FTD Multi-Instance High-Availability configureren op Firepower 4100
Inhoud
Inleiding
In dit document wordt beschreven hoe failover in FTD-containerinstanties (Multi-Instance) kan worden geconfigureerd.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van Firepower Management Center (FMC) en Firewall Threat Defense (FTD).
Gebruikte componenten
- Cisco Firepower Management Center Virtual 7.2.5
- Cisco Firepower 4145 NGFW-toestel (FTD) 7.2.5
- Firepower Extensible Operating System (FXOS) 2.12 (0.498)
- Windows 10
Voordat u FTD Multi-Instance implementeert, is het belangrijk om te begrijpen hoe dit van invloed kan zijn op uw systeemprestaties en om dienovereenkomstig te plannen. Raadpleeg altijd de officiële documentatie van Cisco of raadpleeg een technische vertegenwoordiger van Cisco voor een optimale implementatie en configuratie.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Multi-Instance is een functie van Firepower Threat Defense die vergelijkbaar is met Adaptive Security Appliance (ASA) meerdere contextmodus. Hiermee kunt u meerdere, afzonderlijke FTD-containerinstanties op één stuk hardware uitvoeren. Elke containerinstantie maakt scheiding van harde bronnen, afzonderlijk configuratiebeheer, afzonderlijke herlaadbewerkingen, afzonderlijke software-updates en volledige ondersteuning voor bedreigingsbeschermingsfuncties mogelijk. Dit is met name handig voor organisaties die verschillende beveiligingsbeleidsregels voor verschillende afdelingen of projecten vereisen, maar niet willen investeren in meerdere afzonderlijke hardwareapparaten. De Multi-Instance-functie wordt momenteel ondersteund op het beveiligingsapparaat uit de Firepower 3100-, 4100-, 4200- en 9300-reeks met FTD 6.4 en hoger.
Dit document maakt gebruik van Firepower 4145, dat maximaal 14 Container Instances ondersteunt. Voor de maximale instanties die in Firepower Appliance worden ondersteund, raadpleegt u Maximale containerinstanties en bronnen per model
Netwerkdiagram
Dit document introduceert de configuratie en verificatie voor HA in Multi-Instance op dit diagram.
logisch configuratiediagram
fysiek configuratiediagram
Configuraties
Stap 1. Interfaces vooraf configureren
a. Navigeer naar Interfaces op FCM. Stel 2 beheerinterfaces in. In dit voorbeeld Ethernet1/3 en Ethernet1/7.
Interfaces vooraf configureren
Stap 2. Voeg 2 bronprofielen toe voor containerinstanties
a. Navigeer naar Platforminstellingen > Bronprofielen > Toevoegen aan FCM. Stel het 1e bronprofiel in.
In dit voorbeeld:
·Naam: Instance01
·Aantal kernen: 10
Opmerking: voor HA van containerinstantieparen moeten dezelfde attributen voor bronprofielen worden gebruikt.
Stel de naam van het profiel in op 1 tot 64 tekens. U kunt de naam van dit profiel niet wijzigen nadat u het hebt toegevoegd.
Stel het aantal kernen voor het profiel in, tussen 6 en het maximum.
1e bronprofiel toevoegen
b. Herhaal a. in stap 2 om het tweede bronprofiel te configureren.
In dit voorbeeld:
·Naam: Instance02
·Aantal kernen: 20
Tweede bronprofiel toevoegen
c. Controleer of 2 bronprofielen zijn toegevoegd.
Bronnenprofiel bevestigen
Stap 3. (Optioneel) Een MAC-poolvoorvoegsel van virtueel MAC-adres toevoegen voor Container Instance Interfaces
U kunt het virtuele MAC-adres voor de Active/Standby-interface handmatig instellen. Als er geen virtuele MAC-adressen zijn ingesteld, genereert het chassis automatisch MAC-adressen voor Instance-interfaces en garandeert het dat een gedeelde interface in elke Instance een uniek MAC-adres gebruikt.
Raadpleeg Een MAC-poolprefix toevoegen en MAC-adressen bekijken voor Container Instance Interfaces voor meer informatie over MAC-adressen.
Stap 4. Een zelfstandige instantie toevoegen
a. Navigeer naar Logische apparaten > Standalone toevoegen. Eerste instantie instellen.
In dit voorbeeld:
·Apparaatnaam: FTD01
·Instantietype: container
Opmerking: De enige manier om een containertoepassing te implementeren, is door een app-instantie vooraf te implementeren met instantietype ingesteld op Container. Zorg ervoor dat u Container selecteert.
U kunt deze naam niet wijzigen nadat u het logische apparaat hebt toegevoegd.
Instantie toevoegen
Stap 5. Interfaces configureren
a. Stel Resource Profile, Management Interface, Management IP voor Instance01 in.
In dit voorbeeld:
·Bronprofiel: Instance01
·Beheerinterface: Ethernet1/3
·IP-beheer: x.x.1.1
Profiel/beheerinterface/IP-beheer configureren
b. Gegevensinterfaces instellen.
In dit voorbeeld:
·Ethernet1/1 (gebruikt voor binnenin)
·Ethernet1/2 (gebruikt voor buiten)
·Ethernet1/4 (gebruikt voor HA-koppeling)
Gegevensinterfaces instellen
c. Navigeer naar Logische apparaten. Wachten op opstarten van instantie.
Status van instantie01 bevestigen
d. Herhaal a. in stap 4.a en stap 5.a tot en met c om 2e instantie toe te voegen en er details voor in te stellen.
In dit voorbeeld:
·Apparaatnaam: FTD11
·Instantietype: container
·Bronprofiel: Instance02
·Beheerinterface: Ethernet1/7
·BeheerIP: x.x.10.1
·Ethernet1/5 = binnenkant
·Ethernet1/6 = buiten
·Ethernet1/8 = HA-koppeling
e. Bevestig dat 2 instanties de status Online hebben op FCM.
Instantiestatus in primair apparaat bevestigen
f. (Optioneel) Uitvoeren scope ssa, scope slot 1 en opdracht show app-Instance om te bevestigen dat 2 instanties de status Online hebben op de Firepower CLI.
FPR4145-ASA-K9# scope ssa
FPR4145-ASA-K9 /ssa # scope slot 1
FPR4145-ASA-K9 /ssa/slot # show app-Instance
Application Instance:
App Name Identifier Admin State Oper State Running Version Startup Version Deploy Type Turbo Mode Profile Name Cluster State Cluster Role
---------- ---------- ----------- ---------------- --------------- --------------- ----------- ---------- ------------ --------------- ------------
ftd FTD01 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance01 Not Applicable None --> FTD01 Instance is Online
ftd FTD11 Enabled Online 7.2.5 208 7.2.5 208 Container No Instance02 Not Applicable None --> FTD11 Instance is Onlineg. Doe hetzelfde op het secundaire apparaat. Bevestig dat 2 instanties de status Online hebben.
Instantiestatus in secundair apparaat bevestigen
Stap 6. Voeg voor elk exemplaar een paar met hoge beschikbaarheid toe
a. Navigeer naar Apparaten > Apparaat toevoegen op FMC. Voeg alle instanties toe aan FMC.
In dit voorbeeld:
·Display Name for Instance01 of FTD1: FTD1_FTD01
·Display Name for Instance02 of FTD1: FTD1_FTD11
·Display Name for Instance01 of FTD2: FTD2_FTD02
·Display Name for Instance02 of FTD2: FTD2_FTD12
Deze afbeelding toont de instelling voor FTD1_FTD01.
FTD-instantie toevoegen aan FMC
b. Bevestig dat alle instanties normaal zijn.
Instantiestatus in FMC bevestigen
c. Navigeer naar Apparaten > Hoge beschikbaarheid toevoegen. Stel het 1e failover-paar in.
In dit voorbeeld:
·Naam: FTD01_FTD02_HA
·Primaire peer: FTD1_FTD01
·Secundaire peer: FTD2_FTD02
Opmerking: Zorg ervoor dat u de juiste eenheid als primaire eenheid selecteert.
1e failoverpaar toevoegen
d. IP voor failover-koppeling instellen in 1e failover-paar.
In dit voorbeeld:
·Link voor hoge beschikbaarheid: Ethernet1/4
·Statuskoppeling: Ethernet1/4
·Primaire IP: 192.168.90.1/24
·Secundaire IP: 192.168.90.2/24
HA-interface en IP instellen voor 1e failover-paar
e. De status van failover bevestigen
·FTD1_FTD01: primair, actief
·FTD2_FTD02: Secundair, stand-by
Status van 1e failoverpaar bevestigen
f. Navigeer naar Apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > Interfaces. Stel Active IP in voor Data Interface.
In dit voorbeeld:
·Ethernet1/1 (binnenkant): 192.168.10.254/24
·Ethernet1/2 (buiten): 192.168.20.254/24
·Ethernet1/3 (diagnostisch): 192.168.80.1/24
Deze afbeelding toont de instelling voor Active IP van Ethernet1/1.
Actieve IP instellen voor gegevensinterface
g. Navigeer naar Apparaten > Klik op FTD01_FTD02_HA (in dit voorbeeld) > Hoge beschikbaarheid. Standby IP instellen voor Data Interface.
In dit voorbeeld:
·Ethernet1/1 (binnenkant): 192.168.10.253/24
·Ethernet1/2 (buiten): 192.168.20.253/24
·Ethernet1/3 (diagnostisch): 192.168.80.2/24
Deze afbeelding toont de instelling voor Standby IP van Ethernet1/1.
Stand-by IP instellen voor Data Interface
h. Herhaal stap 6.c tot en met g om het tweede failover-paar toe te voegen.
In dit voorbeeld:
·Naam: FTD11_FTD12_HA
·Primaire peer: FTD1_FTD11
·Secundaire peer: FTD2_FTD12
·Link voor hoge beschikbaarheid: Ethernet1/8
·Statuskoppeling: Ethernet1/8
·Ethernet1/8 (ha_link Active): 192.168.91.1/24
·Ethernet1/5 (binnenkant actief): 192.168.30.254/24
·Ethernet1/6 (buiten Active): 192.168.40.254/24
·Ethernet1/7 (diagnostisch actief): 192.168.81.1/24
·Ethernet1/8 (ha_link Standby): 192.168.91.2/24
·Ethernet1/5 (binnen Standby): 192.168.30.253/24
·Ethernet1/6 (buiten Standby): 192.168.40.253/24
·Ethernet1/7 (diagnostische standby): 192.168.81.2/24
i. Navigeer naar Logische apparaten > Standalone toevoegen. Stel de ACP-regel in om het verkeer van binnen naar buiten mogelijk te maken.
ACS-regel instellen
j. Zet de instelling in op FTD.
k. De HA-status in CLI bevestigen.
De HA-status voor elke instantie wordt ook bevestigd in Firepower CLI die hetzelfde is als ASA.
Voer show running-config failover show failover de opdracht en de opdracht uit om de HA-status van FTD1_FTD01 (Primary Instance01) te bevestigen.
// confrim HA status of FTD1_FTD01 (Instance01 of Primary Device)
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Primary - Active <---- Instance01 of FPR01 is Active
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)Uitvoeren show running-config failover en opdracht show failover om de HA-status van FTD1_FTD11 te bevestigen (Primary Instance02).
// confrim HA status of FTD1_FTD11 (Instance02 of Primary Device)
> show running-config failover
failover
failover lan unit primary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Primary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Primary - Active <---- Instance02 of FPR01 is Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
......
Other host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)Voer show running-config failover show failover de opdracht en de opdracht uit om de HA-status van FTD2_FTD02 (Secondary Instance01) te bevestigen.
// confrim HA status of FTD2_FTD02 (Instance01 of Secondary Device)
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/4
failover replication http
failover link ha_link Ethernet1/4
failover interface ip ha_link 192.168.90.1 255.255.255.0 standby 192.168.90.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Standby Ready <---- Instance01 of FPR02 is Standby
Interface diagnostic (192.168.80.2): Normal (Monitored)
Interface inside (192.168.10.253): Normal (Monitored)
Interface outside (192.168.20.253): Normal (Monitored)
......
Other host: Primary - Active <---- Instance01 of FPR01 is Active
Active time: 31651 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.80.1): Normal (Monitored)
Interface inside (192.168.10.254): Normal (Monitored)
Interface outside (192.168.20.254): Normal (Monitored)
Uitvoeren show running-config failover show failover en opdracht geven om de HA-status van FTD2_FTD12 (secundaire instantie02) te bevestigen.
// confrim HA status of FTD2_FTD12 (Instance02 of Secondary Device)
> show running-config failover
failover
failover lan unit secondary
failover lan interface ha_link Ethernet1/8
failover replication http
failover link ha_link Ethernet1/8
failover interface ip ha_link 192.168.91.1 255.255.255.0 standby 192.168.91.2
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready <---- Instance02 of FPR02 is Standby
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active <---- Instance02 of FPR01 is Active
Active time: 31275 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(3)53) status (Up Sys)
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
l. Bevestig het licentieverbruik.
Alle licenties worden verbruikt per beveiligingsengine/chassis en niet per containerinstantie.
·Basislicenties worden automatisch toegewezen: één per beveiligingsmotor/chassis.
·Licenties voor functies worden handmatig toegewezen aan elke instantie, maar u verbruikt slechts één licentie per engine/chassis voor functies per beveiliging. Voor een specifieke feature-licentie heb je slechts 1 licentie nodig, ongeacht het aantal Instances dat je gebruikt.
Deze tabel laat zien hoe de licenties in dit document worden verbruikt.
|
FPR01 |
Instance01 |
Basis, URL-filtering, malware, bedreiging |
|
Instance02 |
Basis, URL-filtering, malware, bedreiging |
|
|
FPR02 |
Instance01 |
Basis, URL-filtering, malware, bedreiging |
|
Instance02 |
Basis, URL-filtering, malware, bedreiging |
Totaal aantal licenties
|
basis |
URL-filtering |
kwaadaardige software |
bedreiging |
|
2 |
2 |
2 |
2 |
Bevestig het aantal verbruikte licenties in de FMC GUI.
Verbruikte licenties bevestigen
Verifiëren
Wanneer de crash zich voordeed op FTD1_FTD01 (Primary Instance01), wordt de failover van Instance01 geactiveerd en nemen de gegevensinterfaces op de standby-zijde het IP/MAC-adres van de oorspronkelijke Active Interface over, zodat het verkeer (FTP-verbinding in dit document) continu door Firepower wordt doorgegeven.
Voor de crash
Tijdens crash
Failover wordt geactiveerd
Stap 1. Start de FTP-verbinding van Win10-01 naar Win10-02.
Stap 2. Voer de show conn
// Confirm the connection in Instance01 of FPR01
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:11, bytes 529, flags UIO N1
// Confirm the connection in Instance01 of FPR02
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:00:42, bytes 530, flags UIO N1Stap 3. Start de FTP-verbinding van Win10-03 naar Win10-04.
Stap 4. Voer de show conn opdracht uit om te bevestigen dat de FTP-verbinding in beide instanties van Instance02 tot stand is gebracht.
// Confirm the connection in Instance02 of FPR01
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:02, bytes 530, flags UIO N1
// Confirm the connection in Instance02 of FPR02
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:00:13, bytes 530, flags UIO N1Stap 5. Uitvoeren connect ftd FTD01en opdracht system support diagnostic-cliom ASA CLI in te voeren. Uitvoeren enableen opdracht crashinfo force watchdog om crash Instance01 in primaire/actieve eenheid af te dwingen.
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
FTD01> enable
Password:
FTD01#
FTD01# crashinfo force watchdog
reboot. Do you wish to proceed? [confirm]:Stap 6. Failover vindt plaats in Instance01 en de FTP-verbinding wordt niet onderbroken. Uitvoeren show failoveren opdracht show connom de status van Instance01 in FPR02 te bevestigen.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/4 (up)
......
This host: Secondary - Active <---- Instance01 of FPR02 is Switching to Active
Interface diagnostic (192.168.80.1): Normal (Waiting)
Interface inside (192.168.10.254): Unknown (Waiting)
Interface outside (192.168.20.254): Unknown (Waiting)
......
Other host: Primary - Failed
Interface diagnostic (192.168.80.2): Unknown (Monitored)
Interface inside (192.168.10.253): Unknown (Monitored)
Interface outside (192.168.20.253): Unknown (Monitored)
> show conn
TCP outside 192.168.20.1:21 inside 192.168.10.1:49723, idle 0:02:25, bytes 533, flags U N1Stap 7. De crash vond plaats in Instance01 en had geen effect op Instance02. Uitvoeren show failoveren opdracht show connom de status van Instance02 te bevestigen.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show conn
TCP outside 192.168.40.1:21 inside 192.168.30.1:52144, idle 0:01:18, bytes 533, flags UIO N1Stap 8. Navigeer naar Apparaten > Alles op FMC. Bevestig de HA-status.
·FTD1_FTD01: Primair, stand-by
·FTD2_FTD02: Secundair, actief
HA-status bevestigen
Stap 9. (Optioneel) Nadat de Instance01 van FPR01 weer normaal is, kunt u de status van HA handmatig switches. Dit kan worden gedaan door ofwel FMC GUI of FRP CLI.
Navigeer in FMC naar Apparaten > Alle. Klik op Switch Active Peer to switch HA status voor FTD01_FTD02_HA.
Switch HA status
Voer op Firepower CLI de opdracht connect ftd FTD01en de opdracht system support diagnostic-cliuit om ASA CLI in te voeren. Uitvoeren enableen opdracht failover active geven aan switch HA voor FTD01_FTD02_HA.
Firepower-module1>connect ftd FTD01
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
firepower> enable
firepower# failover activeProblemen oplossen
Om de status van failover te valideren, voert u show failover de opdracht show failover history uit.
> show failover
Failover On
Failover unit Secondary
Failover LAN Interface: ha_link Ethernet1/8 (up)
......
This host: Secondary - Standby Ready
Interface diagnostic (192.168.81.2): Normal (Monitored)
Interface inside (192.168.30.253): Normal (Monitored)
Interface outside (192.168.40.253): Normal (Monitored)
......
Other host: Primary - Active
Interface diagnostic (192.168.81.1): Normal (Monitored)
Interface inside (192.168.30.254): Normal (Monitored)
Interface outside (192.168.40.254): Normal (Monitored)
> show failover history
==========================================================================
From State To State Reason
==========================================================================
07:26:52 UTC Jan 22 2024
Negotiation Cold Standby Detected an Active peer
07:26:53 UTC Jan 22 2024
Cold Standby App Sync Detected an Active peer
07:28:14 UTC Jan 22 2024
App Sync Sync Config Detected an Active peer
07:28:18 UTC Jan 22 2024
Sync Config Sync File System Detected an Active peer
07:28:18 UTC Jan 22 2024
Sync File System Bulk Sync Detected an Active peer
07:28:33 UTC Jan 22 2024
Bulk Sync Standby Ready Detected an Active peerVoer de debug fover
> debug fover
auth Failover Cloud authentication
cable Failover LAN status
cmd-exec Failover EXEC command execution
conn Failover Cloud connection
fail Failover internal exception
fmsg Failover message
ifc Network interface status trace
open Failover device open
rx Failover Message receive
rxdmp Failover recv message dump (serial console only)
rxip IP network failover packet recv
snort Failover NGFW mode snort processing
switch Failover Switching status
sync Failover config/command replication
synccount Failover Sync Count
tx Failover Message xmit
txdmp Failover xmit message dump (serial console only)
txip IP network failover packet xmit
verbose Enable verbose logging
verify Failover message verifyGerelateerde informatie
Hoge beschikbaarheid van FTD op Firepower-applicaties configureren
Problemen met hoge beschikbaarheid oplossen bij Firepower Threat Defense
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
29-May-2025
|
Bijgewerkte stijlvereisten, grammatica, spelling en opmaak. |
1.0 |
06-Feb-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)