Configurar a alta disponibilidade do FTD em dispositivos Firepower

Opções de download

  • PDF     (1.0 MB)
    Ver no Adobe Reader em vários dispositivos
Atualizado:5 de junho de 2026
ID do documento:212699

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introdução

Este documento descreve como configurar e verificar o Firepower Threat Defense (FTD) High Availability (HA) em dispositivos Firepower.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • 2x Cisco Firepower 9300
  • 2x Cisco Firepower 4100 (7.2.8)
  • Firepower Management Center (FMC) (7.2.8)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Note: Em um dispositivo FPR9300 com FTD, você pode configurar somente HA entre chassis. As duas unidades em uma configuração de HA devem atender às condições mencionadas aqui.

Tarefa 1. Verificar Condições

Requisito da tarefa:

Verifique se ambos os dispositivos FTD atendem aos requisitos da nota e podem ser configurados como unidades HA.

Solução:

Etapa 1. Conecte-se ao IP de gerenciamento FPR9300 e verifique o hardware do módulo.

Verifique o hardware do FPR9300-1:

KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

Verifique o hardware do FPR9300-2:

KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

Etapa 2. Efetue login no Gerenciador de chassi do FPR9300-1 e navegue até Dispositivos lógicos.

Etapa 3. Verificar a versão do software, o número e o tipo de interface.

Tarefa 2. Configurar FTD HA

Requisito da tarefa:

Etapa 1. Configurar o failover ativo/em standby (HA) de acordo com o diagrama. Nesse caso, um par 41xx é usado.

Primary and Secondary FTD

Solução

Ambos os dispositivos de FTD estão registrados no FMC.

Firepower Security Modules

Etapa 1. Para configurar o failover de FTD, navegue até Devices > Device Management e escolha Add High Availability.

High Availability Drop-Down Menu

Etapa 2. Informe o Correspondente Primário e o Correspondente Secundário e escolha Continuar.

Add High Availability Pair

aviso: Certifique-se de selecionar a unidade correta como a unidade primária. Todas as configurações na unidade primária selecionada são replicadas na unidade FTD secundária selecionada. Como resultado da replicação, a configuração atual na unidade secundária pode ser substituída.

Condições

Para criar um HA entre 2 dispositivos FTD, estas condições devem ser atendidas:

  • O mesmo modelo
  • A mesma versão se aplica ao FXOS e ao FTD - principal (primeiro número), secundário (segundo número) e manutenção (terceiro número) devem ser iguais.
  • O mesmo número de interfaces
  • O mesmo tipo de interfaces
  • Ambos os dispositivos como parte do mesmo grupo/domínio no FMC
  • Possuir configurações idênticas de Network Time Protocol (NTP)
  • Devem ser totalmente instalados no CVP sem alterações não confirmadas
  • Deve estar no mesmo modo de firewall: roteado ou transparente
note-icon

Note: Este fato deve ser verificado nos dispositivos do FTD e na interface gráfica do FMC, uma vez que houve casos em que os FTD tinham o mesmo modo, mas o FMC não o reflete.

  • Não tem DHCP/Point-to-Point Protocol over Ethernet (PPPoE) configurado em nenhuma das interfaces.
  • Nome de host diferente [Fully Qualified Domain Name (FQDN)] para ambos os chassis. Para verificar o nome de host do chassi, navegue até FTD CLI e execute este comando:
firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Note: No FTD pós-6.3, use o comando show chassis detail.

Firepower-module1# show chassis detail 
Chassis URL : https://FP4100-5:443// 
Chassis IP : 10.62.148.187 
Chassis IPv6 : :: 
Chassis Serial Number : JAD19500BAB 
Security Module : 1

Se ambos os chassis tiverem o mesmo nome, altere o nome de um deles com este comando:

KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

Depois de alterar o nome do chassi, cancele o registro do FTD no FMC e registre-o novamente. Em seguida, continue a criação do par de HA.

Etapa 3. Configurar o HA e definir as configurações dos links.

Nesse caso, o link de estado tem as mesmas configurações que o link de alta disponibilidade.

