Verbesserte Cluster-Benutzerfreundlichkeit in Firewall Management Center 7.4 konfigurieren

Download-Optionen

  • PDF     (1.3 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:22. Juli 2024
Dokument-ID:222100

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie Sie die Wartungsfreundlichkeit von FMC 7.4 verbessern können.

    Neuerungen

    • Cluster Control Link (CCL)-Verbindungsdiagnose und Unterstützung bei der Überprüfung der korrekten Einstellungen
    • Cluster Lina CLIs sind jetzt im Firewall Management Center (FMC) zu sehen.
    • Fehlerbehebung
      • Kann jetzt für alle Geräte in einem Cluster auf einmal generiert werden.
      • Die Fehlerbehebung erfolgt automatisch, wenn ein Knoten einem Cluster nicht beitreten kann.
      • Fehlerbehebung und Navigation über die Registerkarte Geräte > Cluster/Gerät.

    Voraussetzungen, unterstützte Plattformen, Lizenzierung

    Software- und Hardware-Mindestplattformen

    Anwendungs- und Mindestversion

    Verwaltete Geräte 

    Min. unterstützte Version des verwalteten Geräts erforderlich 

    Hinweise

    Sichere Firewall 7.4

    Alle unterstützen Clustering auf FTD

    Nur die Erweiterung "Generation of Troubleshoots" erfordert FTD-Version 7.4 und höher

    ・ FMC vor Ort + FMC REST API

    ・ Cloud-basiertes FMC

    Dies ist eine FMC-Funktion, sodass die Konfiguration auf jedes Gerät angewendet werden kann, das FMC 7.4 verwalten kann.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • Cisco Firewall Management Center (FMC) mit 7.4 
    • Cisco Firepower Threat Defense (FTD) mit Version 7.4 oder höher

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    CCL-Verbindungsdiagnose

    MTU-Warnung bei Cluster Control Link Interface auf der Seite Cluster Summary (Cluster-Zusammenfassung)

    Problem

    • Clustering erfordert eine höhere MTU für die Cluster-Steuerungsverbindung als Datenschnittstellen.
    • Oft setzen Sie die MTU-Größe nicht auf einen ausreichend hohen Wert, was zu Zuverlässigkeitsproblemen führt.
    • Es wird empfohlen, dass die CCL-MTU je nach Plattform 100 oder 154 Byte größer als die maximale Datenschnittstellen-MTU ist, um den Cluster-Status über die Knoten hinweg zu synchronisieren.

    CCL MTU = (Maximum Data Interface MTU) + 100 |154 

    Beispiel: Wenn für ein FTDv-Gerät 1700 Byte die maximale MTU der Datenschnittstelle sind, würde der Wert für die MTU der CCL-Schnittstelle auf 1854 festgelegt:
    1854 = 1700 + 154

    Empfehlungen zur MTU-Größe pro Plattform

    Plattform

    Maximale MTU der Datenschnittstelle (Beispiel)

    Hinzufügen

    Empfohlene Einstellung für MTU für CCL-Verbindung gesamt

    SEC FW 3100-Serie

    1700

    100

    1800

    FTDv

    1700

    154

    1854

    Lösung

    • Wenn ein Cluster erstellt wird, wird der MTU-Wert für die CCL-Verbindung automatisch auf den empfohlenen Wert für die Schnittstelle festgelegt.
      Nehmen Sie die Switch-seitige Konfiguration so vor, dass sie diesem Wert entspricht.
    • Beispiel-Warnmeldung:
      Für das Clustering ist eine höhere MTU für die Cluster-Steuerungsverbindung erforderlich. Die maximale MTU für die aktuelle Datenschnittstelle beträgt 1.500 Byte; die empfohlene Cluster Control Link MTU beträgt 1.654 Byte oder mehr. Bevor Sie fortfahren, stellen Sie sicher, dass die verbundenen Switches mit den MTUs für die Datenschnittstellen und der Cluster-Steuerungsverbindung übereinstimmen, da andernfalls die Cluster-Bildung fehlschlagen würde.
    • Wenn die Switch-seitige Konfiguration für die CCL-Schnittstelle diesem Wert nicht entspricht, kann das Gerät dem Cluster nicht beitreten. 

    Cluster-Warnbanner hinzufügen

    CCL-Ping-Test im Cluster-Live-Status

    CCL-Konnektivität prüfen

    • Für die Überprüfung der CCL-Konnektivität mit der CCL-MTU-Paketgröße ist eine Benutzerbereitstellung erforderlich.

    Lösung

    CCL-Ping-Befehl

    Größen der CCL-MTU für Public Cloud hinzugefügt

    AWS- und Azure-Cluster-MTU-Werte

    Für 7.4 Public Cloud FTDv-Cluster gibt es neue empfohlene Werte für die MTU der CCL- und Datenschnittstellen.

    Empfohlene CCL-MTU in 7.3

    Empfohlen 

    CCL-MTU in 7,4

    Empfohlene MTU für Datenschnittstellen in Version 7.3

    Empfohlen 

    Datenschnittstellen-MTU in 7.4

    Azure NLB-Cluster

    1554

    1454

    1400

    1300

    Azure-GWLB-Cluster

    1554

    1454

    1454

    1374

    AWS-GWLB-Cluster

    1960

    1980

    1806

    1826

    FMC aktualisiert nach dem Upgrade eines Clusters auf die Version 7.4 die Werte für CCL und die MTU der Datenschnittstelle auf empfohlene Werte.

    CLIs in FMC verfügbar

    Befehlszeilenaufforderung für Gerätelinie auf Registerkarte "Gerät/Cluster" verfügbar

    Cluster-Lina-CLIs von FMC ausführen

    • Es ist jetzt möglich, Cluster-LINA-Fehlerbehebungs-CLIs von FMC auszuführen.

    CLI-Option

    Häufig verwendete CLIs werden standardmäßig angezeigt

    Vordefinierte CLI

    Vordefinierte Cluster-CLI

    • Standardmäßig werden folgende CLIs ausgeführt:

                   Laufkonfigurations-Cluster anzeigen

                   Clusterinformationen anzeigen

                   Cluster-Info-Zustand anzeigen

                   Cluster-Informationstransport-CP anzeigen

                   show version

                   asp drop anzeigen

                   show counters

                   Arp anzeigen

                   show int ip brief

                   Blöcke anzeigen

                   CPU detailliert anzeigen

                   show interface <ccl_interface>

                   ping <ccl_ip> Größe <ccl_mtu> 2 wiederholen

    Manuelle Eingabe von Befehlen verfügbar

    CLI-Befehle

    Generierung von Fehlerbehebungen

    Automatische Fehlerbehebung bei fehlgeschlagener Knotenverknüpfung

    • Wenn ein Knoten dem Cluster nicht beitritt, wird automatisch eine Gerätefehlerbehebung generiert.
    • Eine Benachrichtigung wird im Task-Manager angezeigt.

    Cluster-Knotenfehler

    Fehlerbehebung: Schaltfläche "Trigger und Download" auf Geräte- und Cluster-Registerkarten verfügbar

    Einfachere Generierung von Cluster-Fehlerbehebung

    Protokolle und Download hinzugefügt

    Generierung von Cluster-Fehlerbehebung

    Geräte auswählen

    Fehlerbehebung bei Knoten (Geräten)

    Klicken Sie auf Protokolle oder Herunterladen

    Benachrichtigung über Cluster-Fehlerbehebung abgeschlossen

    Der Task-Manager zeigt den Fortschritt der Fehlerbehebungsgenerierung für jeden Knoten im Cluster an. Warten Sie, bevor Sie auf Herunterladen klicken.

    Aufgabenbenachrichtigungen

    Fragen und Antworten

    F: In Azure hat er sich in AWS für MTU verringert, aber erhöht?

    A: Für die neuen MTU-Werte in Public Clouds wird in Azure die empfohlene MTU verringert, in AWS jedoch erhöht.


    F: Gibt es beim Upgrade, wenn die MTU automatisch geändert wird, einen Syslog-Eintrag?

    A: Nein, derzeit ist kein Syslog-Eintrag vorhanden. Wir können sie überprüfen, wenn dies notwendig ist.


    Frage: Wo wird der MTU-Wert der einzelnen Knoten angezeigt?

    A: Zeigen Sie den MTU-Wert als Spalte auf der Seite "Device Management > Interfaces" (Gerätemanagement > Schnittstellen) auf der Registerkarte "Cluster" an.


    F: Wird dieser Fehler angezeigt, weil Switch nicht oder der andere Knoten nicht festgelegt ist?

    A: Nein, es ist eine Warnmeldung als Vorsichtsmaßnahme, die ständig für den Benutzer angezeigt wird.


    F: Welcher Befehl - show cluster - zeigt die MTU-Größe an?

    A: CCL Ping ist standardmäßig aktiviert und wird in den CLI-Standardeinstellungen angezeigt.

    F: Können wir im Fall von AWS die Schritte zur Erhöhung der MTU auf dem Switch dokumentieren?

    A: Für Tech-Pubs zu prüfen.

    F: Was ist mit der 4K/9K/2K/1K für HW - Sie haben nur die Serie 3100 aufgeführt?

    A: Clustering nur auf 9300, 4100, 3100 und virtuell 3100 Cluster können vom FMC aus durchgeführt werden, 4100 und 9300 Cluster jedoch vom Chassis-Manager, nicht vom FMC.


    Frage: Müssen Sie vom FMC bereitstellen, damit die Änderungen nach dem Geräte-Upgrade wirksam werden?

    A: Ja, die Bereitstellung muss nach dem Upgrade erfolgen. Sie müssen die empfohlenen MTU-Werte verwenden.


    F: Gibt es eine Warnmeldung für den Benutzer, dass die MTU geändert wird, als ob FTD in der Mitte des Pfads wäre, auf dem der GRE-Tunnel erstellt wird, und der Benutzer das Flapping des Tunnels sehen würde oder ausfallen würde?

    A: Sie finden sie in der Dokumentation. Kann an Warnmeldung arbeiten. Knoten werden an Kontrollknoten angepasst. Der Schalter müsste auf die neuen Werte eingestellt werden. Der Wert wird nach dem Upgrade des Kontrollknotens geändert. Der MTU-Wert wird von der Steuerung gesendet.


    F: Wird das FTD-Gerät neu gestartet, wenn wir nach dem Upgrade die MTU ändern?

    A: Bei einer Änderung der MTU-Werte wird auf dem FTD-Upgrade kein expliziter Neustart ausgelöst.

    Revisionsverlauf

    Revision Veröffentlichungsdatum Kommentare
    2.0
    17. Juli 2024
    Alternativer Text hinzugefügt. Formatierung aktualisiert.
    1.0
    17. Juli 2024
    Erstveröffentlichung

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    22-Jul-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Surabhi Srivastava
      Cisco TAC-Techniker

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.