Hoge beschikbaarheid van FTD op Firepower-applicaties configureren

Downloadopties

  • PDF     (1.0 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (884.1 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (786.9 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:19 juli 2024
Document-id:212699

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u Firepower Threat Defence (FTD) High Availability (HA) (Active/Standby failover) kunt configureren en verifiëren op FirePOWER-apparaten.

    Voorwaarden

    Vereisten

    Er zijn geen specifieke vereisten van toepassing op dit document.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • 2x Cisco Firepower 9300
    • 2x Cisco FirePOWER-applicatie 4100 (7.2.8)
    • Firepower Management Center (FMC) (7.2.8)

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Opmerking: op een FPR9300 apparaat met FTD kunt u alleen interchassis HA configureren. De twee eenheden in een HA-configuratie moeten voldoen aan de hier genoemde voorwaarden.

    Taak 1. Controleer de voorwaarden

    Taakvereiste:

    Controleer of beide FTD-apparaten voldoen aan de notitievereisten en kunnen worden geconfigureerd als HA-eenheden.

    Oplossing:

    Stap 1. Maak verbinding met de FPR9300 Management IP en controleer de module hardware.

    Controleer de FPR9300-1 hardware.

    KSEC-FPR9K-1-A# show server inventory
Server Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19216KK6          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19206H71          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19206H7T          Equipped                   262144         36
KSEC-FPR9K-1-A#

    Controleer de FPR9300-2 hardware.

    KSEC-FPR9K-2-A# show server inventory
Server  Equipped PID Equipped VID Equipped Serial (SN) Slot Status      Ackd Memory (MB) Ackd Cores
------- ------------ ------------ -------------------- ---------------- ---------------- ----------
1/1     FPR9K-SM-36  V01          FLM19206H9T          Equipped                   262144         36
1/2     FPR9K-SM-36  V01          FLM19216KAX          Equipped                   262144         36
1/3     FPR9K-SM-36  V01          FLM19267A63          Equipped                   262144         36
KSEC-FPR9K-2-A#

    Stap 2. Log in de FPR9300-1 Chassis Manager en navigeer naar logische apparaten.

    Controleer de softwareversie, het aantal en het type interfaces.

    Taak 2. FTD HA configureren

    Taakvereiste:

    Configureer Active/Standby failover (HA) aan de hand van dit diagram. In dit geval wordt een 41xx-paar gebruikt.

    alt-tag-for-image

    Oplossing

    Beide FTD-apparaten zijn al geregistreerd op het FMC, zoals in de afbeelding is weergegeven.

    alt-tag-for-image

    Stap 1. Om FTD failover te configureren, navigeer naar Apparaten > Apparaatbeheer en kies Hoge beschikbaarheid toevoegen zoals in de afbeelding.

    alt-tag-for-image

    Stap 2. Voer de primaire peer en de secundaire peer in en kies Doorgaan zoals in de afbeelding.

    alt-tag-for-image

    Waarschuwing: Zorg ervoor dat u de juiste eenheid als primaire eenheid selecteert. Alle configuraties op de geselecteerde primaire eenheid worden gerepliceerd naar de geselecteerde secundaire FTD-eenheid. Als gevolg van replicatie kan de huidige configuratie op de secundaire eenheid worden vervangen.

    Voorwaarden

    Om een HA tussen 2 FTD-apparaten te creëren, moet aan deze voorwaarden worden voldaan:

    • Hetzelfde model
    • Dezelfde versie - dit is van toepassing op FXOS en op FTD - groot (eerste nummer), klein (tweede nummer), en onderhoud (derde nummer) moeten gelijk zijn.
    • Hetzelfde aantal interfaces
    • Hetzelfde type interfaces
    • Beide apparaten maken deel uit van dezelfde groep/hetzelfde domein in het VCC.
    • Zorg voor een identieke Network Time Protocol (NTP)-configuratie.
    • volledig worden ingezet in het VCC zonder onnodige wijzigingen.
    • Vermeld u in dezelfde firewallmodus: routed of transparant.
    pictogram van opmerking

    Opmerking: Dit moet worden gecontroleerd zowel op FTD-apparatuur als op de FMC GUI, aangezien er gevallen zijn geweest waarin de FTD's dezelfde modus hadden, maar het FMC dit niet weergeeft.

    • Heeft geen DHCP/Point-to-Point Protocol over Ethernet (PPPoE) geconfigureerd in een van de interfaces.
    • Verschillende hostname [Fully Qualified Domain Name (FQDN)] voor beide chassis. Om de hostnaam van het chassis te controleren, navigeer je naar FTD CLI en voer je deze opdracht uit:
    firepower# show chassis-management-url

https://KSEC-FPR9K-1.cisco.com:443//

    Opmerking: In post-6.3 FTD gebruik de opdracht toon chassisdetails.

    Firepower-module1# show chassis detail 
    Chassis URL : https://FP4100-5:443// 
    Chassis IP : 10.62.148.187 
    Chassis IPv6 : :: 
    Chassis Serial Number : JAD19500BAB 
    Security Module : 1

    Als beide chassis dezelfde naam hebben, verander dan de naam van één chassis met behulp van deze opdrachten:

    KSEC-FPR9K-1-A# scope system
KSEC-FPR9K-1-A /system # set name FPR9K-1new
Warning: System name modification changes FC zone name and redeploys them non-disruptively
KSEC-FPR9K-1-A /system* # commit-buffer
FPR9K-1-A /system # exit
FPR9K-1new-A#

    Nadat u de chassisnaam heeft gewijzigd, verwijdert u de registratie van FTD van het FMC en voert u de registratie opnieuw uit. Ga daarna door met het maken van het HA-paar.

    Stap 3. Configureer de HA en geef de linkinstellingen op.

    In uw geval heeft de State Link dezelfde instellingen als de High Availability Link.

