設定して下さい FP9300 (内部シャーシ)でクラスタ化する FTD を
目次
概要
この資料に FPR9300 デバイスのクラスタ機能を設定し確認する方法を記述されています。
前提条件
要件
このドキュメントに関しては個別の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- 1.1(4.95) を実行する Cisco Firepower 9300 セキュリティ アプライアンス
- 6.0.1 を実行する Firepower Threat Defense (FTD) (1213) ビルド
- 6.0.1.1 (1023) ビルドを実行する FireSIGHT Management Center (FMC)
ラボ完了時間: 1 時間。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
- FTD アプライアンスとの FPR9300 で、すべてのサポート対象バージョンでクラスタ化する内部シャーシを設定できます。
- 相互シャッセで踊るクラスタ化することは 6.2 でもたらされました。
- Port-channel 48 はクラスタ制御リンクとして作成されます。 クラスタ化する内部シャーシに関してはこのリンクはクラスタ通信のために Firepower 9300 バックプレーンを利用します。
- 個々のデータ インターフェイスはマネージメントインターフェイスを除いて、サポートされません。
- マネージメントインターフェイスはクラスタのすべてのユニットに割り当てられます。
設定
ネットワーク図
タスク 1.は FTD クラスタのための必要なインターフェイスを作成します
タスク要件:
クラスタ、マネージメントインターフェイスおよび Port-channel データインターフェイスを作成して下さい。
ソリューション:
ステップ 1. Port-channel データインターフェイスを作成して下さい。
新しいインターフェイスを作成するために、FPR9300 シャーシ マネージャにログイン し、Interfaces タブにナビゲートしなければなりません。
ポート チャネルを『Add』 を選択 し、これらのパラメータで新しいポート チャネル インターフェイスを作成して下さい:
| ポート チャネル ID |
5 |
| タイプ |
データ |
| Enable |
○ |
| メンバーid |
Ethernet1/3、イーサネット 1/4 |
イメージに示すように設定を保存するために『OK』 を選択 して下さい。
ステップ 2.マネージメントインターフェイスを作成して下さい。
Interfaces タブで、インターフェイスを選択し、管理タイプ インターフェイスを『Edit』 をクリック し、設定して下さい。
イメージに示すように設定を保存するために『OK』 をクリック して下さい。
ステップ 3.クラスタ制御リンク インターフェイスを作成して下さい。
ポート チャネル ボタンを『Add』 をクリック し、これらのパラメータでおよびイメージに示すように新しいポート チャネル インターフェイスを作成して下さい。
| ポート チャネル ID |
48 |
| タイプ |
クラスタ |
| Enable |
○ |
| メンバーid |
- |
タスク 2.は FTD クラスタを作成します
タスク要件:
FTD クラスタ ユニットを作成して下さい。
ソリューション:
ステップ 1.論理デバイスにナビゲートし、Device ボタンを『Add』 をクリック して下さい。
次の通りクラスタ化する FTD を作成して下さい:
| Device Name |
FTD_cluster |
| テンプレート |
Cisco Firepower Threat Defense |
| イメージ バージョン |
6.0.1.1213 |
| デバイス モード |
クラスタ |
デバイスを追加するために、イメージに示すように『OK』 をクリック して下さい。
ステップ 2. FTD クラスタを設定し、展開して下さい。
FTD デバイスを作成した後、プロビジョニング device_name ウィンドウにリダイレクトされます。
イメージに示すように設定を開始するために Device アイコンをクリックして下さい。
これらの設定でおよびイメージに示すように FTD クラスタ情報タブを設定して下さい。
| キーをクラスタ化して下さい |
cisco |
| クラスタ グループ名 |
FTD_cluster |
| 管理インターフェイス |
Ethernet1/1 |
これらの設定でおよびイメージに示すように FTD Settings タブを設定して下さい。
| 登録キー |
cisco |
| Password |
Admin123 |
| Firepower Management Center IP |
10.62.148.73 |
| 検索ドメイン |
cisco.com |
| ファイアウォール モード |
Routed |
| DNS サーバ |
173.38.200.100 |
| 完全修飾ホスト名 |
ksec-fpr9k-1-1-3.cisco.com |
| Eventing インターフェイス |
なし |
これらの設定でおよびイメージに示すように FTD インターフェイス情報タブを設定して下さい。
| アドレス タイプ |
IPv4 だけ |
| セキュリティモジュール 1 |
|
| 管理 IP |
10.62.148.67 |
| ネットワーク マスク |
255.255.255.128 |
| ゲートウェイ |
10.62.148.1 |
| セキュリティモジュール 2 |
|
| 管理 IP |
10.62.148.68 |
| ネットワーク マスク |
255.255.255.128 |
| ゲートウェイ |
10.62.148.1 |
| セキュリティモジュール 3 |
|
| 管理 IP |
10.62.148.69 |
| ネットワーク マスク |
255.255.255.128 |
| ゲートウェイ |
10.62.148.1 |
協定タブの協定を受け入れ、イメージに示すように『OK』 をクリック して下さい。
ステップ 3. FTD にデータインターフェイスを割り当てて下さい。
データ港湾地域を拡張し、FTD に割り当てたいと思う各インターフェイスをクリックして下さい。 完了の後で、イメージに示すように FTD クラスタを作成するために『SAVE』 を選択 して下さい。
展開されるべきクラスタを数分間待って下さいそのあとでマスター ユニット選択は発生します。
確認:
- イメージに示すように FPR9300 GUI から。
- FPR9300 CLI から
FPR9K-1-A# FPR9K-1-A# scope ssa FPR9K-1-A /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 2 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 3 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster
- リーナ(ASA)から CLI
firepower# show cluster info
Cluster FTD_cluster: On
Interface mode: spanned
This is "unit-1-1" in state MASTER
ID : 0
Version : 9.6(1)
Serial No.: FLM19216KK6
CCL IP : 127.2.1.1
CCL MAC : 0015.c500.016f
Last join : 21:51:03 CEST Aug 8 2016
Last leave: N/A
Other members in the cluster:
Unit "unit-1-3" in state SLAVE
ID : 1
Version : 9.6(1)
Serial No.: FLM19206H7T
CCL IP : 127.2.1.3
CCL MAC : 0015.c500.018f
Last join : 21:51:05 CEST Aug 8 2016
Last leave: N/A
Unit "unit-1-2" in state SLAVE
ID : 2
Version : 9.6(1)
Serial No.: FLM19206H71
CCL IP : 127.2.1.2
CCL MAC : 0015.c500.019f
Last join : 21:51:30 CEST Aug 8 2016
Last leave: N/A
firepower# cluster exec show cluster interface-mode cluster interface-mode spanned unit-1-3:************************************************************* cluster interface-mode spanned unit-1-2:************************************************************* cluster interface-mode spanned firepower#
firepower# クラスタ exec show cluster 履歴
==========================================================================
原因を示す状態から
==========================================================================
21:49:25 CEST 2016 年 8 月 8 日
始動の無効無効無効
21:50:18 CEST 2016 年 8 月 8 日
CLI からイネーブルになっている無効選択
21:51:03 CEST 2016 年 8 月 8 日
CLI からイネーブルになっている選択 MASTER_POST_CONFIG
21:51:03 CEST 2016 年 8 月 8 日
できている MASTER_POST_CONFIG マスター マスター ポスト構成および ntfy 待っていること
==========================================================================
unit-1-3:*************************************************************
==========================================================================
原因を示す状態から
==========================================================================
21:49:44 CEST 2016 年 8 月 8 日
始動の無効無効無効
21:50:37 CEST 2016 年 8 月 8 日
CLI からイネーブルになっている無効選択
21:50:37 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:41 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:41 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:46 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:46 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:51 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:51 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:56 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:56 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:01 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:01 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:04 CEST 2016 年 8 月 8 日
ONCALL SLAVE_COLD は制御メッセージ クラスタを受け取りました
21:51:04 CEST 2016 年 8 月 8 日
できている SLAVE_COLD SLAVE_APP_SYNC クライアント列挙されている順番どおり
21:51:05 CEST 2016 年 8 月 8 日
SLAVE_APP_SYNC SLAVE_CONFIG できているスレーブ アプリケーション 設定同期化
21:51:17 CEST 2016 年 8 月 8 日
終わる SLAVE_CONFIG SLAVE_BULK_SYNC コンフィギュレーション複写
21:51:29 CEST 2016 年 8 月 8 日
終わる SLAVE_BULK_SYNC スレーブ コンフィギュレーション複写
==========================================================================
unit-1-2:*************************************************************
==========================================================================
原因を示す状態から
==========================================================================
21:49:24 CEST 2016 年 8 月 8 日
始動の無効無効無効
21:50:16 CEST 2016 年 8 月 8 日
CLI からイネーブルになっている無効選択
21:50:17 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:21 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:21 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:26 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:26 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:31 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:31 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:36 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:36 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:41 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:41 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:46 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:46 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:51 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:51 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:50:56 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:50:56 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:01 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:01 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:06 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:06 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:12 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:12 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:17 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:17 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:22 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:22 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:27 CEST 2016 年 8 月 8 日
ONCALL 選択は制御メッセージ クラスタを受け取りました
21:51:27 CEST 2016 年 8 月 8 日
選択 ONCALL は制御メッセージ クラスタを受け取りました
21:51:30 CEST 2016 年 8 月 8 日
ONCALL SLAVE_COLD は制御メッセージ クラスタを受け取りました
21:51:30 CEST 2016 年 8 月 8 日
できている SLAVE_COLD SLAVE_APP_SYNC クライアント列挙されている順番どおり
21:51:31 CEST 2016 年 8 月 8 日
SLAVE_APP_SYNC SLAVE_CONFIG できているスレーブ アプリケーション 設定同期化
21:51:43 CEST 2016 年 8 月 8 日
終わる SLAVE_CONFIG SLAVE_BULK_SYNC コンフィギュレーション複写
21:51:55 CEST 2016 年 8 月 8 日
終わる SLAVE_BULK_SYNC スレーブ コンフィギュレーション複写
==========================================================================
firepower#
FMC へのタスク 3.レジスタ FTD クラスタ
タスク要件:
論理デバイスを FMC に追加し、次にクラスタにグループ化して下さい。
ソリューション:
ステップ 1. FMC に論理デバイスを追加して下さい。
FMC にログイン し、デバイス > デバイス管理タブにナビゲート し、デバイスを『Add』 をクリック して下さい。
イメージに言及されているように設定が付いている最初の論理デバイスを追加して下さい。
登録を開始するために『register』 をクリック して下さい。
最初のユニットが登録されていた後、イメージに示すように次の 2 つのユニットのための同じステップを繰り返して下さい。
確認はイメージに示すようにあります。
ステップ 2.クラスタにユニットをグループ化して下さい。
デバイス > デバイス管理へのナビゲートはおよび追加 > Add クラスタ ボタンを選択します。
プライマリユニットを選択し、Name フィールドを一杯にして下さい。 イメージに示すように Add ボタンを選択して下さい。
確認はイメージに示すようにあります。
タスク 4.は FMC のポートチャネル サブインターフェイスを設定します
タスク要件:
Port-channel データインターフェイスのためのサブインターフェイスを設定して下さい。
ソリューション:
ステップ 1: FMC GUI から、FTD_cluster Edit ボタンを選択して下さい。
Interfaces タブにナビゲートし、追加をインターフェイスしますイメージに示すように > Sub インターフェイス クリックして下さい。
これらの詳細で最初のサブインターフェイスを設定して下さい。 イメージに示すように変更を加えるために『OK』 を選択 すれば。
| 名前 |
内部 |
| General タブ |
|
| Interface |
Port-channel5 |
| サブインターフェイス ID |
201 |
| VLAN ID |
201 |
| IPv4 タブ |
|
| IP 型 |
静的な IP を使用して下さい |
| IP アドレス |
192.168.75.10/24 |
これらの詳細で第 2 サブインターフェイスを設定して下さい。
| 名前 |
Outside |
| General タブ |
|
| Interface |
Port-channel5 |
| サブインターフェイス ID |
210 |
| VLAN ID |
210 |
| IPv4 タブ |
|
| IP 型 |
静的な IP を使用して下さい |
| IP アドレス |
192.168.76.10/24 |
サブインターフェイスを作成するために『OK』 をクリック して下さい。 イメージに示すように FTD_cluster への変更を『SAVE』 をクリック し、次に展開して下さい。
確認:
タスク 5.は基本的な接続を確認します
タスク要件:
キャプチャを作成し、2 VM 間の接続をチェックして下さい。
ソリューション:
ステップ 1.すべてのクラスタ ユニットのキャプチャを作成して下さい。
リーナ(マスター ユニットの ASA)に CLI ナビゲート し、Inside および outside インターフェイスのためのキャプチャを作成して下さい。
firepower# firepower# cluster exec capture capi interface inside match icmp any any unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# firepower# cluster exec capture capo interface outside match icmp any any unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower#
確認:
firepower# cluster exec show capture unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-3:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any firepower#
呼び出します。 VM1 から VM2 に pingテストをして下さい。
4 つのパケットが付いているテストをして下さい。 テストの後で出力されるキャプチャをチェックして下さい:
firepower# cluster exec show capture unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-3:************************************************************* capture capi type raw-data interface Inside [Capturing - 752 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 752 bytes] match icmp any any unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any firepower#
特定のユニットで出力されるキャプチャをチェックするためにコマンドを実行して下さい:
firepower# cluster exec unit unit-1-3 show capture capi 8 packets captured 1: 12:58:36.162253 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 2: 12:58:36.162955 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 3: 12:58:37.173834 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 4: 12:58:37.174368 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 5: 12:58:38.187642 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 6: 12:58:38.188115 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 7: 12:58:39.201832 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 8: 12:58:39.202321 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 8 packets shown firepower# cluster exec unit unit-1-3 show capture capo 8 packets captured 1: 12:58:36.162543 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 2: 12:58:36.162894 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 3: 12:58:37.174002 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 4: 12:58:37.174307 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 5: 12:58:38.187764 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 6: 12:58:38.188085 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 7: 12:58:39.201954 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 8: 12:58:39.202290 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 8 packets shown firepower#
このタスクを終えた後、次のコマンドでキャプチャを削除して下さい:
firepower# cluster exec no capture capi unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# cluster exec no capture capo unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:*************************************************************
ステップ 3. VM2 から VM1 にファイルをダウンロードして下さい。
VM1 は FTPクライアントとして FTP サーバとして、VM2 前もって構成されました。
これらで新しいキャプチャを作成して下さい:
firepower# cluster exec capture capi interface inside match ip host 192.168.75.100 host 192.168.76.100 unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# cluster exec capture capo interface outside match ip host 192.168.775.100 host 192.168.76.100 unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:*************************************************************
VM2 から FTPクライアントの使用を用いる VM1 にファイルを、ダウンロードして下さい。
出力される show conn をチェックして下さい:
firepower# cluster exec show conn all
unit-1-1(LOCAL):******************************************************
20 in use, 21 most used
Cluster:
fwd connections: 0 in use, 2 most used
dir connections: 0 in use, 52 most used
centralized connections: 0 in use, 6 most used
TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:32, bytes 665, flags UIOeN
UDP cluster 255.255.255.255:49495 NP Identity Ifc 127.2.1.1:49495, idle 0:00:00, bytes 17858058, flags -
TCP cluster 127.2.1.3:10844 NP Identity Ifc 127.2.1.1:38296, idle 0:00:33, bytes 5496, flags UI
…….
TCP cluster 127.2.1.3:59588 NP Identity Ifc 127.2.1.1:10850, idle 0:00:33, bytes 132, flags UO
unit-1-3:*************************************************************
12 in use, 16 most used
Cluster:
fwd connections: 0 in use, 4 most used
dir connections: 1 in use, 10 most used
centralized connections: 0 in use, 0 most used
TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:34, bytes 0, flags y
TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.3:48493, idle 0:00:52, bytes 224, flags UI
……..
TCP cluster 127.2.1.1:64070 NP Identity Ifc 127.2.1.3:10847, idle 0:00:11, bytes 806, flags UO
unit-1-2:*************************************************************
12 in use, 15 most used
Cluster:
fwd connections: 0 in use, 2 most used
dir connections: 0 in use, 3 most used
centralized connections: 0 in use, 0 most used
TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.2:64136, idle 0:00:53, bytes 224, flags UI
……..
TCP cluster 127.2.1.1:15859 NP Identity Ifc 127.2.1.2:10847, idle 0:00:11, bytes 807, flags UO
出力されるキャプチャを示して下さい:
firepower# cluster exec show cap unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Buffer Full - 523954 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Buffer Full - 524028 bytes] match ip host 192.168.75.100 host 192.168.76.100 unit-1-3:************************************************************* capture capi type raw-data interface Inside [Buffer Full - 524062 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Buffer Full - 524228 bytes] match ip host 192.168.75.100 host 192.168.76.100 unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Capturing - 0 bytes] match ip host 192.168.75.100 host 192.168.76.100
クラスタからのタスク 6.削除セカンダリデバイス
タスク要件:
FMC にログイン し、クラスタからセカンダリユニットを削除して下さい。
ソリューション:
ステップ 1. FMC にログイン し、デバイス > デバイス管理にナビゲート して下さい。
イメージに示すようにセカンダリユニットの隣で屑アイコンをクリックして下さい。
確認ウィンドウは現われます。 イメージに示すように確認するために『Yes』 を選択 して下さい。
確認:
- イメージに示すように FMC から。
- FXOS CLI から。
FPR9K-1-A# scope ssa FPR9K-1-A /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 2 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 3 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster
- リーナ(ASA)から CLI。
firepower# show cluster info
Cluster FTD_cluster: On
Interface mode: spanned
This is "unit-1-1" in state MASTER
ID : 0
Version : 9.6(1)
Serial No.: FLM19216KK6
CCL IP : 127.2.1.1
CCL MAC : 0015.c500.016f
Last join : 21:51:03 CEST Aug 8 2016
Last leave: N/A
Other members in the cluster:
Unit "unit-1-3" in state SLAVE
ID : 1
Version : 9.6(1)
Serial No.: FLM19206H7T
CCL IP : 127.2.1.3
CCL MAC : 0015.c500.018f
Last join : 21:51:05 CEST Aug 8 2016
Last leave: N/A
Unit "unit-1-2" in state SLAVE
ID : 2
Version : 9.6(1)
Serial No.: FLM19206H71
CCL IP : 127.2.1.2
CCL MAC : 0015.c500.019f
Last join : 21:51:30 CEST Aug 8 2016
Last leave: N/A
firepower#
タスク 7.はクラスタ化するためにデバイスを追加します
タスク要件:
FMC にログイン し、クラスタに戻ってデバイスを追加して下さい。
ソリューション:
ステップ 1. FTD マネージメントインターフェイスへのセキュア シェル(SSH)および CLISH CLI へのナビゲート。
FMC からデバイスを削除した後マネージャ設定は FTD から削除されました。
> show managers No managers configured.
マネージャ設定を追加するためにコマンドを実行して下さい:
> configure manager add 10.62.148.73 cisco Manager successfully configured. Please make note of reg_key as this will be required while adding Device in FMC.
確認:
> show managers Host : 10.62.148.73 Registration Key : **** Registration : pending RPC Status : Type : Manager Host : 10.62.148.73 Registration : Pending >
ステップ 2. FMC GUI にログイン し、デバイスを登録して下さい。
デバイス > デバイス管理にナビゲートし、追加 > Add Device ボタンをクリックして下さい。
イメージに示すように論理デバイスを追加して下さい。
ステップ 3.クラスタにデバイスを含んで下さい。
登録が行われた後、> Add クラスタ ボタンを『Add』 をクリック して下さい。 プライマリユニットを選択して下さい、クラスタ名は自動に満ちて、すべての適格なセカンダリデバイスはイメージに示すように管理センターにちょうど追加した新しいユニットを含むセカンダリデバイス ボックスに追加されます。
確認はイメージに示すようにあります。
確認
このセクションでは、設定が正常に機能していることを確認します。
確認は個々のタスクで完了し、カバーされます。
トラブルシューティング
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
- Cisco Firepower Management Center コンフィギュレーション ガイドのすべてのバージョンはここに見つけることができます:
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280。
- FXOS シャーシ マネージャおよび CLI コンフィギュレーション ガイドのすべてのバージョンはここに見つけることができます:
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950。
- Cisco グローバル な テクニカル アシスタンス センタ (TAC)は強くこの技術情報で述べられる物を含む詳細で実用的なナレッジ Firepower 次世代のセキュリティ テクノロジーのためのこの視覚ガイドを、on Cisco 推奨します:
http://www.ciscopress.com/title/9781587144806。
- Firepower テクノロジーに関係するトラブルシューティング テクニカルノーツおよびすべての設定に関しては。
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html。
フィードバック