تكوين تحسينات خدمة القطاعات في مركز إدارة الجدار الناري 7.4
المحتويات
المقدمة
يوضح هذا المستند كيفية إستخدام تحسينات قابلية الخدمة في FMC 7.4
ما الجديد
- تشخيصات إرتباط التحكم في المجموعة (CCL) والمساعدة في التأكد من صحة الإعدادات.
- يمكن الآن مشاهدة واجهة سطر الأوامر (CLI) الخاصة ب Cluster Lina في مركز إدارة جدران الحماية (FMC).
- إنشاء أستكشاف الأخطاء وإصلاحها
- يمكن الآن إنشاء كل الأجهزة في وقت واحد في مجموعة.
- يكون إنشاء أستكشاف الأخطاء وإصلاحها تلقائيا في حالة فشل العقدة في الانضمام إلى نظام مجموعة.
- أستكشاف أخطاء الإنشاء والتنقل وإصلاحها من الأجهزة > علامة التبويب نظام المجموعة/الجهاز.
المتطلبات الأساسية والأنظمة الأساسية المدعومة والتراخيص
الحد الأدنى لمنصات البرامج والأجهزة
| التطبيق والحد الأدنى للإصدار |
الأجهزة المدارة |
الحد الأدنى لإصدار الجهاز المدار المدعوم المطلوب |
ملاحظات |
| Secure Firewall، الإصدار 7.4 |
جميعها تدعم التجميع على FTD يتطلب تحسين "إنشاء أدوات أستكشاف الأخطاء وإصلاحها" فقط وجود إصدار FTD يكون 7.4 وأعلى |
· واجهة برمجة التطبيقات (API) المدمجة على FMC + واجهة برمجة تطبيقات REST ل FMC · وحدة التحكم في إدارة اللوحة الأساسية (FMC) التي يتم تسليمها عبر السحابة |
هذه ميزة في وحدة التحكم في إدارة الإطارات (FMC)، لذلك يمكن تطبيق التكوين على أي جهاز يمكن أن تديره وحدة التحكم FMC 7.4. |
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- مركز إدارة جدار الحماية (FMC) من Cisco الذي يتم تشغيله الإصدار 7.4
- برنامج الدفاع ضد تهديد FirePOWER (FTD) من Cisco الذي يعمل الإصدار 7.4 أو أعلى.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
تشخيصات إرتباط CCL
تحذير وحدة الحد الأقصى للنقل (MTU) الخاصة بواجهة التحكم في نظام المجموعة في صفحة ملخص نظام المجموعة
المشكلة
- تتطلب عملية التجميع وحدة الحد الأقصى للنقل (MTU) لارتباط التحكم في نظام المجموعة أعلى من واجهات البيانات.
- غالبا ما لا تقم بتعيين وحدة الحد الأقصى للنقل (MTU) إلى قيمة عالية بدرجة كافية، مما يتسبب في حدوث مشاكل في الموثوقية.
- التوصية هي أن CCL MTU يجب أن يكون 100 أو 154 بايت أكثر من الحد الأقصى لواجهة البيانات MTU، استنادا إلى النظام الأساسي، لمزامنة حالة نظام المجموعة عبر العقد.
CCL MTU = (الحد الأقصى لواجهة البيانات MTU) + 100 |154
على سبيل المثال، إذا كانت 1700 بايت هي الحد الأقصى لواجهة البيانات MTU، فسيتم تعيين قيمة CCL MTU للواجهة على 1854:
1854 = 1700 + 154
توصيات حجم وحدة الحد الأقصى للنقل (MTU) لكل نظام أساسي
| المنصة |
نموذج الحد الأقصى لواجهة البيانات MTU |
إضافة |
إجمالي الإعداد الموصى به لارتباط MTU ل CCL |
| sec FW 3100 Series |
1700 |
100 |
1800 |
| FTDv |
1700 |
154 |
1854 |
الحل
- عند إنشاء نظام مجموعة، يتم تعيين قيمة MTU لرابط CCL تلقائيا على القيمة الموصى بها على الواجهة.
قم بتكوين جانب المحول لمطابقة هذه القيمة. - نموذج رسالة تحذير:
تتطلب عملية التجميع وحدة الحد الأقصى للنقل (MTU) أعلى لارتباط التحكم في نظام المجموعة. يبلغ الحد الأقصى لوحدة الحد الأقصى لواجهة البيانات الحالية MTU 1500 بايت، بينما يبلغ الحد الأقصى لوصلة وحدة الحد الأقصى للنقل (MTU) الخاصة بعنصر التحكم في المجموعة الموصى بها 1654 بايت أو أعلى. قبل المتابعة، تأكد من تطابق المحولات المتصلة مع وحدات الحد الأقصى للنقل (MTU) لواجهات البيانات وارتباط التحكم في نظام المجموعة، وإلا فسيفشل تكوين نظام المجموعة. - إذا لم يتطابق تكوين جانب المحول لواجهة CCL مع هذه القيمة، يفشل الجهاز في الانضمام إلى نظام المجموعة.
إختبار إختبار اتصال CCL في حالة Cluster Live
التحقق من اتصال CCL
- الحاجة إلى توفير المستخدم للتحقق من اتصال CCL باستخدام حجم حزمة CCL MTU
الحل
أحجام CCL MTU المضافة للسحابة العامة
قيم AWS و Azure Cluster MTU
توجد قيم CCL و MTU لواجهة البيانات الموصى بها جديدة لمجموعات FTDv العامة التي تتكون من 7.4 شبكة.
| وحدة الحد الأقصى للنقل (MTU) الموصى بها في قائمة التحكم في الوصول إلى شبكة CCL في 7.3 |
موصى به وحدة الحد الأقصى للإرسال (MTU) المزودة بتقنية CCL في 7.4 |
وحدة الحد الأقصى للنقل (MTU) لواجهة البيانات الموصى بها في 7.3 |
موصى به وحدة الحد الأقصى للنقل (MTU) لواجهة البيانات في 7.4 |
|
| تجمع Azure NLB |
1554 |
1454 |
1400 |
1300 |
| عنقود Azure GWLB |
1554 |
1454 |
1454 |
1374 |
| تجمع AWS GWLB |
1960 |
1980 |
1806 |
1826 |
تقوم FMC بتحديث CCL و MTU لواجهة البيانات للقيم الموصى بها بعد ترقية نظام المجموعة إلى إصدار 7.4.
CLIs يتوفر في FMC
تتوفر مطالبة واجهة سطر الأوامر ل Device Lina في علامة التبويب Device/Cluster
تشغيل مجموعات Cluster Lina CLIs من FMC
- من الممكن الآن تنفيذ LINA لنظام المجموعة لاستكشاف أخطاء واجهة سطر الأوامر وإصلاحها من FMC.
واجهة سطر الأوامر (CLI) شائعة الاستخدام الموضحة بشكل افتراضي
واجهة سطر الأوامر (CLI) لنظام المجموعة المحدد مسبقا
- ال CLIs أي يكون ركضت افتراضيا:
show running-config cluster
إظهار معلومات نظام المجموعة
إظهار حماية معلومات نظام المجموعة
إظهار بروتوكول نقل معلومات نظام المجموعة
show version
إظهار إسقاط ASP
show counters
عرض arp
إظهار موجز ip int
إظهار الكتل
إظهار تفاصيل وحدة المعالجة المركزية
show interface <ccl_interface>
يتم تكرار إختبار الاتصال <ccl_ip> حجم <ccl_mtu> 2
الإدخال اليدوي للأوامر المتوفرة
إنشاء أدوات أستكشاف الأخطاء وإصلاحها
فشل أستكشاف الأخطاء وإصلاحها تلقائيا عند إنشاء ربط العقدة
- عند فشل العقدة في الانضمام إلى نظام المجموعة، يتم إنشاء أداة أستكشاف الأخطاء وإصلاحها تلقائيا.
- يتم عرض إعلام في إدارة المهام.
يتوفر زر "مشغل أستكشاف الأخطاء وإصلاحها" و"التنزيل" في علامات تبويب الجهاز والنظام العنقودي
إنشاء أسهل لعمليات أستكشاف أخطاء نظام المجموعة وإصلاحها
إنشاء أستكشاف أخطاء نظام المجموعة وإصلاحها
إنشاء أستكشاف أخطاء العقدة (الجهاز) وإصلاحها
اكتمال عملية إنشاء أستكشاف أخطاء نظام المجموعة وإصلاحها
تعرض "إدارة المهام" تقدم إنشاء أستكشاف الأخطاء وإصلاحها لكل عقدة في نظام المجموعة. انتظر ذلك قبل النقر فوق تنزيل.
أسئلة وأجوبة
س: في Azure انخفضت ولكن زادت في AWS ل MTU؟
ج: بالنسبة لقيم وحدة الحد الأقصى للنقل (MTU) الجديدة في السحب العامة، يتم تخفيض وحدة الحد الأقصى للنقل (MTU) الموصى بها في Azure، ولكن تتم زيادتها في AWS.
س: أثناء الترقية إذا تم تغيير MTU تلقائيا - هل هناك إدخال Syslog؟
أ: لا، لا يوجد إدخال Syslog تم إجراؤه في هذا الوقت. يمكننا إعادة النظر فيها إذا كان ذلك ضروريا.
س: أين تظهر قيمة وحدة الحد الأقصى للنقل (MTU) لكل عقدة؟
أ: إظهار قيمة وحدة الحد الأقصى للنقل (MTU) كعمود في صفحة إدارة الأجهزة > الواجهات، في علامة التبويب نظام المجموعة.
س: هل يظهر هذا الفشل لأنه لم يتم تعيين المحول، أو لم يتم تعيين العقدة الأخرى؟
ج: لا، إنها رسالة تحذيرية كإجراء إحتياطي يتم عرضها طوال الوقت للمستخدم.
س: أي أمر - show cluster - يظهر حجم وحدة الحد الأقصى للنقل (MTU)؟
a: إختبار اتصال CCL في الوضع الافتراضي وتظهر في إعدادات CLI الافتراضية.
س: في حالة AWS، هل يمكننا توثيق الخطوات المتعلقة بكيفية زيادة وحدة الحد الأقصى للنقل (MTU) على المحول؟
أ: فحص حانات التقنية.
س: بالنسبة للأجهزة - لقد أدرجتم فقط 3100 سلسلة - ماذا عن 4 آلاف / 9 آلاف / 2 كيلو / 1 كيلو؟
أ: التجميع على 9300 و 4100 و 3100 والافتراضي فقط. يمكن تنفيذ 3100 من وحدة التحكم في إدارة الهيكل (FMC)، ولكن يتم تنفيذ 4100 و 9300 مجموعة في مدير الهيكل، وليس في وحدة التحكم في إدارة الهيكل (FMC).
س: هل يتعين عليك النشر من وحدة التحكم في إدارة اللوحة الأساسية (FMC) لتفعيل التغييرات، وترقية ما بعد الجهاز؟
ج: نعم، تحتاج إلى النشر بعد الترقية. يجب إستخدام قيم MTU الموصى بها.
س: هل نقدم أية رسالة تحذيرية للمستخدم تفيد بتغيير وحدة الحد الأقصى للنقل (MTU)، كما لو كان FTD في منتصف المسار الذي يتم بناء نفق GRE عليه، هل سيرى المستخدم النفق يرفرف أم يسقط؟
أ: في الوثائق. يمكن العمل على رسالة التحذير. سيتم تعديل العقد لعقدة التحكم. يجب تعديل المحول وفقا للقيم الجديدة. يتم تغيير القيمة بعد ترقية عقدة التحكم. يتم إرسال قيمة MTU بواسطة عنصر التحكم.
س: هل سنقوم بإعادة تشغيل جهاز FTD إذا قمنا بتغيير MTU بعد الترقية؟
أ: لم يتم تشغيل أي إعادة تشغيل صريحة على FTD عند الترقية عند تغيير قيم MTU.
محفوظات المراجعة
| مراجعة | تاريخ النشر | التعليقات |
|---|---|---|
|
2.0
|
17 يوليو-2024
|
نص بديل مضاف. تنسيق محدث.
|
|
1.0
|
17 يوليو-2024
|
الإصدار الأولي
|
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
22-Jul-2024 |
الإصدار الأولي |
التعليقات