更換安全防火牆中的故障裝置高可用性威脅防禦

簡介

本文說明如何更換高可用性(HA)設定中的故障Secure Firewall威脅防禦模組。

必要條件

需求

思科建議您瞭解以下主題：

• 思科安全防火牆管理中心(FMC)
• Cisco Firepower可擴充作業系統(FXOS)
• 思科安全防火牆威脅防禦(FTD)
  
  

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• Firepower 4110運行FXOS v2.12(0.498)
• 邏輯裝置運行Cisco安全防火牆7.2.5版

• Secure Firewall Management Center 2600運行v7.4

• 安全複製協定(SCP)知識

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

裝置支援以下過程：

• Cisco Secure Firewall 1000系列裝置
• Cisco Secure Firewall 2100系列裝置
• Cisco Secure Firewall 3100系列裝置
• Cisco Secure Firewall 4100系列裝置
• Cisco Secure Firewall 4200系列裝置
• 思科安全防火牆9300裝置
• 適用於VMWare的思科安全防火牆威脅防禦

開始之前

本文檔要求您使用相同的FXOS和FTD版本配置新裝置。

確定故障裝置

在此案例中，輔助裝置(FTD-02)處於故障狀態。 

用備用裝置替換故障裝置

您可以使用此過程替換主要或輔助裝置。本指南假定您有要更換的故障裝置的備份。

步驟 1.從FMC下載備份檔案。導覽至System > Tools > Restore > Device Backups，然後選擇正確的備份。按一下「Download」：

步驟 2.將FTD備份上傳到新FTD的/var/sf/backup/目錄：

2.1從test-pc（SCP客戶端）將備份檔案上傳到/var/tmp/目錄下的FTD:

@test-pc ~ % scp FTD-02_Secondary_20230926234646.tar cisco@10.88.243.90:/var/tmp/ 

2.2在FTD CLI專家模式下，將備份檔案從/var/tmp/移動到/var/sf/backup/:

root@firepower:/var/tmp# mv FTD-02_Secondary_20230926234646.tar /var/sf/backup/

步驟 3.從清潔模式應用下一個命令，恢復FTD-02備份:

>restore remote-manager-backup FTD-02_Secondary_20230926234646.tar

Device model from backup :: Cisco Firepower 4110 Threat Defense
This Device Model  :: Cisco Firepower 4110 Threat Defense
***********************************************
Backup Details                   
***********************************************
Model = Cisco Firepower 4110 Threat Defense
Software Version = 7.2.5
Serial = FLM22500791
Hostname = firepower
Device Name = FTD-02_Secondary
IP Address = 10.88.171.89
Role = SECONDARY
VDB Version = 365
SRU Version = 
FXOS Version = 2.12(0.498)
Manager IP(s) = 10.88.243.90 
Backup Date = 2023-09-26 23:46:46
Backup Filename = FTD-02_Secondary_20230926234646.tar
***********************************************

********************* Caution ****************************
Verify that you are restoring a valid backup file.
Make sure that FTD is installed with same software version and matches versions from backup manifest before proceeding.(Running 'show version' command on FTD, displays Model Name and version details).
Restore operation will overwrite all configurations on this device with configurations in backup.
If this restoration is being performed on an RMA device then ensure old device is removed from network or powered off completely prior to proceeding with backup restore.
**********************************************************
Are you sure you want to continue (Y/N)Y
Restoring device . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Refreshing Events InfoDB...
Added table audit_log with table_id 1
Added table health_alarm_syslog with table_id 2
Added table dce_event with table_id 3
Added table application with table_id 4
Added table rna_scan_results_tableview with table_id 5
Added table rna_event with table_id 6
Added table ioc_state with table_id 7
Added table third_party_vulns with table_id 8
Added table user_ioc_state with table_id 9
Added table rna_client_app with table_id 10
Added table rna_attribute with table_id 11
Added table captured_file with table_id 12
Added table rna_ip_host with table_id 13
Added table flow_chunk with table_id 14
Added table rua_event with table_id 15
Added table wl_dce_event with table_id 16
Added table user_identities with table_id 17
Added table whitelist_violations with table_id 18
Added table remediation_status with table_id 19
Added table syslog_event with table_id 20
Added table rna_service with table_id 21
Added table rna_vuln with table_id 22
Added table SRU_import_log with table_id 23
Added table current_users with table_id 24

Broadcast message from root@firepower (Wed Sep 27 15:50:12 2023):

The system is going down for reboot NOW!

註：還原完成後，裝置會將您從CLI註銷，重新引導並自動連線到FMC。此時，裝置似乎已過時。

步驟 4.  恢復HA同步。在FTD CLI中，輸入configure high-availability resume:

>configure high-availability resume

FTD高可用性配置現在已完成：

在不備份的情況下更換故障裝置

如果沒有故障裝置的備份，可以繼續本指南。您可以替換主裝置或輔助裝置，此過程因裝置是主裝置還是輔助裝置而異。本指南中介紹的所有步驟都是要恢復有故障的輔助裝置。如果要恢復有故障的主裝置，請在步驟5中配置高可用性，即在註冊期間將現有輔助/主用裝置用作主裝置，將替換裝置用作輔助/備用裝置。

步驟 1.導航到Device > Device Management，獲取高可用性配置的螢幕截圖（備份）。  編輯正確的FTD HA配對（按一下鉛筆圖示），然後按一下High Availability選項：

步驟 2.擊碎高射炮。

2.1導航到Devices > Device Management，然後按一下右上角的三點選單。然後按一下Break選項：

2.2.選擇Force break， if standby peer does not response選項：

注意：由於裝置沒有響應，您需要強制中斷HA。 當您中斷高可用性對時，活動裝置將保留完全部署的功能。備用裝置丟失其故障切換和介面配置，成為獨立裝置。

步驟 3.刪除有故障的FTD。確定要替換的FTD，然後按一下三點式選單。按一下Delete:


步驟 4.新增新的FTD。

4.1.導航到Devices > Device Management > Add，然後按一下Device: 


4.2.選擇調配方法，在本例中為Registration Key、Configure Host、Display Name、Registration Key。 配置訪問控制策略，然後按一下Register。


步驟 5.建立高可用性。

5.1導航到Devices > Device Management > Add，然後點選High Availability選項。

5.2.配置新增高可用性對。配置名稱、裝置型別，選擇FTD-01作為主對等方，選擇FTD-02作為輔助對等，然後按一下Continue。

註：請記住選擇主裝置作為仍具有配置的裝置，在本例中為FTD-01。

5.3.確認建立HA，然後按一下Yes。

注意：配置高可用性會重新啟動兩台裝置的snort引擎，這可能會導致流量中斷。

5.4.配置步驟2中介紹的高可用性引數，然後按一下Add選項：


6. FTD高可用性配置現在已完成：

注意：如果不配置虛擬MAC地址，您需要清除相連路由器上的ARP表，以便在更換主裝置時恢復流量。有關詳細資訊，請參閱高可用性中的MAC地址和IP地址。

相關資訊

• 思科技術支援與下載