簡介
本文說明如何設定在本地管理之安全防火牆威脅防禦(FTD)的主用/備用高可用性(HA)配對。
必要條件
需求
建議瞭解以下主題:
- 通過GUI和/或外殼的思科安全防火牆威脅防禦初始配置。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- FPR2110版本7.2.5由Firepower裝置管理器(FDM)本地管理
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路拓撲
設定
配置主裝置以實現高可用性
步驟 1.按一下Device,然後按位於High Availability狀態旁邊的右上角的Configure按鈕。
步驟 2.在「高可用性」頁面上,按一下主裝置框。
步驟 3.配置故障切換鏈路屬性。
選擇已直接連線到輔助防火牆的Interface,並設定主IP地址和輔助IP地址以及子網掩碼Netmask。
選中Stateful Failover Link的Use same interface as the Failover Link覈取方塊。
清除「IPSec加密金鑰」框,然後按一下啟用HA以儲存更改。
提示:使用專門用於故障轉移流量的小型掩碼子網,以儘可能避免安全漏洞和/或網路問題。
警告:系統立即將配置部署到裝置。您無需啟動部署作業。如果您沒有看到表明配置已儲存且部署正在進行中的消息,請滾動到頁面頂部以檢視錯誤消息。系統也會將組態複製到剪貼簿。您可以使用該副本快速配置輔助裝置。為增強安全性,剪貼簿副本中不包含加密金鑰(如果已設定)。
步驟 4.配置完成後,您將收到一條消息,說明後續步驟。閱讀資訊後,按一下Got It。
配置輔助裝置以實現高可用性
步驟 1.按一下Device,然後按位於High Availability狀態旁邊的右上角的Configure按鈕。
步驟 2.在「高可用性」頁面上,按一下輔助裝置框。
步驟 3.配置故障切換鏈路屬性。設定主FTD後,可以貼上剪貼簿中儲存的設定,也可以手動繼續。
步驟 3.1.要從剪貼簿貼上,只需按一下從剪貼簿貼上按鈕,貼上到配置中(同時按Ctrl+v鍵),然後按一下確定。
步驟 3.2.要手動繼續,請選擇直接連線到輔助防火牆的介面,並設定主IP地址和輔助IP地址以及子網Netmask。選中Stateful Failover Link的Use same interface as the Failover Link覈取方塊。
步驟 4.清除「IPSec加密金鑰」框,然後按一下啟用HA以儲存更改。
警告:系統立即將配置部署到裝置。您無需啟動部署作業。如果您沒有看到表明配置已儲存且部署正在進行中的消息,請滾動到頁面頂部以檢視錯誤消息。
步驟 5.配置完成後,您將收到一條消息,說明您需要採取的後續步驟。閱讀資訊後,按一下Got It。
驗證
- 此時,您的裝置狀態大多指示這是「高可用性」頁面上的輔助裝置。如果與主裝置的連線成功,裝置將開始與主裝置同步,最終模式更改為「待機」,對等裝置更改為「活動」。
- 主FTD大多數也顯示「高可用性」狀態,但顯示為「活動」和「對等:待機」。
- 開啟與主FTD的SSH作業階段,並發出命令show running-config failover以驗證設定。
- 使用show failover state 指令驗證裝置的目前狀態。