更换安全防火墙中的故障设备高可用性威胁防御

简介

本文档介绍如何更换作为高可用性(HA)设置一部分的有故障的安全防火墙威胁防御模块。

先决条件

要求

Cisco 建议您了解以下主题：

• 思科安全防火墙管理中心(FMC)
• Cisco Firepower可扩展操作系统(FXOS)
• 思科安全防火墙威胁防御(FTD)
  
  

使用的组件

本文档中的信息基于以下软件和硬件版本：

• Firepower 4110运行FXOS v2.12(0.498)
• 逻辑设备运行Cisco Secure Firewall v7.2.5

• 安全防火墙管理中心2600运行v7.4

• 安全复制协议(SCP)知识

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

以下设备支持此过程：

• Cisco Secure Firewall 1000系列设备
• 思科安全防火墙2100系列设备
• Cisco Secure Firewall 3100系列设备
• 思科安全防火墙4100系列设备
• Cisco Secure Firewall 4200系列设备
• 思科安全防火墙9300设备
• 适用于VMWare的思科安全防火墙威胁防御

开始使用前

本文档要求您使用相同的FXOS和FTD版本配置新设备。

确定故障设备

在这种情况下，辅助设备(FTD-02)处于故障状态。 

用备份替换故障设备

您可以使用此过程替换主设备或辅助设备。本指南假设您要更换故障设备的备份。

步骤1:从FMC下载备份文件。导航到System > Tools > Restore > Device Backups，然后选择正确的备份。单击Download:

第二步：将FTD备份上传到新FTD的/var/sf/backup/目录：

2.1从test-pc（SCP客户端）将备份文件上传到/var/tmp/目录下的FTD:

@test-pc ~ % scp FTD-02_Secondary_20230926234646.tar cisco@10.88.243.90:/var/tmp/ 

2.2在FTD CLI专家模式下，将备份文件从/var/tmp/移动到/var/sf/backup/:

root@firepower:/var/tmp# mv FTD-02_Secondary_20230926234646.tar /var/sf/backup/

第三步：从清洁模式应用下一个命令，恢复FTD-02备份:

>restore remote-manager-backup FTD-02_Secondary_20230926234646.tar

Device model from backup :: Cisco Firepower 4110 Threat Defense
This Device Model  :: Cisco Firepower 4110 Threat Defense
***********************************************
Backup Details                   
***********************************************
Model = Cisco Firepower 4110 Threat Defense
Software Version = 7.2.5
Serial = FLM22500791
Hostname = firepower
Device Name = FTD-02_Secondary
IP Address = 10.88.171.89
Role = SECONDARY
VDB Version = 365
SRU Version = 
FXOS Version = 2.12(0.498)
Manager IP(s) = 10.88.243.90 
Backup Date = 2023-09-26 23:46:46
Backup Filename = FTD-02_Secondary_20230926234646.tar
***********************************************

********************* Caution ****************************
Verify that you are restoring a valid backup file.
Make sure that FTD is installed with same software version and matches versions from backup manifest before proceeding.(Running 'show version' command on FTD, displays Model Name and version details).
Restore operation will overwrite all configurations on this device with configurations in backup.
If this restoration is being performed on an RMA device then ensure old device is removed from network or powered off completely prior to proceeding with backup restore.
**********************************************************
Are you sure you want to continue (Y/N)Y
Restoring device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Refreshing Events InfoDB...
Added table audit_log with table_id 1
Added table health_alarm_syslog with table_id 2
Added table dce_event with table_id 3
Added table application with table_id 4
Added table rna_scan_results_tableview with table_id 5
Added table rna_event with table_id 6
Added table ioc_state with table_id 7
Added table third_party_vulns with table_id 8
Added table user_ioc_state with table_id 9
Added table rna_client_app with table_id 10
Added table rna_attribute with table_id 11
Added table captured_file with table_id 12
Added table rna_ip_host with table_id 13
Added table flow_chunk with table_id 14
Added table rua_event with table_id 15
Added table wl_dce_event with table_id 16
Added table user_identities with table_id 17
Added table whitelist_violations with table_id 18
Added table remediation_status with table_id 19
Added table syslog_event with table_id 20
Added table rna_service with table_id 21
Added table rna_vuln with table_id 22
Added table SRU_import_log with table_id 23
Added table current_users with table_id 24

Broadcast message from root@firepower (Wed Sep 27 15:50:12 2023):

The system is going down for reboot NOW!

注：恢复完成后，设备会将您从CLI注销、重新启动并自动连接到FMC。此时，设备即将过期。

第四步：  恢复HA同步。在FTD CLI中，输入configure high-availability resume:

>configure high-availability resume

FTD高可用性配置现已完成：

更换故障单元而不备份

如果没有故障设备的备份，您可以继续本指南。您可以替换主设备或辅助设备，此过程取决于设备是主设备还是辅助设备。本指南中介绍的所有步骤都是要恢复有故障的辅助设备。如果要恢复有故障的主设备，请在步骤5中配置高可用性，即在注册期间将现有辅助/主用设备用作主设备，将替换设备用作辅助/备用设备。

步骤1:导航到Device > Device Management，获取高可用性配置的截图（备份）。  编辑正确的FTD HA对（点击铅笔图标），然后点击High Availability选项：

第二步：打破HA。

2.1导航到Devices > Device Management，然后单击右上角的三点菜单。然后单击Break选项：

2.2.选择Force break， if standby peer does not respond选项：

注：由于设备无响应，您需要强制中断HA。 当您中断高可用性对时，活动设备将保留完全部署的功能。备用设备丢失其故障切换和接口配置，成为独立设备。

第三步：删除有故障的FTD。确定要替换的FTD，然后点击三点菜单。单击Delete:


第四步：添加新的FTD。

4.1.导航到Devices > Device Management > Add，然后单击Device: 


4.2.选择调配方法，在本例中为Registration Key，配置Host,Display Name,Registration Key。 配置访问控制策略，然后单击Register。


第五步：创建高可用性。

5.1导航到Devices > Device Management > Add，然后单击High Availability选项。

5.2.配置添加高可用性对。配置Name、Device Type，选择FTD-01作为Primary Peer，选择FTD-02作为Secondary Peer，然后点击Continue。

注：请记住选择主设备作为仍具有配置的设备，在本例中为FTD-01。

5.3.确认创建高可用性，然后单击Yes。

注意：配置高可用性会重新启动两台设备的snort引擎，这可能会造成流量中断。

5.4.配置步骤2中介绍的高可用性参数，然后单击Add选项：


6. FTD高可用性配置现已完成：

注意：如果不配置虚拟MAC地址，您需要清除所连接路由器上的ARP表以恢复流量，以防出现主设备更换的情况。有关详细信息，请参阅高可用性中的MAC地址和IP地址。

相关信息

• 思科技术支持和下载