Etapa 4. Escolha Add e aguarde alguns minutos para que o par HA seja implantado.

Add High Availability Pair + Link

Etapa 5. Configurar as interfaces de dados (endereços IP principal e standby).

Etapa 6. Na GUI do FMC, selecione HA Edit.

FTD Primary, Active and FTD Secondary, Standby

Etapa 7. Definir as configurações da interface:

Edit Mode for Physical Interface

Edit Mode for Physical Interface IP Address

No caso de uma subinterface, você deve habilitar a interface pai:

Edit Mode for Ether Channel Interface

Etapa 8. Navegue até High Availability e escolha o Interface Name, clique em Edit para adicionar os endereços IP de standby.

Firewall Management Center

Edit Inside

Etapa 9. Conclua as mesmas etapas para a Interface Externa.

Etapa 10. Verifique os resultados.

Monitored Interfaces - Standby IPv4

Etapa 11. Fique na guia High Availability (Alta disponibilidade) e configure os endereços MAC virtuais.

Interface MAC Addresses

Etapa 12. Imagem da interface interna.

Add Interface MAC Addresses

Etapa 13. Conclua as mesmas etapas para a Interface Externa.

Etapa 14. Verifique os resultados.

Interface MAC Addresses - Active MAC Addresses and Standby MAC Addresses

Etapa 15. Depois de configurar as alterações, escolha Salvar e Implantar.

Tarefa 3. Verificar a HA e a Licença do FTD

Requisito da tarefa:

Verifique as configurações de HA do FTD e habilite as Licenças da GUI do FMC e da CLI do FTD.

Solução:

Etapa 1. Navegue até Resumo, verifique as configurações de HA e habilite as Licenças.

Firewall Management Center Summary

Etapa 2. Na CLI FTD CLISH, execute o comando show high-availability config ou show failover:

> show high-availability config 
Failover On 
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
Last Failover at: 08:46:30 UTC Jul 18 2024
        This host: Primary - Active 
                Active time: 1999 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.10): Link Down (Shutdown)
                  Interface Outside (192.168.76.10): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)
        Other host: Secondary - Standby Ready 
                Active time: 1466 (sec)
                slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                  Interface diagnostic (0.0.0.0): Normal (Waiting)
                  Interface Inside (192.168.75.11): Link Down (Shutdown)
                  Interface Outside (192.168.76.11): Normal (Not-Monitored)
                slot 1: snort rev (1.0) status (up)
                slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics
<output omitted>

Etapa 3. Execute as mesmas etapas no dispositivo secundário.

Etapa 4. Executar o comando show failover state a partir da CLI LINA:

firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

Etapa 5. Verificar as definições de configuração da Unidade Primária (LINA CLI):

> show running-config failover
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

> show running-config interface 
!
interface Port-channel2
no nameif
no security-level
no ip address
!
interface Port-channel2.202
vlan 202
nameif Outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
shutdown
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 
>

Tarefa 4. Alternar as funções de failover

Requisito da tarefa:

No FMC, alterne as funções de failover de primária/ativa, secundária/standby para primária/standby, secundária/ativa.

Solução:

Etapa 1. Selecione o ícone.

FTD Switch Active Peer

Etapa 2. Confirme a ação.

Você pode usar a saída do comando show failover history:

No novo Ative

No novo modo de espera

> show failover history
==========================================================================
Do Estado para o Motivo do Estado
==========================================================================

09:27:11 UTC Jul 18 2024
Pronto para Espera Apenas Ativo Outra unidade quer me Ativo
                                                                                                                 (Definido pelo comando config)

09:27:11 UTC Jul 18 2024
Apenas Ativo Dreno Ativo Outra unidade quer-me Ativo
                                                                                                                 (Definido pelo comando config)

09:27:11 UTC Jul 18 2024
Dreno Ativo Aplicação Ativa Config Outra unidade quer-me Ativo
                                                                                                                 (Definido pelo comando config)

09:27:11 UTC Jul 18 2024
Aplicando Ativo Config. Ativo Config. Aplicado Outra unidade quer me Ativo
                                                                                                                 (Definido pelo comando config)

09:27:11 UTC Jul 18 2024
Config. Ativa Aplicada Ativa Outra unidade quer me Ativo
                                                                                                                (Definido pelo comando config)

> show failover history
==========================================================================
Do Estado para o Motivo do Estado
==========================================================================

09:27:11 UTC Jul 18 2024
Pronto para espera ativo Definido pelo comando config
                                                                                                               (sem failover ativo)

Etapa 3. Após a verificação, ative novamente a Unidade principal.

Tarefa 5. Quebrar o par de alta disponibilidade

Requisito da tarefa:

No FMC, interrompa o par de failover.

Solução:

Etapa 1. Selecione o ícone.

Switch Active Peer Break

Etapa 2. Revise a notificação.

Confirm Break Message Notification

Etapa 3. Anote a mensagem.

High Availability Notification Message

Etapa 4. Verificar os resultados da GUI do FMC ou da CLI.

Etapa 5. Mostre running-config na unidade Primária antes e depois da quebra do HA:

Unidade principal/em espera antes da quebra de HA

Unidade primária após a quebra de HA

> show running-config
: Salvo

:
: Número de série: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname firepower
habilitar senha ***** criptografada
strong-encryption-disable
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nameif Externo
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
no ip address
!
interface Ethernet1/4
nameif Interno
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
ftp mode passive
ngips conn-match vlan-id
object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268434433: POLÍTICA DE ACESSO: acp_simple - Padrão
access-list CSM_FW_ACL_ remark rule-id 268434433: REGRA L4: REGRA DE AÇÃO PADRÃO
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
mtu Outside 1500
mtu diagnostic 1500
mtu Inside 1500
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbb.3333 aaaa.bbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<saída omitida>

> INFORMAÇÕES: Esta unidade está atualmente em estado de espera. Ao desabilitar o failover, essa unidade permanecerá no estado de espera.

> show running-config
: Salvo

:
: Número de série: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73850 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname firepower
habilitar senha ***** criptografada
strong-encryption-disable
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
fechamento
no nameif
sem nível de segurança
no ip address
!
interface Port-channel3
fechamento
no nameif
sem nível de segurança
no ip address
!
interface Ethernet1/1
somente gerenciamento
fechamento
no nameif
sem nível de segurança
no ip address
!
interface Ethernet1/4
fechamento
no nameif
sem nível de segurança
no ip address
!
ftp mode passive
ngips conn-match vlan-id
object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268439552: POLÍTICA DE ACESSO: acp_simple - Obrigatório
access-list CSM_FW_ACL_ remark rule-id 268439552: REGRA L7: rule1
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
no failover
<saída omitida>

Unidade secundária/ativa antes da quebra de HA

Unidade secundária após a quebra de HA

> show running-config
: Salvo

:
: Número de série: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname firepower
habilitar senha ***** criptografada
strong-encryption-disable
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nameif Externo
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
nível de segurança 0
no ip address
!
interface Ethernet1/4
nameif Interno
nível de segurança 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
ftp mode passive
ngips conn-match vlan-id
object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268439552: POLÍTICA DE ACESSO: acp_simple - Obrigatório
access-list CSM_FW_ACL_ remark rule-id 268439552: REGRA L7: rule1
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
mtu Outside 1500
mtu diagnostic 1500
mtu Inside 1500
failover
failover lan unit secondary
failover lan interface FOVER Port-channel3
failover replication http
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

<saída omitida>

  

> show running-config
: Salvo

:
: Número de série: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73850 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname firepower
habilitar senha ***** criptografada
strong-encryption-disable
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nameif Externo
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
no nameif
sem nível de segurança
no ip address
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
nível de segurança 0
no ip address
!
interface Ethernet1/4
nameif Interno
nível de segurança 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
ftp mode passive
ngips conn-match vlan-id
object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268439552: POLÍTICA DE ACESSO: acp_simple - Obrigatório
access-list CSM_FW_ACL_ remark rule-id 268439552: REGRA L7: rule1
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268439552
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
mtu Outside 1500
mtu diagnostic 1500
mtu Inside 1500
no failover
no monitor-interface Outside
no monitor-interface service-module

<saída omitida>

Os principais pontos a serem observados na interrupção da HA:

Unidade Principal/Standby

Unidade Secundária/Ativa
  • Todas as configurações de failover foram removidas
  • Toda a configuração IP é removida
  • Todas as configurações de failover foram removidas
  • Os IPs em espera permanecem, mas são removidos na próxima implantação

Etapa 6. Quando terminar essa tarefa, recrie o par HA.

Tarefa 6. Excluir um par HA

Esta tarefa é baseada em uma configuração de HA em 41xx usando o software 7.2.8. Neste caso, inicialmente os dispositivos estavam nestes estados:

  • Principal/Standby
  • Secundário/Ativo

Requisito da tarefa:

No FMC, exclua o par de failover.

Solução:

Etapa 1. Escolha o ícone.

FTD Switch Active Peer - Delete

Etapa 2. Revise a notificação e confirme.

FTD Switch Active Peer - Confirm Deletion Message

Etapa 3. Depois de excluir o HA, os dois dispositivos não são registrados (removidos) do FMC.

Etapa 4. Mostrar o resultado running-config da CLI LINA:

Unidade Principal (Standby)

Unidade Secundária (Ativa)

> show running-config
: Salvo

:
: Número de série: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname Firepower-module1
habilitar senha ***** criptografada
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nomese NET202
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel2.203
vlan 203
nomese NET203
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
no ip address
!
interface Ethernet1/4
nomese NET204
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
ftp mode passive
ngips conn-match vlan-id
no object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268434433: POLÍTICA DE ACESSO: acp_simple - Padrão
access-list CSM_FW_ACL_ remark rule-id 268434433: REGRA L4: REGRA DE AÇÃO PADRÃO
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
tcp-options md5 clear
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
MTU NET202 1500
MTU NET203 1500
mtu diagnostic 1500
MTU NET204 1500
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
monitor-interface NET203
icmp unreachable rate-limit 1 burst-size 1

<saída omitida>

> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Canal de porta 2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Canal de porta 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Canal de porta 2.202 NET202 172.16.202.2 255.255.255.0 CONFIG
Canal de porta 2.203 NET203 172.16.203.2 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Ethernet1/4 NET204 172.16.204.2 255.255.255.0 CONFIG

> show failover
Failover Ativado
Unidade de failover primária
Interface de LAN de failover: FOVER Port-channel3 (ativo)
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 4 de um máximo de 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido
failover replication http
Versão: Nosso 9.18(4)210, Companheiro 9.18(4)210
Número de série: Nosso FLM1949C5RR, Mate FLM2108V9YG
Último failover em: 13:56:37 UTC Jul 16 2024
Este host: Primário - Pronto para Espera
Tempo ativo: 0 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Interface NET202 (172.16.202.2): Normal (Monitorado)
Interface NET203 (172.16.203.2): Normal (Monitorado)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.2): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Outro host: Secundário - Ativo
Tempo ativo: 70293 (seg)
Interface NET202 (172.16.202.1): Normal (Monitorado)
Interface NET203 (172.16.203.1): Normal (Monitorado)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.1): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)

<saída omitida>

> show running-config
: Salvo

:
: Número de série: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname Firepower-module1
habilitar senha ***** criptografada
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nomese NET202
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel2.203
vlan 203
nomese NET203
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
no ip address
!
interface Ethernet1/4
nomese NET204
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
ftp mode passive
ngips conn-match vlan-id
no object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268434433: POLÍTICA DE ACESSO: acp_simple - Padrão
access-list CSM_FW_ACL_ remark rule-id 268434433: REGRA L4: REGRA DE AÇÃO PADRÃO
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
tcp-options md5 clear
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
MTU NET202 1500
MTU NET203 1500
mtu diagnostic 1500
MTU NET204 1500
failover
failover lan unit secondary
failover lan interface FOVER Port-channel3
failover replication http
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
monitor-interface NET202
monitor-interface NET203
icmp unreachable rate-limit 1 burst-size 1

<saída omitida>

> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Canal de porta 2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Canal de porta 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Canal de porta 2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Canal de porta 2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

> show failover
Failover Ativado
Unidade de failover Secundária
Interface de LAN de failover: FOVER Port-channel3 (ativo)
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 4 de um máximo de 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido
failover replication http
Versão: Nosso 9.18(4)210, Companheiro 9.18(4)210
Número de série: Nosso FLM2108V9YG, Mate FLM1949C5RR
Último failover em: 13:42:35 UTC Jul 16 2024
Este host: Secundário - Ativo
Tempo ativo: 70312 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Interface NET202 (172.16.202.1): Normal (Monitorado)
Interface NET203 (172.16.203.1): Normal (Monitorado)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.1): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Outro host: Primário - Pronto para Espera
Tempo ativo: 0 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Interface NET202 (172.16.202.2): Normal (Monitorado)
Interface NET203 (172.16.203.2): Normal (Monitorado)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.2): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)

<saída omitida>

Etapa 5. Ambos os dispositivos FTD não foram registrados no FMC:

> show managers
No managers configured.

Os principais pontos a serem observados para a opção Desativar HA no FMC:

Unidade primária

Unidade secundária

O dispositivo foi removido do FMC.

Nenhuma configuração foi removida do dispositivo do FTD.

O dispositivo foi removido do FMC.

Nenhuma configuração foi removida do dispositivo do FTD.

Cenário 1:

Execute o comando configure high-availability disable para remover a configuração de failover do dispositivo de FTD ativo:

> configure high-availability disable ?
Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
<cr> 
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

O resultado:

Unidade principal (ex-Standby)

Unidade secundária (ex-ativa)

> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.

> show failover
Failover Off (pseudo-Standby)
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset

> show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1291 maximum
MAC Address Move Notification Interval not set

> show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

Principal (ex-Standby)

Secundário (ex-Ativo)

> show running-config
: Salvo

:
: Número de série: FLM1949C5RR
: Hardware: FPR4K-SM-24, 73853 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname Firepower-module1
habilitar senha ***** criptografada
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
fechamento
no nameif
sem nível de segurança
no ip address <- os IPs são removidos
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
somente gerenciamento
fechamento
no nameif
sem nível de segurança
no ip address
!
interface Ethernet1/4
fechamento
no nameif
sem nível de segurança
no ip address
!
ftp mode passive
ngips conn-match vlan-id
no object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268434433: POLÍTICA DE ACESSO: acp_simple - Padrão
access-list CSM_FW_ACL_ remark rule-id 268434433: REGRA L4: REGRA DE AÇÃO PADRÃO
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
tcp-options md5 clear
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
no failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
no monitor-interface service-module

<saída omitida>

> show running-config
: Salvo

:
: Número de série: FLM2108V9YG
: Hardware: FPR4K-SM-24, 73853 MB de RAM, CPU Xeon série E5 2200 MHz, 2 CPUs (48 núcleos)
:
NGFW versão 7.2.8
!
hostname Firepower-module1
habilitar senha ***** criptografada
strong-encryption-disable
no asp inspect-dp ack-passthrough
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
nomes
no mac-address auto

!
interface Port-channel2
no nameif
sem nível de segurança
no ip address
!
interface Port-channel2.202
vlan 202
nomese NET202
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.202.1 255.255.255.0 standby 172.16.202.2
!
interface Port-channel2.203
vlan 203
nomese NET203
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.203.1 255.255.255.0 standby 172.16.203.2
!
interface Port-channel3
no nameif
sem nível de segurança
no ip address
!
interface Ethernet1/1
somente gerenciamento
diagnóstico de nameif
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
no ip address
!
interface Ethernet1/4
nomese NET204
manual cts
propagate sgt preserve-untag
policy static sgt disabled trusted
nível de segurança 0
ip address 172.16.204.1 255.255.255.0 standby 172.16.204.2
!
ftp mode passive
ngips conn-match vlan-id
no object-group-search access-control
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ remark rule-id 9998: POLÍTICA DE PRÉ-FILTRO: Túnel padrão e política de prioridade
access-list CSM_FW_ACL_ remark rule-id 9998: REGRA REGRA DE AÇÃO DE TÚNEL PADRÃO
access-list CSM_FW_ACL_ advanced permit ipinip any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any eq 3544 any range 1025 65535 rule-id 9998
access-list CSM_FW_ACL_ advanced permit udp any range 1025 65535 any eq 3544 rule-id 9998
access-list CSM_FW_ACL_ advanced permit 41 any any rule-id 9998
access-list CSM_FW_ACL_ advanced permit gre any any rule-id 9998
access-list CSM_FW_ACL_ remark rule-id 268434433: POLÍTICA DE ACESSO: acp_simple - Padrão
access-list CSM_FW_ACL_ remark rule-id 268434433: REGRA L4: REGRA DE AÇÃO PADRÃO
access-list CSM_FW_ACL_ advanced permit ip any any rule-id 268434433
!
tcp-map UM_STATIC_TCP_MAP
tcp-options range 6 7 allow
tcp-options range 9 18 allow
tcp-options range 20 255 allow (o intervalo de opções tcp 20 255 permite)
tcp-options md5 clear
permissão de flag urgente
!
sem pager
sem mensagem de log 106015
sem mensagem de log 313001
sem mensagem de log 313008
sem mensagem de log 106023
sem mensagem de log 710003
sem mensagem de log 106100
sem mensagem de log 302015
sem mensagem de log 302014
sem mensagem de log 302013
sem mensagem de log 302018
sem mensagem de log 302017
sem mensagem de log 302016
sem mensagem de log 302021
sem mensagem de log 302020
MTU NET202 1500
MTU NET203 1500
mtu diagnostic 1500
MTU NET204 1500
no failover
monitor-interface NET202
monitor-interface NET203
no monitor-interface service-module

Principais pontos a serem observados para Desabilitar HA da CLI de FTD ativa:

Unidade Ativa

Unidade em Espera
  • Configuração de failover removida
  • Os IPs em espera não são removidos
  • As configurações de interface foram removidas.
  • A configuração de failover não é removida, mas o failover é desabilitado (pseudo-Standby)

Neste ponto, você pode desativar o HA na unidade de ex-standby.

Cenário 2 (Não recomendado)

aviso: Esse cenário leva à Situação Ativa/Ativa, e é por isso que não é recomendado. Ele é mostrado apenas para conscientização.

Execute o comando 'configure high-availability disable' para remover a configuração de failover do dispositivo FTD de standby:

> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

O resultado:

Principal (ex-Standby)

Secundário (Ativo)

> show failover
Failover Desativado
Unidade de failover Secundária
Interface de LAN de failover: não configurado
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 4 de um máximo de 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido


> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual <- O dispositivo usa os mesmos IPs que o ex-Ative!
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual

> show failover
Failover em <- O failover não está desabilitado
Unidade de failover Secundária
Interface de LAN de failover: FOVER Port-channel3 (ativo)
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 4 de um máximo de 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido
failover replication http
Versão: Nosso 9.18(4)210, Companheiro 9.18(4)210
Número de série: Nosso FLM2108V9YG, Mate FLM1949C5RR
Último failover em: 12:44:06 UTC Jul 17 2024
Este host: Secundário - Ativo
Tempo ativo: 632 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.1): Normal (Monitorado)
Interface NET203 (172.16.203.1): Normal (Monitorado)
Interface NET202 (172.16.202.1): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Outro host: Primário - Desabilitado
Tempo ativo: 932 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Diagnóstico de interface (0.0.0.0): Desconhecido (Aguardando)
Interface NET204 (172.16.204.2): Desconhecido (Monitorado)
Interface NET203 (172.16.203.2): Desconhecido (Monitorado)
Interface NET202 (172.16.202.2): Desconhecido (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)

> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual <- O dispositivo usa os mesmos IPs que o ex-Standby!
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual

Principais pontos a serem observados para Desabilitar HA da CLI de FTD ativa:

Unidade Ativa

Unidade em Espera
  • A configuração de failover não é removida e permanece habilitada
  • O dispositivo usa os mesmos IPs que a unidade de ex-standby
  • Configuração de failover removida
  • O dispositivo usa os mesmos IPs que a unidade Ativa

Cenário 3:

Execute o comando configure high-availability disable clear-interfaces para remover a configuração de failover do dispositivo de FTD ativo:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

>

O resultado:

Principal (ex-Standby)

Secundário (ex-Ativo)

> show failover
Failover Desativado (pseudo-Standby)
Unidade de failover primária
Interface de LAN de failover: FOVER Port-channel3 (ativo)
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 0 de no máximo 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido
failover replication http


> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
>

> show failover
Failover Desativado
Unidade de failover Secundária
Interface de LAN de failover: não configurado
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 0 de no máximo 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido


> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
>

Pontos principais a serem observados para Desabilitar HA junto com interfaces claras da CLI de FTD Ativo:

Unidade Ativa

Unidade em Espera
  • Configuração de failover removida
  • Os IPs são removidos
  • A configuração de failover não é removida, mas o failover é desabilitado (pseudo-Standby)
  • Os IPs são removidos

Cenário 4

Execute o comando 'configure high-availability disable clear-interfaces' para remover a configuração de failover do dispositivo FTD de standby:

> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.

>

O resultado:

Principal (ex-Standby)

Secundário (Ativo)

> show failover
Failover Desativado
Unidade de failover Secundária
Interface de LAN de failover: não configurado
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 0 de no máximo 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido


> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
>

> show failover
Failover Ativado
Unidade de failover Secundária
Interface de LAN de failover: FOVER Port-channel3 (ativo)
Tempo limite de reconexão 0:00:00
Frequência de Sondagem de Unidade 1 segundo, tempo de espera 15 segundos
Frequência de pesquisa de interface de 5 segundos, tempo de espera de 25 segundos
Política de interface 1
Interfaces Monitoradas 4 de um máximo de 1291
Intervalo de Notificação de Movimentação de Endereço MAC não definido
failover replication http
Versão: Nosso 9.18(4)210, Companheiro 9.18(4)210
Número de série: Nosso FLM2108V9YG, Mate FLM1949C5RR
Último failover em: 07:06:56 UTC 18 de julho de 2024
Este host: Secundário - Ativo
Tempo ativo: 1194 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Diagnóstico de interface (0.0.0.0): Normal (Aguardando)
Interface NET204 (172.16.204.1): Normal (Monitorado)
Interface NET202 (172.16.202.1): Normal (Monitorado)
Interface NET203 (172.16.203.1): Normal (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Outro host: Primário - Desabilitado
Tempo ativo: 846 (seg)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (sistema ativo)
Diagnóstico de interface (0.0.0.0): Desconhecido (Aguardando)
Interface NET204 (172.16.204.2): Desconhecido (Monitorado)
Interface NET202 (172.16.202.2): Desconhecido (Monitorado)
Interface NET203 (172.16.203.2): Desconhecido (Monitorado)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)

> show ip
Endereços IP do sistema:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.1 255.255.255.0 desativado
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual
Endereços IP atuais:
Nome da interface Endereço IP Máscara de sub-rede Método
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 manual
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 manual
Port-channel3 FOVER 172.16.51.2 255.255.255.0 unset
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 manual

Pontos principais a observar para Desabilitar HA junto com interfaces claras da CLI de FTD Ativo:

Unidade Ativa

Unidade em Espera
  • Configuração de failover não removida
  • Os IPs não são removidos
  • Configuração de failover removida
  • Os IPs são removidos

Etapa 6. Depois de concluir essa tarefa, registre os dispositivos no FMC e ative o par HA.

Tarefa 7. Suspender HA

Requisito da tarefa:

Suspender a HA na CLI CLISH do FTD.

Solução:

Etapa 1. No FTD Principal, execute o comando e confirme (digite YES).

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

Etapa 2. Verificar as alterações na Unidade Principal:

> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Etapa 3. O resultado na Unidade Secundária:

> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

Etapa 4. Retomar HA na unidade principal:

> configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

Etapa 5. Os resultados na Unidade Secundária depois de retomar o HA:

> ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

Perguntas frequentes


P: Quando a configuração é replicada, ela é salva imediatamente (linha por linha) ou no final da replicação?
R: No final da replicação. A comprovação está no final da saída do comando debug fover sync, que mostra a replicação de configuração/comando:

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory        <--


P:O que acontece se uma unidade estiver em um estado pseudo-Standby (failover desativado) e você a recarregar enquanto a outra unidade estiver com o failover ativado e Ativo?
R: Você acaba em um cenário Ativo/Ativo (embora tecnicamente seja um Ativo/Failover-desativado). Especificamente, quando a unidade é ativada, o failover é desativado, no entanto, a unidade usa os mesmos IPs que a unidade Ativa. Então, de fato, você tem:

  • Unit-1: Ativo
  • Unit-2: O failover está desativado e a unidade usa os mesmos IPs de dados que a Unidade-1, mas endereços MAC diferentes.


P: O que acontece com a configuração de failover se você desabilitar manualmente o failover (configurar suspensão de alta disponibilidade) e recarregar o dispositivo?
R: Quando você desabilita o failover, ele não é uma alteração permanente (não é salva na configuração de inicialização, a menos que você decida fazer isso explicitamente). Você pode reinicializar/recarregar a unidade de duas maneiras diferentes e, com a segunda maneira, você deve ter cuidado:

Caso 1. Reinicializar do CLISH

A reinicialização no CLISH não solicita confirmação. Assim, a alteração de configuração não é salva na configuração de inicialização:

> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

A configuração atual tem o failover desabilitado. Nesse caso, a unidade estava em Standby e foi colocada no estado pseudo-Standby como esperado para evitar um cenário Ativo/Ativo:

firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


A configuração de inicialização ainda tem o failover habilitado:

firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Reinicialize o dispositivo no CLISH (comando reboot):

> reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

Quando a unidade está em ATIVA e o failover está ativado, o dispositivo entra na fase de negociação de failover e tenta detectar o par remoto:

User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


Caso 2. Reinicialização a partir do LINA CLI:
Reinicialize a partir do LINA (comando reload) e ele solicitará confirmação. Assim, caso você selecione Y (Sim) e a alteração de configuração seja salva na configuração de inicialização:

firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y  <-- Be careful. This disables the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

Depois que a unidade estiver ATIVA, o failover será desativado:

firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

Note: Para evitar esse cenário, certifique-se de não salvar as alterações na configuração de inicialização quando for solicitado.

Informações Relacionadas

  • Consulte todas as versões do guia de configuração do Cisco Firepower Management Center:

Navegação na documentação do Cisco Secure Firewall Threat Defense

  • Consulte todas as versões do FXOS Chassis Manager e o guia de configuração da CLI:

Navegação na documentação FXOS do Cisco Firepower 4100/9300

  • O Cisco Global Technical Assistance Center (TAC) recomenda enfaticamente este guia visual para conhecimento prático aprofundado sobre as tecnologias de segurança de próxima geração Cisco Firepower:

Defesa contra ameaças (FTD) do Cisco Firepower: Práticas recomendadas de configuração e solução de problemas para firewall de próxima geração (NGFW), sistema de prevenção de intrusão de próxima geração (NGIPS) e proteção avançada contra malware (AMP)

  • Consulte todas as Notas técnicas de configuração e solução de problemas referentes às tecnologias do Firepower:

Cisco Secure Firewall Management Center

Histórico de revisões

Revisão Data de publicação Comentários
5.0
05-Jun-2026
Otimização de mecanismo de pesquisa, introdução e formatação atualizados. ortografia, espaçamento e numeração.
4.0
19-Jul-2024
SEO atualizado, requisitos de estilo e formatação. Além disso, as tarefas agora são baseadas na versão de software 7.2.8.
3.0
07-Aug-2023
SEO atualizado, requisitos de estilo e formatação.
2.0
04-Aug-2022
Artigo atualizado para formatação, requisitos de estilo, tradução automática, fundamentos e gramática.
1.0
29-Sep-2021
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Olha Yakovenko
    Engenheiro do Cisco TAC
  • Mikis Zafeiroudis
    Engenheiro do Cisco TAC
  • John Long
    Engenheiro do Cisco TAC

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos