FTD Multi-Instance High-Availability instellen op Firepower 4100
Inhoud
Inleiding
Dit document beschrijft hoe u failover kunt configureren in FTD-containerinstanties (Multi-Instance).
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Firepower Management Center en Firewall Threat Defence.
Gebruikte componenten
Cisco Firepower Management Center Virtual 7.2.5
Cisco FirePOWER 4145 NGFW-applicatie (FTD) 7.2.5
Firepower eXtensible Operating System (FXOS) 2.12 (0.498)
Windows 10
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Alvorens FTD Multi-Instance te implementeren, is het belangrijk om te begrijpen hoe het uw systeemprestaties kan beïnvloeden en dienovereenkomstig te plannen. Raadpleeg altijd de officiële documentatie van Cisco of neem contact op met een technische vertegenwoordiger van Cisco om een optimale implementatie en configuratie te garanderen.
Achtergrondinformatie
Multi-Instance is een functie van Firepower Threat Defence (FTD) die vergelijkbaar is met ASA multiple context mode. Het stelt u in staat om meerdere, aparte container Instanties van FTD op een enkel stuk hardware uit te voeren. Elke container instantie staat harde middelenscheiding, afzonderlijk configuratiebeheer, afzonderlijke herladingen, afzonderlijke software-updates, en volledige ondersteuning van bedreigingsverdediging. Dit is met name nuttig voor organisaties die verschillende beveiligingsmaatregelen voor verschillende afdelingen of projecten nodig hebben, maar niet willen investeren in meerdere afzonderlijke hardwareapparatuur. De Multi-Instance optie wordt momenteel ondersteund op het FirePOWER 4100 en 9300 Series security apparaat waarop FTD 6.4 en hoger wordt uitgevoerd.
Dit document gebruikt Firepower4145 die maximaal 14 Container-instanties ondersteunt. Raadpleeg voor de maximale aantal instanties die in FirePOWER-applicatie worden ondersteund Maximum aantal containerinstanties en -bronnen per model.
Netwerkdiagram
Dit document introduceert de configuratie en verificatie voor HA in Multi-Instance op dit diagram.
Logisch configuratiediagram
Diagram van fysieke configuratie
Configuraties
Stap 1. Interfaces vooraf configureren
a. Navigeren naar interfaces op FCM. Set 2 beheerinterfaces. In dit voorbeeld Ethernet1/3 en Ethernet1/7.
Interfaces vooraf configureren
Stap 2. Voeg 2 resourceprofielen toe voor containerinstanties.
a. Navigeer naar Platform Instellingen > Resource Profiles > Add on FCM. Stel 1e resourceprofiel in.
In dit voorbeeld :
·Naam: Instance01
·Aantal kernen: 10
Opmerking: voor HA van het containerinstantiepaar moeten ze dezelfde eigenschappen van het resourceprofiel gebruiken.
Stel de naam van het profiel in tussen 1 en 64 tekens. Merk op dat u de naam van dit profiel niet kunt wijzigen nadat u het hebt toegevoegd.
Stel het aantal kernen voor het profiel in, tussen de 6 en het maximum.
1e resourceprofiel toevoegen
b. Herhaal a. in stap 2 om het tweede resourceprofiel te configureren.
In dit voorbeeld :
·Naam : instantie02
·Aantal kernen: 20
2e resourceprofiel toevoegen
c. Controleer of er twee resourceprofielen zijn toegevoegd.
Resourceprofiel bevestigen
Stap 3. (Optioneel)Voeg een MAC Pool Prefix van virtueel MAC-adres toe voor Container Instance Interfaces.
U kunt het virtuele MAC-adres voor de Active/Stanby-interface handmatig instellen. Als de Virtuele Adressen van MAC niet, voor multi-instantie vermogen worden geplaatst, produceert het chassis automatisch de adressen van MAC voor de interfaces van de Instantie, en garandeert dat een gedeelde interface in elke Instantie een uniek adres van MAC gebruikt.
Contr. Een MAC Pool Prefix toevoegen en MAC-adressen bekijken voor Container Instance Interfaces voor meer details over MAC-adres.
Stap 4. Voeg een standalone instantie toe.
a. Navigeer naar logische apparaten > Standalone toevoegen. Eerste instantie instellen.
In dit voorbeeld :
·Apparaatnaam : FTD01
·Type instantie: container
Opmerking: de enige manier om een containerapplicatie te implementeren is door een App-Instance vooraf te implementeren met Instance Type ingesteld op Container. Verzeker u ervan dat u Container selecteert.
U kunt deze naam niet wijzigen nadat u het logische apparaat hebt toegevoegd.
Instantie toevoegen
Stap 5. Interfaces configureren
a. Stel Resource Profile, Management Interface, Management IP in voor Instance01.
In dit voorbeeld :
·Resourceprofiel: Instance01
·Beheerinterface: Ethernet1/3
·ManagementIP: x.x.1.1
Profielen/beheerinterface/IP-beheer configureren
b. Stel data-interfaces in.
In dit voorbeeld :
·Ethernet1/1 (gebruikt voor binnenkant)
·Ethernet1/2 (gebruikt voor buitengebruik)
·Ethernet1/4 (gebruikt voor HA-link)
Gegevensinterfaces instellen
c. Navigeer naar logische apparaten. Wachten op bijv. bootup.
Status van instantie bevestigen01
d. Herhaal a. in stap 4.a en stap 5.a tot en met c om de tweede instantie toe te voegen en geef er een detail voor in te stellen.
In dit voorbeeld :
·Apparaatnaam: FTD11
·Type instantie: Container
·Resourceprofiel: Instance02
·Beheerinterface: Ethernet1/7
·ManagementIP: x.x.10.1
·Ethernet1/5 = binnenkant
·Ethernet1/6 = buiten
·Ethernet1/8 = HA-link
e. Bevestig 2 Instanties zijn online status op FCM.
Instantiestatus op primair apparaat bevestigen
f. (optioneel) Start scope ssa, scope slot 1 en show app-Instance de opdracht om 2 exemplaren te bevestigen is online status op Firepower CLI.
FPR4145-ASA-K9# scope ssa
FPR4145-ASA-K9 /ssa # scope slot 1
FPR4145-ASA-K9 /ssa/slot # show app-Instance
Application Instance:
App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd FTD01 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance01 Not Applicable None --> FTD01 Instance is Online
ftd FTD11 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance02 Not Applicable None --> FTD11 Instance is Onlineg. Doe dit ook met het secundaire apparaat. Bevestig 2 Instanties zijn online status.
Instantiestatus op secundair apparaat bevestigen
Stap 6. Voeg een hoog beschikbaarheidspaar toe voor elke instantie.
a. Ga naar Apparaten > Apparaat toevoegen op VCC. Voeg alle instanties toe aan het VCC.
In dit voorbeeld :
·Naam weergeven voor Instance01 van FTD1: FTD1_FTD01
·Naam weergeven voor Instance02 van FTD1: FTD1_FTD11
·Naam weergeven voor Instance01 van FTD2: FTD2_FTD02
·Naam weergeven voor Instance02 van FTD2: FTD2_FTD12
Dit beeld toont de instelling voor FTD1_FTD01.
FTD-instantie toevoegen aan FMC
b. Controleer of alle exemplaren normaal zijn.
Instantiestatus in VCC bevestigen
c. Navigeer naar apparaten > Hoge beschikbaarheid toevoegen. Stel 1e failover-paar in.
In dit voorbeeld :
·Naam: FTD01_FTD02_HA
·Primaire peer: FTD1_FTD01
·Secundaire peer: FTD2_FTD02
Opmerking: Zorg ervoor dat u de juiste eenheid als primaire eenheid selecteert.
1e failover-paar toevoegen
d. Stel IP voor failover link in als 1e failover-paar.
In dit voorbeeld :
·High Availability Link: Ethernet1/4
·Statuslink: Ethernet1/4
·Primair IP-adres: 192.168.90.1/24
·Secundair IP-adres: 192.168.90.2/24
HA-interface en IP instellen voor 1e failover-paar
e. Bevestig de status van failover
·FTD1_FTD01: Primair, actief
·FTD2_FTD02: Secundair, stand-by
Status van eerste failover-paar bevestigen
f. Navigeren naar apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > Interfaces. Stel actieve IP voor data-interface in.
In dit voorbeeld :
·Ethernet1/1 (binnenkant): 192.168.10.254/24
·Ethernet1/2 (buiten): 192.168.20.254/24
·Ethernet1/3 (diagnostisch): 192.168.80.1/24
Dit beeld toont de instelling voor Active IP van Ethernet1/1.
Actieve IP voor data-interface instellen
Ga naar Apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > High Availability. Stel stand-by IP voor data-interface in.
In dit voorbeeld :
·Ethernet1/1 (binnenkant): 192.168.10.253/24
·Ethernet1/2 (buiten): 192.168.20.253/24
·Ethernet1/3 (diagnostisch): 192.168.80.2/24
Dit beeld toont de instelling voor Standby IP van Ethernet1/1.
Standby IP voor data-interface instellen
h. Herhaal stap 6.c tot en met g om het tweede failover-paar toe te voegen.
In dit voorbeeld :
·Naam : FTD11_FTD12_HA
·Primaire peer: FTD1_FTD11
·Secundaire peer: FTD2_FTD12
·High Availability Link: Ethernet1/8
·State Link: Ethernet1/8
·Ethernet1/8 (ha_link actief): 192.168.91.1/24
·Ethernet1/5 (in actief): 192.168.30.254/24
·Ethernet1/6 (buiten actief): 192.168.40.254/24
·Ethernet1/7 (diagnostisch actief): 192.168.81.1/24
·Ethernet1/8 (ha_link Standby): 192.168.91.2/24
·Ethernet1/5 (in standby): 192.168.30.253/24
·Ethernet1/6 (buiten Standby): 192.168.40.253/24
·Ethernet1/7 (diagnostische stand-by): 192.168.81.2/24
i. Navigeren naar logische apparaten > Standalone toevoegen. Stel de ACS-regel in om het verkeer van binnen naar buiten toe mogelijk te maken.
ACS-regeling instellen
j. Stel de instelling in op FTD.
k. Bevestig de HA-status in CLI
De HA status voor elke instantie wordt ook bevestigd in Firepower CLI die hetzelfde is als ASA.
Start show running-config failover en show failover commando om de HA-status van FTD1_FTD01 (Primaire instantie01) te bevestigen.
// confrim HA status of FTD1_FTD01 (Instance01 of Primary Device)
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Primary - Active <---- Instance01 of FPR01 is Active
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)Start show running-config failover en show failover commando om de HA-status van FTD1_FTD11 (Primaire instantie02) te bevestigen.
// confrim HA status of FTD1_FTD11 (Instance02 of Primary Device)
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Primary - Active <---- Instance02 of FPR01 is Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)Start show running-config failover en show failover commando om de HA-status van FTD2_FTD02 te bevestigen (Secundaire instantie01) .
// confrim HA status of FTD2_FTD02 (Instance01 of Secondary Device)
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
......
Other host: Primary - Active <---- Instance01 of FPR01 is Active
Active time: 31651 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
Start show running-config failover en show failover commando om de HA-status van FTD2_FTD12 (Secundaire instantie02) te bevestigen.
// confrim HA status of FTD2_FTD12 (Instance02 of Secondary Device)
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active <---- Instance02 of FPR01 is Active
Active time: 31275 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
l. Bevestig het verbruik van de vergunning
Alle licenties worden verbruikt per beveiligingsmotor/chassis en niet per container instantie.
·Basislicenties worden automatisch toegewezen: één per beveiligingsmotor/chassis.
·Licenties voor functies worden handmatig toegewezen aan elke instantie, maar u verbruikt slechts één licentie per voordeelmotor/chassis. Voor een specifieke functielicentie hebt u slechts in totaal 1 licentie nodig, ongeacht het aantal gebruikte instanties.
In deze tabel wordt aangegeven hoe de licenties in dit document worden verbruikt.
| FPR01 |
Instantie01 |
Basis, URL-filtering, Malware, bedreiging |
| Instantie02 |
Basis, URL-filtering, Malware, bedreiging |
|
| FPR02 |
Instantie01 |
Basis, URL-filtering, Malware, bedreiging |
| Instantie02 |
Basis, URL-filtering, Malware, bedreiging |
Totaal aantal licenties
| Basis |
URL-filtering |
Malware |
dreigement |
| 2 |
2 |
2 |
2 |
Bevestig het aantal verbruikte licenties in de FMC GUI.
Bevestig verbruikte licenties
Verifiëren
Wanneer de crash plaatsvond op FTD1_FTD01 (Primary Instance01), wordt de failover van Instance01 geactiveerd en nemen de gegevensinterfaces aan de Standby-zijde het IP/MAC-adres van de oorspronkelijke Active Interface over, waardoor het verkeer (FTP-verbinding in dit document) continu door Firepower wordt doorgegeven.
Voor de botsing
tijdens de crash
failover is geactiveerd
Stap 1. Start FTP verbinding van Win10-01 naar Win10-02.
Stap 2. De show conn
// Confirm the connection in Instance01 of FPR01
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:11, bytes 529, flags UIO N1
// Confirm the connection in Instance01 of FPR02
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:42, bytes 530, flags UIO N1Stap 3. Start FTP verbinding van Win10-03 naar Win10-04.
Stap 4. De show conn opdracht Uitvoeren om de FTP-verbinding te bevestigen is in beide gevallen vastgelegd.
// Confirm the connection in Instance02 of FPR01
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:02, bytes 530, flags UIO N1
// Confirm the connection in Instance02 of FPR02
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:13, bytes 530, flags UIO N1Stap 5. Start connect ftd FTD01en system support diagnostic-cliopdracht om ASA CLI te starten. Start enableen crashinfo force watchdog commando om crash Instance01 in primaire/actieve eenheid te forceren.
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
FTD01> enable
Password:
FTD01#
FTD01# crashinfo force watchdog
reboot. Do you wish to proceed? [confirm]:Stap 6. Failover treedt op in Instance01 en de FTP-verbinding wordt niet onderbroken. Draai show failoveren show conncommando om de status van Instance01 in FPR02 te bevestigen.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Active <---- Instance01 of FPR02 is Switching to Active
Interface diagnostic (192.168.80.1): Normal (Waiting)
Interface inside (192.168.10.254): Unknown (Waiting)
Interface outside (192.168.20.254): Unknown (Waiting)
......
Other host: Primary - Failed
Interface diagnostic (192.168.80.2): Unknown (Monitored)
Interface inside (192.168.10.253): Unknown (Monitored)
Interface outside (192.168.20.253): Unknown (Monitored)
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:02:25, bytes 533, flags U N1Stap 7. De crash in Instance01 had geen effect op Instance02. Draai show failoveren show conncommando om de status van Instance02 te bevestigen.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:01:18, bytes 533, flags UIO N1Stap 8. Ga naar Apparaten > Alles op FMC. Bevestig de HA-status.
·FTD1_FTD01: Primair, stand-by
·FTD2_FTD02: Secundair, actief
HA-status bevestigen
Stap 9. (Optioneel)Nadat de Instance01 van FPR01 terugkeert naar normaal, kunt u de status van HA handmatig switches. Dit kan door FMC GUI of FRP CLI worden gedaan.
Ga in het VCC naar Apparaten > Alle. Klik op Switch Active Peer to switch HA status voor FTD01_FTD02_HA.
Switch HA-status
Op Firepower CLI, Start connect ftd FTD01en system support diagnostic-cliopdracht om ASA CLI in te voeren. Start enableen failover active commando naar switch HA voor FTD01_FTD02_HA.
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
firepower# failover activeProblemen oplossen
Om de status van failover te valideren, voert u de opdracht uit show failover en show failover history geeft u opdracht.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show failover history
==========================================================================
From State To State Reason
==========================================================================
07:26:52 UTC Jan 22 2024
Negotiation Cold Standby Detected an Active peer
07:26:53 UTC Jan 22 2024
Cold Standby App Sync Detected an Active peer
07:28:14 UTC Jan 22 2024
App Sync Sync Config Detected an Active peer
07:28:18 UTC Jan 22 2024
Sync Config Sync File System Detected an Active peer
07:28:18 UTC Jan 22 2024
Sync File System Bulk Sync Detected an Active peer
07:28:33 UTC Jan 22 2024
Bulk Sync Standby Ready Detected an Active peerStart de debug fover
> debug fover
auth Failover Cloud authentication
cable Failover LAN status
cmd-exec Failover EXEC command execution
conn Failover Cloud connection
fail Failover internal exception
fmsg Failover message
ifc Network interface status trace
open Failover device open
rx Failover Message receive
rxdmp Failover recv message dump (serial console only)
rxip IP network failover packet recv
snort Failover NGFW mode snort processing
switch Failover Switching status
sync Failover config/command replication
synccount Failover Sync Count
tx Failover Message xmit
txdmp Failover xmit message dump (serial console only)
txip IP network failover packet xmit
verbose Enable verbose logging
verify Failover message verifyReferentie
https://www.cisco.com/c/en/us/support/docs/security/firepower-management-center/212699-configure-ftd-high-availability-on-firep.html
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/multi-Instance/multi-Instance_solution.html
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
06-Feb-2024 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)