FTD-Hochverfügbarkeit mit FDM konfigurieren

Download-Optionen

  • PDF     (1.2 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.1 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (684.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:2. Oktober 2023
Dokument-ID:221012

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    Dieses Dokument beschreibt die Einrichtung eines Aktiv/Standby-Hochverfügbarkeitspaars (HA) mit lokal verwaltetem Secure Firewall Threat Defense (FTD).

    Voraussetzungen

    Anforderungen

    Es wird empfohlen, über Kenntnisse in den folgenden Themen zu verfügen:

    • Erstkonfiguration von Cisco Secure Firewall Threat Defense über die Benutzeroberfläche und/oder Shell.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • FPR2110 Version 7.2.5, lokal verwaltet durch FirePOWER Device Manager (FDM)

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Netzwerktopologie

    note-icon

    Hinweis: Das in diesem Dokument beschriebene Beispiel ist eines von mehreren empfohlenen Netzwerkdesigns. Weitere Optionen finden Sie im Konfigurationsleitfaden Avoiding Interrupted Failover and Data Links (Vermeidung von Unterbrechungen durch Failover und Datenverbindungen).

    Netzwerktopologie

    Konfigurieren

    Konfigurieren der primären Einheit für hohe Verfügbarkeit

    Schritt 1: Klicken Sie auf Device (Gerät), und drücken Sie die Taste Configure (Konfigurieren) oben rechts neben dem Status High Availability (Hohe Verfügbarkeit).

    Verbindungsdiagramm

    Schritt 2: Klicken Sie auf der Seite für hohe Verfügbarkeit auf das Feld Primärgerät.

    Benutzeroberfläche

    Schritt 3: Konfigurieren Sie die Eigenschaften der Failoververbindung.

    Wählen Sie die Schnittstelle aus, die Sie direkt mit Ihrer sekundären Firewall verbunden haben, und legen Sie die primäre und sekundäre IP-Adresse sowie die Subnetz-Netzmaske fest.

    Aktivieren Sie das Kontrollkästchen Dieselbe Schnittstelle wie die Failover-Verbindung verwenden für die Stateful Failover-Verbindung.

    Deaktivieren Sie das Feld IPSec-Verschlüsselungsschlüssel, und klicken Sie auf HA aktivieren, um die Änderungen zu speichern.

    Benutzeroberfläche

    Tipp-Symbol

    Tipp: Verwenden Sie ein Subnetz mit einer kleinen Maske, das nur für Failover-Datenverkehr vorgesehen ist, um Sicherheitslücken und/oder Netzwerkprobleme so weit wie möglich zu vermeiden.

    Warnsymbol

    Warnung: Das System stellt die Konfiguration sofort auf dem Gerät bereit. Sie müssen keinen Bereitstellungsauftrag starten. Wenn keine Meldung angezeigt wird, dass Ihre Konfiguration gespeichert wurde und die Bereitstellung ausgeführt wird, scrollen Sie zum Seitenanfang, um die Fehlermeldungen anzuzeigen. Die Konfiguration wird ebenfalls in die Zwischenablage kopiert. Sie können die Kopie verwenden, um die sekundäre Einheit schnell zu konfigurieren. Um die Sicherheit zu erhöhen, ist der Verschlüsselungsschlüssel (falls Sie einen Schlüssel festlegen) nicht in der Zwischenablage enthalten.

    Schritt 4: Nach Abschluss der Konfiguration wird eine Meldung mit den nächsten Schritten angezeigt. Klicken Sie nach dem Lesen der Informationen auf Got It

    Benutzeroberfläche

    Konfigurieren der Sekundäreinheit für hohe Verfügbarkeit

    Schritt 1: Klicken Sie auf Device (Gerät), und drücken Sie die Taste Configure (Konfigurieren) oben rechts neben dem Status High Availability (Hohe Verfügbarkeit).

    Verbindungsdiagramm

    Schritt 2: Klicken Sie auf der Seite für hohe Verfügbarkeit auf das Kästchen Sekundäres Gerät.

    Benutzeroberfläche

    Schritt 3: Konfigurieren Sie die Eigenschaften der Failoververbindung. Sie können die in der Zwischenablage gespeicherten Einstellungen nach der Konfiguration des primären FTD einfügen oder den Vorgang manuell fortsetzen.

    Schritt 3.1: Um aus der Zwischenablage einzufügen, klicken Sie einfach auf die Schaltfläche Aus Zwischenablage einfügen, fügen Sie die Konfiguration ein (drücken Sie Strg+v gleichzeitig) und klicken Sie auf OK.

    Benutzeroberfläche

    Benutzeroberfläche

    Schritt 3.2: Um manuell fortzufahren, wählen Sie die Schnittstelle aus, die Sie direkt mit Ihrer sekundären Firewall verbunden haben, und legen Sie die primäre und sekundäre IP-Adresse sowie die Subnetz-Netzmaske fest. Aktivieren Sie das Kontrollkästchen Dieselbe Schnittstelle wie die Failover-Verbindung verwenden für die Stateful Failover-Verbindung.

    Benutzeroberfläche

    Schritt 4: Deaktivieren Sie das Feld IPSec-Verschlüsselungsschlüssel, und klicken Sie auf HA aktivieren, um die Änderungen zu speichern.

    Warnsymbol

    Warnung: Das System stellt die Konfiguration sofort auf dem Gerät bereit. Sie müssen keinen Bereitstellungsauftrag starten. Wenn keine Meldung angezeigt wird, dass Ihre Konfiguration gespeichert wurde und die Bereitstellung ausgeführt wird, scrollen Sie zum Seitenanfang, um die Fehlermeldungen anzuzeigen.

    Schritt 5: Nach Abschluss der Konfiguration erhalten Sie eine Meldung, in der die nächsten Schritte erläutert werden. Klicken Sie nach dem Lesen der Informationen auf Got It

    Benutzeroberfläche

    Überprüfung

    • Zu diesem Zeitpunkt zeigt Ihr Gerätestatus am ehesten an, dass es sich um das sekundäre Gerät auf der Seite für hohe Verfügbarkeit handelt. Wenn der Join zum primären Gerät erfolgreich war, beginnt das Gerät mit dem primären Gerät zu synchronisieren, und schließlich wird der Modus in Standby und der Peer in Active geändert.

    Verbindungsdiagramm

    • In der primären FTD wird meist auch der Hochverfügbarkeitsstatus angezeigt, jedoch als "Aktiv" und "Peer: Standby".

    Verbindungsdiagramm

    • Öffnen Sie eine SSH-Sitzung mit dem primären FTD, und geben Sie den Befehl show running-config failover ein, um die Konfiguration zu überprüfen.

    CLI-Ausgabe

    • Validieren Sie den aktuellen Status des Geräts mit dem Befehl show failover state.

    CLI-Ausgabe

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    02-Oct-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Laura Villafranca
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.