المقدمة
يوضح هذا المستند كيفية إستبدال وحدة حماية ضد تهديدات جدار الحماية الآمنة المعيبة التي تعد جزءا من إعداد التوفر العالي (HA).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- مركز إدارة جدار الحماية الآمن (FMC) من Cisco
- نظام التشغيل القابل للتشغيل FirePOWER (FXOS) من Cisco
- الدفاع الآمن عن تهديد جدار الحماية (FTD) من Cisco
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
هذا الإجراء مدعوم على الأجهزة:
- أجهزة Cisco Secure Firewall 1000 Series
- أجهزة Cisco Secure Firewall 2100 Series
- أجهزة Cisco Secure Firewall 3100 Series
- أجهزة سلسلة جدار الحماية الآمن من Cisco 4100
- أجهزة سلسلة Cisco Secure Firewall 4200
- جهاز Cisco Secure Firewall 9300
- الدفاع الآمن عن تهديد جدار الحماية من Cisco ل VMWare
قبل البدء
يتطلب هذا المستند أن يكون لديك الوحدة الجديدة التي تم تكوينها باستخدام نفس إصدارات FXOS و FTD.
التعرف على الوحدة المعيبة
في هذا السيناريو، تكون الوحدة الثانوية (FTD-02) في حالة فشل.
إستبدال وحدة معيبة بنسخة إحتياطية
يمكنك إستخدام هذا الإجراء لاستبدال الوحدة الأساسية أو الثانوية. يفترض هذا الدليل أن لديك نسخة إحتياطية من الوحدة المعيبة التي ستقوم باستبدالها.
الخطوة 1. تنزيل ملف النسخ الاحتياطي من FMC. انتقل إلى النظام > الأدوات > الاستعادة > النسخ الاحتياطية للأجهزة وحدد النسخ الاحتياطي الصحيح. طقطقة تنزيل:
الخطوة 2. تحميل النسخ الاحتياطي ل FTD إلى دليل /var/sf/backup/ الخاص ب FTD الجديد:
2.1 من عميل Test-PC (SCP) قم بتحميل ملف النسخ الاحتياطي إلى FTD ضمن الدليل /var/tmp/:
@test-pc ~ % scp FTD-02_Secondary_20230926234646.tar cisco@10.88.243.90:/var/tmp/
2. 2 من وضع خبير واجهة سطر الأوامر (CLI) الخاص ب FTD، قم بنقل ملف النسخ الاحتياطي من /var/tmp/ إلى /var/sf/backup/:
root@firepower:/var/tmp# mv FTD-02_Secondary_20230926234646.tar /var/sf/backup/
الخطوة 3. قم باستعادة النسخة الاحتياطية من FTD-02، من خلال تطبيق الأمر التالي من وضع الحظر:
>restore remote-manager-backup FTD-02_Secondary_20230926234646.tar
Device model from backup :: Cisco Firepower 4110 Threat Defense
This Device Model :: Cisco Firepower 4110 Threat Defense
***********************************************
Backup Details
***********************************************
Model = Cisco Firepower 4110 Threat Defense
Software Version = 7.2.5
Serial = FLM22500791
Hostname = firepower
Device Name = FTD-02_Secondary
IP Address = 10.88.171.89
Role = SECONDARY
VDB Version = 365
SRU Version =
FXOS Version = 2.12(0.498)
Manager IP(s) = 10.88.243.90
Backup Date = 2023-09-26 23:46:46
Backup Filename = FTD-02_Secondary_20230926234646.tar
***********************************************
********************* Caution ****************************
Verify that you are restoring a valid backup file.
Make sure that FTD is installed with same software version and matches versions from backup manifest before proceeding.(Running 'show version' command on FTD, displays Model Name and version details).
Restore operation will overwrite all configurations on this device with configurations in backup.
If this restoration is being performed on an RMA device then ensure old device is removed from network or powered off completely prior to proceeding with backup restore.
**********************************************************
Are you sure you want to continue (Y/N)Y
Restoring device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Refreshing Events InfoDB...
Added table audit_log with table_id 1
Added table health_alarm_syslog with table_id 2
Added table dce_event with table_id 3
Added table application with table_id 4
Added table rna_scan_results_tableview with table_id 5
Added table rna_event with table_id 6
Added table ioc_state with table_id 7
Added table third_party_vulns with table_id 8
Added table user_ioc_state with table_id 9
Added table rna_client_app with table_id 10
Added table rna_attribute with table_id 11
Added table captured_file with table_id 12
Added table rna_ip_host with table_id 13
Added table flow_chunk with table_id 14
Added table rua_event with table_id 15
Added table wl_dce_event with table_id 16
Added table user_identities with table_id 17
Added table whitelist_violations with table_id 18
Added table remediation_status with table_id 19
Added table syslog_event with table_id 20
Added table rna_service with table_id 21
Added table rna_vuln with table_id 22
Added table SRU_import_log with table_id 23
Added table current_users with table_id 24
Broadcast message from root@firepower (Wed Sep 27 15:50:12 2023):
The system is going down for reboot NOW!
ملاحظة: عند إجراء الاستعادة، يقوم الجهاز بتسجيل خروجك من واجهة سطر الأوامر، وإعادة التمهيد، والاتصال تلقائيا ب FMC. في هذا الوقت، سيظهر الجهاز خارج التاريخ.
الخطوة 4. إستئناف مزامنة HA. من واجهة سطر أوامر (CLI) برنامج FTD، أدخل تكوين سيرة ذاتية عالية التوفر:
>configure high-availability resume
اكتمل الآن تكوين FTD عالي التوفر:
إستبدال وحدة معيبة بدون نسخ إحتياطي
إذا لم يكن لديك نسخة إحتياطية من الجهاز الذي تعرض للفشل، فيمكنك المتابعة بهذا الدليل. يمكنك إما إستبدال الوحدة الأساسية أو الثانوية، tتختلف العملية حسب ما إذا كان الجهاز أساسيا أو ثانويا. جميع الخطوات الموضحة في هذا الدليل هي إستعادة وحدة ثانوية معيبة. إذا كنت ترغب في إستعادة الوحدة الأساسية المعيبة، في الخطوة 5، قم بتكوين التوفر العالي، باستخدام الوحدة الثانوية/النشطة الحالية كجهاز أساسي والجهاز البديل كجهاز ثانوي/إحتياطي أثناء التسجيل.
الخطوة 1. احصل على لقطة شاشة (نسخ إحتياطي) للتكوين عالي التوفر من خلال الانتقال إلى الجهاز > إدارة الأجهزة. قم بتحرير زوج FTD HA الصحيح (انقر على أيقونة القلم الرصاص) ثم انقر على خيار التوفر العالي:
الخطوة 2. اكسر HA.
2.1 انتقل إلى الأجهزة > إدارة الأجهزة ثم انقر فوق قائمة النقاط الثلاث في الركن العلوي الأيسر. ثم انقر على خيار الفصل:
2.2. حدد فرض الإيقاف المؤقت، إذا كان النظير الاحتياطي لا يستجيب للخيار:
ملاحظة: نظرا لعدم إستجابة الوحدة، تحتاج إلى فرض كسر HA. عند كسر زوج توافر عالي، يحتفظ الجهاز النشط بوظائف النشر الكامل. يخسر الجهاز الاحتياطي تكوينات تجاوز الفشل والواجهة ويصبح جهازا مستقلا.
الخطوة 3. احذف FTD المعيب. حدد FTD لاستبداله، ثم انقر على قائمة النقاط الثلاث. انقر على حذف:
الخطوة 4. أضف FTD الجديد.
4.1. انتقل إلى الأجهزة > إدارة الأجهزة > إضافة ثم انقر على الجهاز:
4.2. حدد أسلوب التوفير، في هذه الحالة، مفتاح التسجيل، تكوين المضيف، عرض الاسم، مفتاح التسجيل. قم بتكوين نهج التحكم في الوصول وانقر فوق تسجيل.
الخطوة 5. قم بإنشاء HA.
5.1 انتقل إلى الأجهزة>إدارة الأجهزة > إضافة وطقطقة خيار التوفر العالي.
5.2. قم بتكوين زوج الإضافة عالي التوفر. قم بتكوين الاسم ونوع الجهاز، وحدد FTD-01 كنظير أساسي و FTD-02 كنظير ثانوي، ثم انقر فوق متابعة.
ملاحظة: تذكر تحديد الوحدة الأساسية على أنها الجهاز الذي لا يزال يحتوي على التكوين، في هذه الحالة، FTD-01.
5.3. تأكد من إنشاء HA ثم انقر نعم.
ملاحظة: يؤدي تكوين التوافر العالي إلى إعادة تشغيل محرك الشخير لكلا الوحدتين، مما قد يؤدي إلى مقاطعة حركة المرور.
5.4. قم بتكوين معلمات التوفر العالي في الخطوة 2 ثم انقر على خيار الإضافة:
6. اكتمل الآن تكوين FTD عالي التوفر:
ملاحظة: إذا لم تقم بتكوين عناوين MAC الظاهرية، فأنت بحاجة إلى مسح جداول ARP على الموجهات المتصلة لاستعادة تدفق حركة المرور في حالة إستبدال الوحدة الأساسية. للحصول على مزيد من المعلومات، يمكنك الاطلاع على عناوين MAC وعناوين IP في توفر عال.
معلومات ذات صلة