Sustitución de Secure Firewall Management Center en un par HA
Introducción
Este documento describe cómo reemplazar un Secure Firewall Management Center defectuoso en un par de alta disponibilidad (HA).
Prerequisites
Requirements
Cisco recomienda que conozca este tema:
- Cisco Secure Firewall Management Center (FMC)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Cisco Secure Firewall Management Center (FMC) que ejecuta la versión 7.2.5 (1) en modo HA
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
Solución 1
Proceso para reemplazar una unidad defectuosa por una de respaldo
Paso 1: Asigne la unidad operativa como activa. Para obtener más información, consulte Switching Peers en el par de alta disponibilidad de Management Center.
Paso 2: Vuelva a crear una imagen de la nueva unidad para que coincida con la versión de software de la unidad activa. Consulte Recreación de la Imagen de un Modelo de Hardware de Cisco Secure Firewall Management Center para obtener más información.
Paso 3: Restaure la copia de seguridad de datos de la unidad defectuosa en el nuevo centro de gestión. Navegue hasta Sistema > Copia de seguridad/Restauración, cargue el archivo de copia de seguridad y restáurelo a la nueva unidad.
Paso 4: Si es necesario, actualice la misma versión de las actualizaciones de la base de datos de geolocalización (GeoDB), de la base de datos de vulnerabilidades (VDB) y del software del sistema como la unidad activa para garantizar la coherencia.
Paso 5: Una vez que se completan las actualizaciones, ambas unidades pueden mostrar un estado activo, lo que puede llevar a una condición de cerebro dividido HA.
Paso 6: Proceda a configurar manualmente la unidad que ha estado en funcionamiento continuo como activa. Esto le permite sincronizar la configuración más reciente con la unidad de sustitución.
Paso 7: Si la sincronización es exitosa, lo que puede tomar algún tiempo, navegue hasta la interfaz web de la unidad activa. A continuación, modifique las funciones y posicione la nueva unidad como el dispositivo activo.
Solución 2
Proceso para reemplazar una unidad defectuosa sin respaldo
Paso 1: Asigne la unidad operativa como activa. Para obtener más información, consulte Switching Peers en el par de alta disponibilidad de Management Center.
Paso 2: Vuelva a crear una imagen de la nueva unidad para que coincida con la versión de software de la unidad activa. Consulte Recreación de la Imagen de un Modelo de Hardware de Cisco Secure Firewall Management Center para obtener más información.
Paso 3: Si es necesario, actualice la misma versión de las actualizaciones de la base de datos de geolocalización (GeoDB), de la base de datos de vulnerabilidades (VDB) y del software del sistema como la unidad activa para garantizar la coherencia.
Paso 4: Utilice la interfaz web del centro de gestión activo para interrumpir el HA. Cuando se le solicite, seleccione la opción Administrar dispositivos registrados desde esta consola.
Paso 5: Reconfigure el HA del centro de gestión configurando el centro de gestión operativa como principal y la unidad de sustitución como secundaria. Para obtener instrucciones detalladas, consulte Establecimiento de la alta disponibilidad de Management Center.
Nota: cuando se restablece HA, la configuración más reciente del centro de gestión principal se sincroniza con el centro de gestión secundario. Las licencias Classic y Smart están diseñadas para integrarse sin problemas.
Verificación
Utilize esta sección para confirmar que su configuración funcione correctamente.
Una vez completada la sincronización, el resultado esperado es Status Healthy y Synchronization OK.
Dado que este proceso puede tardar algún tiempo, las unidades Primaria y Secundaria aún se están sincronizando. Durante este período, asegúrese de comprobar que los dispositivos están correctamente enumerados en las unidades primaria y secundaria.
Además, se puede realizar la verificación a través de la CLI. Esto se logra conectándose a la CLI, cambiando al modo experto, elevando los privilegios y ejecutando estas secuencias de comandos:
fmc1:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility ************** 1 Show HA Info Of FMC 2 Execute Sybase DBPing 3 Show Arbiter Status 4 Check Peer Connectivity 5 Print Messages of AQ Task 6 Show FMC HA Operations History (ASC order) 7 Dump To File: FMC HA Operations History (ASC order) 8 Last Successful Periodic Sync Time (When it completed) 9 Print HA Status Messages 10 Compare active and standby device list 11 Check manager status of standby missing devices 12 Check critical PM processes details 13 Help 0 Exit **************************************************************
fmc1:/Volume/home/admin# troubleshoot_HADC.pl **************** Troubleshooting Utility ************** 1 Show HA Info Of FMC
2 Execute Sybase DBPing
3 Show Arbiter Status
4 Check Peer Connectivity
5 Print Messages of AQ Task
6 Show FMC HA Operations History (ASC order)
7 Dump To File: FMC HA Operations History (ASC order)
8 Help
0 Exit **************************************************************
Para obtener información más detallada, consulte Verificación del modo de Firepower, la instancia, la alta disponibilidad y la configuración de escalabilidad.
Troubleshoot
Actualmente, no hay información específica de troubleshooting disponible para esta configuración.
Información Relacionada
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
29-Apr-2024 |
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)