تكوين إدارة أجهزة جدار الحماية الآمن عند التوفر العالي
المحتويات
المقدمة
يوضح هذا المستند كيفية تكوين مدير أجهزة جدار الحماية الآمن (FDM) فائق التوفر (HA) والتحقق من صحته على أجهزة جدار الحماية الآمنة.
المتطلبات الأساسية
المتطلبات
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- جهاز الأمان 2xCisco Secure Firewall 2100
- تشغيل الإصدار 7.0.5 من FDM (بنية 72)
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المهمة 1. التحقق من الشروط
متطلبات المهمة:
تحقق من أن كلا جهازي FDM يستوفيان متطلبات الملاحظة ويمكن تكوينهما كوحدات HA.
الحل:
الخطوة 1. قم بالاتصال ب IP الخاص بإدارة الجهاز باستخدام SSH وتحقق من أجهزة الوحدة النمطية.
دققت مع العرض صيغة أمر الجهاز أساسي جهاز وبرمجية صيغة:
> show version
-------------------[ FPR2130-1 ]--------------------
Model : Cisco Firepower 2130 Threat Defense (77) Version 7.0.5 (Build 72)
UUID : 6197946e-2747-11ee-9b20-ead7c72f2631
VDB version : 338
----------------------------------------------------التحقق من إصدار أجهزة وبرامج الجهاز الثانوي:
> show version
-------------------[ FPR2130-2 ]--------------------
Model : Cisco Firepower 2130 Threat Defense (77) Version 7.0.5 (Build 72)
UUID : 6ba86648-2749-11ee-b7c9-c9e434a6c9ab
VDB version : 338
----------------------------------------------------المهمة 2. تكوين إدارة أجهزة جدار الحماية الآمن عند التوفر العالي
الرسم التخطيطي للشبكة
تكوين التوافر العالي النشط/الاحتياطي (HA) وفقا لهذا المخطط:
تمكين التوفر العالي على مدير أجهزة جدار الحماية الآمن في الوحدة الأساسية
الخطوة 1. لتكوين تجاوز فشل FDM، انتقل إلى الجهاز وانقر فوق تكوين الموجود بجوار المجموعة عالية التوفر:
الخطوة 2. في صفحة الإتاحة العالية، انقر على مربع الجهاز الأساسي:
الخطوة 3. تكوين إرتباط تجاوز الفشل وإعدادات إرتباط الحالة:
في هذا المثال، يكون لارتباط الحالة نفس إعدادات إرتباط تجاوز الفشل.
الخطوة 4. انقر على تنشيط HA
الخطوة 5. انسخ تكوين HA إلى الحافظة في رسالة التأكيد، للصقه على الوحدة الثانوية.
يقوم النظام بنشر التكوين على الفور على الجهاز. لا تحتاج إلى بدء مهمة نشر. إذا لم يظهر لديك رسالة تفيد بأن التكوين الخاص بك قد تم حفظه وأن عملية النشر قيد التقدم، قم بالتمرير إلى أعلى الصفحة للاطلاع على رسائل الخطأ.
كما يتم نسخ التكوين إلى الحافظة. يمكنك إستخدام النسخة لتكوين الوحدة الثانوية بسرعة. للحصول على أمان إضافي، لا يتم تضمين مفتاح التشفير في نسخة الحافظة.
عند هذه النقطة، يجب أن تكون على صفحة التوافر العالي، ويجب أن تكون حالة جهازك "تفاوض". يجب أن تنتقل الحالة إلى Active حتى قبل تكوين النظير، والذي يجب أن يظهر على أنه "فشل" حتى تقوم بتكوينه.
تمكين التوفر العالي على مدير أجهزة جدار الحماية الآمن في الوحدة الثانوية
بعد تكوين الجهاز الأساسي للتوفر النشط/الاحتياطي العالي، يجب تكوين الجهاز الثانوي بعد ذلك. سجل الدخول إلى FDM على ذلك الجهاز وشغل هذا الإجراء.
الخطوة 1. لتكوين تجاوز فشل FDM، انتقل إلى الجهاز وانقر فوق تكوين الموجود بجوار المجموعة عالية التوفر:
الخطوة 2. في صفحة الإتاحة العالية، انقر على مربع الجهاز الثانوي:
الخطوة 3. أختر أحد الخيارات التالية:
-
طريقة سهلة—انقر فوق زر اللصق من الحافظة، ثم لصق في التكوين، ثم انقر فوق موافق. يقوم هذا بتحديث الحقول بالقيم المناسبة، والتي يمكنك دققها بعد ذلك.
