更換HA對中的安全防火牆管理中心

下載選項

  • PDF     (1.0 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (836.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (560.2 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2024 年 4 月 29 日
文件 ID:221952

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文說明如何在高可用性(HA)對中更換有故障的安全防火牆管理中心。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • 思科安全防火牆管理中心(FMC)

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • 在HA模式下執行版本7.2.5 (1)的Cisco Secure Firewall Management Center (FMC)


    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    設定

    解決方案1

    用備用裝置更換故障裝置的過程

    第1步:將運行單元指定為活動單元。有關詳細資訊,請參閱Management Center高可用性對中的交換對等體

    josegom3_0-1712877540935

    josegom3_1-1712877603600

    第2步:重新映像新裝置以匹配活動裝置的軟體版本。有關詳細資訊,請參閱重新映像Cisco安全防火牆管理中心的硬體型號

    第3步:將資料備份從故障裝置恢復到新的管理中心。導航到System > Backup/Restore,上傳備份檔案,並將其還原到新裝置。

    josegom3_2-1712877680887

    josegom3_3-1712877707242

    第4步:如有必要,更新與活動單元相同版本的地理定位資料庫(GeoDB)更新、漏洞資料庫(VDB)更新和系統軟體更新,以確保一致性。

    josegom3_4-1712877741023

    第5步:一旦更新完成,兩個單元都可以顯示活動狀態,這可能導致高可用性大腦分裂狀態。

    第6步:繼續將持續運行的裝置手動設定為活動狀態。這樣它就可以將最新的配置同步到替換單元。

    josegom3_5-1712877852767

    josegom3_6-1712877878853

    第7步:成功同步後(可能需要一些時間),導航到活動單元的Web介面。然後更改角色,將新裝置定位為活動裝置。

    解決方案2

    更換故障裝置而不進行備份的方法

    第1步:將運行單元指定為活動單元。有關詳細資訊,請參閱Management Center高可用性對中的交換對等體

    josegom3_7-1712878274097

    第2步:重新映像新裝置以匹配活動裝置的軟體版本。有關詳細資訊,請參閱重新映像Cisco安全防火牆管理中心的硬體型號

    第3步:如有必要,更新與活動單元相同版本的地理定位資料庫(GeoDB)更新、漏洞資料庫(VDB)更新和系統軟體更新,以確保一致性。

    josegom3_0-1712878447099

    第4步:使用活動管理中心的Web介面中斷HA。出現提示時,選擇Manage registered devices from this console選項。

    josegom3_1-1712878693895

    第5步:透過將運營管理中心配置為主要單元,將替換單元配置為輔助單元,重新組態管理中心HA。有關詳細說明,請參閱建立管理中心高可用性。

    附註圖示

    :重新建立HA時,來自主管理中心的最新配置將與輔助管理中心同步。傳統許可證和智慧許可證都旨在實現平穩整合。

    驗證

    使用本節內容,確認您的組態是否正常運作。

    同步完成後,預期輸出為Status Healthy,並且同步OK

    josegom3_0-1712881075241

    由於此過程可能需要一段時間,因此主裝置和輔助裝置仍在同步。在此期間,請確保您的裝置已正確列在主要和輔助裝置上。

    此外,還可以透過CLI執行驗證。這可以透過連線到CLI、切換到專家模式、提升許可權以及運行以下指令碼來實現:

    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
    ****************  Troubleshooting Utility  **************
 
 1   Show HA Info Of FMC
 2   Execute Sybase DBPing
 3   Show Arbiter Status
 4   Check Peer Connectivity
 5   Print Messages of AQ Task
 6   Show FMC HA Operations History (ASC order)
 7   Dump To File: FMC HA Operations History (ASC order)
 8   Last Successful Periodic Sync Time (When it completed)
 9   Print HA Status Messages
 10  Compare active and standby device list
 11  Check manager status of standby missing devices
 12  Check critical PM processes details
 13   Help
 0   Exit
 
**************************************************************
    fmc1:/Volume/home/admin# troubleshoot_HADC.pl
**************** Troubleshooting Utility **************
1 Show HA Info Of FMC
    2 Execute Sybase DBPing
    3 Show Arbiter Status
    4 Check Peer Connectivity
    5 Print Messages of AQ Task
    6 Show FMC HA Operations History (ASC order)
    7 Dump To File: FMC HA Operations History (ASC order)
    8 Help
    0 Exit
**************************************************************

    有關更多詳細資訊,請參閱驗證Firepower模式、例項、高可用性和可擴充性配置

    疑難排解

    目前尚無適用於此組態的具體疑難排解資訊。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    29-Apr-2024
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Jose Trinidad Gomez Delgado
      Cisco Security Technical Consulting Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品