    Kies Add en wacht een paar minuten om het HA-paar te implementeren zoals in de afbeelding.

    alt-tag-for-image

    Stap 4. Configureer de gegevensinterfaces (primaire en standby IP-adressen)

    Kies in de FMC GUI de HA Edit zoals in de afbeelding.

    alt-tag-for-image

    Stap 5. Configureer de interface-instellingen:

    alt-tag-for-image

    alt-tag-for-image

    In het geval van een subinterface, moet u eerst de ouderinterface inschakelen:

    alt-tag-for-image

    Stap 6. Navigeer naar Hoge beschikbaarheid en kies de interfacenaam Bewerken om de standby IP-adressen toe te voegen zoals in de afbeelding.

    alt-tag-for-image

    Stap 7. Voor de Inside interface zoals in de afbeelding.

    alt-tag-for-image

    Stap 8. Doe het zelfde voor de Buiteninterface.

    Stap 9. Controleer het resultaat zoals in de afbeelding.

    alt-tag-for-image

    Stap 10. Blijf op het tabblad Hoge beschikbaarheid en configureer de virtuele MAC-adressen zoals in de afbeelding.

    alt-tag-for-image

    Stap 11. Voor de Inside Interface wordt verwezen naar de afbeelding.

    alt-tag-for-image

    Stap 12. Doe het zelfde voor de Buiteninterface.

    Stap 13. Controleer het resultaat zoals in de afbeelding.

    alt-tag-for-image

    Stap 14. Nadat u de wijzigingen hebt geconfigureerd, kiest u Opslaan en implementeren.

    Taak 3. Controleer de FTD HA en de licentie

    Taakvereiste:

    Controleer de FTD HA-instellingen en actieve licenties van de FMC GUI en van de FTD CLI.

    Oplossing:

    Stap 1. Navigeer naar Samenvatting en controleer de HA-instellingen en ingeschakelde licenties zoals in de afbeelding.

    alt-tag-for-image

    Stap 2. Vanuit de FTD CLISH CLI voert u de opdracht 'show high-available config' of 'show failover' uit:

    > show high-availability config 
    Failover On 
    Failover unit Primary
    Failover LAN Interface: FOVER Port-channel3 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 1291 maximum
    MAC Address Move Notification Interval not set
    failover replication http
    Version: Ours 9.18(4)210, Mate 9.18(4)210
    Serial Number: Ours FLM1949C5RR, Mate FLM2108V9YG
    Last Failover at: 08:46:30 UTC Jul 18 2024
            This host: Primary - Active 
                    Active time: 1999 (sec)
                    slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                      Interface diagnostic (0.0.0.0): Normal (Waiting)
                      Interface Inside (192.168.75.10): Link Down (Shutdown)
                      Interface Outside (192.168.76.10): Normal (Not-Monitored)
                    slot 1: snort rev (1.0) status (up)
                    slot 2: diskstatus rev (1.0) status (up)
            Other host: Secondary - Standby Ready 
                    Active time: 1466 (sec)
                    slot 0: UCSB-B200-M3-U hw/sw rev (0.0/9.18(4)210) status (Up Sys)
                      Interface diagnostic (0.0.0.0): Normal (Waiting)
                      Interface Inside (192.168.75.11): Link Down (Shutdown)
                      Interface Outside (192.168.76.11): Normal (Not-Monitored)
                    slot 1: snort rev (1.0) status (up)
                    slot 2: diskstatus rev (1.0) status (up)

    Stateful Failover Logical Update Statistics
    <output omitted>

    Stap 3. Doe dit ook met het Secundaire apparaat.

    Stap 4. Voer de opdracht failover van de show uit vanuit de LINA CLI:

    firepower# show failover state

               State          Last Failure Reason      Date/Time
This host  -   Primary
               Active         None
Other host -   Secondary
               Standby Ready  Comm Failure             18:32:56 EEST Jul 21 2016

====Configuration State===
	Sync Done
====Communication State===
	Mac set

firepower#

    Stap 5. Controleer de configuratie vanuit de primaire eenheid (LINA CLI):

    > show running-config failover
    failover
    failover lan unit primary
    failover lan interface FOVER Port-channel3
    failover replication http
    failover mac address Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.2222
    failover mac address Port-channel2.202 aaaa.bbbb.3333 aaaa.bbbb.4444
    failover link FOVER Port-channel3
    failover interface ip FOVER 172.16.51.1 255.255.255.0 standby 172.16.51.2

> show running-config interface 
    !
    interface Port-channel2
    no nameif
    no security-level
    no ip address
    !
    interface Port-channel2.202
    vlan 202
    nameif Outside
    cts manual
    propagate sgt preserve-untag
    policy static sgt disabled trusted
    security-level 0
    ip address 192.168.76.10 255.255.255.0 standby 192.168.76.11 
    !
    interface Port-channel3
    description LAN/STATE Failover Interface
    !
    interface Ethernet1/1
    management-only
    nameif diagnostic
    security-level 0
    no ip address
    !
    interface Ethernet1/4
    shutdown
    nameif Inside
    security-level 0
    ip address 192.168.75.10 255.255.255.0 standby 192.168.75.11 
    >

    Taak 4. De failover-rollen switches

    Taakvereiste:

    Vanuit het FMC wisselt u de failover-rollen van Primary/Active, Secondary/Standby in Primary/Standby, Secondary/Active

    Oplossing:

    Stap 1. Selecteer het pictogram zoals in het beeld.

    alt-tag-for-image

    Stap 2. Bevestig de actie.

