تكوين تجميع FTD على FP9300 (داخل الهيكل)
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين ميزة نظام المجموعة والتحقق من صحتها على جهاز FPR9300.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جهاز الأمان Cisco Firepower 9300 الذي يشغل 1.1(4.95)
- برنامج الدفاع ضد تهديد Firepower (FTD) الذي يتم تشغيله الإصدار 6.0.1 (بنية 1213)
- FireSIGHT Management Center (FMC) يشغل الإصدار 6.0.1.1 (بنية 1023)
وقت إكمال المعمل: ساعة واحدة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
- في FPR9300 باستخدام جهاز FTD، يمكنك تكوين التجميع داخل الهيكل على جميع الإصدارات المدعومة.
- تم إدخال التجميع بين الهياكل في 6. 2.
- يتم إنشاء قناة المنفذ 48 كارتباط تحكم نظام المجموعة. بالنسبة للتضمين داخل الهيكل، يستخدم هذا الارتباط اللوحة الخلفية Firepower 9300 لاتصالات نظام المجموعة.
- واجهات البيانات الفردية غير مدعومة، باستثناء واجهة الإدارة.
- تم تخصيص واجهة الإدارة لجميع الوحدات في نظام المجموعة.
التكوين
الرسم التخطيطي للشبكة
المهمة 1. إنشاء الواجهات الضرورية لمجموعة FTD
متطلبات المهمة:
قم بإنشاء نظام مجموعة وواجهة إدارة وواجهة بيانات ذات قناة منفذ.
الحل:
الخطوة 1. إنشاء واجهة بيانات قناة منفذ.
لإنشاء واجهة جديدة، يجب عليك تسجيل الدخول إلى مدير الهيكل FPR9300 والتصفح إلى علامة تبويب الواجهات.
حدد إضافة قناة منفذ وأنشئ واجهة قناة منفذ جديدة مع هذه المعلمات:
| معرف قناة المنفذ |
5 |
| النوع |
البيانات |
| تمكين |
نعم |
| معرّف العضو |
Ethernet1/3 و Ethernet 1/4 |
حدد موافق لحفظ التكوين كما هو موضح في الصورة.
الخطوة 2. إنشاء واجهة إدارة.
في علامة التبويب الواجهات، أختر الواجهة، وانقر فوق تحرير وتكوين واجهة نوع الإدارة.
انقر فوق موافق لحفظ التكوين كما هو موضح في الصورة.
الخطوة 3. إنشاء واجهة إرتباط التحكم في نظام المجموعة.
انقر على زر إضافة قناة منفذ وقم بإنشاء واجهة قناة منفذ جديدة مع هذه المعلمات وكما هو موضح في الصورة.
| معرف قناة المنفذ |
48 |
| النوع |
مجموعة |
| تمكين |
نعم |
| معرّف العضو |
- |
المهمة 2. إنشاء مجموعة FTD
متطلبات المهمة:
إنشاء وحدة نظام مجموعة FTD.
الحل:
الخطوة 1. انتقل إلى أجهزة منطقية وانقر على زر إضافة جهاز.
قم بإنشاء تجميع FTD كما يلي:
| اسم الجهاز |
FTD_CLUSTER |
| القالب |
Cisco Firepower Threat Defense |
| إصدار الصورة |
6.0.1.1213 |
| وضع الجهاز |
مجموعة |
طقطقت in order to أضفت الأداة، ok كما هو موضح في الصورة.
الخطوة 2. تكوين مجموعة FTD ونشرها.
بعد إنشاء جهاز FTD، تتم إعادة توجيهك إلى نافذة Provisioning-device_name.
انقر على رمز الجهاز لبدء التكوين كما هو موضح في الصورة.
قم بتكوين علامة التبويب معلومات نظام المجموعة ل FTD باستخدام هذه الإعدادات كما هو موضح في الصورة.
| مفتاح نظام المجموعة |
cisco |
| اسم مجموعة نظام المجموعة |
FTD_CLUSTER |
| واجهة الإدارة |
Ethernet1/1 |
قم بتكوين علامة التبويب إعدادات FTD باستخدام هذه الإعدادات وكما هو موضح في الصورة.
| مفتاح التسجيل |
cisco |
| كلمة المرور |
Admin123 |
| عنوان IP لمركز إدارة Firepower |
10.62.148.73 |
| مجالات البحث |
cisco.com |
| وضع جدار الحماية |
مُوجه |
| خوادم DNS |
173.38.200.100 |
| اسم مضيف مؤهل على نحو كامل |
ksec-fpr9k-1-1-3.cisco.com |
| واجهة الأحداث |
None |
قم بتكوين علامة التبويب معلومات واجهة FTD باستخدام هذه الإعدادات وكما هو موضح في الصورة.
| نوع العنوان |
IPv4 فقط |
| وحدة الأمان النمطية 1 |
|
| عنوان IP الخاص بالإدارة |
10.62.148.67 |
| قناع الشبكة |
255.255.255.128 |
| البوابة |
10.62.148.1 |
| الوحدة النمطية Security Module 2 |
|
| عنوان IP الخاص بالإدارة |
10.62.148.68 |
| قناع الشبكة |
255.255.255.128 |
| البوابة |
10.62.148.1 |
| الوحدة النمطية الأمنية 3 |
|
| عنوان IP الخاص بالإدارة |
10.62.148.69 |
| قناع الشبكة |
255.255.255.128 |
| البوابة |
10.62.148.1 |
اقبل الاتفاقية على علامة التبويب الاتفاقية وانقر فوق موافق كما هو موضح في الصورة.
الخطوة 3. قم بتخصيص واجهات البيانات ل FTD.
قم بتوسيع منطقة منافذ البيانات وانقر على كل واجهة تريد تعيينها على FTD. بعد الإكمال، حدد حفظ لإنشاء مجموعة FTD كما هو موضح في الصورة.
انتظر لبضع دقائق حتى يتم نشر نظام المجموعة، وبعد ذلك يتم إجراء عملية إختيار الوحدة الرئيسية.
التحقق:
- من واجهة المستخدم الرسومية (GUI) طراز FPR9300 كما هو موضح في الصورة.
- من FPR9300 CLI
FPR9K-1-A# FPR9K-1-A# scope ssa FPR9K-1-A /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 2 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 3 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster
- من CLI (ASA) LINA
firepower# show cluster info
Cluster FTD_cluster: On
Interface mode: spanned
This is "unit-1-1" in state MASTER
ID : 0
Version : 9.6(1)
Serial No.: FLM19216KK6
CCL IP : 127.2.1.1
CCL MAC : 0015.c500.016f
Last join : 21:51:03 CEST Aug 8 2016
Last leave: N/A
Other members in the cluster:
Unit "unit-1-3" in state SLAVE
ID : 1
Version : 9.6(1)
Serial No.: FLM19206H7T
CCL IP : 127.2.1.3
CCL MAC : 0015.c500.018f
Last join : 21:51:05 CEST Aug 8 2016
Last leave: N/A
Unit "unit-1-2" in state SLAVE
ID : 2
Version : 9.6(1)
Serial No.: FLM19206H71
CCL IP : 127.2.1.2
CCL MAC : 0015.c500.019f
Last join : 21:51:30 CEST Aug 8 2016
Last leave: N/A
firepower# cluster exec show cluster interface-mode cluster interface-mode spanned unit-1-3:************************************************************* cluster interface-mode spanned unit-1-2:************************************************************* cluster interface-mode spanned firepower#
firepower# cluster exec show cluster history
==========================================================================
From State To State Reason
==========================================================================
21:49:25 CEST Aug 8 2016
DISABLED DISABLED Disabled at startup
21:50:18 CEST Aug 8 2016
DISABLED ELECTION Enabled from CLI
21:51:03 CEST Aug 8 2016
ELECTION MASTER_POST_CONFIG Enabled from CLI
21:51:03 CEST Aug 8 2016
MASTER_POST_CONFIG MASTER Master post config done and waiting for ntfy
==========================================================================
unit-1-3:*************************************************************
==========================================================================
From State To State Reason
==========================================================================
21:49:44 CEST Aug 8 2016
DISABLED DISABLED Disabled at startup
21:50:37 CEST Aug 8 2016
DISABLED ELECTION Enabled from CLI
21:50:37 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:41 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:41 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:46 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:46 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:51 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:51 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:56 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:56 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:01 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:01 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:04 CEST Aug 8 2016
ONCALL SLAVE_COLD Received cluster control message
21:51:04 CEST Aug 8 2016
SLAVE_COLD SLAVE_APP_SYNC Client progression done
21:51:05 CEST Aug 8 2016
SLAVE_APP_SYNC SLAVE_CONFIG Slave application configuration sync done
21:51:17 CEST Aug 8 2016
SLAVE_CONFIG SLAVE_BULK_SYNC Configuration replication finished
21:51:29 CEST Aug 8 2016
SLAVE_BULK_SYNC SLAVE Configuration replication finished
==========================================================================
unit-1-2:*************************************************************
==========================================================================
From State To State Reason
==========================================================================
21:49:24 CEST Aug 8 2016
DISABLED DISABLED Disabled at startup
21:50:16 CEST Aug 8 2016
DISABLED ELECTION Enabled from CLI
21:50:17 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:21 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:21 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:26 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:26 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:31 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:31 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:36 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:36 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:41 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:41 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:46 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:46 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:51 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:51 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:50:56 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:50:56 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:01 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:01 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:06 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:06 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:12 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:12 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:17 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:17 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:22 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:22 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:27 CEST Aug 8 2016
ONCALL ELECTION Received cluster control message
21:51:27 CEST Aug 8 2016
ELECTION ONCALL Received cluster control message
21:51:30 CEST Aug 8 2016
ONCALL SLAVE_COLD Received cluster control message
21:51:30 CEST Aug 8 2016
SLAVE_COLD SLAVE_APP_SYNC Client progression done
21:51:31 CEST Aug 8 2016
SLAVE_APP_SYNC SLAVE_CONFIG Slave application configuration sync done
21:51:43 CEST Aug 8 2016
SLAVE_CONFIG SLAVE_BULK_SYNC Configuration replication finished
21:51:55 CEST Aug 8 2016
SLAVE_BULK_SYNC SLAVE Configuration replication finished
==========================================================================
firepower#
المهمة 3. تسجيل مجموعة برنامج الإرسال فائق السرعة (FTD) إلى FMC
متطلبات المهمة:
قم بإضافة الأجهزة المنطقية إلى FMC ثم قم بتجميعها في نظام مجموعة.
الحل:
الخطوة 1. إضافة أجهزة منطقية إلى FMC. كما هو الحال مع إصدار FMC 6.3، يجب عليك تسجيل جهاز FTD واحد فقط (يوصى بأن يكون هو الجهاز الرئيسي). يتم اكتشاف بقية معرفات المنتج (FTD) تلقائيا بواسطة FMC.
قم بتسجيل الدخول إلى FMC وانتقل إلى الأجهزة> علامة التبويب إدارة الأجهزة وانقر فوق إضافة جهاز.
قم بإضافة الجهاز المنطقي الأول باستخدام الإعدادات المذكورة في الصورة.
انقر فوق التسجيل لبدء التسجيل.
يتم التحقق كما هو موضح في الصورة.
المهمة 4. تكوين الواجهات الفرعية للقناة المنفذ على FMC
متطلبات المهمة:
قم بتكوين الواجهات الفرعية لواجهة بيانات قناة المنفذ.
الحل:
الخطوة 1. من واجهة المستخدم الرسومية FMC، حدد زر FTD_Cluster Edit.
انتقل إلى علامة التبويب الواجهات وانقر على الواجهة الفرعية إضافة واجهات> كما هو موضح في الصورة.
قم بتكوين الواجهة الفرعية الأولى باستخدام هذه التفاصيل. حدد موافق لتطبيق التغييرات وكما هو موضح في الصور.
| الاسم |
داخل |
| علامة التبويب العامة |
|
| الواجهة |
Port-channel5 |
| معرف الواجهة الفرعية |
201 |
| VLAN ID |
201 |
| علامة تبويب IPv4 |
|
| نوع IP |
إستخدام IP الثابت |
| عنوان IP |
192.168.75.10/24 |
قم بتكوين الواجهة الفرعية الثانية باستخدام هذه التفاصيل.
| الاسم |
خارج |
| علامة التبويب العامة |
|
| الواجهة |
Port-channel5 |
| معرف الواجهة الفرعية |
210 |
| VLAN ID |
210 |
| علامة تبويب IPv4 |
|
| نوع IP |
إستخدام IP الثابت |
| عنوان IP |
192.168.76.10/24 |
انقر فوق موافق لإنشاء الواجهة الفرعية. انقر فوق حفظ ثم نشر التغييرات على FTD_CLUSTER كما هو موضح في الصورة.
التحقق:
المهمة 5. التحقق من الاتصال الأساسي
متطلبات المهمة:
قم بإنشاء التقاط وتحقق من الاتصال بين جهازي VM.
الحل:
الخطوة 1. إنشاء التقاط على كل وحدات نظام المجموعة.
انتقل إلى CLI الخاص ب LINA (ASA) للوحدة الرئيسية وقم بإنشاء التقاط للواجهات الداخلية والخارجية.
firepower# firepower# cluster exec capture capi interface inside match icmp any any unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# firepower# cluster exec capture capo interface outside match icmp any any unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower#
التحقق:
firepower# cluster exec show capture unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-3:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any firepower#
الخطوة 2. قم بإجراء إختبار الاتصال من VM1 إلى VM2.
قم بالإختبار مع 4 حزم. تحقق من خرج الالتقاط بعد الاختبار:
firepower# cluster exec show capture unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any unit-1-3:************************************************************* capture capi type raw-data interface Inside [Capturing - 752 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 752 bytes] match icmp any any unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match icmp any any capture capo type raw-data interface Outside [Capturing - 0 bytes] match icmp any any firepower#
قم بتشغيل الأمر للتحقق من إخراج الالتقاط على الوحدة المحددة:
firepower# cluster exec unit unit-1-3 show capture capi 8 packets captured 1: 12:58:36.162253 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 2: 12:58:36.162955 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 3: 12:58:37.173834 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 4: 12:58:37.174368 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 5: 12:58:38.187642 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 6: 12:58:38.188115 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 7: 12:58:39.201832 802.1Q vlan#201 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 8: 12:58:39.202321 802.1Q vlan#201 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 8 packets shown firepower# cluster exec unit unit-1-3 show capture capo 8 packets captured 1: 12:58:36.162543 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 2: 12:58:36.162894 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 3: 12:58:37.174002 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 4: 12:58:37.174307 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 5: 12:58:38.187764 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 6: 12:58:38.188085 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 7: 12:58:39.201954 802.1Q vlan#210 P0 192.168.75.100 > 192.168.76.100: icmp: echo request 8: 12:58:39.202290 802.1Q vlan#210 P0 192.168.76.100 > 192.168.75.100: icmp: echo reply 8 packets shown firepower#
بعد أن تنتهي من هذه المهمة، احذف الالتقاط باستخدام الأمر التالي:
firepower# cluster exec no capture capi unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# cluster exec no capture capo unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:*************************************************************
الخطوة 3. تنزيل ملف من VM2 إلى VM1.
تم تكوين VM1 مسبقا كخادم FTP، VM2 كعميل FTP.
إنشاء لقطات جديدة باستخدام ما يلي:
firepower# cluster exec capture capi interface inside match ip host 192.168.75.100 host 192.168.76.100 unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:************************************************************* firepower# cluster exec capture capo interface outside match ip host 192.168.775.100 host 192.168.76.100 unit-1-1(LOCAL):****************************************************** unit-1-3:************************************************************* unit-1-2:*************************************************************
قم بتنزيل الملف من VM2 إلى VM1، باستخدام عميل FTP.
تحقق من إخراج show conn:
firepower# cluster exec show conn all
unit-1-1(LOCAL):******************************************************
20 in use, 21 most used
Cluster:
fwd connections: 0 in use, 2 most used
dir connections: 0 in use, 52 most used
centralized connections: 0 in use, 6 most used
TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:32, bytes 665, flags UIOeN
UDP cluster 255.255.255.255:49495 NP Identity Ifc 127.2.1.1:49495, idle 0:00:00, bytes 17858058, flags -
TCP cluster 127.2.1.3:10844 NP Identity Ifc 127.2.1.1:38296, idle 0:00:33, bytes 5496, flags UI
…….
TCP cluster 127.2.1.3:59588 NP Identity Ifc 127.2.1.1:10850, idle 0:00:33, bytes 132, flags UO
unit-1-3:*************************************************************
12 in use, 16 most used
Cluster:
fwd connections: 0 in use, 4 most used
dir connections: 1 in use, 10 most used
centralized connections: 0 in use, 0 most used
TCP Outside 192.168.76.100:49175 Inside 192.168.75.100:21, idle 0:00:34, bytes 0, flags y
TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.3:48493, idle 0:00:52, bytes 224, flags UI
……..
TCP cluster 127.2.1.1:64070 NP Identity Ifc 127.2.1.3:10847, idle 0:00:11, bytes 806, flags UO
unit-1-2:*************************************************************
12 in use, 15 most used
Cluster:
fwd connections: 0 in use, 2 most used
dir connections: 0 in use, 3 most used
centralized connections: 0 in use, 0 most used
TCP cluster 127.2.1.1:10851 NP Identity Ifc 127.2.1.2:64136, idle 0:00:53, bytes 224, flags UI
……..
TCP cluster 127.2.1.1:15859 NP Identity Ifc 127.2.1.2:10847, idle 0:00:11, bytes 807, flags UO
show capture output:
firepower# cluster exec show cap unit-1-1(LOCAL):****************************************************** capture capi type raw-data interface Inside [Buffer Full - 523954 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Buffer Full - 524028 bytes] match ip host 192.168.75.100 host 192.168.76.100 unit-1-3:************************************************************* capture capi type raw-data interface Inside [Buffer Full - 524062 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Buffer Full - 524228 bytes] match ip host 192.168.75.100 host 192.168.76.100 unit-1-2:************************************************************* capture capi type raw-data interface Inside [Capturing - 0 bytes] match ip host 192.168.75.100 host 192.168.76.100 capture capo type raw-data interface Outside [Capturing - 0 bytes] match ip host 192.168.75.100 host 192.168.76.100
التقاط نظام المجموعة من واجهة مستخدم Chassis Manager
في الصورة التالية، يمكنك مشاهدة مجموعة مكونة من 3 وحدات على FPR9300 مع 2 قنوات ذات منفذين (8 و 48). الأجهزة المنطقية هي ASA، ولكن في حالة FTD سيكون نفس المفهوم. والشيء المهم الذي يجب تذكره هو أنه على الرغم من وجود 3 وحدات نظام مجموعة، فمن وجهة نظر الاعتقال لا يوجد سوى جهاز منطقي واحد:
المهمة 6. حذف جهاز تابع من نظام المجموعة
متطلبات المهمة:
قم بتسجيل الدخول إلى FMC واحذف وحدة Slave من نظام المجموعة.
الحل:
الخطوة 1. قم بتسجيل الدخول إلى وحدة التحكم في إدارة الإطارات (FMC) وانتقل إلى الجهاز > إدارة الأجهزة.
انقر أيقونة القمامة الموجودة بجوار وحدة العبيد كما هو موضح في الصورة.
تظهر نافذة التأكيد. حدد نعم لتأكيد ما هو موضح في الصورة.
التحقق:
- من FMC كما هو موضح في الصورة.
- من واجهة سطر الأوامر (CLI) لنظام التشغيل FXOS.
FPR9K-1-A# scope ssa FPR9K-1-A /ssa # show app-instance Application Name Slot ID Admin State Operational State Running Version Startup Version Cluster Oper State -------------------- ---------- --------------- -------------------- --------------- --------------- ------------------ ftd 1 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 2 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster ftd 3 Enabled Online 6.0.1.1213 6.0.1.1213 In Cluster
- من CLI (ASA) LINA.
firepower# show cluster info
Cluster FTD_cluster: On
Interface mode: spanned
This is "unit-1-1" in state MASTER
ID : 0
Version : 9.6(1)
Serial No.: FLM19216KK6
CCL IP : 127.2.1.1
CCL MAC : 0015.c500.016f
Last join : 21:51:03 CEST Aug 8 2016
Last leave: N/A
Other members in the cluster:
Unit "unit-1-3" in state SLAVE
ID : 1
Version : 9.6(1)
Serial No.: FLM19206H7T
CCL IP : 127.2.1.3
CCL MAC : 0015.c500.018f
Last join : 21:51:05 CEST Aug 8 2016
Last leave: N/A
Unit "unit-1-2" in state SLAVE
ID : 2
Version : 9.6(1)
Serial No.: FLM19206H71
CCL IP : 127.2.1.2
CCL MAC : 0015.c500.019f
Last join : 21:51:30 CEST Aug 8 2016
Last leave: N/A
firepower#
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يتم إكمال التحقق وتغطية كل مهمة على حدة.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
معلومات ذات صلة
- يمكن العثور على جميع إصدارات دليل تكوين Cisco Firepower Management Center هنا:
https://www.cisco.com/c/en/us/td/docs/security/firepower/roadmap/firepower-roadmap.html#id_47280.
- يمكن العثور على جميع إصدارات مدير هيكل FXOS وأدلة تكوين واجهة سطر الأوامر هنا:
https://www.cisco.com/c/en/us/td/docs/security/firepower/fxos/roadmap/fxos-roadmap.html#pgfId-121950.
- يوصي مركز المساعدة التقنية العالمي (TAC) من Cisco بشدة بهذا الدليل المرئي للمعرفة العملية المتعمقة حول تقنيات أمان الجيل التالي من Cisco Firepower، بما في ذلك التقنيات المذكورة في هذه المقالة:
http://www.ciscopress.com/title/9781587144806.
- لكافة عمليات التهيئة واستكشاف أخطاء الملاحظات التقنية المتعلقة بتقنيات FirePOWER وإصلاحها.
https://www.cisco.com/c/en/us/support/security/defense-center/tsd-products-support-series-home.html.
التعليقات