Hoge beschikbaarheid van FTD op Firepower-applicaties configureren

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
Bijgewerkt:5 juni 2026
Document-id:212699

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

In dit document wordt beschreven hoe Firepower Threat Defense (FTD) High Availability (HA) op Firepower-apparaten kan worden geconfigureerd en gecontroleerd.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

  • 2x Cisco Firepower 9300
  • 2x Cisco Firepower 4100 (7.2.8)
  • Firepower Management Center (FMC) (7.2.8)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Opmerking: op een FPR9300-toestel met FTD kunt u alleen HA tussen chassis configureren. De twee eenheden in een HA-configuratie moeten voldoen aan de hierin vermelde voorwaarden.

Taak 1. Voorwaarden controleren

Taakvereiste:

Controleer of beide FTD-apparaten voldoen aan de vereisten voor notities en kunnen worden geconfigureerd als HA-eenheden.

Oplossing:

Stap 1. Maak verbinding met de FPR9300 Management IP en controleer de hardware van de module.

Controleer de FPR9300-1 hardware:

KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

Controleer de FPR9300-2 hardware:

KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

Stap 2. Meld u aan bij FPR9300-1 Chassis Manager en navigeer naar Logische apparaten.

Stap 3. Controleer de softwareversie, het nummer en het type interface.

Taak 2. FTD HA configureren

Taakvereiste:

Stap 1. Configureer de Active/Standby-failover (HA) volgens het diagram. In dit geval wordt een 41xx-paar gebruikt.

Primary and Secondary FTD

Oplossing

Beide FTD-apparaten zijn geregistreerd in het FMC.

Firepower Security Modules

Stap 1. Als u de FTD-failover wilt configureren, gaat u naar Apparaten > Apparaatbeheer en kiest u Hoge beschikbaarheid toevoegen.

High Availability Drop-Down Menu

Stap 2. Voer de primaire peer en de secundaire peer in en kies Doorgaan.

Add High Availability Pair

Waarschuwing: Zorg ervoor dat u de juiste eenheid als primaire eenheid selecteert. Alle configuraties op de geselecteerde primaire eenheid worden gerepliceerd naar de geselecteerde secundaire FTD-eenheid. Als gevolg van replicatie kan de huidige configuratie op de secundaire eenheid worden vervangen.

Voorwaarden

Om een HA tussen 2 FTD-apparaten te creëren, moet aan deze voorwaarden worden voldaan:

  • Hetzelfde model
  • Dezelfde versie, dit geldt voor FXOS en voor FTD - groot (eerste nummer), klein (tweede nummer) en onderhoud (derde nummer) moeten gelijk zijn.
  • Hetzelfde aantal interfaces
  • Hetzelfde type interfaces
  • Beide apparaten maken deel uit van dezelfde groep/hetzelfde domein in FMC
  • Hebben identieke Network Time Protocol (NTP) configuraties
  • Moet volledig worden ingezet in het VCC zonder ongebonden wijzigingen
  • Moet zich in dezelfde firewallmodus bevinden: gerouteerd of transparant
note-icon

Opmerking: dit moet worden gecontroleerd op zowel FTD-apparaten als FMC GUI, aangezien er gevallen zijn geweest waarin de FTD's dezelfde modus hadden, maar FMC geeft dit niet weer.

  • Er is geen DHCP/Point-to-Point Protocol over Ethernet (PPPoE) geconfigureerd op een van de interfaces.
  • Verschillende hostnaam [Fully Qualified Domain Name (FQDN)] voor beide chassis. Als u de hostnaam van het chassis wilt controleren, gaat u naar FTD CLI en voert u deze opdracht uit:
firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Opmerking: gebruik in post 6.3 FTD de opdracht chassisdetails weergeven.

Firepower-module1# show chassis detail 
Chassis URL : https://FP4100-5:443// 
Chassis IP : 10.62.148.187 
Chassis IPv6 : :: 
Chassis Serial Number : JAD19500BAB 
Security Module : 1

Als beide chassis dezelfde naam hebben, wijzigt u de naam in één chassis met deze opdracht:

KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

Nadat u de chassisnaam hebt gewijzigd, verwijdert u de FTD van FMC en registreert u deze opnieuw. Ga daarna door met het maken van het HA-paar.

Stap 3. Configureer de instellingen voor de HA en de status van de koppelingen.

In dit geval heeft de statuslink dezelfde instellingen als de High Availability Link.

Stap 4. Kies Toevoegen en wacht een paar minuten voordat het HA-paar wordt geïmplementeerd.

Add High Availability Pair + Link

Stap 5. Configureer de Data-interfaces (primaire en standby IP-adressen).

Stap 6. Kies in de FMC GUI de optie HA Edit.

FTD Primary, Active and FTD Secondary, Standby

Stap 7. De interface-instellingen configureren:

Edit Mode for Physical Interface

Edit Mode for Physical Interface IP Address

Bij een subinterface moet u de bovenliggende interface inschakelen:

Edit Mode for Ether Channel Interface

Stap 8. Navigeer naar Hoge beschikbaarheid en kies de interfacenaam, klik op Bewerken om de standby IP-adressen toe te voegen.

Firewall Management Center

Edit Inside

Stap 9. Voer dezelfde stappen uit voor de externe interface.

Stap 10. Controleer de resultaten.

Monitored Interfaces - Standby IPv4

Stap 11. Blijf op het tabblad Hoge beschikbaarheid en configureer virtuele MAC-adressen.

Interface MAC Addresses

Stap 12. Binnen-interfaceafbeelding.

Add Interface MAC Addresses

Stap 13. Voer dezelfde stappen uit voor de externe interface.

Stap 14. Controleer de resultaten.

Interface MAC Addresses - Active MAC Addresses and Standby MAC Addresses

Stap 15. Nadat u de wijzigingen hebt geconfigureerd, kiest u Opslaan en Implementeren.

Taak 3. FTD HA en licentie controleren

Taakvereiste:

Controleer de FTD HA-instellingen en schakel de licenties in vanuit de FMC GUI en FTD CLI.

Oplossing:

Stap 1. Navigeer naar Samenvatting en controleer de HA-instellingen en schakel de licenties in.

Firewall Management Center Summary

Stap 2. Voer vanuit de FTD CLISH CLI de opdracht High-Availability Config of Show Failover uit:

> show high-availability config 
Failover On 
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
Last Failover at: 08:46:30 UTC Jul 18 2024
        This host: Primary - Active 
                Active time: 1999 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.10): Link Down (Shutdown)
                  Interface Outside (192.168.76.10): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)
        Other host: Secondary - Standby Ready 
                Active time: 1466 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.11): Link Down (Shutdown)
                  Interface Outside (192.168.76.11): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics
<output omitted>

Stap 3. Voer dezelfde stappen uit op het secundaire apparaat.

Stap 4. Voer de opdracht failoverstatus weergeven uit vanuit de LINA CLI:

firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

Stap 5. Controleer de configuratie-instellingen vanuit de primaire eenheid (LINA CLI):

> show running-config failover
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

> show running-config interface 
!
interface Port-channel2
no nameif
no security-level
no ip address
!
interface Port-channel2.202
vlan 202
nameif Outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
shutdown
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 
>

Taak 4. Switch van de failover-rollen

Taakvereiste:

Vanuit het FMC wisselt u de failover-rollen van Primary/Active, Secondary/Standby in Primary/Standby, Secondary/Active.

Oplossing:

Stap 1. Selecteer het pictogram.

FTD Switch Active Peer

Stap 2. Bevestig de actie.

U kunt de opdracht failovergeschiedenis weergeven gebruiken:

Op de nieuwe Active

Op de nieuwe standby

> Failovergeschiedenis weergeven
============================================================================
Van staat tot staat reden
============================================================================

09:27:11 UTC Jul 18 2024
Standby Ready Just Active Andere eenheid wil me Actief
                                                                                                                 (Ingesteld met de opdracht config)

09:27:11 UTC Jul 18 2024
Gewoon Actieve Drain Andere eenheid wil me Actief
                                                                                                                 (Ingesteld met de opdracht config)

09:27:11 UTC Jul 18 2024
Actieve drain Actief Config toepassen Andere eenheid wil mij Actief
                                                                                                                 (Ingesteld met de opdracht config)

09:27:11 UTC Jul 18 2024
Actief Config toepassen Actieve Config toegepast Andere eenheid wil dat ik actief ben
                                                                                                                 (Ingesteld met de opdracht config)

09:27:11 UTC Jul 18 2024
Actieve configuratie Toegepaste actieve andere eenheid wil mij Actief
                                                                                                                (Ingesteld met de opdracht config)

> Failovergeschiedenis weergeven
============================================================================
Van staat tot staat reden
============================================================================

09:27:11 UTC Jul 18 2024
Actieve stand-by Ready ingesteld met de opdracht config
                                                                                                               (geen failover actief)

Stap 3. Na verificatie maakt u de primaire eenheid weer actief.

Taak 5. Breek het HA-paar

Taakvereiste:

Verbreek het failover-paar vanaf het FMC.

Oplossing:

Stap 1. Selecteer het pictogram.

Switch Active Peer Break

Stap 2. Controleer de melding.

Confirm Break Message Notification

Stap 3. Let op het bericht.

High Availability Notification Message

Stap 4. Controleer de resultaten van de FMC GUI of van de CLI.

Stap 5. show running-config op de primaire eenheid vóór en na het verbreken van HA:

Primaire/stand-byeenheid vóór de HA-onderbreking

Primaire eenheid na de HA-onderbreking

> Running-config tonen
: opgeslagen

:
: Serienummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam-firepower
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
Naam buiten
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 192.168.76.10 255.255.255.0 Standby 192.168.76.11
Ja!
Poortinterface Poortkanaal3
beschrijving LAN/STATE Failover Interface
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam binnen
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 192.168.75.10 255.255.255.0 Standby 192.168.75.11
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: TOEGANGSBELEID: acp_simple - Standaard
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: L4 REGEL: STANDAARD ACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
MTU Buiten 1500
MTU Diagnostic 1500
MTU Inside 1500
failover
Primaire failover LAN-eenheid
failover LAN-interface FOVER-poortkanaal3
failover-replicatie http
failover mac-adres Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac-adres Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover-link FOVER-poortkanaal3
failover-interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<uitvoer weggelaten>

> INFO: Deze eenheid is momenteel in stand-by toestand. Door failover uit te schakelen, blijft dit apparaat in stand-by.

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam-firepower
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poortinterface Poortkanaal3
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Ethernet-interface1/1
uitsluitend voor het management
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Ethernet-interface1/4
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: TOEGANGSBELEID: acp_simple - Verplicht
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: L7 REGEL: regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
geen failover
<uitvoer weggelaten>

Secundaire/actieve eenheid vóór de HA-onderbreking

Secundaire eenheid na de HA-pauze

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam-firepower
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
Naam buiten
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 192.168.76.10 255.255.255.0 Standby 192.168.76.11
Ja!
Poortinterface Poortkanaal3
beschrijving LAN/STATE Failover Interface
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam binnen
veiligheidsniveau 0
IP-adres 192.168.75.10 255.255.255.0 Standby 192.168.75.11
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: TOEGANGSBELEID: acp_simple - Verplicht
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: L7 REGEL: regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
MTU Buiten 1500
MTU Diagnostic 1500
MTU Inside 1500
failover
Secundaire failover LAN-eenheid
failover LAN-interface FOVER-poortkanaal3
failover-replicatie http
failover-link FOVER-poortkanaal3
failover-interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<uitvoer weggelaten>

  

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam-firepower
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
Naam buiten
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 192.168.76.10 255.255.255.0 Standby 192.168.76.11
Ja!
Poortinterface Poortkanaal3
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam binnen
veiligheidsniveau 0
IP-adres 192.168.75.10 255.255.255.0 Standby 192.168.75.11
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: TOEGANGSBELEID: acp_simple - Verplicht
toegangslijst CSM_FW_ACL_ opmerking regel-id 268439552: L7 REGEL: regel 1
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268439552
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
MTU Buiten 1500
MTU Diagnostic 1500
MTU Inside 1500
geen failover
geen monitor-interface Buiten
geen monitor-interface-servicemodule

<uitvoer weggelaten>

Belangrijkste punten voor het verbreken van HA:

Primaire/stand-byeenheid

Secundaire/actieve eenheid
  • Alle failover-configuraties worden verwijderd
  • Alle IP-configuratie is verwijderd
  • Alle failover-configuraties worden verwijderd
  • Standby-IP's blijven behouden, maar worden bij de volgende implementatie verwijderd

Stap 6. Zodra u deze taak hebt voltooid, maakt u het HA-paar opnieuw.

Taak 6. Een HA-paar verwijderen

Deze taak is gebaseerd op een HA-installatie op 41xx met behulp van 7.2.8-software. In dit geval bevonden de apparaten zich aanvankelijk in deze toestanden:

  • Primair/stand-by
  • Secundair/actief

Taakvereiste:

Verwijder het failover-paar uit de FMC.

Oplossing:

Stap 1. Kies het icoon.

FTD Switch Active Peer - Delete

Stap 2. Controleer de melding en bevestig.

FTD Switch Active Peer - Confirm Deletion Message

Stap 3. Nadat u de HA hebt verwijderd, worden beide apparaten niet geregistreerd (verwijderd) uit de FMC.

Stap 4. Het resultaat van de actieve configuratie van de LINA CLI weergeven:

Primaire eenheid (stand-by)

Secundaire eenheid (actief)

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam Firepower-module1
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Geen ASP Inspect-DP-ack-passthrough
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
naam NET202
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.202.1 255.255.255.0 Standby 172.16.202.2
Ja!
Poort-kanaal interface2.203
VLAN 203
naam NET203
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.203.1 255.255.255.0 Standby 172.16.203.2
Ja!
Poortinterface Poortkanaal3
beschrijving LAN/STATE Failover Interface
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam NET204
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.204.1 255.255.255.0 Standby 172.16.204.2
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
geen toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: TOEGANGSBELEID: acp_simple - Standaard
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: L4 REGEL: STANDAARD ACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
TCP-opties MD5 Wissen
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
mtu NET202 1500
mtu NET203 1500
MTU Diagnostic 1500
mtu NET204 1500
failover
Primaire failover LAN-eenheid
failover LAN-interface FOVER-poortkanaal3
failover-replicatie http
failover-link FOVER-poortkanaal3
failover-interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
monitor-interface NET203
ICMP Onbereikbare snelheidslimiet 1 burst-size 1

<uitvoer weggelaten>

> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIGURATIE
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Poortkanaal2.202 NET202 172.16.202.2 255.255.255.0 CONFIG
Poortkanaal2.203 NET203 172.16.203.2 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.2 255.255.255.0 CONFIGURATIE

> Failover weergeven
Failover ingeschakeld
Failover-eenheid Primair
Failover LAN-interface: FOVER Port-channel3 (omhoog)
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 4 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld
failover-replicatie http
Versie: Ours 9.18(4)210, mate 9.18(4)210
Serienummer: Ours FLM1949C5RR, Mate FLM2108V9YG
Laatste Failover op: 13:56:37 UTC Jul 16 2024
Deze host: Primair - Standby Ready
Actieve tijd: 0 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Interface NET202 (172.16.202.2): Normaal (bewaakt)
Interface NET203 (172.16.203.2): Normaal (bewaakt)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.2): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)
Andere host: secundair - actief
Actieve tijd: 70293 (sec)
Interface NET202 (172.16.202.1): Normaal (bewaakt)
Interface NET203 (172.16.203.1): Normaal (bewaakt)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.1): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)

<uitvoer weggelaten>

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam Firepower-module1
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Geen ASP Inspect-DP-ack-passthrough
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
naam NET202
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.202.1 255.255.255.0 Standby 172.16.202.2
Ja!
Poort-kanaal interface2.203
VLAN 203
naam NET203
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.203.1 255.255.255.0 Standby 172.16.203.2
Ja!
Poortinterface Poortkanaal3
beschrijving LAN/STATE Failover Interface
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam NET204
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.204.1 255.255.255.0 Standby 172.16.204.2
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
geen toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: TOEGANGSBELEID: acp_simple - Standaard
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: L4 REGEL: STANDAARD ACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
TCP-opties MD5 Wissen
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
mtu NET202 1500
mtu NET203 1500
MTU Diagnostic 1500
mtu NET204 1500
failover
Secundaire failover LAN-eenheid
failover LAN-interface FOVER-poortkanaal3
failover-replicatie http
failover-link FOVER-poortkanaal3
failover-interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
monitor-interface NET203
ICMP Onbereikbare snelheidslimiet 1 burst-size 1

<uitvoer weggelaten>

> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIGURATIE
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.2 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIGURATIE

> Failover weergeven
Failover ingeschakeld
Failover-eenheid Secundair
Failover LAN-interface: FOVER Port-channel3 (omhoog)
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 4 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld
failover-replicatie http
Versie: Ours 9.18(4)210, mate 9.18(4)210
Serienummer: Ours FLM2108V9YG, Mate FLM1949C5RR
Laatste Failover op: 13:42:35 UTC Jul 16 2024
Deze host: secundair - actief
Actieve tijd: 70312 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Interface NET202 (172.16.202.1): Normaal (bewaakt)
Interface NET203 (172.16.203.1): Normaal (bewaakt)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.1): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)
Andere host: Primair - Standby Ready
Actieve tijd: 0 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Interface NET202 (172.16.202.2): Normaal (bewaakt)
Interface NET203 (172.16.203.2): Normaal (bewaakt)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.2): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)

<uitvoer weggelaten>

Stap 5. Beide FTD-apparaten waren niet geregistreerd bij het FMC:

> show managers
No managers configured.

Belangrijkste punten om rekening mee te houden voor de optie HA uitschakelen in het FMC:

Primaire eenheid

Secundaire eenheid

Het apparaat wordt uit het FMC verwijderd.

Er wordt geen configuratie verwijderd van het FTD-apparaat.

Het apparaat wordt uit het FMC verwijderd.

Er wordt geen configuratie verwijderd van het FTD-apparaat.

Scenario 1:

Voer de opdracht hoge beschikbaarheid uitschakelen uit om de failover-configuratie van het actieve FTD-apparaat te verwijderen:

> configure high-availability disable ?
Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
<cr> 
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

Het resultaat:

Primaire eenheid (ex-standby)

Secundaire eenheid (ex-actief)

> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.

> show failover
Failover Off (pseudo-Standby)
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset

> show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1291 maximum
MAC Address Move Notification Interval not set

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

Primair (ex-standby)

Secundair (ex-actief)

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam Firepower-module1
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Geen ASP Inspect-DP-ack-passthrough
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
shutdown
geen naam
geen veiligheidsniveau
geen IP-adres <- IP's worden verwijderd
Ja!
Poortinterface Poortkanaal3
beschrijving LAN/STATE Failover Interface
Ja!
Ethernet-interface1/1
uitsluitend voor het management
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Ethernet-interface1/4
shutdown
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
geen toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: TOEGANGSBELEID: acp_simple - Standaard
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: L4 REGEL: STANDAARD ACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
TCP-opties MD5 Wissen
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
geen failover
Primaire failover LAN-eenheid
failover LAN-interface FOVER-poortkanaal3
failover-replicatie http
failover-link FOVER-poortkanaal3
failover-interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
geen monitor-interface-servicemodule

<uitvoer weggelaten>

> Running-config weergeven
: opgeslagen

:
: Serienummer: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-reeks 2200 MHz, 2 CPU's (48 cores)
:
NGFW versie 7.2.8
Ja!
hostnaam Firepower-module1
Wachtwoord **** versleuteld inschakelen
sterk versleutelbaar
Geen ASP Inspect-DP-ack-passthrough
Service-Module 0 keepalive-timeout 4
service-module 0 keepalive-teller 6
namen
Geen automatisch MAC-adres

Ja!
Poortinterface Poortkanaal2
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Poort-kanaal interface2.202
VLAN 202
naam NET202
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.202.1 255.255.255.0 Standby 172.16.202.2
Ja!
Poort-kanaal interface2.203
VLAN 203
naam NET203
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.203.1 255.255.255.0 Standby 172.16.203.2
Ja!
Poortinterface Poortkanaal3
geen naam
geen veiligheidsniveau
Geen IP-adres
Ja!
Ethernet-interface1/1
uitsluitend voor het management
NaamIf Diagnostic
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
Geen IP-adres
Ja!
Ethernet-interface1/4
naam NET204
CTS-handleiding
SGT-conservering-untag propageren
Statisch beleid SGT uitgeschakeld Vertrouwd
veiligheidsniveau 0
IP-adres 172.16.204.1 255.255.255.0 Standby 172.16.204.2
Ja!
FTP-modus passief
NGIPS Conn-Match VLAN-ID
geen toegangscontrole object-groep-zoeken
toegangsgroep CSM_FW_ACL_ global
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: VOORFILTERBELEID: standaardtunnel en prioriteitsbeleid
toegangslijst CSM_FW_ACL_ opmerking regel-id 9998: REGEL: STANDAARD TUNNELACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ipinip any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
toegangslijst CSM_FW_ACL_ geavanceerde vergunning 41 elke regel-id 9998
access-list CSM_FW_ACL_ advanced permit gre any rule-id 9998
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: TOEGANGSBELEID: acp_simple - Standaard
toegangslijst CSM_FW_ACL_ opmerking regel-id 268434433: L4 REGEL: STANDAARD ACTIEREGEL
access-list CSM_FW_ACL_ advanced permit ip any rule-id 268434433
Ja!
tcp-map UM_STATIC_TCP_MAP
TCP-opties bereik 6 7 toestaan
TCP-opties bereik 9 18 toestaan
TCP-opties bereik 20 255 toestaan
TCP-opties MD5 Wissen
urgent-flag allow
Ja!
geen pieper
Geen logboekbericht 106015
Geen logboekbericht 313001
Geen logboekbericht 313008
Geen logboekbericht 106023
Geen logboekbericht 710003
Geen logboekbericht 106100
Geen logboekbericht 302015
Geen logboekbericht 302014
Geen logboekbericht 302013
Geen logboekbericht 302018
Geen logboekbericht 302017
Geen logboekbericht 302016
Geen logboekbericht 302021
Geen logboekbericht 302020
mtu NET202 1500
mtu NET203 1500
MTU Diagnostic 1500
mtu NET204 1500
geen failover
monitor-interface NET202
monitor-interface NET203
geen monitor-interface-servicemodule

Belangrijkste punten om op te merken HA uit te schakelen van de actieve FTD CLI:

actieve eenheid

stand-by-eenheid
  • Failoverconfiguratie is verwijderd
  • Standby-IP's worden niet verwijderd
  • Interface-configuraties worden verwijderd.
  • Failover-configuratie wordt niet verwijderd, maar failover is uitgeschakeld (pseudo-Standby)

Op dit punt kunt u de HA op de ex-standby-eenheid uitschakelen.

Scenario 2 (niet aanbevolen)

Waarschuwing: Dit scenario leidt tot een actieve/actieve situatie, daarom wordt het niet aanbevolen. Het wordt alleen getoond voor bewustwording.

Voer de opdracht 'Configureren hoge beschikbaarheid uitschakelen' uit om de failover-configuratie van het FTD-apparaat in stand-by te verwijderen:

> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

Het resultaat:

Primair (ex-standby)

Secundair (actief)

> Failover weergeven
failover
Failover-eenheid Secundair
Failover LAN-interface: niet geconfigureerd
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 4 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld


> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding <- Het apparaat gebruikt dezelfde IP's als de ex-Active!
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

> Failover weergeven
Failover On <- Failover is niet uitgeschakeld
Failover-eenheid Secundair
Failover LAN-interface: FOVER Port-channel3 (omhoog)
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 4 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld
failover-replicatie http
Versie: Ours 9.18(4)210, mate 9.18(4)210
Serienummer: Ours FLM2108V9YG, Mate FLM1949C5RR
Laatste Failover op: 12:44:06 UTC Jul 17 2024
Deze host: secundair - actief
Actieve tijd: 632 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.1): Normaal (bewaakt)
Interface NET203 (172.16.203.1): Normaal (bewaakt)
Interface NET202 (172.16.202.1): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)
Andere host: Primair - uitgeschakeld
Actieve tijd: 932 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Diagnostische interface (0.0.0.0): Onbekend (wachten)
Interface NET204 (172.16.204.2): onbekend (bewaakt)
Interface NET203 (172.16.203.2): onbekend (bewaakt)
Interface NET202 (172.16.202.2): onbekend (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)

> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding <- Het apparaat gebruikt dezelfde IP's als de ex-Standby!
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Port-channel3 FOVER 172.16.51.2 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

Belangrijkste punten om op te merken HA uit te schakelen van de actieve FTD CLI:

actieve eenheid

stand-by-eenheid
  • Failover-configuratie wordt niet verwijderd en blijft ingeschakeld
  • Het apparaat gebruikt dezelfde IP's als de ex-standby-eenheid
  • Failoverconfiguratie is verwijderd
  • Het apparaat gebruikt dezelfde IP's als de actieve eenheid

Scenario 3:

Voer de opdracht Clear-interfaces met hoge beschikbaarheid uitschakelen uit om de failoverconfiguratie van het Active FTD-apparaat te verwijderen:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

>

Het resultaat:

Primair (ex-standby)

Secundair (ex-actief)

> Failover weergeven
Failover Off (pseudo-Standby)
Failover-eenheid Primair
Failover LAN-interface: FOVER Port-channel3 (omhoog)
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 0 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld
failover-replicatie http


> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
>

> Failover weergeven
failover
Failover-eenheid Secundair
Failover LAN-interface: niet geconfigureerd
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 0 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld


> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
>

Belangrijkste punten om op te merken voor de HA uitschakelen samen met duidelijke interfaces van Active FTD CLI:

actieve eenheid

stand-by-eenheid
  • Failoverconfiguratie is verwijderd
  • IP's worden verwijderd
  • Failover-configuratie wordt niet verwijderd, maar failover is uitgeschakeld (pseudo-Standby)
  • IP's worden verwijderd

Scenario 4

Voer de opdracht 'configure high-availability disable clear-interfaces' uit om de failover-configuratie te verwijderen van het FTD-apparaat in stand-by:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

>

Het resultaat:

Primair (ex-standby)

Secundair (actief)

> Failover weergeven
failover
Failover-eenheid Secundair
Failover LAN-interface: niet geconfigureerd
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 0 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld


> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
>

> Failover weergeven
Failover ingeschakeld
Failover-eenheid Secundair
Failover LAN-interface: FOVER Port-channel3 (omhoog)
Time-out opnieuw verbinden 0:00:00
Unit Poll frequentie 1 seconden, holdtime 15 seconden
Interface Poll frequentie 5 seconden, wachttijd 25 seconden
Interfacebeleid 1
Bewaakte interfaces 4 van maximaal 1291
Meldingsinterval voor verplaatsing MAC-adres niet ingesteld
failover-replicatie http
Versie: Ours 9.18(4)210, mate 9.18(4)210
Serienummer: Ours FLM2108V9YG, Mate FLM1949C5RR
Laatste Failover op: 07:06:56 UTC Jul 18 2024
Deze host: secundair - actief
Actieve tijd: 1194 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Diagnostische interface (0.0.0.0): normaal (wachten)
Interface NET204 (172.16.204.1): Normaal (bewaakt)
Interface NET202 (172.16.202.1): Normaal (bewaakt)
Interface NET203 (172.16.203.1): Normaal (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)
Andere host: Primair - uitgeschakeld
Actieve tijd: 846 (sec)
sleuf 0: UCSB-B200-M3-U hw/sw rev (0,0/9,18(4)210) status (Up Sys)
Diagnostische interface (0.0.0.0): Onbekend (wachten)
Interface NET204 (172.16.204.2): onbekend (bewaakt)
Interface NET202 (172.16.202.2): onbekend (bewaakt)
Interface NET203 (172.16.203.2): onbekend (bewaakt)
Sleuf 1: status snort rev (1.0) (omhoog)
Sleuf 2: diskstatus rev (1.0) status (omhoog)

> IP weergeven
Systeem-IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Port-channel3 FOVER 172.16.51.1 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
Huidige IP-adressen:
Interface Naam IP adres Subnet masker Methode
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 handleiding
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 handleiding
Port-channel3 FOVER 172.16.51.2 255.255.255.0 ongedaan gemaakt
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

Belangrijkste punten om op te merken HA uitschakelen samen met duidelijke interfaces van de Active FTD CLI:

actieve eenheid

stand-by-eenheid
  • Failoverconfiguratie wordt niet verwijderd
  • IP's worden niet verwijderd
  • Failoverconfiguratie is verwijderd
  • IP's worden verwijderd

Stap 6. Als u deze taak hebt voltooid, registreert u de apparaten bij de FMC en schakelt u het HA-paar in.

Taak 7. HA opschorten

Taakvereiste:

Schort de HA op vanaf de FTD CLISH CLI.

Oplossing:

Stap 1. Voer op de primaire FTD de opdracht uit en bevestig (typ JA).

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Stap 2. Controleer de wijzigingen op de primaire eenheid:

> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Stap 3. Het resultaat op de secundaire eenheid:

> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

Stap 4. Hervat HA op de primaire eenheid:

> configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Stap 5. De resultaten op de Secundaire Eenheid nadat u HA hervat:

> ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

Veelgestelde vragen (FAQ)


V: Wanneer de configuratie wordt gerepliceerd, wordt deze dan onmiddellijk (regel voor regel) of aan het einde van de replicatie opgeslagen?
A: Aan het einde van de replicatie. Het bewijs bevindt zich aan het einde van de output van de opdracht debug fover sync, waar de config/command-replicatie wordt getoond:

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory        <--


V: Wat gebeurt er als een eenheid zich in een pseudo-stand-by-toestand bevindt (failover uitgeschakeld) en u deze opnieuw laadt terwijl de andere eenheid failover heeft ingeschakeld en actief is?
A: Je komt terecht in een Actief/Actief scenario (hoewel het technisch gezien een Actief/Failover-off is). Specifiek, zodra het apparaat OMHOOG komt, is de failover uitgeschakeld, maar het apparaat gebruikt dezelfde IP's als de actieve eenheid. Er is dus effectief sprake van de volgende toestand:

  • Eenheid-1: actief
  • Unit-2: Failover is uitgeschakeld en de eenheid gebruikt dezelfde IP-gegevens als Unit-1, maar verschillende MAC-adressen.


V: Wat gebeurt er met de failover-configuratie als u de failover handmatig uitschakelt (hoge beschikbaarheid opschorten configureert) en vervolgens het apparaat opnieuw laadt?
A: Wanneer u de failover uitschakelt, is dit geen permanente wijziging (niet opgeslagen in de opstartconfiguratie, tenzij u dit expliciet doet). U kunt het apparaat op twee verschillende manieren opnieuw opstarten / opnieuw laden en met de tweede manier moet u voorzichtig zijn:

Situatie 1. Opnieuw opstarten vanaf CLISH

Bij opnieuw opstarten vanaf CLISH wordt er niet om een bevestiging gevraagd. De configuratiewijziging wordt dus niet opgeslagen in de opstartconfiguratie:

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

De failover is uitgeschakeld in de running-config. In dit geval stond de eenheid op Standby en werd deze in de pseudo-Standby-toestand geplaatst, zoals verwacht om een Actief/Actief scenario te vermijden:

firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


De opstartconfiguratie heeft de failover nog steeds ingeschakeld:

firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Start het apparaat opnieuw op vanaf CLISH (opdracht reboot):

> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

Aangezien failover is ingeschakeld, zal zodra de eenheid actief is, het apparaat naar de onderhandelingsfase voor de failover gaan om te proberen de externe peer te detecteren:

User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


Situatie 2. Opnieuw opstarten vanaf LINA CLI:
Opnieuw opstarten vanaf LINA (opdracht opnieuw laden) en het vraagt om bevestiging. Als u Y (Yes) selecteert en de configuratiewijziging in de opstartconfiguratie wordt opgeslagen, doet u het volgende:

firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y  <-- Be careful. This disables the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Zodra de eenheid actief is, wordt de failover uitgeschakeld:

firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

Opmerking: om dit scenario te voorkomen, moet u ervoor zorgen dat wanneer u wordt gevraagd, u de wijzigingen in de opstartconfiguratie niet opslaat.

Gerelateerde informatie

  • Raadpleeg alle versies van de configuratiehandleiding van het Cisco Firepower Management Center:

Navigeren door de documentatie van Cisco Secure Firewall Threat Defense

  • Raadpleeg alle versies van de configuratiehandleiding voor FXOS Chassis Manager en CLI:

Navigeren door de Cisco Firepower 4100/9300 FXOS-documentatie

  • Cisco Global Technical Assistance Center (TAC) beveelt deze visuele gids ten zeerste aan voor diepgaande praktische kennis over Cisco Firepower Next-Generation Security Technologies:

Cisco Firepower Threat Defense (FTD): best practices voor configuratie en probleemoplossing voor de Next-Generation Firewall (NGFW), Next-Generation Intrusion Prevention System (NGIPS) en Advanced Malware Protection (AMP)

  • Raadpleeg alle technische notities voor configuratie en probleemoplossing die betrekking hebben op de Firepower-technologieën:

Cisco Secure Firewall Management Center

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
5.0
05-Jun-2026
Bijgewerkte SEO, Inleiding, opmaak. spelling, spatiëring en nummering.
4.0
19-Jul-2024
Bijgewerkte SEO, stijlvereisten en opmaak. Daarnaast zijn de taken nu gebaseerd op 7.2.8 software release.
3.0
07-Aug-2023
Bijgewerkte SEO, stijlvereisten en opmaak.
2.0
04-Aug-2022
Artikel bijgewerkt voor opmaak, stijlvereisten, machinevertaling, achtergronden en grammatica.
1.0
29-Sep-2021
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Olha Yakovenko
    Cisco TAC Engineer
  • Mikis Zafeiroudis
    Cisco TAC Engineer
  • John Long
    Cisco TAC Engineer

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten