المقدمة
يوضح هذا المستند كيفية تكوين الدفاع ضد تهديد الطاقة النارية (FTD) عالي التوفر (HA) (التغلب على الأعطال في وضع الاستعداد/النشط) والتحقق من ذلك على أجهزة طاقة الحماية.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- 2xCisco Firepower 9300
- 2xCisco Firepower 4100 (7.2.8)
- مركز إدارة Firepower (FMC) (7.2.8)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ملاحظة: في جهاز FPR9300 باستخدام FTD، يمكنك تكوين HA داخل الهيكل فقط. يجب أن تفي الوحدتان في تكوين التوافر العالي (HA) بالشروط المذكورة هنا.
المهمة 1. التحقق من الشروط
متطلبات المهمة:
تحقق من أن كلا جهازي FTD يستوفيان متطلبات الملاحظة ويمكن تكوينهما كوحدات HA.
الحل:
الخطوة 1. قم بالاتصال ب FPR9300 Management IP وتحقق من أجهزة الوحدة النمطية.
تحقق من أجهزة FPR9300-1.
KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1 FPR9K-SM-36 V01 FLM19216KK6 Equipped 262144 36
1/2 FPR9K-SM-36 V01 FLM19206H71 Equipped 262144 36
1/3 FPR9K-SM-36 V01 FLM19206H7T Equipped 262144 36
KSEC-FPR9K-1-A#
تحقق من أجهزة FPR9300-2.
KSEC-FPR9K-2-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1 FPR9K-SM-36 V01 FLM19206H9T Equipped 262144 36
1/2 FPR9K-SM-36 V01 FLM19216KAX Equipped 262144 36
1/3 FPR9K-SM-36 V01 FLM19267A63 Equipped 262144 36
KSEC-FPR9K-2-A#
الخطوة 2. قم بتسجيل الدخول إلى مدير الهيكل FPR9300-1 وانتقل إلى الأجهزة المنطقية.
تحقق من إصدار البرنامج ورقمه ونوع الواجهات.
المهمة 2. تكوين FTD HA
متطلبات المهمة:
قم بتكوين تجاوز الفشل النشط/الاحتياطي (HA) وفقًا لهذا المخطط. في هذه الحالة، يتم إستخدام زوج 41xx.
الحل
يتم تسجيل كلا جهازي FTD بالفعل على FMC كما هو موضح في الصورة.
الخطوة 1. لتكوين تجاوز فشل برنامج الإرسال فائق السرعة (FTD)، انتقل إلى الأجهزة > إدارة الأجهزة واختر إضافة توفر عال كما هو موضح في الصورة.
الخطوة 2. أدخل النظير الأساسي والنظير الثانوي واختر متابعة كما هو موضح في الصورة.
تحذير: تأكد من تحديد الوحدة الصحيحة كوحدة أساسية. يتم نسخ جميع التكوينات الموجودة في الوحدة الأساسية المحددة نسخا متماثلا إلى وحدة FTD الثانوية المحددة. ونتيجة للنسخ المتماثل، يمكن إستبدال التكوين الحالي على الوحدة الثانوية.
المعايير
لإنشاء توافر عالٍ (HA) بين جهازين من أجهزة FTD، يجب أن تتحقق هذه الشروط:
- الطراز نفسه
- الإصدار نفسه- ينطبق هذا على FXOS وعلى FTD - رئيسي (رقم أول)، ثانوي (رقم ثان)، والصيانة (رقم ثالث) يجب أن تكون متساوية.
- نفس عدد الواجهات
- نفس نوع الواجهات
- كلا الجهازين كجزء من نفس المجموعة/المجال في FMC.
- لديهم تكوين بروتوكول وقت الشبكة (NTP) مماثل.
- أن يتم نشره بالكامل على FMC بدون تغييرات غير ملتزمة.
- أن يكون في نفس وضع جدار الحماية: موجه أو شفاف.
ملاحظة: يجب التحقق من هذا على كل من أجهزة FTD وواجهة المستخدم الرسومية (GUI) ل FMC حيث كانت هناك حالات كان فيها ل FTDs الوضع نفسه، ولكن لا تعكس FMC هذا.
- لا يحتوي على بروتوكول DHCP/من نقطة إلى نقطة عبر الإيثرنت (PPPoE) تم تكوينه في أي من الواجهات.
- اسم المضيف المختلف [اسم المجال المؤهل بالكامل (FQDN)] لكل من الهيكل. للتحقق من اسم المضيف للهيكل، انتقل إلى واجهة سطر الأوامر (CLI) من FTD وشغل هذا الأمر:
firepower# show chassis-management-url
https://KSEC-FPR9K-1.cisco.com:443//
ملاحظة: في فترة ما بعد 6.3 وفقا لمعيار الدقة FTD، أستخدم الأمر show chassis detail.
Firepower-module1# show chassis detail
Chassis URL : https://FP4100-5:443//
Chassis IP : 10.62.148.187
Chassis IPv6 : ::
Chassis Serial Number : JAD19500BAB
Security Module : 1
إذا كان كلا الهيكلين القاعديين لهما الاسم نفسه، فغيّر الاسم في أحدهما باستخدام هذه الأوامر:
KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#
بعد تغيير اسم الهيكل القاعدي، قم بإلغاء تسجيل FTD من FMC وتسجيله مرة أخرى. ثم تابع إنشاء زوج التوافر العالي (HA).
الخطوة 3. شكلت ال HA وحللت الروابط عملية إعداد.
في حالتك، يكون لارتباط الحالة نفس إعدادات ارتباط التوافر العالي.
أختر إضافة وانتظر دقائق قليلة حتى يتم نشر زوج HA كما هو موضح في الصورة.
الخطوة 4. تكوين واجهات البيانات (عناوين IP الأساسية والاحتياطية)
من واجهة المستخدم الرسومية FMC، أختر تحرير HA كما هو موضح في الصورة.
الخطوة 5. شكلت القارن عملية إعداد:
في حالة الواجهة الفرعية، تحتاج أولا إلى تمكين الواجهة الأصلية:
الخطوة 6. انتقل إلى الإتاحة العالية واختر تحرير اسم الواجهة لإضافة عناوين IP الاحتياطية كما هو موضح في الصورة.
الخطوة 7. للواجهة الداخلية كما هو موضح في الصورة.
الخطوة 8. قم بنفس الإجراء للواجهة الخارجية.
الخطوة 9. تحقق من النتيجة كما هو موضح في الصورة.
الخطوة 10. ابق على علامة التبويب عالي التوافر، وقم بتكوين عناوين MAC الظاهرية كما هو موضح في الصورة.
الخطوة 11. بالنسبة للواجهة الداخلية كما هو موضح في الصورة.
الخطوة 12. قم بنفس الإجراء للواجهة الخارجية.
الخطوة 13. تحقق من النتيجة كما هو موضح في الصورة.
الخطوة 14. بعد تكوين التغييرات، أختر حفظ ونشر.
المهمة 3. التحقق من FTD HA والترخيص
متطلبات المهمة:
تحقق من إعدادات التوافر العالي لبرنامج FTD والتراخيص الممكَّنة من واجهة المستخدم الرسومية FMC ومن واجهة سطر أوامر FTD.
الحل:
الخطوة 1. انتقل إلى الملخص وتحقق من إعدادات HA والتراخيص الممكنة كما هو موضح في الصورة.
الخطوة 2. من واجهة سطر الأوامر (CLI) الخاصة ب FTD، قم بتشغيل الأمر show high-availability config" أو show failed over":
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.18(4)210, Mate 9.18(4)210
Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
Last Failover at: 08:46:30 UTC Jul 18 2024
This host: Primary - Active
Active time: 1999 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface Inside (192.168.75.10): Link Down (Shutdown)
Interface Outside (192.168.76.10): Normal (Not-Monitored)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 1466 (sec)
slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface Inside (192.168.75.11): Link Down (Shutdown)
Interface Outside (192.168.76.11): Normal (Not-Monitored)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
<output omitted>
الخطوة 3. قم بالمثل على الجهاز الثانوي.
الخطوة 4. قم بتشغيل أمر show failover state من واجهة سطر الأوامر (CLI) عبر LINA:
firepower# show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 18:32:56 EEST Jul 21 2016
====Configuration State===
Sync Done
====Communication State===
Mac set
firepower#
الخطوة 5. التحقق من التكوين من الوحدة الأساسية (CLI الخاص بواجهة سطر الأوامر (LINA)):
> show running-config failover
failover
failover lan unit primary
failover lan interface FOVER Port-channel3
failover replication http
failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
failover link FOVER Port-channel3
failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2
> show running-config interface
!
interface Port-channel2
no nameif
no security-level
no ip address
!
interface Port-channel2.202
vlan 202
nameif Outside
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Port-channel3
description LAN/STATE Failover Interface
!
interface Ethernet1/1
management-only
nameif diagnostic
security-level 0
no ip address
!
interface Ethernet1/4
shutdown
nameif Inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
>
المهمة 4. تبديل أدوار تجاوز الفشل
متطلبات المهمة:
من FMC، قم بتبديل أدوار تجاوز الفشل من أساسي/نشط، وثانوي/احتياطي إلى أساسي/احتياطي، وثانوي/نشط
الحل:
الخطوة 1. حدد الأيقونة كما هو موضح في الصورة.
الخطوة 2. تأكيد الإجراء.
يمكنك إستخدام إخراج الأمر show failover history :
| في Active الجديد |
في وضع الاستعداد الجديد |
| > إظهار محفوظات تجاوز الفشل
==============================================================================================================
من ولاية إلى أخرى
============================================================================================================== 09:27:11 UTC يوليو 18 2024
الاستعداد فقط نشط الوحدة الأخرى تريدني نشطة
(يتم تعيينه بواسطة الأمر config) 09:27:11 UTC يوليو 18 2024
فقط "إستنزاف نشط" آخر يريدني نشط
(يتم تعيينه بواسطة الأمر config) 09:27:11 UTC يوليو 18 2024
Active Flow Active Application Config تريدني وحدة أخرى نشطة
(يتم تعيينه بواسطة الأمر config) 09:27:11 UTC يوليو 18 2024
التطبيق النشط ل config active config مطبق على وحدة أخرى يريدني نشطة
(يتم تعيينه بواسطة الأمر config) 09:27:11 UTC يوليو 18 2024
Active Config Application Active Other Unit تريد مني Active
(يتم تعيينه بواسطة الأمر config) |
> إظهار محفوظات تجاوز الفشل
==============================================================================================================
من ولاية إلى أخرى
============================================================================================================== 09:27:11 UTC يوليو 18 2024
وضع الاستعداد النشط الجاهزة المحدد بواسطة الأمر config
(لا يوجد تجاوز فشل نشط) |
الخطوة 4. بعد التحقق، قم بتفعيل الوحدة الأساسية مرة أخرى.
المهمة 5. كسر زوج HA
متطلبات المهمة:
من FMC، اقطع زوج تجاوز الفشل.
الحل:
الخطوة 1. حدد الأيقونة كما هو موضح في الصورة.
الخطوة 2. تحقق من الإخطار كما هو موضح في الصورة.
الخطوة 3. لاحظ الرسالة كما هو موضح في الصورة.
الخطوة 4. تحقق من النتيجة من واجهة المستخدم الرسومية (GUI) ل FMC أو من واجهة سطر الأوامر
show running-config على الوحدة الأساسية قبل قطع التوافر العالي وبعده:
| الوحدة الأساسية/الاحتياطية قبل راحة HA |
الوحدة الأساسية بعد راحة HA |
| > show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM1949C5RR
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
اسم خارج
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11
!
interface Port-channel3
واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
اسم داخل
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11
!
وضع FTP الخامل
ngips conn-match vlan-id
التحكم بالوصول إلى البحث عن كائنات
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 26843433: نهج الوصول: acp_simple - الافتراضي
access-list csm_fw_acl_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي
تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500
MTU Diagnostic 1500
وحدة الحد الأقصى للنقل (MTU) داخل 1500
تجاوز الفشل
الوحدة الرئيسية لتخطي الأعطال
واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3
بروتوكول HTTP للنسخ المتطابق للأعطال
عنوان التحكم في الوصول إلى الوسائط (MAC) لتجاوز الفشل شبكة إيثرنت 1/4 aaa.bbb.111 aaa.bbb.222
عنوان MAC لتجاوز الفشل منفذ-channel2.202 aaa.bbb.333aaa.bbb.444
قناة المنفذ 3 الخاصة برفق تجاوز الفشل
واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2 <الإخراج محذوف> |
> معلومات: هذه الوحدة في حالة الاستعداد حاليا. من خلال تعطيل تجاوز الفشل، ستظل هذه الوحدة في حالة الاستعداد. > show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM1949C5RR
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel3
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
واجهة Ethernet1/1
الإدارة فقط
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
واجهة Ethernet1/4
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
وضع FTP الخامل
ngips conn-match vlan-id
التحكم بالوصول إلى البحث عن كائنات
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: سياسة الوصول: acp_simple - إلزامية
access-list csm_fw_acl_ ملاحظة rule-id 268439552: قاعدة l7: القاعدة 1
تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
عدم تجاوز الفشل
<الإخراج محذوف>
|
| الوحدة الثانوية/النشطة قبل فاصل HA |
الوحدة الثانوية بعد راحة HA |
| >show config
: تم الحفظ :
: الرقم التسلسلي: FLM2108V9YG
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
اسم خارج
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11
!
interface Port-channel3
واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
اسم داخل
مستوى الأمان 0
عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11
!
وضع FTP الخامل
ngips conn-match vlan-id
التحكم بالوصول إلى البحث عن كائنات
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: سياسة الوصول: acp_simple - إلزامية
access-list csm_fw_acl_ ملاحظة rule-id 268439552: قاعدة l7: القاعدة 1
تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500
MTU Diagnostic 1500
وحدة الحد الأقصى للنقل (MTU) داخل 1500
تجاوز الفشل
وحدة الشبكة المحلية الافتراضية الثانوية
واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3
بروتوكول HTTP للنسخ المتطابق للأعطال
قناة المنفذ 3 الخاصة برفق تجاوز الفشل
واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2 <الإخراج محذوف> |
> show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM2108V9YG
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73850 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
اسم خارج
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 192.168.76.10 255.255.255.0 في وضع الاستعداد 192.168.76.11
!
interface Port-channel3
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
اسم داخل
مستوى الأمان 0
عنوان IP 192.168.75.10 255.255.255.0 في وضع الاستعداد 192.168.75.11
!
وضع FTP الخامل
ngips conn-match vlan-id
التحكم بالوصول إلى البحث عن كائنات
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 268439552: سياسة الوصول: acp_simple - إلزامية
access-list csm_fw_acl_ ملاحظة rule-id 268439552: قاعدة l7: القاعدة 1
تصريح متقدم على ip أي قاعدة-id 268439552 لقائمة الوصول CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
خارج وحدة الحد الأقصى للنقل (MTU) طراز 1500
MTU Diagnostic 1500
وحدة الحد الأقصى للنقل (MTU) داخل 1500
عدم تجاوز الفشل
لا توجد واجهة جهاز عرض في الخارج
no monitor-interface service-module <الإخراج محذوف> |
النقاط الرئيسية التي يجب ملاحظتها في قطع التوافر العالي:
| الوحدة الأساسية/الاحتياطية |
الوحدة الثانوية/النشطة |
- تتم إزالة جميع تكوينات تجاوز الفشل
- تمت إزالة جميع تكوين IP
|
- تتم إزالة جميع تكوينات تجاوز الفشل
- ما زالت بروتوكولات الإنترنت (IP) الاحتياطية باقية، ولكنها تمت إزالتها في النشر التالي
|
الخطوة 5. بعد الانتهاء من هذه المهمة، قم بإعادة إنشاء زوج HA.
المهمة 6. حذف زوج HA
تستند هذه المهمة إلى إعداد HA على 41xx باستخدام برنامج 7.2.8. في هذه الحالة، كانت الأجهزة في البداية موجودة في هذه الولايات:
متطلبات المهمة:
من FMC، احذف زوج تجاوز الفشل.
الحل:
الخطوة 1. أختر الأيقونة كما هو موضح في الصورة:
الخطوة 2. تحقق من الإعلام وتأكد كما هو موضح في الصورة:
الخطوة 3. بعد حذف HA، يتم إلغاء تسجيل (إزالة) كلا الجهازين من FMC.
نتيجة show running-config من واجهة سطر أوامر LINA كما هو موضح في الجدول هنا:
| الوحدة الأساسية (جاهزة)
|
الوحدة الثانوية (نشطة)
|
| > show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM1949C5RR
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower-module1
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
لا يوجد بروتوكول تفتيش ASP-DP
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
نظام NameIf NET202
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2
!
interface Port-channel2.203
vlan 203
نظام NameIf Net203
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2
!
interface Port-channel3
واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
نظام NameIf NET204
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2
!
وضع FTP الخامل
ngips conn-match vlan-id
لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 26843433: نهج الوصول: acp_simple - الافتراضي
access-list csm_fw_acl_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي
تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
مسح TCP-options MD5
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
MTU NET202 1500
MTU NET203 1500
MTU Diagnostic 1500
MTU NET204 1500
تجاوز الفشل
الوحدة الرئيسية لتخطي الأعطال
واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3
بروتوكول HTTP للنسخ المتطابق للأعطال
قناة المنفذ 3 الخاصة برفق تجاوز الفشل
واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2
monitor-interface NET202
monitor-interface NET203
ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 <الإخراج محذوف>
> show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.2 255.255.255.0 config
Port-channel2.203 NET203 172.16.203.2 255.255.255.0 config
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
Ethernet1/4 NET204 172.16.204.2 255.255.255.0 Config > إظهار تجاوز الفشل
تشغيل تجاوز الفشل
وحدة تجاوز الفشل الرئيسية
واجهة الشبكة المحلية (LAN) للتغلب على الأعطال: نظام التشغيل Fover Port-channel3 (up)
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 4 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
بروتوكول HTTP للنسخ المتطابق للأعطال
الترجمة: طبعنا 9.18(4)210، رفيق زواجه 9.18(4)210
الرقم التسلسلي: Our FLM1949C5RR، Mate FLM2108V9YG
آخر تجاوز للفشل في:13:56:37 بالتوقيت العالمي المنسق 16 يوليو 2024
هذا المضيف: أساسي - جاهز للعمل في وضع الاستعداد
الوقت النشط: 0 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
واجهة NET202 (172.16.202.2): عادي (monitore)
واجهة NET203 (172.16.203.2): عادي (monitore)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.2): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up)
مضيف آخر: ثانوي - نشط
الوقت النشط: 70293 (ثانية)
واجهة NET202 (172.16.202.1): عادي (monitore)
واجهة NET203 (172.16.203.1): عادي (monitore)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.1): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up) <الإخراج محذوف> |
> show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM2108V9YG
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower-module1
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
لا يوجد بروتوكول تفتيش ASP-DP
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
نظام NameIf NET202
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2
!
interface Port-channel2.203
vlan 203
نظام NameIf Net203
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2
!
interface Port-channel3
واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
نظام NameIf NET204
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2
!
وضع FTP الخامل
ngips conn-match vlan-id
لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 26843433: نهج الوصول: acp_simple - الافتراضي
access-list csm_fw_acl_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي
تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
مسح TCP-options MD5
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
MTU NET202 1500
MTU NET203 1500
MTU Diagnostic 1500
MTU NET204 1500
تجاوز الفشل
وحدة الشبكة المحلية الافتراضية الثانوية
واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3
بروتوكول HTTP للنسخ المتطابق للأعطال
قناة المنفذ 3 الخاصة برفق تجاوز الفشل
واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2
monitor-interface NET202
monitor-interface NET203
ICMP الذي يتعذر الوصول إليه rate-limit 1 burst-size 1 <الإخراج محذوف>
>عرض IP
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 config
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 config
Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 Config > إظهار تجاوز الفشل
تشغيل تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة الشبكة المحلية (LAN) للتغلب على الأعطال: نظام التشغيل Fover Port-channel3 (up)
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 4 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
بروتوكول HTTP للنسخ المتطابق للأعطال
الترجمة: طبعنا 9.18(4)210، رفيق زواجه 9.18(4)210
الرقم التسلسلي: Our FLM2108V9YG، Mate FLM1949C5RR
آخر تجاوز للفشل في:13:42:35 بالتوقيت العالمي المنسق 16 يوليو 2024
هذا المضيف: ثانوي - نشط
الوقت النشط: 70312 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
واجهة NET202 (172.16.202.1): عادي (monitore)
واجهة NET203 (172.16.203.1): عادي (monitore)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.1): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up)
مضيف آخر: أساسي - جاهز للعمل في وضع الاستعداد
الوقت النشط: 0 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
واجهة NET202 (172.16.202.2): عادي (monitore)
واجهة NET203 (172.16.203.2): عادي (monitore)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.2): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up) <الإخراج محذوف> |
الخطوة 4. لم يتم تسجيل كلا جهازي FTD من FMC:
> show managers
No managers configured.
النقاط الرئيسية التي يجب ملاحظتها فيما يتعلق بخيار تعطيل التوافر العالي (HA) في FMC:
| الوحدة الأساسية |
الوحدة الثانوية
|
| تتم إزالة الجهاز من FMC. لم تتم إزالة أي تكوين من جهاز FTD. |
تتم إزالة الجهاز من FMC. لم تتم إزالة أي تكوين من جهاز FTD. |
السيناريو 1
قم بتشغيل الأمر 'configure high-availability disable' لإزالة تكوين تجاوز الفشل من جهاز FTD النشط:
> configure high-availability disable ?
Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
<cr>
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.
النتيجة:
| الوحدة الأساسية (وضع الاستعداد السابق)
|
الوحدة الثانوية (نشطة سابقا)
|
> INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state. > show failover
Failover Off (pseudo-Standby)
Failover unit Primary
Failover LAN Interface: FOVER Port-channel3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 0 of 1291 maximum
MAC Address Move Notification Interval not set
failover replication http > show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
|
> show failover
Failover Off
Failover unit Secondary
Failover LAN Interface: not Configured
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1291 maximum
MAC Address Move Notification Interval not set > show ip
System IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
Current IP Addresses:
Interface Name IP address Subnet mask Method
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
|
| أساسي (وضع الاستعداد السابق)
|
ثانوي (نشط مسبقا)
|
| > show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM1949C5RR
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower-module1
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
لا يوجد بروتوكول تفتيش ASP-DP
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP <- تتم إزالة عناوين IP
!
interface Port-channel3
واجهة تجاوز فشل الحالة/الشبكة المحلية (LAN) للوصف
!
واجهة Ethernet1/1
الإدارة فقط
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
واجهة Ethernet1/4
الإغلاق
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
وضع FTP الخامل
ngips conn-match vlan-id
لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 26843433: نهج الوصول: acp_simple - الافتراضي
access-list csm_fw_acl_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي
تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
مسح TCP-options MD5
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
عدم تجاوز الفشل
الوحدة الرئيسية لتخطي الأعطال
واجهة شبكة LAN لتجاوز الفشل عبر المنفذ 3
بروتوكول HTTP للنسخ المتطابق للأعطال
قناة المنفذ 3 الخاصة برفق تجاوز الفشل
واجهة تجاوز الفشل IP من أجل الاستعداد 172.16.51.1 255.255.255.0 172.16.51.2
no monitor-interface service-module <الإخراج محذوف> |
> show running-config
: تم الحفظ :
: الرقم التسلسلي: FLM2108V9YG
: الأجهزة: FPR4K-SM-24، ذاكرة وصول عشوائي سعة 73853 ميجابايت، معالج Xeon فئة E5 بسرعة 2200 ميجاهرتز، وحدتا معالجة مركزية (48 مركزا)
:
NGFW، الإصدار 7.2.8
!
اسم المضيف Firepower-module1
تمكين كلمة المرور **** مشفرة
strong-encryption-disable
لا يوجد بروتوكول تفتيش ASP-DP
service-module 0 keepalive-timeout 4
عداد خدمة الوحدة النمطية 0 keepalive 6
أسماء
لا يوجد عنوان تلقائي !
interface port-channel2
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
interface Port-channel2.202
vlan 202
نظام NameIf NET202
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.202.1 255.255.255.0 في وضع الاستعداد 172.16.202.2
!
interface Port-channel2.203
vlan 203
نظام NameIf Net203
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.203.1 255.255.255.0 في وضع الاستعداد 172.16.203.2
!
interface Port-channel3
بلا اسم
لا يوجد مستوى أمني
لا يوجد عنوان IP
!
واجهة Ethernet1/1
الإدارة فقط
تشخيص الأسماء
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
لا يوجد عنوان IP
!
واجهة Ethernet1/4
نظام NameIf NET204
دليل CTS
الرقيب المتكاثر Preserve-untag
سياسة رقيب ثابت معطل موثوق به
مستوى الأمان 0
عنوان IP 172.16.204.1 255.255.255.0 في وضع الاستعداد 172.16.204.2
!
وضع FTP الخامل
ngips conn-match vlan-id
لا يوجد تحكم بالوصول إلى مجموعة كائنات-بحث
access-group CSM_FW_ACL_ global
access-list CSM_FW_ACL_ ملاحظة rule-id 9998: نهج PreFilter: النفق الافتراضي ونهج الأولوية
access-list csm_fw_acl_ ملاحظة rule-id 9998: القاعدة: قاعدة إجراء النفق الافتراضي
تصريح متقدم من نوع CSM_FW_ACL_ يدعم أي قاعدة-id 9998
access-list CSM_FW_ACL_ تصريح متقدم UDP any eq 3544 أي نطاق 1025 65535 rule-id 998
access-list CSM_FW_ACL_ تصريح متقدم UDP أي نطاق 1025 65535 أي eq 3544 rule-id 998
الوصول-list CSM_FW_ACL_ متقدم يسمح 41 بأي قاعدة-id 998
الوصول-list CSM_FW_ACL_ السماح المتقدم يقدم أي قاعدة-id 9998
access-list CSM_FW_ACL_ ملاحظة rule-id 26843433: نهج الوصول: acp_simple - الافتراضي
access-list csm_fw_acl_ ملاحظة rule-id 268434433: قاعدة L4: قاعدة الإجراء الافتراضي
تصريح متقدم على عنوان أي قاعدة-id 26843433 ل CSM_FW_ACL_
!
tcp-map UM_STATIC_TCP_MAP
السماح بنطاق خيارات TCP 6 7
السماح بنطاق خيارات TCP 9 18
يسمح نطاق خيارات بروتوكول TCP رقم 20 255
مسح TCP-options MD5
السماح بعلامة عاجلة
!
بدون جهاز النداء
لا توجد رسالة تسجيل 106015
لا توجد رسالة تسجيل 313001
لا توجد رسالة تسجيل 313008
لا توجد رسالة تسجيل 106023
لا توجد رسالة تسجيل 710003
لا توجد رسالة تسجيل 106100
لا توجد رسالة تسجيل دخول 302015
لا توجد رسالة تسجيل دخول 302014
لا توجد رسالة تسجيل 302013
لا توجد رسالة تسجيل دخول 302018
لا توجد رسالة تسجيل دخول 302017
لا توجد رسالة تسجيل دخول 302016
لا توجد رسالة تسجيل 302021
لا توجد رسالة تسجيل دخول 302020
MTU NET202 1500
MTU NET203 1500
MTU Diagnostic 1500
MTU NET204 1500
عدم تجاوز الفشل
monitor-interface NET202
monitor-interface NET203
no monitor-interface service-module |
النقاط الرئيسية التي تريد ملاحظتها لتعطيل HA من واجهة سطر الأوامر (CLI) في FTD النشطة:
| وحدة نشطة
|
وحدة إحتياطية
|
- تمت إزالة تكوين تجاوز الفشل
- لم تتم إزالة عناوين IP الاحتياطية
|
- تتم إزالة تكوينات الواجهة.
- لم تتم إزالة تكوين تجاوز الفشل، ولكن تم تعطيل تجاوز الفشل (وضع الاستعداد الظاهري)
|
عند هذه النقطة يمكنك تعطيل HA أيضا على وحدة الاستعداد السابقة.
السيناريو 2 (غير مستحسن)
تحذير: يؤدي هذا السيناريو إلى حالة نشطة/نشطة، وبالتالي لا يوصى به. لا يظهر إلا للوعي.
قم بتشغيل الأمر configure high-availability disable" لإزالة تكوين تجاوز الفشل من جهاز FTD في وضع الاستعداد:
> configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.
النتيجة:
| أساسي (وضع الاستعداد السابق) |
ثانوي (نشط)
|
| > إظهار تجاوز الفشل
إيقاف تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة شبكة LAN لتجاوز الفشل: غير مكونة
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 4 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 يدوي <- يستخدم الجهاز نفس عناوين IP كما هو الحال مع النشاط السابق!
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
|
> إظهار تجاوز الفشل
تجاوز الفشل <- لا يتم تعطيل تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة الشبكة المحلية (LAN) للتغلب على الأعطال: نظام التشغيل Fover Port-channel3 (up)
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 4 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
بروتوكول HTTP للنسخ المتطابق للأعطال
الترجمة: طبعنا 9.18(4)210، رفيق زواجه 9.18(4)210
الرقم التسلسلي: Our FLM2108V9YG، Mate FLM1949C5RR
آخر تجاوز للفشل في:12:44:06 بالتوقيت العالمي المنسق 17 يوليو 2024
هذا المضيف: ثانوي - نشط
الوقت النشط: 632 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.1): عادي (monitore)
واجهة NET203 (172.16.203.1): عادي (monitore)
واجهة NET202 (172.16.202.1): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up)
مضيف آخر: أساسي - معطل
الوقت النشط: 932 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
تشخيص الواجهة (0.0.0.0): غير معروف (قيد الانتظار)
الواجهة NET204 (172.16.204.2): غير معروف (مرصد)
الواجهة NET203 (172.16.203.2): غير معروف (مرصد)
الواجهة NET202 (172.16.202.2): غير معروف (مرصد)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up) > show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-channel2.202 NET202 172.16.202.1 255.255.255.0 يدوي <- يستخدم الجهاز نفس عناوين IP كما هو الحال في وضع الاستعداد السابق!
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0 |
النقاط الرئيسية التي تريد ملاحظتها لتعطيل HA من واجهة سطر الأوامر (CLI) في FTD النشطة:
| وحدة نشطة
|
وحدة إحتياطية
|
- لم تتم إزالة تكوين تجاوز الفشل ويبقى ممكنا
- يستخدم الجهاز نفس عناوين IP مثل وحدة الاستعداد السابقة
|
- تمت إزالة تكوين تجاوز الفشل
- يستخدم الجهاز نفس عناوين IP الخاصة بالوحدة النشطة
|
السيناريو 3
قم بتشغيل الأمر configure high-availability disable clear-interfaces لإزالة تكوين تجاوز الفشل من جهاز FTD النشط:
> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.
>
النتيجة:
| أساسي (وضع الاستعداد السابق) |
ثانوي (نشط مسبقا)
|
| > إظهار تجاوز الفشل
إيقاف تجاوز الفشل (وضع الاستعداد الظاهري)
وحدة تجاوز الفشل الرئيسية
واجهة الشبكة المحلية (LAN) للتغلب على الأعطال: نظام التشغيل Fover Port-channel3 (up)
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 0 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
بروتوكول HTTP للنسخ المتطابق للأعطال
> show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
>
|
> إظهار تجاوز الفشل
إيقاف تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة شبكة LAN لتجاوز الفشل: غير مكونة
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 0 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
>
|
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA مع 'واجهات واضحة' من واجهة سطر الأوامر (CLI) في FTD النشطة:
| وحدة نشطة
|
وحدة إحتياطية
|
- تمت إزالة تكوين تجاوز الفشل
- تمت إزالة عناوين IP
|
- لم تتم إزالة تكوين تجاوز الفشل، ولكن تم تعطيل تجاوز الفشل (وضع الاستعداد الظاهري)
- تمت إزالة عناوين IP
|
السيناريو 4
قم بتشغيل الأمر configure high-availability disable clear-interfaces لإزالة تكوين تجاوز الفشل من جهاز FTD في وضع الاستعداد:
> configure high-availability disable clear-interfaces
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': YES
Successfully disabled high-availability.
>
النتيجة:
| أساسي (وضع الاستعداد السابق) |
ثانوي (نشط)
|
| > إظهار تجاوز الفشل
إيقاف تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة شبكة LAN لتجاوز الفشل: غير مكونة
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 0 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
> show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
>
|
> إظهار تجاوز الفشل
تشغيل تجاوز الفشل
وحدة تجاوز الفشل الثانوية
واجهة الشبكة المحلية (LAN) للتغلب على الأعطال: نظام التشغيل Fover Port-channel3 (up)
مهلة إعادة الاتصال 0:00:00
تكرار إستطلاع الوحدة 1 ثانية، وقت التفريغ 15 ثانية
تكرار إستطلاع الواجهة 5 ثوان، وقت الرفض 25 ثانية
سياسة الواجهة 1
الواجهات المراقبة 4 من 1291 كحد أقصى
لم يتم تعيين الفاصل الزمني لإخطار نقل عنوان MAC
بروتوكول HTTP للنسخ المتطابق للأعطال
الترجمة: طبعنا 9.18(4)210، رفيق زواجه 9.18(4)210
الرقم التسلسلي: Our FLM2108V9YG، Mate FLM1949C5RR
آخر تجاوز للفشل في: 07:06:56 بالتوقيت العالمي المنسق 18 يوليو 2024
هذا المضيف: ثانوي - نشط
الوقت النشط: 1194 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
تشخيص الواجهة (0.0.0.0): عادي (قيد الانتظار)
الواجهة NET204 (172.16.204.1): عادي (monitore)
واجهة NET202 (172.16.202.1): عادي (monitore)
واجهة NET203 (172.16.203.1): عادي (monitore)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up)
مضيف آخر: أساسي - معطل
الوقت النشط: 846 (ثانية)
slot 0: وضع UCSB-B200-M3-U HW/SW (0.0/9.18(4)210) (UP SYS)
تشخيص الواجهة (0.0.0.0): غير معروف (قيد الانتظار)
الواجهة NET204 (172.16.204.2): غير معروف (مرصد)
الواجهة NET202 (172.16.202.2): غير معروف (مرصد)
الواجهة NET203 (172.16.203.2): غير معروف (مرصد)
slot 1: حالة مراجعة snort (1.0) (up)
slot 2: حالة الإصدار Diskstatus (1.0) (up) > show ip
عناوين IP للنظام:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
Port-Channel3 من الإصدار 172.16.51.1 255.255.255.0 غير محدد
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0
عناوين IP الحالية:
طريقة قناع شبكة IP الفرعية لعنوان اسم الواجهة
دليل Port-channel2.202 NET202 172.16.202.1 255.255.255.0
دليل Port-channel2.203 NET203 172.16.203.1 255.255.255.0
Port-Channel3 من الإصدار 172.16.51.2 255.255.255.0 غير محدد
دليل Ethernet1/4 NET204 172.16.204.1 255.255.255.0 |
النقاط الرئيسية التي يجب ملاحظتها لتعطيل HA مع 'واجهات واضحة' من واجهة سطر الأوامر (CLI) في FTD النشطة:
| وحدة نشطة
|
وحدة إحتياطية
|
- لم تتم إزالة تكوين تجاوز الفشل
- لم تتم إزالة عناوين IP
|
- تمت إزالة تكوين تجاوز الفشل
- تمت إزالة عناوين IP
|
الخطوة 6. بعد الانتهاء من المهمة، قم بتسجيل الأجهزة في FMC وتمكين زوج HA.
المهمة 7. تعليق HA
متطلبات المهمة:
قم بتعليق التوافر العالي من واجهة سطر أوامر FTD CLISH
الحل:
الخطوة 1. في FTD الأساسي، قم بتشغيل الأمر والتأكيد (اكتب YES).
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.
الخطوة 2. التحقق من التغييرات على الوحدة الأساسية:
> show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 3. النتيجة على الوحدة الثانوية:
> show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 4. إستئناف الخدمة الفعلية على الوحدة الأساسية:
> configure high-availability resume
Successfully resumed high-availablity.
> .
No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate
>
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
الخطوة 5. النتيجة على الوحدة الثانوية بعد استئنافك ههه:
> ..
Detected an Active mate
Beginning configuration replication from mate.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.
>
> show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>
الأسئلة المتداولة (FAQ)
عند نسخ التكوين نسخا متماثلا، هل يتم حفظه مباشرة (سطرا بسطر) أو في نهاية النسخ المتماثل؟
في نهاية النسخ المتماثل. الدليل موجود في نهاية إخراج الأمر debug fover sync الذي يعرض النسخ المتماثل للأمر/التكوين:
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory <--
ماذا يحدث إذا كانت الوحدة في حالة إستعداد كاذب (تم تعطيل تجاوز الفشل) ثم قمت بإعادة تحميلها بينما الوحدة الأخرى تم تمكين تجاوز الفشل وكانت نشطة؟
ينتهي بك الأمر في سيناريو نشط/نشط (على الرغم من أنه من الناحية الفنية يتميز بالنشاط/تجاوز الفشل). وبشكل خاص، بمجرد ظهور الوحدة، يتم تعطيل تجاوز الفشل، ولكن تستخدم الوحدة نفس عناوين IP الخاصة بالوحدة النشطة. بشكل فعّال، لديك:
- الوحدة - 1: فعال
- الوحدة-2: تم إيقاف تجاوز الفشل. تستخدم الوحدة نفس عناوين IP للبيانات مثل Unit-1، لكن عناوين MAC مختلفة.
ماذا يحدث لتكوين تجاوز الفشل إذا قمت بتعطيل تجاوز الفشل يدويا (تكوين تعليق عالي التوفر)، ثم قمت بإعادة تحميل الجهاز؟
عندما تقوم بتعطيل تجاوز الفشل، فإنه ليس تغييرا دائما (لا يتم حفظه في startup-config ما لم تقرر القيام بذلك بشكل صريح). يمكنك إعادة تحميل/إعادة تحميل الوحدة بطريقتين مختلفتين، وبالطريقة الثانية يجب عليك توخي الحذر:
الحالة 1. إعادة التشغيل من Clish
لا يطلب إعادة التشغيل من CLISH تأكيدًا. وبالتالي، لا يتم حفظ تغيير التكوين في تكوين بدء التشغيل:
> configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.
يحتوي running-config على تجاوز الفشل معطل. في هذه الحالة، كانت الوحدة في وضع الاستعداد ودخلت في حالة الاستعداد الزائفة كما هو متوقع لتجنب سيناريو نشط/نشط:
firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
يتضمن برنامج startup-config إمكانية تجاوز الفشل التي لا تزال ممكنة:
firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
إعادة تشغيل الجهاز من CLISH (الأمر reboot ):
> reboot
This command will reboot the system. Continue?
Please enter 'YES' or 'NO': YES
Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...
بمجرد أن تكون الوحدة قيد التشغيل، نظرًا لتمكين تجاوز الفشل، يدخل الجهاز مرحلة تفاوض تجاوز الفشل ويحاول اكتشاف النظير البعيد:
User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .
Detected an Active mate
الحالة 2. إعادة التشغيل من واجهة سطر الأوامر (CLI) لنظام التشغيل Lina
يطلب إعادة التمهيد من LINA (الأمر reload) التأكيد. لذلك، في حالة تحديد Y (نعم)، يتم حفظ تغيير التكوين في startup-config:
firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y <-- Be careful. This disables the failover in the startup-config
Cryptochecksum: 31857237 8658f618 3234be7c 854d583a
8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****
بمجرد أن تكون الوحدة قيد التشغيل، يتم تعطيل تجاوز الفشل:
firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)
ملاحظة: لتجنب هذا السيناريو، تأكد من عدم حفظ التغييرات على startup-config عند مطالبتك بذلك.
معلومات ذات صلة
- يمكن العثور على جميع إصدارات دليل تكوين Cisco Firepower Management Center هنا
التنقل عبر وثائق الدفاع عن تهديد جدار الحماية الآمن من Cisco
- يمكن العثور على جميع إصدارات FXOS Chassis Manager وأدلة تكوين واجهة سطر الأوامر (CLI) هنا
تصفح وثائق Cisco Firepower 4100/9300 FXOS
- يوصي مركز المساعدة التقنية العالمي (TAC) من Cisco بشدة بهذا الدليل المرئي للمعرفة العملية المتعمقة حول تقنيات أمان الجيل التالي من Cisco Firepower:
الدفاع عن تهديد الطاقة النارية (FTD) من Cisco: أفضل ممارسات التكوين واستكشاف الأخطاء وإصلاحها الخاصة بجدار الحماية من الجيل التالي (NGFW) ونظام الحماية من التطفل الجيل التالي (NGIPS) والحماية المتقدمة من البرامج الضارة
- لجميع عمليات التهيئة واستكشاف أخطاء الملاحظات الفنية المتعلقة بتقنيات FirePOWER وإصلاحها
مركز إدارة جدار الحماية الآمن من Cisco
التعليقات