Controleer Firepower, instantie, beschikbaarheid, schaalbaarheid en configuratie
Inhoud
Inleiding
Dit document beschrijft de verificatie van de configuratie voor hoge beschikbaarheid en schaalbaarheid van Firepower, de firewallmodus en het implementatietype van het exemplaar.
Achtergrondinformatie
De verificatiestappen voor de configuratie met hoge beschikbaarheid en schaalbaarheid, de firewallmodus en het implementatietype van de instantie worden weergegeven op de gebruikersinterface (UI), de opdrachtregelinterface (CLI), via REST-API-query's, SNMP en in het bestand voor probleemoplossing.
Voorwaarden
Vereisten
- Basisproductkennis
- REST-API, SNMP
Gebruikte componenten
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Firepower 1000, 2100, Firepower 4100/9300
- Beveiligde firewall 3100/4200
- Firepower Management Center (FMC) versie 7.1.x
- Firepower Extensible Operating System (FXOS) 2.11.1.x, 2.16.x
- Firepower Device Manager (FDM) 7.1.x
- Firepower Threat Defense 7.1.x, 7.6.x
- ASA 9.17.x
Configuratie van hoge beschikbaarheid en schaalbaarheid controleren
Hoge beschikbaarheid verwijst naar de failover-configuratie. De instelling voor hoge beschikbaarheid of failover voegt twee apparaten samen, zodat als een van de apparaten uitvalt, het andere apparaat het kan overnemen.
Schaalbaarheid verwijst naar de clusterconfiguratie. Met een clusterconfiguratie kunt u meerdere FTD-knooppunten als één logisch apparaat groeperen. Een cluster biedt het gemak van één apparaat (beheer, integratie in een netwerk) en de verhoogde doorvoer en redundantie van meerdere apparaten.
In dit document worden deze uitdrukkingen door elkaar gebruikt:
- Hoge beschikbaarheid of failover
- Schaalbaarheid of cluster
In sommige gevallen is de verificatie van de hoge beschikbaarheid en schaalbaarheid van de configuratie of status niet beschikbaar. Er is bijvoorbeeld geen verificatieopdracht voor FTD standalone configuratie. Standalone-, failover- en clusterconfiguratiemodi sluiten elkaar uit. Als een apparaat geen failover- en clusterconfiguratie heeft, wordt het geacht in de stand-alone modus te werken.
Hoge beschikbaarheid FMC
De configuratie en status van de FMC met hoge beschikbaarheid kunnen worden geverifieerd met behulp van deze opties:
- FMC-GEBRUIKERSINTERFACE
- FMC-CLI
- REST API-verzoek
- FMC-probleemoplossingsbestand
FMC-GEBRUIKERSINTERFACE
Volg deze stappen om de configuratie en status voor hoge beschikbaarheid van de FMC-gebruikersinterface te controleren:
1. Kies Systeem > Integratie > Hoge beschikbaarheid:
2. Controleer de rol van het VCC. In dit geval is de hoge beschikbaarheid niet geconfigureerd en werkt de FMC in een zelfstandige configuratie:
Als hoge beschikbaarheid is geconfigureerd, worden lokale en externe rollen weergegeven:
FMC-CLI
Volg deze stappen om de configuratie en status voor hoge beschikbaarheid van de FMC op de FMC CLI te controleren:
1. Toegang tot FMC via SSH- of consoleverbinding.
2. Voer de opdracht expert uit en voer vervolgens de opdracht sudo su uit:
> expert admin@fmc1:~$ sudo su Password: Last login: Sat May 21 21:18:52 UTC 2022 on pts/0 fmc1:/Volume/home/admin#
3. Voer de opdracht troubleshoot_HADC.pl uit en selecteer optie 1 HA-info van FMC tonen. Als hoge beschikbaarheid niet is geconfigureerd, wordt deze uitvoer weergegeven:
fmc1:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility ************** 1 Show HA Info Of FMC 2 Execute Sybase DBPing 3 Show Arbiter Status 4 Check Peer Connectivity 5 Print Messages of AQ Task 6 Show FMC HA Operations History (ASC order) 7 Dump To File: FMC HA Operations History (ASC order) 8 Last Successful Periodic Sync Time (When it completed) 9 Print HA Status Messages 10 Compare active and standby device list 11 Check manager status of standby missing devices 12 Check critical PM processes details 13 Help 0 Exit ************************************************************** Enter choice: 1 HA Enabled: No
Als hoge beschikbaarheid is geconfigureerd, wordt deze uitvoer weergegeven:
fmc1:/Volume/home/admin# troubleshoot_HADC.pl **************** Troubleshooting Utility ************** 1 Show HA Info Of FMC
2 Execute Sybase DBPing
3 Show Arbiter Status
4 Check Peer Connectivity
5 Print Messages of AQ Task
6 Show FMC HA Operations History (ASC order)
7 Dump To File: FMC HA Operations History (ASC order)
8 Help
0 Exit **************************************************************
Enter choice: 1 HA Enabled: Yes This FMC Role In HA: Active - Primary
Status out put: vmsDbEngine (system,gui) - Running 29061
In vmsDbEngineStatus(): vmsDbEngine process is running at /usr/local/sf/lib/perl/5.24.4/SF/Synchronize/HADC.pm line 3471.
Sybase Process: Running (vmsDbEngine, theSybase PM Process is Running)
Sybase Database Connectivity: Accepting DB Connections.
Sybase Database Name: csm_primary
Sybase Role: Active
FMC REST API
Volg deze stappen om de configuratie en status voor hoge beschikbaarheid en schaalbaarheid van de FMC te controleren via de REST-API van de FMC. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
1. Vraag een authenticatietoken aan:
# curl -s -k -v -X POST 'https://192.0.2.1/api/fmc_platform/v1/auth/generatetoken' -H 'Authentication: Basic' -u 'admin:Cisco123' | grep -i X-auth-access-token
... < X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb
2. Gebruik de token in deze query om de UUID van het globale domein te vinden:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_platform/v1/info/domain' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{ "items": [
{
"name": "Global",
"type": "Domain",
"uuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f"
},
{
"name": "Global/LAB2",
"type": "Domain",
"uuid": "84cc4afe-02bc-b80a-4b09-000000000000"
},
{
"name": "Global/TEST1",
"type": "Domain",
"uuid": "ef0cf3e9-bb07-8f66-5c4e-000000000001"
},
{
"name": "Global/TEST2",
"type": "Domain",
"uuid": "341a8f03-f831-c364-b751-000000000001"
}
],
"links": {
"self": "https://192.0.2.1/api/fmc_platform/v1/info/domain?offset=0&limit=25"
},
"paging": {
"count": 4,
"limit": 25,
"offset": 0,
"pages": 1
}
}
3. Gebruik de UUID van het globale domein in deze query:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/integration/fmchastatuses' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
Als hoge beschikbaarheid niet is geconfigureerd, wordt deze uitvoer weergegeven:
{
"links": {},
"paging": {
"count": 0,
"limit": 0,
"offset": 0,
"pages": 0
}
}Als hoge beschikbaarheid is geconfigureerd, wordt deze uitvoer weergegeven:
{
"items": [
{
"fmcPrimary": {
"ipAddress": "192.0.2.1",
"role": "Active",
"uuid": "de7bfc10-13b5-11ec-afaf-a0f8cf9ccb46"
},
"fmcSecondary": {
"ipAddress": "192.0.2.2",
"role": "Standby",
"uuid": "a2de9750-4635-11ec-b56d-201c961a3600"
},
"haStatusMessages": [
"Healthy"
],
"id": "de7bfc10-13b5-11ec-afaf-a0f8cf9ccb46",
"overallStatus": "GOOD",
"syncStatus": "GOOD",
"type": "FMCHAStatus"
}
],
"links": {
"self": "https://192.0.2.1/api/fmc_config/v1/domain/e276abec-e0f2-11e3-8169-6d9ed49b625f/integration/fmchastatuses?offset=0&limit=25"
},
"paging": {
"count": 1,
"limit": 25,
"offset": 0,
"pages": 1
}
}FMC-bestand voor probleemoplossing
Voer de volgende stappen uit om de configuratie en status voor hoge beschikbaarheid van de FMC te controleren in het probleemoplossingsbestand voor de FMC:
1. Open het bestand voor probleemoplossing en navigeer naar de map <bestandsnaam>.tar/resultaten-<date>--xxxxxx/command-outputs
2. Open het bestand usr-local-sf-bin-troubleshoot_HADC.pl -a.output:
Als hoge beschikbaarheid niet is geconfigureerd, wordt deze uitvoer weergegeven:
# pwd
/var/tmp/results-05-06-2022--199172/command-outputs
# cat "usr-local-sf-bin-troubleshoot_HADC.pl -a.output"
Output of /usr/local/sf/bin/troubleshoot_HADC.pl -a:
$VAR1 = [
'Mirror Server => csmEng',
{
'rcode' => 0,
'stderr' => undef,
'stdout' => 'SQL Anywhere Server Ping Utility Version 17.0.10.5745
Type Property Value
--------- ---------------- ------------------------------
Database MirrorRole NULL
Database MirrorState NULL
Database PartnerState NULL
Database ArbiterState NULL
Server ServerName csmEng
Ping database successful.
'
}
];
(system,gui) - Waiting
HA Enabled: No
Sybase Database Name: csmEng
Arbiter Not Running On This FMC.
Not In HA
Als hoge beschikbaarheid is geconfigureerd, wordt deze uitvoer weergegeven:
# pwd /var/tmp/results-05-06-2022--199172/command-outputs
# cat "usr-local-sf-bin-troubleshoot_HADC.pl -a.output" Output of /usr/local/sf/bin/troubleshoot_HADC.pl -a: Status out put: vmsDbEngine (system,gui) - Running 9399 In vmsDbEngineStatus(): vmsDbEngine process is running at /usr/local/sf/lib/perl/5.24.4/SF/Synchronize/HADC.pm line 3471. $VAR1 = [ 'Mirror Server => csm_primary', { 'stderr' => undef, 'stdout' => 'SQL Anywhere Server Ping Utility Version 17.0.10.5745 Type Property Value --------- ---------------- ------------------------------ Database MirrorRole primary Database MirrorState synchronizing Database PartnerState connected Database ArbiterState connected Server ServerName csm_primary Ping database successful. ', 'rcode' => 0 } ]; (system,gui) - Running 8185 ...
HA Enabled: Yes
This FMC Role In HA: Active - Primary
Sybase Process: Running (vmsDbEngine, theSybase PM Process is Running)
Sybase Database Connectivity: Accepting DB Connections.
Sybase Database Name: csm_primary
Sybase Role: Active
Sybase Database Name: csm_primary
Arbiter Running On This FMC.
Peer Is Connected
FDM Hoge beschikbaarheid
De configuratie en de status van de FDM met hoge beschikbaarheid kunnen worden geverifieerd met behulp van deze opties:
- FDM UI
- FDM REST API-verzoek
- FTD CLI
- FTD SNMP Poll
- FTD-probleemoplossingsbestand
FDM UI
Om de configuratie en status voor hoge beschikbaarheid van FDM te controleren, raadpleegt u Hoge beschikbaarheid op de hoofdpagina. Als hoge beschikbaarheid niet is geconfigureerd, is de waarde voor hoge beschikbaarheid niet geconfigureerd:
Als hoge beschikbaarheid is geconfigureerd, worden de lokale en externe failover-configuratie en -rollen van de peer-eenheid weergegeven:
FDM REST API
Volg deze stappen om de FDM-configuratie en -status met hoge beschikbaarheid te verifiëren via het FDM REST-API-verzoek. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
1. Vraag een authenticatietoken aan:
# curl -k -X POST --header 'Content-Type: application/json' --header 'Accept: application/json' -d '{ "grant_type": "password", "username": "admin", "password": "Cisco123" }' 'https://192.0.2.3/api/fdm/latest/fdm/token'
{
"access_token":
"eyJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2NTMyMDg1MjgsInN1YiI6ImFkbWluIiwianRpIjoiMjI1YWRhZWMtZDlhYS0xMWVjLWE5MmEtMjk4YjRjZTUxNmJjIiwibmJmIjoxNjUzMjA4NTI4LCJleHAiOjE2NTMyMTAzMjgsInJlZnJlc2hUb2tlbkV4cGlyZXNBdCI6MTY1MzIxMDkyODU2OSwidG9rZW5UeXBlIjoiSldUX0FjY2VzcyIsInVzZXJVdWlkIjoiYTNmZDA3ZjMtZDgxZS0xMWVjLWE5MmEtYzk5N2UxNDcyNTM0IiwidXNlclJvbGUiOiJST0xFX0FETUlOIiwib3JpZ2luIjoicGFzc3dvcmQiLCJ1c2VybmFtZSI6ImFkbWluIn0.ai3LUbnsLOJTN6exKOANsEG5qTD6L-ANd_1V6TbFe6M",
"expires_in": 1800,
"refresh_expires_in": 2400,
"refresh_token": "eyJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2NTIzOTQxNjksInN1YiI6ImFkbWluIiwianRpIjoiMGU0NGIxYzQtZDI0Mi0xMWVjLTk4ZWMtYTllOTlkZGMwN2Y0IiwibmJmIjoxNjUyMzk0MTY5LCJleHAiOjE2NTIzOTY1NjksImFjY2Vzc1Rva2VuRXhwaXJlc0F0IjoxNjUyMzk1OTY5MDcwLCJyZWZyZXNoQ291bnQiOi0xLCJ0b2tlblR5cGUiOiJKV1RfUmVmcmVzaCIsInVzZXJVdWlkIjoiYTU3ZGVmMjgtY2M3MC0xMWVjLTk4ZWMtZjk4ODExNjNjZWIwIiwidXNlclJvbGUiOiJST0xFX0FETUlOIiwib3JpZ2luIjoicGFzc3dvcmQiLCJ1c2VybmFtZSI6ImFkbWluIn0.Avga0-isDjQB527d3QWZQb7AS4a9ea5wlbYUn-A9aPw",
"token_type": "Bearer"
}2. Om de configuratie met hoge beschikbaarheid te controleren, gebruikt u de waarde voor toegangstokens in deze query:
# curl -s -k -X GET -H 'Accept: application/json' -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2NTMyMDg1MjgsInN1YiI6ImFkbWluIiwianRpIjoiMjI1YWRhZWMtZDlhYS0xMWVjLWE5MmEtMjk4YjRjZTUxNmJjIiwibmJmIjoxNjUzMjA4NTI4LCJleHAiOjE2NTMyMTAzMjgsInJlZnJlc2hUb2tlbkV4cGlyZXNBdCI6MTY1MzIxMDkyODU2OSwidG9rZW5UeXBlIjoiSldUX0FjY2VzcyIsInVzZXJVdWlkIjoiYTNmZDA3ZjMtZDgxZS0xMWVjLWE5MmEtYzk5N2UxNDcyNTM0IiwidXNlclJvbGUiOiJST0xFX0FETUlOIiwib3JpZ2luIjoicGFzc3dvcmQiLCJ1c2VybmFtZSI6ImFkbWluIn0.ai3LUbnsLOJTN6exKOANsEG5qTD6L-ANd_1V6TbFe6M' 'https://192.0.2.3/api/fdm/v6/devices/default/ha/configurations'
Als hoge beschikbaarheid niet is geconfigureerd, wordt deze uitvoer weergegeven:
{
"items": [
{
"version": "issgb3rw2lixf",
"name": "HA",
"nodeRole": null,
"failoverInterface": null,
"failoverName": null,
"primaryFailoverIPv4": null,
"secondaryFailoverIPv4": null,
"primaryFailoverIPv6": null,
"secondaryFailoverIPv6": null,
"statefulFailoverInterface": null,
"statefulFailoverName": null,
"primaryStatefulFailoverIPv4": null,
"secondaryStatefulFailoverIPv4": null,
"primaryStatefulFailoverIPv6": null,
"secondaryStatefulFailoverIPv6": null,
"sharedKey": null,
"id": "76ha83ga-c872-11f2-8be8-8e45bb1943c0",
"type": "haconfiguration",
"links": {
"self": "https://192.0.2.2/api/fdm/v6/devices/default/ha/configurations/76ha83ga-c872-11f2-8be8-8e45bb1943c0"
}
}
],
"paging": {
"prev": [],
"next": [],
"limit": 10,
"offset": 0,
"count": 1,
"pages": 0
}
}Als hoge beschikbaarheid is geconfigureerd, wordt deze uitvoer weergegeven:
{
"items": [
{
"version": "issgb3rw2lixf",
"name": "HA",
"nodeRole": "HA_PRIMARY",
"failoverInterface": {
"version": "ezzafxo5ccti3",
"name": "",
"hardwareName": "Ethernet1/1",
"id": "8d6c41df-3e5f-465b-8e5a-d336b282f93f",
"type": "physicalinterface"
},
...3. Gebruik deze query om de status voor hoge beschikbaarheid te controleren:
# curl -s -k -X GET -H 'Accept: application/json' -H 'Authorization: Bearer eyJhbGciOiJIUzI1NiJ9.eyJpYXQiOjE2NTMyMDg1MjgsInN1YiI6ImFkbWluIiwianRpIjoiMjI1YWRhZWMtZDlhYS0xMWVjLWE5MmEtMjk4YjRjZTUxNmJjIiwibmJmIjoxNjUzMjA4NTI4LCJleHAiOjE2NTMyMTAzMjgsInJlZnJlc2hUb2tlbkV4cGlyZXNBdCI6MTY1MzIxMDkyODU2OSwidG9rZW5UeXBlIjoiSldUX0FjY2VzcyIsInVzZXJVdWlkIjoiYTNmZDA3ZjMtZDgxZS0xMWVjLWE5MmEtYzk5N2UxNDcyNTM0IiwidXNlclJvbGUiOiJST0xFX0FETUlOIiwib3JpZ2luIjoicGFzc3dvcmQiLCJ1c2VybmFtZSI6ImFkbWluIn0.ai3LUbnsLOJTN6exKOANsEG5qTD6L-ANd_1V6TbFe6M' 'https://192.0.2.3/api/fdm/v6/devices/default/operational/ha/status/default'
Als hoge beschikbaarheid niet is geconfigureerd, wordt deze uitvoer weergegeven:
{
"nodeRole" : null,
"nodeState" : "SINGLE_NODE",
"peerNodeState" : "HA_UNKNOWN_NODE",
"configStatus" : "UNKNOWN",
"haHealthStatus" : "HEALTHY",
"disabledReason" : "",
"disabledTimestamp" : null,
"id" : "default",
"type" : "hastatus",
"links" : {
"self" : "https://192.0.2.3/api/fdm/v6/devices/default/operational/ha/status/default"
}
}Als hoge beschikbaarheid is geconfigureerd, wordt deze uitvoer weergegeven:
{
"nodeRole": "HA_PRIMARY",
"nodeState": "HA_ACTIVE_NODE",
"peerNodeState": "HA_STANDBY_NODE",
"configStatus": "IN_SYNC",
"haHealthStatus": "HEALTHY",
"disabledReason": "",
"disabledTimestamp": "",
"id": "default",
"type": "hastatus",
"links": {
"self": "https://192.0.2.3/api/fdm/v6/devices/default/operational/ha/status/default"
}
}FTD CLI
Volg de stappen in de sectie.
FTD SNMP Poll
Volg de stappen in de sectie.
FTD-bestand voor probleemoplossing
Volg de stappen in de sectie.
FTD Hoge beschikbaarheid en schaalbaarheid
FTD hoge beschikbaarheid en schaalbaarheid configuratie en status kan worden geverifieerd met het gebruik van deze opties:
- FTD CLI
- FTD SNMP
- FTD-probleemoplossingsbestand
- FMC-GEBRUIKERSINTERFACE
- FMC REST-API
- FDM UI
- FDM REST-API
- FCM UI
- FXOS CLI
- FXOS REST-API
- Chassisshow-technisch bestand
FTD CLI
Volg deze stappen om de FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid op de FTD CLI te controleren:
1. Gebruik deze opties om toegang te krijgen tot de FTD CLI in overeenstemming met het platform en de implementatiemodus:
- Directe toegang tot FTD via SSH - alle platforms
- Toegang vanaf de CLI van de FXOS-console (Firepower 1000/2100/3100/4200) via opdracht connect ftd
- Toegang vanaf de FXOS CLI via opdrachten (Firepower 4100/9300):
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en verbind vervolgens ftd [instance], waarbij de instantie alleen relevant is voor implementatie in meerdere instanties
- Voor virtuele FTD's, directe SSH-toegang tot FTD of consoletoegang vanaf de hypervisor of cloud-gebruikersinterface
2. Om de FTD-failoverconfiguratie en -status te controleren, voert u de failover-modus voor actieve configuratie uit en geeft u opdrachten voor de failoverstatus weer op de CLI.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
> show running-config failover
no failover
> show failover state
State Last Failure Reason Date/Time
This host - Secondary
Disabled None
Other host - Primary
Not Detected None
====Configuration State===
====Communication State==
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
> show running-config failover
failover failover lan unit primary failover lan interface failover-link Ethernet1/1 failover replication http failover link failover-link Ethernet1/1 failover interface ip failover-link 10.30.34.2 255.255.255.0 standby 10.30.34.3
> show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 09:21:50 UTC May 22 2022
====Configuration State===
Sync Done
====Communication State===
Mac set
3. Om de configuratie en status van het FTD-cluster te controleren, voert u het actieve cluster show-config uit en geeft u opdrachten voor clusterinfo weer op de CLI.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
> show running-config cluster
> show cluster info
Clustering is not configured
Als het cluster is geconfigureerd, wordt deze uitvoer weergegeven:
> show running-config cluster cluster group ftd_cluster1 key ***** local-unit unit-1-1 cluster-interface Port-channel48.204 ip 10.173.1.1 255.255.0.0 priority 9 health-check holdtime 3 health-check data-interface auto-rejoin 3 5 2 health-check cluster-interface auto-rejoin unlimited 5 1 health-check system auto-rejoin 3 5 2 health-check monitor-interface debounce-time 500 site-id 1 no unit join-acceleration enable > show cluster info Cluster ftd_cluster1: On Interface mode: spanned Cluster Member Limit : 16 This is "unit-1-1" in state MASTER ID : 0 Site ID : 1 Version : 9.17(1) Serial No.: FLM1949C5RR6HE CCL IP : 10.173.1.1 CCL MAC : 0015.c500.018f Module : FPR4K-SM-24 Resource : 20 cores / 44018 MB RAM Last join : 13:53:52 UTC May 20 2022 Last leave: N/A Other members in the cluster: Unit "unit-2-1" in state SLAVE ID : 1 Site ID : 1 Version : 9.17(1) Serial No.: FLM2108V9YG7S1 CCL IP : 10.173.2.1 CCL MAC : 0015.c500.028f Module : FPR4K-SM-24 Resource : 20 cores / 44018 MB RAM Last join : 14:02:46 UTC May 20 2022 Last leave: 14:02:31 UTC May 20 2022
FTD SNMP
Volg deze stappen om de FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid via SNMP te verifiëren:
- Controleer of SNMP is geconfigureerd en ingeschakeld. Raadpleeg voor FDM-beheerde FTD SNMP configureren en problemen oplossen op Firepower FDM voor configuratiestappen. Raadpleeg voor FMC-beheerde FTD SNMP configureren op Firepower NGFW-apparaten voor configuratiestappen.
- Om de FTD-failoverconfiguratie en -status te verifiëren, wordt de OID 1.3.6.1.4.1.9.9.147.1.2.1.1.1 gepolst.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.5 .1.3.6.1.4.1.9.9.147.1.2.1.1.1 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.4 = STRING: "Failover LAN Interface" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.6 = STRING: "Primary unit" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.7 = STRING: "Secondary unit (this device)" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.4 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.6 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.7 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.4 = STRING: "not Configured" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.6 = STRING: "Failover Off" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.7 = STRING: "Failover Off"
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.5 .1.3.6.1.4.1.9.9.147.1.2.1.1.1 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.4 = STRING: "Failover LAN Interface" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.6 = STRING: "Primary unit (this device)" <-- This device is primary SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.7 = STRING: "Secondary unit" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.4 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.6 = INTEGER: 9 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.7 = INTEGER: 10 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.4 = STRING: "fover Ethernet1/2" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.6 = STRING: "Active unit" <-- Primary device is active SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.7 = STRING: "Standby unit"
3. Om de clusterconfiguratie en -status te verifiëren, wordt de OID 1.3.6.1.4.1.9.9.491.1.8.1 gepolst.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 192.0.2.5 .1.3.6.1.4.1.9.9.491.1.8.1
SNMPv2-SMI::enterprises.9.9.491.1.8.1.1.0 = INTEGER: 0
Als het cluster is geconfigureerd, maar niet is ingeschakeld, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.7 .1.3.6.1.4.1.9.9.491.1.8.1 .1.3.6.1.4.1.9.9.491.1.8.1.1.0 = INTEGER: 0 <-- Cluster status, disabled .1.3.6.1.4.1.9.9.491.1.8.1.2.0 = INTEGER: 1 .1.3.6.1.4.1.9.9.491.1.8.1.3.0 = INTEGER: 0 <-- Cluster unit state, disabled .1.3.6.1.4.1.9.9.491.1.8.1.4.0 = INTEGER: 11 .1.3.6.1.4.1.9.9.491.1.8.1.5.0 = STRING: "ftd_cluster1" <-- Cluster group name .1.3.6.1.4.1.9.9.491.1.8.1.6.0 = STRING: "unit-1-1" <-- Cluster unit name
.1.3.6.1.4.1.9.9.491.1.8.1.7.0 = INTEGER: 0 <-- Cluster unit ID
.1.3.6.1.4.1.9.9.491.1.8.1.8.0 = INTEGER: 1 <-- Cluster side ID
...
Als het cluster is geconfigureerd, ingeschakeld en operationeel ingesteld, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.7 .1.3.6.1.4.1.9.9.491.1.8.1 .1.3.6.1.4.1.9.9.491.1.8.1.1.0 = INTEGER: 1 <-- Cluster status, enabled .1.3.6.1.4.1.9.9.491.1.8.1.2.0 = INTEGER: 1
.1.3.6.1.4.1.9.9.491.1.8.1.3.0 = INTEGER: 16 <-- Cluster unit state, control unit .1.3.6.1.4.1.9.9.491.1.8.1.4.0 = INTEGER: 10 .1.3.6.1.4.1.9.9.491.1.8.1.5.0 = STRING: "ftd_cluster1" <-- Cluster group name .1.3.6.1.4.1.9.9.491.1.8.1.6.0 = STRING: "unit-1-1" <-- Cluster unit name .1.3.6.1.4.1.9.9.491.1.8.1.7.0 = INTEGER: 0 <-- Cluster unit ID .1.3.6.1.4.1.9.9.491.1.8.1.8.0 = INTEGER: 1 <-- Cluster side ID
...
Raadpleeg voor meer informatie over de OID-beschrijvingen de CISCO-UNIFIED-FIREWALL-MIB.
FTD-bestand voor probleemoplossing
Volg deze stappen om de FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid te controleren in het FTD-probleemoplossingsbestand:
1. Open het bestand voor probleemoplossing en navigeer naar de map <bestandsnaam>-troubleshoot .tar/results-<date>--xxxxx/command-outputs.
2. Open het bestand usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output:
# pwd
/ngfw/var/common/results-05-22-2022--102758/command-outputs
# cat 'usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output'
3. Controleer de failover-configuratie en -status in het gedeelte failover tonen.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show failover ------------------ Failover Off Failover unit Secondary Failover LAN Interface: not Configured Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 3 of 1292 maximum MAC Address Move Notification Interval not set
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show failover ------------------ Failover On Failover unit Primary Failover LAN Interface: fover Ethernet1/2 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1291 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.17(1), Mate 9.17(1) Serial Number: Ours FLM2006EN9UR93, Mate FLM2006EQFWAGG Last Failover at: 13:45:46 UTC May 20 2022 This host: Primary - Active Active time: 161681 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.17(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 0 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.17(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up)…
4. Controleer de configuratie en status van het FTD-cluster in het gedeelte Clustergegevens weergeven.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show cluster info ------------------
Clustering is not configured
Als het cluster is geconfigureerd en ingeschakeld, wordt deze uitvoer weergegeven:
------------------ show cluster info ------------------ Cluster ftd_cluster1: On Interface mode: spanned Cluster Member Limit : 16 This is "unit-1-1" in state MASTER ID : 0 Site ID : 1 Version : 9.17(1) Serial No.: FLM1949C5RR6HE CCL IP : 10.173.1.1 CCL MAC : 0015.c500.018f Module : FPR4K-SM-24 Resource : 20 cores / 44018 MB RAM Last join : 13:53:52 UTC May 20 2022 Last leave: N/A Other members in the cluster: Unit "unit-2-1" in state SLAVE ID : 1 Site ID : 1 Version : 9.17(1) Serial No.: FLM2108V9YG7S1 CCL IP : 10.173.2.1 CCL MAC : 0015.c500.028f Module : FPR4K-SM-24 Resource : 20 cores / 44018 MB RAM Last join : 14:02:46 UTC May 20 2022 Last leave: 14:02:31 UTC May 20 2022
FMC-GEBRUIKERSINTERFACE
Volg deze stappen om de FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid op de FMC-gebruikersinterface te controleren:
1. Kies Apparaten > Apparaatbeheer:
2. Controleer de labels High Availability of Cluster om de configuratie voor hoge beschikbaarheid en schaalbaarheid van FTD te controleren. Als geen van beide bestaat, wordt de FTD uitgevoerd in een zelfstandige configuratie:
3. Om de hoge beschikbaarheid en schaalbaarheidsstatus van FTD te verifiëren, controleert u de rol van de eenheid tussen haakjes. Als een rol niet bestaat en de FTD geen deel uitmaakt van een cluster of failover, dan wordt FTD uitgevoerd in een zelfstandige configuratie:
FMC REST API
In deze uitgangen zijn ftd_ha_1, ftd_ha_2, ftd_standalone, ftd_ha, ftc_cluster1 door de gebruiker configureerbare apparaatnamen. Deze namen verwijzen niet naar de huidige configuratie of status voor hoge beschikbaarheid en schaalbaarheid.
Volg deze stappen om de FTD-configuratie en -status met hoge beschikbaarheid en schaalbaarheid te verifiëren via FMC REST-API. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
- Een verificatietoken aanvragen:
# curl -s -k -v -X POST 'https://192.0.2.1/api/fmc_platform/v1/auth/generatetoken' -H 'Authentication: Basic' -u 'admin:Cisco123' | grep -i X-auth-access-token
< X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb
2. Identificeer het domein dat het apparaat bevat. In de meeste REST API queries is de domein parameter verplicht. Gebruik de token in deze query om de lijst met domeinen op te halen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_platform/v1/info/domain' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items":
[
{
"name": "Global",
"type": "Domain",
"uuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f"
},
{
"name": "Global/LAB2",
"type": "Domain",
"uuid": "84cc4afe-02bc-b80a-4b09-000000000000"
},
...
3. Gebruik de UUID van het domein om de specifieke apparaatrecords en de specifieke UUID van het apparaat op te vragen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items": [
{
"id": "796eb8f8-d83b-11ec-941d-b9083eb612d8",
"links": {
"self": "https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8"
},
"name": "ftd_ha_1",
"type": "Device"
},
...
4. Gebruik de UUID van het domein en de UUID van het apparaat/de container uit stap 3 in deze query om de failoverconfiguratie te verifiëren:
# curl -s -k -X GET 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool ...
"containerDetails": { "id": "eec3ddfc-d842-11ec-a15e-986001c83f2f", "name": "ftd_ha", "type": "DeviceHAPair" },
...
5. Gebruik de UUID van het domein en de UUID van DeviceHAPair van stap 4 in deze query om de failover-status te verifiëren:
# curl -s -k -X GET 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devicehapairs/ftddevicehapairs/eec3ddfc-d842-11ec-a15e-986001c83f2f' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool ...
"primaryStatus": { "currentStatus": "Active", "device": { "id": "796eb8f8-d83b-11ec-941d-b9083eb612d8", "keepLocalEvents": false, "name": "ftd_ha_1" } }, "secondaryStatus": { "currentStatus": "Standby", "device": { "id": "e60ca6d0-d83d-11ec-b407-cdc91a553663", "keepLocalEvents": false, "name": "ftd_ha_2" } }
...
6. Gebruik de UUID van het domein en de UUID van het apparaat/de container uit stap 3 in deze query om de clusterconfiguratie te verifiëren:
# curl -s -k -X GET 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/3344bc4a-d842-11ec-a995-817e361f7ea5' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool ...
"containerDetails": { "id": "8e6188c2-d844-11ec-bdd1-6e8d3e226370", "links": { "self": "https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/deviceclusters/ftddevicecluster/8e6188c2-d844-11ec-bdd1-6e8d3e226370" }, "name": "ftd_cluster1", "type": "DeviceCluster" }, ...
- Om de clusterstatus te verifiëren, gebruikt u de UUID van het domein en de UUID van het apparaat/de container uit stap 6 in deze query:
# curl -s -k -X GET 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/deviceclusters/ftddevicecluster/8e6188c2-d844-11ec-bdd1-6e8d3e226370' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"controlDevice": {
"deviceDetails": {
"id": "3344bc4a-d842-11ec-a995-817e361f7ea5",
"name": "10.62.148.188",
"type": "Device"
}
},
"dataDevices": [
{
"deviceDetails": {
"id": "a7ba63cc-d842-11ec-be51-f3efcd7cd5e5",
"name": "10.62.148.191",
"type": "Device"
}
}
],
"id": "8e6188c2-d844-11ec-bdd1-6e8d3e226370",
"name": "ftd_cluster1",
"type": "DeviceCluster"
}
FDM UI
Volg de stappen in de sectie.
FDM REST-API
Volg de stappen in de sectie.
FCM UI
FCM UI is beschikbaar op Firepower 4100/9300 en Firepower 2100 met ASA in platformmodus.
Volg deze stappen om de FTD-status voor hoge beschikbaarheid en schaalbaarheid op de FCM-gebruikersinterface te controleren:
1. Controleer de waarde van het kenmerk HA-ROLE op de pagina Logische apparaten om de FTD-failoverstatus te controleren:
2. Controleer de FTD-clusterconfiguratie en -status op het label Clustered en de waarde voor het attribuut CLUSTER-ROLE op de pagina Logische apparaten:
FXOS CLI
De FTD-configuratie met hoge beschikbaarheid en schaalbaarheid en de statusverificatie op de FXOS CLI zijn beschikbaar op Firepower 4100/9300 of Secure Firewall 3100/4200.
Volg deze stappen om de FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid op de FXOS CLI te controleren:
1. Maak een console- of SSH-verbinding met het chassis.
2. Voer de opdracht scope ssa uit om de hoge beschikbaarheidsstatus van de FTD te controleren, voer vervolgens scope slot <x> uit om naar de specifieke sleuf te switches waar de FTD wordt uitgevoerd en voer de opdracht show app-instance expand uit:
firepower # scope ssa firepower /ssa # scope slot 1 firepower /ssa/slot # show app-instance expand Application Instance: App Name: ftd Identifier: ftd1 Admin State: Enabled Oper State: Online Running Version: 7.1.0.90 Startup Version: 7.1.0.90 Deploy Type: Container Turbo Mode: No Profile Name: RP20 Cluster State: Not Applicable Cluster Role: None App Attribute: App Attribute Key Value ----------------- ----- firepower-mgmt-ip 192.0.2.5 ha-lan-intf Ethernet1/2 ha-link-intf Ethernet1/2 ha-role active mgmt-url https://192.0.2.1/ uuid 796eb8f8-d83b-11ec-941d-b9083eb612d8 ...
3. Om de FTD-clusterconfiguratie en -status te controleren, voert u de opdracht scope ssa uit, voert u de opdracht show logical-device <name> detail expand uit, waarbij de naam de logische apparaatnaam is, en de opdracht show app-instance. Controleer de uitvoer voor een specifieke sleuf:
firepower # scope ssa firepower /ssa # show logical-device ftd_cluster1 detail expand Logical Device: Name: ftd_cluster1 Description: Slot ID: 1 Mode: Clustered Oper State: Ok Template Name: ftd Error Msg: Switch Configuration Status: Ok Sync Data External Port Link State with FTD: Disabled Current Task: … firepower /ssa # show app-instance App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role ---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------ ftd ftd_cluster1 1 Enabled Online 7.1.0.90 7.1.0.90 Container No RP20 In Cluster Master
FXOS REST API
FXOS REST-API wordt ondersteund op Firepower 4100/9300.
Volg deze stappen om de FTD-configuratie en -status met hoge beschikbaarheid en schaalbaarheid te verifiëren via het FXOS REST-API-verzoek. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
1. Vraag een authenticatietoken aan:
# curl -k -X POST -H 'USERNAME: admin' -H 'PASSWORD: Cisco123' 'https://192.0.2.100/api/login'
{
"refreshPeriod": "0",
"token": "3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d"
}2. Om de FTD-failoverstatus te verifiëren, gebruikt u het token en de slot-ID in deze query:
# curl -s -k -X GET -H 'Accept: application/json' -H 'token: 3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d' 'https://192.0.2.100/api/slot/1/app-inst' ...
{ "smAppInstance": [ { "adminState": "enabled", "appDn": "sec-svc/app-ftd-7.1.0.90", "appInstId": "ftd_001_JAD201200R43VLP1G3", "appName": "ftd", "clearLogData": "available", "clusterOperationalState": "not-applicable", "clusterRole": "none", "currentJobProgress": "100", "currentJobState": "succeeded", "currentJobType": "start", "deployType": "container", "dn": "slot/1/app-inst/ftd-ftd1", "errorMsg": "", "eventMsg": "", "executeCmd": "ok", "externallyUpgraded": "no", "fsmDescr": "", "fsmProgr": "100", "fsmRmtInvErrCode": "none", "fsmRmtInvErrDescr": "", "fsmRmtInvRslt": "", "fsmStageDescr": "", "fsmStatus": "nop", "fsmTry": "0", "hotfix": "", "identifier": "ftd1", "operationalState": "online", "reasonForDebundle": "", "resourceProfileName": "RP20", "runningVersion": "7.1.0.90", "smAppAttribute": [ { "key": "firepower-mgmt-ip", "rn": "app-attribute-firepower-mgmt-ip", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-firepower-mgmt-ip", "value": "192.0.2.5" }, { "key": "ha-link-intf", "rn": "app-attribute-ha-link-intf", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-ha-link-intf", "value": "Ethernet1/2" }, { "key": "ha-lan-intf", "rn": "app-attribute-ha-lan-intf", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-ha-lan-intf", "value": "Ethernet1/2" }, { "key": "mgmt-url", "rn": "app-attribute-mgmt-url", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-mgmt-url", "value": "https://192.0.2.1/" }, { "key": "ha-role", "rn": "app-attribute-ha-role", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-ha-role", "value": "active" }, { "key": "uuid", "rn": "app-attribute-uuid", "urllink": "https://192.0.2.100/api/slot/1/app/inst/ftd-ftd1/app/attribute-uuid", "value": "796eb8f8-d83b-11ec-941d-b9083eb612d8" } ],
...
- Om de FTD-clusterconfiguratie te verifiëren, gebruikt u de logische apparaatidentificatie in deze query:
# curl -s -k -X GET -H 'Accept: application/json' -H 'token: 3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d' 'https://192.0.2.102/api/ld/ftd_cluster1'
{
"smLogicalDevice": [
{
"description": "",
"dn": "ld/ftd_cluster1",
"errorMsg": "",
"fsmDescr": "",
"fsmProgr": "100",
"fsmRmtInvErrCode": "none",
"fsmRmtInvErrDescr": "",
"fsmRmtInvRslt": "",
"fsmStageDescr": "",
"fsmStatus": "nop",
"fsmTaskBits": "",
"fsmTry": "0",
"ldMode": "clustered",
"linkStateSync": "disabled",
"name": "ftd_cluster1",
"operationalState": "ok",
"slotId": "1",
"smClusterBootstrap": [
{
"cclNetwork": "10.173.0.0",
"chassisId": "1",
"gatewayv4": "0.0.0.0",
"gatewayv6": "::",
"key": "",
"mode": "spanned-etherchannel",
"name": "ftd_cluster1",
"netmaskv4": "0.0.0.0",
"poolEndv4": "0.0.0.0",
"poolEndv6": "::",
"poolStartv4": "0.0.0.0",
"poolStartv6": "::",
"prefixLength": "",
"rn": "cluster-bootstrap",
"siteId": "1",
"supportCclSubnet": "supported",
"updateTimestamp": "2022-05-20T13:38:21.872",
"urllink": "https://192.0.2.101/api/ld/ftd_cluster1/cluster-bootstrap",
"virtualIPv4": "0.0.0.0",
"virtualIPv6": "::"
}
],
...4. Gebruik deze query om de FTD-clusterstatus te controleren:
# curl -s -k -X GET -H 'Accept: application/json' -H 'token: 3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d' 'https://192.0.2.102/api/slot/1/app-inst'
{
"smAppInstance": [
{
"adminState": "enabled",
"appDn": "sec-svc/app-ftd-7.1.0.90",
"appInstId": "ftd_001_JAD19500BABIYA3OO58",
"appName": "ftd",
"clearLogData": "available",
"clusterOperationalState": "in-cluster",
"clusterRole": "master",
"currentJobProgress": "100",
"currentJobState": "succeeded",
"currentJobType": "start",
"deployType": "container",
"dn": "slot/1/app-inst/ftd-ftd_cluster1",
"errorMsg": "",
"eventMsg": "",
"executeCmd": "ok",
"externallyUpgraded": "no",
"fsmDescr": "",
"fsmProgr": "100",
"fsmRmtInvErrCode": "none",
"fsmRmtInvErrDescr": "",
"fsmRmtInvRslt": "",
"fsmStageDescr": "",
"fsmStatus": "nop",
"fsmTry": "0",
"hotfix": "",
"identifier": "ftd_cluster1",
"operationalState": "online",
"reasonForDebundle": "",
"resourceProfileName": "RP20",
"runningVersion": "7.1.0.90",
... Chassisshow-tech Bestand
De FTD-configuratie en -status voor hoge beschikbaarheid en schaalbaarheid kunnen worden geverifieerd in het configuratiebestand voor het chassis van Firepower 1000/2100/4100/9300 of Secure Firewall 3100/4200.
Volg deze stappen om de configuratie en status voor hoge beschikbaarheid en schaalbaarheid in het showtechbestand van het chassis te controleren:
- Open in Firepower 4100/9300 voor FXOS-versies 2.7 en hoger het bestand sam_techsupportinfo in <name>_BC1_all.tar/FPRM_A_TechSupport.tar.gz/FPRM_A_TechSupport.tar
Voor eerdere versies opent u het bestand sam_techsupportinfo in FPRM_A_TechSupport.tar.gz/FPRM_A_TechSupport.tar.
2. Open op Firepower 1000/2100 en Secure Firewall 3100/4200 het bestand tech_support_brief.
2. Om de failover-status te verifiëren, controleer de waarde van de waarde van het ha-role-attribuut onder de specifieke sleuf in het gedeelte "Toon details voor uitvouwbare sleuf":
# pwd
/var/tmp/20220313201802_F241-01-11-FPR-2_BC1_all/FPRM_A_TechSupport/
# cat sam_techsupportinfo
...
`show slot expand detail` Slot: Slot ID: 1 Log Level: Info Admin State: Ok Oper State: Online Disk Format State: Ok Disk Format Status: 100% Clear Log Data: Available Error Msg: Application Instance: App Name: ftd Identifier: ftd1 Admin State: Enabled Oper State: Online Running Version: 7.1.0.90 Startup Version: 7.1.0.90 Deploy Type: Container Turbo Mode: No Profile Name: RP20 Hotfixes: Externally Upgraded: No Cluster State: Not Applicable Cluster Role: None Current Job Type: Start Current Job Progress: 100 Current Job State: Succeeded Clear Log Data: Available Error Msg: Current Task: App Attribute: App Attribute Key: firepower-mgmt-ip Value: 10.62.148.89 App Attribute Key: ha-lan-intf Value: Ethernet1/2 App Attribute Key: ha-link-intf Value: Ethernet1/2 App Attribute Key: ha-role Value: active App Attribute Key: mgmt-url Value: https://10.62.184.21/
3. Om de FTD-clusterconfiguratie te verifiëren, controleert u de waarde van de waarde voor het Mode-attribuut onder de specifieke sleuf in de sectie "Toon details van logisch apparaat uitbreiden":
`show logical-device detail expand` Logical Device: Name: ftd_cluster1 Description: Slot ID: 1 Mode: Clustered Oper State: Ok Template Name: ftd Error Msg: Switch Configuration Status: Ok Sync Data External Port Link State with FTD: Disabled Current Task: Cluster Bootstrap: Name of the cluster: ftd_cluster1 Mode: Spanned Etherchannel Chassis Id: 1 Site Id: 1 Key: Cluster Virtual IP: 0.0.0.0 IPv4 Netmask: 0.0.0.0 IPv4 Gateway: 0.0.0.0 Pool Start IPv4 Address: 0.0.0.0 Pool End IPv4 Address: 0.0.0.0 Cluster Virtual IPv6 Address: :: IPv6 Prefix Length: IPv6 Gateway: :: Pool Start IPv6 Address: :: Pool End IPv6 Address: :: Last Updated Timestamp: 2022-05-20T13:38:21.872 Cluster Control Link Network: 10.173.0.0 ...
4. Om de FTD-clusterstatus te controleren, controleert u de waarde van de waarden van de clusterstatus en de clusterrol onder de specifieke sleuf in het gedeelte "Toon details voor uitvouwen van sleuf":
`show slot expand detail` Slot: Slot ID: 1 Log Level: Info Admin State: Ok Oper State: Online Disk Format State: Ok Disk Format Status: Clear Log Data: Available Error Msg: Application Instance: App Name: ftd Identifier: ftd_cluster1 Admin State: Enabled Oper State: Online Running Version: 7.1.0.90 Startup Version: 7.1.0.90 Deploy Type: Native Turbo Mode: No Profile Name: Hotfixes: Externally Upgraded: No Cluster State: In Cluster Cluster Role: Master Current Job Type: Start Current Job Progress: 100 Current Job State: Succeeded Clear Log Data: Available Error Msg: Current Task:
ASA Hoge beschikbaarheid en schaalbaarheid
ASA hoge beschikbaarheid en schaalbaarheid configuratie en status kan worden geverifieerd met het gebruik van deze opties:
- ASA CLI
- ASA SNMP poll
- ASA show-tech bestand
- FCM UI
- FXOS CLI
- FXOS REST-API
- Chassisshow-technisch bestand
ASA CLI
Volg deze stappen om de ASA hoge beschikbaarheid en schaalbaarheid configuratie op de ASA CLI te verifiëren:
- Gebruik deze opties om toegang te krijgen tot de ASA CLI in overeenstemming met het platform en de implementatiemodus:
- Directe telnet/SSH-toegang tot ASA op Firepower 1000/3100 en Firepower 2100 in toestelmodus
- Toegang vanaf FXOS-console CLI op Firepower 2100 in platformmodus en verbinding maken met ASA via de connect as-opdracht
- Toegang vanaf FXOS CLI via opdrachten (Firepower 4100/9300):
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en verbind vervolgens als
- Voor virtuele ASA, directe SSH-toegang tot ASA of consoletoegang vanaf de hypervisor of cloud-gebruikersinterface
2. Voer de show running-config failover uit en laat de opdrachten voor de failover-status zien op de ASA-CLI om de configuratie en status van de ASA-failover te verifiëren.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
asa# show running-config failover
no failover
asa# show failover state
State Last Failure Reason Date/Time
This host - Secondary
Disabled None
Other host - Primary
Not Detected None
====Configuration State===
====Communication State==
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
asa# show running-config failover
failover failover lan unit primary failover lan interface failover-link Ethernet1/1 failover replication http failover link failover-link Ethernet1/1 failover interface ip failover-link 10.30.35.2 255.255.255.0 standby 10.30.35.3
# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 19:42:22 UTC May 21 2022
====Configuration State===
Sync Done
====Communication State===
Mac set
3. Om de configuratie en status van de ASA-cluster te controleren, voert u de actieve cluster show-config uit en toont u de opdrachten voor clusterinfo op de CLI.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
asa# show running-config cluster
asa# show cluster info
Clustering is not configured
Als het cluster is geconfigureerd, wordt deze uitvoer weergegeven:
asa# show running-config cluster cluster group asa_cluster1 key ***** local-unit unit-1-1 cluster-interface Port-channel48.205 ip 10.174.1.1 255.255.0.0 priority 9 health-check holdtime 3 health-check data-interface auto-rejoin 3 5 2 health-check cluster-interface auto-rejoin unlimited 5 1 health-check system auto-rejoin 3 5 2 health-check monitor-interface debounce-time 500 site-id 1 no unit join-acceleration enable asa# show cluster info Cluster asa_cluster1: On Interface mode: spanned Cluster Member Limit : 16 This is "unit-1-1" in state MASTER ID : 0 Site ID : 1 Version : 9.17(1) Serial No.: FLM2949C5232IT CCL IP : 10.174.1.1 CCL MAC : 0015.c500.018f Module : FPR4K-SM-24 ...
ASA SNMP
Volg deze stappen om de ASA hoge beschikbaarheid en schaalbaarheid configuratie via SNMP te verifiëren:
- Controleer of SNMP is geconfigureerd en ingeschakeld.
- Om de failoverconfiguratie en de statuspoll te verifiëren, wordt de OID 1.3.6.1.4.1.9.9.147.1.2.1.1.1 gecontroleerd.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.10 .1.3.6.1.4.1.9.9.147.1.2.1.1.1 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.4 = STRING: "Failover LAN Interface" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.6 = STRING: "Primary unit" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.7 = STRING: "Secondary unit (this device)" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.4 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.6 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.7 = INTEGER: 3 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.4 = STRING: "not Configured" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.6 = STRING: "Failover Off" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.7 = STRING: "Failover Off"
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.10 .1.3.6.1.4.1.9.9.147.1.2.1.1.1 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.4 = STRING: "Failover LAN Interface" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.6 = STRING: "Primary unit (this device)" <-- This device is primary SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.2.7 = STRING: "Secondary unit" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.4 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.6 = INTEGER: 9 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.3.7 = INTEGER: 10 SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.4 = STRING: "fover Ethernet1/2" SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.6 = STRING: "Active unit" <-- Primary device is active SNMPv2-SMI::enterprises.9.9.147.1.2.1.1.1.4.7 = STRING: "Standby unit"
3. Om de clusterconfiguratie en -status te verifiëren, wordt de OID 1.3.6.1.4.1.9.9.491.1.8.1 gepeild.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 192.0.2.12 .1.3.6.1.4.1.9.9.491.1.8.1
SNMPv2-SMI::enterprises.9.9.491.1.8.1.1.0 = INTEGER: 0
Als het cluster is geconfigureerd, maar niet is ingeschakeld, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.12 .1.3.6.1.4.1.9.9.491.1.8.1 .1.3.6.1.4.1.9.9.491.1.8.1.1.0 = INTEGER: 0 <-- Cluster status, disabled .1.3.6.1.4.1.9.9.491.1.8.1.2.0 = INTEGER: 1 .1.3.6.1.4.1.9.9.491.1.8.1.3.0 = INTEGER: 0 <-- Cluster unit state, disabled .1.3.6.1.4.1.9.9.491.1.8.1.4.0 = INTEGER: 11 .1.3.6.1.4.1.9.9.491.1.8.1.5.0 = STRING: "asa_cluster1" <-- Cluster group name .1.3.6.1.4.1.9.9.491.1.8.1.6.0 = STRING: "unit-1-1" <-- Cluster unit name
.1.3.6.1.4.1.9.9.491.1.8.1.7.0 = INTEGER: 0 <-- Cluster unit ID
.1.3.6.1.4.1.9.9.491.1.8.1.8.0 = INTEGER: 1 <-- Cluster side ID
...
Als het cluster is geconfigureerd, ingeschakeld en operationeel ingesteld, wordt deze uitvoer weergegeven:
# snmpwalk -v2c -c cisco123 -On 192.0.2.12 .1.3.6.1.4.1.9.9.491.1.8.1 .1.3.6.1.4.1.9.9.491.1.8.1.1.0 = INTEGER: 1 <-- Cluster status, enabled .1.3.6.1.4.1.9.9.491.1.8.1.2.0 = INTEGER: 1
.1.3.6.1.4.1.9.9.491.1.8.1.3.0 = INTEGER: 16 <-- Cluster unit state, control unit .1.3.6.1.4.1.9.9.491.1.8.1.4.0 = INTEGER: 10 .1.3.6.1.4.1.9.9.491.1.8.1.5.0 = STRING: "asa_cluster1" <-- Cluster group name .1.3.6.1.4.1.9.9.491.1.8.1.6.0 = STRING: "unit-1-1" <-- Cluster unit name .1.3.6.1.4.1.9.9.491.1.8.1.7.0 = INTEGER: 0 <-- Cluster unit ID .1.3.6.1.4.1.9.9.491.1.8.1.8.0 = INTEGER: 1 <-- Cluster side ID
...
Raadpleeg voor meer informatie over de OID-beschrijvingen de CISCO-UNIFIED-FIREWALL-MIB.
ASA show-tech Bestand
1. Om de configuratie en status van de ASA failover te controleren, controleert u het gedeelte failover tonen.
Als de failover niet is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show failover ------------------ Failover Off Failover unit Secondary Failover LAN Interface: not Configured Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 3 of 1292 maximum MAC Address Move Notification Interval not set
Als de failover is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show failover ------------------ Failover On Failover unit Primary Failover LAN Interface: fover Ethernet1/2 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1291 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.17(1), Mate 9.17(1) Serial Number: Ours FLM2006EN9AB11, Mate FLM2006EQZY02 Last Failover at: 13:45:46 UTC May 20 2022 This host: Primary - Active Active time: 161681 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.17(1)) status (Up Sys) Other host: Secondary - Standby Ready Active time: 0 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.17(1)) status (Up Sys) ...
2. Controleer de clusterconfiguratie en -status in het gedeelte Clustergegevens tonen.
Als het cluster niet is geconfigureerd, wordt deze uitvoer weergegeven:
------------------ show cluster info ------------------
Clustering is not configured
Als het cluster is geconfigureerd en ingeschakeld, wordt deze uitvoer weergegeven:
------------------ show cluster info ------------------ Cluster asa_cluster1: On
Interface mode: spanned
Cluster Member Limit : 16
This is "unit-1-1" in state MASTER
ID : 0
Site ID : 1
Version : 9.17(1)
Serial No.: FLM2949C5232IT
CCL IP : 10.174.1.1
CCL MAC : 0015.c500.018f
Module : FPR4K-SM-24
...
FCM UI
Volg de stappen in de sectie.
FXOS CLI
Volg de stappen in de sectie.
FXOS REST API
Volg de stappen in de sectie.
Chassisshow-tech Bestand
Volg de stappen in de sectie.
De firewallmodus controleren
FTD-firewallmodus
De firewallmodus verwijst naar een gerouteerde of transparante firewallconfiguratie.
De FTD-firewallmodus kan worden geverifieerd met behulp van deze opties:
- FTD CLI
- FTD-showtech
- FMC-GEBRUIKERSINTERFACE
- FMC REST-API
- FCM UI
- FXOS CLI
- FXOS REST-API
- Chassisshow-technisch bestand
FTD CLI
Volg deze stappen om de FTD-firewallmodus op de FTD CLI te controleren:
1. Gebruik deze opties om toegang te krijgen tot de FTD CLI in overeenstemming met het platform en de implementatiemodus:
- Directe toegang tot FTD via SSH - alle platforms
- Toegang vanaf de CLI van de FXOS-console (Firepower 1000/2100/3100) via opdracht connect ftd
- Toegang vanaf de FXOS CLI via opdrachten (Firepower 4100/9300):
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en vervolgens
Verbind FTD [instance], waarbij de instantie alleen relevant is voor implementatie in meerdere instanties.
- Voor virtuele FTD's, directe SSH-toegang tot FTD of consoletoegang vanaf de hypervisor of cloud-gebruikersinterface
2. Voer de opdracht Show Firewall uit op de CLI om de firewallmodus te controleren:
> show firewall Firewall mode: Transparent
FTD-bestand voor probleemoplossing
Volg deze stappen om de FTD-firewallmodus te controleren in het FTD-probleemoplossingsbestand:
1. Open het bestand voor probleemoplossing en navigeer naar de map <bestandsnaam>-troubleshoot .tar/results-<date>--xxxxx/command-outputs.
2. Open het bestand usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output:
# pwd
/ngfw/var/common/results-05-22-2022--102758/command-outputs
# cat 'usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output'
3. Controleer het gedeelte Toon firewall om de FTD-firewallmodus te controleren:
------------------ show firewall ------------------ Firewall mode: Transparent
FMC-GEBRUIKERSINTERFACE
Voer de volgende stappen uit om de FTD-firewallmodus op de FMC-gebruikersinterface te controleren:
1. Kies Apparaten > Apparaatbeheer:
2. Controleer de labels Routed of Transparent:
FMC REST API
Volg deze stappen om de FTD-firewallmodus te verifiëren via FMC REST-API. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
- Een verificatietoken aanvragen:
# curl -s -k -v -X POST 'https://192.0.2.1/api/fmc_platform/v1/auth/generatetoken' -H 'Authentication: Basic' -u 'admin:Cisco123' | grep -i X-auth-access-token
< X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb
2. Identificeer het domein dat het apparaat bevat. In de meeste REST API queries is de domein parameter verplicht. Gebruik de token in deze query om de lijst met domeinen op te halen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_platform/v1/info/domain' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items":
[
{
"name": "Global",
"type": "Domain",
"uuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f"
},
{
"name": "Global/LAB2",
"type": "Domain",
"uuid": "84cc4afe-02bc-b80a-4b09-000000000000"
},
...
3. Gebruik de UUID van het domein om de specifieke apparaatrecords en de specifieke UUID van het apparaat op te vragen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items": [
{
"id": "796eb8f8-d83b-11ec-941d-b9083eb612d8",
"links": {
"self": "https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8"
},
"name": "ftd_ha_1",
"type": "Device"
},
...
4. Gebruik de UUID van het domein en de UUID van het apparaat/de container uit stap 3 in deze query en controleer de waarde van ftdMode:
# curl -s -k -X 'GET' 'https://192.0.2.1./api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
... { "accessPolicy": { "id": "00505691-3a23-0ed3-0006-536940224514", "name": "acp1", "type": "AccessPolicy" }, "advanced": { "enableOGS": false }, "description": "NOT SUPPORTED", "ftdMode": "ROUTED", ...
FCM UI
De firewallmodus kan worden geverifieerd voor FTD op Firepower 4100/9300.
Volg deze stappen om de FTD-firewallmodus op de FCM-gebruikersinterface te controleren:
1. Bewerk het logische apparaat op de pagina Logische apparaten:
2. Klik op het toepassingspictogram en controleer de firewallmodus op het tabblad Instellingen:
FXOS CLI
De firewallmodus kan worden geverifieerd voor FTD op Firepower 4100/9300.
Volg deze stappen om de FTD-firewallmodus op de FXOS CLI te controleren:
- Maak een console- of SSH-verbinding met het chassis.
- Switch naar de scope ssa, dan switch naar de specifieke logical-device, voer de show mgmt-bootstrap expand opdracht, en controleer de FIREWALL_MODE attribuutwaarde:
firepower# scope ssa firepower /ssa # scope logical-device ftd_cluster1 firepower /ssa/logical-device # show mgmt-bootstrap expand Management Configuration: App Name: ftd Secret Bootstrap Key: Key Value ------------------------- ----- PASSWORD REGISTRATION_KEY IP v4: Slot ID Management Sub Type IP Address Netmask Gateway Last Updated Timestamp ---------- ------------------- --------------- --------------- --------------- ---------------------- 1 Firepower 10.62.148.188 255.255.255.128 10.62.148.129 2022-05-20T13:50:06.238 Bootstrap Key: Key Value ------------------------- ----- DNS_SERVERS 192.0.2.250 FIREPOWER_MANAGER_IP 10.62.184.21 FIREWALL_MODE routed PERMIT_EXPERT_MODE yes SEARCH_DOMAINS cisco.com
...
FXOS REST API
FXOS REST-API wordt ondersteund op Firepower 4100/9300.
Volg deze stappen om de FTD-firewallmodus te verifiëren via het FXOS REST-API-verzoek. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
- Een verificatietoken aanvragen:
# curl -k -X POST -H 'USERNAME: admin' -H 'PASSWORD: Cisco123' https://192.0.2.100/api/ld/ftd_cluster1
{
"refreshPeriod": "0",
"token": "3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d"
}2. Gebruik de id voor het logische apparaat in deze query en controleer de waarde van de toets FIREWALL_MODE:
# curl -s -k -X GET -H 'Accept: application/json' -H 'token: 3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d' https://192.0.2.100/api/ld/ftd_cluster1
... { "key": "FIREWALL_MODE", "rn": "key-FIREWALL_MODE", "updateTimestamp": "2022-05-20T13:28:37.093", "urllink": "https://192.0.2.100/api/ld/ftd_cluster1/mgmt-bootstrap/ftd/key/FIREWALL_MODE", "value": "routed" }, ...
Chassisshow-tech Bestand
De firewallmodus voor FTD kan worden geverifieerd in het showtech-bestand van Firepower 4100/9300.
Voer de volgende stappen uit om de FTD-firewallmodus te controleren in het bestand voor de technische weergave van het chassis:
- Open voor FXOS-versies 2.7 en hoger het bestand sam_techsupportinfo in <name>_BC1_all.tar/ FPRM_A_TechSupport.tar.gz/FPRM_A_TechSupport.tar
Voor eerdere versies opent u het bestand sam_techsupportinfo in FPRM_A_TechSupport.tar.gz/ FPRM_A_TechSupport.tar.
- Controleer de `show logical-device detail expand` sectie onder de specifieke identifier en de sleuf:
# pwd
/var/tmp/20220313201802_F241-01-11-FPR-2_BC1_all/FPRM_A_TechSupport/
# cat sam_techsupportinfo
...
`show logical-device detail expand`
Logical Device: Name: ftd_cluster1 Description: Slot ID: 1 Mode: Clustered Oper State: Ok Template Name: ftd Error Msg: Switch Configuration Status: Ok Sync Data External Port Link State with FTD: Disabled Current Task: ... Bootstrap Key: Key: DNS_SERVERS Value: 192.0.2.250 Last Updated Timestamp: 2022-05-20T13:28:37.093 Key: FIREPOWER_MANAGER_IP Value: 10.62.184.21 Last Updated Timestamp: 2022-05-20T13:28:37.093 Key: FIREWALL_MODE Value: routed Last Updated Timestamp: 2022-05-20T13:28:37.093 ...
ASA-firewallmodus
De ASA firewall modus kan worden geverifieerd met het gebruik van deze opties:
- ASA CLI
- ASA show-tech
- FCM UI
- FXOS CLI
- FXOS REST-API
- Chassisshow-technisch bestand
ASA CLI
Volg deze stappen om de ASA-firewallmodus op de ASA CLI te controleren:
- Gebruik deze opties om toegang te krijgen tot de ASA CLI in overeenstemming met het platform en de implementatiemodus:
- Directe telnet/SSH-toegang tot ASA op Firepower 1000/3100 en Firepower 2100 in toestelmodus
- Toegang vanaf FXOS-console CLI op Firepower 2100 in platformmodus en verbinding maken met ASA via de connect as-opdracht
- Toegang vanaf FXOS CLI via opdrachten (Firepower 4100/9300):
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en verbind vervolgens als
- Voor virtuele ASA, directe SSH-toegang tot ASA of consoletoegang vanaf de hypervisor of cloud-gebruikersinterface
2. Voer de opdracht show firewall uit op de CLI:
asa# show firewall Firewall mode: Routed
ASA show-tech Bestand
Controleer het gedeelte Toon firewall om de ASA-firewallmodus te controleren:
------------------ show firewall ------------------
Firewall mode: Routed
FCM UI
Volg de stappen in de sectie.
FXOS CLI
Volg de stappen in de sectie.
FXOS REST API
Volg de stappen in de sectie.
Chassisshow-tech Bestand
Volg de stappen in de sectie.
Instantie-implementatietype controleren
Er zijn 2 implementatietypen voor toepassingsinstanties:
- Native instance - Een native instance gebruikt alle bronnen (CPU, RAM en schijfruimte) van de beveiligingsmodule/engine, zodat u slechts één native instance kunt installeren.
- Container instantie - Een container instantie maakt gebruik van een subset van de middelen van de beveiligingsmodule / engine. Multi-instance-functionaliteit wordt alleen ondersteund voor de FTD die door FMC wordt beheerd; deze wordt niet ondersteund voor de ASA of de FTD die door FDM wordt beheerd.
De configuratie van de containermodus wordt alleen ondersteund voor FTD op Firepower 4100/9300 of Secure Firewall 3100/4200. Het Secure Firewall 3100/4200-chassis zelf kan zowel in de standaardmodus als in de containermodus worden uitgevoerd.
Het implementatietype van de instantie kan worden geverifieerd met behulp van de volgende opties:
- FTD CLI
- FTD Show-tech
- FMC-GEBRUIKERSINTERFACE
- FMC REST-API
- FCM UI
- FXOS CLI
- FXOS REST-API
- Chassisshow-technisch bestand
FTD CLI
Volg deze stappen om het type FTD-implementatie op de FTD CLI te verifiëren:
- Gebruik deze opties om toegang te krijgen tot de FTD CLI in overeenstemming met het platform en de implementatiemodus:
- Directe toegang tot FTD via SSH - alle platforms
- Op Firepower 4100/9300, toegang tot de FTD met behulp van de FXOS CLI via opdrachten:
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en verbind vervolgens ftd [instance], waarbij de instantie alleen relevant is voor implementatie in meerdere instanties.
- Op Secure Firewall 3100/4200, toegang vanuit de FXOS CLI via de opdracht connect ftd [instance], waarbij de instantie alleen relevant is voor implementatie in meerdere instanties.
- Voer de opdracht Versiesysteem weergeven uit. FTD wordt uitgevoerd in een containermodus als een van de volgende zaken waar is:
- De regel met de tekenreeks SSP-sleufnummer bevat "Container".
- in het geval van Secure Firewall 3100/4200, als de regel Container Disk: 40 GB bestaat.
> show version system -------------------[ firepower ]-------------------- Model : Cisco Firepower 4120 Threat Defense (76) Version 7.1.0 (Build 90) UUID : 3344bc4a-d842-11ec-a995-817e361f7ea5 VDB version : 346 ---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.17(1) SSP Operating System Version 2.11(1.154) Compiled on Tue 30-Nov-21 18:38 GMT by builders System image file is "disk0:/fxos-lfbff-k8.2.11.1.154.SPA" Config file at boot was "startup-config" firepower up 2 days 19 hours Start-up time 3 secs SSP Slot Number: 1 (Container) …
> show version system
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall 3140 Threat Defense (80) Version 7.6.1 (Build 291)
UUID : 4ab1bbba-674d-11f0-90a8-fe60a1ff824b
LSP version : lsp-rel-20241211-1948
VDB version : 408
----------------------------------------------------
Cisco Adaptive Security Appliance Software Version 9.22(1)21
SSP Operating System Version 2.16(0.3007)
Compiled on Thu 29-May-25 01:38 GMT by fpbesprd
System image file is "disk0:/installables/switch/fxos-k8-fp3k-lfbff.2.16.0.3007.SPA"
Config file at boot was "startup-config"
firepower up 11 days 18 hours
Start-up time 7 secs
Hardware: FPR-3140, 36831 MB RAM, CPU Ryzen Zen 2 2345 MHz, 1 CPU (10 cores)
Container Disk: 40 GB
...
FTD-bestand voor probleemoplossing
Voer de volgende stappen uit om het type FTD-implementatie in het FTD-probleemoplossingsbestand te controleren:
- Open het bestand voor probleemoplossing en navigeer naar de map <bestandsnaam>-troubleshoot .tar/results-<date>--xxxxx/command-outputs.
- Open het bestand usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output:
# pwd
/ngfw/var/common/results-05-22-2022--102758/command-outputs
# cat 'usr-local-sf-bin-sfcli.pl show_tech_support asa_lina_cli_util.output'
- Controleer de regel met het SSP-sleufnummer. FTD wordt uitgevoerd in een containermodus als een van de volgende zaken waar is:
- De regel met de tekenreeks SSP-sleufnummer bevat "Container".
- in het geval van Secure Firewall 3100/4200, als de regel Container Disk: 40 GB bestaat.
-------------------[ firepower ]-------------------- Model : Cisco Firepower 4120 Threat Defense (76) Version 7.1.0 (Build 90) UUID : 3344bc4a-d842-11ec-a995-817e361f7ea5 VDB version : 346 ---------------------------------------------------- Cisco Adaptive Security Appliance Software Version 9.17(1) SSP Operating System Version 2.11(1.154) Compiled on Tue 30-Nov-21 18:38 GMT by builders System image file is "disk0:/fxos-lfbff-k8.2.11.1.154.SPA" Config file at boot was "startup-config" firepower up 2 days 19 hours Start-up time 3 secs SSP Slot Number: 1 (Container) …
> show version system
-------------------[ firepower ]--------------------
Model : Cisco Secure Firewall 3140 Threat Defense (80) Version 7.6.1 (Build 291)
UUID : 4ab1bbba-674d-11f0-90a8-fe60a1ff824b
LSP version : lsp-rel-20241211-1948
VDB version : 408
----------------------------------------------------
Cisco Adaptive Security Appliance Software Version 9.22(1)21
SSP Operating System Version 2.16(0.3007)
Compiled on Thu 29-May-25 01:38 GMT by fpbesprd
System image file is "disk0:/installables/switch/fxos-k8-fp3k-lfbff.2.16.0.3007.SPA"
Config file at boot was "startup-config"
firepower up 11 days 18 hours
Start-up time 7 secs
Hardware: FPR-3140, 36831 MB RAM, CPU Ryzen Zen 2 2345 MHz, 1 CPU (10 cores)
Container Disk: 40 GB
...
FMC-GEBRUIKERSINTERFACE
Voer de volgende stappen uit om het type FTD-implementatie op de FMC-gebruikersinterface te controleren:
- Kies Apparaten > Apparaatbeheer:
- Controleer de kolom Chassis. Als de container in de regel bestaat, wordt FTD uitgevoerd in de containermodus.
FMC REST-API
Volg deze stappen om het type FTD-implementatie te verifiëren via FMC REST-API. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
- Een verificatietoken aanvragen:
# curl -s -k -v -X POST 'https://192.0.2.1/api/fmc_platform/v1/auth/generatetoken' -H 'Authentication: Basic' -u 'admin:Cisco123' | grep -i X-auth-access-token
< X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb
2. Identificeer het domein dat het apparaat bevat. In de meeste REST API queries is de domein parameter verplicht. Gebruik de token in deze query om de lijst met domeinen op te halen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_platform/v1/info/domain' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items":
[
{
"name": "Global",
"type": "Domain",
"uuid": "e276abec-e0f2-11e3-8169-6d9ed49b625f"
},
{
"name": "Global/LAB2",
"type": "Domain",
"uuid": "84cc4afe-02bc-b80a-4b09-000000000000"
},
...
3. Gebruik de UUID van het domein om de specifieke apparaatrecords en de specifieke UUID van het apparaat op te vragen:
# curl -s -k -X 'GET' 'https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
{
"items": [
{
"id": "796eb8f8-d83b-11ec-941d-b9083eb612d8",
"links": {
"self": "https://192.0.2.1/api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8"
},
"name": "ftd_ha_1",
"type": "Device"
},
...
4. Gebruik de UUID van het domein en de UUID van het apparaat/de container uit stap 3 in deze query en controleer de waarde van isMultiInstance:
# curl -s -k -X 'GET' 'https://192.0.2.1./api/fmc_config/v1/domain/84cc4afe-02bc-b80a-4b09-000000000000/devices/devicerecords/796eb8f8-d83b-11ec-941d-b9083eb612d8' -H 'accept: application/json' -H 'X-auth-access-token: 5d817ef7-f12f-4dae-b0c0-cd742d3bd2eb' | python -m json.tool
...
"name": "ftd_cluster1",
"isMultiInstance": true, ...
FCM UI
Controleer de waarde van het attribuut van het bronprofiel in Logische apparaten om het type FTD-implementatie te verifiëren. Als de waarde niet leeg is, wordt de FTD uitgevoerd in containermodus:
FXOS CLI
Volg deze stappen om het type FTD-implementatie op de FXOS CLI te controleren:
- Maak een console- of SSH-verbinding met het chassis.
- Switch naar de scope ssa en voer de opdracht show app-instance uit en controleer vervolgens de Deploy Type-kolom van de specifieke FTD op basis van de sleuf en de ID:
firepower # scope ssa
firepower /ssa # show app-instance App Name Identifier Slot ID Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role ---------- ---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------ ftd ftd_cluster1 1 Enabled Online 7.1.0.90 7.1.0.90 Container No RP20 In Cluster Master
3. In het geval van de Secure Firewall 3100/4200 werkt het gehele chassis in de standaardmodus of in de containermodus. Controleer de uitvoer van de opdracht show system ter verificatie:
firepower-3140# show system
Systems:
Name Mode Deploy Mode System IP Address System IPv6 Address
---------- ----------- ----------- ----------------- -------------------
firepower-3140
Stand Alone Container 192.0.2.1 ::
FXOS REST API
Volg deze stappen om het FTD-implementatietype te verifiëren via een FXOS REST-API-verzoek. Gebruik een REST-API-client. In dit voorbeeld wordt curl gebruikt:
- Een verificatietoken aanvragen:
# curl -k -X POST -H 'USERNAME: admin' -H 'PASSWORD: Cisco123' 'https://10.62.148.88/api/login'
{
"refreshPeriod": "0",
"token": "3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d"
}2. Geef de token, de sleuf-ID in deze query op en controleer de waarde van deployType:
# curl -s -k -X GET -H 'Accept: application/json' -H 'token: 3dba916cdfb850c204b306a138cde9659ba997da4453cdc0c37ffb888816c94d' https://192.0.2.100/api/slot/1/app-inst
… { "smAppInstance": [ { "adminState": "enabled", "appDn": "sec-svc/app-ftd-7.1.0.90", "appInstId": "ftd_001_JAD201200R43VLP1G3", "appName": "ftd", "clearLogData": "available", "clusterOperationalState": "not-applicable", "clusterRole": "none", "currentJobProgress": "100", "currentJobState": "succeeded", "currentJobType": "start", "deployType": "container",
...
Chassisshow-tech Bestand
Voer in Firepower 4100/9300 de volgende stappen uit om de FTD-firewallmodus in het bestand met de technische specificaties van het chassis te controleren:
- Open voor FXOS-versies 2.7 en hoger het bestand sam_techsupportinfo in <name>_BC1_all.tar/ FPRM_A_TechSupport.tar.gz/FPRM_A_TechSupport.tar
Voor eerdere versies opent u het bestand sam_techsupportinfo in FPRM_A_TechSupport.tar.gz/ FPRM_A_TechSupport.tar.
- Controleer de `show slot expand detail` sectie voor de specifieke sleuf en de identifier:
# pwd
/var/tmp/20220313201802_F241-01-11-FPR-2_BC1_all/FPRM_A_TechSupport/
# cat sam_techsupportinfo
...
`show slot expand detail` Slot: Slot ID: 1 Log Level: Info Admin State: Ok Oper State: Online Disk Format State: Ok Disk Format Status: 100% Clear Log Data: Available Error Msg: Application Instance: App Name: ftd Identifier: ftd_cluster1 Admin State: Enabled Oper State: Online Running Version: 7.1.0.90 Startup Version: 7.1.0.90 Deploy Type: Container
Controleer in Secure Firewall 3100/4200 het gedeelte 'scope system' in het bestand tech_support_brief om de implementatiemodus van het chassis te controleren:
`scope system`
`show detail`
Systems:
Name: firepower-3140
Mode: Stand Alone
System IP Address: 192.0.2.1
System IPv6 Address: ::
System Owner:
System Site:
Deploy Mode: Container
Description for System
Contextmodus ASA verifiëren
ASA ondersteunt modi met één en meerdere contexten. FTD ondersteunt geen multicontextmodus.
Het contexttype kan worden geverifieerd met behulp van deze opties:
- ASA CLI
- ASA show-tech
ASA CLI
Volg deze stappen om de ASA-contextmodus op de ASA CLI te verifiëren:
- Gebruik deze opties om toegang te krijgen tot de ASA CLI in overeenstemming met het platform en de implementatiemodus:
- Directe telnet/SSH-toegang tot ASA op Firepower 1000/3100/4200 en Firepower 2100 in toestelmodus
- Toegang vanaf FXOS-console CLI op Firepower 2100 in platformmodus en verbinding maken met ASA via de connect as-opdracht
- Toegang vanaf FXOS CLI via opdrachten (Firepower 4100/9300):
verbind module <x> [console|telnet], waarbij x de sleuf-ID is, en verbind vervolgens als
- Voor virtuele ASA, directe SSH-toegang tot ASA of consoletoegang vanaf de hypervisor of cloud-gebruikersinterface
2. Voer de opdracht Weergavemodus uit op de CLI:
ASA# show mode
Security context mode: multiple
ASA# show mode
Security context mode: single
ASA show-tech Bestand
Volg deze stappen om de ASA-contextmodus in het ASA-show-tech-bestand te verifiëren:
1. Controleer het gedeelte Contextdetails weergeven in het bestand Show-tech. In dit geval is de contextmodus meervoudig, omdat er meerdere contexten zijn:
------------------ show context detail ------------------ Context "system", is a system resource Config URL: startup-config Real Interfaces: Mapped Interfaces: Ethernet1/1, Ethernet1/10, Ethernet1/11, Ethernet1/12, Ethernet1/13, Ethernet1/14, Ethernet1/15, Ethernet1/16, Ethernet1/2, Ethernet1/3, Ethernet1/4, Ethernet1/5, Ethernet1/6, Ethernet1/7, Ethernet1/8, Ethernet1/9, Ethernet2/1, Ethernet2/2, Ethernet2/3, Ethernet2/4, Ethernet2/5, Ethernet2/6, Ethernet2/7, Ethernet2/8, Internal-Data0/1, Internal-Data1/1, Management1/1 Class: default, Flags: 0x00000819, ID: 0 Context "admin", has been created Config URL: disk0:/admin.cfg Real Interfaces: Ethernet1/1, Ethernet1/2, Management1/1 Mapped Interfaces: Ethernet1/1, Ethernet1/2, Management1/1 Real IPS Sensors: Mapped IPS Sensors: Class: default, Flags: 0x00000813, ID: 1 Context "null", is a system resource Config URL: ... null ... Real Interfaces: Mapped Interfaces: Real IPS Sensors: Mapped IPS Sensors: Class: default, Flags: 0x00000809, ID: 507
Controleer de Firepower 2100-modus met ASA
Firepower 2100 met ASA kan in een van deze modi worden uitgevoerd:
-
Platformmodus - basisparameters en hardware-interface-instellingen worden geconfigureerd in FXOS. Deze instellingen omvatten interfaces voor het wijzigen van de beheerdersstatus, EtherChannel-configuratie, NTP, imagebeheer en meer. FCM-webinterface of FXOS CLI kan worden gebruikt voor FXOS-configuratie.
-
Toestelmodus (standaard) - Toestelmodus stelt gebruikers in staat om alle beleidsregels in de ASA te configureren. Alleen geavanceerde opdrachten zijn beschikbaar in de FXOS CLI.
De Firepower 2100-modus met ASA kan worden geverifieerd met behulp van deze opties:
- ASA CLI
- FXOS CLI
- Chassisshow-technisch bestand
ASA CLI
Volg deze stappen om de Firepower 2100-modus met ASA op de ASA CLI te verifiëren:
1. Gebruik telnet/SSH voor toegang tot de ASA op Firepower 2100.
2. Voer de opdracht fxos-modus tonen uit op de CLI:
ciscoasa(config)# show fxos mode
Mode is currently set to plaftorm
Toestelmodus:
ciscoasa(config)# show fxos mode
Mode is currently set to appliance
FXOS CLI
Volg deze stappen om de Firepower 2100-modus met ASA op de FXOS CLI te verifiëren:
1. Gebruik telnet/SSH voor toegang tot de ASA op Firepower 2100.
2. Voer de opdracht connect fxos uit:
ciscoasa/admin(config)# connect fxos
Configuring session.
.
Connecting to FXOS.
...
Connected to FXOS. Escape character sequence is 'CTRL-^X'.
3. Voer de opdracht fxos-mode tonen uit:
firepower-2140# show fxos mode
Mode is currently set to plaftorm
Toestelmodus:
firepower-2140#show fxos mode
Mode is currently set to appliance
Chassisshow-tech Bestand
Volg deze stappen om de Firepower 2100-modus met ASA te controleren in het bestand met de technische specificaties van het chassis:
1. Open bestand tech_support_brief in <name>_FPRM.tar.gz/<name>_FPRM.tar
2. Controleer het gedeelte "show fxos-mode":
# pwd
/var/tmp/fp2k-1_FPRM/
# cat tech_support_brief
...
`show fxos-mode`
Mode is currently set to platform
Toestelmodus:
# pwd
/var/tmp/fp2k-1_FPRM/
# cat tech_support_brief
...
`show fxos-mode`
Mode is currently set to appliance
Bekende problemen
Cisco bug ID CSCwb94424 
ENH: Een CLISH-opdracht toevoegen voor FMC HA-configuratieverificatie
Cisco bug ID CSCvn31622 ENH: FXOS SNMP OID's toevoegen aan poll logische apparaat en app-instantie configuratie
Cisco bug ID CSCwb97767 ENH: OID toevoegen voor verificatie van het type FTD-implementatie
Cisco bug ID CSCwb97772 ENH: Inclusief uitvoer van 'show fxos mode' in show-tech van ASA op Firepower 2100
Cisco bug ID CSCwb97751 OID 1.3.6.1.4.1.9.9.491.1.6.1.1 voor de verificatie van de transparante firewallmodus is niet beschikbaar
Gerelateerde informatie
- Secure Firewall Management Center REST API Quick Start Guide, versie 7.1
- SNMP configureren op Firepower NGFW-toestellen
- Cisco Firepower Threat Defense REST API-gids
- Cisco FXOS REST API-referentie
- Cisco ASA-compatibiliteit
- Firepower 1000/2100 en Secure Firewall 3100 ASA- en FXOS-bundelversies
- gebundelde onderdelen
- Firepower Problemen oplossen bij het genereren van bestanden
- Gids voor het starten van Cisco Firepower 2100
- Cisco Firepower Threat Defense Compatibility Guide
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
04-Aug-2025
|
Verificatiestappen toegevoegd voor Secure Firewall 3100/4200. |
2.0 |
08-Aug-2024
|
Opmaak, interpunctie en hoofdletter op alt-tekst wijzigen. |
1.0 |
26-May-2022
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)