    U kunt de opdrachtoutput van de show failover history gebruiken:

    Op het nieuwe actieve

    De nieuwe stand-by

    > failover-geschiedenis weergeven
    ==========================================================================
    Van staat tot staat
    ==========================================================================

    09:27:11 UTC 18 jul. 2024
    Standby Ready Just Active Andere eenheid wil mij Actief
                                                                                                                     (Ingesteld door de configuratieopdracht)

    09:27:11 UTC 18 jul. 2024
    Gewoon actieve actieve afvoer Andere eenheid wil mij actief
                                                                                                                     (Ingesteld door de configuratieopdracht)

    09:27:11 UTC 18 jul. 2024
    Active Drain Active Appliance Config Andere eenheid wil mij Actief
                                                                                                                     (Ingesteld door de configuratieopdracht)

    09:27:11 UTC 18 jul. 2024
    Active Appliance Config Actieve Config Toegepaste Andere eenheid wil mij Actief
                                                                                                                     (Ingesteld door de configuratieopdracht)

    09:27:11 UTC 18 jul. 2024
    Active Config Toegepaste Actieve Andere eenheid wil me Actief
                                                                                                                    (Ingesteld door de configuratieopdracht)

    > failover-geschiedenis weergeven
    ==========================================================================
    Van staat tot staat
    ==========================================================================

    09:27:11 UTC 18 jul. 2024
    Active Standby Ready ingesteld door de configuratieopdracht
                                                                                                                   (geen failover actief)

    Stap 4. Voer na de verificatie de primaire eenheid opnieuw in.

    Taak 5. Breek het HA paar

    Taakvereiste:

    Verbreek het failover-paar vanaf het FMC.

    Oplossing:

    Stap 1. Selecteer het pictogram zoals in het beeld.

    alt-tag-for-image

    Stap 2. Controleer de melding zoals die in de afbeelding wordt weergegeven.

    alt-tag-for-image

    Stap 3. Let op het bericht zoals in de afbeelding.

    alt-tag-for-image

    Stap 4. Controleer het resultaat van de VCC GUI of van de CLI

    show running-config op de primaire eenheid vóór en na het verbreken van HA:

    Primaire/stand-by-eenheid vóór de HA-breuk

    Primaire eenheid na de HA-breuk

    > tonen in werking stellen-configuratie
    : opgeslagen

    :
    : Serienummer: FLM1949C5RR
    : Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname vuurkracht
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam buiten
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 192.168.76.10 255.255.255.0 stand-by 192.168.76.11
    !
    interface-poort-kanaal3
    Beschrijving LAN/STATE failover-interface
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naameif Inside
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 192.168.75.10 255.255.255.0 standby 192.168.75.11
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268434433: ACCESS POLICY: acp_easy - Default
    access-list CSM_FW_ACL_ remark regel-id 268434433: L4 REGEL: DEFAULT ACTION REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268434433
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu buiten 1500
    Mtu diagnostische applicatie 1500
    Mtu Inside 1500
    failover
    primaire failover LAN-eenheid
    failover LAN-interface FOVER-poortkanaal 3
    failover-replicatie http
    failover MAC-adres Ethernet1/4 aaaa.bbbb.1111 aaaa.bbbb.222
    Poortkanaal2.202 aaaa.bbbb.333 aaaa.bbbb.444
    failover link FOVER-poortkanaal 3
    failover interface ip fover 172.16.51.1 255.255.255.0 standby 172.16.51.2

    <output weggelaten>

    > INFO: Deze unit staat momenteel in de stand-by modus. Door failover uit te schakelen, blijft deze unit in de stand-by modus staan.

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : Serienummer: FLM1949C5RR
    : Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname vuurkracht
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal3
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface Ethernet1/4
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268439552: ACCESS POLICY: acp_easy - Verplicht
    toegangslijst CSM_FW_ACL_ remark regel-id 268439552: L7 REGEL: rule1
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268439552
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    geen failover
    <output weggelaten>

    Secundaire/actieve eenheid vóór de HA-breuk

    Secundaire eenheid na de HA-breuk

    >actieve configuratie tonen
    : opgeslagen

    :
    : serienummer: FLM2108V9YG
    : Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname vuurkracht
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam buiten
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 192.168.76.10 255.255.255.0 stand-by 192.168.76.11
    !
    interface-poort-kanaal3
    Beschrijving LAN/STATE failover-interface
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naameif Inside
    veiligheidsniveau 0
    IP-adres 192.168.75.10 255.255.255.0 standby 192.168.75.11
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268439552: ACCESS POLICY: acp_easy - Verplicht
    toegangslijst CSM_FW_ACL_ remark regel-id 268439552: L7 REGEL: rule1
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268439552
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu buiten 1500
    Mtu diagnostische applicatie 1500
    Mtu Inside 1500
    failover
    secundair failover-LAN-unit
    failover LAN-interface FOVER-poortkanaal 3
    failover-replicatie http
    failover link FOVER-poortkanaal 3
    failover interface ip fover 172.16.51.1 255.255.255.0 standby 172.16.51.2

    <output weggelaten>

    		  

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : serienummer: FLM2108V9YG
    : Hardware: FPR4K-SM-24, 73850 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname vuurkracht
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam buiten
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 192.168.76.10 255.255.255.0 stand-by 192.168.76.11
    !
    interface-poort-kanaal3
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naameif Inside
    veiligheidsniveau 0
    IP-adres 192.168.75.10 255.255.255.0 standby 192.168.75.11
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268439552: ACCESS POLICY: acp_easy - Verplicht
    toegangslijst CSM_FW_ACL_ remark regel-id 268439552: L7 REGEL: rule1
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268439552
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu buiten 1500
    Mtu diagnostische applicatie 1500
    Mtu Inside 1500
    geen failover
    geen monitor-interface buiten
    geen monitor-interface-servicemodule

    <output weggelaten>

    Belangrijkste punten voor het verbreken van HA:

    Primaire/stand-by eenheid

    Secundaire/actieve eenheid
    • Alle failover-configuraties worden verwijderd
    • Alle IP-configuratie is verwijderd
    • Alle failover-configuraties worden verwijderd
    • Stand-by IP's blijven bestaan, maar worden bij de volgende implementatie verwijderd

    Stap 5. Nadat u deze taak hebt voltooid, herschik het HA-paar.

