Configurar melhorias na facilidade de manutenção do cluster no Firewall Management Center 7.4

Introdução

Este documento descreve como você pode usar as melhorias de manutenção no FMC 7.4

O que há de novo

• Diagnósticos de link de controle de cluster (CCL) e assistência para garantir que as configurações estejam corretas.
• As CLIs do Cluster Lina agora podem ser vistas no Centro de gerenciamento de firewall (FMC).
• Geração de solução de problemas
  • Agora pode ser gerado tudo de uma vez para todos os dispositivos em um cluster.
  • A geração de solução de problemas será automática se um nó falhar ao ingressar em um cluster.
  • Solucione problemas de geração e navegação na guia Devices > Cluster/Device.

Pré-requisitos, plataformas suportadas, licenciamento

Plataformas mínimas de software e hardware

Aplicativo e Versão Mínima	Dispositivos gerenciados	Mín. de Dispositivos Gerenciados com Suporte Versão Necessária	Notas
Firewall seguro 7.4	Todos que oferecem suporte a clustering no FTD Somente o aprimoramento de "Geração de soluções de problemas" requer que a versão do FTD seja 7.4 e superior	· FMC no local + FMC REST API · FMC fornecido em nuvem	Este é um recurso do FMC, portanto, a configuração pode ser aplicada a qualquer dispositivo que o FMC 7.4 possa gerenciar.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Firewall Management Center (FMC) executando 7.4 
• Cisco Firepower Threat Defense (FTD) executando a versão 7.4 ou posterior.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Diagnóstico de Link CCL

Aviso de MTU da Interface de Link de Controle de Cluster na Página Resumo do Cluster

Problema

• O clustering requer uma MTU mais alta para o link de controle de cluster do que as interfaces de dados.
• Frequentemente, você não define a MTU com um valor alto o suficiente, o que causa problemas de confiabilidade.
• A recomendação é que a MTU da CCL deve ter 100 ou 154 bytes a mais do que a MTU máxima da interface de dados, com base na plataforma, para sincronizar o estado do cluster nos nós.

MTU de CCL = (MTU de Interface de Dados Máxima) + 100 |154 

Por exemplo, para um dispositivo FTDv, se 1700 bytes for o MTU máximo da interface de dados, o valor de MTU da interface CCL seria definido como 1854:
1854 = 1700 + 154

Recomendações de tamanho de MTU por plataforma

Platform	MTU de Interface de Dados Máxima de Exemplo	adi	Configuração Total Recomendada para MTU para Link CCL
FW série 3100 Sec	1700	100	1800
FTDv	1700	154	1854

Solução

• Quando um cluster é criado, o valor de MTU para o link CCL é automaticamente definido para o valor recomendado na interface.
  Faça com que a configuração do lado do switch corresponda a esse valor.
• Exemplo de mensagem de aviso:
  O clustering requer uma MTU mais alta para o link de controle de cluster. O MTU máximo da interface de dados atual é de 1500 bytes; o MTU do link de controle de cluster recomendado é de 1654 bytes ou mais. Antes de continuar, certifique-se de que os switches conectados correspondam às MTUs para interfaces de dados e o link de controle de cluster, caso contrário, a formação de cluster falhará.
• Se a configuração do lado do switch para a interface CCL não corresponder a esse valor, o dispositivo falhará ao ingressar no cluster. 

Teste de Ping CCL no Status Ativo do Cluster

Verificar Conectividade CCL

• Necessidade de provisionamento de usuário para verificar a conectividade de CCL com o tamanho do pacote de MTU de CCL

Solução

Tamanhos de MTU CCL adicionados para a nuvem pública

Valores de MTU do Cluster do AWS e do Azure

Há novos valores recomendados de CCL e MTU de interface de dados para clusters FTDv de nuvem pública 7.4.

	MTU de CCL recomendado na versão 7.3	Recomendado  CCL MTU in 7.4	MTU de interface de dados recomendado em 7.3	Recomendado  Interface de dados MTU em 7.4
Cluster NLB do Azure	1554	1454	1400	1300
Cluster GWLB do Azure	1554	1454	1454	1374
Cluster AWS GWLB	1960	1980	1806	1826

O FMC atualiza o CCL e o MTU da interface de dados para os valores recomendados após a atualização de um cluster para a versão 7.4.

CLIs disponíveis no FMC

Prompt da CLI do Lina do dispositivo disponível na guia Dispositivo/cluster

Executar CLIs do Cluster Lina do FMC

• Agora, é possível executar CLIs de solução de problemas LINA de cluster do FMC.

CLIs comumente usadas mostradas por padrão

CLIs de cluster predefinidas

• As CLIs que são executadas por padrão são:

               show running-config cluster

               show cluster info

               show cluster info health

               show cluster info transport cp

               show version

               show asp drop

               show counters

               show arp

               show int ip brief

               show blocks

               show cpu detailed

               show interface <ccl_interface>

               ping <ccl_ip> size <ccl_mtu> repeat 2

Entrada manual de comandos disponíveis

Geração de soluções de problemas

Geração Automática de Solução de Problemas em Falha de Ingresso no Nó

• Quando um nó não consegue ingressar no cluster, uma Solução de problemas de dispositivo é gerada automaticamente.
• Uma notificação é mostrada no Gerenciador de Tarefas.

Botão Disparar e Baixar Solução de Problemas Disponível nas Guias Dispositivo e Cluster

Geração mais fácil de soluções de problemas de cluster

Geração de solução de problemas de cluster

Geração de Troubleshooting de Nó (Dispositivo)

Notificação de Conclusão da Geração de Solução de Problemas de Cluster

O Gerenciador de tarefas mostra o progresso da geração de solução de problemas para cada nó no cluster. Aguarde antes de clicar em Download.

Perguntas e respostas

P: No Azure, ele reduziu, mas aumentou em AWS para MTU?

R: Para os novos valores de MTU em nuvens públicas, no Azure a MTU recomendada é reduzida, mas é aumentada em AWS.

P: Durante a atualização, se a MTU for alterada automaticamente - há uma entrada de Syslog?

R: Não, não há nenhuma entrada de Syslog feita neste momento. Podemos voltar a analisá-la, se necessário.

P: Onde é mostrado o valor de MTU de cada nó?

R: Mostre o valor de MTU como uma coluna na página gerenciamento de dispositivos > interfaces, na guia cluster.

P: Essa falha está sendo exibida porque o Switch não está definido ou o outro nó não está definido?

R: Não, é uma mensagem de aviso por precaução que é exibida o tempo todo para o usuário.

P: Que comando - show cluster - mostra o tamanho da MTU?

R: O ping do CCL está no padrão e é mostrado nos padrões do CLI.

P: No caso do AWS, podemos documentar as etapas de como aumentar o MTU no switch?

R: Para pubs técnicos verificar.

P: Para HW - você listou apenas a série 3100 - e quanto a 4K/9K/2K/1K?

R: Clustering em 9300, 4100, 3100 e somente virtual. O FMC pode executar o 3100, mas os clusters 4100 e 9300 são executados no gerenciador de chassis, não no FMC.

P: Você precisa implantar a partir do FMC para que as alterações entrem em vigor, após a atualização do dispositivo?

R: Sim, é necessário implantar após a atualização. Você deve usar os valores de MTU recomendados.

P: Estamos fornecendo alguma mensagem de aviso ao usuário de que o MTU foi alterado, como se o FTD estivesse no meio do caminho onde o túnel GRE foi construído, o usuário veria o túnel não sincronizado ou desativado?

R: Está na documentação. Pode funcionar na mensagem de aviso. Os nós se ajustariam para controlar o nó. Switch teria que ser ajustado para os novos valores. O valor é alterado depois que o nó de controle é atualizado. O valor de MTU é enviado pelo controle.

P: Vamos reinicializar o dispositivo FTD se, após a atualização, alterarmos o MTU?

R: Nenhuma reinicialização explícita é acionada no FTD na atualização quando os valores de MTU são alterados.

Histórico das revisões