-
الطريقة اليدوية—قم بتكوين إرتباطات تجاوز الفشل وتجاوز الفشل المعبرة مباشرة. أدخل نفس الإعدادات بالضبط على الجهاز الثانوي الذي أدخلته على الجهاز الأساسي.
الخطوة 4. انقر على تنشيط HA
يقوم النظام بنشر التكوين على الفور على الجهاز. لا تحتاج إلى بدء مهمة نشر. إذا لم يظهر لديك رسالة تفيد بأن التكوين الخاص بك قد تم حفظه وأن عملية النشر قيد التقدم، قم بالتمرير إلى أعلى الصفحة للاطلاع على رسائل الخطأ.
بعد اكتمال التكوين، تحصل على رسالة تقول أنك قمت بالتكوين. انقر فوق الحصول عليه لتجاهل الرسالة.
عند هذه النقطة، يجب أن تكون في صفحة التوافر العالي، ويجب أن تشير حالة جهازك إلى أن هذا هو الجهاز الثانوي. في حالة نجاح الربط مع الجهاز الأساسي، يتزامن الجهاز مع الأساسي، وفي نهاية المطاف، يجب أن يكون الوضع في وضع الاستعداد ويجب أن يكون النظير نشطا.
أكمل تكوين الواجهات
الخطوة 1. لتكوين واجهات FDM، انتقل إلى الجهاز وانقر فوق عرض جميع الواجهات:
الخطوة 2. حدد وحرر إعدادات الواجهات كما هو موضح في الصور:
واجهة إيثرنت 1/5:
واجهة إيثرنت 1/6
الخطوة 3. بعد تكوين التغييرات، انقر فوق التغييرات المعلقة
ثم قم بالنشر الآن.
المهمة 3. التحقق من التوفر العالي ل FDM
متطلبات المهمة:
تحقق من إعدادات التوفر العالي من واجهة المستخدم الرسومية (GUI) ل FDM ومن واجهة سطر الأوامر (CLI) ل FDM.
الحل:
الخطوة 1. انتقل إلى الجهاز وفحص إعدادات التوفر العالي:
الخطوة 2. قم بالاتصال ب CLI الخاص بالجهاز الأساسي ل FDM باستخدام SSH والتحقق باستخدام الأمر show high-availability config:
> show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: failover-link Ethernet1/1 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 4 of 1293 maximum
MAC Address Move Notification Interval not set
failover replication http
Version: Ours 9.16(4)200, Mate 9.16(4)200
Serial Number: Ours JAD231510ZT, Mate JAD2315110V
Last Failover at: 00:01:29 UTC Jul 25 2023
This host: Primary - Active
Active time: 4927 (sec)
slot 0: FPR-2130 hw/sw rev (1.3/9.16(4)200) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface eth2 (0.0.0.0): Link Down (Shutdown)
Interface inside (192.168.75.10): No Link (Waiting)
Interface outside (192.168.76.10): No Link (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: FPR-2130 hw/sw rev (1.3/9.16(4)200) status (Up Sys)
Interface diagnostic (0.0.0.0): Normal (Waiting)
Interface eth2 (0.0.0.0): Link Down (Shutdown)
Interface inside (192.168.75.11): No Link (Waiting)
Interface outside (192.168.76.11): No Link (Waiting)
slot 1: snort rev (1.0) status (up)
slot 2: diskstatus rev (1.0) status (up)
Stateful Failover Logical Update Statistics
Link : failover-link Ethernet1/1 (up)
Stateful Obj xmit xerr rcv rerr
General 189 0 188 0
sys cmd 188 0 188 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 0 0 0 0
Xlate_Timeout 0 0 0 0
IPv6 ND tbl 0 0 0 0
VPN IKEv1 SA 0 0 0 0
VPN IKEv1 P2 0 0 0 0
VPN IKEv2 SA 0 0 0 0
VPN IKEv2 P2 0 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
SIP Tx 0 0 0 0
SIP Pinhole 0 0 0 0
Route Session 0 0 0 0
Router ID 0 0 0 0
User-Identity 1 0 0 0
CTS SGTNAME 0 0 0 0
CTS PAC 0 0 0 0
TrustSec-SXP 0 0 0 0
IPv6 Route 0 0 0 0
STS Table 0 0 0 0
Rule DB B-Sync 0 0 0 0
Rule DB P-Sync 0 0 0 0
Rule DB Delete 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 10 188
Xmit Q: 0 11 957
الخطوة 3. قم بالمثل على الجهاز الثانوي.
الخطوة 4. تحقق من الحالة الحالية باستخدام أمر show failover state:
> show failover state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready Comm Failure 00:01:45 UTC Jul 25 2023
====Configuration State===
Sync Done
====Communication State===
Mac set
الخطوة 5. تحقق من التكوين من الوحدة الأساسية باستخدام show running-config failed over and show running-config interface:
> show running-config failover
failover
failover lan unit primary
failover lan interface failover-link Ethernet1/1
failover replication http
failover link failover-link Ethernet1/1
failover interface ip failover-link 1.1.1.1 255.255.255.252 standby 1.1.1.2
> show running-config interface
!
interface Ethernet1/1
description LAN/STATE Failover Interface
ipv6 enable
!
interface Ethernet1/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet1/5
nameif inside
security-level 0
ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11
!
interface Ethernet1/6
nameif outside
security-level 0
ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11
!
interface Ethernet1/7
shutdown
no nameif
no security-level
no ip address
!
interface Management1/1
management-only
nameif diagnostic
cts manual
propagate sgt preserve-untag
policy static sgt disabled trusted
security-level 0
no ip addressالمهمة 4. تبديل أدوار تجاوز الفشل
متطلبات المهمة:
من الواجهة الرسومية Secure Firewall Device Manager ، قم بتحويل أدوار تجاوز الفشل من الأساسي/النشط، والثانوي/الاحتياطي إلى الأساسي/الاستعداد، والثانوي/النشط
الحل:
الخطوة 1. انقر على الجهاز
الخطوة 2. انقر فوق الارتباط عالي التوفر الموجود على الجانب الأيمن من ملخص الجهاز.
الخطوة 3. من أيقونة العتاد (
)، أختر وضع المحول.
الخطوة 4. اقرأ رسالة التأكيد وانقر فوق موافق.
حيث يفرض النظام تجاوز الفشل بحيث تصبح الوحدة النشطة جاهزة، وتصبح الوحدة الاحتياطية هي الوحدة النشطة الجديدة.
الخطوة 5. تحقق من النتيجة كما هو موضح في الصورة:
الخطوة 6. من الممكن أيضا التحقق من إستخدام إرتباط محفوظات تجاوز الفشل ويجب أن يعرض إطار وحدة تحكم واجهة سطر الأوامر (CLI) النتائج:
==========================================================================
From State To State Reason
==========================================================================
21:55:37 UTC Jul 20 2023
Not Detected Disabled No Error
00:00:43 UTC Jul 25 2023
Disabled Negotiation Set by the config command
00:01:28 UTC Jul 25 2023
Negotiation Just Active No Active unit found
00:01:29 UTC Jul 25 2023
Just Active Active Drain No Active unit found
00:01:29 UTC Jul 25 2023
Active Drain Active Applying Config No Active unit found
00:01:29 UTC Jul 25 2023
Active Applying Config Active Config Applied No Active unit found
00:01:29 UTC Jul 25 2023
Active Config Applied Active No Active unit found
18:51:40 UTC Jul 25 2023
Active Standby Ready Set by the config command
==========================================================================
PEER History Collected at 18:55:08 UTC Jul 25 2023
===========================PEER-HISTORY===================================
From State To State Reason
===========================PEER-HISTORY===================================
22:00:18 UTC Jul 24 2023
Not Detected Disabled No Error
00:52:08 UTC Jul 25 2023
Disabled Negotiation Set by the config command
00:52:10 UTC Jul 25 2023
Negotiation Cold Standby Detected an Active mate
00:52:11 UTC Jul 25 2023
Cold Standby App Sync Detected an Active mate
00:53:26 UTC Jul 25 2023
App Sync Sync Config Detected an Active mate
01:00:12 UTC Jul 25 2023
Sync Config Sync File System Detected an Active mate
01:00:12 UTC Jul 25 2023
Sync File System Bulk Sync Detected an Active mate
01:00:23 UTC Jul 25 2023
Bulk Sync Standby Ready Detected an Active mate
18:45:01 UTC Jul 25 2023
Standby Ready Just Active Other unit wants me Active
18:45:02 UTC Jul 25 2023
Just Active Active Drain Other unit wants me Active
18:45:02 UTC Jul 25 2023
Active Drain Active Applying Config Other unit wants me Active
18:45:02 UTC Jul 25 2023
Active Applying Config Active Config Applied Other unit wants me Active
18:45:02 UTC Jul 25 2023
Active Config Applied Active Other unit wants me Active
===========================PEER-HISTORY===================================الخطوة 7. بعد التحقق، قم بتفعيل الوحدة الأساسية مرة أخرى.
المهمة 5. إيقاف التوفر العالي أو إستئنافه
يمكنك إيقاف وحدة مؤقتا في زوج عالي التوفر. يكون هذا مفيدا عندما:
-
كلتا الوحدتين في حالة نشاط نشط ولا يؤدي إصلاح الاتصال على إرتباط تجاوز الفشل إلى تصحيح المشكلة.
-
تريد أستكشاف أخطاء وحدة نشطة أو إحتياطية وإصلاحها ولا تريد فشل الوحدات أثناء ذلك الوقت.
-
تريد منع تجاوز الفشل أثناء تثبيت ترقية البرامج على الجهاز الاحتياطي.
يكمن الاختلاف الرئيسي بين تعليق HA وفصل HA في أنه يتم الاحتفاظ بالتكوين عالي التوفر على جهاز HA معلق. عندما تقوم بمسح HA، يتم مسح التكوين. وبالتالي، فلديك الخيار لاستئناف HA على نظام معلق، مما يتيح التكوين الموجود ويجعل الجهازين يعملان كزوج لتجاوز الفشل مرة أخرى.
متطلبات المهمة:
من الواجهة الرسومية Secure Firewall Device Manager ، قم بإيقاف الوحدة الأساسية مؤقتا واستئناف التوفر العالي على الوحدة نفسها.
الحل:
الخطوة 1. طقطقة أداة.
الخطوة 2. انقر فوق الارتباط عالي التوفر الموجود على الجانب الأيمن من ملخص الجهاز.
الخطوة 3. من أيقونة العتاد (
)، أختر إيقاف HA مؤقتا.
الخطوة 4. اقرأ رسالة التأكيد وانقر فوق موافق.
الخطوة 5. تحقق من النتيجة كما هو موضح في الصورة:
الخطوة 6. لاستئناف HA، من أيقونة التروس (
)، أختر إستئناف HA.
الخطوة 7. اقرأ رسالة التأكيد وانقر فوق موافق.
الخطوة 5. تحقق من النتيجة كما هو موضح في الصورة:
المهمة 6. كسر الإتاحة العالية
إذا لم تعد ترغب في أن يعمل الجهازان كزوج عالي التوفر، فيمكنك كسر تكوين HA. عندما تكسر HA، يصبح كل جهاز جهاز مستقل. يجب أن تتغير تكويناتها كما يلي:
-
يحتفظ الجهاز النشط بالتكوين الكامل كما هو قبل الفاصل، مع إزالة تكوين HA.
-
ويتكون الجهاز الاحتياطي من جميع تكوينات الواجهة التي تمت إزالتها بالإضافة إلى تكوين HA. يتم تعطيل جميع الواجهات المادية، على الرغم من عدم تعطيل الواجهات الفرعية. تظل واجهة الإدارة نشطة، لذلك يمكنك تسجيل الدخول إلى الجهاز وإعادة تكوينه.
متطلبات المهمة:
من الواجهة الرسومية Secure Firewall Device Manager، قم بكسر زوج التوفر العالي.
الحل:
الخطوة 1. طقطقة أداة.
الخطوة 2. انقر فوق الارتباط عالي التوفر الموجود على الجانب الأيمن من ملخص الجهاز.
الخطوة 3. من أيقونة العتاد (
)، أختر كسر HA.
الخطوة 4. اقرأ رسالة التأكيد، ثم حدد ما إذا كنت تريد تحديد خيار تعطيل الواجهات، ثم انقر فوق كسر.
يجب تحديد الخيار لتعطيل الواجهات إذا كنت تقوم بفك HA من وحدة الاستعداد.
يقوم النظام بنشر تغييراتك على الفور على كل من هذا الجهاز وجهاز النظير (إن أمكن). قد يستغرق النشر بضع دقائق حتى يكتمل على كل جهاز ولكي يصبح كل جهاز مستقلا.
الخطوة 5. تحقق من النتيجة كما هو موضح في الصورة:
معلومات ذات صلة
- يمكن العثور على جميع إصدارات دليل تكوين إدارة أجهزة جدار الحماية الآمن من Cisco هنا
- يوصي مركز المساعدة التقنية العالمي (TAC) من Cisco بشدة بهذا الدليل المرئي للمعرفة العملية المتعمقة حول تقنيات أمان الجيل التالي من Cisco Firepower:
https://www.ciscopress.com/store/cisco-firepower-threat-defense-ftd-configuration-and-9781587144806
- لجميع عمليات التهيئة واستكشاف أخطاء الملاحظات الفنية المتعلقة بتقنيات FirePOWER وإصلاحها
https://www.cisco.com/c/en/us/support/security/defense-center/series.html
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
27-Jul-2023 |
الإصدار الأولي |
التعليقات