configurez la haute disponibilité ftd sur des …...logical update queue information cur max total...
TRANSCRIPT
Configurez la Haute disponibilité FTD sur desappliances de FirePOWER Contenu
IntroductionConditions préalablesConditions requisesComposants utilisésLa tâche 1. vérifient des conditionsLa tâche 2. configurent FTD ha sur FPR9300ConditionsLa tâche 3. vérifient FTD ha et permisCommutateur de la tâche 4. les rôles de BasculementRupture de la tâche 5. les paires haPaires ha de débronchement de la tâche 6.La tâche 7. interrompent l'haForums aux questions (Foire aux questions)Informations connexes
Introduction
Ce document décrit comment configurer et vérifier la Haute disponibilité de la défense contre desmenaces de FirePOWER (FTD) (ha) (basculement actif/veille) sur FPR9300.
Conditions préalables
Exigences
Aucune spécification déterminée n'est requise pour ce document.
Composants utilisés
Les informations contenues dans ce document sont basées sur les versions de matériel et delogiciel suivantes :
dispositifs de sécurité 2xCisco FirePOWER 9300 - SW FXOS 2.0(1.23)●
FTD exécutant 6.0.1.1 (construction 1023)●
Centre de Gestion de FirePOWER (FMC) - SW 6.0.1.1 (construction 1023)●
Les informations contenues dans ce document ont été créées à partir des périphériques d'unenvironnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ontdémarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous
de bien comprendre l’incidence possible des commandes.
Remarque: Sur une appliance FPR9300 avec FTD, vous pouvez configurer seulement lesinter-châssis ha. Les deux unités dans une configuration ha doivent remplir les conditionsmentionnées ici.
La tâche 1. vérifient des conditions
Condition requise de tâche :
Vérifiez que les deux appliances FTD répondent aux exigences de note et il peut être configurécomme unités ha.
Solution :
Étape 1. Connectez à l'IP de la Gestion FPR9300 et vérifiez le matériel de module.
Vérifiez le matériel FPR9300-1.
KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd
Cores
------- ------------ ------------ -------------------- ---------------- ---------------- -------
---
1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144
36
1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144
36
1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144
36
KSEC-FPR9K-1-A#
Vérifiez le matériel FPR9300-2.
KSEC-FPR9K-2-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd
Cores
------- ------------ ------------ -------------------- ---------------- ---------------- -------
---
1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144
36
1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144
36
1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144
36
KSEC-FPR9K-2-A#
Étape 2. Connectez-vous dans le gestionnaire du châssis FPR9300-1 et naviguez vers despériphériques logiques.
Vérifiez la version de logiciel, le nombre et le type d'interfaces suivant les indications des images.
FPR9300-1
FPR9300-2
La tâche 2. configurent FTD ha sur FPR9300
Condition requise de tâche :
Configurez le basculement actif/veille (ha) selon ce diagramme.
Solution :
Les deux périphériques FTD sont déjà enregistrés sur le FMC suivant les indications de l'image.
Étape 1. Afin de configurer le Basculement FTD, naviguer vers les périphériques > la Gestion depériphériques et choisi ajoutent la Haute disponibilité suivant les indications de l'image.
Étape 2. Présentez le pair primaire et le pair secondaire et choisi continuent suivant les indicationsde l'image.
Conditions
Afin de créer un ha entre 2 périphériques FTD, ces conditions doivent être remplies :
Le même modèle●
La même version (ceci s'applique à FXOS et à FTD - (le commandant (premier nombre), lemineur (en second lieu nombre), et la maintenance (le troisième nombre) doivent être égaux))
●
Le même nombre d'interfaces●
Le même type d'interfaces●
Les deux périphériques en tant qu'élément du même groupe/domaine dans FMC●
Ayez la configuration identique de Protocole NTP (Network Time Protocol)●
Est entièrement déployé sur le FMC sans modifications non engagées●
Soyez en même mode de Pare-feu : conduit ou transparent.●
Notez que ceci doit être vérifié les périphériques FTD et le GUI FMC puisqu'il y a eu des casoù le FTDs a eu le même mode, mais FMC ne reflète pas ceci.
