configurez la haute disponibilité ftd sur des …...logical update queue information cur max total...

Configurez la Haute disponibilité FTD sur desappliances de FirePOWER Contenu

IntroductionConditions préalablesConditions requisesComposants utilisésLa tâche 1. vérifient des conditionsLa tâche 2. configurent FTD ha sur FPR9300ConditionsLa tâche 3. vérifient FTD ha et permisCommutateur de la tâche 4. les rôles de BasculementRupture de la tâche 5. les paires haPaires ha de débronchement de la tâche 6.La tâche 7. interrompent l'haForums aux questions (Foire aux questions)Informations connexes

Introduction

Ce document décrit comment configurer et vérifier la Haute disponibilité de la défense contre desmenaces de FirePOWER (FTD) (ha) (basculement actif/veille) sur FPR9300.

Conditions préalables

Exigences

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et delogiciel suivantes :

dispositifs de sécurité 2xCisco FirePOWER 9300 - SW FXOS 2.0(1.23)●

FTD exécutant 6.0.1.1 (construction 1023)●

Centre de Gestion de FirePOWER (FMC) - SW 6.0.1.1 (construction 1023)●

Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous

de bien comprendre l’incidence possible des commandes.

Remarque: Sur une appliance FPR9300 avec FTD, vous pouvez configurer seulement lesinter-châssis ha. Les deux unités dans une configuration ha doivent remplir les conditionsmentionnées ici.

La tâche 1. vérifient des conditions

Condition requise de tâche :

Vérifiez que les deux appliances FTD répondent aux exigences de note et il peut être configurécomme unités ha.

Solution :

Étape 1. Connectez à l'IP de la Gestion FPR9300 et vérifiez le matériel de module.

Vérifiez le matériel FPR9300-1.

KSEC-FPR9K-1-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144

36

KSEC-FPR9K-1-A#

Vérifiez le matériel FPR9300-2.

KSEC-FPR9K-2-A# show server inventory

Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd

Cores

------- ------------ ------------ -------------------- ---------------- ---------------- -------

---

1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144

36

1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144

36

1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144

36

KSEC-FPR9K-2-A#

Étape 2. Connectez-vous dans le gestionnaire du châssis FPR9300-1 et naviguez vers despériphériques logiques.

Vérifiez la version de logiciel, le nombre et le type d'interfaces suivant les indications des images.

FPR9300-1

FPR9300-2

La tâche 2. configurent FTD ha sur FPR9300


Configurez le basculement actif/veille (ha) selon ce diagramme.

Solution :

Les deux périphériques FTD sont déjà enregistrés sur le FMC suivant les indications de l'image.

Étape 1. Afin de configurer le Basculement FTD, naviguer vers les périphériques > la Gestion depériphériques et choisi ajoutent la Haute disponibilité suivant les indications de l'image.

Étape 2. Présentez le pair primaire et le pair secondaire et choisi continuent suivant les indicationsde l'image.

Conditions

Afin de créer un ha entre 2 périphériques FTD, ces conditions doivent être remplies :

Le même modèle●

La même version (ceci s'applique à FXOS et à FTD - (le commandant (premier nombre), lemineur (en second lieu nombre), et la maintenance (le troisième nombre) doivent être égaux))

●

Le même nombre d'interfaces●

Le même type d'interfaces●

Les deux périphériques en tant qu'élément du même groupe/domaine dans FMC●

Ayez la configuration identique de Protocole NTP (Network Time Protocol)●

Est entièrement déployé sur le FMC sans modifications non engagées●

Soyez en même mode de Pare-feu : conduit ou transparent.●

Notez que ceci doit être vérifié les périphériques FTD et le GUI FMC puisqu'il y a eu des casoù le FTDs a eu le même mode, mais FMC ne reflète pas ceci.

●

N'a pas le Protocole PPPoE (PPP sur Ethernet) DHCP configuré dans l'interface l'une des●

Adresse Internet différente (nom de domaine complet (FQDN)) pour les deux châssis. Afin devérifier l'adresse Internet de châssis naviguez vers FTD CLI et exécutez cette commande

●

firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

Remarque: Dans l'utilisation post-6.3 FTD la commande « show chassis détaillent »

firepower# show chassis detail

Chassis URL : https://KSEC-FPR4100-1:443//

Chassis IP : 192.0.2.1

Chassis Serial Number : JMX12345678

Security Module : 1

Si les deux châssis ont le même nom, changez le nom dans l'un d'entre eux avec l'utilisation deces commandes :

KSEC-FPR9K-1-A# scope system

KSEC-FPR9K-1-A /system # set name FPR9K-1new

Warning: System name modification changes FC zone name and redeploys them non-disruptively

KSEC-FPR9K-1-A /system* # commit-buffer

FPR9K-1-A /system # exit

FPR9K-1new-A#

Après que vous changiez le nom de châssis, l'unregister le FTD du FMC et l'enregistrent denouveau. Puis, procédez à la création de paires ha.

Étape 3. Configurez l'ha et énoncez les configurations de liens.

Dans votre cas, le lien d'état a les mêmes configurations que le lien facilement disponible.

Choisi ajoutez et attendez quelques minutes pour que les paires ha soient déployées suivant lesindications de l'image.

Étape 4. Configurez les données relie (les adresses IP primaires et de réserve)

Du GUI FMC, sélectionnez l'ha éditent suivant les indications de l'image.

Étape 5. Configurez les paramètres d'interface suivant les indications des images.

Ethernets 1/5 interface.

Ethernets 1/6 interface.

Étape 6. Naviguez vers la Haute disponibilité et sélectionnez le nom d'interface éditent pourajouter les adresses IP de réserve suivant les indications de l'image.

Étape 7. Pour l'interface interne suivant les indications de l'image.

Étape 8. Faites la même chose pour l'interface extérieure.

Étape 9. Vérifiez le résultat suivant les indications de l'image.

Étape 10. Restez sur l'onglet facilement disponible et configurez les adresses MAC virtuellessuivant les indications de l'image.

Étape 11. Pour l'interface interne est suivant les indications de l'image.

Étape 12. Faites la même chose pour l'interface extérieure.


Étape 14. Après que vous configuriez les modifications, sélectionnez la sauvegarde et déployez-vous.

La tâche 3. vérifient FTD ha et permis


Vérifiez les configurations FTD ha et les permis activés du GUI FMC et de FTD CLI.

Solution :

Étape 1. Naviguez vers le résumé et vérifiez les configurations ha et les permis activés suivant lesindications de l'image.

Étape 2. Du FTD CLISH CLI, exécutez ces commandes :

> show high-availability config

Failover On

Failover unit Primary

Failover LAN Interface: fover_link Ethernet1/4 (up)

Reconnect timeout 0:00:00

Unit Poll frequency 1 seconds, holdtime 15 seconds

Interface Poll frequency 5 seconds, holdtime 25 seconds

Interface Policy 1

Monitored Interfaces 1 of 1041 maximum

MAC Address Move Notification Interval not set

failover replication http

Version: Ours 9.6(1), Mate 9.6(1)

Serial Number: Ours FLM19267A63, Mate FLM19206H7T

Last Failover at: 18:32:38 EEST Jul 21 2016

This host: Primary - Active

Active time: 3505 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Other host: Secondary - Standby Ready

Active time: 172 (sec)

slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)

Interface diagnostic (0.0.0.0): Normal (Waiting)

slot 1: snort rev (1.0) status (up)

slot 2: diskstatus rev (1.0) status (up)

Stateful Failover Logical Update Statistics

Link : fover_link Ethernet1/4 (up)

Stateful Obj xmit xerr rcv rerr

General417 0 416 0

sys cmd 416 0 416 0

up time 0 0 0 0

RPC services 0 0 0 0

TCP conn 0 0 0 0

UDP conn 0 0 0 0

ARP tbl 0 0 0 0

Xlate_Timeout 0 0 0 0

IPv6 ND tbl 0 0 0 0

VPN IKEv1 SA 0 0 0 0

VPN IKEv1 P2 0 0 0 0

VPN IKEv2 SA 0 0 0 0

VPN IKEv2 P2 0 0 0 0

VPN CTCP upd 0 0 0 0

VPN SDI upd 0 0 0 0

VPN DHCP upd 0 0 0 0

SIP Session 0 0 0 0

SIP Tx 0 0 0 0

SIP Pinhole 0 0 0 0

Route Session 0 0 0 0

Router ID 0 0 0 0

User-Identity 1 0 0 0

CTS SGTNAME 0 0 0 0

CTS PAC 0 0 0 0

TrustSec-SXP 0 0 0 0

IPv6 Route 0 0 0 0

STS Table 0 0 0 0

Logical Update Queue Information

Cur Max Total

Recv Q: 0 10 416

Xmit Q: 0 11 2118

>

Étape 3. Faites la même chose sur le périphérique secondaire.

Étape 4. Exécutez la commande d'état de Basculement d'exposition de LINA CLI :

firepower# show failover state

State Last Failure Reason Date/Time

This host - Primary

Active None

Other host - Secondary

Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016

====Configuration State===

Sync Done

====Communication State===

Mac set

firepower#

Étape 5. Vérifiez la configuration à partir de l'unité primaire (LINA CLI) :

firepower# show running-config failover

failover

failover lan unit primary

failover lan interface fover_link Ethernet1/4


failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222

failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444

failover link fover_link Ethernet1/4

failover interface ip fover_link 1.1.1.1 255.255.255.0 standby 1.1.1.2

firepower#

firepower# show running-config interface

!

interface Ethernet1/2

management-only

nameif diagnostic

security-level 0

no ip address

!


description LAN/STATE Failover Interface

!


nameif Inside

security-level 0

ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11

!


nameif Outside

security-level 0

ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11

firepower#

Commutateur de la tâche 4. les rôles de Basculement


Du FMC, commutez les rôles de Basculement de primaire/d'Active, secondaire/standby àprimaire/à standby, secondaire/Active

Solution :

Étape 1. Sélectionnez l'icône suivant les indications de l'image.

Étape 2. Confirmez l'action sur la fenêtre externe suivant les indications de l'image.


De LINA CLI, vous pouvez voir que la commande aucun active de Basculement a été exécutéesur unité primaire/d'active :

Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.

Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed

'no failover active'

Vous pouvez également le vérifier dans la sortie de commande d'historique deBasculement d'exposition :

firepower# show failover history

==========================================================================

From State To State Reason

10:39:26 EEST Jul 22 2016

Active Standby Ready Set by the config command

Étape 4. Après la vérification, faites l'Active d'unité primaire de nouveau.

Rupture de la tâche 5. les paires ha


Du FMC, interrompez les paires de Basculement.

Solution :


Étape 2. Vérifiez la notification suivant les indications de l'image.

Étape 3. Notez le message suivant les indications de l'image.

Étape 4. Vérifiez le résultat du GUI FMC suivant les indications de l'image.

show running-config sur l'unité primaire avant et après la rupture ha :

Avant rupture ha Après interruption hapassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600

passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4aucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUT

!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement primairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfini

la liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500aucun Basculementaucun module de service d'interface de surveillancetaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!

crypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destination

class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-group

https://tools.cisco.com/its/service/oddce/services/DDCEService




email [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:933c594fc0264082edc0f24bad358031: : extrémitéfirepower#

Cryptochecksum:fb6f5c369dee730b9125650517dbb059: : extrémitéfirepower#

show running-config sur l'unité secondaire avant et après que la rupture ha soit suivant lesindications de la table ici.

Avant rupture ha Après interruption hapassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accès

passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/5shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/6shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!

CSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement secondairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attente

passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineuraucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020diagnostic 1500 de mtuaucun Basculementaucun module de service d'interface de surveillancetaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00

mgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbios

le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpc

inspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: : extrémitéfirepower#

examinez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3: : extrémitéfirepower#

Questions principales à noter pour la rupture ha :

Unité principale Unité secondaireToute la configuration de Basculement est retiréeLes IP de standby restent Toute la configuration est retirée

Étape 5. Après que vous terminiez cette tâche, recréez les paires ha.

Paires ha de débronchement de la tâche 6.


Du FMC, désactivez les paires de Basculement.

Solution :






Étape 2. Vérifiez la notification et la confirmez suivant les indications de l'image.

Étape 3. Après que vous supprimiez l'ha, les deux périphériques sont non inscrits (retiré) du FMC.

le résultat de show running-config de LINA CLI est suivant les indications de la table ici :

Unité principale Unité secondairepassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngips

passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngips

règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement primairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00

règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement secondairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00

conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftp

conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sip

examinez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:933c594fc0264082edc0f24bad358031: : extrémitéfirepower#

inspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: : extrémitéfirepower#

Étape 4. Les deux périphériques FTD étaient non inscrits du FMC :

> show managers

No managers configured.

Questions principales à noter pour l'option ha de débronchement dans FMC :

Unité principale Unité secondaireLe périphérique est retiré du FMC.Aucune configuration n'est retirée du périphérique FTD

Le périphérique est retiré du FMC.Aucune configuration n'est retirée du périphérique FTD

Étape 5. Exécutez cette commande de retirer la configuration de Basculement des périphériquesFTD :

> configure high-availability disable

High-availability will be disabled. Do you really want to continue?

Please enter 'YES' or 'NO': yes

Successfully disabled high-availability.

Remarque: Vous devez exécuter la commande sur les deux unités

Le résultat :





Unité principale Unité secondaire

> affichez le BasculementBasculement hors fonctionUnité de Basculement secondaireInterface de RÉSEAU LOCAL de Basculement : nonconfiguréRebranchez le délai d'attente 0:00:00Secondes de la fréquence de sondage 1 d'unité,holdtime 15 secondesReliez la fréquence de sondage 5 secondes, holdtime25 secondesStratégie 1 d'interfaceInterfaces surveillées 2 du maximum 1041Intervalle de notification de mouvement d'adresseMAC non réglé>

>affichez le BasculementBasculement outre de (pseudo-standby)Unité de Basculement secondaireInterface de RÉSEAU LOCAL de Basculement :FOVER Ethernet1/3.205 ()Rebranchez le délai d'attente 0:00:00Secondes de la fréquence de sondage 1 d'unité,holdtime 15 secondesReliez la fréquence de sondage 5 secondes, holdtime25 secondesStratégie 1 d'interfaceInterfaces surveillées 0 du maximum 1041Intervalle de notification de mouvement d'adresseMAC non régléHTTP de réplication de Basculement>

Primaire Secondairepassage d'exposition de firepower#!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénomsdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPrate-limit 16384 d'ARP!interface GigabitEthernet1/1 nameif dehors cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la SécuritéIP address 10.1.1.1 255.255.255.0 <-- le standby ip aété retiré!interface GigabitEthernet1/2 nameif à l'intérieur cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la SécuritéIP address 192.168.1.1 255.255.255.0 <-- le standby ipa été retiré!interface GigabitEthernet1/3 interface de Basculement de RÉSEAU LOCAL dedescription!interface GigabitEthernet1/4 interface de Basculement d'ÉTAT de description

passage d'exposition de firepower#!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénomsdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPrate-limit 16384 d'ARP!interface GigabitEthernet1/1 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/2 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/3 interface de Basculement de RÉSEAU LOCAL dedescription!interface GigabitEthernet1/4 interface de Basculement d'ÉTAT de description!interface GigabitEthernet1/5 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/6

!interface GigabitEthernet1/5 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/6 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/7 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/8 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface Management1/1 réservé à la Gestion diagnostic de nameif cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la Sécurité aucun IP address!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE PREFILTER : Tunnelpar défaut et stratégie de prioritérègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE : RÈGLE PAR DÉFAUTD'ACTION DE TUNNELla liste d'accès CSM_FW_ACL_ a avancé l'ipinipd'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'autorisation41 n'importe quel règle-id 9998la liste d'accès CSM_FW_ACL_ a avancé le gred'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'UDPd'autorisation n'importe quel n'importe quel règle-id

shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/7 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/8 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface Management1/1 réservé à la Gestion diagnostic de nameif cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la Sécurité aucun IP address!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE PREFILTER : Tunnelpar défaut et stratégie de prioritérègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE : RÈGLE PAR DÉFAUTD'ACTION DE TUNNELla liste d'accès CSM_FW_ACL_ a avancé l'ipinipd'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'autorisation41 n'importe quel règle-id 9998la liste d'accès CSM_FW_ACL_ a avancé le gred'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'UDPd'autorisation n'importe quel n'importe quel règle-id9998 de l'eq 3544règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD_HA -Default/1règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP

9998 de l'eq 3544règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD_HA -Default/1règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IPd'autorisation n'importe quel n'importe quel règle-id268435456!TCP-MAP UM_STATIC_TCP_MAP la plage 6 7 de tcp-options laissent la plage 9 18 de tcp-options laissent la plage 20 255 de tcp-options laissent MD5 de tcp-options clair l'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076aucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710005aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020mtu en dehors de 1500mtu à l'intérieur de 1500diagnostic 1500 de mtuaucun Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP0:02:00 conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00du sunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente

d'autorisation n'importe quel n'importe quel règle-id268435456!TCP-MAP UM_STATIC_TCP_MAP la plage 6 7 de tcp-options laissent la plage 9 18 de tcp-options laissent la plage 20 255 de tcp-options laissent MD5 de tcp-options clair l'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076aucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710005aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020mtu en dehors de 1500mtu à l'intérieur de 1500diagnostic 1500 de mtuaucun Basculementunité de réseau local de Basculement secondaireinterface FOVER GigabitEthernet1/3 de réseau localde BasculementHTTP de réplication de Basculementétat de lien GigabitEthernet1/4 de Basculementstandby 1.1.1.2 de l'IP FOVER 1.1.1.1 255.255.255.0d'interface de Basculementstandby 2.2.2.2 de 2.2.2.1 255.255.255.0 d'ÉTAT d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP0:02:00 conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00du sunrpc 0:10:00 de délai d'attente 0:05:00

sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias0:02:00 de délai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteconn.-holddown 0:00:15 de délai d'attentedébronchement de proxy-limite d'AAAsnmp-server host en dehors de version 2c de ***** dela communauté de 192.168.1.100emplacement de no snmp-servercontact de no snmp-server***** du snmp-server communityentretenez le SW-remise-boutoncrypto pmtu-vieillissement d'association de sécuritéd'ipsec infinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrementDfltAccessPolicy!class-map inspection_default match default-inspection-traffic!!preset_dns_map de dn de policy-map type inspect paramètres automatique maximum de client de message-longueur message-length maximum 512 aucune TCP-inspectionIP-options UM_STATIC_IP_OPTIONS_MAP de policy-map type inspect paramètres l'action d'eool laissent l'action de nop laissent l'action routeur-vigilante laissentpolicy-map global_policy class inspection_default inspect dns preset_dns_map examinez le FTP examinez le h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspectez le xdmcp inspect sip inspect netbios inspect tftp examinez l'ICMP

le sip_media 0:02:00 du sip 0:30:00 de délai d'attentesip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias0:02:00 de délai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteconn.-holddown 0:00:15 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAsnmp-server host en dehors de version 2c de ***** dela communauté de 192.168.1.100emplacement de no snmp-servercontact de no snmp-server***** du snmp-server communityentretenez le SW-remise-boutoncrypto pmtu-vieillissement d'association de sécuritéd'ipsec infinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrementDfltAccessPolicy!class-map inspection_default match default-inspection-traffic!!preset_dns_map de dn de policy-map type inspect paramètres automatique maximum de client de message-longueur message-length maximum 512 aucune TCP-inspectionIP-options UM_STATIC_IP_OPTIONS_MAP de policy-map type inspect paramètres l'action d'eool laissent l'action de nop laissent l'action routeur-vigilante laissentpolicy-map global_policy class inspection_default inspect dns preset_dns_map examinez le FTP examinez le h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspectez le xdmcp inspect sip

examinez l'erreur d'ICMP examinez le dcerpc examinez les IP-optionsUM_STATIC_IP_OPTIONS_MAP classe-par défaut de classe placez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Home profil CiscoTAC-1 pas actif HTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEService d'adresse de destination email [email protected] d'adresse de destination HTTP de transport-méthode de destination diagnostic de subscribe-to-alert-group environnement de subscribe-to-alert-group mensuel périodique d'inventaire de subscribe-to-alert-group mensuel périodique de configuration de subscribe-to-alert-group journal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:768a03e90b9d3539773b9d7af66b3452

inspect netbios inspect tftp examinez l'ICMP examinez l'erreur d'ICMP examinez le dcerpc examinez les IP-optionsUM_STATIC_IP_OPTIONS_MAP classe-par défaut de classe placez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Home profil CiscoTAC-1 pas actif HTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEService d'adresse de destination email [email protected] d'adresse de destination HTTP de transport-méthode de destination diagnostic de subscribe-to-alert-group environnement de subscribe-to-alert-group mensuel périodique d'inventaire de subscribe-to-alert-group mensuel périodique de configuration de subscribe-to-alert-group journal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f

Questions principales à noter pour le débronchement ha de FTD CLI :

Unité principale Unité secondaire

La configuration et le standby IPSde Basculement sont retirés

Des configurations d'interfacesont retirées

●

Le périphérique entre dans lemode de Pseudo-standby

●

Étape 6. Après que vous terminiez la tâche, enregistrez les périphériques au FMC et activez lespaires ha.

La tâche 7. interrompent l'ha


Interrompez l'ha du FTD CLISH CLI

Solution :

Étape 1. Sur le FTD primaire, exécutez la commande et la confirmez (OUI de type).





> configure high-availability suspend

Please ensure that no deployment operation is in progress before suspending high-availability.

Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you

wish to abort: YES

Successfully suspended high-availability.

Étape 2. Vérifiez les modifications sur l'unité primaire :


Failover Off






Interface Policy 1




Étape 3. Le résultat sur l'unité secondaire :


Failover Off (pseudo-Standby)

Failover unit Secondary





Interface Policy 1




Étape 4. Reprise ha sur l'unité primaire :

> configure high-availability resume

Successfully resumed high-availablity.

> .

No Active mate detected

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Beginning configuration replication: Sending to mate.

End Configuration Replication to mate

>


Failover On






Interface Policy 1




Étape 5. Le résultat sur l'unité secondaire après que vous reprenniez l'ha :

> ..

Detected an Active mate

Beginning configuration replication from mate.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

WARNING: Failover is enabled but standby IP address is not configured for this interface.

End configuration replication from mate.

>


Failover On






Interface Policy 1




>

Forums aux questions (Foire aux questions)

Quand la configuration est répliquée est-elle s'est-elle enregistrée immédiatement (ligne par ligne)ou à l'extrémité de la réplication ?À l'extrémité de la réplication. Les preuves sont à l'extrémité de la sortie de commande de sync defover de débogage qui affiche la réplication de config/commande :

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578:

L7 RULE: ACP_Rule_500

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp

object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578


ACCESS POLICY: mzafeiro_500 - Default


L4 RULE: DEFAULT ACTION RULE

...

cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group

group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076

cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id

268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory


268442077: L7 RULE: ACP_Rule_1500

cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group

group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077


268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default


268440577: L4 RULE: DEFAULT ACTION RULE

cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id

268442078 event-log flow-start

cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal

cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311




cli_xml_server: frep_write_cmd: Cmd: write memory <--

Que se produit si une unité est dans l'état de pseudo-standby (Basculement désactivé) et alorsvous le rechargent tandis que l'autre unité a le Basculement activé et sont en activité ?Vous finissez par dans un scénario d'Active/Active (bien qu'est techniquement unActive/Basculement-hors fonction). Spécifiquement, une fois que l'unité est soulevée leBasculement est désactivé, mais l'unité utilise le même IPS que l'unité d'active. Tellementefficacement, vous avez :

Unit-1 : Actif●

Unit-2 : le Basculement est éteint. L'unité utilise les mêmes données IPS que l'Unit-1, maisdes adresses de MAC différent.

●

Qu'arrive à la configuration de Basculement si vous désactive manuellement le Basculement(configurez facilement disponible s'interrompent) et alors rechargez-vous le périphérique ?Quand vous désactivez le Basculement ce n'est pas une modification permanente (nonenregistrée dans le startup-config à moins que vous décidiez de faire ceci explicitement). Notezque vous pouvez redémarrer/recharge l'unité de 2 manières différentes et avec la deuxièmemanière vous devez faire attention :

Réinitialisation de l'affaire 1. de CLISH

La réinitialisation de CLISH ne demande pas la confirmation. Ainsi, la modification deconfiguration n'est pas enregistrée dans le startup-config :

> configure high-availability suspend

Please ensure that no deployment operation is in progress before suspending high-availability.

Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you

wish to abort: YES

Successfully suspended high-availability.

La configuration en cours a le Basculement désactivé. Dans ce cas l'unité était de réserve etentrée dans l'état de pseudo-standby comme compté afin d'éviter un scénario d'Active/Active :

firepower# show failover | include Failover

Failover Off (pseudo-Standby)


Failover LAN Interface: FOVER Ethernet1/1 (up)

Le config de démarrage a le Basculement toujours activé :

firepower# show startup | include failover

failover

failover lan unit secondary

failover lan interface FOVER Ethernet1/1


failover link FOVER Ethernet1/1

failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2

failover ipsec pre-shared-key *****

Redémarrez le périphérique de CLISH (commande de réinitialisation) :

> reboot

This command will reboot the system. Continue?

Please enter 'YES' or 'NO': YES

Broadcast message from root@

Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''

Cisco FTD stopping ...

Une fois que l'unité est EN HAUSSE, puisque le Basculement est activé, le périphérique écrit laphase et les essais de négociation de Basculement pour détecter le pair distant :

User enable_1 logged in to firepower

Logins over the last 1 days: 1.

Failed logins since the last login: 0.

Type help or '?' for a list of available commands.

firepower> .

Detected an Active mate

Réinitialisation de l'affaire 2. de LINA CLILa réinitialisation de LINA (commande de recharge) demande la confirmation. Ainsi, au cas oùvous sélectionneriez [Y] l'es la modification de configuration est enregistrée dans le startup-config:

firepower# reload

System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the

failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs

Proceed with reload? [confirm]

firepower# show startup | include failover

no failover

failover lan unit secondary

failover lan interface FOVER Ethernet1/1


failover link FOVER Ethernet1/1

failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2

failover ipsec pre-shared-key *****

Une fois que l'unité est EN HAUSSE le Basculement est désactivée :

firepower# show failover | include Fail

Failover Off


Failover LAN Interface: FOVER Ethernet1/1 (up)

Remarque: Pour éviter ce scénario assurez-vous que quand vous êtes incité vous ne

sauvegardez pas les modifications au startup-config.

Informations connexes

Toutes les versions du guide de configuration de centre de Gestion de Cisco FirePOWERpeuvent être trouvées ici

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

Toutes les versions du gestionnaire de châssis FXOS et des guides de configuration CLIpeuvent être trouvées ici

●

https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

Le centre d'assistance technique global de Cisco (TAC) recommande vivement ce guidevisuel pour la connaissance pratique en profondeur sur des technologies de sécurité denouvelle génération de Cisco FirePOWER, y compris celles mentionnées en cet article.

●

http://www.ciscopress.com/title/9781587144806

Pour toute la configuration et dépannez TechNotes qui concerne les Technologies deFirePOWER

●

https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html

Support et documentation techniques - Cisco Systems●

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

/content/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950

http://www.ciscopress.com/title/9781587144806

https://www.cisco.com/c/fr_ca/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/fr_ca/support/security/defense-center/tsd-products-support-series-home.html

https://www.cisco.com/c/fr_ca/support/index.html

configurez la haute disponibilité ftd sur des …...logical update queue information cur max total...

Documents