Firepower アプライアンスでの FTD 高可用性の設定
はじめに
このドキュメントでは、FPR9300 で Firepower Threat Defense(FTD)高アベイラビリティ(HA)(アクティブ/スタンバイフェールオーバー)を設定および検証する方法について説明します。
前提条件
要件
このドキュメントに関する固有の要件はありません。
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Firepower 9300 セキュリティアプライアンス X 2:FXOS SW 2.0(1.23)
- FTDバージョン10.10.1.1(ビルド1023)
- Firepower Management Center(FMC):SW 10.10.1.1(ビルド 1023)
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
タスク 1.条件の確認
タスク要件:
両方のFTDアプライアンスが注意事項の要件を満たし、HAユニットとして設定できることを確認します。
ソリューション:
ステップ 1:FPR9300管理IPに接続し、モジュールハードウェアを確認します。
FPR9300-1 のハードウェアを確認します。
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
FPR9300-2 のハードウェアを確認します。
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
ステップ 2:FPR9300-1 Chassis Managerにログインし、Logical Devicesに移動します。
図に示すように、インターフェイスのソフトウェアバージョン、番号、およびタイプを確認します。
FPR9300-1
FPR9300-2
タスク 2.FPR9300でのFTD HAの設定
タスク要件:
次の図に示すように、アクティブ/スタンバイフェールオーバー(HA)を設定します。
ソリューション:
次の図に示すように、両方の FTD デバイスは、すでに FMC に登録されています。
ステップ 1:FTDフェールオーバーを設定するには、図に示すように、Devices > Device Managementに移動し、Add High Availabilityを選択します。
ステップ 2:Primary PeerとSecondary Peerを入力し、図に示すようにContinueを選択します。
条件
2 つの FTD デバイスの間に HA を作成するには、次の条件を満たす必要があります。
- 同じモデルである。
- 同じバージョン:これはFXOSとFTDに適用されます。メジャー(1番目の番号)、マイナー(2番目の番号)、メンテナンス(3番目の番号)は等しくなければなりません。
- インターフェイスの数が同じである。
- インターフェイスのタイプが同じである。
- 両方のデバイスがFMCの同じグループ/ドメインの一部として機能します。
- Network Time Protocol(NTP)設定が同一であること。
- 変更をコミットせずにFMCに完全に導入する。
- 同じファイアウォールモード(ルーテッドまたはトランスペアレント)である。
注:FTDデバイスとFMC GUIの両方で、このチェックボックスをオンにする必要があります。これは、FTDに同じモードが設定されていてもFMCに反映されない場合があるためです。
- DHCP/Point-to-Point Protocol over Ethernet(PPPoE)がインターフェイスに設定されていない。
- 両方のシャーシに異なるホスト名[完全修飾ドメイン名(FQDN)]が設定されています。シャーシのホスト名を確認するには、FTD CLIに移動して次のコマンドを実行します。
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
両方のシャーシの名前が同じである場合は、次のコマンドを使用して、一方のシャーシの名前を変更します。
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
シャーシ名を変更したら、FTD を FMC から登録解除し、再度登録します。その後に、HA ペアの作成に進んでください。
ステップ 3:HAを設定し、リンク設定を示します。
今回は、状態リンクの設定は高可用性リンクと同じです。
Addを選択し、図に示すように、HAペアが導入されるまで数分待ちます。
ステップ 4:データインターフェイスの設定(プライマリおよびスタンバイIPアドレス)
FMCのGUIで、図に示すようにHA Editを選択します。
ステップ 5:図に示すように、インターフェイスを設定します。
Ethernet 1/5 インターフェイス
Ethernet 1/6 インターフェイス
手順 6:High Availabilityに移動し、インターフェイス名Editを選択して、図に示すようにスタンバイIPアドレスを追加します。
手順 7:図に示す内部インターフェイスの場合。
ステップ 8:Outsideインターフェイスに対しても同じ操作を行います。
ステップ 9:図に示すように、結果を確認します。
ステップ 10:High Availabilityタブで、図に示すように仮想MACアドレスを設定します。
ステップ 11Insideインターフェイスの場合は、次の図のようになります。
ステップ 12Outsideインターフェイスに対しても同じ操作を行います。
ステップ 13図に示すように、結果を確認します。
ステップ 14:変更を設定したら、Save and Deployを選択します。
タスク 3.FTD HAとライセンスの確認
タスク要件:
FMC GUI と FTD CLI から、FTD HA 設定と有効なライセンスを確認します。
ソリューション:
ステップ 1:Summaryに移動し、図に示すように、HA設定と有効なライセンスを確認します。
ステップ 2:FTD CLISH CLIから、次のコマンドを実行します。
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
ステップ 3:セカンダリデバイスでも同じ操作を行います。
ステップ 4:LINA CLIからshow failover stateコマンドを実行します。
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
ステップ 5:プライマリユニット(LINA CLI)から設定を確認します。
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
タスク 4.フェールオーバーロールの切り替え
タスク要件:
FMC から、フェールオーバーの役割をプライマリ/アクティブ、セカンダリ/スタンバイからプライマリ/スタンバイ、セカンダリ/アクティブに切り替えます。
ソリューション:
ステップ 1:図に示すように、アイコンを選択します。
ステップ 2:図に示すように、ポップアップウィンドウでアクションを確認します。
ステップ 3:図に示すように、結果を確認します。
LINA CLI から、プライマリ/アクティブユニットで no failover active コマンドが実行されたことを確認できます。
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
show failover history コマンドの出力で確認することもできます。
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
ステップ 4:確認後、プライマリユニットを再度アクティブにします。
タスク 5.HAペアの解除
タスク要件:
FMC から、フェールオーバーペアを解除します。
ソリューション:
ステップ 1:図に示すように、アイコンを選択します。
ステップ 2:図に示すように、通知を確認します。
ステップ 3:次の図に示すメッセージに注意してください。
ステップ 4:図に示すように、FMC GUIの結果を確認します。
HA 解除の前後にプライマリユニットで show running-config コマンドを実行します。
| HA 解除前 |
HA 解除後 |
| firepower# sh run :保存済み : :シリアル番号:FLM19267A63 :ハードウェア:FPR9K-SM-36、135839 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 説明LAN/STATEフェールオーバーインターフェイス ! interface Ethernet1/5 nameif内部 セキュリティレベル0 ipアドレス192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif外部 セキュリティレベル0 ipアドレス192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp ロギングスタンバイ logging buffer-size100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 MTU診断1500 mtu inside 1500 mtu outside 1500 フェールオーバー failover lan unit primary failover lan interface fover_link Ethernet1/4(フェールオーバーLANインターフェイスfover_link Ethernet1/4) フェールオーバーレプリケーションHTTP フェールオーバーMACアドレスEthernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 フェールオーバーMACアドレスEthernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 フェールオーバーリンクfover_link Ethernet1/4 フェールオーバーインターフェイスip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:933c594fc0264082edc0f24bad358031 :最後 firepower番号 |
firepower# sh run :保存済み : :シリアル番号:FLM19267A63 :ハードウェア:FPR9K-SM-36、135839 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 nameifなし セキュリティレベルなし IPアドレスがありません ! interface Ethernet1/5 nameif内部 セキュリティレベル0 ipアドレス192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif外部 セキュリティレベル0 ipアドレス192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp ロギングスタンバイ logging buffer-size100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 MTU診断1500 mtu inside 1500 mtu outside 1500 フェールオーバーなし no monitor-interfaceサービスモジュール icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:fb6f5c369dee730b9125650517dbb059 :最後 firepower番号 |
次の表に示すように、HAが切断される前後のセカンダリユニットでshow running-configを実行します。
| HA 解除前 |
HA 解除後 |
| firepower# sh run :保存済み : :シリアル番号:FLM19206H7T :ハードウェア:FPR9K-SM-36、135841 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 説明LAN/STATEフェールオーバーインターフェイス ! interface Ethernet1/5 nameif内部 セキュリティレベル0 ipアドレス192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif外部 セキュリティレベル0 ipアドレス192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp ロギングスタンバイ logging buffer-size100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 MTU診断1500 mtu inside 1500 mtu outside 1500 フェールオーバー フェールオーバーLANユニットセカンダリ failover lan interface fover_link Ethernet1/4(フェールオーバーLANインターフェイスfover_link Ethernet1/4) フェールオーバーレプリケーションHTTP フェールオーバーMACアドレスEthernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 フェールオーバーMACアドレスEthernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 フェールオーバーリンクfover_link Ethernet1/4 フェールオーバーインターフェイスip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 ユーザIDデフォルトドメインローカル aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 :最後 firepower番号 |
firepower# sh run :保存済み : :シリアル番号:FLM19206H7T :ハードウェア:FPR9K-SM-36、135841 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! interface Ethernet1/5 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! interface Ethernet1/6 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし no logging message 106015 no logging message 313001 no logging message 313008 no logging message 106023 no logging message 710003 no logging message 106100 no logging message 302015 no logging message 302014 no logging message 302013 no logging message 302018 no logging message 302017 no logging message 302016 no logging message 302021 no logging message 302020 MTU診断1500 フェールオーバーなし no monitor-interfaceサービスモジュール icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3 :最後 firepower番号 |
HA の解除に関する主な注意点:
| プライマリ ユニット |
セカンダリ ユニット |
| すべてのフェールオーバー設定が削除されます。 スタンバイIPアドレスはそのまま残ります。 |
すべての設定が削除されます。 |
ステップ 5:この作業が完了したら、HAペアを再作成します。
タスク 6.HAペアの無効化
タスク要件:
FMC から、フェールオーバーペアを無効にします。
ソリューション:
ステップ 1:図に示すように、アイコンを選択します。
ステップ 2:図に示すように、通知を確認して確認します。
ステップ 3:HAを削除すると、両方のデバイスがFMCから登録解除(削除)されます。
LINA CLI からの show running-config コマンドの結果は、次の表のようになります。
| プライマリ ユニット |
セカンダリ ユニット |
| firepower# sh run :保存済み : :シリアル番号:FLM19267A63 :ハードウェア:FPR9K-SM-36、135839 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 説明LAN/STATEフェールオーバーインターフェイス ! interface Ethernet1/5 nameif内部 セキュリティレベル0 ipアドレス192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif外部 セキュリティレベル0 ipアドレス192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp ロギングスタンバイ logging buffer-size100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 MTU診断1500 mtu inside 1500 mtu outside 1500 フェールオーバー failover lan unit primary failover lan interface fover_link Ethernet1/4(フェールオーバーLANインターフェイスfover_link Ethernet1/4) フェールオーバーレプリケーションHTTP フェールオーバーMACアドレスEthernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 フェールオーバーMACアドレスEthernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 フェールオーバーリンクfover_link Ethernet1/4 フェールオーバーインターフェイスip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:933c594fc0264082edc0f24bad358031 :最後 firepower番号 |
firepower# sh run :保存済み : :シリアル番号:FLM19206H7T :ハードウェア:FPR9K-SM-36、135841 MB RAM、CPU Xeon E5シリーズ2294 MHz、2 CPU(72コア) : NGFWバージョン10.10.1.1 ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet1/2 管理のみ nameif診断 セキュリティレベル0 IPアドレスがありません ! interface Ethernet1/4 説明LAN/STATEフェールオーバーインターフェイス ! interface Ethernet1/5 nameif内部 セキュリティレベル0 ipアドレス192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif外部 セキュリティレベル0 ipアドレス192.168.76.10 255.255.255.0 standby 192.168.76.11 ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 268447744:アクセスポリシー:FTD9300 – 必須/1 access-list CSM_FW_ACL_ remark rule-id 268447744:L4ルール:Allow_ICMP access-list CSM_FW_ACL_ advanced permit icmp any any rule-id 268447744 event-log both access-list CSM_FW_ACL_ remark rule-id 268441600:アクセスポリシー:FTD9300 – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268441600:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268441600 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcp-options range 9 255 allow(TCPオプション範囲9 ~ 255) 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp ロギングスタンバイ logging buffer-size100000 logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 MTU診断1500 mtu inside 1500 mtu outside 1500 フェールオーバー フェールオーバーLANユニットセカンダリ failover lan interface fover_link Ethernet1/4(フェールオーバーLANインターフェイスfover_link Ethernet1/4) フェールオーバーレプリケーションHTTP フェールオーバーMACアドレスEthernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 フェールオーバーMACアドレスEthernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 フェールオーバーリンクfover_link Ethernet1/4 フェールオーバーインターフェイスip fover_link 10.10.1.1 255.255.255.0 standby 10.10.1.2 icmp到達不能レート制限1 – サイズ1 no asdm history enable」というエラーメッセージが表示されます。 arp timeout 14400 no arp permit-nonconnected access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 ユーザIDデフォルトドメインローカル aaa proxy-limitディセーブル no snmp-server location no snmp-server contact no snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 sshのstricthostkeycheck ssh timeout 5 sshキー交換グループdh-group1-sha1 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 :最後 firepower番号 |
ステップ 4:両方のFTDデバイスがFMCから登録解除されました。
> show managers No managers configured.
FMC の [HA の無効化(Disable HA)] オプションに関する主な注意点:
| プライマリ ユニット |
セカンダリ ユニット |
| デバイスが FMC から削除されます。 FTDデバイスから削除される設定はありません。 |
デバイスが FMC から削除されます。 FTDデバイスから削除される設定はありません。 |
ステップ 5:次のコマンドを実行して、FTDデバイスからフェールオーバー設定を削除します。
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
結果は、次のとおりです。
| プライマリ ユニット |
セカンダリ ユニット |
|
> show failover Failover Off |
> show failover > |
| プライマリ |
セカンダリ |
| firepower# show run ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names arp timeout 14400 no arp permit-nonconnected arp rate-limit16384 ! interface GigabitEthernet1/1 nameif外部 ctsマニュアル propagate sgt preserve-untag(sgtの保存/タグ解除を伝播する) policy static sgt disabled trusted(信頼できるポリシー静的sgt無効) セキュリティレベル0 ip address 10.1.1.1 255.255.255.0 < – スタンバイIPが削除されました ! interface GigabitEthernet1/2 nameif内部 ctsマニュアル propagate sgt preserve-untag(sgtの保存/タグ解除を伝播する) policy static sgt disabled trusted(信頼できるポリシー静的sgt無効) セキュリティレベル0 ip address 192.168.1.1 255.255.255.0 < – スタンバイIPが削除されました ! インターフェイスGigabitEthernet1/3 説明LANフェールオーバーインターフェイス ! インターフェイスGigabitEthernet1/4 description STATEフェールオーバーインターフェイス ! インターフェイスGigabitEthernet1/5 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/6 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/7 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/8 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイス管理1/1 管理のみ nameif診断 ctsマニュアル propagate sgt preserve-untag(sgtの保存/タグ解除を伝播する) policy static sgt disabled trusted(信頼できるポリシー静的sgt無効) セキュリティレベル0 IPアドレスがありません ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_ remark rule-id 9998:ルール:デフォルトトンネルアクションルール access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ remark rule-id 268435456:アクセスポリシー:FTD_HA – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268435456:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcpオプション範囲9 18 allow tcp-optionsの範囲20 255 allow tcpオプションmd5クリア 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 no logging message 106015 no logging message 313001 no logging message 313008 no logging message 106023 no logging message 710005 no logging message 710003 no logging message 106100 no logging message 302015 no logging message 302014 no logging message 302013 no logging message 302018 no logging message 302017 no logging message 302016 no logging message 302021 no logging message 302020 mtu outside 1500 mtu inside 1500 MTU診断1500 フェールオーバーなし icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 access-group CSM_FW_ACL_ global 00コミュニティ*****バージョン2c no snmp-server location no snmp-server contact SNMPサーバコミュニティ***** service sw-resetボタン crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 no tcp-inspection(TCP検査なし) ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:768a03e90b9d3539773b9d7af66b3452 |
firepower# show run ! hostnamefirepower enable password 8Ry2YjIyt7RRXU24 encrypted names arp timeout 14400 no arp permit-nonconnected arp rate-limit16384 ! interface GigabitEthernet1/1 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! interface GigabitEthernet1/2 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/3 説明LANフェールオーバーインターフェイス ! インターフェイスGigabitEthernet1/4 description STATEフェールオーバーインターフェイス ! インターフェイスGigabitEthernet1/5 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/6 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/7 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイスGigabitEthernet1/8 shutdown nameifなし セキュリティレベルなし IPアドレスがありません ! インターフェイス管理1/1 管理のみ nameif診断 ctsマニュアル propagate sgt preserve-untag(sgtの保存/タグ解除を伝播する) policy static sgt disabled trusted(信頼できるポリシー静的sgt無効) セキュリティレベル0 IPアドレスがありません ! FTPモードパッシブ ngips conn-match vlan-id(オプション) access-list CSM_FW_ACL_ remark rule-id 9998: PREFILTER POLICY: Default Tunnel and Priority Policy access-list CSM_FW_ACL_ remark rule-id 9998:ルール:デフォルトトンネルアクションルール access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998 access-list CSM_FW_ACL_ advanced permit udp any any eq 3544 rule-id 9998 access-list CSM_FW_ACL_ remark rule-id 268435456:アクセスポリシー:FTD_HA – デフォルト/1 access-list CSM_FW_ACL_ remark rule-id 268435456:L4 RULE:デフォルトアクションルール access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268435456 ! tcpマップUM_STATIC_TCP_MAP tcpオプション範囲6 7許可 tcpオプション範囲9 18 allow tcp-optionsの範囲20 255 allow tcpオプションmd5クリア 緊急フラグ許可 ! ポケットベルなし ロギングの有効化 logging timestamp logging buffered debugging logging flash-minimum-free 1024 logging flash-maximum-allocation 3076 no logging message 106015 no logging message 313001 no logging message 313008 no logging message 106023 no logging message 710005 no logging message 710003 no logging message 106100 no logging message 302015 no logging message 302014 no logging message 302013 no logging message 302018 no logging message 302017 no logging message 302016 no logging message 302021 no logging message 302020 mtu outside 1500 mtu inside 1500 MTU診断1500 フェールオーバーなし フェールオーバーLANユニットセカンダリ フェールオーバーLANインターフェイスFOVER GigabitEthernet1/3 フェールオーバーレプリケーションHTTP フェールオーバーリンクステートGigabitEthernet1/4 フェールオーバーインターフェイスIP FOVER 10.10.1.1 255.255.255.0 standby 10.10.1.2 フェールオーバーインターフェイスIP STATE 10.10.2.1 255.255.255.0 standby 10.10.2.2 icmp到達不能レート制限1バーストサイズ1 no asdm history enable」というエラーメッセージが表示されます。 access-group CSM_FW_ACL_ global timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 ユーザIDデフォルトドメインローカル aaa proxy-limitディセーブル バージョン2cの192.168.1.100コミュニティ外*****snmp-server host no snmp-server location no snmp-server contact SNMPサーバコミュニティ***** service sw-resetボタン crypto ipsec security-association pmtu-aging infinite crypto ca trustpoolポリシー telnet timeout 5 コンソールタイムアウト0 dynamic-access-policy-record DfltAccessPolicy(ダイナミックアクセスポリシーレコード) ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_mapと入力します。 パラメータ message-length maximum client auto message-length maximum 512 no tcp-inspection(TCP検査なし) ポリシーマップタイプinspect ip-options UM_STATIC_IP_OPTIONS_MAP パラメータ eoolアクション許可 nopアクションの許可 router-alert action allow(ルータアラートアクション許可) policy-map global_policy class inspection_default inspect dns preset_dns_map FTPの検査 h323 h225の検査 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp インスペクションICMP inspect icmpエラー inspect dcerpc インスペクションIPオプションUM_STATIC_IP_OPTIONS_MAP class class-default 接続の詳細設定オプションUM_STATIC_TCP_MAPを設定する ! service-policy global_policy global プロンプトhostname context call-home プロファイルCiscoTAC-1 アクティブなし destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService 宛先アドレス電子メールcallhome@cisco.com destination transport-method http(宛先転送方式http) subscribe-to-alert-group診断 subscribe-to-alert-group環境 subscribe-to-alert-group inventory periodic monthly(定期的なアラート通知グループのインベントリ) subscribe-to-alert-group設定を月次で実行 subscribe-to-alert-groupテレメトリを毎日実行 Cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f |
FTD CLI からの HA の無効化に関する主な注意点:
| プライマリ ユニット |
セカンダリ ユニット |
| フェールオーバーの設定とスタンバイIPはtimeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-pro仮メディア0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:00:30 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 aaa proxy-limitディセーブル snmp-server host outside 192.168.1.1を削除。 |
|
手順 6:タスクが完了したら、デバイスをFMCに登録し、HAペアを有効にします。
タスク 7.HAの一時停止
タスク要件:
FTD CLISH CLI から HA を一時停止させます。
ソリューション:
ステップ 1:プライマリFTDでコマンドを実行し、確認します(YESと入力します)。
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
ステップ 2:プライマリユニットの変更を確認します。
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
ステップ 3:セカンダリユニットでの結果:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
ステップ 4:プライマリユニットでHAを再開します。
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
ステップ 5:HAを再開した後のセカンダリユニットでの結果:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
よく寄せられる質問(FAQ)
構成が複製されると、その構成は直ちに(1行ずつ)保存されますか、それとも複製の最後に保存されますか。
複製の完了時です。設定/コマンドの複製を示す debug fover sync コマンドの出力の最後で、それを確認できます。
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
ユニットが擬似スタンバイ状態(フェールオーバーが無効)で、他のユニットがフェールオーバーを有効にしてアクティブになっている間にユニットをリロードすると、どうなりますか。
最終的にアクティブ/アクティブシナリオになります(技術的にはアクティブ/フェールオーバーオフになります)。具体的には、ユニットが起動するとフェールオーバーは無効になりますが、そのユニットはアクティブユニットと同じ IP を使用します。そのため、事実上、次のようになります。
- ユニット1:アクティブ
- ユニット2:フェールオーバーはオフです。ユニットはユニット1と同じデータIPを使用しますが、MACアドレスは異なります。
手動でフェールオーバーを無効にし(ハイアベイラビリティ中断を設定し)、デバイスをリロードすると、フェールオーバー設定はどうなりますか。
フェールオーバーをディセーブルにしても、永続的な変更にはなりません(明示的に変更しない限り、startup-configには保存されません)。ユニットのリブートとリロードは2通りの方法で実行できます。2つ目の方法では注意が必要です。
Case 1.CLISHからのリブート
CLISH からのリブートでは、確認は求められません。 そのため、設定の変更はスタートアップ設定に保存されません。
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
running-configでフェールオーバーが無効になっている。この場合、ユニットはスタンバイ状態になり、アクティブ/アクティブシナリオを回避するために、予想どおりに疑似スタンバイ状態になります。
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
startup-configでは、引き続きフェールオーバーが有効になっています。
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
CLISH からデバイスをリブートします(reboot コマンド)。
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
ユニットが起動すると、フェールオーバーが有効になっているため、デバイスはフェールオーバー ネゴシエーション フェーズに入り、リモートピアの検出を試みます。
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
Case 2.LINA CLIからのリブート
LINA からのリブート(reload コマンド)では、確認が求められます。したがって、Y(はい)を選択すると、設定変更はstartup-configに保存されます。
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
ユニットが起動すると、フェールオーバーは無効になります。
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
関連情報
- Cisco Firepower Management Center のすべてのバージョンの設定ガイドが、ここにあります。
Cisco Secure Firewall Threat Defenseに関するドキュメントの参照
- FXOS Chassis Manager および CLI のすべてのバージョンの設定ガイドが、ここにあります。
CiscoFirepower4100/9300 FXOSドキュメントのナビゲーション
- Cisco Global Technical Assistance Center(TAC)では、シスコのFirepowerNext-Generation Security Technologiesに関する詳細な実務知識を得るために、次のビジュアルガイドを強く推奨しています。
- firepowerテクノロジーに関連するすべての設定およびトラブルシューティングテクニカルノート
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
07-Aug-2023 |
SEO、スタイル要件、フォーマットを更新。 |
2.0 |
04-Aug-2022 |
書式設定、スタイルの要件、機械翻訳、言語および文法に関する記事を更新しました。 |
1.0 |
29-Sep-2021 |
初版 |
フィードバック