使用FDM設定FTD高可用性
簡介
本檔案介紹如何設定在本機管理的「安全防火牆威脅防禦(FTD)」的作用中/待命高可用性(HA)配對。
必要條件
需求
建議您瞭解以下主題:
- 透過GUI和/或外殼進行思科安全防火牆威脅防禦初始配置。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
- FPR2110 7.2.5版由Firepower裝置管理器(FDM)本地管理
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
網路拓撲
注意:本文檔中介紹的示例是推薦的多種網路設計之一。有關更多選項,請參閱避免中斷的故障切換和資料鏈路配置指南。
設定
配置主裝置以實現高可用性
步驟 1.按一下Device,並按位於右上角的Configure按鈕,旁邊是High Availability狀態。
步驟 2.在「高可用性」頁上,按一下主要裝置框。
步驟 3.配置故障切換鏈路屬性。
選擇您已直接連線到輔助防火牆的介面,並設定主IP地址和輔助IP地址以及子網網路掩碼。
對於有狀態故障切換鏈路,請選中使用與故障切換鏈路相同的介面覈取方塊。
清除「IPSec加密金鑰」框並按一下Activate HA以儲存更改。
提示:使用專門用於故障切換流量的小型掩碼子網,以儘可能避免安全漏洞和/或網路問題。
警告:系統立即將配置部署到裝置。您不需要啟動部署工作。如果您沒有看到說明您的配置已儲存並且部署正在進行中的消息,請滾動到頁面頂部以檢視錯誤消息。組態也會複製到剪貼簿。您可以使用副本快速配置輔助裝置。為了增加安全性,剪貼簿副本中不會包含加密金鑰(如果您設定了加密金鑰)。
步驟 4.配置完成後,您將收到一條消息,說明後續步驟。閱讀資訊後,按一下Got It。
配置輔助裝置以實現高可用性
步驟 1.按一下Device,並按位於右上角的Configure按鈕,旁邊是High Availability狀態。
步驟 2.在「高可用性」頁上,按一下輔助裝置框。
步驟 3.配置故障切換鏈路屬性。設定主要FTD後,您可以貼上儲存在剪貼簿中的設定,或者手動繼續。
步驟 3.1.要從剪貼簿貼上,只需按一下從剪貼簿貼上按鈕,然後貼上到配置中(同時按住Ctrl+v鍵),然後按一下確定。
步驟 3.2.要手動繼續,請選擇您已直接連線到輔助防火牆的介面,並設定主要和輔助IP地址以及子網網路掩碼。對於有狀態故障切換鏈路,請選中使用與故障切換鏈路相同的介面覈取方塊。
步驟 4.清除「IPSec加密金鑰」框並按一下Activate HA以儲存更改。
警告:系統立即將配置部署到裝置。您不需要啟動部署工作。如果您沒有看到說明您的配置已儲存並且部署正在進行中的消息,請滾動到頁面頂部以檢視錯誤消息。
步驟 5.配置完成後,您將收到一條消息,說明您需要採取的後續步驟。閱讀資訊後,按一下Got It。
驗證
- 此時,您的裝置狀態大部分表明這是「高可用性」頁面上的輔助裝置。如果與主裝置的連線成功,裝置將開始與主裝置同步,最終模式更改為「備用」,而對等裝置更改為「活動」。
- 主要FTD也大部分顯示「高可用性」狀態,但顯示為「作用中」和「對等點:待命」。
- 開啟與主要FTD的SSH作業階段,並發出命令show running-config failover以驗證設定。
- 使用命令show failover state驗證裝置的當前狀態。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
02-Oct-2023 |
初始版本 |
意見