    Taak 6. Een HA-paar verwijderen

    Deze taak is gebaseerd op een HA setup op 41xx met behulp van 7.2.8 software. In dit geval waren de apparaten aanvankelijk in deze toestanden:

    • Primair/Stadnby
    • Secundair/actief

    Taakvereiste:

    Verwijder het failover-paar uit het VCC.

    Oplossing:

    Stap 1. Kies het pictogram zoals in de afbeelding:

    alt-tag-for-image

    Stap 2. Controleer de melding en bevestig zoals op de afbeelding:

    alt-tag-for-image

    Stap 3. Nadat u de HA hebt verwijderd, worden beide apparaten niet geregistreerd (verwijderd) bij het VCC.

    show running-config resultaat van de LINA CLI is zoals weergegeven in deze tabel:

    Primaire eenheid (Standby)

    Secundaire eenheid (actief)

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : Serienummer: FLM1949C5RR
    : Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname Firepower-module1
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    geen asp-inspectie-dp-doorvoer
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam NET202
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.202.1 255.255.255.0 stand-by 172.16.202.2
    !
    interface-poort-kanaal 2.203
    VLAN 2203
    Naam NET203
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.203.1 255.255.255.0 stand-by 172.16.203.2
    !
    interface-poort-kanaal3
    Beschrijving LAN/STATE failover-interface
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naam NET204
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.204.1 255.255.255.0 stand-by 172.16.204.2
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    geen toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268434433: ACCESS POLICY: acp_easy - Default
    access-list CSM_FW_ACL_ remark regel-id 268434433: L4 REGEL: DEFAULT ACTION REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268434433
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    TCP-opties md5 wissen
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu NET202 1500
    Mtu NET203 1500
    Mtu diagnostische applicatie 1500
    Mtu NET204 1500
    failover
    primaire failover LAN-eenheid
    failover LAN-interface FOVER-poortkanaal 3
    failover-replicatie http
    failover link FOVER-poortkanaal 3
    failover interface ip fover 172.16.51.1 255.255.255.0 standby 172.16.51.2
    monitor-interface NET202
    monitor-interface NET203
    ICMP onbereikbare snelheidslimiet 1 burst-size 1

    <output weggelaten>

    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIGURATIE
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIGURATIE
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    ETHERNET1/4 NET204 172.16.204.1 CONFIGURATIE 255.255.255.0
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.2 255.255.255.0 CONFIGURATIE
    Poortkanaal2.203 NET203 172.16.203.2 255.255.255.0 CONFIGURATIE
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    ETHERNET1/4 NET204 172.16.204.2 CONFIGURATIE 255.255.255.0

    > failover tonen
    failover aan
    Primaire failover-eenheid
    failover LAN-interface: FOVER Port-channel3 (up)
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 4 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld
    failover-replicatie http
    Versie: ONS 9.18(4)210, Mate 9.18(4)210
    Serienummer: ons FLM1949C5R, Mate FLM2108V9YG
    Laatste failover op: 13:56:37 UTC Jul 16 2024
    Deze host: Primary - Standby Ready
    Actieve tijd: 0 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface NET202 (172.16.202.2): normaal (bewaakt)
    Interface NET203 (172.16.203.2): normaal (bewaakt)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.2): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)
    Andere host: Secundair - Actief
    Actieve tijd: 70293 (sec)
    Interface NET202 (172.16.202.1): normaal (bewaakt)
    Interface NET203 (172.16.203.1): normaal (bewaakt)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.1): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)

    <output weggelaten>

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : serienummer: FLM2108V9YG
    : Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname Firepower-module1
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    geen asp-inspectie-dp-doorvoer
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam NET202
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.202.1 255.255.255.0 stand-by 172.16.202.2
    !
    interface-poort-kanaal 2.203
    VLAN 2203
    Naam NET203
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.203.1 255.255.255.0 stand-by 172.16.203.2
    !
    interface-poort-kanaal3
    Beschrijving LAN/STATE failover-interface
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naam NET204
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.204.1 255.255.255.0 stand-by 172.16.204.2
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    geen toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268434433: ACCESS POLICY: acp_easy - Default
    access-list CSM_FW_ACL_ remark regel-id 268434433: L4 REGEL: DEFAULT ACTION REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268434433
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    TCP-opties md5 wissen
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu NET202 1500
    Mtu NET203 1500
    Mtu diagnostische applicatie 1500
    Mtu NET204 1500
    failover
    secundair failover-LAN-unit
    failover LAN-interface FOVER-poortkanaal 3
    failover-replicatie http
    failover link FOVER-poortkanaal 3
    failover interface ip fover 172.16.51.1 255.255.255.0 standby 172.16.51.2
    monitor-interface NET202
    monitor-interface NET203
    ICMP onbereikbare snelheidslimiet 1 burst-size 1

    <output weggelaten>

    >IP tonen
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIGURATIE
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIGURATIE
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    ETHERNET1/4 NET204 172.16.204.1 CONFIGURATIE 255.255.255.0
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 CONFIGURATIE
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 CONFIGURATIE
    Poortkanaal3 FOVER 172.16.51.2 255.255.255.0 unset
    ETHERNET1/4 NET204 172.16.204.1 CONFIGURATIE 255.255.255.0

    > failover tonen
    failover aan
    Secundaire failover-eenheid
    failover LAN-interface: FOVER Port-channel3 (up)
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 4 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld
    failover-replicatie http
    Versie: ONS 9.18(4)210, Mate 9.18(4)210
    Serienummer: ons FLM2108V9YG, Mate FLM1949C5RR
    Laatste failover op: 13:42:35 UTC Jul 16 2024
    Deze host: Secundair - Actief
    Actieve tijd: 70312 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface NET202 (172.16.202.1): normaal (bewaakt)
    Interface NET203 (172.16.203.1): normaal (bewaakt)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.1): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)
    Andere host: Primair - Standby Ready
    Actieve tijd: 0 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface NET202 (172.16.202.2): normaal (bewaakt)
    Interface NET203 (172.16.203.2): normaal (bewaakt)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.2): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)

    <output weggelaten>

    Stap 4. Beide FTD-apparaten waren niet geregistreerd bij het VCC:

    > show managers
No managers configured.

    Belangrijkste punten om rekening mee te houden voor de optie HA uitschakelen in het FMC:

    Primaire eenheid

    Secundaire eenheid

    Het apparaat wordt uit het FMC verwijderd.

    Er wordt geen configuratie verwijderd van het FTD-apparaat.

    Het apparaat wordt uit het FMC verwijderd.

    Er wordt geen configuratie verwijderd van het FTD-apparaat.

    Scenario 1

    Voer de opdracht 'configureer high-Availability deactiveren' uit om de failoverconfiguratie van het actieve FTD-apparaat te verwijderen:

    > configure high-availability disable ?
    Optional parameter to clear interfaces (clear-interfaces) optional parameter to clear interfaces (clear-interfaces) (clear-interfaces)
    <cr> 
    > configure high-availability disable
High-availability will be disabled. Do you really want to continue?
Please enter 'YES' or 'NO': yes
Successfully disabled high-availability.

    Het resultaat:

    Primaire eenheid (ex-stand-by)

    Secundaire eenheid (ex-actief)

    > INFO: This unit is currently in standby state. By disabling failover, this unit will remain in standby state.

    > show failover
    Failover Off (pseudo-Standby)
    Failover unit Primary
    Failover LAN Interface: FOVER Port-channel3 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 0 of 1291 maximum
    MAC Address Move Notification Interval not set
    failover replication http

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset
    Current IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel3 FOVER 172.16.51.1 255.255.255.0 unset

    > show failover
    Failover Off
    Failover unit Secondary
    Failover LAN Interface: not Configured
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 4 of 1291 maximum
    MAC Address Move Notification Interval not set

    > show ip
    System IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
    Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG
    Current IP Addresses:
    Interface Name IP address Subnet mask Method
    Port-channel2.202 NET202 172.16.202.1 255.255.255.0 CONFIG
    Port-channel2.203 NET203 172.16.203.1 255.255.255.0 CONFIG
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 CONFIG

    Primair (ex-stand-by)

    Secundair (ex-actief)

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : Serienummer: FLM1949C5RR
    : Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname Firepower-module1
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    geen asp-inspectie-dp-doorvoer
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    shutdown
    geen naam
    geen veiligheidsniveau
    geen IP-adres <- IP’s worden verwijderd
    !
    interface-poort-kanaal3
    Beschrijving LAN/STATE failover-interface
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface Ethernet1/4
    shutdown
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    geen toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268434433: ACCESS POLICY: acp_easy - Default
    access-list CSM_FW_ACL_ remark regel-id 268434433: L4 REGEL: DEFAULT ACTION REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268434433
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    TCP-opties md5 wissen
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    geen failover
    primaire failover LAN-eenheid
    failover LAN-interface FOVER-poortkanaal 3
    failover-replicatie http
    failover link FOVER-poortkanaal 3
    failover interface ip fover 172.16.51.1 255.255.255.0 standby 172.16.51.2
    geen monitor-interface-servicemodule

    <output weggelaten>

    > tonen in werking stelt -in werking stellen-configuratie
    : opgeslagen

    :
    : serienummer: FLM2108V9YG
    : Hardware: FPR4K-SM-24, 73853 MB RAM, CPU Xeon E5-serie 2200 MHz, 2 CPU’s (48 kernen)
    :
    NGFW versie 7.2.8
    !
    hostname Firepower-module1
    wachtwoord inschakelen ***** versleuteld
    strong-encryptie-blokkeert
    geen asp-inspectie-dp-doorvoer
    service-module 0 keepalive-time-out 4
    servicemodule 0 keepliving-teller 6
    namen
    geen MAC-adres automatisch

    !
    interface-poort-kanaal2
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface-poort-kanaal 2.202
    VLAN 2202
    Naam NET202
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.202.1 255.255.255.0 stand-by 172.16.202.2
    !
    interface-poort-kanaal 2.203
    VLAN 2203
    Naam NET203
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.203.1 255.255.255.0 stand-by 172.16.203.2
    !
    interface-poort-kanaal3
    geen naam
    geen veiligheidsniveau
    geen ip-adres
    !
    interface Ethernet1/1
    uitsluitend voor beheer bestemd
    naamloos diagnostisch
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    geen ip-adres
    !
    interface Ethernet1/4
    Naam NET204
    cts-handleiding
    propagate sgt-conservatie-untag
    beleid statisch zicht uitgeschakeld vertrouwd
    veiligheidsniveau 0
    IP-adres 172.16.204.1 255.255.255.0 stand-by 172.16.204.2
    !
    ftp-modus passief
    ngips conn-match VLAN-id
    geen toegangscontrole voor objectgroepen
    access-group CSM_FW_ACL_global
    access-list CSM_FW_ACL_ remark regel-id 9998: PREFILTER BELEID: Default Tunnel and Priority Policy
    access-list CSM_FW_ACL_ remark regel-id 9998: REGEL: DEFAULT TUNNELACTIE REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ipinip elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp any eq 3544 willekeurige bereik 1025 65535 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie udp elk bereik 1025 65535 elke eq 3544 regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie 41 elke regel-id 9998
    access-list CSM_FW_ACL_ geavanceerde licentie voor elke regel-id 9998
    access-list CSM_FW_ACL_ remark regel-id 268434433: ACCESS POLICY: acp_easy - Default
    access-list CSM_FW_ACL_ remark regel-id 268434433: L4 REGEL: DEFAULT ACTION REGEL
    access-list CSM_FW_ACL_ geavanceerde licentie ip elke regel-id 268434433
    !
    TCP-map UM_STATIC_TCP_MAP
    TCP-opties bereik 6 7
    TCP-opties bereik 9 18
    TCP-opties bereik 20 255
    TCP-opties md5 wissen
    toestemming voor gebruik onder dringende vlag
    !
    geen semafoon
    geen 106015
    geen 313001
    geen 313008
    geen 106023
    geen 710003
    geen 106100
    geen 302015
    geen 302014
    geen 302013
    geen 302018
    geen 302017
    geen 302016
    geen 302021
    geen 302020
    Mtu NET202 1500
    Mtu NET203 1500
    Mtu diagnostische applicatie 1500
    Mtu NET204 1500
    geen failover
    monitor-interface NET202
    monitor-interface NET203
    geen monitor-interface-servicemodule

    Belangrijkste punten om op te merken voor de Uitschakelen HA van Actieve FTD CLI:

    Actieve Eenheid

    Standby-eenheid
    • De failover-configuratie is verwijderd
    • Standby-IP’s worden niet verwijderd
    • Interface-configuraties worden verwijderd.
    • De failover-configuratie wordt niet verwijderd, maar de failover is uitgeschakeld (pseudo-Standby)

    Op dit punt kunt u de HA ook uitschakelen op de ex-Standby unit.

    Scenario 2 (niet aanbevolen)

    Waarschuwing: dit scenario leidt tot een actieve/actieve situatie; daarom wordt dit niet aanbevolen. Het wordt alleen getoond ter bewustwording.

    Voer de opdracht 'configureer hoge beschikbaarheid uit' om de failover-configuratie te verwijderen van het Standby FTD-apparaat:

    > configure high-availability disable
    High-availability will be disabled. Do you really want to continue?
    Please enter 'YES' or 'NO': YES
    Successfully disabled high-availability.

    Het resultaat:

    Primair (ex-stand-by)

    Secundair (actief)

    > failover tonen
    failover uit
    Secundaire failover-eenheid
    Failover LAN-interface: niet geconfigureerd
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 4 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld


    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding <- Het apparaat gebruikt dezelfde IP's als de ex-Active!
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

    > failover tonen
    failover op < - failover is niet uitgeschakeld
    Secundaire failover-eenheid
    failover LAN-interface: FOVER Port-channel3 (up)
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 4 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld
    failover-replicatie http
    Versie: ONS 9.18(4)210, Mate 9.18(4)210
    Serienummer: ons FLM2108V9YG, Mate FLM1949C5RR
    Laatste failover op: 12:44:06 UTC Jul 17 2024
    Deze host: Secundair - Actief
    Actieve tijd: 632 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.1): normaal (bewaakt)
    Interface NET203 (172.16.203.1): normaal (bewaakt)
    Interface NET202 (172.16.202.1): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)
    Andere host: Primair - Uitgeschakeld
    Actieve tijd: 932 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface diagnostic (0.0.0.0): onbekend (wacht)
    Interface NET204 (172.16.204.2): onbekend (bewaakt)
    Interface NET203 (172.16.203.2): onbekend (bewaakt)
    Interface NET202 (172.16.202.2): onbekend (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)

    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding <- Het apparaat gebruikt dezelfde IP's als de ex-Standby!
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Poortkanaal3 FOVER 172.16.51.2 255.255.255.0 unset
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

    Belangrijkste punten om op te merken voor de Uitschakelen HA van Actieve FTD CLI:

    Actieve Eenheid

    Standby-eenheid
    • De failover-configuratie wordt niet verwijderd en blijft ingeschakeld
    • Het apparaat gebruikt dezelfde IP's als de ex-Standby-eenheid
    • De failover-configuratie is verwijderd
    • Het apparaat gebruikt dezelfde IP's als de actieve eenheid

    Scenario 3

    Voer de opdracht 'hoge beschikbaarheid configureren uitschakelen clear-interfaces' uit om de failover-configuratie van het actieve FTD-apparaat te verwijderen:

    > configure high-availability disable clear-interfaces
    High-availability will be disabled. Do you really want to continue?
    Please enter 'YES' or 'NO': yes
    Successfully disabled high-availability.

    >

    Het resultaat:

    Primair (ex-stand-by)

    Secundair (ex-actief)

    > failover tonen
    failover uit (pseudo-stand-by)
    Primaire failover-eenheid
    failover LAN-interface: FOVER Port-channel3 (up)
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 0 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld
    failover-replicatie http


    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    >

    > failover tonen
    failover uit
    Secundaire failover-eenheid
    Failover LAN-interface: niet geconfigureerd
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 0 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld


    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    >

    Belangrijkste punten om op te merken voor de Disable HA samen met 'clear-interfaces' van Active FTD CLI:

    Actieve Eenheid

    Standby-eenheid
    • De failover-configuratie is verwijderd
    • De IP's worden verwijderd
    • De failover-configuratie wordt niet verwijderd, maar de failover is uitgeschakeld (pseudo-Standby)
    • De IP's worden verwijderd

    Scenario 4

    Voer de opdracht 'hoge beschikbaarheid configureren uitschakelen clear-interfaces' uit om de failover-configuratie te verwijderen van het Standby FTD-apparaat:

    > configure high-availability disable clear-interfaces
    High-availability will be disabled. Do you really want to continue?
    Please enter 'YES' or 'NO': YES
    Successfully disabled high-availability.

    >

    Het resultaat:

    Primair (ex-stand-by)

    Secundair (actief)

    > failover tonen
    failover uit
    Secundaire failover-eenheid
    Failover LAN-interface: niet geconfigureerd
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 0 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld


    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    >

    > failover tonen
    failover aan
    Secundaire failover-eenheid
    failover LAN-interface: FOVER Port-channel3 (up)
    Time-out opnieuw verbinden 0:00:00
    Eenheid Poll frequentie 1 seconden, holdtime 15 seconden
    Interface Poll frequentie 5 seconden, holdtime 25 seconden
    Interfacebeleid 1
    Gecontroleerde interfaces 4 van maximaal 1291
    Interval voor melding van MAC-adresbeweging niet ingesteld
    failover-replicatie http
    Versie: ONS 9.18(4)210, Mate 9.18(4)210
    Serienummer: ons FLM2108V9YG, Mate FLM1949C5RR
    Laatste failover op: 07:06:56 UTC Jul 18 2024
    Deze host: Secundair - Actief
    Actieve tijd: 1194 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface diagnostic (0.0.0.0): Normaal (wachten)
    Interface NET204 (172.16.204.1): normaal (bewaakt)
    Interface NET202 (172.16.202.1): normaal (bewaakt)
    Interface NET203 (172.16.203.1): normaal (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)
    Andere host: Primair - Uitgeschakeld
    Actieve tijd: 846 (sec)
    sleuf 0: UCS B-B200-M3-U hw/sw-omgekeerd (0.0/9.18(4)210) status (Up Sys)
    Interface diagnostic (0.0.0.0): onbekend (wacht)
    Interface NET204 (172.16.204.2): onbekend (bewaakt)
    Interface NET202 (172.16.202.2): onbekend (bewaakt)
    Interface NET203 (172.16.203.2): onbekend (bewaakt)
    sleuf 1: snort rev (1.0) status (omhoog)
    sleuf 2: diskstatus rev (1.0) status (omhoog)

    > ip weergeven
    IP-adressen systeem:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Poortkanaal3 FOVER 172.16.51.1 255.255.255.0 unset
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding
    Huidige IP-adressen:
    Subnetmasker met interfacenaam en IP-adres
    Poortkanaal2.202 NET202 172.16.202.1 255.255.255.0 handleiding
    Poortkanaal2.203 NET203 172.16.203.1 255.255.255.0 handleiding
    Poortkanaal3 FOVER 172.16.51.2 255.255.255.0 unset
    Ethernet1/4 NET204 172.16.204.1 255.255.255.0 handleiding

    Belangrijkste punten om op te merken voor de Disable HA samen met 'clear-interfaces' van Active FTD CLI:

    Actieve Eenheid

    Standby-eenheid
    • De failover-configuratie is niet verwijderd
    • De IP's worden niet verwijderd
    • De failover-configuratie is verwijderd
    • De IP's worden verwijderd

    Stap 6. Nadat u de taak hebt voltooid, registreert u de apparaten bij het VCC en schakelt u het HA-paar in.

    Taak 7. Suspend HA

    Taakvereiste:

    Schort de HA op vanaf de FTD CLISH CLI

    Oplossing:

    Stap 1. Voer op het primaire FTD de opdracht uit en bevestig (type JA).

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    Stap 2. Controleer de wijzigingen op de primaire eenheid:

    > show high-availability config
Failover Off
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Stap 3. Resultaat van de secundaire eenheid:

    > show high-availability config
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http 

    Stap 4. Hervat HA op primaire eenheid:

    > configure high-availability resume
Successfully resumed high-availablity.

> .

	No Active mate detected
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

> 
    > show high-availability config
Failover On
Failover unit Primary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http

    Stap 5. Het resultaat op de Secundaire eenheid nadat u HA hervat:

    > ..

	Detected an Active mate
Beginning configuration replication from mate.


WARNING: Failover is enabled but standby IP address is not configured for this interface.
WARNING: Failover is enabled but standby IP address is not configured for this interface.
End configuration replication from mate.

>
    > show high-availability config
Failover On
Failover unit Secondary
Failover LAN Interface: fover_link Ethernet1/4 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 1 of 1041 maximum
MAC Address Move Notification Interval not set
failover replication http
>

    Veelgestelde vragen (FAQ)


    Wanneer de configuratie wordt gerepliceerd, wordt deze onmiddellijk opgeslagen (regel-voor-regel) of aan het eind van de replicatie?
    Aan het einde van de replicatie. Het bewijs bevindt zich aan het einde van de output van de opdracht debug fover sync, waar de config/command-replicatie wordt getoond:

    cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1506 remark rule-id 268442578: L7 RULE: ACP_Rule_500
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1507 advanced permit tcp object-group group_10 eq 48894 object-group group_10 eq 23470 vlan eq 1392 rule-id 268442578
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1508 remark rule-id 268442078: ACCESS POLICY: mzafeiro_500 - Default
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ line 1509 remark rule-id 268442078: L4 RULE: DEFAULT ACTION RULE
...
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_2 eq 32881 object-group group_433 eq 39084 vlan eq 1693 rule-id 268442076
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: ACCESS POLICY: mzafeiro_ACP1500 - Mandatory
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268442077: L7 RULE: ACP_Rule_1500
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ advanced permit tcp object-group group_6 eq 8988 object-group group_311 eq 32433 vlan eq 619 rule-id 268442077
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: ACCESS POLICY: mzafeiro_ACP1500 - Default
cli_xml_server: frep_write_cmd: Cmd: no access-list CSM_FW_ACL_ line 1510 remark rule-id 268440577: L4 RULE: DEFAULT ACTION RULE
cli_xml_server: frep_write_cmd: Cmd: access-list CSM_FW_ACL_ advanced deny ip any any rule-id 268442078 event-log flow-start
cli_xml_server: frep_write_cmd: Cmd: crypto isakmp nat-traversal
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_311
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_433
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_6
cli_xml_server: frep_write_cmd: Cmd: no object-group network group_2
cli_xml_server: frep_write_cmd: Cmd: write memory        <--


    Wat gebeurt er als een eenheid zich in een pseudo-Standby-staat bevindt (failover uitgeschakeld) en u het opnieuw laadt terwijl de andere eenheid failover ingeschakeld is en actief is?
    U eindigt in een actief/actief scenario (hoewel het technisch een actief/failover-off is). Zodra de eenheid is geactiveerd, wordt de failover uitgeschakeld, maar de eenheid gebruikt dezelfde IP-adressen als de actieve eenheid. Er is dus effectief sprake van de volgende toestand:

    • Eenheid-1: actief
    • Unit-2: failover is uit. De unit gebruikt dezelfde gegevens-IP's als unit-1, maar verschillende MAC-adressen.


    Wat gebeurt er met de failover-configuratie als u de failover handmatig uitschakelt (stel een hoge beschikbaarheid in) en u het apparaat opnieuw laadt?
    Wanneer u de failover uitschakelt, is het geen permanente wijziging (niet opgeslagen in het opstartconfiguratie-configuratie, tenzij u beslist dit expliciet te doen). U kunt het apparaat op 2 verschillende manieren opnieuw opstarten/laden en met de tweede manier moet u voorzichtig zijn:

    Situatie 1. Opnieuw opstarten vanaf CLISH

    Bij opnieuw opstarten vanaf CLISH wordt er niet om een bevestiging gevraagd. De configuratiewijziging wordt dus niet opgeslagen in startup-config:

    > configure high-availability suspend
Please ensure that no deployment operation is in progress before suspending high-availability.
Please enter 'YES' to continue if there is no deployment operation in progress and 'NO' if you wish to abort: YES
Successfully suspended high-availability.

    Het in bedrijf stellen-configureren heeft de failover uitgeschakeld. In dit geval was de unit stand-by en kwam in de pseudo-stand-by-stand zoals verwacht om een actief/actief scenario te voorkomen:

    firepower# show failover | include Failover
Failover Off (pseudo-Standby)
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)


    Het opstarten-config heeft de failover nog toegelaten:

    firepower# show startup | include failover
failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Start het apparaat opnieuw op vanaf CLISH (opdracht reboot):

    > reboot
This command will reboot the system.  Continue?
Please enter 'YES' or 'NO': YES

Broadcast message from root@
Threat Defense System: CMD=-stop, CSP-ID=cisco-ftd.6.2.2.81__ftd_001_JMX2119L05CYRIBVX1, FLAG=''
Cisco FTD stopping ...

    Aangezien failover is ingeschakeld, zal zodra de eenheid actief is, het apparaat naar de onderhandelingsfase voor de failover gaan om te proberen de externe peer te detecteren:

    User enable_1 logged in to firepower
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
firepower> .

        Detected an Active mate


    Situatie 2. Reboot van LINA CLI
    Bij opnieuw opstarten vanuit LINA (opdracht reload) wordt om een bevestiging gevraagd. Aldus, voor het geval dat u Y selecteert (Ja), wordt de configuratieverandering opgeslagen in opstarten -opstarten-configuratie:

    firepower# reload
System config has been modified. Save? [Y]es/[N]o: Y  <-- Be careful. This disables the failover in the startup-config

Cryptochecksum: 31857237 8658f618 3234be7c 854d583a

8781 bytes copied in 0.940 secs
Proceed with reload? [confirm]
firepower# show startup | include failover
no failover
failover lan unit secondary
failover lan interface FOVER Ethernet1/1
failover replication http
failover link FOVER Ethernet1/1
failover interface ip FOVER 192.0.2.1 255.255.255.0 standby 192.0.2.2
failover ipsec pre-shared-key *****

    Zodra de eenheid actief is, wordt de failover uitgeschakeld:

    firepower# show failover | include Fail
Failover Off
Failover unit Secondary
Failover LAN Interface: FOVER Ethernet1/1 (up)

    Opmerking: om dit scenario te voorkomen, zorg ervoor dat wanneer u wordt gevraagd, u niet de wijzigingen in het opstartconfiguratie opslaan.

    Gerelateerde informatie

    • Alle versies van de Cisco Firepower Management Center-configuratiehandleiding vindt u hier

    Navigatie in de documentatie voor Cisco Secure Firewall Threat Defence

    • Alle versies van de FXOS Chassis Manager- en CLI-configuratiehandleidingen vindt u hier

    Navigatie in Cisco Firepower 4100/9300 FXOS-documentatie

    • Cisco Global Technical Assistance Center (TAC) raadt deze visuele handleiding ten zeerste aan voor diepgaande praktische kennis over Cisco Firepower Security Technologies van de volgende generatie:

    Cisco Firepower Threat Defence (FTD): Beste praktijken voor configuratie en probleemoplossing voor de next-generation firewall (NGFW), next-generation inbraakpreventiesysteem (NGIPS) en Advanced Malware Protection (AMP)

    • TechNotes voor alle configuratie en probleemoplossing die betrekking hebben op de FirePOWER-technologieën

    Cisco Secure Firewall Management Center

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    4.0
    19-Jul-2024
    Bijgewerkte SEO, stijlvereisten en opmaak. Bovendien zijn de taken nu gebaseerd op de 7.2.8 softwarerelease.
    3.0
    07-Aug-2023
    Bijgewerkte SEO, stijlvereisten en opmaak.
    2.0
    04-Aug-2022
    Artikel bijgewerkt voor opmaak, stijlvereisten, machinevertaling, gerunds en grammatica.
    1.0
    29-Sep-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Olha Yakovenko
      Cisco TAC Engineer
    • Mikis Zafeiroudis
      Cisco TAC Engineer
    • John Long
      Cisco TAC Engineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten