Configurazione della funzionalità FTD High Availability nei dispositivi Firepower

Opzioni per il download

  • PDF     (1.0 MB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:5 giugno 2026
ID documento:212699

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

Questo documento descrive come configurare e verificare Firepower Threat Defense (FTD) High Availability (HA) sui dispositivi Firepower.

Prerequisiti

Requisiti

Nessun requisito specifico previsto per questo documento.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • 2 Cisco Firepower 9300
  • 2 Cisco Firepower 4100 (7.2.8)
  • Firepower Management Center (FMC) (7.2.8)

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Nota: Su un accessorio FPR9300 con FTD, è possibile configurare solo HA tra chassis. Le due unità in una configurazione ad alta disponibilità devono soddisfare le condizioni qui indicate.

Attività 1. Verificare le condizioni

Attività richiesta:

Verificare che entrambi gli accessori FTD soddisfino i requisiti della nota e possano essere configurati come unità HA.

Soluzione:

Passaggio 1. Connettersi all'IP di gestione FPR9300 e verificare l'hardware del modulo.

Verificare l'hardware FPR9300-1:

KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

Verificare l'hardware FPR9300-2:

KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

Passaggio 2. Accedere a FPR9300-1 Chassis Manager e selezionare Logical Devices.

Passaggio 3. Verificare la versione del software, il numero e il tipo di interfaccia.

Task 2. Configurare FTD HA

Attività richiesta:

Passaggio 1. Configurare il failover attivo/standby (HA) per il diagramma. In questo caso, viene utilizzata una coppia 41xx.

Primary and Secondary FTD

Soluzione

Entrambi i dispositivi FTD sono registrati nel CCP.

Firepower Security Modules

Passaggio 1. Per configurare il failover FTD, passare a Dispositivi > Gestione dispositivi e scegliere Aggiungi alta disponibilità.

High Availability Drop-Down Menu

Passaggio 2. Inserire il peer principale e il peer secondario e scegliere Continua.

Add High Availability Pair

Avviso: Assicurarsi di selezionare l'unità corretta come unità principale. Tutte le configurazioni sull'unità primaria selezionata vengono replicate sull'unità FTD secondaria selezionata. In seguito alla replica, la configurazione corrente sull'unità secondaria può essere sostituita.

Condizioni

Per creare un'elevata disponibilità tra 2 dispositivi FTD, è necessario che siano soddisfatte le seguenti condizioni:

  • Stesso modello
  • Stessa versione, vale per FXOS e per FTD - maggiore (primo numero), minore (secondo numero) e manutenzione (terzo numero) devono essere uguali.
  • Stesso numero di interfacce
  • Stesso tipo di interfacce
  • Entrambe le periferiche fanno parte dello stesso gruppo/dominio in FMC
  • Hanno configurazioni Network Time Protocol (NTP) identiche
  • Devono essere implementate completamente nel CCP senza modifiche non sottoposte a commit
  • Deve essere nella stessa modalità firewall: steso o trasparente
note-icon

Nota: È necessario verificare questa condizione sia sui dispositivi FTD che sull'interfaccia grafica dell'FMC, in quanto in alcuni casi gli FTD avevano la stessa modalità, ma il FMC non la rispecchia.

  • Non dispone di DHCP/Point-to-Point Protocol over Ethernet (PPPoE) configurato su nessuna delle interfacce.
  • Nome host [FQDN (Fully Qualified Domain Name)] diverso per entrambi gli chassis. Per controllare il nome host dello chassis, passare alla CLI FTD ed eseguire questo comando:
firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Nota: Dopo 6.3 FTD, usare il comando show chassis detail.

Firepower-module1# show chassis detail 
Chassis URL : https://FP4100-5:443// 
Chassis IP : 10.62.148.187 
Chassis IPv6 : :: 
Chassis Serial Number : JAD19500BAB 
Security Module : 1

Se entrambi gli chassis hanno lo stesso nome, modificare il nome in uno con questo comando:

KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

Dopo aver modificato il nome dello chassis, annullare la registrazione dell'FTD da FMC e registrarlo nuovamente. Quindi, procedere con la creazione della coppia HA.

Passaggio 3. Configurare la coppia HA e specificare le impostazioni del collegamento.

In questo caso, il collegamento di stato ha le stesse impostazioni del collegamento Alta disponibilità.

Passaggio 4. Scegliere Aggiungi e attendere alcuni minuti prima che la coppia HA venga distribuita.

Add High Availability Pair + Link

Passaggio 5. Configurare le interfacce dati (indirizzi IP primario e in standby).

Passaggio 6. Dall'interfaccia utente di FMC, scegliere HA Edit.

FTD Primary, Active and FTD Secondary, Standby

Passaggio 7. Configurare le impostazioni dell'interfaccia:

Edit Mode for Physical Interface

Edit Mode for Physical Interface IP Address

Nel caso di una sottointerfaccia, è necessario abilitare l'interfaccia padre:

Edit Mode for Ether Channel Interface

Passaggio 8. Passare a Alta disponibilità e scegliere il nome dell'interfaccia. Fare clic su Modifica per aggiungere gli indirizzi IP di standby.

Firewall Management Center

Edit Inside

Passaggio 9. Completare gli stessi passaggi per l'interfaccia esterna.

Passaggio 10. Verificare i risultati.

Monitored Interfaces - Standby IPv4

Passaggio 11. Rimanere nella scheda Alta disponibilità e configurare gli indirizzi MAC virtuali.

Interface MAC Addresses

Passaggio 12. Immagine dell'interfaccia interna.

Add Interface MAC Addresses

Passaggio 13. Completare gli stessi passaggi per l'interfaccia esterna.

Passaggio 14. Verificare i risultati.

Interface MAC Addresses - Active MAC Addresses and Standby MAC Addresses

Passaggio 15. Dopo aver configurato le modifiche, scegliere Salva e distribuisci.

Attività 3. Verificare la coppia di FTD HA e la licenza

Attività richiesta:

Verificare le impostazioni FTD HA e abilitare le licenze dalla GUI FMC e dalla CLI FTD.

Soluzione:

Passaggio 1. Passare a Riepilogo e controllare le impostazioni HA e abilitare le licenze.

Firewall Management Center Summary

Passaggio 2. Dalla CLI di FTD CLISH, eseguire il comando show high-availability config o show failover:

> show high-availability config 
Failover On 
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
Last Failover at: 08:46:30 UTC Jul 18 2024
        This host: Primary - Active 
                Active time: 1999 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.10): Link Down (Shutdown)
                  Interface Outside (192.168.76.10): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)
        Other host: Secondary - Standby Ready 
                Active time: 1466 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.11): Link Down (Shutdown)
                  Interface Outside (192.168.76.11): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics
<output omitted>

Passaggio 3. Completare gli stessi passaggi sul dispositivo secondario.

Passaggio 4. Eseguire il comando show failover state dalla CLI LINA:

firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

Passaggio 5. Verificare le impostazioni di configurazione dall'unità primaria (LINA CLI):

> show running-config failover
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

> show running-config interface 
!
interface Port-channel2
no nameif
no security-level
no ip address
!
interface Port-channel2.202
vlan 202
nameif Outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
shutdown
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 
>

Attività 4. Invertire i ruoli di failover

Attività richiesta:

Dall'FMC, invertire i ruoli di failover da Principale/Attivo, Secondario/Standby a Principale/Standby, Secondario/Attivo.

Soluzione:

Passaggio 1. Selezionare l'icona.

FTD Switch Active Peer

Passaggio 2. Confermare l'azione.

È possibile utilizzare l'output del comando show failover history:

Sul nuovo Active Directory

Il nuovo Standby

> mostra cronologia failover
=============================================================================
Da Stato A Stato Motivo
=============================================================================

09:27:11 UTC lug 18 2024
Pronto per lo standby Solo Attivo L'altra unità mi vuole Attivo
                                                                                                                 (Impostato con il comando config)

09:27:11 UTC lug 18 2024
Solo Active Drain L'altra unità mi vuole Active
                                                                                                                 (Impostato con il comando config)

09:27:11 UTC lug 18 2024
Active Drain Active Applying Config Other unit want me Active
                                                                                                                 (Impostato con il comando config)

09:27:11 UTC lug 18 2024
Active Applying Config Active Config Applied Other unit want me Active
                                                                                                                 (Impostato con il comando config)

09:27:11 UTC lug 18 2024
Active Config Applied Active Other unit want me Active
                                                                                                                (Impostato con il comando config)

> mostra cronologia failover
=============================================================================
Da Stato A Stato Motivo
=============================================================================

09:27:11 UTC lug 18 2024
Attivo pronto per lo standby impostato con il comando config
                                                                                                               (nessun failover attivo)

Passaggio 3. Dopo la verifica, riattivare l'unità principale.

Attività 5. Separare la coppia HA

Attività richiesta:

Dall'FMC, separare la coppia di failover.

Soluzione:

Passaggio 1. Selezionare l'icona.

Switch Active Peer Break

Passaggio 2. Controllare la notifica.

Confirm Break Message Notification

Passaggio 3. Annotare il messaggio.

High Availability Notification Message

Passaggio 4. Verificare i risultati dalla GUI del FMC o dalla CLI.

Passaggio 5. Visualizzare la configurazione corrente sull'unità primaria prima e dopo l'interruzione di HA:

Unità principale/standby prima dell'interruzione HA

Unità principale dopo l'interruzione HA

> show running-config
: Salvato

:
: Numero di serie: FLM1949C5R
: Hardware: FPR4K-SM-24, 73850 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname firepower
abilita password **** crittografata
strong-encryption-disable
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif Esterno
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
descrizione Interfaccia di failover LAN/STATE
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif Inside
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
modalità ftp passiva
ngips conn-match vlan-id
controllo dell'accesso object group search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268434433: CRITERI DI ACCESSO: acp_simple - Impostazione predefinita
access-list CSM_FW_ACL_ note rule-id 268434433: REGOLA L4: REGOLA D'AZIONE PREDEFINITA
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu esterna a 1500
mtu diagnostic 1500
mtu all'interno di 1500
failover
unità lan di failover principale
failover interfaccia lan FOVER Port-channel3
http per la replica di failover
indirizzo mac di failover Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
indirizzo mac di failover Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
collegamento di failover FOVER Port-channel3
interfaccia di failover ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<output omesso>

INFORMAZIONI: L'apparecchio è attualmente in stato di standby. Disattivando il failover, l'apparecchio rimane in stato di standby.

> show running-config
: Salvato

:
: Numero di serie: FLM1949C5R
: Hardware: FPR4K-SM-24, 73850 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname firepower
abilita password **** crittografata
strong-encryption-disable
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel3
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interfaccia Ethernet1/1
solo gestione
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interfaccia Ethernet1/4
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
modalità ftp passiva
ngips conn-match vlan-id
controllo dell'accesso object group search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268439552: CRITERI DI ACCESSO: acp_simple - Obbligatorio
access-list CSM_FW_ACL_ note rule-id 268439552: REGOLA L7: regola1
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
nessun failover
<output omesso>

Unità secondaria/attiva prima dell'interruzione HA

Unità secondaria dopo l'interruzione HA

> show running-config
: Salvato

:
: Numero di serie: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname firepower
abilita password **** crittografata
strong-encryption-disable
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif Esterno
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
descrizione Interfaccia di failover LAN/STATE
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif Inside
livello di protezione 0
indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
modalità ftp passiva
ngips conn-match vlan-id
controllo dell'accesso object group search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268439552: CRITERI DI ACCESSO: acp_simple - Obbligatorio
access-list CSM_FW_ACL_ note rule-id 268439552: REGOLA L7: regola1
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu esterna a 1500
mtu diagnostic 1500
mtu all'interno di 1500
failover
unità lan di failover secondaria
failover interfaccia lan FOVER Port-channel3
http per la replica di failover
collegamento di failover FOVER Port-channel3
interfaccia di failover ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<output omesso>

  

> show running-config
: Salvato

:
: Numero di serie: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname firepower
abilita password **** crittografata
strong-encryption-disable
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif Esterno
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif Inside
livello di protezione 0
indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
modalità ftp passiva
ngips conn-match vlan-id
controllo dell'accesso object group search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268439552: CRITERI DI ACCESSO: acp_simple - Obbligatorio
access-list CSM_FW_ACL_ note rule-id 268439552: REGOLA L7: regola1
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu esterna a 1500
mtu diagnostic 1500
mtu all'interno di 1500
nessun failover
nessuna interfaccia monitor esterna
no monitor-interface service-module

<output omesso>

Considerazioni principali per la separazione della coppia HA:

Unità principale/standby

Unità secondaria/attiva
  • Tutta la configurazione di failover è stata rimossa
  • Tutta la configurazione IP è stata rimossa
  • Tutta la configurazione di failover è stata rimossa
  • Gli IP in standby rimangono, ma vengono rimossi nella distribuzione successiva

Passaggio 6. Al termine dell'operazione, ricreare la coppia HA.

Attività 6. Eliminare una coppia HA

Questa attività si basa su un'installazione HA su 41xx con software 7.2.8. In questo caso, inizialmente i dispositivi si trovavano nei seguenti stati:

  • Principale/Standby
  • Secondario/Attivo

Attività richiesta:

Eliminare la coppia di failover dal FMC.

Soluzione:

Passaggio 1. Scegliere l'icona.

FTD Switch Active Peer - Delete

Passaggio 2. Esaminare la notifica e confermare.

FTD Switch Active Peer - Confirm Deletion Message

Passaggio 3. Dopo aver eliminato la coppia HA, entrambi i dispositivi vengono annullati (rimossi) dall'FMC.

Passaggio 4. Visualizzare il risultato della configurazione corrente dalla CLI di LINA:

Unità principale (standby)

Unità secondaria (attiva)

> show running-config
: Salvato

:
: Numero di serie: FLM1949C5R
: Hardware: FPR4K-SM-24, 73853 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname Firepower-module1
abilita password **** crittografata
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif NET202
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel 2.203
vlan 203
nameif NET203
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
descrizione Interfaccia di failover LAN/STATE
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif NET204
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
modalità ftp passiva
ngips conn-match vlan-id
nessun controllo di accesso object-group-search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268434433: CRITERI DI ACCESSO: acp_simple - Impostazione predefinita
access-list CSM_FW_ACL_ note rule-id 268434433: REGOLA L4: REGOLA D'AZIONE PREDEFINITA
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
tcp-options md5 clear
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu NET 202 1500
mtu NET 203 1500
mtu diagnostic 1500
mtu NET 204 1500
failover
unità lan di failover principale
failover interfaccia lan FOVER Port-channel3
http per la replica di failover
collegamento di failover FOVER Port-channel3
interfaccia di failover ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
interfaccia monitor NET203
icmp unreachable rate-limit 1 burst-size 1

<output omesso>

> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel 2.202 NET20 172.16.202.1 255.255.255.0 CONFIG
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel 2.202 NET20 172.16.202.2 255.255.255.0 CONFIG
Port-channel 2.203 NET203 172.16.203.2 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.2 255.255.255.0 CONFIG

> mostra failover
Failover attivato
Unità di failover primaria
Interfaccia LAN di failover: FOVER Port-channel3 (su)
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 4 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato
http per la replica di failover
Version: Ours 9.18(4)210, Mate 9.18(4)210
Numero di serie: FLM1949C5R, Mate FLM2108V9YG
Ultimo failover alle: 13:56:37 UTC lug 16 2024
Questo host: Principale - Pronto per standby
Tempo di attività: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Interfaccia NET202 (172.16.202.2): Normale (monitorato)
Interfaccia NET203 (172.16.203.2): Normale (monitorato)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.2): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)
Altro host: Secondario - Attivo
Tempo di attività: 70293 (sec)
Interfaccia NET202 (172.16.202.1): Normale (monitorato)
Interfaccia NET203 (172.16.203.1): Normale (monitorato)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.1): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)

<output omesso>

> show running-config
: Salvato

:
: Numero di serie: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname Firepower-module1
abilita password **** crittografata
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif NET202
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel 2.203
vlan 203
nameif NET203
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
descrizione Interfaccia di failover LAN/STATE
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif NET204
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
modalità ftp passiva
ngips conn-match vlan-id
nessun controllo di accesso object-group-search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268434433: CRITERI DI ACCESSO: acp_simple - Impostazione predefinita
access-list CSM_FW_ACL_ note rule-id 268434433: REGOLA L4: REGOLA D'AZIONE PREDEFINITA
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
tcp-options md5 clear
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu NET 202 1500
mtu NET 203 1500
mtu diagnostic 1500
mtu NET 204 1500
failover
unità lan di failover secondaria
failover interfaccia lan FOVER Port-channel3
http per la replica di failover
collegamento di failover FOVER Port-channel3
interfaccia di failover ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
interfaccia monitor NET203
icmp unreachable rate-limit 1 burst-size 1

<output omesso>

> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel 2.202 NET20 172.16.202.1 255.255.255.0 CONFIG
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel 2.202 NET20 172.16.202.1 255.255.255.0 CONFIG
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.2 255.255.255.0 non impostato
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

> mostra failover
Failover attivato
Unità di failover secondaria
Interfaccia LAN di failover: FOVER Port-channel3 (su)
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 4 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato
http per la replica di failover
Version: Ours 9.18(4)210, Mate 9.18(4)210
Numero di serie: FLM2108V9YG, Mate FLM1949C5RR
Ultimo failover alle: 13:42:35 UTC lug 16 2024
Questo host: Secondario - Attivo
Tempo di attività: 70312 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Interfaccia NET202 (172.16.202.1): Normale (monitorato)
Interfaccia NET203 (172.16.203.1): Normale (monitorato)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.1): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)
Altro host: Principale - Pronto per standby
Tempo di attività: 0 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Interfaccia NET202 (172.16.202.2): Normale (monitorato)
Interfaccia NET203 (172.16.203.2): Normale (monitorato)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.2): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)

<output omesso>

Passaggio 5. La registrazione di entrambi i dispositivi FTD sull'FMC è stata annullata:

> show managers
No managers configured.

Considerazioni principali per la disabilitazione della coppia HA nell'FMC:

Unità Principale

Unità Secondaria

Il dispositivo viene rimosso dall'FMC.

Nessuna configurazione rimossa dal dispositivo FTD.

Il dispositivo viene rimosso dall'FMC.

Nessuna configurazione rimossa dal dispositivo FTD.

Scenario 1:

Eseguire il comando configure high-availability disable per rimuovere la configurazione di failover dal dispositivo FTD attivo:

> configure high-availability disable ?
Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
<cr> 
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

Il risultato:

Unità primaria (ex standby)

Unità secondaria (ex attiva)

> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.

> show failover
Failover Off (pseudo-Standby)
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset

> show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1291 maximum
MAC Address Move Notification Interval not set

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

Principale (ex standby)

Secondario (ex attivo)

> show running-config
: Salvato

:
: Numero di serie: FLM1949C5R
: Hardware: FPR4K-SM-24, 73853 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname Firepower-module1
abilita password **** crittografata
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip <- gli IP vengono rimossi
!
interface Port-channel3
descrizione Interfaccia di failover LAN/STATE
!
interfaccia Ethernet1/1
solo gestione
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interfaccia Ethernet1/4
shutdown
no nameif
nessun livello di protezione
nessun indirizzo ip
!
modalità ftp passiva
ngips conn-match vlan-id
nessun controllo di accesso object-group-search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268434433: CRITERI DI ACCESSO: acp_simple - Impostazione predefinita
access-list CSM_FW_ACL_ note rule-id 268434433: REGOLA L4: REGOLA D'AZIONE PREDEFINITA
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
tcp-options md5 clear
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
nessun failover
unità lan di failover principale
failover interfaccia lan FOVER Port-channel3
http per la replica di failover
collegamento di failover FOVER Port-channel3
interfaccia di failover ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
no monitor-interface service-module

<output omesso>

> show running-config
: Salvato

:
: Numero di serie: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB di RAM, CPU Xeon serie E5 2200 MHz, 2 CPU (48 core)
:
NGFW versione 7.2.8
!
hostname Firepower-module1
abilita password **** crittografata
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
modulo di servizio 0 keepalive-counter 6
nomi
nessun indirizzo mac automatico

!
interface Port-channel2
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interface Port-channel 2.202
vlan 202
nameif NET202
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel 2.203
vlan 203
nameif NET203
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
no nameif
nessun livello di protezione
nessun indirizzo ip
!
interfaccia Ethernet1/1
solo gestione
diagnostica nameif
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
nessun indirizzo ip
!
interfaccia Ethernet1/4
nameif NET204
manuale cat
propagazione di sgt preserve-untag
criterio statico sgt disabilitato attendibile
livello di protezione 0
indirizzo ip 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
modalità ftp passiva
ngips conn-match vlan-id
nessun controllo di accesso object-group-search
access-group CSM_FW_ACL_ globale
access-list CSM_FW_ACL_ note rule-id 9998: CRITERIO PREFILTRO: Tunnel predefinito e criterio di priorità
access-list CSM_FW_ACL_ note rule-id 9998: REGOLA: REGOLA AZIONE TUNNEL PREDEFINITA
access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced allow udp qualsiasi intervallo 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998
access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998
access-list CSM_FW_ACL_ note rule-id 268434433: CRITERI DI ACCESSO: acp_simple - Impostazione predefinita
access-list CSM_FW_ACL_ note rule-id 268434433: REGOLA L4: REGOLA D'AZIONE PREDEFINITA
access-list CSM_FW_ACL_ advanced permission ip any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
intervallo di opzioni tcp 6/7 consentito
intervallo di opzioni tcp 9 18 consentito
intervallo di opzioni tcp 20-255 consentito
tcp-options md5 clear
consenti contrassegno urgente
!
nessun cercapersone
nessun messaggio di registrazione 106015
nessun messaggio di logging 313001
nessun messaggio di registrazione 313008
nessun messaggio di registrazione 106023
nessun messaggio di registrazione 710003
nessun messaggio di registrazione 106100
nessun messaggio di registrazione 302015
nessun messaggio di registrazione 302014
nessun messaggio di registrazione 302013
nessun messaggio di registrazione 302018
nessun messaggio di registrazione 302017
nessun messaggio di registrazione 302016
nessun messaggio di logging 302021
nessun messaggio di registrazione 302020
mtu NET 202 1500
mtu NET 203 1500
mtu diagnostic 1500
mtu NET 204 1500
nessun failover
monitor-interface NET202
interfaccia monitor NET203
no monitor-interface service-module

Note principali per disabilitare HA dalla CLI FTD attiva:

Unità attiva

Unità di standby
  • Configurazione di failover rimossa
  • Gli IP in standby non vengono rimossi
  • Le configurazioni delle interfacce sono state rimosse.
  • La configurazione di failover non viene rimossa, ma il failover è disabilitato (pseudo-standby)

A questo punto, è possibile disattivare l'HA sull'unità ex-Standby.

Scenario 2 (non consigliato)

Avviso: Questo scenario determina una situazione attiva/attiva. Per questo motivo non è consigliabile. È mostrato solo per la consapevolezza.

Eseguire il comando 'configure high-availability disable' per rimuovere la configurazione del failover dal dispositivo FTD in standby:

> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

Il risultato:

Principale (ex standby)

Secondario (attivo)

> mostra failover
Failover disattivato
Unità di failover secondaria
Interfaccia LAN di failover: non configurato
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 4 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato


> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manuale <- Il dispositivo utilizza gli stessi indirizzi IP dell'ex-Active!
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET20 172.16.202.1 255.255.255.0 manuale
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0

> mostra failover
Failover su <- Failover non disabilitato
Unità di failover secondaria
Interfaccia LAN di failover: FOVER Port-channel3 (su)
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 4 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato
http per la replica di failover
Version: Ours 9.18(4)210, Mate 9.18(4)210
Numero di serie: FLM2108V9YG, Mate FLM1949C5RR
Ultimo failover alle: 12:44:06 UTC lug 17 2024
Questo host: Secondario - Attivo
Tempo di attività: 632 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.1): Normale (monitorato)
Interfaccia NET203 (172.16.203.1): Normale (monitorato)
Interfaccia NET202 (172.16.202.1): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)
Altro host: Primario - Disabilitato
Tempo di attività: 932 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Diagnostica interfaccia (0.0.0.0): Sconosciuto (in attesa)
Interfaccia NET204 (172.16.204.2): Sconosciuto (monitorato)
Interfaccia NET203 (172.16.203.2): Sconosciuto (monitorato)
Interfaccia NET202 (172.16.202.2): Sconosciuto (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)

> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manuale <- Il dispositivo utilizza gli stessi IP dell'ex-standby!
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET20 172.16.202.1 255.255.255.0 manuale
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Port-channel3 FOVER 172.16.51.2 255.255.255.0 non impostato
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0

Note principali per disabilitare HA dalla CLI FTD attiva:

Unità attiva

Unità di standby
  • La configurazione di failover non viene rimossa e rimane abilitata
  • Il dispositivo usa gli stessi IP dell'unità ex-Standby
  • Configurazione di failover rimossa
  • Il dispositivo utilizza gli stessi IP dell'unità attiva

Scenario 3:

Eseguire il comando configure high-availability disable clear-interfaces per rimuovere la configurazione del failover dal dispositivo FTD attivo:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

>

Il risultato:

Principale (ex standby)

Secondario (ex attivo)

> mostra failover
Failover disattivato (pseudo standby)
Unità di failover primaria
Interfaccia LAN di failover: FOVER Port-channel3 (su)
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 0 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato
http per la replica di failover


> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
>

> mostra failover
Failover disattivato
Unità di failover secondaria
Interfaccia LAN di failover: non configurato
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 0 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato


> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
>

Principali punti da notare per Disable HA insieme a clear-interfaces da Active FTD CLI:

Unità attiva

Unità di standby
  • Configurazione di failover rimossa
  • Gli IP vengono rimossi
  • La configurazione di failover non viene rimossa, ma il failover è disabilitato (pseudo-standby)
  • Gli IP vengono rimossi

Scenario 4

Eseguire il comando 'configure high-availability disable clear-interfaces' per rimuovere la configurazione del failover dal dispositivo FTD in standby:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

>

Il risultato:

Principale (ex standby)

Secondario (attivo)

> mostra failover
Failover disattivato
Unità di failover secondaria
Interfaccia LAN di failover: non configurato
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 0 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato


> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
>

> mostra failover
Failover attivato
Unità di failover secondaria
Interfaccia LAN di failover: FOVER Port-channel3 (su)
Timeout riconnessione 0:00:00
Frequenza Unit Poll 1 secondi, tempo di attesa 15 secondi
Frequenza di polling interfaccia 5 secondi, tempo di attesa 25 secondi
Criterio interfaccia 1
Interfacce monitorate 4 di 1291 massimo
Intervallo di notifica spostamento indirizzo MAC non impostato
http per la replica di failover
Version: Ours 9.18(4)210, Mate 9.18(4)210
Numero di serie: FLM2108V9YG, Mate FLM1949C5RR
Ultimo failover alle: 07:06:56 UTC lug 18 2024
Questo host: Secondario - Attivo
Tempo di attività: 1194 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Diagnostica interfaccia (0.0.0.0): Normale (in attesa)
Interfaccia NET204 (172.16.204.1): Normale (monitorato)
Interfaccia NET202 (172.16.202.1): Normale (monitorato)
Interfaccia NET203 (172.16.203.1): Normale (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)
Altro host: Primario - Disabilitato
Tempo di attività: 846 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema attivo)
Diagnostica interfaccia (0.0.0.0): Sconosciuto (in attesa)
Interfaccia NET204 (172.16.204.2): Sconosciuto (monitorato)
Interfaccia NET202 (172.16.202.2): Sconosciuto (monitorato)
Interfaccia NET203 (172.16.203.2): Sconosciuto (monitorato)
slot 1: stato snort rev (1.0) (su)
slot 2: diskstatus rev (1.0) status (attivo)

> mostra ip
Indirizzi IP di sistema:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET20 172.16.202.1 255.255.255.0 manuale
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0
Indirizzi IP correnti:
Nome interfaccia Indirizzo IP Subnet mask, metodo
Port-channel2.202 NET20 172.16.202.1 255.255.255.0 manuale
Port-channel 2.203 NET203 172.16.203.1 255.255.255.0 manuale
Port-channel3 FOVER 172.16.51.2 255.255.255.0 non impostato
Manuale Ethernet1/4 NET204 172.16.204.1 255.255.255.0

Principali punti da notare per disabilitare HA insieme alle interfacce clear dalla CLI FTD attiva:

Unità attiva

Unità di standby
  • Configurazione di failover non rimossa
  • Gli indirizzi IP non vengono rimossi
  • Configurazione di failover rimossa
  • Gli IP vengono rimossi

Passaggio 6. Al termine dell'operazione, registrare i dispositivi nel FMC e abilitare la coppia HA.

Attività 7. Sospendere la coppia HA

Attività richiesta:

Sospendere la coppia HA dalla CLI CLISH dell'FTD.

Soluzione:

Passaggio 1. Sull'FTD Principale, eseguire il comando e confermare (digitare YES).

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Passaggio 2. Verificare le modifiche sull'unità Principale:

> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Passaggio 3. Il risultato sull'unità secondaria:

> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

Passaggio 4. Riprendere HA sull'unità primaria:

> configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Passaggio 5. I risultati sull'unità secondaria dopo la ripresa di HA:

> ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

Domande frequenti (FAQ)


Q: Quando la configurazione viene replicata, viene salvata immediatamente (riga per riga) o al termine della replica?
R: Al termine della replica. Fare riferimento alla fine dell'output del comando debug fover sync che mostra la replica della configurazione/del comando:

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory        <--


D: Cosa succede se un'unità si trova in uno stato di pseudo-standby (failover disabilitato) e poi viene ricaricata mentre l'altra unità ha il failover abilitato ed è attiva?
R: Si finisce in uno scenario Attivo/Attivo (anche se tecnicamente è un Active/Failover-off). In particolare, una volta che l'unità si accende, il failover viene disabilitato; tuttavia, l'unità utilizza gli stessi IP dell'unità attiva. In realtà, si ha quindi:

  • Unità 1: Active
  • Unità 2: Il failover è disattivato e l'unità utilizza gli stessi IP dati dell'unità 1, ma indirizzi MAC diversi.


Q: Cosa succede alla configurazione del failover se il failover viene disabilitato manualmente (configurazione della sospensione a disponibilità elevata) e il dispositivo viene ricaricato?
R: Quando si disabilita il failover, non si tratta di una modifica permanente (non viene salvata nella configurazione di avvio a meno che non si decida di farlo esplicitamente). È possibile riavviare/ricaricare l'unità in due modi diversi e con il secondo occorre prestare attenzione:

Scenario 1. Riavvio dalla CLISH

Il riavvio dalla CLISH non richiede conferma. Pertanto, la modifica della configurazione non viene salvata nella configurazione di avvio:

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Failover disabilitato in running-config. In questo caso, l'unità si trovava in modalità Standby e si trovava nello stato pseudo-Standby previsto per evitare uno scenario Attivo/Attivo:

firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


Il failover è ancora abilitato nella configurazione di avvio:

firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Riavviare il dispositivo dalla CLISH (comando reboot):

> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

Una volta attivata l'unità, poiché il failover è abilitato, il dispositivo passa nella fase di negoziazione del failover e tenta di rilevare il peer remoto:

User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


Caso 2. Riavvio da LINA CLI:
Riavviare da LINA (comando reload) e chiedere conferma. Pertanto, se si seleziona Y (Sì) e la modifica della configurazione viene salvata nella configurazione di avvio:

firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y  <-- Be careful. This disables the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Dopo l'attivazione dell'unità, il failover viene disabilitato:

firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

Nota: Per evitare questo scenario, accertarsi di non salvare le modifiche alla configurazione di avvio quando richiesto.

Informazioni correlate

  • Fare riferimento a tutte le versioni della guida alla configurazione di Cisco Firepower Management Center:

Navigazione nella documentazione di Cisco Secure Firewall Threat Defense

  • Fare riferimento a tutte le versioni della guida alla configurazione di FXOS Chassis Manager e CLI:

Navigazione nella documentazione di Cisco Firepower 4100/9300 FXOS

  • Cisco Global Technical Assistance Center (TAC) consiglia vivamente questa guida visiva per una conoscenza pratica e approfondita delle tecnologie di sicurezza di nuova generazione di Cisco Firepower:

Cisco Firepower Threat Defense (FTD): Best practice per la configurazione e la risoluzione dei problemi relativi a Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS) e Advanced Malware Protection (AMP)

  • Fare riferimento a tutte le note tecniche sulla configurazione e la risoluzione dei problemi relative alle tecnologie Firepower:

Cisco Secure Firewall Management Center

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
5.0
05-Jun-2026
SEO, Introduzione, formattazione aggiornati. ortografia, spaziatura e numerazione.
4.0
19-Jul-2024
SEO, requisiti di stile e formattazione aggiornati. Inoltre, le attività sono ora basate sulla versione 7.2.8 del software.
3.0
07-Aug-2023
SEO, requisiti di stile e formattazione aggiornati.
2.0
04-Aug-2022
Articolo aggiornato per la formattazione, i requisiti di stile, la traduzione automatica, i gerundi e la grammatica.
1.0
29-Sep-2021
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Olha Yakovenko
    Cisco TAC Engineer
  • Mikis Zafeiroudis
    Cisco TAC Engineer
  • John Long
    Cisco TAC Engineer

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti