RULE

    access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456

    !

    tcp-map UM_STATIC_TCP_MAP

      tcp-options range 6 7 allow

      tcp-options range 9 18 allow

      tcp-options range 20 255 allow

      tcp-options md5 clear

      urgente-flag allow

    !

    no pager

    logging enable

    sello de hora y fecha de registro

    logging buffered debugging

    logging flash-minimum-free 1024

    logging flash-maximum-allocation 3076

    ningún mensaje de registro 106015

    ningún mensaje de registro 313001

    ningún mensaje de registro 313008

    ningún mensaje de registro 106023

    ningún mensaje de registro 710005

    ningún mensaje de registro 710003

    ningún mensaje de registro 106100

    ningún mensaje de registro 302015

    ningún mensaje de registro 302014

    ningún mensaje de registro 302013

    ningún mensaje de registro 302018

    ningún mensaje de registro 302017

    ningún mensaje de registro 302016

    ningún mensaje de registro 302021

    ningún mensaje de registro 302020

    mtu outside 1500

    mtu inside 1500

    mtu diagnostic 1500

    ningún failover

    failover lan unit secondary

    failover lan interface FOVER GigabitEthernet1/3

    failover replication http

    failover link STATE GigabitEthernet1/4

    failover interface ip FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2

    failover interface ip STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2

    icmp unreachable rate-limit 1 burst-size 1

    no asdm history enable

    access-group CSM_FW_ACL_global

    timeout xlate 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    timeout conn-holddown 0:00:15

    user-identity default-domain LOCAL

    aaa proxy-limit disable

    snmp-server host outside 192.168.1.100 community ***** version 2c

    no snmp-server location

    no snmp-server contact

    snmp-server community *****

    service sw-reset-button

    crypto ipsec security-association pmtu-aging infinite

    crypto ca trustpool policy

    telnet timeout 5

    console timeout 0

    dynamic-access-policy-record DfltAccessPolicy

    !

    class-map inspection_default

     match default-inspection-traffic

    !

    !

    policy-map type inspect dns preset_dns_map

     parámetros

      message-length maximum client auto

      message-length maximum 512

    no tcp-inspection

    policy-map type inspeccionar ip-options UM_STATIC_IP_OPTIONS_MAP

     parámetros

      eool action allow

      nop action allow

      router-alert action allow

    policy-map global_policy

     class inspection_default

      inspect dns preset_dns_map

      inspect ftp

      inspeccionar h323 h225

      inspeccionar h323 ras

      inspeccionar rsh

      inspect rtsp

      inspect esmtp

      inspect sqlnet

      inspeccionar flaco

      inspeccionar sunrpc

      inspect xdmcp

      inspeccionar sip

      Inspeccionar NetBIOS

      inspect tftp

      inspeccionar icmp

      Inspeccionar error de ICMP

      inspect dcerpc

      inspect ip-options UM_STATIC_IP_OPTIONS_MAP

     class class-default

      set connection advanced-options UM_STATIC_TCP_MAP

    !

    service-policy global_policy global

    prompt hostname context

    call-home

     perfil CiscoTAC-1

      no active

      dirección de destino http https://tools.cisco.com/its/service/oddce/services/DDCEService

    correo electrónico de dirección de destino callhome@cisco.com

      destination transport-method http

      diagnóstico subscribe-to-alert-group

      entorno subscribe-to-alert-group

      suscribirse al inventario de grupos de alertas mensualmente

      subscribe-to-alert-group configuration periodic month

      subscribe-to-alert-group telemetry periodic daily

    Cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f

    Puntos principales a tener en cuenta para desactivar HA de CLI de FTD:

    Unidad primaria

    Unidad secundaria

    La configuración de failover y las IP en espera se agotan a las 3:00:00

    timeout pat-xlate 0:00:30

    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02

    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute

    timeout tcp-proxy-reassembly 0:00:30

    timeout flotante-conn 0:00:00

    timeout conn-holddown 0:00:15

    aaa proxy-limit disable

    snmp-server host outside 192.168.1.1 remove.
    • Se eliminan las configuraciones de interfaz.
    • El dispositivo pasa al modo de seudoreserva.

    Paso 6. Después de finalizar la tarea, registre los dispositivos en la FMC y active el par de HA.

    Tarea 7. Suspender HA

    Tarea requerida:

    Suspender la HA de la CLI de CLISH de FTD

    Solución:

    Paso 1. En el FTD principal, ejecute el comando y confirme (escriba YES).

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    Paso 2. Verifique los cambios en la unidad principal:

    > show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Paso 3. El resultado en la unidad secundaria:

    > show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

    Paso 4. Reanudar HA en la unidad principal:

    > configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Paso 5. El resultado en la unidad secundaria después de reanudar HA:

    > ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

    Preguntas frecuentes


    Cuando se replica la configuración, ¿se guarda inmediatamente (línea por línea) o al final de la replicación?
    Al final de la replicación. La evidencia se encuentra al final del resultado del comando debug fover sync que muestra la réplica de comando/configuración:

    cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory <--


    ¿Qué sucede si una unidad se encuentra en un estado pseudoen espera (conmutación por error deshabilitada) y luego la recarga mientras la otra unidad tiene la conmutación por error habilitada y está activa?
    Usted termina en un escenario Activo/Activo (aunque técnicamente es un escenario Activo/Failover-off). Específicamente, una vez que esté ACTIVA, la conmutación por error se deshabilita, pero la unidad utiliza las mismas IP que la unidad activa. Así que efectivamente, tiene:

    • Unidad-1: activa
    • Unidad 2: la conmutación por error está desactivada. La unidad utiliza las mismas IP de datos que la Unidad 1, pero diferentes direcciones MAC.


    ¿Qué sucede con la configuración de conmutación por error si deshabilita manualmente la conmutación por error (configurar suspensión de alta disponibilidad) y, a continuación, recarga el dispositivo?
    Cuando inhabilita el failover, no es un cambio permanente (no se guarda en startup-config a menos que decida hacer esto explícitamente). Puede reiniciar/recargar la unidad de 2 maneras diferentes y con la segunda debe tener cuidado:

    Caso 1. Reiniciar desde CLISH

    El reinicio desde CLISH no requiere confirmación. Por lo tanto, el cambio de configuración no se guarda en startup-config:

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    El running-config tiene el failover inhabilitado. En este caso, la unidad estaba en espera y entró en el estado pseudo-en espera como se esperaba para evitar un escenario Activo/Activo:

    firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


    La configuración de inicio tiene la conmutación por fallas aún habilitada:

    firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Reinicie el dispositivo desde CLISH (comando reboot):

    > reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

    Una vez que la unidad está ACTIVA, dado que la conmutación por error esté activada, el dispositivo ingresa en la fase de negociación de conmutación por error e intenta detectar el par remoto:

    User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


    Caso 2. Reiniciar desde LINA de CLI
    Reiniciar desde LINA (comando reload) requiere confirmación. Por lo tanto, en caso de que seleccione Y (Sí), el cambio de configuración se guarda en startup-config:

    firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Una vez que la unidad está ACTIVA, la conmutación por error se desactiva:

    firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

    Nota: Para evitar este escenario, asegúrese de que cuando se le solicite, no guarde los cambios en startup-config.

    Información Relacionada

    • Todas las versiones de la guía de configuración del Centro de administración Firepower se pueden encontrar aquí.

    Navegación por la documentación de Cisco Secure Firewall Threat Defence

    • Todas las versiones de las guías de configuración de la CLI y el administrador de chasis FXI se pueden encontrar aquí

    Navegación por la documentación de Cisco Firepower 4100/9300 FXOS

    • Cisco Global Technical Assistance Center (TAC) recomienda encarecidamente esta guía visual para obtener un conocimiento práctico en profundidad de las tecnologías de seguridad de última generación de Cisco Firepower:

    Cisco Firepower Threat Defence (FTD): configuración y solución de problemas de prácticas recomendadas para el firewall de última generación (NGFW), el sistema de prevención de intrusiones de última generación (NGIPS) y la protección frente a malware avanzado (AMP)

    • Para todas las notas técnicas de configuración y solución de problemas relacionadas con las tecnologías Firepower

    Cisco Secure Firewall Management Center

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    3.0
    07-Aug-2023
    SEO actualizado, requisitos de estilo y formato.
    2.0
    04-Aug-2022
    Artículo actualizado para formato, requisitos de estilo, traducción automática, gerundios y gramática.
    1.0
    29-Sep-2021
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Olha Yakovenko
      Cisco TAC Engineer
    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • John Long
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos