Configurar a Alta disponibilidade FTD em dispositivos de FirePOWER
Índice
Introdução
Este original descreve como configurar e verificar a Alta disponibilidade da defesa da ameaça de FirePOWER (FTD) Failover (ativo/à espera) (HA) em FPR9300.
Pré-requisitos
Requisitos
Não existem requisitos específicos para este documento.
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- ferramenta de segurança 2xCisco FirePOWER 9300 - FXO SW 2.0(1.23)
- FTD que executa 6.0.1.1 (construção 1023)
- Centro de gerenciamento de FirePOWER (FMC) - SW 6.0.1.1 (construção 1023)
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
A tarefa 1. verifica circunstâncias
Exigência da tarefa:
Verifique que ambos os dispositivos FTD cumprem as exigências da nota e ele pode ser configurado como unidades HA.
Solução:
Etapa 1. Conecte ao IP de gerenciamento FPR9300 e verifique o hardware de módulo.
Verifique o hardware FPR9300-1.
KSEC-FPR9K-1-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36 KSEC-FPR9K-1-A#
Verifique o hardware FPR9300-2.
KSEC-FPR9K-2-A# show server inventory Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores ------- ------------ ------------ -------------------- ---------------- ---------------- ---------- 1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36 1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36 1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36 KSEC-FPR9K-2-A#
Etapa 2. O log no gerente do chassi FPR9300-1 e navega aos dispositivos lógicos.
Verifique a versão de software, o número e o tipo de relações segundo as indicações das imagens.
FPR9300-1
FPR9300-2
A tarefa 2. configura FTD HA em FPR9300
Exigência da tarefa:
Configurar Failover ativo/à espera (HA) conforme este diagrama.
Solução:
Ambos os dispositivos FTD são registrados já no FMC segundo as indicações da imagem.
Etapa 1. A fim configurar o Failover FTD, para navegar aos dispositivos > ao Gerenciamento de dispositivos e a seleto adicionar a Alta disponibilidade segundo as indicações da imagem.
Etapa 2. Inscreva o peer principal e o par secundário e seleto continua segundo as indicações da imagem.
Condições
A fim criar um HA entre 2 dispositivos FTD, estas circunstâncias devem ser estadas conformes:
- O mesmo modelo
- A mesma versão (isto se aplica aos FXO e a FTD - (o major (primeiro número), o menor (segundo número), e a manutenção (terceiro número) devem ser iguais))
- O mesmo número de relações
- O mesmo tipo de relações
- Ambos os dispositivos como parte do mesmo grupo/domínio em FMC
- Tenha a configuração idêntica do Network Time Protocol (NTP)
- É distribuído inteiramente no FMC sem as mudanças descomprometidos
- Reaja do mesmo modo de firewall: roteado ou transparente.
- Note que isto deve ser verificado nos dispositivos FTD e no FMC GUI desde que houve os casos onde o FTDs teve o mesmo modo, mas FMC não reflete este.
- Não tem o Point-to-Point Protocol sobre Ethernet (PPPoE) DHCP configurado em alguma da relação
- Hostname diferente (nome de domínio totalmente qualificado (FQDN)) para ambos os chassis. A fim verificar o hostname do chassi navegue a FTD CLI e execute este comando
firepower# show chassis-management-url https://KSEC-FPR9K-1.cisco.com:443//
firepower# show chassis detail Chassis URL : https://KSEC-FPR4100-1:443// Chassis IP : 192.0.2.1 Chassis Serial Number : JMX12345678 Security Module : 1
Se ambos os chassis têm o mesmo nome, mude o nome em um deles com o uso destes comandos:
KSEC-FPR9K-1-A# scope system KSEC-FPR9K-1-A /system # set name FPR9K-1new Warning: System name modification changes FC zone name and redeploys them non-disruptively KSEC-FPR9K-1-A /system* # commit-buffer FPR9K-1-A /system # exit FPR9K-1new-A#
Depois que você muda o nome do chassi, o unregister o FTD do FMC e registrar-lo outra vez. Então, continue com a criação de pares HA.
Etapa 3. Configurar o HA e indique os ajustes das relações.
Em seu caso, a relação do estado tem os mesmos ajustes que a Alta disponibilidade da relação.
Seleto adicionar e espere por alguns minutos pelos pares HA a ser distribuídos segundo as indicações da imagem.
Etapa 4. Configurar as interfaces de dados (preliminares e os endereços IP em standby)
Do FMC GUI, selecione o HA editam segundo as indicações da imagem.
Etapa 5. Configurar os ajustes da relação segundo as indicações das imagens.
Ethernet 1/5 de relação.
Ethernet 1/6 de relação.
Etapa 6. Navegue à Alta disponibilidade e selecione o nome da relação editam para adicionar os endereços IP em standby segundo as indicações da imagem.
Passo 7. Para a interface interna segundo as indicações da imagem.
Etapa 8. Faça o mesmos para a interface externa.
Etapa 9. Verifique o resultado segundo as indicações da imagem.
Etapa 10. Ficar na Alta disponibilidade da aba e configurar endereços virtuais MAC segundo as indicações da imagem.
Etapa 11. Para a interface interna é segundo as indicações da imagem.
Etapa 12. Faça o mesmos para a interface externa.
Etapa 13. Verifique o resultado segundo as indicações da imagem.
Etapa 14. Depois que você configura as mudanças, selecione a salvaguarda e distribua-a.
A tarefa 3. verifica FTD HA e licença
Exigência da tarefa:
Verifique os ajustes FTD HA e as licenças permitidas do FMC GUI e de FTD CLI.
Solução:
Etapa 1. Navegue ao sumário e verifique os ajustes HA e as licenças permitidas segundo as indicações da imagem.
Etapa 2. Do FTD CLISH CLI, execute estes comandos:
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http Version: Ours 9.6(1), Mate 9.6(1) Serial Number: Ours FLM19267A63, Mate FLM19206H7T Last Failover at: 18:32:38 EEST Jul 21 2016 This host: Primary - Active Active time: 3505 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Other host: Secondary - Standby Ready Active time: 172 (sec) slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys) Interface diagnostic (0.0.0.0): Normal (Waiting) slot 1: snort rev (1.0) status (up) slot 2: diskstatus rev (1.0) status (up) Stateful Failover Logical Update Statistics Link : fover_link Ethernet1/4 (up) Stateful Obj xmit xerr rcv rerr General 417 0 416 0 sys cmd 416 0 416 0 up time 0 0 0 0 RPC services 0 0 0 0 TCP conn 0 0 0 0 UDP conn 0 0 0 0 ARP tbl 0 0 0 0 Xlate_Timeout 0 0 0 0 IPv6 ND tbl 0 0 0 0 VPN IKEv1 SA 0 0 0 0 VPN IKEv1 P2 0 0 0 0 VPN IKEv2 SA 0 0 0 0 VPN IKEv2 P2 0 0 0 0 VPN CTCP upd 0 0 0 0 VPN SDI upd 0 0 0 0 VPN DHCP upd 0 0 0 0 SIP Session 0 0 0 0 SIP Tx 0 0 0 0 SIP Pinhole 0 0 0 0 Route Session 0 0 0 0 Router ID 0 0 0 0 User-Identity 1 0 0 0 CTS SGTNAME 0 0 0 0 CTS PAC 0 0 0 0 TrustSec-SXP 0 0 0 0 IPv6 Route 0 0 0 0 STS Table 0 0 0 0 Logical Update Queue Information Cur Max Total Recv Q: 0 10 416 Xmit Q: 0 11 2118 >
Etapa 3. Faça o mesmos no dispositivo secundário.
Etapa 4. Execute o comando do estado do Failover da mostra da LINA CLI:
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
Etapa 5. Verifique a configuração da unidade primária (LINA CLI):
firepower# show running-config failover failover failover lan unit primary failover lan interface fover_link Ethernet1/4 failover replication http failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 failover link fover_link Ethernet1/4 failover interface ip fover_link 1.1.1.1 255.255.255.0 standby 1.1.1.2 firepower# firepower# show running-config interface ! interface Ethernet1/2 management-only nameif diagnostic security-level 0 no ip address ! interface Ethernet1/4 description LAN/STATE Failover Interface ! interface Ethernet1/5 nameif Inside security-level 0 ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 ! interface Ethernet1/6 nameif Outside security-level 0 ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 firepower#
Encarregue o interruptor 4. os papéis do Failover
Exigência da tarefa:
Do FMC, comute os papéis do Failover de preliminar/Active, secundário/apoio a preliminar/apoio, secundário/Active
Solução:
Etapa 1. Selecione o ícone segundo as indicações da imagem.
Etapa 2. Confirme a ação na janela pop-up segundo as indicações da imagem.
Etapa 3. Verifique o resultado segundo as indicações da imagem.
Da LINA CLI, você pode ver que o comando no failover ative esteve executado no preliminar/unidade ativa:
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command. Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed 'no failover active'
Você pode igualmente verificá-lo no comando history do Failover da mostra output:
firepower# show failover history ========================================================================== From State To State Reason 10:39:26 EEST Jul 22 2016 Active Standby Ready Set by the config command
Etapa 4. Após a verificação, faça o Active da unidade primária outra vez.
Ruptura da tarefa 5. os pares HA
Exigência da tarefa:
Do FMC, quebre o par de failover.
Solução:
Etapa 1. Selecione o ícone segundo as indicações da imagem.
Etapa 2. Verifique a notificação segundo as indicações da imagem.
Etapa 3. Note a mensagem segundo as indicações da imagem.
Etapa 4. Verifique o resultado do FMC GUI segundo as indicações da imagem.
mostre a executar-configuração na unidade primária antes e depois de que a ruptura HA:
| Antes da ruptura HA | Após a ruptura HA |
| sh run do firepower# : Salvar : : Número de série: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 relação do Failover da descrição LAN/STATE ! relação Ethernet1/5 nameif para dentro nível de segurança 0 apoio 192.168.75.11 de 255.255.255.0 do endereço IP 192.168.75.10 ! relação Ethernet1/6 nameif fora nível de segurança 0 apoio 192.168.76.11 de 255.255.255.0 do endereço IP 192.168.76.10 ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp apoio de registro tamanho de buffer de registro 100000 logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 diagnóstico 1500 MTU MTU dentro de 1500 MTU fora de 1500 Failover unidade lan do Failover preliminar fover_link Ethernet1/4 da relação lan do Failover HTTP da replicação do Failover MAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 do Failover MAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 do Failover fover_link Ethernet1/4 do link failover apoio 1.1.1.2 de 1.1.1.1 255.255.255.0 do fover_link IP da relação do Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:933c594fc0264082edc0f24bad358031 : extremidade firepower# |
sh run do firepower# : Salvar : : Número de série: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 nenhum nameif nenhum nível de segurança no ip address ! relação Ethernet1/5 nameif para dentro nível de segurança 0 apoio 192.168.75.11 de 255.255.255.0 do endereço IP 192.168.75.10 ! relação Ethernet1/6 nameif fora nível de segurança 0 apoio 192.168.76.11 de 255.255.255.0 do endereço IP 192.168.76.10 ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp apoio de registro tamanho de buffer de registro 100000 logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 diagnóstico 1500 MTU MTU dentro de 1500 MTU fora de 1500 nenhum Failover nenhum módulo de serviço da monitor-relação tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:fb6f5c369dee730b9125650517dbb059 : extremidade firepower# |
a executar-configuração da mostra na unidade secundária antes e depois da ruptura HA está segundo as indicações da tabela aqui.
| Antes da ruptura HA | Após a ruptura HA |
| sh run do firepower# : Salvar : : Número de série: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 relação do Failover da descrição LAN/STATE ! relação Ethernet1/5 nameif para dentro nível de segurança 0 apoio 192.168.75.11 de 255.255.255.0 do endereço IP 192.168.75.10 ! relação Ethernet1/6 nameif fora nível de segurança 0 apoio 192.168.76.11 de 255.255.255.0 do endereço IP 192.168.76.10 ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp apoio de registro tamanho de buffer de registro 100000 logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 diagnóstico 1500 MTU MTU dentro de 1500 MTU fora de 1500 Failover unidade lan do Failover secundária fover_link Ethernet1/4 da relação lan do Failover HTTP da replicação do Failover MAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 do Failover MAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 do Failover fover_link Ethernet1/4 do link failover apoio 1.1.1.2 de 1.1.1.1 255.255.255.0 do fover_link IP da relação do Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 LOCAL do padrão-domínio da USER-identidade inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : extremidade firepower# |
sh run do firepower# : Salvar : : Número de série: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação Ethernet1/5 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação Ethernet1/6 parada programada nenhum nameif nenhum nível de segurança no ip address ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper nenhum mensagem de registro 106015 nenhum mensagem de registro 313001 nenhum mensagem de registro 313008 nenhum mensagem de registro 106023 nenhum mensagem de registro 710003 nenhum mensagem de registro 106100 nenhum mensagem de registro 302015 nenhum mensagem de registro 302014 nenhum mensagem de registro 302013 nenhum mensagem de registro 302018 nenhum mensagem de registro 302017 nenhum mensagem de registro 302016 nenhum mensagem de registro 302021 nenhum mensagem de registro 302020 diagnóstico 1500 MTU nenhum Failover nenhum módulo de serviço da monitor-relação tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3 : extremidade firepower# |
Pontos principais a notar para a ruptura HA:
| Unidade primária | Unidade secundária |
| Toda a configuração do Failover é removida Os IP à espera permanecem |
Toda a configuração é removida |
Etapa 5. Depois que você termina esta tarefa, recreie os pares HA.
Pares da inutilização HA da tarefa 6.
Exigência da tarefa:
Do FMC, desabilite o par de failover.
Solução:
Etapa 1. Selecione o ícone segundo as indicações da imagem.
Etapa 2. Verifique a notificação e confirme-a segundo as indicações da imagem.
Etapa 3. Depois que você suprime do HA, ambos os dispositivos são não registrados (removido) do FMC.
o resultado da executar-configuração da mostra da LINA CLI está segundo as indicações da tabela aqui:
| Unidade primária | Unidade secundária |
| sh run do firepower# : Salvar : : Número de série: FLM19267A63 : Hardware: FPR9K-SM-36, 135839 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 relação do Failover da descrição LAN/STATE ! relação Ethernet1/5 nameif para dentro nível de segurança 0 apoio 192.168.75.11 de 255.255.255.0 do endereço IP 192.168.75.10 ! relação Ethernet1/6 nameif fora nível de segurança 0 apoio 192.168.76.11 de 255.255.255.0 do endereço IP 192.168.76.10 ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp apoio de registro tamanho de buffer de registro 100000 logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 diagnóstico 1500 MTU MTU dentro de 1500 MTU fora de 1500 Failover unidade lan do Failover preliminar fover_link Ethernet1/4 da relação lan do Failover HTTP da replicação do Failover MAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 do Failover MAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 do Failover fover_link Ethernet1/4 do link failover apoio 1.1.1.2 de 1.1.1.1 255.255.255.0 do fover_link IP da relação do Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:933c594fc0264082edc0f24bad358031 : extremidade firepower# |
sh run do firepower# : Salvar : : Número de série: FLM19206H7T : Hardware: FPR9K-SM-36, 135841 MB RAM, E5 Series CPU Xeon 2294 megahertz, 2 CPU (72 núcleos) : Versão 6.0.1.1 NGFW ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes ! relação Ethernet1/2 Gerenciamento-somente diagnóstico do nameif nível de segurança 0 no ip address ! relação Ethernet1/4 relação do Failover da descrição LAN/STATE ! relação Ethernet1/5 nameif para dentro nível de segurança 0 apoio 192.168.75.11 de 255.255.255.0 do endereço IP 192.168.75.10 ! relação Ethernet1/6 nameif fora nível de segurança 0 apoio 192.168.76.11 de 255.255.255.0 do endereço IP 192.168.76.10 ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Mandatory/1 regra-identificação 268447744 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: Allow_ICMP ICMP avançado CSM_FW_ACL_ da licença da lista de acesso algum algum regra-identificação 268447744 log de eventos ambos regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD9300 - Default/1 regra-identificação 268441600 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268441600 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 255 das TCP-opções reserva a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp apoio de registro tamanho de buffer de registro 100000 logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 diagnóstico 1500 MTU MTU dentro de 1500 MTU fora de 1500 Failover unidade lan do Failover secundária fover_link Ethernet1/4 da relação lan do Failover HTTP da replicação do Failover MAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 do Failover MAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 do Failover fover_link Ethernet1/4 do link failover apoio 1.1.1.2 de 1.1.1.1 255.255.255.0 do fover_link IP da relação do Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite arp timeout 14400 nenhuma licença-nonconnected arp acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 LOCAL do padrão-domínio da USER-identidade inutilização do proxy-limite aaa nenhum lugar do SNMP-server nenhum contato do SNMP-server nenhum SNMP-server permite o warmstart do coldstart do linkdown da associação da autenticação SNMP das armadilhas PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 stricthostkeycheck do ssh intervalo 5 do ssh grupo dh-group1-sha1 das trocas de chave do ssh intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84 : extremidade firepower# |
Etapa 4. Ambos os dispositivos FTD eram não registrados do FMC:
> show managers No managers configured.
Pontos principais a notar para a opção da inutilização HA em FMC:
| Unidade primária | Unidade secundária |
| O dispositivo é removido do FMC. Nenhuma configuração é removida do dispositivo FTD |
O dispositivo é removido do FMC. Nenhuma configuração é removida do dispositivo FTD |
Etapa 5. Execute este comando remover a configuração do Failover dos dispositivos FTD:
> configure high-availability disable High-availability will be disabled. Do you really want to continue? Please enter 'YES' or 'NO': yes Successfully disabled high-availability.
O resultado:
| Unidade primária |
Unidade secundária |
| > mostre o Failover Failover fora |
> mostre o Failover > |
| Preliminar |
Secundário |
| corrida da mostra do firepower# ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes arp timeout 14400 nenhuma licença-nonconnected arp taxa-limite 16384 arp ! relação GigabitEthernet1/1 nameif fora cts manuais conserva-untag do sgt da propagação enfermos estáticos do sgt da política confiados nível de segurança 0 endereço IP 10.1.1.1 255.255.255.0 <-- o IP à espera foi removido ! interface GigabitEthernet1/2 nameif para dentro cts manuais conserva-untag do sgt da propagação enfermos estáticos do sgt da política confiados nível de segurança 0 endereço IP 192.168.1.1 255.255.255.0 <-- o IP à espera foi removido ! relação GigabitEthernet1/3 relação do Failover da descrição LAN ! relação GigabitEthernet1/4 relação do Failover do ESTADO da descrição ! relação GigabitEthernet1/5 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/6 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/7 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/8 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação Management1/1 Gerenciamento-somente diagnóstico do nameif cts manuais conserva-untag do sgt da propagação enfermos estáticos do sgt da política confiados nível de segurança 0 no ip address ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 9998 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA PREFILTER: Túnel e política de prioridade do padrão regra-identificação 9998 da observação da lista de acesso CSM_FW_ACL_: REGRA: REGRA DA AÇÃO DO TÚNEL DO PADRÃO ipinip avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 licença avançada CSM_FW_ACL_ 41 da lista de acesso alguma regra-identificação 9998 gre avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 UDP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 do eq 3544 regra-identificação 268435456 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD_HA - Default/1 regra-identificação 268435456 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268435456 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 18 das TCP-opções reserva a escala 20 255 das TCP-opções reserva as TCP-opções md5 cancelam a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 nenhum mensagem de registro 106015 nenhum mensagem de registro 313001 nenhum mensagem de registro 313008 nenhum mensagem de registro 106023 nenhum mensagem de registro 710005 nenhum mensagem de registro 710003 nenhum mensagem de registro 106100 nenhum mensagem de registro 302015 nenhum mensagem de registro 302014 nenhum mensagem de registro 302013 nenhum mensagem de registro 302018 nenhum mensagem de registro 302017 nenhum mensagem de registro 302016 nenhum mensagem de registro 302021 nenhum mensagem de registro 302020 MTU fora de 1500 MTU dentro de 1500 diagnóstico 1500 MTU nenhum Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 CONN-holddown 0:00:15 do intervalo inutilização do proxy-limite aaa versão 2c exterior do ***** da comunidade de 192.168.1.100 do host do SNMP-server nenhum lugar do SNMP-server nenhum contato do SNMP-server ***** da comunidade do SNMP-server preste serviços de manutenção ao SW-restauração-botão PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem nenhuma TCP-inspeção o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o esmtp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:768a03e90b9d3539773b9d7af66b3452 |
corrida da mostra do firepower# ! hostname firePOWER permita a senha 8Ry2YjIyt7RRXU24 cifrada nomes arp timeout 14400 nenhuma licença-nonconnected arp taxa-limite 16384 arp ! relação GigabitEthernet1/1 parada programada nenhum nameif nenhum nível de segurança no ip address ! interface GigabitEthernet1/2 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/3 relação do Failover da descrição LAN ! relação GigabitEthernet1/4 relação do Failover do ESTADO da descrição ! relação GigabitEthernet1/5 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/6 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/7 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação GigabitEthernet1/8 parada programada nenhum nameif nenhum nível de segurança no ip address ! relação Management1/1 Gerenciamento-somente diagnóstico do nameif cts manuais conserva-untag do sgt da propagação enfermos estáticos do sgt da política confiados nível de segurança 0 no ip address ! voz passiva do modo ftp VLAN-identificação do CONN-fósforo dos ngips regra-identificação 9998 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA PREFILTER: Túnel e política de prioridade do padrão regra-identificação 9998 da observação da lista de acesso CSM_FW_ACL_: REGRA: REGRA DA AÇÃO DO TÚNEL DO PADRÃO ipinip avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 licença avançada CSM_FW_ACL_ 41 da lista de acesso alguma regra-identificação 9998 gre avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 UDP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 9998 do eq 3544 regra-identificação 268435456 da observação da lista de acesso CSM_FW_ACL_: POLÍTICA DE ACESSO: FTD_HA - Default/1 regra-identificação 268435456 da observação da lista de acesso CSM_FW_ACL_: REGRA L4: REGRA DA AÇÃO PADRÃO IP avançado CSM_FW_ACL_ da licença da lista de acesso alguma alguma regra-identificação 268435456 ! TCP-mapa UM_STATIC_TCP_MAP a escala 6 7 das TCP-opções reserva a escala 9 18 das TCP-opções reserva a escala 20 255 das TCP-opções reserva as TCP-opções md5 cancelam a urgente-bandeira reserva ! nenhum biper registrar permite logging timestamp logging buffered debugging registrando 1024 flash-mínimo-livres flash-máximo-atribuição de registro 3076 nenhum mensagem de registro 106015 nenhum mensagem de registro 313001 nenhum mensagem de registro 313008 nenhum mensagem de registro 106023 nenhum mensagem de registro 710005 nenhum mensagem de registro 710003 nenhum mensagem de registro 106100 nenhum mensagem de registro 302015 nenhum mensagem de registro 302014 nenhum mensagem de registro 302013 nenhum mensagem de registro 302018 nenhum mensagem de registro 302017 nenhum mensagem de registro 302016 nenhum mensagem de registro 302021 nenhum mensagem de registro 302020 MTU fora de 1500 MTU dentro de 1500 diagnóstico 1500 MTU nenhum Failover unidade lan do Failover secundária relação FOVER GigabitEthernet1/3 lan do Failover HTTP da replicação do Failover ESTADO GigabitEthernet1/4 do link failover apoio 1.1.1.2 IP FOVER 1.1.1.1 255.255.255.0 da relação do Failover apoio 2.2.2.2 de 2.2.2.1 255.255.255.0 do ESTADO IP da relação do Failover tamanho de intermitência 1 do taxa-limite 1 do ICMP não alcançável nenhuma história do asdm permite acesso-grupo CSM_FW_ACL_ global timeout xlate 3:00:00 pancadinha-xlate 0:00:30 do intervalo ICMP entreaberto 0:00:02 do sctp 0:02:00 UDP 0:02:00 conexão 1:00:00 0:10:00 do intervalo MGCP-pancadinha 0:05:00 do mgcp 0:05:00 do sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 do intervalo o sip_media 0:02:00 do sorvo 0:30:00 do intervalo sorvo-convida a sorvo-disconexão 0:02:00 de 0:03:00 absolute do uauth 0:05:00 dos sorvo-provisório-media 0:02:00 do intervalo TCP-proxy-remontagem 0:00:30 do intervalo intervalo flutuar-CONN 0:00:00 CONN-holddown 0:00:15 do intervalo LOCAL do padrão-domínio da USER-identidade inutilização do proxy-limite aaa versão 2c exterior do ***** da comunidade de 192.168.1.100 do host do SNMP-server nenhum lugar do SNMP-server nenhum contato do SNMP-server ***** da comunidade do SNMP-server preste serviços de manutenção ao SW-restauração-botão PMTU-envelhecimento cripto da associação de segurança IPSec infinito política cripto do trustpool Ca Timeout da Telnet 5 intervalo 0 do console dinâmico-acesso-política-registro DfltAccessPolicy ! inspection_default do mapa de classe padrão-inspeção-tráfego do fósforo ! ! o tipo do mapa de política inspeciona o preset_dns_map dns parâmetros automóvel do cliente máximo do tamanho da mensagem máximo 512 do tamanho da mensagem nenhuma TCP-inspeção o tipo do mapa de política inspeciona as IP-opções UM_STATIC_IP_OPTIONS_MAP parâmetros a ação do eool reserva a ação do nop reserva a ação da alerta de roteador reserva global_policy do mapa de política inspection_default da classe inspecione o preset_dns_map dns inspecione o ftp inspecione h323 h225 inspecione os ras h323 inspecione o rsh inspecione o rtsp inspecione o esmtp inspecione o sqlnet inspecione magro inspecione o sunrpc inspecione o xdmcp inspecione o sorvo inspecione netbios inspecione tftp inspecione o ICMP inspecione o erro ICMP inspecione o dcerpc inspecione as IP-opções UM_STATIC_IP_OPTIONS_MAP class class-default ajuste as avançado-opções UM_STATIC_TCP_MAP da conexão ! global_policy da serviço-política global contexto alerta do hostname call-home perfil CiscoTAC-1 não ativo HTTP https://tools.cisco.com/its/service/oddce/services/DDCEService do endereço de destino email callhome@cisco.com do endereço de destino HTTP do transporte-método do destino diagnóstico do subscrever-à-alerta-grupo ambiente do subscrever-à-alerta-grupo revista mensal periódica do inventário do subscrever-à-alerta-grupo revista mensal periódica da configuração do subscrever-à-alerta-grupo diário periódico da telemetria do subscrever-à-alerta-grupo Cryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f |
Pontos principais a notar para a inutilização HA de FTD CLI:
| Unidade primária |
Unidade secundária |
| A configuração do Failover e os IPs à espera são removidos |
|
Etapa 6. Depois que você termina a tarefa, registrar os dispositivos ao FMC e permita pares HA.
A tarefa 7. suspende o HA
Exigência da tarefa:
Suspenda o HA do FTD CLISH CLI
Solução:
Etapa1. No FTD preliminar, execute o comando e confirme-o (tipo YE).
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
Etapa 2. Verifique as mudanças na unidade primária:
> show high-availability config Failover Off Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Etapa 3. O resultado na unidade secundária:
> show high-availability config Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Etapa 4. Resumo HA na unidade primária:
> configure high-availability resume Successfully resumed high-availablity. > . No Active mate detected !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Beginning configuration replication: Sending to mate. End Configuration Replication to mate >
> show high-availability config Failover On Failover unit Primary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http
Etapa 5. O resultado na unidade secundária depois que você recomeça o HA:
> .. Detected an Active mate Beginning configuration replication from mate. WARNING: Failover is enabled but standby IP address is not configured for this interface. WARNING: Failover is enabled but standby IP address is not configured for this interface. End configuration replication from mate. >
> show high-availability config Failover On Failover unit Secondary Failover LAN Interface: fover_link Ethernet1/4 (up) Reconnect timeout 0:00:00 Unit Poll frequency 1 seconds, holdtime 15 seconds Interface Poll frequency 5 seconds, holdtime 25 seconds Interface Policy 1 Monitored Interfaces 1 of 1041 maximum MAC Address Move Notification Interval not set failover replication http >
Perguntas frequentemente feitas (FAQ)
Quando a configuração replicated é salvar imediatamente (linha-por-linha) ou na extremidade da replicação?
Na extremidade da replicação. A evidência está na extremidade do comando synchronization do fover debugar output que mostra a replicação da configuração/comando:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578 cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE ... cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077 cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6 cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2 cli_xml_server: frep_write_cmd: Cmd: write memory <--
Que acontece se uma unidade está no estado pseudo--à espera (Failover desabilitado) e então você recarrega-o quando a outra unidade tiver o Failover permitido e a é ativa?
Você termina acima encenação ativa/ativa (embora é tecnicamente um Active/Failover-fora). Especificamente, uma vez que a unidade vem ACIMA do Failover é desabilitado, mas a unidade usa o mesmo IPs que a unidade ativa. Tão eficazmente, você tem:
- Unit-1: Ativo
- Unit-2: o Failover está. A unidade usa os mesmos dados IPs que o Unit-1, mas endereços diferentes MAC.
Que acontece à configuração do Failover se você desabilita manualmente o Failover (configurar o requisito de alta disponibilidade suspendem) e então você recarrega o dispositivo?
Quando você desabilita o Failover não é uma mudança permanente (não salvar na partida-configuração a menos que você decidir fazer explicitamente este). Note que você pode recarregar/reload a unidade em 2 maneiras diferentes e com a segunda maneira você deve ser cuidadoso:
Encaixote 1. repartições de CLISH
A repartição de CLISH não pede a confirmação. Assim, a alteração de configuração não salvar na partida-configuração:
> configure high-availability suspend Please ensure that no deployment operation is in progress before suspending high-availability. Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES Successfully suspended high-availability.
A configuração running tem o Failover desabilitado. Neste caso a unidade era à espera e conseguida no estado pseudo--à espera como esperado a fim evitar encenação ativa/ativa:
firepower# show failover | include Failover Failover Off (pseudo-Standby) Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
A configuração de inicialização tem o Failover ainda permitido:
firepower# show startup | include failover failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Recarregue o dispositivo de CLISH (comando reboot):
> reboot This command will reboot the system. Continue? Please enter 'YES' or 'NO': YES Broadcast message from root@ Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG='' Cisco FTD stopping ...
Uma vez que a unidade está ACIMA, desde que o Failover está permitido, o dispositivo incorpora a fase de negociação do Failover e tenta-a detectar o peer remoto:
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
Repartição do caso 2. de LINA CLI
A repartição de LINA (comando reload) pede a confirmação. Assim, caso que você seleciona o [Y] es a alteração de configuração salvar na partida-configuração:
firepower# reload System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the failover in the startup-config Cryptochecksum: 31857237 8658f618 3234be7c 854d583a 8781 bytes copied in 0.940 secs Proceed with reload? [confirm] firepower# show startup | include failover no failover failover lan unit secondary failover lan interface FOVER Ethernet1/1 failover replication http failover link FOVER Ethernet1/1 failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2 failover ipsec pre-shared-key *****
Uma vez que a unidade é ACIMA do Failover é desabilitada:
firepower# show failover | include Fail Failover Off Failover unit Secondary Failover LAN Interface: FOVER Ethernet1/1 (up)
Informações Relacionadas
- Todas as versões do manual de configuração do centro de gerenciamento de Cisco FirePOWER podem ser encontradas aqui
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280
- Todas as versões dos guias do gerente e de configuração de CLI do chassi FXO podem ser encontradas aqui
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950
- O centro de assistência técnica (TAC) global de Cisco recomenda fortemente este guia visual para o conhecimento prático detalhado em tecnologias de segurança da próxima geração de Cisco FirePOWER, incluindo esses mencionados neste artigo.
http://www.ciscopress.com/title/9781587144806
- Para toda a configuração e pesquise defeitos TechNotes que se refere as Tecnologias de FirePOWER
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)