●
N'a pas le Protocole PPPoE (PPP sur Ethernet) DHCP configuré dans l'interface l'une des●
Adresse Internet différente (nom de domaine complet (FQDN)) pour les deux châssis. Afin devérifier l'adresse Internet de châssis naviguez vers FTD CLI et exécutez cette commande
●
firepower# show chassis-management-url
https://KSEC-FPR9K-1.cisco.com:443//
Remarque: Dans l'utilisation post-6.3 FTD la commande « show chassis détaillent »
firepower# show chassis detail
Chassis URL : https://KSEC-FPR4100-1:443//
Chassis IP : 192.0.2.1
Chassis Serial Number : JMX12345678
Security Module : 1
Si les deux châssis ont le même nom, changez le nom dans l'un d'entre eux avec l'utilisation deces commandes :
KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#
Après que vous changiez le nom de châssis, l'unregister le FTD du FMC et l'enregistrent denouveau. Puis, procédez à la création de paires ha.
Étape 3. Configurez l'ha et énoncez les configurations de liens.
Dans votre cas, le lien d'état a les mêmes configurations que le lien facilement disponible.
Choisi ajoutez et attendez quelques minutes pour que les paires ha soient déployées suivant lesindications de l'image.
Étape 4. Configurez les données relie (les adresses IP primaires et de réserve)
Du GUI FMC, sélectionnez l'ha éditent suivant les indications de l'image.
Étape 5. Configurez les paramètres d'interface suivant les indications des images.
Ethernets 1/5 interface.
Ethernets 1/6 interface.
Étape 6. Naviguez vers la Haute disponibilité et sélectionnez le nom d'interface éditent pourajouter les adresses IP de réserve suivant les indications de l'image.
Étape 7. Pour l'interface interne suivant les indications de l'image.
Étape 8. Faites la même chose pour l'interface extérieure.
Étape 9. Vérifiez le résultat suivant les indications de l'image.
Étape 10. Restez sur l'onglet facilement disponible et configurez les adresses MAC virtuellessuivant les indications de l'image.
Étape 11. Pour l'interface interne est suivant les indications de l'image.
Étape 12. Faites la même chose pour l'interface extérieure.
Étape 13. Vérifiez le résultat suivant les indications de l'image.
Étape 14. Après que vous configuriez les modifications, sélectionnez la sauvegarde et déployez-vous.
La tâche 3. vérifient FTD ha et permis
Condition requise de tâche :
Vérifiez les configurations FTD ha et les permis activés du GUI FMC et de FTD CLI.
Solution :
Étape 1. Naviguez vers le résumé et vérifiez les configurations ha et les permis activés suivant lesindications de l'image.
Étape 2. Du FTD CLISH CLI, exécutez ces commandes :
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.6(1), Mate 9.6(1)
Serial Number: Ours FLM19267A63, Mate FLM19206H7T
Last Failover at: 18:32:38 EEST Jul 21 2016
This host: Primary - Active
Active time: 3505 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 172 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.6(1)) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : fover_link Ethernet1/4 (up)
Stateful Obj xmit xerr rcv rerr
General417 0 416 0
sys cmd 416 0 416 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 0 0 0 0
Router ID 0 0 0 0
User-Identity 1 0 0 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 10 416
Xmit Q: 0 11 2118
>
Étape 3. Faites la même chose sur le périphérique secondaire.
Étape 4. Exécutez la commande d'état de Basculement d'exposition de LINA CLI :
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
Étape 5. Vérifiez la configuration à partir de l'unité primaire (LINA CLI) :
firepower# show running-config failover
failover
failover lan unit primary
failover lan interface fover_link Ethernet1/4
failover replication http
failover mac address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link fover_link Ethernet1/4
failover interface ip fover_link 1.1.1.1 255.255.255.0 standby 1.1.1.2
firepower#
firepower# show running-config interface
!
interface Ethernet1/2
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
description LAN/STATE Failover Interface
!
interface Ethernet1/5
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
interface Ethernet1/6
nameif Outside
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
firepower#
Commutateur de la tâche 4. les rôles de Basculement
Condition requise de tâche :
Du FMC, commutez les rôles de Basculement de primaire/d'Active, secondaire/standby àprimaire/à standby, secondaire/Active
Solution :
Étape 1. Sélectionnez l'icône suivant les indications de l'image.
Étape 2. Confirmez l'action sur la fenêtre externe suivant les indications de l'image.
Étape 3. Vérifiez le résultat suivant les indications de l'image.
De LINA CLI, vous pouvez voir que la commande aucun active de Basculement a été exécutéesur unité primaire/d'active :
Jul 22 2016 10:39:26: %ASA-5-111008: User 'enable_15' executed the 'no failover active' command.
Jul 22 2016 10:39:26: %ASA-5-111010: User 'enable_15', running 'N/A' from IP 0.0.0.0, executed
'no failover active'
Vous pouvez également le vérifier dans la sortie de commande d'historique deBasculement d'exposition :
firepower# show failover history
==========================================================================
From State To State Reason
10:39:26 EEST Jul 22 2016
Active Standby Ready Set by the config command
Étape 4. Après la vérification, faites l'Active d'unité primaire de nouveau.
Rupture de la tâche 5. les paires ha
Condition requise de tâche :
Du FMC, interrompez les paires de Basculement.
Solution :
Étape 1. Sélectionnez l'icône suivant les indications de l'image.
Étape 2. Vérifiez la notification suivant les indications de l'image.
Étape 3. Notez le message suivant les indications de l'image.
Étape 4. Vérifiez le résultat du GUI FMC suivant les indications de l'image.
show running-config sur l'unité primaire avant et après la rupture ha :
Avant rupture ha Après interruption hapassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600
passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4aucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUT
!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement primairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfini
la liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500aucun Basculementaucun module de service d'interface de surveillancetaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!
crypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destination
class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-group
email [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:933c594fc0264082edc0f24bad358031: : extrémitéfirepower#
Cryptochecksum:fb6f5c369dee730b9125650517dbb059: : extrémitéfirepower#
show running-config sur l'unité secondaire avant et après que la rupture ha soit suivant lesindications de la table ici.
Avant rupture ha Après interruption hapassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accès
passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/5shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!interface Ethernet1/6shutdownaucun nameifpas niveau de la Sécuritéaucun IP address!
CSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement secondairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attente
passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineuraucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020diagnostic 1500 de mtuaucun Basculementaucun module de service d'interface de surveillancetaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00
mgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbios
le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpc
inspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: : extrémitéfirepower#
examinez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:08ed87194e9f5cd9149fab3c0e9cefc3: : extrémitéfirepower#
Questions principales à noter pour la rupture ha :
Unité principale Unité secondaireToute la configuration de Basculement est retiréeLes IP de standby restent Toute la configuration est retirée
Étape 5. Après que vous terminiez cette tâche, recréez les paires ha.
Paires ha de débronchement de la tâche 6.
Condition requise de tâche :
Du FMC, désactivez les paires de Basculement.
Solution :
Étape 1. Sélectionnez l'icône suivant les indications de l'image.
Étape 2. Vérifiez la notification et la confirmez suivant les indications de l'image.
Étape 3. Après que vous supprimiez l'ha, les deux périphériques sont non inscrits (retiré) du FMC.
le résultat de show running-config de LINA CLI est suivant les indications de la table ici :
Unité principale Unité secondairepassage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19267A63: : Matériel : FPR9K-SM-36, RAM du Mo 135839, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngips
passage SH de firepower#: : Enregistré: :: : Numéro de série : FLM19206H7T: : Matériel : FPR9K-SM-36, RAM du Mo 135841, gamme E5CPU Xeon 2294 MHZ, 2 CPU (72 noyaux): :Version 6.0.1.1 NGFW!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénoms!interface Ethernet1/2réservé à la Gestiondiagnostic de nameif0 niveau de la Sécuritéaucun IP address!interface Ethernet1/4interface de Basculement de la description LAN/STATE!interface Ethernet1/5nameif à l'intérieur0 niveau de la Sécuritéstandby 192.168.75.11 de 192.168.75.10 255.255.255.0 d'IPaddress!interface Ethernet1/6nameif dehors0 niveau de la Sécuritéstandby 192.168.76.11 de 192.168.76.10 255.255.255.0 d'IPaddress!passif de mode de FTPVLAN-id de conn.-correspondance de ngips
règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement primairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00
règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Mandatory/1règle-id 268447744 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : Allow_ICMPla liste d'accès CSM_FW_ACL_ a avancé l'ICMP d'autorisationn'importe quel n'importe quel event-log chacun des deux durègle-id 268447744règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD9300 -Default/1règle-id 268441600 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP d'autorisationn'importe quel n'importe quel règle-id 268441600!TCP-MAP UM_STATIC_TCP_MAPla plage 6 7 de tcp-options laissentla plage 9 255 de tcp-options laissentl'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging standbyse connecter la taille de mémoire tampon 100000logging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076diagnostic 1500 de mtumtu à l'intérieur de 1500mtu en dehors de 1500Basculementunité de réseau local de Basculement secondairefover_link Ethernet1/4 d'interface de réseau local deBasculementHTTP de réplication de BasculementMAC address Ethernet1/5 aaaa.bbbb.1111 aaaa.bbbb.2222 deBasculementMAC address Ethernet1/6 aaaa.bbbb.3333 aaaa.bbbb.4444 deBasculementfover_link Ethernet1/4 de lien de Basculementstandby 1.1.1.2 de 1.1.1.1 255.255.255.0 de fover_link d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP 0:02:00
conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attentedébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sipinspect netbiosinspect tftp
conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00 dusunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias 0:02:00 dedélai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAemplacement de no snmp-servercontact de no snmp-serverl'enable de no snmp-server emprisonne le warmstart decoldstart de linkdown de lien d'authentification SNMPcrypto pmtu-vieillissement d'association de sécurité d'ipsecinfinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetstricthostkeycheck de sshssh timeout 5groupe dh-group1-sha1 de clé-échange de sshdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrement DfltAccessPolicy!class-map inspection_defaultmatch default-inspection-traffic!!preset_dns_map de dn de policy-map type inspectparamètresautomatique maximum de client de message-longueurmessage-length maximum 512IP-options UM_STATIC_IP_OPTIONS_MAP de policy-maptype inspectparamètresl'action d'eool laissentl'action de nop laissentl'action routeur-vigilante laissentpolicy-map global_policyclass inspection_defaultinspect dns preset_dns_mapexaminez le FTPexaminez le h323 h225inspect h323 rasinspect rshinspect rtspinspect sqlnetinspect skinnyinspect sunrpcinspectez le xdmcpinspect sip
examinez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:933c594fc0264082edc0f24bad358031: : extrémitéfirepower#
inspect netbiosinspect tftpexaminez l'ICMPexaminez l'erreur d'ICMPexaminez le dcerpcexaminez les IP-options UM_STATIC_IP_OPTIONS_MAPclasse-par défaut de classeplacez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Homeprofil CiscoTAC-1pas actifHTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEServiced'adresse de destinationemail [email protected] d'adresse de destinationHTTP de transport-méthode de destinationdiagnostic de subscribe-to-alert-groupenvironnement de subscribe-to-alert-groupmensuel périodique d'inventaire de subscribe-to-alert-groupmensuel périodique de configuration de subscribe-to-alert-groupjournal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:e648f92dd7ef47ee611f2aaa5c6cbd84: : extrémitéfirepower#
Étape 4. Les deux périphériques FTD étaient non inscrits du FMC :
> show managers
No managers configured.
Questions principales à noter pour l'option ha de débronchement dans FMC :
Unité principale Unité secondaireLe périphérique est retiré du FMC.Aucune configuration n'est retirée du périphérique FTD
Le périphérique est retiré du FMC.Aucune configuration n'est retirée du périphérique FTD
Étape 5. Exécutez cette commande de retirer la configuration de Basculement des périphériquesFTD :
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.
Remarque: Vous devez exécuter la commande sur les deux unités
Le résultat :
Unité principale Unité secondaire
> affichez le BasculementBasculement hors fonctionUnité de Basculement secondaireInterface de RÉSEAU LOCAL de Basculement : nonconfiguréRebranchez le délai d'attente 0:00:00Secondes de la fréquence de sondage 1 d'unité,holdtime 15 secondesReliez la fréquence de sondage 5 secondes, holdtime25 secondesStratégie 1 d'interfaceInterfaces surveillées 2 du maximum 1041Intervalle de notification de mouvement d'adresseMAC non réglé>
>affichez le BasculementBasculement outre de (pseudo-standby)Unité de Basculement secondaireInterface de RÉSEAU LOCAL de Basculement :FOVER Ethernet1/3.205 ()Rebranchez le délai d'attente 0:00:00Secondes de la fréquence de sondage 1 d'unité,holdtime 15 secondesReliez la fréquence de sondage 5 secondes, holdtime25 secondesStratégie 1 d'interfaceInterfaces surveillées 0 du maximum 1041Intervalle de notification de mouvement d'adresseMAC non régléHTTP de réplication de Basculement>
Primaire Secondairepassage d'exposition de firepower#!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénomsdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPrate-limit 16384 d'ARP!interface GigabitEthernet1/1 nameif dehors cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la SécuritéIP address 10.1.1.1 255.255.255.0 <-- le standby ip aété retiré!interface GigabitEthernet1/2 nameif à l'intérieur cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la SécuritéIP address 192.168.1.1 255.255.255.0 <-- le standby ipa été retiré!interface GigabitEthernet1/3 interface de Basculement de RÉSEAU LOCAL dedescription!interface GigabitEthernet1/4 interface de Basculement d'ÉTAT de description
passage d'exposition de firepower#!adresse Internet firePOWERmot de passe 8Ry2YjIyt7RRXU24 d'enable chiffrénomsdélai d'attente 14400 d'ARPaucune autorisation-nonconnected d'ARPrate-limit 16384 d'ARP!interface GigabitEthernet1/1 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/2 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/3 interface de Basculement de RÉSEAU LOCAL dedescription!interface GigabitEthernet1/4 interface de Basculement d'ÉTAT de description!interface GigabitEthernet1/5 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/6
!interface GigabitEthernet1/5 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/6 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/7 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/8 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface Management1/1 réservé à la Gestion diagnostic de nameif cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la Sécurité aucun IP address!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE PREFILTER : Tunnelpar défaut et stratégie de prioritérègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE : RÈGLE PAR DÉFAUTD'ACTION DE TUNNELla liste d'accès CSM_FW_ACL_ a avancé l'ipinipd'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'autorisation41 n'importe quel règle-id 9998la liste d'accès CSM_FW_ACL_ a avancé le gred'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'UDPd'autorisation n'importe quel n'importe quel règle-id
shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/7 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface GigabitEthernet1/8 shutdown aucun nameif pas niveau de la Sécurité aucun IP address!interface Management1/1 réservé à la Gestion diagnostic de nameif cts manual conserve-untag de sgt de propagation handicapés statiques de sgt de stratégie faitsconfiance 0 niveau de la Sécurité aucun IP address!passif de mode de FTPVLAN-id de conn.-correspondance de ngipsrègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE PREFILTER : Tunnelpar défaut et stratégie de prioritérègle-id 9998 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE : RÈGLE PAR DÉFAUTD'ACTION DE TUNNELla liste d'accès CSM_FW_ACL_ a avancé l'ipinipd'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'autorisation41 n'importe quel règle-id 9998la liste d'accès CSM_FW_ACL_ a avancé le gred'autorisation n'importe quel n'importe quel règle-id9998la liste d'accès CSM_FW_ACL_ a avancé l'UDPd'autorisation n'importe quel n'importe quel règle-id9998 de l'eq 3544règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD_HA -Default/1règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IP
9998 de l'eq 3544règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : STRATÉGIE D'ACCESS : FTD_HA -Default/1règle-id 268435456 de remarque de la liste d'accèsCSM_FW_ACL_ : RÈGLE L4 : RÈGLE D'ACTION PARDÉFAUTla liste d'accès CSM_FW_ACL_ a avancé l'IPd'autorisation n'importe quel n'importe quel règle-id268435456!TCP-MAP UM_STATIC_TCP_MAP la plage 6 7 de tcp-options laissent la plage 9 18 de tcp-options laissent la plage 20 255 de tcp-options laissent MD5 de tcp-options clair l'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076aucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710005aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020mtu en dehors de 1500mtu à l'intérieur de 1500diagnostic 1500 de mtuaucun Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP0:02:00 conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00du sunrpc 0:10:00 de délai d'attente 0:05:00le sip_media 0:02:00 du sip 0:30:00 de délai d'attente
d'autorisation n'importe quel n'importe quel règle-id268435456!TCP-MAP UM_STATIC_TCP_MAP la plage 6 7 de tcp-options laissent la plage 9 18 de tcp-options laissent la plage 20 255 de tcp-options laissent MD5 de tcp-options clair l'urgent-flag laissent!aucun pagineurlogging enablelogging timestamplogging buffered debuggingse connecter 1024 éclair-minimum-libresse connecter l'éclair-maximum-allocation 3076aucun message de journalisation 106015aucun message de journalisation 313001aucun message de journalisation 313008aucun message de journalisation 106023aucun message de journalisation 710005aucun message de journalisation 710003aucun message de journalisation 106100aucun message de journalisation 302015aucun message de journalisation 302014aucun message de journalisation 302013aucun message de journalisation 302018aucun message de journalisation 302017aucun message de journalisation 302016aucun message de journalisation 302021aucun message de journalisation 302020mtu en dehors de 1500mtu à l'intérieur de 1500diagnostic 1500 de mtuaucun Basculementunité de réseau local de Basculement secondaireinterface FOVER GigabitEthernet1/3 de réseau localde BasculementHTTP de réplication de Basculementétat de lien GigabitEthernet1/4 de Basculementstandby 1.1.1.2 de l'IP FOVER 1.1.1.1 255.255.255.0d'interface de Basculementstandby 2.2.2.2 de 2.2.2.1 255.255.255.0 d'ÉTAT d'IPd'interface de Basculementtaille de rafale inaccessible 1 du rate-limit 1 d'ICMPaucun enable d'historique d'asdmaccess-group CSM_FW_ACL_ globaltimeout xlate 3:00:00délai d'attente Pat-xlate 0:00:30ICMP à moitié fermé 0:00:02 du sctp 0:02:00 de l'UDP0:02:00 conn. 1:00:00 0:10:00 de délai d'attentemgcp 0:05:00 mgcp-Pat du h323 0:05:00 h225 1:00:00du sunrpc 0:10:00 de délai d'attente 0:05:00
sip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias0:02:00 de délai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteconn.-holddown 0:00:15 de délai d'attentedébronchement de proxy-limite d'AAAsnmp-server host en dehors de version 2c de ***** dela communauté de 192.168.1.100emplacement de no snmp-servercontact de no snmp-server***** du snmp-server communityentretenez le SW-remise-boutoncrypto pmtu-vieillissement d'association de sécuritéd'ipsec infinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrementDfltAccessPolicy!class-map inspection_default match default-inspection-traffic!!preset_dns_map de dn de policy-map type inspect paramètres automatique maximum de client de message-longueur message-length maximum 512 aucune TCP-inspectionIP-options UM_STATIC_IP_OPTIONS_MAP de policy-map type inspect paramètres l'action d'eool laissent l'action de nop laissent l'action routeur-vigilante laissentpolicy-map global_policy class inspection_default inspect dns preset_dns_map examinez le FTP examinez le h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspectez le xdmcp inspect sip inspect netbios inspect tftp examinez l'ICMP
le sip_media 0:02:00 du sip 0:30:00 de délai d'attentesip-invitent le sip-débranchement 0:02:00 de 0:03:00absolu de l'uauth 0:05:00 des sip-provisoire-medias0:02:00 de délai d'attenteTCP-proxy-réassemblage 0:00:30 de délai d'attenteflottement-conn. 0:00:00 de délai d'attenteconn.-holddown 0:00:15 de délai d'attenteGENS DU PAYS de par défaut-domaine d'identité del'utilisateurdébronchement de proxy-limite d'AAAsnmp-server host en dehors de version 2c de ***** dela communauté de 192.168.1.100emplacement de no snmp-servercontact de no snmp-server***** du snmp-server communityentretenez le SW-remise-boutoncrypto pmtu-vieillissement d'association de sécuritéd'ipsec infinicrypto stratégie de trustpool Cadélai d'attente 5 de telnetdélai d'attente 0 de consoledynamique-Access-stratégie-enregistrementDfltAccessPolicy!class-map inspection_default match default-inspection-traffic!!preset_dns_map de dn de policy-map type inspect paramètres automatique maximum de client de message-longueur message-length maximum 512 aucune TCP-inspectionIP-options UM_STATIC_IP_OPTIONS_MAP de policy-map type inspect paramètres l'action d'eool laissent l'action de nop laissent l'action routeur-vigilante laissentpolicy-map global_policy class inspection_default inspect dns preset_dns_map examinez le FTP examinez le h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspectez le xdmcp inspect sip
examinez l'erreur d'ICMP examinez le dcerpc examinez les IP-optionsUM_STATIC_IP_OPTIONS_MAP classe-par défaut de classe placez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Home profil CiscoTAC-1 pas actif HTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEService d'adresse de destination email [email protected] d'adresse de destination HTTP de transport-méthode de destination diagnostic de subscribe-to-alert-group environnement de subscribe-to-alert-group mensuel périodique d'inventaire de subscribe-to-alert-group mensuel périodique de configuration de subscribe-to-alert-group journal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:768a03e90b9d3539773b9d7af66b3452
inspect netbios inspect tftp examinez l'ICMP examinez l'erreur d'ICMP examinez le dcerpc examinez les IP-optionsUM_STATIC_IP_OPTIONS_MAP classe-par défaut de classe placez la connection advanced-optionsUM_STATIC_TCP_MAP!service-policy global_policy globalcontexte prompt d'adresse InternetFonction Call Home profil CiscoTAC-1 pas actif HTTPhttps://tools.cisco.com/its/service/oddce/services/DDCEService d'adresse de destination email [email protected] d'adresse de destination HTTP de transport-méthode de destination diagnostic de subscribe-to-alert-group environnement de subscribe-to-alert-group mensuel périodique d'inventaire de subscribe-to-alert-group mensuel périodique de configuration de subscribe-to-alert-group journal périodique de télémétrie de subscribe-to-alert-groupCryptochecksum:ac9b8f401e18491fee653f4cfe0ce18f
Questions principales à noter pour le débronchement ha de FTD CLI :
Unité principale Unité secondaire
La configuration et le standby IPSde Basculement sont retirés
Des configurations d'interfacesont retirées
●
Le périphérique entre dans lemode de Pseudo-standby
●
Étape 6. Après que vous terminiez la tâche, enregistrez les périphériques au FMC et activez lespaires ha.
La tâche 7. interrompent l'ha
Condition requise de tâche :
Interrompez l'ha du FTD CLISH CLI
Solution :
Étape 1. Sur le FTD primaire, exécutez la commande et la confirmez (OUI de type).
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you
wish to abort: YES
Successfully suspended high-availability.
Étape 2. Vérifiez les modifications sur l'unité primaire :
> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Étape 3. Le résultat sur l'unité secondaire :
> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Étape 4. Reprise ha sur l'unité primaire :
> configure high-availability resume
Successfully resumed high-availablity.
> .
No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
>
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
Étape 5. Le résultat sur l'unité secondaire après que vous reprenniez l'ha :
> ..
Detected an Active mate
Beginning configuration replication from mate.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.
>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>
Forums aux questions (Foire aux questions)
Quand la configuration est répliquée est-elle s'est-elle enregistrée immédiatement (ligne par ligne)ou à l'extrémité de la réplication ?À l'extrémité de la réplication. Les preuves sont à l'extrémité de la sortie de commande de sync defover de débogage qui affiche la réplication de config/commande :
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578:
L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp
object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078:
ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078:
L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group
group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id
268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id
268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group
group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id
268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id
268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id
268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory <--
Que se produit si une unité est dans l'état de pseudo-standby (Basculement désactivé) et alorsvous le rechargent tandis que l'autre unité a le Basculement activé et sont en activité ?Vous finissez par dans un scénario d'Active/Active (bien qu'est techniquement unActive/Basculement-hors fonction). Spécifiquement, une fois que l'unité est soulevée leBasculement est désactivé, mais l'unité utilise le même IPS que l'unité d'active. Tellementefficacement, vous avez :
Unit-1 : Actif●
Unit-2 : le Basculement est éteint. L'unité utilise les mêmes données IPS que l'Unit-1, maisdes adresses de MAC différent.
●
Qu'arrive à la configuration de Basculement si vous désactive manuellement le Basculement(configurez facilement disponible s'interrompent) et alors rechargez-vous le périphérique ?Quand vous désactivez le Basculement ce n'est pas une modification permanente (nonenregistrée dans le startup-config à moins que vous décidiez de faire ceci explicitement). Notezque vous pouvez redémarrer/recharge l'unité de 2 manières différentes et avec la deuxièmemanière vous devez faire attention :
Réinitialisation de l'affaire 1. de CLISH
La réinitialisation de CLISH ne demande pas la confirmation. Ainsi, la modification deconfiguration n'est pas enregistrée dans le startup-config :
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you
wish to abort: YES
Successfully suspended high-availability.
La configuration en cours a le Basculement désactivé. Dans ce cas l'unité était de réserve etentrée dans l'état de pseudo-standby comme compté afin d'éviter un scénario d'Active/Active :
firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
Le config de démarrage a le Basculement toujours activé :
firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
Redémarrez le périphérique de CLISH (commande de réinitialisation) :
> reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...
Une fois que l'unité est EN HAUSSE, puisque le Basculement est activé, le périphérique écrit laphase et les essais de négociation de Basculement pour détecter le pair distant :
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
Réinitialisation de l'affaire 2. de LINA CLILa réinitialisation de LINA (commande de recharge) demande la confirmation. Ainsi, au cas oùvous sélectionneriez [Y] l'es la modification de configuration est enregistrée dans le startup-config:
firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This will disable the
failover in the startup-config
Cryptochecksum: 31857237 8658f618 3234be7c 854d583a
8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
Une fois que l'unité est EN HAUSSE le Basculement est désactivée :
firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
Remarque: Pour éviter ce scénario assurez-vous que quand vous êtes incité vous ne
sauvegardez pas les modifications au startup-config.
Informations connexes
Toutes les versions du guide de configuration de centre de Gestion de Cisco FirePOWERpeuvent être trouvées ici
●
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280
Toutes les versions du gestionnaire de châssis FXOS et des guides de configuration CLIpeuvent être trouvées ici
●
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950
Le centre d'assistance technique global de Cisco (TAC) recommande vivement ce guidevisuel pour la connaissance pratique en profondeur sur des technologies de sécurité denouvelle génération de Cisco FirePOWER, y compris celles mentionnées en cet article.
●
http://www.ciscopress.com/title/9781587144806
Pour toute la configuration et dépannez TechNotes qui concerne les Technologies deFirePOWER
●
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html
Support et documentation techniques - Cisco Systems●