La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto come configurare e verificare la coppia di Firepower Threat Defense (FTD) con funzionalità High Availability (HA) (failover Attivo/Standby) sulle appliance FPR9300.
Nessun requisito specifico previsto per questo documento.
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Nota: su un accessorio FPR9300 con FTD, è possibile configurare solo HA tra chassis. Le due unità di una configurazione HA devono soddisfare le condizioni indicate qui.
Attività richiesta:
Verificare che entrambi gli accessori FTD soddisfino i requisiti della nota e possano essere configurati come unità HA.
Soluzione:
Passaggio 1. Connettersi all'IP di gestione FPR9300 e verificare l'hardware del modulo.
Verificare l'hardware FPR9300-1.
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
Verificare l'hardware FPR9300-2.
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
Passaggio 2. Accedere a FPR9300-1 Chassis Manager e selezionare Logical Devices.
Verificare la versione del software, il numero e il tipo di interfacce, come mostrato nelle immagini.
FPR9300-1
FPR9300-2
Attività richiesta:
Configurare il failover Attivo/Standby (HA) come nell'immagine seguente.
Soluzione:
Entrambi i dispositivi FTD sono già registrati sull'FMC, come mostrato nell'immagine.
Passaggio 1. Per configurare il failover FTD, selezionare Dispositivi > Gestione dispositivi e scegliere Aggiungi alta disponibilità come mostrato nell'immagine.
Passaggio 2. Immettere il peer primario e il peer secondario, quindi scegliere Continua come mostrato nell'immagine.
Avvertenza: assicurarsi di selezionare l'unità corretta come unità principale. Tutte le configurazioni sull'unità primaria selezionata vengono replicate sull'unità FTD secondaria selezionata. In seguito alla replica, la configurazione corrente sull'unità secondaria può essere sostituita.
Per creare una coppia HA tra 2 dispositivi FTD, è necessario soddisfare le seguenti condizioni:
Nota: questa condizione deve essere verificata sia sui dispositivi FTD che sull'interfaccia grafica dell'FMC, in quanto in alcuni casi gli FTD avevano la stessa modalità, ma l'interfaccia dell'FMC non la riflette.
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
Nota: nell'FTD successivo alla 6.3 usare il comando show chassis detail.
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
Se entrambi gli chassis hanno lo stesso nome, modificarne uno con questi comandi:
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
Dopo aver modificato il nome dello chassis, annullare la registrazione dell'FTD dall'FMC e registrarlo di nuovo. Quindi, procedere con la creazione della coppia HA.
Passaggio 3. Configurare HA e lo stato delle impostazioni dei collegamenti.
In questo caso, le impostazioni del collegamento dello stato sono le stesse del collegamento High Availability.
Scegliere Aggiungi e attendere alcuni minuti prima che la coppia HA venga distribuita come mostrato nell'immagine.
Passaggio 4. Configurare le interfacce dati (indirizzi IP primario e in standby)
Dall'interfaccia utente di FMC, scegliere HA Edit, come mostrato nell'immagine.
Passaggio 5. Configurare le impostazioni dell'interfaccia come mostrato nelle immagini.
Interfaccia Ethernet 1/5.
Interfaccia Ethernet 1/6.
Passaggio 6. Passare a Alta disponibilità e scegliere il nome dell'interfaccia Modifica per aggiungere gli indirizzi IP in standby, come mostrato nell'immagine.
Passaggio 7. Per l'interfaccia Inside come mostrato nell'immagine.
Passaggio 8. Ripetere l'operazione per l'interfaccia esterna.
Passaggio 9. Verificare il risultato come mostrato nell'immagine.
Passaggio 10. Rimanere nella scheda Alta disponibilità e configurare gli indirizzi MAC virtuali come mostrato nell'immagine.
Passaggio 11. Per l'interfaccia interna è come mostrato nell'immagine.
Passaggio 12. Ripetere l'operazione per l'interfaccia esterna.
Passaggio 13. Verificare il risultato come mostrato nell'immagine.
Passaggio 14. Dopo aver configurato le modifiche, scegliere Salva e distribuisci.
Attività richiesta:
Verificare le impostazioni HA della coppia di FTD e le licenze abilitate dalla GUI dell'FMC e dalla CLI degli FTD.
Soluzione:
Passaggio 1. Passare a Riepilogo e controllare le impostazioni HA e le licenze abilitate come mostrato nell'immagine.
Passaggio 2. Dalla CLI di FTD CLISH, eseguire i seguenti comandi:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
Passaggio 3. Eseguire la stessa operazione sul dispositivo secondario.
Passaggio 4. Eseguire il comando show failover state dalla CLI di LINA:
firepower# show failover state State Last Failure Reason Date/Time This host - Primary Active None Other host - Secondary Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016 ====Configuration State=== Sync Done ====Communication State=== Mac set firepower#
Passaggio 5. Verificare la configurazione dall'unità principale (LINA CLI):
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
Attività richiesta:
Dall'FMC, invertire i ruoli di failover da Principale/Attivo, Secondario/Standby a Principale/Standby, Secondario/Attivo
Soluzione:
Passaggio 1. Selezionate l'icona come mostrato nell'immagine.
Passaggio 2. Confermare l'azione sulla finestra popup come mostrato nell'immagine.
Passaggio 3. Verificare il risultato come mostrato nell'immagine.
Dalla CLI LINA, è possibile verificare che il comando no failover active è stato eseguito sull'unità Principale/Attiva:
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
È possibile usare anche il comando show failover history:
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
Passaggio 4. Dopo la verifica, riattivare l'unità principale.
Attività richiesta:
Dall'FMC, separare la coppia di failover.
Soluzione:
Passaggio 1. Selezionate l'icona come mostrato nell'immagine.
Passaggio 2. Controllare la notifica come mostrato nell'immagine.
Passaggio 3. Osservate il messaggio come mostrato nell'immagine.
Passaggio 4. Verificare il risultato dall'interfaccia utente di FMC, come mostrato nell'immagine.
Output del comando show running-config sull'unità Principale prima e dopo la separazione della coppia HA:
Prima della separazione della coppia HA |
Dopo la separazione della coppia HA |
firepower# sh run : salvato : : numero di serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 descrizione Interfaccia di failover LAN/STATE ! interfaccia Ethernet1/5 nameif Inside livello di protezione 0 indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interfaccia Ethernet1/6 nameif Esterno livello di protezione 0 indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione standby di registrazione dimensione buffer di registrazione 100000 registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu all'interno di 1500 mtu esterna a 1500 failover unità lan di failover principale interfaccia lan di failover fover_link Ethernet1/4 http per la replica di failover indirizzo mac di failover Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 indirizzo mac di failover Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 collegamento di failover fover_link Ethernet1/4 interfaccia di failover ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:933c594fc0264082edc0f24bad358031 : fine firepower# |
firepower# sh run : salvato : : numero di serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Ethernet1/5 nameif Inside livello di protezione 0 indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interfaccia Ethernet1/6 nameif Esterno livello di protezione 0 indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione standby di registrazione dimensione buffer di registrazione 100000 registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu all'interno di 1500 mtu esterna a 1500 nessun failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum: fb6f5c369dee730b9125650517dbb059 : fine firepower# |
show running-config sull'unità secondaria prima e dopo l'interruzione HA, come mostrato nella tabella riportata di seguito.
Prima della separazione della coppia HA |
Dopo la separazione della coppia HA |
firepower# sh run : salvato : : numero di serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 descrizione Interfaccia di failover LAN/STATE ! interfaccia Ethernet1/5 nameif Inside livello di protezione 0 indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interfaccia Ethernet1/6 nameif Esterno livello di protezione 0 indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione standby di registrazione dimensione buffer di registrazione 100000 registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu all'interno di 1500 mtu esterna a 1500 failover unità lan di failover secondaria interfaccia lan di failover fover_link Ethernet1/4 http per la replica di failover indirizzo mac di failover Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 indirizzo mac di failover Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 collegamento di failover fover_link Ethernet1/4 interfaccia di failover ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : fine firepower# |
firepower# sh run : salvato : : numero di serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Ethernet1/5 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Ethernet1/6 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone nessun messaggio di registrazione 106015 nessun messaggio di logging 313001 nessun messaggio di registrazione 313008 nessun messaggio di registrazione 106023 nessun messaggio di registrazione 710003 nessun messaggio di registrazione 106100 nessun messaggio di registrazione 302015 nessun messaggio di registrazione 302014 nessun messaggio di registrazione 302013 nessun messaggio di registrazione 302018 nessun messaggio di registrazione 302017 nessun messaggio di registrazione 302016 nessun messaggio di logging 302021 nessun messaggio di registrazione 302020 mtu diagnostic 1500 nessun failover no monitor-interface service-module icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3 : fine firepower# |
Considerazioni principali per la separazione della coppia HA:
Unità Principale |
Unità Secondaria |
Tutta la configurazione di failover è stata rimossa. Gli indirizzi IP in standby rimangono invariati. |
Tutta la configurazione è stata rimossa. |
Passaggio 5. Al termine dell'operazione, ricreare la coppia HA.
Attività richiesta:
Dall'FMC, disabilitare la coppia di failover.
Soluzione:
Passaggio 1. Scegliere l'icona come illustrato nell'immagine.
Passaggio 2. Controllare la notifica e confermare come mostrato nell'immagine.
Passaggio 3. Dopo aver eliminato l'HA, entrambe le periferiche vengono rimosse dalla FMC.
Output del comando show running-config dalla CLI LINA:
Unità Principale |
Unità Secondaria |
firepower# sh run : salvato : : numero di serie: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 descrizione Interfaccia di failover LAN/STATE ! interfaccia Ethernet1/5 nameif Inside livello di protezione 0 indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interfaccia Ethernet1/6 nameif Esterno livello di protezione 0 indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione standby di registrazione dimensione buffer di registrazione 100000 registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu all'interno di 1500 mtu esterna a 1500 failover unità lan di failover principale interfaccia lan di failover fover_link Ethernet1/4 http per la replica di failover indirizzo mac di failover Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 indirizzo mac di failover Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 collegamento di failover fover_link Ethernet1/4 interfaccia di failover ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:933c594fc0264082edc0f24bad358031 : fine firepower# |
firepower# sh run : salvato : : numero di serie: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB di RAM, CPU Xeon serie E5 2294 MHz, 2 CPU (72 core) : NGFW versione 10.10.1.1 ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi ! interfaccia Ethernet1/2 solo gestione diagnostica nameif livello di protezione 0 nessun indirizzo ip ! interfaccia Ethernet1/4 descrizione Interfaccia di failover LAN/STATE ! interfaccia Ethernet1/5 nameif Inside livello di protezione 0 indirizzo ip 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interfaccia Ethernet1/6 nameif Esterno livello di protezione 0 indirizzo ip 192.168.76.10 255.255.255.0 standby 192.168.76.11 ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 268447744: ACCESS POLICY: FTD9300 - Obbligatorio/1 access-list CSM_FW_ACL_ note rule-id 268447744: L4 RULE: Allow_ICMP access-list CSM_FW_ACL_ advanced permission icmp any rule-id 268447744 event-log both access-list CSM_FW_ACL_ note rule-id 268441600: ACCESS POLICY: FTD9300 - Default/1 access-list CSM_FW_ACL_ note rule-id 268441600: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268441600 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 255 consentito consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione standby di registrazione dimensione buffer di registrazione 100000 registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 mtu diagnostic 1500 mtu all'interno di 1500 mtu esterna a 1500 failover unità lan di failover secondaria interfaccia lan di failover fover_link Ethernet1/4 http per la replica di failover indirizzo mac di failover Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 indirizzo mac di failover Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 collegamento di failover fover_link Ethernet1/4 interfaccia di failover ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp unreachable rate-limit 1 -size 1 nessuna abilitazione cronologia asdm arp timeout 1440 nessuna autorizzazione arp non connessa access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 user-identity default-domain LOCAL aaa proxy-limit disable nessun percorso snmp-server nessun contatto snmp-server no snmp-server enable traps snmp authentication linkup link down coldstart crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 ssh stricthostkeycheck timeout ssh 5 ssh: gruppo di scambio chiavi dh-group1-sha1 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : fine firepower# |
Passaggio 4. La registrazione di entrambi i dispositivi FTD è stata annullata dal CCP:
> show managers No managers configured.
Considerazioni principali per la disabilitazione della coppia HA nell'FMC:
Unità Principale |
Unità Secondaria |
Il dispositivo viene rimosso dall'FMC. Nessuna configurazione rimossa dal dispositivo FTD. |
Il dispositivo viene rimosso dall'FMC. Nessuna configurazione rimossa dal dispositivo FTD. |
Passaggio 5. Eseguire questo comando per rimuovere la configurazione del failover dai dispositivi FTD:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
Nota: è necessario eseguire il comando su entrambe le unità
Il risultato:
Unità Principale |
Unità Secondaria |
> show failover Failover Off |
> show failover > |
Primario |
Secondaria |
esecuzione presentazione firepower# ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi arp timeout 1440 nessuna autorizzazione arp non connessa limite di velocità arp 16384 ! interfaccia Gigabit Ethernet1/1 nameif esterno manuale cat propagazione di sgt preserve-untag criterio statico sgt disabilitato attendibile livello di protezione 0 indirizzo ip 10.1.1.1 255.255.255.0 <— l'indirizzo IP in standby è stato rimosso ! interfaccia Gigabit Ethernet1/2 nameif inside manuale cat propagazione di sgt preserve-untag criterio statico sgt disabilitato attendibile livello di protezione 0 indirizzo ip 192.168.1.1 255.255.255.0 <— l'IP in standby è stato rimosso ! interfaccia Gigabit Ethernet1/3 descrizione LAN Failover Interface ! interfaccia Gigabit Ethernet1/4 descrizione STATE Failover Interface ! interfaccia Gigabit Ethernet1/5 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/6 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/7 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet 1/8 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! Gestione interfaccia 1/1 solo gestione diagnostica nameif manuale cat propagazione di sgt preserve-untag criterio statico sgt disabilitato attendibile livello di protezione 0 nessun indirizzo ip ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 9998: PREFILTER POLICY: Criterio di priorità e tunnel predefinito access-list CSM_FW_ACL_ note rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998 access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998 access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998 access-list CSM_FW_ACL_ advanced allow udp any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ note rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1 access-list CSM_FW_ACL_ note rule-id 268435456: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 18 consentito intervallo di opzioni tcp 20-255 consentito tcp-options md5 clear consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 nessun messaggio di registrazione 106015 nessun messaggio di logging 313001 nessun messaggio di registrazione 313008 nessun messaggio di registrazione 106023 nessun messaggio di registrazione 710005 nessun messaggio di registrazione 710003 nessun messaggio di registrazione 106100 nessun messaggio di registrazione 302015 nessun messaggio di registrazione 302014 nessun messaggio di registrazione 302013 nessun messaggio di registrazione 302018 nessun messaggio di registrazione 302017 nessun messaggio di registrazione 302016 nessun messaggio di logging 302021 nessun messaggio di registrazione 302020 mtu esterna a 1500 mtu interna 1500 mtu diagnostic 1500 nessun failover icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm access-group CSM_FW_ACL_ globale 00 community **** versione 2c nessun percorso snmp-server nessun contatto snmp-server community snmp-server ***** service sw-reset-button crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 nessuna ispezione tcp tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare esmtp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:768a03e90b9d3539773b9d7af66b3452 |
esecuzione presentazione firepower# ! hostname firepower abilita password crittografata 8Ry2YjIyt7RXU24 nomi arp timeout 1440 nessuna autorizzazione arp non connessa limite di velocità arp 16384 ! interfaccia Gigabit Ethernet1/1 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/2 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/3 descrizione LAN Failover Interface ! interfaccia Gigabit Ethernet1/4 descrizione STATE Failover Interface ! interfaccia Gigabit Ethernet1/5 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/6 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet1/7 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! interfaccia Gigabit Ethernet 1/8 shutdown no nameif nessun livello di protezione nessun indirizzo ip ! Gestione interfaccia 1/1 solo gestione diagnostica nameif manuale cat propagazione di sgt preserve-untag criterio statico sgt disabilitato attendibile livello di protezione 0 nessun indirizzo ip ! modalità ftp passiva ngips conn-match vlan-id access-list CSM_FW_ACL_ note rule-id 9998: PREFILTER POLICY: Criterio di priorità e tunnel predefinito access-list CSM_FW_ACL_ note rule-id 9998: RULE: DEFAULT TUNNEL ACTION RULE access-list CSM_FW_ACL_ advanced allow ipinip any rule-id 9998 access-list CSM_FW_ACL_ advanced allow 41 qualsiasi rule-id 9998 access-list CSM_FW_ACL_ advanced allow gre any rule-id 9998 access-list CSM_FW_ACL_ advanced allow udp any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ note rule-id 268435456: ACCESS POLICY: FTD_HA - Default/1 access-list CSM_FW_ACL_ note rule-id 268435456: L4 RULE: DEFAULT ACTION RULE access-list CSM_FW_ACL_ advanced allow ip any rule-id 268435456 ! tcp-map UM_STATIC_TCP_MAP intervallo di opzioni tcp 6/7 consentito intervallo di opzioni tcp 9 18 consentito intervallo di opzioni tcp 20-255 consentito tcp-options md5 clear consenti contrassegno urgente ! nessun cercapersone attivazione registrazione timestamp registrazione registrazione del debug nel buffer logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 nessun messaggio di registrazione 106015 nessun messaggio di logging 313001 nessun messaggio di registrazione 313008 nessun messaggio di registrazione 106023 nessun messaggio di registrazione 710005 nessun messaggio di registrazione 710003 nessun messaggio di registrazione 106100 nessun messaggio di registrazione 302015 nessun messaggio di registrazione 302014 nessun messaggio di registrazione 302013 nessun messaggio di registrazione 302018 nessun messaggio di registrazione 302017 nessun messaggio di registrazione 302016 nessun messaggio di logging 302021 nessun messaggio di registrazione 302020 mtu esterna a 1500 mtu interna 1500 mtu diagnostic 1500 nessun failover unità lan di failover secondaria failover interfaccia lan FOVER Gigabit Ethernet1/3 http per la replica di failover STATO collegamento di failover Gigabit Ethernet1/4 interfaccia di failover ip FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2 interfaccia di failover ip STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2 icmp unreachable rate-limit 1 burst-size 1 nessuna abilitazione cronologia asdm access-group CSM_FW_ACL_ globale timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 user-identity default-domain LOCAL aaa proxy-limit disable host snmp-server esterno alla community 192.168.1.100 **** versione 2c nessun percorso snmp-server nessun contatto snmp-server community snmp-server ***** service sw-reset-button crypto ipsec security-association pmtu-aging infinite criterio trust pool ca crittografica timeout telnet 5 timeout console 0 Dynamic-Access-Policy-record DfltAccessPolicy ! class-map_inspection_default associare traffico-ispezione-predefinito ! ! tipo di mappa dei criteri inspect dns preset_dns_map parametri message-length maximum client auto messaggio-lunghezza massima 512 nessuna ispezione tcp tipo di mappa dei criteri inspect ip-options UM_STATIC_IP_OPTIONS_MAP parametri azione eool consentita azione nop consentita azione di avviso router consentita policy-map criteri_globali ispezione classe_default ispezionare dns preset_dns_map ispezionare ftp ispezionare h323 h225 ispezionare h323 ras ispezionare rsh ispezionare rtsp ispezionare esmtp ispezionare sqlnet ispezionare lo spessore ispezionare sunrpc ispezionare xdmcp ispezionare sip ispezionare netbios ispezionare tftp ispezionare icmp controlla errore icmp ispezionare dcerpc controllare le opzioni ip UM_STATIC_IP_OPTIONS_MAP class-default imposta connessione opzioni avanzate UM_STATIC_TCP_MAP ! criteri-servizio globali_criteri_globali prompt hostname context call-home profilo Cisco TAC-1 nessuna attività indirizzo di destinazione http https://tools.cisco.com/its/service/oddce/services/DDCEService indirizzo e-mail di destinazione callhome@cisco.com http metodo-trasporto-destinazione diagnostica sottoscrizione-gruppo di avvisi ambiente subscribe-to-alert-group sottoscrizione-ad-alert-group inventario mensile configurazione sottoscrizione-gruppo-avvisi mensile periodica sottoscrizione-a-alert-group telemetria periodica giornaliera Cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f |
Considerazioni principali per la disabilitazione della coppia HA dalla CLI dell'FTD:
Unità Principale |
Unità Secondaria |
Configurazione del failover e IP in standby con timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 semi-chiuso 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invita 0:03:00 sip-disconnect 0:02:00 timeout sip-provisymedia 0:02:00 auth 0:05:00 assoluto timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 aaa proxy-limit disable host snmp-server non compreso nell'intervallo 192.168.1.1 rimosso. |
|
Passaggio 6. Al termine dell'operazione, registrare i dispositivi nel FMC e abilitare la coppia HA.
Attività richiesta:
Sospendere la coppia HA dalla CLI CLISH dell'FTD
Soluzione:
Passaggio 1. Nell'FTD principale eseguire il comando e confermare (digitare YES).
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Passaggio 2. Verificare le modifiche sull'unità principale:
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Passaggio 3. Risultato sull'unità secondaria:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Passaggio 4. Riprendere HA sull'unità primaria:
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Passaggio 5. Il risultato sull'unità secondaria dopo la ripresa di HA:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
Quando la configurazione viene replicata, viene salvata immediatamente (riga per riga) o al termine della replica?
Alla fine della replica. Fare riferimento alla fine dell'output del comando debug fover sync che mostra la replica della configurazione/del comando:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
Cosa succede se un'unità si trova in uno stato di pseudo-standby (failover disabilitato) e viene ricaricata mentre l'altra unità ha il failover abilitato ed è attiva?
Si finisce in uno scenario Attivo/Attivo (anche se tecnicamente si tratta di uno scenario Attivo/Failover-off). In particolare, dopo aver attivato l'unità, il failover viene disabilitato, ma l'unità utilizza gli stessi IP dell'unità Attiva. In realtà, si ha quindi:
Cosa succede alla configurazione del failover se il failover viene disabilitato manualmente (configurazione della sospensione a disponibilità elevata) e il dispositivo viene ricaricato?
Quando si disabilita il failover, non si tratta di una modifica permanente (non viene salvata nella configurazione di avvio a meno che non si decida di farlo in modo esplicito). È possibile riavviare/ricaricare l'unità in due modi diversi e con il secondo occorre prestare attenzione:
Caso 1. Riavvio da CLISH
Il riavvio dalla CLISH non richiede conferma. Pertanto, la modifica alla configurazione non viene salvata nella configurazione di avvio:
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Failover disabilitato in running-config. In questo caso, l'unità era in modalità Standby ed è entrata nello stato pseudo-Standby come previsto per evitare uno scenario Attivo/Attivo:
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Il failover è ancora abilitato nella configurazione di avvio:
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Riavviare il dispositivo dalla CLISH (comando reboot):
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
Una volta attivata l'unità, poiché il failover è abilitato, il dispositivo passa nella fase di negoziazione del failover e tenta di rilevare il peer remoto:
User enable_1 logged in to firepower Logins over the last 1 days: 1. Failed logins since the last login: 0. Type help or '?' for a list of available commands. firepower> . Detected an Active mate
Caso 2. Riavvio dalla CLI di LINA
Il riavvio dalla CLI LINA con il comando reload deve essere confermato. Pertanto, se si seleziona Y (Sì), la modifica della configurazione viene salvata nella configurazione di avvio:
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Dopo l'attivazione dell'unità, il failover viene disabilitato:
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Nota: per evitare questo scenario, accertarsi di non salvare le modifiche alla configurazione di avvio quando richiesto.
Navigazione nella documentazione di Cisco Secure Firewall Threat Defense
Navigazione nella documentazione di Cisco Firepower 4100/9300 FXOS
Revisione | Data di pubblicazione | Commenti |
---|---|---|
3.0 |
07-Aug-2023 |
SEO, requisiti di stile e formattazione aggiornati. |
2.0 |
04-Aug-2022 |
Articolo aggiornato per la formattazione, i requisiti di stile, la traduzione automatica, i gerundi e la grammatica. |
1.0 |
29-Sep-2021 |
Versione iniziale |