تكوين التراجع على SFTD عندما لا يمكن الوصول إلى SFMC

المقدمة

يوضح هذا المستند كيفية التراجع عن تغيير نشر من وحدة التحكم في إدارة قاعدة بيانات المحول (SFMC) الآمنة الذي يؤثر على الاتصال ب SFTD.

المتطلبات الأساسية

المتطلبات

يتم دعم إستخدام هذه الميزة على الإصدار 6.7 من الكشف ®Secure FirePOWER عن التهديدات.

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• تكوين مركز إدارة جدار الحماية الآمن (SFMC®)
• تكوين الدفاع الآمن عن تهديد FirePOWER (SFTD) من Cisco

المكونات المستخدمة

• مركز إدارة جدار الحماية الآمن ل VMware، الإصدار 7.2.1
• الدفاع الآمن عن تهديد FirePOWER ل VMware، الإصدار 7.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

هناك سيناريوهات حيث يتم فقد الاتصال ب SFMC أو SFTD أو بين SFMC و SFTD عندما يؤثر تغيير النشر على اتصال الشبكة. يمكنك إعادة التكوين على SFTD إلى آخر تكوين تم نشره لاستعادة اتصال الإدارة.

أستخدم الأمر configure policy back لاستعادة التكوين في الدفاع عن التهديد إلى التكوين الذي تم نشره مؤخرا.

ملاحظة: تم إدخال الأمر configure policy back في الإصدار 6.7

راجع الإرشادات:

• النشر السابق فقط متوفر محليا في الدفاع عن التهديد، ولا يمكنك التراجع إلى أي عمليات نشر سابقة.
• يتم دعم التراجع للحصول على توفر فائق من مركز الإدارة 7.2 فصاعدا.
• لا يتم اعتماد التراجع لعمليات نشر مجموعات البيانات.
• يؤثر التراجع فقط على التكوينات التي يمكنك تعيينها في مركز الإدارة. على سبيل المثال، لا يؤثر التراجع على أي تكوين محلي متعلق بواجهة الإدارة المخصصة، والتي يمكنك تكوينها فقط في واجهة سطر الأوامر للدفاع عن التهديد. لاحظ أنه إذا قمت بتغيير إعدادات واجهة البيانات بعد آخر نشر لمركز الإدارة باستخدام الأمر configure network management-data-interface، ثم قمت باستخدام الأمر back، فلن يتم الاحتفاظ بهذه الإعدادات، بل ستتراجع إلى آخر إعدادات مركز الإدارة التي تم نشرها.
• لا يمكن إرجاع وضع UCAPL/CC إلى الخلف.
• لا يمكن التراجع عن بيانات شهادة SCEP خارج النطاق التي تم تحديثها أثناء النشر السابق.
• أثناء التراجع، يمكن إسقاط الاتصالات لأنه تم مسح التكوين الحالي.

التكوين

الرسم التخطيطي للشبكة

يستخدم هذا المستند إعداد الشبكة التالي:

الصورة 1. الرسم التخطيطي

السيناريو

في هذا التكوين، تتم إدارة SFTD بواسطة وحدة التحكم في إدارة اللوحة الأساسية (SFMC) باستخدام واجهة جدار الحماية الداخلية، وهناك قاعدة تسمح بإمكانية الوصول من الكمبيوتر المحمول إلى وحدة التحكم في الوصول الخاصة (SFMC).

الإجراء

الخطوة 1. تم تعطيل القاعدة المسماة FMC-Access على SFMC، بعد النشر، تم حظر الاتصال من الكمبيوتر المحمول إلى SFMC.

الصورة 2. القاعدة التي تسمح بتعطيل إمكانية الوصول إلى SFMC

الصورة 3. إمكانية الوصول إلى وحدة SFMC من الكمبيوتر المحمول لا تعمل

الخطوة 2. قم بتسجيل الدخول إلى SFTD عبر بروتوكول SSH أو وحدة التحكم، ثم أستخدم الأمر configure policy back.

ملاحظة: إذا لم يكن الوصول عبر بروتوكول SSH ممكنا، فاتصل عبر برنامج Telnet. 

> configure policy rollback
---------------------------------------------------------------------------------------------
[Warning] Perform a policy rollback if the FTD communicates with the FMC on a data interface, and it has lost connectivity due to a policy deployment from the FMC. If the FTD still has connectivity to the FMC, 
and you want to perform a policy rollback for other purposes, then you should do the rollback on the FMC and not with this command. Note that there will be a traffic drop when you rollback the policy.

Checking Eligibility ....
============= DEVICE DETAILS =============
Device Version: 7.2.0
Device Type: FTD
Device Mode: Offbox
Device in HA: false
Device in Cluster: false
Device Upgrade InProgress: false
==========================================
Device is eligible for policy rollback

This command will rollback the policy to the last deployment done on Jul 15 20:38.
[Warning] The rollback operation will revert the convergence mode.
Do you want to continue (YES/NO)?

الخطوة 3. اكتب كلمة نعم لتأكيد التراجع عن النشر الأخير، ثم انتظر حتى تنتهي عملية التراجع.

Do you want to continue (YES/NO)? YES

Starting rollback...
 Deployment of Platform Settings to device.              Status: success
 Preparing policy configuration on the device.           Status: success
 Applying updated policy configuration on the device.    Status: success
 Applying Lina File Configuration on the device.         Status: success
INFO: Security level for "diagnostic"set to 0 by default.
 Applying Lina Configuration on the device.             Status: success
 Commit Lina Configuration.                             Status: success
 Commit Lina File Configuration.                        Status: success
 Finalizing policy configuration on the device.         Status: success

============================================
POLICY ROLLBACK STATUS: SUCCESS
============================================

تلميح: في حالة فشل التراجع، اتصل ب cisco TAC

الخطوة 4. بعد التراجع، تأكد من إمكانية الوصول إلى وحدة SFMC. يقوم SFTD بإعلام SFMC بأن عملية التراجع قد اكتملت بنجاح. في وحدة التحكم في إدارة قاعدة بيانات المحول (SFMC)، تعرض شاشة النشر لافتة تشير إلى أنه تم إرجاع التكوين.

الصورة 4. إستعادة قابلية الوصول إلى وحدة SFMC من الكمبيوتر المحمول

الصورة 5. رسالة SFMC التي تؤكد التراجع من SFTD

الخطوة 5. عند إستعادة وصول SFMC، قم بحل مشكلة تكوين SFMC وإعادة نشرها.

الصورة 6. إرجاع التغييرات

استكشاف الأخطاء وإصلاحها

في حال فشل التراجع، اتصل ب cisco TAC، للمشاكل الإضافية أثناء العملية، يرجى مراجعة المقالة التالية: 

· التراجع في النشر